Skicka Prometheus-mått från virtuella datorer, skalningsuppsättningar eller Kubernetes-kluster till en Azure Monitor-arbetsyta

Prometheus är inte begränsat till övervakning av Kubernetes-kluster. Använd Prometheus för att övervaka program och tjänster som körs på dina servrar, oavsett var de körs. Du kan till exempel övervaka program som körs på virtuella datorer, VM-skalningsuppsättningar eller till och med lokala servrar. Du kan också skicka Prometheus-mått till en Azure Monitor-arbetsyta från ditt självhanterade kluster och Prometheus-server. Installera prometheus på dina servrar och konfigurera fjärrskrivning för att skicka mått till en Azure Monitor-arbetsyta.

Den här artikeln beskriver hur du konfigurerar fjärrskrivning för att skicka data från en självhanterad Prometheus-instans till en Azure Monitor-arbetsyta.

Alternativ för fjärrskrivning

Självhanterad Prometheus kan köras i Azure- och icke-Azure-miljöer. Följande är autentiseringsalternativ för fjärrskrivning till Azure Monitor-arbetsyta baserat på miljön där Prometheus körs.

Azure-hanterade virtuella datorer, VM-skalningsuppsättningar och Kubernetes-kluster

Använd användartilldelad hanterad identitetsautentisering för tjänster som kör självhanterad Prometheus i en Azure-miljö. Azure-hanterade tjänster omfattar:

• Azure Virtual Machines
• Skalningsuppsättningar för virtuella Microsoft Azure-datorer
• Azure Kubernetes Service (AKS)

Information om hur du konfigurerar fjärrskrivning för Azure-hanterade resurser finns i Fjärrskrivning med användartilldelad hanterad identitet.

Virtuella datorer och Kubernetes-kluster som körs i miljöer som inte är Azure-miljöer.

Om du har virtuella datorer eller ett Kubernetes-kluster i icke-Azure-miljöer, eller om du har registrerat dig för Azure Arc, installerar du självhanterad Prometheus och konfigurerar fjärrskrivning med microsoft Entra ID-programautentisering. Mer information finns i Fjärrskrivning med Microsoft Entra ID-programautentisering.

Med registrering till Azure Arc-aktiverade tjänster kan du hantera och konfigurera virtuella datorer som inte är Azure-datorer i Azure. Mer information om hur du registrerar virtuella datorer till Azure Arc-aktiverade servrar finns i Azure Arc-aktiverade servrar och Azure Arc-aktiverade Kubernetes. Arc-aktiverade tjänster stöder endast Microsoft Entra-ID-autentisering.

Kommentar

Systemtilldelad hanterad identitet stöds inte för fjärrskrivning till Azure Monitor-arbetsytor. Använd användartilldelad hanterad identitet eller Microsoft Entra ID-programautentisering.

Förutsättningar

Versioner som stöds

• Prometheus-versioner som är större än v2.45 krävs för hanterad identitetsautentisering.
• Prometheus-versioner som är större än v2.48 krävs för Microsoft Entra ID-programautentisering.

Azure Monitor-arbetsyta

Den här artikeln beskriver hur du skickar Prometheus-mått till en Azure Monitor-arbetsyta. Information om hur du skapar en Azure Monitor-arbetsyta finns i Hantera en Azure Monitor-arbetsyta.

Behörigheter

Administratörsbehörigheter för klustret eller resursen krävs för att slutföra stegen i den här artikeln.

Konfigurera autentisering för fjärrskrivning

Beroende på miljön där Prometheus körs kan du konfigurera fjärrskrivning för att använda användartilldelad hanterad identitet eller Microsoft Entra ID-programautentisering för att skicka data till Azure Monitor-arbetsytan.

Använd Azure-portalen eller CLI för att skapa en användartilldelad hanterad identitet eller Etttra-ID-program.

Fjärrskrivning med användartilldelad hanterad identitet

Fjärrskrivning med användartilldelad hanterad identitetsautentisering

Användartilldelad hanterad identitetsautentisering kan användas i valfri Azure-hanterad miljö. Om prometheus-tjänsten körs i en icke-Azure-miljö kan du använda Microsoft Entra ID-programautentisering.

