Metrische prometheus-gegevens verzenden van virtuele machines, schaalsets of Kubernetes-clusters naar een Azure Monitor-werkruimte

Prometheus is niet beperkt tot het bewaken van Kubernetes-clusters. Gebruik Prometheus om toepassingen en services te bewaken die worden uitgevoerd op uw servers, waar ze ook worden uitgevoerd. U kunt bijvoorbeeld toepassingen bewaken die worden uitgevoerd op virtuele machines, virtuele-machineschaalsets of zelfs on-premises servers. U kunt prometheus-metrische gegevens ook verzenden naar een Azure Monitor-werkruimte vanuit uw zelfbeheerde cluster en Prometheus-server.

In dit artikel wordt uitgelegd hoe u externe schrijfbewerkingen configureert voor het verzenden van gegevens van een zelfbeheerd Prometheus-exemplaar naar een Azure Monitor-werkruimte.

Opties voor extern schrijven

Zelfbeheerde Prometheus kan worden uitgevoerd in Azure- en niet-Azure-omgevingen. Hier volgen verificatieopties voor extern schrijven naar een Azure Monitor-werkruimte, op basis van de omgeving waarin Prometheus wordt uitgevoerd.

Door Azure beheerde virtuele machines, virtuele-machineschaalsets en Kubernetes-clusters

Gebruik door de gebruiker toegewezen beheerde identiteitverificatie voor services met zelfbeheerde Prometheus in een Azure-omgeving. Door Azure beheerde services zijn onder andere:

• Azure Virtual Machines
• Azure-schaalvergrotingssets voor virtuele machines
• Azure Kubernetes Service (AKS)

Als u externe schrijfbewerkingen wilt instellen voor door Azure beheerde resources, raadpleegt u Extern schrijven met behulp van door de gebruiker toegewezen verificatie van beheerde identiteiten verderop in dit artikel.

Virtuele machines en Kubernetes-clusters die worden uitgevoerd in niet-Azure-omgevingen

Als u virtuele machines of een Kubernetes-cluster in niet-Azure-omgevingen hebt of als u onboarding hebt uitgevoerd naar Azure Arc, installeert u zelfbeheerde Prometheus en configureert u extern schrijven met behulp van Microsoft Entra-toepassingsverificatie. Zie Schrijf op afstand met microsoft Entra-toepassingsverificatie verderop in dit artikel voor meer informatie.

Met onboarding naar servers met Azure Arc kunt u niet-Azure-VM's beheren en configureren in Azure. Zie Servers met Azure Arc en Kubernetes met Azure Arc voor meer informatie. Servers met Azure Arc ondersteunen alleen Microsoft Entra-verificatie.

Notitie

Door het systeem toegewezen beheerde identiteiten worden niet ondersteund voor externe schrijfbewerkingen naar Azure Monitor-werkruimten. Gebruik een door de gebruiker toegewezen beheerde identiteit of Microsoft Entra-toepassingsverificatie.

Vereisten

Ondersteunde versies

• Prometheus-versies hoger dan 2.45 zijn vereist voor verificatie van beheerde identiteiten.
• Prometheus-versies hoger dan 2.48 zijn vereist voor verificatie van Microsoft Entra-toepassingen.

Azure Monitor-werkruimte

Dit artikel bevat informatie over het verzenden van metrische Prometheus-gegevens naar een Azure Monitor-werkruimte. Zie Een Azure Monitor-werkruimte beheren om een Azure Monitor-werkruimte te maken.

Machtigingen

Beheerdersmachtigingen voor het cluster of de resource zijn vereist om de stappen in dit artikel uit te voeren.

Verificatie instellen voor extern schrijven

Afhankelijk van de omgeving waarin Prometheus wordt uitgevoerd, kunt u extern schrijven configureren voor het gebruik van een door de gebruiker toegewezen beheerde identiteit of Microsoft Entra-toepassingsverificatie om gegevens naar een Azure Monitor-werkruimte te verzenden.

Gebruik Azure Portal of de Azure CLI om een door de gebruiker toegewezen beheerde identiteit of Microsoft Entra-toepassing te maken.

Extern schrijven met een door de gebruiker toegewezen beheerde identiteit

Schrijven op afstand met door de gebruiker toegewezen beheerde identiteitverificatie

Door de gebruiker toegewezen verificatie van beheerde identiteiten kan worden gebruikt in elke door Azure beheerde omgeving. Als uw Prometheus-service wordt uitgevoerd in een niet-Azure-omgeving, kunt u microsoft Entra-toepassingsverificatie gebruiken.

