Отправка метрик Prometheus из виртуальных машин, масштабируемых наборов или кластеров Kubernetes в рабочую область Azure Monitor

Удаленная запись с помощью проверки подлинности управляемого удостоверения, назначаемого пользователем

Аутентификация управляемой идентичности, назначенной пользователем, может использоваться в любой среде, управляемой Azure. Если служба Prometheus работает в среде, отличной от Azure, можно использовать проверку подлинности приложения Microsoft Entra.

Чтобы настроить управляемое удостоверение, назначаемое пользователем, для удаленной записи в рабочую область Azure Monitor, выполните следующие действия.

Создание управляемой идентичности, назначаемой пользователем

Чтобы создать управляемый пользователем идентификатор для использования в конфигурации записи на удаленный сервер, см. Управление управляемыми идентификаторами, назначаемыми пользователем.

Обратите внимание на значение управляемого удостоверения clientId, которое вы создали. Этот идентификатор используется в конфигурации удаленной записи Prometheus.

Назначьте приложению роль издателя метрик мониторинга

В правиле сбора данных рабочей области назначьте роль издателя метрик мониторинга управляемому удостоверению:

1. На панели обзора рабочей области Azure Monitor выберите ссылку правила сбора данных.

   

2. На странице правила сбора данных выберите элемент управления доступом (IAM).

3. Выберите Добавить>Добавить назначение ролей.

   

4. Найдите и выберите Издатель метрик мониторинга, а затем выберите Далее.

   

5. Выберите управляемую идентичность.

6. Нажмите Выбрать членов.

7. В раскрывающемся списке управляемых удостоверений выберите управляемое удостоверение, назначаемое пользователем.

8. Выберите назначенный пользователем идентификатор, и затем выберите Выбрать.

   

9. Выберите Проверить + Назначить, чтобы завершить назначение роли.

Назначьте управляемое удостоверение виртуальной машине или масштабируемому набору виртуальных машин

1. Перейдите в портал Azure на страницу кластера, виртуальной машины или масштабируемого набора виртуальных машин.

2. Выберите Идентификатор.

3. Выберите назначено пользователем.

4. Выберите Добавить.

5. Выберите созданное управляемое удостоверение, назначаемое пользователем, и нажмите кнопку "Добавить".

   

Назначение управляемого удостоверения для Служба Azure Kubernetes

Для службы Azure Kubernetes необходимо назначить управляемое удостоверение на масштабируемые наборы виртуальных машин.

AKS создает группу ресурсов, содержащую масштабируемые наборы виртуальных машин. Имя группы ресурсов находится в формате MC_<resource group name>_<AKS cluster name>_<region>.

Для каждого масштабируемого набора виртуальных машин в группе ресурсов назначьте управляемое удостоверение в соответствии с инструкциями, описанными в предыдущем разделе, назначьте управляемое удостоверение виртуальной машине или масштабируемой группе виртуальных машин.

Удаленная запись с помощью проверки подлинности приложения Microsoft Entra

Проверку подлинности приложения Microsoft Entra можно использовать в любой среде. Если служба Prometheus работает в управляемой Azure среде, рассмотрите возможность использования проверки подлинности управляемого удостоверения, назначаемого пользователем.

Чтобы настроить удаленную запись в рабочую область Azure Monitor с помощью приложения Microsoft Entra, создайте приложение Microsoft Entra. В правиле сбора данных рабочей области Azure Monitor назначьте роль издателя метрик мониторинга приложению Microsoft Entra.

Создание приложения идентификатора Microsoft Entra

См. статью "Регистрация приложения в Microsoft Entra ID и создание учетной записи службы" для получения информации о создании приложения Microsoft Entra ID с использованием портала.

После создания приложения Microsoft Entra получите идентификатор клиента и создайте секрет клиента:

1. В списке приложений скопируйте значение идентификатора клиента для зарегистрированного приложения. Это значение используется в конфигурации удаленной записи Prometheus в качестве значения client_id.

   

2. Выберите Сертификаты и секреты.

