Bewaking voor AKS-clusters inschakelen

2025-09-16

Zoals beschreven in Kubernetes-bewaking in Azure Monitor, werken meerdere functies van Azure Monitor samen om volledige bewaking van uw AKS-clusters (Azure Kubernetes Service) te bieden. In dit artikel wordt beschreven hoe u de volgende functies voor AKS-clusters inschakelt:

Prometheus-metrieken
Beheerde Grafana
Logboekregistratie van containers
Logboeken van controlevlak

Vereisten

U hebt ten minste inzendertoegang tot het cluster nodig voor onboarding.
U hebt bewakingslezer of Inzender voor bewaking nodig om gegevens weer te geven nadat bewaking is ingeschakeld.

Werkruimten maken

In de volgende tabel worden de werkruimten beschreven die vereist zijn voor de ondersteuning van de Azure Monitor-functies die in dit artikel zijn ingeschakeld. Als u nog geen bestaande werkruimte van elk type hebt, kunt u deze maken als onderdeel van het onboardingproces. Zie Een Log Analytics-werkruimtearchitectuur ontwerpen voor hulp bij het aantal werkruimten dat moet worden gemaakt en waar ze moeten worden geplaatst.

Kenmerk	Werkplek	Opmerkingen
Beheerde dienst Prometheus	Azure Monitor-werkruimte	Als u tijdens de onboarding geen bestaande Azure Monitor-werkruimte opgeeft, wordt de standaardwerkruimte voor de resourcegroep gebruikt. Als er nog geen standaardwerkruimte in de regio van het cluster bestaat, wordt er een met een naam in de indeling `DefaultAzureMonitorWorkspace-<mapped_region>` gemaakt in een resourcegroep met de naam `DefaultRG-<cluster_region>`. `Contributor` toestemming is voldoende voor het inschakelen van de invoegtoepassing om gegevens te verzenden naar de Azure Monitor-werkruimte. U hebt toestemming op `Owner` niveau nodig om uw Azure Monitor-werkruimte te koppelen zodat u de metrics kunt bekijken in Azure Managed Grafana. Dit is vereist omdat de gebruiker die de onboardingstap uitvoert, de rol Azure Managed Grafana System Identity `Monitoring Reader` in de Azure Monitor-werkruimte moet kunnen geven om een query uit te voeren op de metrische gegevens.
Logboekregistratie van containers Logboeken van controlevlak	Log Analytics-werkruimte	U kunt een cluster koppelen aan een Log Analytics-werkruimte in een ander Azure-abonnement in dezelfde Microsoft Entra-tenant, maar u moet de Azure CLI of een Azure Resource Manager-sjabloon gebruiken. U kunt deze configuratie momenteel niet uitvoeren met Azure Portal. Als u een bestaand cluster verbindt met een Log Analytics-werkruimte in een ander abonnement, moet de Resourceprovider Microsoft.ContainerService zijn geregistreerd in het abonnement met de Log Analytics-werkruimte. Zie Resourceprovider registreren voor meer informatie. Als u geen bestaande Log Analytics-werkruimte opgeeft, wordt de standaardwerkruimte voor de resourcegroep gebruikt. Als er nog geen standaardwerkruimte bestaat in de regio van het cluster, wordt er een gemaakt met een naam in de indeling `DefaultWorkspace-<GUID>-<Region>`. Zie Regiotoewijzingen die worden ondersteund door Container Insights voor een lijst met ondersteunde toewijzingsparen die moeten worden gebruikt voor de standaardwerkruimte. Zie Azure Monitor configureren met netwerkbeveiligingsperimeter voor hulp bij het configureren van de werkruimte met netwerkbeveiligingsperimeter.
Beheerde Grafana	Azure Managed Grafana-werkruimte	Koppel uw Grafana-werkruimte aan uw Azure Monitor-werkruimte om de prometheus-metrische gegevens die zijn verzameld van uw cluster beschikbaar te maken voor Grafana-dashboards.

Metrische gegevens en containerregistratie van Prometheus inschakelen

Wanneer u Prometheus en containerlogboekregistratie inschakelt op een cluster, wordt er een containerversie van de Azure Monitor-agent in het cluster geïnstalleerd. U kunt deze functies tegelijkertijd configureren op een nieuw of bestaand cluster of elke functie afzonderlijk inschakelen.

Schakel Managed Grafana voor uw cluster in op hetzelfde moment dat u het scrapen van Prometheus-metrics inschakelt. Zie Een Grafana-werkruimte koppelen voor opties om uw Azure Monitor-werkruimte en Azure Managed Grafana-werkruimte te verbinden.

Vereisten

Het cluster moet gebruikmaken van verificatie van beheerde identiteiten.
De volgende resourceproviders moeten zijn geregistreerd in het abonnement van het cluster en de Azure Monitor-werkruimte:
- Microsoft.ContainerService - Service voor containers van Microsoft
- Microsoft.Insights
- Microsoft-waarschuwingenbeheer
- Microsoft.Monitor
De volgende resourceproviders moeten zijn geregistreerd in het abonnement van het Grafana-werkruimteabonnement:
- Microsoft Dashboard

Vereisten

Verificatie van beheerde identiteit is standaard in CLI versie 2.49.0 of hoger.
De aks-preview-extensie moet worden verwijderd uit AKS-clusters met behulp van de opdracht az extension remove --name aks-preview.

Prometheus-metrieken

Gebruik de -enable-azure-monitor-metrics optie met az aks create of az aks update, afhankelijk van of u een nieuw cluster maakt of een bestaand cluster bijwerkt, om de metrics add-on te installeren die Prometheus-metrics verzamelt. Hiermee wordt de configuratie gebruikt die wordt beschreven in de configuratie voor metrische standaardgegevens van Prometheus in Azure Monitor. Zie Scraping van Prometheus-metrieken aanpassen in de beheerde Azure Monitor-service voor Prometheus om deze configuratie te wijzigen.

Zie de volgende voorbeelden.

### Use default Azure Monitor workspace
az aks create/update --enable-azure-monitor-metrics --name <cluster-name> --resource-group <cluster-resource-group>

### Use existing Azure Monitor workspace
az aks create/update --enable-azure-monitor-metrics --name <cluster-name> --resource-group <cluster-resource-group> --azure-monitor-workspace-resource-id <workspace-name-resource-id>

### Use an existing Azure Monitor workspace and link with an existing Grafana workspace
az aks create/update --enable-azure-monitor-metrics --name <cluster-name> --resource-group <cluster-resource-group> --azure-monitor-workspace-resource-id <azure-monitor-workspace-name-resource-id> --grafana-resource-id  <grafana-workspace-name-resource-id>

### Use optional parameters
az aks create/update --enable-azure-monitor-metrics --name <cluster-name> --resource-group <cluster-resource-group> --ksm-metric-labels-allow-list "namespaces=[k8s-label-1,k8s-label-n]" --ksm-metric-annotations-allow-list "pods=[k8s-annotation-1,k8s-annotation-n]"

Voorbeeld

az aks create/update --enable-azure-monitor-metrics --name "my-cluster" --resource-group "my-resource-group" --azure-monitor-workspace-resource-id "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-group/providers/microsoft.monitor/accounts/my-workspace"

Optionele parameters

Elk van de bovenstaande opdrachten staat de volgende optionele parameters toe. De parameternaam is voor elke parameter anders, maar het gebruik ervan is hetzelfde.

