Metrische prometheus-gegevens van virtuele machines verzenden naar een Azure Monitor-werkruimte

Prometheus is niet beperkt tot het bewaken van Kubernetes-clusters. Gebruik Prometheus om toepassingen en services te bewaken die worden uitgevoerd op uw servers, waar ze ook worden uitgevoerd. U kunt bijvoorbeeld toepassingen bewaken die worden uitgevoerd op virtuele machines, virtuele-machineschaalsets of zelfs on-premises servers. Installeer prometheus op uw servers en configureer extern schrijven om metrische gegevens te verzenden naar een Azure Monitor-werkruimte.

In dit artikel wordt uitgelegd hoe u extern schrijven configureert voor het verzenden van gegevens van een zelfbeheerd Prometheus-exemplaar naar een Azure Monitor-werkruimte.

Externe schrijfopties

Zelfbeheerde Prometheus kan worden uitgevoerd in Azure- en niet-Azure-omgevingen. Hier volgen verificatieopties voor extern schrijven naar de Azure Monitor-werkruimte op basis van de omgeving waarin Prometheus wordt uitgevoerd.

Door Azure beheerde virtuele machines en virtuele-machineschaalsets

Gebruik door de gebruiker toegewezen beheerde identiteitverificatie voor services met zelfbeheerde Prometheus in een Azure-omgeving. Beheerde Azure-services zijn onder andere:

• Azure Virtual Machines
• Azure-schaalvergrotingssets voor virtuele machines
• Virtuele machines met Azure Arc

Als u externe schrijfbewerkingen wilt instellen voor door Azure beheerde resources, raadpleegt u Extern schrijven met behulp van door de gebruiker toegewezen beheerde identiteit.

Virtuele machines die worden uitgevoerd in niet-Azure-omgevingen.

Met onboarding naar services met Azure Arc kunt u niet-Azure-VM's beheren en configureren in Azure. Zodra de onboarding is uitgevoerd, configureert u Extern schrijven met behulp van door de gebruiker toegewezen beheerde identiteitverificatie . Zie Servers met Azure Arc voor meer informatie over het onboarden van virtuele machines naar servers met Azure Arc.

Als u virtuele machines in niet-Azure-omgevingen hebt en u niet wilt onboarden naar Azure Arc, installeert u zelfbeheerde Prometheus en configureert u extern schrijven met behulp van Microsoft Entra ID-toepassingsverificatie. Zie Extern schrijven met microsoft Entra ID-toepassingsverificatie voor meer informatie.

Vereisten

Ondersteunde versies

• Prometheus-versies die groter zijn dan v2.45 zijn vereist voor verificatie van beheerde identiteiten.
• Prometheus-versies die groter zijn dan v2.48 zijn vereist voor verificatie van Microsoft Entra ID-toepassingen.

Azure Monitor-werkruimte

Dit artikel bevat informatie over het verzenden van metrische Prometheus-gegevens naar een Azure Monitor-werkruimte. Zie Een Azure Monitor-werkruimte beheren om een Azure Monitor-werkruimte te maken.

Machtigingen

Beheer machtigingen voor het cluster of de resource zijn vereist om de stappen in dit artikel te voltooien.

Verificatie instellen voor extern schrijven

Afhankelijk van de omgeving waarin Prometheus wordt uitgevoerd, kunt u extern schrijven configureren voor het gebruik van door de gebruiker toegewezen beheerde identiteit of Verificatie van Microsoft Entra ID-toepassingen om gegevens naar de Azure Monitor-werkruimte te verzenden.

Gebruik Azure Portal of CLI om een door de gebruiker toegewezen beheerde identiteit of Microsoft Entra ID-toepassing te maken.

Extern schrijven met door de gebruiker toegewezen beheerde identiteit

Extern schrijven met door de gebruiker toegewezen beheerde identiteitverificatie

Voer de volgende stappen uit om een door de gebruiker toegewezen beheerde identiteit te configureren voor extern schrijven naar de Azure Monitor-werkruimte.

Een door de gebruiker toegewezen beheerde identiteit maken

Zie Door de gebruiker toegewezen beheerde identiteiten beheren om te gebruiken in uw configuratie voor extern schrijven.

Noteer de waarde van de clientId beheerde identiteit die u hebt gemaakt. Deze id wordt gebruikt in de externe schrijfconfiguratie van Prometheus.

De rol Monitoring Metrics Publisher toewijzen aan de toepassing

Wijs de rol toe aan de Monitoring Metrics Publisher regel voor gegevensverzameling van de werkruimte aan de beheerde identiteit.

