Azure Private Link使你能够使用专用终结点访问虚拟网络Azure平台即服务(PaaS)资源。
Azure Monitor Private Link Scope (AMPLS)将专用终结点连接到一组Azure Monitor资源,以定义监视网络的边界。
本文介绍如何使用现有的Azure Monitor 私有链接范围(Private Link Scope,AMPLS)来配置对虚拟机(VM)和Kubernetes 集群的监控。
先决条件
概念概述
由Azure Monitor监视的 VM 和 Kubernetes 群集都使用 Azure Monitor 代理进行监视,以便其专用链接的配置类似。 根据它们的配置,每个指标都将发送到Azure Monitor工作区和/或日志到Log Analytics工作区。
在 VM 或群集上运行的 Azure Monitor 代理需要为以下操作建立连接:
- 从Azure Monitor检索配置。 这包括与代理关联的 数据收集规则(DCR),这些规则 定义要收集和发送的日志和指标数据。
- 将数据发送到Azure Monitor工作区和Log Analytics工作区。
- 从Azure Monitor工作区和Log Analytics工作区查询数据。
数据收集终结点(DCE)在将专用链接与 Azure Monitor 配合使用时用于不同的功能,如 AMPLS 资源中所述。 你将根据要求使用现有 DCE 和新 DCE 的组合。
启用代理配置
VM 和群集都需要 AMPLS 中的 数据收集终结点(DCE),以通过专用链接从 Azure Monitor 检索其配置。 VM 或群集仅需要单个 DCE 才能检索其配置。 当日志和指标都启用时,它将使用此 DCE 来检索这两者的 DCR。 可以使用与 VM 或群集位于同一区域中的任何 DCE,但如果现有 DCE 可用,则通常最好使用现有 DCE。
如果您正在使用用于指标的 Azure Monitor 工作区,则可以使用为该工作区自动创建的 DCE。 如果不使用Azure Monitor工作区,或者 VM 或群集所在的区域与Azure Monitor工作区不同,则需要在 VM 或群集所在的同一区域中创建新的 DCE。 根据需要,按照 “创建数据收集终结点 ”中的指南,在 VM 或群集所在的同一区域中创建新的 DCE。
将 VM 或群集与 DCE 相关联
在 VM 或群集与 DCE 之间创建关联,以便通过 DCE 从 Azure Monitor 检索其配置。 每个 VM 或群集只能与单个 DCE 关联,因此,如果创建另一个关联,将替换现有的关联。
如果使用由 Azure Monitor 工作区创建的 DCE,请从Azure门户中的 Overview 页中标识它。
截图展示 Azure Monitor 工作区的 DCE。
在 Azure 门户中的 Monitor 菜单中,选择 Data Collection Endpoints。 选择 DCE,然后选择“ 资源 ”选项卡。单击“ 添加 ”并选择群集以创建关联。
使用以下命令在 VM 或群集与 DCE 之间创建关联:
az monitor data-collection rule association create --association-name configurationAccessEndpoint --data-collection-endpoint-id <dce-resource-id> --resource-uri <vm-resource-id/cluster-resource-id>
# Example VM
az monitor data-collection rule association create --association-name configurationAccessEndpoint --data-collection-endpoint-id /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-group/providers/Microsoft.Insights/dataCollectionEndpoints/my-dce --resource-uri /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/vm/providers/Microsoft.Compute/virtualMachines/my-vm
# Example AKS
az monitor data-collection rule association create --association-name configurationAccessEndpoint --data-collection-endpoint-id /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-group/providers/Microsoft.Insights/dataCollectionEndpoints/my-dce --resource-uri /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-group/providers/Microsoft.ContainerService/managedClusters/my-cluster
使用以下命令在 VM 或群集与 DCE 之间创建关联:
New-AzDataCollectionRuleAssociation -associationname configurationAccessEndpoint -DataCollectionEndpointId <dce-resource-id> -resourceuri <vm-resource-id/cluster-resource-id>
# Example VM
New-AzDataCollectionRuleAssociation -resourceuri /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/vm/providers/Microsoft.Compute/virtualMachines/win03 -associationname configurationAccessEndpoint -DataCollectionEndpointId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-group/providers/Microsoft.Insights/dataCollectionEndpoints/my-dce
