杭州飞致云信息科技有限公司 1 FIT2CLOUD 云管理平台 用户手册 版本(v3.0.54) 杭州飞致云信息科技有限公司 2022 年 4 月 杭州飞致云信息科技有限公司 2 目录 1 概述............................................................................................. ..100 杭州飞致云信息科技有限公司 5 1 概述 1.1 文档目的 面向使用云管理平台在线申请 IT 资源、应用运行环境的项目组应用开发测试、应用运 维人员，通过该手册了解云管平台的用户侧功能及相应的使用场景、操作使用方法。 1.2 阅读对象  应用开发测试人员  应用运维人员  云管平台实施人员 1.3 名词术语 名词 解释 基础架构平台 指为业务系统开发测试、运行提供运行环境资源的各类虚拟化平 是一种统一纳管虚拟化平台、私有云、公有云，整合对外提供在 线运行环境服务及全生命周期管理的平台。 F5 主流的硬件负载均衡产品，一直以来市场占有率非常高，直到 2021 年 3 月才被深信服超越。 云账号 用于 Human 用户登录云平台 Web 控制台的账号，以及用于给 应用通过 API 操作云平台需要的授权云平台 API 账号。 项目生命周期 指项目从开发测试、投产到系统运维、应用运维的整个过程。 杭州飞致云信息科技有限公司

...........................................................................................53 4 组织用户角色权限管理............................................................................................. .........................................................................................63 4.3.2 用户管理................................................................................................. ........................................................................77 4.3.5 配置对接 Radius 实现多因子认证................................................................. 86 5 资源及人员分权分域..................

..................................................................................... 27 9.3 LDAP 用户重复邮箱.............................................................................................. 27 CloudExplorer 基于 Prometheus 实现监控和告警功能 Redis 提供缓存服务 ElasticSearch 提供日志存储服务，可配置使用外部 ES 服务 Keycloak 提供 IDP 服务，用户统一认证中心，可以配置 SSO，或者对接 LDAP RabbitMQ 消息队列服务 杭州飞致云信息科技有限公司 5 InfluxDB 时序数据库服务，监控数据统计 2.1.2 基础模块 CloudExplorer SSO（系统中服务） IdP 和 SSO 单点登录 Gateway（gateway） 平台微服务网关 首页（dashboard） 自定义的信息门户 管理中心（management-center） 用户和租户管理、权限管理、系统配置 账单中心（billing-center） 按组织及工作空间的计 工单中心（ticket-center） 工单系统量计费 虚拟机服务（vm-service） 虚机自服务及运营

业务上云 测试 方案 迁移 混合 质量 功能、性能测试，云上云下对比 安全、容量、难度、风险、数据 接入服务、逻辑服务、数据存储、文件存储 混合云过度到全量公有云 服务调用质量、用户访问质量、 服务可用率 数据上公有云 • 冷迁移+增量 •同步中心数据同步 •切换过程停写 私有组件迁移上云 • 云上部署服务集群 •自行维护和迭代 •同步中心或主备 •业务切路由切换服务 Kubernetes多集群管理 Cluster1 Cluster2 ……. 应用服务管理 集群监控 集群日志 集群告警 基础设施监控 基础设施日志 基础设施告警 管理体系 业务管理 用户体系 权限 审计 安全 资源调度 服务监控 服务告警 远程日志 自动扩缩容 负载均衡 服务发现 CI/CD 蓝盾 OCI QCI 镜像仓库 CSIGHUB DockerImage IP跨集群访问 网络 •支持CLB •支持L5/CMLB •支持VIP 路由与服务发现 •StatefulsetPlus •原地重启 分批发布 •接口证书认证 •基于RBAC授权 权限控制 •基于项目管理 •角色鉴权认证 镜像仓库 •CBS(SSD/SATA) •Cehp/NFS 网络存储 •远端日志挂载 •页面日志查询 远程日志 CI/CD/CO 需求 设计 开发

⽉正式加⼊ FIT2CLOUD ⻜致云； • 荣获 2018 OSCAR 尖峰开源技术创新奖； • 《计算机信息系统安全专⽤产品销售许可证》 （公安部颁发） • IT 产品信息安全认证证书（中国⽹络安全审查技 术与认证中⼼颁发） 注：GitHub Star 数量统计截⾄ 2023 年 10 ⽉。 Star 22,200+ 90+ Contributors 累计安装部署超过 250,000 次 提供的堡垒机必备功能 身份验证 Authentication 登录认证 LDAP / AD 认证；CAS 认证； RADIUS 认证；⽀持单点系统对接（OpenID、OAuth 认证、SAML2 认证）；SSO 对接；⽀持扫码登录（企业微信、钉钉和⻜书）；（X-Pack） MFA 认证 OTP 认证； RADIUS ⼆次认证；短信认证（阿⾥云、腾讯云、华为云、CMPP v2.0）；（X-Pack） 实现多租户管理与权限隔离；全局组织功能； 访问控制（X-Pack） ⽀持⽤户登录资产时访问控制，包括接受、拒绝和复核； 账号管理 Accounting 账号列表 ⽀持查看所有账号信息； 账号模版 针对⽤户名和认证信息相同的账号，可以抽象为⼀个账号模版，快速和资产进⾏关联并⽣成账号； 账号推送 ⾃定义任务定期推送账号到资产； 账号收集（X-Pack） ⾃定义任务定期收集主机⽤户； 账号改密（X-Pack）

