Mengirim metrik Prometheus dari komputer virtual, set skala, atau kluster Kubernetes ke ruang kerja Azure Monitor

Prometheus tidak terbatas pada pemantauan kluster Kubernetes. Gunakan Prometheus untuk memantau aplikasi dan layanan yang berjalan di server Anda, di mana pun mereka berjalan. Misalnya, Anda dapat memantau aplikasi yang berjalan pada komputer virtual, set skala komputer virtual, atau bahkan server lokal. Anda juga dapat mengirim metrik Prometheus ke ruang kerja Azure Monitor dari kluster yang dikelola sendiri dan server Prometheus Anda.

Artikel ini menjelaskan cara mengonfigurasi tulis jarak jauh untuk mengirim data dari instans Prometheus yang dikelola sendiri ke ruang kerja Azure Monitor.

Opsi untuk penulisan jarak jauh

Prometheus yang dikelola sendiri dapat berjalan di lingkungan Azure dan non-Azure. Berikut ini adalah opsi autentikasi untuk penulisan jarak jauh ke ruang kerja Azure Monitor, berdasarkan lingkungan tempat Prometheus berjalan.

Komputer virtual yang dikelola Azure, set skala komputer virtual, dan kluster Kubernetes

Gunakan autentikasi identitas terkelola yang ditetapkan pengguna untuk layanan yang menjalankan Prometheus yang dikelola sendiri di lingkungan Azure. Layanan yang dikelola Azure meliputi:

• Azure Virtual Machines
• Kumpulan Skala Komputer Virtual Azure
• Azure Kubernetes Service (AKS)

Untuk menyiapkan penulisan jarak jauh untuk sumber daya yang dikelola Azure, lihat Menulis jarak jauh menggunakan autentikasi identitas terkelola yang ditetapkan pengguna nanti di artikel ini.

Komputer virtual dan kluster Kubernetes yang berjalan di lingkungan non-Azure

Jika Anda memiliki komputer virtual atau kluster Kubernetes di lingkungan non-Azure, atau Anda melakukan onboarding ke Azure Arc, instal Prometheus yang dikelola sendiri dan konfigurasikan tulis jarak jauh dengan menggunakan autentikasi aplikasi Microsoft Entra. Untuk informasi selengkapnya, lihat Menulis jarak jauh menggunakan autentikasi aplikasi Microsoft Entra nanti di artikel ini.

Onboarding ke server dengan dukungan Azure Arc memungkinkan Anda mengelola dan mengonfigurasi komputer virtual non-Azure di Azure. Untuk informasi selengkapnya, lihat Server dengan dukungan Azure Arc dan Kubernetes dengan dukungan Azure Arc. Server dengan dukungan Azure Arc hanya mendukung autentikasi Microsoft Entra.

Catatan

Identitas terkelola yang ditetapkan sistem tidak didukung untuk penulisan jarak jauh ke ruang kerja Azure Monitor. Gunakan identitas terkelola yang ditetapkan pengguna atau autentikasi aplikasi Microsoft Entra.

Prasyarat

Versi yang didukung

• Versi Prometheus yang lebih baru dari 2.45 diperlukan untuk autentikasi identitas terkelola.
• Versi Prometheus yang lebih baru dari 2.48 diperlukan untuk autentikasi aplikasi Microsoft Entra.

Ruang kerja Azure Monitor

Artikel ini membahas pengiriman metrik Prometheus ke ruang kerja Azure Monitor. Untuk membuat ruang kerja azure monitor, lihat Mengelola ruang kerja Azure Monitor.

Izin

Izin administrator untuk kluster atau sumber daya diperlukan untuk menyelesaikan langkah-langkah dalam artikel ini.

Menyiapkan autentikasi untuk penulisan jarak jauh

Bergantung pada lingkungan tempat Prometheus berjalan, Anda dapat mengonfigurasi penulisan jarak jauh untuk menggunakan identitas terkelola yang ditetapkan pengguna atau autentikasi aplikasi Microsoft Entra untuk mengirim data ke ruang kerja Azure Monitor.

Gunakan portal Azure atau Azure CLI untuk membuat identitas terkelola yang ditetapkan pengguna atau aplikasi Microsoft Entra.

Tulis jarak jauh menggunakan identitas terkelola yang ditetapkan pengguna

Tulis jarak jauh menggunakan autentikasi identitas terkelola yang ditetapkan pengguna

Autentikasi identitas terkelola yang ditetapkan pengguna dapat digunakan di lingkungan apa pun yang dikelola Azure. Jika layanan Prometheus Anda berjalan di lingkungan non-Azure, Anda dapat menggunakan autentikasi aplikasi Microsoft Entra.

