Partilhar via

Habilitar link privado para monitoramento do Kubernetes no Azure Monitor

O Azure Private Link permite que você acesse os recursos da plataforma Azure como serviço (PaaS) para sua rede virtual usando pontos de extremidade privados. Um Escopo de Link Privado do Azure Monitor (AMPLS) conecta um ponto de extremidade privado a um conjunto de recursos do Azure Monitor para definir os limites da sua rede de monitoramento. Ao utilizar pontos de extremidade privados para o Managed Prometheus/Container Insights e o espaço de trabalho do Azure Monitor/Log Analytics Workspace, é possível permitir que clientes numa rede virtual (VNet) ingressem dados com segurança através de um Azure Private Link.

Este artigo descreve como conectar seu cluster a um Azure Monitor Private Link Scope (AMPLS) existente. Se você ainda não tiver um AMPLS, crie um usando as orientações em Configurar link privado para o Azure Monitor.

Managed Prometheus (espaço de trabalho do Azure Monitor)

Siga as etapas abaixo para configurar a ingestão de métricas Prometheus do cluster AKS privado no Azure Monitor Workspace.

Descrição geral conceptual

  • Um ponto de extremidade privado é uma interface de rede especial para um serviço do Azure em sua Rede Virtual (VNet). Quando você cria um ponto de extremidade privado para seu espaço de trabalho do Azure Monitor, ele fornece conectividade segura entre clientes em sua rede virtual e seu espaço de trabalho. Para obter mais informações, consulte Ponto de extremidade privado.

  • Um Azure Private Link permite que você vincule com segurança os recursos da plataforma Azure como serviço (PaaS) à sua rede virtual usando pontos de extremidade privados. O Azure Monitor usa uma única conexão de link privado chamada Escopo de Link Privado do Azure Monitor ou AMPLS, que permite que cada cliente na rede virtual se conecte a todos os recursos do Azure Monitor, como Espaço de Trabalho do Log Analytics, Espaço de Trabalho do Azure Monitor etc. (em vez de criar vários links privados). Para obter mais informações, consulte Azure Monitor Private Link Scope (AMPLS)

Diagrama que mostra a visão geral da ingestão através de link privado.

Para configurar a ingestão de métricas do Managed Prometheus da rede virtual usando pontos de extremidade privados no Espaço de Trabalho do Azure Monitor, siga estas etapas de alto nível:

  • Crie um Escopo de Link Privado do Azure Monitor (AMPLS) e conecte-o ao Ponto de Extremidade de Coleta de Dados do Espaço de Trabalho do Azure Monitor.
  • Conecte o AMPLS a um ponto de extremidade privado configurado para a rede virtual do seu cluster AKS privado.

Pré-requisitos

Um cluster AKS privado com o Managed Prometheus ativado. Como parte da ativação do Managed Prometheus, você também tem um Espaço de Trabalho do Azure Monitor configurado. Para obter mais informações, consulte Ativar o Prometheus gerenciado no AKS.

Configurar a ingestão de dados do cluster AKS privado para o Azure Monitor Workspace

1. Criar um AMPLS para o Azure Monitor Workspace

As métricas coletadas com o Azure Managed Prometheus são ingeridas e armazenadas no espaço de trabalho do Azure Monitor, portanto, você deve tornar o espaço de trabalho acessível por meio de um link privado. Para isso, crie um Escopo de Link Privado do Azure Monitor ou AMPLS.

  1. No portal do Azure, procure Escopos de Link Privado do Azure Monitor e clique em Criar.

  2. Insira o grupo de recursos e o nome, selecione Somente privado para o modo de acesso de ingestão.

    Captura de tela mostrando a configuração do AMPLS.

  3. Clique no "Rever + Criar" para criar o AMPLS.

Para obter mais informações sobre a configuração do AMPLS, consulte Configurar link privado para o Azure Monitor.

2. Conecte o AMPLS ao endpoint de recolha de dados do espaço de trabalho do Azure Monitor

Os links privados para ingestão de dados para o Managed Prometheus são configurados nos Pontos de Extremidade de Coleta de Dados (DCE) do espaço de trabalho do Azure Monitor que armazena os dados. Para identificar os DCEs associados ao seu espaço de trabalho do Azure Monitor, selecione Pontos de extremidade de coleta de dados no seu espaço de trabalho do Azure Monitor no portal do Azure.

  1. No portal do Azure, procure o Espaço de Trabalho do Azure Monitor que você criou como parte da habilitação do Managed Prometheus para seu cluster AKS privado. Observe o nome do ponto de extremidade de coleta de dados.

    Uma captura de ecrã mostrando a página dos pontos finais da recolha de dados para um espaço de trabalho do Azure Monitor.

  2. Agora, no portal do Azure, procure o AMPLS que você criou na etapa anterior. Vá para a página de visão geral do AMPLS, clique em Recursos do Azure Monitor, clique em Adicionar e conecte o DCE do Espaço de Trabalho do Azure Monitor que você anotou na etapa anterior.

