Abilitare il monitoraggio per i cluster del servizio Azure Kubernetes

Prerequisiti

• L'autenticazione dell'identità gestita è predefinita nella CLI a partire dalla versione 2.49.0.
• L'estensione aks-preview deve essere disinstallata dai cluster del servizio Azure Kubernetes usando il comando az extension remove --name aks-preview.

Metriche di Prometheus

Usare l'opzione -enable-azure-monitor-metrics con az aks create o az aks update a seconda che si stia creando un nuovo cluster o aggiornando un cluster esistente per installare il componente aggiuntivo metrics che elimina le metriche di Prometheus. Verrà usata la configurazione descritta in Configurazione delle metriche predefinite di Prometheus in Monitoraggio di Azure. Per modificare questa configurazione, vedere Personalizzare lo scarto delle metriche di Prometheus nel servizio gestito di Monitoraggio di Azure per Prometheus.

Vedere gli esempi seguenti.

### Use default Azure Monitor workspace
az aks create/update --enable-azure-monitor-metrics --name <cluster-name> --resource-group <cluster-resource-group>

### Use existing Azure Monitor workspace
az aks create/update --enable-azure-monitor-metrics --name <cluster-name> --resource-group <cluster-resource-group> --azure-monitor-workspace-resource-id <workspace-name-resource-id>

### Use an existing Azure Monitor workspace and link with an existing Grafana workspace
az aks create/update --enable-azure-monitor-metrics --name <cluster-name> --resource-group <cluster-resource-group> --azure-monitor-workspace-resource-id <azure-monitor-workspace-name-resource-id> --grafana-resource-id  <grafana-workspace-name-resource-id>

### Use optional parameters
az aks create/update --enable-azure-monitor-metrics --name <cluster-name> --resource-group <cluster-resource-group> --ksm-metric-labels-allow-list "namespaces=[k8s-label-1,k8s-label-n]" --ksm-metric-annotations-allow-list "pods=[k8s-annotation-1,k8s-annotation-n]"

Esempio

az aks create/update --enable-azure-monitor-metrics --name "my-cluster" --resource-group "my-resource-group" --azure-monitor-workspace-resource-id "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-group/providers/microsoft.monitor/accounts/my-workspace"

Parametri facoltativi

Ognuno dei comandi precedenti consente i parametri facoltativi seguenti. Il nome del parametro è diverso per ognuno di essi, ma il relativo uso è lo stesso.

Log dei contenitori

Usare l'opzione --addon monitoring con az aks create per un nuovo cluster o az aks enable-addon per aggiornare un cluster esistente per abilitare la raccolta dei log dei contenitori. Vedere di seguito per modificare le impostazioni della raccolta di log.

Vedere gli esempi seguenti.

### Use default Log Analytics workspace
az aks enable-addons --addon monitoring --name <cluster-name> --resource-group <cluster-resource-group-name>

### Use existing Log Analytics workspace
az aks enable-addons --addon monitoring --name <cluster-name> --resource-group <cluster-resource-group-name> --workspace-resource-id <workspace-resource-id>

### Use custom log configuration file
az aks enable-addons --addon monitoring --name <cluster-name> --resource-group <cluster-resource-group-name> --workspace-resource-id <workspace-resource-id> --data-collection-settings dataCollectionSettings.json

### Use legacy authentication
az aks enable-addons --addon monitoring --name <cluster-name> --resource-group <cluster-resource-group-name> --workspace-resource-id <workspace-resource-id> --enable-msi-auth-for-monitoring false

Esempio

az aks enable-addons --addon monitoring --name "my-cluster" --resource-group "my-resource-group" --workspace-resource-id "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-group/providers/Microsoft.OperationalInsights/workspaces/my-workspace"

File di configurazione del log

Per personalizzare le impostazioni di raccolta log per il cluster, è possibile specificare la configurazione come file JSON usando il formato seguente. Se non si specifica un file di configurazione, vengono usate le impostazioni predefinite identificate nella tabella seguente.

{
  "interval": "1m",
  "namespaceFilteringMode": "Include",
  "namespaces": ["kube-system"],
  "enableContainerLogV2": true, 
  "streams": ["Microsoft-Perf", "Microsoft-ContainerLogV2"]
}

Ognuna delle impostazioni nella configurazione è descritta nella tabella seguente.

