다음을 통해 공유

Azure Monitor에서 Kubernetes 모니터링에 대해 프라이빗 링크 사용

Azure Private Link를 사용하면 프라이빗 엔드포인트를 사용하여 가상 네트워크에 대한 Azure PaaS(서비스 제공 플랫폼) 리소스에 액세스할 수 있습니다. AMPLS(Azure Monitor 프라이빗 링크 범위)는 프라이빗 엔드포인트를 모니터링 네트워크의 경계를 정의하는 Azure Monitor 리소스 세트에 연결합니다. Managed Prometheus/Container Insights 및 Azure Monitor 작업 영역/Log Analytics 작업 영역에 대한 프라이빗 엔드포인트를 사용하면 VNet(가상 네트워크)의 클라이언트가 Private Link를 통해 데이터를 안전하게 수집할 수 있습니다.

이 문서에서는 AKS(Azure Kubernetes Service) 클러스터에서 데이터를 수집하기 위해 프라이빗 링크를 사용하도록 컨테이너 인사이트와 관리되는 Prometheus를 구성하는 방법을 설명합니다.

관리되는 Prometheus(Azure Monitor 작업 영역)

아래 단계에 따라 프라이빗 AKS 클러스터에서 Azure Monitor 작업 영역으로 Prometheus 메트릭 수집을 설정합니다.

개념적 개요

  • 프라이빗 엔드포인트는 VNet(Virtual Network)의 Azure 서비스에 대한 특별한 네트워크 인터페이스입니다. Azure Monitor 작업 영역에 대한 프라이빗 엔드포인트를 만들 때 VNet의 클라이언트와 작업 영역 간에 보안 연결을 제공합니다. 자세한 내용은 프라이빗 엔드포인트를 참조하세요.

  • Azure Private Link를 사용하면 프라이빗 엔드포인트를 사용하여 Azure PaaS(Platform as a Service) 리소스를 가상 네트워크에 안전하게 연결할 수 있습니다. Azure Monitor는 Azure Monitor Private Link 범위 또는 AMPLS라는 단일 프라이빗 링크 연결을 사용하여 가상 네트워크의 각 클라이언트가 여러 개인 링크를 만드는 대신 Log Analytics 작업 영역, Azure Monitor 작업 영역 등과 같은 모든 Azure Monitor 리소스와 연결할 수 있습니다. 자세한 내용은 Azure Monitor AMPLS(Private Link Scope)를 참조하세요.

프라이빗 링크를 통한 수집 개요를 보여 주는 다이어그램

프라이빗 엔드포인트를 사용하여 가상 네트워크에서 Azure Monitor 작업 영역으로 Managed Prometheus 메트릭의 수집을 설정하려면 다음의 주요 단계를 수행합니다.

  • Azure Monitor AMPLS(Private Link Scope)를 만들고 Azure Monitor 작업 영역의 데이터 수집 엔드포인트에 연결합니다.
  • 프라이빗 AKS 클러스터의 가상 네트워크에 대해 설정된 프라이빗 엔드포인트에 AMPLS를 연결합니다.

필수 조건

Managed Prometheus를 사용하도록 설정된 프라이빗 AKS 클러스터 입니다. 관리되는 Prometheus 사용의 일부로 Azure Monitor 작업 영역도 설정되어 있습니다. 자세한 내용은 AKS에서 관리되는 Prometheus 사용을 참조하세요.

프라이빗 AKS 클러스터에서 Azure Monitor 작업 영역으로 데이터 수집 설정

1. Azure Monitor 작업 영역에 대한 AMPLS 만들기

Azure Managed Prometheus로 수집된 메트릭은 Azure Monitor 작업 영역에 수집 및 저장되므로 프라이빗 링크를 통해 작업 영역에 액세스할 수 있도록 해야 합니다. 이를 위해 Azure Monitor Private Link 범위 또는 AMPLS를 만듭니다.

  1. Azure Portal에서 Azure Monitor Private Link 범위를 검색한 다음 만들기를 클릭합니다.

  2. 리소스 그룹 및 이름을 입력하고 수집 액세스 모드대한 프라이빗 전용을 선택합니다.

