Wysyłanie metryk rozwiązania Prometheus z maszyn wirtualnych do obszaru roboczego usługi Azure Monitor

Rozwiązanie Prometheus nie ogranicza się do monitorowania klastrów Kubernetes. Użyj rozwiązania Prometheus, aby monitorować aplikacje i usługi uruchomione na serwerach, niezależnie od tego, gdzie są uruchomione. Można na przykład monitorować aplikacje uruchomione na maszynach wirtualnych, zestawach skalowania maszyn wirtualnych, a nawet na serwerach lokalnych. Zainstaluj rozwiązanie prometheus na serwerach i skonfiguruj zdalne zapisywanie w celu wysyłania metryk do obszaru roboczego usługi Azure Monitor.

W tym artykule wyjaśniono, jak skonfigurować zdalne zapisywanie w celu wysyłania danych z wystąpienia rozwiązania Prometheus do obszaru roboczego usługi Azure Monitor.

Opcje zdalnego zapisu

Self-managed Prometheus może działać na platformie Azure i w środowiskach spoza platformy Azure. Poniżej przedstawiono opcje uwierzytelniania dla zdalnego zapisu w obszarze roboczym usługi Azure Monitor na podstawie środowiska, w którym działa rozwiązanie Prometheus.

Zarządzane maszyny wirtualne platformy Azure i zestawy skalowania maszyn wirtualnych

Użyj uwierzytelniania tożsamości zarządzanej przypisanej przez użytkownika na potrzeby usług działających samodzielnie zarządzanych rozwiązania Prometheus w środowisku platformy Azure. Usługi zarządzane platformy Azure obejmują:

• Azure Virtual Machines
• Zestawy skalowania maszyn wirtualnych Azure
• Maszyny wirtualne z obsługą usługi Azure Arc

Aby skonfigurować zdalny zapis dla zasobów zarządzanych platformy Azure, zobacz Remote-write using user-assigned managed identity (Zdalne zapisywanie przy użyciu tożsamości zarządzanej przypisanej przez użytkownika).

Maszyny wirtualne uruchomione w środowiskach spoza platformy Azure.

Dołączanie do usług z obsługą usługi Azure Arc umożliwia zarządzanie i konfigurowanie maszyn wirtualnych spoza platformy Azure na platformie Azure. Po dołączeniu skonfiguruj zdalne zapisywanie przy użyciu uwierzytelniania tożsamości zarządzanej przypisanej przez użytkownika. Aby uzyskać więcej informacji na temat dołączania maszyn wirtualnych do serwerów z obsługą usługi Azure Arc, zobacz Serwery z obsługą usługi Azure Arc.

Jeśli masz maszyny wirtualne w środowiskach spoza platformy Azure i nie chcesz dołączać do usługi Azure Arc, zainstaluj rozwiązanie Prometheus zarządzane samodzielnie i skonfiguruj zdalny zapis przy użyciu uwierzytelniania aplikacji Microsoft Entra ID. Aby uzyskać więcej informacji, zobacz Remote-write using Microsoft Entra ID application authentication (Zdalne zapisywanie przy użyciu uwierzytelniania aplikacji Entra ID firmy Microsoft).

Wymagania wstępne

Obsługiwane wersje

• Wersje prometheus większe niż wersja 2.45 są wymagane do uwierzytelniania tożsamości zarządzanej.
• Wersje Prometheus większe niż wersja 2.48 są wymagane do uwierzytelniania aplikacji Entra ID firmy Microsoft.

Obszar roboczy usługi Azure Monitor

W tym artykule opisano wysyłanie metryk rozwiązania Prometheus do obszaru roboczego usługi Azure Monitor. Aby utworzyć obszar roboczy usługi Azure Monitor, zobacz Zarządzanie obszarem roboczym usługi Azure Monitor.

Uprawnienia

do wykonania kroków opisanych w tym artykule są wymagane uprawnienia Administracja istratora dla klastra lub zasobu.

Konfigurowanie uwierzytelniania na potrzeby zdalnego zapisu

W zależności od środowiska, w którym działa rozwiązanie Prometheus, można skonfigurować zdalny zapis tak, aby używał tożsamości zarządzanej przypisanej przez użytkownika lub uwierzytelniania aplikacji Microsoft Entra ID w celu wysyłania danych do obszaru roboczego usługi Azure Monitor.

