Подключение самостоятельно управляемого Prometheus к управляемой службе Azure Monitor для Prometheus

Вы не создаете управляемое удостоверение, назначаемое системой, напрямую, а включаете его для виртуальной машины Azure или масштабируемого набора виртуальных машин. Для виртуальной машины Azure вы можете включить идентификацию при создании VM или позже на странице Идентификация на портале Azure. Для VMSS необходимо включить его после создания. Для различных вариантов включения управляемого системой удостоверения см. статьи "Настройка управляемых удостоверений на виртуальных машинах Azure" и "Настройка управляемых удостоверений для ресурсов Azure в масштабируемом наборе виртуальных машин".

Для кластера AKS управляемое удостоверение должно быть назначено масштабируемым наборам виртуальных машин в кластере. AKS создает группу ресурсов, содержащую масштабируемые наборы виртуальных машин. Перейдите к этой группе ресурсов на странице "Свойства " в меню кластера на портале Azure. Щелкните группу ресурсов инфраструктуры , чтобы просмотреть список ресурсов в этой группе ресурсов. Необходимо активировать системную управляемую идентичность для каждого масштабируемого набора виртуальных машин в группе ресурсов.

Создайте управляемое удостоверение, назначаемое пользователем, из меню "Управляемые удостоверения" на портале Azure. Чтобы узнать больше о различных методах создания управляемых удостоверений, назначаемых пользователем, см. статью «Управление управляемыми удостоверениями, назначаемыми пользователем».

Обратите внимание на Client ID назначенного пользователем управляемого удостоверения. Это значение потребуется позже для настройки удаленной записи.

Назначьте управляемое удостоверение виртуальной машине/VMSS или VMSS кластера AKS.

Чтобы включить аутентификацию для удаленной записи с помощью управляемого удостоверения, назначенного пользователем, назначьте это удостоверение ресурсу Azure. Для vm/VMSS назначьте удостоверение, как описано ниже. Для кластера AKS управляемое удостоверение должно быть назначено базовым масштабируемым наборам виртуальных машин. AKS создает группу ресурсов, содержащую масштабируемые наборы виртуальных машин. Имя группы ресурсов находится в формате MC_<resource group name>_<AKS cluster name>_<region>. Для каждого масштабируемого набора виртуальных машин в этой группе ресурсов назначьте управляемое удостоверение в соответствии с приведенными ниже инструкциями.

1. На портале Azure перейдите на страницу для кластера, виртуальной машины или масштабируемого набора виртуальных машин.

2. Выберите Идентификатор.

3. Выберите Назначено пользователем.

4. Нажмите кнопку "Добавить".

5. Выберите созданное управляемое удостоверение, назначаемое пользователем, и нажмите кнопку "Добавить".

   

Создайте Entra ID из меню регистрации приложений Entra ID> на портале Azure. Дополнительные сведения см. в статье "Регистрация приложения с помощью Microsoft Entra ID" и создайте служебный принципал Azure с помощью Azure CLI и используйте Azure PowerShell для создания служебного принципала с сертификатом для различных методов создания Microsoft Entra ID.

Обратите внимание на идентификатор приложения (клиента) и идентификатор каталога (клиента) приложения Entra ID. Эти значения потребуются позже для настройки удаленной записи.

Следуйте указаниям варианта 3: Создание нового секрета клиента для приложения Entra ID. Обратите внимание на значение секрета клиента. Это значение потребуется позже для настройки удаленной записи.

Процесс настройки удаленной записи Prometheus с использованием аутентификации рабочего идентификатора Microsoft Entra включает выполнение следующих задач (эти задачи описаны в последующих разделах):

1. Включите OpenID Connect и запишите URL-адрес издателя.
2. Настройте мутирующий веб-перехватчик записи.
3. Настройте удостоверение рабочей нагрузки.
4. Создайте приложение Microsoft Entra или управляемое удостоверение, назначаемое пользователем, и предоставьте разрешения.
5. Назначьте приложению роль издателя метрик мониторинга в правиле сбора данных для рабочей области.
6. Создайте или обновите модуль pod учетной записи службы Kubernetes Prometheus.
7. Установите учетные данные федеративного удостоверения между удостоверением и издателем учетной записи службы и субъектом.
8. Настройте удаленную запись в Prometheus.

Включите OpenID Connect и выполните запрос к издателю

Чтобы включить OpenID Connect (OIDC) в кластере AKS, следуйте инструкциям в статье "Создание поставщика OpenID Connect в AKS".

