Odesílání metrik Prometheus z virtuálních počítačů do pracovního prostoru služby Azure Monitor

Prometheus není omezen na monitorování clusterů Kubernetes. Pomocí nástroje Prometheus můžete monitorovat aplikace a služby spuštěné na vašich serverech bez ohledu na to, kde jsou spuštěné. Můžete například monitorovat aplikace spuštěné na virtuálních počítačích, škálovacích sadách virtuálních počítačů nebo dokonce na místních serverech. Nainstalujte na servery prometheus a nakonfigurujte vzdálené zápisy tak, aby odesílaly metriky do pracovního prostoru služby Azure Monitor.

Tento článek vysvětluje, jak nakonfigurovat vzdálené zápisy tak, aby odesílala data z instance Prometheus s vlastním správou do pracovního prostoru služby Azure Monitor.

Možnosti vzdáleného zápisu

V prostředích Azure a mimo Azure může běžet samospravovaný Nástroj Prometheus. Níže jsou uvedené možnosti ověřování pro vzdálený zápis do pracovního prostoru služby Azure Monitor na základě prostředí, ve kterém je spuštěný Nástroj Prometheus.

Spravované virtuální počítače Azure a škálovací sady virtuálních počítačů

Ověřování spravované identity přiřazené uživatelem můžete použít pro služby, na kterých běží samoobslužná správa Prometheus v prostředí Azure. Mezi spravované služby Azure patří:

• Azure Virtual Machines
• Škálovací sady virtuálních počítačů Azure
• Virtuální počítače s podporou Služby Azure Arc

Informace o nastavení vzdáleného zápisu pro spravované prostředky Azure najdete v tématu Vzdálené zápisy pomocí spravované identity přiřazené uživatelem.

Virtuální počítače spuštěné v prostředích mimo Azure

Onboarding ke službám s podporou Azure Arc umožňuje spravovat a konfigurovat virtuální počítače mimo Azure v Azure. Po nasazení nakonfigurujte vzdálené zápis pomocí ověřování spravované identity přiřazené uživatelem. Další informace o onboardingu virtuálních počítačů k serverům s podporou Azure Arc najdete v tématu Servery s podporou Azure Arc.

Pokud máte virtuální počítače v prostředích mimo Azure a nechcete se připojit ke službě Azure Arc, nainstalujte si prometheus a nakonfigurujte vzdálené zápisy pomocí ověřování aplikace Microsoft Entra ID. Další informace naleznete v tématu Vzdálené zápis pomocí ověřování aplikace Microsoft Entra ID.

Požadavky

Podporované verze

• Pro ověřování spravovaných identit se vyžadují verze Prometheus větší než verze 2.45.
• Pro ověřování aplikace Microsoft Entra ID se vyžadují verze Prometheus větší než verze 2.48.

Pracovní prostor služby Azure Monitor

Tento článek se zabývá odesíláním metrik Prometheus do pracovního prostoru služby Azure Monitor. Pokud chcete vytvořit pracovní prostor Služby Azure Monitor, přečtěte si téma Správa pracovního prostoru služby Azure Monitor.

Oprávnění

Správa istrator oprávnění ke clusteru nebo prostředku jsou nutná k dokončení kroků v tomto článku.

Nastavení ověřování pro vzdálené zápisy

V závislosti na prostředí, ve kterém je spuštěná služba Prometheus, můžete nakonfigurovat vzdálené zápisy tak, aby používala spravovanou identitu přiřazenou uživatelem nebo ověřování aplikace Microsoft Entra ID k odesílání dat do pracovního prostoru služby Azure Monitor.

Pomocí webu Azure Portal nebo rozhraní příkazového řádku vytvořte spravovanou identitu přiřazenou uživatelem nebo aplikaci Microsoft Entra ID.

Vzdálené zápisy pomocí spravované identity přiřazené uživatelem

Vzdálené zápisy pomocí ověřování spravované identity přiřazené uživatelem

Pokud chcete nakonfigurovat spravovanou identitu přiřazenou uživatelem pro vzdálený zápis do pracovního prostoru služby Azure Monitor, proveďte následující kroky.

Vytvoření spravované identity přiřazené uživatelem

Pokud chcete vytvořit identitu spravovanou uživatelem, která se použije v konfiguraci vzdáleného zápisu, přečtěte si téma Správa spravovaných identit přiřazených uživatelem.

Poznamenejte si hodnotu clientId spravované identity, kterou jste vytvořili. Toto ID se používá v konfiguraci vzdáleného zápisu Prometheus.

