Отправка метрик Prometheus из виртуальных машин, масштабируемых наборов или кластеров Kubernetes в рабочую область Azure Monitor

Prometheus не ограничивается мониторингом кластеров Kubernetes. Используйте Prometheus для мониторинга приложений и служб, работающих на серверах, где бы они ни выполнялись. Например, можно отслеживать приложения, работающие на Виртуальные машины, Масштабируемые наборы виртуальных машин или даже на локальных серверах. Вы также можете отправлять метрики Prometheus в рабочую область Azure Monitor из локального кластера и сервера Prometheus. Установите prometheus на серверах и настройте удаленную запись для отправки метрик в рабочую область Azure Monitor.

В этой статье объясняется, как настроить удаленную запись для отправки данных из локального экземпляра Prometheus в рабочую область Azure Monitor.

Параметры удаленной записи

Самоуправляемый Prometheus может выполняться в Azure и средах, отличных от Azure. Ниже приведены параметры проверки подлинности для удаленной записи в рабочую область Azure Monitor в зависимости от среды, в которой выполняется Prometheus.

Управляемые Azure кластеры Виртуальные машины, Масштабируемые наборы виртуальных машин и Kubernetes

Используйте проверку подлинности управляемого удостоверения, назначаемую пользователем, для служб, работающих под управлением самообслуживания Prometheus в среде Azure. К управляемым Azure службам относятся:

• Виртуальные машины Azure
• Масштабируемые наборы виртуальных машин Azure
• Служба Azure Kubernetes (AKS)

Сведения о настройке удаленной записи для управляемых Azure ресурсов см. в статье "Удаленная запись с помощью управляемого удостоверения, назначаемого пользователем".

Виртуальные машины и кластеры Kubernetes, работающие в средах, отличных от Azure

Если у вас есть виртуальные машины или кластер Kubernetes в средах, отличных от Azure, или вы подключены к Azure Arc, установите самоуправляемый Prometheus и настройте удаленную запись с помощью проверки подлинности приложения Microsoft Entra ID. Дополнительные сведения см. в разделе "Удаленная запись" с помощью проверки подлинности приложения Идентификатора Microsoft Entra.

Подключение к службам с поддержкой Azure Arc позволяет управлять и настраивать виртуальные машины, отличные от Azure. Дополнительные сведения о подключении Виртуальные машины к серверам с поддержкой Azure Arc см. на серверах с поддержкой Azure Arc и Kubernetes с поддержкой Azure Arc. Службы с поддержкой Arc поддерживают только проверку подлинности идентификатора Microsoft Entra.

Примечание.

Назначаемое системой управляемое удостоверение не поддерживается для удаленной записи в рабочие области Azure Monitor. Используйте управляемое удостоверение, назначаемое пользователем, или проверку подлинности приложения Идентификатора Microsoft Entra.

Необходимые компоненты

Поддерживаемые версии

• Версии Prometheus, превышающие версию 2.45, требуются для проверки подлинности управляемого удостоверения.
• Версии Prometheus, превышающие версию 2.48, необходимы для проверки подлинности приложения Идентификатора Microsoft Entra.

Рабочая область Azure Monitor

В этой статье описывается отправка метрик Prometheus в рабочую область Azure Monitor. Сведения о создании рабочей области Azure Monitor см. в статье "Управление рабочей областью Azure Monitor".

Разрешения

Разрешения администратора для кластера или ресурса необходимы для выполнения действий, описанных в этой статье.

Настройка проверки подлинности для удаленной записи

В зависимости от среды, в которой запущен Prometheus, можно настроить удаленное запись для использования управляемого удостоверения, назначаемого пользователем, или проверки подлинности приложения Entra ID для отправки данных в рабочую область Azure Monitor.

Используйте портал Azure или CLI для создания управляемого удостоверения, назначаемого пользователем, или приложения идентификатора Microsoft Entra ID.

