Envío de métricas de Prometheus desde máquinas virtuales, conjuntos de escalado o clústeres de Kubernetes a un área de trabajo de Azure Monitor

Prometheus no se limita a la supervisión de clústeres Kubernetes. Utilice Prometheus para supervisar las aplicaciones y los servicios que se ejecutan en sus servidores, dondequiera que se estén ejecutando. Por ejemplo, puede supervisar las aplicaciones que se ejecutan en máquinas virtuales, Virtual Machine Scale Sets o incluso servidores locales. También puede enviar métricas de Prometheus a un área de trabajo de Azure Monitor desde el clúster autoadministrado y el servidor de Prometheus. Instale Prometheus en sus servidores y configure la escritura remota para enviar métricas a un área de trabajo de Azure Monitor.

En este artículo se explica cómo configurar la escritura remota para enviar datos desde una instancia de Prometheus auto administrad a un área de trabajo de Azure Monitor.

Opciones de escritura remota

Prometheus auto administrado puede ejecutarse en entornos Azure y no Azure. A continuación se indican las opciones de autenticación para la escritura remota en el área de trabajo de Azure Monitor en función del entorno en el que se ejecuta Prometheus.

Máquinas virtuales administradas por Azure, Virtual Machine Scale Sets y clústeres de Kubernetes

Utilice la autenticación de identidad administrada asignada por el usuario para los servicios que ejecutan Prometheus auto administrados en un entorno Azure. Los servicios administrados de Azure incluyen:

• Azure Virtual Machines
• Azure Virtual Machine Scale Sets
• Azure Kubernetes Service (AKS)

Para configurar la escritura remota para los recursos administrados de Azure, consulte Escritura remota mediante la identidad administrada asignada por el usuario.

Máquinas virtuales y clústeres de Kubernetes que se ejecutan en entornos que no son de Azure

Si tiene máquinas virtuales o un clúster de Kubernetes en entornos que no son de Azure o se ha incorporado a Azure Arc, instale Prometheus con administración automática y configure la escritura remota mediante la autenticación de aplicaciones de Microsoft Entra ID. Para obtener más información, consulte Escritura remota mediante la autenticación de aplicaciones Microsoft Entra ID.

La incorporación a los servicios habilitados para Azure Arc le permite administrar y configurar máquinas virtuales que no son de Azure en Azure. Para obtener más información sobre la incorporación de máquinas virtuales a servidores habilitados para Azure Arc, consulte Servidores habilitados para Azure Arc y Kubernetes habilitado para Azure Arc. Los servicios habilitados para Arc solo admiten la autenticación de Microsoft Entra ID.

Nota:

La identidad administrada asignada por el sistema no es compatible con la escritura remota en áreas de trabajo de Azure Monitor. Use la identidad administrada asignada por el usuario o la autenticación de la aplicación Microsoft Entra ID.

Requisitos previos

Versiones compatibles

• Las versiones de Prometheus mayores que v2.45 son necesarias para la autenticación de identidad administrada.
• Se requieren versiones de Prometheus superiores a la v2.48 para la autenticación de aplicaciones Microsoft Entra ID.

Área de trabajo de Azure Monitor

En este artículo se describe el envío de métricas de Prometheus a un área de trabajo de Azure Monitor. Para crear un área de trabajo de Azure Monitor, consulte Administrar un área de trabajo de Azure Monitor.

Permisos

Se requieren permisos de administrador para el clúster o recurso para completar los pasos de este artículo.

Configurar la autenticación para la escritura remota

En función del entorno en el que se ejecute Prometheus, puede configurar la escritura remota para que utilice la identidad administrada asignada por el usuario o la autenticación de aplicaciones de Microsoft Entra ID para enviar datos al área de trabajo de Azure Monitor.

Utilice el portal de Azure o la CLI para crear una identidad administrada asignada al usuario o una aplicación Microsoft Entra ID.

