Aanbevolen procedures voor het bewaken van Kubernetes met Azure Monitor
Dit artikel bevat aanbevolen procedures voor het bewaken van de status en prestaties van uw Azure Kubernetes Service (AKS) en Kubernetes-clusters met Azure Arc. De richtlijnen zijn gebaseerd op de vijf pijlers van hoogwaardige architectuur die worden beschreven in Azure Well-Architected Framework.
Betrouwbaarheid
In de cloud erkennen we dat er fouten optreden. In plaats van fouten helemaal te proberen te voorkomen, is het doel de effecten van een onderdeel met een storing te beperken. Gebruik de volgende informatie om optimaal gebruik te maken van Azure Monitor om de betrouwbaarheid van uw Kubernetes-clusters en bewakingsomgeving te garanderen.
Controlelijst voor ontwerp
- Schakel scraping van metrische prometheus-gegevens voor uw cluster in.
- Schakel Container Insights in voor het verzamelen van logboeken en prestatiegegevens uit uw cluster.
- Maak diagnostische instellingen voor het verzamelen van besturingsvlaklogboeken voor AKS-clusters.
- Aanbevolen Prometheus-waarschuwingen inschakelen.
- Zorg voor de beschikbaarheid van de Log Analytics-werkruimte die containerinzichten ondersteunt.
Aanbevelingen voor configuratie
| Aanbeveling | Voordeel |
|---|---|
| Schakel scraping van metrische prometheus-gegevens voor uw cluster in. | Schakel Prometheus in op uw cluster met de beheerde Azure Monitor-service voor Prometheus als u nog geen Prometheus-omgeving hebt. Gebruik Azure Managed Grafana om de verzamelde Prometheus-gegevens te analyseren. Zie Scraping van metrische Prometheus-gegevens aanpassen in de beheerde Azure Monitor-service voor Prometheus om extra metrische gegevens te verzamelen buiten de standaardconfiguratie. |
| Schakel Container Insights in voor het verzamelen van logboeken en prestatiegegevens uit uw cluster. | Containerinzichten verzamelt stdout-/stderr-logboeken, prestatiegegevens en Kubernetes-gebeurtenissen van elk knooppunt in uw cluster. Het biedt dashboards en rapporten voor het analyseren van deze gegevens, inclusief de beschikbaarheid van uw knooppunten en andere onderdelen. Gebruik Log Analytics om beschikbaarheidsfouten in uw verzamelde logboeken te identificeren. |
| Maak diagnostische instellingen voor het verzamelen van besturingsvlaklogboeken voor AKS-clusters. | AKS implementeert logboeken van besturingsvlakken als resourcelogboeken in Azure Monitor. Maak een diagnostische instelling om deze logboeken naar uw Log Analytics-werkruimte te verzenden, zodat u logboekquery's kunt gebruiken om fouten en problemen te identificeren die van invloed zijn op de beschikbaarheid. |
| Aanbevolen Prometheus-waarschuwingen inschakelen. | Waarschuwingen in Azure Monitor melden u proactief wanneer er problemen worden gedetecteerd. Begin met een set aanbevolen Prometheus-waarschuwingsregels waarmee de meest voorkomende beschikbaarheids- en prestatieproblemen met uw cluster worden gedetecteerd. U kunt waarschuwingen voor zoeken in logboeken toevoegen met behulp van gegevens die zijn verzameld door Container Insights. |
| Zorg voor de beschikbaarheid van de Log Analytics-werkruimte die containerinzichten ondersteunt. | Container insights is afhankelijk van een Log Analytics-werkruimte. Zie aanbevolen procedures voor Azure Monitor-logboeken voor aanbevelingen om de betrouwbaarheid van de werkruimte te garanderen. |
Beveiliging
Beveiliging is een van de belangrijkste aspecten van een architectuur. Azure Monitor biedt functies om zowel het principe van minimale bevoegdheden als diepgaande verdediging te gebruiken. Gebruik de volgende informatie om uw Kubernetes-clusters te bewaken en ervoor te zorgen dat alleen geautoriseerde gebruikers toegang hebben tot verzamelde gegevens.
Controlelijst voor ontwerp
- Gebruik verificatie van beheerde identiteiten voor uw cluster om verbinding te maken met Container Insights.
- Overweeg het gebruik van Azure Private Link voor uw cluster om verbinding te maken met uw Azure Monitor-werkruimte met behulp van een privé-eindpunt.
- Gebruik verkeersanalyse om netwerkverkeer van en naar uw cluster te bewaken.
