Организации
При регистрации Rediacc автоматически создает для вас организацию. Ваша организация является контейнером верхнего уровня для всех ресурсов — машин, репозиториев, подписок и участников команд.
Каждая организация включает:
- Уникальное имя (по умолчанию ваш email)
- План подписки (начинается с COMMUNITY)
- Команду по умолчанию (все участники присоединяются автоматически)
Участники и роли
Организации поддерживают три роли:
| Роль | Возможности |
|---|---|
| Owner | Полный контроль: биллинг, передача владения, управление всеми участниками и командами |
| Admin | Приглашение и удаление участников, создание и управление командами, отзыв API-токенов |
| Member | Просмотр данных организации, создание API-токенов, доступ к назначенным командам |
Приглашение участников:
# From the portal: Organization > Members > Invite
# Or via APIПри удалении участника его API-токены и токены config storage автоматически отзываются.
Команды
Команды позволяют ограничить область ресурсов внутри организации. Каждая организация начинается с команды по умолчанию.
Роли в команде:
- Team Admin: Может добавлять/удалять участников внутри команды
- Member: Может получать доступ к ресурсам в рамках команды
Владельцы и администраторы организации автоматически имеют доступ ко всем командам без явного членства.
Подписки и планы
Rediacc предлагает четыре плана:
| План | Машины | Лицензии репозиториев/мес | Срок действия сертификата делегирования (по умолч./макс.) | Возможности |
|---|---|---|---|---|
| COMMUNITY | 2 | 500 | 15d / 30d | Базовый |
| PROFESSIONAL | 5 | 5 000 | 60d / 120d | Группы разрешений, журнал аудита, кастомный брендинг, приоритетная поддержка |
| BUSINESS | 20 | 20 000 | 90d / 180d | Ceph, расширенная аналитика, приоритет очереди, продвинутая очередь |
| ENTERPRISE | 50 | 100 000 | 120d / 365d | Выделенный менеджер аккаунта |
Все планы начинаются с льготного периода в 3 дня. Активации машин отслеживаются по командам и автоматически освобождаются после неактивности. Подробнее о модели лицензий машин и репозиториев см. Подписка и лицензирование.
Биллинг
Только владелец организации может управлять биллингом:
- Создать сессию оплаты Stripe для повышения плана
- Получить доступ к порталу биллинга Stripe для изменения способа оплаты
- Запросить самостоятельный возврат средств (в течение 14 дней, с периодом ожидания 30 дней)
Регион данных
Ваш аккаунт хранится в регионе данных, который вы выбрали при регистрации (EU, US или Азиатско-Тихоокеанский). Этот выбор необратим. Значок региона в портале показывает, в каком регионе находятся ваши данные. Подробнее см. Регионы данных.
Канал Edge
Если ваш аккаунт находится на канале Edge, в боковой панели портала вы увидите значок “Edge”. Аккаунты Edge имеют удвоенные лимиты Community, но без доступа к платным планам. Подробнее о различиях между Edge и Stable см. Каналы выпуска.
Сертификаты делегирования
Для on-premise и изолированных (air-gapped) развертываний вы можете управлять собственными сертификатами делегирования через клиентский портал по адресу /account/delegation-certs. Страница видна всем клиентам независимо от уровня плана; различаются только значения срока действия по умолчанию для каждого уровня.
Разграничение по ролям
| Действие | Org Owner | Org Admin | Member |
|---|---|---|---|
| Просмотр / скачивание сертификатов | ✓ | ✓ | ✓ |
| Создание нового сертификата | ✓ | ✓ | ✗ |
| Отзыв сертификата | ✓ | ✓ | ✗ |
| Выпуск токена автообновления | ✓ | ✓ | ✗ |
| Обработка запроса обновления (air-gapped) | ✓ | ✓ | ✗ |
Участники могут просматривать список и скачивать существующие сертификаты (полезно для распространения на парк машин), но только владельцы и администраторы могут выпускать или отзывать их.
Ограничение на один активный сертификат
Подписка может иметь только один активный сертификат делегирования одновременно. Каждая on-premise установка применяет ежемесячные и на-машину квоты по собственному локальному реестру; наличие нескольких активных сертификатов умножало бы эффективную квоту без возможности сверки.
Если вы попытаетесь создать второй сертификат при уже активном, портал покажет диалог с двумя вариантами:
- Обновить (рекомендуется) - продлевает существующую цепочку. Все ранее выданные лицензии репозитория продолжают работать в рамках обновленного сертификата. Используйте этот вариант при ротации истекающего сертификата на той же on-premise установке.
- Отозвать и создать новый - удаляет существующую цепочку и начинает с нуля. Ранее выданные лицензии репозитория становятся неверифицируемыми после истечения срока действия СТАРОГО сертификата (
validUntil). Используйте только при переходе на новую on-premise установку с другим ключом подписи или при восстановлении после компрометации ключа.
Если вам нужны отдельные среды (production + staging + DR + мульти-регион), приобретите по одной подписке на каждую установку.
Настройка автообновления
Чтобы включить автообновление on-premise, нажмите Get auto-renew token на странице Delegation Certs. Это выпускает API-токен с областью delegation:renew (бессрочный) и показывает значения для вставки в файл .env вашей on-premise установки:
UPSTREAM_URL=https://www.rediacc.com
UPSTREAM_API_KEY=rdt_<token>Токен предоставляет права только на обновление сертификата делегирования - он не может читать или изменять другие ресурсы. Это единственный способ выпустить токен с областью delegation:renew; стандартный поток через /portal/api-tokens не включает эту область.
Обновление в изолированной среде (Air-gapped)
Если у вашей on-premise установки нет исходящего HTTPS-доступа, используйте поток офлайн-манифеста:
- На странице администрирования on-premise нажмите Download renewal request. Установка генерирует подписанный манифест с заголовком локальной цепочки.
- Перенесите манифест на сторону upstream (USB, зашифрованная почта или любой другой канал).
- На портале upstream нажмите Upload renewal request и выберите манифест. Upstream проверяет подпись манифеста, выпускает новый сертификат и возвращает его в виде скачиваемого файла
.json. - Перенесите новый сертификат обратно на on-premise и загрузите его через страницу администрирования on-premise.
Upstream отклоняет манифесты старше 7 дней. Полную инструкцию по установке см. On-Premise установка, а криптографическую схему см. Цепочка лицензий и делегирование.
Ограничение частоты запросов
Создание сертификатов ограничено 10 попытками за скользящие 24 часа на подписку, включая неудавшиеся попытки (коллизионный спам, некорректный ввод). При достижении лимита портал показывает значение Retry-After, указывающее, когда можно повторить попытку.