Wysyłanie metryk rozwiązania Prometheus z maszyn wirtualnych, zestawów skalowania lub klastrów Kubernetes do obszaru roboczego usługi Azure Monitor

Rozwiązanie Prometheus nie ogranicza się do monitorowania klastrów Kubernetes. Użyj rozwiązania Prometheus, aby monitorować aplikacje i usługi uruchomione na serwerach, niezależnie od tego, gdzie są uruchomione. Można na przykład monitorować aplikacje uruchomione na maszynach wirtualnych, zestawach skalowania maszyn wirtualnych, a nawet na serwerach lokalnych. Metryki rozwiązania Prometheus można również wysyłać do obszaru roboczego usługi Azure Monitor z poziomu własnego klastra i serwera Prometheus.

W tym artykule wyjaśniono, jak skonfigurować zdalne zapisywanie w celu wysyłania danych z wystąpienia rozwiązania Prometheus do obszaru roboczego usługi Azure Monitor.

Opcje zdalnego zapisu

Self-managed Prometheus może działać w środowiskach platformy Azure i spoza platformy Azure. Poniżej przedstawiono opcje uwierzytelniania dla zdalnego zapisu w obszarze roboczym usługi Azure Monitor na podstawie środowiska, w którym działa rozwiązanie Prometheus.

Maszyny wirtualne zarządzane przez platformę Azure, zestawy skalowania maszyn wirtualnych i klastry Kubernetes

Użyj uwierzytelniania tożsamości zarządzanej przypisanej przez użytkownika na potrzeby usług z rozwiązaniem Prometheus zarządzanym samodzielnie w środowisku platformy Azure. Usługi zarządzane przez platformę Azure obejmują:

• Azure Virtual Machines
• Zestawy skalowania maszyn wirtualnych Azure
• Azure Kubernetes Service (AKS)

Aby skonfigurować zdalny zapis dla zasobów zarządzanych przez platformę Azure, zobacz Zdalne zapisywanie przy użyciu uwierzytelniania tożsamości zarządzanej przypisanej przez użytkownika w dalszej części tego artykułu.

Maszyny wirtualne i klastry Kubernetes działające w środowiskach spoza platformy Azure

Jeśli masz maszyny wirtualne lub klaster Kubernetes w środowiskach spoza platformy Azure lub dołączono do usługi Azure Arc, zainstaluj rozwiązanie Prometheus zarządzane samodzielnie i skonfiguruj zdalny zapis przy użyciu uwierzytelniania aplikacji Microsoft Entra. Aby uzyskać więcej informacji, zobacz Remote write using Microsoft Entra application authentication w dalszej części tego artykułu.

Dołączanie do serwerów z obsługą usługi Azure Arc umożliwia zarządzanie i konfigurowanie maszyn wirtualnych spoza platformy Azure na platformie Azure. Aby uzyskać więcej informacji, zobacz Serwery z obsługą usługi Azure Arc i platforma Kubernetes z obsługą usługi Azure Arc. Serwery z obsługą usługi Azure Arc obsługują tylko uwierzytelnianie firmy Microsoft Entra.

Uwaga

Tożsamości zarządzane przypisane przez system nie są obsługiwane w przypadku zdalnego zapisu w obszarach roboczych usługi Azure Monitor. Użyj tożsamości zarządzanej przypisanej przez użytkownika lub uwierzytelniania aplikacji Entra firmy Microsoft.

Wymagania wstępne

Obsługiwane wersje

• Wersje prometheus nowsze niż 2.45 są wymagane do uwierzytelniania tożsamości zarządzanej.
• Wersje prometheus nowsze niż 2.48 są wymagane do uwierzytelniania aplikacji Firmy Microsoft Entra.

Obszar roboczy usługi Azure Monitor

W tym artykule opisano wysyłanie metryk rozwiązania Prometheus do obszaru roboczego usługi Azure Monitor. Aby utworzyć obszar roboczy usługi Azure Monitor, zobacz Zarządzanie obszarem roboczym usługi Azure Monitor.

Uprawnienia

Uprawnienia administratora dla klastra lub zasobu są wymagane do wykonania kroków opisanych w tym artykule.