Удаленная запись с помощью управляемого удостоверения, назначаемого пользователем

Удаленная запись с помощью проверки подлинности управляемого удостоверения, назначаемого пользователем

Аутентификация управляемого удостоверения, назначаемого пользователем, может использоваться в любой управляемой Azure среде. Если служба Prometheus работает в среде, отличной от Azure, можно использовать проверку подлинности приложения Идентификатора Microsoft Entra.

Чтобы настроить управляемое удостоверение, назначаемое пользователем, для удаленной записи в рабочую область Azure Monitor, выполните следующие действия.

Создание управляемого удостоверения, назначаемого пользователем

Сведения о создании управляемого пользователем удостоверения для использования в конфигурации удаленной записи см. в статье "Управление управляемыми удостоверениями, назначаемыми пользователем".

Обратите внимание на значение clientId созданного управляемого удостоверения. Этот идентификатор используется в конфигурации удаленной записи Prometheus.

Назначение роли издателя метрик мониторинга приложению

В правиле сбора данных рабочей области назначьте Monitoring Metrics Publisher роль управляемому удостоверению.

1. На странице обзора рабочей области Azure Monitor выберите ссылку правила сбора данных.

   

2. На странице правила сбора данных выберите элемент управления доступом (IAM).

3. Выберите "Добавить" и "Добавить назначение ролей".

4. Найдите и выберите издатель метрик мониторинга и нажмите кнопку "Далее".

5. Выберите управляемое удостоверение.

6. Щелкните Выбор членов.

7. В раскрывающемся списке Управляемой сущности назначаемое пользователем управляемое удостоверение.

8. Выберите назначаемое пользователем удостоверение, а затем нажмите кнопку "Выбрать".

9. Выберите "Рецензирование" и " Назначить" , чтобы завершить назначение роли.

   

Назначение управляемого удостоверения виртуальной машине или масштабируемой группе виртуальных машин

Внимание

Чтобы выполнить действия, описанные в этом разделе, необходимо иметь разрешения администратора доступа или владельца виртуальной машины для масштабируемого набора виртуальных машин или виртуальной машины.

1. В портал Azure перейдите на страницу кластера, виртуальной машины или масштабируемого набора виртуальных машин.

2. Выберите Удостоверение.

3. Выберите назначенный пользователем.

4. Выберите Добавить.

5. Выберите созданное управляемое удостоверение, назначаемое пользователем, а затем нажмите кнопку "Добавить".

   

Назначение управляемого удостоверения для Служба Azure Kubernetes

Для служб Azure Kubernetes (AKS) управляемое удостоверение должно быть назначено масштабируемым наборам виртуальных машин.

AKS создает группу ресурсов, содержащую масштабируемые наборы виртуальных машин. Имя группы ресурсов находится в формате MC_<resource group name>_<AKS cluster name>_<region>. Для каждого масштабируемого набора виртуальных машин в группе ресурсов назначьте управляемое удостоверение в соответствии с инструкциями, описанными в предыдущем разделе, назначьте управляемое удостоверение виртуальной машине или масштабируемой группе виртуальных машин.

Приложение идентификатора Microsoft Entra

Удаленная запись с помощью проверки подлинности приложения Идентификатора Microsoft Entra

Проверка подлинности приложения идентификатора Записи Майкрософт может использоваться в любой среде. Если служба Prometheus работает в управляемой Azure среде, рассмотрите возможность использования проверки подлинности управляемого удостоверения, назначаемого пользователем.

Чтобы настроить удаленную запись в рабочую область Azure Monitor с помощью приложения идентификатора Microsoft Entra, создайте приложение Microsoft Entra. В правиле сбора данных рабочей области Azure Monitor назначьте Monitoring Metrics Publisher роль приложению Microsoft Entra.

Примечание.

Приложение Microsoft Entra использует секрет клиента или пароль. Секреты клиента имеют дату окончания срока действия. Перед истечением срока действия секрета клиента создайте новый секрет клиента, чтобы не потерять прошедший проверку подлинности доступ.

Создание приложения идентификатора Microsoft Entra

Сведения о создании приложения Идентификатора Microsoft Entra с помощью портала см. в статье "Создание приложения идентификатора Microsoft Entra ID и субъекта-службы", которое может получить доступ к ресурсам.

