横切关注点

网络隔离

• VPC / VLAN 划分：生产环境与开发测试环境严格隔离，跨 VPC 通信通过 Peering 或 Transit Gateway
• 安全组与网络 ACL：基于最小权限原则，仅开放必要端口；东西向流量全量审计
• 微隔离：服务网格 (Istio) 层面实现工作负载间 mTLS 认证与细粒度授权
• 边界防护：WAF + DDoS 高防 + NGFW，南北向流量七层检测

主机安全

• HIDS (Host Intrusion Detection)：实时监控主机进程、文件完整性、网络连接异常
• 漏洞扫描：每 24 小时全量扫描 + 关键 CVE 即时推送，72 小时内修复 SLA
• 基线检查：等保三级 / CIS Benchmark 自动化基线巡检，偏离自动告警
• 主机加固：最小化安装、禁用 root SSH 密码登录、sudo 权限精细化管控

容器安全

• 镜像扫描：Harbor + Trivy 在构建时与仓库中双重扫描，阻止高危漏洞镜像部署
• 运行时安全：Falco 实时检测容器逃逸、反弹 shell、敏感挂载等异常行为
• Pod 安全策略：PSP / OPA Gatekeeper 禁止特权容器、限制 hostPath 挂载与 capabilities
• 容器网络策略：Calico NetworkPolicy 实现命名空间级微分段

密钥与证书管理

• 密钥管理：HashiCorp Vault + Cloud KMS 集中管理数据库密码、API Key、加密密钥
• 动态密钥：Vault Dynamic Secret 为数据库、消息队列按需签发临时凭证
• 证书管理：cert-manager 自动签发、续期与吊销 SSL/TLS 证书，支持 ACME 与私有 CA
• 轮换策略：密钥每 90 天自动轮换，证书自动续期前 30 天预警

数据分类分级

加密体系

• 传输加密：TLS 1.3 全链路覆盖，所有 API 通信强制 HTTPS；服务间通信使用 mTLS
• 存储加密：AES-256-GCM 对数据盘、对象存储 (S3/MinIO)、数据库表空间加密；KMS 托管密钥
• 内存加密：敏感数据在内存中使用加密缓冲区，用完即清除；机密计算 (Intel SGX/TDX) 可选
• 密钥轮换：主密钥年度轮换，数据密钥按月轮换

数据脱敏

• 动态脱敏：数据库代理层 (如 Bytebase) 根据用户角色实时遮盖敏感字段；非授权用户查询身份证、手机号显示为 139****1234
• 静态脱敏：离线的数据脱敏任务将生产数据清洗为测试数据；保留数据分布特征，消除可识别性
• 脱敏算法：遮盖、替换、泛化、置乱、令牌化 (Tokenization)

DLP 与审计

• DLP 策略：监控敏感数据的导出、下载、外发行为；匹配正则 / NLP 模式触发阻断或审批流
• 数据访问审计：全量记录谁（用户/服务账号）、何时、通过何方式、访问了何数据
• 操作审计：数据批量导出、模式变更、权限变更等高风险操作独立记入审计日志
• 审计日志保存：至少 180 天，支持导出至 SIEM 进行长期保留与关联分析

身份认证

• 单点登录 (SSO)：基于 OAuth 2.0 / OIDC 接入企业 IdP (Keycloak / Okta / Azure AD)
• LDAP / AD：支持 Active Directory 和 OpenLDAP 目录服务同步用户与组织架构
• API Key：服务调用方使用 API Key + Secret 签名认证，支持 Key 的创建、吊销与轮换
• 多因子认证：管理员操作和敏感接口强制 MFA (TOTP / WebAuthn / SMS)

权限授权

• RBAC：预置 admin / developer / viewer / operator 角色，支持自定义角色与权限粒度
• ABAC：基于属性的条件授权 (如仅允许在办公网络访问生产环境)
• ReBAC：基于关系图 (Google Zanzibar 风格) 实现资源层级授权
• 最小权限：默认 deny，按需授权；定期权限 Review (每季度)

