Enviar métricas do Prometheus de máquinas virtuais, conjuntos de escala ou clusters do Kubernetes para um espaço de trabalho do Azure Monitor

O Prometheus não se limita ao monitoramento de clusters Kubernetes. Utilize o Prometheus para monitorizar aplicações e serviços em execução nos seus servidores, onde quer que estejam a ser executados. Por exemplo, você pode monitorar aplicativos em execução em máquinas virtuais, conjuntos de dimensionamento de máquinas virtuais ou até mesmo servidores locais. Você também pode enviar métricas do Prometheus para um espaço de trabalho do Azure Monitor a partir do cluster autogerenciado e do servidor Prometheus.

Este artigo explica como configurar a gravação remota para enviar dados de uma instância autogerenciada do Prometheus para um espaço de trabalho do Azure Monitor.

Opções para gravação remota

O Prometheus autogerenciado pode ser executado em ambientes Azure e não Azure. A seguir estão as opções de autenticação para gravação remota em um espaço de trabalho do Azure Monitor, com base no ambiente em que o Prometheus está sendo executado.

Máquinas virtuais gerenciadas pelo Azure, conjuntos de dimensionamento de máquinas virtuais e clusters Kubernetes

Use a autenticação de identidade gerenciada atribuída pelo usuário para serviços que executam o Prometheus autogerenciado em um ambiente do Azure. Os serviços gerenciados pelo Azure incluem:

• Máquinas Virtuais do Microsoft Azure
• Conjuntos de Dimensionamento de Máquinas Virtuais do Azure
• Azure Kubernetes Service (AKS)

Para configurar a gravação remota para recursos gerenciados pelo Azure, consulte Gravação remota usando autenticação de identidade gerenciada atribuída pelo usuário, mais adiante neste artigo.

Máquinas virtuais e clusters Kubernetes em execução em ambientes que não sejam do Azure

Se você tiver máquinas virtuais ou um cluster Kubernetes em ambientes que não sejam do Azure, ou se tiver integrado ao Azure Arc, instale o Prometheus autogerenciado e configure a gravação remota usando a autenticação de aplicativo Microsoft Entra. Para obter mais informações, consulte Gravação remota usando a autenticação de aplicativo Microsoft Entra mais adiante neste artigo.

A integração a servidores habilitados para Azure Arc permite gerenciar e configurar máquinas virtuais que não sejam do Azure no Azure. Para obter mais informações, consulte Servidores habilitados para Arco do Azure e Kubernetes habilitados para Arco do Azure. Os servidores habilitados para Azure Arc oferecem suporte apenas à autenticação Microsoft Entra.

Nota

Não há suporte para identidades gerenciadas atribuídas pelo sistema para gravação remota em espaços de trabalho do Azure Monitor. Use uma identidade gerenciada atribuída pelo usuário ou autenticação de aplicativo Microsoft Entra.

Pré-requisitos

Versões suportadas

• As versões do Prometheus posteriores à 2.45 são necessárias para a autenticação de identidade gerenciada.
• As versões do Prometheus posteriores à 2.48 são necessárias para a autenticação do aplicativo Microsoft Entra.

Espaço de trabalho do Azure Monitor

Este artigo aborda o envio de métricas do Prometheus para um espaço de trabalho do Azure Monitor. Para criar um espaço de trabalho de monitor do Azure, consulte Gerenciar um espaço de trabalho do Azure Monitor.

Permissões

As permissões de administrador para o cluster ou recurso são necessárias para concluir as etapas neste artigo.

Configurar a autenticação para gravação remota

Dependendo do ambiente em que o Prometheus está sendo executado, você pode configurar a gravação remota para usar uma identidade gerenciada atribuída pelo usuário ou a autenticação de aplicativo Microsoft Entra para enviar dados para um espaço de trabalho do Azure Monitor.

Use o portal do Azure ou a CLI do Azure para criar uma identidade gerenciada atribuída pelo usuário ou um aplicativo Microsoft Entra.

