仮想マシン、スケール セット、または Kubernetes クラスターから Azure Monitor ワークスペースに Prometheus メトリックを送信する

ユーザー割り当てマネージド ID 認証を使用したリモート書き込み

ユーザー割り当てマネージド ID 認証は、すべての Azure マネージド環境で使用できます。 Prometheus サービスが Azure 以外の環境で実行されている場合は、Entra ID アプリケーション認証を使用できます。

Azure Monitor ワークスペースへのリモート書き込み用にユーザー割り当てマネージド ID を構成するには、次の手順を実行します。

ユーザー割り当てマネージド ID を作成する

リモート書き込み構成で使用するユーザーマネージド ID を作成するには、「ユーザー割り当てマネージド ID の管理」を参照してください。

作成したマネージド ID の clientId の値をメモします。 この ID は、Prometheus のリモート書き込み構成で使用されます。

監視メトリック発行者ロールをアプリケーションに割り当てる

ワークスペースのデータ収集ルールで、Monitoring Metrics Publisher ロールをマネージド ID に割り当てます。

1. Azure Monitor ワークスペースの [概要] ページで、[データ収集ルール] リンクを選択します。

   

2. データ収集ルールのページで、[アクセス制御 (IAM)] を選択します。

3. [追加] および [ロールの割り当ての追加] を選択します。

4. [監視メトリック発行者] を検索して選択し、[次へ] を選択します。

5. [マネージド ID] を選択します。

6. [メンバーの選択] を選びます。

7. [マネージド エンティティ] ドロップダウンで、[ユーザー割り当てマネージド ID] を選択します。

8. 使用するユーザー割り当て ID を選択し、[選択] をクリックします。

9. [確認と割り当て] を選択して、ロールの割り当てを完了します。

   

マネージド ID を仮想マシンまたは仮想マシン スケール セットに割り当てる

1. Azure portal で、クラスター、Virtual Machines、または Virtual Machine Scale Sets のページに移動します。

2. [ID] を選択します。

3. [ユーザー割り当て] を選びます。

4. [追加] を選択します。

5. 作成したユーザー割り当てマネージド ID を選択し、[追加] を選択します。

   

Azure Kubernetes Service のマネージド ID を割り当てる

Azure Kubernetes サービス (AKS) の場合、マネージド ID を仮想マシン スケール セットに割り当てる必要があります。

AKS は、仮想マシン スケール セットを含むリソース グループを作成します。 リソース グループ名の形式は MC_<resource group name>_<AKS cluster name>_<region> です。 リソース グループ内の仮想マシン スケール セットごとに、前のセクションの「マネージド ID を仮想マシンまたは仮想マシン スケール セットに割り当てる」の手順に従ってマネージド ID を割り当てます。

Microsoft Entra ID アプリケーション認証を使用したリモート書き込み

Microsoft Entra ID アプリケーション認証は、すべての環境で使用できます。 Prometheus サービスが Azure マネージド環境で実行されている場合は、ユーザー割り当てマネージド ID 認証を使用することを検討してください。

Microsoft Entra ID アプリケーションを使用して Azure Monitor ワークスペースへのリモート書き込みを構成するには、Entra アプリケーションを作成します。 Azure Monitor ワークスペースのデータ収集ルールで、Monitoring Metrics Publisher ロールを Entra アプリケーションに割り当てます。

Microsoft Entra ID アプリケーションを作成する

ポータルを使用して Microsoft Entra ID アプリケーションを作成するには、「リソースにアクセスできる Microsoft Entra ID アプリケーションとサービス プリンシパルを作成する」を参照してください。

Entra アプリケーションを作成したら、クライアント ID を取得し、クライアント シークレットを生成します。

1. アプリケーションのリストで、登録済みアプリケーションのアプリケーション (クライアント) ID の値をコピーします。 この値は、Prometheus リモート書き込み構成で client_id の値として使用されます。

   

2. [証明書とシークレット] を選択します

3. [クライアント シークレット] を選択し、[新しいクライアント シークレット] を選択して新しいシークレットを作成します

4. 説明を入力し、有効期限を設定して、[追加] を選択します。

   

