Senden von Prometheus-Metriken von VMs, Skalierungsgruppen oder Kubernetes-Clustern an einen Azure Monitor-Arbeitsbereich

Prometheus ist nicht auf die Überwachung von Kubernetes-Clustern beschränkt. Verwenden Sie Prometheus, um Anwendungen und Dienste zu überwachen, die auf Ihren Servern ausgeführt werden, unabhängig davon, wo sie ausgeführt werden. Beispielsweise können Sie Anwendungen überwachen, die auf Virtual Machines, Virtual Machine Scale Sets oder sogar auf lokalen Servern ausgeführt werden. Sie können Prometheus-Metriken auch von Ihrem selbstverwalteten Cluster und Prometheus-Server an einen Azure Monitor-Arbeitsbereich senden. Installieren Sie Prometheus auf Ihren Servern, und konfigurieren Sie remote-write, um Metriken an einen Azure Monitor-Arbeitsbereich zu senden.

In diesem Artikel wird erläutert, wie Sie remote-write zum Senden von Daten aus einer selbstverwalteten Prometheus-Instanz an einen Azure Monitor-Arbeitsbereich konfigurieren.

Optionen für remote-write

Selbstverwaltetes Prometheus kann in Azure- und Nicht-Azure-Umgebungen ausgeführt werden. Im Folgenden finden Sie Authentifizierungsoptionen für remote-write zum Azure Monitor-Arbeitsbereich basierend auf der Umgebung, in der Prometheus ausgeführt wird.

Von Azure verwaltete Virtual Machines-Instanzen, Virtual Machine Scale Sets und Kubernetes-Cluster

Verwenden Sie die Authentifizierung mit der benutzerseitig zugewiesenen verwalteten Identität für Dienste, die selbstverwaltetes Prometheus in einer Azure-Umgebung ausführen. Zu den verwalteten Azure-Diensten gehören:

• Azure Virtual Machines
• Azure Virtual Machine Scale Sets
• Azure Arc-fähige Virtual Machines
• Azure Kubernetes Service (AKS)

Informationen zum Einrichten des Remoteschreibzugriffs für von Azure verwaltete Ressourcen finden Sie unter Remote-write mithilfe der benutzerseitig zugewiesenen verwalteten Identität.

VMs und Kubernetes-Cluster, die in Nicht-Azure-Umgebungen ausgeführt werden

Wenn Sie über VMs oder einen Kubernetes-Cluster in Nicht-Azure-Umgebungen verfügen und kein Onboarding in Azure Arc durchführen möchten, installieren Sie eine selbstverwaltete Prometheus-Instanz, und konfigurieren Sie remote-write mithilfe der Microsoft Entra ID-Anwendungsauthentifizierung. Weitere Informationen finden Sie unter Remote-write mithilfe der Microsoft Entra ID-Anwendungsauthentifizierung.

Durch das Onboarding in Azure Arc-fähige Dienste können Sie Nicht-Azure-VMs in Azure verwalten und konfigurieren. Konfigurieren Sie nach dem Onboarding die Authentifizierung für Remote-write mithilfe der benutzerseitig zugewiesenen verwalteten Identität. Weitere Informationen zum Onboarding von Virtual Machines in Azure Arc-fähige Server finden Sie unter Azure Arc-fähige Server und Kubernetes mit Azure Arc-Unterstützung.

Voraussetzungen

Unterstützte Versionen

• Prometheus-Versionen größer als v2.45 sind für die Authentifizierung mit der verwalteten Identität erforderlich.
• Für die Microsoft Entra ID-Anwendungsauthentifizierung sind Prometheus-Versionen größer als v2.48 erforderlich.

Azure Monitor-Arbeitsbereich

Dieser Artikel behandelt das Senden von Prometheus-Metriken an einen Azure Monitor-Arbeitsbereich. Informationen zum Erstellen eines Azure Monitor-Arbeitsbereichs finden Sie unter Verwalten eines Azure Monitor-Arbeitsbereichs.

Berechtigungen

Zum Ausführen der Schritte in diesem Artikel sind Administratorberechtigungen für den Cluster oder die Ressource erforderlich.

Einrichten der Authentifizierung für remote-write

Abhängig von der Umgebung, in der Prometheus ausgeführt wird, können Sie remote-write so konfigurieren, dass die benutzerseitig zugewiesene verwaltete Identität oder die Microsoft Entra ID-Anwendungsauthentifizierung zum Senden von Daten an den Azure Monitor-Arbeitsbereich verwendet wird.

