启用对 Kubernetes 群集的监视

如果未在以下命令中指定现有的 Azure Monitor 工作区，则将使用资源组的默认工作区。 如果群集区域中尚不存在默认工作区，则将在资源组中创建一个名为 DefaultRG-<cluster_region> 的 DefaultAzureMonitorWorkspace-<mapped_region> 格式的名称。

• 需要 Az CLI 2.49.0 或更高版本。
• 必须使用 az extension remove --name aks-preview 命令从 AKS 群集中卸载 aks-preview 扩展。
• 必须使用 az extension add --name k8s-extension 命令安装 k8s-extension 扩展。
• 需要 k8s-extension 版本 1.4.1 或更高版本。

使用 -enable-azure-monitor-metrics 选项 az aks create 或 az aks update（具体取决于是要创建新群集还是要更新现有群集）来安装用于擦除 Prometheus 指标的指标加载项。

示例命令

### Use default Azure Monitor workspace
az aks create/update --enable-azure-monitor-metrics --name <cluster-name> --resource-group <cluster-resource-group>

### Use existing Azure Monitor workspace
az aks create/update --enable-azure-monitor-metrics --name <cluster-name> --resource-group <cluster-resource-group> --azure-monitor-workspace-resource-id <workspace-name-resource-id>

### Use an existing Azure Monitor workspace and link with an existing Grafana workspace
az aks create/update --enable-azure-monitor-metrics --name <cluster-name> --resource-group <cluster-resource-group> --azure-monitor-workspace-resource-id <azure-monitor-workspace-name-resource-id> --grafana-resource-id  <grafana-workspace-name-resource-id>

### Use optional parameters
az aks create/update --enable-azure-monitor-metrics --name <cluster-name> --resource-group <cluster-resource-group> --ksm-metric-labels-allow-list "namespaces=[k8s-label-1,k8s-label-n]" --ksm-metric-annotations-allow-list "pods=[k8s-annotation-1,k8s-annotation-n]"

### Use default Azure Monitor workspace
az k8s-extension create --name azuremonitor-metrics --cluster-name <cluster-name> --resource-group <resource-group> --cluster-type connectedClusters --extension-type Microsoft.AzureMonitor.Containers.Metrics

## Use existing Azure Monitor workspace
az k8s-extension create --name azuremonitor-metrics --cluster-name <cluster-name> --resource-group <resource-group> --cluster-type connectedClusters --extension-type Microsoft.AzureMonitor.Containers.Metrics --configuration-settings azure-monitor-workspace-resource-id=<workspace-name-resource-id>

### Use an existing Azure Monitor workspace and link with an existing Grafana workspace
az k8s-extension create --name azuremonitor-metrics --cluster-name <cluster-name> --resource-group <resource-group> --cluster-type connectedClusters --extension-type Microsoft.AzureMonitor.Containers.Metrics --configuration-settings azure-monitor-workspace-resource-id=<workspace-name-resource-id> grafana-resource-id=<grafana-workspace-name-resource-id>

### Use optional parameters
az k8s-extension create --name azuremonitor-metrics --cluster-name <cluster-name> --resource-group <resource-group> --cluster-type connectedClusters --extension-type Microsoft.AzureMonitor.Containers.Metrics --configuration-settings azure-monitor-workspace-resource-id=<workspace-name-resource-id> grafana-resource-id=<grafana-workspace-name-resource-id> AzureMonitorMetrics.KubeStateMetrics.MetricAnnotationsAllowList="pods=[k8s-annotation-1,k8s-annotation-n]" AzureMonitorMetrics.KubeStateMetrics.MetricLabelsAllowlist "namespaces=[k8s-label-1,k8s-label-n]"

任何命令都可以使用以下可选参数：

• AKS：--ksm-metric-annotations-allow-list
  Arc：--AzureMonitorMetrics.KubeStateMetrics.MetricAnnotationsAllowList
  在资源的 kube_resource_annotations 指标中使用的 Kubernetes 注释键的逗号分隔列表。 例如，kube_pod_annotations 是 Pod 资源的注释指标。 默认情况下，此指标仅包含名称和命名空间标签。 若要包含更多注释，请提供资源名称（复数形式）和要允许使用的 Kubernetes 注释键的列表。 可为每个资源提供一个 * 以允许任何注释，但这会严重影响性能。 例如 pods=[kubernetes.io/team,...],namespaces=[kubernetes.io/team],...。
  
