Устаревшая аутентификация для Container Insights

2025-04-23

Служба Container Insights по умолчанию использует аутентификацию с использованием управляемого удостоверения, при которой агент мониторинга применяет управляемое удостоверение кластера для отправки данных в Azure Monitor. Он заменил устаревшую локальную проверку подлинности на основе сертификатов и удалил требование добавления роли издателя метрик мониторинга в кластер.

В этой статье описывается, как перейти на аутентификацию с управляемой идентификацией, если вы включили аналитику контейнеров с использованием метода устаревшей аутентификации, а также как включить устаревшую аутентификацию, если у вас есть такая потребность.

Внимание

Если у вас есть кластер с устаревшей проверкой подлинности и рабочие ключи Log Analytics были изменены, то данные мониторинга перестанут передаваться в рабочую область Log Analytics. Необходимо отключить и снова включить надстройку аналитики контейнеров, чтобы данные мониторинга начали поступать снова с новыми обновленными ключами рабочей области. Необходимо перейти на аутентификацию с использованием управляемой идентификации в Контейнерной аналитике, которая не использует ключи рабочей области Log Analytics.

Переход на управляемую аутентификацию удостоверения

Если вы включили аналитику контейнеров до того, как проверка подлинности управляемого удостоверения стала доступна, можно использовать следующие методы для миграции кластеров.

Портал Azure
Azure CLI

Вы можете перейти на аутентификацию с использованием управляемого удостоверения через панель параметров мониторинга для кластера AKS. В разделе Мониторинг щелкните вкладку Аналитика. На вкладке "Аналитика" щелкните параметр Параметры монитора и установите флажок Использовать управляемое удостоверение

Если вы не видите параметр Использовать управляемое удостоверение, вы используете кластер SPN. В этом случае для миграции необходимо использовать средства командной строки. Смотрите другие вкладки для получения инструкций по миграции и шаблонов.

AKС

Кластеры AKS должны сначала отключить мониторинг, а затем обновить его до управляемого удостоверения. В настоящее время для этой миграции поддерживается только общедоступное облако Azure, Microsoft Azure, управляемый компанией 21Vianet, и облако Azure Government. Для кластеров с идентификатором, назначенным пользователем, поддерживается только облако Azure для публичного доступа.

Примечание.

Минимальная версия Azure CLI 2.49.0 или более поздняя.

Получите идентификатор ресурса настроенной рабочей области Log Analytics.
```
az aks show -g <resource-group-name> -n <cluster-name> | grep -i "logAnalyticsWorkspaceResourceID"
```
Отключите мониторинг, выполнив следующую команду:
```
az aks disable-addons -a monitoring -g <resource-group-name> -n <cluster-name> 
```
Если кластер использует субъект-службу, обновите его до системного управляемого удостоверения с помощью следующей команды:
```
az aks update -g <resource-group-name> -n <cluster-name> --enable-managed-identity
```
Включите надстройку мониторинга с параметром проверки подлинности управляемого удостоверения с помощью идентификатора ресурса рабочей области Log Analytics, полученного на шаге 1.
```
az aks enable-addons -a monitoring -g <resource-group-name> -n <cluster-name> --workspace-resource-id <workspace-resource-id>
```

Kubernetes с поддержкой Arc

Примечание.

Проверка подлинности управляемого удостоверения не поддерживается для кластеров Kubernetes с поддержкой Arc с помощью ARO.

Получите рабочую область Log Analytics, настроенную для расширения средств аналитики контейнеров.

az k8s-extension show --name azuremonitor-containers --cluster-name \<cluster-name\> --resource-group \<resource-group\> --cluster-type connectedClusters -n azuremonitor-containers

Включите расширение Аналитики контейнеров с параметром проверки подлинности управляемого удостоверения, используя рабочую область, возвращенную на первом шаге.

az k8s-extension create --name azuremonitor-containers --cluster-name \<cluster-name\> --resource-group \<resource-group\> --cluster-type connectedClusters --extension-type Microsoft.AzureMonitor.Containers --configuration-settings amalogs.useAADAuth=true logAnalyticsWorkspaceResourceID=\<workspace-resource-id\>

Включение устаревшей проверки подлинности

Если вам требуется аутентификация устаревшего типа, обратите внимание на статью «Включение аналитики контейнеров», в которой приведены примеры различных вариантов её включения.

Следующие шаги

Если при обновлении агента возникают проблемы, ознакомьтесь с руководством по устранению неполадок для поддержки.

Поделиться через

Устаревшая аутентификация для Container Insights

Переход на управляемую аутентификацию удостоверения

Включение устаревшей проверки подлинности

Следующие шаги

Обратная связь

Дополнительные ресурсы