Dopo aver disegnato Google Cloud Managed Service per Prometheus, puoi eseguire query sui dati inviati al servizio gestito e visualizzare i risultati in grafici e dashboard.
Questo documento descrive gli ambiti delle metriche, che determinano i dati su cui puoi eseguire query, e come utilizzare Grafana per recuperare e utilizzare i dati raccolti.
Tutte le interfacce di query per Managed Service per Prometheus sono configurate per recuperare i dati da Monarch utilizzando l'API Cloud Monitoring. Se esegui query su Monarch anziché sui dati dei server Prometheus locali, ottieni un monitoraggio globale su larga scala.
Prima di iniziare
Se non hai ancora eseguito il deployment del servizio gestito, configura la raccolta gestita o la raccolta con deployment automatico. Puoi saltare questo passaggio se ti interessa solo eseguire query sulle metriche di Cloud Monitoring utilizzando PromQL.
Configura il tuo ambiente
Per evitare di inserire ripetutamente l'ID progetto o il nome del cluster, esegui la seguente configurazione:
Configura gli strumenti a riga di comando come segue:
Configura gcloud CLI in modo che faccia riferimento all'ID del tuo progetto Google Cloud:
gcloud config set project PROJECT_ID
Configura l'interfaccia a riga di comando
kubectl
in modo da utilizzare il cluster:kubectl config set-cluster CLUSTER_NAME
Per ulteriori informazioni su questi strumenti, consulta quanto segue:
Configura uno spazio dei nomi
Crea lo spazio dei nomi Kubernetes NAMESPACE_NAME
per le risorse che crei
nell'ambito dell'applicazione di esempio:
kubectl create ns NAMESPACE_NAME
Verifica le credenziali dell'account di servizio
Puoi saltare questa sezione se nel tuo cluster Kubernetes è attivata la federazione delle identità per i carichi di lavoro per GKE.
Quando viene eseguito su GKE, Managed Service per Prometheus recupera automaticamente le credenziali dall'ambiente in base all'account di servizio predefinito di Compute Engine. L'account di servizio predefinito ha le autorizzazioni necessarie, monitoring.metricWriter
e monitoring.viewer
, per impostazione predefinita. Se non utilizzi la federazione delle identità di lavoro per GKE e hai precedentemente
rimosso uno di questi ruoli dall'account di servizio del nodo predefinito, dovrai
aggiungere di nuovo le autorizzazioni mancanti prima di continuare.
Se non esegui l'operazione su GKE, consulta Fornire le credenziali in modo esplicito.
Configura un account di servizio per Workload Identity Federation for GKE
Puoi saltare questa sezione se nel tuo cluster Kubernetes non è attivata la federazione delle identità per i carichi di lavoro per GKE.
Managed Service per Prometheus acquisisce i dati delle metriche utilizzando l'API Cloud Monitoring. Se il tuo cluster utilizza la federazione delle identità per i carichi di lavoro per GKE, devi concedere all'account di servizio Kubernetes l'autorizzazione all'API Monitoring. Questa sezione descrive quanto segue:
- Crea un account di servizio Google Cloud dedicato
gmp-test-sa
. - Associa l'account di servizio Google Cloud all'account di servizio Kubernetes predefinito in uno spazio dei nomi di test,
NAMESPACE_NAME
. - Concedi l'autorizzazione necessaria all'account di servizio Google Cloud.
Crea e associa l'account di servizio
Questo passaggio viene visualizzato in diversi punti della documentazione di Managed Service per Prometheus. Se hai già eseguito questo passaggio nell'ambito di un'attività precedente, non devi ripeterlo. Vai a Autorizzare l'account di servizio.
La seguente sequenza di comandi crea l'account di servizio gmp-test-sa
e lo associa all'account di servizio Kubernetes predefinito nello
spazio dei nomi NAMESPACE_NAME
:
gcloud config set project PROJECT_ID \ && gcloud iam service-accounts create gmp-test-sa \ && gcloud iam service-accounts add-iam-policy-binding \ --role roles/iam.workloadIdentityUser \ --member "serviceAccount:PROJECT_ID.svc.id.goog[NAMESPACE_NAME/default]" \ gmp-test-sa@PROJECT_ID.iam.gserviceaccount.com \ && kubectl annotate serviceaccount \ --namespace NAMESPACE_NAME \ default \ iam.gke.io/gcp-service-account=gmp-test-sa@PROJECT_ID.iam.gserviceaccount.com
Se utilizzi uno spazio dei nomi o un account di servizio GKE diverso, aggiusta i comandi di conseguenza.
