Mantenha tudo organizado com as coleções
Salve e categorize o conteúdo com base nas suas preferências.
Este documento descreve como conceder a diferentes equipes o acesso a conjuntos de projetos distintos. É possível estabelecer esse tipo de monitoramento multilocatário usando escopos de métricas em combinação com várias instâncias do Grafana e vários sincronizadores de fonte de dados.
É necessário configurar apenas uma instância do Grafana e um sincronizador de fonte de dados
para cada escopo de métricas, independentemente de quantos projetos estão
no escopo de métricas ou de quantas Google Cloud regiões você usa:
As consultas ao Monarch são expandidas automaticamente para todos os projetos em um escopo de métricas, a menos que haja um filtro project_id.
As consultas são executadas em todas as regiões, a menos que um filtro location seja
incluído.
Para ter um monitoramento multilocatário, nenhuma alteração precisa ser feita no lado da ingestão.
O diagrama a seguir ilustra uma configuração de monitoramento de vários locatários:
Para definir e usar uma configuração como aquela no diagrama, defina os escopos de métricas, as instâncias do Grafana e os sincronizadores de fonte de dados da seguinte maneira:
Você quer que a Equipe de desenvolvedores A consiga ler e acessar os projetos 1 e 2. Para configurar esse acesso:
coloque o Projeto 1 e o Projeto 2 no escopo de métricas de scoping_project_A;
Coloque um sincronizador de fonte de dados no projeto 1 e configure-o para que use scoping_project_A. Conceda à conta de serviço do sincronizador as permissões de Leitor do Monitoring para scoping_project_A.
Quando um usuário emite consultas da instância do Grafana associada a esse
sincronizador de fonte de dados, o Monarch expande scoping_project_A
para os projetos monitorados constituintes e retorna resultados para o
Projeto 1 e o Projeto 2 em todas as Google Cloud regiões. Como a instância do Grafana e o sincronizador de fonte de dados residem no projeto 1, somente os usuários com acesso ao projeto 1 podem consultar scoping_project_A.
Você quer que a Equipe de desenvolvimento B consiga ler e acessar os projetos 3 e 4. Para configurar esse acesso:
coloque o Projeto 3 e o Projeto 4 no escopo de métricas de scoping_project_B;
Coloque um sincronizador de fonte de dados no projeto 3 e configure-o para que use scoping_project_B. Conceda à conta de serviço do sincronizador as permissões de Leitor do Monitoring para scoping_project_B.
Quando um usuário emite consultas da instância do Grafana associada a esse
sincronizador de fonte de dados, o Monarch expande scoping_project_B
para os projetos monitorados constituintes e retorna resultados para o
Projeto 3 e o Projeto 4 em todas as Google Cloud regiões. Como a instância do Grafana e o sincronizador de fonte de dados residem no projeto 3, somente os usuários com acesso ao projeto 3 podem consultar scoping_project_B.
Você quer que a Equipe de SRE consiga ler e acessar os projetos 1, 2, 3, 4 e 5. Para configurar esse acesso:
coloque todos os projetos no escopo das métricas de scoping_project_C;
Coloque um sincronizador de fonte de dados no projeto 5 e configure-o para que use scoping_project_C. Conceda à conta de serviço do sincronizador as permissões de Leitor do Monitoring para scoping_project_C.
Quando um usuário emite consultas da instância do Grafana associada a esse
sincronizador de fonte de dados, o Monarch expande scoping_project_C
para os projetos monitorados constituintes e retorna resultados para os projetos
1, 2, 3, 4 e 5 em todas as Google Cloud regiões. Como a instância do Grafana e o sincronizador de fonte de dados residem no projeto 5, somente os usuários com acesso ao projeto 5 podem consultar scoping_project_C.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-09-04 UTC."],[],[],null,["# Multi-tenant monitoring and querying\n\nThis document describes how you can give different teams access to different\nsets of projects. You can establish this kind of multi-tenant monitoring by\nusing [metrics scopes](/stackdriver/docs/managed-prometheus/best-practices/config#metrics-scopes) in combination with\nmultiple instances of Grafana and multiple [data source syncers](/stackdriver/docs/managed-prometheus/query#grafana-oauth).\n\nYou need to set up only one Grafana instance and one data source syncer\nfor each metrics scope, regardless of how many projects are\nin the metrics scope or how many Google Cloud regions you use:\n\n- Queries to Monarch automatically expand to all projects within a\n metrics scope, unless a `project_id` filter is included.\n\n- Queries execute across all regions unless a `location` filter is\n included.\n\nYou don't need to change anything on the ingestion side to achieve\nmulti-tenant monitoring.\n\nThe following diagram illustrates a configuration for multi-tenant monitoring:\n\nTo set up and use a configuration like the one in the diagram, set up\nyour metrics scopes, Grafana instances, and data source syncers\nas follows:\n\n- You want Dev team A to be able to read from and access Projects 1 and 2. To\n set up this access, you do the following:\n\n - Put Project 1 and Project 2 into the metrics scope of\n scoping_project_A.\n\n - Put a data source syncer in Project 1, and configure it\n to use scoping_project_A. Give the syncer's service account\n [Monitoring Viewer](/monitoring/access-control#mon_roles_desc) permissions for scoping_project_A.\n\n When a user issues queries from the Grafana instance associated with this\n data source syncer, Monarch expands scoping_project_A\n into its constituent monitored projects and returns results for both\n Project 1 and Project 2, across all Google Cloud regions. Because\n the Grafana instance and data source syncer live within Project 1, only\n users with access to Project 1 can query scoping_project_A.\n- You want Dev team B to be able to read from and access Projects 3 and 4. To\n set up this access, you do the following:\n\n - Put Project 3 and Project 4 into the metrics scope of\n scoping_project_B.\n\n - Put a data source syncer in Project 3, and configure it\n to use scoping_project_B. Give the syncer's service account\n [Monitoring Viewer](/monitoring/access-control#mon_roles_desc) permissions for scoping_project_B.\n\n When a user issues queries from the Grafana instance associated with this\n data source syncer, Monarch expands scoping_project_B\n into its constituent monitored projects and returns results for both\n Project 3 and Project 4, across all Google Cloud regions. Because\n the Grafana instance and data source syncer live within Project 3, only\n users with access to Project 3 can query scoping_project_B.\n- You want the SRE team to be able to read from and access Projects 1, 2, 3, 4,\n and 5. To set up this access, you do the following:\n\n - Put all the projects into the metrics scope of\n scoping_project_C.\n\n - Put a data source syncer in Project 5, and configure it\n to use scoping_project_C. Give the syncer's service account\n [Monitoring Viewer](/monitoring/access-control#mon_roles_desc) permissions for scoping_project_C.\n\n When a user issues queries from the Grafana instance associated with this\n data source syncer, Monarch expands scoping_project_C\n into its constituent monitored projects and returns results for Projects\n 1, 2, 3, 4, and 5, across all Google Cloud regions. Because\n the Grafana instance and data source syncer live within Project 5, only\n users with access to Project 5 can query scoping_project_C."]]
