如何組織Grafana - Managed Service for Grafana

本文將從工作區的選型、帳號登入認證和許可權管理3個方面提供組織Grafana的建議。

背景資訊

Grafana中存在多種結構用於組織資源和許可權，當公司存在多個團隊、部門或客戶需要服務時，常常出現以下問題：

如何根據實際情況選擇不同版本的Grafana。
部門A不應該看到部門B的資訊，該如何分配帳號並系統管理權限。
部門的成本歸屬計費。
不同部門對身分識別驗證、外掛程式等有很大不同，如何配置隔離。
當需要對客戶展示公用內容時如何使使用者免鑒權查看。

本文將從工作區的選型、帳號登入認證和許可權管理3個方面提供組織Grafana的建議。

工作區的選型

目前可觀測可視化 Grafana 版提供了4個版本：專家版（10帳號）、專家版（30帳號）、專家版（50帳號）和進階版（100帳號）。

功能選擇

進階版比專家版多了報表、審計等功能，如果有明確的功能需求，選擇對應的版本即可。

帳號規模選擇

定義出一個最小粒度的人群範圍。
如果沒有嚴格的約束，大部分情境下，一個工作區能夠滿足絕大部分使用者的需求。但例如在以下情境下，為了實現許可權或資料完全隔離，您可以以部門或者團隊的維度購買工作區：
- 部門A和部門B需要區分計算成本，為了便於區分建議各自使用一個工作區。
- 當需要將公司的帳號體系與Grafana打通時，例如使用OAuth 2.0協議，公司給不同團隊都分配了一個獨立的AppID，由於Grafana的自訂OAuth配置只能映射一個AppID，那麼這種情境就需要一個團隊使用一個工作區。
- 當需要用於生產和日常測試時，環境要求對資料的安全、使用者權限有嚴格區分，使用多個工作區即可根據環境做隔離。
匹配對應版本。
- 100人的部門，建議直接購買進階版（100帳號）。
- 20人的團隊，可以選擇專家版（30帳號）。
- 日常環境有30人要用，而生產只開放給10個人，那麼只需一個專家版（30帳號）加上一個專家版（10帳號）。

如果您還不確定使用情境，建議先購買專家版（10帳號），在後續使用過程中明確需求後，可以根據實際情況進行升配或降配。

帳號登入認證

官方Grafana除了自己的帳號管理體系外，還支援通過其它多種認證方式實現帳號的同步、登入。更多資訊，請參見Grafana官方文檔。

阿里雲託管的可觀測可視化 Grafana 版在原生的基礎上，額外整合了阿里雲的登入方式。下述表格羅列了目前可觀測可視化 Grafana 版上常用的幾種登入方式，一個工作區可以同時使用多種登入方式，請根據實際需求選擇。

類型	情境	說明
Admin帳號的使用者管理	常規的帳號、密碼建立	在Admin帳號（最高許可權）的Grafana頁面可以看到管理員菜單，通過Admin帳號可以直接建立帳號、設定密碼、賦予許可權。同時也能管理通過郵件、阿里雲SSO、OAuth、LDAP整合進來的帳號。
Admin許可權的使用者管理	郵件邀請建立	Admin帳號和Admin許可權的層級不同。下圖為Admin許可權的Grafana頁面，可以看到左側功能表列沒有表徵圖，因此無法直接添加帳號，只能通過發送郵件讓收件者通過指定連結自行建立，收件者的許可權在發送郵件時設定。Admin許可權和Admin帳號最大區別是Admin許可權管理員不知道建立的帳號密碼。阿里雲可觀測可視化 Grafana 版有預設的SMTP配置，如果有需要可以自行配置SMTP邀請使用者，更多資訊，請參見使用SMTP郵箱邀請使用者。
阿里雲SSO	使用阿里雲帳號登入	通過在Grafana控制台填寫阿里雲帳號ID（如果是子帳號則填寫子帳號ID），即可使用阿里雲帳號登入Grafana，若您已經登入阿里雲則可以免登入直接進入Grafana。更多資訊，請參見帳號管理。
OAuth授權	企業登入系統打通	可觀測可視化 Grafana 版支援標準的OAuth協議，Grafana官方除了預設支援通過Google、微軟登入外，還支援自訂登入，適用於需要使用公司登入系統做整合登入的情境。對於自建系統的整合，對接操作請參見Grafana OAuth統一認證登入，該文檔以阿里雲為例類比企業的登入系統，詳細介紹了對接過程。
LDAP	企業登入系統打通	目前控制台暫未提供上傳LDAP檔案的入口，如有需要請加入可觀測可視化 Grafana 版DingTalk群（群號：34785590）進行反饋。
匿名模式	訪客無需登入即可查看	部分大盤配置後需要對外展示，此時無需使用者登入即可直接查看大盤，例如官方樣本網站就是通過匿名模式產生的Demo展示。配置匿名模式的操作，請參見產生免登入查看Grafana大盤的共用連結。

許可權的管理

開源Grafana提供了多樣的許可權管理方式，這些許可權管理方式已經能夠滿足絕大部分情境。除了Grafana官方推薦使用的檔案夾（Folders）+團隊（Team）的方式之外，組織（Orgs）和更嚴格層面的工作區都可以作為許可權管理控制的方式。

三種方式對比

方式	優勢	劣勢
檔案夾+團隊（推薦）	靈活輕量，允許團隊之間靈活共用。更少的配置。 Grafana官方後續也會針對當前方式開發更多特性。更多資訊，請參見Grafana官方文檔。	缺乏工作區的實際隔離。
組織	帳號登入認證只需配置一次即可。	隔離了資料來源、儀表板、檔案夾和其他資源，需要自行編碼實現資料同步。組織之間的使用者管理更加複雜，不同組織下的使用者需要單獨配置。缺乏檔案夾的靈活性以及工作區的實際隔離。
工作區	不同工作區DB、設定檔都是獨立的，實現真正的隔離。	配置無法共用，不同工作區之間的資料來源、儀表板、檔案夾和其他資源同步，需要自行編碼實現。

檔案夾+團隊方式的最佳實務

以某公司一個線上團隊為例：

團隊維度劃分了研發、營運和營運，檔案夾劃分了業務和基礎設施。
業務檔案夾下，存放了基於應用運行過程中採集配置的業務大盤，由研發配置，營運查看。
基礎設施下，存放了阿里雲上的ECS、RDS等基礎設施的監控大盤，由營運配置，研發查看。

建議配置如下：

在Grafana的左側導覽列選擇 > Configuration。
在Configuration頁面單擊Teams頁簽，建立研發、營運和營運團隊並添加對應使用者。具體操作，請參見Grafana官方文檔。
在Grafana左側導覽列中選擇 > + New folder，建立業務和基礎設施檔案夾。具體操作，請參見Grafana官方文檔。
設定檔夾許可權。
進入檔案夾，在Permissions頁簽下增加許可權，配置對應團隊在當前檔案夾下的許可權。
配置完成後，只有View許可權的團隊成員登入Grafana時，只有查看許可權。
說明
若使用者本身是Admin許可權，所在團隊只有View許可權，在多許可權疊加的情況下高等級許可權優先，即使用者仍是Admin許可權。