Konfigurowanie uwierzytelniania na potrzeby zdalnego zapisu

W zależności od środowiska, w którym działa rozwiązanie Prometheus, można skonfigurować zdalny zapis tak, aby używał tożsamości zarządzanej przypisanej przez użytkownika lub uwierzytelniania aplikacji Microsoft Entra w celu wysyłania danych do obszaru roboczego usługi Azure Monitor.

Użyj witryny Azure Portal lub interfejsu wiersza polecenia platformy Azure, aby utworzyć tożsamość zarządzaną przypisaną przez użytkownika lub aplikację Microsoft Entra.

Zdalne zapisywanie przy użyciu tożsamości zarządzanej przypisanej przez użytkownika

Zdalne zapisywanie przy użyciu uwierzytelniania tożsamości zarządzanej przypisanej przez użytkownika

Uwierzytelnianie tożsamości zarządzanej przypisanej przez użytkownika może być używane w dowolnym środowisku zarządzanym przez platformę Azure. Jeśli usługa Prometheus jest uruchomiona w środowisku spoza platformy Azure, możesz użyć uwierzytelniania aplikacji Microsoft Entra.

Aby skonfigurować tożsamość zarządzaną przypisaną przez użytkownika na potrzeby zdalnego zapisu w obszarze roboczym usługi Azure Monitor, wykonaj następujące kroki.

Tworzenie tożsamości zarządzanej przypisanej przez użytkownika

Aby utworzyć tożsamość zarządzaną przez użytkownika do użycia w konfiguracji zdalnego zapisu, zobacz Zarządzanie tożsamościami zarządzanymi przypisanymi przez użytkownika.

Zanotuj wartość clientId utworzonej tożsamości zarządzanej. Ten identyfikator jest używany w konfiguracji zapisu zdalnego rozwiązania Prometheus.

Przypisywanie roli Wydawca metryk monitorowania do aplikacji

W regule zbierania danych obszaru roboczego przypisz rolę Wydawca metryk monitorowania do tożsamości zarządzanej:

1. W okienku przeglądu obszaru roboczego usługi Azure Monitor wybierz link Reguła zbierania danych.

   

2. Na stronie reguły zbierania danych wybierz pozycję Kontrola dostępu (IAM).

3. Wybierz pozycję Dodaj>Dodaj przypisanie roli.

   

4. Wyszukaj i wybierz pozycję Wydawca metryk monitorowania, a następnie wybierz pozycję Dalej.

   

5. Wybierz pozycję Tożsamość zarządzana.

6. Wybierz pozycję Wybierz członków.

7. Z listy rozwijanej Tożsamość zarządzana wybierz pozycję Tożsamość zarządzana przypisana przez użytkownika.

8. Wybierz tożsamość przypisaną przez użytkownika, której chcesz użyć, a następnie wybierz pozycję Wybierz.

   

9. Wybierz pozycję Przejrzyj i przypisz , aby ukończyć przypisanie roli.

Przypisywanie tożsamości zarządzanej do maszyny wirtualnej lub zestawu skalowania maszyn wirtualnych

Ważne

Aby wykonać kroki opisane w tej sekcji, musisz mieć uprawnienia właściciela lub administratora dostępu użytkowników dla maszyny wirtualnej lub zestawu skalowania maszyn wirtualnych.

1. W witrynie Azure Portal przejdź do strony klastra, maszyny wirtualnej lub zestawu skalowania maszyn wirtualnych.

2. Wybierz Tożsamość.

3. Wybierz pozycję Przypisany użytkownik.

4. Wybierz Dodaj.

5. Wybierz utworzoną przez użytkownika tożsamość zarządzaną, a następnie wybierz pozycję Dodaj.

   

Przypisywanie tożsamości zarządzanej dla usługi Azure Kubernetes Service

W przypadku usługi Azure Kubernetes Service tożsamość zarządzana musi być przypisana do zestawów skalowania maszyn wirtualnych.

Usługa AKS tworzy grupę zasobów zawierającą zestawy skalowania maszyn wirtualnych. Nazwa grupy zasobów ma format MC_<resource group name>_<AKS cluster name>_<region>.