Escritura remota mediante identidad administrada asignada por el usuario

Escritura remota mediante autenticación de identidad administrada asignada por el usuario

La autenticación de identidad administrada asignada por el usuario se puede usar en cualquier entorno administrado por Azure. Si el servicio Prometheus se ejecuta en un entorno que no es de Azure, puede usar la autenticación de la aplicación Microsoft Entra ID.

Para configurar una identidad administrada asignada por el usuario para la escritura remota en el área de trabajo de Azure Monitor, siga estos pasos.

Crear una identidad administrada asignada por el usuario

Para crear una identidad administrada por el usuario para utilizarla en la configuración de escritura remota, consulte Administración de identidades administradas asignadas por el usuario.

Compruebe el valor de clientId de la identidad administrada que ha creado. Este Id. se utiliza en la configuración de escritura remota de Prometheus.

Asigne a la aplicación la función Editor de métricas de supervisión

En la regla de recopilación de datos del área de trabajo, asigne el rol Monitoring Metrics Publisher a la identidad administrada.

1. En la página Información general del área de trabajo de Azure Monitor, seleccione el vínculo Regla de recopilación de datos.

   

2. En la página de reglas de recopilación de datos, seleccione Control de acceso (IAM).

3. Seleccione Agregar, y Agregar asignación de roles.

4. Busque y seleccione Editor de métricas de seguimiento, y luego seleccione Siguiente.

5. Seleccione Identidad administrada.

6. Elija Seleccionar miembros.

7. En el menú desplegable Entidad administrada, Identidad administrada asignada por el usuario.

8. Seleccione la identidad asignada al usuario que desea utilizar, y luego haga clic en Seleccionar.

9. Seleccione Revisar y asignar para completar la asignación de roles.

   

Asignación de la identidad administrada a una máquina virtual o a un Virtual Machine Scale Set

Importante

Para completar los pasos de esta sección, debe tener permisos de propietario o administrador de acceso de usuario para la máquina virtual o el conjunto de escalado de máquinas virtuales.

1. En el portal de Azure, vaya a la página del clúster, de la máquina virtual o del conjunto de escalado de la máquina virtual.

2. Seleccione Identidad.

3. Seleccione el Usuario asignado.

4. Seleccione Agregar.

5. Seleccione la identidad administrada asignada al usuario que ha creado y, a continuación, seleccione Agregar.

   

Asignación de la identidad administrada para una instancia de Azure Kubernetes Service

Para los servicios de Azure Kubernetes (AKS), la identidad administrada debe asignarse a los Virtual Machine Scale Sets.

AKS crea un grupo de recursos que contiene los Virtual Machine Scale Sets. El nombre del grupo de recursos tiene el formato MC_<resource group name>_<AKS cluster name>_<region>. Para cada Virtual Machine Scale Set del grupo de recursos, asigne la identidad administrada según los pasos descritos en la sección anterior Asignación de la identidad administrada a una máquina virtual o a un Virtual Machine Scale Set.

Aplicación Microsoft Entra ID

Escritura remota mediante la autenticación de aplicaciones Entra ID de Microsoft

La autenticación de la aplicación Microsoft Entra ID se puede usar en cualquier entorno. Si el servicio Prometheus se ejecuta en un entorno administrado de Azure, considere la posibilidad de usar la autenticación de identidad administrada asignada por el usuario.

Para configurar la escritura remota en el área de trabajo de Azure Monitor mediante una aplicación de Microsoft Entra ID, cree una aplicación Microsoft Entra. En la regla de recopilación de datos del área de trabajo de Azure Monitor, asigne el rol Monitoring Metrics Publisher a la aplicación Microsoft Entra.

Nota:

Su aplicación Microsoft Entra utiliza un secreto de cliente o contraseña. Los secretos de cliente tienen una fecha de expiración. Asegúrese de crear un nuevo secreto de cliente antes de que caduque para no perder el acceso autenticado.

Crear una aplicación de Microsoft Entra ID

Para crear una aplicación Microsoft Entra ID utilizando el portal, consulte Crear una aplicación Microsoft Entra ID y un servicio principal que pueda acceder a los recursos.

Cuando haya creado su aplicación Microsoft Entra, obtenga el identificador de cliente y genere un secreto de cliente.