Gravação remota usando uma identidade gerenciada atribuída pelo usuário

Gravação remota usando autenticação de identidade gerenciada atribuída pelo usuário

A autenticação de identidade gerenciada atribuída pelo usuário pode ser usada em qualquer ambiente gerenciado pelo Azure. Se o seu serviço Prometheus estiver sendo executado em um ambiente que não seja do Azure, você poderá usar a autenticação de aplicativo Microsoft Entra.

Para configurar uma identidade gerenciada atribuída pelo usuário para gravação remota em um espaço de trabalho do Azure Monitor, conclua as etapas a seguir.

Criar uma identidade gerida atribuída pelo utilizador

Para criar uma identidade gerenciada pelo usuário para usar em sua configuração de gravação remota, consulte Gerenciar identidades gerenciadas atribuídas pelo usuário.

Observe o valor de para a identidade gerenciada clientId que você criou. Este ID é usado na configuração de gravação remota do Prometheus.

Atribuir a função de Publicador de Métricas de Monitoramento ao aplicativo

Na regra de coleta de dados do espaço de trabalho, atribua a função Editor de Métricas de Monitoramento à identidade gerenciada:

1. No painel de visão geral do espaço de trabalho do Azure Monitor, selecione o link Regra de coleta de dados.

   

2. Na página da regra de coleta de dados, selecione Controle de acesso (IAM).

3. Selecione Adicionar>Adicionar atribuição de função.

   

4. Procure e selecione Monitoring Metrics Publisher e, em seguida, selecione Next.

   

5. Selecione Identidade gerenciada.

6. Escolha Selecionar membros.

7. Na lista suspensa Identidade gerenciada, selecione Identidade gerenciada atribuída pelo usuário.

8. Selecione a identidade atribuída pelo usuário que você deseja usar e escolha Selecionar.

   

9. Selecione Rever + atribuir para concluir a atribuição de função.

Atribuir a identidade gerenciada a uma máquina virtual ou a um conjunto de dimensionamento de máquina virtual

Importante

Para concluir as etapas nesta seção, você deve ter permissões de Proprietário ou Administrador de Acesso de Usuário para a máquina virtual ou o conjunto de dimensionamento da máquina virtual.

1. No portal do Azure, vá para a página do cluster, máquina virtual ou conjunto de escala de máquina virtual.

2. Selecione a Identidade.

3. Selecione Usuário atribuído.

4. Selecione Adicionar.

5. Selecione a identidade gerenciada atribuída pelo usuário que você criou e selecione Adicionar.

   

Atribuir a identidade gerenciada para o Serviço Kubernetes do Azure

Para o Serviço Kubernetes do Azure, a identidade gerenciada deve ser atribuída a conjuntos de dimensionamento de máquina virtual.

O AKS cria um grupo de recursos que contém os conjuntos de escala da máquina virtual. O nome do grupo de recursos está no formato MC_<resource group name>_<AKS cluster name>_<region>.

Para cada escala de máquina virtual definida no grupo de recursos, atribua a identidade gerenciada de acordo com as etapas na seção anterior, Atribua a identidade gerenciada a uma máquina virtual ou a um conjunto de escala de máquina virtual.

Aplicação Microsoft Entra ID

Gravação remota usando a autenticação do aplicativo Microsoft Entra

Você pode usar a autenticação do aplicativo Microsoft Entra em qualquer ambiente. Se o seu serviço Prometheus estiver sendo executado em um ambiente gerenciado pelo Azure, considere usar a autenticação de identidade gerenciada atribuída pelo usuário.

Para configurar a gravação remota em um espaço de trabalho do Azure Monitor usando um aplicativo Microsoft Entra, crie um aplicativo Microsoft Entra. Na regra de coleta de dados do espaço de trabalho Azure Monitor, atribua a função Monitoring Metrics Publisher ao aplicativo Microsoft Entra.

Nota

Seu aplicativo Microsoft Entra usa um segredo de cliente ou senha. Os segredos do cliente têm uma data de validade. Certifique-se de criar um novo segredo do cliente antes que ele expire, para não perder o acesso autenticado.

Criar um aplicativo Microsoft Entra ID

Para criar um aplicativo Microsoft Entra ID usando o portal, consulte Registrar um aplicativo com o Microsoft Entra ID e criar uma entidade de serviço.

