文档 Grafana 文档 数据源 Google Cloud Monitoring 认证

配置 Google 认证

Grafana 插件向 Google 发出的请求是代表身份和访问管理 (IAM) 角色或 IAM 用户进行的。IAM 用户或 IAM 角色必须具有相关的策略才能执行某些 API 操作。由于这些策略特定于每个数据源，请参阅数据源文档了解详细信息。

Grafana 后端在服务器端执行所有对 Google API 的请求。您可以通过上传 Google JSON Web Token (JWT) 文件或通过从 Google 元数据服务器自动检索凭据来认证 Grafana 插件到 Google。后一种选项仅在 GCE 虚拟机上运行 Grafana 时可用。

使用 Google 服务帐户密钥文件

要使用 Google API 认证 Grafana 插件，请为您希望显示数据的项目创建一个 Google Cloud Platform (GCP) 服务帐户。

每个 Grafana 数据源与一个 GCP 项目集成。要可视化来自多个 GCP 项目的数据，请为每个 GCP 项目创建一个数据源。

创建 GCP 服务帐户和密钥文件

1. 导航到API 和服务凭据页面。
2. 单击创建凭据下拉菜单，然后选择服务帐户选项。
3. 在服务帐户名称中，输入帐户名称。
4. 从角色下拉菜单中，选择特定插件所需的角色。
5. 点击完成。
6. 使用新创建的帐户创建服务帐户密钥。将创建一个 JSON 密钥文件并下载到您的计算机。
7. 将密钥文件存储在安全的地方，因为它授予对您的 Google 数据访问权限。
8. 在 Grafana 数据源配置页面中，上传密钥文件。文件的内容会被加密并保存在 Grafana 数据库中。上传后请记住保存文件。

为多个项目创建 GCP 服务帐户

您可以创建一个服务帐户和密钥文件，用于访问多个项目。请按照上述步骤 1-5 进行操作，然后：

1. 记下服务帐户的电子邮件地址，它看起来有点奇怪，例如 foobar-478@main-boardwalk-90210.iam.gserviceaccount.com。
2. 导航到您要访问的其他项目。
3. 将服务帐户电子邮件地址添加到每个项目的 IAM 页面，并授予它所需的角色。
4. 返回到原始项目的服务帐户，然后创建服务帐户密钥。将创建一个 JSON 密钥文件并下载到您的计算机。
5. 将密钥文件存储在安全的地方，因为它授予对您的 Google 数据访问权限。
6. 在 Grafana 数据源配置页面中，上传密钥文件。文件的内容会被加密并保存在 Grafana 数据库中。上传后请记住保存文件。

配置 GCE 默认服务帐户

当 Grafana 在 Google Compute Engine (GCE) 虚拟机上运行时，Grafana 可以自动从元数据服务器检索默认凭据。因此，无需为服务帐户生成私钥文件，也无需将文件上传到 Grafana。Grafana 检索默认凭据前必须满足以下前提条件：

• 您必须为 GCE 虚拟机创建一个服务帐户。有关更多信息，请参阅创建新的服务帐户。
• 验证 GCE 虚拟机实例是否正在以您创建的服务帐户身份运行。有关更多信息，请参阅设置实例以服务帐户身份运行。
• 允许访问指定的 API 范围。

有关为 GCE 实例创建和启用服务帐户的更多信息，请参阅Google 文档中为实例启用服务帐户。