李建波

摘要：在當(dāng)前的數(shù)據(jù)中心信息化建設(shè)過程中，往往存在著應(yīng)用系統(tǒng)建設(shè)標(biāo)準(zhǔn)不統(tǒng)一、系統(tǒng)數(shù)據(jù)不互通、無法統(tǒng)一登錄授權(quán)統(tǒng)一管理審計(jì)等問題。該文擬提出一種基于微服務(wù)的數(shù)據(jù)中心應(yīng)用系統(tǒng)統(tǒng)一管理平臺(tái)建設(shè)思路，實(shí)現(xiàn)數(shù)據(jù)中心存量應(yīng)用系統(tǒng)及新建應(yīng)用系統(tǒng)的用戶、授權(quán)、接入、資源、流程、日志等的統(tǒng)一管理，有效提升數(shù)據(jù)中心開發(fā)運(yùn)維整體工作效能。

關(guān)鍵詞：微服務(wù);統(tǒng)一管理;數(shù)據(jù)中心

中圖分類號(hào)：TP399? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2021）21-0021-02

開放科學(xué)（資源服務(wù)）標(biāo)識(shí)碼（OSID）：

1引言

隨著信息技術(shù)的迅猛發(fā)展與信息化的不斷深入，各大型單位的數(shù)據(jù)中心建設(shè)進(jìn)入了新的階段，以往分散式、粗放式的系統(tǒng)開發(fā)運(yùn)維模式已經(jīng)不能滿足黨中央、國務(wù)院關(guān)于政務(wù)信息系統(tǒng)整合共享的決策部署，數(shù)據(jù)中心的系統(tǒng)建設(shè)運(yùn)維應(yīng)符合創(chuàng)新、協(xié)調(diào)、綠色、開放、共享的發(fā)展理念。為了促進(jìn)系統(tǒng)互聯(lián)互通，提升數(shù)據(jù)深度利用能力，提高業(yè)務(wù)連續(xù)性保障水平，基于微服務(wù)建設(shè)數(shù)據(jù)中心應(yīng)用系統(tǒng)統(tǒng)一管理平臺(tái)，可以有效實(shí)現(xiàn)應(yīng)用系統(tǒng)的用戶、授權(quán)、接入、資源、流程、日志等的統(tǒng)一管理。

2數(shù)據(jù)中心統(tǒng)一管理平臺(tái)總體架構(gòu)

基于Spring Cloud微服務(wù)搭建數(shù)據(jù)中心統(tǒng)一管理平臺(tái)，總體框架由微服務(wù)支撐組件、統(tǒng)一服務(wù)和統(tǒng)一展現(xiàn)三部分組成，包含六大基礎(chǔ)管理功能模塊，如圖1所示。

微服務(wù)支撐組件是微服務(wù)架構(gòu)的基礎(chǔ)，核心組件包括API網(wǎng)關(guān)、服務(wù)注冊(cè)和服務(wù)發(fā)現(xiàn)等。API網(wǎng)關(guān)統(tǒng)一管理微服務(wù)提供的面向前端的接口，是統(tǒng)一展現(xiàn)前端與統(tǒng)一服務(wù)后端交互的入口;服務(wù)注冊(cè)用于服務(wù)提供者注冊(cè)遠(yuǎn)程服務(wù)并維護(hù)一個(gè)按名稱組織的服務(wù)清單;服務(wù)發(fā)現(xiàn)用于服務(wù)消費(fèi)者發(fā)現(xiàn)遠(yuǎn)程服務(wù)。

統(tǒng)一服務(wù)用于向統(tǒng)一展現(xiàn)提供API服務(wù)，根據(jù)功能和復(fù)用性可分為基礎(chǔ)服務(wù)和業(yè)務(wù)服務(wù)?；A(chǔ)服務(wù)功能相對(duì)單一、復(fù)用性較強(qiáng);業(yè)務(wù)服務(wù)面向具體業(yè)務(wù)領(lǐng)域提供數(shù)據(jù)查詢、分析等服務(wù)。統(tǒng)一服務(wù)建設(shè)過程中，以職責(zé)單一為原則，合理確定服務(wù)大小和規(guī)模，將業(yè)務(wù)服務(wù)中的相同或類似功能重構(gòu)為基礎(chǔ)服務(wù)，不斷豐富基礎(chǔ)服務(wù)數(shù)量，持續(xù)提升軟件復(fù)用水平。

