Kubernetes 監視用の Azure Monitor の機能

Prometheus と Container Insights 用の Azure Monitor マネージド サービス は、Kubernetes 環境を完全に監視するために連携します。 この記事では、両方の機能と収集するデータについて説明します。

• Prometheus 用 Azure Monitor マネージド サービスは、Cloud Native Computing Foundation の Prometheus プロジェクトに基づくフル マネージド サービスです。 これにより、 Azure Kubernetes クラスター または Azure Arc 対応 Kubernetes クラスター から大規模にメトリックを収集して分析し、 Grafana の事前構築済みダッシュボードを使用して分析することができます。
• Container Insights は、Azure Kubernetes クラスターまたは AzureArc 対応 Kubernetes クラスターとそのコンポーネントからコンテナー ログを収集および分析する Azure Monitor の機能です。 クラスター内のさまざまなコンポーネントについて収集されたデータを、各種のビューと、事前に構築されたワークブックを使って分析できます。

収集されるデータ

Container Insights は、Azure Monitor のさまざまな機能を使用して分析できる Log Analytics ワークスペース にデータを送信します。 Managed Prometheus は Azure Monitor ワークスペースにデータを送信し、Managed Grafana がアクセスできるようにします。 このデータの詳細については、「データの監視」を参照してください。

サポートされている構成

Container Insights では、次の環境がサポートされています。

• Azure Kubernetes Service (AKS)
• 以下の Azure Arc 対応 Kubernetes クラスター ディストリビューション:
  • Azureローカル上のAKS
  • AKS Edge Essentials
  • Canonical
  • Azure のクラスター API プロバイダー
  • Azure Stack Edge 上の K8s
  • Red Hat OpenShift バージョン 4.x
  • SUSE Rancher (Rancher Kubernetes エンジン)
  • SUSE Rancher K3s
  • VMware (TKG)

セキュリティ

• Container Insights では、エージェント バージョン 3.1.17 (Linux) および Win-3.1.17 (Windows) 以降の FIPS 対応の Linux および Windows のノード プールがサポートされています。
• エージェント バージョン 3.1.17 (Linux) と Win-3.1.17 (Windows) 以降では、Container Insights エージェント イメージ (Linux、Windows とも) が署名され、Windows エージェントでは、コンテナー内のバイナリも同様に署名されます

Container Insights にアクセスする

[監視] メニューの [監視] または [コンテナー] を選択して、選択した AKS クラスターから Azure portal の Container Insights に直接アクセスします。 Azure Monitor メニューでは、デプロイおよび監視されるすべてのコンテナーのグローバルな視点が提供されます。 この情報を使用すると、サブスクリプションとリソース グループ全体で検索とフィルター処理を行うことができます。 その後、選択したコンテナーから Container Insights にドリルダウンできます。 Azure portal のページから、特定のクラスターの Container Insights にアクセスします。

エージェント

Container Insights と Managed Prometheus は、Linux 用のコンテナー化された Azure Monitor エージェント に依存しています。 この専用エージェントは、クラスター内のすべてのノードからパフォーマンスとイベント データを収集します。 エージェントは、デプロイ時に指定したワークスペースにデプロイされ、登録されます。 クラスターで Container Insights を有効にすると、 データ収集規則 (DCR) が作成されます。 MSCI-<cluster-region>-<cluster-name>という名前のこの DCR には、Azure Monitor エージェントが収集する必要があるデータの定義が含まれています。

2023 年 3 月 1 日以降、Container Insights では Semver 準拠のエージェント バージョンが使用されます。 エージェントのバージョンは mcr.microsoft.com/azuremonitor/containerinsights/ciprod:3.1.4 以降です。 エージェントの新しいバージョンがリリースされると、AKS でホストされているマネージド Kubernetes クラスター上で自動的にアップグレードされます。 リリースされているバージョンを追跡するには、エージェントのリリースのお知らせを参照してください。

Log Analytics エージェント

Container Insights は、マネージド ID 認証を使用しない場合、Linux 用のコンテナー化された Log Analytics エージェントに依存します。 エージェントのバージョンは microsoft/oms:ciprod04202018 以降です。 エージェントの新しいバージョンがリリースされると、AKS でホストされているマネージド Kubernetes クラスター上で自動的にアップグレードされます。 リリースされているバージョンを追跡するには、エージェントのリリースのお知らせを参照してください。

一般提供されるようになった Windows Server による AKS のサポートでの、Windows Server ノードが含まれる AKS クラスターでは、ログを収集して Log Analytics に転送するため、個々の Windows Server ノードに、デーモン セット ポッドとしてプレビュー エージェントがインストールされています。 パフォーマンス メトリックについては、標準のデプロイの一部としてクラスターに自動的にデプロイされる Linux ノードが、クラスター内のすべての Windows ノードのデータを収集し、Azure Monitor に転送します。

よく寄せられる質問

このセクションでは、一般的な質問への回答を示します。

ARO クラスター用の Kubernetes 監査ログの収集はサポートされていますか? いいえ。 Container Insights では、Kubernetes 監査ログの収集はサポートされていません。

Container Insights はポッド サンドボックスをサポートしていますか? はい。Container Insights では、Kata Containers のサポートを通じてポッド サンドボックスがサポートされています。 「Azure Kubernetes Service (AKS) でのポッド サンドボックス (プレビュー)」を参照してください。

コンテナーの分析情報で、1 つの AKS クラスターが複数の Log Analytics ワークスペースを使うことはできますか? はい。 Container Insights では、複数の Log Analytics ワークスペース間でログを分離できます。 Container insights (プレビュー) でのマルチテナント マネージド ログを参照してください。

次のステップ

• Kubernetes クラスターの監視を有効にして、クラスターで Managed Prometheus と Container Insights を有効にする方法に関する説明を参照してください。