Skicka Prometheus-mått från virtuella datorer till en Azure Monitor-arbetsyta

Prometheus är inte begränsat till övervakning av Kubernetes-kluster. Använd Prometheus för att övervaka program och tjänster som körs på dina servrar, oavsett var de körs. Du kan till exempel övervaka program som körs på virtuella datorer, VM-skalningsuppsättningar eller till och med lokala servrar. Installera prometheus på dina servrar och konfigurera fjärrskrivning för att skicka mått till en Azure Monitor-arbetsyta.

Den här artikeln beskriver hur du konfigurerar fjärrskrivning för att skicka data från en självhanterad Prometheus-instans till en Azure Monitor-arbetsyta.

Alternativ för fjärrskrivning

Självhanterad Prometheus kan köras i Azure- och icke-Azure-miljöer. Följande är autentiseringsalternativ för fjärrskrivning till Azure Monitor-arbetsyta baserat på miljön där Prometheus körs.

Azure-hanterade virtuella datorer och vm-skalningsuppsättningar

Använd användartilldelad hanterad identitetsautentisering för tjänster som kör självhanterad Prometheus i en Azure-miljö. Azure-hanterade tjänster omfattar:

• Azure Virtual Machines
• Skalningsuppsättningar för virtuella Microsoft Azure-datorer
• Azure Arc-aktiverade virtuella datorer

Information om hur du konfigurerar fjärrskrivning för Azure-hanterade resurser finns i Fjärrskrivning med användartilldelad hanterad identitet.

Virtuella datorer som körs i icke-Azure-miljöer.

Med registrering till Azure Arc-aktiverade tjänster kan du hantera och konfigurera virtuella datorer som inte är Azure-datorer i Azure. När du har registrerat konfigurerar du Fjärrskrivning med användartilldelad hanterad identitetsautentisering . Mer information om registrering av virtuella datorer till Azure Arc-aktiverade servrar finns i Azure Arc-aktiverade servrar.

Om du har virtuella datorer i icke-Azure-miljöer och inte vill registrera dig för Azure Arc installerar du självhanterade Prometheus och konfigurerar fjärrskrivning med Microsoft Entra ID-programautentisering. Mer information finns i Fjärrskrivning med Microsoft Entra ID-programautentisering.

Förutsättningar

Versioner som stöds

• Prometheus-versioner som är större än v2.45 krävs för hanterad identitetsautentisering.
• Prometheus-versioner som är större än v2.48 krävs för Microsoft Entra ID-programautentisering.

Azure Monitor-arbetsyta

Den här artikeln beskriver hur du skickar Prometheus-mått till en Azure Monitor-arbetsyta. Information om hur du skapar en Azure Monitor-arbetsyta finns i Hantera en Azure Monitor-arbetsyta.

Behörigheter

Administratörsbehörigheter för klustret eller resursen krävs för att slutföra stegen i den här artikeln.

Konfigurera autentisering för fjärrskrivning

Beroende på miljön där Prometheus körs kan du konfigurera fjärrskrivning för att använda användartilldelad hanterad identitet eller Microsoft Entra ID-programautentisering för att skicka data till Azure Monitor-arbetsytan.

Använd Azure-portalen eller CLI för att skapa en användartilldelad hanterad identitet eller Etttra-ID-program.

Fjärrskrivning med användartilldelad hanterad identitet

Fjärrskrivning med användartilldelad hanterad identitetsautentisering

Utför följande steg för att konfigurera en användartilldelad hanterad identitet för fjärrskrivning till Azure Monitor-arbetsytan.

Skapa en användartilldelad hanterad identitet

Information om hur du skapar en användarhanterad identitet som ska användas i fjärrskrivningskonfigurationen finns i Hantera användartilldelade hanterade identiteter.

Observera värdet för den clientId hanterade identitet som du skapade. Det här ID:t används i Prometheus fjärrskrivningskonfiguration.

Tilldela utgivarrollen Övervakningsmått till programmet

Monitoring Metrics Publisher Tilldela rollen på arbetsytans datainsamlingsregel till den hanterade identiteten.