Prerequisiti

• È necessario creare già l'area di lavoro di Monitoraggio di Azure e l'istanza di Grafana con gestione Azure.
• Il modello deve essere distribuito nello stesso gruppo di risorse dell'istanza di Grafana con gestione Azure.
• Se l'istanza di Grafana con gestione Azure si trova in una sottoscrizione diversa da quella dell'area di lavoro di Monitoraggio di Azure, registrare la sottoscrizione dell'area di lavoro di Monitoraggio di Azure con il provider di risorse Microsoft.Dashboard seguendo le indicazioni riportate in Registrare il provider di risorse.
• Gli utenti con il ruolo User Access Administrator nella sottoscrizione del cluster del servizio Azure Kubernetes possono abilitare il ruolo Monitoring Reader direttamente distribuendo il modello.

Metriche di Prometheus

Recuperare i valori obbligatori per la risorsa Grafana

Se l'istanza di Grafana gestita di Azure è già collegata a un'area di lavoro di Monitoraggio di Azure, è necessario includere questo elenco nel modello o verrà sovrascritto. Nella pagina Panoramica per l'istanza di Grafana con gestione Azure nel portale di Azure selezionare Visualizzazione JSON e copiare il valore di azureMonitorWorkspaceIntegrations che sarà simile all'esempio seguente. Se non esiste, l'istanza non è stata collegata ad alcuna area di lavoro di Monitoraggio di Azure.

"properties": {
    "grafanaIntegrations": {
        "azureMonitorWorkspaceIntegrations": [
            {
                "azureMonitorWorkspaceResourceId": "full_resource_id_1"
            },
            {
                "azureMonitorWorkspaceResourceId": "full_resource_id_2"
            }
        ]
    }
}

Scaricare e modificare il modello e il file dei parametri

1. Scaricare i file necessari.

   Bicipite

   • File modello: https://aka.ms/azureprometheus-enable-bicep-template
   • File di parametri: https://aka.ms/azureprometheus-enable-bicep-template-parameters
   • Modulo DCRA: https://aka.ms/nested_azuremonitormetrics_dcra_clusterResourceId
   • Modulo profilo: https://aka.ms/nested_azuremonitormetrics_profile_clusterResourceId
   • Modulo di assegnazione di ruolo di Grafana con gestione Azure: https://aka.ms/nested_grafana_amw_role_assignment

   JSON

   • File modello: https://aka.ms/azureprometheus-enable-arm-template
   • File di parametri: https://aka.ms/azureprometheus-enable-arm-template-parameters

2. Modificare i valori seguenti nel file di parametri. Per i modelli ARM e Bicep viene usato lo stesso set di valori. Recuperare l'ID risorsa delle risorse dalla Visualizzazione JSON della relativa pagina di Panoramica.

   Parametro	Valore
   azureMonitorWorkspaceResourceId	ID della risorsa per l'area di lavoro di Monitoraggio di Azure. Recuperare dalla Visualizzazione JSON nella pagina Panoramica per l'area di lavoro di Monitoraggio di Azure.
   azureMonitorWorkspaceLocation	Posizione dell'area di lavoro di Monitoraggio di Azure. Recuperare dalla Visualizzazione JSON nella pagina Panoramica per l'area di lavoro di Monitoraggio di Azure.
   clusterResourceId	ID risorsa per il cluster del servizio Azure Kubernetes. Recuperare dalla Visualizzazione JSON nella pagina Panoramica per il cluster.
   clusterLocation	Posizione del cluster AKS. Recuperare dalla Visualizzazione JSON nella pagina Panoramica per il cluster.
   metricLabelsAllowlist	Elenco delimitato da virgole delle chiavi delle etichette Kubernetes da usare nella metrica delle etichette della risorsa.
   metricAnnotationsAllowList	Elenco delimitato da virgole di altre chiavi di etichetta Kubernetes da usare nella metrica delle annotazioni della risorsa.
   grafanaResourceId	ID della risorsa per l'istanza gestita di Grafana. Recuperare dalla Visualizzazione JSON nella pagina Panoramica per l'istanza di Grafana.
   grafanaLocation	Posizione per l'istanza di Grafana gestita. Recuperare dalla Visualizzazione JSON nella pagina Panoramica per l'istanza di Grafana.
   grafanaSku	SKU per l'istanza di Grafana gestita. Recuperare dalla Visualizzazione JSON nella pagina Panoramica per l'istanza di Grafana. Usare sku.name.

