高鸿电商系统架构规划.docx
《高鸿电商系统架构规划.docx》由会员分享,可在线阅读,更多相关《高鸿电商系统架构规划.docx(24页珍藏版)》请在冰点文库上搜索。
高鸿电商系统架构规划
高鸿电子商务平台系统架构规划
易观商业解决方案公司
2011年01月22日
目录
目录2
1.高鸿电子商务平台概述4
1.1.项目背景4
1.2.设计目标4
1.3.设计原则4
1.4.设计依据4
2.高鸿电子商务平台体系架构4
2.1.系统架构4
2.2.主要的技术特点4
2.3.系统设计原则5
1.1.1先进性原则6
1.1.2实用性、操作性原则6
1.1.3投资保护原则7
1.1.4安全性、可靠性原则7
3.安全和可靠性方案8
3.1.数据级安全8
3.1.1.数据库设计原则8
3.1.1.1.内存设计原则8
3.1.1.2.数据备份设计原则8
3.1.2.数据安全9
3.2.应用级安全10
3.2.1.传输层安全机制10
3.2.2.业务安全10
3.2.3.日志安全10
3.2.4.口令安全12
3.2.5.防病毒措施12
3.3.网络级安全12
3.3.1.防火墙机制12
3.3.2.入侵检测机制13
3.4.功能可扩展性13
3.4.1.可伸展的系统功能结构13
3.4.2.可继承的分组权限管理14
3.5.容量可扩展性16
3.5.1.WEB服务器集群技术17
3.5.2.数据库集群技术17
3.6.系统可靠性保障18
3.6.1.性能快速响应18
3.6.2.设备可靠性20
3.6.3.容灾及备份20
3.7.系统维护和升级21
4.处理能力核算方案21
4.1.系统主要性能指标21
4.2.业务量模型22
4.3.处理能力核算22
4.3.1.消息代理服务器MPServer22
4.3.2.核心业务服务器CSServer22
4.3.3.网站服务器WWWServer22
4.3.4.数据库服务器DBServer22
4.4.存储容量估算22
4.5.带宽计算22
5.设备配置及组网方案22
5.1.组网方案22
5.2.组网说明22
5.3.组网设备配置23
5.4.方案配置总结23
1.高鸿电子商务平台概述
1.1.项目背景
1.2.设计目标
⏹
1.3.设计原则
⑴
1.4.设计依据
[1].
2.高鸿电子商务平台体系架构
2.1.系统架构
2.2.主要的技术特点
⏹开放性与先进性
基于开放式标准。
采用先进成熟的J2EE技术和被广泛应用的标准,确保系统的技术先进性,保证投资的有效性和延续性。
⏹灵活性与可扩展性
结合业务处理模式,在硬件和应用软件两个方面,采用基于功能模块化集群的技术,系统可平滑线性升级,理论上升级的集群规模不受限制,不考虑网络带宽限制的情况下,总处理能力可以进一步扩充。
方便扩展设备容量和提升设备性能;具备支持业务处理的灵活的、参数化配置,业务功能的重组与更新的灵活性,新的应用业务可灵活加载,并不影响原有业务流程。
⏹安全性与可靠性
提供良好的安全策略,与外部系统的连接设置防火墙,入侵检测设备等来实现网络级的安全保障,按照用户对象的不同接口进行认证,验证及授权等来实现业务级的安全保障,提供可动态配置的权限分配、安全保护与过滤机制等来实现用户级的安全保障,支持多种安全技术手段,制定严格的安全可靠性管理措施。
在硬件及网络方面采用集群技术、双机系统、冗余备份、硬盘RAID1或RAID5等措施,确保系统无单点故障。
同时提供按照业务类型、优先级等因素动态调整消息调度策略。
实现对用户、终端以及系统平台之间等不同接口的优先级的动态配置。
可控制每个接口与系统平台之间的最大流量,防止恶意应用程序可以利用该属性对平台进行攻击。
另外当系统达到一定的流量阀值时可自我保护机制,从而保证系统的高可靠性与高可用性。
⏹准确性与实时性