Kenmerk	Naam en beschrijving
Aantekeningssleutels	`--ksm-metric-annotations-allow-list` Komma-gescheiden lijst van Kubernetes-aantekeningensleutels die in de metriek van de resource `kube_resource_annotations` worden gebruikt. Kube_pod_annotations is bijvoorbeeld de annotatiemetriek voor de pods-resource. Deze metrische waarde bevat standaard alleen naam- en naamruimtelabels. Als u meer aantekeningen wilt opnemen, geeft u een lijst met resourcenamen op in hun meervoudvorm en kubernetes-annotatiesleutels die u wilt toestaan. Er kan één `*` worden opgegeven voor elke resource om aantekeningen toe te staan, maar dit heeft ernstige prestatie-implicaties. Bijvoorbeeld: `pods=[kubernetes.io/team,...],namespaces=[kubernetes.io/team],...`.
Label sleutels	`--ksm-metric-labels-allow-list` Door komma's gescheiden lijst met aanvullende Kubernetes-labelsleutels die worden gebruikt in de metriek van kube_resource_labels van de resource. Kube_pod_labels is de labelmetriek voor bijvoorbeeld de pods-resource. Deze metrische waarde bevat standaard alleen naam- en naamruimtelabels. Als u meer labels wilt opnemen, geeft u een lijst op met resourcenamen in hun meervoudsvorm en Kubernetes-labelsleutels die u voor hen wilt toestaan. Een enkel `*` kan voor elke resource worden verstrekt om alle labels toe te staan, maar dit heeft ernstige prestatie-implicaties. Bijvoorbeeld: `pods=[app],namespaces=[k8s-label-1,k8s-label-n,...],...`.
Opnameregels	`--enable-windows-recording-rules` Hiermee kunt u de opnameregelgroepen inschakelen die vereist zijn voor de juiste werking van de Windows-dashboards.

Containerlogboeken

Gebruik de --addon monitoring optie met az aks create voor een nieuw cluster of az aks enable-addon om een bestaand cluster bij te werken om het verzamelen van containerlogboeken in te schakelen. Zie hieronder om de instellingen voor de logboekverzameling te wijzigen.

Zie de volgende voorbeelden.

### Use default Log Analytics workspace
az aks enable-addons --addon monitoring --name <cluster-name> --resource-group <cluster-resource-group-name>

### Use existing Log Analytics workspace
az aks enable-addons --addon monitoring --name <cluster-name> --resource-group <cluster-resource-group-name> --workspace-resource-id <workspace-resource-id>

### Use custom log configuration file
az aks enable-addons --addon monitoring --name <cluster-name> --resource-group <cluster-resource-group-name> --workspace-resource-id <workspace-resource-id> --data-collection-settings dataCollectionSettings.json

### Use legacy authentication
az aks enable-addons --addon monitoring --name <cluster-name> --resource-group <cluster-resource-group-name> --workspace-resource-id <workspace-resource-id> --enable-msi-auth-for-monitoring false

Voorbeeld

az aks enable-addons --addon monitoring --name "my-cluster" --resource-group "my-resource-group" --workspace-resource-id "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-group/providers/Microsoft.OperationalInsights/workspaces/my-workspace"

Logconfiguratiebestand

Als u instellingen voor logboekverzamelingen voor het cluster wilt aanpassen, kunt u de configuratie als een JSON-bestand opgeven met behulp van de volgende indeling. Als u geen configuratiebestand opgeeft, worden de standaardinstellingen in de onderstaande tabel gebruikt.

{
  "interval": "1m",
  "namespaceFilteringMode": "Include",
  "namespaces": ["kube-system"],
  "enableContainerLogV2": true, 
  "streams": ["Microsoft-Perf", "Microsoft-ContainerLogV2"]
}

Elk van de instellingen in de configuratie wordt beschreven in de volgende tabel.

Naam	Beschrijving
`interval`	Bepaalt hoe vaak de agent gegevens verzamelt. Geldige waarden zijn 1m - 30 m in intervallen van 1 min. Als de waarde buiten het toegestane bereik valt, wordt deze standaard ingesteld op 1 m. Standaard: 1m.
`namespaceFilteringMode`	Opnemen: verzamelt alleen gegevens van de waarden in het naamruimtenveld. Uitsluiten: verzamelt gegevens van alle naamruimten, met uitzondering van de waarden in het veld naamruimten . Uit: negeert selecties van naamruimten en verzamelt gegevens op alle naamruimten. Standaard: uit
`namespaces`	Matrix van door komma's gescheiden Kubernetes-naamruimten voor het verzamelen van inventaris- en prestatiegegevens op basis van de naamruimteFilteringMode. Naamruimten = ["kube-system", "default"] met een include-instelling* verzamelt bijvoorbeeld* alleen deze twee naamruimten. Met de instelling Uitsluiten verzamelt de agent gegevens van alle andere naamruimten, met uitzondering van kube-system en standaard. Met een instelling Uit verzamelt de agent gegevens van alle naamruimten, waaronder kube-system en standaard. Ongeldige en niet-herkende naamruimten worden genegeerd. Geen.
`enableContainerLogV2`	Booleaanse vlag om het ContainerLogV2-schema in te schakelen. Als deze optie is ingesteld op true, worden de stdout/stderr-logboeken opgenomen in de tabel ContainerLogV2 . Zo niet, dan worden de containerlogboeken opgenomen in de ContainerLog-tabel , tenzij anders opgegeven in de ConfigMap. Wanneer u de afzonderlijke streams opgeeft, moet u de bijbehorende tabel voor ContainerLog of ContainerLogV2 opnemen. Standaard: True
`streams`	Een matrix met tabelstromen. Zie Stream-waarden voor een lijst met geldige streams en de bijbehorende tabellen. Standaard: ContainerLogV2, KubeEvents, KubePodInventory

Vereisten

De Azure Monitor-werkruimte en het Azure Managed Grafana-exemplaar moeten al worden gemaakt.
De sjabloon moet worden geïmplementeerd in dezelfde resourcegroep als het Azure Managed Grafana-exemplaar.
Als het Azure Managed Grafana-exemplaar zich in een ander abonnement bevindt dan het Azure Monitor-werkruimteabonnement, registreert u het Azure Monitor-werkruimteabonnement bij de Microsoft.Dashboard resourceprovider met behulp van de richtlijnen bij Resourceprovider registreren.
Gebruikers met de User Access Administrator rol in het abonnement van het AKS-cluster kunnen de Monitoring Reader rol rechtstreeks inschakelen door de sjabloon te implementeren.

Notitie

Momenteel is het in Bicep niet mogelijk om de Monitoring Reader roltoewijzing expliciet te bepalen voor een stringparameter "resource ID" voor een Azure Monitor-werkruimte, zoals je dat zou doen in een ARM-sjabloon. Bicep verwacht een waarde van het type resource | tenant. Er is ook geen REST API-specificatie voor een Azure Monitor-werkruimte.

Daarom is het standaardbereik voor de Monitoring Reader rol in de resourcegroep. De rol wordt door overerving toegepast op dezelfde Azure Monitor-werkruimte, wat het verwachte gedrag is. Nadat u deze Bicep-sjabloon hebt geïmplementeerd, krijgt het Grafana-exemplaar Monitoring Reader machtigingen voor alle Azure Monitor-werkruimten in die resourcegroep.

