功能总览 功能总览 全部 云防火墙 弹性公网IP防护 VPC间边界防护 访问控制策略 黑/白名单 IP地址组 服务组 入侵防御策略 日志审计 扩容弹性公网IP的防护个数 云防火墙 云防火墙（Cloud Firewall，CFW）是新一代的云原生防火墙，提供云上互联网边界和VPC边界的防护，包括实时入侵检测与防御、全局统一访问控制、全流量分析可视化、日志审计与溯源分析等，同时支持按需弹性扩容、AI提升智能防御能力、灵活扩展满足云上业务的变化和扩张需求，极简应用让用户快速灵活应对威胁。云防火墙服务是为用户业务上云提供网络安全防护的基础服务。 支持区域： 华东-上海一、华南-广州、西南-贵阳一、华北-北京四 服务版本差异 应用场景 功能特性 弹性公网IP防护 同步EIP信息并开启弹性公网IP防护后，您可以对云上资产（详见EIP列表）自动安全盘点，对外开放服务秒级防护。 支持区域： 华东-上海一、华南-广州、西南-贵阳一、华北-北京四 开启弹性公网IP防护 关闭弹性公网IP防护 查看网络流量 VPC间边界防护 VPC间防护用于检测和控制两个VPC间的流量通信，向您提供VPC之间资产保护、访问控制、全流量分析和入侵防护。 支持区域： 华东-上海一 购买企业路由器 创建防火墙 开启/关闭VPC间边界防火墙 访问控制策略 配置合适的访问控制策略能有效的帮助您对内部服务器与外网之间的流量进行精细化管控，防止内部威胁扩散，增加安全战略纵深。 支持区域： 华东-上海一、华南-广州、西南-贵阳一、华北-北京四 添加防护规则 批量管理防护规则 编辑防护规则 黑/白名单 指导您添加黑/白名单，帮助您拦截或放行指定IP，添加黑名单为拦截的IP，添加白名单为放行的IP。 支持区域： 华东-上海一、华南-广州、西南-贵阳一、华北-北京四 添加黑/白名单 编辑黑/白名单 删除黑/白名单 IP地址组 IP地址组是多个IP地址的集合。通过使用IP地址组，可帮助您有效应对需要重复多次编辑访问规则的场景，方便管理这些访问规则。 支持区域： 华东-上海一、华南-广州、西南-贵阳一、华北-北京四 管理IP地址组 服务组 服务组是多个云服务的集合。通过使用服务组，可帮助您有效应对需要重复多次编辑访问规则的场景，并且方便管理这些访问规则。 支持区域： 华东-上海一、华南-广州、西南-贵阳一、华北-北京四 管理服务组 入侵防御策略 您可以配置入侵防御模式，选择防护模式为仅检测并记录日志，或对攻击流量进行自动拦截，助您灵活防御云平台。CFW为您提供基础防御功能，结合多年攻防实战积累的经验规则，针对访问流量进行检测与防护，可覆盖常见的网络攻击并有效保护您的资产。 基础防御主要进行检查威胁及漏洞扫描，检测流量中是否含有网络钓鱼、特洛伊木马、蠕虫、黑客工具、间谍软件、密码攻击、漏洞攻击、SQL注入攻击、XSS跨站脚本攻击、Web攻击，是否存在协议异常、缓冲区溢出、访问控制、可疑DNS活动及其他可疑行为。 支持区域： 华东-上海一、华南-广州、西南-贵阳一、华北-北京四 配置入侵防御策略 日志审计 通过日志审计功能，可查看攻击事件日志、访问控制日志、流量日志，包括攻击发生时间、攻击类型、危险等级、源端口、源IP、目的IP、目的端口等信息。 支持区域： 华东-上海一、华南-广州、西南-贵阳一、华北-北京四 日志查询 日志管理 扩容弹性公网IP的防护个数 开启弹性公网IP防护后，您可以在控制台扩容弹性公网IP的防护个数。 支持区域： 华东-上海一、华南-广州、西南-贵阳一、华北-北京四 扩容弹性公网IP的防护个数

功能总览 功能总览 全部 云数据库 GaussDB(for openGauss) 计费模式 连接实例 开启公网访问 重启实例 重置管理员密码 扩容磁盘 扩容实例 备份与恢复 监控与告警 数据库参数管理 设置安全组规则 开发指南 API参考 标签 VPC对等连接 VPC对等连接 VPC对等连接 OBS 2.0支持 云数据库 GaussDB(for openGauss) GaussDB(for openGauss)是华为公司倾力打造的自研企业级分布式关系型数据库，该产品具备企业级复杂事务混合负载能力，同时支持优异的分布式事务，同城跨AZ部署，数据0丢失，支持1000+扩展能力，PB级海量存储等企业级数据库特性。拥有云上高可用，高可靠，高安全，弹性伸缩，一键部署，快速备份恢复，监控告警等关键能力，能为企业提供功能全面，稳定可靠，扩展性强，性能优越的企业级数据库服务。同时华为开源openGauss单机主备社区版本，鼓励更多伙伴、开发者共同繁荣中国数据库生态。 支持区域： 华北-北京四 华东-上海一 华南-广州 华南-广州-友好用户环境 西南-贵阳一 亚太-新加坡 产品优势 约束与限制 服务介绍【视频】 OBS 2.0支持 虚拟私有云子功能一 虚拟私有云（Virtual Private Cloud，以下简称VPC），为云服务器、云容器、云数据库等资源构建隔离的、用户自主配置和管理的虚拟网络环境，提升用户云上资源的安全性，简化用户的网络部署。 您可以在VPC中定义安全组、VPN、IP地址段、带宽等网络特性。用户可以通过VPC方便地管理、配置内部网络，进行安全、快捷的网络变更。同时，用户可以自定义安全组内与组间弹性云服务器的访问规则，加强弹性云服务器的安全保护。 支持区域： 亚太-新加坡 亚太-曼谷 不支持区域： 华北-北京一 中国-香港 如何创建虚拟私有云？ VPC服务介绍【视频】 VPC服务介绍【视频】 OBS 2.0支持 虚拟私有云子功能二 虚拟私有云（Virtual Private Cloud，以下简称VPC），为云服务器、云容器、云数据库等资源构建隔离的、用户自主配置和管理的虚拟网络环境，提升用户云上资源的安全性，简化用户的网络部署。 您可以在VPC中定义安全组、VPN、IP地址段、带宽等网络特性。用户可以通过VPC方便地管理、配置内部网络，进行安全、快捷的网络变更。同时，用户可以自定义安全组内与组间弹性云服务器的访问规则，加强弹性云服务器的安全保护。 支持区域： 亚太-新加坡 亚太-曼谷 不支持区域： 华北-北京一 中国-香港 如何创建虚拟私有云？ VPC服务介绍【视频】 VPC服务介绍【视频】 OBS 2.0支持 计费模式 提供按小时、按月、按年的计费方式供您灵活选择，使用越久越便宜。 预付费（包年包月）：这种购买方式相对于按需付费提供更大的折扣，对于长期使用者，推荐该方式。 按需付费（小时）：这种购买方式比较灵活，可以即开即停，按实际使用时长计费。以自然小时为单位整点计费，不足一小时按一小时计费。 支持区域： 华北-北京四 华东-上海一 华南-广州 华南-广州-友好用户环境 西南-贵阳一 亚太-新加坡 实例续费 退订包周期实例 按需实例转包周期 包周期实例转按需 OBS 2.0支持 连接实例 GaussDB(for openGauss)提供使用内网、公网和数据管理服务（Data Admin Service，简称DAS）的连接方式。 支持区域： 华北-北京四 华东-上海一 华南-广州 华南-广州-友好用户环境 西南-贵阳一 亚太-新加坡 通过DAS连接实例 通过内网连接实例 通过公网连接实例 OBS 2.0支持 开启公网访问 GaussDB(for openGauss)实例创建成功后，支持用户绑定弹性公网IP，在公共网络来访问数据库实例，绑定后也可根据需要解绑。 对于已绑定弹性公网IP的实例，需解绑后，才可重新绑定其他弹性公网IP。 支持区域： 华北-北京四 华东-上海一 华南-广州 华南-广州-友好用户环境 西南-贵阳一 亚太-新加坡 绑定和解绑公网IP 设置安全组规则 OBS 2.0支持 重启实例 当修改的实例参数需要重启生效时，可以重启实例。 如果数据库实例未处于“正常”状态，则无法重启该实例。 重启数据库实例将导致数据库业务短暂中断，在此期间，数据库实例状态将显示为“重启中”。 重启过程中，实例将不可用。重启后实例会自动释放内存中的缓存，请注意对业务进行预热，避免业务高峰期出现阻塞。 支持区域： 华北-北京四 华东-上海一 华南-广州 华南-广州-友好用户环境 西南-贵阳一 亚太-新加坡 重启实例 查看和修改实例参数 OBS 2.0支持 重置管理员密码 在使用GaussDB(for openGauss)过程中，如果忘记root帐号密码，可以重新设置密码。 如果数据库实例处于“异常”状态，则无法重置管理员密码。 重置密码生效时间取决于该实例当前执行的业务数据量。 请定期修改用户密码，以提高系统安全性，防止出现密码被暴力破解等安全风险。 租户被冻结时不可重置密码。 支持区域： 华北-北京四 华东-上海一 华南-广州 华南-广州-友好用户环境 西南-贵阳一 亚太-新加坡 重置管理员密码 管理员密码被锁定如何处理？ OBS 2.0支持 扩容磁盘 GaussDB(for openGauss)实例使用一段时间后业务攀升，原购买磁盘空间大小不足以支撑储存完整业务量。内核监测到磁盘使用量超过85%会将实例设置为只读，无法再写入数据，实例进入盘满只读状态。您可以通过磁盘扩容功能扩容数据库实例的磁盘。 在最大值的允许范围内，扩容磁盘后磁盘使用率不能仍然高于85%。 节点状态需要为正常，否则应先联系运维人员修复节点。 支持区域： 华北-北京四 华东-上海一 华南-广州 华南-广州-友好用户环境 西南-贵阳一 亚太-新加坡 扩容磁盘 OBS 2.0支持 扩容实例 随着集群部署时间及业务的增长，数据库在运行性能及存储上逐渐会达到瓶颈。此时，需要通过增加主机来提升集群的性能及存储能力。GaussDB(for openGauss)支持扩容节点操作。 扩容后，实例中CN节点的数量必须小于或等于两倍的分片数量。 支持区域： 华北-北京四 华东-上海一 华南-广州 华南-广州-友好用户环境 西南-贵阳一 亚太-新加坡 扩容实例 OBS 2.0支持 备份与恢复 GaussDB(for openGauss)支持数据库实例的备份和恢复，以保证数据可靠性。 当前支持使用备份文件恢复和恢复到指定时间点。 支持区域： 华北-北京四 华东-上海一 华南-广州 华南-广州-友好用户环境 西南-贵阳一 亚太-新加坡 通过备份文件恢复 恢复到指定时间点 OBS 2.0支持 监控与告警 云服务平台提供的云监控，可以对数据库的运行状态进行日常监控。您可以通过管理控制台，直观地查看数据库的各项监控指标。 GaussDB(for openGuass)支持通过设置数据库告警规则，用户可自定义监控目标与通知策略，及时了解数据库运行状况，从而起到预警作用。 支持区域： 华北-北京四 华东-上海一 华南-广州 华南-广州-友好用户环境 西南-贵阳一 亚太-新加坡 支持的监控指标 查看监控指标 创建告警规则 OBS 2.0支持 数据库参数管理 您可以使用数据库参数模板中的参数来管理数据库引擎配置。 创建数据库实例时可以指定数据库参数模板为默认参数模板或已有参数模板。实例创建成功后也可以变更实例关联的参数模板。 默认参数模板 默认模板包含针对运行的数据库实例进行优化的引擎默认值和数据库服务系统默认值。 自定义参数模板 如果希望数据库实例以客户自定义的引擎配置值运行，可轻松地创建一个新数据库参数模板，修改所需参数并应用到数据库实例，用以使用新数据库参数模板。 支持区域： 华北-北京四 华东-上海一 华南-广州 华南-广州-友好用户环境 西南-贵阳一 亚太-新加坡 参数调优建议 查看和修改实例参数 查看参数修改历史 OBS 2.0支持 设置安全组规则 GaussDB(for openGauss)可以通过设置安全组规则，在对IP访问进行控制。因为安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云服务器和GaussDB(for openGauss)实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当GaussDB(for openGauss)实例加入该安全组后，即受到这些访问规则的保护。 支持区域： 华北-北京四 华东-上海一 华南-广州 华南-广州-友好用户环境 西南-贵阳一 亚太-新加坡 如何设置安全组规则？ OBS 2.0支持 开发指南 GaussDB(for openGauss)是华为公司倾力打造的自研企业级分布式关系型数据库，开发者指南提供了自研数据库的基本原理、入门使用方法，全量SQL语法、性能调优等内容，帮你全方位的掌握GaussDB(for openGauss)知识。 支持区域： 华北-北京四 华东-上海一 华南-广州 华南-广州-友好用户环境 西南-贵阳一 亚太-新加坡 数据库使用入门 数据库应用程序连接 SQL语法 OBS 2.0支持 API参考 GaussDB(for openGauss)提供API对数据库实例进行相关操作，如创建、删除、查询参数配置、扩容等。 支持区域： 华北-北京四 华东-上海一 华南-广州 华南-广州-友好用户环境 西南-贵阳一 亚太-新加坡 通过API接口创建实例 通过API接口查询实例列表 OBS 2.0支持 标签 标签管理服务（Tag Management Service，TMS）用于用户在云平台，通过统一的标签管理各种资源。TMS服务与各服务共同实现标签管理能力，TMS提供全局标签管理能力，各服务维护自身标签管理 。 建议您先在TMS系统中设置预定义标签。 标签由“键”和“值”组成，每个标签中的一个“键”只能对应一个“值”。 每个实例最多支持10个标签配额。 支持区域： 华北-北京四 华东-上海一 华南-广州 华南-广州-友好用户环境 西南-贵阳一 亚太-新加坡 添加标签 OBS 2.0支持 VPC对等连接 什么是VPC对等连接？ 虚拟私有云（Virtual Private Cloud，以下简称VPC），为云服务器、云容器、云数据库等资源构建隔离的、用户自主配置和管理的虚拟网络环境，提升用户云上资源的安全性，简化用户的网络部署。 您可以在VPC中定义安全组、VPN、IP地址段、带宽等网络特性。用户可以通过VPC方便地管理、配置内部网络，进行安全、快捷的网络变更。同时，用户可以自定义安全组内与组间弹性云服务器的访问规则，加强弹性云服务器的安全保护。 虚拟私有云（Virtual Private Cloud，以下简称VPC），为云服务器、云容器、云数据库等资源构建隔离的、用户自主配置和管理的虚拟网络环境，提升用户云上资源的安全性，简化用户的网络部署。 您可以在VPC中定义安全组、VPN、IP地址段、带宽等网络特性。用户可以通过VPC方便地管理、配置内部网络，进行安全、快捷的网络变更。同时，用户可以自定义安全组内与组间弹性云服务器的访问规则，加强弹性云服务器的安全保护。 除亚太-曼谷、亚太-新加坡、拉美-圣地亚哥以外的所有区域均已发布 如何创建虚拟私有云？ VPC服务介绍【视频】

名词解释 基本概念、云服务简介、专有名词解释 弹性云服务器ECS：是一种可随时自助获取、可弹性伸缩的云服务器，可帮助您打造可靠、安全、灵活、高效的应用环境，确保服务持久稳定运行，提升运维效率。 弹性公网EIP：提供独立的公网IP资源，包括公网IP地址与公网出口带宽服务。可以与弹性云服务器、裸金属服务器、虚拟VIP、弹性负载均衡、NAT网关等资源灵活地绑定及解绑。 虚拟私有云VPC：是用户在云上申请的隔离的、私密的虚拟网络环境。用户可以自由配置VPC内的IP地址段、子网、安全组等子服务，也可以申请弹性带宽和弹性IP搭建业务系统。 安全组：安全组是一个逻辑上的分组，为同一个VPC内具有相同安全保护需求并相互信任的弹性云服务器提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当弹性云服务器加入该安全组后，即受到这些访问规则的保护。 万户：万户网络成立于1998年，是中国较早的「原创定制」网站建设、网络营销推广、小程序及APP开发服务公司，已通过“ISO:9001国际质量管理体系认证”，是国家认定的“高新技术企业”和“双软”的企业。万户网络曾荣获科技部“科技型中小企业技术创新奖”和“中国优秀软件领军企业称号”，拥有30多项自主知识产权，是中国企业信息化标准工作组成员。万户网络客户4万多个，知名企业3千多家。

查看产品集成列表 登录管理控制台。 在页面左上角单击，选择“安全与合规 > 态势感知 > 安全产品集成”，进入产品集成管理页面。 图1 产品集成 选择“区域”。 选择产品所在的区域，可选择“华北-北京一”、“华北-北京四”、“华东-上海二”、“华东-上海一”、“华南-深圳”、“华南-广州”或“西南-贵阳一”。 选择“集成类型”和“探测状态”。 集成类型分为“检测结果类产品集成”、“调查分析类产品集成”。 探测状态分为“探测正常”、“探测异常”、“从未探测”、“停止探测”。 选择“产品名称”、“产品类型”或“公司名称”筛选条件。 在搜索框输入关键字，单击，即可查看到满足条件的产品。

查看产品集成列表 登录管理控制台。 在页面左上角单击，选择“安全与合规 > 态势感知 > 安全产品集成”，进入产品集成管理页面。 图1 产品集成 选择“区域”。 选择产品所在的区域，可选择“华北-北京一”、“华北-北京四”、“华东-上海二”、“华东-上海一”、“华南-深圳”、“华南-广州”或“西南-贵阳一”。 选择“集成类型”和“探测状态”。 集成类型分为“检测结果类产品集成”、“调查分析类产品集成”。 探测状态分为“探测正常”、“探测异常”、“从未探测”、“停止探测”。 选择“产品名称”、“产品类型”或“公司名称”筛选条件。 在搜索框输入关键字，单击，即可查看到满足条件的产品。

签名审核驳回原因及处理建议 一级问题 二级问题 处理建议 材料或来源错误 提交资料与公众号/小程序、APP等主体不一致 检查是否填错了签名（错别字、同音字等）。 检查是否提交错材料，如本来需要提交A营业执照，结果上传时误选了B营业执照。 未查询到相关小程序或公众号 检查是否填错了签名（错别字、同音字等）。 确认小程序/公众号是否已上线。 签名与企业名称不一致 签名并非企业全称或简称，而是公司产品，可在申请说明中提供官网产品介绍链接。 若签名为公司商标、APP等，请选择合适的签名来源。 选择签名来源为APP应用而未提供相关下载链接 请在“APP应用下载地址”输入框中填写带有开发者信息的APP下载链接。 未查询到商标 检查是否填错了签名（错别字、同音字等）。 可到“中国商标网”核实商标信息。 资料图片无法显示 可能是由于上传时文件损坏导致不显示，一般确保文件格式正确，重新上传即可。 网站取名工信部备案网站域名未查询到的 看是否为提供的域名填错。 可到http://beian.miit.gov.cn/自检。 签名来源为电商店铺名，未提供所属电商平台 请在“电商平台店铺地址”输入框中填写电商平台店铺链接。 自建商城的可填写商城链接以供核实。 涉及第三方，上传的营业执照是申请方的 涉及第三方权益的签名，需提供的是签名归属方的营业执照。 业务类型不支持 推广、通知签名属于不支持的行业 有些行业并不支持发送所有类型的短信，详情可参照模板和变量规范。 格式错误 签名名称要求2~16个字，只能包含中文、数字、字母，不能为纯数字 国内短信尽可能使用中文签名，若签名为公司英文名等，可提供一下公司的官网链接等以便查证。 中性签名，签名不能很好的辨别企事业单位或公司产品、APP等 建议严格按照所选签名来源拟定签名，在有较多相似名称产品时，使用全称。

签名审核说明 一级问题 二级问题 处理建议 材料或来源错误 提交资料与公众号/小程序、APP等主体不一致 检查是否填错了签名（错别字、同音字等）。 检查是否提交错材料，如本来需要提交A营业执照，结果上传时误选了B营业执照。 未查询到相关小程序或公众号 检查是否填错了签名（错别字、同音字等）。 确认小程序/公众号是否已上线。 签名与企业名称不一致 签名并非企业全称或简称，而是公司产品，可在申请说明中提供官网产品介绍链接。 若签名为公司商标、APP等，请选择合适的签名来源。 选择签名来源为APP应用而未提供相关下载链接 请在“APP应用下载地址”输入框中填写带有开发者信息的APP下载链接。 未查询到商标 检查是否填错了签名（错别字、同音字等）。 可到“中国商标网”核实商标信息。 资料图片无法显示 可能是由于上传时文件损坏导致不显示，一般确保文件格式正确，重新上传即可。 网站取名工信部备案网站域名未查询到的 看是否为提供的域名填错。 可到http://beian.miit.gov.cn/自检。 签名来源为电商店铺名，未提供所属电商平台 请在“电商平台店铺地址”输入框中填写电商平台店铺链接。 自建商城的可填写商城链接以供核实。 涉及第三方，上传的营业执照是申请方的 涉及第三方权益的签名，需提供的是签名归属方的营业执照。 业务类型不支持 推广、通知签名属于不支持的行业 有些行业并不支持发送所有类型的短信，详情可参照模板和变量规范。 格式错误 签名名称要求2~16个字，只能包含中文、数字、字母，不能为纯数字 国内短信尽可能使用中文签名，若签名为公司英文名等，可提供一下公司的官网链接等以便查证。 中性签名，签名不能很好的辨别企事业单位或公司产品、APP等 建议严格按照所选签名来源拟定签名，在有较多相似名称产品时，使用全称。

