Envoyer des métriques Prometheus de machines virtuelles à un espace de travail Azure Monitor

Prometheus n'est pas limité à l'analyse des clusters Kubernetes. Utilisez Prometheus pour analyser les applications et les services exécutés sur vos serveurs, partout où ils fonctionnent. Par exemple, vous pouvez analyser les applications s'exécutant sur des machines virtuelles, des groupes de machines virtuelles identiques ou même des serveurs locaux. Installez Prometheus sur vos serveurs et configurez l'écriture à distance pour envoyer des métriques à un espace de travail Azure Monitor.

Cet article explique comment configurer l'écriture à distance pour envoyer des données d'une instance Prometheus autogérée à un espace de travail Azure Monitor.

Options d'écriture à distance

Prometheus autogéré peut s'exécuter sur des environnements Azure et non Azure. Voici les options d'authentification pour l'écriture à distance dans l'espace de travail Azure Monitor en fonction de l'environnement dans lequel Prometheus s'exécute.

Machines virtuelles et groupes de machines virtuelles identiques gérés par Azure

Utilisez l'authentification d'identité managée affectée par l'utilisateur pour les services exécutant Prometheus autogéré dans un environnement Azure. Les services gérés Azure sont les suivants :

• Machines virtuelles Azure
• Groupes de machines virtuelles identiques Azure
• les machines virtuelles Azure Arc

Pour configurer l'écriture à distance pour les ressources managées Azure, consultez Écriture à distance à l'aide de l'identité managée affectée par l'utilisateur.

Machines virtuelles s'exécutant dans des environnements non Azure.

L'intégration aux services Azure Arc vous permet de gérer et de configurer des machines virtuelles non Azure dans Azure. Une fois l'intégration effectuée, configurez Écriture à distance à l'aide d'authentification d'identité managée affectée par l'utilisateur. Pour plus d'informations sur l'intégration de machines virtuelles aux serveurs Azure Arc, consultez Serveurs Azure Arc.

Si vous disposez de machines virtuelles dans des environnements non-Azure et que vous ne souhaitez pas les intégrer à Azure Arc, installez Prometheus autogéré et configurez l'écriture à distance à l'aide de l'authentification d'application Microsoft Entra ID. Pour plus d'informations, consultez Écriture à distance à l'aide de l'authentification d'application Microsoft Entra ID.

Prérequis

Versions prises en charge

• Les versions Prometheus supérieures à la version 2.45 sont requises pour l'authentification d'identité managée.
• Les versions Prometheus supérieures à la version 2.48 sont requises pour l'authentification de l'application Microsoft Entra ID.

Espace de travail Azure Monitor

Cet article traite de l'envoi de métriques Prometheus à un espace de travail Azure Monitor. Pour créer un espace de travail Azure Monitor, consultez Gérer un espace de travail Azure Monitor.

Autorisations

Les autorisations d'administrateur pour le cluster ou la ressource sont nécessaires pour effectuer les étapes de cet article.

Configurer l'authentification pour l'écriture à distance

En fonction de l'environnement dans lequel Prometheus est en cours d'exécution, vous pouvez configurer l'écriture à distance pour utiliser l'identité managée affectée par l'utilisateur ou l'authentification de l'application Microsoft Entra ID pour envoyer des données à l'espace de travail Azure Monitor.

Utilisez le portail Azure ou l'interface CLI pour créer une identité managée affectée par l'utilisateur ou une application Microsoft Entra ID.

Écriture à distance à l'aide de l'identité managée affectée par l'utilisateur

Écriture à distance à l'aide de l'authentification de l'identité managée affectée par l'utilisateur

Pour configurer une identité managée affectée par l'utilisateur pour l'écriture à distance dans l'espace de travail Azure Monitor, procédez comme suit.

Créer une identité managée attribuée par l’utilisateur

Pour créer une identité managée par l'utilisateur à utiliser dans votre configuration d'écriture à distance, consultez Gérer les identités managées affectées par l'utilisateur.

Notez la valeur de clientId de l'identité managée que vous avez créée. Cet ID est utilisé dans la configuration d'écriture à distance Prometheus.

Attribuer le rôle d'éditeur de métriques d'analyse à l'application

Attribuez le rôle Monitoring Metrics Publisher sur la règle de collecte de données de l'espace de travail à l'identité managée.

