Prometheus-adatok küldése az Azure Monitorba a Microsoft Entra pod által felügyelt identitás (előzetes verzió) hitelesítésével

Ez a cikk azt ismerteti, hogyan állíthat be távoli írást a Prometheushoz készült Azure Monitor felügyelt szolgáltatáshoz a Microsoft Entra pod által felügyelt identitás (előzetes verzió) hitelesítésével.

Feljegyzés

A cikkben ismertetett távoli írási oldalkocsi-tárolót csak az alábbi lépések végrehajtásával kell beállítani, és csak akkor, ha az Azure Kubernetes Service (AKS) fürt már rendelkezik engedélyezett Microsoft Entra-podkal. A Microsoft Entra pod által felügyelt identitások elavultak, és Microsoft Entra Számítási feladat ID váltják fel. Javasoljuk, hogy Microsoft Entra Számítási feladat ID hitelesítést használjon.

Előfeltételek

Támogatott verziók

A felügyelt identitás hitelesítéséhez a 2.45-ös verziónál nagyobb Prometheus-verziók szükségesek.

Azure Monitor-munkaterület

Ez a cikk a Prometheus-metrikák Azure Monitor-munkaterületre való küldését ismerteti. Azure Monitor-munkaterület létrehozásához lásd : Azure Monitor-munkaterület kezelése.

Engedélyek

Rendszergazda a jelen cikkben ismertetett lépések végrehajtásához a fürt vagy az erőforrás engedélyére van szükség.

Alkalmazás beállítása a Microsoft Entra pod által felügyelt identitásához

A Prometheus távoli írás microsoft Entra pod által felügyelt identitáshitelesítéssel történő beállításának folyamata a következő feladatokat foglalja magában:

1. Felhasználó által hozzárendelt felügyelt identitás regisztrálása a Microsoft Entra-azonosítóval.
2. Rendelje hozzá a felügyelt identitáskezelő és a virtuálisgép-közreműködő szerepköröket a felügyelt identitáshoz.
3. Rendelje hozzá a monitorozási metrikák közzétevői szerepkörét a felhasználó által hozzárendelt felügyelt identitáshoz.
4. Azure-identitáskötés létrehozása.
5. Adja hozzá az aadpodidbinding címkét a Prometheus podhoz.
6. Helyezzen üzembe egy oldalkocsis tárolót a távoli írás beállításához.

A feladatokat a következő szakaszok ismertetik.

Felügyelt identitás regisztrálása a Microsoft Entra-azonosítóval

Hozzon létre egy felhasználó által hozzárendelt felügyelt identitást, vagy regisztráljon egy meglévő, felhasználó által hozzárendelt felügyelt identitást.

A felügyelt identitások létrehozásával kapcsolatos információkért lásd : Távoli írás beállítása a Prometheushoz készült Azure Monitor felügyelt szolgáltatáshoz felügyelt identitáshitelesítés használatával.

A felügyelt identitáskezelő és a virtuális gép közreműködői szerepköreinek hozzárendelése a felügyelt identitáshoz

az role assignment create --role "Managed Identity Operator" --assignee <managed identity clientID> --scope <NodeResourceGroupResourceId> 
          
az role assignment create --role "Virtual Machine Contributor" --assignee <managed identity clientID> --scope <Node ResourceGroup Id> 

Az AKS-fürt csomóponterőforrás-csoportja a folyamat más lépéseiben használt erőforrásokat tartalmazza. Ennek az erőforráscsoportnak a neve MC_<AKS-RESOURCE-GROUP>_<AKS-CLUSTER-NAME>_<REGION>. Az erőforráscsoport nevét az Azure Portal Erőforráscsoportok menüjében találja.

A Monitorozási metrikák közzétevői szerepkör hozzárendelése a felügyelt identitáshoz

az role assignment create --role "Monitoring Metrics Publisher" --assignee <managed identity clientID> --scope <NodeResourceGroupResourceId> 

Azure-identitáskötés létrehozása

A felhasználó által hozzárendelt felügyelt identitáshoz identitáskötés szükséges ahhoz, hogy az identitás pod által felügyelt identitásként legyen használva.