Użyj witryny Azure Portal lub interfejsu wiersza polecenia, aby utworzyć tożsamość zarządzaną przypisaną przez użytkownika lub aplikację Microsoft Entra ID.

Zdalne zapisywanie przy użyciu tożsamości zarządzanej przypisanej przez użytkownika

Zdalne zapisywanie przy użyciu uwierzytelniania tożsamości zarządzanej przypisanej przez użytkownika

Aby skonfigurować tożsamość zarządzaną przypisaną przez użytkownika na potrzeby zdalnego zapisu w obszarze roboczym usługi Azure Monitor, wykonaj następujące kroki.

Tworzenie tożsamości zarządzanej przypisanej przez użytkownika

Aby utworzyć tożsamość zarządzaną przez użytkownika do użycia w konfiguracji zdalnego zapisu, zobacz Zarządzanie tożsamościami zarządzanymi przypisanymi przez użytkownika.

Zanotuj clientId wartość utworzonej tożsamości zarządzanej. Ten identyfikator jest używany w konfiguracji zapisu zdalnego rozwiązania Prometheus.

Przypisywanie roli Wydawca metryk monitorowania do aplikacji

Monitoring Metrics Publisher Przypisz rolę w regule zbierania danych obszaru roboczego do tożsamości zarządzanej.

1. Na stronie Przegląd obszaru roboczego usługi Azure Monitor wybierz link Reguła zbierania danych.

   

2. Na stronie reguły zbierania danych wybierz pozycję Kontrola dostępu (Zarządzanie dostępem i tożsamościami).

3. Wybierz pozycję Dodaj i Dodaj przypisanie roli.

4. Wyszukaj i wybierz pozycję Wydawca metryk monitorowania, a następnie wybierz pozycję Dalej.

5. Wybierz pozycję Tożsamość zarządzana.

6. Wybierz pozycję Wybierz członków.

7. Na liście rozwijanej Jednostka zarządzana przypisana przez użytkownika tożsamość zarządzana.

8. Wybierz tożsamość przypisaną przez użytkownika, której chcesz użyć, a następnie kliknij pozycję Wybierz.

9. Wybierz pozycję Przejrzyj i przypisz , aby ukończyć przypisanie roli.

   

Przypisz tożsamość zarządzaną do maszyny wirtualnej lub zestawu skalowania maszyn wirtualnych.

Ważne

Aby wykonać kroki opisane w tej sekcji, musisz mieć uprawnienia właściciela lub administratora dostępu użytkowników dla zestawu skalowania maszyny wirtualnej lub zestawu skalowania usługi Virtual MAchine.

1. W witrynie Azure Portal przejdź do strony klastra, maszyny wirtualnej lub zestawu skalowania maszyn wirtualnych.

2. Wybierz pozycję Tożsamość.

3. Wybierz pozycję Przypisany użytkownik.

4. Wybierz Dodaj.

5. Wybierz utworzoną tożsamość zarządzaną przypisaną przez użytkownika, a następnie wybierz pozycję Dodaj.

   

Aplikacja Microsoft Entra ID

Zdalne zapisywanie przy użyciu uwierzytelniania aplikacji Microsoft Entra ID

Aby skonfigurować zdalne zapisywanie w obszarze roboczym usługi Azure Monitor przy użyciu aplikacji Microsoft Entra ID, utwórz aplikację Entra i przypisz jej Monitoring Metrics Publisher rolę do reguły zbierania danych obszaru roboczego do aplikacji.

Uwaga

Aplikacja Azure Entra używa klucza tajnego klienta lub hasła. Wpisy tajne klienta mają datę wygaśnięcia. Pamiętaj, aby utworzyć nowy klucz tajny klienta przed jego wygaśnięciem, aby nie utracić uwierzytelnionego dostępu

Tworzenie aplikacji Microsoft Entra ID

Aby utworzyć aplikację Microsoft Entra ID przy użyciu portalu, zobacz Tworzenie aplikacji Microsoft Entra ID i jednostki usługi, która może uzyskiwać dostęp do zasobów.