1. Selecteer op de overzichtspagina van de Azure Monitor-werkruimte de koppeling Gegevensverzamelingsregel .

   

2. Selecteer op de pagina regel voor gegevensverzameling de optie Toegangsbeheer (IAM).

3. Selecteer Toevoegen en roltoewijzing toevoegen.

4. Zoek en selecteer voor Monitoring Metrics Publisher en selecteer vervolgens Volgende.

5. Selecteer Beheerde identiteit.

6. Selecteer Leden selecteren.

7. In de vervolgkeuzelijst Beheerde entiteit , door de gebruiker toegewezen beheerde identiteit.

8. Selecteer de door de gebruiker toegewezen identiteit die u wilt gebruiken en klik vervolgens op Selecteren.

9. Selecteer Beoordelen en toewijzen om de roltoewijzing te voltooien.

   

Wijs de beheerde identiteit toe aan een virtuele machine of virtuele-machineschaalset.

Belangrijk

Als u de stappen in deze sectie wilt uitvoeren, moet u beheerdersmachtigingen voor eigenaar of gebruikertoegang hebben voor de virtuele machine of virtuele MAchine-schaalset.

1. Ga in Azure Portal naar de pagina van het cluster, de virtuele machine of de virtuele-machineschaalset.

2. Selecteer Identiteit.

3. Selecteer Gebruiker toegewezen.

4. Selecteer Toevoegen.

5. Selecteer de door de gebruiker toegewezen beheerde identiteit die u hebt gemaakt en selecteer vervolgens Toevoegen.

   

Microsoft Entra ID-toepassing

Extern schrijven met microsoft Entra ID-toepassingsverificatie

Als u extern schrijven naar een Azure Monitor-werkruimte wilt configureren met behulp van een Microsoft Entra ID-toepassing, maakt u een Entra-toepassing en wijst u deze toe aan de Monitoring Metrics Publisher rol in de regel voor gegevensverzameling van de werkruimte aan de toepassing.

Notitie

Uw Azure Entra-toepassing maakt gebruik van een clientgeheim of -wachtwoord. Clientgeheimen hebben een vervaldatum. Zorg ervoor dat u een nieuw clientgeheim maakt voordat het verloopt, zodat u geen geverifieerde toegang verliest

Een Microsoft Entra ID-toepassing maken

Als u een Microsoft Entra ID-toepassing wilt maken met behulp van de portal, raadpleegt u Een Microsoft Entra ID-toepassing en service-principal maken die toegang heeft tot resources.

Wanneer u uw Entra-toepassing hebt gemaakt, haalt u de client-id op en genereert u een clientgeheim.

1. Kopieer in de lijst met toepassingen de waarde voor de toepassings-id (client) voor de geregistreerde toepassing. Deze waarde wordt gebruikt in de externe schrijfconfiguratie van Prometheus als de waarde voor client_id.

   

2. Certificaten en geheimen selecteren

3. Selecteer Clientgeheimen, ze selecteren Nieuw clientgeheim om een nieuw geheim te maken

4. Voer een beschrijving in, stel de vervaldatum in en selecteer Toevoegen.

   

5. Kopieer de waarde van het geheim veilig. De waarde wordt gebruikt in de externe schrijfconfiguratie van Prometheus als de waarde voor client_secret. De waarde van het clientgeheim is alleen zichtbaar wanneer deze wordt gemaakt en kan later niet meer worden opgehaald. Als u dit kwijtraakt, moet u een nieuw clientgeheim maken.

   

De rol Monitoring Metrics Publisher toewijzen aan de toepassing

Wijs de rol in de Monitoring Metrics Publisher regel voor gegevensverzameling van de werkruimte toe aan de toepassing.

1. Selecteer op de overzichtspagina van de Azure Monitor-werkruimte de koppeling Gegevensverzamelingsregel .

   

2. Selecteer op de overzichtspagina van de gegevensverzamelingsregel toegangsbeheer (IAM).

3. Selecteer Toevoegen en selecteer vervolgens Roltoewijzing toevoegen.

   

4. Selecteer de rol Monitoring Metrics Publisher en selecteer Vervolgens.

   

5. Selecteer Gebruiker, groep of service-principal en kies leden selecteren. Selecteer de toepassing die u hebt gemaakt en kies vervolgens Selecteren.

