注意:以下文档只适用于TOP接口,请谨慎使用!

文档中心 > 聚石塔

聚石塔控制台操作手册

更新时间:2021/06/28 访问次数:79602

术语和定义

术语 定义
聚石塔 指基于阿里巴巴新零售战略,依托于云计算技术为零售商家提供的电商云工作平台。针对零售商家涉及到阿里电商云工作平台敏感数据的应用系统需要部署在安全域(聚石塔),安全域在阿里公有云的基本上在数据安全和网络安全上提供了更高安全级别的保护。
资源视图 是指开发者在聚石塔不同业务域订购的所有云产品管理控制台,以云资源的维度管理实例或服务。
开发者 指淘宝网用户中通过有效申请并通过验证的可以基于开放平台进行应用开发的单位或者个人,在开放平台开发者也可称为“淘宝合作伙伴”。
控制台应用 指开发者所开发的应用服务或软件,基于应用维度管理开发者在聚石塔不同业务域的云资源。
专有网络 是指逻辑隔离的私有网络,您可以自定义网络拓扑和 IP 地址,支持通过专线连接,专有网络是自定义局域网ip,适用于所有零售电商用户。
经典网络 IP地址由阿里云统一分配,配置简便,使用方便,适合对操作易用性要求比较高、需要快速使用 ECS 的用户。

权限管理

登录聚石塔控制台(https://console.cloud.tmall.com),首先在左侧导航为您的淘宝帐号进行权限管理。

对于开发者来说,可以将淘宝子账号和钉钉企业员工账号打通,进行企业员工管理,其中,钉钉企业员工账号会统一创建在【聚石塔】钉钉企业上,部门以开发者的公司名称或者淘宝账号昵称命名,并且实现了部门与部门之间的通讯录以及聊天隐藏。

人员管理

进入聚石塔控制台,在权限管理中为该帐号创建人员信息,每个人员必须关联一个淘宝子帐号。点击创建淘宝子帐号

查看人员相关联系信息。页面上可点击编辑以及删除。

添加人员姓名、邮箱、手机号、淘宝子账号等信息,如果没有淘宝子账号,点击右方“新建淘宝子账号”开始创建。

角色管理

进入聚石塔控制台,在权限管理中为不同角色分配聚石塔控制台操作权限。通过角色管理,建立角色与应用管理和应用使用的关联关系。

角色信息列表

目前角色包括 负责人、开发、运维、测试;应用权限 包括 查看应用详情、管理应用成员、管理应用 。

点击“编辑角色权限”,可编辑角色与应用权限的关联关系。

应用管理

聚石塔控制台的核心理念是打造以应用为中心的PaaS平台,所以,应用 作为我们服务商或者开发者 最基本的云资源授权集合的业务单元。

在登陆控制台首页,可以看到应用列表基本概览,也可以在左侧点击【应用列表】打开更详细的应用信息列表。

其中,点击【查看】进入应用详情,点击【发布】进入到应用发布。 

应用设置

点击应用查看之后,可以在右上角点击【设置】,进入到【应用设置】页面。

应用设置页面,可以查看【应用AK/SK】,稍后会在后面介绍它的用法;可以进行【应用成员管理】以及【应用基本信息管理】。

 

应用创建实践

上面介绍了聚石塔控制台最基本的组成部分,这章将讲解如何创建一个应用,并且能够运行在我们的云服务器上。这里用一个技术博客网站的demo进行讲解。

站点演示:http://rcblog.hz.taeapp.com

 

前期准备

考虑创建两个应用,一个应用作为web应用,即前台工程,用于和前端页面交互以及后端核心业务逻辑交互的应用程序;另一个应用作为后台应用,即后台工程,作为核心业务逻辑层,主要后端业务逻辑编写以及数据持久化和数据库访问。两个应用之间的通信,采用dubbo的服务化框架进行通信。

博客站点架构

应用与云资源组成

  • retailcloud_blog_web ( 2 ECS,web应用,安全组web ) 
  • retailcloud_blog_biz ( 2 ECS,后台应用 ,安全组inner ) 
  • RDS ( retailcloud_blog 数据库, 被retailcloud_blog_biz应用授权 ) 
  • CDN ( rcblog.hz.taeapp.com,指向SLB ) 
  • OSS ( 文章图片/附件上传资源,利用应用RAM子账号AK/SK ) 
  • Redis ( 文章访问计数器 )
  • EIP、SLB、密钥对 ( SSH )、NAT支持 
  • 应用发布脚本 ( appctl.sh、setenv.sh、start.sh、stop.sh、healthcheck.sh )

 

