Prometheus-adatok küldése az Azure Monitorba a Microsoft Entra pod által felügyelt identitás (előzetes verzió) hitelesítésével
Ez a cikk azt ismerteti, hogyan állíthat be távoli írást a Prometheushoz készült Azure Monitor felügyelt szolgáltatáshoz a Microsoft Entra pod által felügyelt identitás (előzetes verzió) hitelesítésével.
Feljegyzés
A cikkben ismertetett távoli írási oldalkocsi-tárolót csak az alábbi lépések végrehajtásával kell beállítani, és csak akkor, ha az Azure Kubernetes Service (AKS) fürt már rendelkezik engedélyezett Microsoft Entra-podkal. A Microsoft Entra pod által felügyelt identitások elavultak, és Microsoft Entra Számítási feladat ID váltják fel. Javasoljuk, hogy Microsoft Entra Számítási feladat ID hitelesítést használjon.
Előfeltételek
Támogatott verziók
A felügyelt identitás hitelesítéséhez a 2.45-ös verziónál nagyobb Prometheus-verziók szükségesek.
Azure Monitor-munkaterület
Ez a cikk a Prometheus-metrikák Azure Monitor-munkaterületre való küldését ismerteti. Azure Monitor-munkaterület létrehozásához lásd : Azure Monitor-munkaterület kezelése.
Engedélyek
Rendszergazda a jelen cikkben ismertetett lépések végrehajtásához a fürt vagy az erőforrás engedélyére van szükség.
Alkalmazás beállítása a Microsoft Entra pod által felügyelt identitásához
A Prometheus távoli írás microsoft Entra pod által felügyelt identitáshitelesítéssel történő beállításának folyamata a következő feladatokat foglalja magában:
- Felhasználó által hozzárendelt felügyelt identitás regisztrálása a Microsoft Entra-azonosítóval.
- Rendelje hozzá a felügyelt identitáskezelő és a virtuálisgép-közreműködő szerepköröket a felügyelt identitáshoz.
- Rendelje hozzá a monitorozási metrikák közzétevői szerepkörét a felhasználó által hozzárendelt felügyelt identitáshoz.
- Azure-identitáskötés létrehozása.
- Adja hozzá az aadpodidbinding címkét a Prometheus podhoz.
- Helyezzen üzembe egy oldalkocsis tárolót a távoli írás beállításához.
A feladatokat a következő szakaszok ismertetik.
Felügyelt identitás regisztrálása a Microsoft Entra-azonosítóval
Hozzon létre egy felhasználó által hozzárendelt felügyelt identitást, vagy regisztráljon egy meglévő, felhasználó által hozzárendelt felügyelt identitást.
A felügyelt identitások létrehozásával kapcsolatos információkért lásd : Távoli írás beállítása a Prometheushoz készült Azure Monitor felügyelt szolgáltatáshoz felügyelt identitáshitelesítés használatával.
A felügyelt identitáskezelő és a virtuális gép közreműködői szerepköreinek hozzárendelése a felügyelt identitáshoz
az role assignment create --role "Managed Identity Operator" --assignee <managed identity clientID> --scope <NodeResourceGroupResourceId>
az role assignment create --role "Virtual Machine Contributor" --assignee <managed identity clientID> --scope <Node ResourceGroup Id>
Az AKS-fürt csomóponterőforrás-csoportja a folyamat más lépéseiben használt erőforrásokat tartalmazza. Ennek az erőforráscsoportnak a neve MC_<AKS-RESOURCE-GROUP>_<AKS-CLUSTER-NAME>_<REGION>
. Az erőforráscsoport nevét az Azure Portal Erőforráscsoportok menüjében találja.
A Monitorozási metrikák közzétevői szerepkör hozzárendelése a felügyelt identitáshoz
az role assignment create --role "Monitoring Metrics Publisher" --assignee <managed identity clientID> --scope <NodeResourceGroupResourceId>
Azure-identitáskötés létrehozása
A felhasználó által hozzárendelt felügyelt identitáshoz identitáskötés szükséges ahhoz, hogy az identitás pod által felügyelt identitásként legyen használva.
