Отправка метрик Prometheus из виртуальных машин, масштабируемых наборов или кластеров Kubernetes в рабочую область Azure Monitor

Prometheus не ограничивается мониторингом кластеров Kubernetes. Используйте Prometheus для мониторинга приложений и служб, работающих на серверах, где бы они ни выполнялись. Например, можно отслеживать приложения, работающие на виртуальных машинах, масштабируемых наборах виртуальных машин или даже на локальных серверах. Вы также можете отправлять метрики Prometheus в рабочую область Azure Monitor из локального кластера и сервера Prometheus.

В этой статье объясняется, как настроить удаленную запись для отправки данных из локального экземпляра Prometheus в рабочую область Azure Monitor.

Параметры удаленной записи

Самоуправляемый Prometheus может работать в Azure и средах, отличных от Azure. Ниже приведены параметры проверки подлинности для удаленной записи в рабочую область Azure Monitor в зависимости от среды, в которой выполняется Prometheus.

Управляемые Azure виртуальные машины, масштабируемые наборы виртуальных машин и кластеры Kubernetes

Используйте проверку подлинности управляемого удостоверения, назначаемую пользователем, для служб, работающих под управлением самообслуживания Prometheus в среде Azure. К управляемым Azure службам относятся:

• Виртуальные машины Azure
• Масштабируемые наборы виртуальных машин Azure
• Служба Azure Kubernetes (AKS)

Чтобы настроить удаленную запись для управляемых Azure ресурсов, см. статью "Удаленная запись с помощью проверки подлинности управляемого удостоверения, назначаемого пользователем" далее в этой статье.

Виртуальные машины и кластеры Kubernetes, работающие в средах, отличных от Azure

Если у вас есть виртуальные машины или кластер Kubernetes в средах, отличных от Azure, или вы подключены к Azure Arc, установите самоуправляемый Prometheus и настройте удаленную запись с помощью проверки подлинности приложения Microsoft Entra. Дополнительные сведения см. в статье "Удаленная запись с помощью проверки подлинности приложения Microsoft Entra" далее в этой статье.

Подключение к серверам с поддержкой Azure Arc позволяет управлять и настраивать виртуальные машины, отличные от Azure. Дополнительные сведения см . на серверах с поддержкой Azure Arc и Kubernetes с поддержкой Azure Arc. Серверы с поддержкой Azure Arc поддерживают только проверку подлинности Microsoft Entra.

Примечание.

Управляемые удостоверения, назначаемые системой, не поддерживаются для удаленной записи в рабочие области Azure Monitor. Используйте управляемое удостоверение, назначаемое пользователем, или проверку подлинности приложения Microsoft Entra.

Необходимые компоненты

Поддерживаемые версии

• Для проверки подлинности управляемого удостоверения требуются версии Prometheus более 2.45.
• Версии Prometheus позже 2.48 требуются для проверки подлинности приложения Microsoft Entra.

Рабочая область Azure Monitor

В этой статье описывается отправка метрик Prometheus в рабочую область Azure Monitor. Сведения о создании рабочей области Azure Monitor см. в статье "Управление рабочей областью Azure Monitor".

Разрешения

Разрешения администратора для кластера или ресурса необходимы для выполнения действий, описанных в этой статье.

Настройка проверки подлинности для удаленной записи

В зависимости от среды, в которой выполняется Prometheus, можно настроить удаленную запись для использования управляемого удостоверения, назначаемого пользователем, или проверки подлинности приложения Microsoft Entra для отправки данных в рабочую область Azure Monitor.

Используйте портал Azure или Azure CLI для создания управляемого удостоверения, назначаемого пользователем, или приложения Microsoft Entra.

Удаленная запись с помощью управляемого удостоверения, назначаемого пользователем

Удаленная запись с помощью проверки подлинности управляемого удостоверения, назначаемого пользователем

Аутентификация управляемого удостоверения, назначаемого пользователем, может использоваться в любой управляемой Azure среде. Если служба Prometheus работает в среде, отличной от Azure, можно использовать проверку подлинности приложения Microsoft Entra.