Dla każdego zestawu skalowania maszyn wirtualnych w grupie zasobów przypisz tożsamość zarządzaną zgodnie z krokami w poprzedniej sekcji Przypisz tożsamość zarządzaną do maszyny wirtualnej lub zestawu skalowania maszyn wirtualnych.

Aplikacja Microsoft Entra ID

Zdalne zapisywanie przy użyciu uwierzytelniania aplikacji Microsoft Entra

Możesz użyć uwierzytelniania aplikacji Microsoft Entra w dowolnym środowisku. Jeśli usługa Prometheus jest uruchomiona w środowisku zarządzanym przez platformę Azure, rozważ użycie uwierzytelniania tożsamości zarządzanej przypisanej przez użytkownika.

Aby skonfigurować zdalne zapisywanie w obszarze roboczym usługi Azure Monitor przy użyciu aplikacji Microsoft Entra, utwórz aplikację Firmy Microsoft Entra. W regule zbierania danych obszaru roboczego usługi Azure Monitor przypisz rolę Wydawca metryk monitorowania do aplikacji Microsoft Entra.

Uwaga

Aplikacja Microsoft Entra używa klucza tajnego klienta lub hasła. Wpisy tajne klienta mają datę wygaśnięcia. Pamiętaj, aby utworzyć nowy klucz tajny klienta przed jego wygaśnięciem, aby nie utracić uwierzytelnionego dostępu.

Tworzenie aplikacji Microsoft Entra ID

Aby utworzyć aplikację Microsoft Entra ID przy użyciu portalu, zobacz Rejestrowanie aplikacji przy użyciu identyfikatora Entra firmy Microsoft i tworzenie jednostki usługi.

Po utworzeniu aplikacji Microsoft Entra pobierz identyfikator klienta i wygeneruj klucz tajny klienta:

1. Na liście aplikacji skopiuj wartość Identyfikator klienta dla zarejestrowanej aplikacji. Ta wartość jest używana w konfiguracji zapisu zdalnego rozwiązania Prometheus jako wartości .client_id

   

2. Wybierz pozycję Certyfikaty i wpisy tajne.

3. Wybierz pozycję Wpisy tajne klienta, a następnie wybierz pozycję Nowy klucz tajny klienta, aby utworzyć wpis tajny.

4. Wprowadź opis, ustaw datę wygaśnięcia, a następnie wybierz pozycję Dodaj.

   

5. Skopiuj bezpiecznie wartość wpisu tajnego. Wartość jest używana w konfiguracji zapisu zdalnego Prometheus jako wartość .client_secret Wartość wpisu tajnego klienta jest widoczna tylko wtedy, gdy zostanie utworzona, i nie będzie można jej pobrać później. Jeśli go utracisz, musisz utworzyć nowy.

   

Przypisywanie roli Wydawca metryk monitorowania do aplikacji

Przypisz rolę Wydawca metryk monitorowania w regule zbierania danych obszaru roboczego do aplikacji:

1. W okienku przeglądu obszaru roboczego usługi Azure Monitor wybierz link Reguła zbierania danych.

   

2. Na stronie reguły zbierania danych wybierz pozycję Kontrola dostępu (IAM).

3. Wybierz pozycję Dodaj, a następnie wybierz pozycję Dodaj przypisanie roli.

   

4. Wybierz rolę Wydawca metryk monitorowania, a następnie wybierz przycisk Dalej.

   

5. Wybierz pozycję Użytkownik, grupa lub jednostka usługi, a następnie wybierz pozycję Wybierz członków. Wybierz utworzoną aplikację, a następnie wybierz pozycję Wybierz.

6. Aby ukończyć przypisanie roli, wybierz pozycję Przejrzyj i przypisz.

   

Interfejs wiersza polecenia platformy Azure

Tworzenie tożsamości przypisanych przez użytkownika i aplikacji Microsoft Entra ID za pośrednictwem interfejsu wiersza polecenia platformy Azure

Tworzenie tożsamości zarządzanej przypisanej przez użytkownika

Utwórz tożsamość zarządzaną przypisaną przez użytkownika na potrzeby zdalnego zapisu, wykonując następujące kroki.

