Включение приватного канала для мониторинга виртуальных машин и кластеров Kubernetes в Azure Monitor

Приватный канал Azure позволяет получить доступ к ресурсам платформы Azure как услуга (PaaS) в виртуальной сети с помощью частных конечных точек. Область Приватный канал Azure Monitor (AMPLS) подключает частную конечную точку к набору ресурсов Azure Monitor для определения границ сети мониторинга.

В этой статье описывается настройка мониторинга виртуальных машин (ВМ) и кластеров Kubernetes с существующей областью Private Link Azure Monitor (AMPLS).

Предпосылки

Включите мониторинг виртуальной машины или кластера с помощью соответствующих рекомендаций.
- Включите мониторинг кластера Kubernetes с помощью руководства по включению метрик Prometheus и ведения журнала контейнеров.
- Включите мониторинг виртуальной машины с помощью инструкций, приведенных в разделе "Включение аналитики виртуальных машин" или "Сбор данных из клиента виртуальной машины" с помощью Azure Monitor.
Создайте AMPLS и подключите его к виртуальной сети с помощью процесса, описанного в разделе "Настройка приватного канала для Azure Monitor".

Общие сведения

Виртуальные машины и кластеры Kubernetes, которые отслеживаются с помощью Azure Monitor, используют агент Azure Monitor для мониторинга, поэтому их конфигурация для частного подключения схожа. В зависимости от конфигурации каждая из них отправляет метрики в рабочую область Azure Monitor и (или) журналы в рабочую область Log Analytics.

Агент Azure Monitor, работающий на виртуальной машине или кластере, должен иметь подключение для следующих операций:

Извлеките конфигурацию из Azure Monitor. К ним относятся правила сбора данных (DCR), связанные с агентом, определяющим, какие данные журналов и метрик следует собирать и куда отправлять.
Отправка данных в рабочую область Azure Monitor и рабочую область Log Analytics.
Запрос данных из рабочей области Azure Monitor и рабочей области Log Analytics.

Замечание

Виртуальные машины отправляют метрики в рабочую область Azure Monitor только в том случае, если они мигрированы на метрики OpenTelemetry, как описано в "Миграция на анализ данных виртуальных машин OpenTelemetry (предварительная версия)". В противном случае они хранят метрики в рабочих пространствах Log Analytics. Те же рекомендации, приведенные в этой статье, относятся к виртуальной машине, которая не была перенесена на метрики OpenTelemetry, но необходимо настроить только рабочую область Log Analytics.

Конечные точки сбора данных (DCEs) используются для различных функций при использовании приватного канала с Azure Monitor, как описано в ресурсах AMPLS. Вы будете использовать сочетание как существующих контроллеров домена, так и новых контроллеров домена, которые вы создадите в зависимости от ваших требований.

Включение конфигурации агента

Для виртуальной машины и кластера требуется конечная точка сбора данных (DCEs) в AMPLS для получения конфигурации из Azure Monitor через приватный канал. Для получения конфигурации виртуальной машины или кластера требуется только один DCE. Этот DCE будет использоваться для получения правил сбора данных для журналов и метрик, если оба они включены. Любой DCE в том же регионе, что и виртуальная машина или кластер, можно использовать, но обычно рекомендуется использовать существующий DCE, если он доступен.

Если вы используете рабочую область Azure Monitor для метрик, вы можете использовать DCE, созданную автоматически для рабочей области. Если вы не используете рабочую область Azure Monitor или если виртуальная машина или кластер находится в другом регионе, отличном от рабочей области Azure Monitor, необходимо создать новый DCE в том же регионе, что и виртуальная машина или кластер. При необходимости следуйте инструкциям по созданию конечной точки сбора данных , чтобы создать новый DCE в том же регионе, что и виртуальная машина или кластер.

Связывание виртуальной машины или кластера с DCE

Создайте связь между виртуальной машиной или кластером и DCE для виртуальной машины или кластера, чтобы получить конфигурацию из Azure Monitor с помощью DCE. Каждая виртуальная машина или кластер могут иметь связь только с одним DCE, поэтому при создании другой связи будет заменена существующая.

Если вы используете DCE, созданное рабочей областью Azure Monitor, идентифицируйте его на странице обзора на портале Azure.

В меню "Монитор " на портале Azure выберите конечные точки сбора данных. Выберите DCE и перейдите на вкладку "Ресурсы ". Нажмите кнопку "Добавить " и выберите кластер, чтобы создать связь.