3. Выберите секреты клиента и выберите новый секрет клиента, чтобы создать секрет.

4. Введите описание, задайте дату окончания срока действия и нажмите кнопку "Добавить".

   

5. Скопируйте значение секрета безопасно. Значение используется в конфигурации дистанционной записи Prometheus в качестве значения client_secret. Значение секрета клиента отображается только при его создании, и его невозможно получить позже. Если вы его потеряете, необходимо создать новый.

   

Назначьте приложению роль издателя метрик мониторинга

Назначьте приложению роль издателя метрик мониторинга в правиле сбора данных рабочей области.

1. На панели обзора рабочей области Azure Monitor выберите ссылку правила сбора данных.

   

2. На странице правила сбора данных выберите элемент управления доступом (IAM).

3. Выберите Добавить, затем выберите Добавить назначение ролей.

   

4. Выберите роль издателя метрик мониторинга и нажмите кнопку "Далее".

   

5. Выберите "Пользователь", "Группа" или "Субъект-служба", а затем выберите "Выбрать участников". Выберите созданное приложение и нажмите кнопку "Выбрать".

6. Чтобы завершить назначение роли, нажмите кнопку "Проверить и назначить".

   

Создание назначаемых пользователем удостоверений и приложений идентификатора Microsoft Entra с помощью Azure CLI

Создание управляемой идентичности, назначаемой пользователем

Создайте управляемое удостоверение, назначаемое пользователем, для удаленной записи, выполнив следующие действия.

Обратите внимание на значение для создаваемого вами управляемого удостоверения clientId. В конфигурации удаленной записи Prometheus используется этот идентификатор.

1. Создайте управляемое удостоверение, назначаемое пользователем, с помощью следующей команды Azure CLI:

   az account set \
   --subscription <subscription id>
   
   az identity create \
   --name <identity name> \
   --resource-group <resource group name>
   

   Следующий код является примером отображаемых выходных данных:

   {
     "clientId": "00001111-aaaa-2222-bbbb-3333cccc4444",
     "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/rg-001/providers/Microsoft.ManagedIdentity/userAssignedIdentities/PromRemoteWriteIdentity",
     "location": "eastus",
     "name": "PromRemoteWriteIdentity",
     "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
     "resourceGroup": "rg-001",
     "systemData": null,
     "tags": {},
     "tenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
     "type": "Microsoft.ManagedIdentity/userAssignedIdentities"
   }
   

2. Назначьте роль издателя метрик мониторинга в правиле сбора данных рабочей области управляемому удостоверению:

   az role assignment create \
   --role "Monitoring Metrics Publisher" \
   --assignee <managed identity client ID> \
   --scope <data collection rule resource ID>
   

   Рассмотрим пример.

   az role assignment create \
   --role "Monitoring Metrics Publisher" \
   --assignee 00001111-aaaa-2222-bbbb-3333cccc4444 \
   --scope /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/MA_amw-001_eastus_managed/providers/Microsoft.Insights/dataCollectionRules/amw-001
   

3. Назначьте управляемое удостоверение виртуальной машине или масштабируемой группе виртуальных машин.

   Ниже приведены команды для виртуальной машины:

   az vm identity assign \
   -g <resource group name> \
   -n <virtual machine name> \
   --identities <user assigned identity resource ID>
   

   Ниже приведены команды для масштабируемого набора виртуальных машин:

   az vmss identity assign \
   -g <resource group name> \
   -n <scale set name> \
   --identities <user assigned identity resource ID>
   

   В следующем примере показаны команды для масштабируемого набора виртуальных машин:

   az vm identity assign \
   -g rg-prom-on-vm \
   -n win-vm-prom \
   --identities /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/rg-001/providers/Microsoft.ManagedIdentity/userAssignedIdentities/PromRemoteWriteIdentity
   

Дополнительные сведения см. в az identity create и az role assignment create.