输入与 API 安全

• 参数校验：服务端全量校验请求参数类型、长度、范围；拒绝畸形容负载
• SQL 注入防护：ORM 参数化绑定 + WAF SQL 注入规则 + 数据库层防火墙
• XSS / CSRF：输出编码 (Content-Security-Policy)、CSRF Token、SameSite Cookie
• 限流：基于令牌桶的 API 限流，按用户 / App / IP 分级配额；超限返回 429
• 防重放：请求携带 timestamp + nonce，服务端 5 分钟内去重
• 请求签名：API Key + HMAC-SHA256 对请求体签名，防止篡改

模型安全

• Prompt 注入防护：输入清洗层检测并拦截注入指令 (如 "忽略之前指令")，正则 + 语义模型双重过滤
• 越狱检测：基于分类模型 + 敏感词库实时判断用户意图是否为越狱尝试
• 有害内容过滤：输出侧安全检查，拦截涉政、色情、暴力、歧视等违规内容
• 模型红队测试：定期自动化红队测试，覆盖对抗样本边界

供应链安全

• 依赖扫描：自动扫描 Python (pip)、Node.js (npm)、Java (Maven) 等依赖库中的已知漏洞
• SBOM：构建产物自动生成 SPDX / CycloneDX 格式的软件物料清单
• 镜像签名：Cosign 对容器镜像进行数字签名，部署时验证签名有效性
• 准入控制：仅允许经过签名和扫描的镜像上线，否则拦截

安全监控 (SIEM)

• 集中日志收集：所有安全日志汇总至 SIEM (Splunk / ELK / Wazuh)
• 关联规则：基于 MITRE ATT&CK 框架构建检测规则，覆盖战术与技术全链路
• 仪表盘：安全运营态势、攻击热力图、资产暴露面、漏洞趋势
• 合规报告：自动生成等保 / ISO 27001 合规报表

威胁检测 (UEBA)

• 用户实体行为基线：基于历史数据勾勒正常行为画像 (登录时间、API 调用模式、数据访问量)
• 异常检测：偏离基线触发告警 (如凌晨大批量数据导出、异常地理位置登录)
• 无监督学习：聚类算法发现隐蔽攻击模式，减少人工规则盲区
• 告警降噪：通过 ML 模型对告警进行优先级排序，减少误报

事件响应 (SOAR)

• 剧本编排：预置常见安全事件响应剧本 (勒索软件、数据泄露、DDoS)
• 自动化处置：确认攻击 IP 自动添加至黑名单 / WAF 阻断；疑似失陷主机自动隔离
• 协同作战：事件驱动工单 (Jira / ServiceNow)，自动分配处置人员并跟踪闭环
• 事件复盘：每次安全事件生成事后分析 (Postmortem)，驱动改进

安全合规

• ISO 27001：信息安全管理体系认证，覆盖 ISMS、风险评估、持续改进
• 等保三级：国家网络安全等级保护三级要求，每年测评
• SOC 2：服务组织控制审计，覆盖安全性 / 可用性 / 保密性 / 隐私
• 渗透测试：每年至少一次外部渗透测试 + 每季度内部红蓝对抗
• 安全意识培训：全员年度安全培训，研发团队专项安全开发培训

GPU 集群总览

• GPU 使用率 (按节点 / 按 Pod)
• GPU 显存使用量与分配率
• GPU 温度与功耗
• GPU 故障与 XID 错误计数
• MIG 分区状态 (如启用)

推理服务监控

• 请求 QPS 与延迟 (P50 / P95 / P99)
• TTFT / TPOT / E2E 延迟分解
• 每秒输出 Token 数 (TPS)
• Batch 大小与 KV Cache 命中率
• 模型版本部署分布

API 网关总览

• 各路由 / 各模型的 QPS、延迟、错误率
• 限流触发次数与熔断状态
• 缓存命中率与回源率
• 上游后端健康检查状态
• 认证 & 授权成功率

应用层仪表盘

• 各业务线调用量趋势
• 用户维度请求分布
• 费用消耗趋势 (按项目 / 按模型)
• 错误分布与 Top 错误码
• 可用性 SLO 达成情况

Alertmanager 配置

• 告警分级：P0 (Critical) / P1 (Warning) / P2 (Info)
• 通知渠道：Feishu 群机器人、DingTalk 群机器人、WeCom 群机器人
• 升级机制：P0 5 分钟未确认自动升级至值班组长，15 分钟升级至负责人
• 静默规则：计划内维护可预先静默关联告警，静默到期自动恢复