Prometheus-metrieken

Vereiste waarden ophalen voor Grafana-resource

Als het Azure Managed Grafana-exemplaar al is gekoppeld aan een Azure Monitor-werkruimte, moet u deze lijst opnemen in de sjabloon of deze wordt overschreven. Selecteer op de pagina Overzicht voor het Azure Managed Grafana-exemplaar in Azure Portal de JSON-weergave en kopieer de waarde azureMonitorWorkspaceIntegrations die er ongeveer uitziet als in het onderstaande voorbeeld. Als deze niet bestaat, is het exemplaar niet gekoppeld aan een Azure Monitor-werkruimte.

"properties": {
    "grafanaIntegrations": {
        "azureMonitorWorkspaceIntegrations": [
            {
                "azureMonitorWorkspaceResourceId": "full_resource_id_1"
            },
            {
                "azureMonitorWorkspaceResourceId": "full_resource_id_2"
            }
        ]
    }
}

Sjabloon- en parameterbestand downloaden en bewerken

Download de vereiste bestanden.

Biceps
- Sjabloonbestand: https://aka.ms/azureprometheus-enable-bicep-template
- Parameterbestand: https://aka.ms/azureprometheus-enable-bicep-template-parameters
- DCRA-module: https://aka.ms/nested_azuremonitormetrics_dcra_clusterResourceId
- Profielmodule: https://aka.ms/nested_azuremonitormetrics_profile_clusterResourceId
- Azure Managed Grafana-roltoewijzingsmodule: https://aka.ms/nested_grafana_amw_role_assignment
JSON
- Sjabloonbestand: https://aka.ms/azureprometheus-enable-arm-template
- Parameterbestand: https://aka.ms/azureprometheus-enable-arm-template-parameters

Bewerk de volgende waarden in het parameterbestand. Dezelfde set waarden wordt gebruikt voor zowel de ARM- als bicep-sjablonen. Haal de resource-id van de resources op uit de JSON-weergave van hun overzichtspagina .

Kenmerk	Waarde
`azureMonitorWorkspaceResourceId`	Resource-id voor de Azure Monitor-werkruimte. Ophalen uit de JSON-weergave op de overzichtspagina voor de Azure Monitor-werkruimte.
`azureMonitorWorkspaceLocation`	Locatie van de Azure Monitor-werkruimte. Ophalen uit de JSON-weergave op de overzichtspagina voor de Azure Monitor-werkruimte.
`clusterResourceId`	Resource-id voor het AKS-cluster. Ophalen uit de JSON-weergave op de overzichtspagina voor het cluster.
`clusterLocation`	Locatie van het AKS-cluster. Ophalen uit de JSON-weergave op de overzichtspagina voor het cluster.
`metricLabelsAllowlist`	Door komma's gescheiden lijst van Kubernetes-labelsleutels die worden gebruikt in de labelsmetriek van de resource.
`metricAnnotationsAllowList`	Door komma's gescheiden lijst met meer Kubernetes-labelsleutels die moeten worden gebruikt in de metrische aantekeningen van de resource.
`grafanaResourceId`	Resource-id voor het beheerde Grafana-exemplaar. Ophalen uit de JSON-weergave op de overzichtspagina voor het Grafana-exemplaar.
`grafanaLocation`	Locatie voor het beheerde Grafana-exemplaar. Ophalen uit de JSON-weergave op de overzichtspagina voor het Grafana-exemplaar.
`grafanaSku`	SKU voor het beheerde Grafana-exemplaar. Ophalen uit de JSON-weergave op de overzichtspagina voor het Grafana-exemplaar. Gebruik de sku.name.

Open het sjabloonbestand en werk de grafanaIntegrations eigenschap aan het einde van het bestand bij met de waarden die u hebt opgehaald uit het Grafana-exemplaar. Dit zal er ongeveer als volgt uitzien. In deze voorbeelden full_resource_id_1 en full_resource_id_2 zich al in de JSON van de Azure Managed Grafana-resource bevonden. De laatste azureMonitorWorkspaceResourceId vermelding bevindt zich al in de sjabloon en wordt gebruikt om een koppeling te maken naar de resource-id van de Azure Monitor-werkruimte die is opgegeven in het parameterbestand.

Biceps

    resource grafanaResourceId_8 'Microsoft.Dashboard/grafana@2022-08-01' = {
        name: split(grafanaResourceId, '/')[8]
        sku: {
            name: grafanaSku
        }
        identity: {
            type: 'SystemAssigned'
        }
        location: grafanaLocation
        properties: {
            grafanaIntegrations: {
                azureMonitorWorkspaceIntegrations: [
                    {
                        azureMonitorWorkspaceResourceId: 'full_resource_id_1'
                    }
                    {
                        azureMonitorWorkspaceResourceId: 'full_resource_id_2'
                    }
                    {
                        azureMonitorWorkspaceResourceId: azureMonitorWorkspaceResourceId
                    }
                ]
            }
        }
    }

JSON

{
    "type": "Microsoft.Dashboard/grafana",
    "apiVersion": "2022-08-01",
    "name": "[split(parameters('grafanaResourceId'),'/')[8]]",
    "sku": {
        "name": "[parameters('grafanaSku')]"
    },
    "location": "[parameters('grafanaLocation')]",
    "properties": {
        "grafanaIntegrations": {
        "azureMonitorWorkspaceIntegrations": [
            {
                "azureMonitorWorkspaceResourceId": "full_resource_id_1"
            },
            {
                "azureMonitorWorkspaceResourceId": "full_resource_id_2"
            },
            {
                "azureMonitorWorkspaceResourceId": "[parameters('azureMonitorWorkspaceResourceId')]"
            }
        ]
        }
    }
}

Implementeer de sjabloon met het parameterbestand met behulp van een geldige methode voor het implementeren van Resource Manager-sjablonen. Zie De voorbeeldsjablonen implementeren voor voorbeelden van verschillende methoden.

Containerlogboeken

Vereisten

De sjabloon moet worden geïmplementeerd in dezelfde resourcegroep als het cluster.

Sjabloon downloaden en installeren

Sjabloon- en parameterbestand downloaden en bewerken.

Biceps
- Sjabloonbestand (Syslog): https://aka.ms/enable-monitoring-msi-syslog-bicep-template
- Parameterbestand (Syslog): https://aka.ms/enable-monitoring-msi-syslog-bicep-parameters
- Sjabloonbestand (geen Syslog): https://aka.ms/enable-monitoring-msi-bicep-template
- Parameterbestand (geen Syslog): https://aka.ms/enable-monitoring-msi-bicep-parameters
ARM
- Sjabloonbestand: https://aka.ms/aks-enable-monitoring-msi-onboarding-template-file
- Parameterbestand: https://aka.ms/aks-enable-monitoring-msi-onboarding-template-parameter-file

