Обзор

MWS — облачная платформа, представляющая собой набор связанных сервисов для распределенных вычислений. Платформа позволяет быстро получить доступ к облачным вычислительным ресурсам в тех объемах, в которых это необходимо на текущий момент.

Ключевые особенности

• Доступ и к различным облачным ресурсам и управление ими.
  MWS предоставляет различные категории облачных сервисов и ресурсов, например, виртуальные машины, хранилища данных, виртуальные сети и многие другие. Управление ресурсами осуществляется с помощью стандартных интерфейсов: веб-интерфейса консоли, интерфейса командной строки (CLI) и публичного API.
• Гибкость администрирования.
  Платформа включает в себя инструменты управления и администрирования облачных сервисов:

  • Resource Manager для удобного структурирования ресурсов,
  • IAM (Identity & Access Management) для управления пользователями и доступом,
  • Billing для оплаты и контроля за расходами.
• Надежность и доступность.
  В основе платформы MWS лежит отказоустойчивая ИТ-инфраструктура, созданная на базе современного программно-аппаратного обеспечения от ведущих мировых производителей и размещенная в партнерских и собственных дата-центрах компании МТС, которые соответствуют уровню надежности TIER III по стандарту TIA-942 и методологии Uptime Institute.

Управление ресурсами (Resource Management)

MWS позволяет структурировать облачные ресурсы, объединяя их в проекты внутри организаций, в соответствии с гибкой иерархической моделью. Пользователи платформы также существуют внутри организаций (т.е. являются членами одной или нескольких организаций), при этом их доступ может быть ограничен конкретным проектом или ресурсом.

Ресурсная модель

Ресурсная модель MWS представляет собой иерархию: Организация > Проект > Ресурс.

Все ресурсы – виртуальные машины, диски, сети и другие — размещаются в проектах. Проекты всегда принадлежат организациям. Организации полностью изолированы и никак не взаимодействуют друг с другом в рамках функционала MWS.

• Организация.
  Организация включает в себя как минимум один проект, в рамках которого сгруппированы ресурсы. Возможно добавлять в организацию новые проекты, а также биллинг-аккаунты.
• Проект.
  Проект позволяет группируют ресурсы MWS по какому-либо признаку – для удобства использования.
• Биллинг-аккаунт.
  Биллинг-аккаунт (платежный аккаунт) - это некий "кошелек", с помощью которого можно оплачивать ресурсы в облаке. Фактически биллинг-аккаунт представляет собой особый ресурс, которым можно управлять при помощи специальной роли Billing Admin. Каждый биллинг-аккаунт может быть привязан к одному или нескольким проектам. Подробнее о биллинг-аккаунтах...

Управление пользователями и доступом (IAM)

MWS позволяет организовать доступ к ресурсам так, что операции над ресурсами могут выполнять только пользователи с необходимыми правами доступа. Доступ к ресурсам в MWS настраивается назначением пользовательскому аккаунту той или иной роли (role) или ролей на уровне организации, ее отдельного проекта или ресурса.

Ролевая модель

Доступ к ресурсам определяется набором разрешений, которые есть у пользователя. Перед выполнением любой операции с ресурсом сервис IAM осуществляет проверку, разрешена ли эта операция для пользователя. Если разрешение на выполнение операции есть в списке разрешений пользователя, то IAM не блокирует выполнение операции; в противном случае выводится ошибка.

Конкретный набор разрешений называется ролью. Роль выдается пользователю в рамках определенной области видимости (scope) – то есть, действие роли ограничивается данной областью видимости.

Области видимости

В ролевой модели MWS предусмотрены следующие области видимости:

• организация,
• проект,
• ресурс,
• биллинг-аккаунт.

Роли

Пользователю в рамках различных областей видимости можно назначать любую из базовых ролей:

• Viewer – роль позволяет просматривать данные о ресурсах без возможности их изменения. Область видимости: Организация, Проект, Ресурс.
• Editor – роль позволяет просматривать, создавать, удалять и изменять ресурсы. Типичный пользователь роли – DevOps-инженер или разработчик, использующий облако в своей работе. Область видимости: Организация, Проект, Ресурс.
• Admin – роль позволяет просматривать, создавать, удалять и изменять ресурсы, управлять биллингом (только при назначении роли на организацию), иерархией ресурсов и доступом к ресурсам. Типичный пользователь роли – DevOps-инженер или администратор, отвечающий в целом за управление облаком. Область видимости: Организация, Проект, Ресурс. При назначении роли Admin на проект или ресурс доступа к управлению биллингом не будет.
• Billing Admin – роль позволяет управлять биллингом (без доступа к ресурсам). Типичный пользователь роли – руководитель или финансовый контролер, отвечающий за бюджет и расходы на облако. Область видимости: Организация (то есть, все биллинг-аккаунты организации), Биллинг-аккаунт (определенный).

Наследование прав доступа

В MWS существует наследование прав доступа от родительской области видимости к дочерней – от организации к проектам, от проектов к ресурсам. Например:

• Роль Admin на организацию позволяет администрировать все проекты и биллинг-аккаунты данной организации.
• Роль Viewer на организацию позволяет просматривать данные о всех ресурсах и проектах данной организации.

Биллинг

Биллинг – это сервис подсчета и оплаты всех расходов, связанных с потреблением облачных ресурсов, и формирования соответствующей отчетности. Подробнее о биллинге...