5. シークレットの値を安全にコピーします。 この値は、Prometheus リモート書き込み構成で client_secret の値として使用されます。 クライアント シークレットの値は作成時にのみ表示され、後で取得することはできません。 失われた場合は、新しいクライアント シークレットを作成する必要があります。

   

監視メトリック発行者ロールをアプリケーションに割り当てる

ワークスペースのデータ収集ルールの Monitoring Metrics Publisher ロールをアプリケーションに割り当てます。

1. Azure Monitor ワークスペースの概要ページで、[データ収集ルール] リンクを選択します。

   

2. データ収集ルールの概要ページで、[アクセス制御 (IAM)] を選択します。

3. 追加を選択し、ロール割り当ての追加を選択します。

   

4. [監視メトリック発行者] ロールを選択して、[次へ] を選択します。

   

5. [ユーザー、グループ、またはサービス プリンシパル] を選んでから、[メンバーの選択] を選びます。 作成したアプリケーションを選び、[選択] を選びます。

   

6. ロールの割り当てを完了するには、[レビューと割り当て] を選びます。

CLI を使用してユーザー割り当て ID と Microsoft Entra ID アプリを作成する

ユーザー割り当てマネージド ID を作成する

次の手順を使用して、リモート書き込み用のユーザー割り当てマネージド ID を作成します。

1. ユーザー割り当てマネージド ID を作成する
2. ワークスペースのデータ収集ルールの Monitoring Metrics Publisher ロールをマネージド ID に割り当てます
3. マネージド ID を Virtual Machines または Virtual Machine Scale Sets に割り当てます。

作成するマネージド ID の clientId の値をメモします。 この ID は、Prometheus のリモート書き込み構成で使用されます。

1. 次の CLI コマンドを使用して、ユーザー割り当てマネージド ID を作成します。

   az account set \
   --subscription <subscription id>
   
   az identity create \
   --name <identity name> \
   --resource-group <resource group name>
   

   表示される出力の例を次に示します。

   {
     "clientId": "abcdef01-a123-b456-d789-0123abc345de",
     "id": "/subscriptions/12345678-abcd-1234-abcd-1234567890ab/resourcegroups/rg-001/providers/Microsoft.ManagedIdentity/userAssignedIdentities/PromRemoteWriteIdentity",
     "location": "eastus",
     "name": "PromRemoteWriteIdentity",
     "principalId": "98765432-0123-abcd-9876-1a2b3c4d5e6f",
     "resourceGroup": "rg-001",
     "systemData": null,
     "tags": {},
     "tenantId": "ffff1234-aa01-02bb-03cc-0f9e8d7c6b5a",
     "type": "Microsoft.ManagedIdentity/userAssignedIdentities"
   }
   

2. ワークスペースのデータ収集ルールの Monitoring Metrics Publisher ロールをマネージド ID に割り当てます。

   az role assignment create \
   --role "Monitoring Metrics Publisher" \
   --assignee <managed identity client ID> \
   --scope <data collection rule resource ID>
   

   たとえば、 にします。

   az role assignment create \
   --role "Monitoring Metrics Publisher" \
   --assignee abcdef01-a123-b456-d789-0123abc345de \
   --scope /subscriptions/12345678-abcd-1234-abcd-1234567890ab/resourceGroups/MA_amw-001_eastus_managed/providers/Microsoft.Insights/dataCollectionRules/amw-001
   

3. マネージド ID を Virtual Machines または Virtual Machine Scale Sets に割り当てます。

   Virtual Machines の場合:

   az vm identity assign \
   -g <resource group name> \
   -n <virtual machine name> \
   --identities <user assigned identity resource ID>
   

   Virtual Machine Scale Sets の場合:

   az vmss identity assign \
   -g <resource group name> \
   -n <VSS name> \
   --identities <user assigned identity resource ID>
   

   Virtual Machine Scale Sets の場合の例:

   az vm identity assign \
   -g rg-prom-on-vm \
   -n win-vm-prom \
   --identities /subscriptions/12345678-abcd-1234-abcd-1234567890ab/resourcegroups/rg-001/providers/Microsoft.ManagedIdentity/userAssignedIdentities/PromRemoteWriteIdentity
   