- Netwerkobserveerbaarheid inschakelen.
- Zorg voor de beveiliging van de Log Analytics-werkruimte die containerinzichten ondersteunt.
Aanbevelingen voor configuratie
| Aanbeveling | Voordeel |
|---|---|
| Gebruik verificatie van beheerde identiteiten voor uw cluster om verbinding te maken met Container Insights. | Verificatie van beheerde identiteiten is de standaardinstelling voor nieuwe clusters. Als u verouderde verificatie gebruikt, moet u migreren naar een beheerde identiteit om de lokale verificatie op basis van certificaten te verwijderen. |
| Overweeg het gebruik van Azure Private Link voor uw cluster om verbinding te maken met uw Azure Monitor-werkruimte met behulp van een privé-eindpunt. | De door Azure beheerde service voor Prometheus slaat de gegevens op in een Azure Monitor-werkruimte die standaard een openbaar eindpunt gebruikt. Verbinding maken ies naar openbare eindpunten worden beveiligd met end-to-end-versleuteling. Als u een privé-eindpunt nodig hebt, kunt u azure Private Link gebruiken om uw cluster verbinding te laten maken met de werkruimte via geautoriseerde privénetwerken. Private Link kan ook worden gebruikt om gegevensopname van werkruimten af te dwingen via ExpressRoute of een VPN. Zie Private Link voor gegevensopname voor beheerde Prometheus- en Azure Monitor-werkruimte voor meer informatie over het configureren van uw cluster voor private link. Zie Privé-eindpunten gebruiken voor beheerde Prometheus- en Azure Monitor-werkruimte voor meer informatie over het uitvoeren van query's op uw gegevens met behulp van private link. |
| Gebruik verkeersanalyse om netwerkverkeer van en naar uw cluster te bewaken. | Traffic Analytics analyseert NSG-stroomlogboeken van Azure Network Watcher om inzicht te krijgen in de verkeersstroom in uw Azure-cloud. Gebruik dit hulpprogramma om ervoor te zorgen dat er geen gegevensexfiltratie voor uw cluster zijn en om te detecteren of er onnodige openbare IP-adressen beschikbaar zijn. |
| Netwerkobserveerbaarheid inschakelen. | Netwerkobserveerbaarheidsinvoegtoepassing voor AKS biedt waarneembaarheid in de meerdere lagen in de Kubernetes-netwerkstack. toegang tussen services in het cluster bewaken en observeren (oost-west-verkeer). |
| Zorg voor de beveiliging van de Log Analytics-werkruimte die containerinzichten ondersteunt. | Container insights is afhankelijk van een Log Analytics-werkruimte. Zie aanbevolen procedures voor Azure Monitor-logboeken voor aanbevelingen om de beveiliging van de werkruimte te garanderen. |
Kostenoptimalisatie
Kostenoptimalisatie verwijst naar manieren om onnodige uitgaven te verminderen en operationele efficiëntie te verbeteren. U kunt uw kosten voor Azure Monitor aanzienlijk verlagen door inzicht te krijgen in uw verschillende configuratieopties en mogelijkheden om de hoeveelheid gegevens te verminderen die door azure Monitor worden verzameld. Zie Azure Monitor-kosten en -gebruik om inzicht te hebben in de verschillende manieren waarop Azure Monitor-kosten in rekening worden gebracht en hoe u uw maandelijkse factuur kunt bekijken.
Notitie
Zie Kosten optimaliseren in Azure Monitor voor aanbevelingen voor kostenoptimalisatie voor alle functies van Azure Monitor.
Controlelijst voor ontwerp
- Schakel containerinzichtverzameling van prometheus-metrische gegevens niet in.
- Configureer agentverzameling om gegevensverzameling in Container Insights te wijzigen.
- Wijzig instellingen voor het verzamelen van metrische gegevens door Container Insights.
- Schakel containerinzichtenverzameling van metrische gegevens uit als u de Container Insights-ervaring niet gebruikt in Azure Portal.
- Als u de tabel containerlogboeken niet regelmatig opvraagt of gebruikt voor waarschuwingen, configureert u deze als basislogboeken.
- Beperk het verzamelen van resourcelogboeken die u niet nodig hebt.
- Gebruik resourcespecifieke logboekregistratie voor AKS-resourcelogboeken en configureer tabellen als basislogboeken.
- Gebruik OpenCost om details over uw Kubernetes-kosten te verzamelen.
