Topik ini menjelaskan cara mengatur instans Grafana Anda, mencakup pemilihan ruang kerja, otentikasi akun, dan pengelolaan izin.
Informasi latar belakang
Grafana menawarkan berbagai cara untuk mengatur sumber daya dan izin. Ketika beberapa tim, departemen, atau pelanggan menggunakan instans yang sama, Anda mungkin menghadapi tantangan berikut:
Memilih edisi Grafana yang sesuai dengan kebutuhan Anda.
Menetapkan akun dan mengelola izin agar Departemen A tidak dapat melihat informasi Departemen B.
Menangani alokasi biaya dan penagihan untuk departemen yang berbeda.
Mengonfigurasi isolasi ketika departemen memiliki persyaratan berbeda terkait otentikasi, plugin, dan pengaturan lainnya.
Mengizinkan pengguna melihat konten publik tanpa otentikasi.
Pilih edisi ruang kerja
Managed Service for Grafana menyediakan empat edisi: Pro Edition (10 akun), Pro Edition (30 akun), Pro Edition (50 akun), dan Advanced Edition (100 akun).
Pilih berdasarkan fitur
Advanced Edition mencakup fitur seperti reporting dan auditing yang tidak tersedia di Pro Edition. Jika Anda memerlukan fitur tersebut, pilih Advanced Edition.
Pilih berdasarkan jumlah akun
Tentukan kelompok pengguna terkecil yang memerlukan akses.
Dalam kebanyakan kasus, satu ruang kerja sudah cukup untuk memenuhi kebutuhan semua pengguna. Namun, dalam skenario berikut, kami merekomendasikan membuat ruang kerja terpisah untuk setiap departemen atau tim guna memastikan isolasi izin atau data secara lengkap:
Alokasi biaya: Untuk menagih Departemen A dan Departemen B secara terpisah, gunakan ruang kerja terpisah untuk masing-masing.
Integrasi OAuth: Jika Anda perlu mengintegrasikan Grafana dengan sistem akun perusahaan menggunakan OAuth 2.0 dan setiap tim diberi AppID unik, gunakan ruang kerja terpisah untuk setiap tim. Hal ini karena konfigurasi OAuth kustom di Grafana hanya dapat dipetakan ke satu AppID.
Isolasi lingkungan: Jika Anda memerlukan pemisahan ketat terkait keamanan data dan izin pengguna antara lingkungan produksi dan pengujian, gunakan beberapa ruang kerja untuk mengisolasi keduanya.
Pilih edisi yang sesuai dengan jumlah pengguna Anda.
Untuk departemen dengan 100 orang, kami merekomendasikan membeli Advanced Edition (100 akun).
Untuk tim beranggotakan 20 orang, Anda dapat memilih Pro Edition (30 akun).
Jika Anda memiliki 30 pengguna di lingkungan pengembangan dan 10 pengguna di lingkungan produksi, Anda dapat membeli satu Pro Edition (30 akun) dan satu Pro Edition (10 akun).
Jika Anda belum yakin dengan kebutuhan Anda, mulailah dengan Pro Edition (10 akun). Anda dapat melakukan upgrade atau downgrade edisi nanti.
Konfigurasi otentikasi
Selain sistem manajemen pengguna bawaannya, Grafana mendukung berbagai metode otentikasi lain untuk sinkronisasi akun dan login. Untuk informasi lebih lanjut, lihat dokumentasi resmi Grafana.
Managed Service for Grafana memperluas kemampuan aslinya dengan mengintegrasikan metode login Alibaba Cloud. Tabel berikut mencantumkan metode otentikasi umum yang tersedia di Managed Service for Grafana. Anda dapat menggunakan beberapa metode secara bersamaan dalam satu ruang kerja.