3. Aprire il file modello e aggiornare la proprietà grafanaIntegrations alla fine del file con i valori recuperati dall'istanza di Grafana. L'aspetto sarà simile agli esempi seguenti. In questi esempi full_resource_id_1 e full_resource_id_2 erano già presenti nel codice JSON della risorsa Grafana con gestione Azure. La voce azureMonitorWorkspaceResourceId finale è già presente nel modello e viene usata per il collegamento all'ID risorsa dell'area di lavoro di Monitoraggio di Azure fornito nel file dei parametri.

   Bicipite

       resource grafanaResourceId_8 'Microsoft.Dashboard/grafana@2022-08-01' = {
           name: split(grafanaResourceId, '/')[8]
           sku: {
               name: grafanaSku
           }
           identity: {
               type: 'SystemAssigned'
           }
           ___location: grafanaLocation
           properties: {
               grafanaIntegrations: {
                   azureMonitorWorkspaceIntegrations: [
                       {
                           azureMonitorWorkspaceResourceId: 'full_resource_id_1'
                       }
                       {
                           azureMonitorWorkspaceResourceId: 'full_resource_id_2'
                       }
                       {
                           azureMonitorWorkspaceResourceId: azureMonitorWorkspaceResourceId
                       }
                   ]
               }
           }
       }
   

   JSON

   {
       "type": "Microsoft.Dashboard/grafana",
       "apiVersion": "2022-08-01",
       "name": "[split(parameters('grafanaResourceId'),'/')[8]]",
       "sku": {
           "name": "[parameters('grafanaSku')]"
       },
       "___location": "[parameters('grafanaLocation')]",
       "properties": {
           "grafanaIntegrations": {
           "azureMonitorWorkspaceIntegrations": [
               {
                   "azureMonitorWorkspaceResourceId": "full_resource_id_1"
               },
               {
                   "azureMonitorWorkspaceResourceId": "full_resource_id_2"
               },
               {
                   "azureMonitorWorkspaceResourceId": "[parameters('azureMonitorWorkspaceResourceId')]"
               }
           ]
           }
       }
   }
   

4. Distribuire il modello con il file di parametri usando qualsiasi metodo valido per la distribuzione di modelli di Resource Manager. Per esempi di metodi diversi, vedere Distribuire i modelli di esempio.

Log dei contenitori

Prerequisiti

• Il modello deve essere distribuito nello stesso gruppo di risorse del cluster.

Scaricare e installare il modello

1. Scaricare e modificare il modello e il file dei parametri.

   Bicipite

   • File modello (Syslog): https://aka.ms/enable-monitoring-msi-syslog-bicep-template
   • File di parametri (Syslog): https://aka.ms/enable-monitoring-msi-syslog-bicep-parameters
   • File modello (senza Syslog): https://aka.ms/enable-monitoring-msi-bicep-template
   • File di parametri (senza Syslog): https://aka.ms/enable-monitoring-msi-bicep-parameters

   ARM

   • File modello: https://aka.ms/aks-enable-monitoring-msi-onboarding-template-file
   • File di parametri: https://aka.ms/aks-enable-monitoring-msi-onboarding-template-parameter-file

2. Modificare i valori seguenti nel file di parametri. Per i modelli ARM e Bicep viene usato lo stesso set di valori. Recuperare l'ID risorsa delle risorse dalla Visualizzazione JSON della relativa pagina di Panoramica.

