Mengirim metrik Prometheus dari komputer virtual, set skala, atau kluster Kubernetes ke ruang kerja Azure Monitor

Prometheus tidak terbatas pada pemantauan kluster Kubernetes. Gunakan Prometheus untuk memantau aplikasi dan layanan yang berjalan di server Anda, di mana pun mereka berjalan. Misalnya, Anda dapat memantau aplikasi yang berjalan di Virtual Machines, Virtual Machine Scale Sets, atau bahkan server lokal. Anda juga dapat mengirim metrik Prometheus ke ruang kerja Azure Monitor dari kluster yang dikelola sendiri dan server Prometheus Anda. Instal prometheus di server Anda dan konfigurasikan tulis jarak jauh untuk mengirim metrik ke ruang kerja Azure Monitor.

Artikel ini menjelaskan cara mengonfigurasi penulisan jarak jauh untuk mengirim data dari instans Prometheus yang dikelola sendiri ke ruang kerja Azure Monitor.

Opsi tulis jarak jauh

Prometheus yang dikelola sendiri dapat berjalan di lingkungan Azure dan non-Azure. Berikut ini adalah opsi autentikasi untuk menulis jarak jauh ke ruang kerja Azure Monitor berdasarkan lingkungan tempat Prometheus berjalan.

Komputer Virtual yang dikelola Azure, Virtual Machine Scale Sets, dan kluster Kubernetes

Gunakan autentikasi identitas terkelola yang ditetapkan pengguna untuk layanan yang menjalankan Prometheus yang dikelola sendiri di lingkungan Azure. Layanan yang dikelola Azure meliputi:

• Azure Virtual Machines
• Kumpulan Skala Komputer Virtual Azure
• Komputer Virtual dengan dukungan Azure Arc
• Azure Kubernetes Service (AKS)

Untuk menyiapkan penulisan jarak jauh untuk sumber daya yang dikelola Azure, lihat Penulisan jarak jauh menggunakan identitas terkelola yang ditetapkan pengguna.

Komputer virtual dan kluster Kubernetes yang berjalan di lingkungan non-Azure.

Jika Anda memiliki komputer virtual, atau kluster Kubernetes di lingkungan non-Azure, dan Anda tidak ingin onboard ke Azure Arc, instal Prometheus yang dikelola sendiri, dan konfigurasikan penulisan jarak jauh menggunakan autentikasi aplikasi ID Microsoft Entra. Untuk informasi selengkapnya, lihat Menulis jarak jauh menggunakan autentikasi aplikasi MICROSOFT Entra ID.

Onboarding ke layanan dengan dukungan Azure Arc memungkinkan Anda mengelola dan mengonfigurasi komputer virtual non-Azure di Azure. Setelah onboarding, konfigurasikan Remote-write menggunakan autentikasi identitas terkelola yang ditetapkan pengguna. Untuk informasi selengkapnya tentang onboarding Virtual Machines ke server dengan dukungan Azure Arc, lihat Server dengan dukungan Azure Arc dan Kubernetes dengan dukungan Azure Arc.

Prasyarat

Versi yang didukung

• Versi Prometheus yang lebih besar dari v2.45 diperlukan untuk autentikasi identitas terkelola.
• Versi Prometheus yang lebih besar dari v2.48 diperlukan untuk autentikasi aplikasi ID Microsoft Entra.

Ruang kerja Azure Monitor

Artikel ini membahas pengiriman metrik Prometheus ke ruang kerja Azure Monitor. Untuk membuat ruang kerja azure monitor, lihat Mengelola ruang kerja Azure Monitor.

Izin

Izin administrator untuk kluster atau sumber daya diperlukan untuk menyelesaikan langkah-langkah dalam artikel ini.

Menyiapkan autentikasi untuk tulis jarak jauh

Bergantung pada lingkungan tempat Prometheus berjalan, Anda dapat mengonfigurasi penulisan jarak jauh untuk menggunakan identitas terkelola yang ditetapkan pengguna atau autentikasi aplikasi MICROSOFT Entra ID untuk mengirim data ke ruang kerja Azure Monitor.

Gunakan portal Azure atau CLI untuk membuat identitas terkelola yang ditetapkan pengguna atau aplikasi ID Microsoft Entra.

Tulis jarak jauh menggunakan identitas terkelola yang ditetapkan pengguna

Tulis jarak jauh menggunakan autentikasi identitas terkelola yang ditetapkan pengguna

Autentikasi identitas terkelola yang ditetapkan pengguna dapat digunakan di lingkungan apa pun yang dikelola Azure. Jika layanan Prometheus Anda berjalan di lingkungan non-Azure, Anda dapat menggunakan autentikasi aplikasi Entra ID.