Přiřazení role Vydavatele metrik monitorování k aplikaci

Monitoring Metrics Publisher Přiřaďte roli v pravidle shromažďování dat pracovního prostoru spravované identitě.

1. Na stránce Přehled pracovního prostoru služby Azure Monitor vyberte odkaz na pravidlo shromažďování dat.

   

2. Na stránce pravidla shromažďování dat vyberte Řízení přístupu (IAM).

3. Vyberte Přidat a Přidat přiřazení role.

4. Vyhledejte a vyberte vydavatele metrik monitorování a pak vyberte Další.

5. Vyberte spravovanou identitu.

6. Vyberte Vybrat členy.

7. V rozevíracím seznamu Spravované entity spravovaná identita přiřazená uživatelem

8. Vyberte identitu přiřazenou uživatelem, kterou chcete použít, a potom klikněte na vybrat.

9. Výběrem možnosti Zkontrolovat a přiřadit dokončete přiřazení role.

   

Přiřaďte spravovanou identitu virtuálnímu počítači nebo škálovací sadě virtuálních počítačů.

Důležité

Abyste mohli dokončit kroky v této části, musíte mít oprávnění vlastníka nebo správce přístupu uživatele pro škálovací sadu virtuálních počítačů nebo virtuálních MAchine.

1. Na webu Azure Portal přejděte na stránku clusteru, virtuálního počítače nebo škálovací sady virtuálních počítačů.

2. Vyberte Identitu.

3. Vyberte přiřazeného uživatele.

4. Vyberte Přidat.

5. Vyberte spravovanou identitu přiřazenou uživatelem, kterou jste vytvořili, a pak vyberte Přidat.

   

Aplikace Microsoft Entra ID

Vzdálené zápisy pomocí ověřování aplikace Microsoft Entra ID

Pokud chcete nakonfigurovat vzdálené zápisy do pracovního prostoru Azure Monitoru pomocí aplikace Microsoft Entra ID, vytvořte aplikaci Entra a přiřaďte ji Monitoring Metrics Publisher k aplikaci roli v pravidle shromažďování dat pracovního prostoru.

Poznámka:

Vaše aplikace Azure Entra používá tajný klíč klienta nebo heslo. Tajné kódy klienta mají datum vypršení platnosti. Před vypršením platnosti nezapomeňte vytvořit nový tajný klíč klienta, abyste nepřišli o ověřený přístup.

Vytvoření aplikace Microsoft Entra ID

Pokud chcete vytvořit aplikaci Microsoft Entra ID pomocí portálu, přečtěte si téma Vytvoření aplikace Microsoft Entra ID a instančního objektu, který má přístup k prostředkům.

Po vytvoření aplikace Entra získejte ID klienta a vygenerujte tajný klíč klienta.

1. V seznamu aplikací zkopírujte hodnotu ID aplikace (klienta) registrované aplikace. Tato hodnota se používá v konfiguraci vzdáleného zápisu Prometheus jako hodnota pro client_id.

   

2. Výběr certifikátů a tajných kódů

3. Vyberte Tajné kódy klienta, výběrem možnosti Nový tajný klíč klienta vytvořte nový tajný kód .

4. Zadejte popis, nastavte datum vypršení platnosti a vyberte Přidat.

   

5. Bezpečně zkopírujte hodnotu tajného kódu. Hodnota se používá v konfiguraci vzdáleného zápisu Prometheus jako hodnota pro client_secret. Hodnota tajného klíče klienta je viditelná pouze při vytvoření a později ji nelze načíst. Pokud dojde ke ztrátě, musíte vytvořit nový tajný klíč klienta.

   

Přiřazení role Vydavatele metrik monitorování k aplikaci

Monitoring Metrics Publisher Přiřaďte aplikaci roli v pravidle shromažďování dat pracovního prostoru.

1. Na stránce přehledu pracovního prostoru Azure Monitoru vyberte odkaz na pravidlo shromažďování dat.

   

2. Na stránce přehledu pravidla shromažďování dat vyberte Řízení přístupu (IAM).

3. Vyberte Přidat a pak vyberte Přidat přiřazení role.

   

4. Vyberte roli Vydavatel metrik monitorování a pak vyberte Další.

   

5. Vyberte Uživatele, skupinu nebo instanční objekt a pak zvolte Vybrat členy. Vyberte aplikaci, kterou jste vytvořili, a pak zvolte Vybrat.

