角色
矩尺可以自定义角色,也可以使用内置的5种角色,详见用户手册。
在这样一种场景中,以下5种角色可如此使用:
系统管理员
通过admin用户可以创建自定义角色、租户、用户。
系统管理员可以使用所有功能。
- 用于所有租户共享的SSL证书也需要由系统管理员创建。
租户管理员
租户管理员可以创建用于管理转发引擎的用户凭证(用户名密码或者公私钥),可以添加转发引擎或者第三方负载均衡。
这个角色用于为它负责的一个或者多个租户管理基础资源(比如网络资源),比如添加某类云上的虚拟机或者物理机作为转发引擎,并给转发引擎分配IP地址等。
租户管理员的权限仅局限于所在租户,但它是该租户内权限最大的角色!
应用管理员
负责配置实际业务的开发、测试或者运维人员。它可以创建服务器池、策略、虚拟服务,也可以查看监控定位问题。
应用运维
适合定位一些初级问题,比如查看监控图表等。
安全管理员
更新SSL证书和SSL策略。
租户
租户对应一个具体的组织,比如某个小组、部门或者分公司,或者管理某个业务的虚拟团队。 通常,每个租户会独占一个或者多个转发引擎。对于某些流量不确定的业务,也可以多个租户共享使用一套转发引擎集群。
用户
其中admin用户为内置系统管理员,该用户无法删除,忘记密码后可以通过SSH命令行工具找回。
其他用户都可以删除。
用户、租户与角色间的关系
- 一个用户可以同时属于多个租户;
- 同一时刻在web页面上只能看到一个租户下的资源,可以通过右上角切换不同的租户;
- 一个用户在一个确定的租户内,只能设置为一种角色;
因此,一个用户可以属于多种角色,但任意时刻只能属于一个租户内的一种角色。
管理上下文应用举例
设业务团队M中含有开发工程师小A,和实习助理小B,业务团队N中有应用运维工程师小C,这两个团队都由网络部门的小D负责分配网络资源。
矩尺交付平台由小E总负责,他决定为业务M分配2台私有云上的转发引擎,而业务N将使用它们部门的自有主机。
那么,系统将包含以下典型步骤:
- 小E使用admin账户创建租户M、N,将创建用户A、B、C、D,设置好小A为租户M中的应用管理员,小B为应用运维;设置好小C为应用管理员。设置小D为租房M、N的租户管理员;
- 小D添加转发引擎, 设用户A属于租户M中的角色,用户B属于租户M中的角色,用户C属于租户N,那么:
- A创建的资源,B可以看到,C却看不到;
- A