容器见解的旧式身份验证

容器见解默认为托管标识身份验证,该身份验证具有一个监视代理,其使用群集的托管标识将数据发送到 Azure Monitor。 它取代了旧版基于证书的本地身份验证,并使得无需再将“监视指标发布者”角色添加到群集。

本文介绍如何在使用旧式身份验证方法启用容器见解时迁移到托管标识身份验证,以及如何启用旧式身份验证(如果需要)。

重要

如果群集采用旧式身份验证且 Log Analytics 工作区密钥轮换,则监视数据将停止流向 Log Analytics 工作区。 必须禁用容器见解加载项,然后重新启用,以便监视数据通过新的轮换工作区密钥再次开始流动。  应迁移到不使用 Log Analytics 工作区密钥的容器见解托管标识身份验证。

迁移到托管标识身份验证

如果在托管标识身份验证可用之前启用了容器见解,则可以使用以下方法来迁移群集。

可以从 AKS 群集的“监视设置”面板迁移到托管标识身份验证。 在“监视”部分中,单击“见解”选项卡。在“见解”选项卡中,单击“监视设置”选项,选中“使用托管标识”框

显示“设置”页的屏幕截图。

如果看不到“使用托管标识”选项,则你使用的是 SPN 群集。 在这种情况下,必须使用命令行工具进行迁移。 有关迁移说明和模板,请参阅其他选项卡。

时间线

任何正在创建或加入的新群集现在都默认为托管标识身份验证。 但是,仍支持使用基于解决方案的旧式身份验证的现有群集。

后续步骤

如果升级代理时遇到问题,请查看故障排除指南来获得支持。