Po utworzeniu aplikacji Entra pobierz identyfikator klienta i wygeneruj klucz tajny klienta.

1. Na liście aplikacji skopiuj wartość identyfikatora aplikacji (klienta) dla zarejestrowanej aplikacji. Ta wartość jest używana w konfiguracji zapisu zdalnego rozwiązania Prometheus jako wartości .client_id

   

2. Wybieranie certyfikatów i wpisów tajnych

3. Wybierz pozycję Wpisy tajne klienta, a następnie wybierz pozycję Nowy klucz tajny klienta, aby utworzyć nowy wpis tajny

4. Wprowadź opis, ustaw datę wygaśnięcia i wybierz pozycję Dodaj.

   

5. Skopiuj bezpiecznie wartość wpisu tajnego. Wartość jest używana w konfiguracji zapisu zdalnego Prometheus jako wartość .client_secret Wartość wpisu tajnego klienta jest widoczna tylko podczas tworzenia i nie można jej pobrać później. W przypadku utraty należy utworzyć nowy klucz tajny klienta.

   

Przypisywanie roli Wydawca metryk monitorowania do aplikacji

Monitoring Metrics Publisher Przypisz rolę do reguły zbierania danych obszaru roboczego do aplikacji.

1. Na stronie przeglądu obszaru roboczego usługi Azure Monitor wybierz link Reguła zbierania danych.

   

2. Na stronie przeglądu reguły zbierania danych wybierz pozycję Kontrola dostępu (IAM).

3. Wybierz pozycję Dodaj, a następnie wybierz pozycję Dodaj przypisanie roli.

   

4. Wybierz rolę Wydawca metryk monitorowania, a następnie wybierz przycisk Dalej.

   

5. Wybierz pozycję Użytkownik, grupa lub jednostka usługi, a następnie wybierz pozycję Wybierz członków. Wybierz utworzoną aplikację, a następnie wybierz pozycję Wybierz.

   

6. Aby ukończyć przypisanie roli, wybierz pozycję Przejrzyj i przypisz.

Interfejs wiersza polecenia

Tworzenie tożsamości przypisanych przez użytkownika i aplikacji Microsoft Entra ID przy użyciu interfejsu wiersza polecenia

Tworzenie tożsamości zarządzanej przypisanej przez użytkownika

Utwórz tożsamość zarządzaną przypisaną przez użytkownika na potrzeby zdalnego zapisu, wykonując następujące kroki:

1. Tworzenie tożsamości zarządzanej przypisanej przez użytkownika
2. Monitoring Metrics Publisher Przypisywanie roli reguły zbierania danych obszaru roboczego do tożsamości zarządzanej
3. Przypisz tożsamość zarządzaną do maszyny wirtualnej lub zestawu skalowania maszyn wirtualnych.

Zanotuj clientId wartość utworzonej tożsamości zarządzanej. Ten identyfikator jest używany w konfiguracji zapisu zdalnego rozwiązania Prometheus.

1. Utwórz tożsamość zarządzaną przypisaną przez użytkownika przy użyciu następującego polecenia interfejsu wiersza polecenia:

   az account set \
   --subscription <subscription id>
   
   az identity create \
   --name <identity name> \
   --resource-group <resource group name>
   

   Poniżej przedstawiono przykładowe dane wyjściowe:

   {
     "clientId": "abcdef01-a123-b456-d789-0123abc345de",
     "id": "/subscriptions/12345678-abcd-1234-abcd-1234567890ab/resourcegroups/rg-001/providers/Microsoft.ManagedIdentity/userAssignedIdentities/PromRemoteWriteIdentity",
     "location": "eastus",
     "name": "PromRemoteWriteIdentity",
     "principalId": "98765432-0123-abcd-9876-1a2b3c4d5e6f",
     "resourceGroup": "rg-001",
     "systemData": null,
     "tags": {},
     "tenantId": "ffff1234-aa01-02bb-03cc-0f9e8d7c6b5a",
     "type": "Microsoft.ManagedIdentity/userAssignedIdentities"
   }
   