Zanotuj wartość clientId dla utworzonej tożsamości zarządzanej. Ten identyfikator jest używany w konfiguracji zapisu zdalnego rozwiązania Prometheus.

1. Utwórz tożsamość zarządzaną przypisaną przez użytkownika przy użyciu następującego polecenia interfejsu wiersza polecenia platformy Azure:

   az account set \
   --subscription <subscription id>
   
   az identity create \
   --name <identity name> \
   --resource-group <resource group name>
   

   Poniższy kod jest przykładem wyświetlanych danych wyjściowych:

   {
     "clientId": "00001111-aaaa-2222-bbbb-3333cccc4444",
     "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/rg-001/providers/Microsoft.ManagedIdentity/userAssignedIdentities/PromRemoteWriteIdentity",
     "location": "eastus",
     "name": "PromRemoteWriteIdentity",
     "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
     "resourceGroup": "rg-001",
     "systemData": null,
     "tags": {},
     "tenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
     "type": "Microsoft.ManagedIdentity/userAssignedIdentities"
   }
   

2. Przypisz rolę Wydawca metryk monitorowania w regule zbierania danych obszaru roboczego do tożsamości zarządzanej:

   az role assignment create \
   --role "Monitoring Metrics Publisher" \
   --assignee <managed identity client ID> \
   --scope <data collection rule resource ID>
   

   Na przykład:

   az role assignment create \
   --role "Monitoring Metrics Publisher" \
   --assignee 00001111-aaaa-2222-bbbb-3333cccc4444 \
   --scope /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/MA_amw-001_eastus_managed/providers/Microsoft.Insights/dataCollectionRules/amw-001
   

3. Przypisz tożsamość zarządzaną do maszyny wirtualnej lub zestawu skalowania maszyn wirtualnych.

   Poniżej przedstawiono polecenia dla maszyny wirtualnej:

   az vm identity assign \
   -g <resource group name> \
   -n <virtual machine name> \
   --identities <user assigned identity resource ID>
   

   Poniżej przedstawiono polecenia zestawu skalowania maszyn wirtualnych:

   az vmss identity assign \
   -g <resource group name> \
   -n <scale set name> \
   --identities <user assigned identity resource ID>
   

   W poniższym przykładzie przedstawiono polecenia zestawu skalowania maszyn wirtualnych:

   az vm identity assign \
   -g rg-prom-on-vm \
   -n win-vm-prom \
   --identities /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/rg-001/providers/Microsoft.ManagedIdentity/userAssignedIdentities/PromRemoteWriteIdentity
   

Aby uzyskać więcej informacji, zobacz az identity create and az role assignment create.

Tworzenie aplikacji Firmy Microsoft Entra

Aby utworzyć aplikację firmy Microsoft Entra przy użyciu interfejsu wiersza polecenia platformy Azure i przypisać rolę Wydawca metryk monitorowania, uruchom następujące polecenie:

az ad sp create-for-rbac --name <application name> \
--role "Monitoring Metrics Publisher" \
--scopes <azure monitor workspace data collection rule Id>

Na przykład:

az ad sp create-for-rbac \
--name PromRemoteWriteApp \
--role "Monitoring Metrics Publisher" \
--scopes /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/MA_amw-001_eastus_managed/providers/Microsoft.nsights/dataCollectionRules/amw-001

Poniższy kod jest przykładem wyświetlanych danych wyjściowych:

{
  "appId": "66667777-aaaa-8888-bbbb-9999cccc0000",
  "displayName": "PromRemoteWriteApp",
  "password": "Aa1Bb~2Cc3.-Dd4Ee5Ff6Gg7Hh8Ii9_Jj0Kk1Ll2",
  "tenant": "ffff5f5f-aa6a-bb7b-cc8c-dddddd9d9d9d"
}

Dane wyjściowe zawierają appId wartości i password . Zapisz te wartości do użycia w konfiguracji zapisu zdalnego Rozwiązania Prometheus jako wartości dla client_id i client_secret. Wartość hasła lub klucza tajnego klienta jest widoczna tylko wtedy, gdy zostanie utworzona, i nie będzie można jej pobrać później. Jeśli go utracisz, musisz utworzyć nowy.