1. En la lista de aplicaciones, copie el valor de Id. de aplicación (cliente) para la aplicación registrada. Este valor se utiliza en la configuración de escritura remota de Prometheus como valor para client_id.

   

2. Seleccione Certificados y secretos

3. Seleccione Secretos de cliente y seleccione Nuevo secreto de cliente para crear un nuevo secreto

4. Escriba una descripción, fije la fecha de caducidad y seleccione Agregar.

   

5. Copie el valor del secreto de forma segura. El valor se utiliza en la configuración de escritura remota de Prometheus como valor para client_secret. El valor secreto del cliente solo es visible cuando se crea y no puede recuperarse posteriormente. Si se pierde, debe crear un nuevo secreto de cliente.

   

Asigne a la aplicación la función Editor de métricas de supervisión

Asigne el rol Monitoring Metrics Publisher en la regla de recopilación de datos del área de trabajo a la aplicación.

1. En el área de trabajo de Azure Monitor, página de resumen, seleccione el vínculo Regla de recolección de datos.

   

2. En la página de resumen de reglas de recolección de datos, seleccione Control de acceso (IAM).

3. Seleccione Agregar y, después, Agregar asignación de roles.

   

4. Seleccione el rol Publicador de métricas de supervisión y, a continuación, seleccione Siguiente.

   

5. Seleccione Usuario, grupo o entidad de servicio y, después, escoja Seleccionar miembros. Seleccione la aplicación que creó y, después, elija Seleccionar.

   

6. Para completar la asignación de roles, seleccione Revisar y asignar.

CLI

Creación de identidades asignadas a usuarios y aplicaciones Microsoft Entra ID mediante CLI

Crear una identidad administrada asignada por el usuario

Cree una identidad administrada asignada por el usuario para la escritura remota siguiendo estos pasos:

1. Crear una identidad administrada asignada por el usuario
2. Asigne el rol Monitoring Metrics Publisher de la regla de recopilación de datos del área de trabajo a la identidad administrada
3. Asigne la identidad administrada a una máquina virtual o a un conjunto de escalado de máquinas virtuales.

Tome nota del valor de clientId de la identidad administrada que cree. Este Id. se utiliza en la configuración de escritura remota de Prometheus.

1. Cree una identidad administrada asignada por el usuario mediante el siguiente comando de la CLI:

   az account set \
   --subscription <subscription id>
   
   az identity create \
   --name <identity name> \
   --resource-group <resource group name>
   

   A continuación se muestra un ejemplo de la salida mostrada:

   {
     "clientId": "00001111-aaaa-2222-bbbb-3333cccc4444",
     "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/rg-001/providers/Microsoft.ManagedIdentity/userAssignedIdentities/PromRemoteWriteIdentity",
     "location": "eastus",
     "name": "PromRemoteWriteIdentity",
     "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
     "resourceGroup": "rg-001",
     "systemData": null,
     "tags": {},
     "tenantId": "ffff5f5f-aa6a-bb7b-cc8c-dddddd9d9d9d",
     "type": "Microsoft.ManagedIdentity/userAssignedIdentities"
   }
   

2. Asigne el rol Monitoring Metrics Publisher de la regla de recopilación de datos del área de trabajo a la identidad administrada.

   az role assignment create \
   --role "Monitoring Metrics Publisher" \
   --assignee <managed identity client ID> \
   --scope <data collection rule resource ID>
   

   Por ejemplo,

   az role assignment create \
   --role "Monitoring Metrics Publisher" \
   --assignee 00001111-aaaa-2222-bbbb-3333cccc4444 \
   --scope /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/MA_amw-001_eastus_managed/providers/Microsoft.Insights/dataCollectionRules/amw-001
   

3. Asigne la identidad administrada a una máquina virtual o a un conjunto de escalado de máquinas virtuales.

   Para Virtual Machines:

   az vm identity assign \
   -g <resource group name> \
   -n <virtual machine name> \
   --identities <user assigned identity resource ID>
   

   Para Virtual Machine Scale Sets:

   az vmss identity assign \
   -g <resource group name> \
   -n <VSS name> \
   --identities <user assigned identity resource ID>
   

   Por ejemplo, para un conjunto de escalas de máquinas virtuales:

   az vm identity assign \
   -g rg-prom-on-vm \
   -n win-vm-prom \
   --identities /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/rg-001/providers/Microsoft.ManagedIdentity/userAssignedIdentities/PromRemoteWriteIdentity
   

Para obtener más información, consulte creación de identidad az y creación de asignación de funciones az.

