Prometheus-metrikák küldése virtuális gépekről, méretezési csoportokból vagy Kubernetes-fürtökből egy Azure Monitor-munkaterületre

A Prometheus nem korlátozódik a Kubernetes-fürtök figyelésére. A Prometheus használatával figyelheti a kiszolgálókon futó alkalmazásokat és szolgáltatásokat, bárhol is futnak. Monitorozhat például virtuális gépeken, virtuálisgép-méretezési csoportokon vagy akár helyszíni kiszolgálókon futó alkalmazásokat. Prometheus-metrikákat is elküldhet egy Azure Monitor-munkaterületre az ön által felügyelt fürtből és a Prometheus-kiszolgálóról. Telepítse a prometheust a kiszolgálókra, és konfigurálja a távoli írást metrikák Azure Monitor-munkaterületre való küldéséhez.

Ez a cikk bemutatja, hogyan konfigurálhatja a távoli írást, hogy adatokat küldjön egy ön által felügyelt Prometheus-példányból egy Azure Monitor-munkaterületre.

Távoli írási beállítások

A saját kezelésű Prometheus azure-beli és nem Azure-beli környezetekben is futtatható. Az alábbiakban az Azure Monitor-munkaterületre történő távoli írás hitelesítési lehetőségei találhatók a Prometheus által futtatott környezet alapján.

Azure által felügyelt virtuális gépek, virtuálisgép-méretezési csoportok és Kubernetes-fürtök

Felhasználó által hozzárendelt felügyelt identitáshitelesítés használata önkiszolgáló Prometheust futtató szolgáltatásokhoz Azure-környezetben. Az Azure által felügyelt szolgáltatások a következők:

• Azure Virtual Machines
• Azure Virtual Machine Scale Sets
• Azure Kubernetes Service (AKS)

Az Azure által felügyelt erőforrások távoli írásának beállításához lásd : Távoli írás felhasználó által hozzárendelt felügyelt identitás használatával.

Nem Azure-környezetben futó virtuális gépek és Kubernetes-fürtök

Ha nem Azure-beli környezetben rendelkezik virtuális gépekkel vagy Kubernetes-fürttel, vagy bejelentkezett az Azure Arcba, telepítse az önkiszolgáló Prometheust, és konfigurálja a távoli írást a Microsoft Entra ID-alkalmazáshitelesítéssel. További információ: Távoli írás a Microsoft Entra ID-alkalmazáshitelesítés használatával.

Az Azure Arc-kompatibilis szolgáltatásokba való bevezetéssel kezelheti és konfigurálhatja a nem Azure-beli virtuális gépeket az Azure-ban. További információ a virtuális gépek Azure Arc-kompatibilis kiszolgálókra való előkészítéséről: Azure Arc-kompatibilis kiszolgálók és Azure Arc-kompatibilis Kubernetes. Az Arc-kompatibilis szolgáltatások csak a Microsoft Entra ID-hitelesítést támogatják.

Feljegyzés

A rendszer által hozzárendelt felügyelt identitás nem támogatott az Azure Monitor-munkaterületekre történő távoli íráshoz. Használjon felhasználó által hozzárendelt felügyelt identitást vagy Microsoft Entra ID-alkalmazáshitelesítést.

Előfeltételek

Támogatott verziók

• A felügyelt identitás hitelesítéséhez a 2.45-ös verziónál nagyobb Prometheus-verziók szükségesek.
• A Microsoft Entra ID-alkalmazások hitelesítéséhez a 2.48-nál nagyobb Prometheus-verziók szükségesek.

Azure Monitor-munkaterület

Ez a cikk a Prometheus-metrikák Azure Monitor-munkaterületre való küldését ismerteti. Azure Monitor-munkaterület létrehozásához lásd : Azure Monitor-munkaterület kezelése.

Engedélyek

A cikkben ismertetett lépések végrehajtásához rendszergazdai engedélyek szükségesek a fürthöz vagy erőforráshoz.