    Captura de tela mostrando a conexão do DCE com o AMPLS.

2 bis. Configurar DCEs

Nota

Se o cluster AKS não estiver na mesma região que o Espaço de Trabalho do Azure Monitor, será necessário configurar um novo Ponto de Extremidade de Coleta de Dados para o Espaço de Trabalho do Azure Monitor.

Siga as etapas abaixo somente se o cluster AKS não estiver na mesma região que o Espaço de Trabalho do Azure Monitor. Se o cluster estiver na mesma região, ignore esta etapa e vá para a etapa 3.

  1. Crie um Ponto de Extremidade de Coleta de Dados na mesma região do cluster AKS.

  2. Vá para o seu Espaço de Trabalho do Azure Monitor e clique na Regra de coleta de dados (DCR) na página Visão geral. Esse DCR tem o mesmo nome que seu Espaço de Trabalho do Azure Monitor.

    Uma captura de tela mostra a regra de coleta de dados para um espaço de trabalho do Azure Monitor.

  3. Na página de visão geral do DCR, clique em Recursos ->+ Adicionar e selecione o cluster AKS.

    Captura de ecrã a mostrar como ligar o AMW DCR ao AKS

  4. Depois que o cluster AKS for adicionado (talvez seja necessário atualizar a página), clique no cluster AKS e, em seguida, em Editar Coleta de Dados do Endpoint. Na folha que se abre, selecione o Ponto de Extremidade de Coleta de Dados que criou na etapa 1 desta seção. Este DCE deve estar na mesma região que o cluster AKS.

    Uma captura de tela mostrando a associação do DCE.

  5. Vá para a página de visão geral do AMPLS, clique em Recursos do Azure Monitor, clique em Adicionar e conecte o DCE criado.

3. Ligue o AMPLS ao ponto final privado do cluster AKS

Um ponto de extremidade privado é uma interface de rede especial para um serviço do Azure em sua Rede Virtual (VNet). Agora criamos um ponto de extremidade privado na VNet do seu cluster AKS privado e o conectamos ao AMPLS para ingestão segura de métricas.

  1. No portal do Azure, procure o AMPLS que você criou nas etapas anteriores. Vá para a página de visão geral do AMPLS, clique em Configurar> e selecione + Ponto de extremidade privado.

  2. Selecione o grupo de recursos e insira um nome do ponto de extremidade privado e clique em Avançar.

  3. Na seção Recurso , selecione Microsoft.Monitor/accounts como o Tipo de recurso, o Espaço de Trabalho do Azure Monitor como o Recurso e selecione prometheusMetrics. Clique em Next.

    Uma captura de tela mostra a configuração do ponto de extremidade privado

  4. Na seção Rede Virtual , selecione a rede virtual do seu cluster AKS. Você pode encontrar esta opção no portal em AKS visão geral -> Configurações -> Redes -> Integração de rede virtual.

4. Verifique se as métricas são ingeridas no Azure Monitor Workspace

Verifique se as métricas Prometheus do seu cluster AKS privado são ingeridas no Azure Monitor Workspace:

  1. No portal do Azure, procure o Espaço de Trabalho do Azure Monitor e vá para Monitoring ->Metrics.
  2. No Explorador de Métricas, consulte métricas e verifique se você é capaz de consultar.

Nota

Ingestão de um cluster AKS privado

Se você optar por usar um Firewall do Azure para limitar a saída do cluster, poderá implementar uma das seguintes opções:

  • Abra um caminho para o ponto de extremidade de ingestão pública. Atualize a tabela de roteamento com os dois pontos de extremidade a seguir:
    • *.handler.control.monitor.azure.com
    • *.ingest.monitor.azure.com
  • Habilite o Firewall do Azure para acessar o escopo do Link Privado do Azure Monitor e o DCE usado para ingestão de dados.

Use as etapas a seguir para configurar a gravação remota para um cluster Kubernetes em uma rede virtual de link privado e um escopo de Link Privado do Azure Monitor.

  1. Crie sua rede virtual do Azure.
  2. Configure o cluster local para se conectar a uma VNET do Azure usando um gateway VPN ou ExpressRoutes com emparelhamento privado.
  3. Crie um escopo de Link Privado do Azure Monitor.
  4. Conecte o escopo do Azure Monitor Private Link a um ponto de extremidade privado na rede virtual usada pelo cluster local. Este ponto de extremidade privado é usado para acessar seus DCEs.
  5. No seu espaço de trabalho do Azure Monitor no portal, selecione Pontos de Extremidade de Coleta de Dados no menu do espaço de trabalho do Azure Monitor.
  6. Você tem pelo menos um DCE que tem o mesmo nome do seu espaço de trabalho. Clique no DCE para abrir seus detalhes.
  7. Selecione a página Isolamento de rede para o DCE.
  8. Clique em Adicionar e selecione o escopo do Link Privado do Azure Monitor. Leva alguns minutos para que as configurações se propaguem. Depois de concluídos, os dados do cluster AKS privado são ingeridos no espaço de trabalho do Azure Monitor através do link privado.