    AMPLS 구성을 보여 주는 스크린샷

  3. "검토 및 만들기"를 클릭하여 AMPLS를 만듭니다.

AMPLS 설정에 대한 자세한 내용은 Azure Monitor에 대한 프라이빗 링크 구성을 참조하세요.

2. Azure Monitor 작업 영역의 데이터 수집 엔드포인트에 AMPLS 연결

관리되는 Prometheus의 데이터 수집을 위한 프라이빗 링크는 데이터를 저장하는 Azure Monitor 작업 영역의 DCE(데이터 수집 엔드포인트)에서 구성됩니다. Azure Monitor 작업 영역과 연결된 DCE를 식별하려면 Azure Portal의 Azure Monitor 작업 영역에서 데이터 수집 엔드포인트를 선택합니다.

  1. Azure Portal에서 프라이빗 AKS 클러스터에 대해 Managed Prometheus를 사용하도록 설정하는 과정의 일환으로 만든 Azure Monitor 작업 영역을 검색합니다. 데이터 컬렉션 엔드포인트 이름을 확인합니다.

    Azure Monitor 작업 영역에 대한 데이터 수집 엔드포인트 페이지를 보여 주는 스크린샷

  2. 이제 Azure Portal에서 이전 단계에서 만든 AMPLS를 검색합니다. AMPLS 개요 페이지로 이동하여 Azure Monitor 리소스를 클릭하고 추가를 클릭한 다음 이전 단계에서 적어놓은 Azure Monitor 작업 영역의 DCE를 연결합니다.

    DCE와 AMPLS의 연결을 보여 주는 스크린샷.

2a. DCE 구성

참고

AKS 클러스터가 Azure Monitor 작업 영역과 동일한 지역에 없는 경우 Azure Monitor 작업 영역에 대한 새 데이터 수집 엔드포인트를 구성해야 합니다.

AKS 클러스터가 Azure Monitor 작업 영역과 동일한 지역에 있지 않은 경우에만 아래 단계를 수행합니다. 클러스터가 동일한 지역에 있는 경우 이 단계를 건너뛰고 3단계로 이동합니다.

  1. AKS 클러스터와 동일한 지역에 데이터 수집 엔드포인트를 만듭니다.

  2. Azure Monitor 작업 영역으로 이동하고 개요 페이지에서 DCR(데이터 수집 규칙)을 클릭합니다. 이 DCR은 Azure Monitor 작업 영역과 이름이 같습니다.

    스크린샷은 Azure Monitor 작업 영역에 대한 데이터 수집 규칙을 보여줍니다.

  3. DCR 개요 페이지에서 리소스 ->+ 추가를 클릭한 다음 AKS 클러스터를 선택합니다.

    AKS에 AMW DCR을 연결하는 방법을 보여 주는 스크린샷

  4. AKS 클러스터가 추가되면(페이지를 새로 고쳐야 할 수도 있음) AKS 클러스터를 클릭한 다음 엔드포인트의 데이터 수집을 편집합니다. 열리는 블레이드에서 이 섹션의 1단계에서 만든 데이터 수집 엔드포인트를 선택합니다. 이 DCE는 AKS 클러스터와 동일한 지역에 있어야 합니다.

    DCE의 연결을 보여 주는 스크린샷

  5. AMPLS 개요 페이지로 이동하여 Azure Monitor 리소스를 클릭하고 추가를 클릭한 다음 생성된 DCE를 연결합니다.

3. AKS 클러스터의 프라이빗 엔드포인트에 AMPLS 연결

프라이빗 엔드포인트는 VNet(Virtual Network)의 Azure 서비스에 대한 특별한 네트워크 인터페이스입니다. 이제 프라이빗 AKS 클러스터의 VNet에 프라이빗 엔드포인트를 만들고 메트릭을 안전하게 수집하기 위해 AMPLS에 연결합니다.

  1. Azure Portal에서 이전 단계에서 만든 AMPLS를 검색합니다. AMPLS 개요 페이지로 이동하여 구성 ->Private Endpoint 연결을 클릭한 다음 + Private Endpoint를 선택합니다.

  2. 리소스 그룹을 선택하고 프라이빗 엔드포인트의 이름을 입력한 다음 다음을 클릭합니다.