Kenmerk	Beschrijving
`aksResourceId`	Resource ID van het cluster.
`aksResourceLocation`	De locatie van het cluster.
`workspaceResourceId`	Resource-id van de Log Analytics-werkruimte.
`resourceTagValues`	Tagwaarden die zijn opgegeven voor de bestaande DcR (Container Insights Extension Data Collection Rule) van het cluster en de naam van de DCR. De naam is `MSCI-<clusterName>-<clusterRegion>` en deze resource die wordt aangemaakt in een AKS-clusterresourcegroep. Voor de eerste keer dat onboarding wordt uitgevoerd, kunt u willekeurige tagwaarden instellen.
`enableRetinaNetworkFlowLogs`	Vlag om aan te geven of de Retina Network Flow Logs moeten worden ingeschakeld.
`enableContainerLogV2`	Booleaanse vlag om het ContainerLogV2-schema in te schakelen. Als deze optie is ingesteld op true, worden de stdout-/stderr-logboeken verzonden naar de ContainerLogV2-tabel . Zo niet, dan worden de containerlogboeken verzonden naar de ContainerLog-tabel , tenzij anders opgegeven in de ConfigMap. Wanneer u de afzonderlijke streams opgeeft, moet u de bijbehorende tabel voor ContainerLog of ContainerLogV2 opnemen.
`enableSyslog`	Hiermee geeft u op of syslog-verzameling moet worden ingeschakeld.
`syslogLevels`	Als syslog-verzameling is ingeschakeld, geeft u de logboekniveaus op die moeten worden verzameld.
`dataCollectionInterval`	Bepaalt hoe vaak de agent gegevens verzamelt. Geldige waarden zijn 1m - 30m in intervallen van 1 min. De standaardwaarde is 1 min. Als de waarde buiten het toegestane bereik valt, wordt deze standaard ingesteld op 1 m.
`namespaceFilteringModeForDataCollection`	Opnemen: verzamelt alleen gegevens van de waarden in het naamruimtenveld. Uitsluiten: verzamelt gegevens van alle naamruimten, met uitzondering van de waarden in het veld naamruimten . Uit: negeert selecties van naamruimten en verzamelt gegevens op alle naamruimten.
`namespacesForDataCollection`	Matrix van door komma's gescheiden Kubernetes-naamruimten voor het verzamelen van inventaris- en prestatiegegevens op basis van de naamruimteFilteringMode. Naamruimten = ["kube-system", "default"] met een include-instelling* verzamelt bijvoorbeeld* alleen deze twee naamruimten. Met de instelling Uitsluiten verzamelt de agent gegevens van alle andere naamruimten, met uitzondering van kube-system en standaard. Met een instelling Uit verzamelt de agent gegevens van alle naamruimten, waaronder kube-system en standaard. Ongeldige en niet-herkende naamruimten worden genegeerd.
`streams`	Een matrix met tabelstromen. Zie Stream-waarden voor een lijst met geldige streams en de bijbehorende tabellen.
`useAzureMonitorPrivateLinkScope`	Hiermee geeft u op of private link moet worden gebruikt voor de clusterverbinding met Azure Monitor.
`azureMonitorPrivateLinkScopeResourceId`	Als er een private link wordt gebruikt, is de resource-id van het privékoppelingsbereik vereist.

Implementeer de sjabloon met het parameterbestand met behulp van een geldige methode voor het implementeren van Resource Manager-sjablonen. Zie De voorbeeldsjablonen implementeren voor voorbeelden van verschillende methoden.

Vereisten

De Azure Monitor-werkruimte en de Azure Managed Grafana-werkruimte moeten al worden gemaakt.
De sjabloon moet worden geïmplementeerd in dezelfde resourcegroep als de Azure Managed Grafana-werkruimte.
Gebruikers met de rol Gebruikerstoegangsbeheerder in het abonnement van het AKS-cluster kunnen de rol Controlelezer rechtstreeks inschakelen door de sjabloon te implementeren.
Als het Azure Managed Grafana-exemplaar zich in een ander abonnement bevindt dan het Azure Monitor Workspace-abonnement, registreert u het Azure Monitor Workspace-abonnement bij de Microsoft.Dashboard resourceprovider door deze documentatie te volgen.

Vereiste waarden ophalen voor Grafana-resource

"properties": {
    "grafanaIntegrations": {
        "azureMonitorWorkspaceIntegrations": [
            {
                "azureMonitorWorkspaceResourceId": "full_resource_id_1"
            },
            {
                "azureMonitorWorkspaceResourceId": "full_resource_id_2"
            }
        ]
    }
}

Werk het azure_monitor_workspace_integrations blok in main.tf bij met de lijst van Grafana-integraties.

  azure_monitor_workspace_integrations {
    resource_id  = var.monitor_workspace_id[var.monitor_workspace_id1, var.monitor_workspace_id2]
  }

Sjablonen downloaden en bewerken

Nieuw AKS-cluster

Download alle bestanden onder AddonTerraformTemplate.
Bewerk de variabelen in variables.tf bestand met de juiste parameterwaarden.
Voer deze opdracht uit terraform init -upgrade om de Terraform-implementatie te initialiseren.
Voer deze opdracht uit terraform plan -out main.tfplan om de Terraform-implementatie te initialiseren.
Voer terraform apply main.tfplan uit om het uitvoeringsplan toe te passen op uw cloudinfrastructuur.

Opmerking: geef de variabelen voor annotations_allowed en labels_allowed sleutels alleen door in main.tf wanneer deze waarden bestaan. Dit zijn optionele blokken.

Notitie

Bewerk het main.tf bestand op de juiste manier voordat u de terraform-sjabloon uitvoert. Voeg bestaande azure_monitor_workspace_integrations waarden toe aan de grafana-resource voordat u de sjabloon uitvoert. Anders worden oudere waarden verwijderd en vervangen door wat er in de sjabloon staat tijdens de implementatie. Gebruikers met de rol 'Beheerder voor gebruikerstoegang' in het abonnement van het AKS-cluster kunnen de rol Controlelezer rechtstreeks inschakelen door de sjabloon te implementeren. Bewerk de parameter grafanaSku als je een niet-standaard-SKU gebruikt en voer vervolgens deze sjabloon uit in de resourcegroep van de Grafana-resource.

Containerlogboeken

Nieuw AKS-cluster

Download het Terraform-sjabloonbestand, afhankelijk van of u syslog-verzameling wilt inschakelen.
- Syslog: https://aka.ms/enable-monitoring-msi-syslog-terraform
- Geen Syslog: https://aka.ms/enable-monitoring-msi-terraform
Pas de azurerm_kubernetes_cluster resource in main.tf aan op basis van uw clusterinstellingen.

Parameters in variables.tf bijwerken om waarden in '<>' te vervangen

Kenmerk	Beschrijving
`aks_resource_group_name`	Gebruik de waarden op de AKS-overzichtspagina voor de resourcegroep.
`resource_group_location`	Gebruik de waarden op de AKS-overzichtspagina voor de resourcegroep.
`cluster_name`	Definieer de clusternaam die u wilt maken.
`workspace_resource_id`	Gebruik de resource-id van uw Log Analytics-werkruimte.
`workspace_region`	Gebruik de locatie van uw Log Analytics-werkruimte.
`resource_tag_values`	Komt overeen met de bestaande tagwaarden die zijn opgegeven voor de bestaande DCR (Container Insights Extension Data Collection Rule) van het cluster en de naam van de DCR. De naam zal overeenkomen met `MSCI-<clusterName>-<clusterRegion>` en deze resource wordt gemaakt in dezelfde resourcegroep als de AKS-clusters. Voor de eerste keer dat onboarding wordt uitgevoerd, kunt u de willekeurige tagwaarden instellen.
`enabledContainerLogV2`	Stel deze parameterwaarde in op true om de standaard aanbevolen ContainerLogV2 te gebruiken.
Parameters voor kostenoptimalisatie	Raadpleeg parameters voor gegevensverzameling
`streams`	Streams voor het verzamelen van gegevens. Zie Stream-waarden.
`use_azure_monitor_private_link_scope`	Vlag om aan te geven of azure Monitor Private Link-bereik moet worden geconfigureerd.
`azure_monitor_private_link_scope_resource_id`	Azure-resource-id van het Azure Monitor Private Link-bereik.