Untuk mengonfigurasi identitas terkelola yang ditetapkan pengguna untuk penulisan jarak jauh ke ruang kerja Azure Monitor, selesaikan langkah-langkah berikut.

Membuat identitas terkelola yang ditetapkan pengguna

Untuk membuat identitas yang dikelola pengguna untuk digunakan dalam konfigurasi tulis jarak jauh Anda, lihat Mengelola identitas terkelola yang ditetapkan pengguna.

Perhatikan nilai clientId untuk identitas terkelola yang Anda buat. ID ini digunakan dalam konfigurasi tulis jarak jauh Prometheus.

Menetapkan peran Penerbit Metrik Pemantauan ke aplikasi

Pada aturan pengumpulan data ruang kerja, tetapkan peran Penerbit Metrik Pemantauan ke identitas terkelola:

1. Pada panel gambaran umum ruang kerja Azure Monitor, pilih tautan Aturan pengumpulan data.

   

2. Pada halaman untuk aturan pengumpulan data, pilih Kontrol akses (IAM).

3. Pilih Tambahkan Tambahkan>penetapan peran.

   

4. Cari dan pilih Penerbit Metrik Pemantauan, lalu pilih Berikutnya.

   

5. Pilih Identitas Terkelola.

6. Pilih Pilih anggota.

7. Di daftar dropdown Identitas terkelola, pilih Identitas terkelola yang ditetapkan pengguna.

8. Pilih identitas yang ditetapkan pengguna yang ingin Anda gunakan, lalu pilih Pilih.

   

9. Pilih Tinjau + tetapkan untuk menyelesaikan penetapan peran.

Menetapkan identitas terkelola ke komputer virtual atau set skala komputer virtual

Penting

Untuk menyelesaikan langkah-langkah di bagian ini, Anda harus memiliki izin Pemilik atau Administrator Akses Pengguna untuk komputer virtual atau set skala komputer virtual.

1. Di portal Azure, buka halaman untuk kluster, komputer virtual, atau set skala komputer virtual.

2. Pilih Identitas.

3. Pilih Pengguna yang ditetapkan.

4. Pilih Tambahkan.

5. Pilih identitas terkelola yang ditetapkan pengguna yang Anda buat, lalu pilih Tambahkan.

   

Menetapkan identitas terkelola untuk Azure Kubernetes Service

Untuk Azure Kubernetes Service, identitas terkelola harus ditetapkan ke set skala komputer virtual.

AKS membuat grup sumber daya yang berisi set skala komputer virtual. Nama grup sumber daya dalam format MC_<resource group name>_<AKS cluster name>_<region>.

Untuk setiap set skala komputer virtual dalam grup sumber daya, tetapkan identitas terkelola sesuai dengan langkah-langkah di bagian sebelumnya, Tetapkan identitas terkelola ke komputer virtual atau set skala komputer virtual.

Aplikasi ID Microsoft Entra

Tulis jarak jauh menggunakan autentikasi aplikasi Microsoft Entra

Anda dapat menggunakan autentikasi aplikasi Microsoft Entra di lingkungan apa pun. Jika layanan Prometheus Anda berjalan di lingkungan yang dikelola Azure, pertimbangkan untuk menggunakan autentikasi identitas terkelola yang ditetapkan pengguna.

Untuk mengonfigurasi tulis jarak jauh ke ruang kerja Azure Monitor dengan menggunakan aplikasi Microsoft Entra, buat aplikasi Microsoft Entra. Pada aturan pengumpulan data ruang kerja Azure Monitor, tetapkan peran Penerbit Metrik Pemantauan ke aplikasi Microsoft Entra.

Catatan

Aplikasi Microsoft Entra Anda menggunakan rahasia klien atau kata sandi. Rahasia klien memiliki tanggal kedaluwarsa. Pastikan untuk membuat rahasia klien baru sebelum kedaluwarsa sehingga Anda tidak kehilangan akses terautentikasi.

Membuat aplikasi ID Microsoft Entra

Untuk membuat aplikasi ID Microsoft Entra dengan menggunakan portal, lihat Mendaftarkan aplikasi dengan ID Microsoft Entra dan membuat perwakilan layanan.

