Prometheus Cortex多租户读写的实现

Cortex的所有组件会从每个请求header的X-Scope-OrgID中获取租户ID。此处的租户表示的是一组数据的拥有者，它向Cortex写入数据，并拥有该数据的查询权限。所有的Cortex组件都会无条件信任带X-Scope-OrgID的请求，因此如果希望保护Cortex免受恶意调用，需要自行添加一个保护层。

注意查询和写入请求的租户ID必须一致，否则无法查询到所需数据。

启用多租户特性

通过在配置文件中添加auth.enabled=true，或者命令行-auth.enabled=true启用多租户特性。例如：

./cortex -target=distributor -auth.enabled=true

如果希望禁用多租户，则需要向所有组件传递参数auth.enabled=false，这种情况下所有请求的X-Scope-OrgID都会被设置为"fake"。

Prometheus配置

方法一是直接在remote_write配置中添加header信息。

remote_write:
  - url: http://<cortex>/prometheus/api/v1/push
    headers:
      X-Scope-OrgID: <org>

方法二是使用Cortex-Tenant，根据已有标签值添加header信息。

Cortex Tenant放置于Prometheus和Cortex之间，当Prometheus的写请求经过该组件时，Cortex Tenant会搜索其中的预定义标签的值，并将其作为X-Scope-OrgID的值添加到请求header中，再转发给Cortex。

详细使用方法见：

GitHub - blind-oracle/cortex-tenant: Prometheus remote write proxy that adds Cortex tenant ID based on metric labels

此组件为第三方组件，非Cortex团队维护。

查询侧配置

目前Cortex并没有提供多租户的前端查询页面，在使用Grafana作为查询客户端的情况下，可以按下面的方案实现多租户查询。（目前仅为构想，尚未实践和测试，理论可行）

方案一：

在Grafana与Cortex之间放置一层Nginx反向代理，Nginx添加类似如下配置：

server {
    server_name  prod.com
    location / {
        proxy_pass  http://cortex;
        proxy_set_header X-Scope-OrgID <prod tenant ID>;
    }
}

server {
    server_name  ops.com
    location / {
        proxy_pass  http://cortex;
        proxy_set_header X-Scope-OrgID <ops tenant ID>;
    }
}

Grafana侧将不同的租户通过Org隔离开，分别配置不同的数据源，以此实现不同租户仅能查询自身数据的目标。

方案二：

在Grafana中添加数据源的时候，配置Custom HTTP Headers。