Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Med Azure Private Link kan du komma åt PaaS-resurser (Plattform som en tjänst) i ditt virtuella nätverk med hjälp av privata slutpunkter. Ett Azure Monitor Private Link-omfång (AMPLS) ansluter en privat slutpunkt till en uppsättning Azure Monitor-resurser för att definiera gränserna för ditt övervakningsnätverk. Med privata slutpunkter för Managed Prometheus/Container Insights och Azure Monitor-arbetsytan/Log Analytics-arbetsytan kan du tillåta att klienter i ett virtuellt nätverk (VNet) matar in data på ett säkert sätt via en Privat länk.
I den här artikeln beskrivs hur du ansluter klustret till ett befintligt Azure Monitor Private Link-omfång (AMPLS). Om du ännu inte har en AMPLS skapar du en med hjälp av vägledningen på Konfigurera privat länk för Azure Monitor.
Hanterad Prometheus (Azure Monitor-arbetsyta)
Följ stegen nedan för att konfigurera inmatning av Prometheus-mått från ett privat AKS-kluster till Azure Monitor-arbetsytan.
Begreppsmässig översikt
En privat slutpunkt är ett särskilt nätverksgränssnitt för en Azure-tjänst i ditt virtuella nätverk (VNet). När du skapar en privat slutpunkt för din Azure Monitor-arbetsyta ger den säker anslutning mellan klienter i ditt virtuella nätverk och din arbetsyta. Mer information finns i Privat slutpunkt.
Med En Azure Private Link kan du på ett säkert sätt länka Azure Platform as a Service-resurser (PaaS) till ditt virtuella nätverk med hjälp av privata slutpunkter. Azure Monitor använder en enskild privat länkanslutning med namnet Azure Monitor Private Link Scope eller AMPLS, som gör att varje klient i det virtuella nätverket kan ansluta till alla Azure Monitor-resurser som Log Analytics-arbetsyta, Azure Monitor-arbetsyta osv. (i stället för att skapa flera privata länkar). Mer information finns i Azure Monitor Private Link Scope (AMPLS)
Följ dessa övergripande steg för att konfigurera inmatning av hanterade Prometheus-mått från det virtuella nätverket med privata slutpunkter till Azure Monitor-arbetsytan:
- Skapa ett Azure Monitor Private Link-omfång (AMPLS) och anslut det till slutpunkten för datainsamling på Azure Monitor-arbetsytan.
- Anslut AMPLS till en privat slutpunkt som har konfigurerats för det virtuella nätverket i ditt privata AKS-kluster.
Förutsättningar
Ett privat AKS-kluster med Managed Prometheus aktiverat. Som en del av Managed Prometheus-aktiveringen har du även en Azure Monitor-arbetsyta som har konfigurerats. Mer information finns i Aktivera hanterad prometheus i AKS.
Konfigurera datainmatning från ett privat AKS-kluster till Azure Monitor-arbetsytan
1. Skapa en AMPLS för Azure Monitor-arbetsyta
Metriker som samlas in med Azure Managed Prometheus matas in och lagras i Azure Monitor-arbetsytan, det är nödvändigt att göra arbetsytan tillgänglig via en privat länk. För detta skapar du ett Azure Monitor Private Link-omfång eller AMPLS.
I Azure-portalen söker du efter Azure Monitor Private Link-omfång och klickar sedan på Skapa.
Ange resursgruppen och namnet och välj Endast privat för inmatningsläge.
Klicka på Granska + skapa för att skapa AMPLS.
Mer information om konfiguration av AMPLS finns i Konfigurera privat länk för Azure Monitor.
2. Anslut AMPLS till slutpunkten för datainsamling i Azure Monitor-arbetsytan
Privata länkar för datainmatning för Managed Prometheus konfigureras på datainsamlingsslutpunkterna (DCE) för Azure Monitor-arbetsytan som lagrar data. För att identifiera de datainsamlingsslutpunkter som är associerade med din Azure Monitor-arbetsyta, välj Datainsamlingsslutpunkter från din Azure Monitor-arbetsyta i Azure-portalen.
I Azure-portalen söker du efter den Azure Monitor-arbetsyta som du skapade som en del av aktiveringen av Managed Prometheus för ditt privata AKS-kluster. Observera namnet på datainsamlingens slutpunkt.
I Azure-portalen söker du nu efter AMPLS som du skapade i föregående steg. Gå till översiktssidan för AMPLS, klicka på Azure Monitor-resurser, klicka på Lägg till och anslut sedan DCE för Azure Monitor-arbetsytan som du antecknade i föregående steg.
2a. Konfigurera DCEs
Kommentar
Om DITT AKS-kluster inte finns i samma region som din Azure Monitor-arbetsyta måste du konfigurera en ny slutpunkt för datainsamling för Azure Monitor-arbetsytan.
Följ bara stegen nedan om ditt AKS-kluster inte finns i samma region som din Azure Monitor-arbetsyta. Om klustret finns i samma region hoppar du över det här steget och går vidare till steg 3.