Setelah Anda membuat aplikasi Microsoft Entra, dapatkan ID klien dan buat rahasia klien:

1. Dalam daftar aplikasi, salin nilai ID Klien untuk aplikasi terdaftar. Nilai ini digunakan dalam konfigurasi tulis jarak jauh Prometheus sebagai nilai untuk client_id.

   

2. Pilih Sertifikat & rahasia.

3. Pilih Rahasia klien, lalu pilih Rahasia klien baru untuk membuat rahasia.

4. Masukkan deskripsi, atur tanggal kedaluwarsa, lalu pilih Tambahkan.

   

5. Salin nilai rahasia dengan aman. Nilai digunakan dalam konfigurasi tulis jarak jauh Prometheus sebagai nilai untuk client_secret. Nilai rahasia klien hanya terlihat saat dibuat, dan Anda tidak dapat mengambilnya nanti. Jika Anda kehilangannya, Anda harus membuat yang baru.

   

Menetapkan peran Penerbit Metrik Pemantauan ke aplikasi

Tetapkan peran Penerbit Metrik Pemantauan pada aturan pengumpulan data ruang kerja ke aplikasi:

1. Pada panel gambaran umum ruang kerja Azure Monitor, pilih tautan Aturan pengumpulan data.

   

2. Pada halaman untuk aturan pengumpulan data, pilih Kontrol akses (IAM).

3. Pilih Tambahkan, lalu pilih Tambahkan penetapan peran.

   

4. Pilih peran Penerbit Metrik Pemantauan, lalu pilih Berikutnya.

   

5. Pilih Pengguna, grup, atau perwakilan layanan, lalu pilih Pilih anggota. Pilih aplikasi yang Anda buat, lalu pilih Pilih.

6. Untuk menyelesaikan penetapan peran, pilih Tinjau + tetapkan.

   

Azure CLI

Pembuatan identitas yang ditetapkan pengguna dan aplikasi ID Microsoft Entra melalui Azure CLI

Membuat identitas terkelola yang ditetapkan pengguna

Buat identitas terkelola yang ditetapkan pengguna untuk penulisan jarak jauh dengan menggunakan langkah-langkah berikut.

Perhatikan nilai clientId untuk identitas terkelola yang Anda buat. ID ini digunakan dalam konfigurasi tulis jarak jauh Prometheus.

1. Buat identitas terkelola yang ditetapkan pengguna dengan menggunakan perintah Azure CLI berikut:

   Azure CLI

   az account set \
   --subscription <subscription id>
   
   az identity create \
   --name <identity name> \
   --resource-group <resource group name>
   

   Kode berikut adalah contoh output yang ditampilkan:

   Azure CLI

   {
     "clientId": "00001111-aaaa-2222-bbbb-3333cccc4444",
     "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/rg-001/providers/Microsoft.ManagedIdentity/userAssignedIdentities/PromRemoteWriteIdentity",
     "location": "eastus",
     "name": "PromRemoteWriteIdentity",
     "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
     "resourceGroup": "rg-001",
     "systemData": null,
     "tags": {},
     "tenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
     "type": "Microsoft.ManagedIdentity/userAssignedIdentities"
   }
   

2. Tetapkan peran Penerbit Metrik Pemantauan pada aturan pengumpulan data ruang kerja ke identitas terkelola:

   Azure CLI

   az role assignment create \
   --role "Monitoring Metrics Publisher" \
   --assignee <managed identity client ID> \
   --scope <data collection rule resource ID>
   

   Contohnya:

   Azure CLI

   az role assignment create \
   --role "Monitoring Metrics Publisher" \
   --assignee 00001111-aaaa-2222-bbbb-3333cccc4444 \
   --scope /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/MA_amw-001_eastus_managed/providers/Microsoft.Insights/dataCollectionRules/amw-001
   

3. Tetapkan identitas terkelola ke komputer virtual atau set skala komputer virtual.

   Berikut adalah perintah untuk komputer virtual:

   Azure CLI

   az vm identity assign \
   -g <resource group name> \
   -n <virtual machine name> \
   --identities <user assigned identity resource ID>
   

   Berikut adalah perintah untuk set skala komputer virtual:

   Azure CLI

   az vmss identity assign \
   -g <resource group name> \
   -n <scale set name> \
   --identities <user assigned identity resource ID>
   

   Contoh berikut menunjukkan perintah untuk set skala komputer virtual:

   Azure CLI

   az vm identity assign \
   -g rg-prom-on-vm \
   -n win-vm-prom \
   --identities /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/rg-001/providers/Microsoft.ManagedIdentity/userAssignedIdentities/PromRemoteWriteIdentity
   

Untuk informasi selengkapnya, lihat buat identitas az dan buat penetapan peran az.

