Отправка метрик Prometheus из Виртуальные машины в рабочую область Azure Monitor

Prometheus не ограничивается мониторингом кластеров Kubernetes. Используйте Prometheus для мониторинга приложений и служб, работающих на серверах, где бы они ни выполнялись. Например, можно отслеживать приложения, работающие на Виртуальные машины, Масштабируемые наборы виртуальных машин или даже на локальных серверах. Установите prometheus на серверах и настройте удаленную запись для отправки метрик в рабочую область Azure Monitor.

В этой статье объясняется, как настроить удаленную запись для отправки данных из локального экземпляра Prometheus в рабочую область Azure Monitor.

Параметры удаленной записи

Самоуправляемый Prometheus может выполняться в Azure и средах, отличных от Azure. Ниже приведены параметры проверки подлинности для удаленной записи в рабочую область Azure Monitor в зависимости от среды, в которой выполняется Prometheus.

Управляемые Виртуальные машины Azure и Масштабируемые наборы виртуальных машин

Используйте проверку подлинности управляемого удостоверения, назначаемую пользователем, для служб, работающих под управлением самообслуживания Prometheus в среде Azure. К управляемым службам Azure относятся:

• Виртуальные машины Azure
• Масштабируемые наборы виртуальных машин Azure
• Виртуальные машины с поддержкой Azure Arc

Сведения о настройке удаленной записи для управляемых ресурсов Azure см. в статье "Удаленная запись с помощью управляемого удостоверения, назначаемого пользователем".

Виртуальные машины, работающие в средах, отличных от Azure.

Подключение к службам с поддержкой Azure Arc позволяет управлять и настраивать виртуальные машины, отличные от Azure. После подключения настройте удаленную запись с помощью проверки подлинности управляемого удостоверения , назначаемого пользователем. Дополнительные сведения о подключении Виртуальные машины к серверам с поддержкой Azure Arc см. на серверах с поддержкой Azure Arc.

Если у вас есть виртуальные машины в средах, отличных от Azure, и вы не хотите подключиться к Azure Arc, установите самоуправляемый Prometheus и настройте удаленную запись с помощью проверки подлинности приложения Microsoft Entra ID. Дополнительные сведения см. в разделе "Удаленная запись" с помощью проверки подлинности приложения Идентификатора Microsoft Entra.

Необходимые компоненты

Поддерживаемые версии

• Версии Prometheus, превышающие версию 2.45, требуются для проверки подлинности управляемого удостоверения.
• Версии Prometheus, превышающие версию 2.48, необходимы для проверки подлинности приложения Идентификатора Microsoft Entra.

Рабочая область Azure Monitor

В этой статье описывается отправка метрик Prometheus в рабочую область Azure Monitor. Сведения о создании рабочей области Azure Monitor см. в статье "Управление рабочей областью Azure Monitor".

Разрешения

разрешения Администратор istrator для кластера или ресурса необходимы для выполнения действий, описанных в этой статье.

Настройка проверки подлинности для удаленной записи

В зависимости от среды, в которой запущен Prometheus, можно настроить удаленное запись для использования управляемого удостоверения, назначаемого пользователем, или проверки подлинности приложения Entra ID для отправки данных в рабочую область Azure Monitor.

Используйте портал Azure или CLI для создания управляемого удостоверения, назначаемого пользователем, или приложения идентификатора Microsoft Entra ID.

Удаленная запись с помощью управляемого удостоверения, назначаемого пользователем

Удаленная запись с помощью проверки подлинности управляемого удостоверения, назначаемого пользователем

Чтобы настроить управляемое удостоверение, назначаемое пользователем, для удаленной записи в рабочую область Azure Monitor, выполните следующие действия.

Создание управляемого удостоверения, назначаемого пользователем

Сведения о создании управляемого пользователем удостоверения для использования в конфигурации удаленной записи см. в статье "Управление управляемыми удостоверениями, назначаемыми пользователем".

Обратите внимание на значение clientId созданного управляемого удостоверения. Этот идентификатор используется в конфигурации удаленной записи Prometheus.

