Habilitar link privado para monitoramento do Kubernetes no Azure Monitor

O Azure Private Link permite que você acesse os recursos da plataforma Azure como serviço (PaaS) para sua rede virtual usando pontos de extremidade privados. Um Escopo de Link Privado do Azure Monitor (AMPLS) conecta um ponto de extremidade privado a um conjunto de recursos do Azure Monitor para definir os limites da sua rede de monitoramento. Este artigo descreve como configurar o Container insights e o Managed Prometheus para usar o link privado para ingestão de dados do cluster do Serviço Kubernetes do Azure (AKS).

Pré-requisitos

• Este artigo descreve como conectar seu cluster a um Azure Monitor Private Link Scope (AMPLS) existente. Crie um AMPLS seguindo as orientações em Configurar seu link privado.
• Azure CLI versão 2.61.0 ou superior.

Managed Prometheus (espaço de trabalho do Azure Monitor)

Os dados do Managed Prometheus são armazenados em um espaço de trabalho do Azure Monitor, portanto, você deve tornar esse espaço de trabalho acessível por meio de um link privado.

Configurar DCEs

Os links privados para ingestão de dados para o Managed Prometheus são configurados nos Pontos de Extremidade de Coleta de Dados (DCE) do espaço de trabalho do Azure Monitor que armazena os dados. Para identificar os DCEs associados ao seu espaço de trabalho do Azure Monitor, selecione Pontos de extremidade de coleta de dados no seu espaço de trabalho do Azure Monitor no portal do Azure.

Se o cluster AKS não estiver na mesma região do espaço de trabalho do Azure Monitor, será necessário criar outro DCE na mesma região do cluster AKS. Nesse caso, abra a regra de coleta de dados (DCR) criada quando você ativou o Managed Prometheus. Esse DCR será chamado MSProm-clusterName-clusterRegion><<>. O cluster será listado na página Recursos . Na lista suspensa Ponto de extremidade de coleta de dados, selecione o DCE na mesma região do cluster AKS.

Ingestão de um cluster AKS privado

Por padrão, um cluster AKS privado pode enviar dados para o Managed Prometheus e seu espaço de trabalho do Azure Monitor pela rede pública usando um ponto de extremidade de coleta de dados público.

Se você optar por usar um Firewall do Azure para limitar a saída do cluster, poderá implementar uma das seguintes opções:

• Abra um caminho para o ponto de extremidade de ingestão pública. Atualize a tabela de roteamento com os dois pontos de extremidade a seguir:
  • *.handler.control.monitor.azure.com
  • *.ingest.monitor.azure.com
• Habilite o Firewall do Azure para acessar o escopo do Link Privado do Azure Monitor e o DCE usado para ingestão de dados.

Ingestão de link privado para gravação remota

Use as etapas a seguir para configurar a gravação remota para um cluster Kubernetes em uma rede virtual de link privado e um escopo de Link Privado do Azure Monitor.

1. Crie sua rede virtual do Azure.
2. Configure o cluster local para se conectar a uma VNET do Azure usando um gateway VPN ou ExpressRoutes com emparelhamento privado.
3. Crie um escopo de Link Privado do Azure Monitor.
4. Conecte o escopo do Azure Monitor Private Link a um ponto de extremidade privado na rede virtual usada pelo cluster local. Este ponto de extremidade privado é usado para acessar seus DCEs.
5. No seu espaço de trabalho do Azure Monitor no portal, selecione Pontos de Extremidade de Coleta de Dados no menu do espaço de trabalho do Azure Monitor.
6. Você terá pelo menos um DCE que terá o mesmo nome do seu espaço de trabalho. Clique no DCE para abrir seus detalhes.
7. Selecione a página Isolamento de rede para o DCE.
8. Clique em Adicionar e selecione o escopo do Link Privado do Azure Monitor. Leva alguns minutos para que as configurações se propaguem. Depois de concluídos, os dados do cluster AKS privado são ingeridos no espaço de trabalho do Azure Monitor através do link privado.

Informações de contêiner (espaço de trabalho do Log Analytics)

Os dados para informações de contêiner são armazenados em um espaço de trabalho do Log Analytics, portanto, você deve tornar esse espaço de trabalho acessível por meio de um link privado.