告警路由示例

各阶段说明

• 代码提交：开发者向 feature branch 推送代码，自动触发流水线
• 构建：多阶段 Docker 构建，利用构建缓存加速
• 单元测试：pytest / Jest / JUnit，覆盖率阈值 80%
• 代码扫描：SonarQube (静态分析) + Semgrep (自定义规则)
• 镜像构建：Kaniko (无特权构建) + Cosign 签名
• 镜像扫描：Trivy 扫描 CVE，阻止 CRITICAL 漏洞镜像推送
• DEV 部署：自动部署至开发环境，运行 smoke test
• 集成测试：端到端测试 + 契约测试 (Pact)
• STAGING 部署：类生产环境，数据脱敏后测试
• 性能测试：k6 / Locust 压测，检查吞吐与延迟是否达标
• 安全测试：DAST (OWASP ZAP) + 依赖扫描
• 审批：人工审批 + 变更管理 (Change Advisory Board)
• PROD 部署：金丝雀发布 / 蓝绿部署 / 滚动更新
• 监控验证：部署后 30 分钟自动回滚如果关键指标恶化

MLOps 关键环节

• 数据版本化：DVC / LakeFS 管理数据集版本，数据与代码一同入 CI
• 模型训练：Kubeflow / Ray Train 分布式训练，超参数搜索 (Hyperparameter Tuning) 自动调优
• 模型评估：基于 holdout 测试集计算准确率 / F1 / BLEU / ROUGE 等指标；与基线模型对比
• 模型打包：将模型权重 + tokenizer + 配置文件打包为标准 MLflow / Triton ModelStore 格式
• 模型注册：MLflow Model Registry 管理模型版本、阶段 (Staging / Production / Archived)
• STAGING 部署：部署至灰度环境，接入影子流量 (Shadow Traffic) 验证
• A/B 测试：新模型 vs 基线模型在线对比，观察业务指标 (点击率 / 转化率 / 用户满意度)
• 审批：模型卡片 (Model Card) + 评估报告提审批，需 ML 负责人 + 业务方签字
• 全量部署：逐步放量 (10% -> 30% -> 100%)，每个阶段观察 24 小时

基础设施即代码

• Terraform：管理云资源 (VPC、ECS、RDS、SLB、NAT) 及 Kubernetes 集群
• Helm：Kubernetes 应用的包管理，Chart 版本化 + 环境差异化覆盖
• Kustomize：环境特定的 Kubernetes 资源配置覆盖 (dev / staging / prod overlay)
• 策略即代码：OPA / Kyverno 强制执行安全策略与合规规则

GitOps 工作流

• 所有基础设施声明存在于 Git 仓库 (infra.git)
• 修改通过 PR 提交，CI 自动执行 terraform plan / helm template --dry-run
• PR 审批合并后，ArgoCD / Flux CD 自动同步至集群
• 漂移检测：ArgoCD 每 3 分钟检测集群状态与 Git 声明是否一致，漂移自动修复
• 回滚：通过 git revert PR 快速回滚至前一版本

GPU 计算成本

最大成本项，占平台总成本的 55-65%

• 内部结算：按 GPU-hour 计费，不同 GPU 型号单价不同 (T4: $0.35/h, A100: $2.50/h, H100: $4.00/h)
• 分时定价：工作日 09:00-18:00 为峰值 (单价 x1.2)，18:00-09:00 及周末为谷值 (单价 x0.6)
• 空闲资源回收：
  • Scale to Zero：无请求时自动缩容至 0，结合 Serverless GPU
  • 自动降级：低负载时自动切换至更小规格实例
  • 碎片整理：定期回收利用率低于 10% 的 GPU Pod
• 实例混合：
  • Spot 实例 (竞价实例) 承载 Batch 推理与训练任务，成本降低 60-80%，需容忍中断
  • 预留实例 (Reserved) 覆盖核心在线服务，锁定 1-3 年折扣
  • 按需实例 (On-Demand) 应对突发流量
• 调度优化：Bin-packing 算法最大化 GPU 利用率；MIG / 时间片共享实现 GPU 超分

