极狐GitLab Dedicated
Tier: 旗舰版
极狐GitLab Dedicated 是一种单租户 SaaS 解决方案,它具备以下特点:
- 完全隔离。
- 部署在您首选的 AWS 云区域。
- 由极狐GitLab 托管和维护。
每个实例都提供:
借助极狐GitLab Dedicated,您可以:
- 提高运营效率。
- 减少基础设施管理开销。
- 提升组织敏捷性。
- 满足严格的合规要求。
可用功能
本节列出了极狐GitLab Dedicated 可用的主要功能。
安全
极狐GitLab Dedicated 提供以下安全功能来保护您的数据并控制对实例的访问。
认证与授权
极狐GitLab Dedicated 支持 SAML 和 OpenID Connect (OIDC) 提供程序,用于单点登录 (SSO)。
您可以使用支持的提供程序配置单点登录 (SSO)。您的实例充当服务提供程序,您需要提供必要的配置,以便极狐GitLab 与您的身份提供程序 (IdP) 进行通信。
安全网络
提供两种连接选项:
- 带 IP 白名单的公共连接:默认情况下,您的实例可公开访问。您可以配置 IP 白名单以限制对指定 IP 地址的访问。
- 使用 AWS PrivateLink 的私有连接:您可以为入站和出站 PrivateLink 连接配置 AWS PrivateLink。
对于使用非公共证书的内部资源的私有连接,您还可以指定可信证书。
用于 Webhooks 和集成的私有连接
如果您的 Webhooks 和集成需要连接到无法从公共互联网访问的服务,您可以使用 AWS PrivateLink 实现私有连接。由于极狐GitLab Dedicated 是一种 SaaS 服务,它无法直接连接到您网络中的本地 IP 地址。
要为内部服务设置私有连接:
- 为您的内部服务分配主机名。
- 配置您的私有托管区域 (PHZ) 记录,以便通过出站 PrivateLink 连接路由到这些主机名。
- 规划出站 PrivateLink 连接的 10 个端点限制。
如果您需要连接超过 10 个端点,请在您的基础设施上实施反向代理或 TLS 透传。这种方法可以通过更少的 PrivateLink 连接路由多个服务。
数据加密
数据使用最新的加密标准在静态保存和传输过程中进行加密。
您还可以选择使用自己的 AWS Key Management Service (KMS) 加密密钥来加密静态数据。此选项让您完全控制存储在极狐GitLab 中的数据。
更多信息,请参阅极狐GitLab Dedicated 加密。
邮件服务
默认情况下,使用 Amazon Simple Email Service (Amazon SES) 安全发送电子邮件。您也可以选择通过 SMTP 配置您自己的邮件服务。
合规性
极狐GitLab Dedicated 遵循各种法规、认证和合规框架,以确保数据的安全性和可靠性。
查看合规和认证详情
您可以从极狐GitLab Dedicated 信任中心查看合规和认证详情,并下载合规制品。
访问控制
极狐GitLab Dedicated 实施严格的访问控制来保护您的环境:
- 遵循最小权限原则,仅授予所需的最低权限。
- 限制对 AWS 组织的访问,仅限选定的极狐GitLab 团队成员。
- 实施严格的用户账户安全策略和访问请求。
- 使用单一的 Hub 账户进行自动化操作和紧急访问。
- 极狐GitLab Dedicated 工程师无法直接访问客户环境。
在紧急情况下,极狐GitLab 工程师必须:
- 使用 Hub 账户访问客户资源。
- 通过审批流程请求访问。
- 通过 Hub 账户担任临时 IAM 角色。
Hub 和租户账户中的所有操作都会记录到 CloudTrail。
监控
在租户账户中,极狐GitLab Dedicated 使用:
- AWS GuardDuty 用于入侵检测和恶意软件扫描。
- 由极狐GitLab 安全事件响应团队进行基础设施日志监控,以检测异常事件。
审计与可观测性
您可以为审计和可观测性目的访问应用程序日志。这些日志提供了对系统活动和用户操作的洞察,帮助您监控实例并满足合规要求。
自定义域名
默认情况下,您的极狐GitLab Dedicated 实例可通过 tenant_name.gitlab-dedicated.com 访问。您可以配置自定义域名,使用您自己的域名,例如 gitlab.company.com。
使用自定义域名来:
- 在从极狐GitLab 私有化部署迁移时保留现有 URL。
- 在所有工具中保持您组织的域名。
- 与现有的证书管理或域名策略集成。
您可以为以下项配置自定义域名:
- 您的主极狐GitLab 实例
- 容器镜像仓库(例如 registry.company.com)
- 极狐GitLab Kubernetes 代理服务器(例如 kas.company.com)
更多信息,请参阅自定义域名。
