先决条件
- 您必须拥有 GitHub Enterprise 许可文件。 有关详细信息,请参阅“设置 GitHub Enterprise Server 试用版”和“关于 GitHub Enterprise 的许可证”。
- 您必须具有能够启动 EC2 实例和创建 EBS 卷的 AWS 帐户。 有关详细信息,请参阅 Amazon Web Services 网站。
- 启动 你的 GitHub Enterprise Server 实例 所需的大部分操作也可以使用 AWS 管理控制台执行。 不过,我们建议安装 AWS 命令行接口 (CLI) 进行初始设置。 下文介绍了使用 AWS CLI 的示例。 有关详细信息,请参阅 Amazon 指南使用 AWS 管理控制台和什么是 AWS 命令行接口。
本指南假定您已熟悉以下 AWS 概念:
- 启动 EC2 实例
- 管理 EBS 卷
- 使用安全组(用于管理对实例的网络访问)
- 弹性 IP 地址 (EIP)(强烈建议用于生产环境)
- EC2 和虚拟私有云(如果你计划启动虚拟私有云)
- AWS 定价(用于计算和管理成本)
有关提供体系结构概述的关系图,请参阅“用于部署 GitHub Enterprise Server 的 AWS 体系结构图”。
本指南建议在 AWS 上设置 你的 GitHub Enterprise Server 实例 时使用最小权限原则。 有关详细信息,请参阅 AWS 标识和访问管理 (IAM) 文档。
硬件注意事项
最低推荐要求
建议根据 你的 GitHub Enterprise Server 实例 的用户许可数选择不同的硬件配置。 如果预配的资源超过最低推荐要求,则实例将表现更好并且可扩展性更好。
用户许可证 | x86-64 vCPU | 内存 | 根存储 | 附加(数据)存储 |
---|---|---|---|---|
试用版、演示版或 10 个轻度用户 | 4 | 32 GB | 200 GB | 150 GB |
10-3000 | 8 | 48 GB | 200 GB | 300 GB |
3000-5000 | 12 | 64 GB | 200 GB | 500 GB |
5000-8000 | 16 | 96 GB | 200 GB | 750 GB |
8000-10000+ | 20 | 160 GB | 200 GB | 1000 GB |
如果计划为实例的用户启用 GitHub Actions 或 GitHub Advanced Security,则需要更多资源。
- GitHub Actions - 至少增加 25% 的 CPU 和内存。
- GitHub Advanced Security -至少增加 25% 的 CPU 和内存。
这些调整应适用于每个用户层的基本要求。 建议监视对所有资源的更改,因为可能需要进一步增加。
有关这些要求的详细信息,请参阅“GitHub Actions for GitHub Enterprise Server 使用入门”。
如果计划为实例的用户启用 Container registry,则需要更多资源。 有关这些要求的详细信息,请参阅“企业 GitHub Packages 使用入门”。
有关为现有实例调整资源的详细信息,请参阅“增加存储容量”和“增加 CPU 或内存资源”。
存储
我们建议为 GitHub Enterprise Server 配置具有高每秒输入/输出操作数 (IOPS) 和低延迟的高性能 SSD。 工作负载是 I/O 密集型的。 如果使用裸机管理程序,建议直接连接磁盘或使用存储区域网络 (SAN) 中的磁盘。
您的实例需要一个独立于根磁盘的持久数据磁盘。 有关详细信息,请参阅“系统概览”。
Warning
根存储是指实例的根磁盘总大小。 当实例启动时,将看到根文件系统上有 100GB 可用空间。 剩余的 100GB 保留用于升级。 有关详细信息,请参阅“系统概览”。
若要配置 GitHub Actions,必须提供外部 Blob 存储。 有关详细信息,请参阅“GitHub Actions for GitHub Enterprise Server 使用入门”。
根文件系统上的可用空间将占磁盘总大小的 50%。 您可以通过构建一个新实例或使用现有实例来调整实例的根磁盘大小。 有关详细信息,请参阅“系统概览”和“增加存储容量”。
CPU 和内存
GitHub Enterprise Server 需要的 CPU 和内存资源取决于用户的活动水平、自动化和集成。
为 你的 GitHub Enterprise Server 实例 预配的任何 VM 都必须使用 x86-64 CPU 体系结构。 其他体系结构(例如 AArch64 或 arm64)均不受支持。
