准备环境

若要使用SOFAStack托管应用，首先需要先准备好部署环境，包括资源隔离的工作空间、安全的专有网络VPC，以及ECS服务器的安全组。

前提条件

• 已注册阿里云账号，并完成实名认证。
• 已 开通 SOFAStack 服务。

步骤一：创建工作空间

工作空间（Workspace）本质上是“网络互通、安全策略一致、访问延时极小”的一组资源。您可以通过工作空间方便地将资源进行分组管理，例如：根据不同的研发交付需求，将工作空间划分为开发工作空间、测试工作空间、生产工作空间等。不同工作空间中的资源互相隔离。

1. 登录 SOFAStack 控制台。

2. 在左侧导航栏，单击下方的 全局设置，进入工作空间列表页面。

3. 单击添加工作空间，输入以下工作空间基本信息。

   • 工作空间标识：工作空间的英文标识，全局唯一，一经确定无法修改，例如：dev、test、prod 等；
   • 工作空间名称：工作空间的显示名称，例如：开发工作空间、测试工作空间、生产工作空间。
   • 地域：工作空间所在的地域（Region），一个工作空间一定属于某个地域。

     说明：目前开放的地域有 华东2（上海） 和 华东1（杭州）（金融云）。

   • 网络类型：只支持专有网络 VPC。
   • 可用区：工作空间配置的可用区（Available Zone），最多不能超过两个，工作空间只能导入已配置可用区内的资源，且发布部署、容灾等其他功能都是基于工作空间的可用区来做分组发布与容灾切换等操作。推荐配置两个可用区，为支持双机房高可用等架构做准备。

步骤二：创建专有网络 VPC

专有网络 VPC 可以在阿里云上构建一个隔离的网络工作空间。您需要先创建一个专有网络 VPC，然后为其绑定交换机。

1. 在上面的 添加工作空间 对话框中输入了工作空间基本信息后，单击 下一步。

2. 在 工作空间绑定 页面，选择 添加专有网络并绑定至当前工作空间。

3. 在 设置专有网络 页面，输入 专有网络名称 与 专有网络网段，点击 确定。

   • 专有网络名称：由 [2, 128] 个英文或中文字符组成，必须以大小字母或中文开头，可包含数字、下划线（_） 或连字符（-），不能以 http:// 和 https:// 开头。推荐与工作空间名称相同。

   • 专有网络网段：专有网络的网段，一旦选择便无法更改，专有网络内的所有资源，如 ECS、RDS、SLB 的私网 IP 都在该网段内。可选网段如下：

     • 10.0.0.0/9
     • 172.16.0.0/12
     • 192.168.0.0/16

4. 从 SOFAStack 左侧导航栏进入运维管理 > 资源管理 > 计算和网络 > 专有网络VPC。

5. 在 专有网络详情 页面的 交换机 页签，点击 添加。

6. 在弹出的 创建交换机名称 对话框中，填写以下信息后，点击 确定。

   • 名称：输入交换机名称。
   • 可用区：选择交换机所在可用区。
   • 自定义网段：默认关闭。开启后，需填写网段地址。交换机的网段可以和其所属的 VPC 网段相同或者是其 VPC 网段的子网。
   • 子网掩码：自定义网段 关闭时，需分别选择子网掩码和网段地址。默认专有的网段掩码是 16 位，例如 172.31.0.0/16，最多可提供 65536 个私网 IP 地址。范围为 16~29 位之间，可提供 4~65532 个地址。
   • 描述：可选。输入交换机的描述信息。

步骤三：创建安全组

安全组是一种虚拟防火墙，具备状态检测和数据包过滤功能，用于在云端划分安全域。您可以通过配置安全组规则，允许或禁止安全组内的 ECS 服务器对公网或私网的访问。

1. 从 SOFAStack 左侧导航栏进入 运维管理 > 资源管理 > 计算和网络 > 安全组。

2. 点击 添加。

3. 在弹出的 添加安全组 对话框中，按页面提示要求输入 名称 与 描述（可选），点击 确定。