对象存储下载
默认情况下,极狐GitLab Dedicated 启用从 S3 直接下载以获得最佳性能 (proxy_download = false)。 不支持代理下载。以下设置不能设为 true:
- 统一对象存储配置中的 proxy_download
- 依赖代理对象存储配置中的 dependency_proxy_object_store_proxy_download
支持直接下载的对象类型包括:
当您下载上述对象类型之一时,您的浏览器或客户端会直接连接到 Amazon S3,而不是通过极狐GitLab 基础设施进行路由。
应用程序
极狐GitLab Dedicated 带有私有化部署的旗舰版功能集,有少量例外。有关更多信息,请参阅不可用的功能。
高级搜索
极狐GitLab Dedicated 使用高级搜索功能。
ClickHouse Cloud
您可以通过 ClickHouse Cloud 集成访问高级分析功能,默认情况下,符合条件的客户已启用该集成。您符合条件的情况是:
- 您的极狐GitLab Dedicated 租户部署在商业 AWS 区域。 极狐GitLab Dedicated for Government 不受支持。
- ClickHouse Cloud 仅在支持的区域可用。更多信息,请参阅支持的区域。
极狐GitLab Pages
您可以在极狐GitLab Dedicated 上使用极狐GitLab Pages托管您的静态网站。Pages 默认启用。
您的网站使用域名 tenant_name.gitlab-dedicated.site,其中 tenant_name 与您的实例 URL 一致。
通过以下方式控制对网站的访问:
您现有的 IP 白名单将应用于您的 Pages 网站。
如果在灾难恢复期间发生故障转移,您的网站将继续从辅助区域工作。
托管运行器
极狐GitLab Dedicated 的托管运行器让您能够扩展 CI/CD 工作负载,无需维护开销。
私有化部署 Runner
作为使用托管运行器的替代方案,您可以为您的极狐GitLab Dedicated 实例使用自己的 Runner。
要使用私有化部署 Runner,请在您拥有或管理的基础设施上安装 GitLab Runner。
OpenID Connect 和 SCIM
您可以在保持对实例 IP 限制的同时,使用用于用户管理的 SCIM 或将极狐GitLab 作为 OpenID Connect 身份提供程序。
要将这些功能与 IP 白名单一起使用:
预生产环境
极狐GitLab Dedicated 支持与生产环境配置相匹配的预生产环境。您可以使用预生产环境来:
- 在生产环境中实施新功能之前对其进行测试。
- 在生产环境应用配置更改之前进行测试。
预生产环境必须作为极狐GitLab Dedicated 订阅的附加组件购买,无需额外许可证。
提供以下能力:
- 灵活的规模调整:与您的生产环境规模相匹配,或使用较小的参考架构。
- 版本一致性:运行与您的生产环境相同的极狐GitLab 版本。
限制:
- 仅限单区域部署。
- 无 SLA 承诺。
- 不能运行比生产环境更新的版本。
由极狐GitLab 管理的设置
虽然您可以通过管理区域修改大多数设置,但极狐GitLab 会自动管理某些设置以确保系统稳定性和安全性。
速率限制
极狐GitLab 根据您的实例规模配置速率限制,并在维护窗口期间自动将其重置为这些默认值,以确保最佳性能。这些限制可防止任何单个用户或自动化操作降低您实例上其他用户的性能。
有关速率限制如何在极狐GitLab Dedicated 中工作的更多信息,请参阅已认证用户的速率限制。
不可用的功能
本节列出了极狐GitLab Dedicated 不可用的功能。
认证、安全和网络
| 功能 | 描述 | 影响 |
|---|---|---|
| LDAP 认证 | 使用企业 LDAP/Active Directory 凭据进行认证。 | 必须使用极狐GitLab 特定密码或访问令牌代替。 |
| 智能卡认证 | 使用智能卡进行增强安全的认证。 | 无法使用现有的智能卡基础设施。 |
| Kerberos 认证 | 使用 Kerberos 协议进行单点登录认证。 | 必须单独向极狐GitLab 进行认证。 |
| FortiAuthenticator/FortiToken 双重认证 | 使用 Fortinet 安全解决方案的双重认证。 | 无法集成现有的 Fortinet 双重认证基础设施。 |
| 使用用户名/密码通过 HTTPS 进行 Git 克隆 | 通过 HTTPS 使用用户名和密码认证进行 Git 操作。 | 必须使用访问令牌进行 Git 操作。 |
| SSH 证书认证 | 使用 CA 颁发的证书进行 SSH 认证。 | 必须使用其他 SSH 认证方法,例如 SSH 密钥。 |
| Sigstore | 用于软件供应链安全的无密钥签名和验证。 | 必须使用传统的代码签名方法。 |
