Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Служба Container Insights по умолчанию использует аутентификацию с использованием управляемого удостоверения, при которой агент мониторинга применяет управляемое удостоверение кластера для отправки данных в Azure Monitor. Он заменил устаревшую локальную проверку подлинности на основе сертификатов и удалил требование добавления роли издателя метрик мониторинга в кластер.
Внимание
Устаревшая проверка подлинности для Container Insights прекращена. Переход на аутентификацию с управляемым удостоверением.
В этой статье описывается, как перенести проверку подлинности управляемого удостоверения, если вы включили аналитику контейнеров с помощью устаревшего метода проверки подлинности, а также как включить устаревшую проверку подлинности при наличии этого требования.
Внимание
Если у вас есть кластер с устаревшей проверкой подлинности и рабочие ключи Log Analytics были изменены, то данные мониторинга перестанут передаваться в рабочую область Log Analytics. Необходимо отключить и снова включить надстройку аналитики контейнеров, чтобы данные мониторинга начали поступать снова с новыми обновленными ключами рабочей области. Необходимо перенести проверку подлинности управляемых удостоверений Аналитики контейнеров, которая не использует ключи рабочей области Log Analytics.
Поиск кластеров с помощью устаревшей проверки подлинности
В следующих запросах перечислены кластеры с использованием устаревшей проверки подлинности в Container Insights. Чтобы выполнить запросы, используйте обозреватель Resource Graph. Запрос выполняется в существующей области портала Azure. Дополнительные сведения о настройке области и выполнении запросов Azure Resource Graph на портале см. в кратком руководстве по выполнению запроса Resource Graph с помощью портала Azure.
Запрос к кластерам AKS
resources
| where type =~ 'Microsoft.ContainerService/managedClusters'
| project id, name, aksproperties = parse_json(tolower(properties)), location, identity
| extend isEnabled = aksproperties.addonprofiles.omsagent.enabled
| extend workspaceResourceId = iif(isEnabled == true, aksproperties.addonprofiles.omsagent.config.loganalyticsworkspaceresourceid, '')
| extend useAADAuth = aksproperties.addonprofiles.omsagent.config.useaadauth
| where isEnabled =~ "true" and useAADAuth != true
| extend parts = split(tostring(id), "/")
| extend subscriptionId = parts[2], AKSClusterName = parts[-1], resourceGroupName = parts[4]
| project AKSClusterName, resourceGroupName, subscriptionId, location, AKSClusterId = tolower(id), workspaceResourceId
Запрашивать локальные кластеры, т. е. кластеры с помощью Arc.
KubernetesConfigurationResources
| where type =~ "Microsoft.KubernetesConfiguration/extensions"
| extend properties = parse_json(tolower(properties))
| extend extensionType = properties.extensiontype
| where extensionType in~ ('microsoft.azuremonitor.containers')
| extend omsagentUseAADAuth = tostring(properties.configurationsettings.["omsagent.useaadauth"])
| extend amalogsUseAADAuth = tostring(properties.configurationsettings.["amalogs.useaadauth"])
| extend useAADAuth = iff(omsagentUseAADAuth == 'true' or amalogsUseAADAuth == 'true', 'true', 'false')
| extend workspaceResourceId = tostring(properties.configurationsettings.loganalyticsworkspaceresourceid)
| extend resourceId = tolower(split(id, "/providers/Microsoft.KubernetesConfiguration")[0])
| where useAADAuth != "true"
| extend parts = split(tostring(resourceId), "/")
| extend subscriptionId = parts[2], ClusterName = parts[-1], ResourceGroupName = parts[4]
| project ClusterName, ResourceGroupName,resourceId, subscriptionId, workspaceResourceId
Переход на управляемую аутентификацию удостоверения
Если вы включили аналитику контейнеров до того, как проверка подлинности управляемого удостоверения стала доступна, можно использовать следующие методы для миграции кластеров.
AKС
Кластеры AKS должны сначала отключить мониторинг, а затем обновить его до управляемого удостоверения. В настоящее время для этой миграции поддерживается только общедоступное облако Azure, Microsoft Azure, управляемый компанией 21Vianet, и облако Azure Government. Для кластеров с идентификатором, назначенным пользователем, поддерживается только облако Azure для публичного доступа.
Примечание.
Минимальная версия Azure CLI 2.49.0 или более поздняя.
Получите идентификатор ресурса настроенной рабочей области Log Analytics.
az aks show -g <resource-group-name> -n <cluster-name> | grep -i "logAnalyticsWorkspaceResourceID"Отключите мониторинг, выполнив следующую команду:
az aks disable-addons -a monitoring -g <resource-group-name> -n <cluster-name>Если кластер использует субъект-службу, обновите его до системного управляемого удостоверения с помощью следующей команды:
az aks update -g <resource-group-name> -n <cluster-name> --enable-managed-identityВключите надстройку мониторинга с параметром проверки подлинности управляемого удостоверения с помощью идентификатора ресурса рабочей области Log Analytics, полученного на шаге 1.
az aks enable-addons -a monitoring -g <resource-group-name> -n <cluster-name> --workspace-resource-id <workspace-resource-id>
Kubernetes с поддержкой Arc
Примечание.
Проверка подлинности управляемого удостоверения не поддерживается для кластеров Kubernetes с поддержкой Arc с помощью ARO.
Получите рабочую область Log Analytics, настроенную для расширения средств аналитики контейнеров.
az k8s-extension show --name azuremonitor-containers --cluster-name \<cluster-name\> --resource-group \<resource-group\> --cluster-type connectedClusters -n azuremonitor-containersВключите расширение Аналитики контейнеров с параметром проверки подлинности управляемого удостоверения, используя рабочую область, возвращенную на первом шаге.
az k8s-extension create --name azuremonitor-containers --cluster-name \<cluster-name\> --resource-group \<resource-group\> --cluster-type connectedClusters --extension-type Microsoft.AzureMonitor.Containers --configuration-settings amalogs.useAADAuth=true logAnalyticsWorkspaceResourceID=\<workspace-resource-id\>
Включение устаревшей проверки подлинности
Если требуется устаревшая проверка подлинности, см. статью "Включить аналитику контейнеров", которая содержит примеры различных вариантов включения аналитики контейнеров.
Следующие шаги
Если при обновлении агента возникают проблемы, ознакомьтесь с руководством по устранению неполадок для поддержки.