Чтобы настроить управляемое удостоверение, назначаемое пользователем, для удаленной записи в рабочую область Azure Monitor, выполните следующие действия.

Создание управляемого удостоверения, назначаемого пользователем

Чтобы создать управляемое пользователем удостоверение для использования в конфигурации удаленной записи, см. статью "Управление управляемыми удостоверениями, назначаемыми пользователем".

Обратите внимание на значение созданного управляемого clientId удостоверения. Этот идентификатор используется в конфигурации удаленной записи Prometheus.

Назначение роли издателя метрик мониторинга приложению

В правиле сбора данных рабочей области назначьте роль издателя метрик мониторинга управляемому удостоверению:

1. На панели обзора рабочей области Azure Monitor выберите ссылку правила сбора данных.

   

2. На странице правила сбора данных выберите элемент управления доступом (IAM).

3. Выберите Добавить>Добавить назначение ролей.

   

4. Найдите и выберите "Издатель метрик мониторинга" и нажмите кнопку "Далее".

   

5. Выберите управляемое удостоверение.

6. Нажмите Выбрать членов.

7. В раскрывающемся списке управляемых удостоверений выберите управляемое удостоверение, назначаемое пользователем.

8. Выберите удостоверение, назначаемое пользователем, и нажмите кнопку "Выбрать".

   

9. Выберите "Рецензирование" и " Назначить" , чтобы завершить назначение роли.

Назначение управляемого удостоверения виртуальной машине или масштабируемой группе виртуальных машин

Внимание

Чтобы выполнить действия, описанные в этом разделе, необходимо иметь разрешения владельца или администратора доступа пользователей для виртуальной машины или масштабируемого набора виртуальных машин.

1. В портал Azure перейдите на страницу для кластера, виртуальной машины или масштабируемого набора виртуальных машин.

2. Выберите Удостоверение.

3. Выберите назначенный пользователем.

4. Выберите Добавить.

5. Выберите созданное управляемое удостоверение, назначаемое пользователем, и нажмите кнопку "Добавить".

   

Назначение управляемого удостоверения для Служба Azure Kubernetes

Для Служба Azure Kubernetes управляемое удостоверение должно быть назначено масштабируемым наборам виртуальных машин.

AKS создает группу ресурсов, содержащую масштабируемые наборы виртуальных машин. Имя группы ресурсов находится в формате MC_<resource group name>_<AKS cluster name>_<region>.

Для каждого масштабируемого набора виртуальных машин в группе ресурсов назначьте управляемое удостоверение в соответствии с инструкциями, описанными в предыдущем разделе, назначьте управляемое удостоверение виртуальной машине или масштабируемой группе виртуальных машин.

Приложение идентификатора Microsoft Entra

Удаленная запись с помощью проверки подлинности приложения Microsoft Entra

Проверку подлинности приложения Microsoft Entra можно использовать в любой среде. Если служба Prometheus работает в управляемой Azure среде, рассмотрите возможность использования проверки подлинности управляемого удостоверения, назначаемого пользователем.

Чтобы настроить удаленную запись в рабочую область Azure Monitor с помощью приложения Microsoft Entra, создайте приложение Microsoft Entra. В правиле сбора данных рабочей области Azure Monitor назначьте роль издателя метрик мониторинга приложению Microsoft Entra.

Примечание.

Приложение Microsoft Entra использует секрет клиента или пароль. Секреты клиента имеют дату окончания срока действия. Перед истечением срока действия секрета клиента создайте новый секрет клиента, чтобы не потерять прошедший проверку подлинности доступ.

Создание приложения идентификатора Microsoft Entra

Сведения о создании приложения идентификатора Microsoft Entra с помощью портала см. в статье "Регистрация приложения с помощью идентификатора Microsoft Entra ID" и создание субъекта-службы.