1. På sidan Översikt över Azure Monitor-arbetsyta väljer du länken Datainsamlingsregel .

   

2. På sidan datainsamlingsregel väljer du Åtkomstkontroll (IAM).

3. Välj Lägg till och Lägg till rolltilldelning.

4. Sök efter och välj övervakningsmåttutgivare och välj sedan Nästa.

5. Välj Hanterad identitet.

6. Välj Välj medlemmar.

7. I listrutan Hanterad entitet, Användartilldelad hanterad identitet.

8. Välj den användartilldelade identitet som du vill använda och klicka sedan på Välj.

9. Välj Granska + tilldela för att slutföra rolltilldelningen.

   

Tilldela den hanterade identiteten till en vm-dator eller vm-skalningsuppsättning.

Viktigt!

Om du vill slutföra stegen i det här avsnittet måste du ha administratörsbehörighet för ägare eller användare för vm- eller virtuell MAchine-skalningsuppsättning.

1. I Azure-portalen går du till klustret, den virtuella datorn eller vm-skalningsuppsättningens sida.

2. Välj Identitet.

3. Välj Användartilldelade.

4. Markera Lägga till.

5. Välj den användartilldelade hanterade identiteten som du skapade och välj sedan Lägg till.

   

Microsoft Entra ID-program

Fjärrskrivning med Microsoft Entra ID-programautentisering

Om du vill konfigurera fjärrskrivning till Azure Monitor-arbetsytan med hjälp av ett Microsoft Entra-ID-program skapar du ett Entra-program och tilldelar det Monitoring Metrics Publisher rollen på arbetsytans datainsamlingsregel till programmet.

Kommentar

Ditt Azure Entra-program använder en klienthemlighet eller ett lösenord. Klienthemligheter har ett utgångsdatum. Se till att skapa en ny klienthemlighet innan den upphör att gälla så att du inte förlorar autentiserad åtkomst

Skapa ett Microsoft Entra-ID-program

Information om hur du skapar ett Microsoft Entra-ID-program med hjälp av portalen finns i Skapa ett Microsoft Entra ID-program och tjänstens huvudnamn som kan komma åt resurser.

När du har skapat ett Entra-program hämtar du klient-ID:t och genererar en klienthemlighet.

1. I listan över program kopierar du värdet för program-ID (klient)-ID för det registrerade programmet. Det här värdet används i Prometheus fjärrskrivningskonfiguration som värde för client_id.

   

2. Välj Certifikat och hemligheter

3. Välj Klienthemligheter och välj Ny klienthemlighet för att skapa en ny hemlighet

4. Ange en beskrivning, ange förfallodatum och välj Lägg till.

   

5. Kopiera hemlighetens värde på ett säkert sätt. Värdet används i Prometheus fjärrskrivningskonfiguration som värde för client_secret. Värdet för klienthemlighet visas bara när det skapas och kan inte hämtas senare. Om den går förlorad måste du skapa en ny klienthemlighet.

   

Tilldela utgivarrollen Övervakningsmått till programmet

Monitoring Metrics Publisher Tilldela rollen på arbetsytans datainsamlingsregel till programmet.

1. På azure monitor-arbetsytan, översiktssidan, väljer du länken Datainsamlingsregel .

   

2. På översiktssidan för datainsamlingsregeln väljer du Åtkomstkontroll (IAM).

3. Välj Lägg till och sedan Lägg till rolltilldelning.

   

4. Välj utgivarrollenÖvervakningsmått och välj sedan Nästa.

   

5. Välj Användare, grupp eller tjänstens huvudnamn och välj sedan Välj medlemmar. Välj det program som du skapade och välj sedan Välj.

   

6. Slutför rolltilldelningen genom att välja Granska + tilldela.

CLI

Skapa användartilldelade identiteter och Microsoft Entra-ID-appar med CLI

Skapa en användartilldelad hanterad identitet

Skapa en användartilldelad hanterad identitet för fjärrskrivning med hjälp av följande steg:

1. Skapa en användartilldelad hanterad identitet
2. Monitoring Metrics Publisher Tilldela rollen på arbetsytans datainsamlingsregel till den hanterade identiteten
3. Tilldela den hanterade identiteten till en vm-dator eller vm-skalningsuppsättning.