  3. 리소스 섹션에서 리소스 유형으로 Microsoft.Monitor/계정을 선택하고 Azure Monitor 작업 영역을 리소스로 선택한 다음 prometheusMetrics를 선택합니다. 다음을 클릭합니다.

    프라이빗 엔드포인트 구성을 보여주는 스크린샷

  4. Virtual Network 섹션에서 AKS 클러스터의 가상 네트워크를 선택합니다. 포털의 AKS 개요 - 설정 -> 네트워킹 ->> 가상 네트워크 통합에서 찾을 수 있습니다.

4. 메트릭이 Azure Monitor 작업 영역에 수집되는지 확인

프라이빗 AKS 클러스터의 Prometheus 메트릭이 Azure Monitor 작업 영역으로 수집되는지 확인합니다.

  1. Azure Portal에서 Azure Monitor 작업 영역을 검색하고 모니터링 ->메트릭으로 이동합니다.
  2. 메트릭 탐색기에서 메트릭을 쿼리하고 쿼리할 수 있는지 확인합니다.

참고

프라이빗 AKS 클러스터에서 수집

Azure Firewall을 사용하여 클러스터에서 송신을 제한하는 경우 다음 중 하나를 구현할 수 있습니다.

  • 공용 데이터 수신 엔드포인트에 대한 경로를 엽니다. 다음 엔드포인트 2개를 사용하여 라우팅 테이블을 업데이트합니다.
    • *.handler.control.monitor.azure.com
    • *.ingest.monitor.azure.com
  • Azure Firewall이 데이터 수집에 사용되는 Azure Monitor 프라이빗 링크 범위와 DCE에 액세스할 수 있도록 설정합니다.

다음 단계에 따라 프라이빗 링크 가상 네트워크와 Azure Monitor 프라이빗 링크 범위를 통해 Kubernetes 클러스터에 대한 원격 쓰기를 설정합니다.

  1. Azure Virtual Network를 만듭니다.
  2. 온-프레미스 클러스터를 구성하여 프라이빗 피어링이 있는 VPN 게이트웨이 또는 ExpressRoutes를 사용해 Azure VNET에 연결합니다.
  3. Azure Monitor Private Link 범위를 만듭니다.
  4. Azure Monitor Private Link 범위를 온-프레미스 클러스터에서 사용한 가상 네트워크의 프라이빗 엔드포인트에 연결합니다. 이 프라이빗 엔드포인트는 DCE에 액세스하는 데 사용됩니다.
  5. 포털의 Azure Monitor 작업 영역에서 Azure Monitor 작업 영역 메뉴에서 데이터 수집 엔드포인트를 선택합니다.
  6. 작업 영역과 이름이 같은 DCE가 하나 이상 있습니다. DCE를 클릭하여 세부 정보를 엽니다.
  7. DCE에 대한 네트워크 격리 페이지를 선택합니다.
  8. 추가를 클릭하고 Azure Monitor 프라이빗 링크 범위를 선택합니다. 설정이 전파되는 데 몇 분 정도 걸립니다. 완료되면 프라이빗 AKS 클러스터의 데이터가 프라이빗 링크를 통해 Azure Monitor 작업 영역에 수집됩니다.

컨테이너 인사이트(Log Analytics 작업 영역)

컨테이너 인사이트에 대한 데이터는 Log Analytics 작업 영역에 저장되므로 프라이빗 링크를 통해 이 작업 영역에 액세스할 수 있도록 해야 합니다.

참고

이 섹션에서는 CLI를 사용하여 컨테이너 인사이트에 대한 프라이빗 링크를 사용하도록 설정하는 방법을 설명합니다. ARM 템플릿 사용에 대한 자세한 내용은 컨테이너 인사이트 사용을 참조하고 매개 변수 useAzureMonitorPrivateLinkScopeazureMonitorPrivateLinkScopeResourceId를 기록해 둡니다.

