Habilitación de un vínculo privado para la supervisión de Kubernetes en Azure Monitor

Azure Private Link permite acceder a los recursos de plataforma como servicio (PaaS) de Azure en la red virtual mediante puntos de conexión privados. Un ámbito de Azure Monitor Private Link (AMPLS) conecta un endpoint privado a un conjunto de recursos de Azure Monitor para definir los límites de la red de monitorización. Usando puntos de conexión privados para Prometheus administrado/área de trabajo de Container Insights y Azure Monitor/Área de trabajo de Log Analytics, permite que los clientes de una red virtual (VNet) ingieran datos de forma segura a través de un Private Link.

En este artículo se describe cómo configurar Container Insights y Prometheus administrado a fin de usar un vínculo privado para la ingesta de datos desde el clúster de Azure Kubernetes Service (AKS).

Prometheus administrado (entorno de trabajo de Azure Monitor)

Siga los pasos siguientes para configurar la ingesta de métricas de Prometheus del clúster de AKS privado en el área de trabajo de Azure Monitor.

Información general conceptual

• Un punto de conexión privado es una interfaz de red especial para un servicio de Azure en la red virtual (VNet). Al crear un punto de conexión privado para el área de trabajo de Azure Monitor, proporciona conectividad segura entre los clientes de la red virtual y el área de trabajo. Para obtener más información, consulte Punto de conexión privado.

• Una instancia de Azure Private Link permite vincular de forma segura los recursos de la plataforma como servicio (PaaS) de Azure a la red virtual mediante puntos de conexión privados. Azure Monitor usa una única conexión de vínculo privado denominada Ámbito de Vínculo Privado de Azure Monitor o AMPLS, que permite que cada cliente de la red virtual se conecte con todos los recursos de Azure Monitor, como el espacio de trabajo de Log Analytics, el espacio de trabajo de Azure Monitor, etc. (en lugar de crear varios vínculos privados). Para obtener más información, consulte el Ámbito de conexión privada (AMPLS) de Azure Monitor.

Para configurar la ingesta de métricas de Prometheus administradas desde la red virtual mediante puntos de conexión privados en el área de trabajo de Azure Monitor, siga estos pasos generales:

• Cree un ámbito de enlace privado (AMPLS) de Azure Monitor y conéctelo al punto de recopilación de datos del área de trabajo de Azure Monitor.
• Conecte AMPLS a un punto de conexión privado configurado para la red virtual del clúster de AKS privado.

Requisitos previos

Un clúster de AKS privado con Prometheus administrado habilitado. Como parte de la habilitación de Prometheus administrado, también tiene un área de trabajo de Azure Monitor configurada. Para obtener más información, consulte Habilitar Prometheus administrado en AKS.

Configurar la ingesta de datos desde el clúster de AKS privado al espacio de trabajo de Azure Monitor

1. Creación de un AMPLS para el área de trabajo de Azure Monitor

Las métricas recopiladas con Azure Managed Prometheus se ingieren y almacenan en el área de trabajo de Azure Monitor, por lo que debe hacer que el área de trabajo sea accesible a través de un vínculo privado. Para esto, cree un ámbito de Private Link de Azure Monitor o AMPLS.

1. En el portal de Azure, busque Azure Monitor Private Link Scopes y haga clic en Crear.

2. Escriba el grupo de recursos y el nombre, seleccione Solo privado para el modo de acceso de ingesta.

   

3. Haga clic en "Revisar y crear" para crear el AMPLS.

Para más información sobre la configuración de AMPLS, consulte Configuración de Private Link para Azure Monitor.

2. Conexión de AMPLS al punto de conexión de recopilación de datos del área de trabajo de Azure Monitor

Los vínculos privados para la ingestión de datos de Prometheus gestionado se configuran en los puntos de conexión de recopilación de datos (DCE) del área de trabajo de Azure Monitor que almacena los datos. Para identificar los DCE asociados al área de trabajo de Azure Monitor, seleccione Puntos de conexión de recopilación de datos en el área de trabajo de Azure Monitor en Azure Portal.

1. En Azure Portal, busque el área de trabajo de Azure Monitor que creó como parte de la habilitación de Managed Prometheus para el clúster de AKS privado. Anote el nombre del punto de conexión de recopilación de datos.

   

2. Ahora, en Azure Portal, busque el AMPLS que creó en el paso anterior. Vaya a la página de información general de AMPLS, haga clic en Recursos de Azure Monitor, haga clic en Agregar y, a continuación, conecte el DCE del área de trabajo de Azure Monitor que anotó en el paso anterior.

   

2a. Configuración de DCE

Siga los pasos siguientes solo si el clúster de AKS no está en la misma región que el área de trabajo de Azure Monitor. Si el clúster está en la misma región, omita este paso y vaya al paso 3.

