Inviare metriche Prometheus da macchine virtuali, set di scalabilità o cluster Kubernetes a un'area di lavoro di Monitoraggio di Azure

Scrittura remota tramite l'autenticazione dell'identità gestita assegnata dall'utente

L'autenticazione dell'identità gestita assegnata dall'utente può essere usata in qualsiasi ambiente gestito da Azure. Se il servizio Prometheus è in esecuzione in un ambiente non Azure, è possibile usare l'autenticazione dell'applicazione Microsoft Entra.

Per configurare un'identità gestita assegnata dall'utente per la scrittura remota in un'area di lavoro di Monitoraggio di Azure, seguire questa procedura.

Creare un'identità gestita assegnata dall'utente

Per creare un'identità gestita dall'utente da usare nella configurazione di scrittura remota, vedere Gestire le identità gestite assegnate dall'utente.

Si noti il valore di clientId per l'identità gestita creata. Questo ID viene usato nella configurazione di scrittura remota di Prometheus.

Assegnare il ruolo di editore delle metriche di monitoraggio all'applicazione

Nella regola di raccolta dati dell'area di lavoro assegnare il ruolo Di pubblicazione metriche di monitoraggio all'identità gestita:

1. Nel riquadro panoramica dell'area di lavoro di Monitoraggio di Azure selezionare il collegamento Regola raccolta dati.

   

2. Nella pagina per la regola di raccolta dati selezionare Controllo di accesso (IAM).

3. Seleziona Aggiungi>Aggiungi assegnazione ruolo.

   

4. Cercare e selezionare Monitoraggio del server di pubblicazione delle metriche e quindi selezionare Avanti.

   

5. Selezionare Identità gestita.

6. Scegliere Selezionare membri.

7. Nell'elenco a discesa Identità gestita selezionare Identità gestita assegnata dall'utente.

8. Selezionare l'identità assegnata dall'utente che si vuole usare, quindi scegliere Seleziona.

   

9. Selezionare Rivedi e assegna per completare l'assegnazione di ruolo.

Assegnare l'identità gestita a una macchina virtuale o a un set di scalabilità di macchine virtuali

1. Nella portale di Azure passare alla pagina per il cluster, la macchina virtuale o il set di scalabilità di macchine virtuali.

2. Selezionare Identità.

3. Selezionare Assegnata dall'utente.

4. Selezionare Aggiungi.

5. Selezionare l'identità gestita assegnata dall'utente creata e quindi selezionare Aggiungi.

   

Assegnare l'identità gestita per servizio Azure Kubernetes

Per servizio Azure Kubernetes, l'identità gestita deve essere assegnata ai set di scalabilità di macchine virtuali.

Il servizio Azure Kubernetes crea un gruppo di risorse che contiene i set di scalabilità di macchine virtuali. Il nome del gruppo di risorse è nel formato MC_<resource group name>_<AKS cluster name>_<region>.

Per ogni set di scalabilità di macchine virtuali nel gruppo di risorse, assegnare l'identità gestita in base ai passaggi descritti nella sezione precedente, Assegnare l'identità gestita a una macchina virtuale o a un set di scalabilità di macchine virtuali.

Scrittura remota con l'autenticazione dell'applicazione Microsoft Entra

È possibile usare l'autenticazione dell'applicazione Microsoft Entra in qualsiasi ambiente. Se il servizio Prometheus è in esecuzione in un ambiente gestito da Azure, è consigliabile usare l'autenticazione dell'identità gestita assegnata dall'utente.

Per configurare la scrittura remota in un'area di lavoro di Monitoraggio di Azure usando un'applicazione Microsoft Entra, creare un'applicazione Microsoft Entra. Nella regola di raccolta dati dell'area di lavoro di Monitoraggio di Azure assegnare il ruolo Monitoring Metrics Publisher all'applicazione Microsoft Entra.

Creazione di un'applicazione Microsoft Entra ID

Per creare un'applicazione Microsoft Entra ID usando il portale, vedere Registrare un'applicazione con l'ID Microsoft Entra e creare un'entità servizio.

Dopo aver creato l'applicazione Microsoft Entra, ottenere l'ID client e generare un segreto client:

1. Nell'elenco delle applicazioni copiare il valore ID client per l'applicazione registrata. Questo valore viene usato nella configurazione di scrittura remota di Prometheus come valore per client_id.

