业务组权限管理
夜莺 v9 业务组:把告警规则、监控对象、仪表盘等资源按业务/团队隔离,通过授权团队 rw/ro 实现多租户。
概述
业务组是夜莺的权限管控单元。所有产生资源(告警规则、屏蔽规则、订阅规则、仪表盘、监控对象、自愈脚本等)都归属一个业务组;用户通过 团队 间接获得对该业务组下资源的访问权限。
URL /busi-groups。
v9 菜单变化:业务组权限管理页(
/busi-groups)在 v9 主菜单里不再直接挂在"人员组织"下。常见入口:
- 基础设施 → 业务组(同名,但功能侧重不同,主要是设备/采集容器视角)
- 用户管理页面点用户的"业务组"列链接
- 直接 URL 访问
/busi-groups两者后端是同一份业务组数据,只是 UI 视角不同:
/busi-groups专门做权限授权配置;/targets等基础设施页是按业务组组织设备视图。
模型
用户 ──── 加入 ──▶ 团队 ──── rw/ro 授权 ──▶ 业务组 ──── 承载资源 ──▶ 告警规则/仪表盘/监控对象...
举例:
- 支付组 SRE(团队)对
pay-prod、pay-test(业务组)都有 rw 权限 — 能创建/修改这两个业务组下的告警规则; - 审计组(团队)对所有业务组都有 ro 权限 — 只能看,不能改;
- 数据组开发(团队)对
data-prod(业务组)有 ro、对data-test有 rw。
默认 Admin 行为
Admin 角色对所有业务组都有 rw 权限,无需手工授权。其他角色用户的权限完全靠业务组 → 团队 → 用户这条链路。
操作流程
1. 新建业务组
页面左上「业务组」+ 「新增」 → 填名称(如 pay-prod)+ 备注。
业务组命名建议带业务 + 环境两个维度(如
pay-prod/pay-test/risk-prod),便于看到名字立刻知道是哪个团队的哪个环境。
2. 给业务组授权团队
左侧选中业务组 → 右上「授权团队」 → 选要授权的团队 + 选权限(rw / ro)→ 保存。
3. 资源自动隔离
授权后,团队成员在告警规则、仪表盘、监控对象等页面,会自动只看到本团队拥有权限的业务组下的资源。这是 v9 多租户隔离的基本工作机制。
页面字段说明
页面分左右两部分:
| 区域 | 内容 |
|---|---|
| 左侧 | 业务组列表(支持搜索)+ 新增按钮 |
| 右侧上方 | 选中业务组的基本信息:ID / 名称 / 备注 / 更新人 / 更新时间,可编辑 / 删除 |
| 右侧下方 | 已授权团队列表 + 「授权团队」按钮 |
授权团队表格列:
| 列 | 含义 |
|---|---|
| 团队名称 | 被授权的团队 |
| 备注 | 团队备注 |
| 权限 | rw(读写) / ro(只读) |
| 操作 | 删除(撤销该团队的授权) |
谁能管理业务组的授权
这部分容易和角色权限混淆,明确一下。
只有满足下面任一条件的用户才能"向业务组添加团队":
- Admin 角色 — 对所有业务组都能管理;
- 用户所在团队对该业务组有 rw 权限 + 用户的角色具有"业务组管理"操作权限点。
普通团队成员能看到自己业务组下的资源,但不能修改业务组的团队授权 — 后者属于平台管理类操作。
站点设置:列表 vs 树形展示
业务组(和团队)支持两种展示方式:
- 列表展现:扁平表格;
- 树形展现:按命名前缀(
AA-BB-CC形式)自动建树。
切换在 站点设置 里改全局偏好。
常见问题
Q1:删除业务组会发生什么?
A:慎重 — 删业务组会连带:
- 业务组下的所有资源(告警规则、屏蔽、订阅、自愈脚本等)会随之删除;
- 监控对象(机器)从该业务组移除,回到"未归组"状态;
- 仪表盘所有权丢失。
正确做法:先把资源迁移到别的业务组(告警规则、仪表盘有"克隆/迁移"功能),再删空的业务组。
Q2:怎么把一个用户从一个业务组移到另一个**?**
A:用户不直接绑业务组,所以"迁移用户"实际上是改团队:
- 把用户从原团队移除(或新建一个团队);
- 加入新团队;
- 确保新团队对目标业务组有相应权限。
Q3:能不能让一个业务组继承另一个业务组的资源 / 权限?
A:不行。业务组之间没有继承关系。想做"基础组 + 项目组"的层级权限,用团队层面叠加:
- 团队
base-readonly对所有业务组有 ro; - 团队
proj-pay-rw对pay-*业务组有 rw; - 把支付组同事同时加到这两个团队,最终 rw 生效。
Q4:业务组很多(几十上百个)UI 卡顿,怎么办?
A:
- 切到树形展示,按命名约定层级展开;
- 长期堆积的测试/废弃业务组定期清理;
- 在 站点设置 里调整页面分页条数。
