# 上线指南
本文档用于将 EOS 8.3.3 官方上线要求中的安全配置、性能调优与数据资产平台(DAMP)自身的部署、集成、初始化要求整合为一份统一的上线指南,便于项目在正式投产前集中检查。
适用范围:
- EOS Low-Code Platform 8.3.3
- 数据资产平台 DAMP 7.5.0 文档体系
- 微应用版与套件版两种部署模式
# 一、上线目标
正式上线前,至少完成以下四类工作:
- 完成环境准备、安装部署、依赖组件联通。
- 完成系统安全加固与默认配置整改。
- 完成性能参数调优与必要压测。
- 完成数据资产平台特有的元数据、服务引擎、搜索引擎、公共资源、权限与索引初始化。
# 二、部署模式与资产专有依赖
数据资产支持两种部署模式:
# 1. 微应用版
- 依赖 EOS 8.3.3 基础微服务平台。
- 需要单独部署 DAMP 后端、DataEngine、前端资源。
- 元数据、公共资源组件需要按集成方式单独处理。
- 数据资产素材库
DAMP_assetlib.zip需要手动上传。
# 2. 套件版
- 可直接以套件方式运行。
- 首次启动时会自动加载低开基线和素材库。
- 默认目录结构更完整,适合整套交付。
# 3. 数据资产特有依赖
除 EOS 基础能力外,数据资产上线通常还需要重点确认以下组件:
- Elasticsearch:用于资产浏览、资产检索、标准检索、知识库检索。
- MetaCube / DGS:用于元数据采集与元数据集成。
- DataEngine:用于数据服务运行,通常区分
PROD/DEV。 - 公共资源组件:用于主题分类同步、数据源管理等场景。
- Filebeat / Logstash:可选,用于服务引擎日志采集。
- DWS / 质量组件 / IDATA / Neo4j:按项目功能范围决定是否启用。
# 三、上线前准备清单
# 1. 基础环境
- 操作系统:CentOS 7.2+、麒麟 10、统信 UOS 20、Windows 10 等已验证环境。
- JDK:Oracle JDK 1.8 或 OpenJDK 1.8。
- Nginx:推荐 1.20.1。
- Redis:推荐 6.2.6。
- 数据库:MySQL 5.7.25+、达梦 8、人大金仓 V8R6、openGauss 5.0.0、PostgreSQL 12.12、Oracle 19c。
- Elasticsearch:文档中已验证 6.8.11、7.17.9、8.1.2;建议项目环境固定版本后做兼容验证。
# 2. 资源建议
- 最低建议:应用机
4C16G200G,数据库机4C16G200G。 - 推荐配置:应用机
8C16G200G,数据库机8C16G400G。
# 3. 介质与授权
- 准备 EOS 8.3.3、DAMP 7.5.0、MetaCube 7.5.1、公共资源组件等交付介质。
- 准备正式 License,至少覆盖
data-asset、data-catalog、data-standard相关组件。
# 4. 网络与地址规划
- 明确所有后端服务真实 IP、端口、域名、Nginx 入口地址。
- 服务引擎地址不可配置为
127.0.0.1,平台参数中需填写真实可访问地址。 - 明确是否启用 HTTPS、是否启用 Nacos/Redis 认证、是否启用 ES 认证。
# 四、系统安全配置
以下内容整合自 EOS 官方《安全配置》与当前数据资产部署文档,建议作为上线必做项执行。
# 1. 基础组件安全
# Redis
- 开启 Redis 密码认证。
- 在应用配置中同步填写
spring.redis.password。 - 禁止使用默认密码或空密码上线。
# Nacos
- 开启 Nacos 认证。
- 在
application-nacos.properties、bootstrap.properties中配置:spring.cloud.nacos.discovery.usernamespring.cloud.nacos.discovery.passwordspring.cloud.nacos.config.usernamespring.cloud.nacos.config.password
# HTTPS
- 生产环境建议统一通过 HTTPS 暴露门户与 API。
- Nginx 或网关层完成证书配置后,确认回源转发头正确。
# Nginx 防嵌套
- 增加
X-Frame-Options DENY,禁止页面被 iframe 嵌套。 - 同时建议补充常见安全响应头。
# 2. EOS / DAMP 应用安全
# 生产环境标识
- 在
application.properties中将:
eos.profiles.active=prod
# 关闭 Swagger
- AFCENTER、BPS、DAMP 等运行服务关闭 Swagger。
- 从
user-config.xml白名单中移除 Swagger 相关路径。