Skapa en datainsamlingsslutpunkt i samma region som AKS-klustret.
Gå till Din Azure Monitor-arbetsyta och klicka på datainsamlingsregeln (DCR) på sidan Översikt. Den här DCR har samma namn som din Azure Monitor-arbetsyta.
På översiktssidan för DCR klickar du på Resurser ->+ Lägg till och väljer sedan AKS-klustret.
När AKS-klustret har lagts till (du kan behöva uppdatera sidan) klickar du på AKS-klustret och sedan på Redigera datainsamling av slutpunkt. På bladet som öppnas väljer du den datainsamlingsslutpunkt som du skapade i steg 1 i det här avsnittet. Denna DCE bör finnas i samma region som AKS-klustret.
Gå till översiktssidan för AMPLS, klicka på Azure Monitor-resurser, klicka på Lägg till och anslut sedan den skapade domänkontrollanten.
3. Anslut AMPLS till en privat slutpunkt för AKS-kluster
En privat slutpunkt är ett särskilt nätverksgränssnitt för en Azure-tjänst i ditt virtuella nätverk (VNet). Nu skapar vi en privat slutpunkt i det virtuella nätverket för ditt privata AKS-kluster och ansluter den till AMPLS för säker inmatning av mått.
I Azure-portalen söker du efter AMPLS som du skapade i föregående steg. Gå till översiktssidan för AMPLS, klicka på Konfigurera privata>slutpunktsanslutningar och välj sedan + Privat slutpunkt.
Välj resursgruppen och ange namnet på den privata slutpunkten och klicka sedan på Nästa.
I avsnittet Resurs väljer du Microsoft.Monitor/accounts som Resurstyp, Azure Monitor-arbetsyta som Resurs och väljer sedan prometheusMetrics. Klicka på Nästa.
I avsnittet Virtuellt nätverk väljer du det virtuella nätverket för ditt AKS-kluster. Du hittar detta i portalen under AKS-översikt –> Inställningar –> Nätverk –> Integrering av virtuellt nätverk.
4. Kontrollera om mått matas in i Azure Monitor-arbetsytan
Kontrollera om Prometheus-mått från ditt privata AKS-kluster matas in i Azure Monitor-arbetsytan:
- I Azure-portalen söker du efter Azure Monitor-arbetsytan och går till Övervakning –>Mått.
- I verktyget Metrics Explorer söker du efter mått och verifierar att du kan utföra sökningar.
Kommentar
- Se Ansluta till en datakälla privat för mer information om hur du konfigurerar en privat länk för att fråga efter data från din Azure Monitor-arbetsyta med grafana.
- Se Använda privata slutpunkter för Hanterad Prometheus och Azure Monitor-arbetsyta för detaljer om hur du konfigurerar en privat länk för att hämta data från din Azure Monitor-arbetsyta med hjälp av arbetsböcker.
Inmatning från ett privat AKS-kluster
Om du väljer att använda en Azure Firewall för att begränsa utgående trafik från klustret kan du implementera något av följande:
- Öppna en sökväg till den offentliga dataingångsslutpunkten. Uppdatera routningstabellen med följande två slutpunkter:
*.handler.control.monitor.azure.com*.ingest.monitor.azure.com
- Aktivera Azure Firewall för att få åtkomst till Azure Monitor Private Link-omfånget och DCE som används för datainmatning.
Inmatning av privat länk för fjärrskrivning
Använd följande steg för att konfigurera fjärrskrivning för ett Kubernetes-kluster via ett virtuellt nätverk med privata länkar och ett Azure Monitor Private Link-omfång.
- Skapa ditt virtuella Azure-nätverk.
- Konfigurera det lokala klustret för att ansluta till ett virtuellt Azure-nätverk med hjälp av en VPN-gateway eller ExpressRoutes med privat peering.
- Skapa ett Azure Monitor Private Link-omfång.
- Anslut Azure Monitor Private Link-omfånget till en privat slutpunkt i det virtuella nätverk som används av det lokala klustret. Den här privata slutpunkten används för att komma åt dina DCE.
- Från Din Azure Monitor-arbetsyta i portalen väljer du Slutpunkter för datainsamling från Menyn För Azure Monitor-arbetsytor.
- Du har minst en DCE som har samma namn som din arbetsyta. Klicka på DCE för att öppna dess information.
- Välj sidan Nätverksisolering för DCE.
- Klicka på Lägg till och välj ditt Azure Monitor Private Link-omfång. Det tar några minuter innan inställningarna sprids. När det är klart matas data från ditt privata AKS-kluster in i Azure Monitor-arbetsytan via den privata länken.
Containerinsikter (Log Analytics-arbetsyta)
Data för Container Insights lagras på en Log Analytics-arbetsyta, så du måste göra den här arbetsytan tillgänglig via en privat länk.