Autorizza l'account di servizio
I gruppi di autorizzazioni correlate vengono raccolti in ruoli e li concedi a un entità, in questo esempio l'account di servizio Google Cloud. Per ulteriori informazioni sui ruoli di monitoraggio, consulta Controllo dell'accesso.
Il seguente comando concede all'account di servizio Google Cloud gmp-test-sa
i ruoli dell'API Monitoring di cui ha bisogno per leggere i dati delle metriche.
Se hai già concesso all'account di servizio Google Cloud un ruolo specifico nell'ambito di un'attività precedente, non devi ripetere l'operazione.
Per autorizzare il tuo account di servizio a leggere da un ambito metrico di più progetti, segui queste istruzioni e poi consulta Modificare il progetto sottoposto a query.gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:gmp-test-sa@PROJECT_ID.iam.gserviceaccount.com \ --role=roles/monitoring.viewer \ && \ gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:gmp-test-sa@PROJECT_ID.iam.gserviceaccount.com \ --role=roles/iam.serviceAccountTokenCreator
Eseguire il debug della configurazione di Workload Identity Federation for GKE
Se hai difficoltà a far funzionare Workload Identity Federation per GKE, consulta la documentazione per la verifica della configurazione di Workload Identity Federation per GKE e la guida alla risoluzione dei problemi di Workload Identity Federation per GKE.
Poiché gli errori ortografici e i copia e incolla parziali sono le fonti di errori più comuni durante la configurazione della federazione delle identità per i carichi di lavoro per GKE, ti consigliamo vivamente di utilizzare le variabili modificabili e le icone di copia e incolla cliccabili incorporate negli esempi di codice in queste istruzioni.
Workload Identity Federation for GKE negli ambienti di produzione
L'esempio descritto in questo documento lega l'account di servizio Google Cloud all'account di servizio Kubernetes predefinito e concede all'account di servizio Google Cloud tutte le autorizzazioni necessarie per utilizzare l'API Monitoring.
In un ambiente di produzione, ti consigliamo di utilizzare un approccio più granulare, con un account di servizio per ogni componente, ciascuno con autorizzazioni minime. Per ulteriori informazioni sulla configurazione degli account di servizio per la gestione delle identità dei carichi di lavoro, consulta Utilizzare la federazione delle identità per i carichi di lavoro per GKE.
Ambiti di query e metriche
I dati su cui puoi eseguire query sono determinati dall'ambito delle metriche del costrutto Cloud Monitoring, indipendentemente dal metodo utilizzato per eseguire query sui dati. Ad esempio, se utilizzi Grafana per eseguire query sui dati di Managed Service per Prometheus, ogni ambito delle metriche deve essere configurato come origine dati separata.
Un ambito delle metriche di monitoraggio è un costrutto di sola lettura che consente di eseguire query sui dati delle metriche appartenenti a più progetti Google Cloud. Ogni ambito delle metriche è ospitato da un progetto Google Cloud designato, chiamato progetto di definizione.
Per impostazione predefinita, un progetto è il progetto di definizione dell'ambito per il proprio ambito delle metriche, che contiene le metriche e la configurazione per quel progetto. Un progetto di definizione dell'ambito può avere più di un progetto monitorato nel suo ambito delle metriche e le metriche e le configurazioni di tutti i progetti monitorati nell'ambito delle metriche sono visibili al progetto di definizione dell'ambito. Un progetto monitorato può anche appartenere a più ambiti di metriche.
Quando esegui query sulle metriche in un progetto di definizione dell'ambito e questo progetto ospita un ambito delle metriche multi-project, puoi recuperare i dati da più progetti. Se l'ambito delle metriche contiene tutti i progetti, le query e le regole vengono valutate a livello globale.