• AKS：--ksm-metric-labels-allow-list
  Arc：--AzureMonitorMetrics.KubeStateMetrics.MetricLabelsAllowlist
  在资源的 kube_resource_labels 指标中使用的更多 Kubernetes 标签键的逗号分隔列表。 例如，kube_pod_labels 是 Pod 资源的标签指标。 默认情况下，此指标仅包含名称和命名空间标签。 若要包含更多标签，请提供一个复数形式的资源名称列表以及想要允许这些资源使用的 Kubernetes 标签键。可为每个资源提供一个 * 以允许任何标签，但这会严重影响性能。 例如 pods=[app],namespaces=[k8s-label-1,k8s-label-n,...],...。
  
• AKS：--enable-windows-recording-rules 允许启用 Windows 仪表板正常运行所需的记录规则组。

• 必须已创建 Azure Monitor 工作区和 Azure 托管 Grafana 实例。
• 模板必须部署在 Azure 托管 Grafana 实例所在的资源组中。
• 如果 Azure 托管 Grafana 实例所在的订阅不是 Azure Monitor 工作区订阅，请按照注册资源提供程序中的指导向Microsoft.Dashboard资源提供程序注册 Azure Monitor 工作区订阅。
• AKS 群集订阅中具有User Access Administrator角色的用户可以通过部署模板直接启用Monitoring Reader角色。

如果 Azure 托管 Grafana 实例已链接到 Azure Monitor 工作区，则必须在模板中包含此列表。 在 Azure 门户中 Azure 托管 Grafana 实例的概述页面上，选择“JSON 视图”，然后复制 azureMonitorWorkspaceIntegrations 的值，该值如下面的示例所示。 如果该值不存在，则实例尚未链接到任何 Azure Monitor 工作区。

"properties": {
    "grafanaIntegrations": {
        "azureMonitorWorkspaceIntegrations": [
            {
                "azureMonitorWorkspaceResourceId": "full_resource_id_1"
            },
            {
                "azureMonitorWorkspaceResourceId": "full_resource_id_2"
            }
        ]
    }
}

1. 下载要使用的 Kubernetes 群集类型所需的文件。

   AKS 群集 ARM

   • 模板文件：https://aka.ms/azureprometheus-enable-arm-template
   • 参数文件：https://aka.ms/azureprometheus-enable-arm-template-parameters

   AKS 群集 Bicep

   • 模板文件：https://aka.ms/azureprometheus-enable-bicep-template
   • 参数文件：https://aka.ms/azureprometheus-enable-bicep-template-parameters
   • DCRA 模块：https://aka.ms/nested_azuremonitormetrics_dcra_clusterResourceId
   • 配置文件模块：https://aka.ms/nested_azuremonitormetrics_profile_clusterResourceId
   • Azure 托管 Grafana 角色分配模块：https://aka.ms/nested_grafana_amw_role_assignment

   已启用 Arc 的群集（预览版）ARM

   • 模板文件：https://aka.ms/azureprometheus-arc-arm-template
   • 参数文件：https://aka.ms/azureprometheus-arc-arm-template-parameters

2. 编辑参数文件中的以下值。 ARM 和 Bicep 模板使用一组相同的值。 从资源概述页面的 JSON 视图检索资源的资源 ID。

   展开表

   参数	值
   azureMonitorWorkspaceResourceId	Azure Monitor 工作区的资源 ID。 从 Azure Monitor 工作区“概述”页的的“JSON 视图”检索。
   azureMonitorWorkspaceLocation	Azure Monitor 工作区的位置。 从 Azure Monitor 工作区“概述”页的的“JSON 视图”检索。
   clusterResourceId	AKS 群集的资源 ID。 从群集“概述”页的“JSON 视图”中检索。
   clusterLocation	AKS 群集的位置。 从群集“概述”页的“JSON 视图”中检索。
   metricLabelsAllowlist	将在资源的标签指标中使用的 Kubernetes 标签键的逗号分隔列表。
   metricAnnotationsAllowList	将在资源的标签指标中使用的更多 Kubernetes 注释键的逗号分隔列表。
   grafanaResourceId	托管 Grafana 实例的资源 ID。 从 Grafana 实例“概述”页的“JSON 视图”检索。
   grafanaLocation	托管 Grafana 实例的位置。 从 Grafana 实例“概述”页的“JSON 视图”检索。
   grafanaSku	托管 Grafana 实例的 SKU。 从 Grafana 实例“概述”页的“JSON 视图”检索。 使用 sku.name。