   Parametro	Descrizione
   aksResourceId	ID della risorsa del cluster.
   aksResourceLocation	Località del cluster.
   workspaceResourceId	ID risorsa dell'area di lavoro Log Analytics.
   resourceTagValues	Valori di tag specificati per la regola di raccolta dati (DCR) dell’estensione Informazioni dettagliate sul contenitore esistente del cluster e nome della regola. Il nome sarà MSCI-<clusterName>-<clusterRegion> e questa risorsa sarà creata in un gruppo di risorse del cluster AKS. Per il primo onboarding, è possibile impostare valori di tag arbitrari.
   enableRetinaNetworkFlowLogs	Indicatore per indicare se abilitare i log dei flussi di rete Retina.
   enableContainerLogV2	Flag booleano per abilitare lo schema ContainerLogV2. Se impostato su true, i log stdout/stderr vengono inviati alla tabella ContainerLogV2 . In caso contrario, i log del contenitore vengono inviati alla tabella ContainerLog , a meno che non diversamente specificato in ConfigMap. Quando si specificano i singoli flussi, è necessario includere la tabella corrispondente per ContainerLog o ContainerLogV2.
   enableSyslog	Specifica se la raccolta Syslog deve essere abilitata.
   syslogLevels	Se la raccolta Syslog è abilitata, specifica i livelli di log da raccogliere.
   dataCollectionInterval	Determina la frequenza con cui l'agente raccoglie i dati. I valori validi sono 1 m - 30 m in intervalli di 1 m. Il valore predefinito è 1 m. Se il valore non è compreso nell'intervallo consentito, per impostazione predefinita viene usato 1 m.
   namespaceFilteringModeForDataCollection	Include: raccoglie solo i dati dai valori nel campo namespace. Escludi: raccoglie i dati da tutti i namespaces tranne che dai valori nel campo namespaces. Off: ignora le selezioni di namespace e raccoglie i dati in tutti gli spazi dei nomi.
   namespacesForDataCollection	Array di spazi dei nomi Kubernetes separati da virgole per raccogliere dati di inventario e prestazioni in base a namespaceFilteringMode. Ad esempio, Spazi dei nomi = ["kube-system", "default"] con un'impostazione Includi raccoglie solo questi due spazi dei nomi. Con un'impostazione Escludi, l'agente raccoglie i dati da tutti gli altri spazi dei nomi, ad eccezione di kube-system e default. Con l'impostazione Off, l'agente raccoglie i dati da tutti i namespace, inclusi kube-system e default. I namespace non validi e non riconosciuti vengono ignorati.
   streams	Matrice di flussi di tabella. Vedere Valori di flusso per un elenco dei flussi validi e delle relative tabelle corrispondenti.
   useAzureMonitorPrivateLinkScope	Specifica se usare il collegamento privato per la connessione del cluster ad Azure Monitor.
   azureMonitorPrivateLinkScopeResourceId	Se viene usato un collegamento privato, l'ID della risorsa dell'ambito del collegamento privato.

3. Distribuire il modello con il file di parametri usando qualsiasi metodo valido per la distribuzione di modelli di Resource Manager. Per esempi di metodi diversi, vedere Distribuire i modelli di esempio.

Prerequisiti

• È necessario creare già l'area di lavoro di Monitoraggio di Azure e l'area di lavoro di Grafana con gestione Azure.
• Il modello deve essere distribuito nello stesso gruppo di risorse dell'area di lavoro di Grafana con gestione Azure.
• Gli utenti con il ruolo Amministratore accesso utente nella sottoscrizione del cluster AKS possono abilitare il ruolo Reader di monitoraggio direttamente distribuendo il template.
• Se l'istanza di Grafana con gestione Azure si trova in una sottoscrizione diversa da quella dell'area di lavoro di Monitoraggio di Azure, registrare la sottoscrizione dell'area di lavoro di Monitoraggio di Azure con il provider di risorse Microsoft.Dashboard seguendo questa documentazione.

Recuperare i valori obbligatori per la risorsa Grafana

Se l'istanza di Grafana gestita di Azure è già collegata a un'area di lavoro di Monitoraggio di Azure, è necessario includere questo elenco nel modello o verrà sovrascritto. Nella pagina Panoramica per l'istanza di Grafana con gestione Azure nel portale di Azure selezionare Visualizzazione JSON e copiare il valore di azureMonitorWorkspaceIntegrations che sarà simile all'esempio seguente. Se non esiste, l'istanza non è stata collegata ad alcuna area di lavoro di Monitoraggio di Azure.