Per ulteriori informazioni sull'ambito dei progetti e sull'ambito delle metriche, consulta Ambiti delle metriche. Per informazioni sulla configurazione dell'ambito delle metriche per più progetti, consulta Visualizzare le metriche per più progetti.
Dati di Managed Service per Prometheus in Cloud Monitoring
Il modo più semplice per verificare che i dati di Prometheus vengano esportati è utilizzare la pagina Metrics Explorer di Cloud Monitoring nella console Google Cloud, che supporta PromQL. Per le istruzioni, consulta Eseguire query utilizzando PromQL in Cloud Monitoring.
Puoi anche importare le dashboard Grafana in Cloud Monitoring. In questo modo, potrai continuare a utilizzare le dashboard Grafana personali o create dalla community senza dover configurare o eseguire il deployment di un'istanza Grafana.
Grafana
Managed Service per Prometheus utilizza l'origine dati Prometheus integrata per Grafana, il che significa che puoi continuare a utilizzare qualsiasi dashboard Grafana personale o creata dalla community senza alcuna modifica.
Esegui il deployment di Grafana, se necessario
Se non hai un deployment di Grafana in esecuzione nel tuo cluster, puoi creare un deployment di test temporaneo per eseguire esperimenti.
Per creare un deployment temporaneo di Grafana, applica il manifest grafana.yaml
di Managed Service per Prometheus al tuo cluster e inoltra la porta del servizio grafana
alla tua macchina locale. A causa delle limitazioni CORS, non puoi accedere a un deployment di Grafana utilizzando Cloud Shell.
Applica il manifest
grafana.yaml
:kubectl -n NAMESPACE_NAME apply -f https://raw.githubusercontent.com/GoogleCloudPlatform/prometheus-engine/v0.13.0/examples/grafana.yaml
Inoltra la porta del servizio
grafana
alla tua macchina locale. Questo esempio inoltra il servizio alla porta 3000:kubectl -n NAMESPACE_NAME port-forward svc/grafana 3000
Questo comando non restituisce alcun valore e, durante l'esecuzione, registra gli accessi all'URL.
Puoi accedere a Grafana nel browser all'URL
http://localhost:3000
con il nome utente:passwordadmin:admin
.
Aggiungi una nuova origine dati Prometheus a Grafana nel seguente modo:
Vai al tuo deployment di Grafana, ad esempio visitando l'URL
http://localhost:3000
per raggiungere la pagina di benvenuto di Grafana.Seleziona Connessioni dal menu principale di Grafana, quindi Origini dati.
Seleziona Aggiungi origine dati e Prometheus come database delle serie temporali.
Assegna un nome all'origine dati, imposta il campo
URL
suhttp://localhost:9090
e poi seleziona Salva e testa. Puoi ignorare eventuali errori che indicano che l'origine dati non è configurata correttamente.Copia l'URL del servizio locale per il tuo deployment, che sarà simile al seguente:
http://grafana.NAMESPACE_NAME.svc:3000
Configurare e autenticare l'origine dati Grafana
Tutte le API Google Cloud richiedono l'autenticazione tramite OAuth2. Tuttavia, Grafana non supporta l'autenticazione OAuth2 per gli account di servizio utilizzati con le origini dati Prometheus. Per utilizzare Grafana con Managed Service per Prometheus, utilizza il sincronizzatore delle origini dati per generare le credenziali OAuth2 per il tuo account di servizio e sincronizzarle con Grafana tramite l'API Origine dati Grafana.
Devi utilizzare il sincronizzatore delle origini dati per configurare e autorizzare Grafana a eseguire query sui dati a livello globale. Se non segui questi passaggi, Grafana eseguirà solo query sui dati nel server Prometheus locale.
