创建单元化工作空间

您可以在 控制台 > 全局设置 中进行当前租户的所有工作空间的管理,包括进行查看、添加、编辑、删除工作空间等操作。

背景介绍

一个工作空间的本质,是指“网络互通、安全策略一致、访问延时极小”的一组资源。您可以通过工作空间方便地将资源进行分组管理,例如:根据不同的研发交付需求,将工作空间划分为开发工作空间、测试工作空间、生产工作空间等。同时,不同工作空间中的资源互相隔离,可以为每个工作空间分配单独的操作员权限进行管理。为支持高可用(High Availability),工作空间可以跨可用区(Zone), 但不能跨地域(Region)。

每个工作空间都需要创建相应的基础资源(包括:专有网络、交换机、安全组、ECS 等),并基于这些资源部署集群,从而为应用服务提供服务。

前提条件

了解 单元化架构

操作步骤

  1. 登录控制台,在左侧导航栏单击左下角的 全局设置,进入工作空间列表页面。

  2. 单击 创建工作空间,选择 单元化工作空间 类型,单击 创建

    • 标准工作空间:标准工作空间(Workspace)是 SOFAStack 提供的一种组织机制,用于将服务于不同目标、阶段的资源分组隔离管理。您可以根据研发运维流程,为每个阶段分配工作空间,例如单机房(即单可用区)的开发工作空间、双机房(即包括两个可用区)的生产工作空间。

    • 单元化工作空间:在标准工作空间的基础上提供了单元化能力,可用于同城双活及异地容灾场景,本质是一组标准工作空间的集合。您可以通过单元化工作空间组对用户资源进行隔离,不同工作空间组下的集群彼此隔离。

  3. 创建工作空间 页面,输入以下基本信息。

    • 工作空间标识:2~45 个字符,工作空间的英文标识,全局唯一,一经确定无法修改,例如:dev、test、prod 等。

    • 工作空间名称:1~64 个字符,工作空间的显示名称,例如:开发工作空间、测试工作空间、生产工作空间。

    • 地域:工作空间所在的地域(Region),一个工作空间一定属于某个地域。

    • 网络类型:选择 VPC 网络

    • 导入 VPC:默认关闭。开启后,您可以复用已有的 VPC 资源,将工作空间与已创建的 VPC 绑定。

  4. 单击 下一步,在 创建单元架构 页面单击 添加可用区。 每个工作空间配置的可用区(Available Zone)个数不做限制。本例中为工作空间配置两个可用区,为支持双机房高可用等架构做准备。

    说明

    系统会根据可用区配置自动为您生成单元化架构拓扑,划分好逻辑单元和部署单元。更多信息,参考 创建逻辑单元

  5. 单击 下一步,在 创建 VPC 页面,输入以下配置信息:

    • 专有网络名称:由 2~128 个英文或中文字符组成,必须以大小字母或中文开头,可包含数字、下划线(_) 或连字符(-),不能以 http://https:// 开头。系统自动生成 单元化工作空间标识-vpc 组成的默认名称。

    • 专有网络网段:专有网络的网段,一旦选择便无法更改,专有网络内的所有资源,如 ECS、RDS、SLB 的私网 IP 都在该网段内。可选网段如下:

      • 10.0.0.0/9

      • 172.16.0.0/12

      • 192.168.0.0/16

    • 描述:选填,可包含 2~256 个中英文字符,不能以 http://https:// 开头。

    • 交换机:单击 添加交换机,在弹出的 添加交换机 窗口,填写以下信息,单击 提交

      • 名称:交换机名称。长度为 2~128 个字符,以英文字母或中文开头,可包含数字、下划线(_)和短横线(-)。系统自动生成 单元化工作空间标识-vsw 组成的默认名称。

      • 可用区:交换机的可用区。同一 VPC 内不同可用区的交换机内网互通。您需要为每个可用区创建一台交换机。

      • 自定义网段:默认关闭。开启后,需填写网段地址。交换机的网段可以和其所属的 VPC 网段相同或者是其 VPC 网段的子网。

      • 子网掩码自定义网段 关闭时,需分别选择子网掩码和网段地址。默认专有的网段掩码是 24 位,例如 172.31.0.0/24,最多可提供 65536 个私网 IP 地址。范围为 16~29 位之间,可提供 4~65532 个地址。

      • 描述: 输入交换机的描述信息。可包含 2~256 个中英文字符,不能以 http://https:// 开头。

  6. 单击 下一步,在 创建安全组 页面,单击 添加安全组,在弹出的 添加安全组 窗口,填写以下信息,单击 确定

    • 安全组名称:长度为 2~128个英文或中文字符,必须以大小字母或中文开头,不能以 http://https:// 开头。可以包含数字、半角冒号(:)、下划线(_)或者连字符(-)。系统自动生成 单元化工作空间标识-sg 组成的默认名称。

    • 描述:可包含 2~256 个中英文字符,不能以 http://https:// 开头。

    • 规则:单击 添加规则,在弹出的 创建规则 窗口填写以下信息单击 确定

    • 网卡类型:选择 内网。VPC 类型安全组的网卡类型(NicType)只可设置内网(intranet)。

    • 规则方向

      • 内网出方向:是指 ECS 实例访问内网中其他 ECS 实例或者公网上的资源。

      • 内网入方向:是指内网中的其他 ECS 实例或公网上的资源访问 ECS 实例。

    • 协议类型:传输层协议。取值大小写敏感。可选项如下:

      • TCP:支持 TCP 协议。

      • UDP:支持 UDP 协议。

      • ICMP:ICMP 协议仅支持 IPv4 地址。

      • GRE:支持 GRE 协议。

      • ALL:支持所有协议。

    • 端口范围:目的端安全组开放的传输层协议相关的端口范围,取值范围为 1~65535,设置格式例如“1/200”、“80/80”,其中“-1/-1”不能单独设置,代表不限制端口。取值范围:

      • TCP/UDP 协议:取值范围为 1~65535。使用斜线(/)隔开起始端口和终止端口。正确示范:1/200;错误示范:200/1。

      • ICMP 协议:-1/-1。

      • GRE 协议:-1/-1。

      • 协议类型取值为 ALL:-1/-1。

    • 访问权限:选择 接受访问 拒绝访问

    • 优先级:数字越大代表的优先级越高。选择范围为 1~100。

    • 源端 IP 地址:填写单一 IP 地址或者 CIDR 网段格式,如:12.xx.xx.1 或 13.xx.xx.1/25。如果填写 0.0.0.0/0 表示允许或拒绝所有 IP 地址的访问,设置时请务必谨慎。目前仅支持 IPv4 格式的 IP 地址范围。 默认值:0.0.0.0/0。

    • 目标端 IP 地址:填写单一 IP 地址或者 CIDR 网段格式,如:12.xx.xx.1 或 13.xx.xx.1/25。如果填写 0.0.0.0/0 表示允许或拒绝所有 IP 地址的访问,设置时请务必谨慎。目前仅支持 IPv4 格式的 IP 地址范围。

    • 规则描述信息:输入安全组规则的描述信息。长度为 1~512 个字符。

  7. 单击 提交