ZStack Cloud 5.4.0>ZStack Cloud 实践教程>高级功能>租户管理使用教程>典型应用场景

典型应用场景

快速使用租户管理

背景信息

租户管理模块是ZStack Cloud云平台提供的OA系统，支持组织架构、用户、项目管理等基础功能，还支持统一认证、工单管理、独立区域管理等高级功能。本场景以基础功能为例，介绍新用户快速使用流程。

示例使用流程如下：

admin创建组织架构树；
admin创建用户并将用户加入对应的组织架构；
admin指定部门负责人；
admin全局共享基本资源；
admin创建项目并指定项目负责人；
项目负责人创建自定义角色；
项目负责人为项目添加成员并绑定角色；
登录云平台。

假定客户场景如下：

该公司包含北京和上海两个子公司，需分别创建组织架构树，组织架构列表如下：

表 1. 组织架构列表
团队	子部门
Company-BJ	Sales-BJ
Company-SH	Dev-SH
Company-SH	QA-SH

部门负责人列表如下：

表 2. 部门负责人列表
部门	部门负责人
Company-BJ	Tomas
Sales-BJ	Ben
Company-SH	Frank
Dev-SH	Tom
QA-SH	Bill

用户列表如下：

表 3. 用户列表
姓名	用户名	密码	部门
Tomas	Tomas	password	Company-BJ
Ben	Ben	password	Sales-BJ
Amy	Amy	password	Sales-BJ
Shelly	Shelly	password	Sales-BJ
Bill	Bill	password	QA-SH
Sam	Sam	password	QA-SH
Chil	Chil	password	QA-SH
Frank	Frank	password	Company-SH
John	John	password	Dev-SH
Jack	Jack	password	Dev-SH
Tom	Tom	password	Dev-SH

项目列表如下：

表 4. 项目列表
项目	项目成员	项目负责人	项目成员角色
开发项目A-SH	Jack、Frank、John、Tom	Jack	普通项目成员
销售项目A-BJ	Tomas、Ben、Amy、Shelly	Tomas	普通项目成员

操作步骤

admin创建组织架构树
admin根据公司组织架构在私有云云平台创建组织架构树。

在ZStack Cloud主菜单，点击运营管理 > 租户管理 > 人员与权限 > 组织架构，进入组织架构界面，点击组织架构右侧加号，弹出创建组织架构界面。
可参考以下示例输入相应内容：
- 名称：输入组织名称
- 简介：可选项，可留空不填
- 类型：选择组织类型，可选择添加子部门或新团队，默认选择添加新团队
  说明: 添加子部门，需指定上级部门，在已添加的子部门或新团队中选择。
- 负责人：可选项，指定相应的用户作为负责人
- 部门运营管理员：可选项，可为新团队指定部门运营管理员，协助admin进行部门管理
  说明:
  
  部门运营管理员负责整个部门的运营管理，包括项目管理、工单审批、查看账单以及部门核心资源监控等。
  
  若用户已绑定其他角色，不支持设置为部门运营管理员。
  
  若用户已设置为部门运营管理员，不支持绑定其他角色。
- 配额设置：支持为组织手动设置配额，可设置的资源如下：
  - 计算资源：包括云主机数量、运行中云主机数量、CPU数量、GPU设备数量、内存、云主机调度策略数量、弹性裸金属实例的配额设置
  - 存储资源：包括云盘快照数量、数据云盘数量、可用存储容量、镜像数量、所有镜像容量、备份数据、可用备份容量的配额设置。其中，备份数据和可用备份容量配置项需同时拥有灾备服务模块许可证
  - 网络资源：包括VXLAN网络数量、三层网络数量、安全组数量、虚拟IP数量、弹性IP数量、端口转发数量、负载均衡器数量、监听器数量的配额设置
  - 其他：包括定时任务数量、定时器数量、资源报警器、事件报警器、通知对象、标签的配额设置
如图 1所示：
图 1. 创建组织架构

参考表 1，重复此步骤，完成组织架构树创建。
admin创建用户并将用户加入对应的组织架构
在ZStack Cloud主菜单，点击运营管理 > 租户管理 > 人员与权限 > 用户，进入用户界面，点击创建用户，弹出创建用户界面，请参考表 3，并根据以下步骤使用模板导入方式批量创建用户，并将用户加入对应的组织。
说明: 本示例场景中，项目列暂时留空不填；简介、邮箱地址、手机号码、编号可按需填写。
说明:
在创建用户界面，添加方式选择模板导入，操作步骤如下：