如果计划为 GitHub Enterprise Server 实例的用户启用 GitHub Actions,则可能需要为实例预配额外的 CPU 和内存资源。 有关详细信息,请参阅“GitHub Actions for GitHub Enterprise Server 使用入门”。
增加 CPU 资源时,GitHub建议为实例预配的每个 vCPU(最多 16 个 vCPU)增加至少 6.5 GB 的内存。 如果您使用的 vCPU 超过 16 个,则无需为每个 vCPU 添加 6.5 GB 内存,但应监控您的实例以确保其有足够的内存。
Warning
建议用户配置 Web 挂钩事件来通知外部系统有关 GitHub Enterprise Server 上的活动。 自动检查更改或轮询将对实例的性能和可扩展性产生不利影响。 有关详细信息,请参阅“关于 web 挂钩”。
有关监视 GitHub Enterprise Server 的容量和性能的详细信息,请参阅“监视实例”。
您可以增加实例的 CPU 或内存资源。 有关详细信息,请参阅“增加 CPU 或内存资源”。
确定实例类型
在 AWS 上启动 你的 GitHub Enterprise Server 实例 之前,需要确定最符合组织需求的设备类型。 若要查看 GitHub Enterprise Server 的最低推荐要求,请参阅“最低推荐要求”。
可以随时通过调整实例大小来扩展 CPU 或内存。 更改实例的可用资源需要用户安排出故障时间,因此GitHub建议预配帐户资源以进行缩放。
GitHub 建议对 GitHub Enterprise Server 使用内存优化的实例。 有关详细信息,请参阅 Amazon EC2 网站上的 Amazon EC2 实例类型。
选择 GitHub Enterprise Server AMI
您可以使用 GitHub Enterprise Server 门户或 AWS CLI 为 GitHub Enterprise Server 选择 Amazon Machine Image (AMI)。
GitHub Enterprise Server 的 AMI 适用于 AWS GovCloud(美国东部和美国西部)区域。 因此,受特定法规要求约束的美国客户可以在符合联邦要求的云环境中运行 GitHub Enterprise Server。 有关 AWS 符合联邦和其他标准的详细信息,请参阅 AWS 的 GovCloud (US) 页面和 AWS 的合规性页面。
使用 GitHub Enterprise Server 门户选择 AMI
-
导航到要用于新实例的映像。
- 导航到发行说明。
- 在右侧边栏中,单击要下载的版本。
- 单击“下载 GitHub Enterprise Server X.X.X”。
-
在“云中的 GitHub”下,选择“选择你的平台”下拉菜单,然后单击“Amazon Web Services”。
-
选择“选择你的 AWS 区域”下拉菜单,然后单击所需区域。
-
记下显示的 AMI ID。
使用 AWS CLI 选择 AMI
-
使用 AWS CLI 获取由 GitHub 的 AWS 所有者 ID(
025577942450
代表 GovCloud,895557238572
代表其他地区)发布的 GitHub Enterprise Server 图像列表。 有关详细信息,请参阅 AWS 文档中的 describe-images。aws ec2 describe-images \ --owners OWNER_ID \ --query 'sort_by(Images,&Name)[*].{Name:Name,ImageID:ImageId}' \ --output=text
-
记下最新 GitHub Enterprise Server 映像的 AMI ID。
添加安全组
如果是首次设置 AMI,您需要创建安全组并为下表中的每个端口添加新的安全组规则。 有关详细信息,请参阅 AWS 指南使用安全组。
-
使用 AWS CLI 创建新的安全组。 有关详细信息,请参阅 AWS 文档中的 create-security-group。
aws ec2 create-security-group --group-name SECURITY_GROUP_NAME --description "SECURITY GROUP DESCRIPTION"
-
记下新创建的安全组的安全组 ID (
sg-xxxxxxxx
)。 -
