Envie métricas do Prometheus de máquinas virtuais, conjuntos de dimensionamento ou clusters Kubernetes para um espaço de trabalho do Azure Monitor

Gravação remota usando autenticação de identidade gerenciada atribuída pelo usuário

A autenticação de identidade gerida atribuída pelo utilizador pode ser usada em qualquer ambiente gerido pelo Azure. Se o seu serviço Prometheus estiver em execução em um ambiente que não é do Azure, você pode usar a autenticação de aplicativo do Microsoft Entra.

Para configurar uma identidade gerenciada atribuída pelo usuário para gravação remota no workspace do Azure Monitor, conclua as etapas a seguir.

Criar uma identidade gerenciada atribuída ao usuário

Para criar uma identidade gerenciada pelo usuário para usar em sua configuração de gravação remota, consulte Gerenciar identidades gerenciadas atribuídas pelo usuário.

Observe o valor de clientId da identidade gerenciada que você criou. Esta ID é usada na configuração de gravação remota do Prometheus.

Atribuir a função Editor de Métricas de Monitoramento ao aplicativo

Na regra de coleta de dados do workspace, atribua a função Editor de Métricas de Monitoramento à identidade gerenciada:

1. No painel de visão geral do workspace do Azure Monitor, selecione o link da Regra de coleta de dados.

   

2. Na página da regra de coleta de dados, selecione Controle de acesso (IAM).

3. Selecione Adicionar>Adicionar atribuição de função.

   

4. Pesquise e selecione Editor de Métricas de Monitoramento e selecione Avançar.

   

5. Selecione Identidade Gerenciada.

6. Escolha Selecionar membros.

7. Na lista de seleção Identidade gerenciada, selecione Identidade gerenciada atribuída pelo usuário.

8. Escolha a identidade gerenciada que deseja usar e clique em Selecionar.

   

9. Clique em Revisar + atribuir para concluir a atribuição de função.

Atribuir a identidade gerenciada a uma máquina virtual ou a um conjunto de dimensionamento de máquinas virtuais

1. No portal do Azure, vá para a página do cluster, máquina virtual ou conjunto de dimensionamento de máquinas virtuais.

2. Selecionar Identidade.

3. Selecione Atribuída pelo usuário.

4. Selecione Adicionar.

5. Selecione a identidade gerenciada atribuída pelo usuário que você criou e, em seguida, selecione Adicionar.

   

Atribua a identidade gerenciada para o Serviço de Kubernetes do Azure

Para o Serviço de Kubernetes do Azure, a identidade gerenciada deve ser atribuída a conjuntos de dimensionamento de máquinas virtuais.

O AKS cria um grupo de recursos que contém os conjuntos de dimensionamento de máquinas virtuais. O nome do grupo de recursos está no formato MC_<resource group name>_<AKS cluster name>_<region>.

Para cada conjunto de dimensionamento de máquinas virtuais no grupo de recursos, atribua a identidade gerenciada de acordo com as etapas na seção anterior, Atribua a identidade gerenciada a uma máquina virtual ou a um conjunto de dimensionamento de máquinas virtuais.

Gravação remota usando a autenticação de aplicativo do Microsoft Entra

Você pode usar a autenticação de aplicativo do Microsoft Entra em qualquer ambiente. Se o seu serviço Prometheus estiver a funcionar num ambiente gerido pelo Azure, considere utilizar a autenticação de identidade gerida atribuída pelo utilizador.

Para configurar a gravação remota em um workspace do Azure Monitor usando um aplicativo do Microsoft Entra, crie um aplicativo do Microsoft Entra. Na regra de coleta de dados do workspace do Azure Monitor, atribua a função Editor de Métricas de Monitoramento ao aplicativo do Microsoft Entra.

Criar um aplicativo do Microsoft Entra ID

Para criar um aplicativo do Microsoft Entra ID usando o portal, consulte Registrar um aplicativo com o Microsoft Entra ID e criar uma entidade de serviço.

Depois de criar o aplicativo do Microsoft Entra, obtenha a ID do cliente e gere um segredo do cliente:

1. Na lista de aplicativos, copie o valor ID do cliente do aplicativo registrado. Este valor é usado na configuração de gravação remota do Prometheus como o valor para client_id.

