容器部署
本頁用於客戶側私有化部署專案:FactVerse 執行在客戶可控的容器環境中。範圍包括 Kubernetes、OpenShift、Docker Compose 驗證、離線映像交付、映像倉庫、入口、儲存、密鑰、備份、升級和交接。
公開服務執行方式和網站部署細節不納入本節。
前提條件
先確認部署模型。開始實施前,客戶和專案團隊應確認執行平台、網路區域、網域、TLS 負責人、映像倉庫存取、儲存類別、身分提供者、備份目標、監控平台、來源系統和變更審核流程。
容器拓撲
執行選項
| 選項 | 典型用途 | 說明 |
|---|---|---|
| Kubernetes | 客戶管理叢集上的生產部署。 | 適用於客戶已有標準容器平台、入口控制器、儲存類別、監控和備份流程的專案。 |
| OpenShift | 採用 OpenShift 作為標準平台的生產部署。 | 遵循客戶的 project、route、SCC、映像倉庫和 operator 策略。 |
| Docker Compose | 實驗室驗證、試點驗證、單節點驗收和問題重現。 | 用於驗證配置和培訓流程。生產使用需要客戶明確批准並完成資源規劃。 |
| 離線交付 | 叢集無法從外部映像倉庫拉取映像的受限網路。 | 透過客戶批准的傳輸路徑交付映像歸檔、校驗文件、清單和升級包。 |
輸入項
| 輸入 | 需要確認的內容 |
|---|---|
| 執行平台 | Kubernetes 版本、OpenShift 版本、Docker Engine 版本、節點架構、namespace 或 project、資源配額。 |
| 映像倉庫 | 客戶映像倉庫 URL、映像匯入方式、pull secret 負責人、tag 策略、掃描策略和離線傳輸流程。 |
| 網路 | 網域、DNS 負責人、ingress 或 route 類型、TLS 憑證負責人、代理、防火牆和來源系統存取路徑。 |
| 儲存 | StorageClass、持久卷容量、物件儲存或文件儲存路徑、備份計畫和復原負責人。 |
| 資料服務 | 客戶資料庫、快取、訊息佇列、搜尋服務,或專案使用的託管資料服務。 |
| 密鑰 | 資料庫憑據、服務 key、IdP metadata、連接器憑據、加密 key 和輪換負責人。 |
| 身分 | 密碼策略、企業 SSO、使用者群組對應、租戶管理員、服務帳號和回呼 URL。 |
| 維運 | 監控負責人、日誌平台、告警路徑、備份負責人、維護窗口、升級審核人和支援負責人。 |
具體映像名稱、chart 名稱、連接埠和環境變數由每個版本的交付包提供。
交付包
交付包應包含客戶執行環境和安全流程需要的材料:
- 容器映像或映像倉庫拉取說明;
- Helm chart、Kustomize overlay、Kubernetes manifest、OpenShift template 或 Docker Compose 文件;
- values 範本和環境配置檢查表;
- namespace 或 project 初始化說明;
- 密鑰和憑證檢查表;
- 初始化與遷移任務說明;
- release notes、相容性說明、校驗文件,以及按需提供的 SBOM 或漏洞掃描材料;
- 受限網路使用的離線包結構和匯入步驟;
- 驗證清單和交接 runbook。
實施步驟
- 確認客戶執行平台、namespace 或 project、資源配額、儲存類別、入口類型、映像倉庫路徑和變更窗口。
- 將所需映像匯入或拉取到客戶映像倉庫。
- 建立 namespace 或 OpenShift project,並套用配額、網路策略和 service account 設定。
- 為資料庫、儲存、身分、連接器、license 和產品配置建立 secret 與 config map。
- 配置持久卷、物件儲存、資料服務 endpoint 和備份目標。
- 配置 ingress、route、DNS、TLS 憑證、代理和 SSO 回呼 URL。
- 從批准的交付包部署 FactVerse 服務、連接器任務、遷移任務和初始化任務。
- 執行資料庫遷移和租戶初始化任務。
- 驗證 pod、service、ingress、日誌、健康檢查 endpoint 和儲存掛載。
- 建立租戶管理員、使用者群組、角色、服務帳號和初始產品模組。
- 從批准網路和代表性設備驗證客戶端存取。
- 用樣例記錄驗證來源系統整合,再啟用定時同步。
- 記錄部署清單、配置基線、備份流程、復原測試計畫、升級流程和支援路徑。
預期結果
預期產出是一套客戶可控的 FactVerse 容器環境,包含已批准的執行時歸屬、映像交付路徑、入口與 TLS 配置、儲存和備份流程、身分整合、產品模組、來源系統驗證、監控路徑和升級流程。
容器維運
| 範圍 | 做法 |
|---|---|
| 擴縮容 | 定義 request、limit、副本數、自動擴縮容策略和容量複核週期。 |
| 升級 | 使用版本化映像 tag、release notes、遷移任務、驗證步驟和回復條件。 |
| 回復 | 按客戶變更流程保留上一版映像集、配置基線和資料庫復原點。 |
| 日誌 | 將應用日誌、入口日誌、連接器日誌和任務日誌送入客戶日誌平台。 |
| 指標 | 監控 pod 健康、重啟次數、CPU、記憶體、儲存、佇列積壓、同步失敗和 API 錯誤率。 |
| 憑證 | 追蹤 TLS、IdP 和連接器憑證到期時間,並規劃輪換窗口。 |
| 密鑰 | 使用客戶批准的機制存放密鑰,並定義輪換負責人。 |
| 備份 | 按復原目標備份持久化資料、配置、文件、物件儲存和資料庫狀態。 |
驗證清單
- 叢集或執行時版本已通過本次交付包要求。
- 映像匯入、映像拉取和漏洞掃描要求已完成。
- namespace、資源配額、網路策略和儲存類別已配置。
- ingress、DNS、TLS、代理和 SSO 回呼 URL 已驗證。
- secret 和 config map 已按客戶批准流程建立。
- 資料庫遷移和初始化任務已完成。
- 管理員可以登入並進入目標租戶。
- 目標範圍內的產品模組已啟用。
- 來源系統整合通過樣例資料驗證。
- 備份和復原責任已記錄。
- 監控、日誌、告警路徑、支援聯絡人和維護窗口已記錄。
常見問題
| 現象 | 檢查 |
|---|---|
| 映像拉取失敗 | 映像倉庫路徑、pull secret、映像 tag、離線匯入、憑證信任和掃描門檻。 |
| Pod 反覆重啟 | 資源限制、缺失 secret、資料庫路徑、儲存權限、啟動依賴和遷移狀態。 |
| 入口可打開但登入失敗 | SSO metadata、回呼 URL、租戶分配、cookie 網域、TLS 憑證和時鐘同步。 |
| 客戶端連到錯誤環境 | 環境 URL、私有伺服器 code、代理、快取設定和版本通道。 |
| 整合任務無法存取來源系統 | 防火牆、DNS、代理、服務憑據、來源系統白名單和樣例 payload。 |
| 升級無法推進 | 備份點、遷移預檢、映像相容性、配置差異和回復負責人。 |