"properties": {
    "grafanaIntegrations": {
        "azureMonitorWorkspaceIntegrations": [
            {
                "azureMonitorWorkspaceResourceId": "full_resource_id_1"
            },
            {
                "azureMonitorWorkspaceResourceId": "full_resource_id_2"
            }
        ]
    }
}

Aggiornare il blocco azure_monitor_workspace_integrations in main.tf con l'elenco delle integrazioni di Grafana.

  azure_monitor_workspace_integrations {
    resource_id  = var.monitor_workspace_id[var.monitor_workspace_id1, var.monitor_workspace_id2]
  }

Scaricare e modificare i modelli

Nuovo cluster AKS

1. Scaricare tutti i file in AddonTerraformTemplate.
2. Modificare le variabili nel file variables.tf con i valori dei parametri corretti.
3. Eseguire terraform init -upgrade per inizializzare la distribuzione di Terraform.
4. Eseguire terraform plan -out main.tfplan per inizializzare la distribuzione di Terraform.
5. Eseguire terraform apply main.tfplan per applicare il piano di esecuzione all'infrastruttura cloud.

Nota: passare le variabili per le chiavi annotations_allowed e labels_allowed in main.tf solo quando tali valori esistono. Questi blocchi sono facoltativi.

Log dei contenitori

Nuovo cluster AKS

1. Scarica il file modello di Terraform in base alla necessità di abilitare la raccolta Syslog.

   • Syslog: https://aka.ms/enable-monitoring-msi-syslog-terraform
   • Nessun syslog: https://aka.ms/enable-monitoring-msi-terraform

2. Modificare la risorsa azurerm_kubernetes_cluster in main.tf in base alle impostazioni del cluster.

3. Aggiornare i parametri in variables.tf per sostituire i valori in "<>"

   Parametro	Descrizione
   aks_resource_group_name	Usare i valori nella pagina Panoramica del servizio Azure Kubernetes per il gruppo di risorse.
   resource_group_location	Usare i valori nella pagina Panoramica del servizio Azure Kubernetes per il gruppo di risorse.
   cluster_name	Definire il nome del cluster da creare.
   workspace_resource_id	Usare l'ID della risorsa dell'area di lavoro Log Analytics.
   workspace_region	Usa la posizione della tua area di lavoro Log Analytics.
   resource_tag_values	Abbinare i valori di tag specificati esistenti per la regola di raccolta dati (DCR) dell'estensione Informazioni dettagliate sul contenitore esistente del cluster e il nome della regola. Il nome corrisponderà a MSCI-<clusterName>-<clusterRegion> e questa risorsa verrà creata nello stesso gruppo di risorse dei cluster AKS. Per il primo onboarding, è possibile impostare valori di tag arbitrari.
   enabledContainerLogV2	Impostare questo valore del parametro su true per usare il valore predefinito ContainerLogV2 consigliato.
   Parametri di ottimizzazione dei costi	Fare riferimento a Parametri di raccolta dati
   streams	Flussi per la raccolta dati. Vedere Valori di flusso.
   use_azure_monitor_private_link_scope	Contrassegno per indicare se configurare l'ambito collegamento privato di Monitoraggio di Azure.
   azure_monitor_private_link_scope_resource_id	ID risorsa di Azure dell'ambito del collegamento privato di Monitoraggio di Azure.

4. Eseguire terraform init -upgrade per inizializzare la distribuzione di Terraform.

5. Eseguire terraform plan -out main.tfplan per inizializzare la distribuzione di Terraform.

6. Eseguire terraform apply main.tfplan per applicare il piano di esecuzione all'infrastruttura cloud.

Cluster del servizio Azure Kubernetes

1. Importare prima la risorsa cluster esistente con il comando: terraform import azurerm_kubernetes_cluster.k8s <aksResourceId>
2. Aggiungere il profilo del componente aggiuntivo oms_agent alla risorsa azurerm_kubernetes_cluster esistente.

   oms_agent {
       log_analytics_workspace_id = var.workspace_resource_id
       msi_auth_for_monitoring_enabled = true
     }
   

3. Copiare le risorse DCR e DCRA dai modelli Terraform
4. Eseguire terraform plan -out main.tfplan e assicurarsi che la modifica stia aggiungendo la proprietà oms_agent. Nota: se la risorsa azurerm_kubernetes_cluster definita è diversa durante la configurazione terraform, il cluster esistente verrà eliminato e ricreato.
5. Eseguire terraform apply main.tfplan per applicare il piano di esecuzione all'infrastruttura cloud.

