Este documento descreve como conceder a diferentes equipes o acesso a conjuntos de projetos distintos. É possível estabelecer esse tipo de monitoramento multilocatário usando escopos de métricas em combinação com várias instâncias do Grafana e vários sincronizadores de fonte de dados.
É necessário configurar apenas uma instância do Grafana e um sincronizador de fonte de dados para cada escopo de métricas, independentemente de quantos projetos estão no escopo de métricas ou de quantas Google Cloud regiões você usa:
As consultas ao Monarch são expandidas automaticamente para todos os projetos em um escopo de métricas, a menos que haja um filtro
project_id.As consultas são executadas em todas as regiões, a menos que um filtro
locationseja incluído.
Para ter um monitoramento multilocatário, nenhuma alteração precisa ser feita no lado da ingestão.
O diagrama a seguir ilustra uma configuração de monitoramento de vários locatários:
Para definir e usar uma configuração como aquela no diagrama, defina os escopos de métricas, as instâncias do Grafana e os sincronizadores de fonte de dados da seguinte maneira:
Você quer que a Equipe de desenvolvedores A consiga ler e acessar os projetos 1 e 2. Para configurar esse acesso:
coloque o Projeto 1 e o Projeto 2 no escopo de métricas de scoping_project_A;
Coloque um sincronizador de fonte de dados no projeto 1 e configure-o para que use scoping_project_A. Conceda à conta de serviço do sincronizador as permissões de Leitor do Monitoring para scoping_project_A.
Quando um usuário emite consultas da instância do Grafana associada a esse sincronizador de fonte de dados, o Monarch expande scoping_project_A para os projetos monitorados constituintes e retorna resultados para o Projeto 1 e o Projeto 2 em todas as Google Cloud regiões. Como a instância do Grafana e o sincronizador de fonte de dados residem no projeto 1, somente os usuários com acesso ao projeto 1 podem consultar scoping_project_A.
Você quer que a Equipe de desenvolvimento B consiga ler e acessar os projetos 3 e 4. Para configurar esse acesso:
coloque o Projeto 3 e o Projeto 4 no escopo de métricas de scoping_project_B;
Coloque um sincronizador de fonte de dados no projeto 3 e configure-o para que use scoping_project_B. Conceda à conta de serviço do sincronizador as permissões de Leitor do Monitoring para scoping_project_B.
Quando um usuário emite consultas da instância do Grafana associada a esse sincronizador de fonte de dados, o Monarch expande scoping_project_B para os projetos monitorados constituintes e retorna resultados para o Projeto 3 e o Projeto 4 em todas as Google Cloud regiões. Como a instância do Grafana e o sincronizador de fonte de dados residem no projeto 3, somente os usuários com acesso ao projeto 3 podem consultar scoping_project_B.
Você quer que a Equipe de SRE consiga ler e acessar os projetos 1, 2, 3, 4 e 5. Para configurar esse acesso:
coloque todos os projetos no escopo das métricas de scoping_project_C;
Coloque um sincronizador de fonte de dados no projeto 5 e configure-o para que use scoping_project_C. Conceda à conta de serviço do sincronizador as permissões de Leitor do Monitoring para scoping_project_C.
Quando um usuário emite consultas da instância do Grafana associada a esse sincronizador de fonte de dados, o Monarch expande scoping_project_C para os projetos monitorados constituintes e retorna resultados para os projetos 1, 2, 3, 4 e 5 em todas as Google Cloud regiões. Como a instância do Grafana e o sincronizador de fonte de dados residem no projeto 5, somente os usuários com acesso ao projeto 5 podem consultar scoping_project_C.