Lo strumento di sincronizzazione delle origini dati è uno strumento dell'interfaccia a riga di comando che utilizza un job cron per sincronizzare da remoto i valori di configurazione con una determinata origine dati Grafana Prometheus. In questo modo, l'origine dati Grafana avrà configurato correttamente quanto segue:
- Autenticazione, eseguita aggiornando periodicamente un token di accesso OAuth2
- L'API Cloud Monitoring impostata come URL del server Prometheus
- Il metodo HTTP impostato su GET
- Il tipo e la versione di Prometheus impostati su un valore minimo di 2.40.x
- I valori di timeout HTTP e query impostati su 2 minuti
Il sincronizzatore delle origini dati utilizza un account di servizio Google Cloud per generare periodicamente un token di accesso all'API Google Cloud con le autorizzazioni IAM necessarie per eseguire query sui dati di Cloud Monitoring. Poiché i token di accesso all'API Google Cloud hanno una durata di un'ora, il sincronizzatore delle origini dati viene eseguito ogni 30 minuti per garantire una connessione autenticata ininterrotta tra Grafana e l'API Cloud Monitoring.
Puoi scegliere di eseguire il sincronizzatore delle origini dati utilizzando un CronJob Kubernetes o Cloud Run e Cloud Scheduler per un'esperienza completamente serverless. Se esegui il deployment di Grafana localmente, ad esempio con Grafana open source o Grafana Enterprise, ti consigliamo di eseguire il sincronizzatore dell'origine dati nello stesso cluster in cui è in esecuzione Grafana. Se utilizzi Grafana Cloud, ti consigliamo di scegliere l'opzione completamente serverless.
Utilizzare Serverless
Per eseguire il deployment ed eseguire un sincronizzatore delle origini dati serverless utilizzando Cloud Run e Cloud Scheduler, segui questi passaggi:
Scegli un progetto in cui eseguire il deployment del sincronizzatore delle origini dati. Ti consigliamo di scegliere il progetto di definizione dell'ambito di un ambito delle metriche multi-progetto. Il sincronizzatore delle origini dati utilizza il progetto Google Cloud configurato come progetto di ambito.
Successivamente, configura e autorizza un account di servizio per il sincronizzatore delle origini dati. La seguente sequenza di comandi crea un account di servizio e gli assegna diversi ruoli IAM. I primi due ruoli consentono all'account di servizio di leggere dall'API Cloud Monitoring e generare token dell'account di servizio. I due ultimi ruoli consentono all'account di servizio di leggere il token dell'account di servizio Grafana da Secret Manager e di richiamare Cloud Run:
gcloud config set project PROJECT_ID \ && gcloud iam service-accounts create gmp-ds-syncer-sa \ && gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:gmp-ds-syncer-sa@PROJECT_ID.iam.gserviceaccount.com \ --role=roles/monitoring.viewer \ && \ gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:gmp-ds-syncer-sa@PROJECT_ID.iam.gserviceaccount.com \ --role=roles/iam.serviceAccountTokenCreator \ && \ gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:gmp-ds-syncer-sa@PROJECT_ID.iam.gserviceaccount.com \ --role=roles/secretmanager.secretAccessor && \ gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:gmp-ds-syncer-sa@PROJECT_ID.iam.gserviceaccount.com \ --role=roles/run.invoker
Determina l'URL della tua istanza Grafana, ad esempio
https://yourcompanyname.grafana.net
per un deployment di Grafana Cloud. L'istanza Grafana deve essere accessibile da Cloud Run, il che significa che deve essere accessibile dalla rete internet più ampia.Se l'istanza Grafana non è accessibile dall'intera rete di internet, consigliamo di eseguire il deployment del sincronizzatore delle origini dati su Kubernetes.
Scegli l'origine dati Prometheus di Grafana da utilizzare per Managed Service per Prometheus, che può essere una nuova origine dati Prometheus o una esistente, quindi individua e annota l'UID dell'origine dati. L'UID dell'origine dati si trova nell'ultima parte dell'URL quando esplori o configuri un'origine dati, ad esempio
https://yourcompanyname.grafana.net/connections/datasources/edit/GRAFANA_DATASOURCE_UID
. Non copiare l'intero URL dell'origine dati. Copia solo l'identificatore univoco nell'URL.Configura un account di servizio Grafana creando l'account di servizio e generando un token da utilizzare:
Nella barra laterale di navigazione di Grafana, fai clic su Amministrazione > Utenti e accesso > Account di servizio.
