Enviar métricas de Prometheus desde máquinas virtuales a un área de trabajo de Azure Monitor

Prometheus no se limita a la supervisión de clústeres Kubernetes. Utilice Prometheus para supervisar las aplicaciones y los servicios que se ejecutan en sus servidores, dondequiera que se estén ejecutando. Por ejemplo, puede supervisar las aplicaciones que se ejecutan en máquinas virtuales, Virtual Machine Scale Sets o incluso servidores locales. Instale Prometheus en sus servidores y configure la escritura remota para enviar métricas a un área de trabajo de Azure Monitor.

En este artículo se explica cómo configurar la escritura remota para enviar datos desde una instancia de Prometheus auto administrad a un área de trabajo de Azure Monitor.

Opciones de escritura remota

Prometheus auto administrado puede ejecutarse en entornos Azure y no Azure. A continuación se indican las opciones de autenticación para la escritura remota en el área de trabajo de Azure Monitor en función del entorno en el que se ejecuta Prometheus.

Máquinas virtuales administradas por Azure y Virtual Machine Scale Sets

Utilice la autenticación de identidad administrada asignada por el usuario para los servicios que ejecutan Prometheus auto administrados en un entorno Azure. Los servicios administrados de Azure incluyen:

• Azure Virtual Machines
• Azure Virtual Machine Scale Sets
• Máquinas virtuales habilitadas para Azure Arc

Para configurar la escritura remota para los recursos administrados de Azure, consulte Escritura remota mediante la identidad administrada asignada por el usuario.

Máquinas virtuales que se ejecutan en entornos que no son de Azure.

La incorporación a los servicios habilitados para Azure Arc le permite administrar y configurar máquinas virtuales que no son de Azure en Azure. Una vez incorporado, configure la Escritura remota utilizando la autenticación de identidad gestionada asignada por el usuario. Para obtener más información sobre la incorporación de máquinas virtuales a servidores habilitados para Azure Arc, consulte Servidores habilitados para Azure Arc.

Si tiene máquinas virtuales en entornos que no son de Azure y no desea integrarlas en Azure Arc, instale Prometheus auto administrado y configure la escritura remota mediante la autenticación de aplicaciones Entra ID de Microsoft. Para obtener más información, consulte Escritura remota mediante la autenticación de aplicaciones Microsoft Entra ID.

Requisitos previos

Versiones compatibles

• Se requieren versiones de Prometheus superiores a la v2.45 para la autenticación de identidad administrada.
• Se requieren versiones de Prometheus superiores a la v2.48 para la autenticación de aplicaciones Microsoft Entra ID.

Área de trabajo de Azure Monitor

En este artículo se describe el envío de métricas de Prometheus a un área de trabajo de Azure Monitor. Para crear un área de trabajo de Azure Monitor, consulte Administrar un área de trabajo de Azure Monitor.

Permisos

Se requieren permisos de administrador para el clúster o recurso para completar los pasos de este artículo.

Configurar la autenticación para la escritura remota

En función del entorno en el que se ejecute Prometheus, puede configurar la escritura remota para que utilice la identidad administrada asignada por el usuario o la autenticación de aplicaciones de Microsoft Entra ID para enviar datos al área de trabajo de Azure Monitor.

Utilice el portal de Azure o la CLI para crear una identidad administrada asignada al usuario o una aplicación Microsoft Entra ID.

Escritura remota mediante identidad administrada asignada por el usuario

Escritura remota mediante autenticación de identidad administrada asignada por el usuario

Para configurar una identidad administrada asignada por el usuario para la escritura remota en el área de trabajo de Azure Monitor, siga estos pasos.

Crear una identidad administrada asignada por el usuario

Para crear una identidad administrada por el usuario para utilizarla en la configuración de escritura remota, consulte Administración de identidades administradas asignadas por el usuario.

Compruebe el valor de clientId de la identidad administrada que ha creado. Este Id. se utiliza en la configuración de escritura remota de Prometheus.

Asigne a la aplicación la función Editor de métricas de supervisión

Asigne el rol Monitoring Metrics Publisher de la regla de recopilación de datos del área de trabajo a la identidad administrada.

