.......................................................................................53 4 组织用户角色权限管理................................................................................................. .......................................................................................67 4.3.3 角色权限管理................................................................................................. 的日常使用场景中，应用开发测试、运维人员、以及系统运维人员中 一组特定的人需要隔离查看和管理其需要可见、使用管理的一组特定资源， 避免其他无关无权限的用户看到和操作以免影响工作和生产运行。为这组 特定的人和特定的资源创建的区域就是工作空间，一般会根据权限按项目、 按组织部门、按人创建。比如某个项目的开发测试人员，需要仅项目组成 员能看到和使用开发测试资源，就会为该项目的项目组成员和开发测试资

服务申请部署、变更 支持 公有云对象存储桶申请部署、变更 支持 查看各类资源申请订单审批进度、结果 支持 管理 多级组织管理 支持 用户管理（单账号多角色、LDAP 同步集成） 支持 角色权限管理 支持 分权分域管理(资源、人划分到各个组织、项目、个人范围管理) 支持 分级分组分类管理(按业务、按环境类型等，可自定义) 支持 归属关系管理（归属组织、项目、业务系统、人等） 支持 统管理员门户和组织管理员门户，分别 面向业务部门应用开发测试运维人员提供应用运行环境资源在线服务以及查找、操作管理， 面向 IT 管理员提供虚拟化、私有云、公有云资源纳管、自动同步、用户组织角色权限管理、 分权分域管理、生命周期管理、服务目录管理、逻辑资源池及网络分配管理、流程管理等。 如图 9 所示。 杭州飞致云信息科技有限公司 软件用起来才有价值，才有改进的机会 18 图 9: 、回收策略。 云管平台落地使用的过程为: 第一步: 资源池云账号纳管 IT 管理员纳管虚拟化、私有云资源池、公有云账号。 第二步: 存量资源分权分域 IT 管理员将存量资源按照资源访问管理权限进行分权分域，针对一组访问某些资 源的用户，创建工作空间(可按项目、按组织部门小组、按个人)，把这些用户和他们要访问 管理的资源都划分到相应的工作空间。之后这些用户登录云管门户后，就能看到自己要访问

- Authentication Accounting Authorization Auditing 追溯的保障和事故 分析的依据 防⽌身份冒⽤和复⽤ ⼈员和资产的管理 防⽌内部误操作 和权限滥⽤ 等级保护推动堡垒机发展 1994 1999 2008 2016 2019 《中华⼈⺠共和国计算机信息系统安 全保护条例》国务院 147 号令发布， ⾸次提出信息系统要实⾏等级保护， 并且确定了等级保护的职责单位。 ⽂件上传 / 下载；实现 Web SFTP ⽂件管理； ⼯单管理（X-Pack） ⽀持对⽤户登录⾏为进⾏控制；⽀持资产授权⼯单申请；⽀持⼆级审批流程； 组织管理（X-Pack） 实现多租户管理与权限隔离；全局组织功能； 访问控制（X-Pack） ⽀持⽤户登录资产时访问控制，包括接受、拒绝和复核； 账号管理 Accounting 账号列表 ⽀持查看所有账号信息； 账号模版 针对⽤户名 NFS DC 特⾊功能 内置多租户体系 管理员 组织 / 分公司 / ⼆级单位 组织 / 分公司 / ⼆级单位 组织 / 分公司 / ⼆级单位 组织管理员 组织管理员 组织管理员 权限管理 权限管理 权限管理 ⽤ 户 账 号 资 产 ⽤ 户 账 号 资 产 ⽤ 户 账 号 资 产 独⽴管理 独⽴审计 统⼀管理 统⼀审计 - 多租户使⽤管理模式 - 特⾊功能 软件

方案局限性大，安全性风险高 无法支持敏捷交付模式；手工维护成本 高，阻碍业务交付效率 面向多服务并行部署，安全发布， 0 维护负担 支撑云原生构建 / 运行环境，多云异构支持及企业 级登录权限支持 传统运维管理类平台 蓝鲸 Rainbond KubeSphere KubeVela 面向资源管理的运维工具集 面向开发者，需结合 CI/CD 工具额外搭建 全流程能力 专门面向开发者的生产力平台，涵盖全流程需求到 测试同时验证多个分支，集成合并冲突不断，自 动化测试遥遥无期，测试全靠人工验证 运维无脑排障、重启、删节点，沦为工具人…… “ “ ” ” 一系列问题（来自社区的声音）： 1. 业务边界清晰 2. 权限得到控制 3. 环境公开透明 4. 更新过程可追溯 Zadig — 托管项目方案 演示 -> 环境治理场景：数千开发者、 5 条业务线、多分支多环境协作 IoT 端云混合场景：打通云和端混合部署，实现一致性交付流程 研发排查问题困难，对于服务进行诊断，每有 一个资源设备都需要给研发单独分配 SSH 权 限，管理成本巨高。 开发 debug 过程需要登录统一的内网主机使 用 Kubectl 操作，权限不可控，风险大。 对于新上项目，面对不同的使用场景，需要创建多 条 Jenkins Job ，配置繁琐，维护负担重。 与 传 统 的 业 务 研 发 不 同 ， 电 动 汽 车 领 域 呈

