Skicka Prometheus-mått från virtuella datorer, skalningsuppsättningar eller Kubernetes-kluster till en Azure Monitor-arbetsyta

Prometheus är inte begränsat till övervakning av Kubernetes-kluster. Använd Prometheus för att övervaka program och tjänster som körs på dina servrar, oavsett var de körs. Du kan till exempel övervaka program som körs på virtuella datorer, vm-skalningsuppsättningar eller till och med lokala servrar. Du kan också skicka Prometheus-mått till en Azure Monitor-arbetsyta från ditt självhanterade kluster och Prometheus-server.

Den här artikeln beskriver hur du konfigurerar fjärrskrivning för att skicka data från en självhanterad Prometheus-instans till en Azure Monitor-arbetsyta.

Alternativ för fjärrskrivning

Självhanterad Prometheus kan köras i Azure- och icke-Azure-miljöer. Följande är autentiseringsalternativ för fjärrskrivning till en Azure Monitor-arbetsyta, baserat på miljön där Prometheus körs.

Azure-hanterade virtuella datorer, VM-skalningsuppsättningar och Kubernetes-kluster

Använd användartilldelad hanterad identitetsautentisering för tjänster som kör självhanterad Prometheus i en Azure-miljö. Azure-hanterade tjänster omfattar:

• Azure Virtual Machines
• Skalningsuppsättningar för virtuella Microsoft Azure-datorer
• Azure Kubernetes Service (AKS)

Information om hur du konfigurerar fjärrskrivning för Azure-hanterade resurser finns i Fjärrskrivning med användartilldelad hanterad identitetsautentisering senare i den här artikeln.

Virtuella datorer och Kubernetes-kluster som körs i miljöer som inte är Azure-miljöer

Om du har virtuella datorer eller ett Kubernetes-kluster i icke-Azure-miljöer, eller om du har registrerat dig för Azure Arc, installerar du självhanterad Prometheus och konfigurerar fjärrskrivning med hjälp av Microsoft Entra-programautentisering. Mer information finns i Fjärrskrivning med Microsoft Entra-programautentisering senare i den här artikeln.

Med registrering till Azure Arc-aktiverade servrar kan du hantera och konfigurera virtuella datorer som inte är Azure-datorer i Azure. Mer information finns i Azure Arc-aktiverade servrar och Azure Arc-aktiverade Kubernetes. Azure Arc-aktiverade servrar stöder endast Microsoft Entra-autentisering.

Kommentar

Systemtilldelade hanterade identiteter stöds inte för fjärrskrivning till Azure Monitor-arbetsytor. Använd en användartilldelad hanterad identitet eller Microsoft Entra-programautentisering.

Förutsättningar

Versioner som stöds

• Prometheus-versioner som är senare än 2.45 krävs för hanterad identitetsautentisering.
• Prometheus-versioner som är senare än 2.48 krävs för Microsoft Entra-programautentisering.

Azure Monitor-arbetsyta

Den här artikeln beskriver hur du skickar Prometheus-mått till en Azure Monitor-arbetsyta. Information om hur du skapar en Azure Monitor-arbetsyta finns i Hantera en Azure Monitor-arbetsyta.

Behörigheter

Administratörsbehörigheter för klustret eller resursen krävs för att slutföra stegen i den här artikeln.

Konfigurera autentisering för fjärrskrivning

Beroende på miljön där Prometheus körs kan du konfigurera fjärrskrivning för att använda en användartilldelad hanterad identitet eller Microsoft Entra-programautentisering för att skicka data till en Azure Monitor-arbetsyta.

Använd Azure Portal eller Azure CLI för att skapa en användartilldelad hanterad identitet eller ett Microsoft Entra-program.

Fjärrskrivning med hjälp av en användartilldelad hanterad identitet

Fjärrskrivning med användartilldelad hanterad identitetsautentisering

Användartilldelad hanterad identitetsautentisering kan användas i valfri Azure-hanterad miljö. Om prometheus-tjänsten körs i en icke-Azure-miljö kan du använda Microsoft Entra-programautentisering.