1. Sur la page de présentation de l'espace de travail Azure Monitor, sélectionnez le lien Règle de collecte de données.

   

2. Sur la page de règle de collecte de données, sélectionnez Contrôle d'accès (IAM).

3. Sélectionnez Ajouter, puis Ajouter une attribution de rôle.

4. Recherchez et sélectionnez Éditeur de métriques d'analyse, puis sélectionnez Suivant.

5. Sélectionnez Identité managée.

6. Sélectionnez Sélectionner des membres.

7. Dans la liste déroulante Entité managée, Identité managée affectée par l'utilisateur.

8. Sélectionnez l'identité affectée par l'utilisateur que vous souhaitez utiliser, puis cliquez sur Sélectionner.

9. Sélectionnez Vérifier + attribuer pour terminer l’attribution de rôle.

   

Attribuez l'identité managée à une machine virtuelle ou à un groupe de machines virtuelles identiques.

Important

Pour effectuer les étapes de cette section, vous devez disposer d'autorisations d'accès utilisateur octroyées par le propriétaire ou l'administrateur, pour la machine virtuelle ou le groupe de machines virtuelles identiques.

1. Dans le portail Azure, accédez à la page du cluster, de la machine virtuelle ou du groupe de machines virtuelles identiques.

2. Sélectionnez Identité.

3. Sélectionnez Utilisateur attribué.

4. Sélectionnez Ajouter.

5. Sélectionnez l'identité managée affectée par l'utilisateur que vous avez créée, puis sélectionnez Ajouter.

   

Application Microsoft Entra ID

Écriture à distance à l'aide de l'authentification de l'application Microsoft Entra ID

Pour configurer l'écriture à distance dans l'espace de travail Azure Monitor à l'aide d'une application Microsoft Entra ID, créez une application Entra et attribuez-lui le rôle Monitoring Metrics Publisher sur la règle de collecte de données de l'espace de travail.

Remarque

Votre application Azure Entra utilise une clé secrète client ou un mot de passe. Les clés secrètes clients ont une date d’expiration. Veillez à créer une clé secrète client avant l'expiration de la précédente afin de ne pas perdre l'accès authentifié

Créer une application Microsoft Entra ID

Pour créer une application Microsoft Entra ID à l'aide du portail, consultez Créer une application Microsoft Entra ID et un principal de service qui peuvent accéder aux ressources.

Une fois que vous avez créé votre application Entra, obtenez l'ID client et générez une clé secrète client.

1. Dans la liste des applications, copiez la valeur de ID d’application (client) pour l’application inscrite. Cette valeur est utilisée dans la configuration d'écriture à distance de Prometheus comme valeur pour client_id.

   

2. Sélectionner Certificats et secrets.

3. Sélectionner Clés secrètes client, puis Nouvelle clé secrète client pour créer un secret.

4. Entrez une description, définissez la date d'expiration et sélectionnez Ajouter.

   

5. Copiez la valeur du secret en toute sécurité. La valeur est utilisée dans la configuration d'écriture à distance de Prometheus comme valeur pour client_secret. La valeur de la clé secrète client est visible uniquement lors de la création et ne peut pas être récupérée ultérieurement. En cas de perte, vous devez créer une clé secrète client.

   

Attribuer le rôle d'éditeur de métriques d'analyse à l'application

Attribuez à l'application le rôle Monitoring Metrics Publisher sur la règle de collecte de données de l'espace de travail.

1. Sur la page de présentation de l'espace de travail Azure Monitor, sélectionnez le lien Règle de collecte de données.

   

2. Sur la page de présentation de la règle de collecte de données, sélectionnez Contrôle d'accès (IAM).

3. Sélectionnez Ajouter, puis sélectionnez Ajouter une attribution de rôle.

   

4. Sélectionnez le rôle Éditeur d’indicateurs de performance d’analyse, puis sélectionnez Suivant.

   

5. Sélectionnez Utilisateur, groupe ou principal de service, puis choisissez Sélectionner les membres. Sélectionnez l’application que vous avez créée, puis choisissez Sélectionner.