Type | Scenario | Description |
User management with a server administrator account | Create accounts and passwords | Sebagai administrator server, Anda dapat mengakses menu administrator server di UI Grafana untuk langsung membuat akun, menetapkan kata sandi, dan memberikan izin. Anda juga dapat mengelola akun yang diintegrasikan melalui email, Alibaba Cloud SSO, OAuth, atau LDAP. |
User management with organization administrator permissions | Invite users by email | Peran administrator server dan administrator organisasi memiliki tingkat izin yang berbeda. Sebagai administrator organisasi, Anda tidak akan melihat ikon administrator server |
Alibaba Cloud SSO | Log on with an Alibaba Cloud account | Di , Anda dapat memasukkan ID Akun Alibaba Cloud atau Pengguna RAM untuk mengaktifkan login dengan akun tersebut. Jika Anda sudah login ke konsol Alibaba Cloud, Anda dapat mengakses Grafana tanpa login ulang. Untuk informasi lebih lanjut, lihat Manajemen akun. |
OAuth | Integrate with an enterprise login system | Managed Service for Grafana mendukung protokol OAuth standar. Selain dukungan default untuk login Google dan Microsoft, Grafana memungkinkan integrasi login kustom untuk terhubung dengan sistem login perusahaan. Untuk informasi lebih lanjut, lihat Konfigurasikan login berbasis OAuth untuk Grafana. |
LDAP | Integrate with an enterprise login system | Konsol saat ini tidak memungkinkan Anda mengunggah file LDAP. Jika Anda memerlukan fitur ini, silakan berikan masukan dengan bergabung ke grup DingTalk Managed Service for Grafana (ID: 34785590). |
Anonymous access | Allow visitors to view without logging in | Beberapa dasbor mungkin perlu ditampilkan secara eksternal, memungkinkan pengguna melihatnya langsung tanpa login. Misalnya, situs demo resmi Grafana Play adalah situs demo yang menggunakan akses anonim. Untuk petunjuk mengonfigurasi akses anonim, lihat Buat tautan untuk berbagi dasbor Grafana. |
di panel navigasi kiri dan tidak dapat menambahkan akun secara langsung. Sebagai gantinya, Anda dapat mengundang pengguna dengan mengirimkan email berisi tautan agar mereka membuat akun sendiri. Izin pengguna ditetapkan saat undangan dikirim. Perbedaan utamanya adalah administrator organisasi tidak mengetahui kata sandi akun yang dibuatnya. Kelola izin
Grafana open-source menawarkan berbagai metode pengelolaan izin yang cukup memadai untuk sebagian besar skenario. Selain pendekatan yang direkomendasikan Grafana menggunakan folder dan tim, Anda juga dapat menggunakan organisasi atau bahkan ruang kerja untuk kontrol izin yang lebih ketat.
Perbandingan pendekatan
Approach | Benefits | Limitations |
Folders and teams (Recommended) |
| Tidak memiliki isolasi yang sesungguhnya dari ruang kerja. |
Organizations | Anda hanya perlu mengonfigurasi otentikasi sekali saja. |
|
Workspaces | Setiap ruang kerja memiliki database dan file konfigurasi independen sendiri, sehingga menyediakan isolasi sejati. | Konfigurasi tidak dapat dibagikan. Menyinkronkan sumber data, dasbor, folder, dan sumber daya lainnya antar ruang kerja memerlukan kode kustom. |
Praktik terbaik folder dan tim
Pertimbangkan contoh tim online di sebuah perusahaan:
Perusahaan memiliki tim pengembangan, O&M, dan operasi. Perusahaan menggunakan folder untuk memisahkan sumber daya bisnis dan infrastruktur.
Folder bisnis berisi dasbor bisnis berdasarkan data yang dikumpulkan dari aplikasi yang sedang berjalan. Dasbor ini dikonfigurasi oleh tim pengembangan dan dilihat oleh tim operasi.
Folder infrastruktur berisi dasbor pemantauan untuk infrastruktur di Alibaba Cloud, seperti ECS dan RDS. Dasbor ini dikonfigurasi oleh tim O&M dan dilihat oleh tim pengembangan.
Ikuti langkah-langkah berikut:
Di panel navigasi kiri Grafana, pilih
> Configuration.Di halaman Configuration, klik tab Teams. Gunakan tombol New Team untuk membuat tim untuk pengembangan, O&M, dan operasi, lalu tambahkan anggota ke masing-masing tim. Untuk informasi lebih lanjut, lihat dokumentasi resmi Grafana.
Di panel navigasi kiri Grafana, pilih
> + New folder untuk membuat folder bisnis dan infrastruktur. Untuk informasi lebih lanjut, lihat dokumentasi resmi Grafana.Konfigurasi izin folder.
Buka folder tertentu dan buka tab Permissions untuk menambahkan izin. Atur tingkat izin untuk setiap tim di folder tersebut.
Tingkat izin mencakup View (melihat dasbor), Edit (menambah, mengedit, dan menghapus dasbor), dan Admin (mengelola izin dan dasbor). Pilih tim target dan tingkat izin, lalu klik Save.
Setelah dikonfigurasi, anggota tim yang hanya memiliki izin View hanya dapat melihat sumber daya.
CatatanJika pengguna memiliki izin Admin secara individual tetapi termasuk dalam tim yang hanya memiliki izin View, izin tingkat lebih tinggi akan berlaku. Pengguna tersebut tetap memiliki izin Admin.