Restez organisé à l'aide des collections
Enregistrez et classez les contenus selon vos préférences.
Ce document explique comment autoriser différentes équipes à accéder à différents ensembles de projets. Vous pouvez établir ce type de surveillance mutualisée en utilisant les champs d'application de métriques en combinaison avec plusieurs instances Grafana et de plusieurs synchronisateurs de sources de données.
Vous devez configurer une seule instance Grafana et un synchronisateur de sources de données pour chaque champ d'application des métriques, quel que soit le nombre de projets concernés par le champ d'application ou le nombre de Google Cloud régions que vous utilisez:
Les requêtes adressées à Monarch sont automatiquement étendues à tous les projets dans un champ d'application de métriques, sauf si un filtre project_id est inclus.
Les requêtes s'exécutent dans toutes les régions, sauf si un filtre location est inclus.
Vous n'avez pas besoin de modifier quoi que ce soit du côté de l'ingestion pour effectuer une surveillance mutualisée.
Le diagramme suivant illustre une configuration pour la surveillance mutualisée :
Pour définir et utiliser une configuration comme celle illustrée dans le schéma, définissez les champs d'application des métriques, les instances Grafana et les synchroniseurs de sources de données comme suit :
Vous souhaitez que l'équipe de développement A puisse lire les projets 1 et 2, et y accéder. Pour configurer cet accès, procédez comme suit :
Placez les projets 1 et 2 dans le champ d'application des métriques scoping_project_A.
Placez un synchroniseur de sources de données dans le projet 1 et configurez-le pour utiliser scoping_project_A. Accordez au compte de service du proxy l'autorisation Lecteur Monitoring pour scoping_project_A.
Lorsqu'un utilisateur émet des requêtes à partir de l'instance Grafana associée à ce synchronisateur de sources de données, Monarch développe le projet scoping_project_A dans ses projets surveillés constitutifs et renvoie les résultats du projet 1 et du projet 2 dans toutes les régions Google Cloud . Étant donné que l'instance Grafana et le synchronisateur de sources de données résident dans le projet 1, seuls les utilisateurs ayant accès au projet 1 peuvent interroger scoping_project_A.
Vous souhaitez que l'équipe de développement B puisse lire les projets 3 et 4, et y accéder. Pour configurer cet accès, procédez comme suit :
Placez les projets 3 et 4 dans le champ d'application des métriques scoping_project_B.
Placez un synchroniseur de sources de données dans le projet 3 et configurez-le pour utiliser scoping_project_B. Accordez au compte de service du proxy l'autorisation Lecteur Monitoring pour scoping_project_B.
Lorsqu'un utilisateur émet des requêtes à partir de l'instance Grafana associée à ce synchronisateur de sources de données, Monarch développe le projet scoping_project_B dans ses projets surveillés constitutifs et renvoie les résultats du projet 3 et du projet 4 dans toutes les régions Google Cloud . Étant donné que l'instance Grafana et le synchronisateur de sources de données résident dans le projet 3, seuls les utilisateurs ayant accès au projet 3 peuvent interroger scoping_project_B.
Vous souhaitez que l'équipe SRE puisse lire les projets 1, 2, 3, 4 et 5, et y accéder. Pour configurer cet accès, procédez comme suit :
Placez tous les projets dans le champ d'application des métriques de scoping_project_C.
Placez un synchroniseur de sources de données dans le projet 5 et configurez-le pour utiliser scoping_project_C. Accordez au compte de service du synchronisateur les autorisations Lecteur Monitoring pour scoping_project_C.
Lorsqu'un utilisateur émet des requêtes à partir de l'instance Grafana associée à ce synchronisateur de sources de données, Monarch développe le projet scoping_project_C dans ses projets surveillés constitutifs et renvoie les résultats pour les projets 1, 2, 3, 4 et 5 dans toutes les régions Google Cloud . Étant donné que l'instance Grafana et le synchronisateur de sources de données résident dans le projet 5, seuls les utilisateurs ayant accès au projet 5 peuvent interroger scoping_project_C.