Utför följande steg för att konfigurera en användartilldelad hanterad identitet för fjärrskrivning till en Azure Monitor-arbetsyta.

Skapa en användartilldelad hanterad identitet

Information om hur du skapar en användarhanterad identitet som ska användas i fjärrskrivningskonfigurationen finns i Hantera användartilldelade hanterade identiteter.

Observera värdet clientId för för den hanterade identitet som du skapade. Det här ID:t används i Prometheus fjärrskrivningskonfiguration.

Tilldela utgivarrollen Övervakningsmått till programmet

I arbetsytans datainsamlingsregel tilldelar du rollen Monitoring Metrics Publisher till den hanterade identiteten:

1. I översiktsfönstret för Azure Monitor-arbetsytan väljer du länken Datainsamlingsregel .

   

2. På sidan för datainsamlingsregeln väljer du Åtkomstkontroll (IAM).

3. Välj Lägg till>Lägg till rolltilldelning.

   

4. Sök efter och välj Monitoring Metrics Publisher (Övervaka måttutgivare) och välj sedan Nästa.

   

5. Välj Hanterad identitet.

6. Välj Välj medlemmar.

7. I listrutan Hanterad identitet väljer du Användartilldelad hanterad identitet.

8. Välj den användartilldelade identitet som du vill använda och välj sedan Välj.

   

9. Välj Granska + tilldela för att slutföra rolltilldelningen.

Tilldela den hanterade identiteten till en virtuell dator eller en VM-skalningsuppsättning

Viktigt!

Om du vill slutföra stegen i det här avsnittet måste du ha behörighet som ägare eller administratör för användaråtkomst för den virtuella datorn eller vm-skalningsuppsättningen.

1. I Azure Portal går du till sidan för klustret, den virtuella datorn eller vm-skalningsuppsättningen.

2. Välj Identitet.

3. Välj Användartilldelade.

4. Markera Lägga till.

5. Välj den användartilldelade hanterade identiteten som du skapade och välj sedan Lägg till.

   

Tilldela den hanterade identiteten för Azure Kubernetes Service

För Azure Kubernetes Service måste den hanterade identiteten tilldelas vm-skalningsuppsättningar.

AKS skapar en resursgrupp som innehåller vm-skalningsuppsättningarna. Resursgruppens namn är i formatet MC_<resource group name>_<AKS cluster name>_<region>.

För varje VM-skalningsuppsättning i resursgruppen tilldelar du den hanterade identiteten enligt stegen i föregående avsnitt, Tilldela den hanterade identiteten till en virtuell dator eller en VM-skalningsuppsättning.

Microsoft Entra ID-program

Fjärrskrivning med Microsoft Entra-programautentisering

Du kan använda Microsoft Entra-programautentisering i valfri miljö. Om prometheus-tjänsten körs i en Azure-hanterad miljö bör du överväga att använda användartilldelad hanterad identitetsautentisering.

Om du vill konfigurera fjärrskrivning till en Azure Monitor-arbetsyta med hjälp av ett Microsoft Entra-program skapar du ett Microsoft Entra-program. I Azure Monitor-arbetsytans datainsamlingsregel tilldelar du rollen Monitoring Metrics Publisher till Microsoft Entra-programmet.

Kommentar

Ditt Microsoft Entra-program använder en klienthemlighet eller ett lösenord. Klienthemligheter har ett utgångsdatum. Se till att skapa en ny klienthemlighet innan den upphör att gälla så att du inte förlorar autentiserad åtkomst.

Skapa ett Microsoft Entra-ID-program

Information om hur du skapar ett Microsoft Entra-ID-program med hjälp av portalen finns i Registrera ett program med Microsoft Entra-ID och skapa ett huvudnamn för tjänsten.

När du har skapat ditt Microsoft Entra-program hämtar du klient-ID:t och genererar en klienthemlighet:

1. I listan över program kopierar du klient-ID-värdet för det registrerade programmet. Det här värdet används i Prometheus fjärrskrivningskonfiguration som värde för client_id.