下载配置模板文件
点击下载模板按钮，下载csv格式的配置模板文件，如图 2所示：
图 2. 配置模板文件

说明: 用户名、姓名、密码为必填参数，且用户名必须全局唯一。

按规定格式填写用户的配置信息
配置模板包括表头和一行示例，编辑模板时需删除或覆盖该示例。
填写配置模板时，可参考以下示例输入相应内容：

姓名：输入用户姓名

用户名：设置用户名，作为登录名需全局唯一

密码：设置用户登录密码

简介：可选项，可留空不填

手机号码：可选项，输入用户手机号码

邮箱地址：可选项，输入用户邮箱地址

编号：可选项，输入用户编号，例如工号

组织架构：可选项，可将用户加入到一个或多个组织架构
说明:

组织架构必须为已有组织，输入格式：以符号"/"分隔，例如Company/Dev；

若组织架构路径重复，附带顶级部门uuid，例如Company(f11444d42701483791370e9f8b9300b9)/Dev；

同时加入多个组织，以"&&"分隔，例如Company/Dev&&Company/QA。

项目：可选项，可将用户加入到一个或多个项目
说明:

项目必须为已有项目，加入单个项目时，直接输入项目名称，例如project-01；

同时加入多个项目，以"&&"分隔，例如project-01&&project-02。

配置文件填写完成后，可通过浏览器直接上传到云平台，确认无误后点击确定按钮，云平台将根据配置文件开始创建用户，如图 3所示：
图 3. 添加配置文件
admin指定部门负责人

参考表 2，重复以下操作，为每个部门添加部门负责人。

在组织架构界面，点击右上角更多操作 > 更换部门负责人按钮，将对应用户指定为部门负责人。
admin全局共享基本资源

为了保证项目正常使用，需要全局共享云盘规格、计算规格、镜像、私有网络/VXLAN Pool等基本资源。

以镜像为例，在镜像管理界面，选中一个或多个镜像，点击操作 > 设置共享模式按钮，设置为全局共享，如图 4所示：
图 4. 全局共享资源

重复上述操作，全局共享其他基本资源。
admin创建项目并指定项目负责人
在项目界面，点击创建项目按钮，弹出创建项目界面。
可参考以下示例输入相应内容：
- 名称：设置项目名称
- 简介：可选项，可留空不填
- 项目配置方式：项目配置方式可选择手动设置或使用项目模板
  若选择手动设置方式，需设置以下内容：
  
  配额方式：设置项目配额，对项目资源总量进行控制
  
  计算资源：包括云主机数量、运行中云主机数量、CPU数量、GPU设备数量、内存、云主机调度策略数量、弹性裸金属实例的配额设置
  
  存储资源：包括云盘快照数量、数据云盘数量、可用存储容量、镜像数量、所有镜像容量、备份数据、可用备份容量的配额设置。其中，备份数据和可用备份容量配置项需同时拥有灾备服务模块许可证
  
  网络资源：包括VXLAN网络数量、三层网络数量、安全组数量、虚拟IP数量、弹性IP数量、端口转发数量、负载均衡器数量、监听器数量的配额设置
  
  其他：包括定时任务数量、定时器数量、资源报警器、事件报警器、通知对象、标签的配额设置
  
  如图 5所示：
  图 5. 配额设置
  若选择使用项目模板方式，需设置以下内容：
  
  项目模板：若选择项目模板方式设置项目配额，需选择已有的项目模板，可直接使用模板定义的配额来配置项目
  如图 6所示：
  图 6. 项目模板配额方式
- 所属区域：需指定项目所属的区域，一个项目只可归属于一个区域
- 回收策略：默认为无限制，也可选择指定时间回收或指定费用回收
  - 无限制：
    创建项目后，项目内资源默认一直处于启用状态。
  - 指定时间回收：
    
    项目有效期限不足14天时，项目成员登录云平台智能操作助手将弹出项目即将过期的提醒信息。
    
    项目过期后，项目内资源按照指定的控制策略回收。
    
    如选择指定时间回收，需设置以下内容：
    
    截止时间：设置项目到期时间
    
    回收动作：提供以下三种回收动作
    
    禁止项目成员登录：过期后，项目成员均禁止登录此项目，项目内资源（云主机、VPC路由器）仍将正常运行
    
    禁止项目成员登录且停止项目资源：过期后，项目内所有运行中的资源（云主机、VPC路由器）会被停止，项目禁止登录
    
    删除项目：过期后，项目会被删除，处于已删除状态，项目禁止登录，项目内所有资源（云主机、VPC路由器）会被停止
    
    说明: 项目内的VPC路由器停止后，其上的网络服务将停止，云主机将不能访问外网。
  - 指定费用回收：
    项目计费总额到达费用限额时触发项目过期，项目过期后，项目内资源按照指定的控制策略回收。
    如选择指定费用回收，需设置以下内容：
    