Создав приложение Microsoft Entra, получите идентификатор клиента и создайте секрет клиента.

1. В списке приложений скопируйте значение для идентификатора приложения (клиента) для зарегистрированного приложения. Это значение используется в конфигурации удаленной записи Prometheus в качестве значения client_id.

   

2. Выбор сертификатов и секретов

3. Выберите секреты клиента, а затем выберите новый секрет клиента, чтобы создать новый секрет

4. Введите описание, задайте дату окончания срока действия и нажмите кнопку "Добавить".

   

5. Скопируйте значение секрета безопасно. Значение используется в конфигурации удаленной записи Prometheus в качестве значения client_secret. Значение секрета клиента отображается только при создании и не может быть получено позже. При потере необходимо создать новый секрет клиента.

   

Назначение роли издателя метрик мониторинга приложению

Monitoring Metrics Publisher Назначьте роль в правиле сбора данных рабочей области приложению.

1. На странице обзора рабочей области Azure Monitor выберите ссылку правила сбора данных.

   

2. На странице обзора правила сбора данных выберите элемент управления доступом (IAM).

3. Выберите Добавить, затем выберите Добавить назначение ролей.

   

4. Выберите роль издателя метрик мониторинга и нажмите кнопку "Далее".

   

5. Выберите "Пользователь", "Группа" или "Субъект-служба", а затем выберите "Выбрать участников". Выберите созданное приложение и нажмите кнопку "Выбрать".

   

6. Чтобы завершить назначение роли, нажмите кнопку "Проверить и назначить".

CLI

Создание назначаемых пользователем удостоверений и приложений идентификатора Microsoft Entra с помощью CLI

Создание управляемого удостоверения, назначаемого пользователем

Создайте управляемое удостоверение, назначаемое пользователем, для удаленной записи, выполнив следующие действия.

1. Создание управляемого удостоверения, назначаемого пользователем
2. Monitoring Metrics Publisher Назначение роли в правиле сбора данных рабочей области управляемому удостоверению
3. Назначьте управляемое удостоверение виртуальной машине или масштабируемой группе виртуальных машин.

Обратите внимание на значение clientId создаваемого управляемого удостоверения. Этот идентификатор используется в конфигурации удаленной записи Prometheus.

1. Создайте управляемое удостоверение, назначаемое пользователем, с помощью следующей команды CLI:

   az account set \
   --subscription <subscription id>
   
   az identity create \
   --name <identity name> \
   --resource-group <resource group name>
   

   Ниже приведен пример отображаемых выходных данных:

   {
     "clientId": "00001111-aaaa-2222-bbbb-3333cccc4444",
     "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/rg-001/providers/Microsoft.ManagedIdentity/userAssignedIdentities/PromRemoteWriteIdentity",
     "location": "eastus",
     "name": "PromRemoteWriteIdentity",
     "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
     "resourceGroup": "rg-001",
     "systemData": null,
     "tags": {},
     "tenantId": "ffff5f5f-aa6a-bb7b-cc8c-dddddd9d9d9d",
     "type": "Microsoft.ManagedIdentity/userAssignedIdentities"
   }
   

2. Monitoring Metrics Publisher Назначьте роль правилу сбора данных рабочей области управляемому удостоверению.

   az role assignment create \
   --role "Monitoring Metrics Publisher" \
   --assignee <managed identity client ID> \
   --scope <data collection rule resource ID>
   

   Например,

   az role assignment create \
   --role "Monitoring Metrics Publisher" \
   --assignee 00001111-aaaa-2222-bbbb-3333cccc4444 \
   --scope /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/MA_amw-001_eastus_managed/providers/Microsoft.Insights/dataCollectionRules/amw-001
   

3. Назначьте управляемое удостоверение виртуальной машине или масштабируемой группе виртуальных машин.

