# **集成部署补充指南：填补最后的缝隙**

文档版本: v1.0  
目标: 解决 5 个独立模块集成时的网络连通性、发布效率和成本问题。

## **🛑 关键问题 1：SAE 的外网访问 (调用 DeepSeek/OpenAI)**

现状：部署在 VPC 内的 SAE 默认无法访问公网。  
后果：后端调用 DeepSeek 接口会超时；Python 服务无法下载公网 PDF。

### **方案 A：NAT 网关 (标准生产方案，推荐)**

* **操作**：在 VPC 控制台创建一个 **公网 NAT 网关**，并绑定一个 **EIP**。配置 SNAT 条目，允许交换机内的实例访问公网。  
* **成本**：NAT 网关租赁费 \+ EIP 流量费/带宽费。  
* **优点**：稳定，无需修改应用配置。

### **方案 B：SAE 绑定公网 IP (省钱方案)**

* **操作**：在 SAE 应用配置 \-\> 网络配置 中，查看是否支持开启 **公网访问** 或绑定 EIP。  
* **注意**：SAE 某些旧版本或特定地域可能不支持直接绑定 EIP。如果不支持，必须用方案 A。

## **🛠️ 关键问题 2：跳板机配置 (如何直连 RDS)**

为了方便开发人员使用 Navicat/DBeaver 管理 RDS 数据，利用 **Dify ECS** 作为跳板机。

### **操作步骤**

1. **本地终端执行** (建立 SSH 隧道):  
   \# 格式: ssh \-L 本地端口:RDS地址:RDS端口 root@ECS公网IP  
   ssh \-N \-L 5433:rm-xxxxx.pg.rds.aliyuncs.com:5432 root@\<ECS\_PUBLIC\_IP\> \-i your-key.pem

2. **Navicat 连接配置**:  
   * 主机: localhost  
   * 端口: 5433  
   * 用户/密码: RDS 的账号密码  
   * *原理：流量通过 ECS 转发到内网 RDS。*

## **🚀 关键问题 3：一键发布脚本 (NoOps 神器)**

为 1-2 人团队定制的极简发布脚本。保存为 deploy.sh。

\#\!/bin/bash  
set \-e

\# \================= 配置区 \=================  
ACR\_REGISTRY="registry.cn-hangzhou.aliyuncs.com"  
NAMESPACE="clinical-research"  
TIMESTAMP=$(date \+%Y%m%d%H%M)

\# 颜色  
GREEN='\\033\[0;32m'  
NC='\\033\[0m'

function build\_and\_push() {  
    SERVICE\_NAME=$1  
    DIR\_NAME=$2  
      
    echo \-e "${GREEN}\>\>\> 开始构建 $SERVICE\_NAME ...${NC}"  
      
    \# 进入目录  
    cd $DIR\_NAME  
      
    \# 1\. 构建镜像  
    IMAGE\_URL="$ACR\_REGISTRY/$NAMESPACE/$SERVICE\_NAME:$TIMESTAMP"  
    docker build \-t $IMAGE\_URL .  
      
    \# 2\. 推送镜像  
    echo \-e "${GREEN}\>\>\> 推送镜像到 ACR ...${NC}"  
    docker push $IMAGE\_URL  
      
    \# 3\. 输出更新指引 (如果安装了 aliyun-cli 可以自动更新，否则手动)  
    echo \-e "${GREEN}\>\>\> ✅ $SERVICE\_NAME 镜像已就绪:${NC}"  
    echo $IMAGE\_URL  
    echo "请在 SAE 控制台将 \[$SERVICE\_NAME\] 的镜像版本更新为: $TIMESTAMP"  
      
    \# 回到根目录  
    cd ..  
    echo "----------------------------------------"  
}

\# \================= 主流程 \=================

\# 1\. 部署 Python 微服务  
\# build\_and\_push "extraction-service" "extraction\_service"

\# 2\. 部署 Node.js 后端 (记得先同步 Prisma)  
\# cp \-r prisma backend/prisma  
build\_and\_push "backend-service" "backend"  
\# rm \-rf backend/prisma

\# 3\. 部署前端  
\# build\_and\_push "frontend-service" "frontend-v2"

echo \-e "${GREEN}🎉 所有构建任务完成！${NC}"

## **🔐 关键问题 4：OSS 权限与路径规划**

为了防止文件混乱，建议在 Bucket 内划分明确的目录结构，并通过 IAM Policy 限制权限（可选）。

**推荐目录结构**:

clinical-research-files/  
├── pkb/               \# 个人知识库文件  
│   └── {userId}/      \# 按用户隔离  
├── asl/               \# 文献筛选文件  
│   └── {projectId}/   \# 按项目隔离  
├── dc/                \# 数据清洗文件  
│   └── {tempId}/      \# 临时上传  
└── system/            \# 系统资源

**应用代码逻辑**:

* **私有读写**: Bucket 权限设为 **Private**。  
* **前端访问**: 后端使用 ossClient.signatureUrl() 生成带有效期的 URL (如 1 小时) 返回给前端。**严禁前端直接通过公网 URL 访问。**