Verwenden Sie das Azure-Portal oder die Befehlszeilenschnittstelle, um eine benutzerseitig zugewiesene verwaltete Identität oder Microsoft Entra ID-Anwendung zu erstellen.

Remote-write mithilfe einer benutzerseitig zugewiesenen verwalteten Identität

Remote-write mithilfe der Authentifizierung mit einer benutzerseitig zugewiesenen verwalteten Identität

Die Authentifizierung mit einer benutzerseitig zugewiesenen verwalteten Identität kann in jeder von Azure verwalteten Umgebung verwendet werden. Wenn Ihr Prometheus-Dienst in einer Nicht-Azure-Umgebung ausgeführt wird, können Sie die Entra ID-Anwendungsauthentifizierung verwenden.

Führen Sie die folgenden Schritte aus, um eine benutzerseitig zugewiesene verwaltete Identität für remote-write in den Azure Monitor-Arbeitsbereich zu konfigurieren.

Erstellen einer benutzerseitig zugewiesenen verwalteten Identität

Informationen zum Erstellen einer benutzerseitig verwalteten Identität, die in Ihrer remote-write-Konfiguration verwendet werden soll, finden Sie unter Verwalten von benutzerseitig zugewiesenen verwalteten Identitäten.

Notieren Sie sich den Wert der clientId der verwalteten Identität, die Sie erstellt haben. Diese ID wird in der remote-write-Konfiguration in Prometheus verwendet.

Zuweisen der Rolle „Überwachen der Metriken-Herausgeber“ an die Anwendung

Weisen Sie in der Datensammlungsregel des Arbeitsbereichs der verwalteten Identität die Rolle Monitoring Metrics Publisher zu.

1. Wählen Sie auf der Übersicht des Azure Monitor-Arbeitsbereichs den Link Datensammlungsregel aus.

   

2. Wählen Sie auf der Seite „Datensammlungsregel“ die Option Zugriffssteuerung (IAM)aus.

3. Wählen Sie Hinzufügen und dann Rollenzuweisung hinzufügen aus.

4. Suchen Sie nach Überwachungsmetriken-Herausgeber, wählen Sie dies aus, und wählen Sie dann Weiter aus.

5. Wählen Sie Verwaltete Identität aus.

6. Wählen Sie Mitglieder auswählen aus.

7. Wählen Sie im Dropdownmenü Verwaltete Entität die Option benutzerseitig zugewiesene verwaltete Identität aus.

8. Wählen Sie die benutzerseitig zugewiesene Identität aus, die Sie verwenden möchten, und klicken Sie dann auf Auswählen.

9. Wählen Sie Überprüfen und zuweisen, um die Rollenzuweisung abzuschließen.

   

Zuweisen der verwalteten Identität zu einer VM oder einer VM-Skalierungsgruppe

Wichtig

Um die Schritte in diesem Abschnitt abzuschließen, müssen Sie über Berechtigungen als Besitzer- oder Benutzerzugriffsadministrator für die VM oder die VM-Skalierungsgruppe verfügen.

1. Wechseln Sie im Azure-Portal zur Seite Cluster, VM oder VM-Skalierungsgruppe.

2. Wählen Sie Identität aus.

3. Wählen Sie Benutzerseitig zugewiesen aus.

4. Wählen Sie Hinzufügen aus.

5. Wählen Sie die von Ihnen erstellte benutzerseitig zugewiesene verwaltete Identität und dann Hinzufügen aus.

   

Zuweisen der verwalteten Identität für Azure Kubernetes Service

Für Azure Kubernetes Service (AKS) muss die verwaltete Identität den VM-Skalierungsgruppen zugewiesen werden.

AKS erstellt eine Ressourcengruppe, die die VM-Skalierungsgruppe enthält. Der Name der Ressourcengruppe hat das Format MC_<resource group name>_<AKS cluster name>_<region>. Weisen Sie für jede VM-Skalierungsgruppe in der Ressourcengruppe die verwaltete Identität gemäß den Schritten im vorherigen Abschnitt (Zuweisen der verwalteten Identität zu einer VM oder einer VM-Skalierungsgruppe) zu.

Microsoft Entra ID-Anwendung

Remote-write mithilfe der Microsoft Entra ID-Anwendungsauthentifizierung

Die Microsoft Entra ID-Anwendungsauthentifizierung kann in jeder Umgebung verwendet werden. Wenn Ihr Prometheus-Dienst in einer von Azure verwalteten Umgebung ausgeführt wird, erwägen Sie die Verwendung der Authentifizierung mit einer benutzerseitig zugewiesenen verwalteten Identität.

