北京
企業用 Cloudflare 的人越多,管理員越像在玩打地鼠——每個賬號都要單獨登錄、單獨授權、單獨看報表。2022年,一家全球零售巨頭的安全團隊向 Cloudflare 反饋:他們的工程師分布在 47 個獨立賬號里,做一次全公司安全審計要切換賬號 200 多次。
這就是多賬號架構的悖論:它給一線團隊松了綁,卻把枷鎖套在了管理員脖子上。
Cloudflare 今天宣布 Organizations 功能進入公測。這不是簡單的"賬號聚合",而是在現有租戶系統(Tenant)之上新建了一層管理平面——讓超級管理員能跨賬號看用戶、配策略、拉數據,而不必被塞進每個子賬號的權限列表里。
從"最小權限"到"管理噩夢"
企業搞多賬號的初衷很合理:安全團隊管防火墻規則,開發團隊管 Workers,網絡團隊管 CDN——各玩各的,互不干擾。Cloudflare 的 RBAC(基于角色的訪問控制)雖然能細粒度授權,但枚舉每個資源太麻煩,不如直接開新賬號。
問題是,當賬號數量膨脹到兩位數,管理員就成了"人肉同步器"。
每個新賬號都要手動添加管理員、分配角色、配置合規策略。更脆弱的是,子賬號的超級管理員隨時能把上級管理員踢出去——權限鏈斷裂的風險真實存在。Cloudflare 產品團隊在內部復盤時打了個比方:這就像讓 CFO 去每個子公司當法人,才能看合并報表。
Organizations 的設計目標很明確:讓管理權限"上浮"到組織層,讓操作權限"下沉"到賬號層。
Org Super Administrator:看不見的影子權限
新引入的"組織超級管理員"角色是這套架構的核心。這類用戶對組織內所有賬號擁有超級管理員權限,但有個微妙設計:他們不會出現在任何子賬號的成員列表里。
這意味著什么?
一線團隊的賬號界面保持干凈——他們看不到"總部派來的管理員",但總部確實能管。權限變更不再需要雙向同步:在組織層加一個 Org Super Admin,立刻生效于全部賬號;在子賬號里踢人,也影響不了組織層的管理權。
賬號列表是 Organizations 的控制中樞。目前采用扁平結構,Org Super Admin 能把新賬號納入組織,前提是該賬號的超級管理員身份已驗證。Cloudflare 表示,這只是角色體系的起點,年內還會追加更多組織層角色。
技術實現上,Organizations 復用了 Cloudflare 為合作伙伴生態開發的 Tenant 系統。這套原本服務渠道商、托管服務商的基礎設施,被重新包裝后向企業客戶開放——相當于把"經銷商后臺"變成了"集團管控臺"。
內源開發的 18 個月
這個功能來自 Cloudflare 內部一次大規模內源(innersource)項目。工程師來自不同團隊,用開源協作的方式跨組開發,最終把 Tenant 的企業級能力產品化。
選擇內源而非封閉開發,某種程度上反映了 Cloudflare 自身的組織困境:他們自己也跑多賬號架構,內部各業務線需要隔離,但集團層面又要統一治理。 dogfooding(自己吃自己的狗糧)的過程,讓產品團隊對"管理員痛點"有了切膚之痛。
公測階段,Organizations 主要解決三類場景:
跨賬號用戶生命周期管理——入職、轉崗、離職時,不需要到每個賬號里點一遍;統一策略下發——安全基線、合規配置可以一次性覆蓋組織內全部賬號;聚合數據分析——財務、安全、運營報表能拉通看,而不是導出 20 張 CSV 手工合并。
Cloudflare 沒有公布定價細節,但提到 Organizations 面向 Enterprise 計劃客戶開放。考慮到 Tenant 系統此前主要服務合作伙伴,這次產品化也被視為 Cloudflare 向大型企業市場縱深推進的信號。
競爭對手的動作值得關注。AWS Organizations 已經跑了八年,Azure 有 Management Groups,GCP 有 Organization Policy。Cloudflare 的差異化在于:它不是云廠商的"資源管理器",而是網絡和安全層的"管控中樞"——客戶的多賬號可能分布在 AWS、Azure、GCP 上,但 Cloudflare 試圖成為跨云的那一層統一平面。
一位參與早期測試的金融科技公司 CISO 反饋,他們把生產、測試、合規三套環境拆在 12 個 Cloudflare 賬號里,過去做一次全量權限審計要兩周,現在降到兩天以內。
Cloudflare 的路線圖顯示,Organizations 年內會追加更多組織層角色,以及更細粒度的策略模板功能。但有個問題他們還沒回答:當組織規模大到需要嵌套層級(比如集團-事業部-子公司),扁平的賬號列表是否夠用?
如果你們的 Cloudflare 賬號已經超過 10 個,現在會申請公測,還是繼續等功能更完善再說?
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