   Для виртуальных машин:

   az vm identity assign \
   -g <resource group name> \
   -n <virtual machine name> \
   --identities <user assigned identity resource ID>
   

   Для Масштабируемые наборы виртуальных машин:

   az vmss identity assign \
   -g <resource group name> \
   -n <VSS name> \
   --identities <user assigned identity resource ID>
   

   Например, для масштабируемого набора виртуальных машин:

   az vm identity assign \
   -g rg-prom-on-vm \
   -n win-vm-prom \
   --identities /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/rg-001/providers/Microsoft.ManagedIdentity/userAssignedIdentities/PromRemoteWriteIdentity
   

Дополнительные сведения см. в статье az identity create and az role assignment create.

Создание приложения идентификатора Microsoft Entra

Чтобы создать приложение идентификатора Microsoft Entra с помощью CLI и назначить Monitoring Metrics Publisher эту роль, выполните следующую команду:

az ad sp create-for-rbac --name <application name> \
--role "Monitoring Metrics Publisher" \
--scopes <azure monitor workspace data collection rule Id>

Например,

az ad sp create-for-rbac \
--name PromRemoteWriteApp \
--role "Monitoring Metrics Publisher" \
--scopes /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/MA_amw-001_eastus_managed/providers/Microsoft.nsights/dataCollectionRules/amw-001

Ниже приведен пример отображаемых выходных данных:

{
  "appId": "66667777-aaaa-8888-bbbb-9999cccc0000",
  "displayName": "PromRemoteWriteApp",
  "password": "Aa1Bb~2Cc3.-Dd4Ee5Ff6Gg7Hh8Ii9_Jj0Kk1Ll2",
  "tenant": "ffff5f5f-aa6a-bb7b-cc8c-dddddd9d9d9d"
}

Выходные данные содержат appId значения и password значения. Сохраните эти значения для использования в конфигурации удаленной записи Prometheus в качестве значений client_id , а client_secret значение пароля или секрета клиента отображается только при создании и не может быть получено позже. При потере необходимо создать новый секрет клиента.

Дополнительные сведения см. в статье az ad app create and az ad sp create-for-rbac.

Настройка удаленной записи

Удаленная запись настраивается в файле prometheus.ymlконфигурации Prometheus или в операторе Prometheus.

Дополнительные сведения о настройке удаленной записи см. в статье Prometheus.io: Конфигурация. Дополнительные сведения о настройке конфигурации удаленной записи см. в разделе "Удаленная настройка записи".

Настройка удаленной записи для Prometheus, работающей на виртуальных машинах

Чтобы отправить данные в рабочую область Azure Monitor, добавьте следующий раздел в файл конфигурации (prometheus.yml) экземпляра Prometheus.

remote_write:   
  - url: "<metrics ingestion endpoint for your Azure Monitor workspace>"
# AzureAD configuration.
# The Azure Cloud. Options are 'AzurePublic', 'AzureChina', or 'AzureGovernment'.
    azuread:
      cloud: 'AzurePublic'
      managed_identity:
        client_id: "<client-id of the managed identity>"
      oauth:
        client_id: "<client-id from the Entra app>"
        client_secret: "<client secret from the Entra app>"
        tenant_id: "<Azure subscription tenant Id>"

Настройка удаленной записи в Kubernetes для оператора Prometheus

Оператор Prometheus

Если вы находитесь в кластере Kubernetes под управлением оператора Prometheus, выполните следующие действия, чтобы отправить данные в рабочую область Azure Monitor.

1. При использовании проверки подлинности Идентификатора Microsoft Entra преобразуйте секрет с помощью кодировки Base64 и примените секрет в кластер Kubernetes. Сохраните следующее в yaml-файл. Пропустите этот шаг, если вы используете проверку подлинности управляемого удостоверения.

apiVersion: v1
kind: Secret
metadata:
  name: remote-write-secret
  namespace: monitoring # Replace with namespace where Prometheus Operator is deployed. 
type: Opaque
data:
  password: <base64-encoded-secret>

Применение секрета.