Erstellen Sie eine Entra-Anwendung, um Remoteschreibzugriff auf einen Azure Monitor-Arbeitsbereich mithilfe einer Microsoft Entra ID-Anwendung zu konfigurieren. Weisen Sie der Entra-Anwendung die Monitoring Metrics Publisher-Rolle in der Datensammlungsregel des Azure Monitor-Arbeitsbereichs zu.

Hinweis

Ihre Azure Entra-Anwendung verwendet einen geheimen Clientschlüssel oder ein Kennwort. Geheime Clientschlüssel haben ein Ablaufdatum. Stellen Sie sicher, dass Sie einen neuen geheimen Clientschlüssel erstellen, bevor er abläuft, damit Sie den authentifizierten Zugriff nicht verlieren

Eine Microsoft Entra ID-Anwendung erstellen

Informationen zum Erstellen einer Microsoft Entra ID-Anwendung mithilfe des Portals finden Sie unter Erstellen einer Microsoft Entra ID-Anwendung und eines Dienstprinzipals, die auf Ressourcen zugreifen können.

Wenn Sie Ihre Entra-Anwendung erstellt haben, rufen Sie die Client-ID ab, und generieren Sie einen geheimen Clientschlüssel.

1. Kopieren Sie in der Liste der Anwendungen den Wert für Anwendungs-ID (Client) für die registrierte Anwendung. Dieser Wert wird in der remote-write-Konfiguration von Prometheus als Wert für client_id verwendet.

   

2. Wählen Sie Zertifikate und Geheimnisse aus

3. Wählen Sie Geheime Clientschlüssel aus und dann Neuer geheimer Clientschlüssel, um eine neues Geheimnis zu erstellen

4. Geben Sie eine Beschreibung ein, legen Sie das Ablaufdatum fest, und wählen Sie Hinzufügen aus.

   

5. Notieren Sie sich den Wert des geheimen Schlüssels an einem sicheren Ort. Der Wert wird in der remote-write-Konfiguration von Prometheus als Wert für client_secret verwendet. Der Wert des geheimen Clientschlüssels ist nur sichtbar, wenn er erstellt wurde, und er kann später nicht abgerufen werden. Wenn er verloren geht, müssen Sie einen neuen geheimen Clientschlüssel erstellen.

   

Zuweisen der Rolle „Überwachen der Metriken-Herausgeber“ an die Anwendung

Weisen Sie der Anwendung die Monitoring Metrics Publisher-Rolle in der Datensammlungsregel des Arbeitsbereichs zu.

1. Wählen Sie auf der Übersicht im Azure Monitor-Arbeitsbereich den Link Datensammlungsregel aus.

   

2. Wählen Sie auf der Übersicht der Datensammlungsregel die Option Zugriffssteuerung (IAM)aus.

3. Wählen Sie Hinzufügen und dann Rollenzuweisung hinzufügen aus.

   

4. Wählen Sie die Rolle Herausgeber von Überwachungsmetriken und dann Weiter aus.

   

5. Wählen Sie Benutzer, Gruppe oder Dienstprinzipal und dann Mitglieder auswählen aus. Wählen Sie die erstellte Anwendung und dann Auswählen aus.

   

6. Wählen Sie Überprüfen + zuweisen aus, um die Rollenzuweisung abzuschließen.

BEFEHLSZEILENSCHNITTSTELLE (CLI)

Erstellen von benutzerseitig zugewiesenen Identitäten und Microsoft Entra ID-Apps mithilfe der CLI

Erstellen einer benutzerseitig zugewiesenen verwalteten Identität

Erstellen Sie mithilfe der folgenden Schritte eine benutzerseitig zugewiesene verwaltete Identität für remote-write:

1. Erstellen einer benutzerseitig zugewiesenen verwalteten Identität
2. Zuweisen der Monitoring Metrics Publisher-Rolle in der Datensammlungsregel des Arbeitsbereichs zur verwalteten Identität
3. Weisen Sie die verwaltete Identität einer VM oder einer VM-Skalierungsgruppe zu.

Notieren Sie sich den Wert der clientId der verwalteten Identität, die Sie erstellen. Diese ID wird in der remote-write-Konfiguration in Prometheus verwendet.

