Monitoraggio di Microsoft Azure

Per prima cosa registra un'app in Azure. Questa app verrà utilizzata da Checkmk per leggere i dati desiderati da Azure. Troverai l'opzione per farlo nel portale Azure alla voce "(All services > Identity > Identity management > ) App registrations". In alternativa, puoi utilizzare la ricerca del portale e inserire "App registrations". Una volta sulla pagina, devi cliccare su "New registration".

Assegna un nome identificativo a tua scelta. Nell'esempio utilizziamo my-checkmk-app. Questo nome è tuttavia solo a scopo informativo. Il riferimento all'app avviene invece tramite l'identificatore dell'applicazione, che vedrai nel passaggio successivo. Non è necessario modificare nulla nella sezione Supported account types e il campo Redirect URI deve rimanere vuoto. Conferma i tuoi dati cliccando su Register.

Una volta creata l'app, dovresti vedere una panoramica di questa nuova app. Se così non fosse, troverai la nuova app nell'elenco di tutte le App registrations descritto sopra nella scheda All applications. Nei dettagli dell'app troverai ora sia l'Application (client) ID che l'Directory (tenant) ID, che dovrai inserire in seguito in Checkmk.

Successivamente avrai bisogno anche di un segreto client con cui Checkmk possa accedere all'API di Azure. Per generare tale segreto, clicca su "Certificates & secrets" nella panoramica dell'app, poi sulla scheda "Client secrets" e infine su "New client secret".

Si aprirà la finestra di dialogo "Add a client secret". Assegna un nome a tua scelta e seleziona per quanto tempo il segreto dovrà essere valido. Se in seguito attiverai l'opzione "App Registrations" nella regola per il special agent, riceverai un pratico servizio che ti ricorderà quando questo periodo di validità sta per scadere. Conferma la finestra di dialogo cliccando su "Add".

È importante che tu copi immediatamente il contenuto "Value" in questo nuovo segreto, poiché dopo un certo tempo nel portale di Azure verranno visualizzati solo i primi tre caratteri di tali segreti.

Devi concedere all'app ulteriori permessi API se desideri effettuare il monitoraggio dei seguenti servizi con Checkmk:

Inizia ad assegnare i permessi nella panoramica della tua nuova app, che dovresti avere ancora aperta dalla sezione precedente.

Clicca su "API permissions" e poi su "Add a permission." Nella finestra di dialogo che si apre, devi trovare e cliccare su "Microsoft Graph". Seleziona quindi "Application permissions" e inserisci "Directory.Read.All" nel campo di ricerca. Attiva la checkbox corrispondente e clicca su "Add permissions". Per questo permesso è necessario il consenso aggiuntivo di un amministratore del tuo ambiente Azure (Admin consent required). Se non vedi il pulsante "Grant admin consent" sopra l'elenco delle autorizzazioni concesse, devi contattare l'amministratore responsabile.

Per consentire a Checkmk di accedere ai dati di monitoraggio tramite la nuova app, devi assegnare un ruolo all'app a livello di abbonamento. Per farlo, seleziona "All services" nella navigazione principale a sinistra e poi, sotto "General", la voce "Subscriptions". Anche in questo caso, puoi usare la funzione di ricerca nel portale se non riesci a trovare il pulsante giusto.

Se hai più abbonamenti, ora dovrai cliccare sul nome dell'abbonamento che desideri sottoporre a monitoraggio. Verrai quindi reindirizzato a una pagina di panoramica del tuo abbonamento. Prendi nota dell'Subscription ID qui. Dovrai inserirlo in seguito nella regola dell'special agent.

Quindi clicca su Access Control (IAM), poi su Add e infine su Add role assignment:

Ora seleziona il ruolo denominato "Reader" e con "Type" "BuiltInRole". Dato che ci sono in totale oltre 100 ruoli con la parola "Reader" nel nome, è importante prestare attenzione in questa fase. Quindi clicca su "Next" per andare alla scheda "Members".

