Ограничить доступ к панели управления Grafana для назначенного пространства имен

Я новичок в настройке Prometheus / Grafana. Недавно установлен оператор kube-prometheus, обучение и настройка дашбордов и аутентификации LDAP. Я вижу, что мы можем создать организацию / роли Grafana и сопоставить их с группами LDAP. Это поможет предоставить доступ «Admin», «Editor» и «Viewer», как указано в документации. Пытаясь понять, как мы можем ограничить доступ к панели инструментов Grafana только для ресурсов пространства имен, или этот подход не рекомендуется? Это означает, что каждая команда, имеющая доступ к соответствующему пространству имен, будет видеть, что им разрешено, с учетом других пространств имен или узлов.

Спасибо


grafana prometheus-operator
person cnu    schedule 26.10.2020    source источник

Ответы (1)


arrow_upward
1
arrow_downward

Это не имеет смысла, потому что даже на их ограниченной панели инструментов у них есть полный доступ к общему источнику данных (Prometheus), и они могут просто изменять запросы на графане и видеть все остальное. И нет механизма для применения RBAC на уровне отдельных ресурсов источника данных.

По моему опыту, метриками всегда безопасно делиться между командами, иногда даже безопасно делиться внешними (страница статуса).

В противном случае, если вы все еще хотите иметь подобное разделение, я рекомендую создавать отдельные экземпляры Prometheus для каждого пространства имен и отдельные экземпляры grafana для каждого пространства имен. Оператор Прометей позволяет такое разделение с помощью тега ServiceMonitorSelector. Такой подход будет очень ресурсоемким. И даже после этого вам нужно убедиться, что объекты Prometheus и Grafana Service недостижимы между пространствами имен, потому что команды могут прокси и по-прежнему просматривать их - вы можете использовать https://kubernetes.io/docs/concepts/services-network/network-policies/ для этого.

person Max Lobur    schedule 27.10.2020
comment
Имеет смысл, пойдет со зрителем роль в новой орг. и свяжите это с группой LDA P, поскольку это ограничит возможности пользователей в отношении документации. Кстати, есть ли способ скопировать часть основной организации. Панели мониторинга в новую организацию, чтобы избежать повторного создания? Или есть лучший способ сделать это? - person cnu; 28.10.2020
comment
Похоже, не могу поделиться: community.grafana.com / т /. С другой стороны, возможно, попробуйте команды: grafana.com/docs/grafana/latest/ разрешения / - person Max Lobur; 28.10.2020