功能总览 功能总览 全部 态势感知 安全概览 资源管理 业务分析 综合大屏 威胁告警 漏洞管理 基线检查 检测结果 安全报告 产品集成 日志管理 态势感知 态势感知（Situation Awareness，SA）是华为云安全管理与态势分析平台。能够检测出包括DDoS攻击、暴力破解、Web攻击、后门木马、僵尸主机、异常行为、漏洞攻击、命令与控制等类别的云上安全风险。利用大数据分析技术，态势感知可以对攻击事件、威胁告警和攻击源头进行分类统计和综合分析，为用户呈现出全局安全攻击态势。 SA提供基础版、标准版和专业版三个版本。 发布区域：全部 服务版本差异 功能特性 应用场景 OBS 2.0支持 虚拟私有云子功能二 虚拟私有云（Virtual Private Cloud，以下简称VPC），为云服务器、云容器、云数据库等资源构建隔离的、用户自主配置和管理的虚拟网络环境，提升用户云上资源的安全性，简化用户的网络部署。 您可以在VPC中定义安全组、VPN、IP地址段、带宽等网络特性。用户可以通过VPC方便地管理、配置内部网络，进行安全、快捷的网络变更。同时，用户可以自定义安全组内与组间弹性云服务器的访问规则，加强弹性云服务器的安全保护。 除亚太-曼谷、亚太-新加坡、拉美-圣地亚哥以外的所有区域均已发布 如何创建虚拟私有云？ VPC服务介绍【视频】 VPC服务介绍【视频】 安全概览 “安全概览”分为安全评分、安全监控、安全趋势、威胁检测共四大板块，实时呈现云上整体安全评估状况，并联动其他云安全服务，集中展示云上安全。在“安全概览”查看安全概览信息和相关一键操作，实现云上安全态势一览和风险统一管控。 发布区域：全部 安全概览 资源管理 同步当前帐号中所有资源的安全状态统计信息。支持查看资源的名称、所属服务、所属区域、安全状况等，帮助您快速定位安全风险问题并提供解决方案。 发布区域：全部 资源管理 业务分析 联动企业主机安全服务（Host Security Service，HSS）、Web应用防火墙（Web Application Firewall，WAF）和数据库安全服务（Database Security Service，DBSS）三个安全防护服务，全面展示云上资产的安全状态和存在的安全风险。 发布区域：全部 业务分析 综合大屏 利用AI技术将海量云安全数据的分析并分类，通过综合大屏将数据可视化展示，集中呈现云上实时动态，云上关键风险一目了然，掌握云上安全态势更简单，更直观，更高效。 目前，综合大屏有“综合态势感知”和“主机态势感知”两个模块。 发布区域：全部 综合态势感知 主机安全态势 威胁告警 通过利用大数据量、高准确度的威胁情报库，“实时监控”云上威胁攻击，提供告警通知和监控，记录近180天告警事件详情，分析威胁攻击情况，并针对典型威胁事件预置策略实施防御手段。 目前支持检测和呈现以下类别的威胁告警事件：DDoS、暴力破解、Web攻击、后门木马、僵尸主机、异常行为、漏洞攻击和命令与控制。 发布区域：全部 威胁告警简介 查看告警列表 威胁分析 漏洞管理 通过实时获取业界热点安全漏洞讯息，同步主机漏洞扫描和网站漏洞扫描结果，全面掌握云上资产漏洞风险状况，并提供相应漏洞修复建议。 主机漏洞：通过授权主机，并一键扫描主机漏洞，呈现主机漏洞扫描检测信息，支持查看漏洞详情，并提供相应漏洞修复建议。 网站漏洞：通过自动同步VSS漏洞扫描结果，分类呈现网站漏洞扫描详情，支持查看漏洞详情列表、不同类型漏洞分布和不同漏洞等级分布，并提供相应漏洞修复建议。 应急漏洞公告：针对业界披露的热点安全漏洞，支持每5分钟抓取一次安全漏洞讯息，获取最新应急漏洞公告详情。 发布区域：全部 主机漏洞 网站漏洞 应急漏洞公告 专业版支持 基线检查 通过执行云服务基线扫描，检查基线配置风险状态，告警提示存在安全隐患的配置，并提供基线加固建议。 云服务基线检查：通过一键扫描或设置定期扫描，分类呈现云服务配置检测结果，提示不合格检测项，并提供相应配置加固建议和帮助指导。 发布区域：华北-北京一、华北-北京四、华东-上海一、华东-上海二、华南-广州、西南-贵阳一。 云服务基线检查 检测结果 通过集成安全防护产品，接入安全产品检测数据，管理全部检测结果。 发布区域：全部 检测结果 安全报告 为统计全局安全攻击态势，通过开启安全报告，态势感知以邮件形式向指定的收件人发送安全报告，反映阶段性安全概况、安全风险趋势。 发布区域：全部 分析报告 产品集成 通过集成安全防护产品，接入安全产品检测数据，管理检测结果的数据来源，支持查看传输数据量，管理数据上报健康状态。 发布区域：全部 安全产品集成 专业版支持 日志管理 态势感知支持将日志存储至对象存储服务（Object Storage Service，OBS），帮助用户轻松应对安全日志存储、导出场景，满足日志存储180天及集中审计的要求。 发布区域：全部 日志管理

功能总览 功能总览 全部 态势感知 安全概览 资源管理 业务分析 综合大屏 威胁告警 漏洞管理 基线检查 检测结果 安全报告 产品集成 日志管理 态势感知 态势感知（Situation Awareness，SA）是华为云安全管理与态势分析平台。能够检测出超过20大类的云上安全风险，包括DDoS攻击、暴力破解、Web攻击、后门木马、僵尸主机、异常行为、漏洞攻击、命令与控制等。利用大数据分析技术，态势感知可以对攻击事件、威胁告警和攻击源头进行分类统计和综合分析，为用户呈现出全局安全攻击态势。 SA提供基础版、标准版和专业版三个版本。 发布区域：全部 服务版本差异 功能特性 应用场景 OBS 2.0支持 虚拟私有云子功能二 虚拟私有云（Virtual Private Cloud，以下简称VPC），为云服务器、云容器、云数据库等资源构建隔离的、用户自主配置和管理的虚拟网络环境，提升用户云上资源的安全性，简化用户的网络部署。 您可以在VPC中定义安全组、VPN、IP地址段、带宽等网络特性。用户可以通过VPC方便地管理、配置内部网络，进行安全、快捷的网络变更。同时，用户可以自定义安全组内与组间弹性云服务器的访问规则，加强弹性云服务器的安全保护。 除亚太-曼谷、亚太-新加坡、拉美-圣地亚哥以外的所有区域均已发布 如何创建虚拟私有云？ VPC服务介绍【视频】 VPC服务介绍【视频】 安全概览 “安全概览”分为安全评分、安全监控、安全趋势、威胁检测共四大板块，实时呈现云上整体安全评估状况，并联动其他云安全服务，集中展示云上安全。在“安全概览”查看安全概览信息和相关一键操作，实现云上安全态势一览和风险统一管控。 发布区域：全部 安全概览 资源管理 同步当前帐号中所有资源的安全状态统计信息。支持查看资源的名称、所属服务、所属区域、安全状况等，帮助您快速定位安全风险问题并提供解决方案。 发布区域：全部 资源管理 业务分析 联动企业主机安全服务（Host Security Service，HSS）、Web应用防火墙（Web Application Firewall，WAF）和数据库安全服务（Database Security Service，DBSS）三个安全防护服务，全面展示云上资产的安全状态和存在的安全风险。 发布区域：全部 业务分析 综合大屏 利用AI技术将海量云安全数据的分析并分类，通过综合大屏将数据可视化展示，集中呈现云上实时动态，云上关键风险一目了然，掌握云上安全态势更简单，更直观，更高效。 目前，综合大屏有“综合态势感知”和“主机态势感知”两个模块。 发布区域：全部 综合态势感知 主机态势感知 威胁告警 通过利用大数据量、高准确度的威胁情报库，“实时监控”云上威胁攻击，提供告警通知和监控，记录近180天告警事件详情，分析威胁攻击情况，并针对典型威胁事件预置策略实施防御手段。 目前支持检测和呈现8大类威胁告警事件，包括DDoS、暴力破解、Web攻击、后门木马、僵尸主机、异常行为、漏洞攻击和命令与控制。 发布区域：全部 威胁告警简介 查看告警列表 威胁分析 漏洞管理 通过实时获取业界热点安全漏洞讯息，同步主机漏洞扫描和网站漏洞扫描结果，全面掌握云上资产漏洞风险状况，并提供相应漏洞修复建议。 主机漏洞：通过授权主机，并一键扫描主机漏洞，呈现主机漏洞扫描检测信息，支持查看漏洞详情，并提供相应漏洞修复建议。 网站漏洞：通过自动同步VSS漏洞扫描结果，分类呈现网站漏洞扫描详情，支持查看漏洞详情列表、不同类型漏洞分布和不同漏洞等级分布，并提供相应漏洞修复建议。 应急漏洞公告：针对业界披露的热点安全漏洞，支持每5分钟抓取一次安全漏洞讯息，获取最新应急漏洞公告详情。 发布区域：全部 主机漏洞 网站漏洞 应急漏洞公告 专业版支持 基线检查 通过执行云服务基线扫描，检查基线配置风险状态，告警提示存在安全隐患的配置，并提供基线加固建议。 云服务基线检查：通过一键扫描或设置定期扫描，分类呈现云服务配置检测结果，提示不合格检测项，并提供相应配置加固建议和帮助指导。 发布区域：华北-北京一、华北-北京四、华东-上海一、华东-上海二、华南-广州、西南-贵阳一。 云服务基线检查 检测结果 通过集成安全防护产品，接入安全产品检测数据，管理全部检测结果。 发布区域：全部 检测结果 安全报告 为统计全局安全攻击态势，通过开启安全报告，态势感知以邮件形式向指定的收件人发送安全报告，反映阶段性安全概况、安全风险趋势。 发布区域：全部 分析报告 产品集成 通过集成安全防护产品，接入安全产品检测数据，管理检测结果的数据来源，支持查看传输数据量，管理数据上报健康状态。 发布区域：全部 安全产品集成 专业版支持 日志管理 态势感知支持将日志存储至对象存储服务（Object Storage Service，OBS），帮助用户轻松应对安全日志存储、导出场景，满足日志存储180天及集中审计的要求。 发布区域：全部 日志管理

None 功能总览 全部 虚拟私有云 子网 路由表 虚拟IP IPv4/IPv6双栈 安全组 网络ACL IP地址组 弹性网卡 弹性公网IP 共享带宽 共享流量包 带宽加油包 对等连接 VPC流日志 虚拟私有云 什么是虚拟私有云？ 虚拟私有云（Virtual Private Cloud，以下简称VPC），为云服务器、云容器、云数据库等资源构建隔离的、用户自主配置和管理的虚拟网络环境，提升用户云上资源的安全性，简化用户的网络部署。 您可以在VPC中定义安全组、VPN、IP地址段、带宽等网络特性。用户可以通过VPC方便地管理、配置内部网络，进行安全、快捷的网络变更。同时，用户可以自定义安全组内与组间弹性云服务器的访问规则，加强弹性云服务器的安全保护。 虚拟私有云（Virtual Private Cloud，以下简称VPC），为云服务器、云容器、云数据库等资源构建隔离的、用户自主配置和管理的虚拟网络环境，提升用户云上资源的安全性，简化用户的网络部署。 您可以在VPC中定义安全组、VPN、IP地址段、带宽等网络特性。用户可以通过VPC方便地管理、配置内部网络，进行安全、快捷的网络变更。同时，用户可以自定义安全组内与组间弹性云服务器的访问规则，加强弹性云服务器的安全保护。 华为云提供了管理虚拟私有云的功能：创建虚拟私有云、修改虚拟私有云基本信息、为虚拟私有云添加扩展网段、删除虚拟私有云扩展网段、删除虚拟私有云和导出虚拟私有云列表。 发布区域：全部 云图说：初识虚拟私有云 视频：VPC服务介绍 创建虚拟私有云 网络规划 子网 子网是虚拟私有云内的IP地址块。虚拟私有云中的所有云资源都必须部署在子网内。同一个虚拟私有云下，子网网段不可重复。子网创建成功后，网段无法修改。 默认情况下，同一个VPC的所有子网内的弹性云服务器均可以进行通信，不同VPC的弹性云服务器不能进行通信。 华为云提供了管理子网的功能：为虚拟私有云创建新的子网、修改子网网络信息和删除子网。 发布区域：全部 为虚拟私有云创建新的子网 修改子网网络信息 路由表 路由表中定义了路由规则，路由规则用于将目标网段的流量路由至指定的目的地。 当您创建虚拟私有云时，系统会自动为您创建一张默认路由表，其路由规则保证了虚拟私有云内的所有子网互通。您也可以添加自定义路由规则，将指定目标网段的流量路由至指定目的地。 华为云提供了管理路由表的功能：添加自定义路由、查询路由、修改路由和删除路由等。 发布区域：全部 路由表 创建自定义路由表 添加自定义路由 虚拟IP 虚拟IP是一个未分配给真实弹性云服务器网卡的IP地址。弹性云服务器除了拥有私有IP地址外，还可以拥有虚拟IP地址，用户可以通过其中任意一个IP（私有IP/虚拟IP）访问此弹性云服务器。同时，虚拟IP地址拥有私有IP地址同样的网络接入能力。虚拟IP主要用在弹性云服务器的主备切换，达到高可用性HA的目的。 华为云提供的虚拟IP相关功能包括：申请虚拟IP地址、删除虚拟IP地址、为虚拟IP地址绑定弹性公网IP或弹性云服务器、通过弹性公网IP访问虚拟IP、通过VPN访问虚拟IP、通过云专线访问虚拟IP和通过对等连接访问虚拟IP。 典型组网1：HA高可用模式 如果您想要提高服务的高可用性，避免单点故障，可以用“一主一备”或“一主多备”的方法组合使用弹性云服务器，这些弹性云服务器对外表现为一个虚拟IP。当主服务器故障时，备服务器可以转为主服务器，继续对外提供服务。 （1）将2台同子网的弹性云服务器绑定同一个虚拟IP。 （2）将这2台弹性云服务器配置Keepalived，实现一台为主服务器，一台为备份服务器。Keepalived可参考业内通用的配置方法，此处不做详细介绍。 典型组网2：高可用负载均衡集群 如果您想搭建高可用负载均衡集群服务，您可以采用Keepalived + LVS(DR)来实现。 （1）将2台弹性云服务器绑定同一个虚拟IP。 （2）将绑定了虚拟IP的这2台弹性云服务器配置Keepalived+LVS（DR模式），组成LVS主备服务器。这2台服务器作为分发器将请求均衡地转发到不同的后端服务器上执行。 （3）配置另外2台弹性云服务器作为后端RealServer服务器。 （4）关闭2台后端RealServer弹性云服务器的源/目的检查。 Keepalived + LVS调度服务端安装配置以及后端RealServer服务器配置可以参考业内通用的配置方法，此处不做详细介绍。 发布区域：全部 申请虚拟IP地址 为虚拟IP地址绑定弹性公网IP或弹性云服务器 IPv4/IPv6双栈 IPv4/IPv6双栈可为您的实例提供两个不同版本的IP地址：IPv4地址和IPv6地址，这两个IP地址都可以进行内网/公网访问。 如果您的应用需要为使用IPv6终端的用户提供访问服务，则您可使用：IPv6弹性公网IP或IPv6双栈。 如果您的应用既需要为使用IPv6终端的用户提供访问服务，又需要对这些访问来源进行数据分析处理，则您必须使用IPv6双栈。 如果您的应用系统与其他系统（例如：数据库系统）、应用系统之间需要使用IPv6进行内网访问，则您必须使用IPv6双栈。 华为云提供IPv4/IPv6双栈功能，支持新建IPv4/IPv6双栈网络，或在已有虚拟私有云下添加IPv6子网形成双栈网络。 发布区域：华北-北京四、华北-乌兰察布一、华东-上海一、华南-广州、西南-贵阳一、中国-香港、亚太-曼谷、亚太-新加坡、拉美-圣保罗一 IPv4/IPv6双栈 搭建IPv6网络 IPv6解决方案 安全组 安全组是一个逻辑上的分组，为同一个VPC内具有相同安全保护需求并相互信任的弹性云服务器提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当弹性云服务器加入该安全组后，即受到这些访问规则的保护。 华为云提供了管理安全组和安全组规则的功能：创建安全组、删除安全组、添加安全组规则、快速添加多条安全组规则、复制安全组规则、修改安全组规则、删除安全组规则、导入/导出安全组规则、查看弹性云服务器的安全组、变更弹性云服务器的安全组、云资源加入/移出安全组。 安全组规则支持拒绝策略、不连续端口号以及配置优先级的发布区域：华北-北京一、华北-北京四、华北-乌兰察布一、华东-上海一、华东-上海二、华南-广州、西南-贵阳一、中国-香港、亚太-曼谷、亚太-新加坡、非洲-约翰内斯堡 安全组配置示例 添加安全组规则 网络ACL 网络ACL是一个子网级别的可选安全层，通过与子网关联的出方向/入方向规则控制出入子网的数据流。 网络ACL与安全组类似，都是安全防护策略，当您想增加额外的安全防护层时，就可以启用网络ACL。安全组对弹性云服务器进行防护，网络ACL对子网进行防护，两者结合起来，可以实现更精细、更复杂的安全访问控制。 华为云提供了管理网络ACL和网络ACL规则的功能：创建网络ACL、查看网络ACL、修改网络ACL、删除网络ACL、开启/关闭网络ACL、关联/解除子网和网络ACL、添加网络ACL规则、修改网络ACL规则、修改网络ACL规则生效顺序、开启/关闭网络ACL规则、删除网络ACL规则。 发布区域：全部 网络ACL配置示例 添加网络ACL规则 IP地址组 IP地址组是多个IP地址的集合，可应用于安全组规则，用来统一管理具有相同安全要求或需要频繁修改的IP地址。 您需要先创建一个IP地址组，在IP地址组内添加需要统一管理的IP地址。然后配置安全组规则时，就可以选择该IP地址组，此安全组规则将对IP地址组中所有IP地址生效。 发布区域：华北-北京一、华北-北京四、华东-上海一、华东-上海二、华南-广州、西南-贵阳一、中国-香港、亚太-曼谷、亚太-新加坡、非洲-约翰内斯堡 创建IP地址组 关联IP地址组与安全组规则 弹性网卡 弹性网卡即虚拟网卡，您可以通过创建并配置弹性网卡，并将其附加到您的云服务器实例（包括弹性云服务器和裸金属服务器）上，实现灵活、高可用的网络方案配置。 主弹性网卡 在创建云服务器实例时，随实例默认创建的弹性网卡称作主弹性网卡。主弹性网卡无法与实例进行解绑。 扩展弹性网卡 您可以创建扩展弹性网卡，将其附加到云服务器实例上，您也可以将其从实例上进行解绑。每台实例可附加的扩展弹性网卡数量由实例规格决定。 华为云提供的弹性网卡相关功能包括：创建弹性网卡、查看弹性网卡基本信息、绑定弹性网卡到实例、绑定弹性网卡到弹性公网IP、绑定弹性网卡到虚拟IP、解绑定云服务器或弹性公网IP、更改弹性网卡所属安全组、删除弹性网卡。 发布区域：华北-北京四、华东-上海一、华东-上海二、华南-广州 创建弹性网卡 绑定弹性网卡到实例 弹性公网IP 弹性公网IP提供独立的公网IP资源，包括公网IP地址与公网出口带宽服务，可以与云资源灵活绑定及解绑。 华为云提供的弹性公网IP相关功能包括：为云资源申请和绑定弹性公网IP、解绑和释放云资源的弹性公网IP、修改弹性公网IP带宽、静态BGP转换为动态BGP。 支持IPv6转换的发布区域：华北-北京一、华北-北京四、华东-上海一、华东-上海二、华南-广州 申请弹性公网IP 修改带宽大小 共享带宽 共享带宽可以实现多个弹性公网IP共同使用一条带宽。提供区域级别的带宽共享及复用能力，同一区域下的所有已绑定弹性公网IP的弹性云服务器、裸金属服务器、弹性负载均衡等实例共用一条带宽资源。 客户有大量业务在云上时，如果每个弹性云服务器单独使用一条带宽，则需要较多的带宽实例，并且总的带宽费用会较高，如果所有实例共用一条带宽，就可以节省企业的网络运营成本，同时方便运维统计。 华为云提供的共享带宽相关功能包括：申请共享带宽、修改共享带宽、删除共享带宽、添加弹性公网IP到共享带宽、从共享带宽中移出弹性公网IP。 发布区域：全部 申请共享带宽 添加弹性公网IP到共享带宽 共享流量包 共享流量包是一款带宽流量套餐产品，使用方便，价格实惠。购买共享流量包后立即生效，并自动抵扣按需按流量计费的EIP带宽产生的流量资费，直到流量包用完或到期。 发布区域：华北-北京一、华北-乌兰察布一、华北-北京四、华东-上海一、华东-上海二、华南-广州、西南-贵阳一、中国-香港、亚太-曼谷、亚太-新加坡、非洲-约翰内斯堡、拉美-圣地亚哥 购买共享流量包 带宽加油包 带宽加油包用来临时调大带宽上限，适用于在有效期内的包年包月独享带宽和共享带宽。 当某个时间段业务量激增（例如：双11），需要在这个时间段临时调整带宽规格，您可以通过购买带宽加油包，设置有效期时间来解决。加油包到期将自动失效，恢复到原来的带宽规格。 华为云提供的带宽加油包相关功能包括：购买带宽加油包、修改带宽加油包和退订带宽加油包。 发布区域：华北-北京一、华北-北京四、华东-上海一、华东-上海二、华南-广州、西南-贵阳一、中国-香港 购买带宽加油包 修改带宽加油包 对等连接 对等连接是指两个VPC之间的网络连接。您可以使用私有IP地址在两个VPC之间进行通信，就像两个VPC在同一个网络中一样。同一区域内，您可以在自己的VPC之间创建对等连接，也可以在自己的VPC与其他帐户的VPC之间创建对等连接。不同区域间的VPC之间不能创建对等连接。 华为云提供的VPC对等连接相关功能包括：创建同一帐户下的对等连接、创建不同帐户下的对等连接、查看对等连接、修改对等连接和删除对等连接。 发布区域：全部 对等连接配置方案 创建同一帐户下的对等连接 VPC流日志 VPC流日志功能可以记录虚拟私有云中的流量信息，帮助您检查和优化安全组和网络ACL控制规则、监控网络流量、进行网络攻击分析等。 华为云提供的VPC流日志功能包括：创建VPC流日志、查看VPC流日志、开启/关闭VPC流日志、删除VPC流日志。 发布区域：华东-上海一、华南-广州、亚太-曼谷、亚太-新加坡、华北-北京四、西南-贵阳一 创建VPC流日志