Voer de volgende stappen uit om een door de gebruiker toegewezen beheerde identiteit te configureren voor extern schrijven naar een Azure Monitor-werkruimte.

Een door de gebruiker toegewezen beheerde identiteit maken

Zie Door de gebruiker toegewezen beheerde identiteiten beheren voor gebruik in uw externe schrijfconfiguratie om een door de gebruiker beheerde identiteiten te maken.

Noteer de waarde van clientId de beheerde identiteit die u hebt gemaakt. Deze id wordt gebruikt in de externe schrijfconfiguratie van Prometheus.

De rol Monitoring Metrics Publisher toewijzen aan de toepassing

Wijs in de regel voor gegevensverzameling van de werkruimte de rol Monitoring Metrics Publisher toe aan de beheerde identiteit:

1. Selecteer in het overzichtsvenster van de Azure Monitor-werkruimte de koppeling gegevensverzamelingsregel .

   

2. Selecteer op de pagina voor de regel voor gegevensverzameling toegangsbeheer (IAM).

3. Selecteer Toevoegen>Roltoewijzing toevoegen.

   

4. Zoek en selecteer Monitoring Metrics Publisher en selecteer vervolgens Volgende.

   

5. Selecteer Beheerde identiteit.

6. Kies Leden selecteren.

7. Selecteer in de vervolgkeuzelijst Beheerde identiteit de door de gebruiker toegewezen beheerde identiteit.

8. Selecteer de door de gebruiker toegewezen identiteit die u wilt gebruiken en kies vervolgens Selecteren.

   

9. Selecteer Beoordelen en toewijzen om de roltoewijzing te voltooien.

De beheerde identiteit toewijzen aan een virtuele machine of een virtuele-machineschaalset

Belangrijk

Als u de stappen in deze sectie wilt voltooien, moet u de machtigingen Eigenaar of Beheerder voor gebruikerstoegang hebben voor de virtuele machine of de virtuele-machineschaalset.

1. Ga in Azure Portal naar de pagina voor het cluster, de virtuele machine of de virtuele-machineschaalset.

2. Selecteer Identiteit.

3. Selecteer Gebruiker toegewezen.

4. Selecteer Toevoegen.

5. Selecteer de door de gebruiker toegewezen beheerde identiteit die u hebt gemaakt en selecteer vervolgens Toevoegen.

   

De beheerde identiteit toewijzen voor Azure Kubernetes Service

Voor Azure Kubernetes Service moet de beheerde identiteit worden toegewezen aan virtuele-machineschaalsets.

AKS maakt een resourcegroep die de virtuele-machineschaalsets bevat. De naam van de resourcegroep heeft de indeling MC_<resource group name>_<AKS cluster name>_<region>.

Wijs voor elke virtuele-machineschaalset in de resourcegroep de beheerde identiteit toe volgens de stappen in de vorige sectie, Wijs de beheerde identiteit toe aan een virtuele machine of een virtuele-machineschaalset.

Microsoft Entra ID-toepassing

Extern schrijven met microsoft Entra-toepassingsverificatie

U kunt microsoft Entra-toepassingsverificatie in elke omgeving gebruiken. Als uw Prometheus-service wordt uitgevoerd in een door Azure beheerde omgeving, kunt u overwegen om door de gebruiker toegewezen verificatie van beheerde identiteiten te gebruiken.

Als u externe schrijfbewerkingen naar een Azure Monitor-werkruimte wilt configureren met behulp van een Microsoft Entra-toepassing, maakt u een Microsoft Entra-toepassing. Wijs in de regel voor gegevensverzameling van de Azure Monitor-werkruimte de rol Monitoring Metrics Publisher toe aan de Microsoft Entra-toepassing.

Notitie

Uw Microsoft Entra-toepassing maakt gebruik van een clientgeheim of wachtwoord. Clientgeheimen hebben een vervaldatum. Zorg ervoor dat u een nieuw clientgeheim maakt voordat het verloopt, zodat u geen geverifieerde toegang verliest.

Een Microsoft Entra ID-toepassing maken

Als u een Microsoft Entra ID-toepassing wilt maken met behulp van de portal, raadpleegt u Een toepassing registreren bij Microsoft Entra-id en maakt u een service-principal.

