Skip to main content

开始使用 GitHub Enterprise Cloud 的数据驻留

通过加入用户、启用计费和迁移数据,在 GHE.com 上设置企业。

采用 具有数据驻留的 GitHub Enterprise Cloud 时,可以选择公司代码和数据的存储位置。

GitHub 的销售团队 合作创建在 GHE.com 上具有专用 URL 的企业帐户后,将使用本指南设置企业****。 你将:

  • 通过配置身份验证和使用标识管理系统进行预配来添加用户
  • 设置企业计费
  • (可选)从另一个平台迁移数据
  • 了解可用功能,包括工作方式不同的或需要其他配置的功能

完成此初始设置后,你将能够创建组织和存储库、协作处理代码、配置策略等。

先决条件

  • 必须已经在 GHE.com 上预配了企业。

  • 如果打算使用 Microsoft Azure 订阅付费,则必须具有 Azure 门户的管理员访问权限,或者与其他人协作配置管理员同意工作流。 有关先决条件的完整列表,请参阅“连接 Azure 订阅”。

  • 必须确保客户端系统信任 GitHub 的 SSH 密钥指纹且可访问某些主机名和 IP 地址。 请参阅“GHE.com 的网络详细信息”。

1.向企业添加用户

GHE.com 上的企业使用 Enterprise Managed Users。 要创建用户帐户并授予对 GHE.com 上的新企业的访问权限,必须配置身份验证和 SCIM 预配。 请参阅“Enterprise Managed Users 入门”。

以设置用户身份登录

创建企业后,将收到一封电子邮件,邀请你为设置用户选择密码,该密码用于配置身份验证和预配。 用户名是随机生成的短代码,后缀为 _admin

使用隐身或专用浏览窗口****:

  1. 设置用户密码。

  2. 启用双因素身份验证 (2FA),并保存用户的恢复代码。 请参阅“配置双重身份验证”。

    Note

    如果未启用 2FA,则每次以设置用户身份登录时,都需要输入企业的单一登录 (SSO) 恢复代码。 启用 SSO 后便可以下载这些代码。

我们强烈建议你将设置用户的凭据存储在公司的密码管理工具中****。 需要有人以该用户身份登录,以便更新身份验证设置、迁移到其他标识提供者或身份验证方法,或者使用企业的恢复代码。

如果需要重置设置用户的密码,请通过 GitHub 支持门户 联系 GitHub 支持。 提供电子邮件地址时,通常的密码重置选项将不起作用。

创建 personal access token

接下来,创建可用于配置预配的 personal access token。

  • 创建令牌时,必须以安装用户身份登录
  • 令牌的范围必须为 scim:enterprise
  • 令牌必须没有过期

若要了解如何创建 personal access token (classic),请参阅“管理个人访问令牌”。

配置身份验证

接下来,配置成员的身份验证方式。

如果使用 Entra ID **** 作为 IdP,可以在 OpenID Connect (OIDC) 和安全断言标记语言 (SAML) 之间进行选择。

  • 建议使用 OIDC,其中包括对条件访问策略 (CAP) 的支持。
  • 如果需要从一个租户预配多个企业,则可以对第一个企业使用 SAML 或 OIDC,但必须对每个其他企业使用 SAML。

如果使用的是其他 IdP****(例如 Okta 或 PingFederate),则必须使用 SAML 对成员进行身份验证。

首先,请阅读所选身份验证方法的指南。

配置预配

配置身份验证后,可以配置 SCIM 预配,即 IdP 在 GitHub 上创建 托管用户帐户 的方式。 请参阅“为企业托管用户配置 SCIM 预配”。

管理组织成员资格

配置身份验证和预配后,可以将 IdP 组与团队同步,从而开始管理 托管用户帐户 的组织成员身份。 请参阅“使用标识提供者组管理团队成员身份”。

2.设置帐单

要支付许可证和服务费用,可以使用信用卡、PayPal 或 Microsoft Azure 订阅。

3.迁移数据

(可选)要将现有数据迁移到 GHE.com 上的新企业,可以使用 GitHub 的迁移工具。

  • 如果要从 GitHub.com、GitHub Enterprise Server、Azure DevOps 或 Bitbucket Server 进行迁移,可以使用 GitHub Enterprise Importer 迁移源代码历史记录和元数据。 请参阅“关于 GitHub Enterprise Importer”。
  • 如果要从其他平台进行迁移,请参阅“迁移到 GitHub 的路径”。

GitHub Enterprise Importer 的示例脚本

以下脚本演示如何使用 GitHub Enterprise Importer 将单个源存储库从 GitHub.com 迁移到 GHE.com 上的目标存储库。 --target-api-url 参数可将 GHE.com 上的企业设置为迁移目标。

可以使用脚本中的环境变量定义作为示例来创建使用 GitHub Enterprise Importer 迁移数据的其他命令。

在以下脚本中,将以下占位符文本替换为实际值****。

占位符说明
TARGET-TOKEN用于访问 GHE.com 上的目标企业的Personal access token (PAT)
SOURCE-TOKEN用于访问 GitHub.com 上的源资源的 PAT
TARGET-GHE-API-URL用于访问企业 API 终结点的 URL。 例如,如果企业的子域是 octocorp,此值必须是 https://api.octocorp.ghe.com
SOURCE-GH-ORGANIZATION-NAMEGitHub.com 上的源组织的名称。
SOURCE-GH-REPOSITORY-NAMEGitHub.com 上的源存储库的名称。
TARGET-GHE-ORGANIZATION-NAMEGHE.com 上的目标组织的名称。
TARGET-GHE-REPOSITORY-NAMEGHE.com 上的目标存储库的名称。
Bash
#!/bin/sh

export GH_PAT="TARGET-TOKEN"
export GH_SOURCE_PAT="SOURCE-TOKEN"
export TARGET_API_URL="TARGET-GHE-API-URL"
export GITHUB_SOURCE_ORG="SOURCE-GH-ORGANIZATION-NAME"
export SOURCE_REPO="SOURCE-GH-REPOSITORY-NAME"
export GITHUB_TARGET_ORG="TARGET-GHE-ORGANIZATION-NAME"
export TARGET_REPO="TARGET-GHE-REPOSITORY-NAME"

gh gei migrate-repo --target-api-url $TARGET_API_URL --github-source-org $GITHUB_SOURCE_ORG --source-repo $SOURCE_REPO --github-target-org $GITHUB_TARGET_ORG --target-repo $TARGET_REPO --verbose

4.了解 GitHub 的功能

完成企业的初始设置后,你和你的企业成员可以开始使用 GitHub 的功能。

GHE.com 上 数据驻留 的可用功能类似于 GitHub.com 上 托管用户帐户 的可用功能,但有一些添加和例外。与 GitHub.com 上的等效功能相比,某些功能的工作方式不同或需要额外的配置。 请参阅“具有数据驻留的 GitHub Enterprise Cloud 的功能概述”。

其他阅读材料