Voer deze opdracht uit terraform init -upgrade om de Terraform-implementatie te initialiseren.
Voer deze opdracht uit terraform plan -out main.tfplan om de Terraform-implementatie te initialiseren.
Voer terraform apply main.tfplan uit om het uitvoeringsplan toe te passen op uw cloudinfrastructuur.

Bestaand AKS-cluster

Importeer eerst de bestaande clusterresource met de opdracht: terraform import azurerm_kubernetes_cluster.k8s <aksResourceId>

Voeg het oms_agent-invoegtoepassingsprofiel toe aan de bestaande azurerm_kubernetes_cluster-resource.

oms_agent {
    log_analytics_workspace_id = var.workspace_resource_id
    msi_auth_for_monitoring_enabled = true
  }

De DCR- en DCRA-resources kopiëren uit de Terraform-sjablonen
Voer de opdracht uit terraform plan -out main.tfplan en zorg ervoor dat de wijziging de eigenschap oms_agent toevoegt. Opmerking: als de azurerm_kubernetes_cluster gedefinieerde resource verschilt tijdens het uitvoeren van een terraform plan, wordt het bestaande cluster vernietigd en opnieuw gemaakt.
Voer terraform apply main.tfplan uit om het uitvoeringsplan toe te passen op uw cloudinfrastructuur.

Aanbeveling

Bewerk het main.tf bestand op juiste wijze voordat u de Terraform-sjabloon uitvoert
Gegevens worden na 10 minuten gestroomd, omdat het cluster eerst gereed moet zijn
WorkspaceID moet overeenkomen met de indeling /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/example-resource-group/providers/Microsoft.OperationalInsights/workspaces/workspaceValue
Als de resourcegroep al bestaat, voer terraform import azurerm_resource_group.rg /subscriptions/<Subscription_ID>/resourceGroups/<Resource_Group_Name> uit vóór terraform plan

U kunt metrische gegevens en containerlogboeken van Prometheus inschakelen wanneer u een nieuw AKS-cluster maakt of op een bestaand cluster in Azure Portal. In beide gevallen is de configuratie-ervaring hetzelfde.

Nieuw AKS-cluster

Wanneer u een nieuw AKS-cluster maakt in Azure Portal, configureert u bewaking op het tabblad Bewaking .

Bestaand cluster

Navigeer naar uw cluster in Azure Portal. Selecteer Monitor en vervolgens Monitorinstellingen in het servicemenu.

Configuratieopties

Configuratieopties zijn hetzelfde voor zowel nieuwe als bestaande clusters. Het enige verschil is dat u mogelijk Geavanceerde instellingen moet selecteren om alle opties voor een bestaand cluster weer te geven.

Metrische gegevens van Prometheus, Grafana en Container Logs en gebeurtenissen worden voor u geselecteerd. Als u een bestaande Azure Monitor-werkruimte, Grafana-werkruimte en Log Analytics-werkruimte hebt, worden deze voor u geselecteerd.
Selecteer Geavanceerde instellingen als u alternatieve werkruimten wilt selecteren of nieuwe werkruimten wilt maken. Met de instelling Logboekregistratieprofielen en klassieke profielen kunt u de standaardverzamelingsgegevens wijzigen om de bewakingskosten te verlagen. Zie Instellingen voor kostenoptimalisatie inschakelen in Container Insights voor meer informatie.
Selecteer Configureren.

Voor containerlogboeken moet u een logboekregistratieprofiel selecteren, waarmee wordt gedefinieerd welke logboeken worden verzameld en met welke frequentie. De beschikbare profielen worden weergegeven in de volgende tabel.

Vooraf ingestelde kosten	Verzamelingsfrequentie	Naamruimtefilters	Syslog-verzameling	Verzamelde gegevens
Logboeken en gebeurtenissen (standaard)	1 m	Geen	Niet ingeschakeld	ContainerLogV2 KubeEvents KubePodInventory
Syslog	1 m	Geen	Standaard ingeschakeld	Alle standaardtabellen voor containerinzichten
Standaard	1 m	Geen	Niet ingeschakeld	Alle standaardtabellen voor containerinzichten
Geoptimaliseerd voor kosten	5 m	Sluit kube-system, gatekeeper-system, azure-arc uit	Niet ingeschakeld	Alle standaardtabellen voor containerinzichten

Als u de instellingen wilt aanpassen, klikt u op Verzamelingsinstellingen bewerken. Elk van deze instellingen wordt beschreven in de volgende tabel.

Naam	Beschrijving
Verzamelingsfrequentie	Bepaalt hoe vaak de agent gegevens verzamelt. Geldige waarden zijn 1m - 30m in intervallen van 1 min. De standaardwaarde is 1 min. Deze optie kan niet worden geconfigureerd via de ConfigMap.
Naamruimtefiltering	Uitgeschakeld: verzamelt gegevens van alle naamruimten. Opnemen: verzamelt alleen gegevens van de waarden in het naamruimtenveld. Uitsluiten: verzamelt gegevens van alle naamruimten, met uitzondering van de waarden in het veld naamruimten . Matrix van door komma's gescheiden Kubernetes-naamruimten voor het verzamelen van inventaris- en prestatiegegevens op basis van de naamruimteFilteringMode. Naamruimten = ["kube-system", "default"] met een include-instelling* verzamelt bijvoorbeeld* alleen deze twee naamruimten. Met de instelling Uitsluiten verzamelt de agent gegevens van alle andere naamruimten, met uitzondering van kube-system en standaard.
Verzamelde gegevens	Definieert welke Container Insights-tabellen moeten worden verzameld. Zie hieronder voor een beschrijving van elke groepering.
ContainerLogV2 inschakelen	Booleaanse vlag om het ContainerLogV2-schema in te schakelen. Als deze optie is ingesteld op true, worden de stdout/stderr-logboeken opgenomen in de tabel ContainerLogV2 . Zo niet, dan worden de containerlogboeken opgenomen in de ContainerLog-tabel , tenzij anders opgegeven in de ConfigMap. Wanneer u de afzonderlijke streams opgeeft, moet u de bijbehorende tabel voor ContainerLog of ContainerLogV2 opnemen.
Syslog-verzameling inschakelen	Hiermee schakelt u de Syslog-verzameling uit het cluster in.

Met de optie Verzamelde gegevens kunt u de tabellen selecteren die voor het cluster zijn ingevuld. De tabellen worden gegroepeerd op de meest voorkomende scenario's.

