管理员设计
概述
在智简园区中小型网络中有四个重要的角色,每个角色有其特定的职责,具体如表2-8所示。
角色分类 |
基本描述 |
由谁来创建 |
主要职责 |
|---|---|---|---|
平台运营商(Operator) |
也称为平台管理员或者系统管理员。 |
安装iMaster NCE-Campus时自行创建 |
|
网络管理服务提供商(MSP,Managed Service Provider) |
也称为云管理服务经销商,具有比较专业的网络建设和维护能力。 |
系统管理员 |
|
租户(Tenant) |
园区网络的管理和维护人员,基于自身的业务发展需要出资购买云化设备和服务,组建网络。 |
|
建设和维护园区网络,根据具备的IT能力分为2种场景:
|
终端用户(User) |
园区网络的最终使用者。 |
NA |
使用有线或者无线终端设备接入网络、使用网络。 |
规划管理员角色
智简园区中小型网络建设有多种方案去实现,不同方案下涉及到的管理员角色会有差别,请按照表2-9提前做好规划。
场景 |
说明 |
规划管理员角色 |
|||
平台管理员 |
MSP管理员 |
租户管理员 |
终端用户 |
||
华为公有云部署场景 |
【云服务模式】客户购买华为的公有云管理服务来管理其网络。 |
Y,由华为公司承担 |
Y,华为公司拓展下级MSP |
Y,可以由MSP管理员创建或者租户自注册 |
Y |
MSP自建云部署场景 |
【MSP运营模式】MSP购买iMaster NCE-Campus、分析器等软件做生意,软件可以部署在其数据中心或者公有云IaaS平台上。 |
Y,由MSP承担 |
Y,该场景下MSP即为系统管理员,同时MSP也拓展其下级MSP |
Y,仅支持由MSP管理员创建 |
Y |
本地部署场景 |
【传统模式】客户购买并拥有iMaster NCE-Campus、分析器等软件实体,软件可以部署在其数据中心或者公有云IaaS平台上。 |
Y,由企业主承担 |
Y,由企业给其内部员工自定义 |
Y,仅支持由MSP管理员创建 |
Y |
每级机构(平台、MSP、租户)均采用普通管理员、超级管理员和系统管理员的三级模型;其中,平台级管理除了超级管理员和系统管理员外,还可以根据要求生成其他类型的管理员,统为平台管理员。
- 由平台级管理员创建MSP超级管理员,在给MSP开户时指定超级管理员,然后由超级管理员指定和分配系统管理员。
- 租户超级管理员同样也是在开户时生成和指定,可以由MSP指定(代开户时),也可以由租户自己指定(自助开户时)。
- MSP和租户均可以根据自己的需求,决定是否需要配置普通的管理员。如果租户的站点较小(比如微型门店)或者用户没有专业的网络运维人员时,建议无需配置普通管理员,网络的运维可以交给MSP管理员代维。
- MSP代租户开户的同时会为租户预先分配代维人员。
分权分域
所谓分权分域,即按照角色、职责和所管理的区域为用户进行授权,将待操作的权限和范围控制到最合理的区间,减小误操作和越级操作引发的业务安全问题的发生概率。分权分域不合理或未进行分权分域,不仅会影响运维效率,更可能会引起用户操作到非管辖范围的网元或执行非本级别用户可被允许的危险操作,从而导致人为因素引发的业务中断。
分权分域以后,平台、MSP、租户在非授权的情况下,不能执行别的机构或者层次的功能。各级超级管理员只能对本级机构起作用,不能越权操作其他机构的权限。比如,平台超级管理员对MSP级的系统管理员没有任何操作权限,MSP级超级管理员不能对租户级超级管理员或者系统管理员进行操作。
对租户网络的授权管理范围的设计原则如下:
- MSP管理员:MSP管理员分配网络管理和配置权限,如果租户向MSP申请代维服务,MSP可直接对租户业务进行维护,此时MSP管理员具备管理全部设备范围的权限。
- 租户管理员:租户管理员具有网络设备状态查看权限和网络设备配置权限。建议对有运维能力的管理员下发网络设备配置权限;对于无运维能力的管理员下发网络设备状态查看权限,并授权给MSP管理员进行网络维护的权限。租户管理员可以管理的设备范围建议基于站点的范围进行授权,不同的租户管理员可以管理不同的站点设备。租户授权给MSP时,不支持分域,授权会将全部站点的权限授予MSP管理员。