Hitelesítés beállítása távoli íráshoz

Attól függően, hogy milyen környezetben fut a Prometheus, úgy konfigurálhatja a távoli írást, hogy a felhasználó által hozzárendelt felügyelt identitást vagy a Microsoft Entra ID-alkalmazáshitelesítést használva adatokat küldjön az Azure Monitor-munkaterületre.

Az Azure Portal vagy a parancssori felület használatával hozzon létre egy felhasználó által hozzárendelt felügyelt identitást vagy Microsoft Entra ID-alkalmazást.

Távoli írás felhasználó által hozzárendelt felügyelt identitással

Távoli írás felhasználó által hozzárendelt felügyelt identitáshitelesítéssel

A felhasználó által hozzárendelt felügyelt identitás hitelesítése bármely Azure-beli felügyelt környezetben használható. Ha a Prometheus-szolgáltatás nem Azure-környezetben fut, használhatja a Microsoft Entra ID alkalmazáshitelesítést.

Ha egy felhasználó által hozzárendelt felügyelt identitást szeretne konfigurálni az Azure Monitor-munkaterületre történő távoli íráshoz, hajtsa végre az alábbi lépéseket.

Felhasználó által hozzárendelt felügyelt identitás létrehozása

Ha felhasználó által felügyelt identitást szeretne létrehozni a távoli írási konfigurációban, olvassa el a felhasználó által hozzárendelt felügyelt identitások kezelése című témakört.

Jegyezze fel a clientId létrehozott felügyelt identitás értékét. Ez az azonosító a Prometheus távoli írási konfigurációjában használatos.

A Monitorozási metrikák közzétevői szerepkör hozzárendelése az alkalmazáshoz

A munkaterület adatgyűjtési szabályában rendelje hozzá a Monitoring Metrics Publisher szerepkört a felügyelt identitáshoz.

1. Az Azure Monitor-munkaterület áttekintési lapján válassza az Adatgyűjtési szabály hivatkozását.

   

2. Az adatgyűjtési szabály lapján válassza a Hozzáférés-vezérlés (IAM) lehetőséget.

3. Válassza a Hozzáadás és a Szerepkör-hozzárendelés hozzáadása lehetőséget.

4. Keresse meg és válassza ki a Monitorozási metrikák közzétevője lehetőséget, majd válassza a Tovább lehetőséget.

5. Válassza a Felügyelt identitás lehetőséget.

6. Válassza a Tagok kijelölése lehetőséget.

7. A Felügyelt entitás legördülő listában a felhasználó által hozzárendelt felügyelt identitás.

8. Jelölje ki a használni kívánt felhasználó által hozzárendelt identitást, majd kattintson a Kijelölés gombra.

9. Válassza a Véleményezés + hozzárendelés lehetőséget a szerepkör-hozzárendelés befejezéséhez.

   

Felügyelt identitás hozzárendelése virtuális géphez vagy virtuálisgép-méretezési csoporthoz

Fontos

Az ebben a szakaszban ismertetett lépések végrehajtásához tulajdonosi vagy felhasználói hozzáférési rendszergazdai engedélyekkel kell rendelkeznie a virtuális gép vagy a virtuálisgép-méretezési csoport számára.

1. Az Azure Portalon nyissa meg a fürt, a virtuális gép vagy a virtuálisgép-méretezési csoport lapját.

2. Válassza ki az Identitás elemet.

3. Válassza ki a hozzárendelt felhasználót.

4. Válassza a Hozzáadás lehetőséget.

5. Válassza ki a létrehozott felhasználó által hozzárendelt felügyelt identitást, majd válassza a Hozzáadás lehetőséget.

   

Felügyelt identitás hozzárendelése egy Azure Kubernetes-szolgáltatáshoz

Az Azure Kubernetes-szolgáltatások (AKS) esetében a felügyelt identitást hozzá kell rendelni a virtuálisgép-méretezési csoportokhoz.