Назначение роли издателя метрик мониторинга приложению

Monitoring Metrics Publisher Назначьте роль правилу сбора данных рабочей области управляемому удостоверению.

1. На странице обзора рабочей области Azure Monitor выберите ссылку правила сбора данных.

   

2. На странице правила сбора данных выберите элемент управления доступом (IAM).

3. Выберите "Добавить" и "Добавить назначение ролей".

4. Найдите и выберите издатель метрик мониторинга и нажмите кнопку "Далее".

5. Выберите управляемое удостоверение.

6. Щелкните Выбор членов.

7. В раскрывающемся списке Управляемой сущности назначаемое пользователем управляемое удостоверение.

8. Выберите назначаемое пользователем удостоверение, а затем нажмите кнопку "Выбрать".

9. Выберите "Рецензирование" и " Назначить" , чтобы завершить назначение роли.

   

Назначьте управляемое удостоверение виртуальной машине или масштабируемой группе виртуальных машин.

Внимание

Чтобы выполнить действия, описанные в этом разделе, необходимо иметь разрешения владельца или администратора доступа пользователей для виртуальной машины или масштабируемого набора виртуальных MAchine.

1. В портал Azure перейдите на страницу кластера, виртуальной машины или масштабируемого набора виртуальных машин.

2. Выберите Удостоверение.

3. Выберите назначенный пользователем.

4. Выберите Добавить.

5. Выберите созданное управляемое удостоверение, назначаемое пользователем, а затем нажмите кнопку "Добавить".

   

Приложение идентификатора Microsoft Entra

Удаленная запись с помощью проверки подлинности приложения Идентификатора Microsoft Entra

Чтобы настроить удаленную запись в рабочую область Azure Monitor с помощью приложения идентификатора Microsoft Entra, создайте приложение Entra и назначьте ей Monitoring Metrics Publisher роль в правиле сбора данных рабочей области приложению.

Примечание.

Приложение Azure Entra использует секрет клиента или пароль. Секреты клиента имеют дату окончания срока действия. Не забудьте создать новый секрет клиента до истечения срока его действия, чтобы не потерять прошедший проверку подлинности доступ

Создание приложения идентификатора Microsoft Entra

Сведения о создании приложения Идентификатора Microsoft Entra с помощью портала см. в статье "Создание приложения идентификатора Microsoft Entra ID и субъекта-службы", которое может получить доступ к ресурсам.

Создав приложение Entra, получите идентификатор клиента и создайте секрет клиента.

1. В списке приложений скопируйте значение для идентификатора приложения (клиента) для зарегистрированного приложения. Это значение используется в конфигурации удаленной записи Prometheus в качестве значения client_id.

   

2. Выбор сертификатов и секретов

3. Выберите секреты клиента, а затем выберите новый секрет клиента, чтобы создать новый секрет

4. Введите описание, задайте дату окончания срока действия и нажмите кнопку "Добавить".

   

5. Скопируйте значение секрета безопасно. Значение используется в конфигурации удаленной записи Prometheus в качестве значения client_secret. Значение секрета клиента отображается только при создании и не может быть получено позже. При потере необходимо создать новый секрет клиента.

   

Назначение роли издателя метрик мониторинга приложению

Monitoring Metrics Publisher Назначьте роль в правиле сбора данных рабочей области приложению.

1. На странице обзора рабочей области Azure Monitor выберите ссылку правила сбора данных.

   

2. На странице обзора правила сбора данных выберите элемент управления доступом (IAM).

3. Выберите Добавить, затем выберите Добавить назначение ролей.

   

4. Выберите роль издателя метрик мониторинга и нажмите кнопку "Далее".

   

5. Выберите "Пользователь", "Группа" или "Субъект-служба", а затем выберите "Выбрать участников". Выберите созданное приложение и нажмите кнопку "Выбрать".

   

6. Чтобы завершить назначение роли, нажмите кнопку "Проверить и назначить".

CLI

Создание назначаемых пользователем удостоверений и приложений идентификатора Microsoft Entra с помощью CLI

Создание управляемого удостоверения, назначаемого пользователем

Создайте управляемое удостоверение, назначаемое пользователем, для удаленной записи, выполнив следующие действия.