 一些规模较大分工较细的组织还会涉及跨部门小组的流程协作(比如投产环节，部 署完虚拟机后需要给安全部门提申请把虚拟机管理信息加入到堡垒机并授权，部署 配置监控代理、配置备份等)。 结果: 用户侧对于 IT 服务快速响应要求与管理侧 IT 服务响应速度较慢的矛盾越来越大。 图 2: "柜台式" IT 服务管理模式 针对以上申请运行环境时排期比较久的问题，可以通过云管平台改变服务模式来解决， 自动化部 署、整合运维工具联动自动化，简化协作流程减少 IT 服务部门内部协作。如图 3 所示。 杭州飞致云信息科技有限公司 软件用起来才有价值，才有改进的机会 8 具体服务方式过程改变为用户侧在线提交资源请求，IT 部门收到请求审批，审批后系 统代替人自动化操作各个虚拟化云平台以及运维工具进行部署交付，使得审批后就不用再等 待 IT 部门排期，以及过程中减少了部门间协作的交付过程时间，从而能够大幅减少排期等 公有云私有云负载均衡申请部署、变更 支持 公有云数据库 RDS 服务申请部署、变更 支持 公有云对象存储桶申请部署、变更 支持 查看各类资源申请订单审批进度、结果 支持 管理 多级组织管理 支持 用户管理（单账号多角色、LDAP 同步集成） 支持 角色权限管理 支持 分权分域管理(资源、人划分到各个组织、项目、个人范围管理) 支持 分级分组分类管理(按业务、按环境类型等，可自定义) 支持

应用程序。 AppProject CRD CRD 代表项目内应用程序的逻辑分组，它们管理允许应用程序管理资源的位置和方式。您可以使用 AppProject CRD 来限制允许 Argo CD 用户访问这些应用程序的位置和方式。管理 AppProject 实例 通常仅限于 Argo CD 管理员。 Argo CD API 服 服务 务器 器 公开 Web UI、CLI、持续集成(CI)和持续部署(CD)系统使用的 关于 RED HAT OPENSHIFT GITOPS 5 Argo CD 项目通过限制对 Git 存储库和远程集群的访问来控制 Argo CD 的行为。示例包括使用 Argo CD 项目来控制用户，方法是限制能够通过 Argo CD UI 或 Argo CD CLI 访问某些 Argo CD 应用程序或 集群资源。 Argo CD 仓库 仓库服 服务 务器 器(Argo CD-repo-server) 等 等资 资源的 源的 YAML 表示。 表示。 多租 多租户 户 软 软件架 件架构 构， ，单 单一 一软 软件 件实 实例 例为 为多个不同的用 多个不同的用户组 户组提供服 提供服务 务。 。 命名空 命名空间 间范 范围 围的 的实 实例（ 例（应 应用程序交付 用程序交付实 实例） 例） Argo CD 配置 配置为仅

使用者 集中了应用依赖的各种 资源 helm chart不足： • 面向开发者，对普通用户不友好 Horizon模板体系 第二部分 ├── Chart.yaml ├── README.md ├── schema ## 定义各种上层用户可理解的输入（支持前端自动渲染） │ ├── application.schema.json 关注点分离： • 业务关注产品化 • 管理员关注底层实现 • 运维人员关注特殊场景的人工介入 Horizon模板最佳实践 管理员可以通过快速的配置，将一个复杂 应用的关键配置快速暴露给用户使用，保 障用户进行最佳实践，例如： • 屏蔽复杂的资源配置：业务更容易理解 的标准资源规格 • 底层能力快速封装：混合云、服务网格 有了这样的模板，是否能直接apply使用 呢？ GitOps最佳实践 kind: Deployment metadata: name: demo spec: replicas: 3 ... GitOps in Horizon Horizon作为面向用户的统一界面，用户不感知 gitlab 和 argo CD GitOps in Horizon 应用生命周期->代码库的生命周期 GitOps in Horizon GitOps in Horizon

核心思想：无须关注底层资源，比如：CPU、内存和数据库等，只 需关注业务开发 用户运维 Cloud Vendor System Resource Serverless 化 / Serverless … CaaS (Compute as a Service) … BaaS (Backend as a Service) Serverless ≈ CaaS + BaaS 用户运维 Serverless 介绍 Physical … Serverless Computing BaaS CMQ 消息队列 AI 接口 IOT 平台 API 网关 Credis 云缓存 …. COS 对象存储 CDB 云数据库 终端用户 Ckafka COS … API GW HTTP Timer 调用 函数代码 依赖 本地 开发者 Serverless 介绍 Serverless 业务运维能力 业务运维能力 更细粒度的资源分配，更低的成本 ❑ 实时计算扩缩容 mvm Docker process Docker process … Function Memory CPU Network Serverless 用户 云厂商 Serverless vs. IaaS 运维能力对比 资源创建 业务部署 监控告警 故障排查 性能调优 安全保障 弹性扩缩 故障恢复 基本运维能力 核心运维能力 Serverless

(1) 用户不能在源目录或目标目录下创建相应文件了，因为文件名被占用了（如 rename /dir1/file1 /dir2/file2，既不能在 /dir1 目录下创建 file1，也不能在 /dir2 目录下创建 file2 ） (2) 并且因为存在硬链接，不能通过再次 rename 来获取成功（一般用户 rename 返回失败后，有可能希望再次执行 本地文件系统 差异 rename 全部步骤成功 / / 无 rename 过程中某一步骤失败 有可能会出现中间状态 （如 nlink 多加一了，同时存在 src、dst 的 dentry） 对于用户来说，一旦创建了硬链接也无法通过再次 rename 恢复 整个过程原子性，要么成功，要么失败则恢复原始状态，不存在中间状态 失败了可以再次尝试 rename 有 执行到某一步骤掉电 有可能存在中间状态