Abilitare il collegamento privato per il monitoraggio delle macchine virtuali e dei cluster Kubernetes in Monitoraggio di Azure

Collegamento privato di Azure consente di accedere alle risorse PaaS (Platform as a Service) di Azure nella rete virtuale usando endpoint privati. Un ambito di collegamento privato di Azure Monitor (AMPLS) connette un endpoint privato a un insieme di risorse di Azure Monitor per definire i confini della tua rete di monitoraggio.

Questo articolo descrive come configurare il monitoraggio delle macchine virtuali (VM) e dei cluster Kubernetes con un Azure Monitor Private Link Scope (AMPLS) esistente.

Prerequisiti

• Abilitare il monitoraggio della macchina virtuale o del cluster usando le indicazioni pertinenti.
  • Abilitare il monitoraggio del cluster Kubernetes usando le linee guida in Abilitare le metriche e la registrazione dei contenitori di Prometheus.
  • Abilitare il monitoraggio della macchina virtuale usando le indicazioni riportate in Abilitare Informazioni dettagliate macchina virtuale o Raccogliere dati dal client di macchine virtuali con Monitoraggio di Azure.
• Creare un AMPLS e connetterlo alla rete virtuale usando il processo descritto in Configurare il collegamento privato per Monitoraggio di Azure.

Panoramica dei concetti

Le macchine virtuali e i cluster Kubernetes monitorati da Monitoraggio di Azure usano entrambi l'agente di Monitoraggio di Azure per il monitoraggio, in modo che la configurazione per il collegamento privato sia simile. A seconda della configurazione, ognuna invierà le metriche a un'area di lavoro di Monitoraggio di Azure e/o ai log a un'area di lavoro Log Analytics.

L'agente di Monitoraggio di Azure in esecuzione nella macchina virtuale o nel cluster deve avere connettività per le operazioni seguenti:

• Recuperare la configurazione da Azure Monitor. Sono incluse le regole di raccolta dati associate all'agente che definiscono i dati di log e metrica da raccogliere e dove inviarli.
• Inviare dati all'area di lavoro monitoraggio di Azure e all'area di lavoro Log Analytics.
• Consultare i dati dall'area di lavoro di Azure Monitor e dall'area di lavoro di Log Analytics.

Gli endpoint di raccolta dati (DCEs) vengono usati per funzioni diverse quando si usa un collegamento privato con Monitoraggio di Azure, come descritto in Risorse AMPLS. Si userà una combinazione di controller di dominio esistenti e di nuovi controller di dominio creati a seconda dei requisiti.

Abilitare la configurazione dell'agente

Sia la macchina virtuale che il cluster richiedono endpoint di raccolta dati (DCEs) in AMPLS per ottenere la configurazione da Azure Monitor tramite un collegamento privato. Per recuperare la configurazione, è necessario un solo controller di dominio per la macchina virtuale o il cluster. Userà questo DCE per recuperare DCR sia per i log che per le metriche, se entrambi sono abilitati. È possibile usare qualsiasi controller di dominio nella stessa area della macchina virtuale o del cluster, ma in genere è consigliabile usare un controller di dominio esistente, se disponibile.

Se si usa un'area di lavoro di Azure Monitor per le metriche, è possibile usare il DCE creato automaticamente per l'area di lavoro. Se non si usa un'area di lavoro di Monitoraggio di Azure o se la macchina virtuale o il cluster si trova in un'area diversa dall'area di lavoro di Monitoraggio di Azure, è necessario creare un nuovo controller di dominio nella stessa area della macchina virtuale o del cluster. Seguire le indicazioni riportate in Creare un endpoint di raccolta dati per creare un nuovo controller di dominio nella stessa area della macchina virtuale o del cluster, se necessario.

Associare la macchina virtuale o il cluster al DCE

Creare un'associazione tra la macchina virtuale o il cluster e un DCE affinché la macchina virtuale o il cluster possa recuperare la propria configurazione da Azure Monitor utilizzando il DCE. Ogni macchina virtuale o cluster può avere un'associazione solo con un singolo controller di dominio, quindi se si crea un'altra associazione, quella esistente verrà sostituita.

az monitor data-collection rule association create --association-name configurationAccessEndpoint --data-collection-endpoint-id <dce-resource-id> --resource-uri <vm-resource-id/cluster-resource-id>

# Example VM
az monitor data-collection rule association create --association-name configurationAccessEndpoint --data-collection-endpoint-id /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-group/providers/Microsoft.Insights/dataCollectionEndpoints/my-dce --resource-uri /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/vm/providers/Microsoft.Compute/virtualMachines/my-vm

