Inviare metriche Prometheus da macchine virtuali, set di scalabilità o cluster Kubernetes a un'area di lavoro di Monitoraggio di Azure

Prometheus non è limitato al monitoraggio dei cluster Kubernetes. Usare Prometheus per monitorare applicazioni e servizi in esecuzione nei server, ovunque si trovino. Ad esempio, è possibile monitorare le applicazioni in esecuzione in macchine virtuali, set di scalabilità di macchine virtuali o persino server locali. È anche possibile inviare metriche Prometheus a un'area di lavoro di Monitoraggio di Azure dal cluster autogestito e dal server Prometheus. Installare Prometheus nei server e configurare la scrittura remota per inviare metriche a un'area di lavoro di Monitoraggio di Azure.

Questo articolo illustra come configurare la scrittura remota per inviare dati da un'istanza autogestita di Prometheus a un'area di lavoro di Monitoraggio di Azure.

Opzioni di scrittura remota

Prometheus autogestito può essere eseguito in Azure e in ambienti non-Azure. Di seguito sono riportate le opzioni di autenticazione per la scrittura remota nell'area di lavoro di Monitoraggio di Azure in base all'ambiente in cui Prometheus è in esecuzione.

Macchine virtuali gestite da Azure, set di scalabilità di macchine virtuali e cluster Kubernetes

Usare l'autenticazione dell'identità gestita assegnata dall'utente per i servizi che eseguono Prometheus autogestito in un ambiente Azure. I servizi gestiti da Azure includono:

• Macchine virtuali di Azure
• Set di scalabilità di macchine virtuali di Azure
• Servizio Azure Kubernetes (AKS)

Per configurare la scrittura remota per le risorse gestite da Azure, vedere Scrittura remota usando l'identità gestita assegnata dall'utente.

Macchine virtuali e cluster Kubernetes in esecuzione in ambienti non-Azure

Se si dispone di macchine virtuali o di un cluster Kubernetes in ambienti non-Azure e o è stato eseguito l'onboarding in Azure Arc, installare Prometheus autogestito e configurare la scrittura remota usando l'autenticazione tramite l'applicazione Microsoft Entra ID. Per altre informazioni, vedere Scrittura remota usando l'autenticazione dell'applicazione Microsoft Entra ID.

L'onboarding nei servizi abilitati per Azure Arc consente di gestire e configurare macchine virtuali non-Azure in Azure. Per altre informazioni sull'onboarding di macchine virtuali a server abilitati per Azure Arc, vedere Server abilitati per Azure Arc e Kubernetes abilitato per Azure Arc. I servizi abilitati per Arc supportano solo l'autenticazione tramite Microsoft Entra ID.

Nota

L'identità gestita assegnata dal sistema non è supportata per la scrittura remota nelle aree di lavoro di Monitoraggio di Azure. Usare l'identità gestita assegnata dall'utente o l'autenticazione tramite l'applicazione Microsoft Entra ID.

Prerequisiti

Versioni supportate

• È necessario disporre di Prometheus versione 2.45 o successive per poter eseguire l'autenticazione dell'identità gestita.
• È necessario disporre di Prometheus versione 2.48 o successive per poter eseguire l'autenticazione a Microsoft Entra ID.

Area di lavoro di Monitoraggio di Azure

Questo articolo illustra l'invio di metriche Prometheus a un'area di lavoro di Monitoraggio di Azure. Per creare un'area di lavoro di Monitoraggio di Azure, vedere Gestire un'area di lavoro di Monitoraggio di Azure.

Autorizzazioni

Per completare i passaggi descritti in questo articolo, sono necessarie autorizzazioni di amministratore per il cluster o la risorsa.

Configurare l'autenticazione per la scrittura remota

A seconda dell'ambiente in cui Prometheus è in esecuzione, è possibile configurare la scrittura remota per usare l'identità gestita assegnata dall'utente o l'autenticazione dell'applicazione Microsoft Entra ID per inviare dati all'area di lavoro di Monitoraggio di Azure.

Usare il portale di Azure o l'interfaccia della riga di comando per creare un'identità gestita assegnata dall'utente o un'applicazione Microsoft Entra ID.