統(tǒng)一展現(xiàn)采用前后端分離技術(shù)，用來提高應(yīng)用開發(fā)效率，充分解耦前端展現(xiàn)與后端服務(wù)，實(shí)現(xiàn)前后端同步開發(fā)。統(tǒng)一展現(xiàn)所用的技術(shù)路線和開發(fā)框架，后續(xù)新增業(yè)務(wù)應(yīng)基于選定的開發(fā)框架構(gòu)建。合理劃分統(tǒng)一展現(xiàn)的模塊，各模塊界面風(fēng)格保持統(tǒng)一。

3數(shù)據(jù)中心統(tǒng)一管理平臺(tái)六大功能模塊

3.1統(tǒng)一用戶管理

用戶管理微服務(wù)模塊為所有業(yè)務(wù)模塊統(tǒng)一提供用戶信息管理與認(rèn)證服務(wù)，各業(yè)務(wù)模塊通過調(diào)用用戶中心API獲取用戶信息。用戶管理微服務(wù)模塊包含對(duì)平臺(tái)用戶的注冊(cè)、注銷、用戶基本信息維護(hù)等功能。具體功能包括：

（1）機(jī)構(gòu)與部門管理

系統(tǒng)管理員可以維護(hù)數(shù)據(jù)中心統(tǒng)一管理平臺(tái)的機(jī)構(gòu)信息與內(nèi)設(shè)部門信息，使用樹形結(jié)構(gòu)展示機(jī)構(gòu)與部門信息，實(shí)現(xiàn)對(duì)機(jī)構(gòu)與部門信息進(jìn)行新增、修改、刪除等維護(hù)性操作，維護(hù)時(shí)應(yīng)提供與用戶、流程等其他模塊的影響提示與同步操作。

（2）用戶管理

機(jī)構(gòu)管理員維護(hù)轄內(nèi)用戶信息，可以對(duì)用戶信息進(jìn)行新增、刪除和修改，提供用戶凍結(jié)、解鎖、調(diào)動(dòng)、重置密碼等功能。用戶信息規(guī)范命名、統(tǒng)一存儲(chǔ)，用戶ID全局唯一;向各微服務(wù)模塊提供用戶屬性列表，如姓名、電話、部門、郵件等屬性，各微服務(wù)模塊可以選擇本業(yè)務(wù)系統(tǒng)所需要的部分或全部屬性。用戶管理模塊保證信息隱私與安全，在涉及用戶安全數(shù)據(jù)或者敏感數(shù)據(jù)的情況下，對(duì)真實(shí)數(shù)據(jù)進(jìn)行改造，如身份證號(hào)、手機(jī)號(hào)等個(gè)人敏感信息進(jìn)行數(shù)據(jù)脫敏。

（3）用戶認(rèn)證

用戶管理微服務(wù)模塊提供統(tǒng)一的認(rèn)證方式和認(rèn)證策略，以識(shí)別用戶身份的合法性。統(tǒng)一用戶認(rèn)證支持以下認(rèn)證方式：匿名認(rèn)證、用戶名/密碼認(rèn)證、PKI/CA數(shù)字證書認(rèn)證、IP地址認(rèn)證。各認(rèn)證方式采用模塊化設(shè)計(jì)，管理員可靈活地進(jìn)行裝載和卸載。

3.2統(tǒng)一授權(quán)管理

用戶授權(quán)模塊通過角色控制實(shí)現(xiàn)精細(xì)化的分層次授權(quán)管理，顆粒度可根據(jù)需求精細(xì)到業(yè)務(wù)模塊中具體功能。平臺(tái)實(shí)現(xiàn)兩種模式的權(quán)限設(shè)計(jì)：一是對(duì)登錄平臺(tái)業(yè)務(wù)模塊授權(quán)，針對(duì)每一個(gè)用戶或每一類用戶逐一配置業(yè)務(wù)模塊授權(quán)，用戶僅可訪問被授權(quán)的模塊;二是對(duì)業(yè)務(wù)模塊功能點(diǎn)授權(quán)，針對(duì)每一個(gè)用戶或每一類用戶對(duì)可訪問的業(yè)務(wù)模塊中具體功能進(jìn)行授權(quán)，用戶僅可使用被授權(quán)的功能。