Groepering	Tables	Opmerkingen
Alles (standaard)	Alle standaardtabellen voor containerinzichten	Vereist voor het inschakelen van de standaardvisualisaties van Container Insights
Performance	Prestatie, InsightsMetrics
Logboeken en gebeurtenissen	ContainerLog of ContainerLogV2, KubeEvents, KubePodInventory	Aanbevolen als u beheerde prometheus-metrische gegevens hebt ingeschakeld
Workloads, implementaties en HPA's	InsightsMetrics, KubePodInventory, KubeEvents, ContainerInventory, ContainerNodeInventory, KubeNodeInventory, KubeServices
Permanente volumes	InsightsMetrics, KubePVInventory

Prometheus-metrieken

Download de sjabloon en de parameterbestanden voor Azure Policy.
- Sjabloonbestand: https://aka.ms/AddonPolicyMetricsProfile
- Parameterbestand: https://aka.ms/AddonPolicyMetricsProfile.parameters
Maak de beleidsdefinitie met behulp van de volgende CLI-opdracht:

az policy definition create --name "Prometheus Metrics addon" --display-name "Prometheus Metrics addon" --mode Indexed --metadata version=1.0.0 category=Kubernetes --rules AddonPolicyMetricsProfile.rules.json --params AddonPolicyMetricsProfile.parameters.json
Nadat u de beleidsdefinitie hebt gemaakt, selecteert u in Azure Portal Beleid en vervolgens Definities. Selecteer de beleidsdefinitie die u hebt gemaakt.
Selecteer Toewijzen en vul de details op het tabblad Parameters in. Selecteer Beoordelen en maken.
Als u het beleid wilt toepassen op een bestaand cluster, maakt u een hersteltaak voor die clusterresource op basis van beleidstoewijzing.

Nadat het beleid is toegewezen aan het abonnement, wordt het beleid uitgevoerd en geïmplementeerd om Prometheus-bewaking in te schakelen wanneer u een nieuw cluster maakt zonder Dat Prometheus is ingeschakeld.

Azure Portal

Maak op het tabblad Definities van het menu Beleid in Azure Portal een beleidsdefinitie met de volgende details.
- Definitielocatie: Azure-abonnement waarin de beleidsdefinitie moet worden opgeslagen.
- Naam: AKS-Monitoring-Addon
- Beschrijving: aangepast Azure-beleid om de bewakingsinvoegtoepassing in te schakelen op Azure Kubernetes-clusters.
- Categorie: Selecteer Bestaande gebruiken en vervolgens Kubernetes in de vervolgkeuzelijst.
- Beleidsregel: Vervang de bestaande voorbeeld-JSON door de inhoud van https://aka.ms/aks-enable-monitoring-custom-policy.
Selecteer de nieuwe beleidsdefinitie AKS-bewakingsinvoegtoepassing.
Selecteer Toewijzen en geef een bereik op waar het beleid moet worden toegewezen.
Selecteer Volgende en geef de resource-id van de Log Analytics-werkruimte op.
Maak een hersteltaak als u het beleid wilt toepassen op bestaande AKS-clusters in het geselecteerde bereik.
Selecteer Beoordelen en maken om de beleidstoewijzing te maken.

Azure-CLI

Download de sjabloon en de parameterbestanden voor Azure Policy.
- Sjabloonbestand: https://aka.ms/enable-monitoring-msi-azure-policy-template
- Parameterbestand: https://aka.ms/enable-monitoring-msi-azure-policy-parameters

Maak de beleidsdefinitie met behulp van de volgende CLI-opdracht:

az policy definition create --name "AKS-Monitoring-Addon-MSI" --display-name "AKS-Monitoring-Addon-MSI" --mode Indexed --metadata version=1.0.0 category=Kubernetes --rules azure-policy.rules.json --params azure-policy.parameters.json

Maak de beleidsdefinitie met behulp van de volgende CLI-opdracht:

az policy assignment create --name aks-monitoring-addon --policy "AKS-Monitoring-Addon-MSI" --assign-identity --identity-scope /subscriptions/<subscriptionId> --role Contributor --scope /subscriptions/<subscriptionId> --location <location> -p "{ \"workspaceResourceId\": { \"value\": \"/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.operationalinsights/workspaces/<workspaceName>\" }, \"resourceTagValues\": { \"value\": {} }, \"workspaceRegion\": { \"value\": \"<location>\" }}"

Nadat het beleid is toegewezen aan het abonnement, wordt het beleid uitgevoerd en geïmplementeerd wanneer u een nieuw cluster maakt zonder containerinzichten ingeschakeld. Dit beleid wordt geïmplementeerd om Container Insights-bewaking in te schakelen.

Streamwaarden

Wanneer u de tabellen opgeeft die moeten worden verzameld met behulp van CLI of ARM, geeft u een stroomnaam op die overeenkomt met een bepaalde tabel in de Log Analytics-werkruimte. De volgende tabel bevat de streamnaam voor elke tabel.

Notitie

Als u bekend bent met de structuur van een regel voor gegevensverzameling, worden de stroomnamen in deze tabel opgegeven in de sectie Gegevensstromen van de DCR.

Stream	Tabel container inzichten
Microsoft-ContainerInventory	ContainerInventory
Microsoft-ContainerLog	ContainerLog
Microsoft-ContainerLogV2	ContainerLogV2
Microsoft-ContainerLogV2-HighScale	ContainerLogV2 (modus voor hoge schaalbaarheid)¹
Microsoft-ContainerNodeInventory	Containerknoopinventaris
Microsoft-InsightsMetrics	InsightsMetrics
Microsoft-KubeEvents	KubeEvents
Microsoft-KubeMonAgentEvents	KubeMonAgentEvents
Microsoft-KubeNodeInventory	KubeNodeInventory
Microsoft-KubePodInventory	KubePodInventory
Microsoft-KubePVInventory	KubePVInventory
Microsoft-KubeServices	KubeServices
Microsoft-Perf	Perf
Microsoft-RetinaNetworkFlowLogs	RetinaNetworkFlowLogs

¹ Gebruik niet zowel Microsoft-ContainerLogV2 als Microsoft-ContainerLogV2-HighScale samen. Dit resulteert in dubbele gegevens.

Toepasselijke tabellen en metrische gegevens

De instellingen voor verzamelingsfrequentie en naamruimtefiltering zijn niet van toepassing op alle logboekgegevens. De volgende tabellen bevatten de tabellen in de Log Analytics-werkruimte, samen met de instellingen die op elk van toepassing zijn.

Tabelnaam	Interval?	Naamruimten?	Opmerkingen
ContainerInventory	Yes	Yes
Containerknoopinventaris	Yes	Nee.	De instelling voor het verzamelen van gegevens voor naamruimten is niet van toepassing omdat Kubernetes Node geen resource met naamruimtebereik is
KubeNodeInventory	Yes	Nee.	De instelling voor gegevensverzameling voor naamruimten is niet van toepassing, omdat een Kubernetes-node geen resource met een naamruimtebereik is.
KubePodInventory	Yes	Yes
KubePVInventory	Yes	Yes
KubeServices	Yes	Yes
KubeEvents	Nee.	Yes	Instellingen voor gegevensverzameling met betrekking tot interval zijn niet van toepassing op Kubernetes-events.
Perf	Yes	Yes	De instelling voor het verzamelen van gegevens voor naamruimten is niet van toepassing op de gerelateerde metrische gegevens van Kubernetes Node, omdat het Kubernetes-knooppunt geen object met een naamruimtebereik is.
InsightsMetrics	Yes	Yes	Instellingen voor gegevensverzameling zijn alleen van toepassing op de metrische gegevens die de volgende naamruimten verzamelen: container.azm.ms/kubestate, container.azm.ms/pv en container.azm.ms/gpu

Notitie

Het filteren van naamruimten is niet van toepassing op records van de ama-logs agent. Zelfs als de kube-system-naamruimte wordt vermeld onder uitgesloten naamruimten, worden records die zijn gekoppeld aan de agentcontainer ama-logs nog steeds opgenomen.