После создания приложения Microsoft Entra получите идентификатор клиента и создайте секрет клиента:

1. В списке приложений скопируйте значение идентификатора клиента для зарегистрированного приложения. Это значение используется в конфигурации удаленной записи Prometheus в качестве значения client_id.

   

2. Выберите Сертификаты и секреты.

3. Выберите секреты клиента и выберите новый секрет клиента, чтобы создать секрет.

4. Введите описание, задайте дату окончания срока действия и нажмите кнопку "Добавить".

   

5. Скопируйте значение секрета безопасно. Значение используется в конфигурации удаленной записи Prometheus в качестве значения client_secret. Значение секрета клиента отображается только при его создании, и его невозможно получить позже. Если вы потеряете его, необходимо создать новую.

   

Назначение роли издателя метрик мониторинга приложению

Назначьте роль издателя метрик мониторинга в правиле сбора данных рабочей области приложению:

1. На панели обзора рабочей области Azure Monitor выберите ссылку правила сбора данных.

   

2. На странице правила сбора данных выберите элемент управления доступом (IAM).

3. Выберите Добавить, затем выберите Добавить назначение ролей.

   

4. Выберите роль издателя метрик мониторинга и нажмите кнопку "Далее".

   

5. Выберите "Пользователь", "Группа" или "Субъект-служба", а затем выберите "Выбрать участников". Выберите созданное приложение и нажмите кнопку "Выбрать".

6. Чтобы завершить назначение роли, нажмите кнопку "Проверить и назначить".

   

Azure CLI

Создание назначаемых пользователем удостоверений и приложений идентификатора Microsoft Entra с помощью Azure CLI

Создание управляемого удостоверения, назначаемого пользователем

Создайте управляемое удостоверение, назначаемое пользователем, для удаленной записи, выполнив следующие действия.

Обратите внимание на значение создаваемого управляемого clientId удостоверения. Этот идентификатор используется в конфигурации удаленной записи Prometheus.

1. Создайте управляемое удостоверение, назначаемое пользователем, с помощью следующей команды Azure CLI:

   az account set \
   --subscription <subscription id>
   
   az identity create \
   --name <identity name> \
   --resource-group <resource group name>
   

   Следующий код является примером отображаемых выходных данных:

   {
     "clientId": "00001111-aaaa-2222-bbbb-3333cccc4444",
     "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/rg-001/providers/Microsoft.ManagedIdentity/userAssignedIdentities/PromRemoteWriteIdentity",
     "location": "eastus",
     "name": "PromRemoteWriteIdentity",
     "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
     "resourceGroup": "rg-001",
     "systemData": null,
     "tags": {},
     "tenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
     "type": "Microsoft.ManagedIdentity/userAssignedIdentities"
   }
   

2. Назначьте роль издателя метрик мониторинга в правиле сбора данных рабочей области управляемому удостоверению:

   az role assignment create \
   --role "Monitoring Metrics Publisher" \
   --assignee <managed identity client ID> \
   --scope <data collection rule resource ID>
   

   Например:

   az role assignment create \
   --role "Monitoring Metrics Publisher" \
   --assignee 00001111-aaaa-2222-bbbb-3333cccc4444 \
   --scope /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/MA_amw-001_eastus_managed/providers/Microsoft.Insights/dataCollectionRules/amw-001
   

3. Назначьте управляемое удостоверение виртуальной машине или масштабируемой группе виртуальных машин.

   Ниже приведены команды для виртуальной машины:

   az vm identity assign \
   -g <resource group name> \
   -n <virtual machine name> \
   --identities <user assigned identity resource ID>
   

   Ниже приведены команды для масштабируемого набора виртуальных машин:

   az vmss identity assign \
   -g <resource group name> \
   -n <scale set name> \
   --identities <user assigned identity resource ID>
   

   В следующем примере показаны команды для масштабируемого набора виртуальных машин:

   az vm identity assign \
   -g rg-prom-on-vm \
   -n win-vm-prom \
   --identities /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/rg-001/providers/Microsoft.ManagedIdentity/userAssignedIdentities/PromRemoteWriteIdentity
   

Дополнительные сведения см. в статье az identity create and az role assignment create.