   

6. Als u de roltoewijzing wilt voltooien, selecteert u Beoordelen en toewijzen.

CLI

Door de gebruiker toegewezen identiteiten en Microsoft Entra ID-apps maken met behulp van CLI

Een door de gebruiker toegewezen beheerde identiteit maken

Maak een door de gebruiker toegewezen beheerde identiteit voor extern schrijven met behulp van de volgende stappen:

1. Een door de gebruiker toegewezen beheerde identiteit maken
2. De rol toewijzen aan de Monitoring Metrics Publisher regel voor gegevensverzameling van de werkruimte aan de beheerde identiteit
3. Wijs de beheerde identiteit toe aan een virtuele machine of virtuele-machineschaalset.

Noteer de waarde van de clientId beheerde identiteit die u maakt. Deze id wordt gebruikt in de externe schrijfconfiguratie van Prometheus.

1. Maak een door de gebruiker toegewezen beheerde identiteit met behulp van de volgende CLI-opdracht:

   az account set \
   --subscription <subscription id>
   
   az identity create \
   --name <identity name> \
   --resource-group <resource group name>
   

   Hier volgt een voorbeeld van de weergegeven uitvoer:

   {
     "clientId": "abcdef01-a123-b456-d789-0123abc345de",
     "id": "/subscriptions/12345678-abcd-1234-abcd-1234567890ab/resourcegroups/rg-001/providers/Microsoft.ManagedIdentity/userAssignedIdentities/PromRemoteWriteIdentity",
     "location": "eastus",
     "name": "PromRemoteWriteIdentity",
     "principalId": "98765432-0123-abcd-9876-1a2b3c4d5e6f",
     "resourceGroup": "rg-001",
     "systemData": null,
     "tags": {},
     "tenantId": "ffff1234-aa01-02bb-03cc-0f9e8d7c6b5a",
     "type": "Microsoft.ManagedIdentity/userAssignedIdentities"
   }
   

2. Wijs de rol toe aan de Monitoring Metrics Publisher regel voor gegevensverzameling van de werkruimte aan de beheerde identiteit.

   az role assignment create \
   --role "Monitoring Metrics Publisher" \
   --assignee <managed identity client ID> \
   --scope <data collection rule resource ID>
   

   Voorbeeld:

   az role assignment create \
   --role "Monitoring Metrics Publisher" \
   --assignee abcdef01-a123-b456-d789-0123abc345de \
   --scope /subscriptions/12345678-abcd-1234-abcd-1234567890ab/resourceGroups/MA_amw-001_eastus_managed/providers/Microsoft.Insights/dataCollectionRules/amw-001
   

3. Wijs de beheerde identiteit toe aan een virtuele machine of virtuele-machineschaalset.

   Voor virtuele machines:

   az vm identity assign \
   -g <resource group name> \
   -n <virtual machine name> \
   --identities <user assigned identity resource ID>
   

   Voor virtuele-machineschaalsets:

   az vmss identity assign \
   -g <resource group name> \
   -n <VSS name> \
   --identities <user assigned identity resource ID>
   

   Bijvoorbeeld voor een virtuele-machineschaalset:

   az vm identity assign \
   -g rg-prom-on-vm \
   -n win-vm-prom \
   --identities /subscriptions/12345678-abcd-1234-abcd-1234567890ab/resourcegroups/rg-001/providers/Microsoft.ManagedIdentity/userAssignedIdentities/PromRemoteWriteIdentity
   

Zie az identity create en az role assignment create voor meer informatie.

Een Microsoft Entra ID-toepassing maken

Als u een Microsoft Entra ID-toepassing wilt maken met cli en de Monitoring Metrics Publisher rol wilt toewijzen, voert u de volgende opdracht uit:

az ad sp create-for-rbac --name <application name> \
--role "Monitoring Metrics Publisher" \
--scopes <azure monitor workspace data collection rule Id>

Voorbeeld:

az ad sp create-for-rbac \
--name PromRemoteWriteApp \
--role "Monitoring Metrics Publisher" \
--scopes /subscriptions/abcdef00-1234-5678-abcd-1234567890ab/resourceGroups/MA_amw-001_eastus_managed/providers/Microsoft.nsights/dataCollectionRules/amw-001

Hier volgt een voorbeeld van de weergegeven uitvoer:

{
  "appId": "01234567-abcd-ef01-2345-67890abcdef0",
  "displayName": "PromRemoteWriteApp",
  "password": "AbCDefgh1234578~zxcv.09875dslkhjKLHJHLKJ",
  "tenant": "abcdef00-1234-5687-abcd-1234567890ab"
}

De uitvoer bevat de appId en password waarden. Sla deze waarden op om te gebruiken in de externe schrijfconfiguratie van Prometheus als waarden voor client_id en client_secret de waarde voor het wachtwoord of clientgeheim is alleen zichtbaar wanneer deze is gemaakt en kan later niet worden opgehaald. Als u dit kwijtraakt, moet u een nieuw clientgeheim maken.