功能总览 功能总览 全部 通用表格识别 通用文字识别 网络图片识别 智能分类识别 手写文字识别 身份证识别 行驶证识别 驾驶证识别 护照识别 银行卡识别 营业执照识别 道路运输证识别 车牌识别 名片识别 VIN码识别 增值税发票识别 发票验真 机动车销售发票识别 出租车发票识别 火车票识别 定额发票识别 车辆通行费发票识别 飞机行程单识别 电子面单识别 保险单识别 财务报表识别 道路运输从业资格证识别 防疫健康码识别 核酸检测记录识别 自定义模板 通用表格识别 支持对图片中的所有表格文字信息进行识别和提取，可识别常规表格及合并单元格表格中的中英文和部分繁体字。能够返回文本块坐标及单元格坐标信息，方便用户进行版式的二次处理以及提高人工校验效率。 该接口可应用于信息登记表识别场景，对个人信息、商品信息、公示内容等纸质信息登记表进行识别，快速实现表格内容的电子化，降低人工录入成本，提升信息管理的便捷性。 支持区域： 华北-北京四 华东-上海一 通用表格识别API 通用文字识别 支持识别图片中的所有印刷体文字信息，可识别中英文和部分繁体字，并以json格式返回识别的文字和坐标位置。 该接口的应用场景广泛，可应用于拍照/截图识别、电子文档格式转化、纸质文档电子化、试题录入、论文素材收集等场景，方便用户进行文字信息的提取和录入，降低人工录入成本。 支持区域： 华北-北京四 通用文字识别API 网络图片识别 支持识别网络图片中的所有印刷体、艺术字等文字信息，可识别中英文及部分繁体字以及常见网络图片如：手机截图、电脑截图、电商产品图及广告设计图等互联网图片，能够返回位置坐标和置信度，方便用户进行版式的二次处理以及提高人工校验效率；支持返回姓名、地址、联系电话等信息。 该接口可应用于电商订单信息提取、广告内容提取、内容安全审核、舆情监控、图片翻译等场景。 支持区域： 华北-北京四 华东-上海一 华南-广州 网络图片识别API 智能分类识别 支持对同一张图片中的多种卡证及票据混贴场景同时进行类别检测和识别，无需配置API对应关系，只需调用一个接口即可同时识别所有卡证及票据的文字信息。支持返回每张卡证或票据的位置坐标、类别及票证信息的结构化识别结果。 支持的卡证及票据类型包括：身份证（头像面+国徽面）、行驶证（主页+副页）、驾驶证（主页+副页）、护照、银行卡、道路运输证、增值税发票、增值税普通发票（卷票）、机动车销售统一发票、出租车发票、火车票、定额发票、车辆通行费发票、飞机行程单等14类常见卡证及票据的识别。 该接口可应用于财税报销、政务审批、个税办理、理财记账等场景，只需调用一个接口即可同时识别所有卡证及票据的文字信息，大幅度提升业务处理效率。 支持区域： 华北-北京四 智能分类识别API 手写文字识别 识别文档或图片中的手写文字、印刷文字信息，并将识别的结构化结果以JSON格式返回给用户识别的文字和坐标。 该接口可应用于日常学习中对学生作业、试卷的批改、手写内容的电子化，方便用户进行手写信息的提取和处理，降低各行业人力资源成本。 支持区域： 华北-北京四 手写文字识别API 身份证识别 支持对中华人民共和国大陆居民身份证正面或反面所有8个关键字段进行结构化识别，包括姓名、性别、民族、出生日期、住址、身份证号、签发机关、有效期限。同时，支持自动处理反光、暗光、模糊等干扰；支持任意倾斜角度的校正；支持身份证信息的有效性校验，如校验身份证号规则、校验出生日期与身份证号所表示的出生日期是否一致、校验性别与身份证号所表示的性别信息是否一致、校验当前日期是否在有效期内，可以在一定程度上判断身份证的有效性。 该接口的应用场景广泛，可应用于远程身份认证、政务审批、个税办理、医疗挂号、电信开户、酒店入住办理等场景，降低人工录入成本，提升业务效率。 支持区域： 华北-北京四 华东-上海一 身份证识别API 行驶证识别 支持对行驶证主页或副页所有22个字段进行结构化识别，包括号牌号码、车辆类型、所有人、住址、使用性质、品牌型号、发动机号码、车辆识别代号、注册日期、发证日期、发证机关、档案编码、核定载人数、检验有效期、条码号等等。支持返回文字块的区域位置信息，方便用户提高人工校验效率。 该接口的应用场景广泛，可应用于车主身份认证、车主信息服务、汽车后市场服务、机动车辆执行年度审核、机动车辆监管、车险购买等场景，有效降低人工录入成本，提升业务效率。 支持区域： 华北-北京四 华东-上海一 行驶证识别API 驾驶证识别 支持对纸质驾驶证、电子驾驶证（含地方电子驾驶证）的主页或副页所有关键字段进行结构化识别，包括证号、姓名、性别、国籍、住址、出生日期、初次领证日期、准驾车型、有效期限、发证机关、档案编号、累积记分、证件状态、证件记录、生成时间、当前时间等。 该接口的应用场景广泛，可应用于司机身份认证、车主信息服务、驾驶证执行年度审核、机动车辆监管、汽车租赁、路面查验、车险购买等场景，解决信息录入的效率问题，降低人工成本。 支持区域： 华北-北京四 华东-上海一 驾驶证识别API 护照识别 支持对中国护照及外国护照的关键字段信息进行结构化识别。其中，中国护照支持所有关键字段识别，包括国家码、国籍、护照号码、护照类型、姓名、姓名拼音、性别、出生地点、出生日期、签发地点、签发日期、有效期、签发机关（支持境外签发地）；外国护照支持护照下方两行国际标准化的机读码识别，并可从中提取6-7个关键字段信息。 该接口的应用场景广泛，可应用于海关出入境、境外旅游产品预订、境外酒店入住、留学信息登记等场景，满足护照信息自动录入的需求，提升信息录入效率，降低人工成本。 支持区域： 华北-北京四 护照识别API 银行卡识别 支持对主流银行卡（横卡、竖卡）的发卡行、银行卡号、有效期、银行卡类别等关键字段进行结构化识别。 该接口的应用场景广泛，可应用于金融远程身份认证、电商支付绑卡、个税办理、商户入网审核等场景，降低人工输入成本，提升信息录入效率。 支持区域： 华北-北京四 华东-上海一 银行卡识别API 营业执照识别 支持对不同版式（含老版本、新三证合一版本）营业执照的注册号、企业名称、类型、营业场所、法定代表人、注册资本、成立日期、营业期限、经营范围、发照日期等关键字段进行结构化识别。 该接口的应用场景广泛，可应用于商户入驻资质审查、企业银行开户、企业抵押贷款、供应商资质审核等场景，可提升信息录入效率，控制业务风险。 支持区域： 华北-北京四 营业执照识别API 道路运输证识别 支持识别市面上常见版式的道路运输证，可结构化识别道路运输证的业户名称、车辆号牌、车辆类型、吨(座)位、车辆尺寸、核发机关、道路运输证号、签发日期、业户地址、经济类型、经营许可证号、经营范围等关键字段。 该接口的应用场景广泛，可应用于营运车辆合法经营性证明、车辆运输违章检测等场景，自动检测和识别道路运输证信息，降低人工录入成本，实现道路运输监控的智能化，同时降低用户使用失效、伪造的道路运输证的侥幸心理，打造良好安全的道路运输环境。 支持区域： 华北-北京四 道路运输证识别API 车牌识别 支持识别中国大陆机动车车牌，可识别的车牌类型含小型汽车、小型新能源、大型新能源、使馆汽车、领馆汽车、港澳出入境汽车、教练汽车、警用汽车号牌；可识别5种车牌颜色，包括蓝色、绿色、黑色、白色、黄色。 该接口的应用场景广泛，可应用于道路违章检测、车辆牌照审核、智慧停车、ETC业务办理、车辆租借交易等场景，降低人工录入成本，提升业务效率。 支持区域： 华北-北京四 车牌识别API 名片识别 支持对各种版式名片的关键字段进行结构化识别，包括姓名、职位、公司、部门、联系方式、地址、邮箱、传真、邮编、公司网址等。 该接口的应用场景广泛，可应用于职场社交、商务交流等场景，自动地从图片中定位名片区域，对名片关键信息进行结构化识别和录入，帮助企业快速建立客户档案，提高社交效率。 支持区域： 华北-北京四 名片识别API VIN码识别 支持对车辆挡风玻璃处的车架号码进行识别。 该接口的应用场景广泛，可应用于车辆质检检查、车辆登记等场景，快速完成车辆信息统计及管理，降低人工录入成本，实现车辆管理的自动化。 支持区域： 华北-北京四 VIN码识别API 增值税发票识别 支持对增值税专用发票、增值税普通发票、增值税电子普通发票（含通行费发票）、增值税普通发票（卷票）的所有关键字段进行结构化识别，包括发票基本信息、销售方及购买方信息、商品信息、价税信息等；支持对销售方发票专用章、发票监制章进行识别；支持输出发票类型和消费类型；支持识别图片和PDF、OFD文件。 该接口的应用场景广泛，可应用于财税报销、账单记录等场景，快速识别录入增值税普票或专票等各字段信息，减少人工核算工作量。 支持区域： 华北-北京四 增值税发票识别API 发票验真 支持9种增值税发票的信息核验，包括增值税专用发票、增值税普通发票、增值税普通发票（卷式）、增值税电子专用发票、增值税电子普通发票、增值税电子普通发票（通行费）、二手车销售统一发票、机动车销售统一发票、区块链电子发票，支持返回票面的全部信息。 支持区域： 华北-北京四 华东-上海一 发票验真 机动车销售发票识别 支持对机动车销售发票的34个关键字段进行结构化识别，包括发票代码、发票号码、机打代码、机打号码、开票日期、机器编号、购买方名称、购买方身份证号码/组织机构代码、购买方纳税人识别号、销货单位名称、销售方电话、销售方纳税人识别号、销售方账号、销售方地址、销售方开户行、车辆类型、厂牌型号、产地、合格证号、进口证明书号、商检单号、发动机号码、车辆识别代号/车架号码、吨位、限乘人数、主管税务机关、主管税务机关代码、完税凭证号码、增值税税率或征收率、增值税税额、不含税价、价税合计、价税合计大写、税控码。 该接口的应用场景广泛，可应用于企业税务核算及内部报销等场景，减少人工核算工作量，降低人力成本，实现财税报销的自动化。 支持区域： 华北-北京四 机动车销售发票识别API 出租车发票识别 支持对全国各大城市出租车发票的19个关键字段进行结构化识别，包括归属地区、发票代码、发票号码、电话（包括电话、监督电话）、单位、车号、证号、识别编号、开票日期、上车时间、下车时间、时间(起止时间、上下车时间)、单价、总里程、等候时间、金额、燃油附加费、电调费（预约费）、实收金额。 该接口的应用场景广泛，可应用于企业税务核算及内部报销等场景，减少人工核算工作量，降低人力成本，实现财税报销的自动化。 支持区域： 华北-北京四 出租车发票识别API 火车票识别 支持对红、蓝火车票的17个关键字段进行结构化识别，包括车票ID、检票口信息、车次、始发站、终点站、始发站拼音、终点站拼音、开车时间、座位号、票价、售票方式、座位类别、改签信息、身份证号、姓名、售票码、售票地点。 该接口的应用场景广泛，可应用于企业税务核算及内部报销、个人行程规划与记录类移动应用等场景，减少人工核算工作量，降低人力成本。 支持区域： 华北-北京四 火车票识别API 定额发票识别 支持对各类定额发票的所有关键字段进行结构化识别，包括发票号码、发票代码、地址、发票金额。 该接口的应用场景广泛，可应用于企业税务核算及内部报销、理财记账等场景，快速识别和录入各类定额发票的关键信息，减少人工核算工作量。 支持区域： 华北-北京四 定额发票识别API 车辆通行费发票识别 支持对车辆通行费发票（过路过桥费发票）的9个关键字段进行结构化识别，包括发票代码、发票号码、入口、出口、收费金额、收费员、车辆类型、日期、时间。 该接口的应用场景广泛，可应用于企业税务核算及内部报销等场景，减少人工核算工作量，降低人力成本，实现财税报销的自动化。 支持区域： 华北-北京四 车辆通行费发票识别API 飞机行程单识别 支持对飞机行程单的27个关键字段进行结构化识别，包括印刷序号、旅客姓名、有效身份证件号码、签注、票价、民航（CAAC)发展基金、燃油附加费、其他税费、合计、电子客票号码、验证码、提示信息、保险费、销售单位代号、填开单位、填开日期、始发站、目的站、承运人、航班号、座位等级、日期、时间、客票类别、客票生效日期、有效截止日期、免费行李。 同时，支持单张行程单上的多航班信息识别。 该接口的应用场景广泛，可应用于企业内部报销、个人行程规划与记录类移动应用场景，减少人工核算工作量，降低人力成本。 支持区域： 华北-北京四 飞机行程单识别API 电子面单识别 支持对市面上常见快递面单的8个关键字段进行结构化识别，包括三段码、收件人姓名、收件人电话、收件人地址、寄件人姓名、寄件人电话、寄件人地址、条形码运单号。 该接口的应用场景广泛，可应用于物流中转仓库中的自动分拣、快递驿站与快递柜的自动出入库、电商平台物流信息管理、包裹派件等场景，降低人工录入成本，提升物流分发、投递、派送效率。 支持区域： 华东-上海一 电子面单识别API 保险单识别 覆盖常见保险公司的常见保单版式，支持对保险单中的23个关键字段进行结构化识别，包括发卡行、保险单号、保险公司、保险单生效日期、投保人姓名、投保人性别、投保人出生日期、投保人证件类型、投保人证件号、被保人列表、被保人性别、被保人证件类型、被保人证件号、受益人姓名、受益人类型、受益顺序、受益比例、产品名称、保险期限、保险金额、交费频率、交费期间、每期交费金额。 由于即使是同一家保险公司，保险种类也繁多而且都在动态变化，实际支持情况请以测试效果为准。 该接口的应用场景广泛，可应用于保险核保、保险理赔、保单管理等场景，对各类保险单中的投保人、被保人、受益人信息及保险种类、保额等信息进行识别和录入，降低人工录入成本，控制保险业务风险。 支持区域： 华北-北京四 保险单识别API 财务报表识别 支持识别并还原各种版式财务报表信息，支持识别格式复杂的表格图片信息。可返回表格坐标、文本块坐标及单元格坐标信息，方便用户进行版式的二次处理以及提高人工校验效率。 该接口的应用场景广泛，可应用于金融抵押贷款、证监会上市公司财务审计、券商投资分析等场景，判断企业财务状况，分析是否存在虚假披露或财务造假行为。 支持区域： 华东-上海一 财务报表识别API 道路运输从业资格证识别 支持对市面上多种常见版式的道路运输从业资格证的所有关键字段进行结构化识别，包括姓名、性别、出生日期、国籍、住址、身份证件号、从业资格证号、准驾车型、从业资格类别、初次领证日期、发证日期、有效起始日期、有效期限、核发机关、继续教育信息、诚信考核信息、档案号、福路通号、联系电话、登记时间等。 该接口的应用场景广泛，可应用于道路运输违章检测场景，自动检测和识别道路运输从业人员的身份信息，降低人工录入成本，实现道路运输监控的智能化，同时降低用户使用失效、伪造从业资格证的侥幸心理，打造良好安全的道路运输环境。 支持区域： 华北-北京四 道路运输从业资格证识别API 防疫健康码识别 支持对全国各地区不同版式的防疫健康码中的姓名、健康码更新时间、健康码颜色，并将识别的结构化结果返回给用户。 支持识别4种健康码颜色，包括绿码、黄码、红码、灰码；支持返回各个关键字段的置信度，以便提高人工校验效率。 支持区域： 华北-北京四 防疫健康码识别API 核酸检测记录识别 支持对全国各地不同版式的核酸检测记录中的4个关键字段进行结构化识别，包括姓名、核酸检测采样时间、检测检测结果更新时间、核酸检测结果（阳性、阴性、未知），大大降低了目前大负荷下的核算检测结果识别上的人力，提高了准确率。 支持区域： 华北-北京四 核算检测记录识别API 自定义模板 自定义模板OCR（Custom OCR），支持用户自定义模板，对于版式固定的各种票据和卡证，通过可视化界面操作，指定需要识别的关键字段，实现用户特定格式图片的自动识别和结构化提取。 文字识别套件提供预置工作流供您选择，全流程可视化完成AI应用开发以及持续迭代。 选择预置工作流 单模板工作流 通过工作流指引构建文字识别模板，识别单个板式图片中的文字，快速实现文档、票证等场景的文字识别。详情请见使用单模板工作流开发应用。 多模板工作流 通过工作流指引支持自定义多个文字识别模板，通过模型训练，自动识别图片所属模板，从而支持从大量不同板式图像中提取结构化信息。通常适用于物流行业，实现多样化快递单场景的文字识别。详情请见使用多模板工作流开发应用。 支持区域： 华北-北京四

大型企业集团的多分支场景 大型企业集团的分支机构漏洞检测能力薄弱，主要依赖于集团公司的技术力量。但受限于人力成本，集团公司无法派驻安全运维人员到每个分支机构，因此需要一个整体化的漏洞检测服务实现对各分支机构的安全检测。 华为乾坤漏洞扫描服务能够实现对分支机构网络的统一漏洞检测，并借助云端对资产漏洞的统一分析、在事前精准识别分支资产存在的风险，防止分支资产的漏洞被利用，导致风险横向扩散。 图2 大型企业集团的多分支场景

安全标准遵从包 当前可选择的安全遵从包如表1所示，租户依据判定指引选择并订阅安全遵从包。 表1 安全遵从包一览 遵从包名称 描述 适用区域 分类 领域 判定指引 PCI DSS安全遵从包 该遵从包依据广受国际认可的数据安全标准-支付卡行业数据安全标准 (PCI DSS 3.2.1版，2018 年 5 月)，提供检查项和评测指引供云计算客户（在本遵从包中也称作“您”或者“您的企业”）自评数据安全管理情况，并结合PCI DSS给出了数据安全方面的改进建议，帮助企业提升数据安全水平。 全球 行业标准 数据安全 您是否作为参与支付卡处理的实体，包括商户、处理商、收单机构、发卡机构和服务提供商？ 您是否存储、处理或传输持卡人数据（主账户信息（PAN，一般为银行卡号）、持卡人姓名、银行卡有效期、业务码）或敏感验证数据（全磁道数据、信用卡安全码、PIN）？ 您是否期望对您在数据安全方面的风险进行识别，并获知如何采取措施降低风险？ 如以上回答任一回答为是，建议您订阅该遵从包。 ISO 27001安全遵从包 该遵从包依据国际上公认的ISO 27001信息安全管理体系要求（2013版），提供检查项和评测指引供云计算客户（在本遵从包中也称作“您”或者“您的企业”）自评信息安全管理情况，并给出了信息安全方面的改进建议，帮助企业提升信息安全水平。 全球 国际标准 信息安全 ISO 27001为组织建立、实施、运行、保持和持续改进信息安全管理体系规定了要求，是一项具有普适性的信息安全标准。 如您期望对您在信息安全方面的风险进行识别，并获知如何采取措施降低风险，建议您订阅该遵从包。 ISO 27701安全遵从包 该遵从包依据国际上公认的ISO 27701隐私信息管理要求和指南（2019版），提供检查项和评测指引供云计算客户（在本遵从包中也称作“您”或者“您的企业”）自评隐私信息管理情况，并给出了隐私保护方面的改进建议，帮助企业贯彻隐私保护的责任，提升隐私保护及信息安全水平。 全球 国际标准 隐私保护 您是否涉及处理（包括收集、使用、传输、存储、删除等）个人可识别信息（简称“PII”，如姓名、电话号码、电子邮箱、身份证件信息等，在本遵从包中也称作“个人数据”）？ 您是否作为PII控制者（决定PII处理目的和方法的隐私利益相关方，在本遵从包中也称作“数据控制者”）和/或PII处理者（代表PII控制者，并按照PII控制者的指示对PII进行处理的隐私利益相关方，在本遵从包中也称作“数据处理者”）的角色？ 您是否期望对您在隐私保护方面的风险进行识别，并获知如何采取措施降低风险？ 如以上回答任一回答为是，建议您订阅该遵从包。 等保2.0标准四级安全遵从包 该遵从包依据国家标准GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》中四级的安全要求，提供检查项和评测指引供云计算客户（在本遵从包中也称作“您”或者“您的企业”）自评网络安全管理情况，并给出了网络安全等级保护的改进建议，帮助企业建设网络安全体系，提升网络安全水平。 中国 国家标准 网络安全 您是否涉及网络安全等级保护工作的作用对象，主要包括基础信息网络（为信息流通、信息系统运行等起基础支撑作用的信息网络，包括电信网、广播电视传输网、互联网、业务专网等网络设备设施）、信息系统（例如工业控制系统、云计算平台、物联网、使用移动互联技术的信息系统以及其他信息系统）和大数据等？ 您是否期望对网络实施分级保护措施，在网络安全保护方面的风险进行识别，并获知如何采取措施降低风险？ 如以上回答任一回答为是，建议您订阅该遵从包。 等保2.0标准三级安全遵从包 该遵从包依据国家标准GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》中三级的安全要求，提供检查项和评测指引供云计算客户（在本遵从包中也称作“您”或者“您的企业”）自评网络安全管理情况，并给出了网络安全等级保护的改进建议，帮助企业建设网络安全体系，提升网络安全水平。 中国 国家标准 网络安全 您是否涉及网络安全等级保护工作的作用对象，主要包括基础信息网络（为信息流通、信息系统运行等起基础支撑作用的信息网络，包括电信网、广播电视传输网、互联网、业务专网等网络设备设施）、信息系统（例如工业控制系统、云计算平台、物联网、使用移动互联技术的信息系统以及其他信息系统）和大数据等？ 您是否期望对网络实施分级保护措施，在网络安全保护方面的风险进行识别，并获知如何采取措施降低风险？ 如以上回答任一回答为是，建议您订阅该遵从包。