Az AKS létrehoz egy erőforráscsoportot, amely a virtuálisgép-méretezési csoportokat tartalmazza. Az erőforráscsoport neve formátuma MC_<resource group name>_<AKS cluster name>_<region>. Az erőforráscsoportban lévő összes virtuálisgép-méretezési csoporthoz rendelje hozzá a felügyelt identitást az előző szakaszban leírt lépések szerint, a felügyelt identitás hozzárendelése virtuális géphez vagy virtuálisgép-méretezési csoporthoz.

Microsoft Entra ID alkalmazás

Távoli írás a Microsoft Entra ID-alkalmazás hitelesítése használatával

A Microsoft Entra ID-alkalmazáshitelesítés bármilyen környezetben használható. Ha a Prometheus-szolgáltatás azure-beli felügyelt környezetben fut, fontolja meg a felhasználó által hozzárendelt felügyelt identitáshitelesítés használatát.

Ha távoli írást szeretne konfigurálni az Azure Monitor-munkaterületre egy Microsoft Entra ID-alkalmazással, hozzon létre egy Microsoft Entra-alkalmazást. Az Azure Monitor-munkaterület adatgyűjtési szabályában rendelje hozzá a Monitoring Metrics Publisher szerepkört a Microsoft Entra alkalmazáshoz.

Feljegyzés

A Microsoft Entra-alkalmazás ügyfélkulcsot vagy jelszót használ. Az ügyfél titkos kulcsának lejárati dátuma van. Mielőtt lejár, hozzon létre egy új ügyfélkulcsot, hogy ne veszítse el a hitelesített hozzáférést.

Microsoft Entra ID-alkalmazás létrehozása

Ha Microsoft Entra ID-alkalmazást szeretne létrehozni a portálon, tekintse meg az erőforrásokhoz hozzáférő Microsoft Entra ID-alkalmazás és szolgáltatásnév létrehozását.

Amikor létrehozta a Microsoft Entra-alkalmazást, kérje le az ügyfélazonosítót, és hozzon létre egy titkos ügyfélkulcsot.

1. Az alkalmazások listájában másolja ki a regisztrált alkalmazás alkalmazás-(ügyfél-) azonosítójának értékét. Ezt az értéket a Prometheus távoli írási konfigurációjában használja a rendszer a következő client_idértékként: .

   

2. Tanúsítványok és titkos kódok kiválasztása

3. Válassza ki az ügyfél titkos kulcsokat, majd az Új titkos ügyfélkulcs lehetőséget választva hozzon létre egy új titkos kulcsot

4. Adjon meg egy leírást, adja meg a lejárati dátumot, és válassza a Hozzáadás lehetőséget.

   

5. Másolja biztonságosan a titkos kód értékét. Az értéket a Prometheus távoli írási konfigurációjában használja a rendszer a következő client_secretértékként: . Az ügyfél titkos kódjának értéke csak létrehozáskor látható, és később nem kérhető le. Ha elveszett, létre kell hoznia egy új ügyfélkulcsot.

   

A Monitorozási metrikák közzétevői szerepkör hozzárendelése az alkalmazáshoz

Rendelje hozzá a Monitoring Metrics Publisher szerepkört a munkaterület adatgyűjtési szabályához az alkalmazáshoz.

1. Az Azure Monitor-munkaterület áttekintési lapján válassza az Adatgyűjtési szabály hivatkozását.

   

2. Az adatgyűjtési szabály áttekintési lapján válassza a Hozzáférés-vezérlés (IAM) lehetőséget.

3. Válassza a Hozzáadás, majd a Szerepkör-hozzárendelés hozzáadása lehetőséget.

   

4. Válassza a Monitorozási metrikák közzétevője szerepkört, majd válassza a Tovább lehetőséget.

   

5. Válassza a Felhasználó, csoport vagy szolgáltatásnév lehetőséget, majd válassza a Tagok kijelölése lehetőséget. Jelölje ki a létrehozott alkalmazást, majd válassza a Kiválasztás lehetőséget.