3. 打开模板文件，并使用从 Grafana 实例检索的值更新文件末尾的 grafanaIntegrations 属性。 这类似于以下示例。 在这些示例中，full_resource_id_1 和 full_resource_id_2 已在 Azure 托管 Grafana 资源 JSON 中。 最后的 azureMonitorWorkspaceResourceId 条目已在模板中，用于链接到参数文件中提供的 Azure Monitor 工作区资源 ID。

   ARM

   {
       "type": "Microsoft.Dashboard/grafana",
       "apiVersion": "2022-08-01",
       "name": "[split(parameters('grafanaResourceId'),'/')[8]]",
       "sku": {
           "name": "[parameters('grafanaSku')]"
       },
       "location": "[parameters('grafanaLocation')]",
       "properties": {
           "grafanaIntegrations": {
           "azureMonitorWorkspaceIntegrations": [
               {
                   "azureMonitorWorkspaceResourceId": "full_resource_id_1"
               },
               {
                   "azureMonitorWorkspaceResourceId": "full_resource_id_2"
               },
               {
                   "azureMonitorWorkspaceResourceId": "[parameters('azureMonitorWorkspaceResourceId')]"
               }
           ]
           }
       }
   }
   

   Bicep

       resource grafanaResourceId_8 'Microsoft.Dashboard/grafana@2022-08-01' = {
           name: split(grafanaResourceId, '/')[8]
           sku: {
               name: grafanaSku
           }
           identity: {
               type: 'SystemAssigned'
           }
           location: grafanaLocation
           properties: {
               grafanaIntegrations: {
                   azureMonitorWorkspaceIntegrations: [
                       {
                           azureMonitorWorkspaceResourceId: 'full_resource_id_1'
                       }
                       {
                           azureMonitorWorkspaceResourceId: 'full_resource_id_2'
                       }
                       {
                           azureMonitorWorkspaceResourceId: azureMonitorWorkspaceResourceId
                       }
                   ]
               }
           }
       }
   

4. 使用部署资源管理器模板的任意有效方法，用参数文件部署模板。 有关不同方法的示例，请参阅部署示例模板。

• 必须已创建 Azure Monitor 工作区和 Azure 托管 Grafana 工作区。
• 模板需要部署在 Azure 托管 Grafana 工作区所在的资源组中。
• AKS 群集订阅中具有“用户访问管理员”角色的用户可以通过部署模板直接启用“监视读者”角色。
• 如果 Azure 托管 Grafana 实例所在的订阅不是 Azure Monitor 工作区订阅，请按照此文档中的步骤向 Microsoft.Dashboard 资源提供程序注册 Azure Monitor 工作区订阅。

在 Azure 门户中，从 Azure 托管 Grafana 实例的“概述”页选择“JSON 视图”。

如果使用已链接到 Azure Monitor 工作区的现有 Azure 托管 Grafana 实例，则需要 Grafana 集成列表。 复制azureMonitorWorkspaceIntegrations字段的值。 如果该值不存在，则实例尚未链接到任何 Azure Monitor 工作区。 使用 grafana 集成列表更新 main.tf 中的 azure_monitor_workspace_integrations 块。

  azure_monitor_workspace_integrations {
    resource_id  = var.monitor_workspace_id[var.monitor_workspace_id1, var.monitor_workspace_id2]
  }

如果正在使用已启用托管 Prometheus 加载项的 Terraform 部署新的 AKS 群集，请执行以下步骤：

1. 下载AddonTerraformTemplate下的所有文件。
2. 使用正确的参数值编辑 variables.tf 文件中的变量。
3. 运行 terraform init -upgrade，将 Terraform 部署进行初始化。
4. 运行 terraform plan -out main.tfplan，将 Terraform 部署进行初始化。
5. 运行 terraform apply main.tfplan，将执行计划应用到云基础结构。

注意：仅当 annotations_allowed 和 labels_allowed 关键值的变量存在时，才会在 main.tf 中传递这些变量。 这些块是可选的。

1. 下载 Azure Policy 模板和参数文件。

   • 模板文件：https://aka.ms/AddonPolicyMetricsProfile
   • 参数文件：https://aka.ms/AddonPolicyMetricsProfile.parameters