Depois de criar seu aplicativo Microsoft Entra, obtenha a ID do cliente e gere um segredo do cliente:

1. Na lista de aplicativos, copie o valor de ID do Cliente para o aplicativo registrado. Esse valor é usado na configuração de gravação remota do Prometheus como o valor para client_id.

   

2. Selecione Certificados & segredos.

3. Selecione Segredos do cliente e, em seguida, selecione Novo segredo do cliente para criar um segredo.

4. Insira uma descrição, defina a data de validade e selecione Adicionar.

   

5. Copie o valor do segredo com segurança. O valor é usado na configuração de gravação remota do Prometheus como o valor para client_secret. O valor secreto do cliente é visível somente quando é criado, e você não pode recuperá-lo mais tarde. Se você perdê-lo, você deve criar um novo.

   

Atribuir a função de Publicador de Métricas de Monitoramento ao aplicativo

Atribua a função Monitoring Metrics Publisher na regra de coleta de dados do espaço de trabalho ao aplicativo:

1. No painel de visão geral do espaço de trabalho do Azure Monitor, selecione o link Regra de coleta de dados.

   

2. Na página da regra de coleta de dados, selecione Controle de acesso (IAM).

3. Selecione Adicionar e, em seguida, selecione Adicionar atribuição de função.

   

4. Selecione a função Publicador de Métricas de Monitoramento e selecione Avançar.

   

5. Selecione Usuário, grupo ou entidade de serviço e, em seguida, escolha Selecionar membros. Selecione o aplicativo que você criou e, em seguida, escolha Selecionar.

6. Para concluir a atribuição de função, selecione Rever + atribuir.

   

CLI do Azure

Criação de identidades atribuídas pelo usuário e aplicativos Microsoft Entra ID por meio da CLI do Azure

Criar uma identidade gerida atribuída pelo utilizador

Crie uma identidade gerenciada atribuída pelo usuário para gravação remota usando as etapas a seguir.

Observe o valor de para a identidade gerenciada clientId que você cria. Este ID é usado na configuração de gravação remota do Prometheus.

1. Crie uma identidade gerenciada atribuída pelo usuário usando o seguinte comando da CLI do Azure:

   az account set \
   --subscription <subscription id>
   
   az identity create \
   --name <identity name> \
   --resource-group <resource group name>
   

   O código a seguir é um exemplo da saída exibida:

   {
     "clientId": "00001111-aaaa-2222-bbbb-3333cccc4444",
     "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/rg-001/providers/Microsoft.ManagedIdentity/userAssignedIdentities/PromRemoteWriteIdentity",
     "location": "eastus",
     "name": "PromRemoteWriteIdentity",
     "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
     "resourceGroup": "rg-001",
     "systemData": null,
     "tags": {},
     "tenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
     "type": "Microsoft.ManagedIdentity/userAssignedIdentities"
   }
   

2. Atribua a função Publicador de Métricas de Monitoramento na regra de coleta de dados do espaço de trabalho à identidade gerenciada:

   az role assignment create \
   --role "Monitoring Metrics Publisher" \
   --assignee <managed identity client ID> \
   --scope <data collection rule resource ID>
   

   Por exemplo:

   az role assignment create \
   --role "Monitoring Metrics Publisher" \
   --assignee 00001111-aaaa-2222-bbbb-3333cccc4444 \
   --scope /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/MA_amw-001_eastus_managed/providers/Microsoft.Insights/dataCollectionRules/amw-001
   

3. Atribua a identidade gerenciada a uma máquina virtual ou a um conjunto de dimensionamento de máquina virtual.

   Aqui estão os comandos para uma máquina virtual:

   az vm identity assign \
   -g <resource group name> \
   -n <virtual machine name> \
   --identities <user assigned identity resource ID>
   

   Aqui estão os comandos para um conjunto de escala de máquina virtual:

   az vmss identity assign \
   -g <resource group name> \
   -n <scale set name> \
   --identities <user assigned identity resource ID>
   

   O exemplo a seguir mostra os comandos para um conjunto de dimensionamento de máquina virtual:

   az vm identity assign \
   -g rg-prom-on-vm \
   -n win-vm-prom \
   --identities /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/rg-001/providers/Microsoft.ManagedIdentity/userAssignedIdentities/PromRemoteWriteIdentity
   

Para obter mais informações, consulte az identity create e az role assignment create.

