AskTable 企业级产品架构说明

面向：大型企业 IT 部门 / 内部产品经理
主题：私有化部署、系统集成、数据安全与开放接口

1. 文档摘要

AskTable 是部署在企业现有数据体系之上的 AI 数据分析层。它不替代企业已有的数据库、数据仓库、ERP、CRM、BI 或飞书等办公系统，而是把这些系统中的结构化数据、组织身份和业务问题连接起来，让员工可以用自然语言在权限范围内查询数据、分析原因、生成报告，并把分析能力接入已有业务系统和 Agent 工作流。

对大型集团型企业，AskTable 的架构重点不是“再建一个数据平台”，而是回答四个问题：

1. •数据是否可以留在集团可控环境内。
2. •如何对接集团已有数据库、数据仓库、飞书和内部应用。
3. •如何控制不同员工只能看到自己有权限的数据。
4. •如何通过 OpenAPI 和 CLI 让内部系统、开发者和 Agent 调用 AskTable 能力。

AskTable 支持私有化部署，可部署在企业内网、私有云或指定的云资源中，企业核心数据可以继续保留在原数据库、数据仓库和业务系统中，并可按企业要求选择集团自有大模型或阿里云百炼 / 通义千问等模型服务。

2. 私有化部署与数据安全边界

AskTable 的私有化部署模式适合集团型企业和对数据安全有明确要求的业务场景。系统整体部署在客户控制的网络环境中，数据库连接配置、元数据、权限策略、用户会话、AI 数据表和分析过程数据均由企业自行管理。

2.1 部署边界

典型部署方式如下：

• •AskTable 应用服务部署在企业内网或私有云中。
• •企业数据库和数据仓库继续保留在原有网络区域中。
• •AskTable 通过内网安全策略访问被授权的数据源。
• •PostgreSQL 用于保存 AskTable 的业务配置、元数据、权限、会话、AI 数据表等平台数据。
• •Redis 用于任务队列、实时消息、缓存和飞书网关通信。
• •大模型可以选择集团内部模型，也可以通过受控出口访问阿里云百炼 / 通义千问等模型服务。

部署方式可根据企业环境选择单机、私有云、集团统一容器平台或指定云资源。

2.2 数据安全原则

AskTable 在企业侧建议按以下原则落地：

• •数据源最小授权：连接企业数据库时优先使用只读账号，并按业务场景限制库、Schema、表、字段访问范围。
• •权限前置：用户身份、角色和数据策略先被解析，再进入数据查询和 AI 分析流程。
• •数据不复制为默认策略：对大库、数仓和业务系统数据，AskTable 默认以连接查询为主，不要求把全量数据搬进 AskTable。
• •可控存储：需要由 AskTable 托管的小规模业务数据、Excel / CSV 数据、补充表，可存入 AskTable 内置 AI 数据表，仍位于客户私有化部署环境内。

2.3 大模型部署选择

AskTable 不绑定单一模型厂商。企业可根据安全等级选择：

3. 物理部署架构

下面是面向企业私有化部署的建议物理架构图：

3.1 网络分区建议

建议企业侧按三层网络边界规划：

1. •用户访问区：员工浏览器、飞书、内部系统、Agent 工具通过统一入口访问 AskTable。
2. •AskTable 服务区：部署 Web/API、Worker、Feishu Gateway、Python 沙箱等应用组件。
3. •数据与模型区：企业数据库、数据仓库、内部模型服务、PostgreSQL、Redis 等受保护资源。

AskTable 应用层应通过安全组、防火墙、数据库白名单和 API 网关访问数据区。生产数据库建议使用只读账号或受限视图，避免 AI 分析链路具备写入生产数据的权限。

4. 与内部系统的集成方式

AskTable 面向企业集成提供三类入口：飞书入口、内部应用嵌入入口、OpenAPI / CLI 入口。

4.1 飞书机器人集成

AskTable 可以与飞书 IM 打通，把数据分析能力放到员工日常沟通入口中。

典型使用方式：

• •员工在飞书中向 AskTable 机器人提问。
• •AskTable 根据用户身份、绑定的数据智能体、数据源和权限策略执行查询。
• •分析结果返回到飞书对话中，支持继续追问。