    费用限额：设置项目到期的费用限额
    
    回收动作：提供以下三种回收动作
    
    禁止项目成员登录：过期后，项目成员均禁止登录此项目，项目内资源（云主机、VPC路由器）仍将正常运行
    
    禁止项目成员登录且停止项目资源：过期后，项目内所有运行中的资源（云主机、VPC路由器）会被停止，项目禁止登录
    
    删除项目：过期后，项目会被删除，处于已删除状态，项目禁止登录，项目内所有资源（云主机、VPC路由器）会被停止
    
    说明: 项目内的VPC路由器停止后，其上的网络服务将停止，云主机将不能访问外网。
- 登录时间限制：可选项，可设置项目内成员允许/禁止登录项目的时间段
  若不设置，代表不限制登录时间。支持以下两种限制策略：按允许登录时间和按禁止登录时间。
  
  允许登录时间：可设置每天/每周某几天项目内成员可登录项目的时间。设置后，项目内成员仅可在允许登录时间段内登录项目
  
  禁止登录时间：可设置每天/每周某几天项目内成员不可登录项目的时间。设置后，项目内成员在禁止登录时间段内无法登录项目
  
  说明:
  
  若设置的时间段早于或包含当前云平台时间，限制策略在下个时间周期生效。
  
  若同时设置了项目回收策略和登录时间限制策略，优先执行项目回收策略。
- 项目负责人：可选项，指定相应的用户作为项目负责人
- 成员：可选项，添加相关用户进入项目作为项目成员
- 部门：可选项，将项目加载到部门，加载后支持按部门计费
- 计费价目：可选项，选择项目使用的计费价目，留空不填将使用默认计费价目
- 安全组限制：默认禁用，若启用，项目成员创建云主机时将强制绑定安全组
  说明:
  
  启用安全组限制前，需确保项目拥有至少1个安全组配额。
  
  启用安全组限制后，将为该项目创建一个默认安全组。
  
  支持通过全局设置（项目安全组限制开关）全局控制创建项目时安全组限制功能的启用状态。默认禁用，若启用，将默认为项目启用安全组限制。
  - 规则：可选项，启用安全组限制后，可在创建项目时直接设置安全组规则，也可在创建项目后设置
本场景请参考表 4创建开发项目A-SH（ZONE-SH）、销售项目A-BJ（ZONE-BJ）并指定项目负责人，其中项目负责人以外的选项可暂时不填。
项目负责人创建自定义角色

项目负责人可使用Chrome浏览器或FireFox浏览器打开项目登录界面（http://management_node_ip:5000/#/project），输入相应用户名和密码登录云平台。

如图 7所示：
图 7. 项目登录页面

在ZStack Cloud主菜单，点击运营管理 > 租户管理 > 人员与权限 > 角色，进入角色界面，点击创建角色，弹出创建角色界面。

不同项目的项目负责人可参考以上步骤为项目创建角色。其中，用户可按需配置普通项目成员权限服务。
项目负责人为项目添加成员并绑定角色

项目负责人在项目详情页点击成员 > 添加项目成员，可参考表 4为本项目添加成员并绑定角色。

不同项目的项目负责人可参考以上步骤，为项目添加成员并绑定角色。
登录云平台

加入项目并赋予角色的用户，可正常登录并使用平台资源，进行各种操作。项目成员可使用Chrome浏览器或FireFox浏览器打开项目登录界面（http://management_node_ip:5000/#/project），输入相应用户名和密码登录云平台。