Nadat u uw Microsoft Entra-toepassing hebt gemaakt, haalt u de client-id op en genereert u een clientgeheim:

1. Kopieer in de lijst met toepassingen de client-id-waarde voor de geregistreerde toepassing. Deze waarde wordt gebruikt in de externe schrijfconfiguratie van Prometheus als de waarde voor client_id.

   

2. Selecteer Certificaten en geheimen.

3. Selecteer Clientgeheimen en selecteer vervolgens Nieuw clientgeheim om een geheim te maken.

4. Voer een beschrijving in, stel de vervaldatum in en selecteer Vervolgens Toevoegen.

   

5. Kopieer de waarde van het geheim veilig. De waarde wordt gebruikt in de externe schrijfconfiguratie van Prometheus als de waarde voor client_secret. De waarde van het clientgeheim is alleen zichtbaar wanneer deze wordt gemaakt en u kunt deze later niet ophalen. Als u deze kwijtraakt, moet u een nieuwe maken.

   

De rol Monitoring Metrics Publisher toewijzen aan de toepassing

Wijs de rol Monitoring Metrics Publisher toe aan de regel voor gegevensverzameling van de werkruimte aan de toepassing:

1. Selecteer in het overzichtsvenster van de Azure Monitor-werkruimte de koppeling gegevensverzamelingsregel .

   

2. Selecteer op de pagina voor de regel voor gegevensverzameling toegangsbeheer (IAM).

3. Selecteer Toevoegen en selecteer vervolgens Roltoewijzing toevoegen.

   

4. Selecteer de rol Monitoring Metrics Publisher en selecteer Vervolgens.

   

5. Selecteer Gebruiker, groep of service-principal en kies leden selecteren. Selecteer de toepassing die u hebt gemaakt en kies vervolgens Selecteren.

6. Als u de roltoewijzing wilt voltooien, selecteert u Beoordelen en toewijzen.

   

Azure-CLI

Door de gebruiker toegewezen identiteiten en Microsoft Entra ID-apps maken via de Azure CLI

Een door de gebruiker toegewezen beheerde identiteit maken

Maak een door de gebruiker toegewezen beheerde identiteit voor extern schrijven met behulp van de volgende stappen.

Noteer de waarde van clientId de beheerde identiteit die u maakt. Deze id wordt gebruikt in de externe schrijfconfiguratie van Prometheus.

1. Maak een door de gebruiker toegewezen beheerde identiteit met behulp van de volgende Azure CLI-opdracht:

   az account set \
   --subscription <subscription id>
   
   az identity create \
   --name <identity name> \
   --resource-group <resource group name>
   

   De volgende code is een voorbeeld van de weergegeven uitvoer:

   {
     "clientId": "00001111-aaaa-2222-bbbb-3333cccc4444",
     "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/rg-001/providers/Microsoft.ManagedIdentity/userAssignedIdentities/PromRemoteWriteIdentity",
     "location": "eastus",
     "name": "PromRemoteWriteIdentity",
     "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
     "resourceGroup": "rg-001",
     "systemData": null,
     "tags": {},
     "tenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
     "type": "Microsoft.ManagedIdentity/userAssignedIdentities"
   }
   

2. Wijs de rol Monitoring Metrics Publisher toe aan de regel voor gegevensverzameling van de werkruimte aan de beheerde identiteit:

   az role assignment create \
   --role "Monitoring Metrics Publisher" \
   --assignee <managed identity client ID> \
   --scope <data collection rule resource ID>
   

   Voorbeeld:

   az role assignment create \
   --role "Monitoring Metrics Publisher" \
   --assignee 00001111-aaaa-2222-bbbb-3333cccc4444 \
   --scope /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/MA_amw-001_eastus_managed/providers/Microsoft.Insights/dataCollectionRules/amw-001
   

3. Wijs de beheerde identiteit toe aan een virtuele machine of een virtuele-machineschaalset.

   Dit zijn de opdrachten voor een virtuele machine:

   az vm identity assign \
   -g <resource group name> \
   -n <virtual machine name> \
   --identities <user assigned identity resource ID>
   

   Dit zijn de opdrachten voor een virtuele-machineschaalset:

   az vmss identity assign \
   -g <resource group name> \
   -n <scale set name> \
   --identities <user assigned identity resource ID>
   

   In het volgende voorbeeld ziet u de opdrachten voor een virtuele-machineschaalset:

   az vm identity assign \
   -g rg-prom-on-vm \
   -n win-vm-prom \
   --identities /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/rg-001/providers/Microsoft.ManagedIdentity/userAssignedIdentities/PromRemoteWriteIdentity
   

Zie az identity create en az role assignment create voor meer informatie.

