Odesílání metrik Prometheus z virtuálních počítačů, škálovacích sad nebo clusterů Kubernetes do pracovního prostoru služby Azure Monitor

Prometheus není omezen na monitorování clusterů Kubernetes. Pomocí nástroje Prometheus můžete monitorovat aplikace a služby spuštěné na vašich serverech bez ohledu na to, kde jsou spuštěné. Můžete například monitorovat aplikace spuštěné na virtuálních počítačích, škálovacích sadách virtuálních počítačů nebo dokonce na místních serverech. Metriky Prometheus můžete také odesílat do pracovního prostoru služby Azure Monitor z clusteru spravovaného svým držitelem a serveru Prometheus.

Tento článek vysvětluje, jak nakonfigurovat vzdálené zápisy tak, aby odesílala data z instance Prometheus samoobslužné služby Prometheus do pracovního prostoru služby Azure Monitor.

Možnosti vzdáleného zápisu

V prostředíCh Azure a mimo Azure může běžet samospravovaný Nástroj Prometheus. Následují možnosti ověřování pro vzdálené zápisy do pracovního prostoru služby Azure Monitor v závislosti na prostředí, ve kterém je spuštěný Nástroj Prometheus.

Virtuální počítače spravované v Azure, škálovací sady virtuálních počítačů a clustery Kubernetes

Ověřování spravované identity přiřazené uživatelem můžete použít pro služby, na kterých běží samoobslužná správa Prometheus v prostředí Azure. Mezi služby spravované Azure patří:

• Azure Virtual Machines
• Škálovací sady virtuálních počítačů Azure
• Azure Kubernetes Service (AKS)

Informace o nastavení vzdáleného zápisu pro prostředky spravované Azure najdete v části Vzdálené zápisy s využitím ověřování spravované identity přiřazené uživatelem dále v tomto článku.

Virtuální počítače a clustery Kubernetes spuštěné v prostředích mimo Azure

Pokud máte virtuální počítače nebo cluster Kubernetes v prostředích mimo Azure nebo jste onboardovali do služby Azure Arc, nainstalujte si samoobslužně spravovaný Nástroj Prometheus a nakonfigurujte vzdálené zápisy pomocí ověřování aplikací Microsoft Entra. Další informace naleznete v tématu Vzdálené zápis pomocí ověřování aplikace Microsoft Entra dále v tomto článku.

Onboarding na servery s podporou Azure Arc umožňuje spravovat a konfigurovat virtuální počítače mimo Azure v Azure. Další informace najdete v tématu Servery s podporou Azure Arc a Kubernetes s podporou Azure Arc. Servery s podporou Azure Arc podporují pouze ověřování Microsoft Entra.

Poznámka:

Spravované identity přiřazené systémem nejsou podporované pro vzdálené zápisy do pracovních prostorů služby Azure Monitor. Použijte spravovanou identitu přiřazenou uživatelem nebo ověřování aplikace Microsoft Entra.

Požadavky

Podporované verze

• Pro ověřování spravovaných identit se vyžadují verze Prometheus novější než 2.45.
• Pro ověřování aplikací Microsoft Entra jsou vyžadovány verze Prometheus novější než 2.48.

Pracovní prostor služby Azure Monitor

Tento článek se zabývá odesíláním metrik Prometheus do pracovního prostoru služby Azure Monitor. Pokud chcete vytvořit pracovní prostor Služby Azure Monitor, přečtěte si téma Správa pracovního prostoru služby Azure Monitor.

Oprávnění

K dokončení kroků v tomto článku se vyžadují oprávnění správce clusteru nebo prostředku.

Nastavení ověřování pro vzdálený zápis

V závislosti na prostředí, ve kterém je Spuštěná aplikace Prometheus, můžete nakonfigurovat vzdálené zápisy tak, aby používaly spravovanou identitu přiřazenou uživatelem nebo ověřování aplikace Microsoft Entra k odesílání dat do pracovního prostoru služby Azure Monitor.

Pomocí webu Azure Portal nebo Azure CLI vytvořte spravovanou identitu přiřazenou uživatelem nebo aplikaci Microsoft Entra.

Vzdálený zápis pomocí spravované identity přiřazené uživatelem

Vzdálený zápis pomocí ověřování spravované identity přiřazené uživatelem

Ověřování spravované identity přiřazené uživatelem je možné použít v jakémkoli prostředí spravovaném v Azure. Pokud je vaše služba Prometheus spuštěná v prostředí mimo Azure, můžete použít ověřování aplikací Microsoft Entra.

