本文將從工作區的選型、賬號登錄認證和權限管理3個方面提供組織Grafana的建議。
背景信息
Grafana中存在多種結構用于組織資源和權限,當公司存在多個團隊、部門或客戶需要服務時,常常出現以下問題:
如何根據實際情況選擇不同版本的Grafana。
部門A不應該看到部門B的信息,該如何分配賬號并管理權限。
部門的成本歸屬計費。
不同部門對身份驗證、插件等有很大不同,如何配置隔離。
當需要對客戶展示公共內容時如何使用戶免鑒權查看。
本文將從工作區的選型、賬號登錄認證和權限管理3個方面提供組織Grafana的建議。
工作區的選型
目前可觀測可視化 Grafana 版提供了4個版本:專家版(10賬號)、專家版(30賬號)、專家版(50賬號)和高級版(100賬號)。
功能選擇
高級版比專家版多了報表、審計等功能,如果有明確的功能需求,選擇對應的版本即可。具體功能對比,請參見Grafana計費規則。
賬號規模選擇
定義出一個最小粒度的人群范圍。
如果沒有嚴格的約束,大部分場景下,一個工作區能夠滿足絕大部分用戶的需求。但例如在以下場景下,為了實現權限或數據完全隔離,您可以以部門或者團隊的維度購買工作區:
部門A和部門B需要區分計算成本,為了便于區分建議各自使用一個工作區。
當需要將公司的賬號體系與Grafana打通時,例如使用OAuth 2.0協議,公司給不同團隊都分配了一個獨立的AppID,由于Grafana的自定義OAuth配置只能映射一個AppID,那么這種場景就需要一個團隊使用一個工作區。
當需要用于生產和日常測試時,環境要求對數據的安全、用戶權限有嚴格區分,使用多個工作區即可根據環境做隔離。
匹配對應版本。
100人的部門,建議直接購買高級版(100賬號)。
20人的團隊,可以選擇專家版(30賬號)。
日常環境有30人要用,而生產只開放給10個人,那么只需一個專家版(30賬號)加上一個專家版(10賬號)。
如果您還不確定使用場景,建議先購買專家版(10賬號),在后續使用過程中明確需求后,可以根據實際情況進行升配或降配。
賬號登錄認證
官方Grafana除了自己的賬號管理體系外,還支持通過其它多種認證方式實現賬號的同步、登錄。更多信息,請參見Grafana官方文檔。
阿里云托管的可觀測可視化 Grafana 版在原生的基礎上,額外集成了阿里云的登錄方式。下述表格羅列了目前可觀測可視化 Grafana 版上常用的幾種登錄方式,一個工作區可以同時使用多種登錄方式,請根據實際需求選擇。
類型 | 場景 | 說明 |
Admin賬號的用戶管理 | 常規的賬號、密碼創建 | 在Admin賬號(最高權限)的Grafana頁面可以看到管理員菜單,通過Admin賬號可以直接創建賬號、設置密碼、賦予權限。同時也能管理通過郵件、阿里云SSO、OAuth、LDAP集成進來的賬號。 |
Admin權限的用戶管理 | 郵件邀請創建 | Admin賬號和Admin權限的級別不同。下圖為Admin權限的Grafana頁面,可以看到左側菜單欄沒有 |
阿里云SSO | 使用阿里云賬號登錄 | 通過在Grafana控制臺填寫阿里云賬號ID(如果是子賬號則填寫子賬號ID),即可使用阿里云賬號登錄Grafana,若您已經登錄阿里云則可以免登錄直接進入Grafana。更多信息,請參見賬號管理。 |
OAuth授權 | 企業登錄系統打通 | 可觀測可視化 Grafana 版支持標準的OAuth協議,Grafana官方除了默認支持通過谷歌、微軟登錄外,還支持自定義登錄,適用于需要使用公司登錄系統做集成登錄的場景。對于自建系統的集成,對接操作請參見OAuth統一登錄,該文檔以阿里云為例模擬企業的登錄系統,詳細介紹了對接過程。 |
LDAP | 企業登錄系統打通 | 目前控制臺暫未提供上傳LDAP文件的入口,如有需要請加入可觀測可視化 Grafana 版釘釘群(群號:34785590)進行反饋。 |
匿名模式 | 訪客無需登錄即可查看 | 部分大盤配置后需要對外展示,此時無需用戶登錄即可直接查看大盤,例如官方示例網站就是通過匿名模式生成的Demo展示。配置匿名模式的操作,請參見為Grafana大盤生成免登錄查看的共享鏈接。 |
圖標,因此無法直接添加賬號,只能通過發送郵件讓收件人通過指定鏈接自行創建,收件人的權限在發送郵件時設定。Admin權限和Admin賬號最大區別是Admin權限管理員不知道創建的賬號密碼。阿里云
權限的管理
開源Grafana提供了多樣的權限管理方式,這些權限管理方式已經能夠滿足絕大部分場景。除了Grafana官方推薦使用的文件夾(Folders)+團隊(Team)的方式之外,組織(Orgs)和更嚴格層面的工作區都可以作為權限管理控制的方式。
三種方式對比
方式 | 優勢 | 劣勢 |
文件夾+團隊(推薦) |
| 缺乏工作區的實際隔離。 |
組織 | 賬號登錄認證只需配置一次即可。 |
|
工作區 | 不同工作區DB、配置文件都是獨立的,實現真正的隔離。 | 配置無法共享,不同工作區之間的數據源、儀表板、文件夾和其他資源同步,需要自行編碼實現。 |
文件夾+團隊方式的最佳實踐
以某公司一個線上團隊為例:
團隊維度劃分了研發、運維和運營,文件夾劃分了業務和基礎設施。
業務文件夾下,存放了基于應用運行過程中采集配置的業務大盤,由研發配置,運營查看。
基礎設施下,存放了阿里云上的ECS、RDS等基礎設施的監控大盤,由運維配置,研發查看。
建議配置如下:
在Grafana的左側導航欄選擇
> Configuration。在Configuration頁面單擊Teams頁簽,創建研發、運維和運營團隊并添加對應用戶。具體操作,請參見Grafana官方文檔。
在Grafana左側導航欄中選擇
> + New folder,創建業務和基礎設施文件夾。具體操作,請參見Grafana官方文檔。
配置文件夾權限。
進入文件夾,在Permissions頁簽下增加權限,配置對應團隊在當前文件夾下的權限。
配置完成后,只有View權限的團隊成員登錄Grafana時,只有查看權限。
說明若用戶本身是Admin權限,所在團隊只有View權限,在多權限疊加的情況下高等級權限優先,即用戶仍是Admin權限。