# set context to your cluster 
az aks get-credentials -g <aks-rg-name> -n <aks-cluster-name> 

kubectl apply -f <remote-write-secret.yaml>

2. Обновите значения для раздела удаленной записи в операторе Prometheus. Скопируйте следующий yaml и сохраните его в виде файла. Дополнительные сведения см. в документации по оператору Prometheus в спецификации удаленной записи рабочей области Azure Monitor в операторе Prometheus.

prometheus:
  prometheusSpec:
    remoteWrite:
    - url: "<metrics ingestion endpoint for your Azure Monitor workspace>"
      azureAd:
# AzureAD configuration.
# The Azure Cloud. Options are 'AzurePublic', 'AzureChina', or 'AzureGovernment'.
        cloud: 'AzurePublic'
        managedIdentity:
          clientId: "<clientId of the managed identity>"
        oauth:
          clientId: "<clientId of the Entra app>"
          clientSecret:
            name: remote-write-secret
            key: password
          tenantId: "<Azure subscription tenant Id>"

3. Используйте helm, чтобы обновить конфигурацию удаленной записи с помощью приведенного выше файла yaml.

helm upgrade -f <YAML-FILENAME>.yml prometheus prometheus-community/kube-prometheus-stack --namespace <namespace where Prometheus Operator is deployed>

Параметр url задает конечную точку приема метрик рабочей области Azure Monitor. Его можно найти на странице обзора рабочей области Azure Monitor в портал Azure.

managed_identityoauth Используйте проверку подлинности приложения или идентификатора Microsoft Entra ID в зависимости от реализации. Удалите объект, который вы не используете.

Найдите идентификатор клиента для управляемого удостоверения с помощью следующей команды Azure CLI:

az identity list --resource-group <resource group name>

Дополнительные сведения см. в az identity list.

Чтобы найти клиент для проверки подлинности на портале, перейдите на страницу управляемых удостоверений в портал Azure и выберите соответствующее имя удостоверения. Скопируйте значение идентификатора клиента на странице обзора удостоверений.

Чтобы найти идентификатор клиента для приложения идентификатора Microsoft Entra ID, используйте следующий интерфейс командной строки или перейдите к первому шагу в приложении Microsoft Entra ID с помощью раздела портал Azure.

$ az ad app list --display-name < application name>

Дополнительные сведения см. в списке приложений az ad.

Примечание.

После редактирования файла конфигурации перезапустите Prometheus для применения изменений.

Убедитесь, что данные удаленной записи потоки

Используйте следующие методы, чтобы убедиться, что данные Prometheus отправляются в рабочую область Azure Monitor.

Обозреватель метрик Azure Monitor с помощью PromQL

Чтобы проверить, выполняются ли метрики в рабочую область Azure Monitor, из рабочей области Azure Monitor в портал Azure выберите метрики. Используйте обозреватель метрик для запроса метрик, которые вы ожидаете из локальной среды Prometheus. Дополнительные сведения см . в обозревателе метрик.

Обозреватель Prometheus в рабочей области Azure Monitor

Prometheus Explorer предоставляет удобный способ взаимодействия с метриками Prometheus в среде Azure, что делает мониторинг и устранение неполадок более эффективным. Чтобы использовать обозреватель Prometheus, перейдите в рабочую область Azure Monitor в портал Azure и выберите Prometheus Explorer, чтобы запросить метрики, ожидаемые из локальной среды Prometheus. Дополнительные сведения см . в обозревателе Prometheus.

Grafana

Используйте запросы PromQL в Grafana, чтобы убедиться, что результаты возвращают ожидаемые данные. Сведения о настройке Grafana см. в статье о получении настройки Grafana с помощью Managed Prometheus

Устранение неполадок удаленной записи

Если удаленные данные не отображаются в рабочей области Azure Monitor, см. статью "Устранение неполадок удаленной записи для распространенных проблем и решений".

Следующие шаги

• Дополнительные сведения об управляемой службе Azure Monitor для Prometheus.
• Дополнительные сведения об обратном прокси-сервере Azure Monitor для удаленной записи из самоуправляемого Prometheus, работающего в Kubernetes