本文介绍如何快速使用新版地域组织。
Region组织的优势
提供VPC域名,支持关联企业的VPC和安全组,云效站点和代码库地址均可支持仅VPC内部访问。
支持构建和部署(CI/CD)均在VPC内部完成,速度快、安全性好、成本低。
支持集成企业的身份源(钉钉/飞书),支持单点登录,账号管理更规范。
开通云效
首次使用云效时,需先开通服务。开通后系统将自动创建一个按量计费(后付费) 的订单,然后就可以创建云效组织并使用相关功能。
为支持个人开发者和初创研发团队,云效提供一定额度的免费资源,包括免费的计算资源、存储空间及用户许可证。新用户可以在个人使用模式下,在免费额度范围内进行产品试用。
当实际资源使用超出免费额度后,系统将按标准计费规则自动计费。您可以根据业务需求灵活使用,并随时升级至企业协作模式以激活企业级功能特性。
新建Region组织
使用阿里云主账号或具备云效管理权限的 RAM 用户登录云效控制台。
RAM用户需具备 AliyunRDCFullAccess权限。
在左侧导航栏,选择,在页面上方选择地域。
首次使用,需要单击开通云效并按开通页面指引创建服务关联角色,单击立即开通。
单击新建组织,进行如下配置:
购买权限和资费相关说明请参见:计费说明(Region版本)。
地域:选择组织所属地域,目前支持:华东2(上海),华南1(深圳),华东1(杭州),华北2(北京)。
组织名称:当前组织的名称,创建后支持修改。
组织标识:基于组织标识将自动生成组织访问域名和成员账号 ID 后缀,创建后不可修改。
协作模式:请按需选择企业协作模式和个人使用模式。
管理员账号密码:初始 Root 账号登录组织的密码,创建后支持修改。
配置完成后,单击创建组织,完成组织创建。然后在实例列表页,单击组织名称进入组织详情页。在该页面可查看组织的基本信息(如站点地址和出口IP),并可以进行后续的组织设置(如成员管理和网络设置)。
单击访问实例,进入云效的登录页,推荐使用阿里云账号免登录的方式,在登录页点击“阿里云”图标即可完成登录。也可以通过管理员的账号密码进行登录,管理员账号在组织详情页可以找到,登录密码是创建组织时输入的密码。
新建组织成员
云效支持多种方式添加新成员,可以直接使用阿里云RAM子账号直接登录,也可以手动添加账号并采用账号密码登录,还可以集成三方身份源(如钉钉、飞书、企微、SAML、CAS)。
方式一:通过阿里云RAM账号直接登录
在云效控制台的组织详情页,点击成员管理;
在阿里云RAM用户设置区域,点击设置范围,然后在RAM用户的设置页面,点击选择RAM用户,从现有的RAM用户中进行选择,被选中的RAM账号就可以直接登录云效;
将默认登录方式设置为阿里云RAM用户;
用户在访问云效站点时,会自动跳转到阿里云登录页,选择RAM账号登录成功后,即可使用云效;
方式二:组织管理员手动添加账号
在云效控制台的组织详情页,点击成员管理,在手工管理账号设置区域点击成员管理,进入云效的管理后台;
在左侧导航栏,选择成员管理,单击新建用户,填写以下必填信息:包括姓名、账号ID、初始密码、部门等必填信息及其他可选信息。
单击确认,完成成员创建。如需了解更多成员管理功能,请参见成员管理。
方式三:通过第三方身份源同步
很多企业用户会使用三方身份源管理系统,对员工的组织架构和入职离职进行规范化管理,云效可以直接集成这些三方身份源。支持的身份源类型:
钉钉
飞书
企微
SAML
CAS
配置路径:在云效控制台的组织详情页,点击成员管理,根据企业使用的身份系统,选择对应类型并完成配置。详细配置步骤请参见身份源管理。
协作模式说明与选择
云效 Region 版本提供两种协作模式。建议在创建组织前根据团队规模和安全合规要求进行选择。
模式对比总览
|
特性 |
个人使用模式 |
企业协作模式 |
|
适用对象 |
面向初创研发团队或个人开发者 |
面向企业级研发团队,对研发数据安全,研发流程规范要求较高 |
|
用户登录方式 |
账号密码登录 |
账号密码登录 或 统一单点登录(SSO) |
|
集成企业身份源 |
不支持 |
支持阿里云RAM/SAML/飞书 其他类型身份源在建设中 |
|
专有网络VPC访问方式 |
不支持 |
支持专有网络的域名并集成企业专有网络 |
|
研发资产备份 |
不支持 |
支持代码仓库备份 |
|
IP白名单 |
不支持 |
支持设置IP白名单 |
|
审计日志 |
不支持 |
支持将操作日志推送「操作审计」 |
如何选择协作模式
个人使用模式无需支付用户许可证费用,最多创建5个账号。企业协作模式可以解锁很多企业级特性,并且需要根据实际用户人数支付用户许可证费用。
