Envie métricas do Prometheus de máquinas virtuais, conjuntos de dimensionamento ou clusters Kubernetes para um espaço de trabalho do Azure Monitor

Gravação remota usando autenticação de identidade gerenciada atribuída pelo usuário

A autenticação de identidade gerida atribuída pelo utilizador pode ser usada em qualquer ambiente gerido pelo Azure. Se o seu serviço Prometheus estiver em execução em um ambiente não Azure, você poderá usar a autenticação do aplicativo Microsoft Entra ID.

Para configurar uma identidade gerenciada atribuída pelo usuário para gravação remota no workspace do Azure Monitor, conclua as etapas a seguir.

Criar uma identidade gerenciada atribuída ao usuário

Para criar uma identidade gerenciada pelo usuário para usar em sua configuração de gravação remota, confira Gerenciar identidades gerenciadas atribuídas pelo usuário.

Observe o valor de clientId da identidade gerenciada que você criou. Esta ID é usada na configuração de gravação remota do Prometheus.

Atribuir a função Editor de Métricas de Monitoramento ao aplicativo

Na regra de recolha de dados do espaço de trabalho, atribua a função Monitoring Metrics Publisher à identidade gerida.

1. Na página Visão geral do workspace do Azure Monitor, selecione o link da Regra de coleta de dados.

   

2. Na página de regras de coleta de dados, selecione Controle de acesso (IAM).

3. Selecione Adicionar e Adicionar atribuição de função.

4. Pesquise e selecione o Editor de Métricas de Monitoramento e selecione Avançar.

5. Selecione Identidade Gerenciada.

6. Selecione Selecionar membros.

7. Na lista suspensa Entidade gerenciada, Identidade gerenciada atribuída pelo usuário.

8. Selecione a identidade atribuída pelo usuário que você deseja usar e clique em Selecionar.

9. Clique em Revisar + atribuir para concluir a atribuição de função.

   

Atribuir a identidade gerenciada a uma máquina virtual ou a um conjunto de dimensionamento de máquinas virtuais

1. No portal do Azure, vá para a página do cluster, Máquina Virtual ou Conjunto de Dimensionamento de Máquinas Virtuais.

2. Selecionar Identidade.

3. Selecione Atribuída pelo usuário.

4. Selecione Adicionar.

5. Selecione a identidade gerenciada atribuída pelo usuário que você criou e, em seguida, selecione Adicionar.

   

Atribuir a identidade gerida para um Serviço de Kubernetes do Azure

Para os serviços Azure Kubernetes (AKS), a identidade gerida deve ser atribuída aos conjuntos de escala de máquinas virtuais.

O AKS cria um grupo de recursos que contém os conjuntos de dimensionamento de máquinas virtuais. O nome do grupo de recursos está no formato MC_<resource group name>_<AKS cluster name>_<region>. Para cada Conjunto de Dimensionamento de Máquina Virtual no grupo de recursos, atribua a identidade gerenciada de acordo com as etapas da seção anterior, Atribua a identidade gerenciada a uma Máquina Virtual ou Conjunto de Dimensionamento de Máquina Virtual.

Gravação remota usando a autenticação de aplicativo do Microsoft Entra ID

A autenticação do aplicativo Microsoft Entra ID pode ser usada em qualquer ambiente. Se o seu serviço Prometheus estiver a funcionar num ambiente gerido pelo Azure, considere utilizar a autenticação de identidade gerida atribuída pelo utilizador.

Para configurar a gravação remota no workspace do Azure Monitor usando um aplicativo do Microsoft Entra ID, crie um aplicativo do Microsoft Entra. Na regra de coleta de dados do workspace do Azure Monitor, atribua a função Monitoring Metrics Publisher ao aplicativo do Microsoft Entra.

Criar um aplicativo do Microsoft Entra ID

Para criar um aplicativo do Microsoft Entra ID usando o portal, confira Criar um aplicativo do Microsoft Entra ID e uma entidade de serviço que possa acessar recursos.

Quando você tiver criado o aplicativo do Microsoft Entra, obtenha a ID do cliente e gere um segredo do cliente.

1. Na lista de aplicativos, copie o valor ID do aplicativo (cliente) do aplicativo registrado. Este valor é usado na configuração de gravação remota do Prometheus como o valor para client_id.