Metrische naamruimte	Interval?	Naamruimten?	Opmerkingen
Inzichten.container/knopen	Yes	Nee.	Node is geen resource binnen een naamruimte.
Inzichten.container/pods	Yes	Yes
Inzichten.container/containers	Yes	Yes
Insights.container/persistentvolumes	Yes	Yes

Speciale scenario's

Raadpleeg de onderstaande verwijzingen voor configuratievereisten voor bepaalde scenario's.

Als u private link gebruikt, raadpleegt u Private Link inschakelen voor Kubernetes-bewaking in Azure Monitor.
Zie Azure Monitor configureren met netwerkbeveiligingsperimeter om uw Log Analytics-werkruimte te configureren om containerlogboekregistratie met netwerkbeveiligingsperimeter in te schakelen.
Als u de modus voor hoge schaal wilt inschakelen, volgt u het onboardingproces in de modus voor hoge schaal inschakelen voor Monitoring-add-on. U moet ook de ConfigMap bijwerken zoals beschreven in Update ConfigMap, en de DCR-stroom moet worden gewijzigd van Microsoft-ContainerLogV2 naar Microsoft-ContainerLogV2-HighScale.

Logboeken van besturingsvlak inschakelen

Logboeken van besturingsvlak worden geïmplementeerd als resourcelogboeken in Azure Monitor. Als u deze logboeken wilt verzamelen, maakt u een diagnostische instelling voor het cluster. Verzend ze naar dezelfde Log Analytics-werkruimte als uw containerlogboeken.

Gebruik de opdracht az monitor diagnostic-settings create om een diagnostische instelling te maken met de Azure CLI. Raadpleeg de documentatie voor deze opdracht voor beschrijvingen van de parameters.

In het volgende voorbeeld wordt een diagnostische instelling gemaakt waarmee alle Kubernetes-categorieën worden verzonden naar een Log Analytics-werkruimte. Dit omvat de resourcespecifieke modus voor het verzenden van de logboeken naar specifieke tabellen die worden vermeld in ondersteunde resourcelogboeken voor Microsoft.ContainerService/fleets.

az monitor diagnostic-settings create \
--name 'Collect control plane logs' \
--resource  /subscriptions/<subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.ContainerService/managedClusters/<cluster-name> \
--workspace /subscriptions/<subscription ID>/resourcegroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<log analytics workspace name> \
--logs '[{"category": "karpenter-events","enabled": true},{"category": "kube-audit","enabled": true},
{"category": "kube-apiserver","enabled": true},{"category": "kube-audit-admin","enabled": true},{"category": "kube-controller-manager","enabled": true},{"category": "kube-scheduler","enabled": true},{"category": "cluster-autoscaler","enabled": true},{"category": "cloud-controller-manager","enabled": true},{"category": "guard","enabled": true},{"category": "csi-azuredisk-controller","enabled": true},{"category": "csi-azurefile-controller","enabled": true},{"category": "csi-snapshot-controller","enabled": true},{"category": "fleet-member-agent","enabled": true},{"category": "fleet-member-net-controller-manager","enabled": true},{"category": "fleet-mcs-controller-manager","enabled": true}]'
--metrics '[{"category": "AllMetrics","enabled": true}]' \
--export-to-resource-specific true

Hieronder volgen voorbeeldsjabloon- en parameterbestanden voor het maken van een diagnostische instelling voor logboeken van het besturingsvlak. Wijzig de sjablonen om verschillende categorieën te verzamelen of om de logboeken naar een andere bestemming te verzenden.

Biceps

param clusterName string
param workspaceId string
param settingName string

resource cluster 'Microsoft.ContainerService/managedClusters@2021-05-01-preview' existing = {
  name: clusterName
}

resource setting 'Microsoft.Insights/diagnosticSettings@2021-05-01-preview' = {
  name: settingName
  scope: cluster
  properties: {
    workspaceId: workspaceId
    logs: [
      {
        category: 'kube-apiserver'
        enabled: true
      }
      {
        category: 'kube-audit'
        enabled: true
      }
      {
        category: 'kube-audit-admin'
        enabled: true
      }
      {
        category: 'kube-controller-manager'
        enabled: true
      }
      {
        category: 'kube-scheduler'
              }
      {
        category: 'cluster-autoscaler'
        enabled: true
      }
      {
        category: 'guard'
        enabled: true
      }
    ]
  }
}

JSON

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "clusterName": {
            "type": "String"
        },
        "workspaceId": {
            "type": "String"
        },
        "settingName": {
            "type": "String"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Insights/diagnosticSettings",
            "apiVersion": "2021-05-01-preview",
            "scope": "[format('Microsoft.ContainerService/managedClusters/{0}', parameters('clusterName'))]",
            "name": "[parameters('settingName')]",
            "properties": {
                "workspaceId": "[parameters('workspaceId')]",
                "logs": [
                    {
                        "category": "kube-apiserver",
                        "enabled": true
                    },
                    {
                        "category": "kube-audit",
                        "enabled": true
                    },
                    {
                        "category": "kube-audit-admin",
                        "enabled": true
                    },
                    {
                        "category": "kube-controller-manager",
                        "enabled": true
                    },
                    {
                        "category": "kube-scheduler",
                        "enabled": false
                    },
                    {
                        "category": "cluster-autoscaler",
                        "enabled": true
                    },
                    {
                        "category": "guard",
                        "enabled": true
                    }
                ]
            }
        }
    ]
}

Parameterbestand

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "settingName": {
        "value": "<cluster-name>"
    },
    "workspaceId": {
      "value": "/subscriptions/<subscription id>/resourcegroups/<resourcegroup name>/providers/microsoft.operationalinsights/workspaces/<workspace name>"
    },
    "scope": {
      "value": "Microsoft.<resource type>/<resourceName>"
    }
  }
}

Gebruik de volgende sjabloon om een diagnostische instelling te maken voor logboeken van besturingsvlakken. Wijzig de sjabloon om verschillende categorieën te verzamelen of om de logboeken naar een andere bestemming te verzenden.

  features {}
}

variable "setting_name" {
  type        = string
  description = "Name for the diagnostic setting."
}

variable "workspace_id" {
  type        = string
  description = "Resource ID of the Log Analytics workspace."
}

variable "cluster_id" {
  type        = string
  description = "Resource ID of the AKS cluster to attach diagnostics to."
}

resource "azurerm_monitor_diagnostic_setting" "aks" {
  name                       = var.setting_name
  target_resource_id         = var.cluster_id
  log_analytics_workspace_id = var.workspace_id

  log {
    category = "kube-apiserver"
    enabled  = true
  }

  log {
    category = "kube-audit"
    enabled  = true
  }

  log {
    category = "kube-audit-admin"
    enabled  = true
  }

  log {
    category = "kube-controller-manager"
    enabled  = true
  }

  log {
    category = "kube-scheduler"
    enabled  = false
  }

  log {
    category = "cluster-autoscaler"
    enabled  = true
  }

  log {
    category = "guard"
    enabled  = true
  }
}

Windows-metrics inschakelen (Preview)

Het verzamelen van Windows-metrieken is ingeschakeld voor AKS-clusters sinds versie 6.4.0-main-02-22-2023-3ee44b9e van de Managed Prometheus addon-container. De onboarding voor de Azure Monitor Metriek-invoegtoepassing stelt de Windows DaemonSet-pods in staat om op uw node-pools te draaien. Zowel Windows Server 2019 als Windows Server 2022 worden ondersteund. Volg deze stappen om de pods in te schakelen voor het verzamelen van metrische gegevens uit uw Windows-knooppuntgroepen.

