更多配置
1. 概述
默认安装并不能达到生产集的部署要求。可能还会涉及到 TLS 加密、实例规格的定义等后续操作。
2. TLS加密访问
通常情况下,为了提升访问的安全性,会进行 TLS 加密配置,在 CSGHub Helm Chart 中配置 TLS 加密访问较为简单,主要操作步骤如下:
- 准备域名证书
根据部署方式不同,所要准备的域名证书不同,详细参考:域名。
- 创建 TLS Secret
kubectl -n csghub create secret tls csghub-tls-certs \
--cert=fullchain.pem \
--key=privkey.pem
- 升级以应用证书
helm upgrade --install csghub csghub/csghub \
--namespace csghub \
--set global.gateway.external.domain="csghub.example.com" \
--set global.gateway.tls.enabled=true \
--set global.gateway.tls.secretName="csghub-tls-certs"
如果这里申请的是多个证书,可以通过如下方式分别指定:
--set portal.gateway.tls.secretName="portal-tls-certs" \
--set minio.gateway.tls.secretName="minio-tls-certs" \
--set casdoor.gateway.tls.secretName="casdoor-tls-certs"
以上服务未尽数列出。
特别说明:*.csghub.example.com泛域名不适用单域名证书。
3. 实例规格定义
在实例就绪后,如果创建模型推理等实例,就需要用到 GPU 资源,在使用 GPU 资源之前需要定义资源规格。
- 如果是企业版本,直接在管理员后台 资源管理 或者 算力管理 进行添加即可。实际格式可以参考初始化的资源示例。
- 如果是社区版本需要在后台数据库进行资源的初始化,详细格式参考。
4. 配置使用外置基础设施
CSGHUB 在默认安装时会自动启用一组 内置基础服务(PostgreSQL、Redis、MinIO、Registry、Gitaly 等)。
在生产环境中,通常推荐改为使用 外部托管资源(外置数据库、缓存、对象存储等)以获得更高的可用性与性能。
4.1 内置资源禁用与优先级逻辑
禁用逻辑
-
通过设置:
global.<component>.enabled=false -
即可禁用对应的内置组件(例如
global.postgresql.enabled=false)。 -
当该字段为 false 时,Helm 会自动跳过该组件的内置部署(无需额外关闭 postgresql.enabled)。
4.2 默认命名规则
-
数据库名、存储桶(Bucket)名等 都有默认命名规则,默认格式为
csghub-{service}。 -
例如:
- csghub-server
- csghub-portal
- csghub-runner
-
这些名称不需要在 global 中显式配置。
-
如果需要修改,可以在各服务的局部配置中指定:
server:
objectStore:
bucket: "my-custom-bucket"
4.3 配置优先级
配置的生效顺序如下:
| 优先级 | 级别 | 示例 |
|---|---|---|
| 🥇 1 | 服务级 (local) | server.objectStore.bucket |
| 🥈 2 | 全局级 (global) | global.objectStore.external.endpoint |
提示:服务级配置总是优先于全局配置。
5. 配置示例
以下示例展示如何使用外部 PostgreSQL、Redis、MinIO、Registry 等资源。
5.1 PostgreSQL(数据库)
global:
postgresql:
enabled: false
external:
host: "postgres.example.com"
port: 5432
user: "csghub"
password: "StrongPassword"
timezone: "Asia/Shanghai"
sslmode: "prefer"
## 以下配置是各资源默认的数据库配置示例,可以通过修改`database`来指定新的数据库名字。
casdoor:
postgresql:
database: "new_casdoor_database"
temporal:
postgresql:
database: "new_temporal_database"
server:
postgresql:
database: "new_server_database"
portal:
postgresql:
database: "new_portal_database"
dataflow:
dataflow:
postgresql:
database: "new_dataflow_database"
labelStudio:
postgresql:
database: "new_label_studio_database"
csgship:
postgresql:
database: "new_csgship_database"
5.2 Redis(缓存)
global:
redis:
enabled: false
external:
host: "redis.example.com"
port: 6379
password: "RedisStrongPassword"
5.3 MinIO / S3(对象存储)
global:
objectStore:
enabled: false
external:
endpoint: "https://s3.amazonaws.com"
accessKey: "AKIAxxxx"
secretKey: "xxxx"
region: "us-east-1"
secure: "true"
pathStyle: "false"
## 以下配置是各资源默认的存储桶配置示例,可以通过修改`bucket`来指定新的存储桶名字。
registry:
objectStore:
bucket: "new-registry-bucket"
server:
objectStore:
bucket: "new-server-bucket"
## 除此之外这里还需要另外一个存储桶 `{service}-public`, 根据 service 自动命名,暂不支持自定义
## 因为这个桶需要公开访问,因此定义了`-public`标识
portal:
objectStore:
bucket: "new-portal-bucket"
runner:
objectStore:
bucket: "new-runner-bucket"
csgship:
billing:
objectStore:
bucket: "new-billing-bucket"
5.4 Registry(镜像仓库)
global:
registry:
enabled: false
external:
registry: "registry.example.com"
repository: "csghub"
username: "user"
password: "pass"
insecure: "false"
5.5 Gitaly(Git 存储)
global:
gitaly:
enabled: false
external:
scheme: "tcp"
host: "gitaly.example.com"
port: 8075
token: "gitaly_token"
storage: "default"
5.6 Dataflow(数据集处理)
global:
dataflow:
enabled: false
external:
host: "dataflow.example.com"
port: 80
6. 小结
| 项目 | 关闭方式 | 外部配置路径 | 命名示例 |
|---|---|---|---|
| PostgreSQL | global.postgresql.enabled=false | global.postgresql.external | csghub_<service> |
| Redis | global.redis.enabled=false | global.redis.external | — |
| MinIO / S3 | global.objectStore.enabled=false | global.objectStore.external | csghub-<service> |
| Registry | global.registry.enabled=false | global.registry.external | — |
| Gitaly | global.gitaly.enabled=false | global.gitaly.external | — |
| Dataflow | global.dataflow.enabled=false | global.dataflow.external | — |