   

2. Välj Certifikat och hemligheter.

3. Välj Klienthemligheter och välj sedan Ny klienthemlighet för att skapa en hemlighet.

4. Ange en beskrivning, ange förfallodatum och välj sedan Lägg till.

   

5. Kopiera hemlighetens värde på ett säkert sätt. Värdet används i Prometheus fjärrskrivningskonfiguration som värde för client_secret. Värdet för klienthemlighet visas bara när det skapas och du kan inte hämta det senare. Om du förlorar den måste du skapa en ny.

   

Tilldela utgivarrollen Övervakningsmått till programmet

Tilldela rollen Monitoring Metrics Publisher på arbetsytans datainsamlingsregel till programmet:

1. I översiktsfönstret för Azure Monitor-arbetsytan väljer du länken Datainsamlingsregel .

   

2. På sidan för datainsamlingsregeln väljer du Åtkomstkontroll (IAM).

3. Välj Lägg till och sedan Lägg till rolltilldelning.

   

4. Välj utgivarrollen Övervakningsmått och välj sedan Nästa.

   

5. Välj Användare, grupp eller tjänstens huvudnamn och välj sedan Välj medlemmar. Välj det program som du skapade och välj sedan Välj.

6. Slutför rolltilldelningen genom att välja Granska + tilldela.

   

Azure CLI

Skapa användartilldelade identiteter och Microsoft Entra-ID-appar via Azure CLI

Skapa en användartilldelad hanterad identitet

Skapa en användartilldelad hanterad identitet för fjärrskrivning med hjälp av följande steg.

Observera värdet clientId för för den hanterade identitet som du skapar. Det här ID:t används i Prometheus fjärrskrivningskonfiguration.

1. Skapa en användartilldelad hanterad identitet med hjälp av följande Azure CLI-kommando:

   az account set \
   --subscription <subscription id>
   
   az identity create \
   --name <identity name> \
   --resource-group <resource group name>
   

   Följande kod är ett exempel på de utdata som visas:

   {
     "clientId": "00001111-aaaa-2222-bbbb-3333cccc4444",
     "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/rg-001/providers/Microsoft.ManagedIdentity/userAssignedIdentities/PromRemoteWriteIdentity",
     "location": "eastus",
     "name": "PromRemoteWriteIdentity",
     "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
     "resourceGroup": "rg-001",
     "systemData": null,
     "tags": {},
     "tenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
     "type": "Microsoft.ManagedIdentity/userAssignedIdentities"
   }
   

2. Tilldela rollen Monitoring Metrics Publisher på arbetsytans datainsamlingsregel till den hanterade identiteten:

   az role assignment create \
   --role "Monitoring Metrics Publisher" \
   --assignee <managed identity client ID> \
   --scope <data collection rule resource ID>
   

   Till exempel:

   az role assignment create \
   --role "Monitoring Metrics Publisher" \
   --assignee 00001111-aaaa-2222-bbbb-3333cccc4444 \
   --scope /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/MA_amw-001_eastus_managed/providers/Microsoft.Insights/dataCollectionRules/amw-001
   

3. Tilldela den hanterade identiteten till en virtuell dator eller en VM-skalningsuppsättning.

   Här är kommandona för en virtuell dator:

   az vm identity assign \
   -g <resource group name> \
   -n <virtual machine name> \
   --identities <user assigned identity resource ID>
   

   Här är kommandona för en VM-skalningsuppsättning:

   az vmss identity assign \
   -g <resource group name> \
   -n <scale set name> \
   --identities <user assigned identity resource ID>
   

   I följande exempel visas kommandona för en VM-skalningsuppsättning:

   az vm identity assign \
   -g rg-prom-on-vm \
   -n win-vm-prom \
   --identities /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/rg-001/providers/Microsoft.ManagedIdentity/userAssignedIdentities/PromRemoteWriteIdentity
   

Mer information finns i az identity create and az role assignment create.

