ONES 私有部署环境要求
本文描述在私有部署 ONES(K3s版本)前所需准备的系统环境要求,可配合部署说明阅读。
根据组织规模和部署方式(单机版或集群版)合理配置服务器、网络、证书及相关资源,确保系统的稳定性与性能;如果组织规模超过下表范例,联系 ONES 工程师 评估。
当客户环境存在以下要素:信创(比如外置了TDSQL数据库、东方通Redis、采用了国产操作系统等)、复杂网络架构(比如配置了防火墙策略、WAF网关规则、VPN/代理)、大规模数据与用户数(比如从Jira/Confluence了迁移数据)、非标硬件配置、集群服务配置(比如华为yunCCE等)、二开交付或定制开发等,必须构建与生产环境同构或相似的测试环境,用于安装部署和版本升级前的全链路验证测试;同时务必解决测试环境发现的问题再来操作生产环境!
1 服务器配置要求
1.1 ONES K3s单机版配置说明
ONES K3s单机版默认采用应用+存储合设、备份外置的架构,同时也支持存储外置为NFS或者OSS。
| 用户人数 | 角色 | CPU | 内存 | 系统盘 | 数据盘 | 索引盘 | 网络带宽 |
|---|---|---|---|---|---|---|---|
| 测试或25人以内 | 1台工作节点 | >=8C | >=24G | >=100G | >=250G | >=10Mbps | |
| 500人以内 | 1台工作节点 | >=16C | >=48G | >=100G | >=1T | >=100G | >=50Mbps |
| 500~2999 | 1台工作节点 | >=32C | >=64G | >=100G | >=2T | >=200G | >=100Mbps |
| 3000~5999 | 1台工作节点 | >=48C | >=96G | >=100G | >=4T | >=300G | >=150Mbps |
| 备份机 | 4C | 8G | >=100G | >=500G |
磁盘使用说明:
| 磁盘类型 | 介质 | 格式 | 挂载路径 | 用途 |
|---|---|---|---|---|
| 系统盘 | SSD | xfs | / | 根分区不能细分为多个小分区;不需要swap; |
| 数据盘 | SSD | xfs | /data | 根据业务量预估空间大小、机械盘转速不低于7200/IOPS不低于2000,测试环境可使用HDD;备份机的数据盘大小需和正式环境保持一致; |
| 索引盘 | SSD | xfs | /data/ones/ones-local-storage/tidb | 提供给索引中间件使用,提供实时高效的搜索能力。 |
1.2 ONES K3s集群版配置说明
ONES K3s集群采用应用+存储分离、备份外置的架构,推荐配置:4台服务器(3台工作节点+1台备份/操作/组件机) + 外置存储(NFS或者OSS+NFS)+ 外置镜像仓。
1.2.1 准备外置存储
方案1:只提供NFS共享存储
- 所有附件数据、wiki页面资源、插件数据、共享数据等放在NFS上;根据业务量预估NFS空间大小。
- 此时ONES只做Mysql业务数据/Clickhouse审计日志的备份,需提供单独的备份机或NFS备份。
方案2:提供NFS共享存储+OSS对象存储;
- 内部共享数据、插件数据放在NFS共享存储上,NFS空间不低于200G;
- 所有附件数据、wiki页面资源等放在OSS上,OSS�存储需符合S3规范,根据业务量预估OSS空间大小;需提供3个bucket,统一配置为私有读写。
- 此时ONES只做Mysql业务数据/Clickhouse审计日志的备份,需再提供2个bucket。
1.2.2 准备4台服务器
| 集群规模 | 角色 | CPU | 内存 | 系统盘 | 数据盘 | 索引盘 | 网络带宽 |
|---|---|---|---|---|---|---|---|
| 500人以内 | 3台工作节点 | >=16C | >=32G | >=200G | >=300G | >=100G | >=50MMbps |
| 500~2999 | 3台工作节点 | >=24C | >=48G | >=200G | >=500G | >=200G | >=100MMbps |