2. 使用以下 CLI 命令创建策略定义：

   az policy definition create --name "Prometheus Metrics addon" --display-name "Prometheus Metrics addon" --mode Indexed --metadata version=1.0.0 category=Kubernetes --rules AddonPolicyMetricsProfile.rules.json --params AddonPolicyMetricsProfile.parameters.json

3. 创建策略定义后，在 Azure 门户中，选择“策略”，然后选择“定义”。 选择创建的策略定义。

4. 选择“分配”，并在“参数”选项卡上填写详细信息。选择“查看 + 创建”。

5. 如果要将策略应用于现有群集，请从“策略分配”为该群集资源创建“修正任务”。

将策略分配给订阅后，每当新建未启用 Prometheus 的群集时，策略都将运行并启用 Prometheus 监视。

使用下述命令之一来启用对 AKS 和已启用 Arc 的群集的监视。 如果未指定现有的 Log Analytics 工作区，将使用资源组的默认工作区。 如果群集区域中尚不存在默认工作区，会使用 DefaultWorkspace-<GUID>-<Region> 格式的名称创建一个工作区。

• Azure CLI 版本 2.43.0 或更高版本
• 托管标识身份验证是 CLI 版本 2.49.0 或更高版本中的默认设置。
• Azure k8s-extension 版本 1.3.7 或更高版本
• 托管标识身份验证是 k8s-extension 版本 1.43.0 或更高版本中的默认设置。
• 使用 ARO (Azure Red Hat Openshift) 或 Windows 节点且已启用 Arc 的 Kubernetes 群集不支持托管标识身份验证。 使用旧式身份验证。
• 对于 CLI 2.54.0 或更高版本，会使用 ConfigMap 将日志记录架构将配置为 ContainerLogV2。

### Use default Log Analytics workspace
az aks enable-addons --addon monitoring --name <cluster-name> --resource-group <cluster-resource-group-name>

### Use existing Log Analytics workspace
az aks enable-addons --addon monitoring --name <cluster-name> --resource-group <cluster-resource-group-name> --workspace-resource-id <workspace-resource-id>

### Use legacy authentication
az aks enable-addons --addon monitoring --name <cluster-name> --resource-group <cluster-resource-group-name> --workspace-resource-id <workspace-resource-id> --enable-msi-auth-for-monitoring false

示例

az aks enable-addons --addon monitoring --name "my-cluster" --resource-group "my-resource-group" --workspace-resource-id "/subscriptions/my-subscription/resourceGroups/my-resource-group/providers/Microsoft.OperationalInsights/workspaces/my-workspace"

### Use default Log Analytics workspace
az k8s-extension create --name azuremonitor-containers --cluster-name <cluster-name> --resource-group <resource-group> --cluster-type connectedClusters --extension-type Microsoft.AzureMonitor.Containers

### Use existing Log Analytics workspace
az k8s-extension create --name azuremonitor-containers --cluster-name <cluster-name> --resource-group <resource-group> --cluster-type connectedClusters --extension-type Microsoft.AzureMonitor.Containers --configuration-settings logAnalyticsWorkspaceResourceID=<workspace-resource-id>

### Use managed identity authentication (default as k8s-extension version 1.43.0)
az k8s-extension create --name azuremonitor-containers --cluster-name <cluster-name> --resource-group <resource-group> --cluster-type connectedClusters --extension-type Microsoft.AzureMonitor.Containers --configuration-settings amalogs.useAADAuth=true

### Use advanced configuration settings
az k8s-extension create --name azuremonitor-containers --cluster-name <cluster-name> --resource-group <resource-group> --cluster-type connectedClusters --extension-type Microsoft.AzureMonitor.Containers --configuration-settings  amalogs.resources.daemonset.limits.cpu=150m amalogs.resources.daemonset.limits.memory=600Mi amalogs.resources.deployment.limits.cpu=1 amalogs.resources.deployment.limits.memory=750Mi

### With custom mount path for container stdout & stderr logs
### Custom mount path not required for Azure Stack Edge version > 2318. Custom mount path must be /home/data/docker for Azure Stack Edge cluster with version <= 2318
az k8s-extension create --name azuremonitor-containers --cluster-name <cluster-name> --resource-group <resource-group> --cluster-type connectedClusters --extension-type Microsoft.AzureMonitor.Containers --configuration-settings amalogs.logsettings.custommountpath=<customMountPath>