Een Microsoft Entra-toepassing maken

Als u een Microsoft Entra-toepassing wilt maken met behulp van de Azure CLI en de rol Monitoring Metrics Publisher wilt toewijzen, voert u de volgende opdracht uit:

az ad sp create-for-rbac --name <application name> \
--role "Monitoring Metrics Publisher" \
--scopes <azure monitor workspace data collection rule Id>

Voorbeeld:

az ad sp create-for-rbac \
--name PromRemoteWriteApp \
--role "Monitoring Metrics Publisher" \
--scopes /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/MA_amw-001_eastus_managed/providers/Microsoft.nsights/dataCollectionRules/amw-001

De volgende code is een voorbeeld van de weergegeven uitvoer:

{
  "appId": "66667777-aaaa-8888-bbbb-9999cccc0000",
  "displayName": "PromRemoteWriteApp",
  "password": "Aa1Bb~2Cc3.-Dd4Ee5Ff6Gg7Hh8Ii9_Jj0Kk1Ll2",
  "tenant": "ffff5f5f-aa6a-bb7b-cc8c-dddddd9d9d9d"
}

De uitvoer bevat de appId en password waarden. Sla deze waarden op om te gebruiken in de externe schrijfconfiguratie van Prometheus als waarden voor client_id en client_secret. De waarde voor het wachtwoord of clientgeheim is alleen zichtbaar wanneer het is gemaakt en u kunt het later niet meer ophalen. Als u deze kwijtraakt, moet u een nieuwe maken.

Zie az ad app create en az ad sp create-for-rbac voor meer informatie.

Externe schrijfbewerkingen configureren

Extern schrijven is geconfigureerd in het Prometheus-configuratiebestand prometheus.yml of in Prometheus-operator.

Zie dit Prometheus.io artikel: Configuratie voor meer informatie over het configureren van externe schrijfbewerkingen. Zie Extern schrijven afstemmen voor informatie over het afstemmen van de externe schrijfconfiguratie.

Externe schrijfbewerking configureren voor Prometheus die wordt uitgevoerd op virtuele machines

Als u gegevens naar uw Azure Monitor-werkruimte wilt verzenden, voegt u de volgende sectie toe aan het configuratiebestand (prometheus.yml) van uw zelfbeheerde Prometheus-exemplaar:

remote_write:   
  - url: "<metrics ingestion endpoint for your Azure Monitor workspace>"
# Microsoft Entra ID configuration.
# The Azure cloud. Options are 'AzurePublic', 'AzureChina', or 'AzureGovernment'.
    azuread:
      cloud: 'AzurePublic'
      managed_identity:
        client_id: "<client-id of the managed identity>"
      oauth:
        client_id: "<client-id from the Entra app>"
        client_secret: "<client secret from the Entra app>"
        tenant_id: "<Azure subscription tenant Id>"

Externe schrijfbewerkingen op Kubernetes configureren voor Prometheus-operator

Prometheus-operator

Als u zich in een Kubernetes-cluster bevindt waarop Prometheus Operator wordt uitgevoerd, gebruikt u de volgende stappen om gegevens naar uw Azure Monitor-werkruimte te verzenden:

1. Als u Microsoft Entra-verificatie gebruikt, converteert u het geheim met base64-codering en past u het geheim vervolgens toe in uw Kubernetes-cluster. Sla de volgende code op in een YAML-bestand. Sla deze stap over als u beheerde identiteitsverificatie gebruikt.

   apiVersion: v1
   kind: Secret
   metadata:
     name: remote-write-secret
     namespace: monitoring # Replace with the namespace where Prometheus Operator is deployed.
   type: Opaque
   data:
     password: <base64-encoded-secret>
   
   

   Het geheim toepassen:

   # Set context to your cluster 
   az aks get-credentials -g <aks-rg-name> -n <aks-cluster-name> 
   
   kubectl apply -f <remote-write-secret.yaml>
   

2. Werk de waarden voor de externe schrijfsectie in Prometheus Operator bij. Kopieer de volgende YAML en sla deze op als een bestand. Zie de documentatie van Prometheus Operator voor meer informatie over de Azure Monitor-werkruimtespecificatie voor externe schrijfbewerkingen in Prometheus Operator.