保证系统数据处理的准确性,提供多种核查手段,如采用高效的数据缓存技术和缓存设计,大大节省了数据访问时间,关键的用户数据、常用的业务数据以及控制消息都使用了缓存技术,并根据相关算法及时刷新。
对实时性要求高的处理提供特殊有效的处理方法。
⏹易用性与可管理性
平台本身具有良好的操作界面、详细的帮助信息,系统参数的维护与管理通过操作界面完成。
平台应具有良好的管理手段,可管理安全、网络、服务器、操作系统、数据库及应用等。
提供完善的用户管理,角色管理。
丰富的日常维护测试功能,完成对业务的测试与记录、业务升级情况的记录,业务内容信息的记录、业务内容的管理等功能。
满足系统管理员对日志的管理,对性能的统计。
此外还能根据需要提供不同的统计分析报表
2.3.系统设计原则
电子商务系统工程建设是一个长期而复杂的过程,为保证整个工程建设目标的实现,系统的方案设计将坚持如下基本原则:
1.1.1先进性原则
由于IT技术发展的速度惊人。
因此,在电子商务项目进行系统总体规划时,我们选择业界到目前为止先进和成熟的技术作为整个系统的技术架构,以保证系统有不断发展和扩充的余地。
系统总体设计的先进性原则主要体现在以下几方面:
●系统结构选择当前先进的J2EE多层B/S架构进行系统开发;
●软件的设计中利用先进的面向对象技术、设计模式和组件技术来提高软件的通用性和复用性;
1.1.2实用性、操作性原则
衡量一个系统的好坏决不是看它投入了多少、如何的先进,而是看它是否真正满足业务需求,是否真正实用。
因此,在进行系统的建设时,始终不忘实用性原则,努力保证投资花在实处,保证建设出来的系统切切实实是所需要的,而不是一个富丽堂皇的空架子,光有一个外表而没有实际的内容。
实用性是每个信息系统在建设过程中所必须考虑的,从实际应用的角度来看,这个性能更加重要。
为了提高系统的实用性,本系统考虑如下几个方面:
A、设计上充分考虑当前各业务层次、各环节管理中数据处理的便利和可行,把满足用户业务管理作为第一要素进行考虑;
B、采取总体设计、分步实施的技术方案,在总体设计的前提下,系统实施时先进行业务处理层及低层管理,稳步向中高层管理及全面自动化过渡。
这样做可以使系统始终与业务实际需求紧密连在一起,不但增加了系统的实用性,而且可使系统建设保持很好的连贯性;
C、.全部人机操作设计均充分考虑不同使用者的实际需要;
D、用户接口及界面设计充分考虑人体结构特征及视觉特征进行优化设计,界面尽可能美观大方,操作简便实用。
Ø统一及一致性原则
在统一的用户界面风格前提下,实现各GUI中各类按钮、图标、文字(字体、大小)、热键(快捷键)的统一和一致,达到便于使用、便于学习、交互友好的目的。
Ø人机工程及标准化原则
在保证界面风格统一、一致的基础上,按照人机工程原理,遵循IBM和Microsoft的界面设计标准,将界面的布局(包括按钮、菜单、显示框等)设计成符合操作者习惯的形式,并在界面颜色的搭配上满足操作者长时间工作要求,提供一个人性化的人机操作环境,以保证用户使用的舒适性。
Ø业务引导及易用性原则
充分考虑业务的管理需求,在界面的菜单及功能的组合设计中,将界面的操作顺序按业务归类,以便操作的有效引导,保证软件的易用性。
同时,在各功能名称的用词、信息提示文字等方面,使用政府审批业务的规范化、习惯化用词,以保证软件使用者的习惯性,符合现有政府审批管理模式,有利于操作者在较快的时间熟练用好软件。
Ø友好及方便性原则
鼠标、键盘的灵活输入方式;热键的使用,以保证各种业务数据信息的录入界面,更新维护界面和记录增删界面及部门内部信息查询界面和信息统计报表界面等使用的方便性、友好性,确保各种业务信息数据都能通过用户界面方便地、快速录入。
1.1.3投资保护原则
系统建设充分考虑目前已实施的业务系统的实际情况,充分利用原系统资源,在实现新系统建设同时保护原有系统的投资。