Scrittura remota con identità gestita assegnata dall'utente

Scrittura remota con l'autenticazione dell'identità gestita assegnata dall'utente

L'autenticazione dell'identità gestita assegnata dall'utente può essere usata in qualsiasi ambiente gestito da Azure. Se il servizio Prometheus è in esecuzione in un ambiente non-Azure, è possibile usare l'autenticazione tramite l'applicazione Microsoft Entra ID.

Per configurare un'identità gestita assegnata dall'utente per la scrittura remota nell'area di lavoro di Monitoraggio di Azure, seguire questa procedura.

Creare un'identità gestita assegnata dall'utente

Per creare un'identità gestita dall'utente da usare nella configurazione di scrittura remota, vedere Gestire le identità gestite assegnate dall'utente.

Notare il valore di clientId dell'identità gestita creata. Questo ID viene usato nella configurazione di scrittura remota di Prometheus.

Assegnare il ruolo di editore delle metriche di monitoraggio all'applicazione

Nella regola di raccolta dati dell'area di lavoro, assegnare il ruolo Monitoring Metrics Publisher all'identità gestita.

1. Nella pagina Panoramica dell'area di lavoro di Monitoraggio di Azure, selezionare il collegamento Regola raccolta dati.

   

2. Nella pagina della regola di raccolta dati, selezionare Controllo di accesso (IAM).

3. Selezionare Aggiungi e Aggiungi assegnazione di ruolo.

4. Cercare e selezionare Monitoraggio editore metriche, quindi selezionare Avanti.

5. Selezionare Identità gestita.

6. Selezionare Selezionare i membri.

7. Nell'elenco a discesa Entità gestita, identità gestita assegnata dall'utente.

8. Selezionare l'identità assegnata dall'utente che si vuole usare, quindi fare clic su Seleziona.

9. Selezionare Rivedi e assegna per completare l'assegnazione di ruolo.

   

Assegnare l'identità gestita a una macchina virtuale o a un set di scalabilità di macchine virtuali

Importante

Per completare i passaggi descritti in questa sezione, è necessario disporre delle autorizzazioni di accesso utente di amministratore o proprietario per la macchina virtuale o il set di scalabilità di macchine virtuali.

1. Nel portale di Azure passare alla pagina del cluster, della macchina virtuale o del set di scalabilità di macchine virtuali.

2. Selezionare Identità.

3. Selezionare Assegnata dall'utente.

4. Selezionare Aggiungi.

5. Selezionare l'identità gestita assegnata dall'utente creata e quindi selezionare Aggiungi.

   

Assegnare l'identità gestita per un servizio Azure Kubernetes

Per servizi Azure Kubernetes, l'identità gestita deve essere assegnata ai set di scalabilità di macchine virtuali.

Il servizio Azure Kubernetes crea un gruppo di risorse contenente i set di scalabilità di macchine virtuali. Il nome del gruppo di risorse è nel formato MC_<resource group name>_<AKS cluster name>_<region>. Per ogni set di scalabilità di macchine virtuali nel gruppo di risorse, assegnare l'identità gestita seguendo i passaggi della sezione precedente, Assegnare l'identità gestita a una macchina virtuale o a un set di scalabilità di macchine virtuali.

Applicazione Microsoft Entra ID

Scrittura remota usando l'autenticazione dell'applicazione Microsoft Entra ID

L'autenticazione dell'applicazione Microsoft Entra ID può essere usata in qualsiasi ambiente. Se il servizio Prometheus è in esecuzione in un ambiente gestito da Azure, è consigliabile usare l'autenticazione dell'identità gestita assegnata dall'utente.

Per configurare la scrittura remota nell'area di lavoro di Monitoraggio di Azure usando un'applicazione Microsoft Entra ID, creare un'applicazione Microsoft Entra. Nella regola di raccolta dati dell'area di lavoro di Monitoraggio di Azure, assegnare il ruolo Monitoring Metrics Publisher all'applicazione Microsoft Entra.

Nota

L'applicazione Microsoft Entra usa un segreto client o una password. I segreti client hanno una data di scadenza. Assicurarsi di creare un nuovo segreto client prima che scada in modo da non perdere l'accesso autenticato.

Creazione di un'applicazione Microsoft Entra ID

Per creare un'applicazione Microsoft Entra ID usando il portale, vedere Creare un'applicazione Microsoft Entra ID e un'entità servizio in grado di accedere a risorse.