Создайте связь между виртуальной машиной или кластером и DCE с помощью следующей команды:

az monitor data-collection rule association create --association-name configurationAccessEndpoint --data-collection-endpoint-id <dce-resource-id> --resource-uri <vm-resource-id/cluster-resource-id>

# Example VM
az monitor data-collection rule association create --association-name configurationAccessEndpoint --data-collection-endpoint-id /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-group/providers/Microsoft.Insights/dataCollectionEndpoints/my-dce --resource-uri /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/vm/providers/Microsoft.Compute/virtualMachines/my-vm

# Example AKS
az monitor data-collection rule association create --association-name configurationAccessEndpoint --data-collection-endpoint-id /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-group/providers/Microsoft.Insights/dataCollectionEndpoints/my-dce --resource-uri /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-group/providers/Microsoft.ContainerService/managedClusters/my-cluster

Создайте связь между виртуальной машиной или кластером и DCE с помощью следующей команды:

New-AzDataCollectionRuleAssociation -associationname configurationAccessEndpoint -DataCollectionEndpointId <dce-resource-id> -resourceuri <vm-resource-id/cluster-resource-id>  

# Example VM
New-AzDataCollectionRuleAssociation   -resourceuri /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/vm/providers/Microsoft.Compute/virtualMachines/win03 -associationname configurationAccessEndpoint -DataCollectionEndpointId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-group/providers/Microsoft.Insights/dataCollectionEndpoints/my-dce

# Example AKS
New-AzDataCollectionRuleAssociation   -resourceuri /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/vm/providers/Microsoft.Compute/virtualMachines/win03 -associationname configurationAccessEndpoint -DataCollectionEndpointId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-group/providers/Microsoft.Insights/dataCollectionEndpoints/my-dce

Добавить DCEs в AMPLS

Необходимо добавить в AMPLS каждое из устройств, созданных для конфигурационного доступа. К ним относятся ТСД, созданные рабочей областью Azure Monitor, и все новые точки сбора данных, созданные для кластеров в различных регионах.

В меню Монитор на портале Azure выберите Диапазоны частных ссылок Azure Monitor. Выберите AMPLS и перейдите на вкладку "Ресурсы Azure Monitor ". Нажмите кнопку "Добавить " и выберите DCE, чтобы добавить ее в AMPLS.

Добавьте DCE в AMPLS с помощью следующей команды:

az monitor private-link-scope scoped-resource create --resource-group <resource-group> --scope-name <ampls-name> --name <dce-name> --linked-resource <dce-resource-id>

# Example
az monitor private-link-scope scoped-resource create --resource-group my-resource-group --scope-name my-ampls --name my-cluster  --linked-resource /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-groups/providers/Microsoft.Insights/dataCollectionEndpoints/my-cluster

Добавьте DCE в AMPLS с помощью следующей команды:

 New-AzInsightsPrivateLinkScopedResource -ResourceGroupName <resource-group> -ScopeName <ampls-name> -Name <dce-name> -LinkedResourceId <dce-resource-id>

# Example
 New-AzInsightsPrivateLinkScopedResource -ResourceGroupName my-resource-group -ScopeName my-ampls -Name my-cluster-LinkedResourceId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-groups/providers/Microsoft.Insights/dataCollectionEndpoints/my-cluster

Включение приема данных

Для виртуальной машины или кластера в AMPLS требуется DCE для отправки данных в рабочую область Azure Monitor с помощью приватного канала. Для отправки данных журнала в рабочую область Log Analytics не требуется DCE, так как рабочая область Log Analytics добавляется непосредственно в AMPLS.

Настройка рабочей области Azure Monitor

DCE создается автоматически для каждого кластера при включении метрик Prometheus. Этот DCE будет иметь имя, аналогичное MSProm-<region>-<cluster>, и используется для получения данных из кластера. Его просто необходимо добавить в AMPLS.

Добавьте DCE в AMPLS с помощью следующей команды:

az monitor private-link-scope scoped-resource create --resource-group <resource-group> --scope-name <ampls-name> --name <dce-name> --linked-resource <dce-resource-id>

# Example
az monitor private-link-scope scoped-resource create --resource-group my-resource-group --scope-name my-ampls --name my-cluster  --linked-resource /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-groups/providers/Microsoft.Insights/dataCollectionEndpoints/my-cluster

Добавьте DCE в AMPLS с помощью следующей команды:

 New-AzInsightsPrivateLinkScopedResource -ResourceGroupName <resource-group> -ScopeName <ampls-name> -Name <dce-name> -LinkedResourceId <dce-resource-id>

# Example
 New-AzInsightsPrivateLinkScopedResource -ResourceGroupName my-resource-group -ScopeName my-ampls -Name my-cluster-LinkedResourceId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-groups/providers/Microsoft.Insights/dataCollectionEndpoints/my-cluster

Настройка рабочей области Log Analytics

Для приема в рабочую область Log Analytics не требуется DCE, так как она добавляется в AMPLS напрямую, как описано в ресурсах AMPLS. Добавьте рабочую область Log Analytics в AMPLS для поддержки приема данных из кластеров и виртуальных машин в подключенной виртуальной сети.