1. Создание управляемого удостоверения, назначаемого пользователем
2. Monitoring Metrics Publisher Назначение роли в правиле сбора данных рабочей области управляемому удостоверению
3. Назначьте управляемое удостоверение виртуальной машине или масштабируемой группе виртуальных машин.

Обратите внимание на значение clientId создаваемого управляемого удостоверения. Этот идентификатор используется в конфигурации удаленной записи Prometheus.

1. Создайте управляемое удостоверение, назначаемое пользователем, с помощью следующей команды CLI:

   az account set \
   --subscription <subscription id>
   
   az identity create \
   --name <identity name> \
   --resource-group <resource group name>
   

   Ниже приведен пример отображаемых выходных данных:

   {
     "clientId": "abcdef01-a123-b456-d789-0123abc345de",
     "id": "/subscriptions/12345678-abcd-1234-abcd-1234567890ab/resourcegroups/rg-001/providers/Microsoft.ManagedIdentity/userAssignedIdentities/PromRemoteWriteIdentity",
     "location": "eastus",
     "name": "PromRemoteWriteIdentity",
     "principalId": "98765432-0123-abcd-9876-1a2b3c4d5e6f",
     "resourceGroup": "rg-001",
     "systemData": null,
     "tags": {},
     "tenantId": "ffff1234-aa01-02bb-03cc-0f9e8d7c6b5a",
     "type": "Microsoft.ManagedIdentity/userAssignedIdentities"
   }
   

2. Monitoring Metrics Publisher Назначьте роль правилу сбора данных рабочей области управляемому удостоверению.

   az role assignment create \
   --role "Monitoring Metrics Publisher" \
   --assignee <managed identity client ID> \
   --scope <data collection rule resource ID>
   

   Например,

   az role assignment create \
   --role "Monitoring Metrics Publisher" \
   --assignee abcdef01-a123-b456-d789-0123abc345de \
   --scope /subscriptions/12345678-abcd-1234-abcd-1234567890ab/resourceGroups/MA_amw-001_eastus_managed/providers/Microsoft.Insights/dataCollectionRules/amw-001
   

3. Назначьте управляемое удостоверение виртуальной машине или масштабируемой группе виртуальных машин.

   Для виртуальных машин:

   az vm identity assign \
   -g <resource group name> \
   -n <virtual machine name> \
   --identities <user assigned identity resource ID>
   

   Для Масштабируемые наборы виртуальных машин:

   az vmss identity assign \
   -g <resource group name> \
   -n <VSS name> \
   --identities <user assigned identity resource ID>
   

   Например, для масштабируемого набора виртуальных машин:

   az vm identity assign \
   -g rg-prom-on-vm \
   -n win-vm-prom \
   --identities /subscriptions/12345678-abcd-1234-abcd-1234567890ab/resourcegroups/rg-001/providers/Microsoft.ManagedIdentity/userAssignedIdentities/PromRemoteWriteIdentity
   

Дополнительные сведения см. в статье az identity create and az role assignment create.

Создание приложения идентификатора Microsoft Entra

Чтобы создать приложение идентификатора Microsoft Entra с помощью CLI и назначить Monitoring Metrics Publisher эту роль, выполните следующую команду:

az ad sp create-for-rbac --name <application name> \
--role "Monitoring Metrics Publisher" \
--scopes <azure monitor workspace data collection rule Id>

Например,

az ad sp create-for-rbac \
--name PromRemoteWriteApp \
--role "Monitoring Metrics Publisher" \
--scopes /subscriptions/abcdef00-1234-5678-abcd-1234567890ab/resourceGroups/MA_amw-001_eastus_managed/providers/Microsoft.nsights/dataCollectionRules/amw-001

Ниже приведен пример отображаемых выходных данных:

{
  "appId": "01234567-abcd-ef01-2345-67890abcdef0",
  "displayName": "PromRemoteWriteApp",
  "password": "AbCDefgh1234578~zxcv.09875dslkhjKLHJHLKJ",
  "tenant": "abcdef00-1234-5687-abcd-1234567890ab"
}

Выходные данные содержат appId значения и password значения. Сохраните эти значения для использования в конфигурации удаленной записи Prometheus в качестве значений client_id , а client_secret значение пароля или секрета клиента отображается только при создании и не может быть получено позже. При потере необходимо создать новый секрет клиента.

