环境要求
部署 Crest 前需要确认的服务器、端口、Docker、数据库和安全要求。
在安装 Crest 前,先把服务器和运行环境准备好。准备不充分会导致安装脚本失败、服务启动后无法访问、数据源连接异常或后续升级困难。
本页是部署前准备清单,建议在执行安装脚本前完成确认。生产环境应提前确认服务器规格、访问域名、数据库方案、密码密钥和备份策略。
部署准备最终要落到一个可访问的系统入口。下面的登录页用于说明上线后用户看到的第一个页面,因此域名、HTTPS、Logo、系统名称和登录方式都要在部署前规划好。
如果登录页使用 IP、临时端口或测试名称,后续再切换到正式域名时,SSO 回调、分享链接、Cookie 和反向代理配置都可能需要一起调整。
服务器建议配置
| 项目 | 最低建议 | 生产建议 |
|---|---|---|
| CPU | 2 核 | 4 核及以上 |
| 内存 | 4 GB | 8 GB 及以上 |
| 磁盘 | 20 GB 可用 | 100 GB 及以上,独立数据盘更稳 |
| 操作系统 | Linux x86_64 或 arm64 | 稳定发行版,纳入补丁管理 |
| 容器运行时 | Docker + Docker Compose | 统一版本、统一镜像源 |
磁盘空间需要覆盖应用镜像、MySQL 数据、上传文件、导出文件、日志和备份。演示环境可以较小,生产环境不要按最低配置规划。
生产环境规划时,至少按三类容量估算磁盘:数据库增长、上传和导出文件增长、备份保留。仅按安装包大小预留磁盘,后续容易在导出任务、日志和数据库增长时出现容量风险。
容量估算示例:
| 内容 | 估算方式 |
|---|---|
| 元数据库 | 按资源数量、审计日志、分享记录、缓存配置、缓存表和同步任务记录增长 |
| 上传文件 | 按 Excel/CSV、图片、字体和附件大小增长 |
| 导出文件 | 按导出频率、导出格式和保留周期增长 |
| 日志 | 按访问量、排错级别和保留天数增长 |
| 备份 | 至少覆盖数据库、配置、上传目录和关键安装文件 |
网络和端口
| 端口 | 用途 | 是否必须开放 |
|---|---|---|
8100 | Crest Web 默认端口 | 对用户访问入口开放 |
3306 | MySQL 默认端口 | 仅 Crest 到数据库需要 |
如果使用反向代理,用户只访问代理地址,Crest 端口可以只对代理服务器开放。数据库端口不建议暴露给普通办公网段。
网络规划建议按“用户访问”和“系统访问”分别确认。用户只需要访问 Crest 的 Web 地址;Crest 服务本身还需要访问元数据库、业务数据源、SSO 身份平台、镜像仓库或企业代理。部署失败的常见原因不是 Web 端口未开放,而是只放通了用户访问链路,未放通系统依赖链路。
部署前建议在目标服务器上确认端口:
ss -lntp | grep 8100 || true
ss -lntp | grep 3306 || true如果端口已被占用,先确认占用进程,再决定是释放端口还是修改 Crest 配置。不要安装完成后再临时换端口,SSO 回调、分享地址和反向代理都可能要跟着改。
域名和 HTTPS
生产环境建议提前准备:
- 固定域名,例如
https://bi.example.com。 - 有效 HTTPS 证书。
- 反向代理或 Ingress。
- Crest 的允许来源配置。
- SSO 回调地址。
如果后续才切换域名,分享链接、SSO 回调和浏览器缓存都可能需要重新检查。
如果项目计划对外公开访问,域名和 HTTPS 不要留到最后处理。SSO、分享链接、反向代理、Cookie 和允许来源都依赖最终访问地址。测试阶段可以用 IP,正式交付时应固定到域名。
数据库要求
Crest 单机安装默认内置 MySQL。生产环境也可以接入外部 MySQL。
外部 MySQL 建议:
- MySQL 8.0 或兼容版本。
- 使用
utf8mb4字符集。 - 提前创建数据库。
- 使用专用账号,不复用 DBA 账号。