Aby uzyskać więcej informacji, zobacz az ad app create and az ad sp create-for-rbac.

Konfigurowanie zdalnego zapisu

Zapis zdalny jest konfigurowany w pliku prometheus.yml konfiguracji Rozwiązania Prometheus lub w operatorze Prometheus.

Aby uzyskać więcej informacji na temat konfigurowania zdalnego zapisu, zobacz ten Prometheus.io artykuł: Konfiguracja. Aby uzyskać informacje na temat dostrajania konfiguracji zdalnego zapisu, zobacz Zdalne dostrajanie zapisu.

Konfigurowanie zdalnego zapisu dla rozwiązania Prometheus uruchomionego na maszynach wirtualnych

Aby wysłać dane do obszaru roboczego usługi Azure Monitor, dodaj następującą sekcję do pliku konfiguracji (prometheus.yml) wystąpienia rozwiązania Prometheus zarządzanego samodzielnie:

remote_write:   
  - url: "<metrics ingestion endpoint for your Azure Monitor workspace>"
# Microsoft Entra ID configuration.
# The Azure cloud. Options are 'AzurePublic', 'AzureChina', or 'AzureGovernment'.
    azuread:
      cloud: 'AzurePublic'
      managed_identity:
        client_id: "<client-id of the managed identity>"
      oauth:
        client_id: "<client-id from the Entra app>"
        client_secret: "<client secret from the Entra app>"
        tenant_id: "<Azure subscription tenant Id>"

Konfigurowanie zdalnego zapisu na platformie Kubernetes dla operatora Prometheus

Prometheus Operator

Jeśli korzystasz z klastra Kubernetes z uruchomionym operatorem Prometheus, wykonaj następujące kroki, aby wysłać dane do obszaru roboczego usługi Azure Monitor:

1. Jeśli używasz uwierzytelniania entra firmy Microsoft, przekonwertuj wpis tajny przy użyciu kodowania Base64, a następnie zastosuj wpis tajny w klastrze Kubernetes. Zapisz następujący kod w pliku YAML. Pomiń ten krok, jeśli używasz uwierzytelniania tożsamości zarządzanej.

   apiVersion: v1
   kind: Secret
   metadata:
     name: remote-write-secret
     namespace: monitoring # Replace with the namespace where Prometheus Operator is deployed.
   type: Opaque
   data:
     password: <base64-encoded-secret>
   
   

   Zastosuj wpis tajny:

   # Set context to your cluster 
   az aks get-credentials -g <aks-rg-name> -n <aks-cluster-name> 
   
   kubectl apply -f <remote-write-secret.yaml>
   

2. Zaktualizuj wartości sekcji zapisu zdalnego w operatorze Prometheus. Skopiuj następujący kod YAML i zapisz go jako plik. Aby uzyskać więcej informacji na temat specyfikacji obszaru roboczego usługi Azure Monitor dla zdalnego zapisu w operatorze Prometheus, zobacz dokumentację operatora Prometheus.

   prometheus:
     prometheusSpec:
       remoteWrite:
       - url: "<metrics ingestion endpoint for your Azure Monitor workspace>"
         azureAd:
   # Microsoft Entra ID configuration.
   # The Azure cloud. Options are 'AzurePublic', 'AzureChina', or 'AzureGovernment'.
           cloud: 'AzurePublic'
           managedIdentity:
             clientId: "<clientId of the managed identity>"
           oauth:
             clientId: "<clientId of the Entra app>"
             clientSecret:
               name: remote-write-secret
               key: password
             tenantId: "<Azure subscription tenant Id>"
   

3. Użyj narzędzia Helm, aby zaktualizować konfigurację zdalnego zapisu przy użyciu poprzedniego pliku YAML:

   helm upgrade -f <YAML-FILENAME>.yml prometheus prometheus-community/kube-prometheus-stack --namespace <namespace where Prometheus Operator is deployed>
   

Parametr url określa punkt końcowy pozyskiwania metryk w obszarze roboczym usługi Azure Monitor. Możesz go znaleźć w okienku przeglądu obszaru roboczego usługi Azure Monitor w witrynie Azure Portal.

managed_identity W zależności od implementacji należy użyć uwierzytelniania aplikacji firmy Microsoft lub oauth w przypadku uwierzytelniania aplikacji Entra firmy Microsoft. Usuń obiekt, którego nie używasz.