2. Monitoring Metrics Publisher Przypisz rolę w regule zbierania danych obszaru roboczego do tożsamości zarządzanej.

   az role assignment create \
   --role "Monitoring Metrics Publisher" \
   --assignee <managed identity client ID> \
   --scope <data collection rule resource ID>
   

   Przykład:

   az role assignment create \
   --role "Monitoring Metrics Publisher" \
   --assignee abcdef01-a123-b456-d789-0123abc345de \
   --scope /subscriptions/12345678-abcd-1234-abcd-1234567890ab/resourceGroups/MA_amw-001_eastus_managed/providers/Microsoft.Insights/dataCollectionRules/amw-001
   

3. Przypisz tożsamość zarządzaną do maszyny wirtualnej lub zestawu skalowania maszyn wirtualnych.

   W przypadku maszyn wirtualnych:

   az vm identity assign \
   -g <resource group name> \
   -n <virtual machine name> \
   --identities <user assigned identity resource ID>
   

   W przypadku zestawów skalowania maszyn wirtualnych:

   az vmss identity assign \
   -g <resource group name> \
   -n <VSS name> \
   --identities <user assigned identity resource ID>
   

   Na przykład w przypadku zestawu skalowania maszyn wirtualnych:

   az vm identity assign \
   -g rg-prom-on-vm \
   -n win-vm-prom \
   --identities /subscriptions/12345678-abcd-1234-abcd-1234567890ab/resourcegroups/rg-001/providers/Microsoft.ManagedIdentity/userAssignedIdentities/PromRemoteWriteIdentity
   

Aby uzyskać więcej informacji, zobacz az identity create and az role assignment create.

Tworzenie aplikacji Microsoft Entra ID

Aby utworzyć aplikację Microsoft Entra ID przy użyciu interfejsu Monitoring Metrics Publisher wiersza polecenia i przypisać rolę, uruchom następujące polecenie:

az ad sp create-for-rbac --name <application name> \
--role "Monitoring Metrics Publisher" \
--scopes <azure monitor workspace data collection rule Id>

Przykład:

az ad sp create-for-rbac \
--name PromRemoteWriteApp \
--role "Monitoring Metrics Publisher" \
--scopes /subscriptions/abcdef00-1234-5678-abcd-1234567890ab/resourceGroups/MA_amw-001_eastus_managed/providers/Microsoft.nsights/dataCollectionRules/amw-001

Poniżej przedstawiono przykładowe dane wyjściowe:

{
  "appId": "01234567-abcd-ef01-2345-67890abcdef0",
  "displayName": "PromRemoteWriteApp",
  "password": "AbCDefgh1234578~zxcv.09875dslkhjKLHJHLKJ",
  "tenant": "abcdef00-1234-5687-abcd-1234567890ab"
}

Dane wyjściowe zawierają appId wartości i password . Zapisz te wartości do użycia w konfiguracji zapisu zdalnego rozwiązania Prometheus jako wartości, client_id a client_secret wartość hasła lub klucza tajnego klienta jest widoczna tylko w przypadku utworzenia i nie można jej pobrać później. W przypadku utraty należy utworzyć nowy klucz tajny klienta.

Aby uzyskać więcej informacji, zobacz az ad app create and az ad sp create-for-rbac.

Konfigurowanie zdalnego zapisu

Zdalne zapisywanie jest konfigurowane w pliku prometheus.ymlkonfiguracji Rozwiązania Prometheus.

Aby uzyskać więcej informacji na temat konfigurowania zdalnego zapisu, zobacz artykuł Prometheus.io: Konfiguracja. Aby uzyskać więcej informacji na temat dostrajania konfiguracji zdalnego zapisu, zobacz Zdalne dostrajanie zapisu.