Criar um aplicativo Microsoft Entra

Para criar um aplicativo Microsoft Entra usando a CLI do Azure e atribuir a função Monitoring Metrics Publisher, execute o seguinte comando:

az ad sp create-for-rbac --name <application name> \
--role "Monitoring Metrics Publisher" \
--scopes <azure monitor workspace data collection rule Id>

Por exemplo:

az ad sp create-for-rbac \
--name PromRemoteWriteApp \
--role "Monitoring Metrics Publisher" \
--scopes /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/MA_amw-001_eastus_managed/providers/Microsoft.nsights/dataCollectionRules/amw-001

O código a seguir é um exemplo da saída exibida:

{
  "appId": "66667777-aaaa-8888-bbbb-9999cccc0000",
  "displayName": "PromRemoteWriteApp",
  "password": "Aa1Bb~2Cc3.-Dd4Ee5Ff6Gg7Hh8Ii9_Jj0Kk1Ll2",
  "tenant": "ffff5f5f-aa6a-bb7b-cc8c-dddddd9d9d9d"
}

A saída contém os appId valores e password . Salve esses valores para usar na configuração de gravação remota do Prometheus como valores para client_id e client_secret. A senha ou o valor do segredo do cliente fica visível somente quando é criado, e você não pode recuperá-lo mais tarde. Se você perdê-lo, você deve criar um novo.

Para obter mais informações, consulte az ad app create e az ad sp create-for-rbac.

Configurar gravação remota

A gravação remota é configurada no arquivo prometheus.yml de configuração Prometheus ou no Prometheus Operator.

Para obter mais informações sobre como configurar a gravação remota, consulte este Prometheus.io artigo: Configuração. Para obter informações sobre como ajustar a configuração de gravação remota, consulte Ajuste de gravação remota.

Configurar a gravação remota para Prometheus em execução em máquinas virtuais

Para enviar dados para seu espaço de trabalho do Azure Monitor, adicione a seguinte seção ao arquivo de configuração (prometheus.yml) de sua instância Prometheus autogerenciada:

remote_write:   
  - url: "<metrics ingestion endpoint for your Azure Monitor workspace>"
# Microsoft Entra ID configuration.
# The Azure cloud. Options are 'AzurePublic', 'AzureChina', or 'AzureGovernment'.
    azuread:
      cloud: 'AzurePublic'
      managed_identity:
        client_id: "<client-id of the managed identity>"
      oauth:
        client_id: "<client-id from the Entra app>"
        client_secret: "<client secret from the Entra app>"
        tenant_id: "<Azure subscription tenant Id>"

Configurar a gravação remota no Kubernetes para o Prometheus Operator

Operador Prometheus

Se você estiver em um cluster Kubernetes que esteja executando o Prometheus Operator, use as seguintes etapas para enviar dados para seu espaço de trabalho do Azure Monitor:

1. Se você estiver usando a autenticação do Microsoft Entra, converta o segredo usando a codificação Base64 e aplique o segredo no cluster do Kubernetes. Salve o código a seguir em um arquivo YAML. Ignore esta etapa se estiver usando a autenticação de identidade gerenciada.

   apiVersion: v1
   kind: Secret
   metadata:
     name: remote-write-secret
     namespace: monitoring # Replace with the namespace where Prometheus Operator is deployed.
   type: Opaque
   data:
     password: <base64-encoded-secret>
   
   

   Aplique o segredo:

   # Set context to your cluster 
   az aks get-credentials -g <aks-rg-name> -n <aks-cluster-name> 
   
   kubectl apply -f <remote-write-secret.yaml>
   

2. Atualize os valores para a seção de gravação remota no Prometheus Operator. Copie o seguinte YAML e salve-o como um arquivo. Para obter mais informações sobre a especificação do espaço de trabalho do Azure Monitor para gravação remota no Prometheus Operator, consulte a documentação do Prometheus Operator.