Crear una aplicación de Microsoft Entra ID

Para crear una aplicación Microsoft Entra ID utilizando CLI, y asignar el rol Monitoring Metrics Publisher, ejecute el siguiente comando:

az ad sp create-for-rbac --name <application name> \
--role "Monitoring Metrics Publisher" \
--scopes <azure monitor workspace data collection rule Id>

Por ejemplo,

az ad sp create-for-rbac \
--name PromRemoteWriteApp \
--role "Monitoring Metrics Publisher" \
--scopes /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/MA_amw-001_eastus_managed/providers/Microsoft.nsights/dataCollectionRules/amw-001

A continuación se muestra un ejemplo de la salida mostrada:

{
  "appId": "66667777-aaaa-8888-bbbb-9999cccc0000",
  "displayName": "PromRemoteWriteApp",
  "password": "Aa1Bb~2Cc3.-Dd4Ee5Ff6Gg7Hh8Ii9_Jj0Kk1Ll2",
  "tenant": "ffff5f5f-aa6a-bb7b-cc8c-dddddd9d9d9d"
}

La salida contiene los valores appId y password. Guarde estos valores para utilizarlos en la configuración de escritura remota de Prometheus como valores para client_id y client_secret El valor de contraseña o secreto de cliente solo es visible cuando se crea y no puede recuperarse posteriormente. Si se pierde, debe crear un nuevo secreto de cliente.

Para obtener más información, consulte creación de az ad app y creación de az ad sp para rbac.

Configuración de escritura remota

La escritura remota se configura en el archivo de configuración de Prometheus prometheus.yml o en el operador Prometheus.

Para obtener más información sobre la configuración de la escritura remota, consulte el artículo de Prometheus.io: Configuración. Para obtener más información sobre el ajuste de la configuración de escritura remota, consulte Ajuste de escritura remota.

Configuración de la escritura remota para Prometheus que se ejecuta en máquinas virtuales

Para enviar datos a su área de trabajo de Azure Monitor, agregue la siguiente sección al archivo de configuración (prometheus.yml) de su instancia autoadministrada de Prometheus.

remote_write:   
  - url: "<metrics ingestion endpoint for your Azure Monitor workspace>"
# AzureAD configuration.
# The Azure Cloud. Options are 'AzurePublic', 'AzureChina', or 'AzureGovernment'.
    azuread:
      cloud: 'AzurePublic'
      managed_identity:
        client_id: "<client-id of the managed identity>"
      oauth:
        client_id: "<client-id from the Entra app>"
        client_secret: "<client secret from the Entra app>"
        tenant_id: "<Azure subscription tenant Id>"

Configuración de la escritura remota para el operador Kubernetes para Prometheus

Operador Prometheus

Si está en un clúster de Kubernetes que ejecuta el operador Prometheus, siga estos pasos para enviar datos al área de trabajo de Azure Monitor.

1. Si usa la autenticación de Microsoft Entra ID, convierta el secreto mediante codificación base64 y aplique el secreto en el clúster de Kubernetes. Guarde lo siguiente en un archivo YAML. Omita este paso si usa la autenticación de identidad administrada.

apiVersion: v1
kind: Secret
metadata:
  name: remote-write-secret
  namespace: monitoring # Replace with namespace where Prometheus Operator is deployed. 
type: Opaque
data:
  password: <base64-encoded-secret>

Aplique el secreto.