Pokud chcete nakonfigurovat spravovanou identitu přiřazenou uživatelem pro vzdálený zápis do pracovního prostoru služby Azure Monitor, proveďte následující kroky.

Vytvoření spravované identity přiřazené uživatelem

Pokud chcete vytvořit identitu spravovanou uživatelem, která se použije v konfiguraci vzdáleného zápisu, přečtěte si téma Správa spravovaných identit přiřazených uživatelem.

Poznamenejte si hodnotu clientId spravované identity, kterou jste vytvořili. Toto ID se používá v konfiguraci vzdáleného zápisu Prometheus.

Přiřazení role Vydavatele metrik monitorování k aplikaci

V pravidle shromažďování dat pracovního prostoru přiřaďte spravované identitě roli Vydavatel metrik monitorování:

1. V podokně přehledu pracovního prostoru Služby Azure Monitor vyberte odkaz na pravidlo shromažďování dat.

   

2. Na stránce pravidla shromažďování dat vyberte Řízení přístupu (IAM).

3. Vyberte Přidat>Přidat přiřazení role.

   

4. Vyhledejte a vyberte Vydavatel metrik monitorování a pak vyberte Další.

   

5. Vyberte spravovanou identitu.

6. Zvolte Vybrat členy.

7. V rozevíracím seznamu Spravované identity vyberte spravovanou identitu přiřazenou uživatelem.

8. Vyberte identitu přiřazenou uživatelem, kterou chcete použít, a pak zvolte Vybrat.

   

9. Výběrem možnosti Zkontrolovat a přiřadit dokončete přiřazení role.

Přiřazení spravované identity k virtuálnímu počítači nebo škálovací sadě virtuálních počítačů

Důležité

K dokončení kroků v této části musíte mít oprávnění vlastníka nebo správce uživatelských přístupů pro virtuální počítač nebo škálovací sadu virtuálních počítačů.

1. Na webu Azure Portal přejděte na stránku clusteru, virtuálního počítače nebo škálovací sady virtuálních počítačů.

2. Vyberte Identita.

3. Vyberte přiřazeného uživatele.

4. Vyberte Přidat.

5. Vyberte spravovanou identitu přiřazenou uživatelem, kterou jste vytvořili, a pak vyberte Přidat.

   

Přiřazení spravované identity pro službu Azure Kubernetes Service

Pro Službu Azure Kubernetes Service musí být spravovaná identita přiřazená ke škálovacím sadám virtuálních počítačů.

AKS vytvoří skupinu prostředků, která obsahuje škálovací sady virtuálních počítačů. Název skupiny prostředků je ve formátu MC_<resource group name>_<AKS cluster name>_<region>.

Pro každou škálovací sadu virtuálních počítačů ve skupině prostředků přiřaďte spravovanou identitu podle kroků v předchozí části, přiřaďte spravovanou identitu virtuálnímu počítači nebo škálovací sadě virtuálních počítačů.

Aplikace Microsoft Entra ID

Vzdálený zápis pomocí ověřování aplikace Microsoft Entra

Ověřování aplikací Microsoft Entra můžete použít v libovolném prostředí. Pokud je vaše služba Prometheus spuštěná v prostředí spravovaném Azure, zvažte použití ověřování spravované identity přiřazené uživatelem.

Pokud chcete nakonfigurovat vzdálené zápisy do pracovního prostoru služby Azure Monitor pomocí aplikace Microsoft Entra, vytvořte aplikaci Microsoft Entra. V pravidle shromažďování dat pracovního prostoru Služby Azure Monitor přiřaďte aplikaci Microsoft Entra roli Vydavatel metrik monitorování.

Poznámka:

Vaše aplikace Microsoft Entra používá tajný klíč klienta nebo heslo. Tajné kódy klienta mají datum vypršení platnosti. Před vypršením platnosti nezapomeňte vytvořit nový tajný klíč klienta, abyste nepřišli o ověřený přístup.

Vytvoření aplikace Microsoft Entra ID

Pokud chcete vytvořit aplikaci Microsoft Entra ID pomocí portálu, přečtěte si téma Registrace aplikace pomocí Microsoft Entra ID a vytvoření instančního objektu.