任何一个系统的建设,如果不能合理和有效地利用以前的投资,这样的系统应该算不了成功或绝对的成功。
因此,在进行该系统建设时,充分考虑如何利用以前的信息系统、网络和其他设备,并对以前实施的应用系统进行整合,一方面保证原有的设备可以重新利用,另一方面保证以前的应用重获新生。
在真正意义上做到既完成了新系统的建设又保护了原有设备和系统的投资。
1.1.4安全性、可靠性原则
考虑到电子商务系统工程建设项目安全性、可靠性的需求,在系统设计中,应充分注意系统的安全性和可靠性,采用多种安全防范技术和措施,保障系统的信息安全,保障系统长期稳定可靠运行,同时在系统设计要充分考虑系统运行性能,达到“简便、实用、快捷、安全、准确”的目的。
3.安全和可靠性方案
3.1.数据级安全
3.1.1.数据库设计原则
3.1.1.1.内存设计原则
1)内存设计
根据数据库的内存管理特点,提出和确定数据库共享内存段设计定位在一个合适的范围内:
物理内存的50%—70%,当共享内存段过大的时候会导致内存分页,影响系统性能。
2)交换区设计
在设计数据交互区时,根据系统特点和运行情况,确定当物理内存在2G以下的情况下,交换分区swap为物理内存的3倍,当物理内存>2G的情况下,swap大小为物理内存的1—2倍。
3.1.1.2.数据备份设计原则
平台提供了多种数据备份的可选方式:
●采用数据库的导入导出工具
数据库的导入导出工具提供了数据快速的备份和恢复手段,提供了数据库级、用户级和表级的数据备份恢复方式。
这种方法一般作为数据库辅助备份手段。
●采用数据库联机备份工具作为7×24环境下的联机热备份
系统在数据库建设是,单独建立备份恢复用的数据库实例,与生产环境的数据库分开,确保管理信息与生产数据库的网络连接良好。
在系统使用良好的备份策略,支持完全使用控制文件保存管理信息。
增量备份:
只备份上次备份以后有变化的数据;
差分备份:
只备份上次完全备份以后有变化的数据;
按需备份:
根据临时需要有选择地进行数据备份。
3.1.2.数据安全
采用标准关系型数据库DBMS作为后台数据库,数据库支持C2或以上级安全标准、多级安全控制。
支持数据库存储加密、数据传输通道加密。
采用TripleDES(3DES,2Key和3Key)加密方法,采用56位钥匙键的标准DES,一旦被加密,密码文本将以密码的方式在网络中传递,在这种方式中,如果没有正确的钥匙键就几乎不可能把密码文本转换回相应的纯文本。
另外通过对数据库建立相应的安全性策略来进一步控制安全:
1.系统安全性策略
(1)管理数据库用户
数据库用户是访问数据库信息的途径,因此,应该很好地维护管理数据库用户的安全性,只有那些值得信任的个人才应该有管理数据库用户的权限。
(2)用户身份确认
数据库用户可以通过操作系统、网络服务或数据库进行身份确认。
通过主机操作系统进行用户身份认证的优点有:
用户能更快、更方便地联入数据库;通过操作系统对用户身份确认进行集中控制,如果操作系统与数据库用户信息一致,那么数据库无需存储和管理用户名以及密码;用户进入数据库和操作系统的审计信息一致。
(3)操作系统安全性
首先,数据库管理员必须有Create和Delete文件的操作系统权限;其次,一般数据库用户不应该有Create和Delete与数据库相关文件的操作系统权限;如果操作系统能为数据库用户分配角色,那么安全性管理者必须有修改操作系统账户安全性区域的操作系统权限。
2.数据的安全性策略
对数据安全性的考虑应该基于数据的重要程度。
如果数据不是很重要,那么数据安全性策略可以稍稍放松一些。
然而,如果数据很重要,那么精心设计一套安全性策略,以有效控制对数据对象的访问。
3.用户安全性策略
(1)一般用户的安全性
如果用户通过数据库对用户身份确认,那么,使用密码加密方式与数据库连接。
(2)终端用户的安全性