Utför följande steg för att konfigurera en användartilldelad hanterad identitet för fjärrskrivning till Azure Monitor-arbetsytan.

Skapa en användartilldelad hanterad identitet

Information om hur du skapar en användarhanterad identitet som ska användas i fjärrskrivningskonfigurationen finns i Hantera användartilldelade hanterade identiteter.

Observera värdet för den clientId hanterade identitet som du skapade. Det här ID:t används i Prometheus fjärrskrivningskonfiguration.

Tilldela utgivarrollen Övervakningsmått till programmet

I arbetsytans datainsamlingsregel tilldelar du Monitoring Metrics Publisher rollen till den hanterade identiteten.

1. På sidan Översikt över Azure Monitor-arbetsyta väljer du länken Datainsamlingsregel .

   

2. På sidan datainsamlingsregel väljer du Åtkomstkontroll (IAM).

3. Välj Lägg till och Lägg till rolltilldelning.

4. Sök efter och välj övervakningsmåttutgivare och välj sedan Nästa.

5. Välj Hanterad identitet.

6. Välj Välj medlemmar.

7. I listrutan Hanterad entitet, Användartilldelad hanterad identitet.

8. Välj den användartilldelade identitet som du vill använda och klicka sedan på Välj.

9. Välj Granska + tilldela för att slutföra rolltilldelningen.

   

Tilldela den hanterade identiteten till en vm-dator eller vm-skalningsuppsättning

Viktigt!

Om du vill slutföra stegen i det här avsnittet måste du ha administratörsbehörighet för ägare eller användare för vm- eller virtuell MAchine-skalningsuppsättning.

1. I Azure-portalen går du till klustret, den virtuella datorn eller vm-skalningsuppsättningens sida.

2. Välj Identitet.

3. Välj Användartilldelade.

4. Markera Lägga till.

5. Välj den användartilldelade hanterade identiteten som du skapade och välj sedan Lägg till.

   

Tilldela den hanterade identiteten för en Azure Kubernetes Service

För Azure Kubernetes-tjänster (AKS) måste den hanterade identiteten tilldelas till vm-skalningsuppsättningarna.

AKS skapar en resursgrupp som innehåller vm-skalningsuppsättningarna. Resursgruppens namn är i formatet MC_<resource group name>_<AKS cluster name>_<region>. För varje VM-skalningsuppsättning i resursgruppen tilldelar du den hanterade identiteten enligt stegen i föregående avsnitt, Tilldela den hanterade identiteten till en vm- eller vm-skalningsuppsättning.

Microsoft Entra ID-program

Fjärrskrivning med Microsoft Entra ID-programautentisering

Microsoft Entra ID-programautentisering kan användas i alla miljöer. Om prometheus-tjänsten körs i en Azure-hanterad miljö bör du överväga att använda användartilldelad hanterad identitetsautentisering.

Om du vill konfigurera fjärrskrivning till Azure Monitor-arbetsytan med hjälp av ett Microsoft Entra-ID-program skapar du ett Entra-program. I Azure Monitor-arbetsytans datainsamlingsregel tilldelar du Monitoring Metrics Publisher rollen till Entra-programmet.

Kommentar

Ditt Azure Entra-program använder en klienthemlighet eller ett lösenord. Klienthemligheter har ett utgångsdatum. Se till att skapa en ny klienthemlighet innan den upphör att gälla så att du inte förlorar autentiserad åtkomst

Skapa ett Microsoft Entra-ID-program

Information om hur du skapar ett Microsoft Entra-ID-program med hjälp av portalen finns i Skapa ett Microsoft Entra ID-program och tjänstens huvudnamn som kan komma åt resurser.

När du har skapat ett Entra-program hämtar du klient-ID:t och genererar en klienthemlighet.

1. I listan över program kopierar du värdet för program-ID (klient)-ID för det registrerade programmet. Det här värdet används i Prometheus fjärrskrivningskonfiguration som värde för client_id.

