設定自我管理 Grafana,以搭配 Microsoft Entra ID 使用適用於 Prometheus 的 Azure 監視器受管理服務。
適用於 Prometheus 的 Azure 監視器受管理的服務,可讓您使用 Prometheus 相容監視解決方案大規模收集和分析計量。 分析和呈現 Prometheus 資料最常見的方式是使用 Grafana 儀表板。 本文說明如何使用 Microsoft Entra ID,將 Prometheus 設定為自我裝載 Grafana 的資料來源。
如需搭配受控系統識別使用 Grafana 的詳細資訊,請參閱使用受控系統識別設定 Grafana。
Microsoft Entra 驗證
若要設定 Microsoft Entra 驗證,請遵循下列步驟:
使用 Microsoft Entra ID 註冊應用程式
若要註冊應用程式,請在 Azure 入口網站中開啟 [Active Directory 概觀] 頁面。
選取新增註冊。
在 [註冊應用程式] 頁面上,輸入應用程式的 [名稱]。
選取註冊。
請記下 [應用程式 (用戶端) 識別碼] 與 [目錄 (租用戶) 識別碼]。 這兩個值會用於 Grafana 驗證設定中。
在應用程式的概觀頁面,選取 [憑證和祕密]。
在 [用戶端密碼] 索引標籤中,選取 [新增用戶端密碼]。
輸入說明。
從下拉式清單中選取 [到期] 期間,然後選取 [新增]。
注意
建立程序以更新秘密,並在秘密到期之前更新您的 Grafana 資料來源設定。 秘密到期後,Grafana 就無法從 Azure 監視器工作區查詢資料。
![顯示 [新增用戶端密碼] 頁面的螢幕擷取畫面。](media/prometheus-self-managed-grafana-azure-active-directory/add-a-client-secret.png)
複製並儲存用戶端密碼值。
注意
用戶端密碼值只能在建立之後立即檢視。 請務必先儲存該密碼值,再離開頁面。
![顯示包含所產生祕密值的 [用戶端密碼] 頁面的螢幕擷取畫面。](media/prometheus-self-managed-grafana-azure-active-directory/client-secret.png)
![顯示 [新增用戶端密碼] 頁面的螢幕擷取畫面。](media/prometheus-self-managed-grafana-azure-active-directory/add-a-client-secret.png#lightbox)
![顯示包含所產生祕密值的 [用戶端密碼] 頁面的螢幕擷取畫面。](media/prometheus-self-managed-grafana-azure-active-directory/client-secret.png#lightbox)
允許應用程式存取工作區
允許應用程式查詢 Azure 監視器工作區中的資料。
在 Azure 入口網站中開啟 [Azure 監視器] 工作區。
在 [概觀] 頁面上,記下 [查詢端點]。 設定 Grafana 資料來源時會使用此查詢端點。
選取 [存取控制 (IAM)]。
選取 [新增],然後從 [存取控制 (IAM)] 頁面選取 [新增角色指派]。
在 [新增角色指派] 頁面上,搜尋 [監視]。
選取 [監視資料讀取器],然後選取 [成員] 索引標籤。
![顯示 [新增角色指派] 頁面的螢幕擷取畫面。](media/prometheus-self-managed-grafana-azure-active-directory/add-role-assignment.png)
選取 [選取成員]。
按一下 [選取]。
選取檢閱+指派。
![顯示 [新增角色指派],選取成員頁面的螢幕擷取畫面。](media/prometheus-self-managed-grafana-azure-active-directory/select-members.png)
![顯示 [新增角色指派] 頁面的螢幕擷取畫面。](media/prometheus-self-managed-grafana-azure-active-directory/add-role-assignment.png#lightbox)
![顯示 [新增角色指派],選取成員頁面的螢幕擷取畫面。](media/prometheus-self-managed-grafana-azure-active-directory/select-members.png#lightbox)
您已建立應用程式註冊並指派存取權,讓它可以從 Azure 監視器工作區查詢資料。 下一個步驟是在 Grafana 中設定您的 Prometheus 資料來源。
設定自我管理 Grafana 以開啟 Azure 驗證。
Grafana 現在支援使用 Prometheus 資料來源連線到 Azure 監視器受控 Prometheus。 在自我裝載 Grafana 執行個體中,必須進行設定變更,以便在 Grafana 中使用 Azure 驗證選項。 在自我裝載 Grafana 或任何其他不是由 Azure 管理的 Grafana 執行個體中,請進行下列變更:
找出 Grafana 設定檔。 如需詳細資訊,請參閱設定 Grafana 文件。
識別您的 Grafana 版本。
更新 Grafana 設定檔。
若為 Grafana 9.0:
[feature_toggles] # Azure authentication for Prometheus (<=9.0) prometheus_azure_auth = true若為 Grafana 9.1 和更新版本:
[auth] # Azure authentication for Prometheus (>=9.1) azure_auth_enabled = true
對於 Azure 受控 Grafana,您不需要進行任何設定變更。 受控識別也預設為啟用。
在 Grafana 中設定您的 Prometheus 資料來源
登入您的 Grafana 執行個體。
在設定頁面上,選取 [資料來源] 索引標籤。
選取新增資料來源。
選取 [Prometheus]。
輸入 Prometheus 資料來源的 [名稱]。
在 [URL] 欄位中,貼上 Azure 監視器工作區概觀頁面中的查詢端點值。
在 [驗證] 下方,開啟 [Azure 驗證]。
在 [Azure 驗證] 區段中,從 [驗證] 下拉式清單中選取 [應用程式註冊]。
輸入 [使用 Microsoft Entra ID 註冊應用程式] 區段中的 [目錄 (用戶端) 識別碼]、[應用程式 (用戶端) 識別碼] 和 [用戶端密碼]。
選取 [儲存並測試]
![顯示用於新增資料來源的 [Grafana 設定] 頁面的螢幕擷取畫面。](media/prometheus-self-managed-grafana-azure-active-directory/configure-grafana.png)
![顯示用於新增資料來源的 [Grafana 設定] 頁面的螢幕擷取畫面。](media/prometheus-self-managed-grafana-azure-active-directory/configure-grafana.png#lightbox)
常見問題集
本節提供常見問題的答案。
我遺漏所有或部分計量。 如何進行疑難排解?
您可以使用這裡的疑難排解指南,從受控代理程式擷取 Prometheus 計量。
為什麼我遺漏的計量有兩個相同名稱但大小寫不同的標籤?
Azure 受控 Prometheus 是不區分大小寫的系統。 如果字串 (例如計量名稱、標籤名稱或標籤值) 與其他時間序列的區別只有字串的大小寫不同,則系統會將這些字串視為相同的時間序列。 如需詳細資訊,請參閱 Prometheus 計量概觀。
我發現計量資料有一些差距,為什麼會發生此狀況?
在節點更新期間,對於從我們的叢集層級收集器所收集的計量,計量資料可能會出現 1 分鐘到 2 分鐘的差距。 發生此差距是因為在正常更新程序中,執行資料的節點正在更新中。 此更新程序會影響整個叢集的目標,例如 kube-state-metrics 和指定的自訂應用程式目標。 手動或透過自動更新來更新您的叢集時,就會發生這種情況。 這是預期的行為,發生的原因是其執行所在的節點正在更新。 此行為不會影響任何建議的警示規則。