feat: 引入 vmauth 鉴权与严格多租户

- 对外端口统一为 18428（vmauth 入口），VM 不再直接暴露宿主机端口 - 边缘 vmagent 与中央 Prometheus remote_write 增加 basic auth - 支持 tenants.csv 驱动的 per-tenant 写入/查询隔离，并提供管理员跨租户只读查询 - 更新 Grafana provisioning 与部署/文档 Made-with: Cursor
2026-04-22 11:41:13 +00:00
parent ab1515dffb
commit c4825c2d27
21 changed files with 278 additions and 37 deletions
--- a/central-server/config/grafana/provisioning/datasources/victoriametrics.yml
+++ b/central-server/config/grafana/provisioning/datasources/victoriametrics.yml
@@ -1,16 +1,20 @@
 # VictoriaMetrics 数据源（边缘节点上报的数据存储在此）
 # 边缘节点通过 remote_write 推送到中央 VictoriaMetrics，本数据源用于在 Grafana 中查询这些数据
-# 使用前需在边缘节点配置：remote_write 指向中央服务器 VictoriaMetrics 地址（如 http://中央IP:8428/api/v1/write）
+# 使用前需在边缘节点配置：remote_write 指向中央服务器 VictoriaMetrics 地址（如 http://中央IP:18428/api/v1/write）
 apiVersion: 1

 datasources:
  - name: VictoriaMetrics
    type: prometheus
    access: proxy
-    url: http://victoria-metrics:8428
+    url: http://vmauth:8427
    isDefault: false
    editable: true
+    basicAuth: true
+    basicAuthUser: ${VMAUTH_READ_USER}
    jsonData:
      httpMethod: POST
      queryTimeout: 60s
      timeInterval: 15s
+    secureJsonData:
+      basicAuthPassword: ${VMAUTH_READ_PASSWORD}
--- a/central-server/config/grafana/provisioning/datasources/victoriametrics.yml.template
+++ b/central-server/config/grafana/provisioning/datasources/victoriametrics.yml.template
@@ -0,0 +1,18 @@
+# VictoriaMetrics 数据源（通过 vmauth 进行鉴权访问）
+apiVersion: 1
+
+datasources:
+  - name: VictoriaMetrics
+    type: prometheus
+    access: proxy
+    url: http://vmauth:8427
+    isDefault: false
+    editable: true
+    basicAuth: true
+    basicAuthUser: "${VMAUTH_READ_USER}"
+    jsonData:
+      httpMethod: POST
+      queryTimeout: 60s
+      timeInterval: 15s
+    secureJsonData:
+      basicAuthPassword: "${VMAUTH_READ_PASSWORD}"