限制Grafana仪表板访问分配的名称空间

时间:2020-10-26 18:44:16

标签: grafana prometheus-operator

我是Prometheus / Grafana成立的新手。最近安装的kube-prometheus操作员,学习并设置仪表板和LDAP身份验证。我看到我们可以创建Grafana组织/角色并将其映射到LDAP组。如文档中所述,这将有助于赋予“管理员”,“编辑者”和“查看者”访问权限。试图了解我们如何仅限制每个命名空间资源对Grafana仪表板的访问,还是不推荐这种方法? 意思是,每个有权访问各自名称空间的团队都可以从其他名称空间或节点上看到允许他们访问的内容。

谢谢

1 个答案:

答案 0 :(得分:1)

这没有任何意义,因为即使在“有限”仪表板上,他们也可以完全访问公共数据源(Prometheus),并且他们可以简单地更改grafana上的查询并查看其他所有内容。而且,没有将RBAC应用于数据源单个资源级别的机制。

根据我的经验,指标始终可以安全地在团队之间共享,有时甚至可以安全地在外部共享(状态页)。

否则,如果您仍然希望有这样的分隔,我建议为每个名称空间创建单独的Prometheus实例,为每个名称空间创建单独的grafana实例。 Prometheus运算符允许使用ServiceMonitorSelector进行这种分离。这种方法将非常消耗资源。甚至在此之后,您还需要确保Prometheus和Grafana Service对象无法访问跨命名空间,因为团队可以代理并仍然浏览它-您可以为此使用https://kubernetes.io/docs/concepts/services-networking/network-policies/