Po vytvoření aplikace Microsoft Entra získejte ID klienta a vygenerujte tajný klíč klienta:

1. V seznamu aplikací zkopírujte hodnotu ID klienta pro zaregistrovanou aplikaci. Tato hodnota se používá v konfiguraci vzdáleného zápisu Prometheus jako hodnota pro client_id.

   

2. Vyberte Certifikáty a tajné kódy.

3. Vyberte Tajné kódy klienta a pak vyberte Nový tajný klíč klienta a vytvořte tajný klíč.

4. Zadejte popis, nastavte datum vypršení platnosti a pak vyberte Přidat.

   

5. Bezpečně zkopírujte hodnotu tajného kódu. Hodnota se používá v konfiguraci vzdáleného zápisu Prometheus jako hodnota pro client_secret. Hodnota tajného klíče klienta je viditelná pouze při jejím vytvoření a později ji nemůžete načíst. Pokud ho ztratíte, musíte vytvořit nový.

   

Přiřazení role Vydavatele metrik monitorování k aplikaci

Přiřaďte aplikaci roli Vydavatele metrik monitorování v pravidle shromažďování dat pracovního prostoru:

1. V podokně přehledu pracovního prostoru Služby Azure Monitor vyberte odkaz na pravidlo shromažďování dat.

   

2. Na stránce pravidla shromažďování dat vyberte Řízení přístupu (IAM).

3. Vyberte Přidat a pak vyberte Přidat přiřazení role.

   

4. Vyberte roli Vydavatel metrik monitorování a pak vyberte Další.

   

5. Vyberte Uživatele, skupinu nebo instanční objekt a pak zvolte Vybrat členy. Vyberte aplikaci, kterou jste vytvořili, a pak zvolte Vybrat.

6. Pokud chcete přiřazení role dokončit, vyberte Zkontrolovat a přiřadit.

   

Azure CLI

Vytváření identit přiřazených uživatelem a aplikací Microsoft Entra ID prostřednictvím Azure CLI

Vytvoření spravované identity přiřazené uživatelem

Pomocí následujícího postupu vytvořte spravovanou identitu přiřazenou uživatelem pro vzdálený zápis.

Poznamenejte si hodnotu clientId pro spravovanou identitu, kterou vytvoříte. Toto ID se používá v konfiguraci vzdáleného zápisu Prometheus.

1. Pomocí následujícího příkazu Azure CLI vytvořte spravovanou identitu přiřazenou uživatelem:

   az account set \
   --subscription <subscription id>
   
   az identity create \
   --name <identity name> \
   --resource-group <resource group name>
   

   Následující kód je příkladem zobrazeného výstupu:

   {
     "clientId": "00001111-aaaa-2222-bbbb-3333cccc4444",
     "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/rg-001/providers/Microsoft.ManagedIdentity/userAssignedIdentities/PromRemoteWriteIdentity",
     "location": "eastus",
     "name": "PromRemoteWriteIdentity",
     "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
     "resourceGroup": "rg-001",
     "systemData": null,
     "tags": {},
     "tenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
     "type": "Microsoft.ManagedIdentity/userAssignedIdentities"
   }
   

2. Přiřaďte spravované identitě roli Vydavatele metrik monitorování v pravidle shromažďování dat pracovního prostoru:

   az role assignment create \
   --role "Monitoring Metrics Publisher" \
   --assignee <managed identity client ID> \
   --scope <data collection rule resource ID>
   

   Příklad:

   az role assignment create \
   --role "Monitoring Metrics Publisher" \
   --assignee 00001111-aaaa-2222-bbbb-3333cccc4444 \
   --scope /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/MA_amw-001_eastus_managed/providers/Microsoft.Insights/dataCollectionRules/amw-001
   

3. Přiřaďte spravovanou identitu virtuálnímu počítači nebo škálovací sadě virtuálních počítačů.

   Tady jsou příkazy pro virtuální počítač:

   az vm identity assign \
   -g <resource group name> \
   -n <virtual machine name> \
   --identities <user assigned identity resource ID>
   

   Tady jsou příkazy pro škálovací sadu virtuálních počítačů:

   az vmss identity assign \
   -g <resource group name> \
   -n <scale set name> \
   --identities <user assigned identity resource ID>
   

   Následující příklad ukazuje příkazy pro škálovací sadu virtuálních počítačů:

   az vm identity assign \
   -g rg-prom-on-vm \
   -n win-vm-prom \
   --identities /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/rg-001/providers/Microsoft.ManagedIdentity/userAssignedIdentities/PromRemoteWriteIdentity
   

Další informace najdete v tématu az identity create a az role assignment create.

