Inviare le metriche prometheus da Macchine virtuali a un'area di lavoro di Monitoraggio di Azure

Prometheus non è limitato al monitoraggio dei cluster Kubernetes. Usare Prometheus per monitorare applicazioni e servizi in esecuzione nei server, ovunque siano in esecuzione. Ad esempio, è possibile monitorare le applicazioni in esecuzione in Macchine virtuali, set di scalabilità di macchine virtuali o persino in server locali. Installare prometheus nei server e configurare la scrittura remota per inviare metriche a un'area di lavoro di Monitoraggio di Azure.

Questo articolo illustra come configurare la scrittura remota per inviare dati da un'istanza di Prometheus autogestito a un'area di lavoro di Monitoraggio di Azure.

Opzioni di scrittura remota

Prometheus autogestito può essere eseguito in azure e in ambienti non Azure. Di seguito sono riportate le opzioni di autenticazione per la scrittura remota nell'area di lavoro di Monitoraggio di Azure in base all'ambiente in cui è in esecuzione Prometheus.

Macchine virtuali e set di scalabilità di macchine virtuali gestiti di Azure

Usare l'autenticazione dell'identità gestita assegnata dall'utente per i servizi che eseguono Prometheus autogestito in un ambiente Azure. I servizi gestiti di Azure includono:

• Macchine virtuali di Azure
• Set di scalabilità di macchine virtuali di Azure
• Macchine virtuali abilitate per Azure Arc

Per configurare la scrittura remota per le risorse gestite di Azure, vedere Remote-write using user-assigned managed identity (Scrittura remota usando l'identità gestita assegnata dall'utente).

Macchine virtuali in esecuzione in ambienti non Azure.

L'onboarding nei servizi abilitati per Azure Arc consente di gestire e configurare macchine virtuali non di Azure in Azure. Dopo l'onboarding, configurare Remote-write usando l'autenticazione dell'identità gestita assegnata dall'utente. Per altre informazioni sull'onboarding di Macchine virtuali nei server abilitati per Azure Arc, vedere Server abilitati per Azure Arc.

Se si dispone di macchine virtuali in ambienti non Azure e non si vuole eseguire l'onboarding in Azure Arc, installare Prometheus autogestito e configurare la scrittura remota usando l'autenticazione dell'applicazione Microsoft Entra ID. Per altre informazioni, vedere Remote-write using Microsoft Entra ID application authentication .For more information, see Remote-write using Microsoft Entra ID application authentication.

Prerequisiti

Versioni supportate

• Le versioni prometheus successive alla versione 2.45 sono necessarie per l'autenticazione dell'identità gestita.
• Le versioni di Prometheus successive alla versione 2.48 sono necessarie per l'autenticazione dell'applicazione Microsoft Entra ID.

Area di lavoro di Monitoraggio di Azure

Questo articolo illustra l'invio di metriche prometheus a un'area di lavoro di Monitoraggio di Azure. Per creare un'area di lavoro di Monitoraggio di Azure, vedere Gestire un'area di lavoro di Monitoraggio di Azure.

Autorizzazioni

Amministrazione istrator sono necessarie autorizzazioni per il cluster o la risorsa per completare i passaggi descritti in questo articolo.

Configurare l'autenticazione per la scrittura remota

A seconda dell'ambiente in cui è in esecuzione Prometheus, è possibile configurare la scrittura remota per usare l'identità gestita assegnata dall'utente o l'autenticazione dell'applicazione Microsoft Entra ID per inviare dati all'area di lavoro di Monitoraggio di Azure.

Usare il portale di Azure o l'interfaccia della riga di comando per creare un'identità gestita assegnata dall'utente o un'applicazione Microsoft Entra ID.

Scrittura remota con identità gestita assegnata dall'utente

Scrittura remota con l'autenticazione dell'identità gestita assegnata dall'utente

Per configurare un'identità gestita assegnata dall'utente per la scrittura remota nell'area di lavoro di Monitoraggio di Azure, seguire questa procedura.

Creare un'identità gestita assegnata dall'utente

Per creare un'identità gestita dall'utente da usare nella configurazione di scrittura remota, vedere Gestire le identità gestite assegnate dall'utente.

Si noti il valore dell'oggetto clientId dell'identità gestita creata. Questo ID viene usato nella configurazione di scrittura remota di Prometheus.

