容器部署
本页用于客户侧私有化部署项目:FactVerse 运行在客户可控的容器环境中。范围包括 Kubernetes、OpenShift、Docker Compose 验证、离线镜像交付、镜像仓库、入口、存储、密钥、备份、升级和交接。
公开服务运行方式和网站部署细节不纳入本节。
前提条件
先确认部署模型。开始实施前,客户和项目团队应确认运行平台、网络区域、域名、TLS 负责人、镜像仓库访问、存储类、身份提供方、备份目标、监控平台、源系统和变更审批流程。
容器拓扑
运行选项
| 选项 | 典型用途 | 说明 |
|---|---|---|
| Kubernetes | 客户管理集群上的生产部署。 | 适用于客户已有标准容器平台、入口控制器、存储类、监控和备份流程的项目。 |
| OpenShift | 采用 OpenShift 作为标准平台的生产部署。 | 遵循客户的 project、route、SCC、镜像仓库和 operator 策略。 |
| Docker Compose | 实验室验证、试点验证、单节点验收和问题复现。 | 用于验证配置和培训流程。生产使用需要客户明确批准并完成资源规划。 |
| 离线交付 | 集群无法从外部镜像仓库拉取镜像的受限网络。 | 通过客户批准的传输路径交付镜像归档、校验文件、清单和升级包。 |
输入项
| 输入 | 需要确认的内容 |
|---|---|
| 运行平台 | Kubernetes 版本、OpenShift 版本、Docker Engine 版本、节点架构、namespace 或 project、资源配额。 |
| 镜像仓库 | 客户镜像仓库 URL、镜像导入方式、pull secret 负责人、tag 策略、扫描策略和离线传输流程。 |
| 网络 | 域名、DNS 负责人、ingress 或 route 类型、TLS 证书负责人、代理、防火墙和源系统访问路径。 |
| 存储 | StorageClass、持久卷容量、对象存储或文件存储路径、备份计划和恢复负责人。 |
| 数据服务 | 客户数据库、缓存、消息队列、搜索服务,或项目使用的托管数据服务。 |
| 密钥 | 数据库凭据、服务 key、IdP metadata、连接器凭据、加密 key 和轮换负责人。 |
| 身份 | 密码策略、企业 SSO、用户组映射、租户管理员、服务账号和回调 URL。 |
| 运维 | 监控负责人、日志平台、告警路径、备份负责人、维护窗口、升级审批人和支持负责人。 |
具体镜像名称、chart 名称、端口和环境变量由每个版本的交付包提供。
交付包
交付包应包含客户运行环境和安全流程需要的材料:
- 容器镜像或镜像仓库拉取说明;
- Helm chart、Kustomize overlay、Kubernetes manifest、OpenShift template 或 Docker Compose 文件;
- values 模板和环境配置检查表;
- namespace 或 project 初始化说明;
- 密钥和证书检查表;
- 初始化与迁移任务说明;
- release notes、兼容性说明、校验文件,以及按需提供的 SBOM 或漏洞扫描材料;
- 受限网络使用的离线包结构和导入步骤;
- 验证清单和交接 runbook。
实施步骤
- 确认客户运行平台、namespace 或 project、资源配额、存储类、入口类型、镜像仓库路径和变更窗口。
- 将所需镜像导入或拉取到客户镜像仓库。
- 创建 namespace 或 OpenShift project,并应用配额、网络策略和 service account 设置。
- 为数据库、存储、身份、连接器、license 和产品配置创建 secret 与 config map。
- 配置持久卷、对象存储、数据服务 endpoint 和备份目标。
- 配置 ingress、route、DNS、TLS 证书、代理和 SSO 回调 URL。
- 从批准的交付包部署 FactVerse 服务、连接器任务、迁移任务和初始化任务。
- 运行数据库迁移和租户初始化任务。
- 验证 pod、service、ingress、日志、健康检查 endpoint 和存储挂载。
- 创建租户管理员、用户组、角色、服务账号和初始产品模块。
- 从批准网络和代表性设备验证客户端访问。
- 用样例记录验证源系统集成,再启用定时同步。
- 记录部署清单、配置基线、备份流程、恢复测试计划、升级流程和支持路径。
预期结果
预期产出是一套客户可控的 FactVerse 容器环境,包含已批准的运行时归属、镜像交付路径、入口与 TLS 配置、存储和备份流程、身份集成、产品模块、源系统验证、监控路径和升级流程。
容器运维
| 范围 | 做法 |
|---|---|
| 扩缩容 | 定义 request、limit、副本数、自动扩缩容策略和容量复核周期。 |
| 升级 | 使用版本化镜像 tag、release notes、迁移任务、验证步骤和回退条件。 |
| 回退 | 按客户变更流程保留上一版镜像集、配置基线和数据库恢复点。 |
| 日志 | 将应用日志、入口日志、连接器日志和任务日志送入客户日志平台。 |
| 指标 | 监控 pod 健康、重启次数、CPU、内存、存储、队列积压、同步失败和 API 错误率。 |
| 证书 | 跟踪 TLS、IdP 和连接器证书到期时间,并规划轮换窗口。 |
| 密钥 | 使用客户批准的机制存放密钥,并定义轮换负责人。 |
| 备份 | 按恢复目标备份持久化数据、配置、文档、对象存储和数据库状态。 |
验证清单
- 集群或运行时版本已通过本次交付包要求。
- 镜像导入、镜像拉取和漏洞扫描要求已完成。
- namespace、资源配额、网络策略和存储类已配置。
- ingress、DNS、TLS、代理和 SSO 回调 URL 已验证。
- secret 和 config map 已按客户批准流程创建。
- 数据库迁移和初始化任务已完成。
- 管理员可以登录并进入目标租户。
- 目标范围内的产品模块已启用。
- 源系统集成通过样例数据验证。
- 备份和恢复责任已记录。
- 监控、日志、告警路径、支持联系人和维护窗口已记录。
常见问题
| 现象 | 检查 |
|---|---|
| 镜像拉取失败 | 镜像仓库路径、pull secret、镜像 tag、离线导入、证书信任和扫描门禁。 |
| Pod 反复重启 | 资源限制、缺失 secret、数据库路径、存储权限、启动依赖和迁移状态。 |
| 入口可打开但登录失败 | SSO metadata、回调 URL、租户分配、cookie 域、TLS 证书和时钟同步。 |
| 客户端连到错误环境 | 环境 URL、私有服务器 code、代理、缓存设置和版本通道。 |
| 集成任务无法访问源系统 | 防火墙、DNS、代理、服务凭据、源系统白名单和样例 payload。 |
| 升级无法推进 | 备份点、迁移预检查、镜像兼容性、配置差异和回退负责人。 |