Znajdź identyfikator klienta tożsamości zarządzanej przy użyciu następującego polecenia interfejsu wiersza polecenia platformy Azure:

az identity list --resource-group <resource group name>

Aby uzyskać więcej informacji, zobacz az identity list.

Aby znaleźć klienta na potrzeby uwierzytelniania tożsamości zarządzanej w portalu, przejdź do pozycji Tożsamości zarządzane w witrynie Azure Portal i wybierz odpowiednią nazwę tożsamości. Skopiuj wartość identyfikatora klienta z okienka Przegląd tożsamości zarządzanej.

Aby znaleźć identyfikator klienta aplikacji Microsoft Entra ID, użyj następującego polecenia interfejsu wiersza polecenia platformy Azure (lub zobacz pierwszy krok we wcześniejszej sekcji Zdalne zapisywanie przy użyciu uwierzytelniania aplikacji Microsoft Entra):

$ az ad app list --display-name < application name>

Aby uzyskać więcej informacji, zobacz az ad app list.

Uwaga

Po zmodyfikowaniu pliku konfiguracji uruchom ponownie aplikację Prometheus, aby zastosować zmiany.

Sprawdź, czy dane zapisu zdalnego przepływają

Użyj następujących metod, aby sprawdzić, czy dane rozwiązania Prometheus są wysyłane do obszaru roboczego usługi Azure Monitor.

Eksplorator metryk usługi Azure Monitor z rozwiązaniem PromQL

Aby sprawdzić, czy metryki przepływają do obszaru roboczego usługi Azure Monitor, w obszarze roboczym usługi Azure Monitor w witrynie Azure Portal wybierz pozycję Metryki. Użyj eksploratora metryk w języku Prometheus Query Language (PromQL), aby wykonać zapytanie dotyczące metryk, których oczekujesz od środowiska Prometheus zarządzanego przez siebie. Aby uzyskać więcej informacji, zobacz Eksplorator metryk usługi Azure Monitor z rozwiązaniem PromQL.

Eksplorator prometheus w obszarze roboczym usługi Azure Monitor

Eksplorator rozwiązania Prometheus zapewnia wygodny sposób interakcji z metrykami rozwiązania Prometheus w środowisku platformy Azure, dzięki czemu monitorowanie i rozwiązywanie problemów są wydajniejsze. Aby użyć eksploratora Rozwiązania Prometheus, przejdź do obszaru roboczego usługi Azure Monitor w witrynie Azure Portal i wybierz pozycję Prometheus Explorer. Następnie możesz wykonać zapytanie o metryki, których oczekujesz w środowisku Prometheus zarządzanym przez siebie.

Aby uzyskać więcej informacji, zobacz Query Prometheus metrics using Azure workbooks (Wykonywanie zapytań o metryki Prometheus przy użyciu skoroszytów platformy Azure).

Grafana

Użyj zapytań PromQL w narzędziu Grafana, aby sprawdzić, czy wyniki zwracają oczekiwane dane. Aby skonfigurować narzędzie Grafana, zobacz artykuł dotyczący konfigurowania narzędzia Grafana za pomocą zarządzanego rozwiązania Prometheus.

Rozwiązywanie problemów z zdalnym zapisem

Jeśli dane zdalne nie są wyświetlane w obszarze roboczym usługi Azure Monitor, zobacz Rozwiązywanie problemów z zapisem zdalnym w przypadku typowych problemów i rozwiązań.

Powiązana zawartość

• Dowiedz się więcej o usłudze zarządzanej Azure Monitor dla rozwiązania Prometheus
• Dowiedz się więcej o odwrotnej przyczepce serwera proxy usługi Azure Monitor na potrzeby zdalnego zapisu z poziomu rozwiązania Prometheus zarządzanego przez siebie działającego na platformie Kubernetes