   

2. Selezionare Certificati e segreti.

3. Selezionare Segreti client e quindi Nuovo segreto client per creare un segreto.

4. Immettere una descrizione, impostare la data di scadenza e quindi selezionare Aggiungi.

   

5. Copiare il valore del segreto in modo sicuro. Il valore viene usato nella configurazione di scrittura remota di Prometheus come valore per client_secret. Il valore del segreto client è visibile solo quando viene creato e non è possibile recuperarlo in un secondo momento. Se si perde, è necessario crearne uno nuovo.

   

Assegnare il ruolo di editore delle metriche di monitoraggio all'applicazione

Assegnare il ruolo Di pubblicazione metriche di monitoraggio nella regola di raccolta dati dell'area di lavoro all'applicazione:

1. Nel riquadro panoramica dell'area di lavoro di Monitoraggio di Azure selezionare il collegamento Regola raccolta dati.

   

2. Nella pagina per la regola di raccolta dati selezionare Controllo di accesso (IAM).

3. Selezionare Aggiungi e quindi selezionare Aggiungi assegnazione di ruolo.

   

4. Selezionare il ruolo Editore metriche di monitoraggio, quindi selezionare Avanti.

   

5. Selezionare Utente, gruppo o entità servizio, quindi scegliere Seleziona membri. Selezionare l'applicazione creata e quindi scegliere Seleziona.

6. Per completare l'assegnazione di ruolo, selezionare Rivedi e assegna.

   

Creazione di identità assegnate dall'utente e app Microsoft Entra ID tramite l'interfaccia della riga di comando di Azure

Creare un'identità gestita assegnata dall'utente

Creare un'identità gestita assegnata dall'utente per la scrittura remota attenendosi alla procedura seguente.

Si noti il valore di clientId per l'identità gestita creata. Questo ID viene usato nella configurazione di scrittura remota di Prometheus.

1. Creare un'identità gestita assegnata dall'utente usando il comando dell'interfaccia della riga di comando di Azure seguente:

   az account set \
   --subscription <subscription id>
   
   az identity create \
   --name <identity name> \
   --resource-group <resource group name>
   

   Il codice seguente è un esempio dell'output visualizzato:

   {
     "clientId": "00001111-aaaa-2222-bbbb-3333cccc4444",
     "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/rg-001/providers/Microsoft.ManagedIdentity/userAssignedIdentities/PromRemoteWriteIdentity",
     "location": "eastus",
     "name": "PromRemoteWriteIdentity",
     "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
     "resourceGroup": "rg-001",
     "systemData": null,
     "tags": {},
     "tenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
     "type": "Microsoft.ManagedIdentity/userAssignedIdentities"
   }
   

2. Assegnare il ruolo Di pubblicazione metriche di monitoraggio nella regola di raccolta dati dell'area di lavoro all'identità gestita:

   az role assignment create \
   --role "Monitoring Metrics Publisher" \
   --assignee <managed identity client ID> \
   --scope <data collection rule resource ID>
   

   Ad esempio:

   az role assignment create \
   --role "Monitoring Metrics Publisher" \
   --assignee 00001111-aaaa-2222-bbbb-3333cccc4444 \
   --scope /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/MA_amw-001_eastus_managed/providers/Microsoft.Insights/dataCollectionRules/amw-001
   

3. Assegnare l'identità gestita a una macchina virtuale o a un set di scalabilità di macchine virtuali.

   Ecco i comandi per una macchina virtuale:

   az vm identity assign \
   -g <resource group name> \
   -n <virtual machine name> \
   --identities <user assigned identity resource ID>
   

   Ecco i comandi per un set di scalabilità di macchine virtuali:

   az vmss identity assign \
   -g <resource group name> \
   -n <scale set name> \
   --identities <user assigned identity resource ID>
   

   L'esempio seguente illustra i comandi per un set di scalabilità di macchine virtuali:

   az vm identity assign \
   -g rg-prom-on-vm \
   -n win-vm-prom \
   --identities /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/rg-001/providers/Microsoft.ManagedIdentity/userAssignedIdentities/PromRemoteWriteIdentity
   

Per altre informazioni, vedere az identity create e az role assignment create.

