Устаревшая аутентификация для Container Insights

Служба Container Insights по умолчанию использует аутентификацию с использованием управляемого удостоверения, при которой агент мониторинга применяет управляемое удостоверение кластера для отправки данных в Azure Monitor. Он заменил устаревшую локальную проверку подлинности на основе сертификатов и удалил требование добавления роли издателя метрик мониторинга в кластер.

Внимание

Устаревшая аутентификация для Container Insights будет выведена из эксплуатации 30 сентября 2026 г. Перейдите на аутентификацию с управляемым удостоверением к этой дате.

В этой статье описывается, как перенести проверку подлинности управляемого удостоверения, если вы включили аналитику контейнеров с помощью устаревшего метода проверки подлинности, а также как включить устаревшую проверку подлинности при наличии этого требования.

Внимание

Если у вас есть кластер с устаревшей проверкой подлинности и рабочие ключи Log Analytics были изменены, то данные мониторинга перестанут передаваться в рабочую область Log Analytics. Необходимо отключить и снова включить надстройку аналитики контейнеров, чтобы данные мониторинга начали поступать снова с новыми обновленными ключами рабочей области. Необходимо перенести проверку подлинности управляемых удостоверений Аналитики контейнеров, которая не использует ключи рабочей области Log Analytics.

Поиск кластеров с помощью устаревшей проверки подлинности

В следующих запросах перечислены кластеры с использованием устаревшей проверки подлинности в Container Insights. Чтобы выполнить запросы, используйте обозреватель Resource Graph. Запрос выполняется в существующей области портала Azure. Дополнительные сведения о настройке области и выполнении запросов Azure Resource Graph на портале см. в кратком руководстве по выполнению запроса Resource Graph с помощью портала Azure.

Запрос к кластерам AKS

resources        
| where type =~ 'Microsoft.ContainerService/managedClusters'       
| project id, name, aksproperties = parse_json(tolower(properties)), location, identity        
| extend isEnabled = aksproperties.addonprofiles.omsagent.enabled         
| extend workspaceResourceId = iif(isEnabled == true, aksproperties.addonprofiles.omsagent.config.loganalyticsworkspaceresourceid, '')        
| extend useAADAuth  = aksproperties.addonprofiles.omsagent.config.useaadauth  
| where isEnabled =~ "true" and useAADAuth != true 
| extend parts = split(tostring(id), "/")
| extend subscriptionId = parts[2], AKSClusterName = parts[-1], resourceGroupName = parts[4] 
| project AKSClusterName, resourceGroupName, subscriptionId, location, AKSClusterId = tolower(id), workspaceResourceId

Запрашивать локальные кластеры, т. е. кластеры с помощью Arc.

KubernetesConfigurationResources          
| where type =~ "Microsoft.KubernetesConfiguration/extensions"           
| extend properties = parse_json(tolower(properties))           
| extend extensionType = properties.extensiontype            
| where extensionType in~ ('microsoft.azuremonitor.containers')           
| extend omsagentUseAADAuth = tostring(properties.configurationsettings.["omsagent.useaadauth"])           
| extend amalogsUseAADAuth = tostring(properties.configurationsettings.["amalogs.useaadauth"])            
| extend useAADAuth = iff(omsagentUseAADAuth == 'true' or amalogsUseAADAuth == 'true', 'true', 'false')            
| extend workspaceResourceId = tostring(properties.configurationsettings.loganalyticsworkspaceresourceid)            
| extend resourceId = tolower(split(id, "/providers/Microsoft.KubernetesConfiguration")[0]) 
| where useAADAuth != "true"
| extend parts = split(tostring(resourceId), "/")
| extend subscriptionId = parts[2], ClusterName = parts[-1], ResourceGroupName = parts[4] 
| project ClusterName, ResourceGroupName,resourceId, subscriptionId, workspaceResourceId

Переход на управляемую аутентификацию удостоверения

Если вы включили аналитику контейнеров до того, как проверка подлинности управляемого удостоверения стала доступна, можно использовать следующие методы для миграции кластеров.

Вы можете перейти на аутентификацию с использованием управляемого удостоверения через панель параметров мониторинга для кластера AKS. В разделе Мониторинг щелкните вкладку Аналитика. На вкладке "Аналитика" щелкните параметр Параметры монитора и установите флажок Использовать управляемое удостоверение

Если вы не видите параметр Использовать управляемое удостоверение, вы используете кластер SPN. В этом случае для миграции необходимо использовать средства командной строки. Смотрите другие вкладки для получения инструкций по миграции и шаблонов.

AKС

Кластеры AKS должны сначала отключить мониторинг, а затем обновить его до управляемого удостоверения. В настоящее время для этой миграции поддерживается только общедоступное облако Azure, Microsoft Azure, управляемый компанией 21Vianet, и облако Azure Government. Для кластеров с идентификатором, назначенным пользователем, поддерживается только облако Azure для публичного доступа.

Примечание.

Минимальная версия Azure CLI 2.49.0 или более поздняя.

Получите идентификатор ресурса настроенной рабочей области Log Analytics.
```
az aks show -g <resource-group-name> -n <cluster-name> | grep -i "logAnalyticsWorkspaceResourceID"
```
Отключите мониторинг, выполнив следующую команду:
```
az aks disable-addons -a monitoring -g <resource-group-name> -n <cluster-name> 
```
Если кластер использует субъект-службу, обновите его до системного управляемого удостоверения с помощью следующей команды:
```
az aks update -g <resource-group-name> -n <cluster-name> --enable-managed-identity
```
Включите надстройку мониторинга с параметром проверки подлинности управляемого удостоверения с помощью идентификатора ресурса рабочей области Log Analytics, полученного на шаге 1.
```
az aks enable-addons -a monitoring -g <resource-group-name> -n <cluster-name> --workspace-resource-id <workspace-resource-id>
```

Kubernetes с поддержкой Arc

Примечание.

Проверка подлинности управляемого удостоверения не поддерживается для кластеров Kubernetes с поддержкой Arc с помощью ARO.

Получите рабочую область Log Analytics, настроенную для расширения средств аналитики контейнеров.

az k8s-extension show --name azuremonitor-containers --cluster-name \<cluster-name\> --resource-group \<resource-group\> --cluster-type connectedClusters -n azuremonitor-containers

Включите расширение Аналитики контейнеров с параметром проверки подлинности управляемого удостоверения, используя рабочую область, возвращенную на первом шаге.

az k8s-extension create --name azuremonitor-containers --cluster-name \<cluster-name\> --resource-group \<resource-group\> --cluster-type connectedClusters --extension-type Microsoft.AzureMonitor.Containers --configuration-settings amalogs.useAADAuth=true logAnalyticsWorkspaceResourceID=\<workspace-resource-id\>

Включение устаревшей проверки подлинности

Если требуется устаревшая проверка подлинности, см. статью "Включить аналитику контейнеров", которая содержит примеры различных вариантов включения аналитики контейнеров.

Следующие шаги

Если при обновлении агента возникают проблемы, ознакомьтесь с руководством по устранению неполадок для поддержки.

Обратная связь

Были ли сведения на этой странице полезными?

Last updated on 2025-09-03