外部 API 成本

按 Token 计费，随用量线性增长

• 计费模式：按输入/输出 Token 数计费，不同模型定价不同 (GPT-4: $30/M input tokens, Claude 3: $15/M input tokens)
• 成本感知路由：简单查询 (分类、提取) 自动路由至小型/便宜模型 (如 GPT-4o-mini / Claude Haiku)，复杂推理走高端模型
• 用量预算：为每个团队/项目设置月度预算上限，达到 80% 发送预警，100% 阻断超额请求
• 缓存策略：语义缓存 (Semantic Cache) 命中相同语义的请求直接返回，减少 API 调用
• 批量折扣：与供应商谈判批量折扣 (Commitment Tier)，预估年度用量锁定优惠

存储成本

快速增长项，模型权重与数据集占主要部分

• 冷热分层：
  • 热存储：SSD / NVMe，存放高频访问的模型权重 (加载中模型)
  • 温存储：HDD / 标准对象存储，存放常用模型权重与训练数据
  • 冷存储：归档存储 / 磁带，存放历史模型版本与备份，成本为热存储的 1/10
• 模型权重生命周期：
  • 活跃期 (Active)：线上运行，存于热存储
  • 候选期 (Candidate)：备用回滚，存于温存储
  • 归档期 (Archived)：30 天无访问自动归档至冷存储
  • 删除期：归档 180 天后自动清理，或人工确认后删除
• 数据压缩：模型权重使用 FP16 / INT8 / NF4 量化压缩；数据集使用列式压缩 (Parquet / ZSTD)
• 去重：基于内容哈希 (SHA256) 的全局去重，避免同一文件多个版本重复存储

网络成本

随模型分发和推理规模增长

• CDN 分发：模型权重通过 CDN (CloudFront / CloudFlare) 分发至边缘节点，减少回源带宽
• 跨区域优化：
  • 多区域部署：在靠近用户的 Region 部署推理节点，减少跨区域流量
  • 训练数据本地化：在数据所在 Region 训练，避免跨区域传输
• 私有网络：使用 Direct Connect / VPN 建立私有连接，避免公网流量费用
• 负载均衡：智能 DNS 解析将用户路由至最近可用节点

命名空间级隔离

• 每个租户独占一个 Kubernetes Namespace
• ResourceQuota 限制租户的 CPU / GPU / 内存 / 存储 / 最大 Pod 数
• LimitRange 设置每个 Pod 的默认资源请求与上限
• NetworkPolicy 禁止跨 Namespace 通信 (除共享服务外)
• 租户数据 (模型权重、向量数据库、配置文件) 被限制在 Namespace 内

资源配额管理

网络策略

• 默认策略：deny-all，白名单方式开放通信
• 允许同租户内 Pod 通过标签选择器互相通信
• 允许出站访问共享服务 (DNS、NTP、监控、日志)
• 禁止跨租户访问数据库、对象存储和推理端点
• 外部访问通过 Ingress / Gateway API 统一暴露

支持的认证协议

• OAuth 2.0 / OIDC：主协议，对接 Keycloak / Okta / Azure AD / Auth0
• LDAP：兼容 Active Directory 和 OpenLDAP，同步用户与组织架构树
• SAML 2.0：支持企业 IdP (如 ADFS、OneLogin) 的 SAML 断言认证
• SCIM：用户/组自动同步 (入向 + 出向)，企业 IdP 变更即时生效

认证流程

1. 用户访问平台 WebUI，重定向至企业 IdP 登录页
2. 用户在企业 IdP 完成认证 (支持 MFA)
3. IdP 签发 ID Token + Access Token，重定向回平台
4. 平台验证 Token 签名和 claims，提取用户身份和角色信息
5. 平台根据用户角色映射本地 RBAC 权限，签发会话 Token
6. 后续请求携带会话 Token，平台拦截器校验权限后放行