После включения запишите SERVICE_ACCOUNT_ISSUER, который по сути является URL-адресом издателя OIDC. Чтобы получить URL-адрес издателя OIDC, выполните команду az aks show . Замените значения по умолчанию для имени кластера и имени группы ресурсов.

az aks show --name myAKScluster --resource-group myResourceGroup --query "oidcIssuerProfile.issuerUrl" -o tsv

По умолчанию издатель использует базовый URL-адрес https://{region}.oic.prod-aks.azure.com, где значение для {region} совпадает с расположением, где кластер AKS развернут.

Сведения о других управляемых кластерах (Amazon Elastic Kubernetes Service и Google Kubernetes Engine) см. в разделе "Управляемые кластеры" — Идентификация рабочей нагрузки Microsoft Entra. Сведения о самоуправляемых кластерах см. в разделе "Самоуправляемые кластеры - Идентификатор рабочей нагрузки Microsoft Entra".

Настройка мутирующего вебхука признания

Если включить идентификатор рабочей нагрузки Microsoft Entra в кластере AKS, AKS автоматически установит и управляет мутирующим веб-перехватчиком допуска. Но если вы не используете AKS или если удостоверение рабочей нагрузки не включено в кластере, настройте мутационный перехватчик для обновления федеративных учетных данных. Чтобы настроить веб-перехватчик, см. раздел "Изменение допуска". Идентификация рабочей нагрузки Microsoft Entra.

Настройка идентификации рабочей нагрузки

Чтобы настроить удостоверение рабочей нагрузки, экспортируйте следующие переменные среды:

# [OPTIONAL] Set this if you're using a Microsoft Entra application
export APPLICATION_NAME="<your application name>"
    
# [OPTIONAL] Set this only if you're using a user-assigned managed identity
export USER_ASSIGNED_IDENTITY_NAME="<your user-assigned managed identity name>"
    
# Environment variables for the Kubernetes service account and federated identity credential
export SERVICE_ACCOUNT_NAMESPACE="<namespace where Prometheus pod is running>"
export SERVICE_ACCOUNT_NAME="<name of service account associated with Prometheus pod. See below for more details>"
export SERVICE_ACCOUNT_ISSUER="<your service account (or OIDC) issuer URL>"

Для SERVICE_ACCOUNT_NAME проверьте, связана ли учетная запись службы (отдельно от учетной записи службы по умолчанию) с подом Prometheus. Найдите значение serviceaccountName или serviceAccount (не рекомендуется) в spec модуле pod Prometheus. Используйте это значение, если оно существует. Чтобы найти учетную запись службы, связанную с pod Prometheus, выполните следующую команду kubectl:

kubectl get pods/<Prometheus pod> -o yaml

Если serviceaccountName и serviceAccount не существует, введите имя учетной записи службы, которую вы хотите связать с модулем Prometheus pod.

Создание приложения Microsoft Entra или пользовательски назначенного управляемого удостоверения

Создайте приложение Microsoft Entra или управляемое удостоверение, назначаемое пользователем, и запишите идентификатор клиента.

# create a Microsoft Entra application
az ad sp create-for-rbac --name "${APPLICATION_NAME}"

# create a user-assigned managed identity if you use a user-assigned managed identity for this article
az identity create --name "${USER_ASSIGNED_IDENTITY_NAME}" --resource-group "${RESOURCE_GROUP}"

Чтобы отправить данные в рабочую область Azure Monitor, добавьте следующий раздел в файл конфигурации (prometheus.yml) управляемого экземпляра Prometheus.

Манажируемая идентичность

prometheus:
  prometheusSpec:
    remote_write:   
    - url: "<metrics ingestion endpoint for your Azure Monitor workspace>"
      azuread:
        cloud: 'AzurePublic'  # Options are 'AzurePublic', 'AzureChina', or 'AzureGovernment'.
        managed_identity:  
          client_id: "<client-id of the managed identity>"

Entra ID

prometheus:
  prometheusSpec:
    remote_write:   
    - url: "<metrics ingestion endpoint for your Azure Monitor workspace>"
      azuread:
        cloud: 'AzurePublic'  # Options are 'AzurePublic', 'AzureChina', or 'AzureGovernment'.
        oauth:  
          client_id: "<client-id from the Entra app>"
          client_secret: "<client secret from the Entra app>"
          tenant_id: "<Azure subscription tenant Id>"

Идентификация рабочей нагрузки

prometheus:
  prometheusSpec:
    podMetadata:
      labels:
        azure.workload.identity/use: "true"
    remote_write:   
    - url: "<metrics ingestion endpoint for your Azure Monitor workspace>"
      azuread:
        cloud: 'AzurePublic'  # Options are 'AzurePublic', 'AzureChina', or 'AzureGovernment'.
        workload_identity:  
          client_id: "<client-id from the Entra app>"
          tenant_id: "<Azure subscription tenant Id>"

Примените обновления файла конфигурации:

Виртуальная машина

Для виртуальной машины файл конфигурации будет prometheus.yml, если только вы не укажете другой файл с помощью prometheus --config.file <path-to-config-file> при запуске сервера Prometheus.