1. En la página Información general del área de trabajo de Azure Monitor, seleccione el vínculo Regla de recopilación de datos.

   

2. En la página de reglas de recopilación de datos, seleccione Control de acceso (IAM).

3. Seleccione Agregar, y Agregar asignación de roles.

4. Busque y seleccione Editor de métricas de seguimiento, y luego seleccione Siguiente.

5. Seleccione Identidad administrada.

6. Elija Seleccionar miembros.

7. En el menú desplegable Entidad administrada, Identidad administrada asignada por el usuario.

8. Seleccione la identidad asignada al usuario que desea utilizar, y luego haga clic en Seleccionar.

9. Seleccione Revisar y asignar para completar la asignación de roles.

   

Asigne la identidad administrada a una máquina virtual o a un conjunto de escalado de máquinas virtuales.

Importante

Para completar los pasos de esta sección, debe tener permisos de propietario o administrador de acceso de usuario para la máquina virtual o el conjunto de escalas de Virtual MAchine.

1. En el portal de Azure, vaya a la página del clúster, de la máquina virtual o del conjunto de escalado de la máquina virtual.

2. Seleccione Identidad.

3. Seleccione el Usuario asignado.

4. Seleccione Agregar.

5. Seleccione la identidad administrada asignada al usuario que ha creado y, a continuación, seleccione Agregar.

   

Aplicación Microsoft Entra ID

Escritura remota mediante la autenticación de aplicaciones Entra ID de Microsoft

Para configurar la Escritura remota en el área de trabajo Azure Monitor utilizando una aplicación Microsoft Entra ID, cree una aplicación Entra y asígnele el ro l Monitoring Metrics Publisher en la regla de recolección de datos del área de trabajo a la aplicación.

Nota:

Su aplicación Azure Entra utiliza un secreto de cliente o contraseña. Los secretos de cliente tienen una fecha de expiración. Asegúrese de crear un nuevo secreto de cliente antes de que caduque para no perder el acceso autenticado

Crear una aplicación de Microsoft Entra ID

Para crear una aplicación Microsoft Entra ID utilizando el portal, consulte Crear una aplicación Microsoft Entra ID y un servicio principal que pueda acceder a los recursos.

Cuando haya creado su aplicación Entra, obtenga el ID de cliente y genere un secreto de cliente.

1. En la lista de aplicaciones, copie el valor de Id. de aplicación (cliente) para la aplicación registrada. Este valor se utiliza en la configuración de escritura remota de Prometheus como valor para client_id.

   

2. Seleccione Certificados y secretos

3. Seleccione Secretos de cliente y seleccione Nuevo secreto de cliente para crear un nuevo secreto

4. Escriba una descripción, fije la fecha de caducidad y seleccione Agregar.

   

5. Copie el valor del secreto de forma segura. El valor se utiliza en la configuración de escritura remota de Prometheus como valor para client_secret. El valor secreto del cliente solo es visible cuando se crea y no puede recuperarse posteriormente. Si se pierde, debe crear un nuevo secreto de cliente.

   

Asigne a la aplicación la función Editor de métricas de supervisión

Asigne el rol Monitoring Metrics Publisher en la regla de recopilación de datos del área de trabajo a la aplicación.

1. En el área de trabajo de Azure Monitor, página de resumen, seleccione el vínculo Regla de recolección de datos.

   

2. En la página de resumen de reglas de recolección de datos, seleccione Control de acceso (IAM).

3. Seleccione Agregar y, después, Agregar asignación de roles.

   

4. Seleccione el rol Publicador de métricas de supervisión y, a continuación, seleccione Siguiente.

   

5. Seleccione Usuario, grupo o entidad de servicio y, después, escoja Seleccionar miembros. Seleccione la aplicación que creó y, después, elija Seleccionar.

   

6. Para completar la asignación de roles, seleccione Revisar y asignar.

CLI

Creación de identidades asignadas a usuarios y aplicaciones Microsoft Entra ID mediante CLI

Crear una identidad administrada asignada por el usuario

Cree una identidad administrada asignada por el usuario para la escritura remota siguiendo estos pasos:

1. Crear una identidad administrada asignada por el usuario
2. Asigne el rol Monitoring Metrics Publisher de la regla de recopilación de datos del área de trabajo a la identidad administrada
3. Asigne la identidad administrada a una máquina virtual o a un conjunto de escalado de máquinas virtuales.