Aanbevelingen voor configuratie
| Aanbeveling | Voordeel |
|---|---|
| Schakel containerinzichtverzameling van prometheus-metrische gegevens niet in in de Log Analytics-werkruimte als u scraping van metrische gegevens met Prometheus hebt ingeschakeld. | Naast het scrapen van metrische Prometheus-gegevens uit uw cluster met behulp van de beheerde Azure Monitor-service voor Prometheus, kunt u Container Insights configureren voor het verzamelen van metrische Prometheus-gegevens in uw Log Analytics-werkruimte. Dit is redundant met de gegevens in Managed Prometheus en leidt tot extra kosten. |
| Configureer de agent voor het wijzigen van gegevensverzameling in Container Insights. | Analyseer de gegevens die door Container Insights worden verzameld, zoals beschreven in Opname beheren om de kosten te verlagen en uw configuratie aan te passen om het verzamelen van gegevens te stoppen die u niet nodig hebt. |
| Wijzig instellingen voor het verzamelen van metrische gegevens door Container Insights. | Zie Instellingen voor kostenoptimalisatie inschakelen voor meer informatie over het wijzigen van de frequentie waarmee metrische gegevens worden verzameld en de naamruimten die worden verzameld door Container Insights. |
| Schakel containerinzichtenverzameling van metrische gegevens uit als u de Container Insights-ervaring niet gebruikt in Azure Portal. | Container insights verzamelt veel van dezelfde metrische waarden als Managed Prometheus. U kunt het verzamelen van deze metrische gegevens uitschakelen door Container Insights te configureren om alleen logboeken en gebeurtenissen te verzamelen, zoals beschreven in Instellingen voor kostenoptimalisatie inschakelen in Container Insights. Met deze configuratie wordt de Container Insights-ervaring in Azure Portal uitgeschakeld, maar u kunt Grafana gebruiken om metrische gegevens van Prometheus en Log Analytics te visualiseren om logboekgegevens te analyseren die zijn verzameld door Container Insights. |
| Als u de tabel containerlogboeken niet regelmatig opvraagt of gebruikt voor waarschuwingen, configureert u deze als basislogboeken. | Converteer uw Container Insights-schema naar ContainerLogV2 dat compatibel is met basislogboeken en kan aanzienlijke kostenbesparingen bieden, zoals beschreven in Opname beheren om de kosten te verlagen. |
| Beperk het verzamelen van resourcelogboeken die u niet nodig hebt. | Besturingsvlaklogboeken voor AKS-clusters worden geïmplementeerd als resourcelogboeken in Azure Monitor. Maak een diagnostische instelling om deze gegevens naar een Log Analytics-werkruimte te verzenden. Zie Logboeken van besturingsvlak verzamelen voor AKS-clusters voor aanbevelingen over welke categorieën u moet verzamelen. |
| Gebruik resourcespecifieke logboekregistratie voor AKS-resourcelogboeken en configureer tabellen als basislogboeken. | AKS ondersteunt de diagnostische modus van Azure of de resourcespecifieke modus voor resourcelogboeken. Geef resourcelogboeken op om de optie in te schakelen voor het configureren van de tabellen voor basislogboeken, die een gereduceerde opnamekosten bieden voor logboeken die u slechts af en toe opvraagt en die u niet gebruikt voor waarschuwingen. |
| Gebruik OpenCost om details over uw Kubernetes-kosten te verzamelen. | OpenCost is een opensource- en leverancierneutraal CNCF-sandboxproject voor inzicht in uw Kubernetes-kosten en het ondersteunen van uw vermogen tot zichtbaarheid van AKS-kosten. Het exporteert gedetailleerde kostengegevens naast klantspecifieke Azure-prijzen naar Azure Storage om de clusterbeheerder te helpen bij het analyseren en categoriseren van kosten. |
Operationele uitmuntendheid
Operationele uitmuntendheid verwijst naar operationele processen die vereist zijn om een service betrouwbaar in productie te houden. Gebruik de volgende informatie om de operationele vereisten voor het bewaken van uw Kubernetes-clusters te minimaliseren.
Controlelijst voor ontwerp
- Bekijk richtlijnen voor het bewaken van alle lagen van uw Kubernetes-omgeving.
- Gebruik Kubernetes met Azure Arc om uw clusters buiten Azure te bewaken.
- Gebruik beheerde Azure-services voor systeemeigen cloudhulpprogramma's.
- AKS-clusters integreren in uw bestaande bewakingshulpprogramma's.
- Gebruik Azure Policy om gegevensverzameling vanuit uw Kubernetes-cluster in te schakelen.