1. Erstellen Sie eine benutzerseitig zugewiesene verwaltete Identität mithilfe des folgenden CLI-Befehls:

   az account set \
   --subscription <subscription id>
   
   az identity create \
   --name <identity name> \
   --resource-group <resource group name>
   

   Im Folgenden sehen Sie ein Beispiel für die angezeigte Ausgabe:

   {
     "clientId": "abcdef01-a123-b456-d789-0123abc345de",
     "id": "/subscriptions/12345678-abcd-1234-abcd-1234567890ab/resourcegroups/rg-001/providers/Microsoft.ManagedIdentity/userAssignedIdentities/PromRemoteWriteIdentity",
     "location": "eastus",
     "name": "PromRemoteWriteIdentity",
     "principalId": "98765432-0123-abcd-9876-1a2b3c4d5e6f",
     "resourceGroup": "rg-001",
     "systemData": null,
     "tags": {},
     "tenantId": "ffff1234-aa01-02bb-03cc-0f9e8d7c6b5a",
     "type": "Microsoft.ManagedIdentity/userAssignedIdentities"
   }
   

2. Weisen Sie der verwalteten Identität die Rolle Monitoring Metrics Publisher in der Datensammlungsregel des Arbeitsbereichs zu.

   az role assignment create \
   --role "Monitoring Metrics Publisher" \
   --assignee <managed identity client ID> \
   --scope <data collection rule resource ID>
   

   Beispiel:

   az role assignment create \
   --role "Monitoring Metrics Publisher" \
   --assignee abcdef01-a123-b456-d789-0123abc345de \
   --scope /subscriptions/12345678-abcd-1234-abcd-1234567890ab/resourceGroups/MA_amw-001_eastus_managed/providers/Microsoft.Insights/dataCollectionRules/amw-001
   

3. Weisen Sie die verwaltete Identität einer VM oder einer VM-Skalierungsgruppe zu.

   Für Virtual Machines:

   az vm identity assign \
   -g <resource group name> \
   -n <virtual machine name> \
   --identities <user assigned identity resource ID>
   

   Für Virtual Machine Scale Sets:

   az vmss identity assign \
   -g <resource group name> \
   -n <VSS name> \
   --identities <user assigned identity resource ID>
   

   Beispiel für eine VM-Skalierungsgruppe:

   az vm identity assign \
   -g rg-prom-on-vm \
   -n win-vm-prom \
   --identities /subscriptions/12345678-abcd-1234-abcd-1234567890ab/resourcegroups/rg-001/providers/Microsoft.ManagedIdentity/userAssignedIdentities/PromRemoteWriteIdentity
   

Weitere Informationen finden Sie unter az identity create and az role assignment create.

Eine Microsoft Entra ID-Anwendung erstellen

Um eine Microsoft Entra ID-Anwendung mit der CLI zu erstellen und die Monitoring Metrics Publisher-Rolle zuzuweisen, führen Sie den folgenden Befehl aus:

az ad sp create-for-rbac --name <application name> \
--role "Monitoring Metrics Publisher" \
--scopes <azure monitor workspace data collection rule Id>

Beispiel:

az ad sp create-for-rbac \
--name PromRemoteWriteApp \
--role "Monitoring Metrics Publisher" \
--scopes /subscriptions/abcdef00-1234-5678-abcd-1234567890ab/resourceGroups/MA_amw-001_eastus_managed/providers/Microsoft.nsights/dataCollectionRules/amw-001

Im Folgenden sehen Sie ein Beispiel für die angezeigte Ausgabe:

{
  "appId": "01234567-abcd-ef01-2345-67890abcdef0",
  "displayName": "PromRemoteWriteApp",
  "password": "AbCDefgh1234578~zxcv.09875dslkhjKLHJHLKJ",
  "tenant": "abcdef00-1234-5687-abcd-1234567890ab"
}

Die Ausgabe enthält die appId- undpassword-Werte. Speichern Sie diese Werte, die in der remote-write-Konfiguration von Prometheus als Werte für client_id und client_secret verwendet werden sollten. Das Kennwort oder der geheime Clientschlüssel sind nur bei der Erstellung sichtbar und können später nicht abgerufen werden. Wenn sie verloren gehen, müssen Sie einen neuen geheimen Clientschlüssel erstellen.

Weitere Informationen finden Sie unter az ad app create and az ad sp create-for-rbac.

Konfigurieren des Remoteschreibzugriffs

Remote-write ist in der Prometheus-Konfigurationsdatei prometheus.yml konfiguriert.

Weitere Informationen zum Konfigurieren von remote-write finden Sie im Prometheus.io-Artikel: Konfiguration. Weitere Informationen zum Optimieren der remote-write-Konfiguration finden Sie unter remote-write-Optimierung.