适合场景：

• •营销部门在飞书里快速分析数据指标。
• •管理层通过飞书触发经营日报、异常分析或专项报告。
• •业务群里围绕同一个问题持续追问和复盘。

4.2 飞书组织账号与权限控制

AskTable 支持通过 SSO / 第三方身份体系接入企业账号，并可批量导入第三方平台可见用户。对企业场景，可以将飞书作为员工身份来源。

接入后的权限控制链路为：

1. •用户通过飞书访问 AskTable 的智能体。
2. •AskTable 识别用户身份，并映射到角色。
3. •角色绑定访问策略，策略定义可访问的数据源、Schema、表、字段和行过滤条件。
4. •查询在权限范围内执行。

这意味着同一个问题，不同人问，答案可以不同。例如：

• •一线员工只能看本人或本门店数据。
• •区域负责人只能看自己区域。
• •总部运营可以看全国经营数据。

4.3 嵌入到企业已有业务系统

企业已有内部系统中可能已经沉淀了大量业务流程和用户入口。AskTable 可以通过嵌入式集成或 API 集成，把数据智能体放进用户熟悉的界面中。

这种方式的价值是：终端用户不需要切换到一个陌生的新系统，而是在原有业务页面里直接使用 AskTable 的智能体能力。

4.4 与已有数据智能体平台融合

如果企业内部已经有统一的数据智能体平台，AskTable 可以作为一个广告投放数据分析能力模块接入。

这种集成通常有两种方式：

从落地效率和产品完整性看，建议优先采用第一种“AskTable 前端 UI + 后端能力一体化嵌入”的方式。原因是 AskTable 的问数、追问、图表、过程解释、报告生成、权限提示等交互是一个完整闭环，前后端一起接入可以减少重复开发和接口适配成本，也更容易保证分析体验的一致性。

为了适配企业现有平台，AskTable 的嵌入式 UI 保持通用、克制的视觉风格，不强行占用客户平台的品牌表达。它可以像一个内嵌工作台或侧边栏一样进入原有系统，在视觉上不突兀，在能力上保持 AskTable 自身的完整性。

同时，AskTable 并不关闭 API 模式，企业可在任意合适的时机调整为第二种集成方式。

5. 数据接入架构

AskTable 支持三类数据进入分析链路：外部数据库 / 数据仓库、脚本导入的第三方数据、内置 AI 数据表。

5.1 连接企业数据库与数据仓库

AskTable 支持 20 多种企业常见数据库、数据仓库和文件数据源，包括：

• •关系型数据库：MySQL、PostgreSQL、Oracle、SQL Server、OceanBase、TiDB、达梦、虚谷、MogDB、GaussDB、TDSQL、人大金仓、GBase、YashanDB 等。
• •数据仓库与大数据平台：ClickHouse、StarRocks、Doris、Hive、MaxCompute、Hologres、AnalyticDB、Databend、SelectDB、Greenplum、GaussDB(DWS) 等。
• •文件与在线表格：Excel、CSV、飞书多维表格。
• •DAP 数据访问协议：用于暂未原生支持的数据源，或需要通过业务系统中转访问数据库的安全场景。

5.2 通过脚本导入第三方数据

对没有标准数据库连接的数据，企业可以通过脚本或同步任务导入 AskTable。

适合场景：

• •第三方 SaaS 平台导出的经营数据。
• •行业平台数据，例如电商后台、广告投放平台、售后系统导出数据。
• •按天、按周生成的业务文件。
• •需要先清洗、合并、转换后再分析的数据。

AskTable 内置 Python 执行沙箱，可用于数据处理、文件解析和导入流程。建议生产环境中由 IT 统一管理脚本来源、运行权限、网络访问和执行资源。

5.3 内置 AI 数据表

AskTable 也内置 AI 数据表能力，用于保存不适合直接放入企业数仓、但又需要被业务持续使用的数据。

典型场景：

• •小型业务台账。
• •Excel / CSV 导入后的持续维护数据。
• •POC 阶段的试点数据。
• •业务补充维表、映射表、规则表。
• •需要让 AI 持续查询和分析的轻量数据集。