   

2. Välj Certifikat och hemligheter

3. Välj Klienthemligheter och välj Ny klienthemlighet för att skapa en ny hemlighet

4. Ange en beskrivning, ange förfallodatum och välj Lägg till.

   

5. Kopiera hemlighetens värde på ett säkert sätt. Värdet används i Prometheus fjärrskrivningskonfiguration som värde för client_secret. Värdet för klienthemlighet visas bara när det skapas och kan inte hämtas senare. Om den går förlorad måste du skapa en ny klienthemlighet.

   

Tilldela utgivarrollen Övervakningsmått till programmet

Monitoring Metrics Publisher Tilldela rollen på arbetsytans datainsamlingsregel till programmet.

1. På azure monitor-arbetsytan, översiktssidan, väljer du länken Datainsamlingsregel .

   

2. På översiktssidan för datainsamlingsregeln väljer du Åtkomstkontroll (IAM).

3. Välj Lägg till och sedan Lägg till rolltilldelning.

   

4. Välj utgivarrollen Övervakningsmått och välj sedan Nästa.

   

5. Välj Användare, grupp eller tjänstens huvudnamn och välj sedan Välj medlemmar. Välj det program som du skapade och välj sedan Välj.

   

6. Slutför rolltilldelningen genom att välja Granska + tilldela.

CLI

Skapa användartilldelade identiteter och Microsoft Entra-ID-appar med CLI

Skapa en användartilldelad hanterad identitet

Skapa en användartilldelad hanterad identitet för fjärrskrivning med hjälp av följande steg:

1. Skapa en användartilldelad hanterad identitet
2. Monitoring Metrics Publisher Tilldela rollen på arbetsytans datainsamlingsregel till den hanterade identiteten
3. Tilldela den hanterade identiteten till en vm-dator eller vm-skalningsuppsättning.

Observera värdet för den clientId hanterade identitet som du skapar. Det här ID:t används i Prometheus fjärrskrivningskonfiguration.

1. Skapa en användartilldelad hanterad identitet med följande CLI-kommando:

   az account set \
   --subscription <subscription id>
   
   az identity create \
   --name <identity name> \
   --resource-group <resource group name>
   

   Följande är ett exempel på utdata som visas:

   {
     "clientId": "abcdef01-a123-b456-d789-0123abc345de",
     "id": "/subscriptions/12345678-abcd-1234-abcd-1234567890ab/resourcegroups/rg-001/providers/Microsoft.ManagedIdentity/userAssignedIdentities/PromRemoteWriteIdentity",
     "location": "eastus",
     "name": "PromRemoteWriteIdentity",
     "principalId": "98765432-0123-abcd-9876-1a2b3c4d5e6f",
     "resourceGroup": "rg-001",
     "systemData": null,
     "tags": {},
     "tenantId": "ffff1234-aa01-02bb-03cc-0f9e8d7c6b5a",
     "type": "Microsoft.ManagedIdentity/userAssignedIdentities"
   }
   

2. Monitoring Metrics Publisher Tilldela rollen på arbetsytans datainsamlingsregel till den hanterade identiteten.

   az role assignment create \
   --role "Monitoring Metrics Publisher" \
   --assignee <managed identity client ID> \
   --scope <data collection rule resource ID>
   

   Exempel:

   az role assignment create \
   --role "Monitoring Metrics Publisher" \
   --assignee abcdef01-a123-b456-d789-0123abc345de \
   --scope /subscriptions/12345678-abcd-1234-abcd-1234567890ab/resourceGroups/MA_amw-001_eastus_managed/providers/Microsoft.Insights/dataCollectionRules/amw-001
   

3. Tilldela den hanterade identiteten till en vm-dator eller vm-skalningsuppsättning.

   För virtuella datorer:

   az vm identity assign \
   -g <resource group name> \
   -n <virtual machine name> \
   --identities <user assigned identity resource ID>
   

   För VM-skalningsuppsättningar:

   az vmss identity assign \
   -g <resource group name> \
   -n <VSS name> \
   --identities <user assigned identity resource ID>
   

   Till exempel för en VM-skalningsuppsättning:

   az vm identity assign \
   -g rg-prom-on-vm \
   -n win-vm-prom \
   --identities /subscriptions/12345678-abcd-1234-abcd-1234567890ab/resourcegroups/rg-001/providers/Microsoft.ManagedIdentity/userAssignedIdentities/PromRemoteWriteIdentity
   

Mer information finns i az identity create and az role assignment create.