Creare un'applicazione Microsoft Entra

Per creare un'applicazione Microsoft Entra usando l'interfaccia della riga di comando di Azure e assegnare il ruolo Monitoring Metrics Publisher, eseguire il comando seguente:

az ad sp create-for-rbac --name <application name> \
--role "Monitoring Metrics Publisher" \
--scopes <azure monitor workspace data collection rule Id>

Ad esempio:

az ad sp create-for-rbac \
--name PromRemoteWriteApp \
--role "Monitoring Metrics Publisher" \
--scopes /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/MA_amw-001_eastus_managed/providers/Microsoft.nsights/dataCollectionRules/amw-001

Il codice seguente è un esempio dell'output visualizzato:

{
  "appId": "66667777-aaaa-8888-bbbb-9999cccc0000",
  "displayName": "PromRemoteWriteApp",
  "password": "Aa1Bb~2Cc3.-Dd4Ee5Ff6Gg7Hh8Ii9_Jj0Kk1Ll2",
  "tenant": "ffff5f5f-aa6a-bb7b-cc8c-dddddd9d9d9d"
}

L'output contiene i valori appId e password. Salvare questi valori da usare nella configurazione di scrittura remota di Prometheus come valori per client_id e client_secret. Il valore della password o del segreto client è visibile solo quando viene creato e non è possibile recuperarlo in un secondo momento. Se si perde, è necessario crearne uno nuovo.

Per altre informazioni, vedere az ad app create e az ad sp create-for-rbac.

Per inviare dati all'area di lavoro di Monitoraggio di Azure, aggiungere la sezione seguente al file di configurazione (prometheus.yml) dell'istanza di Prometheus autogestito:

remote_write:   
  - url: "<metrics ingestion endpoint for your Azure Monitor workspace>"
# Microsoft Entra ID configuration.
# The Azure cloud. Options are 'AzurePublic', 'AzureChina', or 'AzureGovernment'.
    azuread:
      cloud: 'AzurePublic'
      managed_identity:
        client_id: "<client-id of the managed identity>"
      oauth:
        client_id: "<client-id from the Entra app>"
        client_secret: "<client secret from the Entra app>"
        tenant_id: "<Azure subscription tenant Id>"

Prometheus Operator

Se si usa un cluster Kubernetes che esegue Prometheus Operator, seguire questa procedura per inviare dati all'area di lavoro di Monitoraggio di Azure:

1. Se si usa l'autenticazione Microsoft Entra, convertire il segreto usando la codifica Base64 e quindi applicare il segreto nel cluster Kubernetes. Salvare il codice seguente in un file YAML. Ignorare questo passaggio se si usa l'autenticazione dell'identità gestita.

   apiVersion: v1
   kind: Secret
   metadata:
     name: remote-write-secret
     namespace: monitoring # Replace with the namespace where Prometheus Operator is deployed.
   type: Opaque
   data:
     password: <base64-encoded-secret>
   
   

   Applicare il segreto:

   # Set context to your cluster 
   az aks get-credentials -g <aks-rg-name> -n <aks-cluster-name> 
   
   kubectl apply -f <remote-write-secret.yaml>
   

2. Aggiornare i valori per la sezione di scrittura remota in Operatore Prometheus. Copiare il codice YAML seguente e salvarlo come file. Per altre informazioni sulla specifica dell'area di lavoro di Monitoraggio di Azure per la scrittura remota nell'operatore Prometheus, vedere la documentazione relativa all'operatore Prometheus.

   prometheus:
     prometheusSpec:
       remoteWrite:
       - url: "<metrics ingestion endpoint for your Azure Monitor workspace>"
         azureAd:
   # Microsoft Entra ID configuration.
   # The Azure cloud. Options are 'AzurePublic', 'AzureChina', or 'AzureGovernment'.
           cloud: 'AzurePublic'
           managedIdentity:
             clientId: "<clientId of the managed identity>"
           oauth:
             clientId: "<clientId of the Entra app>"
             clientSecret:
               name: remote-write-secret
               key: password
             tenantId: "<Azure subscription tenant Id>"
   

3. Usare Helm per aggiornare la configurazione di scrittura remota usando il file YAML precedente:

   helm upgrade -f <YAML-FILENAME>.yml prometheus prometheus-community/kube-prometheus-stack --namespace <namespace where Prometheus Operator is deployed>