功能总览 功能总览 全部 应用性能管理 监控JAVA应用 CMDB树 应用监控 调用链 应用性能管理 应用性能管理服务（Application Performance Management，简称APM）包含应用监控和前端监控两大子产品，涵盖分布式应用、容器环境、浏览器、小程序、APP等领域的性能管理，能帮助您实现全栈式性能监控和端到端全链路追踪诊断，让应用管理轻松高效。 非侵入的应用性能数据采集：用户无需更改应用代码，只需要将APM的Agent包部署到服务器，并且修改应用启动参数，就可以实现应用监控。 应用视角的指标监控：无须配置，自动监控应用相关大量监控指标，如JVM、JavaMethod、URL、Exception、Tomcat、httpClient、Mysql、Redis、kafka等。 应用拓扑自动发现：通过对RPC调用信息进行动态分析、智能计算，自动生成分布式应用间拓扑关系。 调用链的自动跟踪：多个应用接入APM后，自动针对某一些请求进行采样，采集单个请求的服务之间调用关系以及中间调用的健康情况，实现全局调用链路的自动跟踪。 常用诊断场景的指标下钻分析：根据应用响应时间、请求数、错误率等指标下钻分析，按业务、应用、环境、数据库和中间件等多维度查看。 异常事务和慢事务捕捉：基于调用事务（Transaction）的超时和异常分析，并有效自动关联到对应的接口调用，如 SQL、MQ 等。 公测区域：华北-北京四、华北-北京一、华东-上海一、华东-上海二、华南-广州、亚太-新加坡、华南-广州-友好用户环境、华北-乌兰察布一 监控JAVA应用 通过将APM的Agent包部署到服务器，并且修改应用启动参数，实现应用监控。支持为JAVA应用手工安装Agent和为部署在CCE容器中的JAVA应用安装Agent。 公测区域：华北-北京四、华北-北京一、华东-上海一、华东-上海二、华南-广州、亚太-新加坡、华南-广州-友好用户环境、华北-乌兰察布一 为JAVA应用手工安装Agent 为部署在CCE容器中的JAVA应用安装Agent CMDB树 APM会内置一个资源配置管理信息CMDB，用于组织应用结构信息以及相关配置信息。 公测区域：华北-北京四、华北-北京一、华东-上海一、华东-上海二、华南-广州、亚太-新加坡、华南-广州-友好用户环境、华北-乌兰察布一 CMDB树 应用监控 APM采用字节码增强的方式，实现应用指标的无侵入监控，无须配置，自动监控应用相关大量监控指标。 公测区域：华北-北京四、华北-北京一、华东-上海一、华东-上海二、华南-广州、亚太-新加坡、华南-广州-友好用户环境、华北-乌兰察布一 指标 调用链 多个应用接入APM后，自动针对某一些请求进行采样，采集单个请求的服务之间调用关系以及中间调用的健康情况，实现全局调用链路的自动跟踪。 公测区域：华北-北京四、华北-北京一、华东-上海一、华东-上海二、华南-广州、亚太-新加坡、华南-广州-友好用户环境、华北-乌兰察布一 调用链

步骤二：创建弹性云服务器 选择“计算 > 弹性云服务器”，单击“购买弹性云服务器”。 根据资源和成本规划配置上海的弹性云服务器的基础信息，完成后单击“下一步：网络配置”。 计费模式：按需计费 区域：选择华东-上海一 规格：用户自定义。本实践以c6.large.2举例。 镜像：公共镜像。具体镜像用户自定义，本实践以CentOS 8.0举例。 未提及参数，保持默认或根据界面引导配置 配置ECS的网络信息，完成后单击“下一步：高级配置”。 网络：选择“vpc-shanghai”，并选择“手动分配IP地址”，指定IP地址。 安全组：Sys-FullAccess。本实践选择一个全部放通的安全组作为测试安全组，后期可以根据业务情况重新绑定业务所需的安全组，提升业务安全性。 弹性公网IP：暂不购买 未提及参数，保持默认或根据界面引导配置 设置云服务器名称和密码等信息，完成后单击“下一步：确认配置”。 云服务器名称：ecs-shanghai-131 登录凭证：密码；并输入密码。 未提及参数，保持默认或根据界面引导配置 确认ECS信息无误后，勾选“协议”并单击“立即购买”，完成ECS创建。 单击弹性云服务器总览页面所在行的“远程登录”，选择VNC方式登录。 使用root帐号登录ECS，并执行如下命令查询ECS的私网IP地址是否为规划的IP地址。 ifconfig 重复1~7，完成华东-上海一ecs-shanghai-8（10.0.1.8）和华南-广州ecs-guangzhou-8（10.0.1.8）的ECS的创建。 使用root帐号登录ecs-shanghai-131，执行如下命令确认子网内的主机可以相互访问。 ping 10.0.1.8

立即购买 登录管理控制台。 在页面上方选择“区域”后，单击，选择“安全与合规 > 管理检测与响应服务”。 在“等保安全”下方，单击“立即购买”，进入“购买MDR服务”界面。 图1 选择等保安全 选择服务类型“基础版”、“高级版”或“APP检查”，并设置数量，如图2所示。 图2 购买等保安全 设置用户相关信息，如图3所示，各参数说明如表1所示。 图3 设置用户信息 表1 用户信息参数说明 参数 说明 配置样例 公司名称 输入公司的名称。 - 机构所在省市 选择公司所在的省市。 北京市 行业属性 选择行业的类型。 银行 系统类型 选择系统类型。 公有云租户系统 HCSO/HCS/私有云平台 HCSO/HCS/私有云租户系统 线下IDC系统 公有云租户系统 待测评系统等级 选择待测评系统等级。 等保二级 等保三级 等保二级 联系人姓名 输入真实的联系人姓名。 - 联系人电话 输入真实的联系人的联系电话。 - 被定级信息系统名称 输入被测评信息系统名称。 - 系统部署的服务器台数 输入系统部署的服务器台数。 - 联系人邮箱 输入真实的联系人的邮箱。 - 在页面右下方，单击“下一步”。 确认订单无误并阅读《管理检测与响应免责声明》和《隐私政策声明》后，勾选“我已阅读并同意《管理检测与响应免责声明》和《隐私政策声明》”，单击“去支付”。 在“支付”页面，请选择付款方式进行付款。 付款成功后，单击“返回管理检测与响应控制台”，返回到“我的服务单”界面。 购买成功后，管理检测与响应将在1个工作日内联系您，与您沟通确定等保需求。 等保安全仅支持下载整改解决方案和差距分析报告，测评报告将由测评机构直接邮寄给您。

大企业IT治理架构 大企业的业务覆盖范围很广泛，分布在不同的子行业和地理区域，为支持整个公司的长期稳定运行和有效管理，通常采用集团化和等级式管理模式。随着经营范围和规模的不断扩大，需要不断建立子公司、分公司，子公司再建立孙公司，大部门也逐步拆分成多个小部门，组织结构的层级也就越来越多。大企业的IT治理架构也会受到组织结构的影响，以下是一个典型的大企业IT治理架构，由于图片空间有限，该架构图中没有列出全部的层级，如IT项目A331的功能小组、成员和运行环境没有呈现出来。本章所描述的大企业IT治理最佳实践以下图的IT治理架构为基础，将其映射到华为云上有效运转起来。 图1 大企业IT治理架构 在上述大企业IT治理架构中，各个层级的具体含义如下： 集团公司：是指以资本为主要联结纽带,以母子公司为主体，以集团章程为共同行为规范的，由母公司、子公司及其他成员共同组成的企业法人联合体。 子公司：其50%以上有投票表决权的股份或资本被另一企业（母公司）所拥有的企业，母公司对子公司的一切重大事项拥有实际上的决定权。子公司具有独立法人资格，在法律上是完全独立的公司，是独立的核算主体和纳税主体。子公司可以根据经营管理需求再成立自己的子公司或分公司。 分公司：分公司是母公司管辖的分支机构，是指母公司在其住所以外设立的以自己的名义从事活动的机构。分公司不具有企业法人资格，其民事责任由母公司承担。 独立法人：独立法人是指依法在工商部门登记的拥有企业独立法人营业执照的经济组织，具备独立的民事行为能力，能够独立承担民事责任。 部门：母公司、子公司和分公司都可以基于自己的经营管理需求设立部门，如软件企业可以按照不同的软件产品线设立不同的部门，工业制造企业可以按照业务流程设立研发部、制造部、采购部、销售部、服务部等。大部门还可以再进一步拆分成小部门。 IT项目：企业按照自己的项目管理模式设置的信息化、数字化或软件开发项目，IT项目中应用系统的开发、测试、实施和运行需要消耗一定的计算、存储、网络、安全、数据库、中间件、大数据、AI服务等资源。 功能小组：参与IT项目的成员按照职责不同可以划分为不同的功能小组，如一个ERP项目可以划分为计算组、存储组、网络组、安全组、数据组、应用组、财务组、系统管理员组等。 成员：一个成员代表一个参与IT项目的人，可加入到同一部门下不同的IT项目和功能小组，但一般不参加其他部门的IT项目。 运行环境：IT项目中的应用系统（如ERP系统）通常要部署到不同的运行环境：互联网环境、生产环境、开发环境和测试环境。多个IT项目可以共享一套运行环境，大型IT项目（如大型电商、大型ERP系统）也可以独占一套运行环境。 上述大企业IT治理架构中各个层级之间的关系如下图所示： 图2 企业IT治理架构的层级关系

安全策略 开发测试环境内部涉及如下网络ACL实例：网络ACL“NACL-DEV-MGMT”、 “NACL-DEV-APP”、“NACL-DMZ-SAP-Router”，分别关联图3 开发测试环境内部网络ACL分布图中所示子网。各网络ACL实例默认拒绝所有流量(默认失败)，跨ACL的子网间如需互通，需以白名单形式添加策略放通相应流量(最小化)。 图3 开发测试环境内部网络ACL分布图 网络ACL“NACL-DEV-MGMT”，关联开发测试环境DEV-管理区子网，通过策略限制可由管理区堡垒机访问开发测试环境其它区域服务器的管理端口(22等)，并拒绝由开发测试环境其它区域发起的对管理区堡垒机的连接。 本节中提到的IP地址及端口号仅为示例，如有其它管理端口，可根据实际情况增加策略。本节仅涉及开发测试区内部策略。 表1 网络ACL“NACL-DEV-MGMT”出方向 规则 # 目的 IP 协议 目的端口 允许/拒绝 说明 对DEV-DMZ区 172.22.3.0/24 TCP 22 允许 允许测试环境管理区堡垒机访问DEV-DMZ区服务器SSH端口。 对DEV-应用区 172.22.4.0/24 TCP 22 允许 允许测试环境管理区堡垒机访问DEV-应用区服务器SSH端口。 对DMZ-SAP-DB区 172.22.5.0/24 TCP 22 允许 允许测试环境管理区堡垒机访问DEV-SAP-DB区服务器SSH端口。 对DEV&PRD-SAP-Router 172.22.1.0/24 TCP 22 允许 允许测试环境管理区堡垒机访问DEV&PRD-SAP-Router服务器SSH端口。 * 0.0.0.0/0 ANY ANY 拒绝 拒绝所有未经前置规则处理的数据流。 表2 网络ACL“NACL-DEV-MGMT”入方向 规则 # 源 IP 协议 目的端口 允许/拒绝 说明 * 0.0.0.0/0 ANY ANY 拒绝 拒绝所有未经前置规则处理的数据流。 网络ACL“NACL-DEV-APP”，关联开发测试环境DEV-DMZ区、DEV-应用区、DEV-SAP-DB区子网，入方向，通过策略限制可由管理区堡垒机访问区域内服务器的管理端口(22等)，限制可由SAP-Router访问区域内服务器的业务端口。 表3 网络ACL“NACL-DEV-APP”出方向 规则 # 目的 IP 协议 目的端口 允许/拒绝 说明 * 0.0.0.0/0 ANY ANY 拒绝 拒绝所有未经前置规则处理的数据流。 表4 网络ACL“NACL-DEV-APP”入方向 规则 # 源 IP 协议 目的端口 允许/拒绝 说明 对DEV-管理区 172.22.2.0/24 TCP 22 允许 允许测试环境管理区堡垒机访问本区域内服务器SSH端口。 对DEV&PRD-SAP-Router 172.22.1.0/24 TCP 234 允许 允许SAP-Router服务器访问本DEV-应用区域内服务器234业务端口。 对DEV&PRD-SAP-Router 172.22.1.0/24 TCP 345 允许 允许SAP-Router服务器访问本DEV-SAP-DB区域内服务器345业务端口。 * 0.0.0.0/0 ANY ANY 拒绝 拒绝所有未经前置规则处理的数据流。 网络ACL“NACL-DMZ-SAP-Router”，关联DEV&PRD-SAP-Router子网，入方向，通过策略限制可由管理区堡垒机访问区域内服务器的管理端口(22等)，出方向限制可由SAP-Router访问开发测试环境应用区、SAP-DB区指定的业务端口。 表5 网络ACL“NACL-DMZ-SAP-Router”出方向 规则 # 目的 IP 协议 目的端口 允许/拒绝 说明 对DEV-应用区 172.22.4.0/24 TCP 234 允许 允许SAP-Router服务器访问DEV-应用区域内服务器234业务端口。 对DEV-SAP-DB区 172.22.5.0/24 TCP 345 允许 允许SAP-Router服务器访问DEV-SAP-DB区域内服务器345业务端口。 * 0.0.0.0/0 ANY ANY 拒绝 拒绝所有未经前置规则处理的入站数据流。 表6 网络ACL“NACL-DMZ-SAP-Router”入方向 规则 # 源 IP 协议 目的端口 允许/拒绝 说明 对DEV-管理区 172.22.2.0/24 TCP 22 允许 允许测试环境管理区堡垒机访问本区域内服务器SSH端口。 * 0.0.0.0/0 ANY ANY 拒绝 拒绝所有未经前置规则处理的入站数据流。 安全组，如SG_DEV_MGMT、SG_DEV_DB等(与公网无交互)，关联开发测试环境中相应子网中的云服务器，需严格按照最小化的原则控制云服务器对外开放的端口范围，可参考以下图4 安全组策略示例(具体端口请根据实际情况设置)。对IP的访问控制策略，通过网络ACL实现。其它开发测试环境与公网无交互的安全组(详见全景图)，可参考实施。 图4 安全组策略示例 安全组，如SG_DEV_SRM、SG_DEV_Hybrids、SG_SAP_ROUTER(与公网有交互)，关联开发测试环境中相应子网中的云服务器，需严格按照最小化的原则控制云服务器对外开放的端口范围以及源IP范围，如公网IP较为固定，可参考以下图5 安全组策略示例(具体端口请根据实际情况设置)。 图5 安全组策略示例 如公网IP不固定的场景，可根据业务需要(如模拟测试，技术支持)，临时放通特定公网源IP，相应事务完成后删除策略。

Linux弹性云服务器插件更新方法 安装UniAgent 登录AOM华为云官网。 在AOM产品简介下方单击“AOM 2.0公测中”，进入应用运维管理控制台。 图1 AOM 2.0入口 在应用运维管理控制台上方的菜单栏，单击“采集管理”，进入采集管理控制台。 图2 采集管理控制台 在左侧导航栏选择“UniAgent管理 > 虚机接入”。 单击“安装UniAgent”，在待更新重置密码插件的虚拟机中选择一台作为UniAgent的安装机。 安装机是远程安装方式下命令的执行机。 首次安装UniAgent时，仅支持手动安装的方式。 请确保安装机与其余待安装机间网络互通，并且可通过SSH远程连接。 如果远程连接失败，请确认安全组规则入方向规则已添加安装机的IP网段，并且该网段允许SSH远程连接Linux弹性云服务器。 如果您的待更新机器在同一VPC下，继续执行后续步骤。 如果您的待更新机器属于不同VPC，建议您对每个VPC重复执行步骤5~步骤11，分VPC进行安装。 如果您想通过打通VPC的方式进行更新，请先完成“如何实现跨VPC的网络互通？”的相关配置，然后继续执行以下步骤。 在安装UniAgent页面中，复制以下Linux安装命令。 图3 安装UniAgent（手动安装） 登录待安装UniAgent的弹性云服务器，执行复制的Linux安装命令。 若出现如下显示说明安装成功。 图4 UniAgent安装成功 安装完成后，在虚机接入界面可以看到已经安装成功的虚拟机。 图5 安装成功的虚拟机 在虚机接入界面，单击“安装UniAgent”为其余虚拟机安装UniAgent。 在UniAgent安装界面的上方，单击“远程安装”。 图6 安装UniAgent（远程安装） 设置参数。 选择步骤7装好的虚拟机作为安装机。 添加需安装UniAgent的主机。 单击“添加主机信息”可添加多个主机，最多支持添加100个主机。 添加主机的方式有手动添加和批量导入两种方式，推荐使用手动添加方式。详细的参数设置，请参考安装UniAgent。 手动添加 主机IP：主机的IP。 操作系统：主机的操作系统，例如Linux。 登录帐号：登录主机的帐号。建议使用root帐号，可保证有足够的读写权限。 登陆端口：访问主机的端口。 认证方式：认证方式为密码。 密码：登录主机的密码。 连接测试结果：测试安装机和需安装主机间的网络连通性以及密码正确性。 操作：删除、复制和连接测试。 单击“立即安装”。 创建脚本 在本地浏览器通过以下链接获取脚本，并复制内容。 请根据云服务器所在区域选择脚本的下载地址： 华北-北京一：https://cn-north-1-cloud-reset-pwd.obs.cn-north-1.myhuaweicloud.com/linux/batch_update_resetpwd/update_log4j_version_for_resetpwdagent.sh 华北-北京四：https://cn-north-4-cloud-reset-pwd.obs.cn-north-4.myhuaweicloud.com/linux/batch_update_resetpwd/update_log4j_version_for_resetpwdagent.sh 华东-上海二：https://cn-east-2-cloud-reset-pwd.obs.cn-east-2.myhuaweicloud.com/linux/batch_update_resetpwd/update_log4j_version_for_resetpwdagent.sh 华南-广州：https://cn-south-1-cloud-reset-pwd.obs.cn-south-1.myhuaweicloud.com/linux/batch_update_resetpwd/update_log4j_version_for_resetpwdagent.sh 中国-香港：https://ap-southeast-1-cloud-reset-pwd.obs.ap-southeast-1.myhuaweicloud.com/linux/batch_update_resetpwd/update_log4j_version_for_resetpwdagent.sh 在采集管理页面上方，选择“变更管理”，并单击左侧导航栏的“脚本管理”。 图7 脚本管理 在脚本管理页面，单击“创建脚本”。 图8 创建脚本 输入“脚本名称”，并将步骤1下载的脚本文件复制到“版本内容”区域。 请确认脚本内容wget URL之后带有参数-q，没有则需要手动添加，否则会导致下载软件包日志过多，影响性能。 手动替换脚本中下载地址，下载对应操作系统架构的一键重置密码插件包。 仅未绑定弹性公网IP的弹性云服务器需要执行本步骤。若待更新的弹性云服务器均已绑定弹性公网IP，则跳过本步骤，无需操作。 图9 脚本内容 脚本下载地址为：http://{region-id} -cloud-reset-pwd.obs.{region-id}.myhuaweicloud.com 以“华南-广州”区域为例： 32位操作系统，x86架构： wget http://cn-south-1-cloud-reset-pwd.obs.cn-south-1.myhuaweicloud.com/linux/32/reset_pwd_agent/CloudResetPwdAgent.zip -q 64位操作系统，x86架构： wget http://cn-south-1-cloud-reset-pwd.obs.cn-south-1.myhuaweicloud.com/linux/64/reset_pwd_agent/CloudResetPwdAgent.zip -q 64位操作系统，ARM架构： wget https://cn-south-1-cloud-reset-pwd.obs.cn-south-1.myhuaweicloud.com/arm/linux/64/reset_pwd_agent/CloudResetPwdAgent.zip -q 已上传一键式重置密码插件至OBS桶的区域包括：华北-北京一、华北-北京四、华东-上海二、华南-广州、中国-香港。 单击“保存”。 单击“上线”。 执行脚本 上线完成后，单击“执行”。 执行账号为root，目标服务器选择已经安装好uniagent的机器。 执行脚本时目标服务器数量建议不要超过100台，否则会影响性能。 图10 执行脚本 查看脚本是否执行成功，有如下显示说明执行成功。 图11 执行成功 检查插件是否更新成功