필수 조건

  • 이 문서에서는 클러스터를 기존 AMPLS(Azure Monitor 프라이빗 링크 범위)에 연결하는 방법을 설명합니다. 프라이빗 링크 구성의 지침에 따라 AMPLS를 만듭니다.
  • Azure CLI 버전 2.61.0 이상

관리 ID 인증을 사용하는 클러스터

기본 Log Analytics 작업 영역이 있는 기존 AKS 클러스터

az aks enable-addons --addon monitoring --name <cluster-name> --resource-group <cluster-resource-group-name> --ampls-resource-id "<azure-monitor-private-link-scope-resource-id>"

예시:

az aks enable-addons --addon monitoring --name "my-cluster" --resource-group "my-resource-group" --workspace-resource-id "/subscriptions/my-subscription/resourceGroups/my-resource-group/providers/Microsoft.OperationalInsights/workspaces/my-workspace" --ampls-resource-id "/subscriptions/my-subscription /resourceGroups/my-resource-group/providers/microsoft.insights/privatelinkscopes/my-ampls-resource"

기존 Log Analytics 작업 영역이 있는 기존 AKS 클러스터

az aks enable-addons --addon monitoring --name <cluster-name> --resource-group <cluster-resource-group-name> --workspace-resource-id <workspace-resource-id> --ampls-resource-id "<azure-monitor-private-link-scope-resource-id>"

예시:

az aks enable-addons --addon monitoring --name "my-cluster" --resource-group "my-resource-group" --workspace-resource-id "/subscriptions/my-subscription/resourceGroups/my-resource-group/providers/Microsoft.OperationalInsights/workspaces/my-workspace" --ampls-resource-id "/subscriptions/my-subscription /resourceGroups/ my-resource-group/providers/microsoft.insights/privatelinkscopes/my-ampls-resource"

새 AKS 클러스터

az aks create --resource-group rgName --name clusterName --enable-addons monitoring --workspace-resource-id "workspaceResourceId" --ampls-resource-id "azure-monitor-private-link-scope-resource-id"

예시:

az aks create --resource-group "my-resource-group" --name "my-cluster" --enable-addons monitoring --workspace-resource-id "/subscriptions/my-subscription/resourceGroups/my-resource-group/providers/Microsoft.OperationalInsights/workspaces/my-workspace" --ampls-resource-id "/subscriptions/my-subscription /resourceGroups/ my-resource-group/providers/microsoft.insights/privatelinkscopes/my-ampls-resource"

레거시 인증을 사용하는 클러스터링

클러스터에서 관리 ID 인증을 사용하지 않는 경우 Azure Private Link 를 사용하여 클러스터를 Log Analytics 작업 영역에 연결하여 네트워크 격리를 사용하도록 설정하려면 다음 절차를 따르세요. 이를 위해서는 프라이빗 AKS 클러스터가 필요합니다.

  1. 프라이빗 Azure Kubernetes Service 클러스터 만들기의 지침에 따라 프라이빗 AKS 클러스터를 만듭니다.

  2. Log Analytics 작업 영역에서 공용 수집을 비활성화하십시오.

    다음 명령을 사용하여 기존 작업 영역에서 공용 수집을 사용하지 않도록 설정합니다.

    az monitor log-analytics workspace update --resource-group <azureLogAnalyticsWorkspaceResourceGroup> --workspace-name <azureLogAnalyticsWorkspaceName> --ingestion-access Disabled

    다음 명령을 사용하여 공개 데이터 수집이 비활성화된 새 작업 영역을 만듭니다.

    az monitor log-analytics workspace create --resource-group <azureLogAnalyticsWorkspaceResourceGroup> --workspace-name <azureLogAnalyticsWorkspaceName> --ingestion-access Disabled

  3. 프라이빗 링크 구성의 지침에 따라 프라이빗 링크를 구성합니다. 수집 액세스 권한을 퍼블릭으로 설정한 다음, 프라이빗 엔드포인트를 만든 후 모니터링을 사용하도록 설정하기 전에 프라이빗으로 설정합니다. 프라이빗 링크 리소스 지역은 AKS 클러스터 지역과 동일해야 합니다.

  4. AKS 클러스터에 대한 모니터링을 사용하도록 설정합니다.

    az aks enable-addons -a monitoring --resource-group <AKSClusterResourceGorup> --name <AKSClusterName> --workspace-resource-id <workspace-resource-id> --enable-msi-auth-for-monitoring false

다음 단계