Clicca qui su + Select members.

Nella finestra di dialogo "Select members", inserisci il nome dell'app che hai creato in precedenza nel campo di ricerca, seleziona questa app e clicca su "Select." Dopo altri due clic su "Review + assign", il Setup nel portale Azure sarà completato.

Anche se in Azure non hai a che fare con un host fisico, crea un host per la tua directory Azure in Checkmk. Puoi definire il nome host a tuo piacimento. Importante: poiché Azure è un servizio e quindi non ha un indirizzo IP o un nome DNS (è l'special agent a occuparsi dell'accesso), devi impostare l'IP address family su No IP.

È meglio salvare con Save & view folder a questo punto, perché ovviamente la scoperta del servizio non può ancora funzionare.

Poiché Azure non può essere interrogato tramite l'agente Checkmk normale, ora devi configurare l'agente speciale Azure. In questa situazione Checkmk non effettua il contatto con l'host di destinazione tramite la porta TCP 6556 come al solito, ma chiama un'utilità che comunica con il sistema di destinazione tramite l'API specifica dell'applicazione di Azure.

Per farlo, in "Setup > Agents > VM, cloud, container > Microsoft Azure" crea una regola le cui condizioni si applicano esclusivamente all'host Azure appena creato. Lì troverai i campi di inserimento per gli ID e il segreto:

Qui puoi anche selezionare i gruppi di risorse o le risorse che desideri monitorare. Se non hai checkato "explicitly specified groups", tutti i gruppi di risorse vengono sottoposti al monitoraggio automatico.

Se ora esegui la scoperta del servizio sull'host Azure, dovrebbe essere rilevato almeno il servizio denominato Azure Agent Info:

Se l'accesso all'API non funziona (a causa di un ID errato, permessi non validi o di un segreto client errato come nell'esempio qui sotto), apparirà un messaggio di errore corrispondente nel testo di stato di Azure Agent Info:

Per chiarezza, il monitoraggio di Azure in Checkmk è stato progettato in modo che ogni gruppo di risorse Azure sia rappresentato da un host logico (per così dire) in Checkmk. Ciò avviene con l’aiuto del meccanismo piggyback. Questo piggyback preleverà i dati dall’host Azure utilizzando special agents e, all’interno di Checkmk, li reindirizzerà a questi host dei gruppi di risorse.

Gli host dei gruppi di risorse non compaiono automaticamente in Checkmk. Inserisci questi host manualmente o, in alternativa, tramite la gestione dinamica degli host. Importante: quando lo fai, i nomi degli host devono corrispondere esattamente ai nomi dei gruppi di risorse — e questo vale anche per le maiuscole e le minuscole! Se non sei sicuro dell'ortografia esatta dei nomi dei gruppi, puoi farlo direttamente dal servizio Azure Agent Info sull'host Azure.

Configura gli host del gruppo di risorse senza un indirizzo IP (analogamente all'host Azure) e seleziona No API integrations, no Checkmk agent come agente e Always use and expect piggyback data come host piggyback.

Se ora esegui la scoperta del servizio su uno di questi host del gruppo di risorse, scoprirai che ci sono servizi aggiuntivi che si riferiscono specificatamente a questo gruppo di risorse:

Quando usi Azure per il monitoraggio delle macchine virtuali che fungono anche da host normali in Checkmk, puoi assegnare i servizi Azure associati a quelle VM direttamente agli host delle VM in Checkmk invece che agli host del gruppo di risorse.

Per farlo, nella regola Azure, sotto l'opzione "Map data relating to VMs", seleziona l'impostazione "Map data to the VM itself". Affinché funzioni, l'host Checkmk della VM nel monitoraggio deve avere esattamente lo stesso nome della VM corrispondente in Azure.

La regola "Microsoft Azure" è preimpostata in modo che Checkmk effettui anche il monitoraggio di tutti i costi sostenuti nel tuo ambiente Azure. Nello specifico, i servizi mostrano i costi sostenuti il giorno precedente. In questo modo puoi determinare rapidamente se ci sono state delle variazioni.