Untuk mengonfigurasi identitas terkelola yang ditetapkan pengguna untuk penulisan jarak jauh ke ruang kerja Azure Monitor, selesaikan langkah-langkah berikut.

Membuat identitas terkelola yang ditetapkan pengguna

Untuk membuat identitas yang dikelola pengguna untuk digunakan dalam konfigurasi tulis jarak jauh Anda, lihat Mengelola identitas terkelola yang ditetapkan pengguna.

Perhatikan nilai clientId identitas terkelola yang Anda buat. ID ini digunakan dalam konfigurasi tulis jarak jauh Prometheus.

Menetapkan peran Penerbit Metrik Pemantauan ke aplikasi

Pada aturan pengumpulan data ruang kerja, tetapkan Monitoring Metrics Publisher peran ke identitas terkelola.

1. Pada halaman Gambaran Umum ruang kerja Azure Monitor, pilih tautan Aturan pengumpulan data.

   

2. Pada halaman aturan pengumpulan data, pilih Kontrol akses (IAM).

3. Pilih Tambahkan, dan Tambahkan penetapan peran.

4. Cari dan pilih Penerbit Metrik Pemantauan, lalu pilih Berikutnya.

5. Pilih Identitas Terkelola.

6. Pilih Pilih anggota.

7. Di menu dropdown Entitas Terkelola, Identitas terkelola yang ditetapkan pengguna.

8. Pilih identitas yang ditetapkan pengguna yang ingin Anda gunakan, lalu klik Pilih.

9. Pilih Tinjau + tetapkan untuk menyelesaikan penetapan peran.

   

Menetapkan identitas terkelola ke Virtual Machine atau Virtual Machine Scale Set

Penting

Untuk menyelesaikan langkah-langkah di bagian ini, Anda harus memiliki izin pemilik atau administrator akses pengguna untuk Virtual Machine atau Virtual MAchine Scale Set.

1. Di portal Azure, buka halaman kluster, Komputer Virtual, atau Set Skala Komputer Virtual.

2. Pilih Identitas.

3. Pilih Pengguna yang ditetapkan.

4. Pilih Tambahkan.

5. Pilih identitas terkelola yang ditetapkan pengguna yang Anda buat, lalu pilih Tambahkan.

   

Menetapkan identitas terkelola untuk Azure Kubernetes Service

Untuk layanan Azure Kubernetes (AKS), identitas terkelola harus ditetapkan ke set skala komputer virtual.

AKS membuat grup sumber daya yang berisi set skala komputer virtual. Nama grup sumber daya dalam format MC_<resource group name>_<AKS cluster name>_<region>. Untuk setiap Set Skala Komputer Virtual dalam grup sumber daya, tetapkan identitas terkelola sesuai dengan langkah-langkah di bagian sebelumnya, Tetapkan identitas terkelola ke Komputer Virtual atau Set Skala Komputer Virtual.

Aplikasi ID Microsoft Entra

Tulis jarak jauh menggunakan autentikasi aplikasi MICROSOFT Entra ID

Autentikasi aplikasi ID Microsoft Entra dapat digunakan di lingkungan apa pun. Jika layanan Prometheus Anda berjalan di lingkungan yang dikelola Azure, pertimbangkan untuk menggunakan autentikasi identitas terkelola yang ditetapkan pengguna.

Untuk mengonfigurasi tulis jarak jauh ke ruang kerja Azure Monitor menggunakan aplikasi ID Microsoft Entra, buat aplikasi Entra. Pada aturan pengumpulan data ruang kerja Azure Monitor, tetapkan Monitoring Metrics Publisher peran ke aplikasi Entra.

Catatan

Aplikasi Azure Entra Anda menggunakan rahasia atau kata sandi klien. Rahasia klien memiliki tanggal kedaluwarsa. Pastikan untuk membuat rahasia klien baru sebelum kedaluwarsa sehingga Anda tidak kehilangan akses terautentikasi

Membuat aplikasi ID Microsoft Entra

Untuk membuat aplikasi ID Microsoft Entra menggunakan portal, lihat Membuat aplikasi ID Microsoft Entra dan perwakilan layanan yang dapat mengakses sumber daya.

Ketika Anda telah membuat aplikasi Entra, dapatkan ID klien dan buat rahasia klien.