Cluster usando autenticação de identidade gerenciada

Cluster AKS existente com espaço de trabalho padrão do Log Analytics

az aks enable-addons --addon monitoring --name <cluster-name> --resource-group <cluster-resource-group-name> --ampls-resource-id "<azure-monitor-private-link-scope-resource-id>"

Exemplo:

az aks enable-addons --addon monitoring --name "my-cluster" --resource-group "my-resource-group" --workspace-resource-id "/subscriptions/my-subscription/resourceGroups/my-resource-group/providers/Microsoft.OperationalInsights/workspaces/my-workspace" --ampls-resource-id "/subscriptions/my-subscription /resourceGroups/my-resource-group/providers/microsoft.insights/privatelinkscopes/my-ampls-resource"

Cluster AKS existente com espaço de trabalho existente do Log Analytics

az aks enable-addons --addon monitoring --name <cluster-name> --resource-group <cluster-resource-group-name> --workspace-resource-id <workspace-resource-id> --ampls-resource-id "<azure-monitor-private-link-scope-resource-id>"

Exemplo:

az aks enable-addons --addon monitoring --name "my-cluster" --resource-group "my-resource-group" --workspace-resource-id "/subscriptions/my-subscription/resourceGroups/my-resource-group/providers/Microsoft.OperationalInsights/workspaces/my-workspace" --ampls-resource-id "/subscriptions/my-subscription /resourceGroups/ my-resource-group/providers/microsoft.insights/privatelinkscopes/my-ampls-resource"

Novo cluster AKS

az aks create --resource-group rgName --name clusterName --enable-addons monitoring --workspace-resource-id "workspaceResourceId" --ampls-resource-id "azure-monitor-private-link-scope-resource-id"

Exemplo:

az aks create --resource-group "my-resource-group"  --name "my-cluster"  --enable-addons monitoring --workspace-resource-id "/subscriptions/my-subscription/resourceGroups/my-resource-group/providers/Microsoft.OperationalInsights/workspaces/my-workspace" --ampls-resource-id "/subscriptions/my-subscription /resourceGroups/ my-resource-group/providers/microsoft.insights/privatelinkscopes/my-ampls-resource"

Cluster usando autenticação herdada

Use os procedimentos a seguir para habilitar o isolamento de rede conectando seu cluster ao espaço de trabalho do Log Analytics usando o Azure Private Link se o cluster não estiver usando a autenticação de identidade gerenciada. Isso requer um cluster AKS privado.

1. Crie um cluster AKS privado seguindo as orientações em Criar um cluster privado do Serviço Kubernetes do Azure.

2. Desative a ingestão pública no espaço de trabalho do Log Analytics.

   Use o comando a seguir para desabilitar a ingestão pública em um espaço de trabalho existente.

   az monitor log-analytics workspace update --resource-group <azureLogAnalyticsWorkspaceResourceGroup> --workspace-name <azureLogAnalyticsWorkspaceName>  --ingestion-access Disabled
   

   Use o comando a seguir para criar um novo espaço de trabalho com a ingestão pública desabilitada.

   az monitor log-analytics workspace create --resource-group <azureLogAnalyticsWorkspaceResourceGroup> --workspace-name <azureLogAnalyticsWorkspaceName>  --ingestion-access Disabled
   

3. Configure o link privado seguindo as instruções em Configurar seu link privado. Defina o acesso de ingestão como público e, em seguida, defina como privado depois que o ponto de extremidade privado for criado, mas antes que o monitoramento seja habilitado. A região de recurso de link privado deve ser a mesma que a região de cluster AKS.

4. Habilite o monitoramento para o cluster AKS.

   az aks enable-addons -a monitoring --resource-group <AKSClusterResourceGorup> --name <AKSClusterName> --workspace-resource-id <workspace-resource-id> --enable-msi-auth-for-monitoring false
   

Próximos passos

• Se você tiver problemas ao tentar integrar a solução, consulte o Guia de solução de problemas.
• Com o monitoramento habilitado para coletar a integridade e a utilização de recursos do cluster AKS e das cargas de trabalho em execução neles, saiba como usar o Container insights.