共享 OPL 数据空间
部署一次,让整个团��队都能访问。
OPL 数据空间 天生适合共享部署。一个实例就可以服务整个组织;在新一代组织化部署里,还能同时承载多个组织,并清楚划定租户边界。用户只需要打开浏览器开始聊天,无需逐台安装客户端,也不会把数据分散在不同机器上。
为团队而设计
更顺滑的接入
终端用户不需要安装任何软件,不需要管理 Docker,也不需要打开终端。他们只要打开浏览器,访问你的实例地址并登录即可。
协作式智能
共享实例意味着共享知识与协作上下文。
| 频道 | 团队成员和 AI 模型实时协作的持久化空间 |
| 团队空间 | 面向共享聊天、组织上下文与团队工作流的协作导航模型 |
| 共享聊天 | 把某次对话的完整快照分享给同事,并由部署的共享模型控制可见性 |
| 全局 Prompt 与知识库 | 在组织级或平台级构建专用智能体并统一提供给团队 |
共享算力
如果你运行的是本地模型,那么一台强服务器或一个集群就可以服务整个团队,不再需要每个人的桌面都具备足够的算力。
集中式管理
所有事情都可以从一个地方管理:控制用户能访问哪些模型、配置 基于角色的访问控制(RBAC)、审查审计流程,并按需限制功能。
让团队可以访问你的实例
要共享实例,你需要把它暴露到网络上。常见方式有三种,从最简单的局域网访问到生产级公网域名都覆盖到了。
1. 零配置局域网访问
如果团队成员处于同一个��局域网或 VPN,他们可以通过你机器的本地 IP 和端口访问 OPL 数据空间。
http://192.168.1.100:3000
2. 安全私网访问(推荐)
适合远程团队,而且不想把实例直接暴露到公网。覆盖网络和安全隧道可以在不开放防火墙端口的情况下提供加密访问。
| Tailscale | 私有 mesh 网络,支持 MagicDNS(https://open-webui.tailnet-name.ts.net) |
| Cloudflare Tunnels | 借助 Cloudflare 边缘网络暴露服务,并由 Cloudflare Access(Zero Trust)保护 |
| ngrok | 用于开发和测试的临时共享通道 |
3. 公网 HTTPS(反向代理)
适用于生产环境。把 OPL 数据空间 放在反向代理后面,在自己的域名(例如 ai.yourcompany.com)上做 SSL/TLS 终止。
| Nginx | 业界常用的 Web 服务器与反向代理 |
| Caddy | 配置极简且自动签发 HTTPS |
| HAProxy | 高性能负载均衡与代理 |
团队接入方式
当实例已经能通过网络访问后,下一步就是定义用户如何创建账号并登录。
待审批队列
第一个注册的用户会成为 管理员。之后的所有注册用户都会进入 待审批 状态,无法使用模型或平台,直到管理员在管理面板中批准。
组织与落地组织
如果你的部署启用了 组织,那么账号创建路径需要明确设计:
- 每个用户都必须有一个归属组织
- 开放注册与 SSO 下发都应该指向一个落地组织
- 团队内部需要明确混合作用域管理页面的使用方式
- 对“公开共享”的理解需要更谨慎,尤其要区分组织公开与平台公开
上线前建议把这三页一起读完:
企业级单点登录(SSO)
如果组织规模较大,手工审批无法扩展, OPL 数据空间 可以接入你现有的身份提供方。
| OAuth / OIDC | 通过 Google、Microsoft、Okta 或 Keycloak 登录 |
| 组映射 | 直接把 IdP 里的用户组映射到 OPL 数据空间 组 |
| SCIM 2.0 | 自动化用户与用户组开通、回收 |
推荐阅读顺序
如果你正准备给真实团队上线一套共享部署,可以按下面顺序阅读:
- 共享 OPL 数据空间 - 先明确暴露方式与接入方式。
- 组织 - 理解租户边界。
- 团队空间 - 理解用户侧看到的协作模型。
- 扩展 OPL 数据空间 - 在增加 worker 或副本前先看。
- 组织维护 - 在上线或迁移前明确运维约束。