Observera värdet för den clientId hanterade identitet som du skapar. Det här ID:t används i Prometheus fjärrskrivningskonfiguration.

1. Skapa en användartilldelad hanterad identitet med följande CLI-kommando:

   az account set \
   --subscription <subscription id>
   
   az identity create \
   --name <identity name> \
   --resource-group <resource group name>
   

   Följande är ett exempel på utdata som visas:

   {
     "clientId": "abcdef01-a123-b456-d789-0123abc345de",
     "id": "/subscriptions/12345678-abcd-1234-abcd-1234567890ab/resourcegroups/rg-001/providers/Microsoft.ManagedIdentity/userAssignedIdentities/PromRemoteWriteIdentity",
     "location": "eastus",
     "name": "PromRemoteWriteIdentity",
     "principalId": "98765432-0123-abcd-9876-1a2b3c4d5e6f",
     "resourceGroup": "rg-001",
     "systemData": null,
     "tags": {},
     "tenantId": "ffff1234-aa01-02bb-03cc-0f9e8d7c6b5a",
     "type": "Microsoft.ManagedIdentity/userAssignedIdentities"
   }
   

2. Monitoring Metrics Publisher Tilldela rollen på arbetsytans datainsamlingsregel till den hanterade identiteten.

   az role assignment create \
   --role "Monitoring Metrics Publisher" \
   --assignee <managed identity client ID> \
   --scope <data collection rule resource ID>
   

   Exempel:

   az role assignment create \
   --role "Monitoring Metrics Publisher" \
   --assignee abcdef01-a123-b456-d789-0123abc345de \
   --scope /subscriptions/12345678-abcd-1234-abcd-1234567890ab/resourceGroups/MA_amw-001_eastus_managed/providers/Microsoft.Insights/dataCollectionRules/amw-001
   

3. Tilldela den hanterade identiteten till en vm-dator eller vm-skalningsuppsättning.

   För virtuella datorer:

   az vm identity assign \
   -g <resource group name> \
   -n <virtual machine name> \
   --identities <user assigned identity resource ID>
   

   För VM-skalningsuppsättningar:

   az vmss identity assign \
   -g <resource group name> \
   -n <VSS name> \
   --identities <user assigned identity resource ID>
   

   Till exempel för en VM-skalningsuppsättning:

   az vm identity assign \
   -g rg-prom-on-vm \
   -n win-vm-prom \
   --identities /subscriptions/12345678-abcd-1234-abcd-1234567890ab/resourcegroups/rg-001/providers/Microsoft.ManagedIdentity/userAssignedIdentities/PromRemoteWriteIdentity
   

Mer information finns i az identity create and az role assignment create.

Skapa ett Microsoft Entra-ID-program

Om du vill skapa ett Microsoft Entra-ID-program med HJÄLP av CLI och tilldela Monitoring Metrics Publisher rollen kör du följande kommando:

az ad sp create-for-rbac --name <application name> \
--role "Monitoring Metrics Publisher" \
--scopes <azure monitor workspace data collection rule Id>

Exempel:

az ad sp create-for-rbac \
--name PromRemoteWriteApp \
--role "Monitoring Metrics Publisher" \
--scopes /subscriptions/abcdef00-1234-5678-abcd-1234567890ab/resourceGroups/MA_amw-001_eastus_managed/providers/Microsoft.nsights/dataCollectionRules/amw-001

Följande är ett exempel på utdata som visas:

{
  "appId": "01234567-abcd-ef01-2345-67890abcdef0",
  "displayName": "PromRemoteWriteApp",
  "password": "AbCDefgh1234578~zxcv.09875dslkhjKLHJHLKJ",
  "tenant": "abcdef00-1234-5687-abcd-1234567890ab"
}

Utdata innehåller appId värdena och password . Spara dessa värden som ska användas i Prometheus fjärrskrivningskonfiguration som värden för och client_secret Värdet för client_id lösenord eller klienthemlighet visas bara när det skapas och kan inte hämtas senare. Om den går förlorad måste du skapa en ny klienthemlighet.