Skapa ett Microsoft Entra-ID-program

Om du vill skapa ett Microsoft Entra-ID-program med HJÄLP av CLI och tilldela Monitoring Metrics Publisher rollen kör du följande kommando:

az ad sp create-for-rbac --name <application name> \
--role "Monitoring Metrics Publisher" \
--scopes <azure monitor workspace data collection rule Id>

Exempel:

az ad sp create-for-rbac \
--name PromRemoteWriteApp \
--role "Monitoring Metrics Publisher" \
--scopes /subscriptions/abcdef00-1234-5678-abcd-1234567890ab/resourceGroups/MA_amw-001_eastus_managed/providers/Microsoft.nsights/dataCollectionRules/amw-001

Följande är ett exempel på utdata som visas:

{
  "appId": "01234567-abcd-ef01-2345-67890abcdef0",
  "displayName": "PromRemoteWriteApp",
  "password": "AbCDefgh1234578~zxcv.09875dslkhjKLHJHLKJ",
  "tenant": "abcdef00-1234-5687-abcd-1234567890ab"
}

Utdata innehåller appId värdena och password . Spara dessa värden som ska användas i Prometheus fjärrskrivningskonfiguration som värden för och client_secret Värdet för client_id lösenord eller klienthemlighet visas bara när det skapas och kan inte hämtas senare. Om den går förlorad måste du skapa en ny klienthemlighet.

Mer information finns i az ad app create and az ad sp create-for-rbac.

Konfigurera fjärrskrivning

Fjärrskrivning konfigureras i Prometheus-konfigurationsfilen prometheus.ymleller i Prometheus-operatorn.

Mer information om hur du konfigurerar fjärrskrivning finns i artikeln Prometheus.io: Konfiguration. Mer information om hur du justerar fjärrskrivningskonfigurationen finns i Fjärrskrivningsjustering.

Konfigurera fjärrskrivning för Prometheus-operator

Om du kör Prometheus-operatorn i ett Kubernetes-kluster följer du stegen nedan för att skicka data till din Azure Monitor-arbetsyta.

1. Om du använder Microsoft Entra-ID-autentisering konverterar du hemligheten med hjälp av base64-kodning och tillämpar sedan hemligheten i ditt Kubernetes-kluster. Spara följande i en yaml-fil. Hoppa över det här steget om du använder hanterad identitetsautentisering.

apiVersion: v1
kind: Secret
metadata:
  name: remote-write-secret
  namespace: monitoring # Replace with namespace where Prometheus Operator is deployed. 
type: Opaque
data:
  password: <base64-encoded-secret>

Använd hemligheten.

# set context to your cluster 
az aks get-credentials -g <aks-rg-name> -n <aks-cluster-name> 

kubectl apply -f <remote-write-secret.yaml>

2. Du måste uppdatera värdena för fjärrskrivningsavsnittet i Prometheus-operatorn. Kopiera följande och spara det som en yaml-fil. Värdena för yaml-filen finns i avsnittet nedan. Mer information om fjärrskrivningsspecifikationen för Azure Monitor-arbetsytan i Prometheus-operatorn finns i Dokumentation om Prometheus-operatör.

prometheus:
  prometheusSpec:
    remoteWrite:
    - url: "<metrics ingestion endpoint for your Azure Monitor workspace>"
      azureAd:
# AzureAD configuration.
# The Azure Cloud. Options are 'AzurePublic', 'AzureChina', or 'AzureGovernment'.
        cloud: 'AzurePublic'
        managedIdentity:
          clientId: "<clientId of the managed identity>"
        oauth:
          clientId: "<clientId of the Entra app>"
          clientSecret:
            name: remote-write-secret
            key: password
          tenantId: "<Azure subscription tenant Id>"

