Sanal makinelerden, ölçek kümelerinden veya Kubernetes kümelerinden Azure İzleyici çalışma alanına Prometheus ölçümleri gönderme

Kullanıcı tarafından atanan yönetilen kimlik kimlik doğrulamayı kullanarak uzaktan yazma

Kullanıcı tarafından atanan yönetilen kimlik kimlik doğrulaması, Azure tarafından yönetilen herhangi bir ortamda kullanılabilir. Prometheus hizmetiniz Azure dışı bir ortamda çalışıyorsa Microsoft Entra ID uygulama kimlik doğrulamayı kullanabilirsiniz.

Azure İzleyici çalışma alanına uzaktan yazma için kullanıcı tarafından atanan yönetilen kimliği yapılandırmak için aşağıdaki adımları tamamlayın.

Kullanıcı tarafından atanan yönetilen kimlik oluşturma

Uzaktan yazma yapılandırmanızda kullanmak üzere kullanıcı tarafından yönetilen bir kimlik oluşturmak için bkz . Kullanıcı tarafından atanan yönetilen kimlikleri yönetme.

Oluşturduğunuz yönetilen kimliğin değerini clientId not edin. Bu kimlik Prometheus uzaktan yazma yapılandırmasında kullanılır.

Uygulamaya İzleme Ölçümleri Yayımcısı rolünü atama

Çalışma alanının veri toplama kuralında Monitoring Metrics Publisher rolü yönetilen kimliğe atayın.

1. Azure İzleyici çalışma alanına genel bakış sayfasında Veri toplama kuralı bağlantısını seçin.

   

2. Veri toplama kuralı sayfasında Erişim denetimi (IAM) öğesini seçin.

3. Ekle'yi ve Rol ataması ekle'yi seçin.

4. İzleme Ölçümleri Yayımcısı'nın aramasını yapın ve bunu seçin ve ardından İleri'yi seçin.

5. Yönetilen Kimlik'i seçin.

6. Üye seçin öğesini seçin.

7. Yönetilen Varlık açılan listesinde Kullanıcı tarafından atanan yönetilen kimlik.

8. Kullanmak istediğiniz kullanıcı tarafından atanan kimliği seçin ve seç'e tıklayın.

9. Rol atamasını tamamlamak için Gözden geçir ve ata'yı seçin.

   

Yönetilen kimliği bir Sanal Makineye veya Sanal Makine Ölçek Kümesine atama

1. Azure portalında küme, Sanal Makine veya Sanal Makine Ölçek Kümesi sayfasına gidin.

2. Kimlik öğesini seçin.

3. Kullanıcı tarafından atanan'ı seçin.

4. Ekle'yi seçin.

5. Oluşturduğunuz kullanıcı tarafından atanan yönetilen kimliği ve ardından Ekle'yi seçin.

   

Azure Kubernetes Service için yönetilen kimlik atama

Azure Kubernetes hizmetleri (AKS) için yönetilen kimliğin sanal makine ölçek kümelerine atanması gerekir.

AKS, sanal makine ölçek kümelerini içeren bir kaynak grubu oluşturur. Kaynak grubu adı biçimindedir MC_<resource group name>_<AKS cluster name>_<region>. Kaynak grubundaki her Sanal Makine Ölçek Kümesi için, yönetilen kimliği bir Sanal Makineye veya Sanal Makine Ölçek Kümesine atama adlı önceki bölümde verilen adımlara göre atayın.

Microsoft Entra ID uygulama kimlik doğrulaması kullanarak uzaktan yazma

Microsoft Entra Id uygulama kimlik doğrulaması herhangi bir ortamda kullanılabilir. Prometheus hizmetiniz Azure tarafından yönetilen bir ortamda çalışıyorsa, kullanıcı tarafından atanan yönetilen kimlik kimlik doğrulamayı kullanmayı göz önünde bulundurun.

Microsoft Entra ID uygulamasını kullanarak Azure İzleyici çalışma alanına uzaktan yazmayı yapılandırmak için bir Microsoft Entra uygulaması oluşturun. Azure İzleyici çalışma alanının veri toplama kuralında Monitoring Metrics Publisher rolü Microsoft Entra uygulamasına atayın.

Microsoft Entra ID uygulaması oluşturma

Portalı kullanarak bir Microsoft Entra ID uygulaması oluşturmak için bkz . Kaynaklara erişebilen bir Microsoft Entra ID uygulaması ve hizmet sorumlusu oluşturma.

Microsoft Entra uygulamanızı oluşturduğunuzda istemci kimliğini alın ve bir istemci gizli dizisi oluşturun.

1. Uygulama listesinde, kayıtlı uygulamanın Uygulama (istemci) kimliği değerini kopyalayın. Bu değer, Prometheus uzaktan yazma yapılandırmasında değeri client_idolarak kullanılır.