Mer information finns i az ad app create and az ad sp create-for-rbac.

Konfigurera fjärrskrivning

Fjärrskrivning konfigureras i Prometheus-konfigurationsfilen prometheus.yml.

Mer information om hur du konfigurerar fjärrskrivning finns i artikeln Prometheus.io: Konfiguration. Mer information om hur du justerar fjärrskrivningskonfigurationen finns i Fjärrskrivningsjustering.

Om du vill skicka data till din Azure Monitor-arbetsyta lägger du till följande avsnitt i konfigurationsfilen för din självhanterade Prometheus-instans.

remote_write:   
  - url: "<metrics ingestion endpoint for your Azure Monitor workspace>"
# AzureAD configuration.
# The Azure Cloud. Options are 'AzurePublic', 'AzureChina', or 'AzureGovernment'.
  azuread:
    cloud: 'AzurePublic'
    managed_identity:
      client_id: "<client-id of the managed identity>"
    oauth:
      client_id: "<client-id from the Entra app>"
      client_secret: "<client secret from the Entra app>"
      tenant_id: "<Azure subscription tenant Id>"

Parametern url anger slutpunkten för måttinmatning för Azure Monitor-arbetsytan. Den finns på sidan Översikt för din Azure Monitor-arbetsyta i Azure-portalen.

Använd antingen programautentiseringen managed_identity, eller oauth för Microsoft Entra ID, beroende på din implementering. Ta bort det objekt som du inte använder.

Hitta ditt klient-ID för den hanterade identiteten med hjälp av följande Azure CLI-kommando:

az identity list --resource-group <resource group name>

Mer information finns i az identity list (az identity list).

Om du vill hitta klienten för hanterad identitetsautentisering i portalen går du till sidan Hanterade identiteter i Azure-portalen och väljer relevant identitetsnamn. Kopiera värdet för klient-ID :t från sidan Identitetsöversikt .

Om du vill hitta klient-ID:t för Microsoft Entra-ID-programmet använder du följande CLI eller ser det första steget i avsnittet Skapa ett Microsoft Entra-ID med hjälp av Azure-portalen .

$ az ad app list --display-name < application name>

Mer information finns i az ad app list.

Kommentar

När du har redigerat konfigurationsfilen startar du om Prometheus för att ändringarna ska gälla.

Kontrollera att fjärrskrivningsdata flödar

Använd följande metoder för att kontrollera att Prometheus-data skickas till din Azure Monitor-arbetsyta.

Azure Monitor-måttutforskaren med PromQL

Om du vill kontrollera om måtten flödar till Azure Monitor-arbetsytan väljer du Mått från Azure Monitor-arbetsytan i Azure-portalen. Använd måttutforskaren för att fråga de mått som du förväntar dig från den självhanterade Prometheus-miljön. Mer information finns i Metrics Explorer.

Prometheus-utforskaren i Azure Monitor-arbetsytan

Prometheus Explorer är ett bekvämt sätt att interagera med Prometheus-mått i din Azure-miljö, vilket gör övervakning och felsökning effektivare. Om du vill använda Prometheus-utforskaren går du till din Azure Monitor-arbetsyta i Azure-portalen och väljer Prometheus Explorer för att fråga efter de mått som du förväntar dig från den självhanterade Prometheus-miljön. Mer information finns i Prometheus Explorer.

Grafana

Använd PromQL-frågor i Grafana för att verifiera att resultaten returnerar förväntade data. Se hur du konfigurerar Grafana med Managed Prometheus för att konfigurera Grafana.

Felsöka fjärrskrivning

Om fjärrdata inte visas på din Azure Monitor-arbetsyta kan du läsa Felsöka fjärrskrivning för vanliga problem och lösningar.

Nästa steg

• Läs mer om azure monitor-hanterad tjänst för Prometheus.
• Läs mer om azure monitor back proxy side car for remote-write from self-managed Prometheus running on Kubernetes