Skapa ett Microsoft Entra-program

Om du vill skapa ett Microsoft Entra-program med hjälp av Azure CLI och tilldela rollen Monitoring Metrics Publisher kör du följande kommando:

az ad sp create-for-rbac --name <application name> \
--role "Monitoring Metrics Publisher" \
--scopes <azure monitor workspace data collection rule Id>

Till exempel:

az ad sp create-for-rbac \
--name PromRemoteWriteApp \
--role "Monitoring Metrics Publisher" \
--scopes /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/MA_amw-001_eastus_managed/providers/Microsoft.nsights/dataCollectionRules/amw-001

Följande kod är ett exempel på de utdata som visas:

{
  "appId": "66667777-aaaa-8888-bbbb-9999cccc0000",
  "displayName": "PromRemoteWriteApp",
  "password": "Aa1Bb~2Cc3.-Dd4Ee5Ff6Gg7Hh8Ii9_Jj0Kk1Ll2",
  "tenant": "ffff5f5f-aa6a-bb7b-cc8c-dddddd9d9d9d"
}

Utdata innehåller appId värdena och password . Spara dessa värden som ska användas i Prometheus fjärrskrivningskonfiguration som värden för client_id och client_secret. Värdet för lösenords- eller klienthemlighet visas bara när det skapas och du kan inte hämta det senare. Om du förlorar den måste du skapa en ny.

Mer information finns i az ad app create and az ad sp create-for-rbac.

Konfigurera fjärrskrivning

Fjärrskrivning konfigureras i Prometheus-konfigurationsfilen prometheus.yml eller i Prometheus-operatorn.

Mer information om hur du konfigurerar fjärrskrivning finns i den här Prometheus.io artikeln: Konfiguration. Information om hur du justerar fjärrskrivningskonfigurationen finns i Fjärrskrivningsjustering.

Konfigurera fjärrskrivning för Prometheus som körs på virtuella datorer

Om du vill skicka data till din Azure Monitor-arbetsyta lägger du till följande avsnitt i konfigurationsfilen (prometheus.yml) för din självhanterade Prometheus-instans:

remote_write:   
  - url: "<metrics ingestion endpoint for your Azure Monitor workspace>"
# Microsoft Entra ID configuration.
# The Azure cloud. Options are 'AzurePublic', 'AzureChina', or 'AzureGovernment'.
    azuread:
      cloud: 'AzurePublic'
      managed_identity:
        client_id: "<client-id of the managed identity>"
      oauth:
        client_id: "<client-id from the Entra app>"
        client_secret: "<client secret from the Entra app>"
        tenant_id: "<Azure subscription tenant Id>"

Konfigurera fjärrskrivning på Kubernetes för Prometheus-operatorn

Prometheus-operator

Om du använder ett Kubernetes-kluster som kör Prometheus-operatorn använder du följande steg för att skicka data till din Azure Monitor-arbetsyta:

1. Om du använder Microsoft Entra-autentisering konverterar du hemligheten med hjälp av Base64-kodning och tillämpar sedan hemligheten i kubernetes-klustret. Spara följande kod i en YAML-fil. Hoppa över det här steget om du använder hanterad identitetsautentisering.

   apiVersion: v1
   kind: Secret
   metadata:
     name: remote-write-secret
     namespace: monitoring # Replace with the namespace where Prometheus Operator is deployed.
   type: Opaque
   data:
     password: <base64-encoded-secret>
   
   

   Använd hemligheten:

   # Set context to your cluster 
   az aks get-credentials -g <aks-rg-name> -n <aks-cluster-name> 
   
   kubectl apply -f <remote-write-secret.yaml>
   

2. Uppdatera värdena för fjärrskrivningsavsnittet i Prometheus-operatorn. Kopiera följande YAML och spara den som en fil. Mer information om Azure Monitor-arbetsytans specifikation för fjärrskrivning i Prometheus-operatorn finns i dokumentationen om Prometheus-operatör.