Добавьте рабочую область Log Analytics в AMPLS с помощью следующей команды:

az monitor private-link-scope scoped-resource create --resource-group <resource-group> --scope-name <ampls-name> --name <workspace-name> --linked-resource <workspace-resource-id>

# Example VM
az monitor private-link-scope scoped-resource create --resource-group my-resource-group --scope-name my-ampls --name my-cluster  --linked-resource /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-groups/providers/Microsoft.Insights/dataCollectionEndpoints/my-cluster

# Example AKS
az monitor private-link-scope scoped-resource create --resource-group my-resource-group --scope-name my-ampls --name my-cluster  --linked-resource /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-groups/providers/Microsoft.Insights/dataCollectionEndpoints/my-cluster

Добавьте рабочую область Log Analytics в AMPLS с помощью следующей команды:

 New-AzInsightsPrivateLinkScopedResource -ResourceGroupName <resource-group> -ScopeName <ampls-name> -Name <workspace-name> -LinkedResourceId <workspace-resource-id>

# Example VM
 New-AzInsightsPrivateLinkScopedResource -ResourceGroupName my-resource-group -ScopeName my-ampls -Name my-workspace -LinkedResourceId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-group/providers/microsoft.operationalinsights/workspaces/my-workspace

# Example AKS
 New-AzInsightsPrivateLinkScopedResource -ResourceGroupName my-resource-group -ScopeName my-ampls -Name my-workspace -LinkedResourceId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-group/providers/microsoft.operationalinsights/workspaces/my-workspace

Включение запроса для рабочей области Azure Monitor

Для поддержки запросов к рабочей области Azure Monitor по закрытой ссылке требуется дополнительная частная конечная точка. Это похоже на частную конечную точку, созданную для AMPLS, но эта частная конечная точка специально предназначена для рабочей области Azure Monitor для поддержки запросов через приватный канал. Дополнительные сведения об этой частной конечной точке и записях DNS, созданных для нее, см. в статье "Использование частных конечных точек для управляемой рабочей области Prometheus и Azure Monitor".

Выполните те же инструкции по подключению AMPLS к частной конечной точке, чтобы создать подключение к частной конечной точке , но используйте следующие параметры для подключения к ресурсу:

Недвижимость	Description
Подписка	Подписка, содержащая AMPLS.
Тип ресурса	Microsoft.Monitor/accounts
Resource	Имя ссылки
Целевой подресурс	prometheusMetrics

Прием данных из частного кластера AKS

Если вы решили использовать Брандмауэр Azure для ограничения исходящего трафика из кластера, можно реализовать одно из следующих действий:

Откройте путь к общедоступной точке приема данных. Обновите таблицу маршрутизации следующими двумя конечными точками:
- *.handler.control.monitor.azure.com
- *.ingest.monitor.azure.com
Включите Брандмауэр Azure, чтобы обеспечить доступ к области использования Azure Monitor Private Link и DCE, которые применяются для приема данных.

Подключение через приватную ссылку для удаленной записи

Выполните следующие шаги, чтобы настроить удаленную запись для метрик Prometheus в кластере Kubernetes через виртуальную сеть с использованием приватного подключения и AMPLS.

Настройте локальный кластер для подключения к виртуальной сети Azure с помощью VPN-шлюза или ExpressRoutes с частным пирингом.
Подключите AMPLS к частной конечной точке в виртуальной сети, используемой локальным кластером. Эта частная конечная точка используется для доступа к вашим DCE.
На странице обзора рабочей области Azure Monitor на портале Azure щелкните конечную точку сбора данных.
Выберите страницу сетевой изоляции для DCE.
Нажмите кнопку "Добавить " и выберите AMPLS. Подождите несколько минут, пока параметры будут распространяться, а данные из локального кластера AKS должны приниматься в рабочую область Azure Monitor по закрытой ссылке.

Подтверждение приема данных

Существует несколько методов для проверки приема данных из кластера через приватный канал. Одним из способов является проверка меню "Монитор " для одного из кластеров или виртуальных машин. Вы должны увидеть собранные метрики и события.

Дальнейшие шаги

Сведения о настройке приватного канала для запроса данных из рабочей области Azure Monitor с помощью Grafana см. в статье "Подключение к источнику данных в частном порядке ".
См. статью "Настройка приватного канала для выполнения запросов из рабочей области Azure Monitor с использованием рабочей книги" для получения деталей о том, как настроить приватный канал для выполнения запросов.

Обратная связь

Были ли сведения на этой странице полезными?

Last updated on 2026-02-21

Поделиться через

Включение приватного канала для мониторинга виртуальных машин и кластеров Kubernetes в Azure Monitor

Предпосылки

Общие сведения

Включение конфигурации агента

Связывание виртуальной машины или кластера с DCE

Добавить DCEs в AMPLS

Включение приема данных

Настройка рабочей области Azure Monitor

Настройка рабочей области Log Analytics

Включение запроса для рабочей области Azure Monitor

Прием данных из частного кластера AKS

Подключение через приватную ссылку для удаленной записи

Подтверждение приема данных

Дальнейшие шаги

Обратная связь

Дополнительные ресурсы