È possibile abilitare le metriche di Prometheus e i log dei contenitori quando si crea un nuovo cluster del servizio Azure Kubernetes o in un cluster esistente nel portale di Azure. In entrambi i casi, l'esperienza di configurazione è la stessa.

Nuovo cluster AKS

Quando si crea un nuovo cluster AKS nel portale di Azure, configurare il monitoraggio nella scheda Monitoraggio.

Cluster esistente

Passare al cluster nel portale di Azure. Nel menu del servizio selezionare Monitoraggio e quindi Monitoraggio impostazioni.

Opzioni di configurazione

Le opzioni di configurazione sono le stesse per i cluster nuovi ed esistenti. L'unica differenza è che potrebbe essere necessario selezionare Impostazioni avanzate per visualizzare tutte le opzioni per un cluster esistente.

3. Le metriche di Prometheus, Grafana, i log dei container e gli eventi sono selezionati per te. Se si dispone di un'area di lavoro di Monitoraggio di Azure esistente, l'area di lavoro Grafana e l'area di lavoro Log Analytics, vengono selezionate automaticamente.
4. Selezionare Impostazioni avanzate per selezionare aree di lavoro alternative o crearne di nuove. L'impostazione Profili di registrazione e profili classici consente di modificare i dettagli predefiniti della raccolta per ridurre i costi di monitoraggio. Per informazioni dettagliate, vedere Abilitare le impostazioni di ottimizzazione dei costi in Container Insights.
5. Seleziona Configura.

Per i log dei contenitori, è necessario selezionare un profilo di registrazione, che definisce i log che verranno raccolti e a quale frequenza. I profili disponibili sono elencati nella tabella seguente.

Per personalizzare le impostazioni, fare clic su Modifica impostazioni raccolta. Ognuna di queste impostazioni è descritta nella tabella seguente.

L'opzione Dati raccolti consente di selezionare le tabelle popolate per il cluster. Le tabelle sono raggruppate in base agli scenari più comuni.

Metriche di Prometheus

1. Scarica i file del modello e dei parametri di Azure Policy.

   • File modello: https://aka.ms/AddonPolicyMetricsProfile
   • File di parametri: https://aka.ms/AddonPolicyMetricsProfile.parameters

2. Creare la definizione dei criteri usando il seguente comando CLI:

   az policy definition create --name "Prometheus Metrics addon" --display-name "Prometheus Metrics addon" --mode Indexed --metadata version=1.0.0 category=Kubernetes --rules AddonPolicyMetricsProfile.rules.json --params AddonPolicyMetricsProfile.parameters.json

3. Dopo aver creato la definizione dei criteri, nel portale di Azure selezionare Criteri e quindi Definizioni. Seleziona la definizione del criterio che hai creato.

4. Selezionare Assegna e immettere i dettagli nella scheda Parametri. Selezionare Rivedi e crea.

5. Se si desidera applicare i criteri a un cluster esistente, creare un'Attività di correzione per tale risorsa cluster da Assegnazione di criteri.

Dopo aver assegnato i criteri alla sottoscrizione, ogni volta che si crea un nuovo cluster senza Prometheus abilitato, i criteri verranno eseguiti e distribuiti per abilitare il monitoraggio di Prometheus.

Portale di Azure

1. Nella scheda Definizioni del menu Criteri nel portale di Azure creare una definizione di criteri con i dettagli seguenti.

   • Posizione della definizione: sottoscrizione di Azure in cui deve essere archiviata la definizione della policy.
   • Nome: AKS-Monitoring-Addon
   • Descrizione: criteri personalizzati di Azure per abilitare il componente aggiuntivo di monitoraggio nei cluster Azure Kubernetes.
   • Categoria: selezionare Usa esistente e quindi Kubernetes dall'elenco a discesa.
   • Regola dei criteri: sostituire il codice JSON di esempio esistente con il contenuto di https://aka.ms/aks-enable-monitoring-custom-policy.

