限制Grafana仪表板对指定命名空间的访问
我是普罗米修斯/格拉法纳的新手。最近安装的kube prometheus操作员,学习和设置仪表板和LDAP身份验证。我发现我们可以创建Grafana组织/角色,并将它们映射到LDAP组。这将有助于提供文档中提到的“管理员”、“编辑器”和“查看器”访问权限。试图了解如何仅根据命名空间资源限制对Grafana dashboard的访问,还是不建议使用这种方法? 也就是说,每个有权访问各自名称空间的团队都可以看到允许他们使用的名称空间,注意其他名称空间或节点限制Grafana仪表板对指定命名空间的访问,grafana,prometheus-operator,Grafana,Prometheus Operator,我是普罗米修斯/格拉法纳的新手。最近安装的kube prometheus操作员,学习和设置仪表板和LDAP身份验证。我发现我们可以创建Grafana组织/角色,并将它们映射到LDAP组。这将有助于提供文档中提到的“管理员”、“编辑器”和“查看器”访问权限。试图了解如何仅根据命名空间资源限制对Grafana dashboard的访问,还是不建议使用这种方法? 也就是说,每个有权访问各自名称空间的团队都可以看到允许他们使用的名称空间,注意其他名称空间或节点 谢谢,这没有意义,因为即使在他们“有限”的
谢谢,这没有意义,因为即使在他们“有限”的仪表板上,他们也可以完全访问公共数据源(普罗米修斯),他们可以简单地更改grafana上的查询并查看其他所有内容。并且没有在数据源单个资源级别上应用RBAC的机制 根据我的经验,在团队之间共享指标总是安全的,有时甚至在外部共享也是安全的(状态页面)
否则,如果您仍然希望这样的分离,我建议为每个名称空间创建单独的Prometheus实例,并为每个名称空间创建单独的grafana实例。普罗米修斯运营商允许使用。这种方法将非常消耗资源。即使在这之后,您也需要确保Prometheus和Grafana
服务