容器深入解析的舊版驗證
容器深入解析預設採用受控識別驗證,其擁有監視代理程式,可使用叢集的受控識別 (部分機器翻譯) 將資料傳送到 Azure 監視器。 它會取代舊版憑證式本機驗證,而且不需要將「監視計量發行者」角色新增至叢集。
本文說明如果您已啟用使用舊版驗證方法的容器深入解析,如何移轉至受控識別驗證,以及如何在有需求時啟用舊版驗證。
重要
如果您有具有舊版驗證和 Log Analytics 工作區金鑰會輪替的叢集,則監視資料將會停止流向 Log Analytics 工作區。 您必須停用再重新啟用容器深入解析附加元件,以使用新的輪替工作區金鑰,讓監試資料再次開始流動。 您應該移轉至不使用 Log Analytics 工作區金鑰的容器深入解析受控識別驗證。
移轉至受控識別驗證
如果您在受控識別驗證可用之前啟用容器深入解析,您可以使用下列方法來移轉叢集。
您可以從 AKS 叢集的 [監視設定] 面板移轉至受控識別驗證。 從 [監視] 區段,按一下 [深入解析] 索引標籤。在 [深入解析] 索引標籤中,按一下 [監視設定] 選項,然後核取 [使用受控識別] 方塊
如果您沒有看到 [使用受控識別] 選項,表示您使用的是 SPN 叢集。 在此情況下,您必須使用命令列工具來移轉。 如需移轉指示和範本,請參閱其他索引標籤。
AKS
AKS 叢集必須先停用監視,然後升級至受控識別。 此移轉目前僅支援 Azure 公用雲端、由 21Vianet 營運的 Microsoft Azure 和 Azure Government 雲端。 針對具有使用者指派之身分識別的叢集,僅支援 Azure 公用雲端。
注意
至少 Azure CLI 2.49.0 版或更新版本。
取得已設定的 Log Analytics 工作區資源識別碼:
az aks show -g <resource-group-name> -n <cluster-name> | grep -i "logAnalyticsWorkspaceResourceID"
使用下列命令停用監視︰
az aks disable-addons -a monitoring -g <resource-group-name> -n <cluster-name>
如果叢集使用服務主體,請使用下列命令列將其升級至系統受控識別:
az aks update -g <resource-group-name> -n <cluster-name> --enable-managed-identity
使用在步驟 1 中取得的 Log Analytics 工作區資源識別碼,透過受控識別驗證選項來啟用監視附加元件:
az aks enable-addons -a monitoring -g <resource-group-name> -n <cluster-name> --workspace-resource-id <workspace-resource-id>
已啟用 Arc 的 Kubernetes
注意
已啟用 Arc 的 Kubernetes 叢集不支援使用 ARO 的受控識別驗證。
擷取為容器深入解析延伸模組設定的 Log Analytics 工作區。
az k8s-extension show --name azuremonitor-containers --cluster-name \<cluster-name\> --resource-group \<resource-group\> --cluster-type connectedClusters -n azuremonitor-containers
使用第一個步驟中傳回的工作區,透過受控識別驗證選項啟用容器深入解析延伸模組。
az k8s-extension create --name azuremonitor-containers --cluster-name \<cluster-name\> --resource-group \<resource-group\> --cluster-type connectedClusters --extension-type Microsoft.AzureMonitor.Containers --configuration-settings amalogs.useAADAuth=true logAnalyticsWorkspaceResourceID=\<workspace-resource-id\>
啟用舊版驗證
如果您需要舊版驗證,請參閱啟用容器深入解析 (英文),其中包含啟用容器深入解析的不同選項範例。
下一步
如果您在升級代理程式時遇到問題,請檢閱疑難排解指南以取得支援。
