Container insights でプライベート リンクを有効にする

この記事では、AKS クラスターに Azure Private Link を使用するように Container Insights を構成する方法について説明します。

マネージド ID 認証を使用するクラスター

前提条件

• テンプレートはクラスターと同じリソース グループ内にデプロイする必要があります。

テンプレートをダウンロードしてインストールする

1. ARM テンプレートとパラメータ ファイルをダウンロードします。

   AKS クラスター

   • テンプレート ファイル: https://aka.ms/aks-enable-monitoring-msi-onboarding-template-file
   • パラメーター ファイル: https://aka.ms/aks-enable-monitoring-msi-onboarding-template-parameter-file

   Arc 対応 Kubernetes クラスター

   • テンプレート ファイル: https://aka.ms/arc-k8s-azmon-extension-msi-arm-template
   • パラメーター ファイル: https://aka.ms/arc-k8s-azmon-extension-msi-arm-template-params

2. パラメーター ファイルで次の値を編集します。 [概要] ページの [JSON ビュー] からリソースのリソース ID を取得します。

   パラメーター	説明
   AKS: aksResourceId Arc: clusterResourceId	クラスターのリソース ID。
   AKS: aksResourceLocation Arc: clusterRegion	クラスターの Azure リージョン。
   AKS: workspaceResourceId Arc: workspaceResourceId	Log Analytics ワークスペースのリソース ID。
   AKS: workspaceRegion Arc: workspaceRegion	Log Analytics ワークスペースのリージョン。
   Arc: workspaceDomain	Log Analytics ワークスペースのドメイン: opinsights.azure.com: Azure パブリック クラウドの場合 opinsights.azure.us (Azure US Government 用) opinsights.azure.cn (Azure China Cloud 用)
   AKS: resourceTagValues	クラスターの既存のコンテナーの分析情報拡張機能のデータ収集ルール (DCR) に指定された既存のタグ値と、DCR の名前。 名前は MSCI-<clusterName>-<clusterRegion> となり、このリソースは AKS クラスター リソース グループに作成されます。 初めてのオンボードでは、任意のタグ値を設定できます。
   AKS: useAzureMonitorPrivateLinkScope Arc: useAzureMonitorPrivateLinkScope	Azure Monitor リンク スコープが使用されているかどうかを示すブール値フラグ。
   AKS: azureMonitorPrivateLinkScopeResourceId Arc: azureMonitorPrivateLinkScopeResourceId	Azure Monitor プライベート リンク スコープのリソース ID。 これは、useAzureMonitorPrivateLinkScope が true に設定されている場合にのみ使用されます。

要件に基づいて、streams、enableContainerLogV2、enableSyslog、syslogLevels、syslogFacilities、dataCollectionInterval、namespaceFilteringModeForDataCollection、namespacesForDataCollection などの他のパラメータを構成できます。

3. Resource Manager テンプレートのデプロイに使用できる任意の方法を使用して、パラメーター ファイルと共にテンプレートをデプロイします。 さまざまな方法の例については、「サンプル テンプレートをデプロイする」を参照してください。

レガシ認証を使用するクラスター

クラスターでマネージド ID 認証が使用されていない場合は、次の手順に従って、Azure Private Link を使用してクラスターを Log Analytics ワークスペースに接続して、ネットワークの分離を有効にしてください。 これにはプライベート AKS クラスターが必要です。

1. 「プライベート Azure Kubernetes Service クラスターを作成する」のガイダンスに従って、プライベート AKS クラスターを作成します。

2. Log Analytics ワークスペースのパブリック インジェストを無効にします。

   次のコマンドを使って、既存のワークスペースでのパブリック インジェストを無効にします。

   az monitor log-analytics workspace update --resource-group <azureLogAnalyticsWorkspaceResourceGroup> --workspace-name <azureLogAnalyticsWorkspaceName>  --ingestion-access Disabled
   

   次のコマンドを使って、パブリック インジェストを無効にして新しいワークスペースを作成します。

   az monitor log-analytics workspace create --resource-group <azureLogAnalyticsWorkspaceResourceGroup> --workspace-name <azureLogAnalyticsWorkspaceName>  --ingestion-access Disabled
   

3. 「プライベート リンクを構成する」の説明に従って、プライベート リンクを構成します。 インジェスト アクセスをパブリックに設定し、プライベート エンドポイントを作成した後、監視を有効にする前にプライベートに設定します。 プライベート リンク リソースのリージョンは、AKS クラスターのリージョンと同じである必要があります。

4. AKS クラスターの監視を有効にします。

   az aks enable-addons -a monitoring --resource-group <AKSClusterResourceGorup> --name <AKSClusterName> --workspace-resource-id <workspace-resource-id>
   

次のステップ

• ソリューションのオンボードを試みた際に問題が発生した場合は、トラブルシューティング ガイドを確認してください。
• AKS クラスターと実行中のワークロードの正常性とリソース使用率を収集するための監視を有効にしたうえで、Container insights を使用する方法について学習します。