为下表中的每个端口创建安全组规则。 建议根据针对管理和用户方面需要公开的网络服务有选择地打开网络端口。 有关详细信息,请参阅 AWS 文档中的“网络端口”和 authorize-security-group-ingress。
aws ec2 authorize-security-group-ingress --group-id SECURITY_GROUP_ID --protocol PROTOCOL --port PORT_NUMBER --cidr SOURCE IP RANGE
此表列出了每个端口的用途。
端口 服务 说明 22 SSH Git over SSH 访问。 支持克隆、获取和推送操作到公共/私有仓库。 25 SMTP 支持加密 (STARTTLS) 的 SMTP。 80 HTTP Web 应用程序访问。 当 SSL 启用时,所有请求都会重定向到 HTTPS 端口。 122 SSH 实例 shell 访问。 默认 SSH 端口 (22) 专用于应用程序 git+ssh 网络流量。 161/UDP SNMP 为网络监视协议操作所需。 443 HTTPS Web 应用程序和 Git over HTTPS 访问。 1194/UDP VPN 采用高可用性配置的安全复制网络隧道。 使用 WireGuard 进行加密。 8080 HTTP 基于纯文本 Web 的 管理控制台。 除非手动禁用 SSL,否则不需要。 8443 HTTPS 基于安全 Web 的 管理控制台。 进行基本安装和配置时需要。 9418 Git 简单的 Git 协议端口。 仅克隆和获取操作到公共仓库。 未加密的网络通信。 如果在实例上启用了私有模式,则仅当您也启用了匿名 Git 读取访问时才需要打开此端口。 有关详细信息,请参阅“在企业中实施仓库管理策略”。
创建 GitHub Enterprise Server 实例
要创建实例,您需要使用 GitHub Enterprise Server AMI 启动 EC2 实例,并连接额外的存储卷来存储实例数据。 有关详细信息,请参阅“硬件注意事项”。
Note
可以加密数据磁盘以获得额外的安全级别,并确保写入实例的所有数据都受到保护。 使用加密磁盘会对性能稍有影响。 如果你决定要对卷加密,强烈建议你在首次启动实例之前进行加密。 有关详细信息,请参阅 Amazon EBS 加密指南。
Warning
如果决定在配置完实例后启用加密,则需要将数据迁移到加密卷,此过程将导致用户停机一段时间。
启动 EC2 实例
在 AWS CLI 中,使用 AMI 以及您创建的安全组启动 EC2 实例。 附上新的块设备,以用作实例数据的存储卷,并根据您的用户许可数配置大小。 有关详细信息,请参阅 AWS 文档中的 run-instances。
aws ec2 run-instances \
--security-group-ids SECURITY_GROUP_ID \
--instance-type INSTANCE_TYPE \
--image-id AMI_ID \
--block-device-mappings '[{"DeviceName":"/dev/xvdf","Ebs":{"VolumeSize":SIZE,"VolumeType":"TYPE"}}]' \
--region REGION \
--ebs-optimized
分配弹性 IP 并将其与实例关联
如果是生产实例,我们强烈建议先分配弹性 IP (EIP) 并将其与实例关联,然后再继续进行 GitHub Enterprise Server 配置。 否则,实例重新启动后将无法保留公共 IP 地址。 有关详细信息,请参阅 Amazon 文档中的分配弹性 IP 地址和将弹性 IP 地址与正在运行的实例关联。
如果采用生产高可用性配置,主实例和副本实例均应分配单独的 EIP。 有关详细信息,请参阅“配置高可用性”。
配置 GitHub Enterprise Server 实例
若要配置实例,必须上传许可证文件,设置 根管理控制台 密码,配置实例的设置,然后重启实例。
Warning
若要防止攻击者破坏新实例,请确保你亲自设置 根管理控制台 密码,并尽快创建第一个用户。
- 复制虚拟机的公共 DNS 名称,然后将其粘贴到 web 浏览器中。
- 在提示时上传许可文件并设置管理控制台密码。 有关详细信息,请参阅“管理 GitHub Enterprise 的许可证”。
- 在 管理控制台 中,配置并保存所需的设置。 有关详细信息,请参阅“配置 GitHub Enterprise”。
- 实例将自动重启。
- 单击“访问实例”。