   

6. Pour terminer le processus d’attribution de rôle, sélectionnez Vérifier + attribuer.

INTERFACE DE LIGNE DE COMMANDE

Créer des identités affectées par l'utilisateur et des applications Microsoft Entra ID à l'aide de l'interface CLI

Créer une identité managée attribuée par l’utilisateur

Créez une identité managée affectée par l'utilisateur pour l'écriture à distance en procédant comme suit :

1. Créer une identité managée attribuée par l’utilisateur
2. attribuer le rôle Monitoring Metrics Publisher sur la règle de collecte de données de l'espace de travail à l'identité managée.
3. Attribuez l'identité managée à une machine virtuelle ou à un groupe de machines virtuelles identiques.

Notez la valeur de clientId de l'identité managée que vous créez. Cet ID est utilisé dans la configuration d'écriture à distance Prometheus.

1. Créez une identité managée affectée par l'utilisateur à l'aide de la commande CLI suivante :

   az account set \
   --subscription <subscription id>
   
   az identity create \
   --name <identity name> \
   --resource-group <resource group name>
   

   Voici un exemple de sortie affichée :

   {
     "clientId": "abcdef01-a123-b456-d789-0123abc345de",
     "id": "/subscriptions/12345678-abcd-1234-abcd-1234567890ab/resourcegroups/rg-001/providers/Microsoft.ManagedIdentity/userAssignedIdentities/PromRemoteWriteIdentity",
     "location": "eastus",
     "name": "PromRemoteWriteIdentity",
     "principalId": "98765432-0123-abcd-9876-1a2b3c4d5e6f",
     "resourceGroup": "rg-001",
     "systemData": null,
     "tags": {},
     "tenantId": "ffff1234-aa01-02bb-03cc-0f9e8d7c6b5a",
     "type": "Microsoft.ManagedIdentity/userAssignedIdentities"
   }
   

2. Attribuez le rôle Monitoring Metrics Publisher sur la règle de collecte de données de l'espace de travail à l'identité managée.

   az role assignment create \
   --role "Monitoring Metrics Publisher" \
   --assignee <managed identity client ID> \
   --scope <data collection rule resource ID>
   

   Par exemple,

   az role assignment create \
   --role "Monitoring Metrics Publisher" \
   --assignee abcdef01-a123-b456-d789-0123abc345de \
   --scope /subscriptions/12345678-abcd-1234-abcd-1234567890ab/resourceGroups/MA_amw-001_eastus_managed/providers/Microsoft.Insights/dataCollectionRules/amw-001
   

3. Attribuez l'identité managée à une machine virtuelle ou à un groupe de machines virtuelles identiques.

   Pour les machines virtuelles :

   az vm identity assign \
   -g <resource group name> \
   -n <virtual machine name> \
   --identities <user assigned identity resource ID>
   

   Pour les groupes de machines virtuelles identiques :

   az vmss identity assign \
   -g <resource group name> \
   -n <VSS name> \
   --identities <user assigned identity resource ID>
   

   Par exemple, pour un groupe de machines virtuelles identiques :

   az vm identity assign \
   -g rg-prom-on-vm \
   -n win-vm-prom \
   --identities /subscriptions/12345678-abcd-1234-abcd-1234567890ab/resourcegroups/rg-001/providers/Microsoft.ManagedIdentity/userAssignedIdentities/PromRemoteWriteIdentity
   

Pour plus d'informations, consultez créer une identité az et créer une attribution de rôle az.

Créer une application Microsoft Entra ID

Pour créer une application Microsoft Entra ID à l'aide de l'interface CLI et attribuer le rôle Monitoring Metrics Publisher, exécutez la commande suivante :

az ad sp create-for-rbac --name <application name> \
--role "Monitoring Metrics Publisher" \
--scopes <azure monitor workspace data collection rule Id>

Par exemple,

az ad sp create-for-rbac \
--name PromRemoteWriteApp \
--role "Monitoring Metrics Publisher" \
--scopes /subscriptions/abcdef00-1234-5678-abcd-1234567890ab/resourceGroups/MA_amw-001_eastus_managed/providers/Microsoft.nsights/dataCollectionRules/amw-001

Voici un exemple de sortie affichée :

{
  "appId": "01234567-abcd-ef01-2345-67890abcdef0",
  "displayName": "PromRemoteWriteApp",
  "password": "AbCDefgh1234578~zxcv.09875dslkhjKLHJHLKJ",
  "tenant": "abcdef00-1234-5687-abcd-1234567890ab"
}

la sortie contient les valeurs appId et password. Enregistrez ces valeurs pour les utiliser dans la configuration de l'écriture à distance de Prometheus comme des valeurs pour client_id et client_secret. Le mot de passe ou la valeur de la clé secrète client n'est visible qu'au moment de la création et ne peut pas être récupéré ultérieurement. En cas de perte, vous devez créer une clé secrète client.