   

6. A szerepkör-hozzárendelés befejezéséhez válassza a Véleményezés + hozzárendelés lehetőséget.

Parancssori felület

Felhasználó által hozzárendelt identitások és Microsoft Entra ID-alkalmazások létrehozása parancssori felülettel

Felhasználó által hozzárendelt felügyelt identitás létrehozása

Hozzon létre egy felhasználó által hozzárendelt felügyelt identitást a távoli íráshoz az alábbi lépések végrehajtásával:

1. Felhasználó által hozzárendelt felügyelt identitás létrehozása
2. Szerepkör hozzárendelése a Monitoring Metrics Publisher munkaterület adatgyűjtési szabályához a felügyelt identitáshoz
3. Rendelje hozzá a felügyelt identitást egy virtuális géphez vagy virtuálisgép-méretezési csoporthoz.

Jegyezze fel a clientId létrehozott felügyelt identitás értékét. Ez az azonosító a Prometheus távoli írási konfigurációjában használatos.

1. Hozzon létre egy felhasználó által hozzárendelt felügyelt identitást a következő CLI-paranccsal:

   az account set \
   --subscription <subscription id>
   
   az identity create \
   --name <identity name> \
   --resource-group <resource group name>
   

   Az alábbiakban egy példa látható a megjelenített kimenetre:

   {
     "clientId": "00001111-aaaa-2222-bbbb-3333cccc4444",
     "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/rg-001/providers/Microsoft.ManagedIdentity/userAssignedIdentities/PromRemoteWriteIdentity",
     "location": "eastus",
     "name": "PromRemoteWriteIdentity",
     "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
     "resourceGroup": "rg-001",
     "systemData": null,
     "tags": {},
     "tenantId": "ffff5f5f-aa6a-bb7b-cc8c-dddddd9d9d9d",
     "type": "Microsoft.ManagedIdentity/userAssignedIdentities"
   }
   

2. Rendelje hozzá a Monitoring Metrics Publisher szerepkört a munkaterület adatgyűjtési szabályához a felügyelt identitáshoz.

   az role assignment create \
   --role "Monitoring Metrics Publisher" \
   --assignee <managed identity client ID> \
   --scope <data collection rule resource ID>
   

   Például,

   az role assignment create \
   --role "Monitoring Metrics Publisher" \
   --assignee 00001111-aaaa-2222-bbbb-3333cccc4444 \
   --scope /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/MA_amw-001_eastus_managed/providers/Microsoft.Insights/dataCollectionRules/amw-001
   

3. Rendelje hozzá a felügyelt identitást egy virtuális géphez vagy virtuálisgép-méretezési csoporthoz.

   Virtuális gépek esetén:

   az vm identity assign \
   -g <resource group name> \
   -n <virtual machine name> \
   --identities <user assigned identity resource ID>
   

   Virtuálisgép-méretezési csoportok esetén:

   az vmss identity assign \
   -g <resource group name> \
   -n <VSS name> \
   --identities <user assigned identity resource ID>
   

   Például egy virtuálisgép-méretezési csoport esetében:

   az vm identity assign \
   -g rg-prom-on-vm \
   -n win-vm-prom \
   --identities /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/rg-001/providers/Microsoft.ManagedIdentity/userAssignedIdentities/PromRemoteWriteIdentity
   

További információ: az identity create and az role assignment create.