Sono stati creati diversi servizi per avere una panoramica migliore di dove sono stati sostenuti esattamente i costi e per poter impostare soglie specifiche. I costi totali a livello della tua directory Azure vengono visualizzati per l'host Azure che hai creato per primo. Inoltre, vengono creati servizi per ogni host che rappresenta un gruppo di risorse. A entrambi i livelli, Checkmk genera un servizio per i costi per ogni cosiddetto "fornitore di risorse" (ad es. microsoft.compute e microsoft.network). Il servizio Costs Summary mostra quindi la somma totale per il gruppo di risorse o per l'intera directory di Azure.

Puoi utilizzare la regola Azure Usage Details (Costs) per definire soglie individuali per tutti questi servizi.

Se non desideri effettuare il monitoraggio dei costi, devi disattivare l'opzione Usage Details nella regola Microsoft Azure.

Per impostazione predefinita, Checkmk importa tutti i tag dal tuo ambiente Azure e li converte in etichette di host e di servizio. L'assegnazione funziona come previsto. I tag associati a un gruppo di risorse vengono assegnati in Checkmk all'host che rappresenta questo gruppo di risorse e i tag di una VM diventano etichette dell'host per questa VM.

A tutte le etichette create in questo modo viene assegnato il prefisso cmk/azure/. Inoltre, i caratteri e i valori che porterebbero a etichette non valide in Checkmk vengono sostituiti. I valori vuoti (ad esempio il campo Value in Azure) vengono sostituiti con true e i due punti all’interno del nome o del valore vengono sostituiti con un trattino basso.

L'opzione "Filter tags imported as host/service labels" ti permette di controllare l'importazione dei tag da Azure. Se attivi la checkbox qui, puoi impedire completamente l'importazione con Do not import tags. Se selezioni Filter valid tags by key pattern qui, puoi inserire un'espressione regolare nel campo seguente. Checkmk genererà quindi solo etichette dai tag che corrispondono a questa espressione regolare.

Attualmente le query API di cui Checkmk ha bisogno per il monitoraggio di Azure (a differenza di AWS) sono gratuite; tuttavia, esiste un limite al numero di query consentite per periodo di tempo (il "limite di throttling"). Ad oggi, le query API richieste da Checkmk per il monitoraggio sono gratuite con Azure (a differenza di AWS). Tuttavia, esiste un limite al numero di query per periodo di tempo ("limiti di throttling").

A causa della struttura dell’API, Checkmk richiede almeno una o più query per ogni risorsa richiesta. Pertanto, il numero totale di query varia in modo lineare con il numero di risorse monitorate. Se il limite di query viene raggiunto o superato, la query fallisce con un codice HTTP 429 (troppe richieste) e il servizio di monitoraggio per l’host Azure viene contrassegnato come “CRIT”.

Questo limite deriva dal cosiddetto algoritmo "token bucket" di Azure. Tutto inizia con un "credito" di 250 query rimanenti: ogni query ne consuma una. Contemporaneamente, al credito vengono aggiunte 25 query al secondo. L'output del servizio Azure Agent Info ti permette di vedere quante query sono attualmente rimaste.

In particolare, questo significa che:

In questo caso puoi ridurre la frequenza di polling interrogando un numero minore di gruppi di risorse o risorse di polling, oppure riducendo l'intervallo di controllo per l'active check di Check_MK sull'host Azure. Questo è possibile con la regola Normal check interval for service checks.

Per consentirti di reagire in tempo, il servizio Azure Agent Info effettua il monitoraggio del numero di query rimanenti. Per impostazione predefinita, non sono impostate soglie. Puoi impostarle tu stesso nella regola Azure Agent Info.

L'articolo "Scopri come Azure Resource Manager limita le richieste" su Microsoft Learn spiega questo argomento in modo più dettagliato.