HaHafeng
6124c7abc6
Completed: - Add 6 core database documents (docs/01-平台基础层/07-数据库/) Architecture overview, migration history, environment comparison, tech debt tracking, seed data management, PostgreSQL extensions - Restructure deployment docs: archive 20 legacy files to _archive-2025/ - Create unified daily operations manual (01-日常更新操作手册.md) - Add pending deployment change tracker (03-待部署变更清单.md) - Update database development standard to v3.0 (three iron rules) - Fix Prisma schema type drift: align @db.* annotations with actual DB IIT: UUID/Timestamptz(6), SSA: Timestamp(6)/VarChar(20/50/100) - Add migration: 20260227_align_schema_with_db_types (idempotent ALTER) - Add Cursor Rule for auto-reminding deployment change documentation - Update system status guide v6.4 with deployment and DB doc references - Add architecture consultation docs (Prisma guide, SAE deployment guide) Technical details: - Manual migration due to shadow DB limitation (TD-001 in tech debt) - Deployment docs reduced from 20+ scattered files to 3 core documents - Cursor Rule triggers on schema.prisma, package.json, Dockerfile changes Made-with: Cursor
4.1 KiB
集成部署补充指南:填补最后的缝隙
文档版本: v1.0
目标: 解决 5 个独立模块集成时的网络连通性、发布效率和成本问题。
🛑 关键问题 1:SAE 的外网访问 (调用 DeepSeek/OpenAI)
现状:部署在 VPC 内的 SAE 默认无法访问公网。
后果:后端调用 DeepSeek 接口会超时;Python 服务无法下载公网 PDF。
方案 A:NAT 网关 (标准生产方案,推荐)
- 操作:在 VPC 控制台创建一个 公网 NAT 网关,并绑定一个 EIP。配置 SNAT 条目,允许交换机内的实例访问公网。
- 成本:NAT 网关租赁费 + EIP 流量费/带宽费。
- 优点:稳定,无需修改应用配置。
方案 B:SAE 绑定公网 IP (省钱方案)
- 操作:在 SAE 应用配置 -> 网络配置 中,查看是否支持开启 公网访问 或绑定 EIP。
- 注意:SAE 某些旧版本或特定地域可能不支持直接绑定 EIP。如果不支持,必须用方案 A。
🛠️ 关键问题 2:跳板机配置 (如何直连 RDS)
为了方便开发人员使用 Navicat/DBeaver 管理 RDS 数据,利用 Dify ECS 作为跳板机。
操作步骤
-
本地终端执行 (建立 SSH 隧道):
# 格式: ssh -L 本地端口:RDS地址:RDS端口 root@ECS公网IP
ssh -N -L 5433:rm-xxxxx.pg.rds.aliyuncs.com:5432 root@<ECS_PUBLIC_IP> -i your-key.pem -
Navicat 连接配置:
- 主机: localhost
- 端口: 5433
- 用户/密码: RDS 的账号密码
- 原理:流量通过 ECS 转发到内网 RDS。
🚀 关键问题 3:一键发布脚本 (NoOps 神器)
为 1-2 人团队定制的极简发布脚本。保存为 deploy.sh。
#!/bin/bash
set -e
# ================= 配置区 =================
ACR_REGISTRY="registry.cn-hangzhou.aliyuncs.com"
NAMESPACE="clinical-research"
TIMESTAMP=$(date +%Y%m%d%H%M)
# 颜色
GREEN='\033[0;32m'
NC='\033[0m'
function build_and_push() {
SERVICE_NAME=$1
DIR_NAME=$2
echo \-e "${GREEN}\>\>\> 开始构建 $SERVICE\_NAME ...${NC}"
\# 进入目录
cd $DIR\_NAME
\# 1\. 构建镜像
IMAGE\_URL="$ACR\_REGISTRY/$NAMESPACE/$SERVICE\_NAME:$TIMESTAMP"
docker build \-t $IMAGE\_URL .
\# 2\. 推送镜像
echo \-e "${GREEN}\>\>\> 推送镜像到 ACR ...${NC}"
docker push $IMAGE\_URL
\# 3\. 输出更新指引 (如果安装了 aliyun-cli 可以自动更新,否则手动)
echo \-e "${GREEN}\>\>\> ✅ $SERVICE\_NAME 镜像已就绪:${NC}"
echo $IMAGE\_URL
echo "请在 SAE 控制台将 \[$SERVICE\_NAME\] 的镜像版本更新为: $TIMESTAMP"
\# 回到根目录
cd ..
echo "----------------------------------------"
}
# ================= 主流程 =================
# 1. 部署 Python 微服务
# build_and_push "extraction-service" "extraction_service"
# 2. 部署 Node.js 后端 (记得先同步 Prisma)
# cp -r prisma backend/prisma
build_and_push "backend-service" "backend"
# rm -rf backend/prisma
# 3. 部署前端
# build_and_push "frontend-service" "frontend-v2"
echo -e "${GREEN}🎉 所有构建任务完成!${NC}"
🔐 关键问题 4:OSS 权限与路径规划
为了防止文件混乱,建议在 Bucket 内划分明确的目录结构,并通过 IAM Policy 限制权限(可选)。
推荐目录结构:
clinical-research-files/
├── pkb/ # 个人知识库文件
│ └── {userId}/ # 按用户隔离
├── asl/ # 文献筛选文件
│ └── {projectId}/ # 按项目隔离
├── dc/ # 数据清洗文件
│ └── {tempId}/ # 临时上传
└── system/ # 系统资源
应用代码逻辑:
- 私有读写: Bucket 权限设为 Private。
- 前端访问: 后端使用 ossClient.signatureUrl() 生成带有效期的 URL (如 1 小时) 返回给前端。严禁前端直接通过公网 URL 访问。