建設(shè)統(tǒng)一授權(quán)管理微服務(wù)模塊，各業(yè)務(wù)系統(tǒng)微服務(wù)模塊通過注冊(cè)方式向統(tǒng)一授權(quán)管理模塊進(jìn)行注冊(cè)，將各業(yè)務(wù)系統(tǒng)的授權(quán)部分或全部地委托給統(tǒng)一授權(quán)管理模塊，從而實(shí)現(xiàn)統(tǒng)一權(quán)限管理，以及權(quán)限信息的共享。用戶對(duì)各業(yè)務(wù)系統(tǒng)的訪問權(quán)限存放在統(tǒng)一的權(quán)限信息庫中，用戶在訪問各業(yè)務(wù)系統(tǒng)時(shí)，業(yè)務(wù)系統(tǒng)通過統(tǒng)一授權(quán)管理模塊接口查詢、驗(yàn)證該用戶是否有權(quán)使用系統(tǒng)提供的各業(yè)務(wù)模塊或功能點(diǎn)，根據(jù)統(tǒng)一授權(quán)管理模塊返回的結(jié)果進(jìn)行相應(yīng)的處理。

對(duì)每一個(gè)業(yè)務(wù)系統(tǒng)微服務(wù)模塊，可以根據(jù)業(yè)務(wù)功能自定義角色與權(quán)限，用戶或用戶組可以對(duì)應(yīng)多個(gè)角色，每個(gè)角色包含多種業(yè)務(wù)權(quán)限。管理員可自定義權(quán)限、角色的對(duì)應(yīng)關(guān)系，以滿足權(quán)限管理的靈活性、可擴(kuò)展性和可管理性的需求。

3.3統(tǒng)一接入管理

平臺(tái)的統(tǒng)一接入管理微服務(wù)模塊功能包括統(tǒng)一業(yè)務(wù)模塊接入與統(tǒng)一用戶接入，利用不同方式實(shí)現(xiàn)數(shù)據(jù)中心存量業(yè)務(wù)系統(tǒng)的統(tǒng)一接入管理。

統(tǒng)一業(yè)務(wù)模塊接入明確新業(yè)務(wù)模塊基于微服務(wù)架構(gòu)平臺(tái)進(jìn)行開發(fā)時(shí)的程序開發(fā)技術(shù)規(guī)范，提供統(tǒng)一的技術(shù)選型建議與界面設(shè)計(jì)風(fēng)格。對(duì)數(shù)據(jù)中心的存量業(yè)務(wù)系統(tǒng)，根據(jù)各系統(tǒng)特點(diǎn)提供三種接入方式：一是對(duì)存量業(yè)務(wù)系統(tǒng)用戶認(rèn)證模塊二次開發(fā)，實(shí)現(xiàn)存量業(yè)務(wù)系統(tǒng)通過平臺(tái)單點(diǎn)授權(quán)登錄;二是存量業(yè)務(wù)系統(tǒng)通過微服務(wù)化、模塊化升級(jí)集成進(jìn)平臺(tái)，通過統(tǒng)一接入管理模塊的接口標(biāo)準(zhǔn)進(jìn)行封裝，按照統(tǒng)一標(biāo)準(zhǔn)提供使用者進(jìn)行調(diào)用，平臺(tái)對(duì)接口申請(qǐng)方進(jìn)行流程審核，對(duì)接口調(diào)用進(jìn)行系統(tǒng)監(jiān)控，最終采用統(tǒng)一的標(biāo)準(zhǔn)提供接口服務(wù)，實(shí)現(xiàn)數(shù)據(jù)共享、統(tǒng)一數(shù)據(jù)標(biāo)準(zhǔn)、避免數(shù)據(jù)混亂;三是針對(duì)無法進(jìn)行二次開發(fā)與升級(jí)的存量業(yè)務(wù)系統(tǒng)，在平臺(tái)創(chuàng)建頁面鏈接，保證一致的登錄入口。