Assegnare il ruolo di server di pubblicazione delle metriche di monitoraggio all'applicazione

Assegnare il Monitoring Metrics Publisher ruolo nella regola di raccolta dati dell'area di lavoro all'identità gestita.

1. Nella pagina Panoramica dell'area di lavoro di Monitoraggio di Azure selezionare il collegamento Regola raccolta dati.

   

2. Nella pagina della regola di raccolta dati selezionare Controllo di accesso (IAM).

3. Selezionare Aggiungi e Aggiungi assegnazione di ruolo.

4. Cercare e selezionare Monitoraggio server di pubblicazione metriche e quindi selezionare Avanti.

5. Selezionare Identità gestita.

6. Selezionare Selezionare i membri.

7. Nell'elenco a discesa Entità gestita, identità gestita assegnata dall'utente.

8. Selezionare l'identità assegnata dall'utente che si vuole usare, quindi fare clic su Seleziona.

9. Selezionare Rivedi e assegna per completare l'assegnazione di ruolo.

   

Assegnare l'identità gestita a una macchina virtuale o a un set di scalabilità di macchine virtuali.

Importante

Per completare i passaggi descritti in questa sezione, è necessario disporre delle autorizzazioni di amministratore di accesso utente o proprietario per la macchina virtuale o il set di scalabilità MAchine virtuale.

1. Nella portale di Azure passare alla pagina del cluster, della macchina virtuale o del set di scalabilità di macchine virtuali.

2. Selezionare Identità.

3. Selezionare Utente assegnato.

4. Selezionare Aggiungi.

5. Selezionare l'identità gestita assegnata dall'utente creata e quindi selezionare Aggiungi.

   

Applicazione Microsoft Entra ID

Scrittura remota con l'autenticazione dell'applicazione Microsoft Entra ID

Per configurare la scrittura remota nell'area di lavoro di Monitoraggio di Azure usando un'applicazione Microsoft Entra ID, creare un'applicazione Entra e assegnargli il Monitoring Metrics Publisher ruolo nella regola di raccolta dati dell'area di lavoro all'applicazione.

Nota

L'applicazione Azure Entra usa un segreto client o una password. I segreti client hanno una data di scadenza. Assicurarsi di creare un nuovo segreto client prima che scada in modo da non perdere l'accesso autenticato

Creazione di un'applicazione Microsoft Entra ID

Per creare un'applicazione Microsoft Entra ID usando il portale, vedere Creare un'applicazione Microsoft Entra ID e un'entità servizio in grado di accedere alle risorse.

Dopo aver creato l'applicazione Entra, ottenere l'ID client e generare un segreto client.

1. Nell'elenco delle applicazioni copiare il valore di ID applicazione (client) per l'applicazione registrata. Questo valore viene usato nella configurazione di scrittura remota di Prometheus come valore per client_id.

   

2. Selezionare Certificati e segreti

3. Selezionare Segreti client, selezionare Nuovo segreto client per creare un nuovo segreto

4. Immettere una descrizione, impostare la data di scadenza e selezionare Aggiungi.

   

5. Copiare il valore del segreto in modo sicuro. Il valore viene usato nella configurazione di scrittura remota di Prometheus come valore per client_secret. Il valore del segreto client è visibile solo quando viene creato e non può essere recuperato in un secondo momento. In caso di perdita, è necessario creare un nuovo segreto client.

   

Assegnare il ruolo di server di pubblicazione delle metriche di monitoraggio all'applicazione

Assegnare il Monitoring Metrics Publisher ruolo nella regola di raccolta dati dell'area di lavoro all'applicazione.

1. Nella pagina panoramica dell'area di lavoro Monitoraggio di Azure selezionare il collegamento Regola raccolta dati.

   

2. Nella pagina di panoramica della regola di raccolta dati selezionare Controllo di accesso (IAM).

3. Selezionare Aggiungi e quindi selezionare Aggiungi assegnazione di ruolo.

   

4. Selezionare il ruolo Server di pubblicazione metriche di monitoraggio e quindi selezionare Avanti.

   

5. Selezionare Utente, gruppo o entità servizio e quindi selezionare Seleziona membri. Selezionare l'applicazione creata e quindi scegliere Seleziona.