# Example AKS
az monitor data-collection rule association create --association-name configurationAccessEndpoint --data-collection-endpoint-id /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-group/providers/Microsoft.Insights/dataCollectionEndpoints/my-dce --resource-uri /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-group/providers/Microsoft.ContainerService/managedClusters/my-cluster

New-AzDataCollectionRuleAssociation -associationname configurationAccessEndpoint -DataCollectionEndpointId <dce-resource-id> -resourceuri <vm-resource-id/cluster-resource-id>  

# Example VM
New-AzDataCollectionRuleAssociation   -resourceuri /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/vm/providers/Microsoft.Compute/virtualMachines/win03 -associationname configurationAccessEndpoint -DataCollectionEndpointId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-group/providers/Microsoft.Insights/dataCollectionEndpoints/my-dce

# Example AKS
New-AzDataCollectionRuleAssociation   -resourceuri /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/vm/providers/Microsoft.Compute/virtualMachines/win03 -associationname configurationAccessEndpoint -DataCollectionEndpointId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-group/providers/Microsoft.Insights/dataCollectionEndpoints/my-dce

Aggiungere DCE a AMPLS

Ogni DCE creato per l'accesso alla configurazione deve essere aggiunto all'AMPLS. Sono inclusi il controller di dominio creato dall'area di lavoro monitoraggio di Azure e tutti i nuovi controller di dominio creati per i cluster in aree diverse.

az monitor private-link-scope scoped-resource create --resource-group <resource-group> --scope-name <ampls-name> --name <dce-name> --linked-resource <dce-resource-id>

# Example
az monitor private-link-scope scoped-resource create --resource-group my-resource-group --scope-name my-ampls --name my-cluster  --linked-resource /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-groups/providers/Microsoft.Insights/dataCollectionEndpoints/my-cluster

 New-AzInsightsPrivateLinkScopedResource -ResourceGroupName <resource-group> -ScopeName <ampls-name> -Name <dce-name> -LinkedResourceId <dce-resource-id>

# Example
 New-AzInsightsPrivateLinkScopedResource -ResourceGroupName my-resource-group -ScopeName my-ampls -Name my-cluster-LinkedResourceId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-groups/providers/Microsoft.Insights/dataCollectionEndpoints/my-cluster

Abilitare l'inserimento dati

Per inviare dati a un'area di lavoro di Monitoraggio di Azure tramite collegamento privato, la macchina virtuale o il cluster richiede un controller di dominio in AMPLS. Non è necessario alcun controller di dominio per inviare i dati di log all'area di lavoro Log Analytics perché l'area di lavoro Log Analytics viene aggiunta direttamente ad AMPLS.

Configurare l'area di lavoro di Monitoraggio di Azure

Un controller di dominio viene creato automaticamente per ogni cluster quando sono abilitate le metriche di Prometheus. Questo DCE avrà un nome simile a MSProm-<region>-<cluster> e viene usato per l'inserimento dal cluster. Deve essere semplicemente aggiunto ad AMPLS.

az monitor private-link-scope scoped-resource create --resource-group <resource-group> --scope-name <ampls-name> --name <dce-name> --linked-resource <dce-resource-id>

# Example
az monitor private-link-scope scoped-resource create --resource-group my-resource-group --scope-name my-ampls --name my-cluster  --linked-resource /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-groups/providers/Microsoft.Insights/dataCollectionEndpoints/my-cluster

 New-AzInsightsPrivateLinkScopedResource -ResourceGroupName <resource-group> -ScopeName <ampls-name> -Name <dce-name> -LinkedResourceId <dce-resource-id>

# Example
 New-AzInsightsPrivateLinkScopedResource -ResourceGroupName my-resource-group -ScopeName my-ampls -Name my-cluster-LinkedResourceId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-groups/providers/Microsoft.Insights/dataCollectionEndpoints/my-cluster

Configurare l'area di lavoro Log Analytics

Non è necessario alcun DCE per l'inserimento nel workspace di Log Analytics poiché viene aggiunto direttamente all'AMPLS come descritto nelle risorse AMPLS. Aggiungere un'area di lavoro Log Analytics ad AMPLS per supportare l'inserimento di dati da cluster e macchine virtuali nella rete virtuale connessa.

az monitor private-link-scope scoped-resource create --resource-group <resource-group> --scope-name <ampls-name> --name <workspace-name> --linked-resource <workspace-resource-id>