# 移除白名单接口
- 从
user-config.xml的Login-Filter > Exclude中移除以下接口:- SDK 白名单接口,如
/api/afc/afc-proxy/* actuator接口,如/actuator/*
- SDK 白名单接口,如
# 跨域限制
- 在 AFCENTER 后端配置允许访问域名:
afc.cros_allowed_origins=demo1.com,demo2.com
- 严禁生产环境使用全开放跨域。
# 关闭 Sentinel
- 如未使用 Sentinel,显式关闭:
spring.cloud.sentinel.enabled=false
# 上传文件控制
- 在
application-afc.properties中配置上传白名单、黑名单、文件大小上限。 - 建议明确禁止
exe、jar、sh、bat、py、jsp、sql等高风险类型。 - 同时同步调整 Nginx 的
client_max_body_size。
# XXL-JOB 访问令牌
- 执行器与调度器统一配置
accessToken,避免未授权调用。 - 相关配置文件:
application-job.properties
# 接口防篡改
- 在 Nginx
afcenter.conf中开启接口防篡改请求头。 - 仅对必要接口做例外放行,其余默认进入校验逻辑。
# 安全补丁
- 按 EOS 8 平台安全补丁说明完成漏洞修复与补丁加固。
# 3. 业务安全
# 默认账号与密码整改
- 修改
admin、sysadmin、dtadmin等默认账号密码。 - 更新数据资产平台中的默认 ES 密码配置。
# 登录安全策略
- 配置密码复杂度、失效周期、错误锁定、多端登录控制。
- 对超管等特殊账号按需做白名单豁免,但必须留痕。
# 水印
- 开启页面水印。
- 水印内容建议带用户标识、时间戳等动态信息。
# 三员分立
- 启用系统管理员、安全保密管理员、安全审计员三员管理。
- 审计职责与业务运维职责分离。
# 审计日志
- 确认审计日志可查询、可导出、可追踪变更详情。
# 权限配置
- 菜单、按钮、服务、数据权限按角色拆分授权。
- 如涉及资产服务调用、数据行过滤,需同步校验服务授权规则。
# 五、性能调优建议
以下内容整合自 EOS 官方《性能调优指南》,并结合数据资产典型场景补充。
# 1. 操作系统参数
- 调整
open files,建议至少:
root soft nofile 65536
root hard nofile 65536
- 修改后重新登录使配置生效。
# 2. JVM 参数
- 在启动脚本中按机器规格配置堆内存与 GC 策略。
- 官方示例:
export EOS_DAP_MEM_OPTS="-Xms512m -Xmx4096m -Xmn256m"
export JAVA_OPTS="$JAVA_OPTS -XX:+UseParNewGC -XX:ParallelGCThreads=4 -XX:MaxTenuringThreshold=9 -XX:+UseConcMarkSweepGC"
- 生产环境需结合堆转储、GC 日志和压测结果进一步定型。
# 3. 数据库连接池
- 根据并发量调大
user-config.xml中 C3P0 连接池参数。 - 数据库服务端
max_connections必须大于应用端总连接数。 - 对数据资产场景,建议重点关注:
- DAMP 主库连接池
- DataEngine 数据库连接池
- MetaCube / DGS 数据源连接池
# 4. Web 容器线程
在
application.properties中调优:server.app-server.accept-countserver.app-server.max-threadsserver.app-server.min-spare-threadsserver.app-server.max-connectionsserver.app-server.connection-timeout
一般最大线程数不超过
1000,以压测结果为准。
# 5. 日志级别
- 生产环境日志建议控制在
INFO/WARN/ERROR级别。 - 高频模块建议优先使用
WARN/ERROR,避免 SQL / Trace 级日志拖垮性能。 - BPS 相关日志也应同步下调。
# 6. 序列号缓冲池
- 在
sys-config.xml中调大PoolSize,减少高并发插入时频繁访问数据库。
# 7. 关闭统计监控
- 非必要场景下,关闭 Server 统计监控。
- 将
user-config.xml中Statistic模块各组Status设为close。 - 将
sys-config.xml中Connection/Monitor相关监控项设为false。
# 8. BPS 调优
- 调整 BPS 引擎缓存参数:
inst_cache_max_nodesagent_cache_max_nodes
- 按业务规模决定是否保留持久化实例配置。
# 9. 数据资产专项性能建议
- 为资产目录、标准目录、服务目录、流程待办等高频查询字段建立必要索引。
- 避免对百万级以上大表执行无分页查询、
count、distinct、group by全量聚合。 - 后台批处理、同步、汇总任务避免在循环内频繁访问数据库。
- 首页汇总、标准推荐、指标校验等定时任务建议错峰执行。
- Filebeat 与 Logstash 如启用,需与 Elasticsearch 版本保持一致,并与 DataEngine 所在服务器协同部署。
# 六、数据资产专有上线步骤
# 1. 数据库初始化
# 微应用版
- 在
damp库中依次执行bfp、eos、lowcode、damp相关 SQL。 - 在
afcenter库中执行dam-afc-all.sql。 - BPS 初始化通常在首次启动时自动完成。
# 套件版
- 在
standalone库执行整库初始化脚本。 - 如使用达梦数据库,还需执行
COMP_SYSTEM_CONFIG修复 SQL。
# 上线建议
- 初始化前先增大数据库
max_allowed_packet。 - 初始化完成后校验表数、视图数、函数数是否与文档一致。
# 2. DAMP 后端配置
重点核对以下文件:
application.propertiesapplication-afc.propertiesapplication-damp.propertiesapplication-dm.propertiesapplication-job.propertiesapplication-dws.propertiesapplication-dqms.propertiesapplication-pubresmng.propertiesapplication-metacube.propertiesapplication-nacos.propertiesbootstrap.propertiesDAMP/config/user-config.xml
关键项包括:
- 应用端口、应用名、租户信息。
- Redis 地址与密码。
- Nacos 注册中心与配置中心地址、账号密码。
- DAMP 主库 JDBC 地址、用户名、密码。
- 建模、质量、数据开发、公共资源、作业调度相关开关与接入参数。
- 定时任务表达式是否符合生产要求。
# 3. DataEngine 配置
- 微应用版通常需要部署
dataengineprod与dataenginedev两套服务。 - 明确区分:
engine.runtime.env=PRODengine.runtime.env=DEV
- 配置真实数据库、Redis、Nacos、端口与应用名。
- 如涉及第三方脱敏加密调用,
afc.application.name必须正确。
上线重点:
- 服务引擎生产、测试地址在平台参数中分别配置。
- 页面显示地址和实际调用地址必须可达。
gatewayUrl/gatewayUatUrl禁止使用127.0.0.1。
# 4. MetaCube / DGS 集成
数据资产平台依赖元数据能力时,需完成以下工作:
- 初始化元数据数据库。
- 配置 DGS
application.yml中数据库、Redis、端口。 - 配置采集器
extractor.properties,建议使用真实 IP。 - 启动 DGS Server 与 Extractor。
- 在元数据平台中创建
admin用户并授权。 - 新增默认采集器并确认状态为“就绪”。
- 配置 AFC 单点登录参数,保证
app_code与 DAMP 中eos.application.sys-code一致。 - 在数据资产平台中完成元数据集成参数初始化。
平台参数重点:
metacube.isAlonemetacube.rmiportmetacube.rmihostmetacube.serverUrl
修改后需重启 DAMP。
# 5. 公共资源组件集成
如项目需要主题分类同步、公共资源数据源管理等能力,需额外完成:
- 解压
pubresmng_component_v8.3.3.0.zip。 - 拷贝 backend 驱动到 AFCENTER 的
lib目录。 - 解压前端资源
pubresmng_app.zip到 AFCENTER 前端目录。 - 在
afc库执行公共资源初始化脚本。 - 新增
application-pubresmng.properties并启用外置驱动目录。 - 配置元数据访问地址:
public-resource.database.metadata.mode=dgs
public-resource.database.metadata.url=http://127.0.0.1:28079/dgs
- 重启 AFCENTER。