功能总览 功能总览 全部 命名空间 工作负载 工作负载异常 负载网络访问 容器存储 插件管理 日志管理 权限管理 专属容器实例 命名空间 命名空间（namespace）是一种在多个用户之间划分资源的方法。适用于用户中存在多个团队或项目的情况。 当前云容器实例提供“通用计算型”、“通用计算型-鲲鹏”和“GPU加速型”三种类型的资源，创建命名空间时需要选择资源类型，后续创建的负载中容器就运行在此类型的集群上。 通用计算型 支持区域：全部 GPU加速型 支持区域：华北-北京一、华北-北京四、华东-上海一 通用计算型-鲲鹏 支持区域：华北-北京四 创建命名空间 工作负载 工作负载是在Kubernetes上运行的应用程序。无论您的工作负载是单个组件还是协同工作的多个组件，您都可以在Kubernetes上的一组Pod中运行它。在Kubernetes中，工作负载是对一组Pod的抽象模型，用于描述业务的运行载体，包括Deployment、Job、CronJob等多种类型。 CCI提供基于Kubernetes原生类型的容器部署和管理能力，支持容器工作负载部署、配置、监控、扩容、升级、卸载、服务发现及负载均衡等生命周期管理。 支持区域：全部 无状态负载 Pod 任务（Job） 定时任务（CronJob） 工作负载异常 当工作负载状态异常时，建议先查看事件。 工作负载详情中，若事件中提示“重新启动容器失败”或“重新拉取镜像失败”，请按照指定方式来排查原因。 支持区域：全部 事件一：重新拉取镜像失败 事件二：重新启动容器失败 负载网络访问 云容器实例通过将Kubernetes网络和华为云VPC深度集成，提供了稳定高性能的容器网络，能够满足多种复杂场景下工作负载间的互相访问。 负载访问可以分为如下几种场景：内网访问、公网访问、从容器访问公网。 支持区域：全部 网络访问概述 内网访问 公网访问 从容器访问公网 容器存储 容器存储是为容器工作负载提供存储的组件，支持多种类型的存储，同一个工作负载（pod)可以使用任意数量的存储。 云容器实例支持将数据存储在华为云的云存储上，当前支持的云存储包括：云硬盘存储卷（EVS）、文件存储卷（SFS）、对象存储卷（OBS）和极速文件存储卷（SFS Turbo）。 云硬盘存储卷 支持区域：全部 对象存储卷 支持区域：全部 极速文件存储卷 支持区域：全部 文件存储卷 支持区域：华北-北京一、华北-北京四、华东-上海一、华东-上海二、华南-广州 云硬盘存储卷 对象存储卷 文件存储卷 极速文件存储卷 插件管理 插件是对现有功能的扩展，当前云容器实例提供了coredns插件供您使用，您可以在云容器实例界面上直接安装插件，从而方便的使用插件提供的功能。 coredns插件为您的其他负载提供内部域名解析服务。建议您不要对本负载进行删除、升级操作，否则将导致内部域名解析服务无法正常使用。 支持区域：全部 coredns插件管理 日志管理 云容器实例支持挂载日志存储卷采集日志，您只需要在创建负载的时候添加日志存储卷，即可将日志写入到日志存储卷中。 云容器实例对接了服务应用运维管理（Application Operations Management，AOM），AOM会采集日志存储中的“.log”等格式日志文件，转储到AOM中，方便您查看和检索。 支持区域：全部 查看日志 权限管理 CCI当前认证鉴权是在Kubernetes的角色访问控制（RBAC）与统一身份认证服务（IAM）的能力基础上，提供的基于IAM的细粒度权限控制和IAM Token认证，同时支持命名空间级别及命名空间以下资源的权限控制，帮助用户便捷灵活的对租户下的IAM用户、用户组设定不同的操作权限。 支持区域：全部 CCI权限说明 创建用户并授权使用CCI 为用户/用户组授权命名空间权限 专属容器实例 专属容器实例租户独占物理服务器，支持多部门业务隔离，其基于高性能物理服务器运行Kata容器，实现虚机级别安全隔离，同时性能无损耗。服务器的升级和维护工作由华为云承担，客户只需要关注自身业务。 支持区域：华北-北京四、华东-上海一、华东-上海二、华南-广州、华南-广州-友好用户环境 什么是专属容器实例 购买专属容器实例

操作步骤 登录华为云备案系统。 图1 登录备案系统 填写ICP备案申请。 在“我的备案”找到“已完成备案”的信息，根据实际情况选择“变更备案”、“变更主体”、“变更网站”。 图2 变更备案 如果“操作”列未显示“变更主体”等操作按钮，请检查当前帐号下是否有正在备案中的订单。如果有，请先完成正在备案中的订单或者放弃正在备案中的订单，系统将自动显示“变更主体”等操作按钮。 变更主体：修改主体信息中需变更的项。 不需变更的项请不要修改，如：您要变更实际通信地址或主体负责人联系电话，只需在系统对应项修改变更后的信息，其他项无需做任何改动。 表2 主体信息参数说明 类别 参数 要求 主办单位信息 单位名称：个人备案请填写个人身份有效证件上的姓名； 即主体信息，备案的主体信息应与域名持有者信息保持一致。 个人备案：备案负责人信息与域名注册人实名认证信息需保持一致，包括姓名、证件类型、证件号码。 单位备案：备案主体信息（主办单位名称或主体负责人）与域名注册人（域名持有者）实名认证信息需保持一致，包括主办单位名称、证件类型、证件号码。 说明： 如果域名注册人（域名持有者）实名认证信息与备案主体信息（主办单位名称或主体负责人）不一致时，即域名注册者为公司股东、单位主要负责人或高级管理人员，可提供相关证明材料上传至备案系统。 相关链接： 个人备案与单位备案FAQ 修改域名所有者 域名已备案，证件未备案 证件住址：个人备案请填写个人身份有效证件上的地址； 通讯地址：请按实际的办公地址填写，该地址需要与证件签发地、备案地所属同一地域。 主办单位负责人信息 手机号：主体负责人手机号码将用于接收工信部备案结果的通知，请准确填写。 即主体负责人信息，一般情况下必须填写法定代表人。 同一个法定代表人有多家公司需要备案时，法定代表人的联系方式需保持一致。 部分省市的管局要求，主体负责人的手机号码归属地需要与备案选择的地域保持一致。如果不一致，请更换其他号码使用，并确保：手机号码真实、有效，为本人所有；手机号码的归属地可查询。 相关链接： 主体负责人必须为法人吗？ 办公电话问题 备案联系方式填写要求 应急电话：必须真实、有效，且是备案主体长期使用的号码，不能填写其他公司的电话。 请确保填写的应急电话唯一，没有重复给其他单位备案使用过。 电子邮件地址：请填写主体负责人真实、有效的邮箱地址。 请确保填写的邮箱地址唯一，没有重复给其他单位备案使用过。 图3 修改主办单位信息 图4 修改主办单位负责人信息 变更网站：根据实际情况选择对应网站，单击“变更”修改对应变更项。 不需变更的项请不要修改，如：您需要修改网站名称，只需在“网站名称”栏录入新名称，其他无变动的信息不做任何修改。 图5 修改网站信息 图6 修改网站负责人信息 上传资料。 根据页面提示上传证件照片或证件彩色扫描件。 主体信息资料和网站信息资料的详细介绍，请参见准备备案材料。 前置审批文件：需要提供前置审批文件的行业，请参见前置审批。 党建证明：新疆维吾尔自治区要求备案时需要提交党建证明。 新疆维吾尔自治区，无论备案主体是否是党员、无论个人备案还是企业备案，新增备案或新增网站时，都需要到当地网信办咨询办理党建证明，否则不可以申请备案。 域名实名认证截图：请参见域名实名认证的信息如何获取。 域名证书：请参见域名证书如何获取。 广东管局《互联网信息服务备案承诺书》：根据广东省通信管理局要求，自2021年6月21日起，所有提交至广东省管局的ICP备案申请（非经营性互联网信息服务备案），均需要签署《互联网信息服务备案承诺书》。详情请参见互联网信息服务备案承诺书。 其他证件：指专项审批类的资料或批文。如金融类企业的金融业务许可证、保险业务许可证，医药类企业的医药备案文件等。请根据企业经营范围判断网站是否涉及其他证件的上传，如不涉及，不需要上传。 更多关于上传资料的常见问题，请参见上传资料与真实性核验。 勾选同意协议，单击“提交初审”。 图7 勾选协议 打开华为云APP备案小程序，完成真实性核验。 网站负责人可使用华为云APP扫描“核验二维码”直接进行真实性核验或在华为云APP登录备案账号根据华为云APP页面提示，完成真实性核验。 扫描二维码，下载并安装华为云APP。 图8 下载华为云APP 网站负责人可使用华为云APP扫描“核验二维码”直接进行真实性核验。 在“真实性核验”页面，单击“去核验”。 图9 真实性核验 网站负责人使用华为云APP扫描“核验二维码”，进行真实性核验。 图10 真实性核验二维码 “核验二维码”有效时间为十分钟，二维码被扫描后或超过十分钟即失效。 若二维码失效可刷新后重新生成“核验二维码”。 网站负责人也可在华为云APP登录备案账号，根据华为云APP页面提示，完成真实性核验。 选择“控制台 > 网站备案”。 图11 登录控制台 在“正在备案中的订单”页面，单击右下角的“继续备案 ”。 在“真实性核验”页面，单击“去核验”。 请网站负责人根据华为云APP页面提示，完成人脸识别。其中： 背景必须为白色背景，面部无遮挡，请确保网站负责人本人操作。 如核验后页面提示“您的真实性核验未通过”需要点击页面下方“重新核验”按钮重新进行视频核验。 如核验后页面提示“恭喜您已通过真实性核验”点击页面下方“确认使用该核验照”后继续提交初审即可。 更多关于真实性核验的常见问题，请参见上传资料与真实性核验。 自2021年6月1日起，在江苏省进行ICP网站备案（非经营性互联网信息服务备案）的客户，需按照“江苏省ICP备案真实性核验工作新要求”进行真实性核验。 图12 真实性核验 提交接入商初审。 确保填写信息准确无误，且真实性核验通过后，勾选“我已阅读并同意《信息安全承诺书》、《协助修改备案在线服务条款》和《互联网信息服务备案承诺书》”，单击“提交初审”。 备案信息提交后，备案专员将在1-2个工作日内进行初审，并以短信及邮件形式通知审核结果。 审核期间我们会拨打您备案信息中的联系电话进行沟通，请保持电话畅通。 如涉及备案信息修改，系统将以邮件形式发送至您在备案系统注册的邮箱，邮件内容可能包含：问题点修改建议、备案申请期间注意事项，以及需要补充哪些资料等重要信息，请注意查收并按指导安排处理。 初审通过后，华为云备案审核专员会将备案申请转交至对应管局处做最终的管局审核。 备案进度查询，请参见怎么了解备案进度。 图13 提交初审 审核结果包括：通过、驳回、待完善资料。 表3 初审结果说明 审核结果 对应的订单状态 状态说明 需要执行的操作 通过 待提交管局 表示您提交的备案订单已通过初审，等待华为云备案专员提交备案资料至当地管局进行审核，如图14所示。 - 驳回 初审驳回 表示华为云备案专员已审核订单，发现提交的备案申请信息不正确（如真实性核验不通过、网站内容存在违规），不满足网站备案相关要求，如图15所示。 请单击“状态”栏的查看初审不通过的原因，并单击“继续备案”修改备案申请，然后重新提交初审。 初审驳回的常见原因与解决方法：请参见初审驳回。 待完善资料 接入商审核为待修改 表示华为云备案专员已审核订单，发现提交的备案申请缺失材料、或填写的信息不完整，不完全满足网站备案相关要求，如图16所示。 请单击“状态”栏的查看审核意见，并单击“去修改信息”进一步完善备案申请，然后重新提交接入商审核。 提交后，订单状态更新为“已修改待审核”。 图14 初审通过 图15 初审驳回 图16 待完善资料 短信核验：2020年8月17日起，所有省份的用户在提交备案申请（“取消接入”备案类型除外）后，还需要完成工信部短信核验，备案申请才能进入管局审核。 如果仅变更主体，验证码将发送至备案信息中填写的主体负责人手机号码。请在24小时内完成主体负责人手机号码的短信核验，避免备案申请被工信部系统自动退回。 如果仅变更网站，验证码将发送至备案信息中填写的网站负责人手机号码。请在24小时内完成网站负责人手机号码的短信核验，避免备案申请被工信部系统自动退回。 如果主体和网站信息均变更，验证码将发送至备案信息中填写的主体负责人、网站负责人手机号码。请在24小时内完成这两个手机号码的短信核验，避免备案申请被工信部系统自动退回。 具体短信核验操作请参见备案短信核验。 管局审核。 备案短信核验通过后，备案申请进入管局审核。审核通过后您的备案即已完成，审核结果会发送至您的短信、邮箱。 2020年8月17日起，管局备案成功后，工信部不再发送备案密码。

None 功能总览 全部 弹性公网IP计费 变更弹性公网IP计费方式 支持IPv6转换 公网IP池 共享带宽 共享流量包 带宽加油包 弹性公网IP计费 弹性公网IP提供“包年/包月”和“按需计费”两种计费方式，不同计费模式下的计费方式和计费项不同。 包年/包月计费模式下的计费项有“按带宽计费”，计费项有带宽费。 按需计费模式下的计费项有“按带宽计费”、“按流量计费”、“加入共享带宽”。 “按带宽计费”的计费项有：带宽费、IP保有费。 “按流量计费”的计费项有：流量费、IP保有费。 “加入共享带宽”的计费项有：带宽费、IP保有费。 发布区域：全部区域 弹性公网IP计费说明 修改带宽大小如何收费？ 如何为弹性公网IP续费，帐号欠费后会有什么影响？ 变更弹性公网IP计费方式 弹性公网IP提供多种计费方式供您灵活选择，使用期间，不同的计费方式支持切换。计费方式变更的场景有： 包年/包月 --> 按需计费； 按需计费 --> 包年/包月； 按需计费（按流量计费） --> 按需计费（按带宽计费）； 按需计费（按带宽计费） --> 按需计费（按流量计费） 。 注：包年/包月EIP不支持与按需、按流量计费EIP直接互转。 发布区域：全部区域 变更弹性公网IP计费方式 支持IPv6转换 弹性公网IP支持IPv4地址和IPv6地址，您可以申请一个全新的IPv6弹性公网IP，也可以将已有的IPv4弹性公网IP转换为IPv6。 开启IPv6转换后，将提供IPv4和IPv6弹性公网IP地址，原有IPv4业务可以快速为IPv6用户提供访问能力。 发布区域：华北-北京一、华北-北京四、华东-上海一、华东-上海二、华南-广州 开启IPv6转换 公网IP池 公网IP池是一种批量EIP开通到管理的专属解决方案，助力您应对批量EIP的管理难题，提升EIP管理效率。公网IP池为EIP分配全动态BGP线路，持续保证网络稳定、高效。 该功能目前正在公测中，需要申请公测通过后，才可以正常使用。 公网IP池相关功能包括：购买公网IP池、修改公网IP池、为公网IP池续费。 发布区域：华北-北京一、华北-北京四、华东-上海一、华东-上海二、华南-广州、中国-香港、亚太-曼谷、亚太-新加坡 申请公网IP池公测 购买公网IP池 共享带宽 共享带宽可以实现多个弹性公网IP共同使用一条带宽。提供区域级别的带宽共享及复用能力，同一区域下的所有已绑定弹性公网IP的弹性云服务器、裸金属服务器、弹性负载均衡等实例共用一条带宽资源。 客户有大量业务在云上时，如果每个弹性云服务器单独使用一条带宽，则需要较多的带宽实例，并且总的带宽费用会较高，如果所有实例共用一条带宽，就可以节省企业的网络运营成本，同时方便运维统计。 华为云提供的共享带宽相关功能包括：申请共享带宽、修改共享带宽、删除共享带宽、添加弹性公网IP到共享带宽、从共享带宽中移出弹性公网IP。 发布区域：全部区域 申请共享带宽 添加弹性公网IP到共享带宽 共享流量包 共享流量包是一款带宽流量套餐产品，使用方便，价格实惠。购买共享流量包后立即生效，并自动抵扣按需按流量计费的EIP带宽产生的流量资费，直到流量包用完或到期。 支持两种类型的共享流量包，静态BGP类型支持抵扣按需按流量的静态BGP带宽流量资费，动态BGP类型支持抵扣按需按流量的动态BGP带宽流量资费。 共享流量包支持包月和包年两种规格，包年价格更优惠，支持购买多个共享流量包，优先抵扣快到期的流量包。 发布区域：华北-北京一、华北-北京四、华北-乌兰察布一、华东-上海一、华东-上海二、华南-广州、华南-广州-友好用户环境、西南-贵阳一、中国-香港、亚太-曼谷、亚太-新加坡、非洲-约翰内斯堡、拉美-圣保罗一、拉美-圣地亚哥 购买共享流量包 带宽加油包 带宽加油包用来临时调大带宽上限，适用于在有效期内的包年包月独享带宽和共享带宽。 当某个时间段业务量激增（例如：双11），需要在这个时间段临时调整带宽规格，您可以通过购买带宽加油包，设置有效期时间来解决。加油包到期将自动失效，恢复到原来的带宽规格。 华为云提供的带宽加油包相关功能包括：购买带宽加油包、修改带宽加油包和退订带宽加油包。 发布区域：华北-北京一、华北-北京四、华东-上海一、华东-上海二、华南-广州、西南-贵阳一、中国-香港 购买带宽加油包 修改带宽加油包

步骤六：规划和创建VPC（操作主体：网络管理组成员） 以上面集团公司为例，需要针对每个子账号（部门A、部门A3、分公司F）提供多种运行环境：生产环境、开发环境、测试环境，各个运行环境之间需要有一定的安全隔离措施。VPC之间的网络默认不通，具备很好的隔离性，所以推荐在大企业中采用VPC来创建隔离的运行环境，通常一个VPC对应一个隔离的运行环境，推荐的VPC规划如图1所示，具体考量因素如下： 一个VPC不能跨子账号，所以不能让不同子账号下面的企业项目共享一个VPC，每个子账号都有自己独立的生产、开发和测试VPC。 在生产环境内，由于安全隔离要求较高，将各个企业项目的应用系统和数据库系统放在不同的子网，通过网络ACL或安全组对子网间通信进行安全访问控制。 在开发和测试环境内，企业项目A1开发、A1测试、A2开发、A2测试、A31开发对安全隔离要求较高，在开发、测试环境中也要求将应用系统和数据库系统部署在不同的子网；而企业项目A32测试、A331开发、A331测试对安全隔离要求较低，在开发、测试环境中将应用系统和数据库系统部署在同一个子网。 同一个企业项目在同一运行环境的应用子网和数据子网建议尽量放在同一个可用区内，应用系统和数据库系统之间进行跨可用区通信会引入1-2毫秒的网络时延。例如，企业项目“A1生产”对应的两个子网“A1应用子网”和“A1数据子网”应该设置为在同一个可用区。 需要考虑不同子账号下的应用系统之间的交互关系，如果位于不同子账号下的应用系统需要互通，这对应的VPC的网段就不要产生冲突。例如，如果部门A下面的A1生产系统需要与部门A3下面的A31生产系统进行交互，则对应的两个VPC“VPC_部门A_生产”和“VPC_部门A3_生产”的网段不能冲突。 有频繁交互关系的VPC尽量创建在同一个区域内，否则跨区域的VPC通信需要额外购买带宽包。 图1 集团公司的VPC规划 规划完VPC之后需要在华为云上将其创建出来，以集团公司的部门A为例，使用一个网络管理组的成员登录华为云，进入VPC控制台，按照图1的VPC规划为部门A创建生产、开发、测试VPC，并为每个企业项目创建相应的应用子网和数据子网。由于这几个VPC内的网络由多个企业项目共享使用，所以创建这些VPC的时候，可以选择归属到default企业项目。 涉及到的操作如下： 网络规划：在创建VPC之前，您需要根据具体的业务需求规划VPC的数量、子网的数量、IP网段划分和互连互通方式等。 创建虚拟私有云和子网：当创建新账户或账户余额不足时，主账号可以对现金账户进行充值操作。