-
如果你是 个人开发者 或 初创小团队,希望快速体验云效,不需要复杂的安全控制和企业集成,可选择个人使用模式。
-
如果你是 企业研发团队,需要:
-
企业身份系统统一登录(SSO)
-
专有网络 VPC 访问代码管理和流水线
-
操作审计与安全合规
-
研发资产备份
则推荐直接选择企业协作模式。
-
组织角色设置
账号创建完成后,需要给组织成员分配角色。云效的角色在云效的中进行设置,而不是在阿里云的RAM账号管理中。云效预置了一些角色,也支持组织管理员自定义角色。预置角色包括:
全局管理员:拥有最高权限的大管理员;
各个模块的管理员:如代码管理员、项目协作管理员,这些管理员拥有对应模块的全部权限;
成员:仅拥有普通使用权限,没有管理权限
每个角色都可以勾选权限点,一个用户可以关联多个角色,这时会按照多个角色的权限点取并集。
由于预置的成员角色拥有创建数据的权限,例如创建代码库、创建项目等,如果您的团队对权限管理比较严格,禁止普通成员创建重要数据,那么请新建角色,勾选对应的权限点。
站点访问模式选择
云效提供了公网域名和VPC域名这两种访问方式,其中公网域名是默认开启的,而VPC域名默认关闭。如果企业对网络访问没有特别要求,可以直接使用公网域名。如果企业对研发数据的网络安全性有较高要求,那么就要启用VPC域名,一般常见的场景包括:
企业成员必须在企业IDC或VPC网络中访问云效站点;
研发人员必须在企业IDC或VPC网络中读写代码库和制品库;
CI/CD流程中的代码克隆和构建过程必须在VPC网络中进行;
在这种情况下,请激活VPC域名,该域名只能通过关联的专有网络(VPC)才能访问,无法通过公网访问。相关操作步骤如下:
在云效控制台,进入组织信息详情页,并切换到网络配置页签。
勾选开启专有网络访问模式,单击添加专有网络,配置:
选择合适的专有网络
关联安全组、交换机
交换机至少需要关联一个,可以添加多个交换机,保证网络可用性。
配置完成后,单击确定。
激活VPC域名并关联VPC后,VPC内的终端都可以访问云效VPC域名。
开启代码管理
云效·Codeup是阿里云自研的Git代码管理平台,支持代码托管、分支规范、代码检测、代码智能评审、代码加密、定时备份等特性,全方位保护企业代码资产,帮助实现安全、稳定、高效的研发过程管理。
从工作台或者顶部菜单进入代码管理,在左侧导航点击代码库,在这里可以直接创建新的代码库,具体方法请参考步骤一:新建第一个代码库;
如果打算从已有的代码库进行迁移导入,请点击导入代码库,具体方法请参考:代码迁移与仓库同步
新建代码库后,可以在成员设置中,为代码库添加新的开发者和管理员,组织角色的普通成员,也可以在这里设置成某个代码库的管理员
用户在本地Git环境中进行身份授权配置,这里提供了Https和SSH两种模式
代码库的克隆地址,请在Codeup的代码库详情页中,在克隆/下载按钮中查找;
开启流水线
云效·Flow是企业级、自动化的持续集成和持续交付工具,支持构建、部署、测试、代码检测等场景。
不同于云效中心站,云效Region站没有默认的构建集群,首先需要用户初始化VPC构建集群,并且关联用户VPC,方可进行流水线构建。新建的构建集群需要选择云效的站点(接入点),由于云效提供了公网域名和VPC域名的两个站点,因此构建集群关联的VPC的网络配置需要特别关注:
如构建集群接入点是云效公网域名,那么VPC就需要通公网,并且安全组的IP白名单也需要添加云效出口IP,云效IP在组织详情页中查询:组织概览
如构建集群接入点是云效VPC域名,那么只需保证集群VPC和云效组织VPC网络相通即可;
初始化服务连接,用于连接云资源,这里一般会包括代码库(Codeup/Gitlab)、镜像仓库(ACR)、云主机(ECS)、k8s集群(ACK)等,这样编排流水线时就可以直接使用服务连接来配置构建部署的具体资源;具体参考服务连接管理
初始化主机组与k8s集群,这里请根据具体的部署方式来选择,是主机部署还是k8s部署。具体参考主机组管理、Kubernetes集群管理
通过流水线模板向导创建流水线,完成第一次构建部署;新建第一条流水线
初次使用流水线,可能会遇到运行时的报错,这里最常见的原因是:构建集群关联的VPC无法与指定的站点连通,比如:
申请构建运行环境报错是因为VPC无法访问云效站点;
克隆代码报错是因为VPC无法访问代码库克隆地址;
构建镜像完成后推送镜像报错是因为VPC无法访问镜像仓库的地址;
这里需要检查VPC的网络配置、安全组白名单、CEN云企业网等相关设置,如问题无法排除请在阿里云官网提交工单,寻求技术支持。