   

2. Sertifikalar ve Gizli Diziler'i seçin

3. İstemci gizli dizileri'ni seçin, yeni gizli dizi oluşturmak için Yeni istemci gizli dizisi'ni seçerler

4. Bir açıklama girin, son kullanma tarihini ayarlayın ve Ekle'yi seçin.

   

5. Gizli dizi değerini güvenli bir şekilde kopyalayın. Değeri, Prometheus uzaktan yazma yapılandırmasında değeri client_secretolarak kullanılır. İstemci gizli anahtarı değeri yalnızca oluşturulduğunda görünür ve daha sonra alınamaz. Kaybolursa yeni bir gizli dizi oluşturmanız gerekir.

   

Uygulamaya İzleme Ölçümleri Yayımcısı rolünü atama

Monitoring Metrics Publisher Çalışma alanının veri toplama kuralındaki rolü uygulamaya atayın.

1. Azure İzleyici çalışma alanı genel bakış sayfasında Veri toplama kuralı bağlantısını seçin.

   

2. Veri toplama kuralına genel bakış sayfasında Erişim denetimi (IAM) öğesini seçin.

3. Ekle'yi ve ardından Rol ataması ekle'yi seçin.

   

4. İzleme Ölçümleri Yayımcısı rolünü ve ardından İleri'yi seçin.

   

5. Kullanıcı, grup veya hizmet sorumlusu'nun ardından Üye seç'i seçin. Oluşturduğunuz uygulamayı seçin ve ardından Seç'i seçin.

   

6. Rol atamasını tamamlamak için Gözden geçir ve ata'yı seçin.

CLI kullanarak kullanıcı tarafından atanan kimlikler ve Microsoft Entra Id uygulamaları oluşturma

Kullanıcı tarafından atanan yönetilen kimlik oluşturma

Aşağıdaki adımları kullanarak uzaktan yazma için kullanıcı tarafından atanan bir yönetilen kimlik oluşturun:

1. Kullanıcı tarafından atanan yönetilen kimlik oluşturma
2. Monitoring Metrics Publisher Çalışma alanının veri toplama kuralındaki rolü yönetilen kimliğe atama
3. Yönetilen kimliği bir Sanal Makineye veya Sanal Makine Ölçek Kümesine atayın.

Oluşturduğunuz yönetilen kimliğin değerini clientId not edin. Bu kimlik Prometheus uzaktan yazma yapılandırmasında kullanılır.

1. Aşağıdaki CLI komutunu kullanarak kullanıcı tarafından atanan bir yönetilen kimlik oluşturun:

   az account set \
   --subscription <subscription id>
   
   az identity create \
   --name <identity name> \
   --resource-group <resource group name>
   

   Görüntülenen çıktının bir örneği aşağıda verilmiştir:

   {
     "clientId": "00001111-aaaa-2222-bbbb-3333cccc4444",
     "id": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/rg-001/providers/Microsoft.ManagedIdentity/userAssignedIdentities/PromRemoteWriteIdentity",
     "location": "eastus",
     "name": "PromRemoteWriteIdentity",
     "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
     "resourceGroup": "rg-001",
     "systemData": null,
     "tags": {},
     "tenantId": "ffff5f5f-aa6a-bb7b-cc8c-dddddd9d9d9d",
     "type": "Microsoft.ManagedIdentity/userAssignedIdentities"
   }
   

2. Monitoring Metrics Publisher Çalışma alanının veri toplama kuralındaki rolü yönetilen kimliğe atayın.

   az role assignment create \
   --role "Monitoring Metrics Publisher" \
   --assignee <managed identity client ID> \
   --scope <data collection rule resource ID>
   

   Örneğin,

   az role assignment create \
   --role "Monitoring Metrics Publisher" \
   --assignee 00001111-aaaa-2222-bbbb-3333cccc4444 \
   --scope /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/MA_amw-001_eastus_managed/providers/Microsoft.Insights/dataCollectionRules/amw-001
   

3. Yönetilen kimliği bir Sanal Makineye veya Sanal Makine Ölçek Kümesine atayın.

   Sanal Makineler için:

   az vm identity assign \
   -g <resource group name> \
   -n <virtual machine name> \
   --identities <user assigned identity resource ID>
   

   Sanal Makine Ölçek Kümeleri için:

   az vmss identity assign \
   -g <resource group name> \
   -n <VSS name> \
   --identities <user assigned identity resource ID>
   

   Örneğin, bir Sanal Makine Ölçek Kümesi için:

   az vm identity assign \
   -g rg-prom-on-vm \
   -n win-vm-prom \
   --identities /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/rg-001/providers/Microsoft.ManagedIdentity/userAssignedIdentities/PromRemoteWriteIdentity
   

Daha fazla bilgi için bkz . az identity create ve az role assignment create.