3. Använd helm för att uppdatera fjärrskrivningskonfigurationen med hjälp av yaml-filen ovan.

helm upgrade -f <YAML-FILENAME>.yml prometheus prometheus-community/kube-prometheus-stack --namespace <namespace where Prometheus Operator is deployed>

Konfigurera fjärrskrivning för Prometheus som körs i virtuella datorer eller andra miljöer

Om du vill skicka data till din Azure Monitor-arbetsyta lägger du till följande avsnitt i konfigurationsfilen (prometheus.yml) för din självhanterade Prometheus-instans.

remote_write:   
  - url: "<metrics ingestion endpoint for your Azure Monitor workspace>"
# AzureAD configuration.
# The Azure Cloud. Options are 'AzurePublic', 'AzureChina', or 'AzureGovernment'.
  azuread:
    cloud: 'AzurePublic'
    managed_identity:
      client_id: "<client-id of the managed identity>"
    oauth:
      client_id: "<client-id from the Entra app>"
      client_secret: "<client secret from the Entra app>"
      tenant_id: "<Azure subscription tenant Id>"

Parametern url anger slutpunkten för måttinmatning för Azure Monitor-arbetsytan. Den finns på sidan Översikt för din Azure Monitor-arbetsyta i Azure-portalen.

Använd antingen programautentiseringen managed_identity, eller oauth för Microsoft Entra ID, beroende på din implementering. Ta bort det objekt som du inte använder.

Hitta ditt klient-ID för den hanterade identiteten med hjälp av följande Azure CLI-kommando:

az identity list --resource-group <resource group name>

Mer information finns i az identity list (az identity list).

Om du vill hitta klienten för hanterad identitetsautentisering i portalen går du till sidan Hanterade identiteter i Azure-portalen och väljer relevant identitetsnamn. Kopiera värdet för klient-ID :t från sidan Identitetsöversikt .

Om du vill hitta klient-ID:t för Microsoft Entra-ID-programmet använder du följande CLI eller ser det första steget i avsnittet Skapa ett Microsoft Entra-ID med hjälp av Azure-portalen .

$ az ad app list --display-name < application name>

Mer information finns i az ad app list.

Kommentar

När du har redigerat konfigurationsfilen startar du om Prometheus för att ändringarna ska gälla.

Kontrollera att fjärrskrivningsdata flödar

Använd följande metoder för att kontrollera att Prometheus-data skickas till din Azure Monitor-arbetsyta.

Azure Monitor-måttutforskaren med PromQL

Om du vill kontrollera om måtten flödar till Azure Monitor-arbetsytan väljer du Mått från Azure Monitor-arbetsytan i Azure-portalen. Använd måttutforskaren för att fråga de mått som du förväntar dig från den självhanterade Prometheus-miljön. Mer information finns i Metrics Explorer.

Prometheus-utforskaren i Azure Monitor-arbetsytan

Prometheus Explorer är ett bekvämt sätt att interagera med Prometheus-mått i din Azure-miljö, vilket gör övervakning och felsökning effektivare. Om du vill använda Prometheus-utforskaren går du till din Azure Monitor-arbetsyta i Azure-portalen och väljer Prometheus Explorer för att fråga efter de mått som du förväntar dig från den självhanterade Prometheus-miljön. Mer information finns i Prometheus Explorer.

Grafana

Använd PromQL-frågor i Grafana för att verifiera att resultaten returnerar förväntade data. Information om hur du konfigurerar Grafana finns i hämta Grafana-konfiguration med Managed Prometheus

Felsöka fjärrskrivning

Om fjärrdata inte visas på din Azure Monitor-arbetsyta kan du läsa Felsöka fjärrskrivning för vanliga problem och lösningar.

Nästa steg

• Läs mer om azure monitor-hanterad tjänst för Prometheus.
• Läs mer om azure monitor back proxy side car for remote-write from self-managed Prometheus running on Kubernetes