Dopo aver creato l'applicazione Microsoft Entra, ottenere l'ID client e generare un segreto client.

1. Nell'elenco delle applicazioni, copiare il valore di ID applicazione (client) per l'applicazione registrata. Questo valore viene usato nella configurazione di scrittura remota di Prometheus come valore per client_id.

   

2. Selezionare Certificati e segreti

3. Selezionare Segreti client, quindi selezionare Nuovo segreto client per creare un nuovo segreto

4. Immettere una descrizione, impostare la data di scadenza e selezionare Aggiungi.

   

5. Copiare il valore del segreto in modo sicuro. Il valore viene usato nella configurazione di scrittura remota di Prometheus come valore per client_secret. Il valore del segreto client è visibile solo quando viene creato e non può essere recuperato in un secondo momento. Se lo si dovesse perdere, sarà necessario creare un nuovo segreto client.

   

Assegnare il ruolo di editore delle metriche di monitoraggio all'applicazione

Assegnare il ruolo Monitoring Metrics Publisher nella regola di raccolta dati dell'area di lavoro all'applicazione.

1. Nella pagina Panoramica dell'area di lavoro di Monitoraggio di Azure, selezionare il collegamento Regola raccolta dati.

   

2. Nella pagina di panoramica della regola di raccolta dati, selezionare Controllo di accesso (IAM).

3. Selezionare Aggiungi e quindi selezionare Aggiungi assegnazione di ruolo.

   

4. Selezionare il ruolo Editore metriche di monitoraggio, quindi selezionare Avanti.

   

5. Selezionare Utente, gruppo o entità servizio, quindi scegliere Seleziona membri. Selezionare l'applicazione creata e quindi scegliere Seleziona.

   

6. Per completare l'assegnazione di ruolo, selezionare Rivedi e assegna.

CLI

Creare identità assegnate dall'utente e app Microsoft Entra ID usando l'interfaccia della riga di comando

Creare un'identità gestita assegnata dall'utente

Creare un'identità gestita assegnata dall'utente per la scrittura remota seguendo questa procedura:

1. Creare un'identità gestita assegnata dall'utente
2. Nella regola di raccolta dati dell'area di lavoro, assegnare il ruolo Monitoring Metrics Publisher all'identità gestita.
3. Assegnare l'identità gestita a una macchina virtuale o a un set di scalabilità di macchine virtuali.

Prendere nota del valore di clientId dell'identità gestita creata. Questo ID viene usato nella configurazione di scrittura remota di Prometheus.

1. Creare un'identità gestita assegnata dall'utente usando il comando dell'interfaccia della riga di comando seguente:

   az account set \
   --subscription <subscription id>
   
   az identity create \
   --name <identity name> \
   --resource-group <resource group name>
   

   Di seguito è riportato un esempio dell'output visualizzato:

   {
     "clientId": "00001111-aaaa-2222-bbbb-3333cccc4444",
     "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/rg-001/providers/Microsoft.ManagedIdentity/userAssignedIdentities/PromRemoteWriteIdentity",
     "location": "eastus",
     "name": "PromRemoteWriteIdentity",
     "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
     "resourceGroup": "rg-001",
     "systemData": null,
     "tags": {},
     "tenantId": "ffff5f5f-aa6a-bb7b-cc8c-dddddd9d9d9d",
     "type": "Microsoft.ManagedIdentity/userAssignedIdentities"
   }
   

2. Nella regola di raccolta dati dell'area di lavoro, assegnare il ruolo Monitoring Metrics Publisher all'identità gestita.

   az role assignment create \
   --role "Monitoring Metrics Publisher" \
   --assignee <managed identity client ID> \
   --scope <data collection rule resource ID>
   

   ad esempio:

   az role assignment create \
   --role "Monitoring Metrics Publisher" \
   --assignee 00001111-aaaa-2222-bbbb-3333cccc4444 \
   --scope /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/MA_amw-001_eastus_managed/providers/Microsoft.Insights/dataCollectionRules/amw-001
   

3. Assegnare l'identità gestita a una macchina virtuale o a un set di scalabilità di macchine virtuali.

   Per le macchine virtuali:

   az vm identity assign \
   -g <resource group name> \
   -n <virtual machine name> \
   --identities <user assigned identity resource ID>
   

   Per set di scalabilità di macchine virtuali:

   az vmss identity assign \
   -g <resource group name> \
   -n <VSS name> \
   --identities <user assigned identity resource ID>
   

   Ad esempio, per un set di scalabilità di macchine virtuali:

   az vm identity assign \
   -g rg-prom-on-vm \
   -n win-vm-prom \
   --identities /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/rg-001/providers/Microsoft.ManagedIdentity/userAssignedIdentities/PromRemoteWriteIdentity
   

Per altre informazioni, vedere az identity create e az role assignment create.

