Mantieni tutto organizzato con le raccolte
Salva e classifica i contenuti in base alle tue preferenze.
Questo documento descrive come assegnare a team diversi l'accesso a diversi gruppi di progetti. Puoi stabilire questo tipo di monitoraggio multi-tenant utilizzando gli ambiti delle metriche in combinazione con più istanze di Grafana e più sincronizzatori delle origini dati.
Devi configurare una sola istanza di Grafana e un solo sincronizzatore delle origini dati per ogni ambito delle metriche, indipendentemente dal numero di progetti nell'ambito delle metriche o dal numero di regioni che utilizzi: Google Cloud
Le query a Monarch vengono espanse automaticamente a tutti i progetti all'interno di un ambito delle metriche, a meno che non sia incluso un filtro project_id.
Le query vengono eseguite in tutte le regioni, a meno che non sia incluso un filtro location.
Per eseguire il monitoraggio multi-tenant non è necessario apportare modifiche al lato di importazione.
Il seguente diagramma illustra una configurazione per il monitoraggio multi-tenant:
Per configurare e utilizzare una configurazione come quella nel diagramma, imposta gli ambiti delle metriche, le istanze di Grafana e i sincronizzatori delle origini dati come segue:
Vuoi che il team di sviluppo A possa leggere e accedere ai progetti 1 e 2. Per configurare questo accesso:
Inserisci il progetto 1 e il progetto 2 nell'ambito delle metriche di
scoping_project_A.
Inserisci un sincronizzatore delle origini dati nel progetto 1 e configuralo per utilizzare scoping_project_A. Concedi all'account di servizio del sincronizzatore le autorizzazioni Visualizzatore monitoraggio per scoping_project_A.
Quando un utente esegue query dall'istanza Grafana associata a questo
syncer delle origini dati, Monarch espande scoping_project_A
nei progetti monitorati costituenti e restituisce risultati sia per il
Progetto 1 sia per il Progetto 2, in tutte le regioni Google Cloud . Poiché
l'istanza Grafana e il sincronizzatore delle origini dati si trovano nel progetto 1, solo
gli utenti con accesso al progetto 1 possono eseguire query su scoping_project_A.
Vuoi che il team di sviluppo B possa leggere e accedere ai progetti 3 e 4. Per configurare questo accesso:
Inserisci il progetto 3 e il progetto 4 nell'ambito delle metriche di
scoping_project_B.
Inserisci un sincronizzatore delle origini dati nel progetto 3 e configuralo per utilizzare scoping_project_B. Concedi all'account di servizio del sincronizzatore le autorizzazioni Visualizzatore monitoraggio per scoping_project_B.
Quando un utente esegue query dall'istanza Grafana associata a questo visualizzatore di dati, Monarch espande scoping_project_B nei progetti monitorati costituenti e restituisce risultati sia per il progetto 3 sia per il progetto 4 in tutte le regioni Google Cloud . Poiché
l'istanza Grafana e il sincronizzatore delle origini dati si trovano nel progetto 3, solo
gli utenti con accesso al progetto 3 possono eseguire query su scoping_project_B.
Vuoi che il team SRE possa leggere e accedere ai progetti 1, 2, 3, 4 e 5. Per configurare questo accesso:
Inserisci tutti i progetti nell'ambito delle metriche di
scoping_project_C.
Inserisci un sincronizzatore delle origini dati nel progetto 5 e configuralo per utilizzare scoping_project_C. Concedi all'account di servizio del sincronizzatore le autorizzazioni Visualizzatore monitoraggio per scoping_project_C.
Quando un utente esegue query dall'istanza Grafana associata a questo visualizzatore di dati, Monarch espande scoping_project_C nei progetti monitorati costituenti e restituisce i risultati per i progetti 1, 2, 3, 4 e 5 in tutte le regioni. Google Cloud Poiché
l'istanza Grafana e il sincronizzatore delle origini dati si trovano all'interno del progetto 5, solo
gli utenti con accesso al progetto 5 possono eseguire query su scoping_project_C.
