# 架構工程師 👨‍💻Engineer: Alief 🧑‍💼Manager: 陳厚陽 🧑‍✈️Supervisor: 劉宇倫 ## Week 1 ### 1. 工作主軸 聚焦「BIM Marketplace 部署前置基礎設施」：完成 Windows Server 2022 上 FTP（使用者隔離）與 IIS Web 服務初始安裝，已綁定公網網域，為後續安全強化（Firewall 規則 / SSL / 應用正式部署）奠定底座。對外可用性暫受防火牆與憑證阻塞，策略性延後處理以先確保核心服務正確啟動與結構清晰。 ### 2. 已完成事項 - 作業系統基礎：Windows Server 2022 啟用並可本機驗證服務。 - FTP 服務： - IIS 角色中安裝 FTP 元件。 - 建立專用 FTP 使用者帳號 + 對應同名隔離目錄（User Isolation 結構）。 - 初步驗證登入與上傳路徑權限（內部測試成功）。 - Web（IIS）服務： - 安裝 Web Server (IIS) 角色。 - 建立站台並綁定網域（HTTP 預設頁可回應）。 - 確認基本路由與內容提供正常（僅 HTTP / 未加密）。 - 網域解析：公網網域指向主機 IP；基礎 DNS 指向已生效。 - 記錄：操作步驟、截圖、配置過程已形成文件（利於後續審計與複現）。 3. 風險 / 待辦 - 防火牆 / 網路： - Draytek Vigor 2962 原有規則遺失（硬體重置）→ 需重建 Port Forward / ACL。 - 對外服務全面阻塞 → 阻擋驗證流程（HTTPS / FTPS）。 - 建議：建立「最小放行矩陣」（80/443/21/990 或改 FTPS Explicit 21 + TLS），RDP 僅允許白名單 IP；同時備份設定檔（避免二次重設損失）。 - 傳輸安全： - 目前 FTP 應避免純明文；優先改 FTPS（或考慮 OpenSSH SFTP 以簡化 TLS 維運）。 - 無正式憑證（僅自簽）→ 瀏覽器警告 / 無法上 Production。 - 建議：Cloudflare（Full 或 Full Strict）+ Origin Cert 或 Let’s Encrypt（win-acme 自動續期）。 - 憑證營運：需建立自動續期與到期監控（避免服務中斷）。 - 權限與隔離： - FTP 使用者檔案系統 ACL 是否嚴格（唯讀/寫入邊界）未述。 - 建議：最小權限（僅對應目錄 Modify，不給更高層遍歷）。 - 審計 / 監控缺口： - 尚未部署集中日誌（IIS / FTP / Security Event）與異常警示。 - 建議：Windows Event Forward / Sysmon + 上傳至 SIEM（或最低限度匯出日誌定期備份）。 - 應用部署前差距： - 無自動化（手動點選式安裝）→ 後續擴展 / 回滾成本高。 - 建議：記錄 PowerShell 腳本化（IIS Site、FTP 用戶、Firewall 規則）。 - 安全基線： - TLS 版本、弱 Cipher、IIS 預設 Modules、Directory Browsing、Request Filtering 未審視。 - 建議：套用 CIS Benchmark 參考（關閉未使用模組 / 僅 TLS 1.2+）。 - 災難復原： - 尚無：系統映像備份 / 配置快照 / 憑證與機密離線備份。 - 建議：部署前完成初始「可回滾快照」。 - 後續風險（若直接上線）： - 未加密傳輸（MITM） - 未受監控（入侵延遲發現） - 設定漂移（缺版本化） ### 3. 詳細內容: [工作周誌1](https://hackmd.io/@KqMKTK01Re2cY8L9F63QMQ/ry4UHVqHle) ## Week 2 ### 1. 工作主軸 聚焦「BIM Marketplace 架構戰略轉向」：由原 Windows Server + FTP/IIS 方案改為 Ubuntu + Docker 容器化；服務拆分為 Frontend / Backend / Database / SFTP，採 Docker Compose 協同。決策以 SFTP（單一 22 埠、SSH 加密）取代 FTP/FTPS，並建立後續安全與自動化（鏡像掃描 / 權限 / 部署流程）基礎。 ### 2. 已完成事項 - 完成容器化高階架構藍圖（服務拆分 & Compose 規劃方向）。 - 確立 SFTP 取代 FTPS 的安全與維運理由（端口簡化 / Key 驗證）。 - 研究並整理 SFTP 使用者 / 目錄 / 權限隔離流程（待容器化實作）。 - 安裝並測試 Docker Engine、buildx、scout（初步鏡像掃描概念導入）。 - 建立 Docker 常用指令 Cheat Sheet（pull / run / exec / images / ps / buildx / scout 等）。 - 初步評估後續需要：多階段建置、Base Image 精簡、安全與密鑰管理策略。 ### 3. 詳細內容: [工作周誌2](/XmZd1IFlTQyFlV9OVJQ32Q) ## Week 3 ### 1. 工作主軸 - 新醫院標案：系統設計基礎研究（擴展、高可用、快取、負載平衡、CAP、資料庫擴充）。 - BIM Marketplace：完成網路與安全入口（防火牆、DNS、SSL、VM Port Forwarding），準備部署應用。 ### 2. 已完成事項 - 系統設計重點整理：四支柱、CAP、SLO/可用性、Throughput / Latency、通訊模型（HTTP / WebSocket / REST / GraphQL / gRPC）、快取/CDN、Proxy、負載平衡策略、資料庫擴展（Replication / Sharding / Index / ACID）。 - 研究筆記可轉技術規格（待出正式文件與架構圖）。 - VMware→Ubuntu Port Forwarding + Windows 防火牆暫時放行。 - DNS 解析與 SSL 佈署完成，伺服器可用公開網域安全存取。 - 專案狀態：Hospital Tender＝研究收斂中；BIM Marketplace＝即將部署 Next.js。 - 無重大阻礙；下週：部署應用 / 起草架構圖 / 啟動監控方案調研。 ### 3. 詳細內容: [工作周誌3](/nPpIYNIRR0W6AAo_sf1jyA) ## Week 4 ### 1. 工作主軸 - BIM Marketplace：完成對外可用且安全的網路與域名入口（防火牆 Draytek Vigor 2962 Port Redirection、Cloudflare DNS、SSL）。 - 版本控制能力提升：系統性 Git 研讀，為後續部署與協作流程建立基礎。 ### 2. 已完成事項 - 防火牆規則設定（HTTP/HTTPS Port Redirection），建立公開安全通路。 - Cloudflare 設定：域名解析 + 憑證（HTTPS）完成。 - Git 核心/進階概念研讀：提交（commit）、分支（branch）、合併（merge）、rebase、變更回退（reset / revert）、cherry-pick、互動式 rebase。 - 基礎設施狀態：部署環境就緒，待推送容器化 Next.js。 - 無重大阻礙；下週：部署應用 / 制定分支策略 / 初步 smoke test。 ### 3. 詳細內容: [工作周誌4](/_Gicv1ULQVqP5JnKUWda_g) ## Week 5 ### 1. 工作主軸 - Digital Twin：系統架構 / UML / 商業模型 / Database 初版設計，奠定產品與技術藍圖。 - BIM Marketplace：佈署基礎升級，導入 CI/CD（Dokploy）與監控（Grafana），準備首版應用釋出。 ### 2. 已完成事項 - Digital Twin 架構產出：系統架構圖、Activity / Use Case 圖。 - 商業策劃：Business Model Canvas、Pitch Deck、競品分析、差異化價值整理。 - Database 初版 Schema（類別/關聯研究）完成。 - BIM Marketplace：伺服器安裝 Dokploy（CI/CD）與 Grafana（監控）。 - 狀態：Digital Twin 進入 PRD 精修；Marketplace 待部署首版。 - 無重大阻礙；下週：部署 Marketplace MVP / 優化 Digital Twin DB 設計 / 建立監控基準值。 ### 3. 詳細內容: [工作周誌5](/Rir22Lh9Qu68CPjhGdFrZg) ## 設定記錄: [帳號整理](https://hackmd.io/@KqMKTK01Re2cY8L9F63QMQ/H12wSwsHex) ## 延伸研究 * [5G O-RAN](/hH6EW-KkQveP1W2RGdceJg) * [BIM](/0_Ds96XLT32RnzSSa9CCqA)