请参阅 Helm 图表的资源请求和限制部分，了解可用的配置设置。

示例

az k8s-extension create --name azuremonitor-containers --cluster-name "my-cluster" --resource-group "my-resource-group" --cluster-type connectedClusters --extension-type Microsoft.AzureMonitor.Containers --configuration-settings logAnalyticsWorkspaceResourceID="/subscriptions/my-subscription/resourceGroups/my-resource-group/providers/Microsoft.OperationalInsights/workspaces/my-workspace"

具有前向代理的已启用 Arc 的群集

如果群集配置了正向代理，则代理设置会自动应用于扩展。 对于使用 AMPLS + 代理的群集，应忽略代理配置。 使用配置设置 amalogs.ignoreExtensionProxySettings=true 加入扩展。

az k8s-extension create --name azuremonitor-containers --cluster-name <cluster-name> --resource-group <resource-group> --cluster-type connectedClusters --extension-type Microsoft.AzureMonitor.Containers --configuration-settings amalogs.ignoreExtensionProxySettings=true

具有 ARO、OpenShift 或 Windows 节点的已启用 Arc 的群集

具有 ARO (Azure Red Hat Openshift) 或 Openshift 或 Windows 节点且已启用 Arc 的 Kubernetes 群集不支持托管标识身份验证。 通过指定 amalogs.useAADAuth=false 来使用旧式身份验证，如以下示例所示。

az k8s-extension create --name azuremonitor-containers --cluster-name <cluster-name> --resource-group <resource-group> --cluster-type connectedClusters --extension-type Microsoft.AzureMonitor.Containers --configuration-settings amalogs.useAADAuth=false

删除扩展实例

以下命令仅删除扩展实例，但不删除 Log Analytics 工作区。 Log Analytics 资源中的数据保持不变。

az k8s-extension delete --name azuremonitor-containers --cluster-type connectedClusters --cluster-name <cluster-name> --resource-group <resource-group>

本部分提供了 ARM 和 Bicep 模板。

• 模板必须部署在群集所在的同一资源组中。

1. 下载并编辑模板和参数文件

   AKS 群集 ARM

   • 模板文件：https://aka.ms/aks-enable-monitoring-msi-onboarding-template-file
   • 参数文件：https://aka.ms/aks-enable-monitoring-msi-onboarding-template-parameter-file

   AKS 群集 Bicep

   • 模板文件 (Syslog)：https://aka.ms/enable-monitoring-msi-syslog-bicep-template
   • 参数文件（非 Syslog）：https://aka.ms/enable-monitoring-msi-syslog-bicep-parameters
   • 模板文件（非 Syslog）：https://aka.ms/enable-monitoring-msi-bicep-template
   • 参数文件（非 Syslog）：https://aka.ms/enable-monitoring-msi-bicep-parameters

   已启用 Arc 的群集 ARM

   • 模板文件：https://aka.ms/arc-k8s-azmon-extension-msi-arm-template
   • 参数文件：https://aka.ms/arc-k8s-azmon-extension-msi-arm-template-params
   • 模板文件（旧式身份验证）：https://aka.ms/arc-k8s-azmon-extension-arm-template
   • 参数文件（旧式身份验证）：https://aka.ms/arc-k8s-azmon-extension-arm-template-params

2. 编辑参数文件中的以下值。 ARM 和 Bicep 模板使用一组相同的值。 从资源概述页面的 JSON 视图检索资源的资源 ID。

   展开表

   参数	说明
   AKS：aksResourceId Arc：clusterResourceId	群集的资源 ID。
   AKS：aksResourceLocation Arc：clusterRegion	群集的位置。
   AKS：workspaceResourceId Arc：workspaceResourceId	Log Analytics 工作区的资源 ID。
   Arc：workspaceRegion	Log Analytics 工作区的区域。
   Arc：workspaceDomain	Log Analytics 工作区的域。 opinsights.azure.com：Azure 公有云 opinsights.azure.cn，适用于由世纪互联运营的 Microsoft Azure。
   AKS：resourceTagValues	为群集的现有容器见解扩展数据收集规则 (DCR) 和 DCR 的名称指定的标记值。 该名称将为 MSCI-<clusterName>-<clusterRegion>，并在 AKS 群集资源组中创建此资源。 首次加入时，可设置任意标记值。

