SRM 产品技术架构 V1 0 1

1、,SRM新产品技术介绍,HAND Enterprise Solutions Company Ltd.,上海汉得信息技术股份有限公司,1,目录,整体介绍 技术特性 应用说明,应用架构演进,前端,基础架构,产品技术堆栈,中间件,ETL,后端,数据,前端基础,公有云,本地,私有云,容器,Bootstrap,RDBMS,NewSQL,微服务,SpringBoot,SpringCloud,Mybatis,Istio,前端框架,移动混合应用,Cordova,MQ,Kafka,RocketMQ,Devops,监控,Harbor,Gitlab,Nexus,SonarQube,Helm,Jenkins,容器管理

2、,Maven,Spock,Jmeter,Selenium,Kibana,Prometheus,Fluentd,Zipkin,Elasticsearch,Filebeat,Grafana,Graylog,Zabbix,Hystrix,1,1.1,1.2,1.3,1.4,2,2.1,2.2,2.3,2.4,3,4,5,6,7,8,5.1,5.2,5.3,MySQL,Kettle,调度,ElasticJob,Choerodon PaaS平台（已开源）,存储,计算,网络,服务器安全,容器注册,容器编排,弹性扩展,资源监控,集群管理,用户故事,看板管理,代码管理,问题管理,测试管理,CD/CI,冲刺管理

3、,实时监控,访问管理,日志管理,资产管理,计量计费,运营管理,API管理,Devops管理,基础设施,容器编排,微服务,SRM 服务,服务 治理,环境管理,服务管理,API生命周期管理,服务版本,服务监控,熔断管理,限流管理,节点组管理,灰度发布管理,渠道,供应商门户,移动APP,微信,网关服务 API入口、动态路由,鉴权服务 访问权限控制,认证服务 登录认证控制,身份管理服务 用户角色、菜单权限,门户管理 服务,调度 服务,服务治理 服务,工作流 服务,基础 服务,技术 应用,报表 服务,主数据 服务,业务 应用,支付 服务,电子发票 服务,注册中心服务 服务注册发现,配置中心服务 配置推送

4、,事务服务 Saga事务一致,目录化采购门户,产品架构体系,融合产品,共享服务A-不同节点组访问,系统分层架构,X服务（租户共用）DB,租户J1,租户J2,租户Jn,节点 组J,租户L1,租户L2,租户Ln,节点 组L,共享服务B-单租户,租户m,节点 组M,通用服务X,所有租户,Ribbon Load Balance 分流,B服务集群1N,X服务节点1N,A服务节点集群（X1Xn）,A服务节点集群（Y1Yn）,分流规则：节点组（租户 /用户/服务维度） 与服务节点关系规则,Oauth Server登录验证,ZuuL Server网关,DB,服务层,分流层,网关层,前端,消息服务,文件服务,通

5、用服务X,SRM 前/后端开发 产品&服务包,CRM 前/后端开发 产品&服务包,调用/封装组合多个依赖共享服务,调用通用服务,通用服务,PC端 前端节点1N，多IP/域名,APP端/小程序端,负载层,Nginx+Lua设置规则，对应多套网关，通过规则找到前端和网关,Gateway-Helper鉴权、限流,服务/租户 DB Database规则,服务/租户 DB Database规则,Database规则,Database规则,目录,整体介绍 技术特性 应用说明,技术架构: 采用 Choerodon 微服务框架,SSO登录,访问菜单,调用各应用服务,应用,应用,UUID,UUID,JWT To

6、ken Relay,Access Check,Load Balance,服务网关 Zuul Server,服务发现 Eureka,Hystrix 熔断,Cloud Bus 消息管理,Turbine,Swagger 接口管理,Ribbon 负载均衡,LDAP 用户,认证服务,应用服务1,应用服务2,服务,服务权限/菜单 角色 用户 系统/租户,应用,微服务,调用验证服务获取UUID,调用访问服务,Choerodon提供一套完整的基于Spring Cloud的微服务开发框架。借助Choerodon的微服务开发架构，以及容器为微服务提供的轻量级、面向应用的虚拟化运行环境和理想载体，并以Kuberne