安全性管理者按照用户组分类,为这些用户组创建用户角色,把所需的权限和应用程序角色授予每一个用户角色,以及为用户分配相应的用户角色。
当处理特殊的应用要求时,安全性管理者也必须明确地把一些特定的权限要求授予用户。
4.数据库管理者安全性策略
(1)保护作为管理员用户的连接
当数据库创建好以后,立即更改有管理权限的管理员用户的密码,防止非法用户访问数据库。
当作为管理员用户连入数据库后,用户有强大的权限用各种方式对数据库进行改动。
3.2.应用级安全
3.2.1.传输层安全机制
用户通过平台的WebPortal自助服务时,为了确保用户交易数据的传输安全,PortalServer的采用HTTPS协议进行通讯。
为了防止攻击,用户登录终端管理平台WebPortal时,需要输入动态生成的图形随机数。
3.2.2.业务安全
对于客户端和服务器来说,一般都是客户端主动向服务器发送认证信息。
采用MD5认证方式。
MD5是一种计算摘要的方式,其计算参数为GroupID,UserID,Password和Nonce。
MD5的算法参见RFC1321。
MD5计算的值被放在内部登录消息的头部。
3.2.3.日志安全
系统具有完善的日志功能,能够记录系统异常情况及其他安全事件。
审计日志保留规定的时长(在线3月,离线3月),以便支持日后的事件调查和访问控制监控,记录的日志类型包括:
Ø应用系统日志:
应用系统具有完善的日志功能,能够记录系统异常情况及其他安全事件。
应用系统日志包括以下内容:
⏹用户创建、删除等操作。
⏹用户登录、退出的日期和具体时间及IP地址等信息。
⏹成功的和被拒绝的系统访问活动的记录。
⏹成功的和被拒绝的数据与其他资源的访问记录。
⏹成功的和被拒绝的管理操作记录。
⏹用户操作记录。
Ø数据库日志
⏹记录创建、修改和删除数据库用户的操作。
⏹记录创建、修改和删除任何数据库存储结构的操作。
⏹记录创建、修改和删除任何数据库对象的操作。
⏹记录创建、修改和删除表的操作。
⏹记录创建、修改和删除索引的操作。
⏹记录赋予、撤销某个账户数据库权限的操作。
⏹记录赋予和撤销某个角色或账户对于某个对象权限的行为。
⏹记录目录和数据库配置的变更。
⏹记录数据应该包括失败的连接。
Ø操作系统日志
⏹开启操作系统日志功能对系统日志进行记录。
⏹系统日志应至少记录以下内容:
对系统登陆进行记录,记录登陆主机的IP地址、用户名、时间等。
⏹记录系统成功以及失败的登陆事件。
⏹记录系统事件。
3.2.4.口令安全
系统具备访问权限的识别和控制功能。
对应用管理员、系统管理员、数据库管理员根据不同的应用需求提供多级密码。
例如,口令应由不少于6位的大小写字母、数字以及标点符号等字符组成;口令应在90天内至少更换一次。
3.2.5.防病毒措施
系统在必要并经测试验证稳定运行的基础上安装厂商发布的最新版本安全补丁,并尽可能安装病毒代码库和系统漏洞库。
3.3.网络级安全
3.3.1.防火墙机制
通过双层异构防火墙上划分三个安全级别区域:
接入区,与互联网相连,是安全级别最低的区域;DMZ区,也就是停火区,放置网站服务器,为中等安全级别区域;核心区,放置核心处理服务器和数据库服务器等主机,为安全级别最高的区域。
一层防火墙建议选用CISCO的PIX515E防火墙,用于隔离接入区的CMNET公网与DMZ区,保证公网访问门户服务器等的安全。
二层防火墙建议选用Netscreen-50防火墙,用于隔离DMZ区与核心区的系统核心平台,保证平台应用服务与系统核心平台交互安全。
防火墙是设置在不同安全级别安全域之间的一道屏障,可以通过设置安全策略来控制信息流,防止不可预料的潜在的入侵破坏活动。
从内部到外部或从外部到内部的所有通信都必须通过防火墙,只有符合防火墙配置的安全策略的通信才允许通过,可以有效的控制低安全级别区域对高安全级别区域的访问。
