文档中心API Explorer
ZHEN
文档中心ZCF云联邦ZCF

云联邦

ZCF 云联邦用于接入和组织 ZStack Cloud、ZStack Zaku、ZStack ZStone 等组件或环境,形成 ZCF 的统一管理范围。完成接入后,管理员可基于接入关系下发 SSO 配置、查看可用区信息,并为资源采集和可观测分析提供数据基础。

本章介绍如何接入和维护平台、配置 SSO、查看可用区信息,以及接入安恒天池等生态服务。统一门户中的登录体验和跨组件访问能力,会受云联邦接入关系和 SSO 配置影响。

核心概念

概念 说明
ZCF 云联邦 用于接入和组织 ZStack Cloud、ZStack Zaku、ZStack ZStone 等组件或环境。完成接入后,统一认证、资源采集和可观测分析可围绕接入关系开展。
接入平台 已纳入 ZCF 云联邦管理范围的组件实例或生态服务,例如 ZStack Cloud、ZStack Zaku、ZStack ZStone 或安恒天池。接入后,相关对象会出现在接入平台列表中。
接入配置 用于连接目标组件或生态服务的信息,包括接入地址、端口、认证方式、认证凭据、归属范围和启用能力等。
连接状态 用于判断 ZCF 是否可以访问接入平台。连接异常时,请先检查目标地址、端口、网络连通性和认证信息。
启用能力 接入时选择启用的能力,例如资源采集、监控采集、日志采集或 SSO 联邦。可选能力以页面展示和目标平台支持情况为准。
平台详情 用于查看单个接入平台的连接信息、启用能力、资源统计和同步状态,是确认接入结果和排查接入问题的主要页面。
身份源 用于提供统一认证能力的配置来源。添加 ZIAM 身份源后,可将对应 SSO 配置下发到已接入平台。
平台 SSO 配置 身份源与接入平台之间的配置关系。下发完成后,目标平台可使用对应 SSO 配置。
可用区 用于表达资源归属范围的管理视角。可用区管理页面可用于查看默认可用区、绑定的 Cloud、关联平台数量、资产数量和同步状态。
生态服务接入 将安恒天池等生态服务纳入 ZCF 访问与认证体系。完成接入和 SSO 配置下发后,可从默认可用区中的生态服务页面访问对应控制台。

接入组件与生态服务

通过接入平台,可将 ZStack Cloud、ZStack Zaku、ZStack ZStone 等基础设施组件,以及安恒天池等生态服务纳入 ZCF 云联邦管理范围。接入完成后,用户可在接入平台列表中维护连接关系,并根据产品类型继续配置统一认证、资源采集或生态服务访问能力。

本节介绍基础设施组件接入、接入关系维护,以及生态服务接入相关操作。

接入平台

前提条件

接入前,请完成以下准备:

  • 确认目标产品或生态服务的管理地址可从 ZCF 环境访问。
  • 准备目标产品或生态服务的认证信息,例如用户名密码、AK/SK 或 Token 等。
  • 确认需要启用的能力,例如资源采集、监控采集、日志采集或 SSO 联邦。实际可选项以页面展示和目标平台支持情况为准。

背景信息

通过接入平台,可将 ZStack Cloud、ZStack Zaku、ZStack ZStone 等基础设施组件纳入 ZCF 云联邦管理范围。平台接入后,ZCF 才能基于接入关系识别资源来源、下发相关配置,并为可观测性组件提供资源、监控或日志数据。

操作步骤

  1. 在主菜单右上角切换至全局管理
  2. 进入云联邦 > 接入平台
  3. 按页面提示新增接入平台。
  4. 按页面提示填写接入平台配置。
    配置项 说明
    产品类型 选择需要接入的基础设施组件或生态服务类型,例如 ZStack Cloud、ZStack Zaku、ZStack ZStone、安恒天池等。不同类型对应的参数和可启用能力可能不同。
    名称 接入平台在 ZCF 云联邦中的显示名称。建议使用可识别环境或用途的名称。
    接入地址(Endpoint) 目标产品或生态服务的访问地址。请填写可从 ZCF 环境访问的管理地址或服务地址。
    端口 目标服务访问端口。页面可能根据产品类型给出默认端口或占位提示;如实际环境使用自定义端口,请按实际端口填写。
    认证方式 用于访问目标平台的认证方式。不同产品类型可能使用用户名密码、AK/SK 或 Token 等方式。
    归属范围 接入平台所属的管理范围。基础设施组件通常归属到可用区;平台能力组件或生态服务可归属到全局管理。可选项以页面展示为准。
    启用能力 选择接入后需要启用的能力,例如资源采集、监控采集、日志采集或 SSO 联邦。可选能力取决于目标平台类型、部署状态和授权状态。
  5. 执行连接测试,确认目标平台可访问且认证信息可用。
  6. 保存接入配置后,在接入平台列表中查看连接状态。

