En este documento, se describe cómo configurar los permisos de las métricas de tus proyectos de Google Cloud a fin de usarlos con Google Cloud Managed Service para Prometheus.
La implementación ideal de Managed Service para Prometheus es diferente de la implementación típica de Prometheus por necesidad. Prometheus tiene un gran alcance para su propia instancia, que suele tener un alcance de clúster, ya que las reglas y consultas se ejecutan en el servidor de Prometheus que recopila los datos. Debido a que Managed Service para Prometheus envía datos al backend global, Monarch, las consultas deben configurarse para ejecutarse en Monarch, no en el clúster local. Si usas la recopilación administrada, el mismo requisito se aplica a las reglas.
Los datos que consultas con Managed Services para Prometheus se determinan mediante el permiso de las métricas de construcción de Cloud Monitoring, independientemente de cómo consultes los datos.
Alcances de métricas
El alcance de las métricas de Monitoring es una construcción de solo lectura que te permite consultar datos de métricas que pertenecen a varios proyectos de Google Cloud. Cada permiso de métricas está alojado en un proyecto de Google Cloud designado, llamado proyecto de permisos.
De forma predeterminada, un proyecto es el proyecto de permisos para su propio permiso de métricas, y el permiso de métricas contiene las métricas y la configuración de ese proyecto. Un proyecto de permisos puede tener más de un proyecto supervisado en su permiso, y las métricas y configuraciones de todos los proyectos supervisados en el alcance de las métricas son visibles para el proyecto de permisos. Un proyecto supervisado también puede pertenecer a más de un permiso de métricas.
Cuando consultas las métricas de un proyecto de permisos y si ese proyecto aloja un permiso de métricas de varios proyectos, puedes recuperar datos de varios proyectos. Si tu permiso de métricas contiene todos tus proyectos, tus consultas y reglas se evalúan a nivel global.
Para obtener más información sobre los proyectos de permisos y los permisos de métricas, consulta Permisos de las métricas. Si deseas obtener información para configurar un permiso de métricas de varios proyectos, consulta Visualiza métricas de varios proyectos.
Para minimizar la complejidad de tu modelo de permisos, usa la menor cantidad posible de permisos de métricas. Si no consideras que tus datos de métricas sean sensibles y es aceptable que todos los usuarios puedan acceder a todas las métricas, usa un solo permiso de métricas que contenga todos tus proyectos.
Agrupar proyectos para realizar consultas
En las otras situaciones recomendadas, se usan las siguientes opciones de configuración de permisos de métricas:
| Permiso A | Permiso B | Permiso C | |
|---|---|---|---|
| Proyecto de permisos | scoping-project-A | scoping-project-B | scoping-project-C |
| Proyectos supervisados | Permiso 1 Permiso 2 |
Permiso 3 Permiso 4 |
Proyecto 1 Proyecto 2 Proyecto 3 Proyecto 4 Proyecto 5 |
| Grupo con permisos de IAM (ejemplo) |
Equipo de desarrollo A | Equipo de desarrollo B | Equipo de SRE |