Microsoft Entra ID-alkalmazás létrehozása

Microsoft Entra ID-alkalmazás parancssori felülettel való létrehozásához és a Monitoring Metrics Publisher szerepkör hozzárendeléséhez futtassa a következő parancsot:

az ad sp create-for-rbac --name <application name> \
--role "Monitoring Metrics Publisher" \
--scopes <azure monitor workspace data collection rule Id>

Például,

az ad sp create-for-rbac \
--name PromRemoteWriteApp \
--role "Monitoring Metrics Publisher" \
--scopes /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/MA_amw-001_eastus_managed/providers/Microsoft.nsights/dataCollectionRules/amw-001

Az alábbiakban egy példa látható a megjelenített kimenetre:

{
  "appId": "66667777-aaaa-8888-bbbb-9999cccc0000",
  "displayName": "PromRemoteWriteApp",
  "password": "Aa1Bb~2Cc3.-Dd4Ee5Ff6Gg7Hh8Ii9_Jj0Kk1Ll2",
  "tenant": "ffff5f5f-aa6a-bb7b-cc8c-dddddd9d9d9d"
}

A kimenet tartalmazza az és password az appId értékeket. Mentse ezeket az értékeket úgy, hogy a Prometheus távoli írási konfigurációjában értékekként használják client_id , és client_secret a jelszó vagy az ügyfél titkos kódjának értéke csak létrehozáskor látható, és később nem kérhető le. Ha elveszett, létre kell hoznia egy új ügyfélkulcsot.

További információ: az ad app create and az ad sp create-for-rbac.

Távoli írás konfigurálása

A távoli írás a Prometheus konfigurációs fájljában prometheus.ymlvagy a Prometheus Operátorban van konfigurálva.

A távoli írás konfigurálásáról további információt a Prometheus.io konfiguráció című cikkben talál. A távoli írási konfiguráció finomhangolásáról további információt a Távoli írás finomhangolása című témakörben talál.

Távoli írás konfigurálása virtuális gépeken futó Prometheushoz

Ha adatokat szeretne küldeni az Azure Monitor-munkaterületre, adja hozzá a következő szakaszt a saját kezelésű Prometheus-példány konfigurációs fájljához (prometheus.yml).

remote_write:   
  - url: "<metrics ingestion endpoint for your Azure Monitor workspace>"
# AzureAD configuration.
# The Azure Cloud. Options are 'AzurePublic', 'AzureChina', or 'AzureGovernment'.
    azuread:
      cloud: 'AzurePublic'
      managed_identity:
        client_id: "<client-id of the managed identity>"
      oauth:
        client_id: "<client-id from the Entra app>"
        client_secret: "<client secret from the Entra app>"
        tenant_id: "<Azure subscription tenant Id>"

Távoli írás konfigurálása a Kubernetesen a Prometheus Operátorhoz

Prometheus operátor

Ha Prometheus Operátort futtató Kubernetes-fürtön dolgozik, az alábbi lépéseket követve adatokat küldhet az Azure Monitor-munkaterületre.

1. Ha Microsoft Entra ID-hitelesítést használ, konvertálja a titkos kódot base64 kódolással, és alkalmazza a titkos kulcsot a Kubernetes-fürtbe. Mentse az alábbiakat egy yaml-fájlba. Ha felügyelt identitáshitelesítést használ, hagyja ki ezt a lépést.

apiVersion: v1
kind: Secret
metadata:
  name: remote-write-secret
  namespace: monitoring # Replace with namespace where Prometheus Operator is deployed. 
type: Opaque
data:
  password: <base64-encoded-secret>

Alkalmazza a titkos kódot.

# set context to your cluster 
az aks get-credentials -g <aks-rg-name> -n <aks-cluster-name> 

kubectl apply -f <remote-write-secret.yaml>

2. Frissítse a Prometheus Operátor távoli írási szakaszának értékeit. Másolja ki a következő yaml-et, és mentse fájlként. Az Azure Monitor Workspace távoli írási specifikációjának további részleteiért tekintse meg a Prometheus Operator dokumentációját.