AI 数据表的价值在于：企业不必一开始就建设完整数仓，也可以从一张业务表开始，让数据被存储、建模、解释并用于问数、看板和智能体应用。

6. 权限、治理与审计

企业 AI 数据分析不能只看模型是否会生成 SQL，更重要的是每一步是否在企业治理规则内运行。

AskTable 的权限治理包括：

• •项目级隔离：按部门、业务线、场景划分项目空间。
• •数据源权限：控制角色能访问哪些数据库、数据仓库和文件数据。
• •Schema / 表 / 字段权限：控制可见范围，避免敏感字段被召回或查询。
• •行级过滤：按员工、门店、区域、经销商、组织编码等变量限制数据范围。
• •角色策略：将多个权限策略绑定到角色，并在查询时按用户身份生效。

对企业 IT 部门而言，关键不是让 AI “会分析”，而是让 AI “在正确权限下分析数据”。

7. 高可用与运维架构

AskTable 的部署依赖简单，便于纳入集团现有运维体系。

7.1 数据库和缓存

私有化部署可复用集团内部已有的基础设施：

• •PostgreSQL（支持 PGVector）：保存平台业务数据、配置、元数据、权限、会话和 AI 数据表。
• •Redis：承担任务队列、实时消息、缓存、飞书网关通信等能力。

如企业内部已有高可用 PostgreSQL 和 Redis 集群，可以优先复用，AskTable 只需配置连接地址和访问凭证。

7.2 应用服务无状态

AskTable 的 Web/API 服务、Worker、Feishu Gateway 等应用组件可以按无状态方式部署：

• •多实例部署在 Kubernetes、私有云或虚拟机集群中。
• •前端通过负载均衡或 API 网关访问。
• •应用实例故障后可快速重启或替换。
• •横向扩容主要通过增加应用实例和 Worker 数量实现。

7.3 Docker 部署

AskTable 支持 Docker 部署，Docker Compose 可以拉起完整服务，适合 POC、测试环境和小规模私有化环境。生产环境可基于同样的容器镜像迁移到 Kubernetes 或集团统一容器平台。

建议部署流程：

1. •POC 阶段使用 Docker Compose 快速部署。
2. •联调阶段接入集团 PostgreSQL、Redis、飞书和测试数据源。
3. •生产阶段纳入集团统一运维，包括镜像仓库、日志、监控、备份、告警和变更管理。

8. OpenAPI、CLI 与 Agent 接入

AskTable 面向开发者和 Agent 提供三层开放能力：OpenAPI、Python SDK 和 AskTable CLI。

8.1 OpenAPI / SDK

AskTable 基于标准 API 服务提供能力，私有化部署后可在内网访问 API 文档。API 覆盖数据源、元数据、权限角色、策略、智能体、对话、技能、模型组、看板等核心资源。

可直接查看 AskTable OpenAPI 文档。

AskTable 在 OpenAPI 的基础上封装了易用的 SDK，可以直接安装使用。Python SDK 可在 PyPI 查看并安装，源码可参考 asktable-python GitHub 仓库。

典型用途：

• •内部系统创建数据智能体或会话。
• •内部系统调用 AskTable 完成问数、分析和结果回传。
• •IT 平台自动化配置数据源、角色、权限策略。
• •集团已有 AI 平台（Agent）把 AskTable 作为结构化数据分析工具调用。

8.2 AskTable CLI

AskTable CLI 面向开发者、运维人员和 Agent 使用，支持通过命令行管理和调用 AskTable。

CLI 的使用人群可以分为两类：

这使 AskTable 不只是一个 Web 产品，也可以成为集团内部 Agent 体系中的结构化数据分析工具。

9. 总结

AskTable 面向大型企业的价值，不是提供一个独立的“AI 聊天框”，而是在集团已有 IT 架构之上，增加一层可私有化、可治理、可嵌入、可被 Agent 调用的 AI 数据分析能力。

它可以：

• •部署在企业可控环境内，满足数据安全要求。
• •连接集团已有数据库、数据仓库、文件、飞书和内部系统。
• •通过组织身份和角色策略控制每个人能看到什么。
• •支持飞书机器人和内部应用嵌入，让用户在熟悉入口中使用。
• •提供 OpenAPI、SDK 和 CLI，让内部开发者和 Agent 把 AskTable 作为结构化数据分析工具调用。
• •通过 PostgreSQL、Redis 和无状态应用服务，适配集团现有高可用和运维体系。

AskTable 的架构目标，就是把 AI 问数、归因和报告能力接入企业真实经营系统（真实网络、真实权限、真实数据源和真实业务流程）。