数据分类与定级

• 自动分类引擎：基于正则 + NLP 对数据资产自动打标 (PII、PCI、PHI)
• 手动定级：数据 Owner 可在平台手动指定数据级别，覆盖自动分类结果
• 标签传播：数据血缘链路中，源数据标签自动传播至下游派生数据
• 分级审批：访问 L3 (敏感) 及以上数据需提审批单，L4 (绝密) 需双人审批

数据脱敏规则

数据血缘追踪

• 采集：OpenLineage / Apache Atlas 自动采集 ETL 作业、模型训练、推理请求的数据血缘
• 存储：Neo4j 图数据库存储血缘关系，支持上游追溯 (Impact Analysis) 和下游追溯 (Lineage)
• 可视化：WebUI 展示数据流 DAG，支持交互式展开/折叠
• 影响分析：当源表发生 Schema 变更时，自动通知所有下游消费者

数据质量监控

• 完整性：空值率、缺失率监控
• 准确性：数值范围校验、枚举值合法校验
• 一致性：跨表外键约束核对、ETL 行数对账
• 及时性：数据延迟监控 (Data Freshness SLA)
• 唯一性：主键重复检测、业务唯一约束验证
• 质量看板：每张表/数据集的数据质量评分 (0-100)，低于阈值自动告警

URL 规范

• 资源路径：/api/v1/{resource}[/{resource_id}]
• 操作通过 HTTP 方法表达 (GET / POST / PUT / PATCH / DELETE)
• 子资源：/api/v1/models/{model_id}/versions/{version_id}
• 查询参数用于过滤、排序、分页：?page=1&size=20&sort=created_at:desc
• 动词转为名词：deploy 操作通过 POST /api/v1/models/{id}/deployments

请求 & 响应规范

• 请求体：JSON (Content-Type: application/json)
• 响应结构：
  { "code": 0, // 业务状态码，0 为成功 "message": "success", "data": { ... }, "trace_id": "a1b2c3d4" }
• 错误码规范：ERR_XXX 格式，附带 human-readable 描述
• 分页响应包含 total / page / size / items
• API 版本化：通过 URL 路径 (v1, v2) 管理，废弃版本至少维护 6 个月

接口文档 & 契约

• OpenAPI 3.0 规范定义所有 API，源码生成 (注解驱动)
• Swagger UI / Redoc 在线文档，支持 Try-it-out 调试
• 契约测试：Pact 框架维护消费者驱动契约
• SDK 自动生成：基于 OpenAPI Generator 自动生成多语言 SDK

Python SDK (ai-platform-sdk)

• 安装：pip install ai-platform-sdk
• 功能覆盖：模型调用、模型管理、数据集管理、监控查询、计费查询
• 同步 + 异步 (asyncio / httpx) 双模式
• 自动重试 (指数退避) + 连接池管理
• 类型提示全覆盖，Pydantic 模型定义
• 示例：
  from ai_platform import AIPlatform client = AIPlatform(api_key="sk-xxx") response = client.models.infer( model="gpt-4o", messages=[{"role": "user", "content": "Hello"}], stream=True ) for chunk in response: print(chunk.text, end="")

TypeScript SDK (@ai-platform/sdk)

• 安装：npm install @ai-platform/sdk
• 功能覆盖：模型调用、流式响应、WebSocket 管理、Webhook 注册
• 完整 TypeScript 类型定义
• Tree-shakeable：按需引入子模块
• 示例：
  import { AIPlatform } from '@ai-platform/sdk'; const client = new AIPlatform({ apiKey: 'sk-xxx' }); const stream = await client.models.infer({ model: 'gpt-4o', messages: [{ role: 'user', content: 'Hello' }], stream: true, }); for await (const chunk of stream) { process.stdout.write(chunk.text); }

协议说明

• 端点：wss://api.platform.io/v1/ws/infer
• 认证：连接时携带 Token 或 API Key (query param)
• 消息格式：JSON 帧，包含 type / data / id
• 消息类