Informações de contêiner (espaço de trabalho do Log Analytics)

Os dados para informações de contêiner são armazenados em um espaço de trabalho do Log Analytics, portanto, você deve tornar esse espaço de trabalho acessível por meio de um link privado.

Nota

Esta seção descreve como habilitar o link privado para insights de contêiner usando a CLI. Para obter detalhes sobre como usar um modelo ARM, consulte Habilitar métricas Prometheus e registro em log de contêiner e anote os parâmetros useAzureMonitorPrivateLinkScope e azureMonitorPrivateLinkScopeResourceId.

Pré-requisitos

  • Este artigo descreve como conectar seu cluster a um Azure Monitor Private Link Scope (AMPLS) existente. Crie um AMPLS seguindo as orientações em Configurar seu link privado.
  • Azure CLI versão 2.61.0 ou superior.

Cluster usando autenticação de identidade gerenciada

Cluster AKS existente com espaço de trabalho padrão do Log Analytics

az aks enable-addons --addon monitoring --name <cluster-name> --resource-group <cluster-resource-group-name> --ampls-resource-id "<azure-monitor-private-link-scope-resource-id>"

Exemplo:

az aks enable-addons --addon monitoring --name "my-cluster" --resource-group "my-resource-group" --workspace-resource-id "/subscriptions/my-subscription/resourceGroups/my-resource-group/providers/Microsoft.OperationalInsights/workspaces/my-workspace" --ampls-resource-id "/subscriptions/my-subscription /resourceGroups/my-resource-group/providers/microsoft.insights/privatelinkscopes/my-ampls-resource"

Cluster AKS existente com espaço de trabalho existente do Log Analytics

az aks enable-addons --addon monitoring --name <cluster-name> --resource-group <cluster-resource-group-name> --workspace-resource-id <workspace-resource-id> --ampls-resource-id "<azure-monitor-private-link-scope-resource-id>"

Exemplo:

az aks enable-addons --addon monitoring --name "my-cluster" --resource-group "my-resource-group" --workspace-resource-id "/subscriptions/my-subscription/resourceGroups/my-resource-group/providers/Microsoft.OperationalInsights/workspaces/my-workspace" --ampls-resource-id "/subscriptions/my-subscription /resourceGroups/ my-resource-group/providers/microsoft.insights/privatelinkscopes/my-ampls-resource"

Novo cluster AKS

az aks create --resource-group rgName --name clusterName --enable-addons monitoring --workspace-resource-id "workspaceResourceId" --ampls-resource-id "azure-monitor-private-link-scope-resource-id"

Exemplo:

az aks create --resource-group "my-resource-group" --name "my-cluster" --enable-addons monitoring --workspace-resource-id "/subscriptions/my-subscription/resourceGroups/my-resource-group/providers/Microsoft.OperationalInsights/workspaces/my-workspace" --ampls-resource-id "/subscriptions/my-subscription /resourceGroups/ my-resource-group/providers/microsoft.insights/privatelinkscopes/my-ampls-resource"

Cluster usando autenticação herdada

Use os procedimentos a seguir para habilitar o isolamento de rede conectando seu cluster ao espaço de trabalho do Log Analytics usando o Azure Private Link se o cluster não estiver usando a autenticação de identidade gerenciada. Isso requer um cluster AKS privado.

  1. Crie um cluster AKS privado seguindo as orientações em Criar um cluster privado do Serviço Kubernetes do Azure.

  2. Desative a ingestão pública no espaço de trabalho do Log Analytics.

    Use o comando a seguir para desabilitar a ingestão pública em um espaço de trabalho existente.

    az monitor log-analytics workspace update --resource-group <azureLogAnalyticsWorkspaceResourceGroup> --workspace-name <azureLogAnalyticsWorkspaceName> --ingestion-access Disabled

    Use o comando a seguir para criar um novo espaço de trabalho com a ingestão pública desabilitada.

    az monitor log-analytics workspace create --resource-group <azureLogAnalyticsWorkspaceResourceGroup> --workspace-name <azureLogAnalyticsWorkspaceName> --ingestion-access Disabled

  3. Configure o link privado seguindo as instruções em Configurar seu link privado. Defina o acesso de ingestão como público e, em seguida, defina como privado depois que o ponto de extremidade privado for criado, mas antes que o monitoramento seja habilitado. A região de recurso de link privado deve ser a mesma que a região de cluster AKS.

  4. Habilite o monitoramento para o cluster AKS.

    az aks enable-addons -a monitoring --resource-group <AKSClusterResourceGorup> --name <AKSClusterName> --workspace-resource-id <workspace-resource-id> --enable-msi-auth-for-monitoring false

Próximos passos