Vytvoření aplikace Microsoft Entra

Pokud chcete vytvořit aplikaci Microsoft Entra pomocí Azure CLI a přiřadit roli Vydavatel metrik monitorování, spusťte následující příkaz:

az ad sp create-for-rbac --name <application name> \
--role "Monitoring Metrics Publisher" \
--scopes <azure monitor workspace data collection rule Id>

Příklad:

az ad sp create-for-rbac \
--name PromRemoteWriteApp \
--role "Monitoring Metrics Publisher" \
--scopes /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/MA_amw-001_eastus_managed/providers/Microsoft.nsights/dataCollectionRules/amw-001

Následující kód je příkladem zobrazeného výstupu:

{
  "appId": "66667777-aaaa-8888-bbbb-9999cccc0000",
  "displayName": "PromRemoteWriteApp",
  "password": "Aa1Bb~2Cc3.-Dd4Ee5Ff6Gg7Hh8Ii9_Jj0Kk1Ll2",
  "tenant": "ffff5f5f-aa6a-bb7b-cc8c-dddddd9d9d9d"
}

Výstup obsahuje appId hodnoty a password hodnoty. Uložte tyto hodnoty tak, aby se používaly ve vzdálené konfiguraci zápisu Prometheus jako hodnoty pro client_id a client_secret. Hodnota hesla nebo tajného klíče klienta se zobrazí jenom při jeho vytvoření a později ji nemůžete načíst. Pokud ho ztratíte, musíte vytvořit nový.

Další informace najdete v tématu az ad app create a az ad sp create-for-rbac.

Konfigurace vzdáleného zápisu

Vzdálené zápisy se konfigurují v konfiguračním souboru prometheus.yml Prometheus nebo v operátoru Prometheus.

Další informace o konfiguraci vzdáleného zápisu najdete v tomto Prometheus.io článku: Konfigurace. Informace o ladění konfigurace vzdáleného zápisu najdete v tématu Vzdálené ladění zápisu.

Konfigurace vzdáleného zápisu pro Prometheus běžící na virtuálních počítačích

Pokud chcete odesílat data do pracovního prostoru služby Azure Monitor, přidejte do konfiguračního souboru (prometheus.yml) instance Prometheus spravované svým vlastním systémem následující část:

remote_write:   
  - url: "<metrics ingestion endpoint for your Azure Monitor workspace>"
# Microsoft Entra ID configuration.
# The Azure cloud. Options are 'AzurePublic', 'AzureChina', or 'AzureGovernment'.
    azuread:
      cloud: 'AzurePublic'
      managed_identity:
        client_id: "<client-id of the managed identity>"
      oauth:
        client_id: "<client-id from the Entra app>"
        client_secret: "<client secret from the Entra app>"
        tenant_id: "<Azure subscription tenant Id>"

Konfigurace vzdáleného zápisu v Kubernetes pro operátora Prometheus

Operátor Prometheus

Pokud používáte cluster Kubernetes se spuštěným operátorem Prometheus, pomocí následujícího postupu odešlete data do pracovního prostoru služby Azure Monitor:

1. Pokud používáte ověřování Microsoft Entra, převeďte tajný kód pomocí kódování Base64 a pak tajný kód použijte v clusteru Kubernetes. Uložte následující kód do souboru YAML. Pokud používáte ověřování spravované identity, tento krok přeskočte.

   apiVersion: v1
   kind: Secret
   metadata:
     name: remote-write-secret
     namespace: monitoring # Replace with the namespace where Prometheus Operator is deployed.
   type: Opaque
   data:
     password: <base64-encoded-secret>
   
   

   Použijte tajný kód:

   # Set context to your cluster 
   az aks get-credentials -g <aks-rg-name> -n <aks-cluster-name> 
   
   kubectl apply -f <remote-write-secret.yaml>
   

2. Aktualizujte hodnoty pro oddíl vzdáleného zápisu v operátoru Prometheus. Zkopírujte následující YAML a uložte ho jako soubor. Další informace o specifikaci pracovního prostoru služby Azure Monitor pro vzdálený zápis v operátoru Prometheus najdete v dokumentaci operátora Prometheus.

