系統(tǒng)概要設計說明書xxx智慧運營管理平臺作 者:創(chuàng)建日期:2022-10更新日期:版 本:1.0

文檔控制序號變更內(nèi)容責任人日期1初稿2022-06-02文檔分發(fā)目錄TOC\o"1-5"\h\z\o"CurrentDocument"引言 4\o"CurrentDocument"編寫目的 4\o"CurrentDocument"參考資料 4\o"CurrentDocument"系統(tǒng)總體設計 4\o"CurrentDocument"需求規(guī)定 4\o"CurrentDocument"系統(tǒng)總體架構 5\o"CurrentDocument"系統(tǒng)架構圖 5\o"CurrentDocument"系統(tǒng)開發(fā)技術 6\o"CurrentDocument"后端開發(fā)技術 6\o"CurrentDocument"前端開發(fā)技術 6\o"CurrentDocument"數(shù)據(jù)庫技術 7\o"CurrentDocument"接口設計 7\o"CurrentDocument"2.4.1、接口設計規(guī)范 7\o"CurrentDocument"2.4.2、接口安全設計 9\o"CurrentDocument"2.4.3、冪等性設計 9\o"CurrentDocument"數(shù)據(jù)庫設計 1..0\o"CurrentDocument"安全解決方案 1..0\o"CurrentDocument"部署方案 1..1\o"CurrentDocument"硬件規(guī)格與型號建議 1.1\o"CurrentDocument"軟件 1..1\o"CurrentDocument"服務器虛擬化 1.2\o"CurrentDocument"部署步驟 1.2\o"CurrentDocument"6.4.1數(shù)據(jù)庫部署 1.2\o"CurrentDocument"6.4.2應用部署 1..3\o"CurrentDocument"構建部署流程圖 1.3\o"CurrentDocument"6、API響應碼 14引言編寫目的本概要設計說明書根據(jù)《智慧運營管理平臺需求規(guī)格說明書》編寫，描述了系統(tǒng)的總體概要設計，為系統(tǒng)測試人員提供測試依據(jù)。本文檔的預期讀者為：項目經(jīng)理、系統(tǒng)分析員、測試經(jīng)理、項目組長、系統(tǒng)開發(fā)人員。參考資料智慧運營管理平臺需求規(guī)格說明書》。系統(tǒng)總體設計需求規(guī)定本系統(tǒng)的主要的輸入輸出項目、處理的功能性能要求參照《智慧運營管理平臺需求規(guī)格說明書》。系統(tǒng)總體架構系統(tǒng)架構智慧運營管理平臺訪問層Hnp/Https網(wǎng)關API網(wǎng)關服務通信業(yè)勢月艮務模塊減排項目投融產(chǎn)品服務層MQRESTRPC機構管理投融資帥速統(tǒng)一日志記錄統(tǒng)一權限管理服務治理資訊置湮圖2-系統(tǒng)架構圖訪問層Hnp/Https網(wǎng)關API網(wǎng)關服務通信業(yè)勢月艮務模塊減排項目投融產(chǎn)品服務層MQRESTRPC機構管理投融資帥速統(tǒng)一日志記錄統(tǒng)一權限管理服務治理資訊置湮圖2-系統(tǒng)架構圖整個微服務架構分為四層，分別為數(shù)據(jù)層、服務層、網(wǎng)關、訪問層。1、數(shù)據(jù)層主要包括數(shù)據(jù)庫、緩存、分布式文件存儲，用于存儲系統(tǒng)中的所有的業(yè)務數(shù)據(jù)、附件、圖片、音頻、視頻等；2、服務層是整個微服務架構的核心層，所有的業(yè)務邏輯都在這一層實現(xiàn)，同時采用服務治理、統(tǒng)一配置、熔斷降級、消息隊列等技術對這些服務進行統(tǒng)一管理；3、網(wǎng)關作為整個系統(tǒng)的唯一入口，所有外界對系統(tǒng)的訪問都必須經(jīng)過網(wǎng)關，因此同時也提供身份鑒權、權限驗證、負載均衡等功能；4、訪問層主要是各種客戶端，包括PC端、移動端、各種物聯(lián)網(wǎng)設備等，通過http/https協(xié)議經(jīng)過網(wǎng)關實現(xiàn)對服務的調(diào)用。系統(tǒng)開發(fā)技術后端開發(fā)技術1、 開發(fā)語言：Java2、 開發(fā)平臺：SprintCloudAlibaba3、 服務注冊與發(fā)現(xiàn)：Nacos4、 服務網(wǎng)關：Gateway5、 消息隊列：RabbitMQ6、 服務通訊：Http/gRPC7、 分布式追蹤與監(jiān)控：Skywalking8、 統(tǒng)一配置管理：Nacos9、 分布式日志系統(tǒng)：ELK10、 服務認證鑒權：JWT前端開發(fā)技術前端主要是基于Vue進行開發(fā)，同時也涉及三方組件庫，包括dvajs、Less、bizcharts、G6、L7、AntDesignUl等。