2025年上半年高级软件水平考试系统架构设计师(案例分析)真题及答案

2025年上半年高级软件水平考试系统架构设计师(案例分析)练习题及答案一、案例背景与整体要求【阅读材料】某城商行计划用三年时间完成“云原生分布式核心”替换，目标为：1.日均交易量2.5亿笔，峰值4.2万TPS，P99延迟≤100ms；2.两地三中心，RPO=0，RTO≤30s；3.监管要求交易数据保存15年，不可篡改，支持准实时审计；4.存量138套外围系统，接口协议涵盖ISO8583、XML/SOAP、REST、MQ、SFTP等；5.预算2.7亿元，含软硬件、人力、外部咨询，不得超支。项目采用“双模IT”：A模式——稳态，沿用IBMZ+DB2，逐步缩容；B模式——敏态，新建容器云+分布式数据库，业务灰度切换。2024年6月完成首批20%流量切换，2025年6月计划完成100%。你作为总行架构办首席架构师，需回答下列问题。二、试题1（质量属性场景分析，25分）【问题】1.1请用ATAM方法给出5个质量属性场景，每个场景必须包含：刺激源、刺激、环境、制品、响应、响应度量。（10分）1.2针对“监管审计”场景，绘制一张质量属性效用树，根节点为“Auditability”，至少分解到第三层叶子节点，并给出优先级（H/M/L）。（8分）1.3说明在容器云环境中，如何针对“日志不可篡改”设计技术控制点，要求给出2种实现方案，并对比其优缺点。（7分）【答案与解析】1.1场景1性能刺激源：手机银行用户刺激：双11零点4.2万TPS下单环境：容器云生产集群120节点制品：分布式支付服务响应：横向扩容Pod数600→1800响应度量：P99延迟92ms，CPU利用率78%场景2可用性刺激源：城市级光缆被挖断刺激：同城AZ1网络隔离环境：两地三中心制品：账户服务响应：流量100%切换到AZ2响应度量：RTO18s，交易失败率0.02%场景3可修改性刺激源：监管新增“反诈字段”刺激：需在3个工作日内上线环境：DevOps流水线制品：客户信息服务响应：修改字段、回归、灰度响应度量：开发0.5人日、测试1人日、上线20min场景4安全性刺激源：黑客刺激：SQL注入环境：互联网DMZ制品：账户查询API响应：WAF拦截、审计告警响应度量：误报率0%，阻断时延3ms场景5审计性刺激源：央行检查组刺激：抽查20241001交易环境：准实时审计平台制品：交易日志响应：在5min内返回不可篡改证据链响应度量：哈希链校验100%通过1.2Auditability├─数据完整性H│├─哈希链H││├─MerkleTree每秒写入H││└─国密SM3摘要L│└─双录补录M├─可追溯性H│├─TraceId穿透H││├─OpenTelemetry自动注入H││└─自定义网关埋点M│└─用户行为回放L└─合规报告M├─1104报表自动生成M└─央行接口对接L1.3方案A：容器sidecar挂载只读日志卷+外部immutableS3优点：实现简单，S3对象锁（ObjectLock）合规；缺点：网络抖动可能丢日志，查询需跨网络。方案B：基于eBPF的kernelspace日志捕获+本地WORM盘优点：零拷贝，性能损耗<1%，本地盘查询快；缺点：需内核5.10+，硬件成本增加8%。三、试题2（架构风格选型，25分）【问题】2.1针对138套存量系统，设计一套最小成本的接口整合架构，要求：a)给出顶层视图（文字描述即可），说明采用何种架构风格；b)列出3种适配器实现技术，并给出选择理由；c)估算接口整合阶段所需“人月”，给出估算公式与参数取值。（12分）2.2在分布式数据库选型上，团队出现分歧：甲方主张“SharedNothing+分库分表”，乙方主张“NewSQL原生分布式”。请从CAP、成本、运维复杂度、监管合规四个维度给出对比表，并给出你的推荐。（8分）2.3画出“账户扣减”在B模式下的时序图，要求包含TCC事务、幂等控制、补偿报警，参与者不少于6个。（5分）【答案与解析】2.1a)顶层视图：采用“事件驱动+适配器”风格。ESB退役，代之以“轻量消息总线+领域网关”。138套系统按业务域分组，每组设一个“领域网关”(DomainGateway)，负责协议转换、报文映射、流量控制；网关间通过Kafka传递标准事件（CloudEvents1.0规范）。b)适配器技术：1.ISO8583→JSON采用Netty+8583编解码器，理由：长连接、高并发；2.XML/SOAP→JSON使用XSLT3+Saxon，理由：监管已提供XSD，可直接转换；3.SFTP批量文件转对象存储+事件，使用SpringIntegration，理由：批处理与流式统一编程模型。c)人月估算：采用COCOMOⅡ早期原型公式：PM=A×(KSLOC)^E×∏EMiA=2.94，E=1.1，规模KSLOC=138×1.2≈165（每系统平均1.2KLOC适配脚本），EM取1.15（工具成熟度中等）。PM=2.94×165^1.1×1.15≈2.94×256×1.15≈866人日≈43人月。2.2维度SharedNothing+分表NewSQL原生CAP牺牲一定C，网络分区可写保CP，分区时拒绝写成本商业中间件480万开源+商业支持260万运维需DBA手工分片自动rebalance监管合规需额外做全局一致性校验内置一致性快照，满足央行5号文推荐：NewSQL（如OceanBase4.x），兼顾CP与成本。