コンテナーの分析情報の既定値は、クラスターのマネージド ID を使用して Azure Monitor にデータを送信する監視エージェントがあるマネージド ID認証です。 レガシ証明書ベースのローカル認証が置き換えられ、クラスターに Monitoring Metrics Publisher ロールを追加する必要がなくなります。
この記事では、レガシ認証方法を使用してコンテナーの分析情報を有効にした場合にマネージド ID 認証に移行する方法と、その要件がある場合にレガシ認証を有効にする方法について説明します。
重要
レガシ認証を使用するクラスターがあり、Log Analytics ワークスペース キーがローテーションされている場合、Log Analytics ワークスペースへの監視データの送信が停止します。 ローテーションされた新しいワークスペース キーを使用して監視データの送信を再開するには、コンテナー分析情報アドオンを無効にしてから再度有効にする必要があります。 Log Analytics ワークスペース キーを使用しないコンテナー分析情報のマネージド ID 認証に移行する必要があります。
マネージド ID 認証に移行する
マネージド ID 認証が使用可能になる前にコンテナーの分析情報を有効にした場合は、次の方法を使用してクラスターを移行できます。
マネージド ID 認証には、AKS クラスターの [モニター設定] パネルから移行できます。 [監視] セクションで、[分析情報] タブをクリックします。[分析情報] タブで、[モニター設定] オプションをクリックし、[マネージド ID の使用] チェック ボックスをオンにします。
[Use managed identity] (マネージド ID を使用する) オプションが表示されない場合は、SPN クラスターを使用しています。 その場合は、コマンド ライン ツールを使用して移行する必要があります。 移行手順とテンプレートについては、他のタブをご覧ください。
AKS
AKS クラスターでは、最初にモニタリングを無効にしてから、マネージド ID にアップグレードする必要があります。 現在、この移行では、Azure パブリック クラウド、21Vianet が運営する Microsoft Azure クラウド、Azure Government クラウドのみがサポートされています。 ユーザー割り当て ID を持つクラスターでは、Azure パブリック クラウドのみがサポートされます。
注
Azure CLI の最小バージョンは 2.49.0 以上です。
構成された Log Analytics ワークスペースのリソース ID を取得します。
az aks show -g <resource-group-name> -n <cluster-name> | grep -i "logAnalyticsWorkspaceResourceID"
次のコマンドを使用してモニタリングを無効にします。
az aks disable-addons -a monitoring -g <resource-group-name> -n <cluster-name>
クラスターでサービス プリンシパルを使用している場合は、次のコマンドを使用してシステム マネージド ID にアップグレードします。
az aks update -g <resource-group-name> -n <cluster-name> --enable-managed-identity
ステップ 1 で取得した Log Analytics ワークスペース リソース ID を使用して、マネージド ID 認証オプションからモニタリング アドオンを有効にします。
az aks enable-addons -a monitoring -g <resource-group-name> -n <cluster-name> --workspace-resource-id <workspace-resource-id>
Arc 対応 Kubernetes
注
マネージド ID 認証は、 ARO を使用した Arc 対応 Kubernetes クラスターではサポートされていません。
コンテナーの分析情報の拡張機能用に構成された Log Analytics ワークスペースを取得します。
az k8s-extension show --name azuremonitor-containers --cluster-name \<cluster-name\> --resource-group \<resource-group\> --cluster-type connectedClusters -n azuremonitor-containers
最初の手順で返されたワークスペースを使用して、[マネージド ID の認証] オプションで Container insights の拡張機能を有効にします。
az k8s-extension create --name azuremonitor-containers --cluster-name \<cluster-name\> --resource-group \<resource-group\> --cluster-type connectedClusters --extension-type Microsoft.AzureMonitor.Containers --configuration-settings amalogs.useAADAuth=true logAnalyticsWorkspaceResourceID=\<workspace-resource-id\>
レガシ認証を有効にする
レガシ認証が必要な場合は、「コンテナー分析情報を有効にする」 を参照してください。コンテナー分析情報を有効にするためのさまざまなオプションの例があります。
次のステップ
エージェントのアップグレード中に問題が発生した場合は、トラブルシューティング ガイドを参照してください。