   

6. Per completare l'assegnazione di ruolo, selezionare Rivedi e assegna.

CLI

Creare identità assegnate dall'utente e app Microsoft Entra ID usando l'interfaccia della riga di comando

Creare un'identità gestita assegnata dall'utente

Creare un'identità gestita assegnata dall'utente per la scrittura remota seguendo questa procedura:

1. Creare un'identità gestita assegnata dall'utente
2. Assegnare il Monitoring Metrics Publisher ruolo nella regola di raccolta dati dell'area di lavoro all'identità gestita
3. Assegnare l'identità gestita a una macchina virtuale o a un set di scalabilità di macchine virtuali.

Prendere nota del valore dell'identità clientId gestita creata. Questo ID viene usato nella configurazione di scrittura remota di Prometheus.

1. Creare un'identità gestita assegnata dall'utente usando il comando dell'interfaccia della riga di comando seguente:

   az account set \
   --subscription <subscription id>
   
   az identity create \
   --name <identity name> \
   --resource-group <resource group name>
   

   Di seguito è riportato un esempio dell'output visualizzato:

   {
     "clientId": "abcdef01-a123-b456-d789-0123abc345de",
     "id": "/subscriptions/12345678-abcd-1234-abcd-1234567890ab/resourcegroups/rg-001/providers/Microsoft.ManagedIdentity/userAssignedIdentities/PromRemoteWriteIdentity",
     "location": "eastus",
     "name": "PromRemoteWriteIdentity",
     "principalId": "98765432-0123-abcd-9876-1a2b3c4d5e6f",
     "resourceGroup": "rg-001",
     "systemData": null,
     "tags": {},
     "tenantId": "ffff1234-aa01-02bb-03cc-0f9e8d7c6b5a",
     "type": "Microsoft.ManagedIdentity/userAssignedIdentities"
   }
   

2. Assegnare il Monitoring Metrics Publisher ruolo nella regola di raccolta dati dell'area di lavoro all'identità gestita.

   az role assignment create \
   --role "Monitoring Metrics Publisher" \
   --assignee <managed identity client ID> \
   --scope <data collection rule resource ID>
   

   ad esempio:

   az role assignment create \
   --role "Monitoring Metrics Publisher" \
   --assignee abcdef01-a123-b456-d789-0123abc345de \
   --scope /subscriptions/12345678-abcd-1234-abcd-1234567890ab/resourceGroups/MA_amw-001_eastus_managed/providers/Microsoft.Insights/dataCollectionRules/amw-001
   

3. Assegnare l'identità gestita a una macchina virtuale o a un set di scalabilità di macchine virtuali.

   Per le macchine virtuali:

   az vm identity assign \
   -g <resource group name> \
   -n <virtual machine name> \
   --identities <user assigned identity resource ID>
   

   Per set di scalabilità di macchine virtuali:

   az vmss identity assign \
   -g <resource group name> \
   -n <VSS name> \
   --identities <user assigned identity resource ID>
   

   Ad esempio, per un set di scalabilità di macchine virtuali:

   az vm identity assign \
   -g rg-prom-on-vm \
   -n win-vm-prom \
   --identities /subscriptions/12345678-abcd-1234-abcd-1234567890ab/resourcegroups/rg-001/providers/Microsoft.ManagedIdentity/userAssignedIdentities/PromRemoteWriteIdentity
   

Per altre informazioni, vedere az identity create e az role assignment create.

Creazione di un'applicazione Microsoft Entra ID

Per creare un'applicazione Microsoft Entra ID usando l'interfaccia della riga di comando e assegnare il Monitoring Metrics Publisher ruolo, eseguire il comando seguente:

az ad sp create-for-rbac --name <application name> \
--role "Monitoring Metrics Publisher" \
--scopes <azure monitor workspace data collection rule Id>

ad esempio:

az ad sp create-for-rbac \
--name PromRemoteWriteApp \
--role "Monitoring Metrics Publisher" \
--scopes /subscriptions/abcdef00-1234-5678-abcd-1234567890ab/resourceGroups/MA_amw-001_eastus_managed/providers/Microsoft.nsights/dataCollectionRules/amw-001

Di seguito è riportato un esempio dell'output visualizzato:

{
  "appId": "01234567-abcd-ef01-2345-67890abcdef0",
  "displayName": "PromRemoteWriteApp",
  "password": "AbCDefgh1234578~zxcv.09875dslkhjKLHJHLKJ",
  "tenant": "abcdef00-1234-5687-abcd-1234567890ab"
}

L'output contiene i appId valori e password . Salvare questi valori da usare nella configurazione di scrittura remota di Prometheus come valori per client_id e client_secret Il valore della password o del segreto client è visibile solo quando viene creato e non può essere recuperato in un secondo momento. In caso di perdita, è necessario creare un nuovo segreto client.