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/09/04 (UTC).
[[["Facile à comprendre","easyToUnderstand","thumb-up"],["J'ai pu résoudre mon problème","solvedMyProblem","thumb-up"],["Autre","otherUp","thumb-up"]],[["Difficile à comprendre","hardToUnderstand","thumb-down"],["Informations ou exemple de code incorrects","incorrectInformationOrSampleCode","thumb-down"],["Il n'y a pas l'information/les exemples dont j'ai besoin","missingTheInformationSamplesINeed","thumb-down"],["Problème de traduction","translationIssue","thumb-down"],["Autre","otherDown","thumb-down"]],["Dernière mise à jour le 2025/09/04 (UTC)."],[],[],null,["# Multi-tenant monitoring and querying\n\nThis document describes how you can give different teams access to different\nsets of projects. You can establish this kind of multi-tenant monitoring by\nusing [metrics scopes](/stackdriver/docs/managed-prometheus/best-practices/config#metrics-scopes) in combination with\nmultiple instances of Grafana and multiple [data source syncers](/stackdriver/docs/managed-prometheus/query#grafana-oauth).\n\nYou need to set up only one Grafana instance and one data source syncer\nfor each metrics scope, regardless of how many projects are\nin the metrics scope or how many Google Cloud regions you use:\n\n- Queries to Monarch automatically expand to all projects within a\n metrics scope, unless a `project_id` filter is included.\n\n- Queries execute across all regions unless a `location` filter is\n included.\n\nYou don't need to change anything on the ingestion side to achieve\nmulti-tenant monitoring.\n\nThe following diagram illustrates a configuration for multi-tenant monitoring:\n\nTo set up and use a configuration like the one in the diagram, set up\nyour metrics scopes, Grafana instances, and data source syncers\nas follows:\n\n- You want Dev team A to be able to read from and access Projects 1 and 2. To\n set up this access, you do the following:\n\n - Put Project 1 and Project 2 into the metrics scope of\n scoping_project_A.\n\n - Put a data source syncer in Project 1, and configure it\n to use scoping_project_A. Give the syncer's service account\n [Monitoring Viewer](/monitoring/access-control#mon_roles_desc) permissions for scoping_project_A.\n\n When a user issues queries from the Grafana instance associated with this\n data source syncer, Monarch expands scoping_project_A\n into its constituent monitored projects and returns results for both\n Project 1 and Project 2, across all Google Cloud regions. Because\n the Grafana instance and data source syncer live within Project 1, only\n users with access to Project 1 can query scoping_project_A.\n- You want Dev team B to be able to read from and access Projects 3 and 4. To\n set up this access, you do the following:\n\n - Put Project 3 and Project 4 into the metrics scope of\n scoping_project_B.\n\n - Put a data source syncer in Project 3, and configure it\n to use scoping_project_B. Give the syncer's service account\n [Monitoring Viewer](/monitoring/access-control#mon_roles_desc) permissions for scoping_project_B.\n\n When a user issues queries from the Grafana instance associated with this\n data source syncer, Monarch expands scoping_project_B\n into its constituent monitored projects and returns results for both\n Project 3 and Project 4, across all Google Cloud regions. Because\n the Grafana instance and data source syncer live within Project 3, only\n users with access to Project 3 can query scoping_project_B.\n- You want the SRE team to be able to read from and access Projects 1, 2, 3, 4,\n and 5. To set up this access, you do the following:\n\n - Put all the projects into the metrics scope of\n scoping_project_C.\n\n - Put a data source syncer in Project 5, and configure it\n to use scoping_project_C. Give the syncer's service account\n [Monitoring Viewer](/monitoring/access-control#mon_roles_desc) permissions for scoping_project_C.\n\n When a user issues queries from the Grafana instance associated with this\n data source syncer, Monarch expands scoping_project_C\n into its constituent monitored projects and returns results for Projects\n 1, 2, 3, 4, and 5, across all Google Cloud regions. Because\n the Grafana instance and data source syncer live within Project 5, only\n users with access to Project 5 can query scoping_project_C."]]