# Example VM
az monitor private-link-scope scoped-resource create --resource-group my-resource-group --scope-name my-ampls --name my-cluster  --linked-resource /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-groups/providers/Microsoft.Insights/dataCollectionEndpoints/my-cluster

# Example AKS
az monitor private-link-scope scoped-resource create --resource-group my-resource-group --scope-name my-ampls --name my-cluster  --linked-resource /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-groups/providers/Microsoft.Insights/dataCollectionEndpoints/my-cluster

 New-AzInsightsPrivateLinkScopedResource -ResourceGroupName <resource-group> -ScopeName <ampls-name> -Name <workspace-name> -LinkedResourceId <workspace-resource-id>

# Example VM
 New-AzInsightsPrivateLinkScopedResource -ResourceGroupName my-resource-group -ScopeName my-ampls -Name my-workspace -LinkedResourceId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-group/providers/microsoft.operationalinsights/workspaces/my-workspace

# Example AKS
 New-AzInsightsPrivateLinkScopedResource -ResourceGroupName my-resource-group -ScopeName my-ampls -Name my-workspace -LinkedResourceId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-group/providers/microsoft.operationalinsights/workspaces/my-workspace

Abilitare la query per l'area di lavoro di Azure Monitor

È necessario un endpoint privato aggiuntivo per supportare le query nell'area di lavoro di Monitoraggio di Azure tramite collegamento privato. Questo è simile all'endpoint privato creato per AMPLS, ma questo endpoint privato è specifico per l'area di lavoro di Monitoraggio di Azure per supportare le query tramite collegamento privato. Per ulteriori dettagli su questo endpoint privato e sui record DNS creati per esso, vedere Usare gli endpoint privati per l'area di lavoro di Azure Monitor e per il Prometheus gestito.

Seguire le stesse indicazioni in Connettere AMPLS a un endpoint privato per creare una nuova connessione endpoint privato, ma usare le impostazioni seguenti per la risorsa a cui connettersi:

Inserimento da un cluster del servizio Azure Kubernetes privato

Se si sceglie di usare un'istanza di Firewall di Azure per limitare l'uscita dal cluster, è possibile implementare una delle opzioni seguenti:

• Aprire un percorso all'endpoint di inserimento pubblico. Aggiornare la tabella di routing con i due endpoint seguenti:
  • *.handler.control.monitor.azure.com
  • *.ingest.monitor.azure.com
• Consentire a Firewall di Azure di accedere all'ambito collegamento privato di Monitoraggio di Azure e all'endpoint di raccolta dati usato per l'inserimento dati.

Inserimento di collegamenti privati per la scrittura remota

Usare la procedura seguente per configurare la scrittura remota per le metriche di Prometheus per un cluster Kubernetes tramite una rete virtuale di collegamento privato e un AMPLS.

1. Configurare il cluster locale per la connessione a una rete virtuale di Azure tramite un gateway VPN o ExpressRoutes con peering privato.
2. Connettere AMPLS a un endpoint privato nella rete virtuale usata dal cluster locale. Questo endpoint privato viene usato per accedere agli endpoint di raccolta dati.
3. Nella pagina Panoramica dell'area di lavoro di Azure Monitor nel portale di Azure, fare clic su endpoint per la raccolta dati.
4. Selezionare la pagina Isolamento rete per l'endpoint di raccolta dati.
5. Fare clic su Aggiungi e selezionare l'AMPLS. Attendere alcuni minuti per la propagazione delle impostazioni e i dati del tuo cluster AKS locale dovrebbero essere inseriti nel workspace di Azure Monitor tramite il collegamento privato.

Verificare l'inserimento dati

Esistono più metodi per verificare che i dati vengano inseriti dal cluster tramite il collegamento privato. Un metodo consiste nel controllare il menu Monitoraggio per uno dei cluster o delle macchine virtuali. Verranno visualizzate le metriche e gli eventi raccolti.

Passaggi successivi

• Consultare Connettersi a un'origine dati in modo privato per informazioni dettagliate su come configurare un collegamento privato per eseguire query sui dati dall'area di lavoro di Azure Monitor utilizzando Grafana.
• Per informazioni dettagliate su come configurare un collegamento privato per eseguire query sui dati dall'area di lavoro di Monitoraggio di Azure tramite cartelle di lavoro, vedere Abilitare query dall'area di lavoro di Monitoraggio di Azure usando il collegamento privato.