   prometheus:
     prometheusSpec:
       remoteWrite:
       - url: "<metrics ingestion endpoint for your Azure Monitor workspace>"
         azureAd:
   # Microsoft Entra ID configuration.
   # The Azure cloud. Options are 'AzurePublic', 'AzureChina', or 'AzureGovernment'.
           cloud: 'AzurePublic'
           managedIdentity:
             clientId: "<clientId of the managed identity>"
           oauth:
             clientId: "<clientId of the Entra app>"
             clientSecret:
               name: remote-write-secret
               key: password
             tenantId: "<Azure subscription tenant Id>"
   

3. Pomocí Nástroje Helm aktualizujte konfiguraci vzdáleného zápisu pomocí předchozího souboru YAML:

   helm upgrade -f <YAML-FILENAME>.yml prometheus prometheus-community/kube-prometheus-stack --namespace <namespace where Prometheus Operator is deployed>
   

Parametr url určuje koncový bod příjmu metrik pracovního prostoru služby Azure Monitor. Najdete ho v podokně přehledu pracovního prostoru služby Azure Monitor na webu Azure Portal.

V závislosti na implementaci použijte buď managed_identity nebo oauth pro ověřování aplikací Microsoft Entra. Odeberte objekt, který nepoužíváte.

Pomocí následujícího příkazu Azure CLI vyhledejte ID klienta pro spravovanou identitu:

az identity list --resource-group <resource group name>

Další informace najdete v tématu az identity list.

Pokud chcete najít klienta pro ověřování spravovaných identit na portálu, přejděte na webu Azure Portal do spravovaných identit a vyberte příslušný název identity. Zkopírujte hodnotu ID klienta z podokna Přehled spravované identity.

Pokud chcete najít ID klienta pro aplikaci Microsoft Entra ID, použijte následující příkaz Azure CLI (nebo se podívejte na první krok v dřívější části vzdáleného zápisu pomocí ověřování aplikace Microsoft Entra):

$ az ad app list --display-name < application name>

Další informace najdete v tématu az ad app list.

Poznámka:

Po úpravě konfiguračního souboru restartujte Nástroj Prometheus, aby se změny projevily.

Ověření toku vzdálených dat zápisu

Pomocí následujících metod ověřte, že se data Prometheus odesílají do pracovního prostoru služby Azure Monitor.

Průzkumník metrik Služby Azure Monitor s nástrojem PromQL

Pokud chcete zkontrolovat, jestli metriky proudí do pracovního prostoru služby Azure Monitor, vyberte na webu Azure Portal z pracovního prostoru Služby Azure Monitor metriky. Pomocí Průzkumníka metrik s Dotazovacím jazykem PromQL (PromQL) můžete dotazovat metriky, které očekáváte z prostředí Prometheus spravovaného vlastním systémem. Další informace najdete v Průzkumníku metrik služby Azure Monitor s nástrojem PromQL.

Průzkumník Prometheus v pracovním prostoru služby Azure Monitor

Průzkumník Prometheus nabízí pohodlný způsob interakce s metrikami Prometheus v rámci prostředí Azure, aby monitorování a řešení potíží bylo efektivnější. Pokud chcete použít Průzkumníka Prometheus, přejděte na webu Azure Portal do pracovního prostoru služby Azure Monitor a vyberte Průzkumníka Prometheus. Pak se můžete dotazovat na metriky, které očekáváte z prostředí Prometheus spravovaného vlastním systémem.

Další informace najdete v tématu Dotazování metrik Prometheus pomocí sešitů Azure.

Grafana

Pomocí dotazů PromQL v Grafana ověřte, že výsledky vrací očekávaná data. Pokud chcete nakonfigurovat Grafana, přečtěte si článek o nastavení Grafany se spravovaným nástrojem Prometheus.

Řešení potíží se vzdáleným zápisem

Pokud se ve vašem pracovním prostoru služby Azure Monitor nezobrazují vzdálená data, přečtěte si téma Řešení běžných problémů a řešení vzdáleného zápisu .

Související obsah

• Další informace o spravované službě Azure Monitor pro Prometheus
• Informace o reverzním sajdkáře reverzního proxy serveru Azure Monitoru pro vzdálené zápisy ze samospravované služby Prometheus spuštěné v Kubernetes