Pour plus d'informations, consultez créer une application az ad et az ad sp create-for-rbac.

Configurer l’écriture à distance

L'écriture à distance est configurée dans le fichier de configuration de Prometheus prometheus.yml.

Pour plus d'informations sur la configuration de l'écriture à distance, consultez l'article Prometheus.io : Configuration. Pour en savoir plus sur le réglage de la configuration de l'écriture à distance, consultez Réglage de l'écriture à distance.

Pour envoyer des données à votre espace de travail Azure Monitor, ajoutez la section suivante au fichier config de votre instance Prometheus autogérée.

remote_write:   
  - url: "<metrics ingestion endpoint for your Azure Monitor workspace>"
# AzureAD configuration.
# The Azure Cloud. Options are 'AzurePublic', 'AzureChina', or 'AzureGovernment'.
  azuread:
    cloud: 'AzurePublic'
    managed_identity:
      client_id: "<client-id of the managed identity>"
    oauth:
      client_id: "<client-id from the Entra app>"
      client_secret: "<client secret from the Entra app>"
      tenant_id: "<Azure subscription tenant Id>"

Le paramètre url spécifie le point de terminaison d'ingestion des métriques de l'espace de travail Azure Monitor. Vous trouverez ce point de terminaison sur la page de présentation de votre espace de travail Azure Monitor dans le portail Azure.

Utilisez managed_identity ou oauth pour l'authentification de l'application Microsoft Entra ID, en fonction de votre implémentation. Supprimez l'objet que vous n'utilisez pas.

Recherchez votre ID client pour l'identité managée à l'aide de la commande Azure CLI suivante :

az identity list --resource-group <resource group name>

Pour plus d'informations, consultez liste d'identité az.

Pour rechercher votre client pour l'authentification d'identité managée dans le portail, accédez à la page Identités managées dans le portail Azure et sélectionnez le nom d'identité approprié. Copiez la valeur de l'ID client de la page Présentation de l'identité.

Pour rechercher l'ID client de l'application Microsoft Entra ID, utilisez l'interface CLI suivante ou consultez la première étape de la section Créer une application Microsoft Entra ID à l'aide du portail Azure.

$ az ad app list --display-name < application name>

Pour plus d'informations, consultez liste d'application az ad.

Remarque

Après avoir modifié le fichier config, redémarrez Prometheus afin que les modifications s'appliquent.

Vérifier que les données d'écriture à distance circulent

Utilisez les méthodes suivantes pour vérifier que les données Prometheus sont envoyées à votre espace de travail Azure Monitor.

Explorateur de métriques Azure Monitor avec PromQL

Pour vérifier si les métriques circulent vers l'espace de travail Azure Monitor, à partir de votre espace de travail Azure Monitor dans le portail Azure, sélectionnez Métriques. Utilisez l'explorateur de métriques pour interroger les métriques attendues à partir de l'environnement Prometheus autogéré. Pour plus d'informations, consultez Explorateur de métriques.

Explorateur Prometheus dans l’espace de travail Azure Monitor

Prometheus Explorer offre un moyen pratique d'interagir avec les métriques Prometheus au sein de votre environnement Azure, rendant ainsi l'analyse et la résolution des problèmes plus efficaces. Pour utiliser Prometheus Explorer, accédez à votre espace de travail Azure Monitor dans le portail Azure et sélectionnez Prometheus Explorer pour interroger les métriques attendues de l'environnement Prometheus autogéré. Pour plus d'informations, consultez Prometheus Explorer.

Grafana

Utilisez les requêtes PromQL dans Grafana pour vérifier que les résultats retournent les données attendues. Consultez Obtenir la configuration Grafana avec Prometheus managé pour configurer Grafana.

Résoudre les problèmes d’écriture à distance

Si les données distantes n'apparaissent pas dans votre espace de travail Azure Monitor, consultez Résoudre les problèmes d'écriture à distance pour connaître les problèmes courants et les solutions.

Étapes suivantes

• En savoir plus sur le service géré Azure Monitor pour Prometheus.
• En savoir plus sur le Sidecar de proxy inverse Azure Monitor pour l’écriture à distance depuis Prometheus autogéré s’exécutant sur Kubernetes