   

6. Pokud chcete přiřazení role dokončit, vyberte Zkontrolovat a přiřadit.

Rozhraní příkazového řádku

Vytváření identit přiřazených uživatelem a aplikací Microsoft Entra ID pomocí rozhraní příkazového řádku

Vytvoření spravované identity přiřazené uživatelem

Pomocí následujícího postupu vytvořte spravovanou identitu přiřazenou uživatelem pro vzdálený zápis:

1. Vytvoření spravované identity přiřazené uživatelem
2. Monitoring Metrics Publisher Přiřazení role v pravidle shromažďování dat pracovního prostoru ke spravované identitě
3. Přiřaďte spravovanou identitu virtuálnímu počítači nebo škálovací sadě virtuálních počítačů.

Poznamenejte si hodnotu clientId spravované identity, kterou vytvoříte. Toto ID se používá v konfiguraci vzdáleného zápisu Prometheus.

1. Pomocí následujícího příkazu rozhraní příkazového řádku vytvořte spravovanou identitu přiřazenou uživatelem:

   az account set \
   --subscription <subscription id>
   
   az identity create \
   --name <identity name> \
   --resource-group <resource group name>
   

   Následuje příklad zobrazeného výstupu:

   {
     "clientId": "abcdef01-a123-b456-d789-0123abc345de",
     "id": "/subscriptions/12345678-abcd-1234-abcd-1234567890ab/resourcegroups/rg-001/providers/Microsoft.ManagedIdentity/userAssignedIdentities/PromRemoteWriteIdentity",
     "location": "eastus",
     "name": "PromRemoteWriteIdentity",
     "principalId": "98765432-0123-abcd-9876-1a2b3c4d5e6f",
     "resourceGroup": "rg-001",
     "systemData": null,
     "tags": {},
     "tenantId": "ffff1234-aa01-02bb-03cc-0f9e8d7c6b5a",
     "type": "Microsoft.ManagedIdentity/userAssignedIdentities"
   }
   

2. Monitoring Metrics Publisher Přiřaďte roli v pravidle shromažďování dat pracovního prostoru spravované identitě.

   az role assignment create \
   --role "Monitoring Metrics Publisher" \
   --assignee <managed identity client ID> \
   --scope <data collection rule resource ID>
   

   Příklad:

   az role assignment create \
   --role "Monitoring Metrics Publisher" \
   --assignee abcdef01-a123-b456-d789-0123abc345de \
   --scope /subscriptions/12345678-abcd-1234-abcd-1234567890ab/resourceGroups/MA_amw-001_eastus_managed/providers/Microsoft.Insights/dataCollectionRules/amw-001
   

3. Přiřaďte spravovanou identitu virtuálnímu počítači nebo škálovací sadě virtuálních počítačů.

   Pro virtuální počítače:

   az vm identity assign \
   -g <resource group name> \
   -n <virtual machine name> \
   --identities <user assigned identity resource ID>
   

   Pro škálovací sady virtuálních počítačů:

   az vmss identity assign \
   -g <resource group name> \
   -n <VSS name> \
   --identities <user assigned identity resource ID>
   

   Například pro škálovací sadu virtuálních počítačů:

   az vm identity assign \
   -g rg-prom-on-vm \
   -n win-vm-prom \
   --identities /subscriptions/12345678-abcd-1234-abcd-1234567890ab/resourcegroups/rg-001/providers/Microsoft.ManagedIdentity/userAssignedIdentities/PromRemoteWriteIdentity
   

Další informace najdete v tématu az identity create a az role assignment create.

Vytvoření aplikace Microsoft Entra ID

Pokud chcete vytvořit aplikaci Microsoft Entra ID pomocí rozhraní příkazového řádku a přiřadit roli Monitoring Metrics Publisher , spusťte následující příkaz:

az ad sp create-for-rbac --name <application name> \
--role "Monitoring Metrics Publisher" \
--scopes <azure monitor workspace data collection rule Id>

Příklad:

az ad sp create-for-rbac \
--name PromRemoteWriteApp \
--role "Monitoring Metrics Publisher" \
--scopes /subscriptions/abcdef00-1234-5678-abcd-1234567890ab/resourceGroups/MA_amw-001_eastus_managed/providers/Microsoft.nsights/dataCollectionRules/amw-001

Následuje příklad zobrazeného výstupu:

{
  "appId": "01234567-abcd-ef01-2345-67890abcdef0",
  "displayName": "PromRemoteWriteApp",
  "password": "AbCDefgh1234578~zxcv.09875dslkhjKLHJHLKJ",
  "tenant": "abcdef00-1234-5687-abcd-1234567890ab"
}

Výstup obsahuje appId hodnoty a password hodnoty. Uložte tyto hodnoty tak, aby se používaly v konfiguraci vzdáleného zápisu Prometheus jako hodnoty pro client_id heslo client_secret nebo tajný klíč klienta, je viditelné pouze při vytvoření a nelze je později načíst. Pokud dojde ke ztrátě, musíte vytvořit nový tajný klíč klienta.