Kommentar
I det här avsnittet beskrivs hur du aktiverar privat länk för containerinsikter med hjälp av CLI. Mer information om hur du använder en ARM-mall finns i Aktivera Prometheus-mått och containerloggning och notera parametrarna useAzureMonitorPrivateLinkScope och azureMonitorPrivateLinkScopeResourceId.
Förutsättningar
- I den här artikeln beskrivs hur du ansluter klustret till ett befintligt Azure Monitor Private Link-omfång (AMPLS). Skapa en AMPLS enligt vägledningen i Konfigurera din privata länk.
- Azure CLI version 2.61.0 eller senare.
Kluster med hanterad identitetsautentisering
Befintligt AKS-kluster med standardarbetsytan i Log Analytics
az aks enable-addons --addon monitoring --name <cluster-name> --resource-group <cluster-resource-group-name> --ampls-resource-id "<azure-monitor-private-link-scope-resource-id>"
Exempel:
az aks enable-addons --addon monitoring --name "my-cluster" --resource-group "my-resource-group" --workspace-resource-id "/subscriptions/my-subscription/resourceGroups/my-resource-group/providers/Microsoft.OperationalInsights/workspaces/my-workspace" --ampls-resource-id "/subscriptions/my-subscription /resourceGroups/my-resource-group/providers/microsoft.insights/privatelinkscopes/my-ampls-resource"
Befintligt AKS-kluster med befintlig Log Analytics-arbetsyta
az aks enable-addons --addon monitoring --name <cluster-name> --resource-group <cluster-resource-group-name> --workspace-resource-id <workspace-resource-id> --ampls-resource-id "<azure-monitor-private-link-scope-resource-id>"
Exempel:
az aks enable-addons --addon monitoring --name "my-cluster" --resource-group "my-resource-group" --workspace-resource-id "/subscriptions/my-subscription/resourceGroups/my-resource-group/providers/Microsoft.OperationalInsights/workspaces/my-workspace" --ampls-resource-id "/subscriptions/my-subscription /resourceGroups/ my-resource-group/providers/microsoft.insights/privatelinkscopes/my-ampls-resource"
Nytt AKS-kluster
az aks create --resource-group rgName --name clusterName --enable-addons monitoring --workspace-resource-id "workspaceResourceId" --ampls-resource-id "azure-monitor-private-link-scope-resource-id"
Exempel:
az aks create --resource-group "my-resource-group" --name "my-cluster" --enable-addons monitoring --workspace-resource-id "/subscriptions/my-subscription/resourceGroups/my-resource-group/providers/Microsoft.OperationalInsights/workspaces/my-workspace" --ampls-resource-id "/subscriptions/my-subscription /resourceGroups/ my-resource-group/providers/microsoft.insights/privatelinkscopes/my-ampls-resource"
Kluster med äldre autentisering
Använd följande steg för att möjliggöra nätverksisolering genom att ansluta ditt kluster till Log Analytics-arbetsytan med Azure Private Link om klustret inte använder autentisering med hanterad identitet. Detta kräver ett privat AKS-kluster.
Skapa ett privat AKS-kluster enligt vägledningen i Skapa ett privat Azure Kubernetes Service-kluster.
Inaktivera offentlig inmatning på Log Analytics-arbetsytan.
Använd följande kommando för att inaktivera offentlig inmatning på en befintlig arbetsyta.
az monitor log-analytics workspace update --resource-group <azureLogAnalyticsWorkspaceResourceGroup> --workspace-name <azureLogAnalyticsWorkspaceName> --ingestion-access DisabledAnvänd följande kommando för att skapa en ny arbetsyta med offentlig inmatning inaktiverad.
az monitor log-analytics workspace create --resource-group <azureLogAnalyticsWorkspaceResourceGroup> --workspace-name <azureLogAnalyticsWorkspaceName> --ingestion-access DisabledKonfigurera privat länk genom att följa anvisningarna på Konfigurera din privata länk. Ange inmatningsåtkomst till offentlig och ange sedan till privat när den privata slutpunkten har skapats, men innan övervakning aktiveras. Resursregionen för den privata länken måste vara samma som AKS-klusterregionen.
Aktivera övervakning för AKS-klustret.
az aks enable-addons -a monitoring --resource-group <AKSClusterResourceGorup> --name <AKSClusterName> --workspace-resource-id <workspace-resource-id> --enable-msi-auth-for-monitoring false
Nästa steg
- Om du får problem när du försöker registrera lösningen kan du läsa felsökningsguiden.
- Med övervakning aktiverat för att samla in hälsotillstånd och resursanvändning för ditt AKS-kluster och arbetsbelastningar som körs på dem, lär du dig hur du använder Container Insights.
- Fråga efter data från Azure Managed Grafana med hjälp av hanterad privat slutpunkt.
- Använd privata slutpunkter för Managed Prometheus och Azure Monitor-arbetsytan för mer information om hur du konfigurerar privat länk för att fråga efter data från din Azure Monitor-arbetsyta med hjälp av arbetsböcker.
- DNS-konfiguration för privat slutpunkt i Azure