Дополнительные сведения см. в статье az ad app create and az ad sp create-for-rbac.

Настройка удаленной записи

Удаленная запись настроена в файле prometheus.ymlконфигурации Prometheus.

Дополнительные сведения о настройке удаленной записи см. в статье Prometheus.io: Конфигурация. Дополнительные сведения о настройке конфигурации удаленной записи см. в разделе "Удаленная настройка записи".

Чтобы отправить данные в рабочую область Azure Monitor, добавьте следующий раздел в файл конфигурации управляемого экземпляра Prometheus.

remote_write:   
  - url: "<metrics ingestion endpoint for your Azure Monitor workspace>"
# AzureAD configuration.
# The Azure Cloud. Options are 'AzurePublic', 'AzureChina', or 'AzureGovernment'.
  azuread:
    cloud: 'AzurePublic'
    managed_identity:
      client_id: "<client-id of the managed identity>"
    oauth:
      client_id: "<client-id from the Entra app>"
      client_secret: "<client secret from the Entra app>"
      tenant_id: "<Azure subscription tenant Id>"

Параметр url задает конечную точку приема метрик рабочей области Azure Monitor. Его можно найти на странице обзора рабочей области Azure Monitor в портал Azure.

managed_identityoauth Используйте проверку подлинности приложения или идентификатора Microsoft Entra ID в зависимости от реализации. Удалите объект, который вы не используете.

Найдите идентификатор клиента для управляемого удостоверения с помощью следующей команды Azure CLI:

az identity list --resource-group <resource group name>

Дополнительные сведения см. в az identity list.

Чтобы найти клиент для проверки подлинности на портале, перейдите на страницу управляемых удостоверений в портал Azure и выберите соответствующее имя удостоверения. Скопируйте значение идентификатора клиента на странице обзора удостоверений.

Чтобы найти идентификатор клиента для приложения идентификатора Microsoft Entra ID, используйте следующий интерфейс командной строки или просмотрите первый шаг в приложении "Создание приложения идентификатора Microsoft Entra ID" с помощью раздела портал Azure.

$ az ad app list --display-name < application name>

Дополнительные сведения см. в списке приложений az ad.

Примечание.

После редактирования файла конфигурации перезапустите Prometheus для применения изменений.

Убедитесь, что данные удаленной записи потоки

Используйте следующие методы, чтобы убедиться, что данные Prometheus отправляются в рабочую область Azure Monitor.

Обозреватель метрик Azure Monitor с помощью PromQL

Чтобы проверка, если метрики отправляются в рабочую область Azure Monitor, из рабочей области Azure Monitor в портал Azure выберите метрики. Используйте обозреватель метрик для запроса метрик, которые вы ожидаете из локальной среды Prometheus. Дополнительные сведения см . в обозревателе метрик.

Обозреватель Prometheus в рабочей области Azure Monitor

Prometheus Обозреватель предоставляет удобный способ взаимодействия с метриками Prometheus в среде Azure, что делает мониторинг и устранение неполадок более эффективным. Чтобы использовать обозреватель Prometheus, перейдите в рабочую область Azure Monitor в портал Azure и выберите Prometheus Обозреватель, чтобы запросить метрики, ожидаемые из локальной среды Prometheus. Дополнительные сведения см . в обозревателе Prometheus.

Grafana

Используйте запросы PromQL в Grafana, чтобы убедиться, что результаты возвращают ожидаемые данные. Узнайте, как настроить Grafana с помощью Managed Prometheus , чтобы настроить Grafana.

Устранение неполадок удаленной записи

Если удаленные данные не отображаются в рабочей области Azure Monitor, см. статью "Устранение неполадок удаленной записи для распространенных проблем и решений".

Следующие шаги

• Дополнительные сведения об управляемой службе Azure Monitor для Prometheus.
• Дополнительные сведения об обратном прокси-сервере Azure Monitor для удаленной записи из самоуправляемого Prometheus, работающего в Kubernetes