Další informace najdete v tématu az ad app create a az ad sp create-for-rbac.

Konfigurace vzdáleného zápisu

Vzdálený zápis je nakonfigurován v konfiguračním souboru prometheus.ymlPrometheus .

Další informace o konfiguraci vzdáleného zápisu najdete v článku Prometheus.io: Konfigurace. Další informace o ladění konfigurace vzdáleného zápisu najdete v tématu Vzdálené ladění zápisu.

Pokud chcete odesílat data do pracovního prostoru služby Azure Monitor, přidejte do konfiguračního souboru vaší instance Prometheus spravované svým vlastním správcem následující část.

remote_write:   
  - url: "<metrics ingestion endpoint for your Azure Monitor workspace>"
# AzureAD configuration.
# The Azure Cloud. Options are 'AzurePublic', 'AzureChina', or 'AzureGovernment'.
  azuread:
    cloud: 'AzurePublic'
    managed_identity:
      client_id: "<client-id of the managed identity>"
    oauth:
      client_id: "<client-id from the Entra app>"
      client_secret: "<client secret from the Entra app>"
      tenant_id: "<Azure subscription tenant Id>"

Parametr url určuje koncový bod příjmu metrik pracovního prostoru služby Azure Monitor. Najdete ho na stránce Přehled pracovního prostoru služby Azure Monitor na webu Azure Portal.

managed_identityV závislosti na implementaci použijte buď ověřování aplikace Microsoft Entra ID, nebo oauth pro ověřování aplikace Microsoft Entra ID. Odeberte objekt, který nepoužíváte.

Pomocí následujícího příkazu Azure CLI vyhledejte ID klienta pro spravovanou identitu:

az identity list --resource-group <resource group name>

Další informace najdete v tématu az identity list.

Pokud chcete najít klienta pro ověřování spravovaných identit na portálu, přejděte na stránku Spravované identity na webu Azure Portal a vyberte příslušný název identity. Zkopírujte hodnotu ID klienta ze stránky Přehled identity.

Pokud chcete najít ID klienta pro aplikaci Microsoft Entra ID, použijte následující rozhraní příkazového řádku nebo si projděte první krok v aplikaci Microsoft Entra ID pomocí části Azure Portal .

$ az ad app list --display-name < application name>

Další informace najdete v tématu az ad app list.

Poznámka:

Po úpravě konfiguračního souboru restartujte Nástroj Prometheus, aby se změny projevily.

Ověření toku dat vzdáleného zápisu

Pomocí následujících metod ověřte, že se data Prometheus odesílají do pracovního prostoru služby Azure Monitor.

Průzkumník metrik Služby Azure Monitor s nástrojem PromQL

Pokud chcete zkontrolovat, jestli metriky proudí do pracovního prostoru služby Azure Monitor, vyberte na webu Azure Portal z pracovního prostoru Služby Azure Monitor metriky. Pomocí Průzkumníka metrik se můžete dotazovat na metriky, které očekáváte z prostředí Prometheus spravovaného vlastním systémem. Další informace najdete v průzkumníku metrik.

Průzkumník Prometheus v pracovním prostoru služby Azure Monitor

Průzkumník prometheus nabízí pohodlný způsob, jak pracovat s metrikami Prometheus ve vašem prostředí Azure a zefektivnit monitorování a řešení potíží. Pokud chcete použít Průzkumníka Prometheus, přejděte na webu Azure Portal do svého pracovního prostoru Služby Azure Monitor a vyberte Průzkumníka prometheus a dotazujte se na metriky, které očekáváte z prostředí Prometheus spravovaného svým držitelem. Další informace najdete v průzkumníku Prometheus.

Grafana

Pomocí dotazů PromQL v Grafana ověřte, že výsledky vrací očekávaná data. Podívejte se, jak nastavit Grafana pomocí spravovaného nástroje Prometheus pro konfiguraci Grafany.

Řešení potíží se vzdáleným zápisem

Pokud se ve vašem pracovním prostoru Služby Azure Monitor nezobrazují vzdálená data, přečtěte si téma Řešení běžných problémů a řešení vzdáleného zápisu .

Další kroky

• Přečtěte si další informace o spravované službě Azure Monitor pro Prometheus.
• Další informace o auto na straně reverzního proxy serveru služby Azure Monitor pro vzdálené zápisy ze samoobslužného systému Prometheus spuštěného v Kubernetes