   

2. Selecionar Certificados e segredos

3. Selecione Segredos do cliente e selecione Novo segredo do cliente para criar um novo segredo

4. Insira uma descrição, defina a data de validade e selecione Adicionar.

   

5. Copie o valor do segredo com segurança. O valor é usado na configuração de gravação remota do Prometheus como o valor para client_secret. O valor do segredo do cliente só fica visível quando criado e não pode ser recuperado posteriormente. Se perdido, você deve criar um novo segredo do cliente.

   

Atribuir a função Editor de Métricas de Monitoramento ao aplicativo

Atribua a função Monitoring Metrics Publisher na regra de coleta de dados do workspace ao aplicativo.

1. Na página de visão geral do workspace do Azure Monitor, selecione o link da regra de coleta de dados.

   

2. Na página de visão geral da regra de coleta de dados, selecione Controle de acesso (IAM).

3. Selecione Adicionar e selecione Adicionar atribuição de função.

   

4. Escolha a função Publicador de Métricas de Monitoramento e, em seguida, selecione Próximo.

   

5. Escolha Usuário, grupo ou entidade de serviço e escolha Selecionar membros. Selecione o aplicativo que você criou e escolha Selecionar.

   

6. Para finalizar a atribuição de função, clique em Revisar + atribuir.

Criar identidades atribuídas pelo usuário e aplicativos do Microsoft Entra ID usando a CLI

Criar uma identidade gerenciada atribuída ao usuário

Crie uma identidade gerenciada atribuída pelo usuário para gravação remota usando as seguintes etapas:

1. Criar uma identidade gerenciada atribuída ao usuário
2. Atribuir a função Monitoring Metrics Publisher na regra de coleta de dados do workspace à identidade gerenciada
3. Atribua a identidade gerenciada a uma máquina virtual ou conjunto de dimensionamento de máquinas virtuais.

Observe o valor de clientId da identidade gerenciada criada por você. Esta ID é usada na configuração de gravação remota do Prometheus.

1. Crie uma identidade gerenciada atribuída pelo usuário usando o seguinte comando da CLI:

   az account set \
   --subscription <subscription id>
   
   az identity create \
   --name <identity name> \
   --resource-group <resource group name>
   

   Veja a seguir um exemplo da saída exibida:

   {
     "clientId": "00001111-aaaa-2222-bbbb-3333cccc4444",
     "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/rg-001/providers/Microsoft.ManagedIdentity/userAssignedIdentities/PromRemoteWriteIdentity",
     "location": "eastus",
     "name": "PromRemoteWriteIdentity",
     "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
     "resourceGroup": "rg-001",
     "systemData": null,
     "tags": {},
     "tenantId": "ffff5f5f-aa6a-bb7b-cc8c-dddddd9d9d9d",
     "type": "Microsoft.ManagedIdentity/userAssignedIdentities"
   }
   

2. Atribua a função Monitoring Metrics Publisher na regra de coleta de dados do workspace à identidade gerenciada.

   az role assignment create \
   --role "Monitoring Metrics Publisher" \
   --assignee <managed identity client ID> \
   --scope <data collection rule resource ID>
   

   Por exemplo,

   az role assignment create \
   --role "Monitoring Metrics Publisher" \
   --assignee 00001111-aaaa-2222-bbbb-3333cccc4444 \
   --scope /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/MA_amw-001_eastus_managed/providers/Microsoft.Insights/dataCollectionRules/amw-001
   

3. Atribua a identidade gerenciada a uma máquina virtual ou conjunto de dimensionamento de máquinas virtuais.

   Para Máquinas Virtuais:

   az vm identity assign \
   -g <resource group name> \
   -n <virtual machine name> \
   --identities <user assigned identity resource ID>
   

   Para Conjuntos de Dimensionamento de Máquinas Virtuais:

   az vmss identity assign \
   -g <resource group name> \
   -n <VSS name> \
   --identities <user assigned identity resource ID>
   

   Por exemplo, para um Conjunto de Dimensionamento de Máquinas Virtuais:

   az vm identity assign \
   -g rg-prom-on-vm \
   -n win-vm-prom \
   --identities /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/rg-001/providers/Microsoft.ManagedIdentity/userAssignedIdentities/PromRemoteWriteIdentity
   

Para obter mais informações, confira az identity create e az role assignment create.