Microsoft Entra ID uygulaması oluşturma

CLI kullanarak bir Microsoft Entra ID uygulaması oluşturmak ve rolü atamak Monitoring Metrics Publisher için aşağıdaki komutu çalıştırın:

az ad sp create-for-rbac --name <application name> \
--role "Monitoring Metrics Publisher" \
--scopes <azure monitor workspace data collection rule Id>

Örneğin,

az ad sp create-for-rbac \
--name PromRemoteWriteApp \
--role "Monitoring Metrics Publisher" \
--scopes /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/MA_amw-001_eastus_managed/providers/Microsoft.nsights/dataCollectionRules/amw-001

Görüntülenen çıktının bir örneği aşağıda verilmiştir:

{
  "appId": "66667777-aaaa-8888-bbbb-9999cccc0000",
  "displayName": "PromRemoteWriteApp",
  "password": "Aa1Bb~2Cc3.-Dd4Ee5Ff6Gg7Hh8Ii9_Jj0Kk1Ll2",
  "tenant": "ffff5f5f-aa6a-bb7b-cc8c-dddddd9d9d9d"
}

Çıkış ve password değerlerini içerirappId. Prometheus uzaktan yazma yapılandırmasında kullanmak üzere client_id bu değerleri değeri olarak kaydedin ve client_secret Parola veya istemci gizli anahtarı değeri yalnızca oluşturulduğunda görünür ve daha sonra alınamaz. Kaybolursa yeni bir gizli dizi oluşturmanız gerekir.

Daha fazla bilgi için bkz . az ad app create ve az ad sp create-for-rbac.

Azure İzleyici Çalışma Alanınıza veri göndermek için aşağıdaki bölümü kendi kendine yönetilen Prometheus örneğinizin yapılandırma dosyasına (prometheus.yml) ekleyin.

remote_write:   
  - url: "<metrics ingestion endpoint for your Azure Monitor workspace>"
# AzureAD configuration.
# The Azure Cloud. Options are 'AzurePublic', 'AzureChina', or 'AzureGovernment'.
    azuread:
      cloud: 'AzurePublic'
      managed_identity:
        client_id: "<client-id of the managed identity>"
      oauth:
        client_id: "<client-id from the Entra app>"
        client_secret: "<client secret from the Entra app>"
        tenant_id: "<Azure subscription tenant Id>"

Prometheus İşleci

Prometheus İşleci çalıştıran bir Kubernetes kümesindeyseniz Azure İzleyici Çalışma Alanınıza veri göndermek için aşağıdaki adımları izleyin.

1. Microsoft Entra Id kimlik doğrulaması kullanıyorsanız, base64 kodlamasını kullanarak gizli diziyi dönüştürün ve gizli diziyi Kubernetes kümenize uygulayın. Aşağıdakileri bir yaml dosyasına kaydedin. Yönetilen kimlik kimlik doğrulaması kullanıyorsanız bu adımı atlayın.

apiVersion: v1
kind: Secret
metadata:
  name: remote-write-secret
  namespace: monitoring # Replace with namespace where Prometheus Operator is deployed. 
type: Opaque
data:
  password: <base64-encoded-secret>

Gizli diziyi uygulayın.

# set context to your cluster 
az aks get-credentials -g <aks-rg-name> -n <aks-cluster-name> 

kubectl apply -f <remote-write-secret.yaml>

2. Prometheus İşleci'nde uzaktan yazma bölümünün değerlerini güncelleştirin. Aşağıdaki yaml dosyasını kopyalayın ve dosya olarak kaydedin. Prometheus İşleci'ndeki Azure İzleyici Çalışma Alanı uzaktan yazma belirtimi hakkında daha fazla bilgi için Prometheus Operatörü belgelerine bakın.

prometheus:
  prometheusSpec:
    remoteWrite:
    - url: "<metrics ingestion endpoint for your Azure Monitor workspace>"
      azureAd:
# AzureAD configuration.
# The Azure Cloud. Options are 'AzurePublic', 'AzureChina', or 'AzureGovernment'.
        cloud: 'AzurePublic'
        managedIdentity:
          clientId: "<clientId of the managed identity>"
        oauth:
          clientId: "<clientId of the Entra app>"
          clientSecret:
            name: remote-write-secret
            key: password
          tenantId: "<Azure subscription tenant Id>"

3. Yukarıdaki yaml dosyasını kullanarak uzaktan yazma yapılandırmanızı güncelleştirmek için helm kullanın.

helm upgrade -f <YAML-FILENAME>.yml prometheus prometheus-community/kube-prometheus-stack --namespace <namespace where Prometheus Operator is deployed>