數(shù)據(jù)庫技術1、 主數(shù)據(jù)庫：MySQL；2、 中間數(shù)據(jù)庫:SQLServer；3、 分布式緩存:Redis；4、 實時搜索與數(shù)據(jù)分析:Elasticsearch；5、 ORM技術：MyBatis。接口設計2.4.1、接口設計規(guī)范由于本平臺采用微服務架構模式進行開發(fā)，所有服務間的相互訪問都是采用APl接口實現(xiàn)，嚴格遵守以下設計規(guī)范：1、路由命名規(guī)范動作前綴例如獲取數(shù)據(jù)getgetUserList新增數(shù)據(jù)addaddUser修改數(shù)據(jù)updateupdateUser保存數(shù)據(jù)savesaveUser刪除數(shù)據(jù)deletedeleteUser上傳數(shù)據(jù)uploaduploadFile表1-路由命名規(guī)范列表

2、請求方式3、請求參數(shù)（1）Queryurl?后面的參數(shù)，存放請求接口的參數(shù)數(shù)據(jù)。（2） Header請求頭，存放token、requestld、公共參數(shù)、加密字段等。（3） BodyBody體，存放請求接口的參數(shù)數(shù)據(jù)。4、Web端請求參數(shù)說明備注accessToken授權Key字符串表3-Web請求參數(shù)列表調(diào)用方需向服務方申請appld（應用id）,然后根據(jù)appld生成accessToken。5、返回參數(shù)參數(shù)類型說明備注codeInt響應碼成功=0失敗=-1參數(shù)類型說明備注內(nèi)部錯誤二2登錄失敗-1001無權限=1002messageString顯示信息接口響應消息dataObject數(shù)據(jù)JSON格式表4-返回參數(shù)含義列表2.4.2、接口安全設計1、 接口身份驗證采用Oauth2.0,只允許經(jīng)過授權的合法用戶調(diào)用系統(tǒng)接口。2、 敏感數(shù)據(jù)脫敏處理，對于敏感的部分數(shù)據(jù)用*號代替；3、 對于敏感數(shù)據(jù)，在傳輸過程中采用不可逆的加密算法對數(shù)據(jù)進行加密，確保傳輸過程中數(shù)據(jù)安全；4、 支持Https協(xié)議進行連接及數(shù)據(jù)傳輸，同時支持第三方CA證書；5、 支持加簽名方式，防止數(shù)據(jù)篡改。客戶端：請求的數(shù)據(jù)分為兩部分：簽名參數(shù)和業(yè)務參數(shù)，簽名參數(shù)二SHA256加鹽加密（業(yè)務參數(shù)）。服務端：對SHA256加鹽加密（業(yè)務參數(shù)）進行驗證，確認是否與簽名參數(shù)相同。2.4.3、冪等性設計通常我們無法保證接口的每一次調(diào)用都是有返回結果的，要考慮到異常情況，例如出現(xiàn)網(wǎng)絡異常。為了避免出現(xiàn)這種情況，應采用冪等性設計，思路如下：（1）調(diào)用接口前，先獲取一個Token（全局唯一的令牌）；⑵調(diào)用接口時，將Token放到Header頭中；解析Header頭，驗證是否為有效Token，如果無效則直接返回失?。煌瓿蓸I(yè)務邏輯后，將業(yè)務結果與Token進行關聯(lián)存儲，設置失效時間；重試時不要重新獲取Token，用要上次的Token仃oken必須設定有效時間，并設置默認時間，例如20分鐘)。數(shù)據(jù)庫設計詳見《智慧運營管理平臺數(shù)據(jù)庫設計說明書》。安全解決方案本項目運行于客戶企業(yè)內(nèi)部環(huán)境，為有效應對復雜網(wǎng)絡中存在的各類風險，系統(tǒng)運行過程中應做好相關的安全工作：1、 邊界配置防火墻，保護內(nèi)部網(wǎng)絡遭受DDos，Web惡意攻擊等攻擊，同時具有漏洞掃描能力、入侵檢測功能，保障內(nèi)部服務器與用戶的接入安全；2、 隔離本系統(tǒng)網(wǎng)絡與外部網(wǎng)絡環(huán)境，只開放相關業(yè)務需要的網(wǎng)絡環(huán)境的通訊，并可自主規(guī)劃網(wǎng)絡內(nèi)的業(yè)務網(wǎng)段；3、 支持使用SSL證書服務(要求Web訪問使用域名或公網(wǎng)IP，私有IP無法使用SSL證書服務)，為HTTP網(wǎng)站提供轉(zhuǎn)向HTTPS，加密應用層數(shù)據(jù)，保護數(shù)據(jù)安全；3、 使用數(shù)據(jù)庫審計功能，記錄數(shù)據(jù)庫操作記錄，實現(xiàn)對數(shù)據(jù)庫的審計；4、 使用堡壘機管理運維服務器，限制用戶只能通過堡壘機操作服務器，實現(xiàn)服務器的操作維護審計和賬號權限管理；5、 做好服務器以及用戶口令管理，禁止使用簡單口令，弱口令等，并定期更新口令；6、 服務器可視情況關閉非必要的接口的訪問功能。