2. Selezionare la nuova definizione di criteri AKS Monitoring Addon.

3. Selezionare Assegna e specificare un Ambito in cui assegnare i criteri.

4. Selezionare Avanti e specificare l'ID risorsa dell'area di lavoro Log Analytics.

5. Creare un'attività di correzione se desideri applicare la politica ai cluster AKS esistenti nell'ambito selezionato.

6. Selezionare Rivedi e crea per creare l'assegnazione dei criteri.

Interfaccia della riga di comando di Azure

1. Scarica i file del modello e dei parametri di Azure Policy.

   • File modello: https://aka.ms/enable-monitoring-msi-azure-policy-template
   • File di parametri: https://aka.ms/enable-monitoring-msi-azure-policy-parameters

2. Creare la definizione dei criteri usando il seguente comando CLI:

   az policy definition create --name "AKS-Monitoring-Addon-MSI" --display-name "AKS-Monitoring-Addon-MSI" --mode Indexed --metadata version=1.0.0 category=Kubernetes --rules azure-policy.rules.json --params azure-policy.parameters.json
   

3. Creare la definizione dei criteri usando il seguente comando CLI:

   az policy assignment create --name aks-monitoring-addon --policy "AKS-Monitoring-Addon-MSI" --assign-identity --identity-scope /subscriptions/<subscriptionId> --role Contributor --scope /subscriptions/<subscriptionId> --___location <___location> -p "{ \"workspaceResourceId\": { \"value\": \"/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.operationalinsights/workspaces/<workspaceName>\" }, \"resourceTagValues\": { \"value\": {} }, \"workspaceRegion\": { \"value\": \"<___location>\" }}"
   

Dopo aver assegnato la policy alla sottoscrizione, ogni volta che si crea un nuovo cluster senza che il monitoraggio dei contenitori sia abilitato, la policy verrà eseguita e implementata per abilitare il monitoraggio dei contenitori.

Usare il comando az monitor diagnostic-settings create per creare un'impostazione di diagnostica con l'interfaccia della riga di comando di Azure. Vedere la documentazione per questo comando per le descrizioni dei relativi parametri.

L'esempio seguente crea un'impostazione di diagnostica che invia tutte le categorie Kubernetes a un'area di lavoro Log Analytics. Include la modalità specifica della risorsa per inviare i log a tabelle specifiche elencate in Log delle risorse supportate per Microsoft.ContainerService/fleets.

az monitor diagnostic-settings create \
--name 'Collect control plane logs' \
--resource  /subscriptions/<subscription ID>/resourceGroups/<resource group name>/providers/Microsoft.ContainerService/managedClusters/<cluster-name> \
--workspace /subscriptions/<subscription ID>/resourcegroups/<resource group name>/providers/microsoft.operationalinsights/workspaces/<log analytics workspace name> \
--logs '[{"category": "karpenter-events","enabled": true},{"category": "kube-audit","enabled": true},
{"category": "kube-apiserver","enabled": true},{"category": "kube-audit-admin","enabled": true},{"category": "kube-controller-manager","enabled": true},{"category": "kube-scheduler","enabled": true},{"category": "cluster-autoscaler","enabled": true},{"category": "cloud-controller-manager","enabled": true},{"category": "guard","enabled": true},{"category": "csi-azuredisk-controller","enabled": true},{"category": "csi-azurefile-controller","enabled": true},{"category": "csi-snapshot-controller","enabled": true},{"category": "fleet-member-agent","enabled": true},{"category": "fleet-member-net-controller-manager","enabled": true},{"category": "fleet-mcs-controller-manager","enabled": true}]'
--metrics '[{"category": "AllMetrics","enabled": true}]' \
--export-to-resource-specific true

Di seguito sono riportati i file di modello e di parametri di esempio per creare un'impostazione di diagnostica per i log del piano di controllo. Modificare i modelli per raccogliere categorie diverse o per inviare i log a una destinazione diversa.