操作步骤 在PC端登录华为云备案系统。 使用华为云帐号登录华为云备案系统。 图1 登录备案系统 选择“地域”，系统弹窗提示下载并使用华为云APP备案。 为了缩短备案时间，提高备案效率，华为云推出APP备案方式，让您在手机端即可完成ICP备案。华为云APP备案支持证件智能识别和人脸识别功能，电子化的核验方式让流程更简单，备案更便捷。 如需切换使用APP备案，请扫描下方二维码，下载华为云APP执行后续操作。 如需继续使用PC备案，请单击右上角的。 图2 推荐您使用华为云APP备案 验证备案类型。 在“验证备案类型”页面，按提示填写信息，然后单击“验证备案类型”。 系统将根据填写的域名和证件，自动校验备案类型。更多内容，请参见验证备案类型注意事项。 表1 验证备案类型参数说明 参数 说明 地域 对于个人备案，请根据您的身份证所在地、或实际居住地选择备案提交的地域。是否允许跨省备案，需以各地管局要求为准。 对于单位备案，请根据主体证件签发地（如营业执照工商注册地），选择备案提交的地域。不能选择非企业主体证件签发地的省份。 主办单位性质 请按照实际单位性质进行选择。 如：企业法定代表人请选择“企业”，事业法定代表人请选择“事业单位”。 其中，个人备案与单位备案的介绍，请参见个人备案与单位备案FAQ。 证件类型 请根据主办单位性质，选择正确的证件类型。 证件号码 请输入主办单位证件号码。 域名 请填写需备案的域名，格式如huaweicloud.com。 图3 验证备案类型 判断是否需要“认领备案”。 如果系统检测到您填写的域名和主体信息已在“原华为云备案系统”备案过，将提示您认领备案，如图4所示。此时，请先执行认领备案，然后再继续履行备案申请。 图4 认领备案 如果系统提示您进行产品验证，说明不需要认领备案，请继续执行。 填写ICP备案申请。 产品验证。 云服务类型：选择用于备案的服务器，并单击“验证”。如果提示没有可用资源，请购买服务器，详情请参见准备可备案服务器。 表2 云服务类型参数说明 云服务类型 说明 相关链接 ECS 使用弹性云服务器（含云耀云服务器）备案时，选择“ECS”。 弹性云服务器（含云耀云服务器）需包月3个月及以上（包含多次续费后累计时长），且有“包年/包月”计费模式（包月3个月及以上）的弹性公网IP。如果不满足条件，系统无法搜索到对应资源。 一台服务器是否可以多次办理备案 什么是“用于备案的资源” 为什么提示“备案授权码无效” 提示“用于备案的资源已达最大使用次数”怎么办 如何获取及使用备案授权码 准备可备案服务器 备案授权码 如需使用跨帐号的资源备案，请选择“备案授权码”。“包年包月”购买弹性云服务器及弹性公网IP资源的，可生成备案授权码。 备案授权码：请输入备案授权码。每个备案授权码可以备案一个网站，不能重复使用。 建站市场 使用云速建站、云速邮箱产品备案时，选择“建站市场”。 云速建站、云速邮箱，需包月3个月及以上（包含多次续费后累计时长）。 一个云速建站或云速邮箱支持备案1个域名，域名备案成功后，不支持更换域名再次备案或相同域名重复备案。 专享客户 详情请参见如何申请为备案“专享客户”。 云容器实例 使用云容器实例备案时，选择“云容器实例”。 选择云服务：云容器实例需包月3个月及以上。如果不满足条件，系统无法搜索到对应资源。 专属云 使用专属云备案时，选择“专属云”。 选择云服务：专属云需包年1年及以上。如果不满足条件，系统无法搜索到对应资源。 NAT网关 使用“公网NAT网关”备案时，选择“NAT网关”。 选择云服务：公网NAT网关需包月3个月及以上。如果不满足条件，系统无法搜索到对应资源。 图5 产品验证 主体信息。 按提示填写本次备案的主体信息，参数说明如表3所示。 表3 主体信息参数说明 类别 参数 要求 主办单位信息 单位名称：个人备案请填写个人身份有效证件上的姓名； 即主体信息，备案的主体信息应与域名持有者信息保持一致。 个人备案：备案负责人信息与域名注册人实名认证信息需保持一致，包括姓名、证件类型、证件号码。 单位备案：备案主体信息（主办单位名称或主体负责人）与域名注册人（域名持有者）实名认证信息需保持一致，包括主办单位名称、证件类型、证件号码。 说明： 如果域名注册人（域名持有者）实名认证信息与备案主体信息（主办单位名称或主体负责人）不一致时，即域名注册者为公司股东、单位主要负责人或高级管理人员，可提供相关证明材料上传至备案系统。 相关链接： 个人备案与单位备案FAQ 修改域名所有者 域名已备案，证件未备案 证件住址：个人备案请填写个人身份有效证件上的地址； 通讯地址：请按实际的办公地址填写，该地址需要与证件签发地、备案地所属同一地域。 主办单位负责人信息 手机号：主体负责人手机号码将用于接收工信部备案结果的通知，请准确填写。 即主体负责人信息，一般情况下必须填写法定代表人。 同一个法定代表人有多家公司需要备案时，法定代表人的联系方式需保持一致。 部分省市的管局要求，主体负责人的手机号码归属地需要与备案选择的地域保持一致。如果不一致，请更换其他号码使用，并确保：手机号码真实、有效，为本人所有；手机号码的归属地可查询。 相关链接： 主体负责人必须为法人吗？ 办公电话问题 备案联系方式填写要求 应急电话：必须真实、有效，且是备案主体长期使用的号码，不能填写其他公司的电话。 请确保填写的应急电话唯一，没有重复给其他单位备案使用过。 电子邮件地址：请填写主体负责人真实、有效的邮箱地址。 请确保填写的邮箱地址唯一，没有重复给其他单位备案使用过。 图6 填写主体信息 网站信息。 网站名称：个人网站、企业网站名称的具体要求，请参见网站名称要求。 网站IP：备案服务器的公网IP地址。 您可以登录华为云控制台，查询备案资源的公网IP地址。如果是使用备案授权码备案，需填写生成备案授权码的弹性云服务器公网IP地址。 如果只有一个IP地址，请参见单个IP怎么填写IP地址段起始。 网站服务内容：网站内容必须与主办单位性质相符。 服务类型：各服务类型参数说明如表4所示。 表4 服务类型参数说明 参数 说明 网站应用服务 通常指官网类或电商网站选择网站应用服务等。 邮件应用服务 通常指电子邮件服务，搭建邮箱等。 文件应用服务 通常指存文件数据，支持多种上传文件格式，如服务器内存储图片、代码、音乐，一般用作调用接口使用等。 数据应用服务 通常指存储某种格式编程代码文件数据，一般用作调用接口使用等。 APP应用服务 通常指手机、平台电脑上的APP等。 微信号应用服务 通常指微信订阅号、公众号、服务号等。 网站语言：指网站内容使用的主要语言。请根据实际情况进行选择，不建议多选。 示例：网站内容的主要语言为中文，部分插件为英文，此时“网站语言”选择“中文”。 前置审批内容：网站若包含“前置或专项审批内容类型”中的项目，请上传相关许可证件或咨询备案所在省主管部门。若不包含相关类型内容，前置审批项不填。 备注：请填写备案审核通过后，网站实际开办的内容。 网站负责人信息：指备案系统网站信息中的负责人，也是网站的主要负责人，单位备案必须为单位内员工，可填法定代表人或单位内其他网站建设管理者；个人备案必须为备案主体本人。 如果网站负责人和主体负责人是同一个人，请勾选“复用**信息”。反之，请勾选“填写新负责人”，并填写网站负责人信息，此时网站负责人和主体负责人的电话、邮箱不能相同。详情请参见备案联系方式填写要求。 网站负责人可以不是公司法定代表人。具体请参见网站负责人必须为法人吗？ 如需添加多个网站，在一个网站信息填写完后，单击“继续添加网站”。更多请参见多域名如何提交备案。 图7 确认网站信息 上传资料。 根据页面提示上传证件照片或证件彩色扫描件。 主体信息资料和网站信息资料的详细介绍，请参见准备备案材料。 前置审批文件：需要提供前置审批文件的行业，请参见前置审批。 党建证明：新疆维吾尔自治区要求备案时需要提交党建证明。 新疆维吾尔自治区，无论备案主体是否是党员、无论个人备案还是企业备案，新增备案或新增网站时，都需要到当地网信办咨询办理党建证明，否则不可以申请备案。 域名实名认证截图：请参见域名实名认证的信息如何获取。 域名证书：请参见域名证书如何获取。 广东管局《互联网信息服务备案承诺书》：根据广东省通信管理局要求，自2021年6月21日起，所有提交至广东省管局的ICP备案申请（非经营性互联网信息服务备案），均需要签署《互联网信息服务备案承诺书》。详情请参见互联网信息服务备案承诺书。 其他证件：指专项审批类的资料或批文。如金融类企业的金融业务许可证、保险业务许可证，医药类企业的医药备案文件等。请根据企业经营范围判断网站是否涉及其他证件的上传，如不涉及，不需要上传。 更多关于上传资料的常见问题，请参见上传资料与真实性核验。 勾选同意协议，单击“提交初审”。 图8 勾选协议 打开华为云APP备案小程序，完成真实性核验。 网站负责人可使用华为云APP扫描“核验二维码”直接进行真实性核验或在华为云APP登录备案账号根据华为云APP页面提示，完成真实性核验。 扫描二维码，下载并安装华为云APP。 图9 下载华为云APP 网站负责人可使用华为云APP扫描“核验二维码”直接进行真实性核验。 在“真实性核验”页面，单击“去核验”。 图10 真实性核验 网站负责人使用华为云APP扫描“核验二维码”，进行真实性核验。 图11 真实性核验二维码 “核验二维码”有效时间为十分钟，二维码被扫描后或超过十分钟即失效。 若二维码失效可刷新后重新生成“核验二维码”。 网站负责人也可在华为云APP登录备案账号，根据华为云APP页面提示，完成真实性核验。 选择“控制台 > 网站备案”。 图12 登录控制台 在“正在备案中的订单”页面，单击右下角的“继续备案 ”。 在“真实性核验”页面，单击“去核验”。 请网站负责人根据华为云APP页面提示，完成人脸识别。其中： 背景必须为白色背景，面部无遮挡，请确保网站负责人本人操作。 如核验后页面提示“您的真实性核验未通过”需要点击页面下方“重新核验”按钮重新进行视频核验。 如核验后页面提示“恭喜您已通过真实性核验”点击页面下方“确认使用该核验照”后继续提交初审即可。 更多关于真实性核验的常见问题，请参见上传资料与真实性核验。 自2021年6月1日起，在江苏省进行ICP网站备案（非经营性互联网信息服务备案）的客户，需按照“江苏省ICP备案真实性核验工作新要求”进行真实性核验。 图13 真实性核验 提交接入商初审。 确保填写信息准确无误，且真实性核验通过后，勾选“我已阅读并同意《信息安全承诺书》、《协助修改备案在线服务条款》和《互联网信息服务备案承诺书》”，单击“提交初审”。 备案信息提交后，备案专员将在1-2个工作日内进行初审，并以短信及邮件形式通知审核结果。 审核期间我们会拨打您备案信息中的联系电话进行沟通，请保持电话畅通。 如涉及备案信息修改，系统将以邮件形式发送至您在备案系统注册的邮箱，邮件内容可能包含：问题点修改建议、备案申请期间注意事项，以及需要补充哪些资料等重要信息，请注意查收并按指导安排处理。 初审通过后，华为云备案审核专员会将备案申请转交至对应管局处做最终的管局审核。 备案进度查询，请参见怎么了解备案进度。 图14 提交初审 审核结果包括：通过、驳回、待完善资料。 表5 初审结果说明 审核结果 对应的订单状态 状态说明 需要执行的操作 通过 待提交管局 表示您提交的备案订单已通过初审，等待华为云备案专员提交备案资料至当地管局进行审核，如图15所示。 - 驳回 初审驳回 表示华为云备案专员已审核订单，发现提交的备案申请信息不正确（如真实性核验不通过、网站内容存在违规），不满足网站备案相关要求，如图16所示。 请单击“状态”栏的查看初审不通过的原因，并单击“继续备案”修改备案申请，然后重新提交初审。 初审驳回的常见原因与解决方法：请参见初审驳回。 待完善资料 接入商审核为待修改 表示华为云备案专员已审核订单，发现提交的备案申请缺失材料、或填写的信息不完整，不完全满足网站备案相关要求，如图17所示。 请单击“状态”栏的查看审核意见，并单击“去修改信息”进一步完善备案申请，然后重新提交接入商审核。 提交后，订单状态更新为“已修改待审核”。 图15 初审通过 图16 初审驳回 图17 待完善资料 短信核验。 2020年8月17日起，所有省份的用户在提交备案申请（“取消接入”备案类型除外）后，还需要完成工信部短信核验，备案申请才能进入管局审核。 对于新增备案，验证码将发送至备案信息中填写的主体负责人、网站负责人手机号码。请在24小时内完成两个手机号码的短信核验，避免备案申请被工信部系统自动退回。 具体短信核验操作请参见备案短信核验。 管局审核。 备案短信核验通过后，备案申请进入管局审核。审核通过后您的备案即已完成，审核结果会发送至您的短信、邮箱。 2020年8月17日起，管局备案成功后，工信部不再发送备案密码。

单服务页面 单服务包括两类：安全云服务和专家咨询服务，其中，安全云服务包括移动应用安全、代码检查和漏洞扫描，专家咨询服务包括研发安全SDL培训、隐私合规咨询和移动应用安全专家服务。 表5 单服务页面列表 服务类别 服务名称 说明 安全云服务 移动应用安全 添加移动应用安全任务，上传.apk或.hap文件，扫描其中的漏洞、隐私等问题，了解更多。 代码检查 页面建设中。 漏洞扫描 单击菜单名，跳转到漏洞扫描服务控制台总览页，了解更多。 专家咨询服务 研发安全SDL培训 SDL（Security Development Lifecycle，安全开发生命周期）是为了应对愈发严峻的网络安全挑战而建立、发展的一系列方法论与最佳实践。华为SDL更是与IPD紧密结合，从公司政策、组织、流程、供应链、服务等方面建立和完善可持续、可信赖的覆盖产品研发全流程的安全保障体系。华为研发安全SDL实践高研班已上线云商店，面向研发高管，提供华为研发安全SDL概述、R&D安全保障体系、网络安全技术能力建设等培训课程。 隐私合规咨询 隐私合规咨询，针对于欧盟GDPR、中国隐私保护法、数据安全法的法律法规咨询，以及如何落地研发流程的咨询服务能力。 移动应用安全专家服务 移动应用安全咨询，针对于安卓、鸿蒙应用的移动应用安全检测咨询服务，提供人工检测、修复指导和复测服务，可满足中国四部委针对于移动应用隐私合规的强制性标准要求。 全面覆盖安全合规业务范畴，包含各个环节的指导、落实、督查、整改。 确保合规落实有效，囊括所有安全合规要求，以及落实这些要求对应的实施措施、检查方法。 快速准确直观地展示安全合规问题，并寻找对应解决方案，使安全合规工作标准化、专业化。

功能总览 功能总览 全部 API网关 购买API网关 开放API 调用API 导入导出API 自定义认证 API SDK OBS 2.0支持 API网关 API网关（API Gateway）提供高性能、高可用、高安全的API托管服务，能快速将企业服务能力包装成标准API服务，帮助您轻松构建、管理和部署任意规模的API，并上架API市场进行售卖。借助API网关，可以简单、快速、低成本、低风险地实现内部系统集成、业务能力开放及业务能力变现。API网关帮助您变现服务能力的同时，降低企业研发投入，让您专注于企业核心业务，提升运营效率。 支持区域： 华北-北京四 华北-乌兰察布一 华东-上海一 华南-广州 西南-贵阳一 中国-香港 亚太-曼谷 亚太-新加坡 非洲-约翰内斯堡 拉美-墨西哥城二 拉美-圣保罗一 拉美-圣地亚哥 API网关服务应用场景 API网关服务介绍【视频】 产品规格差异 OBS 2.0支持 OBS 2.0支持 购买API网关 修改子网网络信息 本小节指导您顺利购买专享版实例，实例创建完成后，才能创建API并对外提供服务。如果您对服务的性能需求不大，可使用共享版API网关，直接创建与管理API，而无需单独购买专享版实例。 删除子网 当无需使用子网、需要释放网络资源时，可删除子网。 支持区域： 华北-北京四 华北-乌兰察布一 华东-上海一 华南-广州 西南-贵阳一 中国-香港 亚太-曼谷 亚太-新加坡 非洲-约翰内斯堡 拉美-墨西哥城二 拉美-圣保罗一 拉美-圣地亚哥 创建与管理API 购买专享版实例 修改专享版实例 OBS 2.0支持 开放API 主要介绍企业或开发者如何通过API网关开放自身的服务与数据，实现业务能力变现。 支持区域： 华北-北京四 华北-乌兰察布一 华东-上海一 华南-广州 西南-贵阳一 中国-香港 亚太-曼谷 亚太-新加坡 非洲-约翰内斯堡 拉美-墨西哥城二 拉美-圣保罗一 拉美-圣地亚哥 入门 OBS 2.0支持 调用API 主要介绍企业或开发者如何获取并调用他人在API网关开放的API，减少开发时间与成本。 支持区域： 华北-北京四 华北-乌兰察布一 华东-上海一 华南-广州 西南-贵阳一 中国-香港 亚太-曼谷 亚太-新加坡 非洲-约翰内斯堡 拉美-墨西哥城二 拉美-圣保罗一 拉美-圣地亚哥 入门 错误码 OBS 2.0支持 导入导出API API开放者可以将Swagger格式的API导入API网关。 API开放者和API调用者可以将API网关中的API导出。 支持区域： 华北-北京四 华北-乌兰察布一 华东-上海一 华南-广州 西南-贵阳一 中国-香港 亚太-曼谷 亚太-新加坡 非洲-约翰内斯堡 拉美-墨西哥城二 拉美-圣保罗一 拉美-圣地亚哥 限制与兼容性说明 导入API 导出API OBS 2.0支持 自定义认证 开发者可以通过不同的认证方式调用API。如果您需要使用自定义认证，可以参考本章节执行。 支持区域： 华北-北京四 华北-乌兰察布一 华东-上海一 华南-广州 西南-贵阳一 中国-香港 亚太-曼谷 亚太-新加坡 非洲-约翰内斯堡 拉美-墨西哥城二 拉美-圣保罗一 拉美-圣地亚哥 创建用于前端自定义认证的函数 创建用于后端自定义认证的函数 OBS 2.0支持 API API网关提供了REST（Representational State Transfer）风格API，支持您通过HTTPS请求调用。 支持区域： 华北-北京四 华北-乌兰察布一 华东-上海一 华南-广州 西南-贵阳一 中国-香港 亚太-曼谷 亚太-新加坡 非洲-约翰内斯堡 拉美-墨西哥城二 拉美-圣保罗一 拉美-圣地亚哥 API概览 快速入门 权限策略和授权项 OBS 2.0支持 SDK API网关开放的API，安全认证方式可选IAM认证、APP认证或无认证。本操作主要提供APP认证的SDK下载以及文档。 支持区域： 华北-北京四 华北-乌兰察布一 华东-上海一 华南-广州 西南-贵阳一 中国-香港 亚太-曼谷 亚太-新加坡 非洲-约翰内斯堡 拉美-墨西哥城二 拉美-圣保罗一 拉美-圣地亚哥 APIG SDK

等保安全 认证测试中心为您量身定制等保合规整改方案，指导您进行安全服务的选型和部署，对您的网络、主机、数据库、安全管理制度等进行整改，优选具有资质的权威等保测评机构，提供专业的测评报告或差距分析报告或整改解决方案。 等保安全服务提供基础版、高级版和APP检查3个服务版本，服务内容和典型应用场景如表1所示。您可根据实际业务需求，选择购买需要的服务版本。 表1 等保安全服务说明 服务类型 服务内容 典型应用场景 基础版 助手式服务，华为云安全专家远程支持。 仅提供等保的安全整改方案。 定级系统的服务器数量<=10。 权威机构的测评服务。 适用于具备以下条件的政府、金融等机构： 您是非首次测评，有专业安全人员，知道怎么过等保。 您的系统简单，如一般门户网站。 高级版 教练式服务，华为云安全等保专家现场支持。 提供等保全流程的贴身指导服务（协助系统定级备案、差距分析、规划设计、落实整改、等级测评、安全保障）。 权威机构的测评服务。 适用于具备以下条件的政府、金融等机构： 您是首次测评，无专业安全人员，不知道怎么过等保。 您的系统复杂，包含重要信息。 希望全面提升系统的整体安全防护能力。 APP检查 APP合规建设检查，提供iOS/安卓APP等保合规检测服务 -