Tome nota del valor de clientId de la identidad administrada que cree. Este Id. se utiliza en la configuración de escritura remota de Prometheus.

1. Cree una identidad administrada asignada por el usuario mediante el siguiente comando de la CLI:

   az account set \
   --subscription <subscription id>
   
   az identity create \
   --name <identity name> \
   --resource-group <resource group name>
   

   A continuación se muestra un ejemplo de la salida mostrada:

   {
     "clientId": "abcdef01-a123-b456-d789-0123abc345de",
     "id": "/subscriptions/12345678-abcd-1234-abcd-1234567890ab/resourcegroups/rg-001/providers/Microsoft.ManagedIdentity/userAssignedIdentities/PromRemoteWriteIdentity",
     "location": "eastus",
     "name": "PromRemoteWriteIdentity",
     "principalId": "98765432-0123-abcd-9876-1a2b3c4d5e6f",
     "resourceGroup": "rg-001",
     "systemData": null,
     "tags": {},
     "tenantId": "ffff1234-aa01-02bb-03cc-0f9e8d7c6b5a",
     "type": "Microsoft.ManagedIdentity/userAssignedIdentities"
   }
   

2. Asigne el rol Monitoring Metrics Publisher de la regla de recopilación de datos del área de trabajo a la identidad administrada.

   az role assignment create \
   --role "Monitoring Metrics Publisher" \
   --assignee <managed identity client ID> \
   --scope <data collection rule resource ID>
   

   Por ejemplo,

   az role assignment create \
   --role "Monitoring Metrics Publisher" \
   --assignee abcdef01-a123-b456-d789-0123abc345de \
   --scope /subscriptions/12345678-abcd-1234-abcd-1234567890ab/resourceGroups/MA_amw-001_eastus_managed/providers/Microsoft.Insights/dataCollectionRules/amw-001
   

3. Asigne la identidad administrada a una máquina virtual o a un conjunto de escalado de máquinas virtuales.

   Para Virtual Machines:

   az vm identity assign \
   -g <resource group name> \
   -n <virtual machine name> \
   --identities <user assigned identity resource ID>
   

   Para Virtual Machine Scale Sets:

   az vmss identity assign \
   -g <resource group name> \
   -n <VSS name> \
   --identities <user assigned identity resource ID>
   

   Por ejemplo, para un conjunto de escalas de máquinas virtuales:

   az vm identity assign \
   -g rg-prom-on-vm \
   -n win-vm-prom \
   --identities /subscriptions/12345678-abcd-1234-abcd-1234567890ab/resourcegroups/rg-001/providers/Microsoft.ManagedIdentity/userAssignedIdentities/PromRemoteWriteIdentity
   

Para obtener más información, consulte creación de identidad az y creación de asignación de funciones az.

Crear una aplicación de Microsoft Entra ID

Para crear una aplicación Microsoft Entra ID utilizando CLI, y asignar el rol Monitoring Metrics Publisher, ejecute el siguiente comando:

az ad sp create-for-rbac --name <application name> \
--role "Monitoring Metrics Publisher" \
--scopes <azure monitor workspace data collection rule Id>

Por ejemplo,

az ad sp create-for-rbac \
--name PromRemoteWriteApp \
--role "Monitoring Metrics Publisher" \
--scopes /subscriptions/abcdef00-1234-5678-abcd-1234567890ab/resourceGroups/MA_amw-001_eastus_managed/providers/Microsoft.nsights/dataCollectionRules/amw-001

A continuación se muestra un ejemplo de la salida mostrada:

{
  "appId": "01234567-abcd-ef01-2345-67890abcdef0",
  "displayName": "PromRemoteWriteApp",
  "password": "AbCDefgh1234578~zxcv.09875dslkhjKLHJHLKJ",
  "tenant": "abcdef00-1234-5687-abcd-1234567890ab"
}

La salida contiene los valores appId y password. Guarde estos valores para utilizarlos en la configuración de escritura remota de Prometheus como valores para client_id y client_secret El valor de contraseña o secreto de cliente solo es visible cuando se crea y no puede recuperarse posteriormente. Si se pierde, debe crear un nuevo secreto de cliente.