Notitie

Er is geen CPU-/geheugenlimiet in windows-exporter-daemonset.yaml, dus het kan zijn dat de Windows-knooppunten overtoegewezen worden. Zie voor meer informatie Resourcereservering

Tijdens het implementeren van workloads stelt u resourcegeheugen- en CPU-limieten in voor containers. Dit trekt ook af van NodeAllocatable en helpt de planner voor het hele cluster om te bepalen welke pods op welke knooppunten moeten worden geplaatst. Het plannen van pods zonder limieten kan de Windows-knooppunten overvoorzien en in extreme gevallen kan het de knooppunten ongezond maken.

Windows-exporteur installeren

Installeer Windows-exporteur handmatig op AKS-knooppunten om toegang te krijgen tot metrische Windows-gegevens door het YAML-bestand windows-exporter-daemonset te implementeren. Schakel de volgende verzamelaars in. Zie voor meer collectors de Prometheus-exporteur voor Windows-metrieken.

[defaults]
container
memory
process
cpu_info

Implementeer het windows-exporter-daemonset YAML-bestand. Als er taints in het knooppunt zijn toegepast, moet u de juiste toleranties toepassen.

kubectl apply -f windows-exporter-daemonset.yaml

Windows-metrieken inschakelen

Stel de Booleans windowsexporter en windowskubeproxy in op true in je ConfigMap voor metriekinstellingen en pas deze toe op de cluster. Zie Prometheus-metrieken van uw Kubernetes-cluster aanpassen via ConfigMap.

Opnameregels inschakelen

Schakel de opnameregels in die vereist zijn voor de out-of-the-box-dashboards:

Als u onboarding met CLI gebruikt, neem dan de optie --enable-windows-recording-rules op.
Als je onboarding doet met behulp van een ARM-sjabloon, Bicep of Azure Policy, stel enableWindowsRecordingRules in op true in het parameterbestand.
Als het cluster al is toegevoegd, gebruik deze ARM-sjabloon en dit parameterbestand om de regelgroepen te maken. Hiermee worden de vereiste opnameregels toegevoegd en is geen ARM-bewerking op het cluster en heeft dit geen invloed op de huidige bewakingsstatus van het cluster.

Implementatie verifiëren

Gebruik het opdrachtregelprogramma kubectl om te controleren of de agent correct is geïmplementeerd.

Beheerde dienst Prometheus

Controleer of de DaemonSet correct is geïmplementeerd in de Linux-knooppuntgroepen

kubectl get ds ama-metrics-node --namespace=kube-system

Het aantal pods moet gelijk zijn aan het aantal Linux-knooppunten in het cluster. De uitvoer moet eruitzien als het volgende voorbeeld:

User@aksuser:~$ kubectl get ds ama-metrics-node --namespace=kube-system
NAME               DESIRED   CURRENT   READY   UP-TO-DATE   AVAILABLE   NODE SELECTOR   AGE
ama-metrics-node   1         1         1       1            1           <none>          10h

Controleer of Windows-knooppunten correct zijn geïmplementeerd

kubectl get ds ama-metrics-win-node --namespace=kube-system

Het aantal pods moet gelijk zijn aan het aantal Windows-knooppunten in het cluster. De uitvoer moet eruitzien als het volgende voorbeeld:

User@aksuser:~$ kubectl get ds ama-metrics-node --namespace=kube-system
NAME                   DESIRED   CURRENT   READY   UP-TO-DATE   AVAILABLE   NODE SELECTOR   AGE
ama-metrics-win-node   3         3         3       3            3           <none>          10h

Controleer of de twee ReplicaSets zijn geïmplementeerd voor Prometheus

kubectl get rs --namespace=kube-system

De uitvoer moet eruitzien als het volgende voorbeeld:

User@aksuser:~$kubectl get rs --namespace=kube-system
NAME                            DESIRED   CURRENT   READY   AGE
ama-metrics-5c974985b8          1         1         1       11h
ama-metrics-ksm-5fcf8dffcd      1         1         1       11h

Logboekregistratie van containers

Controleer of de DaemonSets correct zijn geïmplementeerd in de Linux-knooppuntgroepen

kubectl get ds ama-logs --namespace=kube-system

Het aantal pods moet gelijk zijn aan het aantal Linux-knooppunten in het cluster. De uitvoer moet eruitzien als het volgende voorbeeld:

User@aksuser:~$ kubectl get ds ama-logs --namespace=kube-system
NAME       DESIRED   CURRENT   READY     UP-TO-DATE   AVAILABLE   NODE SELECTOR   AGE
ama-logs   2         2         2         2            2           <none>          1d

Controleer of Windows-knooppunten correct zijn geïmplementeerd

kubectl get ds ama-logs-windows --namespace=kube-system

Het aantal pods moet gelijk zijn aan het aantal Windows-knooppunten in het cluster. De uitvoer moet eruitzien als het volgende voorbeeld:

User@aksuser:~$ kubectl get ds ama-logs-windows --namespace=kube-system
NAME                   DESIRED   CURRENT   READY     UP-TO-DATE   AVAILABLE   NODE SELECTOR     AGE
ama-logs-windows           2         2         2         2            2       <none>            1d

Implementatie van de oplossing voor containerregistratie controleren

kubectl get deployment ama-logs-rs --namespace=kube-system

De uitvoer moet eruitzien als het volgende voorbeeld:

User@aksuser:~$ kubectl get deployment ama-logs-rs --namespace=kube-system
NAME          READY   UP-TO-DATE   AVAILABLE   AGE
ama-logs-rs   1/1     1            1           24d

Configuratie weergeven met CLI

Gebruik de aks show opdracht om erachter te komen of de oplossing is ingeschakeld, de resource-id van de Log Analytics-werkruimte en overzichtsinformatie over het cluster.

az aks show --resource-group <resourceGroupofAKSCluster> --name <nameofAksCluster>

De opdracht retourneert JSON-geformatteerde informatie over de oplossing. De addonProfiles sectie moet informatie bevatten over de omsagent, zoals in het onderstaande voorbeeld.

"addonProfiles": {
    "omsagent": {
        "config": {
            "logAnalyticsWorkspaceResourceID": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/my-resource-group/providers/microsoft.operationalinsights/workspaces/my-workspace",
            "useAADAuth": "true"
        },
        "enabled": true,
        "identity": null
    },
}

Volgende stappen

Als u problemen ondervindt bij het onboarden, raadpleegt u de gids voor probleemoplossing.
Meer informatie over het analyseren van Kubernetes-bewakingsgegevens in Azure Portal Container Insights.

Feedback

Is deze pagina nuttig?

Delen via

Bewaking voor AKS-clusters inschakelen

Vereisten

Werkruimten maken

Metrische gegevens en containerregistratie van Prometheus inschakelen

Vereisten

Vereisten

Prometheus-metrieken

Optionele parameters

Containerlogboeken

Logconfiguratiebestand

Streamwaarden

Toepasselijke tabellen en metrische gegevens

Speciale scenario's

Logboeken van besturingsvlak inschakelen

Windows-metrics inschakelen (Preview)

Windows-exporteur installeren

Windows-metrieken inschakelen

Opnameregels inschakelen

Implementatie verifiëren

Beheerde dienst Prometheus

Logboekregistratie van containers

Volgende stappen

Feedback

Aanvullende resources