# Example AKS
New-AzDataCollectionRuleAssociation -resourceuri /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/vm/providers/Microsoft.Compute/virtualMachines/win03 -associationname configurationAccessEndpoint -DataCollectionEndpointId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-group/providers/Microsoft.Insights/dataCollectionEndpoints/my-dce
将 DCE 添加到 AMPLS
需要将为配置访问创建的每个 DCE 添加到 AMPLS。 这包括由Azure Monitor工作区创建的 DCE 以及为不同区域中的群集创建的任何新 DCE。
在 Azure 门户中的 Monitor 菜单中,选择 Azure Monitor Private Link 范围。 选择 AMPLS,然后选择 Azure Monitor Resources 选项卡。单击 Add 并选择 DCE 将其添加到 AMPLS。
使用以下命令将 DCE 添加到 AMPLS:
az monitor private-link-scope scoped-resource create --resource-group <resource-group> --scope-name <ampls-name> --name <dce-name> --linked-resource <dce-resource-id>
# Example
az monitor private-link-scope scoped-resource create --resource-group my-resource-group --scope-name my-ampls --name my-cluster --linked-resource /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-groups/providers/Microsoft.Insights/dataCollectionEndpoints/my-cluster
使用以下命令将 DCE 添加到 AMPLS:
New-AzInsightsPrivateLinkScopedResource -ResourceGroupName <resource-group> -ScopeName <ampls-name> -Name <dce-name> -LinkedResourceId <dce-resource-id>
# Example
New-AzInsightsPrivateLinkScopedResource -ResourceGroupName my-resource-group -ScopeName my-ampls -Name my-cluster-LinkedResourceId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-groups/providers/Microsoft.Insights/dataCollectionEndpoints/my-cluster
启用数据摄取
VM 或群集要求 AMPLS 中的 DCE 使用专用链接将数据发送到Azure Monitor工作区。 无需 DCE 即可将日志数据发送到Log Analytics工作区,因为直接将Log Analytics工作区添加到 AMPLS。
启用 Prometheus 指标后,会自动为每个群集创建 DCE。 此 DCE 的名称与 MSProm-<region>-<cluster> 类似,用于从集群进行数据摄入。 只需将它添加到 AMPLS。
在 Azure 门户中的 Monitor 菜单中,选择 Azure Monitor Private Link 范围。 选择 AMPLS,然后选择 Azure Monitor Resources 选项卡。单击 Add 并选择 DCE 将其添加到 AMPLS。
使用以下命令将 DCE 添加到 AMPLS:
az monitor private-link-scope scoped-resource create --resource-group <resource-group> --scope-name <ampls-name> --name <dce-name> --linked-resource <dce-resource-id>
# Example
az monitor private-link-scope scoped-resource create --resource-group my-resource-group --scope-name my-ampls --name my-cluster --linked-resource /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-groups/providers/Microsoft.Insights/dataCollectionEndpoints/my-cluster
使用以下命令将 DCE 添加到 AMPLS:
New-AzInsightsPrivateLinkScopedResource -ResourceGroupName <resource-group> -ScopeName <ampls-name> -Name <dce-name> -LinkedResourceId <dce-resource-id>
# Example
New-AzInsightsPrivateLinkScopedResource -ResourceGroupName my-resource-group -ScopeName my-ampls -Name my-cluster-LinkedResourceId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-groups/providers/Microsoft.Insights/dataCollectionEndpoints/my-cluster
