コンテナーの分析情報の既定値は、クラスターのマネージド ID を使用して Azure Monitor にデータを送信する監視エージェントがあるマネージド ID認証です。 レガシ証明書ベースのローカル認証が置き換えられ、クラスターに Monitoring Metrics Publisher ロールを追加する必要がなくなります。
重要
Container Insights のレガシ認証は、2026 年 9 月 30 日に廃止されます。 この日付までにマネージド ID 認証に移行します。
この記事では、レガシ認証方法を使用してコンテナーの分析情報を有効にした場合にマネージド ID 認証に移行する方法と、その要件がある場合にレガシ認証を有効にする方法について説明します。
重要
レガシ認証を使用するクラスターがあり、Log Analytics ワークスペース キーがローテーションされている場合、Log Analytics ワークスペースへの監視データの送信が停止します。 ローテーションされた新しいワークスペース キーを使用して監視データの送信を再開するには、コンテナー分析情報アドオンを無効にしてから再度有効にする必要があります。 Log Analytics ワークスペース キーを使用しないコンテナー分析情報のマネージド ID 認証に移行する必要があります。
レガシ認証を使用してクラスターを検索する
次のクエリは、コンテナー分析情報でレガシ認証を使用するクラスターを一覧表示します。 クエリを実行するには、Resource Graph エクスプローラーを使用します。 クエリは、既存の Azure portal スコープ内で実行されます。 ポータルでスコープを設定して Azure Resource Graph クエリを実行する方法の詳細については、「クイックスタート: Azure portal を使用して Resource Graph クエリを実行する」を参照してください。
AKS クラスターのクエリ
resources
| where type =~ 'Microsoft.ContainerService/managedClusters'
| project id, name, aksproperties = parse_json(tolower(properties)), ___location, identity
| extend isEnabled = aksproperties.addonprofiles.omsagent.enabled
| extend workspaceResourceId = iif(isEnabled == true, aksproperties.addonprofiles.omsagent.config.loganalyticsworkspaceresourceid, '')
| extend useAADAuth = aksproperties.addonprofiles.omsagent.config.useaadauth
| where isEnabled =~ "true" and useAADAuth != true
| extend parts = split(tostring(id), "/")
| extend subscriptionId = parts[2], AKSClusterName = parts[-1], resourceGroupName = parts[4]
| project AKSClusterName, resourceGroupName, subscriptionId, ___location, AKSClusterId = tolower(id), workspaceResourceId
Arc を使用してオンプレミス クラスター、つまり、クラスターのクエリを実行します。
KubernetesConfigurationResources
| where type =~ "Microsoft.KubernetesConfiguration/extensions"
| extend properties = parse_json(tolower(properties))
| extend extensionType = properties.extensiontype
| where extensionType in~ ('microsoft.azuremonitor.containers')
| extend omsagentUseAADAuth = tostring(properties.configurationsettings.["omsagent.useaadauth"])
| extend amalogsUseAADAuth = tostring(properties.configurationsettings.["amalogs.useaadauth"])
| extend useAADAuth = iff(omsagentUseAADAuth == 'true' or amalogsUseAADAuth == 'true', 'true', 'false')
| extend workspaceResourceId = tostring(properties.configurationsettings.loganalyticsworkspaceresourceid)
| extend resourceId = tolower(split(id, "/providers/Microsoft.KubernetesConfiguration")[0])
| where useAADAuth != "true"
| extend parts = split(tostring(resourceId), "/")
| extend subscriptionId = parts[2], ClusterName = parts[-1], ResourceGroupName = parts[4]
| project ClusterName, ResourceGroupName,resourceId, subscriptionId, workspaceResourceId
マネージド ID 認証に移行する
マネージド ID 認証が使用可能になる前にコンテナーの分析情報を有効にした場合は、次の方法を使用してクラスターを移行できます。
マネージド ID 認証には、AKS クラスターの [モニター設定] パネルから移行できます。 [監視] セクションで、[分析情報] タブをクリックします。[分析情報] タブで、[モニターの設定] オプションをクリックし、[マネージド ID の使用] チェック ボックスをオンにします。
[Use managed identity] (マネージド ID を使用する) オプションが表示されない場合は、SPN クラスターを使用しています。 その場合は、コマンド ライン ツールを使用して移行する必要があります。 移行手順とテンプレートについては、他のタブをご覧ください。
レガシ認証を有効にする
レガシ認証が必要な場合は、「コンテナー分析情報を有効にする」を参照してください。コンテナー分析情報を有効にするためのさまざまなオプションの例があります。
次のステップ
エージェントのアップグレード中に問題が発生した場合は、トラブルシューティング ガイドを参照してください。