5部署方案平臺的整個研發(fā)是基于DevOps體系，實現(xiàn)了自動化構建，從而提高了運維部署效率。本項目采用微服務架構，使用Docker軟件將微服務進行容器化安裝部署。硬件規(guī)格與型號建議硬件列表功能建議規(guī)格配置理由備注服務器*3作為虛擬化宿主機，分配虛擬化應用服務器以及數(shù)據(jù)庫服務器DellR740硬盤*2:T(RAID5)內(nèi)存：64GCPU:英特爾?至強?銀牌4210R2.4G, 10C/20T,9.6GT/S, 13.75M緩存,Turbo,HT(100W) DDR4-2400服務器總資源為4T硬盤，64G內(nèi)存，以及10核CPU,作為虛擬化服務器的底層資源池每臺服務器虛擬化應用及數(shù)據(jù)庫服務器各1臺，總計虛擬化服務器：應用服務器*3數(shù)據(jù)庫服務器*3,只考慮部署平臺所需環(huán)境路由器作為網(wǎng)絡邊界路由器連接互聯(lián)網(wǎng)H3CER3260G3千兆企業(yè)級路由器只考慮部署系統(tǒng)所需環(huán)境交換機作為服務器接入網(wǎng)絡的直接設備H3C S5120V2-28P-SI支持VLAN劃分，隔離其他無關網(wǎng)絡只考慮部署系統(tǒng)所需環(huán)境防火墻防護內(nèi)外網(wǎng)安全風險具有傳統(tǒng)防火墻，VPN,入侵防御，Web防護，防病毒，數(shù)據(jù)防泄露等功能只考慮部署系統(tǒng)所需環(huán)境表5-硬件與型號建議列表軟件軟件列表版本概述運行方式功能MySQL8.0數(shù)據(jù)庫主機服務運行平臺所需中間件Redis6.0分布式緩存容器化運行平臺所需中間件RabbitMQ3.8.5消息隊列容器化運行平臺所需中間件Docker19.03.5容器化工具主機服務運行運行微服務所需工具Docker-Swarm1.26.2容器編排工具二進制運行程序運行微服務所需工具Python3.9.2腳本運行語言二進制運行程序用于運行數(shù)據(jù)庫自動備份腳本Nacos2.0.1微服務中間件容器化運行微服務注冊中心與配置中心Elasticsearch7.9日志中/心容器化運行微服務日志中心Logstash7.9日志采集工具容器化運行采集微服務日志，并發(fā)送到日志中/心Kibana7.11日志展示工具容器化運行可視化展示系統(tǒng)日志表6-系統(tǒng)部署所需軟件清單服務器虛擬化虛擬化服務器系統(tǒng)數(shù)量CPU內(nèi)存硬盤備注應用服務器Centos7.935核48G2T承載運行平臺應用，3臺組成集群數(shù)據(jù)庫服務器Centos7.935核48G2T運行MySQL數(shù)據(jù)庫，3臺組成集群表7-虛擬化服務器列表部署步驟6.4.1數(shù)據(jù)庫部1、 部署相關信息包括服務器IP，服務器數(shù)量，現(xiàn)場網(wǎng)絡環(huán)境拓撲，數(shù)據(jù)庫用戶與密碼設計，數(shù)據(jù)庫備份策略等信息收集確認；2、 通過收集回來的信息，提前編寫部署腳本用于實際部署；3、 腳本安裝Python3.9；4、 腳本安裝數(shù)據(jù)庫MySQL8.0,配置賬號初始權限與訪問限制，并生成定時任務自動備份數(shù)據(jù)庫；5、 檢查數(shù)據(jù)庫狀態(tài)，確保數(shù)據(jù)庫運行正常。

6.4.2應用部1、 部署相關信息包括服務器IP，服務器數(shù)量，現(xiàn)場網(wǎng)絡環(huán)境拓撲，各系統(tǒng)所使用密碼確認等信息收集確認；2、 收集完成這些信息后，準備部署腳本，實際部署時直接運行部署腳本；3、 登錄服務器，查看基礎信息，使用腳本實現(xiàn)服務器的初始化配置；4、 使用腳本安裝平臺基礎工具組件，包括Docker、Docker-Swarm等；5、 使用已編排完畢的文件運行平臺所需中間件，包括Nacos、Redis、Elasticsearch，Logstash等；6、 上傳或編寫配置到統(tǒng)一配置中心Nacos，以支持平臺服務運行；7、 使用已編排完畢的文件運行平臺服務，啟動平臺所有微服務；8、 檢查平臺各服務運行狀態(tài)，確保系統(tǒng)正常運行。構建部署流程