1. Cree un punto de conexión de recopilación de datos en la misma región que el clúster de AKS.

2. Vaya al área de trabajo de Azure Monitor y haga clic en la regla de recopilación de datos (DCR) en la página Información general. Esta DCR tiene el mismo nombre que el área de trabajo de Azure Monitor.

   

3. En la página de información general de DCR, haga clic en Recursos ->+ Agregar y, a continuación, seleccione el clúster de AKS.

   

4. Una vez agregado el clúster de AKS (es posible que tenga que actualizar la página), haga clic en el clúster de AKS y, a continuación, en Editar recopilación de datos de punto de conexión. En la hoja que se abre, seleccione el punto de conexión de recopilación de datos que creó en el paso 1 de esta sección. Esta DCE debe estar en la misma región que el clúster de AKS.

   

5. Vaya a la página de información general de AMPLS, haga clic en Recursos de Azure Monitor, haga clic en Agregar y, a continuación, conecte la DCE creada.

3. Conexión de AMPLS al punto de conexión privado del clúster de AKS

Un punto de conexión privado es una interfaz de red especial para un servicio de Azure en la red virtual (VNet). Ahora creamos un punto de conexión privado en la red virtual del clúster de AKS privado y lo conectamos a AMPLS para la ingesta segura de métricas.

1. En Azure Portal, busque el AMPLS que creó en los pasos anteriores. Vaya a la página de información general de AMPLS, haga clic en Configurar ->Conexiones de punto de conexión privado, y luego seleccione + Punto de conexión privado.

2. Seleccione el grupo de recursos y escriba un nombre del punto de conexión privado y, a continuación, haga clic en Siguiente.

3. En la sección Recurso , seleccione Microsoft.Monitor/accounts como tipo de recurso, el área de trabajo de Azure Monitor como recurso y, a continuación, seleccione PrometheusMetrics. Haga clic en Next.

   

4. En la sección Red virtual , seleccione la red virtual del clúster de AKS. Puede encontrarlo en el portal en Información general de AKS:> Configuración -> Redes -> Integración de red virtual.

4. Comprobación de si las métricas se ingieren en el área de trabajo de Azure Monitor

Compruebe si las métricas de Prometheus del clúster de AKS privado se ingieren en el área de trabajo de Azure Monitor:

1. En Azure Portal, busque el área de trabajo de Azure Monitor y vaya a Supervisión ->Métricas.
2. En el Explorador de métricas, consulte las métricas y compruebe que puede consultar.

Ingesta desde un clúster de AKS privado

Si decide usar Azure Firewall para limitar la salida del clúster, puede implementar una de las siguientes opciones:

• Abra una ruta de acceso al punto de conexión de ingesta pública. Actualice la tabla de enrutamiento con los dos puntos de conexión siguientes:
  • *.handler.control.monitor.azure.com
  • *.ingest.monitor.azure.com
• Habilite Azure Firewall para acceder al ámbito de la vinculación privada de Azure Monitor y al DCE que se utiliza para la ingestión de datos.

Ingesta de vínculo privado para escritura remota

Use los pasos siguientes para configurar la escritura remota para un clúster de Kubernetes a través de una red virtual de vínculo privado y un ámbito de Private Link de Azure Monitor.

1. Cree una red virtual de Azure.
2. Configure el clúster local para conectarse a una red virtual de Azure mediante una puerta de enlace de VPN o ExpressRoutes con emparejamiento privado.
3. Cree un ámbito de Private Link de Azure Monitor.
4. Conecte el ámbito de Azure Monitor Private Link a un punto de conexión privado en la red virtual utilizada por el clúster en las instalaciones. Este punto de conexión privado se usa para acceder a los DCE.
5. En el área de trabajo de Azure Monitor del portal, seleccione Puntos de conexión de recopilación de datos en el menú Área de trabajo de Azure Monitor.
6. Tiene al menos un DCE con el mismo nombre que el área de trabajo. Haga clic en el DCE para abrir sus detalles.
7. Seleccione la página Aislamiento de red para el DCE.
8. Haga clic en Agregar y seleccione el ámbito de Private Link de Azure Monitor. La configuración tarda unos minutos en propagarse. Una vez completado, los datos de tu clúster privado de AKS se ingieren en tu área de trabajo de Azure Monitor a través del enlace privado.

Container Insights (área de trabajo de Log Analytics)

Los datos de Container Insights se almacenan en un área de trabajo de Log Analytics, por lo que debe hacer que esta área de trabajo sea accesible a través de un vínculo privado.

