feat: 引入 vmauth 鉴权与严格多租户

- 对外端口统一为 18428（vmauth 入口），VM 不再直接暴露宿主机端口
- 边缘 vmagent 与中央 Prometheus remote_write 增加 basic auth
- 支持 tenants.csv 驱动的 per-tenant 写入/查询隔离，并提供管理员跨租户只读查询
- 更新 Grafana provisioning 与部署/文档

Made-with: Cursor

README.md

@@ -12,7 +12,9 @@
 中央 Prometheus 抓取本地 + 查 VictoriaMetrics → 告警 + Grafana
 ```
 
-边缘将指标推送到中央 VictoriaMetrics（8428）；Grafana 查询边缘数据选 **VictoriaMetrics**，中央自抓选 **Prometheus**。
+边缘将指标推送到中央 vmauth（18428，带鉴权）再转发到 VictoriaMetrics；如果启用严格多租户（`central-server/config/vmauth/tenants.csv`），每个边缘节点用独立账号并写入各自 tenant，实现数据与查询隔离。
+
+管理员要看所有租户：在 `central-server/.env` 配置 `VMAUTH_ADMIN_USER/VMAUTH_ADMIN_PASSWORD`。该账号可跨租户读取（通过 `/select/<tenant_id>/prometheus/...`），Grafana 建议用“数据源变量”在多租户数据源之间切换查看。
 
 ---
 
@@ -59,7 +61,7 @@ bash deploy.sh
 |------|------|-----|
 | Grafana | 3000 | http://localhost:3000 |
 | Prometheus | 9091 | http://localhost:9091 |
-| VictoriaMetrics | 8428 | http://localhost:8428 |
+| vmauth（VictoriaMetrics 入口） | 18428 | http://localhost:18428 |
 | Alertmanager | 9093 | http://localhost:9093 |
 | GPS 标注助手 | 4080 | http://localhost:4080 |
 | 边缘 vmagent | 9092 | http://localhost:9092 |