- 纳入数据库备份和监控。
- 如启用 MySQL 数据集缓存,预留缓存表容量和同步任务执行窗口。
创建数据库示例:
CREATE DATABASE crest
DEFAULT CHARACTER SET utf8mb4
COLLATE utf8mb4_0900_ai_ci;数据库账号建议只授予 Crest 所需权限。不应使用 root 账号,也不应复用其他系统账号。数据库密码、连接地址和备份策略应由数据库负责人纳入统一管理。
密码和密钥要求
部署前请明确以下值如何生成、保存和备份:
| 项目 | 说明 |
|---|---|
| 管理员初始密码 | 用于首次登录,登录后应立即修改 |
| MySQL 密码 | 用于 Crest 连接元数据库 |
| 加密模式 | CREST_CRYPTO_MODE,默认 standard;需要 SM2、SM3、SM4 时设为 sm-suite |
| AES Key | 用于加密保存敏感配置 |
| AES IV | 与 AES Key 配套使用 |
| SM4 Key | sm-suite 国密模式使用,必须作为生产密钥保存 |
不要随意修改加密密钥
已有环境升级或迁移时,AES Key、AES IV 和国密模式下的 SM4 Key 必须保持一致。修改后,已保存的数据源密码、SSO Client Secret 等密文可能无法解密。
国密模式说明
Crest 支持两种加密模式:
| 模式 | 适用场景 | 说明 |
|---|---|---|
standard | 默认部署、常规内网和私有云环境 | 使用默认加密链路,安装脚本可自动生成 AES Key 和 AES IV |
sm-suite | 需要 SM2、SM3、SM4 的项目 | 登录传输使用 SM2,密码使用 SM3 迭代哈希,敏感配置使用带随机 IV 和 HMAC-SM3 完整性校验的 SM4 密文保存 |
启用国密模式不会改变业务用户的操作方式。用户仍按相同路径创建数据源、数据集、仪表盘、大屏、分享和导出;管理员仍在系统管理中配置账号、角色、权限、SSO 和审计。需要变化的是部署前必须明确 CREST_CRYPTO_MODE=sm-suite,并安全保存 CREST_SM4_KEY。
生产环境建议
sm-suite 模式下如果 CREST_SM4_KEY 为空,安装脚本可以生成 16 位 Key。但正式环境建议在安装前由运维或密钥系统生成并记录,避免只依赖终端输出。
安装前检查命令
docker version
docker compose version
df -h
free -h
ss -lntp | grep 8100 || true如果 8100 已被占用,请在安装前修改端口配置。
检查命令执行后,应记录结果:
| 检查项 | 通过标准 |
|---|---|
| Docker | 能显示客户端和服务端版本 |
| Docker Compose | 能显示版本号 |
| 磁盘 | 安装目录所在分区空间充足 |
| 内存 | 不低于部署规格要求 |
| 端口 | Crest 对外端口未被占用 |
| 网络 | 服务器能访问镜像仓库或已准备离线包 |
这些记录可纳入部署验收表,便于后续排查安装失败和环境差异。
准备完成的判断标准
安装前可按以下标准判断是否准备到位:
| 项目 | 达标表现 |
|---|---|
| 访问地址 | 已确认最终端口或域名,反向代理方案明确 |
| 运行环境 | Docker、Compose 或 Kubernetes 集群已验证 |
| 数据库 | 内置或外部 MySQL 方案已确定,生产库已备份规划 |
| 密钥密码 | 初始密码、数据库密码、加密模式、AES Key、AES IV、SM4 Key 已生成并安全保存 |
| 网络 | 用户访问、数据库访问、SSO 回调、镜像拉取都已确认 |
| 运维 | 日志、备份、升级窗口、应急联系人已明确 |
满足这些条件后再安装,后续变更成本会更低。尤其是加密模式、AES Key、AES IV、SM4 Key、域名和数据库方案,部署后再调整成本较高。