因此增加防火墙,并在防火墙上设置如上的安全策略,一方面可以保证业务数据的正常联通,实现业务功能;另一方面,可以有效的控制信息安全,防止业务系统主机直接暴露在公网之下。
3.3.2.入侵检测机制
利用入侵检测系统可以了解网络的运行状况和发生的安全事件,并根据安全事件来调整安全策略和防护手段,同时改进实时响应和事后恢复的有效性,为定期的安全评估和分析提供依据,从而提高网络安全的整体水平。
3.4.功能可扩展性
系统功能的可扩展性主要建立在一个系统的核心抽象层架构设计上,严格遵循软件设计模式中的开闭原则、接口隔离原则、设计模式等,针对功能的增加与扩展可以快速的进行。
本系统功能的可扩展性主要表现在系统的可成长和权限的继承方面。
3.4.1.可伸展的系统功能结构
系统资源树是指对网站系统功能模块用树形结构表示的方式。
下面首先介绍系统资源树的构架。
如下图:
系统资源树将网站后台管理功能系统地组合起来,资源树上的每一个分支是一个栏目,每一个栏目也就是一个管理模块。
系统资源不是固定不变的,随着业务的要求,它还可以不断的动态“长大”,而不会给核心架构带来影响而不可修改。
管理员可以根据不同的需求,对分支点进行再分支,可以分为更多不同的小模块,方便管理。
3.4.2.可继承的分组权限管理
权限管理是为了方便管理员管理的一个模块。
它可以对网站系统的用户和用户组进行不同的权限设置,使用户和用户组在网站的管理系统中有不同的权限,管理不同的模块。
权根的管理使网站的系统管理变得更加简单系统化,提高工作的效率。
权限管理,它可以对指定的栏目设置不同的权限,在栏目之间有继承的功能。
下面我们将从管理用户和用户组、权限的设定、权限的继承和权限管理几方面来分析。
●首先,管理用户和用户组。
用户是指在系统中注册单个用户。
用户组是指具有共同操作权限的一群用户的集合,在系统中,用户组可以被定义为对某个特定功能的操作角色。
例如,负责所有与订单处理有关工作的操作角色可以设定为订单管理专员组。
一个用户加入一个组之后,就自动拥有了这个组的所有权限。
一个用户除了拥有组的权限之外,还可以被赋予自己独有的权限。
●其次,权限的设置。
权限的设置是指对系统资源树各个支点所具有的管理权限设置。
也就是设定特定用户进入该栏目后,对栏目提供的功能的操作权限。
典型的权限操作界面如下:
●权限的继承
用户在某栏目下所拥有的权限除了通过自行在本栏目的设置外,还会通过一套继承规则从父栏目和该用户所属的所有组中获得。
如上图中,有一个“该栏目用户继承父栏目的权限”的选择框,如果选择是,则表示当前栏目的所有用户都继承自己在当前栏目的父栏目中所拥有的权限。
如果要看某用户是否拥有某一权限,首先看其权限设置栏目里是否有、其组的权限设置是否有,如果都没有,则这套规则就会找该栏目的父栏目,看看该用户和其所属组在父栏目下该权限有无设置,如果有则用户在本地栏目得到该权限设置,如没有则在按同样规则找他父栏目的父栏目,如没有,再往上找,直到最顶,还没有,那该用户在本地栏目下该权限就为没设置。
以上这一环节得到的权限我们称为继承权限,在设置权限页面上显示为不可修改,即选择按钮为灰色DISABLE状态。
●最后,权限管理
用户组与每个栏目都可以独立指定权限的功能使的权限配置具有极高的灵活性。
根据各个岗位所负责的工作范围的不同,我们可以分别制定不同的权限,从而通过把一些权限分配给一个组,那么就可以在系统中建立各种操作的角色。
例如订单管理专员,其主要的工作职能是:
客户订单的全程处理、主动销售的实施和其他销售形式的管理,订单管理专员拥有查看所有订单、更改订单状态、删除或修改订单信息、发布主动销售信息的权利。
3.5.容量可扩展性
本系统未来发展中,必然存在这浏览量不断上升的情况。