prometheus:
  prometheusSpec:
    remoteWrite:
    - url: "<metrics ingestion endpoint for your Azure Monitor workspace>"
      azureAd:
# AzureAD configuration.
# The Azure Cloud. Options are 'AzurePublic', 'AzureChina', or 'AzureGovernment'.
        cloud: 'AzurePublic'
        managedIdentity:
          clientId: "<clientId of the managed identity>"
        oauth:
          clientId: "<clientId of the Entra app>"
          clientSecret:
            name: remote-write-secret
            key: password
          tenantId: "<Azure subscription tenant Id>"

3. A helm használatával frissítse a távoli írási konfigurációt a fenti yaml-fájl használatával.

helm upgrade -f <YAML-FILENAME>.yml prometheus prometheus-community/kube-prometheus-stack --namespace <namespace where Prometheus Operator is deployed>

A url paraméter az Azure Monitor-munkaterület metrikabetöltési végpontját adja meg. Ez az Azure Monitor-munkaterület Áttekintés lapján található az Azure Portalon.

Az implementációtól függően használhatja a managed_identityoauth Microsoft Entra ID-alkalmazás hitelesítését vagy a Microsoft Entra-azonosítót. Távolítsa el a nem használt objektumot.

Keresse meg a felügyelt identitás ügyfél-azonosítóját az alábbi Azure CLI-paranccsal:

az identity list --resource-group <resource group name>

További információ: az identity list.

Ha meg szeretné keresni az ügyfelet a felügyelt identitás hitelesítéséhez a portálon, lépjen az Azure Portal Felügyelt identitások lapjára, és válassza ki a megfelelő identitásnevet. Másolja ki az ügyfél-azonosító értékét az Identitás áttekintése lapról.

A Microsoft Entra ID-alkalmazás ügyfélazonosítójának megkereséséhez használja az alábbi parancssori felületet, vagy tekintse meg a Microsoft Entra ID-alkalmazás létrehozása az Azure Portal szakasz első lépését.

$ az ad app list --display-name < application name>

További információ: az ad app list.

Feljegyzés

A konfigurációs fájl szerkesztése után indítsa újra a Prometheust a módosítások alkalmazásához.

Ellenőrizze, hogy a távoli írási adatok folynak-e

Az alábbi módszerekkel ellenőrizheti, hogy a Prometheus-adatok az Azure Monitor-munkaterületre kerülnek-e.

Az Azure Monitor metrikakezelője a PromQL használatával

Annak ellenőrzéséhez, hogy a metrikák az Azure Monitor-munkaterületre haladnak-e, az Azure Portal Azure Monitor-munkaterületén válassza a Metrikák lehetőséget. A metrikaböngészővel lekérdezheti a saját kezelésű Prometheus-környezetből várt metrikákat. További információ: Metrics Explorer.

Prometheus Explorer az Azure Monitor-munkaterületen

A Prometheus Explorer segítségével kényelmesen kezelheti a Prometheus-metrikákat az Azure-környezetben, így hatékonyabbá válik a monitorozás és a hibaelhárítás. A Prometheus Explorer használatához nyissa meg az Azure Monitor-munkaterületet az Azure Portalon, és válassza a Prometheus Explorert a saját kezelésű Prometheus-környezetből várt metrikák lekérdezéséhez. További információ: Prometheus Explorer.

Grafana

PromQL-lekérdezések használatával ellenőrizze, hogy az eredmények a várt adatokat adják-e vissza. A Grafana konfigurálásához tekintse meg a Grafana telepítését a Managed Prometheus használatával

Távoli írás hibaelhárítása

Ha a távoli adatok nem jelennek meg az Azure Monitor-munkaterületen, a gyakori problémák és megoldások távoli írásának hibaelhárítása című témakörben talál további információt.

Következő lépések

• További információ a Prometheushoz készült Azure Monitor felügyelt szolgáltatásról.
• További információ az Azure Monitor fordított proxyoldali autójáról a Kubernetesen futó, ön által felügyelt Prometheusról történő távoli íráshoz