Membuat aplikasi Microsoft Entra

Untuk membuat aplikasi Microsoft Entra dengan menggunakan Azure CLI, dan tetapkan peran Penerbit Metrik Pemantauan, jalankan perintah berikut:

Azure CLI

az ad sp create-for-rbac --name <application name> \
--role "Monitoring Metrics Publisher" \
--scopes <azure monitor workspace data collection rule Id>

Contohnya:

Azure CLI

az ad sp create-for-rbac \
--name PromRemoteWriteApp \
--role "Monitoring Metrics Publisher" \
--scopes /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/MA_amw-001_eastus_managed/providers/Microsoft.nsights/dataCollectionRules/amw-001

Kode berikut adalah contoh output yang ditampilkan:

Azure CLI

{
  "appId": "66667777-aaaa-8888-bbbb-9999cccc0000",
  "displayName": "PromRemoteWriteApp",
  "password": "Aa1Bb~2Cc3.-Dd4Ee5Ff6Gg7Hh8Ii9_Jj0Kk1Ll2",
  "tenant": "ffff5f5f-aa6a-bb7b-cc8c-dddddd9d9d9d"
}

Output berisi nilai appId dan password . Simpan nilai-nilai ini untuk digunakan dalam konfigurasi tulis jarak jauh Prometheus sebagai nilai untuk client_id dan client_secret. Nilai kata sandi atau rahasia klien hanya terlihat saat dibuat, dan Anda tidak dapat mengambilnya nanti. Jika Anda kehilangannya, Anda harus membuat yang baru.

Untuk informasi selengkapnya, lihat az ad app create dan az ad sp create-for-rbac.

Mengonfigurasi penulisan jarak jauh

Penulisan jarak jauh dikonfigurasi dalam file prometheus.yml konfigurasi Prometheus atau di Operator Prometheus.

Untuk informasi selengkapnya tentang mengonfigurasi penulisan jarak jauh, lihat artikel Prometheus.io ini: Konfigurasi. Untuk informasi tentang penyetelan konfigurasi tulis jarak jauh, lihat Penyetelan tulis jarak jauh.

Mengonfigurasi penulisan jarak jauh untuk Prometheus yang berjalan pada komputer virtual

Untuk mengirim data ke ruang kerja Azure Monitor Anda, tambahkan bagian berikut ke file konfigurasi (prometheus.yml) instans Prometheus yang dikelola sendiri:

YAML

remote_write:   
  - url: "<metrics ingestion endpoint for your Azure Monitor workspace>"
# Microsoft Entra ID configuration.
# The Azure cloud. Options are 'AzurePublic', 'AzureChina', or 'AzureGovernment'.
    azuread:
      cloud: 'AzurePublic'
      managed_identity:
        client_id: "<client-id of the managed identity>"
      oauth:
        client_id: "<client-id from the Entra app>"
        client_secret: "<client secret from the Entra app>"
        tenant_id: "<Azure subscription tenant Id>"

Mengonfigurasi penulisan jarak jauh pada Kubernetes untuk Operator Prometheus

Prometheus Operator

Jika Anda berada di kluster Kubernetes yang menjalankan Operator Prometheus, gunakan langkah-langkah berikut untuk mengirim data ke ruang kerja Azure Monitor Anda:

1. Jika Anda menggunakan autentikasi Microsoft Entra, konversi rahasia dengan menggunakan pengodean Base64, lalu terapkan rahasia di kluster Kubernetes Anda. Simpan kode berikut ke dalam file YAML. Lewati langkah ini jika Anda menggunakan autentikasi identitas terkelola.

   YAML

   apiVersion: v1
   kind: Secret
   metadata:
     name: remote-write-secret
     namespace: monitoring # Replace with the namespace where Prometheus Operator is deployed.
   type: Opaque
   data:
     password: <base64-encoded-secret>
   
   

   Terapkan rahasia:

   Azure CLI

   # Set context to your cluster 
   az aks get-credentials -g <aks-rg-name> -n <aks-cluster-name> 
   
   kubectl apply -f <remote-write-secret.yaml>
   

2. Perbarui nilai untuk bagian tulis jarak jauh di Operator Prometheus. Salin YAML berikut dan simpan sebagai file. Untuk informasi selengkapnya tentang spesifikasi ruang kerja Azure Monitor untuk penulisan jarak jauh di Operator Prometheus, lihat dokumentasi Operator Prometheus.