功能总览 功能总览 全部 独享型负载均衡实例 混合负载均衡（独享型） 高级转发策略（独享型） 慢启动（独享型） xxx-WITH-1-3安全策略（独享型） QUIC协议（独享型） IPv6双栈（独享型） 全链路HTTPS（独享型） 添加后端服务器时可选择网卡（独享型） 超时时间可配置 SNI：多域名访问（独享型） HTTP/2 独享型负载均衡支持 独享型负载均衡实例 独享型负载均衡实例是华为云新推出的一种弹性负载均衡实例。相比于共享型负载均衡，独享型负载均衡实例资源独享，实例的性能不受其它实例的影响，您可根据业务需要创建不同规格的实例。 同时独享型负载均衡实例支持自定义多AZ部署负载均衡集群，保证了负载均衡的高可用性。 支持区域：华北-北京四、华北-乌兰察布一、华东-上海一、华南-广州、西南-贵阳一、亚太-曼谷、中国-香港、亚太-新加坡、拉美-圣保罗一 独享型负载均衡与共享型负载均衡的区别 创建独享型负载均衡器 独享型负载均衡支持 混合负载均衡（独享型） 独享型负载均衡实例支持混合负载均衡的能力，后端服务器组不仅支持添加云上VPC内的服务器，还支持添加其他VPC、其他Region、云下数据中心的服务器。帮助用户根据业务诉求灵活配置，将流量请求转发到云上、云间或云下的服务器上。 使用混合负载均衡能力，请注意以下约束： 使用前请在负载均衡的“基本信息页面”，开启“跨VPC后端”的开关。 “跨VPC后端”的开关开启后无法关闭。 添加跨VPC的后端时，只支持通过IPv4类型的IP地址添加后端服务器。 只有TCP，HTTP，HTTPS类型监听器支持混合负载均衡能力。 跨VPC的后端云服务器的安全组规则必须放通负载均衡器的后端子网网段，否则会导后端业务流量与健康检查异常。 通过跨VPC后端功能添加的后端服务器，默认的源地址透传功能会失效。请使用TOA模块获取客户端IP地址。 支持区域：华北-北京四、华北-乌兰察布一、华东-上海一、华南-广州、西南-贵阳一、亚太-曼谷、中国-香港、亚太-新加坡、拉美-圣保罗一 配置混合负载均衡（独享型） 独享型负载均衡支持 高级转发策略（独享型） 独享型负载均衡创建HTTP和HTTPS监听器时，不仅支持基于域名和URL转发流量到指定的后端服务器组，还支持高级转发策略。高级转发策略支持基于HTTP请求方法、HTTP请求头、查询字符串和访问网段等信息，转发流量至后端服务器组或发至指定URL。同时还支持自定义返回码和返回文本信息，灵活支撑用户的各种业务场景。 支持区域：华北-北京四、华东-上海一、华南-广州、西南-贵阳一、中国-香港、亚太-新加坡 转发策略（独享型） 独享型负载均衡支持 慢启动（独享型） 弹性负载均衡支持七层（HTTP/HTTPS）后端协议开启慢启动功能，在设置的慢启动时间内线性增加请求分配权重，达到请求数线性增加的目的。当慢启动时间结束后，负载均衡向后端服务器发送完整比例的流量请求。慢启动能够实现业务的平滑启动，完美避免业务抖动问题。当弹性负载均衡器检测到开启慢启动的后端服务器组内的某台后端服务器状态为正常时，这台后端服务器会进入慢启动状态。 后端服务器在以下两种状态会退出慢启动状态。 1、到达已设定的慢启动时间。 2、慢启动时间内后端服务器变为异常。 变为异常而退出慢启动的后端服务器再次加入时，如果检测正常会重新进入到慢启动状态。 支持区域：华东-上海一、华北-乌兰察布一、西南-贵阳一、亚太-曼谷、中国-香港、拉美-圣保罗一 配置慢启动（独享型） 独享型负载均衡支持 xxx-WITH-1-3安全策略（独享型） 独享型负载均衡实例创建HTTPS监听器时新增两个安全策略：TLS-1-0-WITH-1-3和TLS-1-2-FS-WITH-1-3。这两个安全策略支持TLS 1.3协议，帮助用户提升安全验证的等级。 支持区域：华北-北京四、华东-上海一、华南-广州、西南-贵阳一、中国-香港、亚太-新加坡、亚太-曼谷、华北-乌兰察布一 安全策略 独享型负载均衡支持 QUIC协议（独享型） 前端协议为UDP协议时，独享型负载均衡实例支持使用QUIC（Quick UDP Internet Connection）作为监听器的后端协议。配合连接ID算法，将同一个连接ID的请求转发到同一个后端服务器。使用QUIC协议的监听器具有低延迟、高可靠和无队头阻塞的优点，非常适合移动互联网应用。支持在WIFI和运营商网络中无缝切换，而不用重新去建立连接。 支持区域：华北-北京四、华东-上海一、西南-贵阳一 配置QUIC协议的UDP监听器（独享型） 独享型负载均衡支持 IPv6双栈（独享型） 弹性负载均衡支持创建IPv6的公网和私网负载均衡实例，以及IPv4的公网和私网负载均衡实例。支持用户按照自身业务场景，灵活组装创建。 支持区域：华北-北京四、华北-乌兰察布一、华东-上海一、华南-广州、西南-贵阳一、亚太-曼谷、中国-香港、亚太-新加坡、拉美-圣保罗一 如何创建IPv6负载均衡实例 独享型负载均衡支持 全链路HTTPS（独享型） 弹性负载均衡支持前端协议和后端协议均为HTTPS，可以在负载均衡和后端服务器验证访问链接的合法性，提升业务的安全性。全链路HTTPS支持在负载均衡和后端服务器上分别做双向验证。 支持区域：华北-北京四、华北-乌兰察布一、华东-上海一、华南-广州、西南-贵阳一、亚太-曼谷、中国-香港、拉美-圣保罗一 添加HTTPS监听器 独享型负载均衡支持 添加后端服务器可选择网卡（独享型） 独享型负载均衡添加后端服务器时，可以选择云服务器的主网卡或扩展网卡转发流量。 支持区域：华北-北京四、华北-乌兰察布一、华东-上海一、华南-广州、西南-贵阳一、亚太-曼谷、中国-香港、拉美-圣保罗一 添加或移除后端服务器（独享型） 添加或移除后端服务器（共享型） 共享型负载均衡、独享型负载均衡支持 超时时间可配置 弹性负载均衡支持配置和修改监听器的超时时间（空闲超时时间、请求超时时间、响应超时时间），方便用户根据自身业务情况，自定义调整超时时间。例如，HTTP/HTTPS协议客户端的请求文件比较大，可以增加请求超时时间，以便能够顺利完成文件的传输。 当前共享型负载均衡器支持修改TCP/HTTP/HTTPS协议的超时时间，但是不支持修改UDP的超时时间。独享型负载均衡支持修改TCP/UDP/HTTP/HTTPS协议的超时时间。 共享型负载均衡：华北-北京一、华北-北京四、华北-乌兰察布一、华东-上海一、华东-上海二、华南-广州、西南-贵阳一、亚太-曼谷、中国-香港、亚太-新加坡、拉美-圣保罗一 独享型负载均衡：华北-北京四、华北-乌兰察布一、华东-上海一、华南-广州、西南-贵阳一、亚太-曼谷、中国-香港、亚太-新加坡、拉美圣保罗一 添加自定义超时时间的监听器 共享型负载均衡、独享型负载均衡支持 SNI：多域名访问 SNI（Server Name Indication）是为了解决一个服务器使用多个域名和证书的TLS扩展，主要应用于后台应用对外提供多个域名的访问，并且每个域名都使用独立的证书的场景。例如，单IP地址多域名场景。 开启SNI后，允许客户端在发起SSL握手请求时就提交请求的域名信息，负载均衡收到SSL请求后，会根据域名去查找证书。如果找到域名对应的证书，则返回该证书；如果没有找到域名对应的证书，则返回缺省证书。负载均衡在配置HTTPS 监听器支持此功能，即支持绑定多个证书。 共享型负载均衡：所有区域 独享型负载均衡：所有区域 配置SNI 共享型负载均衡、独享型负载均衡支持 HTTP/2 HTTP/2，即超文本传输协议 2.0，是下一代HTTP协议。使用HTTP/2协议可以提升客户端到负载均衡间的访问性能。如果您已创建了HTTPS监听器，可以在已创建的HTTPS监听器中开启或者关闭“HTTP/2”协议。 开启HTTP/2协议仅影响客户端到负载均衡之间的连接，负载均衡到后端服务器之间仍采用HTTP1.x协议。 共享型负载均衡：所有区域 独享型负载均衡：华北-北京四、华北-乌兰察布一、华东-上海一、华南-广州、西南-贵阳一、亚太-曼谷、中国-香港、亚太-新加坡、拉美圣保罗一 HTTP/2

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的云安全挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 各类各项云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。 华为云租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类各项云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统，虚拟防火墙、API 网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置，负责连接到物联网云平台的设备的自身安全。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型

示例 请求示例 POST https://{endpoint}/v1/{project_id}/nlp-fundamental/keyword-extractionRequest Header: Content-Type: application/json X-Auth-Token: MIINRwYJKoZIhvcNAQcCoIINODCCDTQCAQExDTALBglghkgBZQMEAgEwgguVBgkqhkiG...Request Body:{ "text": "华为技术有限公司成立于1987年，总部位于广东省深圳市龙岗区。华为是全球领先的信息与通信技术（ICT）解决方案供应商，专注于ICT领域，坚持稳健经营、持续创新、开放合作，在电信运营商、企业、终端和云计算等领域构筑了端到端的解决方案优势，为运营商客户、企业客户和消费者提供有竞争力的ICT解决方案、产品和服务，并致力于实现未来信息社会、构建更美好的全联接世界。", "limit": 8, "lang": "zh"} Python3语言请求代码示例 # -*- coding: utf-8 -*-# 此demo仅供测试使用，建议使用sdk。需提前安装requests，执行pip install requestsimport requestsimport jsondef nlp_demo(): url = 'https://{endpoint}/v1/{project_id}/nlp-fundamental/keyword-extraction' # endpoint和project_id需替换 token = '用户对应region的token' header = { 'Content-Type': 'application/json', 'X-Auth-Token': token } body = { 'text': '华为技术有限公司成立于1987年，总部位于广东省深圳市龙岗区。华为是全球领先的信息与通信技术（ICT）解决方案供应商，专注于ICT领域，坚持稳健经营、持续创新、开放合作，在电信运营商、企业、终端和云计算等领域构筑了端到端的解决方案优势，为运营商客户、企业客户和消费者提供有竞争力的ICT解决方案、产品和服务，并致力于实现未来信息社会、构建更美好的全联接世界。', 'limit': 8, 'lang': 'zh' } resp = requests.post(url, data=json.dumps(body), headers=header) print(resp.text)if __name__ == '__main__': nlp_demo() Java语言请求代码示例 import java.io.BufferedReader;import java.io.InputStream;import java.io.InputStreamReader;import java.io.OutputStreamWriter;import java.net.HttpURLConnection;import java.net.URL;/** * 此demo仅供测试使用，建议使用sdk */public class NLPDemo { public void nlpDemo() { try { //endpoint和projectId需要替换成实际信息。 URL url = new URL("https://{endpoint}/v1/{project_id}/nlp-fundamental/keyword-extraction"); String token = "对应region的token"; HttpURLConnection connection = (HttpURLConnection) url.openConnection(); connection.setRequestMethod("POST"); connection.setDoInput(true); connection.setDoOutput(true); connection.addRequestProperty("Content-Type", "application/json"); connection.addRequestProperty("X-Auth-Token", token); //输入参数 String text = "华为技术有限公司成立于1987年，总部位于广东省深圳市龙岗区。华为是全球领先的信息与通信技术（ICT）解决方案供应商，专注于ICT领域，坚持稳健经营、持续创新、开放合作，在电信运营商、企业、终端和云计算等领域构筑了端到端的解决方案优势，为运营商客户、企业客户和消费者提供有竞争力的ICT解决方案、产品和服务，并致力于实现未来信息社会、构建更美好的全联接世界。"; String body = "{\"text\":\"" + text + "\",\"limit\": 5}"; OutputStreamWriter osw = new OutputStreamWriter(connection.getOutputStream(), "UTF-8"); osw.append(body); osw.flush(); InputStream is = connection.getInputStream(); BufferedReader br = new BufferedReader(new InputStreamReader(is, "UTF-8")); while (br.ready()) { System.out.println(br.readLine()); } } catch (Exception e) { e.printStackTrace(); } } public static void main(String[] args) { NLPDemo nlpDemo = new NLPDemo(); nlpDemo.nlpDemo(); }} 响应示例 成功响应示例 { "words": [ "解决方案", "ICT", "信息", "企业", "领域", "技术", "运营商", "华为" ]} 失败响应示例 { "error_code": "NLP.0301", "error_msg": "argument valid error:lang.only support language:zh;"}

术语 术语名称 描述 物联网 顾名思义，物联网就是物物相连的互联网。 NB-IoT/LPWA NB-IoT是IoT领域一个新兴的技术，支持低功耗设备在广域网的蜂窝数据连接，也被叫作低功耗广域网LPWAN，该项技术是目前华为公司最重要的物联网技术之一。 LiteOS SDK LiteOS SDK是Huawei LiteOS软件开发工具包（Software Development Kit），包括端云互通组件、FOTA、JS引擎、传感框架等内容。 南向设备 用于采集数据的嵌入式设备，比如STM32开发板，或者温湿度采集的传感器等。 北向应用 用于查看IoT云平台上南向设备上报数据或者给南向设备下发控制命令的手机APP或者PC端的应用程序。 设备profile 用于描述南向设备具有的能力以及上报的数据的格式的一组json格式文件，这些文件需要上传到IoT云平台上。 编解码插件 用于将南向设备上报的私有数据解析成设备profile描述的并且IoT云平台能够识别和存储的数据，以及将北向应用下发的命令编码成南向设备能够识别的数据格式的一组函数组成的jar文件。简而言之就是南向设备和云平台之间的一个数据转换的程序。 AT指令 AT指令集是从终端设备（Terminal Equipment，TE)或数据终端设备（Data Terminal Equipment，DTE)向终端适配器(Terminal Adapter，TA)或数据电路终端设备(Data Circuit Terminal Equipment，DCE)发送的。本文通过AT指令操作WIFI或者GSM模组。 端云互通组件 端云互通组件是华为物联网解决方案中，资源受限终端对接到 IoT云平台的重要组件。 华为云IoT 华为云IoT是面向运营商和企业/行业领域的统一开放云平台，支持SIM和非SIM场景的各种联接和联接管理，是华为公司面向IoT解决方案的关键平台部件。主要分为连接管理平台，设备管理平台和应用使能平台等多个部分，负责联通端侧设备与北向应用的核心产品。可以支撑千万级的海量物联网连接。 RESTful Web API REST 指的是一组架构约束条件和原则。满足这些约束条件和原则的应用程序或设计就是 RESTful。目前华为云IoT北向应用提供的就是这样一套规范性API。 LwM2M 轻量化机器对机器协议 CoAP 轻量级受限应用层协议 MQTT 消息队列遥测传输 DTLS 数据传输安全协议 FOTA 固件远程升级 UART 通用异步收发器（异步串行通信口） 编解码插件和设备profile是一对一的关系，即一个设备profile只能对应一个编解码插件。APP和编解码插件的关系是一对多的关系，即一个APP下面可以同时关联多个编解码插件。

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的云安全挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 各类各项云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。 华为云租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类各项云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统，虚拟防火墙、API 网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的云安全挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 各类各项云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。 华为云租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类各项云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统，虚拟防火墙、API 网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的云安全挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 各类各项云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。 华为云租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类各项云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统，虚拟防火墙、API 网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的云安全挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 各类各项云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。 华为云租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类各项云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统，虚拟防火墙、API 网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型

场景示例 本文以图1所示的场景为例。 某跨国企业的企业分支遍布全球，新加坡分公司的内部应用系统平台部署在华南-广州区域的两台服务器上，香港分公司的内部应用系统平台部署在亚太-香港区域的两台服务器上，各个公司的两台服务器作为负载分担关系各自承担一部分访问流量。 为了获取更稳定的应用访问效果，购买全球加速服务后，各地的企业分支可以就近接入华为云的网络，通过华为云骨干网访问应用服务器。 图1 场景拓扑 通过配置全球加速，实现新加坡分公司访问广州服务器的流量通过加速IP（即图1中的Anycast IP）就近从亚太-新加坡接入点进入华为云加速网络，然后通过监听器将客户端的网络访问请求分发至终端节点1和终端节点2，其中终端节点1和终端节点2关联的后端服务器各自分担50%的流量请求。 同理，香港办公室访问香港服务器的流量通过加速IP就近从亚太-香港接入点进入华为云加速网络，然后通过监听器将客户端的网络访问请求分发至终端节点3和终端节点4，其中终端节点3关联的后端服务器分担20%的流量请求，终端节点4关联的后端服务器分担80%的流量请求。

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的云安全挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 各类各项云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。 华为云租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类各项云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统，虚拟防火墙、API 网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的云安全挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 各类各项云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。 华为云租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类各项云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统，虚拟防火墙、API 网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的云安全挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 各类各项云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。 华为云租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类各项云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统，虚拟防火墙、API 网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的云安全挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 各类各项云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。 华为云租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类各项云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统，虚拟防火墙、API 网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的云安全挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 各类各项云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。 华为云租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类各项云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统，虚拟防火墙、API 网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的云安全挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 各类各项云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。 华为云租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类各项云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统，虚拟防火墙、API 网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的云安全挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 各类各项云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。 华为云租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类各项云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统，虚拟防火墙、API 网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的云安全挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 各类各项云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。 华为云租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类各项云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统，虚拟防火墙、API 网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的云安全挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 各类各项云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。 华为云租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类各项云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统，虚拟防火墙、API 网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型

入门指引 默认情况下，在Virtual Private Cloud (VPC) 中的弹性云服务器无法与您自己的数据中心或私有网络进行通信。如果您需要将VPC中的弹性云服务器和您的数据中心或私有网络连通，可以启用虚拟专用网络（VPN）功能。 华为云已上线的VPN类型包括VPN和经典型VPN两类。不同VPN类型差异，请参见表1。 本文中提及的VPN没有特殊说明，默认指专业版VPN。 表1 VPN和经典型VPN差异对比 VPN类型 VPN 经典型VPN 上线区域 华南-广州、华北-北京四、华东-上海一、拉美-墨西哥城二 华北-北京一、华北-北京四、华北-乌兰察布一、华东-上海一、华东-上海二、华南-广州、华南-深圳、西南-贵阳一、中国-香港、亚太-曼谷、非洲-约翰内斯堡、拉美-圣地亚哥 拉美-墨西哥城一、拉美-圣保罗一 页面操作 创建步骤包括VPN网关、对端网关和VPN连接。 详细请参见创建VPN网关、创建对端网关、创建VPN连接。 创建步骤包括VPN网关和VPN连接。 详细请参见创建VPN网关、创建VPN连接。 创建步骤只包括VPN，一步创建完成。 详细请参见购买VPN（墨西哥一/圣保罗一）。 监控能力 带宽监控 连接状态监控 公网探测往返平均时延 公网探测往返最大时延 公网探测丢包率 私网监测往返平均时延 私网监测往返最大时延 私网监测丢包率 带宽监控 连接状态监控 - 网关规格 网关规格包括专业版-300、专业版-1000。 - - 计费方式/计费项 包周期 VPN网关费用+VPN连接费用+带宽费用 按需计费 按流量计费 VPN网关费用+VPN连接费用+公网流量费用 按带宽计费 VPN网关费用+VPN连接费用+VPN网关带宽费用 包周期 经典型VPN网关费用+带宽费用+VPN连接费用 按需计费 按流量计费 经典型VPN网关费用+公网流量费用+VPN连接费用 按带宽计费 经典型VPN网关费用+VPN网关带宽费用+VPN连接费用 使用时长

排查思路 以下排查思路根据原因的出现概率进行排序，建议您从高频率原因往低频率原因排查，从而帮助您快速找到问题的原因。 如果解决完某个可能原因仍未解决问题，请继续排查其他可能原因。 图1 Windows实例访问公网不通排查思路 表1 Windows实例访问公网不通排查思路 可能原因 处理措施 资源状态异常：资源冻结；未开机；未绑定弹性公网IP。 云服务器状态为“运行中”，且绑定弹性公网IP才可以访问公网，详细操作请参考检查资源状态是否正常。 云主机负载过高。 云服务器的带宽和CPU利用率过高导致网络断开，详细操作请参考检查云服务器负载是否过高。 弹性公网IP的带宽超限。 请扩大带宽后重试，详细操作请参考检查弹性公网IP的带宽是否超限。 互联网运营商的劫持或者封堵。 更换手机热点或其他网络测试是否可以正常访问，详细操作请参考检查是否为运营商网络问题。 网络配置错误。 检查网卡配置、DNS配置是否正确，详细操作请参考检查网卡配置。 路由信息配置错误。 查看活动路由中的0.0.0.0默认路由是否指向默认网关，详细操作请参考检查默认路由是否指向默认网关。 安全组配置不正确。 检查安全组是否放通出方向网络流量，详细操作请参考检查云服务器安全组。 检查网络ACL规则。 请取消关联的网络ACL后重试，详细操作请参考检查网络ACL规则。 国际链路问题。 请优化链路后重试，详细操作请参考检查是否为国际链路问题。 （适用于访问中国大陆外，包括中国港澳台及其他国家、地区的网站的场景） 弹性公网IP被封堵。 IP若被封堵，则无法访问外网，详细操作请参考检查弹性公网IP是否被封堵。 防火墙拦截。 测试防火墙关闭后是否可以正常访问，详细操作请参考检查云服务器的防火墙。 网关通信异常。 使用Ping命令判断DNS服务器解析是否正常，详细操作请参考使用Ping命令检查网关通信是否正常。 云服务器系统性能问题。 使用netstat命令检查网络连接状态，详细操作请参考检查云服务器系统性能。 第三方杀毒软件的阻拦。 禁用或者卸载第三方杀毒软件后重试，详细操作请参考检查是否为杀毒软件拦截。 云服务器受病毒或木马影响。 判断云服务器是否受病毒或木马影响，详细操作请参考检查主机安全状态。