Создание приложения Microsoft Entra

Чтобы создать приложение Microsoft Entra с помощью Azure CLI и назначить роль издателя метрик мониторинга, выполните следующую команду:

az ad sp create-for-rbac --name <application name> \
--role "Monitoring Metrics Publisher" \
--scopes <azure monitor workspace data collection rule Id>

Рассмотрим пример.

az ad sp create-for-rbac \
--name PromRemoteWriteApp \
--role "Monitoring Metrics Publisher" \
--scopes /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/MA_amw-001_eastus_managed/providers/Microsoft.nsights/dataCollectionRules/amw-001

Следующий код является примером отображаемых выходных данных:

{
  "appId": "66667777-aaaa-8888-bbbb-9999cccc0000",
  "displayName": "PromRemoteWriteApp",
  "password": "Aa1Bb~2Cc3.-Dd4Ee5Ff6Gg7Hh8Ii9_Jj0Kk1Ll2",
  "tenant": "ffff5f5f-aa6a-bb7b-cc8c-dddddd9d9d9d"
}

Выходные данные содержат значения appId и password. Сохраните эти значения для использования в конфигурации удаленной записи Prometheus в качестве значений client_id и client_secret. Значение пароля или секрета клиента отображается только при его создании, и вы не сможете получить его позже. Если вы потеряете его, необходимо создать новый.

Дополнительные сведения см. в статье az ad app create и az ad sp create-for-rbac.

Чтобы отправить данные в рабочую область Azure Monitor, добавьте следующий раздел в файл конфигурации (prometheus.yml) вашего управляемого вами экземпляра Prometheus:

remote_write:   
  - url: "<metrics ingestion endpoint for your Azure Monitor workspace>"
# Microsoft Entra ID configuration.
# The Azure cloud. Options are 'AzurePublic', 'AzureChina', or 'AzureGovernment'.
    azuread:
      cloud: 'AzurePublic'
      managed_identity:
        client_id: "<client-id of the managed identity>"
      oauth:
        client_id: "<client-id from the Entra app>"
        client_secret: "<client secret from the Entra app>"
        tenant_id: "<Azure subscription tenant Id>"

Оператор Prometheus

Если вы находитесь в кластере Kubernetes с оператором Prometheus, выполните следующие действия, чтобы отправить данные в рабочую область Azure Monitor:

1. Если вы используете проверку подлинности Microsoft Entra, преобразуйте секрет с помощью кодировки Base64 и примените секрет в кластере Kubernetes. Сохраните следующий код в YAML-файл. Пропустите этот шаг, если вы используете проверку подлинности с управляемой идентификацией.

   apiVersion: v1
   kind: Secret
   metadata:
     name: remote-write-secret
     namespace: monitoring # Replace with the namespace where Prometheus Operator is deployed.
   type: Opaque
   data:
     password: <base64-encoded-secret>
   
   

   Примените секрет:

   # Set context to your cluster 
   az aks get-credentials -g <aks-rg-name> -n <aks-cluster-name> 
   
   kubectl apply -f <remote-write-secret.yaml>
   

2. Обновите значения для раздела удаленной записи в операторе Prometheus. Скопируйте следующий YAML и сохраните его в виде файла. Дополнительные сведения о спецификации рабочей области Azure Monitor для удаленной записи в операторе Prometheus см. в документации по оператору Prometheus.

   prometheus:
     prometheusSpec:
       remoteWrite:
       - url: "<metrics ingestion endpoint for your Azure Monitor workspace>"
         azureAd:
   # Microsoft Entra ID configuration.
   # The Azure cloud. Options are 'AzurePublic', 'AzureChina', or 'AzureGovernment'.
           cloud: 'AzurePublic'
           managedIdentity:
             clientId: "<clientId of the managed identity>"
           oauth:
             clientId: "<clientId of the Entra app>"
             clientSecret:
               name: remote-write-secret
               key: password
             tenantId: "<Azure subscription tenant Id>"
   

3. Используйте Helm для обновления конфигурации удаленной записи с помощью предыдущего файла YAML.

   helm upgrade -f <YAML-FILENAME>.yml prometheus prometheus-community/kube-prometheus-stack --namespace <namespace where Prometheus Operator is deployed>