7、tes作为容器编排工具，帮助企业方便快捷的构建应用服务。,控制项目复杂度 将原来的单体式应用拆解成多个服务运行在不同进程中，这样可以只针对相应的服务进行修改，部署对应的服务进程，控制复杂性,业务模块化，加速迭代速度 松耦合的结构，让每个开发团队都可以根据自身情况去选择更适合的技术与工具，进行更有效更灵活的开发。,独立部署，提升效率 将复杂的业务逻辑根据功能剥离开来，让它们具备独立的进程，每个服务也就可以独立的编译打包部署。,错误隔离 每个服务都具有独立性，提高系统的容错性。不会因为单一服务发生延迟，导致所有应用资源（线程，队列等）被耗尽，造成雪崩效应。,技术架构：采用前后端分离,前端微服务,后

8、端微服务,用户,前端可以选择使用多种技术，例如react等,后端采用Spring Boot,技术架构：无状态通信,Order Service,XXX Service,Go Service,Product Service,REST,REST,微服务,技术架构：认证,用户名/密码,Token,Token,JWT,Token,Token,Token,JWT,JWT,JWT,技术架构：日志收集,其他服务器,数据源,日志收集,日志过滤/缓存,日志存储,数据展示,其他日志,技术架构：调用链,13,Kafka,报告数据,Zipkin-collector,Zipkin Query,Zipkin UI,Moni

9、tor System,Spark Dependency,查询数据,存储数据,查询数据,SaaS的DB层设计,共享服务： 各产品的业务服务,通用服务：可给各产品公用的通用服务,采购管理,开票管理,支付服务,公告服务,租户Code+服务Code组合规则：租户的业务量不大,指定Database规则：某个租户业务量很大的情况，拆分使用独立DB,混合规则：提供通用服务给所有租户,每个租户的每个服务都对应一个DB DatabaseSchema,单个租户的每个服务或单个租户直接对应一个DB或集群，这里是单租户组，即支持一个租户有自己独立的DB,表中含租户ID， 一个DB Database的数据只有一个租户I

10、D,表中含租户ID， 一个DB或集群的数据包含多个租户ID,所有租户共用一个DB或集群，可指定某些租户使用按租户Code+服务Code命名的Database,服务,服务租户DB Database规则,DB设计,指定Database规则：被排除在全租户组外的大业务量租户，使用独立DB,可支持单独针对某些大应用的租户独立部署服务节点、DB或集群，即支持一个租户有自己独立的DB,表中含租户ID， 一个DB或集群的数据只有一个租户ID,对于OP单租户模式，可能会使用非MysqlTiDB的DB，此时不需通过规则，而是每个服务使用一个DB或DB Schema，部署服务时直接指定数据源,数据分发,1、平台主

11、数据分发到租户对应DB 2、租户主数据分发到租户对应DB 3、租户业务数据分发平台数仓 4、根据服务数据源策略部分配置跨DB查询,系统应用多数据源,1、无需数据分发 2、配置跨DB查询,系统应用单数据源,灵活UI,提炼自企业级中后台产品的交互语言和视觉风格； 开箱即用的高质量 React 组件； 使用 TypeScript 构建，提供完整的类型定义文件； 全链路开发和设计工具体系。,AntDesign 一套企业级 UI 设计语言.,敏捷+DevOps：基于猪齿鱼平台DevOps管理,16,持续反馈,持续反馈,持续反馈,持续反馈,Agile DevOps,CD/CI详细流程,17,17,1 Ch

12、eck-in,2 Fetch Changes,3 自动化构建,4 自动化测试,5 结果,6 查看结果,7 生成镜像和部署文件,v0.5.0 v0.5.1 v0.5.2 v0.5.10,开发流水线,部署流水线,8 部署到开发环境,9 部署到测试环境,10 部署到生产环境,单元测试 代码质量检查 代码覆盖率 ,高可靠性,存储层高可靠性 存储共享：多个节点共享数据存储，任一节点宕机不影响整个数据库（Oracle RAC) TIDB多个副本数据同步：使用 Raft 在多个副本之间做数据同步，从而保证数据的强一致，单个副本失效时，不影响数据的可靠性。 主从复制：主机宕机后切换到备机（Oracle Dat

13、aGuard, My SQL Replication),多主复制：可同时读写任意一个节点，数据最终一致（MariaDB Galera）,服务层高可靠性 服务层无状态化，集群中的节点完全可彼此替代 任何一个节点宕机都不会导致系统停止服务,海量并发,海量并发读取 使用缓存减轻数据库压力 冷热数据分离，热数据进入缓存 应用分片策略构建大规模分布式缓存,海量并发写入 典型场景：事件驱动的海量用户注册 待写入数据存入高性能队列 启用数量稳定的线程组（可能分布于多台节点），从队列取数，执行DB写入 待写入数据批量处理，事务合并,海量并发竞争 典型场景：抢红包、秒杀,避免数据库锁 用队列实现请求串行化 利用