Um Daten an Ihren Azure Monitor-Arbeitsbereich zu senden, fügen Sie den folgenden Abschnitt zur Konfigurationsdatei Ihrer selbstverwalteten Prometheus-Instanz hinzu.

remote_write:   
  - url: "<metrics ingestion endpoint for your Azure Monitor workspace>"
# AzureAD configuration.
# The Azure Cloud. Options are 'AzurePublic', 'AzureChina', or 'AzureGovernment'.
  azuread:
    cloud: 'AzurePublic'
    managed_identity:
      client_id: "<client-id of the managed identity>"
    oauth:
      client_id: "<client-id from the Entra app>"
      client_secret: "<client secret from the Entra app>"
      tenant_id: "<Azure subscription tenant Id>"

Der url-Parameter gibt den Endpunkt für die Erfassung von Metriken des Azure Monitor-Arbeitsbereichs an. Sie finden ihn auf der Übersicht Ihres Azure Monitor-Arbeitsbereichs im Azure-Portal.

Verwenden Sie je nach Ihrer Implementierung entweder managed_identity, oder oauth für Microsoft Entra ID-Anwendungsauthentifizierung. Entfernen Sie das Objekt, das Sie nicht verwenden.

Suchen Sie Ihre Client-ID für die verwaltete Identität mithilfe des folgenden Azure CLI-Befehls:

az identity list --resource-group <resource group name>

Weitere Informationen finden Sie unter az identity list.

Um Ihren Client für die Authentifizierung mit der verwalteten Identität im Portal zu finden, wechseln Sie zur Seite Verwaltete Identitäten im Azure-Portal, und wählen Sie den relevanten Identitätsnamen aus. Kopieren Sie den Wert der Client-ID auf der Seite Identitätsübersicht.

Um die Client-ID für die Microsoft Entra-ID-Anwendung zu finden, verwenden Sie die folgende CLI, oder sehen Sie sich den ersten Schritt im Abschnitt Erstellen einer Microsoft Entra ID-Anwendung mithilfe des Azure-Portals an.

$ az ad app list --display-name < application name>

Weitere Informationen finden Sie unter az add app list.

Hinweis

Starten Sie nach dem Bearbeiten der Konfigurationsdatei Prometheus neu, damit die Änderungen angewendet werden.

Überprüfen, ob remote-write-Daten fließen

Verwenden Sie die folgenden Methoden, um zu überprüfen, ob Prometheus-Daten an Ihren Azure Monitor-Arbeitsbereich gesendet werden.

Azure Monitor-Metriken-Explorer mit PromQL

Um zu überprüfen, ob die Metriken in den Azure Monitor-Arbeitsbereich fließen, wählen Sie in Ihrem Azure Monitor-Arbeitsbereich im Azure-Portal Metriken aus. Verwenden Sie den Metriken-Explorer, um die Metriken abzufragen, die Sie von der selbstverwalteten Prometheus-Umgebung erwarten. Weitere Informationen finden Sie im Metriken-Explorer.

Prometheus-Explorer im Azure Monitor-Arbeitsbereich

Der Prometheus-Explorer bietet eine bequeme Möglichkeit, mit Prometheus-Metriken in Ihrer Azure-Umgebung zu interagieren, wodurch Überwachung und Problembehandlung effizienter werden. Um den Prometheus-Explorer zu verwenden, wechseln Sie im Azure-Portal zum Azure Monitor-Arbeitsbereich, und wählen Sie Prometheus-Explorer aus, um die Metriken abzufragen, die Sie von der selbstverwalteten Prometheus-Umgebung erwarten. Weitere Informationen finden Sie unter Prometheus-Explorer.

Grafana

Verwenden Sie PromQL-Abfragen in Grafana, um zu überprüfen, ob die Ergebnisse die erwarteten Daten zurückgeben. Weitere Informationen zum Konfigurieren von Grafana finden Sie unter Grafana-Einrichtung mit verwalteter Prometheus-Instanz.

Problembehandlung beim Remoteschreibzugriff

Wenn Remotedaten in Ihrem Azure Monitor-Arbeitsbereich nicht angezeigt werden, lesen Sie Problembehandlung für remote-write für häufige Probleme und Lösungen.

Nächste Schritte

• Weitere Informationen zum verwalteten Azure Monitor-Dienst für Prometheus
• Weitere Informationen zum Sidecar des Azure Monitor-Reverseproxys für den Remoteschreibzugriff von auf Kubernetes ausgeführtem selbstverwalteten Prometheus