| 端口重映射 | 将 SSH (22) 等端口重新映射到不同的入站端口。 | 极狐GitLab Dedicated 仅使用默认通信端口。 |
沟通与协作
| 功能 | 描述 | 影响 |
|---|---|---|
| 通过邮件回复 | 通过电子邮件回复极狐GitLab 通知和讨论。 | 必须使用极狐GitLab Web 界面进行回复。 |
| Service Desk | 供外部用户通过电子邮件创建议题的工单系统。 | 外部用户必须拥有极狐GitLab 账户才能创建议题。 |
开发与 AI 功能
| 功能 | 描述 | 影响 |
|---|---|---|
| 部分极狐GitLab Duo AI 能力 | 用于漏洞检测和提高生产力的 AI 功能。 | 开发任务的 AI 辅助有限。 |
| 已禁用功能标志背后的功能 | 开发中的实验和 Beta 功能。 | 无法访问实验或 Beta 功能。 |
有关 AI 功能的更多信息,请参阅极狐GitLab Duo。
功能标志
功能标志用于支持新的、实验和 Beta 功能的开发和推出。 在极狐GitLab Dedicated 中:
- 您无法修改功能标志。
- 默认启用的功能可用。
- 默认禁用的功能不可用,也无法启用。
当功能达到 GA 时,它会在按照部署的发布计划的同一版本中提供。
极狐GitLab Pages
| 功能 | 描述 | 影响 |
|---|---|---|
| 自定义域名 | 在自定义域名上托管极狐GitLab Pages 站点。 | Pages 站点仅可通过 tenant_name.gitlab-dedicated.site 访问。 |
| URL 路径中的命名空间 | 使用基于命名空间的 URL 结构组织 Pages 站点。 | URL 组织选项有限。 |
运维功能
以下运维功能不可用:
- 在默认辅助区域之外,用于 Geo 复制的多个辅助区域
- Geo 代理及使用统一 URL
- 自助购买和配置
- 支持部署到非 AWS 云提供商,例如 GCP 或 Azure
- Switchboard 中的可观测性仪表板,例如 Grafana 和 OpenSearch
需要服务器访问的功能
以下功能需要直接访问服务器,无法配置:
| 功能 | 描述 | 影响 |
|---|---|---|
| Mattermost | 集成的团队聊天和协作平台。 | 使用外部聊天解决方案。 |
| 服务器端 Git Hooks | 在 Git 事件(pre-receive、post-receive)上运行的自定义脚本。 | 使用推送规则或Webhooks。 |
服务水平可用性
极狐GitLab Dedicated 维持每月 99.9% 的服务水平目标可用性。
服务水平可用性衡量极狐GitLab Dedicated 在一个日历月内可供使用的百分比时间。极狐GitLab 根据以下核心服务计算可用性:
| 服务区域 | 包含的功能 |
|---|---|
| Web 界面 | 极狐GitLab 议题、合并请求、极狐GitLab API、通过 HTTPS 进行的 Git 操作 |
| 容器镜像仓库 | 容器镜像仓库 HTTPS 请求 |
| Git 操作 | 通过 SSH 进行的 Git 推送、拉取和克隆操作 |
服务水平排除项
以下情况不包含在服务水平可用性计算中:
- 由客户配置错误导致的服务中断
- 极狐GitLab 控制范围之外的客户或云提供商基础设施问题
- 计划的维护窗口
- 针对严重安全或数据问题的紧急维护
- 由自然灾害、广泛的互联网中断、数据中心故障或其他极狐GitLab 无法控制的事件造成的服务中断。
灾难恢复
有关灾难恢复的更多信息,包括恢复目标,请参阅极狐GitLab Dedicated 的灾难恢复。
迁移到极狐GitLab Dedicated
要将数据迁移到极狐GitLab Dedicated:
过期的订阅
您的订阅到期前,您会收到临近结束日期的通知。
当订阅到期后,您可以在 30 天内访问您的实例。
要保留您的数据,请在到期后 15 天内联系您的客户团队或发送电子邮件给支持团队,请求数据保留。
在这 30 天期间内,您可以:
- 发送电子邮件给支持团队,请求额外时间来检索数据。
- 联系专业服务以获得迁移协助或下线支持。
30 天后,如果您的数据未归档或迁移到另一个实例,您的实例将被终止,所有客户内容将被删除。这包括所有项目、仓库、议题、合并请求和其他数据。
您可以在实例终止 90 天后请求账户删除确认。确认将以来自 AWS 的电子邮件形式提供,表明您的账户已关闭。
开始使用
有关极狐GitLab Dedicated 的更多信息或申请演示,请参阅极狐GitLab Dedicated。
有关设置极狐GitLab Dedicated 实例的更多信息,请参阅创建您的极狐GitLab Dedicated 实例。
</to_translate>