   prometheus:
     prometheusSpec:
       remoteWrite:
       - url: "<metrics ingestion endpoint for your Azure Monitor workspace>"
         azureAd:
   # Microsoft Entra ID configuration.
   # The Azure cloud. Options are 'AzurePublic', 'AzureChina', or 'AzureGovernment'.
           cloud: 'AzurePublic'
           managedIdentity:
             clientId: "<clientId of the managed identity>"
           oauth:
             clientId: "<clientId of the Entra app>"
             clientSecret:
               name: remote-write-secret
               key: password
             tenantId: "<Azure subscription tenant Id>"
   

3. Använd Helm för att uppdatera fjärrskrivningskonfigurationen med hjälp av föregående YAML-fil:

   helm upgrade -f <YAML-FILENAME>.yml prometheus prometheus-community/kube-prometheus-stack --namespace <namespace where Prometheus Operator is deployed>
   

Parametern url anger slutpunkten för måttinmatning för Azure Monitor-arbetsytan. Du hittar den i översiktsfönstret för din Azure Monitor-arbetsyta i Azure Portal.

Använd antingen managed_identity eller oauth för Microsoft Entra-programautentisering, beroende på din implementering. Ta bort det objekt som du inte använder.

Hitta ditt klient-ID för den hanterade identiteten med hjälp av följande Azure CLI-kommando:

az identity list --resource-group <resource group name>

Mer information finns i az identity list (az identity list).

Om du vill hitta klienten för hanterad identitetsautentisering i portalen går du till Hanterade identiteter i Azure Portal och väljer relevant identitetsnamn. Kopiera värdet för klient-ID från den hanterade identitetens översiktsfönster.

Om du vill hitta klient-ID:t för Microsoft Entra-ID-programmet använder du följande Azure CLI-kommando (eller se det första steget i det tidigare avsnittet Fjärrskrivning med Microsoft Entra-programautentisering ):

$ az ad app list --display-name < application name>

Mer information finns i az ad app list.

Kommentar

När du har redigerat konfigurationsfilen startar du om Prometheus för att tillämpa ändringarna.

Kontrollera att fjärrskrivningsdata flödar

Använd följande metoder för att kontrollera att Prometheus-data skickas till din Azure Monitor-arbetsyta.

Azure Monitor-måttutforskaren med PromQL

Om du vill kontrollera om måtten flödar till Azure Monitor-arbetsytan väljer du Mått från din Azure Monitor-arbetsyta i Azure Portal. Använd metrics explorer med Prometheus Query Language (PromQL) för att fråga de mått som du förväntar dig från den självhanterade Prometheus-miljön. Mer information finns i Azure Monitor Metrics Explorer med PromQL.

Prometheus-utforskaren på Azure Monitor-arbetsytan

Prometheus Explorer är ett bekvämt sätt att interagera med Prometheus-mått i din Azure-miljö, så att övervakning och felsökning blir effektivare. Om du vill använda Prometheus Explorer går du till din Azure Monitor-arbetsyta i Azure Portal och väljer Prometheus Explorer. Du kan sedan köra frågor mot de mått som du förväntar dig från den självhanterade Prometheus-miljön.

Mer information finns i Fråga prometheus-mått med hjälp av Azure-arbetsböcker.

Grafana

Använd PromQL-frågor i Grafana för att verifiera att resultaten returnerar förväntade data. Information om hur du konfigurerar Grafana finns i artikeln om hur du konfigurerar Grafana med hanterad Prometheus.

Felsöka fjärrskrivning

Om fjärrdata inte visas på din Azure Monitor-arbetsyta kan du läsa Felsöka fjärrskrivning för vanliga problem och lösningar.

Relaterat innehåll

• Läs mer om azure monitor-hanterad tjänst för Prometheus
• Lär dig mer om azure monitor-sidovagnen för omvänd proxy för fjärrskrivning från självhanterad Prometheus som körs på Kubernetes