项目成员登录云平台后，其所属全部项目以卡片形式陈列，选择项目进入。

如图 8所示：
图 8. 选择项目

后续操作

至此，租户管理快速使用介绍完成。

平台管理

自定义权限配置：自定义网络管理员

背景信息

ZStack Cloud支持API粒度的权限控制，使用自定义角色权限来满足用户不同场景的需求，本场景以自定义网络管理员角色为例进行介绍。

示例使用流程如下：

admin创建平台用户（Jerry）；
admin自定义网络管理员平台角色；
将网络管理员角色绑定到用户（Jerry）。

假定客户场景如下：

上海某公司需要构建网络管理员角色，拥有二层网络、三层网络、网络服务、公网计费等网络相关所有权限，协助admin共同管理云平台网络资源。

表 1. 网络管理员角色权限列表
权限服务	备注
计费管理相关接口	提供计费相关功能，用于公网IP计费。
镜像服务器相关接口	提供镜像服务器功能，添加云路由镜像，用于创建云路由器、VPC路由器。
集群相关接口	提供集群相关功能，二层网络加载到集群才能正常使用。
镜像相关接口	提供镜像相关功能，添加路由器镜像，用于创建VPC路由器。
计算规格相关接口	提供计算规格相关功能，创建路由器规格，用于创建VPC路由器。
二层网络资源相关接口	提供二层网络相关功能，支持L2NoVlanNetwork、L2VlanNetwork、VxlanNetwork类型二层网络。
三层网络相关接口	提供三层网络相关功能，支持公有网络、扁平网络、VPC网络。
网络服务相关接口	提供网络服务相关功能，包括：安全组、虚拟IP、弹性IP、端口转发、负载均衡、SNAT、DHCP、IPsec等网络服务。
OSPF相关接口	提供OSPF动态路由相关功能，作用于VPC路由器。
路由资源相关接口	提供VPC路由器、VPC网络等相关功能。
云主机相关接口	提供云主机相关功能，用于创建VPC路由器。
VPC相关接口	提供VPC路由器及VPC网络等相关功能。
区域相关接口	提供区域相关功能，网络资源具有区域属性，加载到区域才能正常使用。
ZWatch相关接口	提供报警相关功能，用于路由器、三层网络、虚拟IP相关报警。

操作步骤

admin创建平台用户（Jerry）
在ZStack Cloud主菜单，点击运营管理 > 租户管理 > 人员与权限 > 用户 > 本地用户，进入本地用户界面，点击创建用户，弹出创建用户界面。
说明: 如已添加ZStack IAM认证服务器，不支持创建本地用户，仅支持创建统一认证用户。
在创建用户界面，添加方式选择自定义，可参考以下示例输入相应内容：
- 姓名：输入用户姓名
- 简介：可选项，可留空不填
- 用户名(用于登录)：设置用户名，作为登录名需全局唯一
- 密码：设置用户登录密码
- 确认密码：再次输入登录密码
- 直系部门：可选项，可将用户直接添加至对应的部门中
- 手机号码：可选项，输入用户手机号码
- 邮箱地址：可选项，输入用户邮箱地址
- 编号：可选项，输入用户编号，例如工号
- 平台角色：可选项，可为用户指定一个或多个平台角色，指定后需设置管理区域
  说明:
  
  用户绑定平台角色后，将拥有对应区域的管理权限。平台角色的权限仅在用户自身管控的区域内生效。
  
  用户绑定平台角色后，需要从项目登录入口登录云平台。
  - 管理区域：设置平台角色管控的区域
    说明:
    
    选择区域后，用户将只可管控指定区域。
    
    一个平台角色可管控多个区域，一个区域可由多个平台角色共同管控。
- 项目：可选项，可将用户加入到一个或多个项目
  说明: 用户加入项目并绑定项目角色后，将拥有该项目的使用权限，管控项目内的数据。
如图 1所示，点击确定按钮，创建平台用户（Jerry）。
图 1. 创建用户
admin自定义网络管理员平台角色
在ZStack Cloud主菜单，点击运营管理 > 租户管理 > 人员与权限 > 角色，进入角色界面，点击创建角色，弹出创建角色界面。
创建角色分为以下三步：
1. 基础信息
  可参考以下示例输入相应内容：
  
  名称：设置角色名称
  
  简介：可选项，可留空不填
  
  角色类型：选择平台角色
  说明: 网络管理员属于平台成员。
  
  根角色：设置根角色，根角色用于限制自定义角色的权限范围，自定义角色的权限继承自根角色，为根角色权限的子集。
  如图 2所示：
  图 2. 配置基础信息
2. 界面权限
  按照上述网络管理员角色权限列表选择权限服务以及权限配置
  如图 3所示：
  图 3. 配置界面权限
3. 确认信息
  检查将要创建的角色，支持跳转修改，如图 4所示：
  图 4. 确认信息
将网络管理员角色绑定到用户（Jerry）

在用户界面选中已创建的用户Jerry，点击操作 > 修改平台角色按钮，在弹出的修改平台角色弹窗中选择网络管理员，点击确定按钮，将网络管理员角色绑定到用户（Jerry）。

如图 5所示：
图 5. 将网络管理员角色绑定到用户

将网络管理员角色绑定到用户（Jerry）后，Jerry拥有网络管理相关权限，支持网络相关所有操作，支持协助admin共同管理云平台网络资源。