# set context to your cluster 
az aks get-credentials -g <aks-rg-name> -n <aks-cluster-name> 

kubectl apply -f <remote-write-secret.yaml>

2. Actualice los valores de la sección de escritura remota en el operador Prometheus. Copie el siguiente YAML y guárdelo como un archivo. Consulte la documentación del operador Prometheus para obtener más información sobre la especificación de escritura remota del área de trabajo de Azure Monitor en el operador Prometheus.

prometheus:
  prometheusSpec:
    remoteWrite:
    - url: "<metrics ingestion endpoint for your Azure Monitor workspace>"
      azureAd:
# AzureAD configuration.
# The Azure Cloud. Options are 'AzurePublic', 'AzureChina', or 'AzureGovernment'.
        cloud: 'AzurePublic'
        managedIdentity:
          clientId: "<clientId of the managed identity>"
        oauth:
          clientId: "<clientId of the Entra app>"
          clientSecret:
            name: remote-write-secret
            key: password
          tenantId: "<Azure subscription tenant Id>"

3. Use Helm para actualizar la configuración de escritura remota mediante el archivo YAML anterior.

helm upgrade -f <YAML-FILENAME>.yml prometheus prometheus-community/kube-prometheus-stack --namespace <namespace where Prometheus Operator is deployed>

El parámetro url especifica el punto de conexión de ingesta de métricas del área de trabajo de Azure Monitor. Se puede encontrar en la página Información general de su área de trabajo de Azure Monitor en el portal de Azure.

Utilice el managed_identity, o oauth para la autenticación de aplicaciones Microsoft Entra ID, dependiendo de su implementación. Retire el objeto que no esté utilizando.

Busque su Id. de cliente para la identidad administrada mediante el siguiente comando de la CLI de Azure:

az identity list --resource-group <resource group name>

Para obtener más información, consulte la lista de identidades az.

Para encontrar su cliente para la autenticación de identidades administradas en el portal, vaya a la página Identidades administradas en el portal de Azure y seleccione el nombre de la identidad correspondiente. Copie el valor del Id. de cliente de la página de Información general de identidades.

Para buscar el identificador de cliente de la aplicación Microsoft Entra ID, use la CLI siguiente o vea el primer paso en la sección Creación de una aplicación Microsoft Entra ID mediante Azure Portal.

$ az ad app list --display-name < application name>

Para obtener más información, consulte la lista de aplicaciones az ad

Nota:

Tras editar el archivo de configuración, reinicie Prometheus para que se apliquen los cambios.

Comprobar que los datos de escritura remota fluyen

Use los métodos siguientes para comprobar que los datos de Prometheus se envían al área de trabajo de Azure Monitor.

Explorador de métricas de Azure Monitor con PromQL

Para comprobar si las métricas fluyen al área de trabajo de Azure Monitor, desde el área de trabajo de Azure Monitor en Azure Portal, seleccione Métricas. Use el explorador de métricas para consultar las métricas que espera del entorno de Prometheus auto administrado. Para obtener más información, consulte Explorador de métricas.

Explorador de Prometheus en el área de trabajo de Azure Monitor

Prometheus Explorer proporciona una manera cómoda de interactuar con las métricas de Prometheus en su entorno de Azure, lo que hace que la supervisión y la solución de problemas sean más eficaces. Para utilizar el explorador de Prometheus, vaya a su área de trabajo de Azure Monitor en el portal de Azure y seleccione Prometheus Explorer para consultar las métricas que espera del entorno auto administrado de Prometheus. Para obtener más información, consulte Prometheus Explorer.

Grafana

Utilice las consultas PromQL en Grafana para verificar que los resultados devuelven los datos esperados. Para configurar Grafana, consulte Configuración de Grafana con Prometheus administrado

Solución de problemas de la escritura remota

Si los datos remotos no aparecen en el área de trabajo de Azure Monitor, consulte Solución de problemas de escritura remota para conocer los problemas más comunes y sus soluciones.

Pasos siguientes

• Más información sobre el servicio administrado de Azure Monitor para Prometheus.
• Obtenga más información sobre el coche lateral del proxy inverso de Azure Monitor para la escritura remota desde Prometheus autoadministrado que se ejecuta en Kubernetes