Crea l'account di servizio in Grafana facendo clic su Aggiungi account di servizio, assegnandogli un nome e concedendogli il ruolo "Origini dati > Scrittore". Assicurati di fare clic sul pulsante Applica per assegnare il ruolo. Nelle versioni precedenti di Grafana, puoi utilizzare il ruolo "Amministratore".
Fai clic su Aggiungi token account di servizio.
Imposta la scadenza del token su "Nessuna scadenza" e fai clic su Genera token, quindi copia il token generato negli appunti per utilizzarlo come GRAFANA_SERVICE_ACCOUNT_TOKEN nel passaggio successivo:
Imposta le seguenti variabili di documentazione utilizzando i risultati dei passaggi precedenti. Non è necessario incollare questo codice in un terminale:
# These values are required. REGION # The Google Cloud region where you want to run your Cloud Run job, such as us-central1. PROJECT_ID # The Project ID from Step 1. GRAFANA_INSTANCE_URL # The Grafana instance URL from step 2. This is a URL. Include "http://" or "https://". GRAFANA_DATASOURCE_UID # The Grafana data source UID from step 3. This is not a URL. GRAFANA_SERVICE_ACCOUNT_TOKEN # The Grafana service account token from step 4.
Crea un secret in Secret Manager:
gcloud secrets create datasource-syncer --replication-policy="automatic" && \ echo -n GRAFANA_SERVICE_ACCOUNT_TOKEN | gcloud secrets versions add datasource-syncer --data-file=-
Crea il seguente file YAML e assegnagli il nome
cloud-run-datasource-syncer.yaml
:apiVersion: run.googleapis.com/v1 kind: Job metadata: name: datasource-syncer-job spec: template: spec: taskCount: 1 template: spec: containers: - name: datasource-syncer image: gke.gcr.io/prometheus-engine/datasource-syncer:v0.14.0-gke.0 args: - "--datasource-uids=GRAFANA_DATASOURCE_UID" - "--grafana-api-endpoint=GRAFANA_INSTANCE_URL" - "--project-id=PROJECT_ID" env: - name: GRAFANA_SERVICE_ACCOUNT_TOKEN valueFrom: secretKeyRef: key: latest name: datasource-syncer serviceAccountName: gmp-ds-syncer-sa@PROJECT_ID.iam.gserviceaccount.com
Poi esegui il comando seguente per creare un job Cloud Run utilizzando il file YAML:
gcloud run jobs replace cloud-run-datasource-syncer.yaml --region REGION
Crea una pianificazione in Cloud Scheduler per eseguire il job Cloud Run ogni 10 minuti:
gcloud scheduler jobs create http datasource-syncer \ --location REGION \ --schedule="*/10 * * * *" \ --uri="https://REGION-run.googleapis.com/apis/run.googleapis.com/v1/namespaces/PROJECT_ID/jobs/datasource-syncer-job:run" \ --http-method POST \ --oauth-service-account-email=gmp-ds-syncer-sa@PROJECT_ID.iam.gserviceaccount.com
Quindi, forza l'esecuzione del programma appena creato:
gcloud scheduler jobs run datasource-syncer --location REGION
L'aggiornamento dell'origine dati può richiedere fino a 15 secondi.
Vai all'origine dati Grafana appena configurata e verifica che il valore URL del server Prometheus inizi con
https://monitoring.googleapis.com
. Potresti dover aggiornare la pagina. Una volta verificata, vai in fondo alla pagina, selezionate Salva e testa e assicurati di vedere un segno di spunta verde che indica che la sorgente dati è configurata correttamente. Devi selezionare Salva e testa almeno una volta per assicurarti che il completamento automatico delle etichette in Grafana funzioni.
Utilizzare Kubernetes
Per eseguire il deployment e l'esecuzione del sincronizzatore delle origini dati in un cluster Kubernetes:
Scegli un progetto, un cluster e uno spazio dei nomi in cui eseguire il deployment del sincronizzatore delle origini dati. Ti consigliamo di eseguire il deployment del sincronizzatore delle origini dati in un cluster appartenente al progetto di definizione dell'ambito di un ambito delle metriche multi-project. Il sincronizzatore delle origini dati utilizza il progetto Google Cloud configurato come progetto di ambito.