Создание приложения Microsoft Entra

Чтобы создать приложение Microsoft Entra с помощью Azure CLI и назначить роль издателя метрик мониторинга, выполните следующую команду:

az ad sp create-for-rbac --name <application name> \
--role "Monitoring Metrics Publisher" \
--scopes <azure monitor workspace data collection rule Id>

Например:

az ad sp create-for-rbac \
--name PromRemoteWriteApp \
--role "Monitoring Metrics Publisher" \
--scopes /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/MA_amw-001_eastus_managed/providers/Microsoft.nsights/dataCollectionRules/amw-001

Следующий код является примером отображаемых выходных данных:

{
  "appId": "66667777-aaaa-8888-bbbb-9999cccc0000",
  "displayName": "PromRemoteWriteApp",
  "password": "Aa1Bb~2Cc3.-Dd4Ee5Ff6Gg7Hh8Ii9_Jj0Kk1Ll2",
  "tenant": "ffff5f5f-aa6a-bb7b-cc8c-dddddd9d9d9d"
}

Выходные данные содержат appId значения и password значения. Сохраните эти значения для использования в конфигурации удаленной записи Prometheus в качестве значений client_id и client_secret. Значение пароля или секрета клиента отображается только при его создании, и вы не сможете получить его позже. Если вы потеряете его, необходимо создать новую.

Дополнительные сведения см. в статье az ad app create and az ad sp create-for-rbac.

Настройка удаленной записи

Удаленная запись настраивается в файле prometheus.yml конфигурации Prometheus или в операторе Prometheus.

Дополнительные сведения о настройке удаленной записи см. в этой статье Prometheus.io: Конфигурация. Сведения о настройке конфигурации удаленной записи см. в разделе "Удаленная настройка записи".

Настройка удаленной записи для Prometheus, запущенной на виртуальных машинах

Чтобы отправить данные в рабочую область Azure Monitor, добавьте следующий раздел в файл конфигурации (prometheus.yml) экземпляра Prometheus:

remote_write:   
  - url: "<metrics ingestion endpoint for your Azure Monitor workspace>"
# Microsoft Entra ID configuration.
# The Azure cloud. Options are 'AzurePublic', 'AzureChina', or 'AzureGovernment'.
    azuread:
      cloud: 'AzurePublic'
      managed_identity:
        client_id: "<client-id of the managed identity>"
      oauth:
        client_id: "<client-id from the Entra app>"
        client_secret: "<client secret from the Entra app>"
        tenant_id: "<Azure subscription tenant Id>"

Настройка удаленной записи в Kubernetes для оператора Prometheus

Оператор Prometheus

Если вы находитесь в кластере Kubernetes с оператором Prometheus, выполните следующие действия, чтобы отправить данные в рабочую область Azure Monitor:

1. Если вы используете проверку подлинности Microsoft Entra, преобразуйте секрет с помощью кодировки Base64 и примените секрет в кластере Kubernetes. Сохраните следующий код в YAML-файл. Пропустите этот шаг, если вы используете проверку подлинности управляемого удостоверения.

   apiVersion: v1
   kind: Secret
   metadata:
     name: remote-write-secret
     namespace: monitoring # Replace with the namespace where Prometheus Operator is deployed.
   type: Opaque
   data:
     password: <base64-encoded-secret>
   
   

   Примените секрет:

   # Set context to your cluster 
   az aks get-credentials -g <aks-rg-name> -n <aks-cluster-name> 
   
   kubectl apply -f <remote-write-secret.yaml>
   

2. Обновите значения для раздела удаленной записи в операторе Prometheus. Скопируйте следующий YAML и сохраните его в виде файла. Дополнительные сведения о спецификации рабочей области Azure Monitor для удаленной записи в операторе Prometheus см. в документации по оператору Prometheus.