程序框架

  • Spring Boot 2.1.0 Jar模式
  • 模板引擎Thymeleaf 
  • Bootstrap 4.2.1
  • Mybatis 3.0 
  • Dubbo 2.5 ( 2 ECS Provider + 2 ECS Consumer ) 
  • Zookeeper ( 1 ECS Registry ) 

 

创建博客应用

1:创建应用名称 retailcloud_blog_web 的web应用,选择负责人、应用类型、编程语言以及操作系统。

2:创建应用名称 retailcloud_blog_biz 的后台应用,同样选择负责人、应用类型、编程语言以及操作系统。

 

应用概览

创建完应用之后,进入到【应用详情】-【应用概览】页面,可以看到 应用 与 云资源的 绑定授权关系,只有该应用建立了对应云资源的授权关系,该应用才能访问或者操作对应云资源。由于是新应用,目前没有关联到聚石塔的任何资源。

弹性计算

进入到【弹性计算】页面,点击【购买ECS】,页面将iframe跳转到【购买ECS实例的售卖页面】。

tab切换到【云产品】-【云服务器ECS】上,会iframe跳转到【ECS实例列表页面】,页面右上角也可以点击【创建实例】来购买ECS实例资源。

购买ECS资源

进入到ECS实例购买页面:

创建VPC

在【下一步:网络和安全组】中,点击【前往控制台创建】进入到 聚石塔官方定义的【VPC创建页面】。

页面上,可以选择【地域】,填写【vpc名称】,以及选择内网【网段】。

需要注意的是,每个用户(淘宝主账号)在每个地域下最多只能创建一个vpc专有网络,例如当前用户在张家口地域,只能创建一个vpc。

vpc专有网络的名称,以【JST_】或者【XLS_】打头作为命名前缀。

创建完vpc专有网络之后,可在ecs购买页面,网络选择下,看到刚刚创建的vpc。

购买ECS情况

给 retailcloud_blog_web 购买了2台ECS实例;为 retailcloud_blog_web 也购买了2台ECS实例,为应用与ECS实例授权绑定做准备。

 

应用与ECS实例授权

聚石塔

会到【弹性计算】的【聚石塔】tab,点击右上角的【关联ECS】。

可以选择新购的2台ECS实例。

授权完之后,在页面上就能够看到新关联的ECS实例,并且第一次关联的ECS实例将按照应用发布agent,并且给出安装状态。

云服务器ECS

在云产品iframe页面,也能够看到新关联的2台ECS实例。

授权情况

同样,retailcloud_blog_biz应用也进行同样的操作。于是,retailcloud_blog_web和retailcloud_blog_biz各2台ECS实例。

 

安全组

聚石塔ECS实例安全组是一种虚拟防火墙,用来控制ECS的出站和入站流量。在同一个VPC内,位于相同安全组的ECS实例私网互通。

由于vpc专有网络是由系统来控制创建的,同样,安全组也是由系统自动创建来产生的,每个用户都会至少创建3个安全组:聚石塔官方创建ssh、聚石塔官方创建web、聚石塔官方创建inner。其中一个ECS实例可以同时属于多个安全组。

 

官方安全组介绍

  • 聚石塔官方创建ssh:网络入方向,只能进行ssh命令登陆3389端口(windows终端)、22端口(linux终端)以及对于该安全组下ECS的ping通。
  • 聚石塔官方创建web:网络入方向,授权对象给【聚石塔官方创建ssh】可二次ssh到该安全组下的ECS实例;并且可通过443端口(https协议),80端口(http协议)进行web访问。
  • 聚石塔官方创建inner:网络入方向,同样,授权对象给【聚石塔官方创建ssh】可二次ssh到该安全组下的ECS实例;并且授权对象给【聚石塔官方创建web】可任意端口访问到该安全组下的ECS实例。

安全组管理实例情况

  • 将retailcloud_blog_web应用的2台ECS实例先放在【官方ssh】和【官方web】上。放在官方web上说明,可以通过443或80端口可以浏览到网站。
  • 将retailcloud_blog_biz应用的2台ECS实例先放在【官方ssh】和【官方inner】上。放在官方inner上说明只有通过官方web安全组的ECS实例才能访问到biz应用。

 

密钥对

密钥对用于用户可以通过本地ssh配置,密钥对本地保存,ssh访问聚石塔上的ECS实例。

 