结果

接入完成后,请在接入平台列表中确认连接状态,并进入平台详情查看归属范围、启用能力、资源统计和同步状态。若后续仪表盘、报表、监控查询或日志查询中缺少数据,请优先检查对应平台是否已接入、连接是否正常,以及采集能力是否已启用。

后续操作

Note: 如果连接测试失败,请先检查目标地址、端口、网络连通性和认证信息。连接测试通过后再保存接入配置,可减少后续资源采集、SSO 下发或可观测分析失败的风险。

管理接入平台

平台接入后,可在接入平台列表中查看连接状态、平台类型、启用能力和更新时间,并对接入信息进行维护。该页面也是排查 SSO 下发、资源采集和可观测数据缺失问题的起点。

操作 说明
搜索与筛选 按平台名称、地址、产品类型或连接状态查找目标平台。
查看详情 查看单个接入平台的连接信息、归属范围、启用能力、资源统计和同步状态,确认平台是否按预期纳入管理范围。
测试连接 重新检查目标平台是否可访问,以及当前认证信息是否可用。
编辑接入信息 按需修改接入地址、认证信息、归属范围或启用能力。修改后建议再次执行连接测试,并确认相关采集或 SSO 配置是否仍符合预期。
删除接入平台 解除 ZCF 与目标平台之间的接入关系。该操作不会删除底层产品实例,也不会删除已创建的可用区。

如果 ZCF 可观测性组件中缺少某个平台的资源、监控或日志数据,请先在接入平台中确认该平台连接状态正常,并检查对应启用能力是否已开启;如果统一认证不可用,请确认目标平台已接入,并检查 SSO 配置是否已下发。

接入生态服务

背景信息

通过接入平台,可将安恒天池等生态服务纳入 ZCF 云联邦管理范围。完成服务接入和 SSO 配置下发后,用户可在默认可用区中访问对应控制台。

操作步骤

  1. 在主菜单右上角切换至全局管理
  2. 进入云联邦 > 接入平台
  3. 新增接入平台时,按页面提示填写安恒天池接入信息。
    配置项 说明
    产品类型 选择安恒天池,用于标识当前接入对象为生态服务。
    服务地址 安恒天池服务的访问地址。请填写可从 ZCF 环境访问的地址。
    端口 安恒天池服务访问端口。请按实际环境填写。
    AK/SK 用于对接安恒天池的访问凭据。请使用具备对接权限的 AK/SK。
    SSO 配置 用于将 ZCF 的统一认证配置下发到安恒天池。下发完成后,用户可通过统一认证访问安恒天池控制台。
  4. 执行连接测试,确认安恒天池服务可访问且认证信息可用。
  5. 保存接入配置后,在接入平台列表中查看连接状态。
  6. 进入云联邦 > 身份认证(SSO),将 SSO 配置下发到安恒天池。
  7. 切换至默认可用区后,通过安全 > 安恒天池访问安恒天池控制台。

后续操作

完成接入后,请确认以下项目:

  • 接入平台列表中,安恒天池连接状态正常。
  • SSO 配置已下发到安恒天池。
  • 当前账号具备访问安恒天池控制台的权限。
  • 切换至默认可用区后,可通过安全 > 安恒天池打开安恒天池控制台。

配置 SSO

身份认证(SSO)用于维护 ZIAM 统一认证配置,并将 SSO 配置下发到已接入平台。配置完成后,用户可通过统一门户中的统一身份认证登录访问已配置的平台。

配置 SSO 时,通常需要完成以下内容:

  • 添加 ZIAM 统一认证配置,确认认证服务器、认证协议和用户预配方式。
  • 将 SSO 配置下发到目标平台,使目标平台使用 ZIAM 作为统一认证来源。
  • 确认默认可用区中的用户、组织架构、成员组和项目等身份数据按预期纳入统一认证管理。

添加 ZIAM 统一认证配置

前提条件

添加配置前,请确认以下条件:

  • 页面中可正常展示可用的 ZIAM 认证服务器。
  • 当前环境已部署 ZIAM 统一认证服务,认证协议固定为 OIDC
  • 如页面提示缺少可用 ZIAM 认证服务器,请先检查 ZIAM 部署和服务状态。

背景信息

ZIAM 统一认证配置用于建立 ZCF 与 ZIAM 之间的 SSO 认证关系。配置保存后,系统会自动生成或获取客户端 ID、客户端密钥、OpenID 配置 URL 和回调地址等认证参数。

操作步骤

  1. 在主菜单右上角切换至全局管理
  2. 进入云联邦 > 身份认证(SSO)
  3. 身份源页签中,点击添加 SSO 配置
  4. 按页面提示配置 ZIAM 统一认证信息。
    参数 说明
    名称 SSO 配置的显示名称,用于在身份源列表和平台 SSO 配置页签中识别该配置。
    ZIAM 认证服务器 选择用于统一认证的 ZIAM 实例。页面会显示当前可用的 ZIAM 认证服务器;如页面提示缺少可用 ZIAM 认证服务器,请先确认 ZIAM 部署和服务状态。
    认证协议 固定为 OIDC。当前版本通过 OIDC 与 ZIAM 建立 SSO 认证关系。
    用户预配模式

    选择用户账号进入目标平台的方式。

    • SCIM:由身份源提前同步用户,适合需要在用户登录前完成账号准备的场景。
    • JIT:用户通过 SSO 登录时,平台根据身份源返回的信息即时创建或更新账号。
    用户组预配模式

    选择用户组信息进入目标平台的方式。

    • SCIM:由身份源提前同步用户组,适合由身份源统一维护用户组关系的场景。
    • JIT:用户通过 SSO 登录时,平台根据身份源返回的用户组信息即时更新用户组关系。
  5. 点击确定保存配置。

后续操作

Note: 如果 ZIAM 不可用,或无法获取自动生成的认证参数,则无法新增、编辑或下发 SSO 配置。请先修复 ZIAM 服务后重试。

下发 SSO 配置

前提条件

下发 SSO 配置前,请确认已完成以下准备:

  • 目标平台已接入 ZCF 云联邦。
  • 已添加可用的 ZIAM 统一认证配置。
  • 目标平台当前未处于不可用或维护状态。

背景信息

创建 ZIAM 统一认证配置后,需要在平台 SSO 配置页签中将配置下发到目标平台。下发完成后,目标平台即可使用 ZIAM 统一认证登录。

操作步骤

  1. 在主菜单右上角切换至全局管理
  2. 进入云联邦 > 身份认证(SSO)
  3. 打开平台 SSO 配置页签。
  4. 选择需要下发的 ZIAM 统一认证配置。
  5. 选择需要启用该 SSO 配置的目标平台。
    可选平台以页面中显示的选项为准。
  6. 点击下发 SSO 配置
  7. 在平台列表中查看配置状态,确认目标平台是否已完成配置。

查看可用区信息

背景信息

可用区管理用于查看默认可用区及其接入关系。接入 ZStack Cloud、ZStack Zaku、ZStack ZStone 等基础设施组件后,可通过该页面确认产品环境是否归入预期范围,以及资产和同步状态是否正常。

信息项 说明
默认可用区 用于承载当前环境中的基础设施组件接入关系。
绑定平台 查看默认可用区绑定的 ZStack Cloud,以及关联的 ZStack Zaku、ZStack ZStone 等平台数量。
资产数量 查看该可用区下已识别的资源数量。
同步状态 查看最近一次同步状态,用于判断资源归属和资产数据是否按预期更新。

操作步骤

  1. 在主菜单右上角切换至全局管理
  2. 进入云联邦 > 可用区管理
  3. 查看默认可用区、绑定平台、关联平台数量、资产数量和同步状态。

后续操作

如果可用区信息或资产数量不符合预期,请回到接入平台页面确认平台连接状态、归属范围和启用能力。

上一篇统一门户