运行效率低，管理维护成本高 方案局限性大，安全性风险高 无法支持敏捷交付模式；手工维护成本高， 阻碍业务交付效率 面向多服务并行部署，安全发布，0 维护负担 支撑云原生构建/运行环境，多云异构支持及企业 级登录权限支持 传统运维管理类平台 蓝鲸 Rainbond KubeSphere KubeVela 面向资源管理的运维工具集 面向开发者，需结合 CI/CD 工具额外搭建 全流程能力 专门面向开发者的生产力平台，涵盖全流程需求到 测试同时验证多个分支，集成合并冲突不断，自 动化测试遥遥无期，测试全靠人工验证 运维无脑排障、重启、删节点，沦为工具人…… “ “ ” ” 一系列问题（来自社区的声音）： 1. 业务边界清晰 2. 权限得到控制 3. 环境公开透明 4. 更新过程可追溯 Zadig — 托管项目方案 演示-> 环境治理场景：数千开发者、5 条业务线、多分支多环境协作 IoT 端云混合场景：打通云和端混合部署，实现一致性交付流程 一的管理平台。 研发排查问题困难，对于服务进行诊断，每有 一个资源设备都需要给研发单独分配 SSH 权 限，管理成本巨高。 开发 debug 过程需要登录统一的内网主机使 用 Kubectl 操作，权限不可控，风险大。 对于新上项目，面对不同的使用场景，需要创建多 条 Jenkins Job，配置繁琐，维护负担重。 与 传 统 的 业 务 研 发 不 同 ， 电 动 汽 车 领 域 呈 现 新

基础设施告警 管理体系 业务管理 用户体系 权限 审计 安全 资源调度 服务监控 服务告警 远程日志 自动扩缩容 负载均衡 服务发现 CI/CD 蓝盾 OCI QCI 镜像仓库 CSIGHUB DockerImage Docker Hub 跨地域、跨集群部署 分批灰度升级 测试、预发布、生产 容器登录 容器权限同步 PAAS服务支持 数据库 消息中间件 IP跨集群访问 网络 •支持CLB •支持L5/CMLB •支持VIP 路由与服务发现 •StatefulsetPlus •原地重启 分批发布 •接口证书认证 •基于RBAC授权 权限控制 •基于项目管理 •角色鉴权认证 镜像仓库 •CBS(SSD/SATA) •Cehp/NFS 网络存储 •远端日志挂载 •页面日志查询 远程日志 CI/CD/CO 需求 设计

服 务 集 成 实 施 服 务 协同场景 需求管理 任务管理 版本管理 迭代管理 自动化 缺陷管理 WiKi管理 流水线 质量红线 度量场景 总体度量 项目度量 平台管理 权限中心 凭证管理 项目管理 后台管理 运营场景 运营分析 …… 开发场景 测试场景 运维场景 代码仓库 单元测试 代码检查 制品管理 测试管理 UI测试 配置管理 自动部署 环境管理 存储 检测 告警 故障自愈 蓝鲸平台 管控平台 PaaS平台：开发框架/API集成 统一配置管理 模型定义 自动采集 配置维护 拓扑视图 配置消费 统一运维门户 可视化大屏、统一报表、统一权限、移动运维 变更 流程融合 事件 问题 请求 知识库 SLA 服务目录 流程引擎 运维流程管理 配置 平台 容器平台 作业 平台 视图 嘉为蓝鲸CO：数据分析与智能运营解决方案 中 配置数据写入 蓝鲸Agent linux win AIX 应用 中间件 数据库 存储 虚拟化平台 …… 外部数据源 蓝鲸CMDB 业务管理 主机资源管理 操作审计 事件推送 模型管理 实例管理 权限管理 拓扑管理 自动采集（采集适配器） 配置管理门户 数据分析 数据展示 数据质量 外部对接 功能示例 2、监控整体逻辑架构 监控采集 Agent插件采集 TCP/UDP HTTP(S)

SSO（系统中服务） IdP 和 SSO 单点登录 Gateway（gateway） 平台微服务网关 首页（dashboard） 自定义的信息门户 管理中心（management-center） 用户和租户管理、权限管理、系统配置 账单中心（billing-center） 按组织及工作空间的计 工单中心（ticket-center） 工单系统量计费 虚拟机服务（vm-service） 虚机自服务及运营 的时间是否同步，不一致则会跳转失败报错 500 9.2 镜像拉取失败 报错：net/http: TLS handshake timeout 处理： 1）检查服务器是否连通外网 2）检查服务是否有访问仓库权限 3）检查 docker login 是否登陆成功 9.3 LDAP 用户重复邮箱 报错：管理中心->同步用户后相同邮箱用户只能同步过来一个 处理：登录 Keycloak，修改配置开启重复邮箱

的日常使用场景中，应用开发测试、运维人员、以及系统运 维人员中一组特定的人需要隔离查看和管理其需要可见、使用管 理的一组特定资源，避免其他无关无权限的用户看到和操作以免 影响工作和生产运行。为这组特定的人和特定的资源创建的区域 就是工作空间，一般会根据权限按项目、按组织部门、按人创建。 比如某个项目的开发测试人员，需要仅项目组成员能看到和使用 开发测试资源，就会为该项目的项目组成员和开发测试资源创建

化。通过云原⽣技术和⼯程能⼒，建⽴企业多维度数字化能⼒，从业务、流程、质 量、成本管理，释放“数字⼯程师”⽣产⼒。 Zadig 研发数字化成功案例 企业案例 Zadig 价值运营指标 业务管理简单⾼效，⽀持 RBAC/ABAC 权限隔离 流程模版统⼀规划，产研协同更⾼效，⾃动化⼀切 质量建设有的放⽮，全流程内建安全，测试驱动开发 多视⻆资源管理，业务协同更透明，成本可观测 ⼯程师数字化协作，幸福度更⾼更专注 全触点研发运营数据，可管理，可度量，可提升