Per altre informazioni, vedere az ad app create e az ad sp create-for-rbac.

Configurare la scrittura remota

La scrittura remota viene configurata nel file prometheus.ymldi configurazione di Prometheus.

Per altre informazioni sulla configurazione della scrittura remota, vedere l'articolo Prometheus.io: Configurazione. Per altre informazioni sull'ottimizzazione della configurazione di scrittura remota, vedere Ottimizzazione remota della scrittura.

Per inviare dati all'area di lavoro di Monitoraggio di Azure, aggiungere la sezione seguente al file di configurazione dell'istanza di Prometheus autogestito.

remote_write:   
  - url: "<metrics ingestion endpoint for your Azure Monitor workspace>"
# AzureAD configuration.
# The Azure Cloud. Options are 'AzurePublic', 'AzureChina', or 'AzureGovernment'.
  azuread:
    cloud: 'AzurePublic'
    managed_identity:
      client_id: "<client-id of the managed identity>"
    oauth:
      client_id: "<client-id from the Entra app>"
      client_secret: "<client secret from the Entra app>"
      tenant_id: "<Azure subscription tenant Id>"

Il url parametro specifica l'endpoint di inserimento delle metriche dell'area di lavoro monitoraggio di Azure. È disponibile nella pagina Panoramica dell'area di lavoro di Monitoraggio di Azure nella portale di Azure.

Usare o oauth per l'autenticazione dell'applicazione managed_identityMicrosoft Entra ID, a seconda dell'implementazione. Rimuovere l'oggetto che non si sta usando.

Trovare l'ID client per l'identità gestita usando il comando dell'interfaccia della riga di comando di Azure seguente:

az identity list --resource-group <resource group name>

Per altre informazioni, vedere az identity list.

Per trovare il client per l'autenticazione dell'identità gestita nel portale, passare alla pagina Identità gestite nel portale di Azure e selezionare il nome dell'identità pertinente. Copiare il valore dell'ID client dalla pagina di panoramica dell'identità.

Per trovare l'ID client per l'applicazione Microsoft Entra ID, usare l'interfaccia della riga di comando seguente o vedere il primo passaggio nella sezione Creare un'applicazione Microsoft Entra ID usando la sezione portale di Azure.

$ az ad app list --display-name < application name>

Per altre informazioni, vedere az ad app list.

Nota

Dopo aver modificato il file di configurazione, riavviare Prometheus per applicare le modifiche.

Verificare che i dati di scrittura remota vengano trasmessi

Usare i metodi seguenti per verificare che i dati di Prometheus vengano inviati nell'area di lavoro di Monitoraggio di Azure.

Esplora metriche di Monitoraggio di Azure con PromQL

Per verificare se le metriche passano all'area di lavoro monitoraggio di Azure, dall'area di lavoro monitoraggio di Azure nella portale di Azure selezionare Metriche. Usare Esplora metriche per eseguire query sulle metriche previste dall'ambiente Prometheus autogestito. Per altre informazioni, vedere Esplora metriche.

Esplora prometheus nell'area di lavoro di Monitoraggio di Azure

Prometheus Explorer offre un modo pratico per interagire con le metriche prometheus all'interno dell'ambiente Azure, rendendo più efficiente il monitoraggio e la risoluzione dei problemi. Per usare Prometheus Explorer, passare all'area di lavoro di Monitoraggio di Azure nella portale di Azure e selezionare Esplora prometheus per eseguire query sulle metriche previste dall'ambiente Prometheus autogestito. Per altre informazioni, vedere Esplora prometheus.

Grafana

Usare le query PromQL in Grafana per verificare che i risultati restituiscano i dati previsti. Vedere come configurare Grafana con Managed Prometheus per configurare Grafana.

Risolvere i problemi di scrittura remota

Se i dati remoti non vengono visualizzati nell'area di lavoro di Monitoraggio di Azure, vedere Risolvere i problemi di scrittura remota per problemi e soluzioni comuni.

Passaggi successivi

• Altre informazioni sul servizio gestito di Monitoraggio di Azure per Prometheus.
• Altre informazioni sull'auto lato proxy inverso di Monitoraggio di Azure per la scrittura remota da Prometheus autogestito in esecuzione in Kubernetes