创建密钥对

切换到【云产品】-【密钥对】聚石塔iframe页面上,点击右上角【创建密钥对】

来自动新建密钥对,点击确认,密钥对文件即可下载到本地,它是一个pem文件。

绑定密钥对

点击【绑定密钥对】,可以选择要放在该密钥对下的ECS实例,这里选择2个应用的4台ECS实例到里面。

SSH连接ECS实例

1:要利用SSH链接ECS实例,首先要将ECS实例的实例密码以及远程连接密码改掉重置,然后对于ECS实例进行重启方可操作。

具体文章可以参考:《使用SSH密钥对连接Linux实例》

2:需要用到SSH连接到ECS实例,需要给ECS实例上购买以及绑定弹性IP。后面会讲到如何绑定弹性IP。

3:在我已经在每个ECS实例上绑定了弹性IP之后,我作为Mac使用者,利用命令切换到~/.ssh,把下载的pem文件放在该路径下面。

4:修改config文件,我有4台ECS实例,就要写以下4次这样的语法。

5:连接到具体ECS实例上

ssh i-xxxxxxxxxxxxxxxxxx

6:如果出现无法打开相关实例,你可以试着把known_hosts对应的ip删掉,再重新执行ssh命令。

 

弹性公网IP

官方描述:独立的公网IP资源,可以绑定到聚石塔专有网络VPC类型的ECS、NAT网关、私网负载均衡SLB上,并可以动态解绑,实现公网IP和ECS、NAT网关、SLB的解耦,满足灵活管理的要求。

 

申请弹性公网IP

点击左上角【申请弹性公网IP】按钮。

进入购买页面,最后点击确认购买。

购买完,可绑定ECS实例,一个弹性公网IP只能绑定一台ECS实例。

绑定完之后,前面的ssh就可以远程连接到对应的ECS实例服务器里面。

 

应用发布

初始化流程

先选择一个【环境类型】,目前只有【正式环境】一个,而且是默认必须选择的,然后点击到下一步。

正式环境初始化,先校验是否已经初始化正式环境,如果没有引导你创建一个新的应用环境。

跳转到这个页面,点击右上角【新建环境】

环境配置

在创建环境页面上,选择【环境类型】【地域】以及【部署脚本】

部署脚本

如果选择【创建新的部署脚本】,填写应用发布时候的基础脚本部署,例如启动脚本、停止脚本、健康状态检查脚本、自定义脚本 等等。

  • 部署根目录:应用部署的根目录,例如/home/admin,部署根目录/{应用名称}/target存放程序包,部署根目录/{应用名称}/bin存放部署配置文件,部署根目录/{应用名称}/logs存放发布日志文件。
  • 启动脚本:当程序包完成部署之后,将执行应用程序的启动脚本文件,linux可以是shell、bash脚本,windows可以是powershell脚本。
  • 停止脚本:当应用程序开始执行停止操作,将执行应用程序的停止脚本文件。
  • 健康检查脚本:监听应用程序是否正常运行的心跳脚本文件,要求脚本必须返回“success”字符串。
  • 自定义脚本:用户自己来定义的脚本文件,用于在启动、停止、健康检查中的中间嵌套脚本。

创建完环境之后,如果分组还没有创建过,会自动创建一个同地域的一个默认分组,例如retailcloud_blog_web_cn-zhangjiakou.default。

分组的命名规范:应用名称_地域英文[.test].业务属性

 

环境创建完,回来应用发布页面,可以看到检查结果通过,并且可以进入到下一步。

 创建完环境之后,进入到下一步,检测结果,未创建任何应用实例,需要先创建一个应用实例,点击进入【应用实例管理】

应用实例

应用实例作为可运行应用程序(或者说是进程)的基本单位,一个应用实例对应到一台ECS实例上,但一台ECS实例可以对应多个应用实例,包括可跨应用的关联。进入到【应用详情】-【应用实例】,点击右上方【新建应用实例】。

创建应用实例,需要选择一个【环境】,关联一个【分组】,以及根据环境以及分组,筛选出可以关联的ECS实例列表。关联完之后,点击【创建】完成。

于是,retailcloud_blog_web的2台ECS实例,添加了2台应用实例。

回到初始化流程页面,页面校验完成创建,可进入到下一步。下一步初始化完成,进入到正式的【应用发布】页面。

 

发布单管理

  • 页面可查看当前运行中的发布单列表,点击右上角【新建发布单】按钮 弹出 新建发布单 窗口。

  • 新建发布单,可以通过该页面【上传程序包】,选择【发布模式】【发布暂停模式】【分批策略】以及【发布批数】,最后选择一个【环境】,进行环境的所有分组下的所有【应用实例】的应用程序包发布。

  • 发布单详情

点击提交的发布单,进入到发布单详情,分为2个批数进行发布,1批发布1个应用实例。

点恢复,进行下1批的应用程序包部署。

  • 程序包管理,当然你也可以对于之前发布的程序包进行重新部署(类似于回滚的功能)。

FAQ

关于此文档暂时还没有FAQ
返回
顶部