1. Dalam daftar aplikasi, salin nilai untuk ID Aplikasi (klien) untuk aplikasi terdaftar. Nilai ini digunakan dalam konfigurasi tulis jarak jauh Prometheus sebagai nilai untuk client_id.

   

2. Pilih Sertifikat dan Rahasia

3. Pilih Rahasia klien, mereka memilih Rahasia klien baru untuk membuat Rahasia baru

4. Masukkan deskripsi, atur tanggal kedaluwarsa dan pilih Tambahkan.

   

5. Salin nilai rahasia dengan aman. Nilai digunakan dalam konfigurasi tulis jarak jauh Prometheus sebagai nilai untuk client_secret. Nilai rahasia klien hanya terlihat saat dibuat dan tidak dapat diambil nanti. Jika hilang, Anda harus membuat rahasia klien baru.

   

Menetapkan peran Penerbit Metrik Pemantauan ke aplikasi

Tetapkan Monitoring Metrics Publisher peran pada aturan pengumpulan data ruang kerja ke aplikasi.

1. Pada ruang kerja Azure Monitor, halaman gambaran umum, pilih tautan Aturan pengumpulan data.

   

2. Pada halaman gambaran umum aturan pengumpulan data, pilih Kontrol akses (IAM).

3. Pilih Tambahkan, lalu pilih Tambahkan penetapan peran.

   

4. Pilih peran Penerbit Metrik Pemantauan, lalu pilih Berikutnya.

   

5. Pilih Pengguna, grup, atau perwakilan layanan, lalu pilih Pilih anggota. Pilih aplikasi yang Anda buat, lalu pilih Pilih.

   

6. Untuk menyelesaikan penetapan peran, pilih Tinjau + tetapkan.

CLI

Membuat identitas yang ditetapkan pengguna dan aplikasi ID Microsoft Entra menggunakan CLI

Membuat identitas terkelola yang ditetapkan pengguna

Buat identitas terkelola yang ditetapkan pengguna untuk penulisan jarak jauh menggunakan langkah-langkah berikut:

1. Membuat identitas terkelola yang ditetapkan pengguna
2. Monitoring Metrics Publisher Menetapkan peran pada aturan pengumpulan data ruang kerja ke identitas terkelola
3. Tetapkan identitas terkelola ke Virtual Machine atau Virtual Machine Scale Set.

Perhatikan nilai clientId identitas terkelola yang Anda buat. ID ini digunakan dalam konfigurasi tulis jarak jauh Prometheus.

1. Buat identitas terkelola yang ditetapkan pengguna menggunakan perintah CLI berikut:

   az account set \
   --subscription <subscription id>
   
   az identity create \
   --name <identity name> \
   --resource-group <resource group name>
   

   Berikut ini adalah contoh output yang ditampilkan:

   {
     "clientId": "abcdef01-a123-b456-d789-0123abc345de",
     "id": "/subscriptions/12345678-abcd-1234-abcd-1234567890ab/resourcegroups/rg-001/providers/Microsoft.ManagedIdentity/userAssignedIdentities/PromRemoteWriteIdentity",
     "location": "eastus",
     "name": "PromRemoteWriteIdentity",
     "principalId": "98765432-0123-abcd-9876-1a2b3c4d5e6f",
     "resourceGroup": "rg-001",
     "systemData": null,
     "tags": {},
     "tenantId": "ffff1234-aa01-02bb-03cc-0f9e8d7c6b5a",
     "type": "Microsoft.ManagedIdentity/userAssignedIdentities"
   }
   

2. Tetapkan Monitoring Metrics Publisher peran pada aturan pengumpulan data ruang kerja ke identitas terkelola.

   az role assignment create \
   --role "Monitoring Metrics Publisher" \
   --assignee <managed identity client ID> \
   --scope <data collection rule resource ID>
   

   Contohnya,

   az role assignment create \
   --role "Monitoring Metrics Publisher" \
   --assignee abcdef01-a123-b456-d789-0123abc345de \
   --scope /subscriptions/12345678-abcd-1234-abcd-1234567890ab/resourceGroups/MA_amw-001_eastus_managed/providers/Microsoft.Insights/dataCollectionRules/amw-001
   

3. Tetapkan identitas terkelola ke Virtual Machine atau Virtual Machine Scale Set.

   Untuk Komputer Virtual:

   az vm identity assign \
   -g <resource group name> \
   -n <virtual machine name> \
   --identities <user assigned identity resource ID>
   

   Untuk Virtual Machine Scale Sets:

   az vmss identity assign \
   -g <resource group name> \
   -n <VSS name> \
   --identities <user assigned identity resource ID>
   

   Misalnya, untuk Set Skala Komputer Virtual:

   az vm identity assign \
   -g rg-prom-on-vm \
   -n win-vm-prom \
   --identities /subscriptions/12345678-abcd-1234-abcd-1234567890ab/resourcegroups/rg-001/providers/Microsoft.ManagedIdentity/userAssignedIdentities/PromRemoteWriteIdentity
   

Untuk informasi selengkapnya, lihat buat identitas az dan buat penetapan peran az.