Másolja a következő YAML-t az aadpodidentitybinding.yaml fájlba:
apiVersion: "aadpodidentity.k8s.io/v1"
kind: AzureIdentityBinding
metadata:
name: demo1-azure-identity-binding
spec:
AzureIdentity: “<AzureIdentityName>”
Selector: “<AzureIdentityBindingSelector>”
Futtassa az alábbi parancsot:
kubectl create -f aadpodidentitybinding.yaml
Adja hozzá az aadpodidbinding címkét a Prometheus podhoz
A aadpodidbinding
címkét hozzá kell adni a Prometheus podhoz a pod által felügyelt identitás érvénybe lépéséhez. A címkét a deployment.yaml fájl frissítésével vagy címkék beszúrásával adhatja hozzá a sidecar-tároló üzembe helyezésekor, a következő szakaszban leírtak szerint.
Sidecar-tároló üzembe helyezése távoli írás beállításához
Másolja ki a következő YAML-et, és mentse egy fájlba. A YAML a 8081-es portot használja figyelési portként. Ha másik portot használ, módosítsa ezt az értéket a YAML-ben.
prometheus: prometheusSpec: podMetadata: labels: aadpodidbinding: <AzureIdentityBindingSelector> externalLabels: cluster: <AKS-CLUSTER-NAME> remoteWrite: - url: 'http://localhost:8081/api/v1/write' containers: - name: prom-remotewrite image: <CONTAINER-IMAGE-VERSION> imagePullPolicy: Always ports: - name: rw-port containerPort: 8081 livenessProbe: httpGet: path: /health port: rw-port initialDelaySeconds: 10 timeoutSeconds: 10 readinessProbe: httpGet: path: /ready port: rw-port initialDelaySeconds: 10 timeoutSeconds: 10 env: - name: INGESTION_URL value: <INGESTION_URL> - name: LISTENING_PORT value: '8081' - name: IDENTITY_TYPE value: userAssigned - name: AZURE_CLIENT_ID value: <MANAGED-IDENTITY-CLIENT-ID> # Optional parameter - name: CLUSTER value: <CLUSTER-NAME>
Cserélje le a következő értékeket a YAML-ben:
Érték Leírás <AKS-CLUSTER-NAME>
Az AKS-fürt neve. <CONTAINER-IMAGE-VERSION>
mcr.microsoft.com/azuremonitor/containerinsights/ciprod/prometheus-remote-write/images:prom-remotewrite-20240617.1
A távoli írási tároló lemezképének verziója.<INGESTION-URL>
A Metrikák betöltési végpontjának értéke az Azure Monitor-munkaterület Áttekintés lapján. <MANAGED-IDENTITY-CLIENT-ID>
Az ügyfélazonosító értéke a felügyelt identitás Áttekintés lapján. <CLUSTER-NAME>
Annak a fürtnek a neve, amelyen a Prometheus fut. Fontos
Azure Government-felhő esetén adja hozzá a következő környezeti változókat a
env
YAML-fájl szakaszához:- name: INGESTION_AAD_AUDIENCE value: https://monitor.azure.us/
A Helm használatával alkalmazza a YAML-fájlt, és frissítse a Prometheus-konfigurációt:
# set the context to your cluster az aks get-credentials -g <aks-rg-name> -n <aks-cluster-name> # use Helm to update your remote write config helm upgrade -f <YAML-FILENAME>.yml prometheus prometheus-community/kube-prometheus-stack --namespace <namespace where Prometheus pod resides>
Ellenőrzés és hibaelhárítás
Az ellenőrzéssel és hibaelhárítással kapcsolatos információkért tekintse meg a Távoli írás és az Azure Monitor által felügyelt szolgáltatás hibaelhárítását a Prometheus távoli írásához.
Következő lépések
- Prometheus mérőszámok gyűjtése AKS-fürtből
- További információ a Prometheushoz készült Azure Monitor felügyelt szolgáltatásról
- Távoli írás az Azure Monitor által felügyelt Prometheus szolgáltatásban
- Prometheus-adatok küldése az Azure Monitorba Microsoft Entra-hitelesítéssel
- Prometheus-adatok küldése az Azure Monitorba felügyelt identitáshitelesítéssel
- Prometheus-adatok küldése az Azure Monitorba Microsoft Entra Számítási feladat ID (előzetes verzió) hitelesítéssel
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: