ONES 私有部署环境要求
本文描述在私有部署 ONES(K3s版本)前所需准备的系统环境要求,可配合部署说明阅读。
根据组织规模和部署方式(单机版或集群版)合理配置服务器、网络、证书及相关资源,确保系统的稳定性与性能;如果组织规模超过下表范例,联系 ONES 工程师 评估。
当客户环境存在以下要素:信创(比如外置了TDSQL数据库、东方通Redis、采用了国产操作系统等)、复杂网络架构(比如配置了防火墙策略、WAF网关规则、VPN/代理)、大规模数据与用户数(比如从Jira/Confluence迁移了数据)、非标硬件配置、集群服务配置(比如华为云CCE等)、二开交付或定制开发等,必须构建与生产环境同构或相似的测试环境,用于安装部署和版本升级前的全链路验证测试;同时务必解决测试环境发现的问题再来操作生产环境!
1 服务器配置要求
1.1 ONES K3s单机版配置说明
ONES K3s单机版默认采用应用+存储合设、备份外置的架构,同时也支持存储外置为NFS或者OSS。
| 用户人数 | 角色 | CPU | 内存 | 系统盘 | 数据盘 | 索引盘 | 网络带宽 |
|---|---|---|---|---|---|---|---|
| 测试或25人以内 | 1台工作节点 | >=8C | >=24G | >=100G | >=250G | >=10Mbps | |
| 500人以内 | 1台工作节点 | >=16C | >=48G | >=100G | >=1T | >=100G | >=50Mbps |
| 500~2999 | 1台工作节点 | >=32C | >=64G | >=100G | >=2T | >=200G | >=100Mbps |
| 3000~5999 | 1台工作节点 | >=48C | >=96G | >=100G | >=4T | >=300G | >=150Mbps |
| 备份机 | 4C | 8G | >=100G | >=500G |
磁盘使用说明:
| 磁盘类型 | 介质 | 格式 | 挂载路径 | 用途 |
|---|---|---|---|---|
| 系统盘 | SSD | xfs | / | 根分区不能细分为多个小分区;不需要swap;正式环境推荐200G |
| 数据盘 | SSD | xfs | /data | 根据业务量预估空间大小、机械盘转速不低于7200/IOPS不低于2000,测试环境可使用HDD;备份机的数据盘大小需和正式环境保持一致; |
| 索引盘 | SSD | xfs | /data/ones/ones-local-storage/tidb | 提供给索引中间件使用,提供实时高效的搜索能力。 |
1.2 ONES K3s集群版配置说明
ONES K3s集群采用应用+存储分离、备份外置的架构,推荐配置:4台服务器(3台工作节点+1台备份/操作/组件机) + 外置存储(NFS或者OSS+NFS)+ 外置镜像仓。
1.2.1 准备4台服务器
| 集群�规模 | 角色 | CPU | 内存 | 系统盘 | 数据盘 | 索引盘 | 网络带宽 |
|---|---|---|---|---|---|---|---|
| 500人以内 | 3台工作节点 | >=16C | >=32G | >=200G | >=300G | >=100G | >=50Mbps |
| 500~2999 | 3台工作节点 | >=24C | >=48G | >=200G | >=500G | >=200G | >=100Mbps |
| 3000~5999 | 3台工作节点 | >=32C | >=64G | >=200G | >=800G | >=300G | >=150Mbps |
| 1台备份机 | 8C | 16G | >=100G | >=500G |
磁盘使用说明:同1.1节单机版。
1.2.2 准备外置存储
方案1:只提供NFS共享存储
- 所有附件数据、wiki页面资源、插件数据、共享数据等放在NFS上;根据业务量预估NFS空间大小。
- 此时ONES只做MySQL业务数据/Clickhouse审计日志的备份,需提供单独的备份机或NFS备份。
方案2:提供NFS共享存储+OSS对象存储;
- 内部共享数据、插件数据放在NFS共享存储上,NFS空间不低于200G;
- 所有附件数据、wiki页面资源等放在OSS上,OSS存储需符合S3规范,根据业务量预估OSS空间大小;需提供3个bucket,统一配置为私有读写。
- 此时ONES只做MySQL业务数据/Clickhouse审计日志的备份,需再提供2个bucket。
1.2.3 准备镜像仓
提供镜像仓的访问方式和账号、密码,用于ONES版本的镜像存储。
2 网络要求
(1)IP地址:服务器需使用静态IP;K3s服务默认使用子网地址 10.42.0.0/16和10.43.0.0/16,存在冲突需注明;如需提供自有子网,子网掩码数值必须 <= 22位。
(2)网络带宽: K3s集群的服务器之间,延迟小于50ms、带宽大于100M、丢包率小于0.1%、抖动小于10ms;集群服务器须位于同一机房、同一交换机、同一网段;若部署于虚拟机,底层宿主机需满足相同条件,避免跨机房或跨网段部署集群,减少网络延迟和故障风险。如果是云主机、可采用 按流量计费的带宽模式;
(3)端口:默认必须对外开放30011服务端口,也可按需调整为80、443等指定端口,按需开放31380监控端口。
(4)域名:如需使用域名访问,提前申请域名;特别是对接企业微信的场景下,必须使用域名。
(5)SSL证书:如需使用https访问,提前申请SSL证书(key文件和crt文件),证书需来自可信CA、证书链完整、匹配域名且未过期。
(6)前置网关:提前确认是否需要 防火墙、Nginx 反向代理 或负载均衡(LB)等前置网关设备,影响服务访问方式。
(7)NTP服务器:提供可用的NTP服务器、用于配置时间同步服务,确保服务器的时间和时区正确。
(8)SMTP发件邮箱:提前准备用于发件的邮箱服务器,提供发件端口、账号、密码(授权码),且需打通到 ONES 服务器的网络。当前邀请新成员必须使用该配置来发送邮件,参考配置邮箱。
3 操作系统要求
(1)操作系统:只支持Linux 4.* 以上内核的操作系统,最佳实践为Ubuntu 22.04 server,支持64位 Ubuntu 18/20/24、64位Redhat 8.0及以上等操作系统,也支持银河麒麟 V10、统信服务器操作系统 V20、麒麟信安 v3.5.1、阿里龙蜥 8.4/7.9 X86、openEuler v20.03、Huawei Cloud EulerOS 2.0等信创系统,不再支持Centos7系列、不支持BigCloud Enterprise Linux For Euler release 22.10 LTS。
(2)系统权限��与模式:使用root账号来安装和运行;必须使用命令行模式、禁止使用图形化模式;
(3)服务兼容性:禁止与其他服务(如数据库、中间件)共用服务器;保持操作系统的纯净,无第三方安装的软件。
(4)端口兼容性:ONES运行时默认使用如下端口,具体见修复指南第9章,这些端口禁止被占用;
(5)稳定性要求:关闭如下杀毒软件:'qaxsafed', 'secdog', 'YDservice', 'titanagent', 'Symantec', 'sangfor_watchdog', '360safe', 'ics_agent', 'icsintedrity', 'icsfilesec', 'edr_sec_plan', 'ds_agent', 'sangfor/edr', 'security/edr', 'wsssr_defence_service', 'wsssr_defence_daemon', 'wsssr_defence_agent', 'start360su_safed', 'gov_defence_service', 'gov_defence_guard', 'KSFGLTX', 'KSFGJCZ', 'KSFZDFY', 'sfemon', 'kesl', 'sfavsrv'等。同时可以在服务器周边部署独立的安全网关、防火墙或IDS,保障整体安全。可参考安全软件检查修复。
4 存储资源要求
(1)磁盘空间大小要求:根据使用量配置合适的磁盘空间,使用过程中空间利用率不超过80%;如从Jira和Confluence迁移数据,确保数据盘剩余空间 ≥ Jira/Confluence 附件大小 × 2;ONES单机版的数据量 ≥500G 时、推荐使用外置OSS或NFS存储;
(2)磁盘格式要求:如果是物理机磁盘,使用 LVM 管理,便于扩容。正式环境推荐使用3个单独的磁盘分别作为系统盘、数据盘、索引盘。
(3)磁盘IO要求:磁盘iops不能低于2000;系统盘的读IO不低于30MB/s、写IO不低于10MB/s;数据盘的读IO不低于30MB/s、写IO不低于12MB/s;索引盘的读IO不低于40MB/s、写IO不低于15MB/s。具体测试见 环境检测 第4条“I/O Performance(Random 16K)”检测。
(4)数据备份说明:ONES生产环境需采用专用备份设备(如独立备份服务器,或者单独的外置存储)承载数据备份任务,实现磁盘 I/O 资源隔离,避免因备份操作争用资源而影响业务系统性能与稳定性,同时消除单点故障隐患。推荐定期将业务数据备份至异地机房或跨云平台主机,确保区域性灾难下的数据可恢复性。
5 部署扩展要求
ONES支持如下3种方式的扩展部署:
(1)数据库外置场景的说明:ONES 默认采用内置数据库MySQL,同时也支持数据库外置,支持版本为MySQL v5.7/v8.0;
(2)中间件外置场景的说明:ONES 默认采用内置中间件Redis、Kafka,同时也支持Redis、Kafka中间件外置,支持版本为Redis v7、Kafka v3,
(3)存储外置场景的说明:ONES 单机默认采用本地存储,也支持将附件存储外置为NFS或OSS,支持版本为NFS v3, OSS S3协议;同时外置场景下的服务器本地磁盘资源需求较少,具体联系 ONES 工程师 评估与优化建议。同时,外置NFS挂载到本地目录下进行磁盘IO测试,读IO不低于15MB/s、读延时小于15ms,写IO不低于6MB/s、写延时小于12ms,具体测试见 环境检测 第4条“I/O Performance(Random 16K)”检测,其中延时指标看read/write之后的clat avg值。
6 客户端要求
(1)浏览器版本说明:支持Chrome 132+,Edge 132+, Firefox 134+, Safari 17+ 等四款浏览器,推荐使用最新版本。
(2)客户端电脑配置说明: CPU > 8C, 内存 > 16G 。
(3)客户端操作系统说明: Windows11、Windows Server 2022+, MacOS 12+, 统信 UOS V20+, 银河麒麟桌面操作系统 V10等。
7 两类账号准备
(1)ONES系��统初始管理员账号:作为ONES系统拥有最高权限的初始管理员,该账号在安装ONES版本时「创建团队负责人」这一步使用。为便于接受邮件通知,推荐准备一个真实的邮箱账号!
(2)官方证书中心的授权账号:该邮箱账号用于接受ONES官方发送的证书邮件,用于授权、激活ONES系统。需先提供给ONES销售,在安装前确保你已经收到ONES证书中心账号开通的邮件,然后按照邮件提示登录「证书中心」开通账号,在首次安装完成及后续更新授权时参考文档执行自助激活授权。
注意:上述两个账号各自是单独的,二者之间没有关联。
8 信创环境要求(可选)
如需部署信创环境,参考下文准备:
(1)应用层:ONES应用软件为100%完全自研版本;
(2)中间件:ONES支持多款信创版的中间件,包括东方通 TongRDS v2.2、宝兰德 BES Cloud MQ v5.2等;
(3)数据库:ONES支持多款信创版的数据库,包括TDSQL-C MySQL、OceanBase v4.2.4及以上、GaussDB for MySQL、GoldenDB V6.1.03.09等;
(4)操作系统:ONES支持多款信创版的操作系统,包括银河麒麟V10、统信服务器操作系统V20、麒麟信安v3.5.1、阿里龙蜥 8.4/7.9 X86、openEuler v20.03、Huawei Cloud EulerOS 2.0等;不支持Bigcloud Enterprise Linux For Euler release 22.10 LTS。
(5)芯片:ONES支持多款信创版的CPU,包括鲲鹏920、飞腾、海光等;
��(6)浏览器:支持 chromium 内核的国产浏览器,包括:搜狗浏览器 v12+、360安全浏览器 v15+、QQ浏览器 v12+、猎豹浏览器 v9+、夸克浏览器 v1.5+等。
(7)性能建议:基于性能和稳定性考虑,信创场景下的CPU核数和内存容量需为上文标准配置的 1.5 倍以上;如果采用了信创芯片(比如海光等),CPU核数必须为上文标准配置的 2 倍以上!
- ⚠️ 由于信创各要素的组合很多,需收集具体配置并告知 ONES工程师评估确认适配情况。
9. 风险提示
若未满足上述环境要求,可能造成以下风险:
- ⚠️ 性能下降:CPU/IO 不足导致响应延迟
- ⚠️ 稳定性问题:服务崩溃、数据损坏
- ⚠️ 扩展受限:无法支撑更多用户或新版本
- ⚠️ 安全隐患:更新延迟、漏洞风险
- ⚠️ 成本增加:频繁维护、故障恢复成本高
如有疑问,联系 ONES 工程师 评估与优化建议。
下一步 → 环境检测