Zie az ad app create en az ad sp create-for-rbac voor meer informatie.

Extern schrijven configureren

Extern schrijven is geconfigureerd in het Prometheus-configuratiebestand prometheus.yml.

Zie het Prometheus.io artikel: Configuratie voor meer informatie over het configureren van extern schrijven. Zie Externe schrijfafstemming voor meer informatie over het afstemmen van de externe schrijfconfiguratie.

Als u gegevens naar uw Azure Monitor-werkruimte wilt verzenden, voegt u de volgende sectie toe aan het configuratiebestand van uw zelfbeheerde Prometheus-exemplaar.

remote_write:   
  - url: "<metrics ingestion endpoint for your Azure Monitor workspace>"
# AzureAD configuration.
# The Azure Cloud. Options are 'AzurePublic', 'AzureChina', or 'AzureGovernment'.
  azuread:
    cloud: 'AzurePublic'
    managed_identity:
      client_id: "<client-id of the managed identity>"
    oauth:
      client_id: "<client-id from the Entra app>"
      client_secret: "<client secret from the Entra app>"
      tenant_id: "<Azure subscription tenant Id>"

De url parameter geeft het eindpunt voor opname van metrische gegevens van de Azure Monitor-werkruimte op. U vindt deze op de overzichtspagina van uw Azure Monitor-werkruimte in Azure Portal.

Gebruik de managed_identitytoepassingsverificatie van oauth Microsoft Entra ID, afhankelijk van uw implementatie. Verwijder het object dat u niet gebruikt.

Zoek uw client-id voor de beheerde identiteit met behulp van de volgende Azure CLI-opdracht:

az identity list --resource-group <resource group name>

Zie az identity list voor meer informatie.

Als u uw client wilt zoeken voor verificatie van beheerde identiteiten in de portal, gaat u naar de pagina Beheerde identiteiten in Azure Portal en selecteert u de relevante identiteitsnaam. Kopieer de waarde van de client-id op de overzichtspagina Identiteit.

Als u de client-id voor de Microsoft Entra ID-toepassing wilt vinden, gebruikt u de volgende CLI of bekijkt u de eerste stap in de sectie Een Microsoft Entra-id-toepassing maken met behulp van de sectie Azure Portal .

$ az ad app list --display-name < application name>

Zie az ad app list voor meer informatie.

Notitie

Nadat u het configuratiebestand hebt bewerkt, start u Prometheus opnieuw om de wijzigingen toe te passen.

Controleren of externe schrijfgegevens stromen

Gebruik de volgende methoden om te controleren of Prometheus-gegevens naar uw Azure Monitor-werkruimte worden verzonden.

Azure Monitor Metrics Explorer met PromQL

Als u wilt controleren of de metrische gegevens naar de Azure Monitor-werkruimte stromen, selecteert u Metrische gegevens vanuit uw Azure Monitor-werkruimte in Azure Portal. Gebruik de Metrics Explorer om een query uit te voeren op de metrische gegevens die u verwacht van de zelfbeheerde Prometheus-omgeving. Zie Metrics Explorer voor meer informatie.

Prometheus explorer in Azure Monitor Workspace

Prometheus Explorer biedt een handige manier om te communiceren met metrische prometheus-gegevens in uw Azure-omgeving, waardoor bewaking en probleemoplossing efficiënter wordt. Als u de Prometheus-verkenner wilt gebruiken, gaat u naar uw Azure Monitor-werkruimte in Azure Portal en selecteert u Prometheus Explorer om een query uit te voeren op de metrische gegevens die u verwacht uit de zelfbeheerde Prometheus-omgeving. Zie Prometheus Explorer voor meer informatie.

Grafana

Gebruik PromQL-query's in Grafana om te controleren of de resultaten de verwachte gegevens retourneren. Zie hoe u Grafana instelt met Beheerde Prometheus om Grafana te configureren.

Problemen met extern schrijven oplossen

Als externe gegevens niet worden weergegeven in uw Azure Monitor-werkruimte, raadpleegt u Externe schrijfbewerkingen oplossen voor veelvoorkomende problemen en oplossingen.

Volgende stappen

• Meer informatie over de beheerde Azure Monitor-service voor Prometheus.
• Meer informatie over de omgekeerde proxy-auto van Azure Monitor voor extern schrijven vanuit zelfbeheerde Prometheus die wordt uitgevoerd op Kubernetes