   prometheus:
     prometheusSpec:
       remoteWrite:
       - url: "<metrics ingestion endpoint for your Azure Monitor workspace>"
         azureAd:
   # Microsoft Entra ID configuration.
   # The Azure cloud. Options are 'AzurePublic', 'AzureChina', or 'AzureGovernment'.
           cloud: 'AzurePublic'
           managedIdentity:
             clientId: "<clientId of the managed identity>"
           oauth:
             clientId: "<clientId of the Entra app>"
             clientSecret:
               name: remote-write-secret
               key: password
             tenantId: "<Azure subscription tenant Id>"
   

3. Use o Helm para atualizar sua configuração de gravação remota usando o arquivo YAML anterior:

   helm upgrade -f <YAML-FILENAME>.yml prometheus prometheus-community/kube-prometheus-stack --namespace <namespace where Prometheus Operator is deployed>
   

O url parâmetro especifica o ponto de extremidade de ingestão de métricas do espaço de trabalho do Azure Monitor. Você pode encontrá-lo no painel de visão geral do seu espaço de trabalho do Azure Monitor no portal do Azure.

Use um ou managed_identity oauth para autenticação de aplicativo Microsoft Entra, dependendo da sua implementação. Remova o objeto que não está a utilizar.

Encontre sua ID de cliente para a identidade gerenciada usando o seguinte comando da CLI do Azure:

az identity list --resource-group <resource group name>

Para obter mais informações, consulte az identity list.

Para encontrar seu cliente para autenticação de identidade gerenciada no portal, vá para Identidades Gerenciadas no portal do Azure e selecione o nome de identidade relevante. Copie o valor da ID do Cliente do painel Visão geral da identidade gerenciada.

Para localizar a ID do cliente para o aplicativo Microsoft Entra ID, use o seguinte comando da CLI do Azure (ou consulte a primeira etapa na seção Gravação remota anterior usando a autenticação do aplicativo Microsoft Entra):

$ az ad app list --display-name < application name>

Para obter mais informações, consulte az ad app list.

Nota

Depois de editar o arquivo de configuração, reinicie o Prometheus para aplicar as alterações.

Verifique se os dados de gravação remota estão fluindo

Use os métodos a seguir para verificar se os dados do Prometheus estão sendo enviados para seu espaço de trabalho do Azure Monitor.

Azure Monitor metrics explorer com PromQL

Para verificar se as métricas estão fluindo para o espaço de trabalho do Azure Monitor, no seu espaço de trabalho do Azure Monitor no portal do Azure, selecione Métricas. Use o explorador de métricas com Prometheus Query Language (PromQL) para consultar as métricas que você espera do ambiente Prometheus autogerenciado. Para obter mais informações, consulte Azure Monitor metrics explorer with PromQL.

Prometheus explorer no espaço de trabalho do Azure Monitor

O explorador do Prometheus fornece uma maneira conveniente de interagir com as métricas do Prometheus em seu ambiente do Azure, para que o monitoramento e a solução de problemas sejam mais eficientes. Para usar o Prometheus explorer, vá para seu espaço de trabalho do Azure Monitor no portal do Azure e selecione Prometheus Explorer. Em seguida, você pode consultar as métricas que espera do ambiente Prometheus autogerenciado.

Para obter mais informações, consulte Consultar métricas do Prometheus usando pastas de trabalho do Azure.

Grafana

Use consultas PromQL no Grafana para verificar se os resultados retornam os dados esperados. Para configurar o Grafana, consulte o artigo sobre como configurar o Grafana com o Prometheus gerenciado.

Solucionar problemas de gravação remota

Se os dados remotos não estiverem aparecendo em seu espaço de trabalho do Azure Monitor, consulte Solucionar problemas de gravação remota para problemas e soluções comuns.

Conteúdos relacionados

• Saiba mais sobre o serviço gerenciado do Azure Monitor para Prometheus
• Saiba mais sobre o sidecar de proxy reverso do Azure Monitor para gravação remota do Prometheus autogerenciado em execução no Kubernetes