Creazione di un'applicazione Microsoft Entra ID

Per creare un'applicazione Microsoft Entra ID usando l'interfaccia della riga di comando e assegnare il ruolo Monitoring Metrics Publisher, eseguire il comando seguente:

az ad sp create-for-rbac --name <application name> \
--role "Monitoring Metrics Publisher" \
--scopes <azure monitor workspace data collection rule Id>

ad esempio:

az ad sp create-for-rbac \
--name PromRemoteWriteApp \
--role "Monitoring Metrics Publisher" \
--scopes /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/MA_amw-001_eastus_managed/providers/Microsoft.nsights/dataCollectionRules/amw-001

Di seguito è riportato un esempio dell'output visualizzato:

{
  "appId": "66667777-aaaa-8888-bbbb-9999cccc0000",
  "displayName": "PromRemoteWriteApp",
  "password": "Aa1Bb~2Cc3.-Dd4Ee5Ff6Gg7Hh8Ii9_Jj0Kk1Ll2",
  "tenant": "ffff5f5f-aa6a-bb7b-cc8c-dddddd9d9d9d"
}

L'output contiene i valori appId e password. Salvare questi valori da usare nella configurazione di scrittura remota di Prometheus come valori per client_id e client_secret. I valori della password o del segreto client sono visibili solo quando vengono creati e non possono essere recuperati in un secondo momento. Se lo si dovesse perdere, sarà necessario creare un nuovo segreto client.

Per altre informazioni, vedere az ad app create e az ad sp create-for-rbac.

Configurare la scrittura remota

La scrittura remota viene configurata nel file di configurazione prometheus.yml o in Prometheus Operator.

Per altre informazioni sulla configurazione della scrittura remota, vedere l'articolo Prometheus.io: Configurazione. Per altre informazioni sull'ottimizzazione della configurazione di scrittura remota, vedere Ottimizzazione della scrittura remota.

Configurare la scrittura remota per Prometheus in esecuzione in macchine virtuali

Per inviare dati all'area di lavoro di Monitoraggio di Azure, aggiungere la sezione seguente al file di configurazione (prometheus.yml) dell'istanza autogestita di Prometheus.

remote_write:   
  - url: "<metrics ingestion endpoint for your Azure Monitor workspace>"
# AzureAD configuration.
# The Azure Cloud. Options are 'AzurePublic', 'AzureChina', or 'AzureGovernment'.
    azuread:
      cloud: 'AzurePublic'
      managed_identity:
        client_id: "<client-id of the managed identity>"
      oauth:
        client_id: "<client-id from the Entra app>"
        client_secret: "<client secret from the Entra app>"
        tenant_id: "<Azure subscription tenant Id>"

Configurare la scrittura remota in Kubernetes per Prometheus Operator

Prometheus Operator

Se si usa un cluster Kubernetes che esegue Prometheus Operator, seguire questa procedura per inviare dati all'area di lavoro di Monitoraggio di Azure.

1. Se si usa l'autenticazione microsoft Entra ID, convertire il segreto usando la codifica Base64 e applicare il segreto nel cluster Kubernetes. Salvare il codice riportato di seguito in un file YAML. Ignorare questo passaggio se si usa un'autenticazione con identità gestita.

apiVersion: v1
kind: Secret
metadata:
  name: remote-write-secret
  namespace: monitoring # Replace with namespace where Prometheus Operator is deployed. 
type: Opaque
data:
  password: <base64-encoded-secret>

Applicare il segreto.