Bicipite

param clusterName string
param workspaceId string
param settingName string

resource cluster 'Microsoft.ContainerService/managedClusters@2021-05-01-preview' existing = {
  name: clusterName
}

resource setting 'Microsoft.Insights/diagnosticSettings@2021-05-01-preview' = {
  name: settingName
  scope: cluster
  properties: {
    workspaceId: workspaceId
    logs: [
      {
        category: 'kube-apiserver'
        enabled: true
      }
      {
        category: 'kube-audit'
        enabled: true
      }
      {
        category: 'kube-audit-admin'
        enabled: true
      }
      {
        category: 'kube-controller-manager'
        enabled: true
      }
      {
        category: 'kube-scheduler'
              }
      {
        category: 'cluster-autoscaler'
        enabled: true
      }
      {
        category: 'guard'
        enabled: true
      }
    ]
  }
}

JSON

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "clusterName": {
            "type": "String"
        },
        "workspaceId": {
            "type": "String"
        },
        "settingName": {
            "type": "String"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Insights/diagnosticSettings",
            "apiVersion": "2021-05-01-preview",
            "scope": "[format('Microsoft.ContainerService/managedClusters/{0}', parameters('clusterName'))]",
            "name": "[parameters('settingName')]",
            "properties": {
                "workspaceId": "[parameters('workspaceId')]",
                "logs": [
                    {
                        "category": "kube-apiserver",
                        "enabled": true
                    },
                    {
                        "category": "kube-audit",
                        "enabled": true
                    },
                    {
                        "category": "kube-audit-admin",
                        "enabled": true
                    },
                    {
                        "category": "kube-controller-manager",
                        "enabled": true
                    },
                    {
                        "category": "kube-scheduler",
                        "enabled": false
                    },
                    {
                        "category": "cluster-autoscaler",
                        "enabled": true
                    },
                    {
                        "category": "guard",
                        "enabled": true
                    }
                ]
            }
        }
    ]
}

File di parametri

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "settingName": {
        "value": "<cluster-name>"
    },
    "workspaceId": {
      "value": "/subscriptions/<subscription id>/resourcegroups/<resourcegroup name>/providers/microsoft.operationalinsights/workspaces/<workspace name>"
    },
    "scope": {
      "value": "Microsoft.<resource type>/<resourceName>"
    }
  }
}

Usare il modello seguente per creare un'impostazione di diagnostica per i log del piano di controllo. Modificare il modello per raccogliere categorie diverse o per inviare i log a una destinazione diversa.

  features {}
}

variable "setting_name" {
  type        = string
  description = "Name for the diagnostic setting."
}

variable "workspace_id" {
  type        = string
  description = "Resource ID of the Log Analytics workspace."
}

variable "cluster_id" {
  type        = string
  description = "Resource ID of the AKS cluster to attach diagnostics to."
}

resource "azurerm_monitor_diagnostic_setting" "aks" {
  name                       = var.setting_name
  target_resource_id         = var.cluster_id
  log_analytics_workspace_id = var.workspace_id

  log {
    category = "kube-apiserver"
    enabled  = true
  }

  log {
    category = "kube-audit"
    enabled  = true
  }

  log {
    category = "kube-audit-admin"
    enabled  = true
  }

  log {
    category = "kube-controller-manager"
    enabled  = true
  }

  log {
    category = "kube-scheduler"
    enabled  = false
  }

  log {
    category = "cluster-autoscaler"
    enabled  = true
  }

  log {
    category = "guard"
    enabled  = true
  }
}

Selezionare Impostazioni di diagnostica nella sezione Monitoraggio del menu per il cluster. Selezionare + Aggiungi impostazione di diagnostica quindi.

Selezionare Invia all'area di lavoro Log Analytics e selezionare la stessa area di lavoro in cui inviare i log del contenitore. Selezionare quindi le diverse categorie da raccogliere. Assegnare al nome dell'impostazione di diagnostica un nome descrittivo, ad esempio Raccogli log del piano di controllo.

Verificare la distribuzione

Dopo alcuni minuti dall'abilitazione del monitoraggio, è necessario essere in grado di usare i metodi seguenti per verificare che le funzionalità di monitoraggio siano abilitate.

• Il cluster deve passare dalla visualizzazione Cluster non monitorati alla visualizzazione Cluster monitorati nella visualizzazione multi-cluster di Container insights.
• La visualizzazione Monitoraggio per il cluster deve iniziare a popolare i dati e non offre più un'opzione per abilitare il monitoraggio. Sono incluse le schede Nodi, Carichi di lavoro e Contenitori .

Per informazioni dettagliate sull'uso di Criteri di Azure per creare impostazioni di diagnostica su larga scala, vedere Creare impostazioni di diagnostica su larga scala utilizzando i criteri incorporati di Azure.