Aanbevelingen voor configuratie
| Aanbeveling | Voordeel |
|---|---|
| Bekijk richtlijnen voor het bewaken van alle lagen van uw Kubernetes-omgeving. | Bewaak de prestaties van uw Kubernetes-cluster met Container Insights en bevat richtlijnen en best practices voor het bewaken van uw hele Kubernetes-omgeving vanuit de netwerk-, cluster- en toepassingslagen. |
| Gebruik Kubernetes met Azure Arc om uw clusters buiten Azure te bewaken. | Met Kubernetes met Azure Arc kunnen uw Kubernetes-clusters die in andere clouds worden uitgevoerd, worden bewaakt met dezelfde hulpprogramma's als uw AKS-clusters, waaronder Container Insights en azure Monitor Managed Service voor Prometheus. |
| Gebruik beheerde Azure-services voor systeemeigen cloudhulpprogramma's. | Beheerde Azure Monitor-service voor Prometheus en Azure managed Grafana ondersteunen alle functies van de cloudeigen hulpprogramma's Prometheus en Grafana zonder dat ze hun onderliggende infrastructuur hoeven te gebruiken. U kunt deze hulpprogramma's snel inrichten en uw Kubernetes-clusters onboarden met minimale overhead. Met deze services hebt u toegang tot een uitgebreide bibliotheek met communityregels en -dashboards om uw Kubernetes-omgeving te bewaken. |
| AKS-clusters integreren in uw bestaande bewakingshulpprogramma's. | Als u een bestaande investering in Prometheus en Grafana hebt, integreert u uw AKS-clusters en door Azure beheerde services in uw bestaande omgeving met behulp van de richtlijnen in Kubernetes-clusters bewaken met behulp van Azure-services en cloudeigen hulpprogramma's. |
| Gebruik Azure Policy om gegevensverzameling vanuit uw Kubernetes-cluster in te schakelen. | Gebruik Azure Policy om gegevensverzameling in te schakelen voor het inschakelen van metrische prometheus-gegevens, containerinzichten en diagnostische instellingen. Dit zorgt ervoor dat nieuwe clusters automatisch worden bewaakt en hun bewakingsconfiguratie afdwingt. |
Prestatie-efficiëntie
Prestatie-efficiëntie is de mogelijkheid om op efficiënte wijze uw werkbelasting te schalen om te voldoen aan de vereisten die gebruikers eraan stellen. Gebruik de volgende informatie om de prestaties van uw Kubernetes-clusters te bewaken en ervoor te zorgen dat ze zijn geconfigureerd voor maximale prestaties.
Controlelijst voor ontwerp
- Het verzamelen van metrische prometheus-gegevens voor uw cluster inschakelen.
- Schakel Containerinzichten in om de prestaties van uw cluster bij te houden.
- Aanbevolen Prometheus-waarschuwingen inschakelen.
Aanbevelingen voor configuratie
| Aanbeveling | Voordeel |
|---|---|
| Het verzamelen van metrische prometheus-gegevens voor uw cluster inschakelen. | Prometheus is een cloudeigen oplossing voor metrische gegevens van de Cloud Native Compute Foundation en het meest gebruikte hulpprogramma voor het verzamelen en analyseren van metrische gegevens uit Kubernetes-clusters. Schakel Prometheus in op uw cluster met de beheerde Azure Monitor-service voor Prometheus als u nog geen Prometheus-omgeving hebt. Gebruik Azure Managed Grafana om de verzamelde Prometheus-gegevens te analyseren. Zie Scraping van metrische Prometheus-gegevens aanpassen in de beheerde Azure Monitor-service voor Prometheus om extra metrische gegevens te verzamelen buiten de standaardconfiguratie. |
| Schakel Containerinzichten in om de prestaties van uw cluster bij te houden. | Wanneer u Container Insights inschakelt voor uw Kubernetes-cluster, kunt u weergaven en werkmappen gebruiken om de prestaties van de onderdelen van uw cluster bij te houden. Deze gegevens kunnen overlappen met gegevens die door Prometheus worden verzameld. Zie Kostenoptimalisatie voor aanbevelingen met betrekking tot kosten. |
| Aanbevolen Prometheus-waarschuwingen inschakelen. | Waarschuwingen in Azure Monitor melden u proactief wanneer er problemen worden gedetecteerd. Begin met een set aanbevolen Prometheus-waarschuwingsregels waarmee de meest voorkomende beschikbaarheids- en prestatieproblemen met uw cluster worden gedetecteerd. U kunt waarschuwingen voor zoeken in logboeken toevoegen met behulp van gegevens die zijn verzameld door Container Insights. |