将 Grafana 连接到 Azure Monitor Prometheus 指标

Microsoft 托管 Grafana

创建 Azure 托管 Grafana 实例时，系统会自动配置托管系统标识。 该标识在订阅级别分配了“监视数据读取者”角色。 此角色允许标识读取该订阅的任何监视数据。 此标识用于向 Azure Monitor 验证 Grafana。 无需执行任何操作即可配置该标识。

在 Grafana 中创建 Prometheus 数据源。

若要将 Prometheus 配置为数据源，请执行以下步骤：

1. 在 Azure 门户中打开你的 Azure 托管 Grafana 工作区。
2. 选择“终结点”以查看 Grafana 工作区。
3. 选择“连接”，然后选择“数据源”。
4. 选择“添加数据源”
5. 搜索并选择 Prometheus。
6. 将 Azure Monitor 工作区中的查询终结点粘贴到“Prometheus 服务器 URL”字段中。
7. 在“身份验证”下，选择“Azure 身份验证”。
8. 在“Azure 身份验证”下，从“身份验证”下拉列表中选择“托管标识”。
9. 滚动到页面底部，然后选择“保存并测试”。

自托管 Grafana

以下部分介绍如何在 Azure 虚拟机上配置自托管 Grafana，以使用 Azure 托管的 Prometheus 数据。

配置系统标识

使用以下步骤以允许访问资源组或订阅中的所有 Azure Monitor 工作区：

1. 在 Azure 门户中打开虚拟机的“标识”页。

2. 将“状态”设置为“打开”。

3. 选择“保存”。

4. 选择“Azure 角色分配”以查看订阅中的现有访问权限。

   

5. 如果订阅或资源组未列出“监视数据读取者”角色，请选择“+ 添加角色分配”

6. 在“范围”下拉列表中，选择“订阅”或“资源组”。 选择“订阅”可允许访问订阅中的所有 Azure Monitor 工作区。 选择“资源组”仅允许访问所选资源组中的 Azure Monitor 工作区。

7. 选择 Azure Monitor 工作区所在的特定订阅或资源组。

8. 在“角色”下拉列表中，选择“监视数据读取者”。

9. 选择“保存”。

为 Azure 身份验证配置 Grafana

Grafana 9.x 和更高版本支持 Azure 身份验证，但默认未启用该功能。 若要启用 Azure 身份验证，请更新 Grafana 配置并重启 Grafana 实例。 若要查找 grafana.ini 文件，请查看 Grafana Labs 中的“配置 Grafana”文档。

使用以下步骤启用 Azure 身份验证：

1. 找到并打开虚拟机上的 grafana.ini 文件。

2. 在配置文件的 [auth] 节下，将 azure_auth_enabled 设置更改为 true。

3. 在配置文件的 [azure] 节下，将 managed_identity_enabled 设置更改为 true

4. 重启 Grafana 实例。

在 Grafana 中创建 Prometheus 数据源

使用以下步骤将 Prometheus 配置为数据源：

1. 在浏览器中打开 Grafana。

2. 选择“连接”，然后选择“数据源”。

3. 选择“添加数据源”

4. 搜索并选择 Prometheus。

5. 将 Azure Monitor 工作区中的查询终结点粘贴到“Prometheus 服务器 URL”字段中。

6. 在“身份验证”下，选择“Azure 身份验证”。

7. 在“Azure 身份验证”下，从“身份验证”下拉列表中选择“托管标识”。

8. 滚动到页面底部，然后选择“保存并测试”。

在 Azure 外部托管的 Grafana

如果 Grafana 实例未托管在 Azure 中，可以使用 Microsoft Entra ID 连接到 Azure Monitor 工作区中的 Prometheus 数据。

使用以下步骤设置 Microsoft Entra ID 身份验证：

1. 使用 Microsoft Entra ID 注册应用。
2. 向该应用授予对你的 Azure Monitor 工作区的访问权限。
3. 使用该应用的凭据配置自托管 Grafana。

使用 Microsoft Entra ID 注册应用

1. 若要注册应用，请打开 Azure 门户中的“Active Directory 概述”页。

2. 选择“应用注册”。

3. 在“注册应用程序”页上，输入应用程序的名称。

4. 选择“注册” 。

5. 记下“应用程序(客户端) ID”和“目录(租户) ID”。 它们将用于 Grafana 身份验证设置。

   

6. 在应用的概述页上，选择“证书和机密”。

7. 在“客户端密码”选项卡上，选择“新建客户端密码”。

8. 输入“说明”。

9. 从下拉列表中选择过期期限，然后选择“添加”。

   注意

   创建一个机密续订过程，并在机密过期之前更新 Grafana 数据源设置。 机密过期后，Grafana 将无法从 Azure Monitor 工作区查询数据。

   

10. 复制并保存客户端密码值。

    注意

    客户端密码值只能在创建后立即查看。 请确保在离开该页面之前保存该机密。

    

允许应用访问你的工作区

允许应用从你的 Azure Monitor 工作区查询数据。

1. 在 Azure 门户中打开你的 Azure Monitor 工作区。

2. 在“概述”页上，记下“查询终结点”。 设置 Grafana 数据源时，将使用该查询终结点。

3. 选择“访问控制 (IAM)”。

4. 在“访问控制(IAM)”页中，依次选择“添加”、“添加角色分配”。

5. 在“添加角色分配”页面上，搜索“监视”。

6. 选择“监视数据读取者”，然后选择“成员”选项卡。

   

7. 选择“选择成员”。

8. 搜索在向 Microsoft Entra ID 注册一个应用部分中注册的应用，并选择该应用。

9. 单击“选择”。

10. 选择“查看 + 分配”。

    

现已创建应用注册，并为其分配了从你的 Azure Monitor 工作区查询数据的访问权限。 下一步是在 Grafana 中设置 Prometheus 数据源。

为 Azure 身份验证配置 Grafana

Grafana 现在支持使用 Prometheus 数据源连接到 Azure Monitor 托管的 Prometheus。 对于自托管 Grafana 实例，需要更改配置才能在 Grafana 中使用 Azure 身份验证选项。 对于不由 Azure 托管的 Grafana 实例，请进行以下更改：

Grafana 9.x 和更高版本支持 Azure 身份验证，但默认未启用该功能。 若要启用 Azure 身份验证，请更新 Grafana 配置并重启 Grafana 实例。 若要查找 grafana.ini 文件，请查看 Grafana Labs 中的“配置 Grafana”文档。

1. 找到并打开虚拟机上的 grafana.ini 文件。

2. 确定 Grafana 版本。

3. 对于 Grafana 9.0，在 [feature_toggles] 部分中，将 prometheus_azure_auth 设置为 true.

4. 对于 Grafana 9.1 及更高版本，在 [auth] 部分中，将 azure_auth_enabled 设置设置为 true。

5. 重启 Grafana 实例。

在 Grafana 中创建 Prometheus 数据源

使用以下步骤将 Prometheus 配置为数据源：

1. 在浏览器中打开 Grafana。

2. 选择“连接”，然后选择“数据源”。

3. 选择“添加数据源”

4. 搜索并选择 Prometheus。

5. 将 Azure Monitor 工作区中的查询终结点粘贴到“URL”字段中。

6. 在“身份验证”下，选择“Azure 身份验证”。对于早期 Grafana 版本，请在“身份验证”下打开“Azure 身份验证”

7. 在“Azure 身份验证”下，从“身份验证”下拉菜单中选择“应用注册”。

8. 输入在创建应用注册时生成的目录（租户）ID、应用程序（客户端）ID 和客户端密码。

9. 滚动到页面底部，然后选择“保存并测试”。