2.3时序图（文字描述）：Client→Gateway:POST/accounts/{id}/debitGateway→TCCManager:Try(deduct100)TCCManager→DB:冻结金额100DB→TCCManager:TryOKTCCManager→Gateway:TryOKGateway→Client:202AcceptedGateway→TCCManager:ConfirmTCCManager→DB:commit冻结DB→TCCManager:ConfirmOKTCCManager→Alarm:成功metric+1异常分支：TCCManager→DB:CancelDB→TCCManager:解冻TCCManager→Alarm:补偿metric+1所有消息带幂等Key（XIdempotencyKey），DB唯一索引防重。四、试题3（可靠性设计，20分）【问题】3.1给出“RPO=0”的量化定义，并说明在容器云+分布式数据库场景下，如何在不使用高端存储的情况下实现RPO=0，要求给出至少2种机制，并量化说明其带宽需求。（8分）3.2设计一套“混沌工程”实验方案，验证30s内完成AZ级切换，要求：a)实验目标、稳态指标、实验步骤、回滚条件；b)给出实验通过/不通过的判定阈值；c)说明如何与监管报备，避免触发“重大生产事件”评级。（7分）3.3解释为何“Leader选举”在网络300ms抖动时可能出现“双主”脑裂，并给出基于租约（Lease）的解决算法，要求给出伪代码。（5分）【答案与解析】3.1RPO=0量化：故障发生后，已提交事务零丢失，即last_commit=last_apply。机制1：分布式数据库Paxos三副本同步复制，事务日志在多数派落盘才返回客户端；带宽需求：峰值4.2万TPS×2KB/事务≈82MB/s，跨机房专线1Gb/s可满足。机制2：Kafka事务消息+幂等消费，Producer开启idempotence，Broker设置acks=all、min.insync.replicas=3；带宽需求同机制1，额外10%头部开销。3.2a)目标：验证AZ1失联后30s内交易成功率≥99.5%。稳态指标：P99延迟<100ms、错误率<0.1%、MQ积压<1万条。步骤：1.低峰期02:0004:00，使用ChaosBlade注入AZ1网络丢包100%；2.观察Prometheus指标，记录切换时间；3.持续10min后解除故障。回滚条件：错误率>1%或MQ积压>5万条立即终止实验。b)判定阈值：RTO≤30s且稳态指标全部恢复至基线110%以内即通过。c)报备：提前5个工作日向人行报备，说明实验范围、回滚策略、影响面小于5%流量；实验脚本纳入变更管理，使用“灰度”标签，避免触发“重大事件”红线。3.3脑裂原因：网络分区导致旧Leader未收到心跳，超时触发新Leader选举，两边同时写，造成数据分歧。Lease算法伪代码：constLeaseTimeout=10sfuncRequestVote(candidate):ifnow()<leaderLeaseUntil:returnrejectelse:grantvoteandresetleaderLeaseUntil=now()+LeaseTimeout旧Leader发现Lease过期立即退位，确保任意时刻最多一个Leader。五、试题4（性能调优与成本估算，15分）【问题】4.1给出一条典型SQL（账户余额更新），在分库分表后产生“热点账户”问题，导致2000线程同时抢占行锁，TPS跌至300。请给出3种优化手段，并量化说明各自可提升的TPS上限。（9分）4.2容器云节点使用32vCPU/128GB，单价1.2元/小时，商业分布式数据库节点16vCPU/64GB，单价0.8元/小时。若峰值需120容器节点+45数据库节点，请计算年度资源费用；并说明如果采用“混部”技术，可节省多少百分比。（6分）【答案与解析】4.1手段1：将行锁拆分为10个分段账户，随机分散，消除热点，理论TPS上限300×10=3000；手段2：采用内存级缓存+合并写，每50ms批量提交，写放大降低80%，TPS可提升至2500；手段3：使用NewSQL的“内存行锁”+多版本，消除锁等待，实测TPS峰值4200。4.2容器费用：120×1.2×24×365=126.14万元数据库费用：45×0.8×24×365=31.54万元合计157.68万元。混部：利用容器空闲30%CPU运行数据库，减少15个数据库节点，节省15×0.8×24×365=10.51万元，占比10.51/157.68≈6.7%。六、试题5（安全与合规，15分）【问题】5.1监管要求“个人敏感信息脱敏”，但审计需保留原始值。请设计一套“可逆脱敏”方案，满足：a)算法安全强度≥AES256；b)支持字段级细粒度授权；c)密钥生命周期与HSM对接。（8分）5.2针对容器镜像供应链，给出SBOM生成、签名、验证的完整流程，并说明如何与CI/CD集成，防止“Log4Shell”类风险再次引入。（7分）【答案与解析】5.1方案：格式保持加密（FPE）+密钥分级。1.使用FF1模式，AES256为核心，字符集保持银行卡号62进制长度不变；2.引入ABAC，策略属性含“部门+角色+目的”，仅审计角色可逆；3.密钥由HSM生成并拆分，主密钥在HSM内，永不导出；数据密钥通过KMIP获取，缓存15min自动清除；4.每年执行密钥轮换，旧密钥加密归档，新密钥重新加密。5.2流程：1.CI阶段Syft生成SBOM(SPDXJSON)；2.Cosign使用私钥对SBOM及镜像摘要签名，公钥托管在OCIregistry；3.CD阶段AdmissionController验证签名，同时用Grype扫描SBOM，若存在CVE≥CRITICAL则拒绝部署；4.镜像源统一使用内部Harbor，开启“不可变”策略，禁止覆盖tag；5.每周自动比对NVD新漏洞，触发重新扫描，发现风险自动创建Jira工单。七、试题6（综合评估与演进路线，10分）【问题】6.1结合前述质量属性、成本、风险，给出2