Criar um aplicativo do Microsoft Entra ID

Para criar um aplicativo do Microsoft Entra ID usando a CLI e atribuir a função Monitoring Metrics Publisher, execute o seguinte comando:

az ad sp create-for-rbac --name <application name> \
--role "Monitoring Metrics Publisher" \
--scopes <azure monitor workspace data collection rule Id>

Por exemplo,

az ad sp create-for-rbac \
--name PromRemoteWriteApp \
--role "Monitoring Metrics Publisher" \
--scopes /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/MA_amw-001_eastus_managed/providers/Microsoft.nsights/dataCollectionRules/amw-001

Veja a seguir um exemplo da saída exibida:

{
  "appId": "66667777-aaaa-8888-bbbb-9999cccc0000",
  "displayName": "PromRemoteWriteApp",
  "password": "Aa1Bb~2Cc3.-Dd4Ee5Ff6Gg7Hh8Ii9_Jj0Kk1Ll2",
  "tenant": "ffff5f5f-aa6a-bb7b-cc8c-dddddd9d9d9d"
}

A saída contém os valores appId e password. Salve esses valores para usar na configuração de gravação remota do Prometheus como valores para client_id e client_secret A senha ou valor do segredo do cliente só fica visível quando criada e não pode ser recuperada posteriormente. Se perdido, você deve criar um novo segredo do cliente.

Para obter mais informações, confira az ad app create e az ad sp create-for-rbac.

Para enviar dados ao workspace do Azure Monitor, adicione a seção a seguir ao arquivo de configuração (prometheus.yml) da instância do Prometheus autogerenciado.

remote_write:   
  - url: "<metrics ingestion endpoint for your Azure Monitor workspace>"
# AzureAD configuration.
# The Azure Cloud. Options are 'AzurePublic', 'AzureChina', or 'AzureGovernment'.
    azuread:
      cloud: 'AzurePublic'
      managed_identity:
        client_id: "<client-id of the managed identity>"
      oauth:
        client_id: "<client-id from the Entra app>"
        client_secret: "<client secret from the Entra app>"
        tenant_id: "<Azure subscription tenant Id>"

Operador do Prometheus

Se você estiver em um cluster do Kubernetes executando o Operador do Prometheus, siga as etapas abaixo para enviar dados ao workspace do Azure Monitor.

1. Se você estiver usando a autenticação do Microsoft Entra ID, converta o segredo usando a codificação base64 e aplique o segredo em seu cluster do Kubernetes. Salve o conteúdo a seguir em um arquivo YAML. Ignore esta etapa se estiver usando a autenticação de identidade gerenciada.

apiVersion: v1
kind: Secret
metadata:
  name: remote-write-secret
  namespace: monitoring # Replace with namespace where Prometheus Operator is deployed. 
type: Opaque
data:
  password: <base64-encoded-secret>

Aplique o segredo.

# set context to your cluster 
az aks get-credentials -g <aks-rg-name> -n <aks-cluster-name> 

kubectl apply -f <remote-write-secret.yaml>

2. Atualize os valores da seção de gravação remota no Operador do Prometheus. Copie o YAML a seguir e salve-o como um arquivo. Confira a documentação do Operador do Prometheus para obter mais detalhes sobre a especificação de gravação remota do workspace do Azure Monitor no Operador do Prometheus.

prometheus:
  prometheusSpec:
    remoteWrite:
    - url: "<metrics ingestion endpoint for your Azure Monitor workspace>"
      azureAd:
# AzureAD configuration.
# The Azure Cloud. Options are 'AzurePublic', 'AzureChina', or 'AzureGovernment'.
        cloud: 'AzurePublic'
        managedIdentity:
          clientId: "<clientId of the managed identity>"
        oauth:
          clientId: "<clientId of the Entra app>"
          clientSecret:
            name: remote-write-secret
            key: password
          tenantId: "<Azure subscription tenant Id>"

3. Use o Helm para atualizar a configuração de gravação remota usando o arquivo YAML acima.

helm upgrade -f <YAML-FILENAME>.yml prometheus prometheus-community/kube-prometheus-stack --namespace <namespace where Prometheus Operator is deployed>