为了能够满足未来大用户量访问的需求,我们今天的系统选型必须考虑未来系统如何扩容的问题。
所以,系统演进展望中,首先提到的就是系统集群的问题。
所谓系统集群,就是通过增加服务器数量的方式,来提高系统的用户容量。
当服务端特别是WEB服务端工作量迅速增大;为了顺应这种应用需求,对WEB服务器的性能要求越来越高,而单机服务器的性能增长总是有限度的。
网络带宽的增长速度大于CPU的增长速度,而内存处理以及I/O处理的增长速度还远跟不上CPU的增长速度,越来越多的瓶颈会出现在服务器端,集群技术恰恰能够极大地缓解这些问题。
在我们网站电子商务平台系统发展中,为了提高整个系统的可用性,除了提高计算机各个部件的可靠性以外,已经启动采用集群技术来解决支持更大的访问量,并且可以随着访问量的增加可以通过增加服务器的方式很容易的增加处理能力,而不增加用户的访问时延;通过集群技术提高系统稳定性,提供几乎永不停机的服务质量。
即使某一台服务器软件或者硬件崩溃系统仍然能对客户提供服务。
所谓集群,就是共同为客户机提供网络资源的一组计算机系统。
而其中的每一台提供服务的计算机,我们称之为节点。
当一个节点不可用或者不能处理客户的请求时,该请求将会转到另外的可用节点来处理,而这些对于客户端来说,它根本不必关心这些要使用的资源的具体位置,集群系统会自动完成。
集群中节点可以以不同的方式来运行,它们是如何设置是关键所在。
在一个理想的两个节点的集群中,两个服务器都同时处于活动状态,也就是在两个节点上同时运行应用程序,当一个节点出现故障时,运行在出故障的节点上的应用程序就会转移到另外的没有出现故障的服务器上,这样一来,由于两个节点的工作现在由一个服务器来承担,自然会影响服务器的性能。
我们网站电子商务平台系统主要从以下两方面进行未来的研究发展:
3.5.1.WEB服务器集群技术
现在主流的WEB服务器主要包括BEAWEBLOGIC、IBMWEBSPHERE、JBOSS、RESIN、TOMCAT等。
其中,JBOSS、RESIN、TOMCAT应用广泛,并且是免费Web应用服务器。
网站系统基于不同的WEB服务器分别采用以下几种集群技术:
1.主/主(Active/active)
这是最常用的集群模型,它提供了高可用性,并且在只有一个节点在线时提供可以接受的性能,该模型允许最大程度的利用硬件资源。
每个节点都通过网络对客户机提供资源,每个节点的容量被定义好,使得性能达到最优,并且每个节点都可以在故障转移时临时接管另一个节点的工作。
所有的服务在故障转移后仍保持可用,但是性能通常都会下降。
2.主/从(Active/passive)
为了提供最大的可用性,以及对性能最小的影响,Active/passive模型需要一个在正常工作时处于备用状态,主节点处理客户机的请求,而备用节点处于空闲状态,当主节点出现故障时,备用节点会接管主节点的工作,继续为客户机提供服务,并且不会有任何性能上影响。
3.混合型(Hybrid)
混合是上面两种模型的结合,只针对关键应用进行故障转移,这样可以对这些应用实现可用性的同时让非关键的应用在正常运作时也可以在服务器上运行。
当出现故障时,出现故障的服务器上的不太关键的应用就不可用了,但是那些关键应用会转移到另一个可用的节点上,从而达到性能和容错两方面的平衡。
3.5.2.数据库集群技术
数据库集群(SQL通常使用术语称为目录集群),一个数据库集群是一系列数据库的集合,这些数据库可以通过单个数据库服务器的实例访问。
用文件系统的术语来说,一个数据库集群将是一个目录,所有数据都将存放在这个目录中。
我们把它称做数据目录或数据区。
主要是使用数据库本身的集群技术结合我们的网站系统软件架构进行配置与应用。
例如数据库使用Oracle,数据库集群可以采用OracleRAC。
基于RAC的电子商务应用的用户或者中间层应用服务器客户,可以通
升级会员 