# 6. 前端与 Nginx
- 部署
dam、dataService、dm,按项目需要再部署metrics、standard、ibi等前端资源。 - 确认
include /.../web/conf/*.conf已纳入 Nginx 主配置。 - 同步调整:
client_max_body_size- 反向代理地址
- HTTPS
- 安全响应头
- 防篡改头
# 7. 平台参数初始化
首次登录后,必须初始化以下平台参数:
- 元数据配置
- 服务引擎配置
- 搜索引擎配置
- 数据质量集成配置(如启用)
- 数据建模集成配置
- 公共资源集成配置
其中重点参数如下:
searchEngine.engineUrlsearchEngine.engineUserNamesearchEngine.enginePassworddataEngine.gatewayUrldataEngine.gatewayUatUrldataEngine.isNeedDevDAM_PUBLIC_RESOURCE.IS_OPENDAM_BUILD_MODEL.IS_OPENDAM_BUILD_QUALITY.IS_OPEN
注意:
- 修改元数据和搜索引擎配置后,建议重启 DAMP。
- ES 如启用了认证,必须同步在平台参数中填写账号密码。
# 8. 初始化 Elasticsearch 索引
在【数据资产】->【平台配置】->【系统工具】中执行:
- 资产 ES 初始化
- 标准 ES 初始化
- 知识库 ES 初始化
如未初始化,常见表现为资产目录、标准目录、知识库检索结果为空或不完整。
# 9. 权限初始化
至少为以下角色补齐系统权限:
- 资产管理员
- 资产部门管理员
- 资产普通用户
重点核对:
- 工作流程相关页面权限
- 应用管理相关功能权限
- 如启用数据质量,还需补齐质量应用权限
# 10. 首次启动特别说明
- 套件版首次启动会自动加载低开资源与素材库,启动时间会明显变长。
- 微应用版需要关注低开基线是否加载成功,以及素材库是否已按要求手动上传。
# 七、推荐上线顺序
建议按以下顺序执行上线:
- 准备数据库、Redis、Nacos、Nginx、ES、JDK。
- 初始化 EOS / AFCENTER / DAMP / BPS / lowcode / 公共资源 / 元数据数据库。
- 部署并配置 AFCENTER、BPS、DAMP、DataEngine。
- 部署并验证 MetaCube / DGS、Extractor。
- 部署前端与 Nginx 路由。
- 完成系统安全配置。
- 完成性能参数调优。
- 启动服务并完成平台参数初始化。
- 初始化 ES 索引。
- 补齐角色权限、管理员密码、登录安全策略。
- 执行功能验证、联通验证、压测与安全扫描。
# 八、上线验收清单
# 1. 连通性
- Nginx 门户可正常访问。
- DAMP、AFCENTER、BPS、DataEngine、DGS、ES、Redis、Nacos 全部可达。
- 平台内跳转元数据、服务引擎、公共资源页面正常。
# 2. 功能性
- 资产目录可检索。
- 标准目录可检索。
- 知识库可检索。
- 元数据采集可执行。
- 数据服务可发布、可调试、可授权。
- 流程待办、审批、发布链路正常。
# 3. 安全性
- 默认密码已修改。
- Redis/Nacos 已启用认证。
- Swagger、Actuator、SDK 白名单已清理。
- 上传白名单已生效。
- HTTPS 与防 iframe 配置已生效。
- 审计日志、水印、三员管理已开启。
# 4. 性能
- 已完成核心场景压测。
- 线程池、连接池、JVM、日志级别已按压测结果定型。
- 大查询、首页汇总、流程待办场景响应时间满足项目要求。
# 5. 运维
- 启停脚本、日志目录、备份目录、巡检方式已交接。
- ES 索引初始化与重建方法已记录。
- 平台参数修改后是否需重启的规则已明确。
# 九、参考资料
官方资料:
- EOS 8.3.3 安全配置:http://help.primeton.com/eos/8.3.3/faq_reference/security_config.html (opens new window)
- EOS 8.3.3 性能调优指南:http://help.primeton.com/eos/8.3.3/faq_reference/performance_tuning.html (opens new window)
仓库内资料:
# 十、结论
数据资产上线不能只看 DAMP 本身是否启动成功,还必须同时完成:
- EOS 通用安全加固
- EOS 通用性能调优
- 数据资产特有组件联通
- 平台参数初始化
- ES 索引初始化
- 权限与默认账号整改
建议项目把本文档作为投产前的统一检查单执行,并将实际环境参数、地址、账号策略、压测结论补充到项目实施文档中。