Másolja a következő YAML-t az aadpodidentitybinding.yaml fájlba:

apiVersion: "aadpodidentity.k8s.io/v1" 

kind: AzureIdentityBinding 
metadata: 
name: demo1-azure-identity-binding 
spec: 
AzureIdentity: “<AzureIdentityName>” 
Selector: “<AzureIdentityBindingSelector>” 

Futtassa az alábbi parancsot:

kubectl create -f aadpodidentitybinding.yaml 

Adja hozzá az aadpodidbinding címkét a Prometheus podhoz

A aadpodidbinding címkét hozzá kell adni a Prometheus podhoz a pod által felügyelt identitás érvénybe lépéséhez. A címkét a deployment.yaml fájl frissítésével vagy címkék beszúrásával adhatja hozzá a sidecar-tároló üzembe helyezésekor, a következő szakaszban leírtak szerint.

Sidecar-tároló üzembe helyezése távoli írás beállításához

1. Másolja ki a következő YAML-et, és mentse egy fájlba. A YAML a 8081-es portot használja figyelési portként. Ha másik portot használ, módosítsa ezt az értéket a YAML-ben.

   prometheus: 
     prometheusSpec: 
       podMetadata: 
         labels: 
           aadpodidbinding: <AzureIdentityBindingSelector> 
       externalLabels: 
         cluster: <AKS-CLUSTER-NAME> 
       remoteWrite: 
       - url: 'http://localhost:8081/api/v1/write' 
       containers: 
       - name: prom-remotewrite 
         image: <CONTAINER-IMAGE-VERSION> 
         imagePullPolicy: Always 
         ports: 
           - name: rw-port 
         containerPort: 8081 
         livenessProbe: 
           httpGet: 
             path: /health
             port: rw-port
             initialDelaySeconds: 10 
             timeoutSeconds: 10 
         readinessProbe: 
            httpGet: 
             path: /ready
             port: rw-port
             initialDelaySeconds: 10 
             timeoutSeconds: 10 
       env: 
         - name: INGESTION_URL 
           value: <INGESTION_URL> 
         - name: LISTENING_PORT 
           value: '8081' 
         - name: IDENTITY_TYPE 
           value: userAssigned 
         - name: AZURE_CLIENT_ID 
           value: <MANAGED-IDENTITY-CLIENT-ID> 
         # Optional parameter 
         - name: CLUSTER 
           value: <CLUSTER-NAME>         
   

2. Cserélje le a következő értékeket a YAML-ben:

   Érték	Leírás
   <AKS-CLUSTER-NAME>	Az AKS-fürt neve.
   <CONTAINER-IMAGE-VERSION>	mcr.microsoft.com/azuremonitor/containerinsights/ciprod/prometheus-remote-write/images:prom-remotewrite-20240507.1 A távoli írási tároló lemezképének verziója.
   <INGESTION-URL>	A Metrikák betöltési végpontjának értéke az Azure Monitor-munkaterület Áttekintés lapján.
   <MANAGED-IDENTITY-CLIENT-ID>	Az ügyfélazonosító értéke a felügyelt identitás Áttekintés lapján.
   <CLUSTER-NAME>	Annak a fürtnek a neve, amelyen a Prometheus fut.

   Fontos

   Azure Government-felhő esetén adja hozzá a következő környezeti változókat a env YAML-fájl szakaszához:

   - name: INGESTION_AAD_AUDIENCE value: https://monitor.azure.us/

3. A Helm használatával alkalmazza a YAML-fájlt, és frissítse a Prometheus-konfigurációt:

   # set the context to your cluster 
   az aks get-credentials -g <aks-rg-name> -n <aks-cluster-name>
   
   # use Helm to update your remote write config 
   helm upgrade -f <YAML-FILENAME>.yml prometheus prometheus-community/kube-prometheus-stack --namespace <namespace where Prometheus pod resides>
   

Ellenőrzés és hibaelhárítás

Az ellenőrzéssel és hibaelhárítással kapcsolatos információkért tekintse meg a Távoli írás és az Azure Monitor által felügyelt szolgáltatás hibaelhárítását a Prometheus távoli írásához.

Következő lépések

• Prometheus mérőszámok gyűjtése AKS-fürtből
• További információ a Prometheushoz készült Azure Monitor felügyelt szolgáltatásról
• Távoli írás az Azure Monitor által felügyelt Prometheus szolgáltatásban
• Prometheus-adatok küldése az Azure Monitorba Microsoft Entra-hitelesítéssel
• Prometheus-adatok küldése az Azure Monitorba felügyelt identitáshitelesítéssel
• Prometheus-adatok küldése az Azure Monitorba Microsoft Entra Számítási feladat ID (előzetes verzió) hitelesítéssel