   

2. Selecione Certificados e segredos.

3. Selecione Segredos do cliente e selecione Novo segredo do cliente para criar um segredo.

4. Insira uma descrição, defina a data de validade e selecione Adicionar.

   

5. Copie o valor do segredo com segurança. O valor é usado na configuração de gravação remota do Prometheus como o valor para client_secret. O valor do segredo do cliente só fica visível quando é criado e não é possível recuperá-lo mais tarde. Se você perdê-lo, deverá criar um novo.

   

Atribuir a função Editor de Métricas de Monitoramento ao aplicativo

Atribua a função Editor de Métricas de Monitoramento na regra de coleta de dados do workspace ao aplicativo:

1. No painel de visão geral do workspace do Azure Monitor, selecione o link da Regra de coleta de dados.

   

2. Na página da regra de coleta de dados, selecione Controle de acesso (IAM).

3. Selecione Adicionar e selecione Adicionar atribuição de função.

   

4. Escolha a função Publicador de Métricas de Monitoramento e, em seguida, selecione Próximo.

   

5. Escolha Usuário, grupo ou entidade de serviço e escolha Selecionar membros. Selecione o aplicativo que você criou e escolha Selecionar.

6. Para finalizar a atribuição de função, clique em Revisar + atribuir.

   

Criação de identidades atribuídas pelo usuário e aplicativos do Microsoft Entra ID por meio da CLI do Azure

Criar uma identidade gerenciada atribuída ao usuário

Crie uma identidade gerenciada atribuída pelo usuário para gravação remota usando as seguintes etapas.

Observe o valor de clientId da identidade gerenciada criada por você. Esta ID é usada na configuração de gravação remota do Prometheus.

1. Crie uma identidade gerenciada atribuída pelo usuário usando o seguinte comando da CLI do Azure:

   az account set \
   --subscription <subscription id>
   
   az identity create \
   --name <identity name> \
   --resource-group <resource group name>
   

   O código a seguir é um exemplo da saída exibida:

   {
     "clientId": "00001111-aaaa-2222-bbbb-3333cccc4444",
     "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/rg-001/providers/Microsoft.ManagedIdentity/userAssignedIdentities/PromRemoteWriteIdentity",
     "location": "eastus",
     "name": "PromRemoteWriteIdentity",
     "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
     "resourceGroup": "rg-001",
     "systemData": null,
     "tags": {},
     "tenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
     "type": "Microsoft.ManagedIdentity/userAssignedIdentities"
   }
   

2. Atribua a função Editor de Métricas de Monitoramento na regra de coleta de dados do workspace à identidade gerenciada:

   az role assignment create \
   --role "Monitoring Metrics Publisher" \
   --assignee <managed identity client ID> \
   --scope <data collection rule resource ID>
   

   Por exemplo:

   az role assignment create \
   --role "Monitoring Metrics Publisher" \
   --assignee 00001111-aaaa-2222-bbbb-3333cccc4444 \
   --scope /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/MA_amw-001_eastus_managed/providers/Microsoft.Insights/dataCollectionRules/amw-001
   

3. Atribuir a identidade gerenciada a uma máquina virtual ou a um conjunto de dimensionamento de máquinas virtuais.

   Aqui estão os comandos de uma máquina virtual:

   az vm identity assign \
   -g <resource group name> \
   -n <virtual machine name> \
   --identities <user assigned identity resource ID>
   

   Aqui estão os comandos de uma conjunto de dimensionamento de máquinas virtuais:

   az vmss identity assign \
   -g <resource group name> \
   -n <scale set name> \
   --identities <user assigned identity resource ID>
   

   O exemplo a seguir mostra os comandos de um conjunto de dimensionamento de máquinas virtuais:

   az vm identity assign \
   -g rg-prom-on-vm \
   -n win-vm-prom \
   --identities /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/rg-001/providers/Microsoft.ManagedIdentity/userAssignedIdentities/PromRemoteWriteIdentity
   

Para obter mais informações, confira az identity create e az role assignment create.