引入Log Analytics工作区不需要 DCE,因为它直接添加到 AMPLS,如 AMPLS 资源中所述。 将Log Analytics工作区添加到 AMPLS,以支持从连接的 VNet 中的群集和 VM 引入数据。
在 Azure 门户中的 Monitor 菜单中,选择 Azure Monitor Private Link 范围。 选择 AMPLS,然后选择 Azure Monitor Resources 选项卡。单击 Add并选择Log Analytics工作区将其添加到 AMPLS。
使用以下命令将Log Analytics工作区添加到 AMPLS:
az monitor private-link-scope scoped-resource create --resource-group <resource-group> --scope-name <ampls-name> --name <workspace-name> --linked-resource <workspace-resource-id>
# Example VM
az monitor private-link-scope scoped-resource create --resource-group my-resource-group --scope-name my-ampls --name my-cluster --linked-resource /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-groups/providers/Microsoft.Insights/dataCollectionEndpoints/my-cluster
# Example AKS
az monitor private-link-scope scoped-resource create --resource-group my-resource-group --scope-name my-ampls --name my-cluster --linked-resource /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-groups/providers/Microsoft.Insights/dataCollectionEndpoints/my-cluster
使用以下命令将Log Analytics工作区添加到 AMPLS:
New-AzInsightsPrivateLinkScopedResource -ResourceGroupName <resource-group> -ScopeName <ampls-name> -Name <workspace-name> -LinkedResourceId <workspace-resource-id>
# Example VM
New-AzInsightsPrivateLinkScopedResource -ResourceGroupName my-resource-group -ScopeName my-ampls -Name my-workspace -LinkedResourceId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-group/providers/microsoft.operationalinsights/workspaces/my-workspace
# Example AKS
New-AzInsightsPrivateLinkScopedResource -ResourceGroupName my-resource-group -ScopeName my-ampls -Name my-workspace -LinkedResourceId /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/my-resource-group/providers/microsoft.operationalinsights/workspaces/my-workspace
为 Azure Monitor 工作区启用查询
需要额外的专用终结点才能通过专用链接支持对Azure Monitor工作区的查询。 这类似于为 AMPLS 创建的专用终结点,但此专用终结点专用于Azure Monitor工作区,以支持通过专用链接进行查询。 有关此专用终结点及其创建的 DNS 记录的更多详细信息,请参阅 为托管 Prometheus 和 Azure Monitor 工作区使用专用终结点。
按照 将 AMPLS 连接到专用终结点 的相同指南创建新的专用终结点连接,但对要连接到的资源使用以下设置:
| 财产 |
说明 |
| Subscription |
包含 AMPLS 的订阅。 |
| 资源类型 |
Microsoft.Monitor/accounts |
| 资源 |
链接的名称 |
| 目标子资源 |
prometheusMetrics |
从专用 AKS 群集引入
如果选择使用Azure Firewall来限制群集的出口,则可以实现以下任一作:
- 打开公共引入终结点的路径。 使用以下两个终结点更新路由表:
*.handler.control.monitor.azure.cn*.ingest.monitor.azure.cn
- 启用 Azure 防火墙,以访问用于数据引入的 Azure Monitor 专用链接范围和 DCE。
用于远程写入的专用链接引入
使用以下步骤通过专用链路虚拟网络和 AMPLS 为 Kubernetes 群集设置 Prometheus 指标的远程写入。
- 将本地群集配置为使用 VPN 网关或具有专用对等互连的 ExpressRoute 连接到 Azure VNET。
- 将 AMPLS 连接到本地群集使用的虚拟网络中的专用终结点。 此专用终结点用于访问 DCE。
- 在 Azure 门户中 Azure Monitor 工作区的 Overview 页面上,单击 数据收集终结点。
- 选择该 DCE 的“网络隔离”页。
- 单击添加并选择 AMPLS。 请等待几分钟让设置生效,应通过专用链接将本地 AKS 群集的数据引入到 Azure Monitor 工作区中。
验证数据引入
有多种方法可用于验证是否通过专用链接从群集引入数据。 一种方法是检查某个群集或 VM 的 “监视 ”菜单。 你应该能看到正在收集的指标和事件。
后续步骤
- 有关如何使用 Grafana 配置专用链接以查询Azure Monitor工作区中的数据的详细信息,请参阅 连接到数据源。
- 有关如何使用工作簿配置专用链接以从 Azure Monitor 工作区查询数据的详细信息,请参阅 启用查询。