   prometheus:
     prometheusSpec:
       remoteWrite:
       - url: "<metrics ingestion endpoint for your Azure Monitor workspace>"
         azureAd:
   # Microsoft Entra ID configuration.
   # The Azure cloud. Options are 'AzurePublic', 'AzureChina', or 'AzureGovernment'.
           cloud: 'AzurePublic'
           managedIdentity:
             clientId: "<clientId of the managed identity>"
           oauth:
             clientId: "<clientId of the Entra app>"
             clientSecret:
               name: remote-write-secret
               key: password
             tenantId: "<Azure subscription tenant Id>"
   

3. Используйте Helm для обновления конфигурации удаленной записи с помощью предыдущего ФАЙЛА YAML:

   helm upgrade -f <YAML-FILENAME>.yml prometheus prometheus-community/kube-prometheus-stack --namespace <namespace where Prometheus Operator is deployed>
   

Параметр url задает конечную точку приема метрик рабочей области Azure Monitor. Его можно найти на панели обзора рабочей области Azure Monitor в портал Azure.

Используйте или managed_identity oauth для проверки подлинности приложения Microsoft Entra в зависимости от реализации. Удалите объект, который вы не используете.

Найдите идентификатор клиента для управляемого удостоверения с помощью следующей команды Azure CLI:

az identity list --resource-group <resource group name>

Дополнительные сведения см. в az identity list.

Чтобы найти клиент для проверки подлинности управляемого удостоверения на портале, перейдите к управляемым удостоверениям в портал Azure и выберите соответствующее имя удостоверения. Скопируйте значение идентификатора клиента из области обзора управляемого удостоверения.

Чтобы найти идентификатор клиента для приложения Microsoft Entra ID, выполните следующую команду Azure CLI (или просмотрите первый шаг в предыдущем разделе удаленной записи с помощью проверки подлинности приложения Microsoft Entra):

$ az ad app list --display-name < application name>

Дополнительные сведения см. в списке приложений az ad.

Примечание.

После изменения файла конфигурации перезапустите Prometheus, чтобы применить изменения.

Убедитесь, что данные удаленной записи потоки

Используйте следующие методы, чтобы убедиться, что данные Prometheus отправляются в рабочую область Azure Monitor.

Обозреватель метрик Azure Monitor с помощью PromQL

Чтобы проверить, выполняются ли метрики в рабочую область Azure Monitor, из рабочей области Azure Monitor в портал Azure выберите метрики. Используйте обозреватель метрик с языком запросов Prometheus (PromQL), чтобы запросить метрики, ожидаемые из локальной среды Prometheus. Дополнительные сведения см. в обозревателе метрик Azure Monitor с помощью PromQL.

Обозреватель Prometheus в рабочей области Azure Monitor

Обозреватель Prometheus предоставляет удобный способ взаимодействия с метриками Prometheus в среде Azure, чтобы повысить эффективность мониторинга и устранения неполадок. Чтобы использовать обозреватель Prometheus, перейдите в рабочую область Azure Monitor в портал Azure и выберите Prometheus Explorer. Затем можно запросить метрики, ожидаемые из локальной среды Prometheus.

Дополнительные сведения см. в разделе "Метрики запроса Prometheus" с помощью книг Azure.

Grafana

Используйте запросы PromQL в Grafana, чтобы убедиться, что результаты возвращают ожидаемые данные. Сведения о настройке Grafana см. в статье о настройке Grafana с помощью управляемого Prometheus.

Устранение неполадок удаленной записи

Если удаленные данные не отображаются в рабочей области Azure Monitor, см. статью "Устранение неполадок удаленной записи для распространенных проблем и решений".

Связанный контент

• Дополнительные сведения об управляемой службе Azure Monitor для Prometheus
• Сведения о обратном прокси-сервере Azure Monitor для удаленной записи из самоуправляемого Prometheus, работающего в Kubernetes