14、分片策略，将请求分布到多个队列 确保同一资源的请求被放入同一个队列 队列后端用一个线程执行资源分配 Redis全内存操作非常适合此类场景 秒杀类应用可部署到云端，应对突发增长的网络流量,安全性,物理层 容器隔离，内外网隔离，安全区 关闭非应用端口 启用VPN接入 采用SSL安全协议进行加密传输 操作系统层 选择安全性更高的操作系统 定期升级安全补丁 严格的用户管理以及密码策略 启用必要的系统安全日志和审计措施,数据库层 严格控制数据库用户的权限 关闭一切不必要的远程管理服务 系统应用层 SQL 注入攻击预防 XSS 跨域脚本工具防御 必要的应用审计机制 多级管理员设计 应用+资源+权限 多层次

15、权限控制机制 多维度数据过滤,目录,整体介绍 技术特性 应用说明,符合大型企业结构的HR组织架构,22,租户,公司,集团（事业部群）,部门,部门,子集团,子集团,岗位,岗位,员工,公司,公司,子公司,子公司,部门,部门,子部门,子部门,主管岗位,员工,下级岗位,员工,员工,小型企业 组织架构,大型企业 组织架构,集团公司树,部门树,岗位树,支撑角色多层级管理,支撑供应商分层级准入,满足多行业大型公司的组织架构设计，支撑角色/供应商多层级管理等业务场景,多级组织架构抽象定义,层级树形管理,公司抽象聚合,权限机制（资源层）,23,权限集a,权限集b,权限集c,功能,权限集,资源,满足更精细的权限管

16、理要求：,功能可细分至API级的权限管理,基于API自定义权限集合,访问权限：多级管理员,API/功能,用户,角色,权限收回,角色复制,角色继承,角色分层级,权限分发,多层级角色管理,平台管理员,华润管理员,子集团华润制药管理员,子集团华润水泥管理员,子公司华润医药 管理员,子公司东阿阿胶 管理员,采购部管理员,信息部管理员,计划专员,采购专员,角色分级管理,权 限 自 动 分 发,权 限 一 键 收 回 （父-子-孙）,父角色可管理下级多层级角色权限 角色复制、继承操作方便快捷 适应更复杂的权限管理需求,访问权限：支持SaaS的权限体系设计-角色复制及继承,角色继承体系,超级管理员 （平台管

17、理员）,租户管理员,XX集团分公司管理员,租户采购员,XX集团四川采购员,XX集团四川采购管理员,角色复制：复制其权限等创建新角色 角色继承：功能可以在继承体系内灵活调整，例如，平台级通用默认角色的菜单功能（采购员、采购经理）可以被继承，当平台级通用默认角色新增或减少功能时，继承而来的其他角色也可以同样更新菜单结构,建设目标,平台采购员,继承,约束条件,可被复制或继承的角色范围：当前用户有权限访问的所有角色，包括自己创建的角色子树、以及被分配的角色 只能做单继承：只能继承一个角色 备注：当前管理员用户被分配的角色其只能做进一步复制和继承，但不能做分配,角色继承 关系表,访问权限：支持SaaS的

18、权限体系设计-权限分配,用户,租户,角色,权限,菜单,产品,微服务,权限集,角色权限分配 可按照产品/服务/模块/权限集/权限各个层级去分配权限，逐层设置可进一步减轻设置工作量。 用户角色分配 分别在不同层级为用户分配角色。 用户可以在导航栏选择组织或项目，并进入到某个组织或项目中进行操作。以实现多租户访问。,*详见多级管理员,用户,角色,用户角色关系,客户端,切换租户： 来源类型：全局/租户（组织）/项目 来源ID：全局-0/租户-租户ID/项目-项目ID 当拥有多个租户的角色时，即可访问其他租户功能，也即可以实现多租户访问 备注：租户ID取自角色创建体系中租户层级管理员角色分配时的租户ID，*详见多级管理员,模块,数据权限：灵活的屏蔽配置,灵活自定义：可按租户定义SQL编写规则进行权限屏蔽的灵活调整。规则可应用当前租户、用户、角色字段 租户与服务维度应用：规则可作用于表或SqlId，针对服务、租户生效,数据权限：针对角色与用户的应用,采购订单,权限维度 公司,权限维度