Para obtener más información, consulte creación de az ad app y creación de az ad sp para rbac.

Configuración de escritura remota

La escritura remota se configura en el archivo de configuración de Prometheus prometheus.yml.

Para obtener más información sobre la configuración de la escritura remota, consulte el artículo de Prometheus.io: Configuración. Para obtener más información sobre el ajuste de la configuración de escritura remota, consulte Ajuste de escritura remota.

Para enviar datos a su área de trabajo de Azure Monitor, agregue la siguiente sección al archivo de configuración de su instancia auto administrada de Prometheus.

remote_write:   
  - url: "<metrics ingestion endpoint for your Azure Monitor workspace>"
# AzureAD configuration.
# The Azure Cloud. Options are 'AzurePublic', 'AzureChina', or 'AzureGovernment'.
  azuread:
    cloud: 'AzurePublic'
    managed_identity:
      client_id: "<client-id of the managed identity>"
    oauth:
      client_id: "<client-id from the Entra app>"
      client_secret: "<client secret from the Entra app>"
      tenant_id: "<Azure subscription tenant Id>"

El parámetro url especifica el punto de conexión de ingesta de métricas del área de trabajo de Azure Monitor. Se puede encontrar en la página Información general de su área de trabajo de Azure Monitor en el portal de Azure.

Utilice el managed_identity, o oauth para la autenticación de aplicaciones Microsoft Entra ID, dependiendo de su implementación. Retire el objeto que no esté utilizando.

Busque su Id. de cliente para la identidad administrada mediante el siguiente comando de la CLI de Azure:

az identity list --resource-group <resource group name>

Para obtener más información, consulte la lista de identidades az.

Para encontrar su cliente para la autenticación de identidades administradas en el portal, vaya a la página Identidades administradas en el portal de Azure y seleccione el nombre de la identidad correspondiente. Copie el valor del Id. de cliente de la página de Información general de identidades.

Para encontrar el Id. de cliente para la aplicación Microsoft Entra ID, utilice la siguiente CLI o consulte el primer paso en la sección Crear una aplicación Microsoft Entra ID utilizando el portal Azure.

$ az ad app list --display-name < application name>

Para obtener más información, consulte la lista de aplicaciones az ad

Nota:

Tras editar el archivo de configuración, reinicie Prometheus para que se apliquen los cambios.

Comprobar que los datos de escritura remota fluyen

Use los métodos siguientes para comprobar que los datos de Prometheus se envían al área de trabajo de Azure Monitor.

Explorador de métricas de Azure Monitor con PromQL

Para comprobar si las métricas fluyen al área de trabajo de Azure Monitor, desde el área de trabajo de Azure Monitor en Azure Portal, seleccione Métricas. Use el explorador de métricas para consultar las métricas que espera del entorno de Prometheus auto administrado. Para obtener más información, consulte Explorador de métricas.

Explorador de Prometheus en el área de trabajo de Azure Monitor

Prometheus Explorer proporciona una manera cómoda de interactuar con las métricas de Prometheus en su entorno de Azure, lo que hace que la supervisión y la solución de problemas sean más eficaces. Para utilizar el explorador de Prometheus, vaya a su área de trabajo de Azure Monitor en el portal de Azure y seleccione Prometheus Explorer para consultar las métricas que espera del entorno auto administrado de Prometheus. Para obtener más información, consulte Prometheus Explorer.

Grafana

Utilice las consultas PromQL en Grafana para verificar que los resultados devuelven los datos esperados. Vea configuración de Grafana con Managed Prometheus para configurar Grafana.

Solución de problemas de la escritura remota

Si los datos remotos no aparecen en el área de trabajo de Azure Monitor, consulte Solución de problemas de escritura remota para conocer los problemas más comunes y sus soluciones.

Pasos siguientes

• Más información sobre el servicio administrado de Azure Monitor para Prometheus.
• Obtenga más información sobre el coche lateral del proxy inverso de Azure Monitor para la escritura remota desde Prometheus autoadministrado que se ejecuta en Kubernetes