Criar um aplicativo do Microsoft Entra

Para criar um aplicativo do Microsoft Entra usando a CLI do Azure e atribuir a função Editor de Métricas de Monitoramento, execute o seguinte comando:

az ad sp create-for-rbac --name <application name> \
--role "Monitoring Metrics Publisher" \
--scopes <azure monitor workspace data collection rule Id>

Por exemplo:

az ad sp create-for-rbac \
--name PromRemoteWriteApp \
--role "Monitoring Metrics Publisher" \
--scopes /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/MA_amw-001_eastus_managed/providers/Microsoft.nsights/dataCollectionRules/amw-001

O código a seguir é um exemplo da saída exibida:

{
  "appId": "66667777-aaaa-8888-bbbb-9999cccc0000",
  "displayName": "PromRemoteWriteApp",
  "password": "Aa1Bb~2Cc3.-Dd4Ee5Ff6Gg7Hh8Ii9_Jj0Kk1Ll2",
  "tenant": "ffff5f5f-aa6a-bb7b-cc8c-dddddd9d9d9d"
}

A saída contém os valores appId e password. Salve esses valores para usar na configuração de gravação remota do Prometheus como valores para client_id e client_secret. O valor do segredo do cliente ou senha só fica visível quando é criado e não é possível recuperá-lo mais tarde. Se você perdê-lo, deverá criar um novo.

Para obter mais informações, confira az ad app create e az ad sp create-for-rbac.

Para enviar dados ao workspace do Azure Monitor, adicione a seção a seguir ao arquivo de configuração (prometheus.yml) da instância do Prometheus autogerenciado:

remote_write:   
  - url: "<metrics ingestion endpoint for your Azure Monitor workspace>"
# Microsoft Entra ID configuration.
# The Azure cloud. Options are 'AzurePublic', 'AzureChina', or 'AzureGovernment'.
    azuread:
      cloud: 'AzurePublic'
      managed_identity:
        client_id: "<client-id of the managed identity>"
      oauth:
        client_id: "<client-id from the Entra app>"
        client_secret: "<client secret from the Entra app>"
        tenant_id: "<Azure subscription tenant Id>"

Operador do Prometheus

Se você estiver em um cluster do Kubernetes que está executando o Operador do Prometheus, use as etapas a seguir para enviar dados ao workspace do Azure Monitor:

1. Se você estiver usando a autenticação do Microsoft Entra, converta o segredo usando a codificação Base64 e aplique o segredo ao cluster do Kubernetes. Salve o código a seguir em um arquivo YAML. Ignore esta etapa se estiver usando a autenticação de identidade gerenciada.

   apiVersion: v1
   kind: Secret
   metadata:
     name: remote-write-secret
     namespace: monitoring # Replace with the namespace where Prometheus Operator is deployed.
   type: Opaque
   data:
     password: <base64-encoded-secret>
   
   

   Aplique o segredo:

   # Set context to your cluster 
   az aks get-credentials -g <aks-rg-name> -n <aks-cluster-name> 
   
   kubectl apply -f <remote-write-secret.yaml>
   

2. Atualize os valores da seção de gravação remota no Operador do Prometheus. Copie o YAML a seguir e salve-o como um arquivo. Para obter mais informações sobre a especificação do workspace do Azure Monitor para gravação remota no Operador do Prometheus, consulte a Documentação do Operador do Prometheus.

   prometheus:
     prometheusSpec:
       remoteWrite:
       - url: "<metrics ingestion endpoint for your Azure Monitor workspace>"
         azureAd:
   # Microsoft Entra ID configuration.
   # The Azure cloud. Options are 'AzurePublic', 'AzureChina', or 'AzureGovernment'.
           cloud: 'AzurePublic'
           managedIdentity:
             clientId: "<clientId of the managed identity>"
           oauth:
             clientId: "<clientId of the Entra app>"
             clientSecret:
               name: remote-write-secret
               key: password
             tenantId: "<Azure subscription tenant Id>"
   

3. Use o Helm para atualizar a configuração de gravação remota usando o arquivo YAML anterior:

   helm upgrade -f <YAML-FILENAME>.yml prometheus prometheus-community/kube-prometheus-stack --namespace <namespace where Prometheus Operator is deployed>