Membuat aplikasi ID Microsoft Entra

Untuk membuat aplikasi MICROSOFT Entra ID menggunakan CLI, dan tetapkan Monitoring Metrics Publisher peran, jalankan perintah berikut:

az ad sp create-for-rbac --name <application name> \
--role "Monitoring Metrics Publisher" \
--scopes <azure monitor workspace data collection rule Id>

Contohnya,

az ad sp create-for-rbac \
--name PromRemoteWriteApp \
--role "Monitoring Metrics Publisher" \
--scopes /subscriptions/abcdef00-1234-5678-abcd-1234567890ab/resourceGroups/MA_amw-001_eastus_managed/providers/Microsoft.nsights/dataCollectionRules/amw-001

Berikut ini adalah contoh output yang ditampilkan:

{
  "appId": "01234567-abcd-ef01-2345-67890abcdef0",
  "displayName": "PromRemoteWriteApp",
  "password": "AbCDefgh1234578~zxcv.09875dslkhjKLHJHLKJ",
  "tenant": "abcdef00-1234-5687-abcd-1234567890ab"
}

Output berisi nilai appId dan password . Simpan nilai-nilai ini untuk digunakan dalam konfigurasi tulis jarak jauh Prometheus sebagai nilai untuk client_id dan client_secret Nilai rahasia kata sandi atau klien hanya terlihat saat dibuat dan tidak dapat diambil nanti. Jika hilang, Anda harus membuat rahasia klien baru.

Untuk informasi selengkapnya, lihat az ad app create dan az ad sp create-for-rbac.

Mengonfigurasi penulisan jarak jauh

Penulisan jarak jauh dikonfigurasi dalam file prometheus.ymlkonfigurasi Prometheus , atau di Operator Prometheus.

Untuk informasi selengkapnya tentang mengonfigurasi penulisan jarak jauh, lihat artikel Prometheus.io: Konfigurasi. Untuk informasi selengkapnya tentang penyetelan konfigurasi tulis jarak jauh, lihat Penyetelan tulis jarak jauh.

Mengonfigurasi penulisan jarak jauh untuk Operator Prometheus

Jika Anda menjalankan Operator Prometheus pada kluster Kubernetes, ikuti langkah-langkah di bawah ini untuk mengirim data ke Ruang Kerja Azure Monitor Anda.

1. Jika Anda menggunakan autentikasi MICROSOFT Entra ID, konversi rahasia menggunakan pengodean base64, lalu terapkan rahasia ke dalam kluster Kubernetes Anda. Simpan yang berikut ini ke dalam file yaml. Lewati langkah ini jika Anda menggunakan autentikasi identitas terkelola.

apiVersion: v1
kind: Secret
metadata:
  name: remote-write-secret
  namespace: monitoring # Replace with namespace where Prometheus Operator is deployed. 
type: Opaque
data:
  password: <base64-encoded-secret>

Terapkan rahasia.

# set context to your cluster 
az aks get-credentials -g <aks-rg-name> -n <aks-cluster-name> 

kubectl apply -f <remote-write-secret.yaml>

2. Anda perlu memperbarui nilai untuk bagian tulis jarak jauh di Operator Prometheus. Salin yang berikut ini dan simpan sebagai file yaml. Untuk nilai file yaml, lihat bagian di bawah ini. Lihat dokumentasi Operator Prometheus untuk detail selengkapnya tentang spesifikasi penulisan jarak jauh Ruang Kerja Azure Monitor di Operator Prometheus.

prometheus:
  prometheusSpec:
    remoteWrite:
    - url: "<metrics ingestion endpoint for your Azure Monitor workspace>"
      azureAd:
# AzureAD configuration.
# The Azure Cloud. Options are 'AzurePublic', 'AzureChina', or 'AzureGovernment'.
        cloud: 'AzurePublic'
        managedIdentity:
          clientId: "<clientId of the managed identity>"
        oauth:
          clientId: "<clientId of the Entra app>"
          clientSecret:
            name: remote-write-secret
            key: password
          tenantId: "<Azure subscription tenant Id>"