Successivamente, assicurati di configurare e autorizzare correttamente il sincronizzatore delle origini dati:
- Se utilizzi la federazione delle identità per i carichi di lavoro per GKE, segui le istruzioni per creare e autorizzare un account di servizio. Assicurati di collegarlo allo spazio dei nomi Kubernetes in cui vuoi eseguire il sincronizzatore delle origini dati.
- Se non utilizzi la federazione delle identità per i carichi di lavoro per GKE, verifica di non aver modificato il service account Compute Engine predefinito.
- Se non esegui GKE, consulta Eseguire il sincronizzatore delle origini dati al di fuori di GKE.
Poi, determina se devi autorizzare ulteriormente il sincronizzatore delle origini dati per le query su più progetti:
- Se il progetto locale è il progetto di definizione dell'ambito e hai seguito le istruzioni per verificare o configurare un account servizio per il progetto locale, le query multi-project dovrebbero funzionare senza ulteriore configurazione.
- Se il progetto locale non è il progetto di definizione dell'ambito, devi autorizzare il sincronizzatore delle origini dati a eseguire query sul progetto di definizione dell'ambito. Per istruzioni, consulta Autorizzare il sincronizzatore delle origini dati per ottenere il monitoraggio multi-progetto.
Determina l'URL dell'istanza Grafana, ad esempio
https://yourcompanyname.grafana.net
per un deployment di Grafana Cloud ohttp://grafana.NAMESPACE_NAME.svc:3000
per un'istanza locale configurata utilizzando il file YAML del deployment di test.Se esegui il deployment di Grafana localmente e il tuo cluster è configurato per proteggere tutto il traffico all'interno del cluster utilizzando TLS, devi utilizzare
https://
nell'URL e autenticarti utilizzando una delle opzioni di autenticazione TLS supportate.Scegli l'origine dati Prometheus di Grafana da utilizzare per Managed Service per Prometheus, che può essere una nuova origine dati Prometheus o una esistente, quindi individua e annota l'UID dell'origine dati. L'UID dell'origine dati si trova nell'ultima parte dell'URL quando esplori o configuri un'origine dati, ad esempio
https://yourcompanyname.grafana.net/connections/datasources/edit/GRAFANA_DATASOURCE_UID
. Non copiare l'intero URL dell'origine dati. Copia solo l'identificatore univoco nell'URL.Configura un account di servizio Grafana creando l'account di servizio e generando un token da utilizzare:
Nella barra laterale di navigazione di Grafana, fai clic su Amministrazione > Utenti e accesso > Account di servizio.
Crea l'account di servizio in Grafana facendo clic su Aggiungi account di servizio, assegnandogli un nome e concedendogli il ruolo "Origini dati > Scrittore". Nelle versioni precedenti di Grafana, puoi utilizzare il ruolo "Amministratore".
Fai clic su Aggiungi token account di servizio.
Imposta la scadenza del token su "Nessuna scadenza" e fai clic su Genera token, quindi copia il token generato negli appunti per utilizzarlo come GRAFANA_SERVICE_ACCOUNT_TOKEN nel passaggio successivo:
Configura le seguenti variabili di ambiente utilizzando i risultati dei passaggi precedenti:
# These values are required. PROJECT_ID=PROJECT_ID # The Project ID from Step 1. GRAFANA_API_ENDPOINT=GRAFANA_INSTANCE_URL # The Grafana instance URL from step 2. This is a URL. Include "http://" or "https://". DATASOURCE_UIDS=GRAFANA_DATASOURCE_UID # The Grafana data source UID from step 3. This is not a URL. GRAFANA_API_TOKEN=GRAFANA_SERVICE_ACCOUNT_TOKEN # The Grafana service account token from step 4.