Aby wysłać dane do obszaru roboczego usługi Azure Monitor, dodaj następującą sekcję do pliku konfiguracji wystąpienia rozwiązania Prometheus zarządzanego samodzielnie.

remote_write:   
  - url: "<metrics ingestion endpoint for your Azure Monitor workspace>"
# AzureAD configuration.
# The Azure Cloud. Options are 'AzurePublic', 'AzureChina', or 'AzureGovernment'.
  azuread:
    cloud: 'AzurePublic'
    managed_identity:
      client_id: "<client-id of the managed identity>"
    oauth:
      client_id: "<client-id from the Entra app>"
      client_secret: "<client secret from the Entra app>"
      tenant_id: "<Azure subscription tenant Id>"

Parametr url określa punkt końcowy pozyskiwania metryk w obszarze roboczym usługi Azure Monitor. Można ją znaleźć na stronie Przegląd obszaru roboczego usługi Azure Monitor w witrynie Azure Portal.

managed_identityW zależności od implementacji użyj uwierzytelniania aplikacji , lub oauth w przypadku uwierzytelniania aplikacji Entra ID firmy Microsoft. Usuń obiekt, którego nie używasz.

Znajdź identyfikator klienta tożsamości zarządzanej przy użyciu następującego polecenia interfejsu wiersza polecenia platformy Azure:

az identity list --resource-group <resource group name>

Aby uzyskać więcej informacji, zobacz az identity list.

Aby znaleźć klienta na potrzeby uwierzytelniania tożsamości zarządzanej w portalu, przejdź do strony Tożsamości zarządzane w witrynie Azure Portal i wybierz odpowiednią nazwę tożsamości. Skopiuj wartość identyfikatora klienta ze strony Przegląd tożsamości.

Aby znaleźć identyfikator klienta aplikacji Microsoft Entra ID, użyj następującego interfejsu wiersza polecenia lub zapoznaj się z pierwszym krokiem w sekcji Tworzenie aplikacji Microsoft Entra ID przy użyciu witryny Azure Portal .

$ az ad app list --display-name < application name>

Aby uzyskać więcej informacji, zobacz az ad app list.

Uwaga

Po edycji pliku konfiguracji uruchom ponownie aplikację Prometheus, aby zmiany miały zastosowanie.

Sprawdź, czy dane zdalnego zapisu przepływają

Użyj następujących metod, aby sprawdzić, czy dane rozwiązania Prometheus są wysyłane do obszaru roboczego usługi Azure Monitor.

Eksplorator metryk usługi Azure Monitor z rozwiązaniem PromQL

Aby sprawdzić, czy metryki przepływają do obszaru roboczego usługi Azure Monitor, w obszarze roboczym usługi Azure Monitor w witrynie Azure Portal wybierz pozycję Metryki. Użyj Eksploratora metryk, aby wykonać zapytanie o metryki, których oczekujesz od środowiska Prometheus zarządzanego samodzielnie. Aby uzyskać więcej informacji, zobacz Eksplorator metryk.

Eksplorator prometheus w obszarze roboczym usługi Azure Monitor

Narzędzie Prometheus Explorer zapewnia wygodny sposób interakcji z metrykami Rozwiązania Prometheus w środowisku platformy Azure, dzięki czemu monitorowanie i rozwiązywanie problemów jest wydajniejsze. Aby użyć eksploratora rozwiązania Prometheus, przejdź do obszaru roboczego usługi Azure Monitor w witrynie Azure Portal i wybierz pozycję Prometheus Explorer , aby wykonać zapytanie o metryki, których oczekujesz w środowisku Prometheus zarządzanym samodzielnie. Aby uzyskać więcej informacji, zobacz Prometheus explorer.

Grafana

Użyj zapytań PromQL w narzędziu Grafana, aby sprawdzić, czy wyniki zwracają oczekiwane dane. Zobacz pobieranie konfiguracji narzędzia Grafana za pomocą zarządzanego rozwiązania Prometheus w celu skonfigurowania narzędzia Grafana.

Rozwiązywanie problemów z zdalnym zapisem

Jeśli dane zdalne nie są wyświetlane w obszarze roboczym usługi Azure Monitor, zobacz Rozwiązywanie problemów z zdalnym zapisem w przypadku typowych problemów i rozwiązań.

Następne kroki

• Dowiedz się więcej o usłudze zarządzanej Azure Monitor dla rozwiązania Prometheus.
• Dowiedz się więcej o zwrotnym samochodzie po stronie serwera proxy usługi Azure Monitor na potrzeby zdalnego zapisu z poziomu rozwiązania Prometheus zarządzanego przez siebie działającego na platformie Kubernetes