3. Gunakan helm untuk memperbarui konfigurasi tulis jarak jauh Anda menggunakan file yaml di atas.

helm upgrade -f <YAML-FILENAME>.yml prometheus prometheus-community/kube-prometheus-stack --namespace <namespace where Prometheus Operator is deployed>

Mengonfigurasi penulisan jarak jauh untuk Prometheus yang berjalan di VM atau lingkungan lainnya

Untuk mengirim data ke Ruang Kerja Azure Monitor Anda, tambahkan bagian berikut ke file konfigurasi (prometheus.yml) instans Prometheus yang dikelola sendiri.

remote_write:   
  - url: "<metrics ingestion endpoint for your Azure Monitor workspace>"
# AzureAD configuration.
# The Azure Cloud. Options are 'AzurePublic', 'AzureChina', or 'AzureGovernment'.
  azuread:
    cloud: 'AzurePublic'
    managed_identity:
      client_id: "<client-id of the managed identity>"
    oauth:
      client_id: "<client-id from the Entra app>"
      client_secret: "<client secret from the Entra app>"
      tenant_id: "<Azure subscription tenant Id>"

Parameter url menentukan titik akhir penyerapan metrik ruang kerja Azure Monitor. Ini dapat ditemukan di halaman Gambaran Umum ruang kerja Azure Monitor Anda di portal Azure.

managed_identityGunakan , atau oauth untuk autentikasi aplikasi ID Microsoft Entra, tergantung pada implementasi Anda. Hapus objek yang tidak Anda gunakan.

Temukan ID klien Anda untuk identitas terkelola menggunakan perintah Azure CLI berikut:

az identity list --resource-group <resource group name>

Untuk informasi selengkapnya, lihat az identity list.

Untuk menemukan klien Anda untuk autentikasi identitas terkelola di portal, buka halaman Identitas Terkelola di portal Azure dan pilih nama identitas yang relevan. Salin nilai ID Klien dari halaman Gambaran umum identitas.

Untuk menemukan ID klien untuk aplikasi ID Microsoft Entra, gunakan CLI berikut atau lihat langkah pertama di bagian Membuat aplikasi ID Microsoft Entra menggunakan portal Azure.

$ az ad app list --display-name < application name>

Untuk informasi selengkapnya, lihat daftar aplikasi az ad.

Catatan

Setelah mengedit file konfigurasi, mulai ulang Prometheus agar perubahan diterapkan.

Verifikasi bahwa data tulis jarak jauh mengalir

Gunakan metode berikut untuk memverifikasi bahwa data Prometheus sedang dikirim ke ruang kerja Azure Monitor Anda.

Penjelajah metrik Azure Monitor dengan PromQL

Untuk memeriksa apakah metrik mengalir ke ruang kerja Azure Monitor, dari ruang kerja Azure Monitor Anda di portal Azure, pilih Metrik. Gunakan penjelajah metrik untuk mengkueri metrik yang Anda harapkan dari lingkungan Prometheus yang dikelola sendiri. Untuk informasi selengkapnya, lihat Penjelajah metrik.

Penjelajah Prometheus di Ruang Kerja Azure Monitor

Prometheus Explorer menyediakan cara mudah untuk berinteraksi dengan metrik Prometheus dalam lingkungan Azure Anda, membuat pemantauan dan pemecahan masalah lebih efisien. Untuk menggunakan penjelajah Prometheus, buka ruang kerja Azure Monitor Anda di portal Azure dan pilih Prometheus Explorer untuk mengkueri metrik yang Anda harapkan dari lingkungan Prometheus yang dikelola sendiri. Untuk informasi selengkapnya, lihat Penjelajah Prometheus.

Grafana

Gunakan kueri PromQL di Grafana untuk memverifikasi bahwa hasilnya mengembalikan data yang diharapkan. Untuk mengonfigurasi Grafana, lihat mendapatkan penyiapan Grafana dengan Managed Prometheus

Memecahkan masalah penulisan jarak jauh

Jika data jarak jauh tidak muncul di ruang kerja Azure Monitor Anda, lihat Memecahkan masalah penulisan jarak jauh untuk masalah dan solusi umum.

Langkah berikutnya

• Pelajari selengkapnya tentang layanan terkelola Azure Monitor untuk Prometheus.
• Pelajari selengkapnya tentang mobil sisi proksi terbalik Azure Monitor untuk penulisan jarak jauh dari Prometheus yang dikelola sendiri yang berjalan di Kubernetes