Esegui il comando seguente per creare un CronJob che aggiorna l'origine dati all'inizializzazione e poi ogni 30 minuti. Se utilizzi la federazione delle identità di lavoro per GKE, il valore di NAMESPACE_NAME deve essere lo stesso spazio dei nomi associato in precedenza all'account di servizio.
curl https://raw.githubusercontent.com/GoogleCloudPlatform/prometheus-engine/0ca68f91fedb8ab9fc5bc6871c3b100dd602e32b/cmd/datasource-syncer/datasource-syncer.yaml \ | sed 's|$DATASOURCE_UIDS|'"$DATASOURCE_UIDS"'|; s|$GRAFANA_API_ENDPOINT|'"$GRAFANA_API_ENDPOINT"'|; s|$GRAFANA_API_TOKEN|'"$GRAFANA_API_TOKEN"'|; s|$PROJECT_ID|'"$PROJECT_ID"'|;' \ | kubectl -n NAMESPACE_NAME apply -f -
Vai all'origine dati Grafana appena configurata e verifica che il valore URL del server Prometheus inizi con
https://monitoring.googleapis.com
. Potresti dover aggiornare la pagina. Al termine della verifica, vai in fondo alla pagina e seleziona Salva e testa. Devi selezionare questo pulsante almeno una volta per verificare che il completamento automatico delle etichette in Grafana funzioni.
Esegui query utilizzando Grafana
Ora puoi creare dashboard di Grafana ed eseguire query utilizzando l'origine dati configurata. Lo screenshot seguente mostra un grafico Grafana che mostra la metrica up
:
Per informazioni su come eseguire query sulle metriche di sistema di Google Cloud utilizzando PromQL, consulta PromQL per le metriche di Cloud Monitoring.
Eseguire il sincronizzatore delle origini dati al di fuori di GKE
Puoi saltare questa sezione se esegui il sincronizzatore delle origini dati in un cluster Google Kubernetes Engine o se utilizzi l'opzione serverless. Se hai problemi di autenticazione su GKE, consulta Verificare le credenziali dell'account di servizio.
Quando viene eseguito su GKE, il sincronizzatore delle origini dati recupera automaticamente le credenziali dall'ambiente in base all'account di servizio del nodo o alla configurazione di Workload Identity Federation per GKE.
Nei cluster Kubernetes non GKE, le credenziali devono essere fornite esplicitamente al sincronizzatore delle origini dati utilizzando la variabile di ambiente GOOGLE_APPLICATION_CREDENTIALS
.
Imposta il contesto sul progetto di destinazione:
gcloud config set project PROJECT_ID
Crea un account di servizio:
gcloud iam service-accounts create gmp-test-sa
Questo passaggio crea l'account di servizio che potresti aver già creato nelle istruzioni di Workload Identity Federation per GKE.
Concedi le autorizzazioni richieste all'account di servizio:
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:gmp-test-sa@PROJECT_ID.iam.gserviceaccount.com \ --role=roles/monitoring.viewer \ && \ gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:gmp-test-sa@PROJECT_ID.iam.gserviceaccount.com \ --role=roles/iam.serviceAccountTokenCreator
Crea e scarica una chiave per l'account di servizio:
gcloud iam service-accounts keys create gmp-test-sa-key.json \ --iam-account=gmp-test-sa@PROJECT_ID.iam.gserviceaccount.com
Imposta il percorso del file della chiave utilizzando la variabile di ambiente
GOOGLE_APPLICATION_CREDENTIALS
.
Autorizza il sincronizzatore delle origini dati a ricevere il monitoraggio multi-progetto
Managed Service per Prometheus supporta il monitoraggio di più progetti utilizzando ambiti delle metriche.
Per chi utilizza l'opzione serverless, puoi eseguire query su più progetti se il progetto scelto è il progetto di definizione dell'ambito di un ambito delle metriche multi-project.
Per chi esegue il deployment del sincronizzatore delle origini dati su Kubernetes, se il progetto locale è il progetto di definizione dell'ambito e hai seguito le istruzioni per verificare o configurare un account servizio per il progetto locale, le query multi-project dovrebbero funzionare senza ulteriore configurazione.
Se il progetto locale non è il progetto di ambito, devi autorizzare
l'account di servizio di calcolo predefinito del progetto locale o
l'account di servizio Workload Identity Federation per GKE per avere accessomonitoring.viewer
al progetto di ambito. Quindi, passa l'ID del progetto di ambito come valore della variabile di ambiente PROJECT_ID.