詳細については、「az identity create」と「az role assignment create」を参照してください。

Microsoft Entra ID アプリケーションを作成する

CLI を使用して Microsoft Entra ID アプリケーションを作成し、Monitoring Metrics Publisher ロールを割り当てるには、次のコマンドを実行します。

az ad sp create-for-rbac --name <application name> \
--role "Monitoring Metrics Publisher" \
--scopes <azure monitor workspace data collection rule Id>

たとえば、 にします。

az ad sp create-for-rbac \
--name PromRemoteWriteApp \
--role "Monitoring Metrics Publisher" \
--scopes /subscriptions/abcdef00-1234-5678-abcd-1234567890ab/resourceGroups/MA_amw-001_eastus_managed/providers/Microsoft.nsights/dataCollectionRules/amw-001

表示される出力の例を次に示します。

{
  "appId": "01234567-abcd-ef01-2345-67890abcdef0",
  "displayName": "PromRemoteWriteApp",
  "password": "AbCDefgh1234578~zxcv.09875dslkhjKLHJHLKJ",
  "tenant": "abcdef00-1234-5687-abcd-1234567890ab"
}

出力には、appId の値と password の値が含まれています。 client_id と client_secret の値として Prometheus リモート書き込み構成で使用するためにこれらの値を保存します。パスワードまたはクライアント シークレットの値は作成時にのみ表示され、後で取得することはできません。 失われた場合は、新しいクライアント シークレットを作成する必要があります。

詳細については、「az ad app create」と「az ad sp create-for-rbac」を参照してください。

Kubernetes クラスターで Prometheus Operator を実行している場合は、次の手順に従って Azure Monitor ワークスペースにデータを送信します。

1. Microsoft Entra ID 認証を使用している場合は、base64 エンコードを使用してシークレットを変換し、そのシークレットを Kubernetes クラスターに適用します。 次を yaml ファイルに保存します。 マネージド ID 認証を使用している場合は、この手順をスキップします。

apiVersion: v1
kind: Secret
metadata:
  name: remote-write-secret
  namespace: monitoring # Replace with namespace where Prometheus Operator is deployed. 
type: Opaque
data:
  password: <base64-encoded-secret>

シークレットを適用します。

# set context to your cluster 
az aks get-credentials -g <aks-rg-name> -n <aks-cluster-name> 

kubectl apply -f <remote-write-secret.yaml>

2. Prometheus Operator でリモート書き込みセクションの値を更新する必要があります。 次のコードをコピーし、yaml ファイルとして保存します。 yaml ファイルの値については、以下のセクションを参照してください。 Prometheus Operator での Azure Monitor ワークスペースのリモート書き込み仕様の詳細については、Prometheus Operator のドキュメントを参照してください。

prometheus:
  prometheusSpec:
    remoteWrite:
    - url: "<metrics ingestion endpoint for your Azure Monitor workspace>"
      azureAd:
# AzureAD configuration.
# The Azure Cloud. Options are 'AzurePublic', 'AzureChina', or 'AzureGovernment'.
        cloud: 'AzurePublic'
        managedIdentity:
          clientId: "<clientId of the managed identity>"
        oauth:
          clientId: "<clientId of the Entra app>"
          clientSecret:
            name: remote-write-secret
            key: password
          tenantId: "<Azure subscription tenant Id>"

3. helm を使用し、上記の yaml ファイルを使用してリモート書き込み構成を更新します。

helm upgrade -f <YAML-FILENAME>.yml prometheus prometheus-community/kube-prometheus-stack --namespace <namespace where Prometheus Operator is deployed>

Azure Monitor ワークスペースにデータを送信するには、セルフマネージド Prometheus インスタンスの構成ファイル (prometheus.yml) に次のセクションを追加します。

remote_write:   
  - url: "<metrics ingestion endpoint for your Azure Monitor workspace>"
# AzureAD configuration.
# The Azure Cloud. Options are 'AzurePublic', 'AzureChina', or 'AzureGovernment'.
  azuread:
    cloud: 'AzurePublic'
    managed_identity:
      client_id: "<client-id of the managed identity>"
    oauth:
      client_id: "<client-id from the Entra app>"
      client_secret: "<client secret from the Entra app>"
      tenant_id: "<Azure subscription tenant Id>"