Äldre autentisering för Container Insights

2025-09-03

Container Insights är standard för hanterad identitetsautentisering, som har en övervakningsagent som använder klustrets hanterade identitet för att skicka data till Azure Monitor. Den ersatte den äldre certifikatbaserade lokala autentiseringen och tog bort kravet på att lägga till en utgivarroll för övervakningsmått i klustret.

Viktigt!

Äldre autentisering för Container Insights dras tillbaka den 30 september 2026. Migrera till hanterad identitetsautentisering senast det här datumet.

Den här artikeln beskriver hur du migrerar till hanterad identitetsautentisering om du har aktiverat containerinsikter med hjälp av äldre autentiseringsmetod och även hur du aktiverar äldre autentisering om du har det kravet.

Viktigt!

Om du har ett kluster med äldre autentisering och Log Analytics-arbetsytenycklar roteras slutar övervakningsdata att flöda till Log Analytics-arbetsytan. Du måste inaktivera och sedan återaktivera tillägget Container Insights så att övervakningsdata börjar flöda in igen med de nya roterade arbetsytenycklarna. Du bör migrera till containerinsikter för hanterad identitetsautentisering, som inte använder Log Analytics-arbetsytenycklar.

Hitta kluster med äldre autentisering

Följande frågor listar klustren med äldre autentisering i Container Insights. Om du vill köra frågorna använder du Resource Graph Explorer. Frågan körs i det befintliga Azure-portalomfånget. Mer information om hur du anger omfång och kör Azure Resource Graph-frågor i portalen finns i Snabbstart: Kör Resource Graph-fråga med Azure-portalen.

Fråga efter AKS-kluster

resources        
| where type =~ 'Microsoft.ContainerService/managedClusters'       
| project id, name, aksproperties = parse_json(tolower(properties)), location, identity        
| extend isEnabled = aksproperties.addonprofiles.omsagent.enabled         
| extend workspaceResourceId = iif(isEnabled == true, aksproperties.addonprofiles.omsagent.config.loganalyticsworkspaceresourceid, '')        
| extend useAADAuth  = aksproperties.addonprofiles.omsagent.config.useaadauth  
| where isEnabled =~ "true" and useAADAuth != true 
| extend parts = split(tostring(id), "/")
| extend subscriptionId = parts[2], AKSClusterName = parts[-1], resourceGroupName = parts[4] 
| project AKSClusterName, resourceGroupName, subscriptionId, location, AKSClusterId = tolower(id), workspaceResourceId

Sök efter lokala kluster, dvs. kluster med Arc.

KubernetesConfigurationResources          
| where type =~ "Microsoft.KubernetesConfiguration/extensions"           
| extend properties = parse_json(tolower(properties))           
| extend extensionType = properties.extensiontype            
| where extensionType in~ ('microsoft.azuremonitor.containers')           
| extend omsagentUseAADAuth = tostring(properties.configurationsettings.["omsagent.useaadauth"])           
| extend amalogsUseAADAuth = tostring(properties.configurationsettings.["amalogs.useaadauth"])            
| extend useAADAuth = iff(omsagentUseAADAuth == 'true' or amalogsUseAADAuth == 'true', 'true', 'false')            
| extend workspaceResourceId = tostring(properties.configurationsettings.loganalyticsworkspaceresourceid)            
| extend resourceId = tolower(split(id, "/providers/Microsoft.KubernetesConfiguration")[0]) 
| where useAADAuth != "true"
| extend parts = split(tostring(resourceId), "/")
| extend subscriptionId = parts[2], ClusterName = parts[-1], ResourceGroupName = parts[4] 
| project ClusterName, ResourceGroupName,resourceId, subscriptionId, workspaceResourceId

Migrera till hanterad identitetsautentisering

Om du har aktiverat Container Insights innan autentisering av hanterad identitet var tillgänglig kan du använda följande metoder för att migrera dina kluster.

Du kan migrera till hanterad identitetsautentisering från panelen Övervaka inställningar för ditt AKS-kluster. I avsnittet Övervakning klickar du på fliken Insikter . På fliken Insikter klickar du på alternativet Övervaka inställningar och markerar kryssrutan Använd hanterad identitet

Om du inte ser alternativet Använd hanterad identitet använder du ett SPN-kluster. I så fall måste du använda kommandoradsverktyg för att migrera. Se andra flikar för migreringsinstruktioner och mallar.

AKS

AKS-kluster måste först inaktivera övervakning och sedan uppgradera till hanterad identitet. Endast offentligt Azure-moln, Microsoft Azure som drivs av 21Vianet-molnet och Azure Government-molnet stöds för närvarande för den här migreringen. För kluster med användartilldelad identitet stöds endast offentligt Azure-moln.

Kommentar

Lägsta Azure CLI-version 2.49.0 eller senare.

Hämta det konfigurerade resurs-ID:t för Log Analytics-arbetsytan:

az aks show -g <resource-group-name> -n <cluster-name> | grep -i "logAnalyticsWorkspaceResourceID"

Inaktivera övervakning med följande kommando:

az aks disable-addons -a monitoring -g <resource-group-name> -n <cluster-name>

Om klustret använder ett huvudnamn för tjänsten uppgraderar du det till systemhanterad identitet med följande kommando:
```
az aks update -g <resource-group-name> -n <cluster-name> --enable-managed-identity
```
Aktivera övervakningstillägget med alternativet för autentisering av hanterad identitet med hjälp av resurs-ID:t för Log Analytics-arbetsytan som hämtades i steg 1:
```
az aks enable-addons -a monitoring -g <resource-group-name> -n <cluster-name> --workspace-resource-id <workspace-resource-id>
```

Arc-aktiverade Kubernetes

Kommentar

Hanterad identitetsautentisering stöds inte för Arc-aktiverade Kubernetes-kluster med ARO.

Hämta Log Analytics-arbetsytan som konfigurerats för Container Insights-tillägget.

az k8s-extension show --name azuremonitor-containers --cluster-name \<cluster-name\> --resource-group \<resource-group\> --cluster-type connectedClusters -n azuremonitor-containers

Aktivera Container Insights-tillägget med alternativet för hanterad identitetsautentisering med hjälp av arbetsytan som returnerades i det första steget.

az k8s-extension create --name azuremonitor-containers --cluster-name \<cluster-name\> --resource-group \<resource-group\> --cluster-type connectedClusters --extension-type Microsoft.AzureMonitor.Containers --configuration-settings amalogs.useAADAuth=true logAnalyticsWorkspaceResourceID=\<workspace-resource-id\>

Aktivera äldre autentisering

Om du behöver äldre autentisering kan du läsa Aktivera containerinsikter, som innehåller exempel på olika alternativ för att aktivera containerinsikter.

Nästa steg

Om du får problem när du uppgraderar agenten kan du läsa felsökningsguiden för support.

Feedback

Var den här sidan till hjälp?