Requisitos previos

• En este artículo se describe cómo conectar el clúster a un ámbito existente de Azure Monitor Private Link (AMPLS). Cree un AMPLS siguiendo las instrucciones de Configuración de un vínculo privado.
• CLI de Azure, versión 2.61.0 o superior.

Clúster utilizando autenticación de identidad administrada

Clúster de AKS existente con el área de trabajo de Log Analytics predeterminada

az aks enable-addons --addon monitoring --name <cluster-name> --resource-group <cluster-resource-group-name> --ampls-resource-id "<azure-monitor-private-link-scope-resource-id>"

Ejemplo:

az aks enable-addons --addon monitoring --name "my-cluster" --resource-group "my-resource-group" --workspace-resource-id "/subscriptions/my-subscription/resourceGroups/my-resource-group/providers/Microsoft.OperationalInsights/workspaces/my-workspace" --ampls-resource-id "/subscriptions/my-subscription /resourceGroups/my-resource-group/providers/microsoft.insights/privatelinkscopes/my-ampls-resource"

Clúster de AKS existente con el área de trabajo de Log Analytics existente

az aks enable-addons --addon monitoring --name <cluster-name> --resource-group <cluster-resource-group-name> --workspace-resource-id <workspace-resource-id> --ampls-resource-id "<azure-monitor-private-link-scope-resource-id>"

Ejemplo:

az aks enable-addons --addon monitoring --name "my-cluster" --resource-group "my-resource-group" --workspace-resource-id "/subscriptions/my-subscription/resourceGroups/my-resource-group/providers/Microsoft.OperationalInsights/workspaces/my-workspace" --ampls-resource-id "/subscriptions/my-subscription /resourceGroups/ my-resource-group/providers/microsoft.insights/privatelinkscopes/my-ampls-resource"

Nuevo clúster de AKS

az aks create --resource-group rgName --name clusterName --enable-addons monitoring --workspace-resource-id "workspaceResourceId" --ampls-resource-id "azure-monitor-private-link-scope-resource-id"

Ejemplo:

az aks create --resource-group "my-resource-group" --name "my-cluster" --enable-addons monitoring --workspace-resource-id "/subscriptions/my-subscription/resourceGroups/my-resource-group/providers/Microsoft.OperationalInsights/workspaces/my-workspace" --ampls-resource-id "/subscriptions/my-subscription /resourceGroups/ my-resource-group/providers/microsoft.insights/privatelinkscopes/my-ampls-resource"

Clúster con autenticación heredada

Use los procedimientos siguientes para habilitar el aislamiento de red mediante la conexión del clúster al área de trabajo de Log Analytics mediante Azure Private Link si el clúster no usa la autenticación de identidad administrada. Esto requiere un clúster de AKS privado.

1. Cree un clúster de AKS privado siguiendo las instrucciones de Creación de un clúster de Azure Kubernetes Service privado.

2. Deshabilite la ingesta pública en el área de trabajo de Log Analytics.

   Use el siguiente comando para deshabilitar la ingesta pública en un área de trabajo existente.

   az monitor log-analytics workspace update --resource-group <azureLogAnalyticsWorkspaceResourceGroup> --workspace-name <azureLogAnalyticsWorkspaceName> --ingestion-access Disabled
   

   Use el comando siguiente para crear un área de trabajo con ingesta pública deshabilitada.

   az monitor log-analytics workspace create --resource-group <azureLogAnalyticsWorkspaceResourceGroup> --workspace-name <azureLogAnalyticsWorkspaceName> --ingestion-access Disabled
   

3. Configure un vínculo privado siguiendo las instrucciones de Configuración de un vínculo privado. Establezca el acceso de ingesta en público y, a continuación, establézcalo en privado después de crear el punto de conexión privado, pero antes de habilitar la supervisión. La región de recursos de vínculo privado debe ser la misma que la región del clúster de AKS.

4. Habilitar la supervisión del clúster de AKS.

   az aks enable-addons -a monitoring --resource-group <AKSClusterResourceGorup> --name <AKSClusterName> --workspace-resource-id <workspace-resource-id> --enable-msi-auth-for-monitoring false
   

Pasos siguientes

• Si experimenta problemas al intentar incorporar la solución, consulte la Guía de solución de problemas.
• Con la supervisión habilitada para recopilar el estado y la utilización de recursos del clúster de AKS y las cargas de trabajo que se ejecutan en estos, aprenda cómo usar Container Insights.
• Consulte datos de Azure Managed Grafana mediante un punto de conexión privado administrado.
• Usa puntos de conexión privados para Prometheus administrado y el área de trabajo de Azure Monitor para obtener detalles sobre cómo configurar un vínculo privado para consultar datos desde el área de trabajo de Azure Monitor mediante libretas.
• Configuración de DNS para puntos de conexión privados de Azure