Container insights でプライベート リンクを有効にする
この記事では、AKS クラスターに Azure Private Link を使用するように Container Insights を構成する方法について説明します。
マネージド ID 認証を使用するクラスター
前提条件
- テンプレートはクラスターと同じリソース グループ内にデプロイする必要があります。
テンプレートをダウンロードしてインストールする
ARM テンプレートとパラメータ ファイルをダウンロードします。
AKS クラスター
- テンプレート ファイル: https://aka.ms/aks-enable-monitoring-msi-onboarding-template-file
- パラメーター ファイル: https://aka.ms/aks-enable-monitoring-msi-onboarding-template-parameter-file
Arc 対応 Kubernetes クラスター
パラメーター ファイルで次の値を編集します。 [概要] ページの [JSON ビュー] からリソースのリソース ID を取得します。
パラメーター 説明 AKS: aksResourceId
Arc:clusterResourceId
クラスターのリソース ID。 AKS: aksResourceLocation
Arc:clusterRegion
クラスターの Azure リージョン。 AKS: workspaceResourceId
Arc:workspaceResourceId
Log Analytics ワークスペースのリソース ID。 AKS: workspaceRegion
Arc:workspaceRegion
Log Analytics ワークスペースのリージョン。 Arc: workspaceDomain
Log Analytics ワークスペースのドメイン: opinsights.azure.com
: Azure パブリック クラウドの場合opinsights.azure.us
(Azure US Government 用)opinsights.azure.cn
(Azure China Cloud 用)AKS: resourceTagValues
クラスターの既存のコンテナーの分析情報拡張機能のデータ収集ルール (DCR) に指定された既存のタグ値と、DCR の名前。 名前は MSCI-<clusterName>-<clusterRegion> となり、このリソースは AKS クラスター リソース グループに作成されます。 初めてのオンボードでは、任意のタグ値を設定できます。 AKS: useAzureMonitorPrivateLinkScope
Arc:useAzureMonitorPrivateLinkScope
Azure Monitor リンク スコープが使用されているかどうかを示すブール値フラグ。 AKS: azureMonitorPrivateLinkScopeResourceId
Arc:azureMonitorPrivateLinkScopeResourceId
Azure Monitor プライベート リンク スコープのリソース ID。 これは、 useAzureMonitorPrivateLinkScope
が true に設定されている場合にのみ使用されます。
要件に基づいて、streams
、enableContainerLogV2
、enableSyslog
、syslogLevels
、syslogFacilities
、dataCollectionInterval
、namespaceFilteringModeForDataCollection
、namespacesForDataCollection
などの他のパラメータを構成できます。
- Resource Manager テンプレートのデプロイに使用できる任意の方法を使用して、パラメーター ファイルと共にテンプレートをデプロイします。 さまざまな方法の例については、「サンプル テンプレートをデプロイする」を参照してください。
レガシ認証を使用するクラスター
クラスターでマネージド ID 認証が使用されていない場合は、次の手順に従って、Azure Private Link を使用してクラスターを Log Analytics ワークスペースに接続して、ネットワークの分離を有効にしてください。 これにはプライベート AKS クラスターが必要です。
「プライベート Azure Kubernetes Service クラスターを作成する」のガイダンスに従って、プライベート AKS クラスターを作成します。
Log Analytics ワークスペースのパブリック インジェストを無効にします。
次のコマンドを使って、既存のワークスペースでのパブリック インジェストを無効にします。
az monitor log-analytics workspace update --resource-group <azureLogAnalyticsWorkspaceResourceGroup> --workspace-name <azureLogAnalyticsWorkspaceName> --ingestion-access Disabled
次のコマンドを使って、パブリック インジェストを無効にして新しいワークスペースを作成します。
az monitor log-analytics workspace create --resource-group <azureLogAnalyticsWorkspaceResourceGroup> --workspace-name <azureLogAnalyticsWorkspaceName> --ingestion-access Disabled
「プライベート リンクを構成する」の説明に従って、プライベート リンクを構成します。 インジェスト アクセスをパブリックに設定し、プライベート エンドポイントを作成した後、監視を有効にする前にプライベートに設定します。 プライベート リンク リソースのリージョンは、AKS クラスターのリージョンと同じである必要があります。
AKS クラスターの監視を有効にします。
az aks enable-addons -a monitoring --resource-group <AKSClusterResourceGorup> --name <AKSClusterName> --workspace-resource-id <workspace-resource-id>
次のステップ
- ソリューションのオンボードを試みた際に問題が発生した場合は、トラブルシューティング ガイドを確認してください。
- AKS クラスターと実行中のワークロードの正常性とリソース使用率を収集するための監視を有効にしたうえで、Container insights を使用する方法について学習します。