Se utilizzi l'account di servizio default
Compute Engine,
puoi eseguire una delle seguenti operazioni:
Esegui il deployment del sincronizzatore delle origini dati in un cluster che appartiene al progetto di ambito.
Abilita la federazione delle identità per i carichi di lavoro per GKE per il tuo cluster e segui i passaggi di configurazione.
Fornisci una chiave dell'account di servizio esplicita.
Per concedere a un account di servizio le autorizzazioni necessarie per accedere a un altro progetto Google Cloud, svolgi i seguenti passaggi:
Concedi all'account di servizio l'autorizzazione di lettura dal progetto di destinazione su cui vuoi eseguire una query:
gcloud projects add-iam-policy-binding SCOPING_PROJECT_ID \ --member=serviceAccount:gmp-test-sa@PROJECT_ID.iam.gserviceaccount.com \ --role=roles/monitoring.viewer
Quando configuri il sincronizzatore delle origini dati, passa l'ID del progetto di ambito come valore della variabile di ambiente
PROJECT_ID
.
Controlla il CronJob Kubernetes
Se esegui il deployment del sincronizzatore delle origini dati su Kubernetes, puoi ispezionare il CronJob e assicurarti che tutte le variabili siano impostate correttamente eseguendo il seguente comando:
kubectl describe cronjob datasource-syncer
Per visualizzare i log del job che configura inizialmente Grafana, esegui il seguente
comando immediatamente dopo aver applicato il file datasource-syncer.yaml
:
kubectl logs job.batch/datasource-syncer-init
Smontaggio
Per disattivare il cronjob di sincronizzazione dell'origine dati su Kubernetes, esegui il seguente comando:
kubectl delete -f https://raw.githubusercontent.com/GoogleCloudPlatform/prometheus-engine/main/cmd/datasource-syncer/datasource-syncer.yaml
La disattivazione del sincronizzatore delle origini dati interrompe l'aggiornamento di Grafana collegato con nuove credenziali di autenticazione e, di conseguenza, le query su Managed Service per Prometheus non funzionano più.
Compatibilità con le API
I seguenti endpoint dell'API HTTP Prometheus sono supportati da Managed Service per Prometheus nell'URL con prefisso https://monitoring.googleapis.com/v1/projects/PROJECT_ID/location/global/prometheus/api/v1/
.
Per la documentazione completa, consulta la documentazione di riferimento dell'API Cloud Monitoring. Gli endpoint HTTP di Prometheus non sono disponibili nelle librerie client specifiche per i vari linguaggi di Cloud Monitoring.
Per informazioni sulla compatibilità di PromQL, consulta il supporto di PromQL.
I seguenti endpoint sono completamente supportati:
/api/v1/query
/api/v1/query_range
/api/v1/metadata
/api/v1/labels
/api/v1/query_exemplars
L'endpoint
/api/v1/label/<label_name>/values
funziona solo se l'etichetta__name__
viene fornita utilizzandola come valore<label_name>
o tramite una corrispondenza esatta utilizzando un selettore di serie. Ad esempio, le seguenti chiamate sono completamente supportate:/api/v1/label/__name__/values
/api/v1/label/__name__/values?match[]={__name__=~".*metricname.*"}
/api/v1/label/labelname/values?match[]={__name__="metricname"}
Questa limitazione fa sì che le query sulle variabili
label_values($label)
in Grafana non vadano a buon fine. In alternativa, puoi utilizzarelabel_values($metric, $label)
. Questo tipo di query è consigliato perché evita di recuperare i valori per le etichette delle metriche che non sono pertinenti alla dashboard specificata.L'endpoint
/api/v1/series
è supportato per le richiesteGET
, ma non per le richiestePOST
. Quando utilizzi lo strumento di sincronizzazione delle origini dati o il proxy frontend, questa limitazione viene gestita per te. Puoi anche configurare le origini dati Prometheus in Grafana in modo da emettere solo richiesteGET
. Il parametromatch[]
non supporta la corrispondenza con espressioni regolari sull'etichetta__name__
.
Passaggi successivi
- Utilizza gli avvisi PromQL in Cloud Monitoring.
- Configura la valutazione delle regole gestite.
- Configura gli esportatori di uso comune.