3. 使用部署资源管理器模板的任意有效方法，用参数文件部署模板。 有关不同方法的示例，请参阅部署示例模板。

1. 下载 Terraform 模板文件，具体取决于是否要启用 Syslog 集合。

   Syslog

   • https://aka.ms/enable-monitoring-msi-syslog-terraform

   没有 Syslog

   • https://aka.ms/enable-monitoring-msi-terraform

2. 根据群集设置调整 main.tf 中的 azurerm_kubernetes_cluster 资源。

3. 更新 variables.tf 中的参数以替换“<>”中的值

   展开表

   参数	说明
   aks_resource_group_name	使用资源组的“AKS 概述”页中的值。
   resource_group_location	使用资源组的“AKS 概述”页中的值。
   cluster_name	定义要创建的群集名称。
   workspace_resource_id	使用 Log Analytics 工作区的资源 ID。
   workspace_region	使用 Log Analytics 工作区的位置。
   resource_tag_values	将为群集的现有容器见解扩展数据收集规则 (DCR) 指定的现有标记值与 DCR 的名称进行匹配。 名称将匹配 MSCI-<clusterName>-<clusterRegion>，并且此资源在 AKS 群集所在的同一资源组中创建。 如果这是首次加入，则可以设置任意标记值。
   enabledContainerLogV2	要使用推荐的默认 ContainerLogV2，请将此参数值设置为 true。
   成本优化参数	请参考数据收集参数

4. 运行 terraform init -upgrade，将 Terraform 部署进行初始化。

5. 运行 terraform plan -out main.tfplan，将 Terraform 部署进行初始化。

6. 运行 terraform apply main.tfplan，将执行计划应用到云基础结构。

1. 首先使用以下命令导入现有群集资源： terraform import azurerm_kubernetes_cluster.k8s <aksResourceId>
2. 将 oms_agent 附加配置文件添加到现有 azurerm_kubernetes_cluster 资源。

   oms_agent {
       log_analytics_workspace_id = var.workspace_resource_id
       msi_auth_for_monitoring_enabled = true
     }
   

3. 从 Terraform 模板复制 DCR 和 DCRA 资源
4. 运行 terraform plan -out main.tfplan 并确保向 oms_agent 属性中添加更改。 注意：如果在 terraform 计划期间定义的 azurerm_kubernetes_cluster 资源不同，则会销毁现有群集并重新进行创建。
5. 运行 terraform apply main.tfplan，将执行计划应用到云基础结构。

1. 在 Azure 门户中“策略”菜单的“定义”选项卡中，使用以下详细信息创建策略定义。

   • 定义位置：应在其中存储策略定义的 Azure 订阅。
   • 名称：AKS-Monitoring-Addon
   • 说明：用于在 Azure Kubernetes 群集上启用监视加载项的 Azure 自定义策略。
   • 类别：选择“使用现有项”，然后从下拉列表中选择 Kubernetes。
   • 策略规则：将现有示例 JSON 替换为 https://aka.ms/aks-enable-monitoring-custom-policy 的内容。

2. 选择新的策略定义“AKS 监视加载项”。

3. 选择“分配”并指定应当在其中分配策略的作用域。

4. 选择“下一步”，并提供 Log Analytics 工作区的资源 ID。

5. 如果要将策略应用于所选作用域中的现有 AKS 群集，请创建一个修正任务。

6. 选择“查看 + 创建”以创建策略分配。

1. 下载 Azure Policy 模板和参数文件。

   • 模板文件：https://aka.ms/enable-monitoring-msi-azure-policy-template
   • 参数文件：https://aka.ms/enable-monitoring-msi-azure-policy-parameters

2. 使用以下 CLI 命令创建策略定义：

   az policy definition create --name "AKS-Monitoring-Addon-MSI" --display-name "AKS-Monitoring-Addon-MSI" --mode Indexed --metadata version=1.0.0 category=Kubernetes --rules azure-policy.rules.json --params azure-policy.parameters.json
   

3. 使用以下 CLI 命令创建策略定义：

   az policy assignment create --name aks-monitoring-addon --policy "AKS-Monitoring-Addon-MSI" --assign-identity --identity-scope /subscriptions/<subscriptionId> --role Contributor --scope /subscriptions/<subscriptionId> --location <location> --role Contributor --scope /subscriptions/<subscriptionId> -p "{ \"workspaceResourceId\": { \"value\":  \"/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.operationalinsights/workspaces/<workspaceName>\" } }"
   

将策略分配给订阅后，每当新建未启用 Prometheus 的群集时，策略都将运行并启用 Prometheus 监视。