多租户管理

1.      多租户规划

租户是对以租赁方式使用云资源的团体的统称。租户是UIS云平台进行资源分配的单位，适用于分级运营的场景。租户规划包括组织机构规划和总体规划。云管理员需要规划租户，以便后续对各项云资源进行分配。组织机构规划包括组织、用户、角色、组织配额的规划。

• 组织：是租户实体在云中映射出的逻辑对象，是用户和资源的分组。UIS云平台对组织采用树形层级结构进行管理，系统限定只有1个顶级组织（即“私有云”组织，该组织的管理员为云管理员），组织的层级数最大支持5级。

• 角色：是一种分组式权限管理，每种角色都有自己的权限集。默认的角色包括云管理员、组织管理员、普通用户和审计员。

• 用户：指可以登录本系统并管理和使用云资源的人；一个用户应属于一个组织且被赋予一个角色；用户对所在组织的资源拥有其角色对应的所有权限。

组织机构规划具体内容包括：

• 各组织之间的隶属关系

• 各组织的资源配额、所属可用域、所在网段IP

• 各用户与各组织间的隶属关系

• 各用户的角色

例如，一个公司（顶级组织）拥有多个业务部门（子组织），每个业务部门拥有若干员工（用户），公司需要一个IT部主管（云管理员）来管理所有IT资源，每个业务部门需要一名负责人（组织管理员）来管理部门IT资源。

图-1 UIS云平台组织机构规划示意图

2.      租户的资源配额

UIS云平台将纳管的集群资源抽象为计算可用域和存储可用域，实现计算与存储的分离，将可用域划分给各级组织，并设置相应的组织配额（该组织可用的CPU核数、内存容量、存储容量等），下级组织资源可用域集合是上级组织资源可用域集合的子集，所有下级组织的资源配额之和不能超过上级组织的资源配额。

图-1 UIS云平台的组织配额与物理资源的映射

3.      分级分权管理

UIS云平台内置1个顶级组织（即“私有云”）和1个云管理员用户（admin），默认配置4个角色（云管理员、组织管理员、普通用户、审计员），对应4个角色视图，每个角色视图对应一套既定的权限集。系统通过限定角色视图的资源可视范围和对应角色的操作权限来控制用户在系统中的行为。

• 云管理员角色视图：

可以看到本系统中的所有资源（包括其他用户创建的资源），拥有云资源、云服务、云运维、系统等全部视图；拥有本系统的最高权限（所有权限），其他角色视图的权限集都是云管理员角色视图权限集的子集；云管理员负责全系统的组织机构规划和总体规划。

• 组织管理员角色视图：

可以看到本组织内的所有资源（包括组织内其他用户创建的资源），拥有云服务、以及本组织运维（组织机构、配额管理、业务监控、告警、流程工单）视图；拥有本组织内资源的最高操作权限；组织管理员负责本组织内的组织机构规划（创建和维护本组织内的子组织、用户、角色及相关权限）；

• 普通用户角色视图：

只能看到本用户创建的资源，其操作行为限制在云服务、以及告警视图内；对面向本用户的资源拥有所有操作权限，对组织内的共享资源有查询/查看权限（只读）；

• 审计员角色视图：

只能看到本系统的操作日志，只拥有操作日志视图；只有“操作日志查看”权限；

4.      多租户应用场景

UIS云平台多租户典型应用场景示意如下：

图-2 UIS云平台多租户典型应用场景示意图

 

1. 基于3台UIS服务器节点搭建超融合基础设施，配置好UIS标准版管理平台。

2. 在UIS标准版管理平台上一键部署UIS云平台。

3. IT运维人员以“云管理员”身份登录UIS云平台，按照业务部门划分租户（如研发部门、财务部门、市场部门），为每个租户分配资源可用域及资源配额、创建组织管理员。

4. 业务部门的组织管理员在资源可用域及配额的限制下，配置本租户的网络/子网、防火墙、镜像等基础资源，创建本组织的用户。

5. 普通用户在流程控制下申请使用云主机、云硬盘等云服务。

6. 在云平台的控制下，各业务部门（研发部门、财务部门、市场部门）之间资源隔离、网络隔离、安全配置隔离。