   YAML

   prometheus:
     prometheusSpec:
       remoteWrite:
       - url: "<metrics ingestion endpoint for your Azure Monitor workspace>"
         azureAd:
   # Microsoft Entra ID configuration.
   # The Azure cloud. Options are 'AzurePublic', 'AzureChina', or 'AzureGovernment'.
           cloud: 'AzurePublic'
           managedIdentity:
             clientId: "<clientId of the managed identity>"
           oauth:
             clientId: "<clientId of the Entra app>"
             clientSecret:
               name: remote-write-secret
               key: password
             tenantId: "<Azure subscription tenant Id>"
   

3. Gunakan Helm untuk memperbarui konfigurasi tulis jarak jauh Anda dengan menggunakan file YAML sebelumnya:

   Azure CLI

   helm upgrade -f <YAML-FILENAME>.yml prometheus prometheus-community/kube-prometheus-stack --namespace <namespace where Prometheus Operator is deployed>
   

Parameter url menentukan titik akhir penyerapan metrik ruang kerja Azure Monitor. Anda dapat menemukannya di panel gambaran umum untuk ruang kerja Azure Monitor Anda di portal Azure.

Gunakan atau managed_identity oauth untuk autentikasi aplikasi Microsoft Entra, tergantung pada implementasi Anda. Hapus objek yang tidak Anda gunakan.

Temukan ID klien Anda untuk identitas terkelola dengan menggunakan perintah Azure CLI berikut:

Azure CLI

az identity list --resource-group <resource group name>

Untuk informasi selengkapnya, lihat az identity list.

Untuk menemukan klien Anda untuk autentikasi identitas terkelola di portal, buka Identitas Terkelola di portal Azure dan pilih nama identitas yang relevan. Salin nilai ID Klien dari panel Gambaran Umum identitas terkelola.

Untuk menemukan ID klien untuk aplikasi MICROSOFT Entra ID, gunakan perintah Azure CLI berikut (atau lihat langkah pertama di bagian Penulisan jarak jauh sebelumnya menggunakan autentikasi aplikasi Microsoft Entra):

Azure CLI

$ az ad app list --display-name < application name>

Untuk informasi selengkapnya, lihat daftar aplikasi az ad.

Catatan

Setelah Anda mengedit file konfigurasi, mulai ulang Prometheus untuk menerapkan perubahan.

Verifikasi bahwa data tulis jarak jauh mengalir

Gunakan metode berikut untuk memverifikasi bahwa data Prometheus sedang dikirim ke ruang kerja Azure Monitor Anda.

Penjelajah metrik Azure Monitor dengan PromQL

Untuk memeriksa apakah metrik mengalir ke ruang kerja Azure Monitor, dari ruang kerja Azure Monitor Anda di portal Azure, pilih Metrik. Gunakan penjelajah metrik dengan Prometheus Query Language (PromQL) untuk mengkueri metrik yang Anda harapkan dari lingkungan Prometheus yang dikelola sendiri. Untuk informasi selengkapnya, lihat Penjelajah metrik Azure Monitor dengan PromQL.

Penjelajah Prometheus di ruang kerja Azure Monitor

Penjelajah Prometheus menyediakan cara mudah untuk berinteraksi dengan metrik Prometheus dalam lingkungan Azure Anda, sehingga pemantauan dan pemecahan masalah lebih efisien. Untuk menggunakan penjelajah Prometheus, buka ruang kerja Azure Monitor Anda di portal Azure dan pilih Prometheus Explorer. Anda kemudian dapat mengkueri metrik yang Anda harapkan dari lingkungan Prometheus yang dikelola sendiri.

Untuk informasi selengkapnya, lihat Metrik Query Prometheus menggunakan buku kerja Azure.

Grafana

Gunakan kueri PromQL di Grafana untuk memverifikasi bahwa hasilnya mengembalikan data yang diharapkan. Untuk mengonfigurasi Grafana, lihat artikel tentang menyiapkan Grafana dengan Prometheus terkelola.

Memecahkan masalah penulisan jarak jauh

Jika data jarak jauh tidak muncul di ruang kerja Azure Monitor Anda, lihat Memecahkan masalah penulisan jarak jauh untuk masalah dan solusi umum.

Konten terkait

• Pelajari selengkapnya tentang layanan terkelola Azure Monitor untuk Prometheus
• Pelajari tentang sidecar proksi terbalik Azure Monitor untuk penulisan jarak jauh dari Prometheus yang dikelola sendiri yang berjalan di Kubernetes