   prometheus:
     prometheusSpec:
       remoteWrite:
       - url: "<metrics ingestion endpoint for your Azure Monitor workspace>"
         azureAd:
   # Microsoft Entra ID configuration.
   # The Azure cloud. Options are 'AzurePublic', 'AzureChina', or 'AzureGovernment'.
           cloud: 'AzurePublic'
           managedIdentity:
             clientId: "<clientId of the managed identity>"
           oauth:
             clientId: "<clientId of the Entra app>"
             clientSecret:
               name: remote-write-secret
               key: password
             tenantId: "<Azure subscription tenant Id>"
   

3. Gebruik Helm om uw externe schrijfconfiguratie bij te werken met behulp van het voorgaande YAML-bestand:

   helm upgrade -f <YAML-FILENAME>.yml prometheus prometheus-community/kube-prometheus-stack --namespace <namespace where Prometheus Operator is deployed>
   

De url parameter geeft het eindpunt voor opname van metrische gegevens van de Azure Monitor-werkruimte op. U vindt deze in het overzichtsvenster voor uw Azure Monitor-werkruimte in Azure Portal.

Gebruik een managed_identity van beide of oauth voor Verificatie van Microsoft Entra-toepassingen, afhankelijk van uw implementatie. Verwijder het object dat u niet gebruikt.

Zoek uw client-id voor de beheerde identiteit met behulp van de volgende Azure CLI-opdracht:

az identity list --resource-group <resource group name>

Zie az identity list voor meer informatie.

Als u uw client wilt zoeken voor verificatie van beheerde identiteiten in de portal, gaat u naar Beheerde identiteiten in Azure Portal en selecteert u de relevante identiteitsnaam. Kopieer de waarde van de client-id in het deelvenster Overzicht van de beheerde identiteit.

Als u de client-id voor de Microsoft Entra ID-toepassing wilt vinden, gebruikt u de volgende Azure CLI-opdracht (of raadpleegt u de eerste stap in de eerdere sectie Externe schrijfbewerking met behulp van De verificatie van Microsoft Entra-toepassingen):

$ az ad app list --display-name < application name>

Zie az ad app list voor meer informatie.

Notitie

Nadat u het configuratiebestand hebt bewerkt, start u Prometheus opnieuw om de wijzigingen toe te passen.

Controleren of externe schrijfgegevens stromen

Gebruik de volgende methoden om te controleren of Prometheus-gegevens naar uw Azure Monitor-werkruimte worden verzonden.

Azure Monitor Metrics Explorer met PromQL

Als u wilt controleren of de metrische gegevens naar de Azure Monitor-werkruimte stromen, selecteert u Metrische gegevens vanuit uw Azure Monitor-werkruimte in Azure Portal. Gebruik Metrics Explorer met Prometheus Query Language (PromQL) om een query uit te voeren op de metrische gegevens die u verwacht van de zelfbeheerde Prometheus-omgeving. Zie Azure Monitor Metrics Explorer met PromQL voor meer informatie.

Prometheus Explorer in de Azure Monitor-werkruimte

Prometheus Explorer biedt een handige manier om te communiceren met metrische prometheus-gegevens in uw Azure-omgeving, zodat bewaking en probleemoplossing efficiënter zijn. Als u Prometheus Explorer wilt gebruiken, gaat u naar uw Azure Monitor-werkruimte in Azure Portal en selecteert u Prometheus Explorer. Vervolgens kunt u een query uitvoeren op de metrische gegevens die u verwacht uit de zelfbeheerde Prometheus-omgeving.

Zie Query Prometheus-metrische gegevens met behulp van Azure-werkmappen voor meer informatie.

Grafana

Gebruik PromQL-query's in Grafana om te controleren of de resultaten de verwachte gegevens retourneren. Zie het artikel over het instellen van Grafana met beheerde Prometheus om Grafana te configureren.

Problemen met extern schrijven oplossen

Als externe gegevens niet worden weergegeven in uw Azure Monitor-werkruimte, raadpleegt u Externe schrijfbewerkingen oplossen voor veelvoorkomende problemen en oplossingen.

Gerelateerde inhoud

• Meer informatie over beheerde Azure Monitor-service voor Prometheus
• Meer informatie over de reverse proxy-sidecar van Azure Monitor voor externe schrijfbewerkingen van zelfbeheerde Prometheus die wordt uitgevoerd op Kubernetes