| 3000~5999 | 3台工作节点 | >=32C | >=64G | >=200G | >=800G | >=300G | >=150MMbps |
| 1台备份机 | 8C | 16G | >=100G | >=500G |
磁盘使用说明:同1.1节单机版。
1.2.3 准备镜像仓
提供镜像仓的访问方式和账号、密码,用于ONES版本的镜像存储。
2 网络要求
(1)IP地址:服务器需使用静态IP;默认子网地址 10.42.0.0/16和10.43.0.0/16,存在冲突需注明;
(2)网络带宽: K3s集群的服务器之间,延迟小于50ms、带宽大于100M、丢包率小于0.1%、抖动大于30ms;集群服务器须位于同一机房、同一交换机、同一网段;若部署于虚拟机,底层宿主机需满足相同条件,避免跨机房或跨网段部署集群,减少网络延迟和故障风险。如果是云主机、可采用 按流量计费的带宽模式;
(3)端口:默认必须对外开放30011服务端口,也可按需调整为80、443等,按需开放31380监控端口。
(4)域名:如需使用域名访问,提前申请域名;特别是对接企业微信的场景下,必须使用域名。
(5)SSL证书:如需使用https访问,提前申请SSL证书(key文件和crt文件),证书需来自可信CA、证书链完整、匹配域名且未过期。
(6)前置网关:提前确认是否需要 ��防火墙、Nginx 反向代理 或负载均衡(LB)等前置网关设备,影响服务访问方式。
(7)NTP服务器:确保服务器时间和时区正确,同时配置时间同步服务。
(8)SMTP发件邮箱:提前准备用于发件的邮箱服务器,提供发件端口、账号、密码(授权码),且需打通到 ONES 服务器的网络。当前邀请新成员必须使用该配置来发送邮件,参考配置邮箱。
3 操作系统要求
(1)操作系统:只支持Linux 4.* 以上内核的操作系统,最佳实践为Ubuntu 22.04 server,支持64位 Ubuntu 18/20/24、64位Redhat 8.0及以上等操作系统,也支持银河麒麟 V10、统信服务器操作系统 V20、麒麟信安 v3.5.1、阿里龙蜥 8.4/7.9 X86、openEuler v20.03、Huawei Cloud EulerOS 2.0等信创系统,不再支持Centos7系列、不支持Bigcloud Enterprise Linux For Euler release 22.10 LTS。
(2)系统权限与模式:使用root账号来安装和运行;必须使用命令行模式、禁止使用图形化模式;
(3)服务兼容性:禁止与其他服务(如数据库、中间件)共用服务器;保持操作系统的纯净,无第三方安装的软件。
(5)端口兼容性:ONES运行时默认使用如下端口:5000 (Registry本地私有镜像仓默认监听端口);2379、2380、2381、6443、6444、8472、8285、10248、10249、10250、10251、10252、10256 (K3s Server默认监听端口);10010 (Containerd默认监听端口);30011 (ONES 系统默认监听�端口);9100 (kube-rbac-proxy默认监听端口);30000-32767 (K3s 默认的service-node-port范围);80、443 (ingress-nginx 默认监听端口);5001(Jira迁移工具web服务);30012(运维工具箱使用端口);31380(监控工具使用端口);这些端口禁止被占用;
(6)稳定性要求:关闭如下杀毒软件:'qaxsafed', 'secdog', 'YDservice', 'titanagent', 'Symantec', 'sangfor_watchdog', '360safe', 'ics_agent', 'icsintedrity', 'icsfilesec', 'edr_sec_plan', 'ds_agent', 'sangfor/edr', 'security/edr', 'wsssr_defence_service', 'wsssr_defence_daemon', 'wsssr_defence_agent', 'start360su_safed', 'gov_defence_service', 'gov_defence_guard', 'KSFGLTX', 'KSFGJCZ', 'KSFZDFY', 'sfemon', 'kesl', 'sfavsrv'等。同时可以在服务器周边部署独立的安全网关、防火墙或IDS,保障整体安全。