# set context to your cluster 
az aks get-credentials -g <aks-rg-name> -n <aks-cluster-name> 

kubectl apply -f <remote-write-secret.yaml>

2. Aggiornare i valori per la sezione di scrittura remota in Prometheus Operator. Copiare il codice YAML seguente e salvarlo come file. Per altre informazioni sulla specifica di scrittura remota dell'area di lavoro di Monitoraggio di Azure in Prometheus, vedere la documentazione relativa a Prometheus Operator.

prometheus:
  prometheusSpec:
    remoteWrite:
    - url: "<metrics ingestion endpoint for your Azure Monitor workspace>"
      azureAd:
# AzureAD configuration.
# The Azure Cloud. Options are 'AzurePublic', 'AzureChina', or 'AzureGovernment'.
        cloud: 'AzurePublic'
        managedIdentity:
          clientId: "<clientId of the managed identity>"
        oauth:
          clientId: "<clientId of the Entra app>"
          clientSecret:
            name: remote-write-secret
            key: password
          tenantId: "<Azure subscription tenant Id>"

3. Usare helm per aggiornare la configurazione di scrittura remota usando il file yaml precedente.

helm upgrade -f <YAML-FILENAME>.yml prometheus prometheus-community/kube-prometheus-stack --namespace <namespace where Prometheus Operator is deployed>

Il parametro url specifica l'endpoint di inserimento delle metriche dell'area di lavoro di Monitoraggio di Azure. È disponibile nella pagina Panoramica dell'area di lavoro di Monitoraggio di Azure nel portale di Azure.

Usare managed_identity o oauth per l'autenticazione dell'applicazione Microsoft Entra ID, a seconda dell'implementazione. Rimuovere l'oggetto che non si sta usando.

Trovare l'ID client per l'identità gestita usando il comando dell'interfaccia della riga di comando di Azure seguente:

az identity list --resource-group <resource group name>

Per altre informazioni, vedere az identity list.

Per trovare il client per l'autenticazione dell'identità gestita nel portale, passare alla pagina Identità gestite nel portale di Azure e selezionare il nome identità pertinente. Copiare il valore dell'ID client dalla pagina Panoramica dell'identità.

Per trovare l'ID client per l'applicazione Microsoft Entra ID, usare l'interfaccia della riga di comando seguente o vedere il primo passaggio nella sezione Creare un'applicazione Microsoft Entra ID usando il portale di Azure.

$ az ad app list --display-name < application name>

Per altre informazioni, vedere az ad app list.

Nota

Dopo aver modificato il file di configurazione, riavviare Prometheus per applicare le modifiche.

Verificare che i dati di scrittura remota vengano trasmessi

Usare i metodi seguenti per verificare che i dati di Prometheus vengano inviati nell'area di lavoro di Monitoraggio di Azure.

Esplora metriche di Monitoraggio di Azure con PromQL

Per verificare se le metriche vengano propagate all'area di lavoro di Monitoraggio di Azure, dall'area di lavoro di Monitoraggio di Azure nel portale di Azure, selezionare Metriche. Usare Esplora metriche per eseguire query sulle metriche previste dall'ambiente Prometheus autogestito. Per altre informazioni, vedere Esplora metriche.

Prometheus Explorer nell'area di lavoro di Monitoraggio di Azure

Prometheus Explorer offre un modo pratico per interagire con le metriche Prometheus all'interno dell'ambiente Azure, rendendo più efficiente il monitoraggio e la risoluzione dei problemi. Per usare Prometheus Explorer, passare all'area di lavoro di Monitoraggio di Azure nel portale di Azure e selezionare Prometheus Explorer per eseguire query sulle metriche previste dall'ambiente Prometheus autogestito. Per altre informazioni, vedere Prometheus Explorer.

Grafana

Usare query PromQL in Grafana per verificare che i risultati restituiscano i dati previsti. Per configurare Grafana, vedere Ottenere la configurazione di Grafana con Prometheus gestito

Risolvere i problemi di scrittura remota

Se i dati remoti non vengono visualizzati nell'area di lavoro di Monitoraggio di Azure, vedere Risolvere i problemi di scrittura remota per problemi e soluzioni comuni.

Passaggi successivi

• Altre informazioni sul servizio gestito di Monitoraggio di Azure per Prometheus.
• Altre informazioni sul side car del proxy inverso di Monitoraggio di Azure per la scrittura remota da Prometheus autogestito in esecuzione in Kubernetes