1 概述

苍穹gPaaS是一个多租户平台，在管理后台OMP中，管理员可以创建租户、创建项目组、添加用户、设置权限等。本文将介绍苍穹gPaaS的多租户体系，帮助用户更好地理解和使用。

在介绍之前用户需要了解，苍穹gPaaS与苍穹平台（星辰、星瀚的平台）使用两个不同的租户用户体系，两个平台之间的租户用户不能互通，需要在两个平台各自维护操作。并且苍穹gPaaS与苍穹平台使用的许可也不一样，是需要分别下载和导入的。

2 两个操作平台

苍穹gPaaS根据不同的角色，有两个入口，分别是管理后台和服务控制台。

管理后台：

苍穹gPaaS的管理员登录，用于租户和人员的管理、许可管理、操作审计以及各服务（容器服务、监控服务、中间件服务等）的后台配置管理。

服务控制台：

苍穹gPaaS用户登录并使用容器、监控等服务的统一控制台。用户需要管理员在管理后台添加并授权后，方可登录和使用服务控制台。

3 苍穹gPaaS多租户概念

管理员：

除了admin作为系统管理员外，还可以添加其它用户作为管理员，这样可以不使用admin账号登录后台，也有利于后台管理的操作审计。

租户：

苍穹gPaaS是一个多租户的云平台，租户可以对应“公司”或“组织”的概念，一个租户对应一个公司/组织。不同的租户之间是隔离的，一个用户可以加入到多个租户中，并通过切换租户进入到不同的租户工作空间中。苍穹gPaaS可以由后台管理员创建多个租户，并将用户加入到租户中。在其它的一些PaaS平台或公有云厂商中，会以开发商的名称来表示一个“公司”或“组织”的概念，在苍穹gPaaS中，我们也可以把租户理解为开发商。

项目：

在苍穹gPaaS平台中，项目是对资源的一种分组方式。如果租户或开发商类比于一个“公司”，那么项目类似于公司下的“部门”，“部门”之间的资源和权限是相互独立的。可创建多个项目来使用和管理资源，项目之间的资源服务相互隔离。例如，可以按照正式环境与测试环境设置不同项目，项目之间资源不冲突，可独立分配权限；也可根据不同的子公司、部门或团队设置不同的项目。

用户：

通过苍穹gPaaS管理员添加到租户和项目下，可以登录并使用gPaaS服务控制台的个人或企业员工。

用户组：

用户组既是一组用户的集合，同时也是一种“角色管理”的方式。可将同一管理属性的人进行分组，对同一用户组内的用户批量管理项目和权限。

权限：

苍穹gPaaS的访问权限，是用户访问项目内的各服务的凭证，与项目和服务进行关联后，才可访问和使用项目下的服务。可对不同的云资源授予给不同的用户或用户组。苍穹gPaaS提供了系统预设的资源权限，可直接使用，也可根据租户需要，自定义不同的访问权限。

用户、项目和权限组合管理：在苍穹gPaaS，用户（用户组）、项目和权限三者相互独立，又互为一体。只有将用户、项目和权限关联之后，用户才可正常使用服务，表示“XX用户可使用XX项目下的XX服务”。通过不同的组合可管理用户在不同项目中的不同权限，如：用户“小李”在“测试环境”项目中有“容器服务FullAccess（全部）权限”，可使用“测试环境”项目中容器服务的所有功能；而“小李”在“正式环境”项目中只有“容器服务ReadOnly（只读）权限”，在“正式环境”项目中只能查询相关信息。