4 存储资源要求
(1)磁盘空间大小要求:根据使用量配置合适的磁盘空间,使用过程中空间利用率不超过80%;如从Jira和Confluence迁移数据,确保数据盘剩余空间 ≥ Jira/Confluence 附件大小 × 2;ONES单机版的数据量 ≥500G 时、推荐使用外置OSS或NFS存储;
(2)磁盘格式要求:使用 LVM 管理物理机磁盘,便于扩容;
(3)磁盘IO要求:磁盘iops不能低于2000;系统盘的读IO不低于30MB/s、写IO不低于10MB/s;数据盘的读IO不低于30MB/s、写IO不低于12MB/s;索引盘的读IO不低于40MB/s、写IO不低于15MB/s。具体测试见 环境检测 第4条“I/O Performance(Random 16K)”检测。
(4)数据备份说明:ONES生产环境需采用专用备份设备(如独立备份服务器,或者单独的外置存储)承载数据备份任务,实现磁盘 I/O 资源隔离,避免因备份操作争用资源而影响业务系统性能与稳定性,同时消除单点故障隐患。推荐定期将业务数据备份至异地机房或跨云平台主机,确保区域性灾难下的数据可恢复性。
5 部署扩展要求
(1)数据库外置场景的说明:ONES 默认采用内置数据库Mysql,同时也支持数据库外置,支持版本为Mysql v5.7/v8.0;
(2)中间件外置场景的说明:ONES 默认采用内置中间件Redis、Kafka,同时也支持Redis、Kafka中间件外置,支持版本为Redis v7、Kafka v3,
(3)存储外置场景的说明:ONES 单机默认采用本地存储,也支持将附件存储外置为NFS或OSS,支持版本为NFS v3, OSS S3协议;同时外置场景下的服务器本地磁盘资源需求较少,具体联系 ONES 工程师 评估与优化建议。
6 客户端要求
(1)浏览器版本说明:支持Chrome 79+,Edge 79+, Firefox 87+, Safari 14+ 等四款浏览器,推荐使用最新版本。
7 信创环境要求(可选)
如需部署信创环境,参考下文准备:
(1)应用层:ONES应用软件为100%完全自研版本;
(2)中间件:ONES支持多款信创版的中间件,包括东方通 TongRDS v2.2、宝兰德 BES Cloud MQ v5.2等;
(3)数据库:ONES支持多款信创版的数据库,包括TDSQL-C MySQL、OceanBase v4.2.4及以上、GaussDB for MySQL、GoldenDB V6.1.03.09等;
(4)操作系统:ONES支持多款信创版的操作系统,包括银河麒麟V10、统信服务器操作系统V20、麒麟信安v3.5.1、阿里龙蜥 8.4/7.9 X86、openEuler v20.03、Huawei Cloud EulerOS 2.0等;不支持Bigcloud Enterprise Linux For Euler release 22.10 LTS。
(5)芯片:ONES支持多款信创版的CPU,包括鲲鹏920�、飞腾、海光等;
(6)浏览器:支持 chromium 内核的国产浏览器,包括:搜狗浏览器 v12+、360安全浏览器 v15+、QQ浏览器 v12+、猎豹浏览器 v9+、夸克浏览器 v1.5+等。
(7)性能建议:基于性能和稳定性考虑,信创场景下的CPU核数和内存容量需为上文标准配置的 1.5 倍以上;如果采用了信创芯片(比如海光等),CPU核数必须为上文标准配置的 2 倍以上!
- ⚠️ 由于信创各要素的组合很多,需收集具体配置并告知 ONES工程师评估确认适配情况。
8 License证书准备
安装前确保你已经收到ONES证书中心账号开通的邮件,登录「证书中心」激活账号,在安装完成后执行自助激活。
9. 风险提示
若未满足上述环境要求,可能造成以下风险:
- ⚠️ 性能下降:CPU/IO 不足导致响应延迟
- ⚠️ 稳定性问题:服务崩溃、数据损坏
- ⚠️ 扩展受限:无法支撑更多用户或新版本
- ⚠️ 安全隐患:更新延迟、漏洞风险
- ⚠️ 成本增加:频繁维护、故障恢复成本高
如有疑问,联系 ONES 工程师 评估与优化建议。
下一步 → 环境检测