Кластер Kubernetes

Для кластера Kubernetes файл конфигурации обычно хранится в ConfigMap. Ниже приведен пример ConfigMap, который включает конфигурацию удаленной записи с использованием управляемого удостоверения для самостоятельно управляемого сервиса Prometheus, работающего в кластере Kubernetes.

  GNU nano 6.4
apiVersion: v1
kind: ConfigMap
metadata:
  name: prometheus-server-conf # must match what your pod mounts
  namespace: monitoring  # adjust to your namespace
data:
  prometheus.yml: |-
   global:
     scrape_interval: 15s
     evaluation_interval: 15s
     external_labels:
       cluster: "aks11"

   scrape_configs:
     - job_name: "prometheus"
       static_configs:
         - targets: ["localhost:9090"]

   remote_write:
     - url: "https://aks-amw-0mi2.eastus-1.metrics.ingest.monitor.azure.com/dataCollectionRules/dcr-00000000000000000000000000000000/streams/Microsoft-PrometheusMetrics/api/v1/write?api-version=2023-04-24"
       azuread:
         cloud: 'AzurePublic'
         managed_identity:
           client_id: "00001111-aaaa-2222-bbbb-3333cccc4444"

Используйте следующую команду, чтобы применить обновления файла конфигурации.

kubectl apply -f <configmap-file-name>.yaml

Перезапустите Prometheus, чтобы получить новую конфигурацию. При использовании развертывания вы можете перезапустить поды, выполнив следующую команду.

kubectl -n monitoring rollout restart deploy <prometheus-deployment-name>

Оператор Prometheus

Если вы находитесь в кластере Kubernetes с оператором Prometheus, выполните следующие действия, чтобы отправить данные в рабочую область Azure Monitor:

1. Если вы используете проверку подлинности идентификатора Microsoft Entra, преобразуйте секрет с помощью кодировки Base64 и примените секрет в кластере Kubernetes. Сохраните следующий код в YAML-файл. Пропустите этот шаг, если используется управляемое удостоверение или удостоверение рабочей нагрузки.

   apiVersion: v1
   kind: Secret
   metadata:
     name: remote-write-secret
     namespace: monitoring # Replace with the namespace where Prometheus Operator is deployed.
   type: Opaque
   data:
     password: <base64-encoded-secret>
   
   

   Примените секрет:

   # Set context to your cluster 
   az aks get-credentials -g <aks-rg-name> -n <aks-cluster-name> 
   
   kubectl apply -f <remote-write-secret.yaml>
   

2. Обновите значения для раздела удаленной записи в операторе Prometheus. Скопируйте следующий YAML и сохраните его в виде файла. Дополнительные сведения о спецификации рабочей области Azure Monitor для удаленной записи в операторе Prometheus см. в документации по оператору Prometheus. Используйте либо managedIdentity, либо oauth, либо workloadIdentity проверку подлинности в зависимости от вашей настройки. Удалите раздел, который вы не используете.

prometheus:
  prometheusSpec:
    podMetadata:
      labels:
        azure.workload.identity/use: "true" # Use this ONLY for workload identity authentication. Skip if using other authentication.
    remoteWrite:
    - url: "<metrics ingestion endpoint for your Azure Monitor workspace>"
      azureAd:
# Microsoft Entra ID configuration.
# The Azure cloud. Options are 'AzurePublic', 'AzureChina', or 'AzureGovernment'.
        cloud: 'AzurePublic'
        managedIdentity:
          clientId: "<clientId of the managed identity>"
        oauth:
          clientId: "<clientId of the Entra app>"
          clientSecret:
            name: remote-write-secret
            key: password
          tenantId: "<Azure subscription tenant Id>"
        workloadIdentity:
          clientId: "<clientId of the user-assigned managed identity or the Entra ID application>"
          tenantId: "<Azure subscription tenant Id>"

3. Используйте Helm для обновления конфигурации удаленной записи с помощью показанного выше файла YAML.

   helm upgrade -f <YAML-FILENAME>.yml prometheus prometheus-community/kube-prometheus-stack --namespace <namespace where Prometheus Operator is deployed>