[[["Facile da capire","easyToUnderstand","thumb-up"],["Il problema è stato risolto","solvedMyProblem","thumb-up"],["Altra","otherUp","thumb-up"]],[["Difficile da capire","hardToUnderstand","thumb-down"],["Informazioni o codice di esempio errati","incorrectInformationOrSampleCode","thumb-down"],["Mancano le informazioni o gli esempi di cui ho bisogno","missingTheInformationSamplesINeed","thumb-down"],["Problema di traduzione","translationIssue","thumb-down"],["Altra","otherDown","thumb-down"]],["Ultimo aggiornamento 2025-09-04 UTC."],[],[],null,["# Multi-tenant monitoring and querying\n\nThis document describes how you can give different teams access to different\nsets of projects. You can establish this kind of multi-tenant monitoring by\nusing [metrics scopes](/stackdriver/docs/managed-prometheus/best-practices/config#metrics-scopes) in combination with\nmultiple instances of Grafana and multiple [data source syncers](/stackdriver/docs/managed-prometheus/query#grafana-oauth).\n\nYou need to set up only one Grafana instance and one data source syncer\nfor each metrics scope, regardless of how many projects are\nin the metrics scope or how many Google Cloud regions you use:\n\n- Queries to Monarch automatically expand to all projects within a\n metrics scope, unless a `project_id` filter is included.\n\n- Queries execute across all regions unless a `location` filter is\n included.\n\nYou don't need to change anything on the ingestion side to achieve\nmulti-tenant monitoring.\n\nThe following diagram illustrates a configuration for multi-tenant monitoring:\n\nTo set up and use a configuration like the one in the diagram, set up\nyour metrics scopes, Grafana instances, and data source syncers\nas follows:\n\n- You want Dev team A to be able to read from and access Projects 1 and 2. To\n set up this access, you do the following:\n\n - Put Project 1 and Project 2 into the metrics scope of\n scoping_project_A.\n\n - Put a data source syncer in Project 1, and configure it\n to use scoping_project_A. Give the syncer's service account\n [Monitoring Viewer](/monitoring/access-control#mon_roles_desc) permissions for scoping_project_A.\n\n When a user issues queries from the Grafana instance associated with this\n data source syncer, Monarch expands scoping_project_A\n into its constituent monitored projects and returns results for both\n Project 1 and Project 2, across all Google Cloud regions. Because\n the Grafana instance and data source syncer live within Project 1, only\n users with access to Project 1 can query scoping_project_A.\n- You want Dev team B to be able to read from and access Projects 3 and 4. To\n set up this access, you do the following:\n\n - Put Project 3 and Project 4 into the metrics scope of\n scoping_project_B.\n\n - Put a data source syncer in Project 3, and configure it\n to use scoping_project_B. Give the syncer's service account\n [Monitoring Viewer](/monitoring/access-control#mon_roles_desc) permissions for scoping_project_B.\n\n When a user issues queries from the Grafana instance associated with this\n data source syncer, Monarch expands scoping_project_B\n into its constituent monitored projects and returns results for both\n Project 3 and Project 4, across all Google Cloud regions. Because\n the Grafana instance and data source syncer live within Project 3, only\n users with access to Project 3 can query scoping_project_B.\n- You want the SRE team to be able to read from and access Projects 1, 2, 3, 4,\n and 5. To set up this access, you do the following:\n\n - Put all the projects into the metrics scope of\n scoping_project_C.\n\n - Put a data source syncer in Project 5, and configure it\n to use scoping_project_C. Give the syncer's service account\n [Monitoring Viewer](/monitoring/access-control#mon_roles_desc) permissions for scoping_project_C.\n\n When a user issues queries from the Grafana instance associated with this\n data source syncer, Monarch expands scoping_project_C\n into its constituent monitored projects and returns results for Projects\n 1, 2, 3, 4, and 5, across all Google Cloud regions. Because\n the Grafana instance and data source syncer live within Project 5, only\n users with access to Project 5 can query scoping_project_C."]]