给用户组授权 A公司的开发人员需要使用的云服务为ECS、RDS、ELB、VPC、EVS和OBS，需要为“开发人员组”授予这六个服务的管理员权限。测试人员需要使用云服务APM，需要为“测试人员组”授予此服务的权限。完成用户组的授权后，用户组中的用户才可以使用这些云服务。如需查看所有云服务的系统权限，请参见：系统权限。 确定所需权限。 通过查看系统权限，需要设置的权限如表1所示。其中“作用范围”由该服务的物理部署位置决定。对于项目级服务，如果在某个区域的项目中设置策略，则策略只在该项目中生效。 表1 所需权限 用户组 使用的服务 所属区域 设置策略或角色 开发人员组 ECS 除全局区域外的其他区域 ECS FullAccess RDS 除全局区域外的其他区域 RDS FullAccess ELB 除全局区域外的其他区域 ELB FullAccess VPC 除全局区域外的其他区域 VPC FullAccess EVS 除全局区域外的其他区域 EVS FullAccess OBS 全局区域 OBS OperateAccess 测试人员组 APM 除全局区域外的其他区域 APM FullAccess 在用户组列表中，单击新建用户组“开发人员组”，右侧的“权限配置”。 图6 权限配置 在“授权记录”页签中，单击列表左上方的“授权”。 图7 配置用户组权限 设置区域级项目的权限。 由表1可知，除OBS外，其它服务都是项目级服务。在作用范围中选择“区域级项目”，并在下拉框中选择“华东-上海二”。 由于A公司位于上海，因此可以在“华东-上海二”设置权限，这样A公司成员访问华为云可减少网络时延，获得更快的访问速度。设置完成后，开发人员组仅在“华东-上海二”有访问权限，访问其它区域将提示没有权限。 图8 设置区域级项目的权限 勾选需要授予用户组的权限，单击“确定”。 设置全局服务的权限。 在作用范围中选择“全局服务” 图9 设置全局服务的权限 在全局服务中搜索并选择“OBS OperateAccess”，单击“确定”，完成全局服务的授权。 参考步骤2和步骤3的方法，给“测试人员组”授予“华东-上海二”“APM FullAccess”的权限。

端云协同AI应用场景（如车载） 场景关键诉求：因司机分神疲劳驾驶造成的一定的安全风险及交通事故率，希望在司机行驶过程中，对司机进行分神和疲劳驾驶智能检测，并进行实时告警。但若将视频全量上传云侧，需要带宽成本高，且会占用大量存储资源，网络不稳定时也将导致无法检测。另外，希望能灵活增加和管理AI能力。 方案描述：出行设备在出厂时预装HiLens端侧管理模块HiLens Agent，或者在HiLens已支持的设备上，在设备厂商的后台系统通过OTA将HiLens Agent下发。设备上具备HiLens Agent后，车联网业务系统通过网络与出行设备通讯，通过集成HiLens管理面北向接口，便能在业务系统将设备注册到华为HiLens平台，在线安装或更新所需的AI算法和配置算法参数，并进行设备和AI算法的管理和状态监控。在出行方案中的疲劳检测算法的基础检测在设备侧完成，初步判断为疲劳检测后，将就近几秒的视频流上传到云侧，调用云上的疲劳检测算法，再次进行二次精确识别，判断为疲劳检测后则输出结果到车联网业务系统进行业务处理。 方案价值： 端云协同：一次联网部署技能，端侧实时检测，云端二次精准识别，不间断离线推理，快速响应、延迟小、对网络环境依赖低；平台提供统一管理接口。 节约上云成本：减少数据上云宽带和存储成本； 可利旧，降低硬件成本：对于存量设备，可通过设备厂商OTA下发固件，便能将设备纳管到华为云平台和部署AI算法，节省更换设备成本。 算法按需灵活部署：支持按业务需要灵活增加、减少和更新算法。 算法精准优化：专门针对车载场景及设备芯片规格的算力，对算法进行针对性裁剪和优化。 支持第三方算法部署：针对已适配的设备类型，支持第三方将基于ModelBox开发AI应用部署到出行设备中。

操作步骤 登录管理控制台。 在页面左上角单击，选择“安全与合规 > 态势感知”，进入态势感知管理页面。 在左侧导航栏选择“资源管理”，进入资源管理页面。 查看全部资源安全状态，相关说明如表1所示。 图1 资源管理 表1 资源安全状态参数说明 参数名称 参数说明 名称 呈现资源的名称。 服务 呈现资源所属的服务。 区域 呈现资源所属的区域。 资源类型 呈现资源所属的类型。例如：云服务器、磁盘、实例等。 安全状况 呈现资源的安全风险等级。 风险等级包括“致命”、“高危”、“中危”、“低危”、“提示”和“无风险”。 呈现当前资源风险的最高等级。例如，ECS中有高危、低危和提示级别的风险，则此处取最高值，显示为高危。 单击，可按风险等级排序资源列表。 IP地址 呈现资源的IP地址。 防护状态 呈现资源是否开启安全防护。如果未开启防护，可单击“去开启”进行设置。 威胁 呈现资源近7天内存在的威胁告警总数。 单击告警数量可跳转“检测结果”页面，查看更多的威胁告警信息，并可自定义过滤条件查询告警信息。 漏洞 呈现资源近24小时内未修复的漏洞总数。 单击漏洞数量可跳转“检测结果”页面，查看更多的漏洞信息，并可自定义过滤条件查询漏洞信息。 “资源管理”页面中显示的数据为最近/最新检测后的数据结果，“检测结果”页面显示的是所有检测时间的各类数据详情，因此，资源管理页面的数据总数≤检测结果页面的数据总数。 基线 呈现资源近30天内存在的基线风险总数。 单击基线检查异常数量可跳转“检测结果”页面，查看更多的基线异常信息，并可自定义过滤条件查询基线检查信息。 “资源管理”页面中显示的数据为最近/最新检测后的数据结果，“检测结果”页面显示的是所有检测时间的各类数据详情，因此，资源管理页面的数据总数≤检测结果页面的数据总数。 企业项目 呈现资源所属的企业项目。 标签 呈现资源已有的标签。 如果资源当天添加了标签，则在SA资源管理中第二天才会同步显示。 根据资源信息，筛选查看相关资源安全状态。 单击“服务”、“区域”或“安全状况”后的选项，将呈现符合过滤条件的资源列表。 服务：筛选资源所属的服务。选择服务后，还可以根据“资源类型”来查看选择指定资源类型的安全状态。 区域：筛选资源所在的区域。 可选择区域包括“华北-北京一”、“华北-北京四”、“华东-上海一”、“华东-上海二”、“华南-深圳”、“华南-广州”、“西南-贵阳一”或“中国-香港”。 安全状况：筛选资源的安全风险等级。 可选择风险等级包括“致命”、“高危”、“中危”、“低危”、“提示”或“无风险”。 当资源列表较多时，可以通过搜索功能，快速精准查询指定资源。 在搜索框中输入资源的“弹性公网IP地址”、“名称”或“私有IP”，单击，即可查看目标资源的安全状态。

操作步骤 单击左侧导航栏“结构迁移 > 对象迁移”。 在对象迁移页面，单击右上角的“创建项目”按钮。 在创建迁移项目页面，完成信息的填写，具体参见表1。 图1 创建迁移 表1 创建迁移项目参数说明 参数名称 说明 项目名称 项目名称必须唯一。 长度范围为5到50个字符，只允许包含英文字母、数字、下划线、中划线。以字母开头、数字或字母结束。 异常通知方式（可选） 默认方式为SMN主题。 若出现异常情况，是否通过消息通知服务（Simple Message Notification）向用户发送消息。 若需要发送消息，需要先创建SMN主题，具体请参见创建主题。 说明： 后续操作： 创建完主题后，您就可以添加订阅了。完成创建和添加订阅后，后续的告警通知即可通过SMN服务发送到你配置的订阅终端。 跳过预检查（可选） 可选择是否需要跳过预检查。默认为“否”。 选择“是”，则生成的迁移项目，“预检查报告”为空。 说明： 要在目标库上创建对象，用户需要具有一些数据库权限，例如：创建表、创建函数等。如果跳过预检查，则不检查用户是否具有这些权限。 但是，在迁移中，当在目标数据库上执行转换的sql时，可能都会由于缺乏权限而迁移失败。 评估项目名称 下拉选择已有的评估项目。 目标数据库：显示已选定的目标数据库类型。每个租户最多可同时连接5个目标数据库。 目标数据库版本：显示已选定的目标数据库版本。 数据库信息输入方式： 选择实例 数据库实例：选择目标库的实例。 查看数据库实例：单击“查看数据库实例”，可跳转至对应目标数据库的实例管理界面，查看该类实例的相关信息。 查看不可选实例：单击“查看不可选实例”，弹框显示不可选实例的名称及不可选的原因。 数据库名称：依据所选目标库的实例，填写对应的数据库名称。最多50个字符。 用户名：目标数据库的用户名。建议连接用户应具有管理员角色。 密码：目标数据库的密码。 手动输入 网络类型：通过弹性公网IP（Elastic IP，EIP）进行源库连接。 如果目标库网络有IP白名单限制，请将弹性公网IP添加至目标库网络白名单，确保UGO可以连接目标库。 华南-广州弹性公网IP：124.71.59.255 亚太-新加坡弹性公网IP：110.238.109.54 拉美-圣地亚哥弹性公网IP：159.138.116.198 主机IP地址：填写具体目标库主机IP地址。 主机端口：目标数据库的端口。 数据库名称：填写对应的数据库名称。最多50个字符。 用户名：目标数据库的用户名。建议连接用户应具有管理员角色。 密码：目标数据库的密码。 权限检查（可选） 系统管理员：根据系统管理员，检查创建对象的权限。 对象所有者：根据当前用户，检查创建对象的权限。 说明： 仅当目标库为GaussDB(for openGauss)需选择权限检查。 选择schema（可选） 选择已评估项目中的schema，可缩小迁移范围。 默认为“否”（全选），可选择“是”后重新选择评估项目中的schema。 SSL类型（可选） 不使用SSL：将启用不安全协议，存在潜在风险。 无身份验证SSL：将启用安全加密传输。 单项SSL：将对数据库身份进行认证并启用安全加密传输。 标签（可选） 可使用TMS的预定义标签功能将相同的标签添加到不同的云资源中。具体请查看标签管理服务 TMS。 输入一对一的“键”和“值”后单击“添加”。 最多可添加10个标签。具体操作详见标签。 单击“测试连接”进行检查。 测试连接成功：按钮高亮显示，同时“创建”按钮高亮显示。 测试连接失败：弹出“错误”提示框。 单击右下角“创建”。 一个租户下，只能创建10个迁移项目。 创建成功后，单击“确定”。返回对象迁移列表页面。 创建迁移项目后，会自动触发权限检查，若权限检查通过，则“项目状态”显示为“就绪”。 若权限检查未通过，“项目状态”显示为“未就绪”，可手动进行权限检查。

操作步骤 登录UGO控制台。 单击左侧导航栏“结构迁移 > 对象迁移”。 在对象迁移页面，单击右上角的“创建迁移项目”。 在创建迁移项目页面，完成信息的填写，具体参见表1。 图1 创建迁移项目 表1 创建迁移项目参数说明 参数名称 说明 项目名称 项目名称必须唯一。 长度范围为5到50个字符，只允许包含英文字母、数字、下划线、中划线。以字母开头、数字或字母结束。 异常通知方式（可选） 默认方式为SMN主题。 若出现异常情况，是否通过消息通知服务（Simple Message Notification）向用户发送消息。 若需要发送消息，需要先创建SMN主题，具体请参见创建主题。 说明： 后续操作： 创建完主题后，您就可以添加订阅了。完成创建和添加订阅后，后续的告警通知即可通过SMN服务发送到你配置的订阅终端。 跳过权限检查（可选） 可选择是否需要跳过权限检查。默认为“否”。 选择“是”，则生成的迁移项目，“权限检查报告”为空。 说明： 要在目标库上创建对象，用户需要具有一些数据库权限，例如：创建表、创建函数等。如果跳过预检查，则不检查用户是否具有这些权限。 但是，在迁移中，当在目标数据库上执行转换的sql时，可能都会由于缺乏权限而迁移失败。 选择评估项目 下拉选择已有的评估项目。 目标数据库：显示已选定的目标数据库类型。每个租户最多可同时连接5个目标数据库。 目标数据库版本：显示已选定的目标数据库版本。 数据库信息输入方式： 选择实例 数据库实例：选择目标库的实例。若没有可用的数据库例，可在控制台上创建。 查看数据库实例：单击“查看数据库实例”，可跳转至对应目标数据库的实例管理界面，查看该类实例的相关信息。 查看不可选实例：单击“查看不可选实例”，弹框显示不可选实例的名称及不可选的原因。 数据库名称：依据所选目标库的实例，填写对应的数据库名称。最多50个字符。 用户名：目标数据库的用户名。建议连接用户应具有管理员角色。 密码：目标数据库的密码。 手动输入 网络类型：通过弹性公网IP（Elastic IP，EIP）进行源库连接。 如果目标库网络有IP白名单限制，请将弹性公网IP添加至目标库网络白名单，确保UGO可以连接目标库。 华南-广州弹性公网IP：124.71.59.255 亚太-新加坡弹性公网IP：110.238.109.54 拉美-圣地亚哥弹性公网IP：159.138.116.198 主机IP地址：填写具体目标库主机IP地址。 主机端口：目标数据库的端口。 数据库名称：填写对应的数据库名称。最多50个字符。 用户名：目标数据库的用户名。建议连接用户应具有管理员角色。 密码：目标数据库的密码。 权限检查（可选） 系统管理员：根据系统管理员，检查创建对象的权限。 对象所有者：根据当前用户，检查创建对象的权限。 说明： 仅当目标库为GaussDB(for openGauss)需选择权限检查。 选择schema（可选） 选择已评估项目中的schema，可缩小迁移范围。 默认为“否”（全选），可选择“是”后重新选择评估项目中的schema。 SSL类型（可选） 不使用SSL：将启用不安全协议，存在潜在风险。 无身份验证SSL：将启用安全加密传输。 单项SSL：将对数据库身份进行认证并启用安全加密传输。 标签（可选） 可使用TMS的预定义标签功能将相同的标签添加到不同的云资源中。具体请查看标签管理服务 TMS。 输入一对一的“键”和“值”后单击“添加”。 最多可添加10个标签。具体操作详见标签。 单击“测试连接”进行检查。 测试连接成功：按钮高亮显示，同时“创建”按钮高亮显示。 测试连接失败：弹出“错误”提示框。 单击右下角“创建”。 一个租户下，只能创建10个迁移项目。 创建成功后，单击“确定”。返回对象迁移列表页面。 创建迁移项目后，会自动触发权限检查，若权限检查通过，则“项目状态”显示为“就绪”。 若权限检查未通过，“项目状态”显示为“未就绪”，可手动进行权限检查。

功能概览 表1列出了对象存储服务OBS提供的常用功能特性。 在使用对象存储服务OBS之前，建议您先了解对象存储服务OBS的基本概念，以便更好地理解对象存储服务OBS提供的各项功能。 表1 对象存储服务OBS功能概览 功能名称 功能描述 发布区域 OBS 2.0支持 OBS 3.0支持 存储类别 OBS提供了标准存储、低频访问存储、归档存储、深度归档存储（受限公测中）四种存储类别，满足不同场景下客户对存储性能和成本的不同诉求。 全部 √ √ 桶管理 桶是OBS中存储对象的容器。OBS提供创建、列举、搜索、查看、删除等基本功能，帮助您便捷的进行桶管理。 全部 √ √ 对象管理 对象是OBS中数据存储的基本单位。OBS提供上传、下载、列举、搜索、断点续传、多段操作等基本功能，满足您各个场景的对象管理需求。 全部 √ √ 权限管理 OBS通过IAM权限、桶/对象策略和ACL三种方式配合进行权限管理。您可以通过IAM自定义策略授予IAM用户细粒度的OBS权限，也可以对桶和对象设置不同的策略及ACL来控制桶和对象的读写权限。 全部 √ √ 服务端加密 您可以将数据加密后存储到OBS中，提高数据的安全性。OBS提供SSE-KMS和SSE-C两种服务端加密方式。 除亚太-新加坡、拉美以外的所有区域均已发布 √ √ 生命周期管理 您可以通过生命周期规则来管理对象的生命周期，例如定期将桶中的对象删除或者转换对象的存储类别。 全部 √ √ 静态网站托管 您可以将静态网站文件上传至OBS桶中，并对这些文件赋予匿名用户可读权限，然后将该桶配置成静态网站托管模式，以实现在OBS上托管静态网站。 全部 √ √ 跨域资源共享 跨域资源共享（CORS）是由W3C标准化组织提出的一种网络浏览器的规范机制，定义了一个域中加载的客户端Web应用程序与另一个域中的资源交互的方式。而在通常的网页请求中，由于同源安全策略（Same Origin Policy，SOP）的存在，不同域之间的网站脚本和内容是无法进行交互的。OBS支持CORS规范，允许跨域请求访问OBS中的资源。 全部 √ √ 防盗链 为了防止用户在OBS的数据被其他人盗链，OBS支持基于HTTP Header中表头字段Referer的防盗链方法，同时支持访问白名单和访问黑名单的设置。 全部 √ √ 事件通知 您可以设置在桶中发生某些特定事件时收到消息通知服务（SMN）发送的通知，以便及时掌握桶中数据的最新动态。 全部 √ √ 桶标签 桶标签用于标识OBS中的桶，以此来达到对OBS中的桶进行分类的目的。当为桶添加标签时，该桶上所有请求产生的计费话单里都会带上这些标签，从而可以针对话单报表做分类筛选，进行更详细的成本分析。 全部 √ √ 自定义域名 您可以将自定义域名绑定到OBS桶，然后使用自定义域名访问桶中的数据。例如，您需要将网站中的文件迁移到OBS，并且不想修改网页的代码，即保持网站的链接不变，此时可以使用自定义域名绑定功能。 全部 × √ 跨区域复制 您可以创建跨区域复制规则，将您帐号下一个桶（源桶）中的数据自动、异步地复制到不同区域的另外一个桶（目标桶）中。跨区域复制能够为用户提供跨区域数据容灾的能力，满足用户数据复制到异地进行备份的需求。 除拉美-圣保罗一以外的所有区域均已发布 × √ 图片处理 您可以使用图片处理功能对存放在OBS中的图片进行瘦身、剪切、缩放、增加水印、转换格式等操作，并且可以快速获取到处理后的图片。 除中国-香港、非洲-约翰内斯堡、拉美以外的所有区域均已发布 × √ 桶清单 您可以配置一个清单规则，定期扫描桶中指定的对象或拥有相同前缀的对象，生成这些对象的元数据内容，如对象大小、修改时间、存储类别等，并以CSV格式保存到指定的桶中。 除西南-贵阳一、拉美-圣保罗一以外的所有区域均已发布 × √ 并行文件系统 并行文件系统（Parallel File System）是OBS提供的一种经过优化的高性能文件系统，提供毫秒级别访问时延，以及TB/s 级别带宽和百万级别的IOPS，能够快速处理高性能计算（HPC）工作负载。您可以按照标准的OBS接口读取并行文件系统中的数据，也可以利用obsfs工具将创建的并行文件系统挂载到云端Linux服务器上，并能像操作本地文件系统一样对并行文件系统内的文件和目录进行在线处理。 除非洲-约翰内斯堡、拉美以外的所有区域均已发布 × √ 日志管理 您可以通过日志管理功能获取桶的访问数据。开启日志管理功能后，桶的每次操作将会产生一条日志，并将多条日志打包成一个日志文件保存在目标桶中，您可以基于日志文件进行请求分析或日志审计。 全部 √ √ 多版本控制 您可以在一个桶中保留多个版本的对象，使您更方便地检索和还原各个版本，在意外操作或应用程序故障时快速恢复数据。 全部 √ √ 追加写对象 您可以通过AppendObject接口在指定桶内的一个Appendable对象尾追加上传数据。通过AppendObject创建的对象为Appendable对象，通过PutObject创建的对象是Normal对象。 全部 × √ 自定义元数据 您可以添加、修改或删除桶中已上传对象的元数据。 全部 √ √ 桶配额 您可以设置桶空间配额，用以限制单个桶可存储的最大数据量，最大可设置为263-1，单位Byte（字节）。新创建的桶默认不限制配额。 全部 √ √ 归档数据直读 您可以开启桶归档数据直读，实现存储类别为归档存储的对象可以直接下载，无需提前恢复。归档数据直读会收取相应的费用。 华北-北京一、华北-北京四、华东-上海一、华东-上海二、西南-贵阳一、华南-广州 × √ 对象分享 您可以将存放在OBS中的文件或文件夹以临时URL的形式分享给所有用户。分享强调临时性，所有分享的URL都是临时URL，存在有效期。 除西南-贵阳一、拉美-圣保罗一、拉美-圣地亚哥、拉美-亚特兰大以外的所有区域均已发布 √ √ 碎片管理 您可以通过桶的碎片管理功能，对多段上传时某些特殊情况下产生的碎片进行清理，以节省存储空间。 全部 √ √ 企业项目 您可以在创建桶时指定桶所属的企业项目，更方便的进行桶资源和权限管理。 全部 × √ 桶加密 您可以为桶配置默认加密，配置后，上传到桶中的对象都会自动进行加密。 除西南-贵阳一、中国-香港、拉美-圣地亚哥以外的所有区域均已发布 × √ 多AZ 您可以在创桶的时候选择将桶中数据冗余存储在多个可用区，以获得更高的数据可靠性。OBS采用Erasure Code（EC，纠删码）算法做数据冗余，不是以副本的形式存储。 华北-北京四、华东-上海一、华东-上海二、华南-广州、西南-贵阳一、亚太-新加坡 × √ 数据回源 您可以利用数据回源功能，实现向OBS请求数据不存在时，通过回源规则自动从源站获取对应数据。 华北-北京四、华东-上海一、华东-上海二、华南-广州、中国-香港、亚太-曼谷、亚太-新加坡 × √ Data+（公测） Data+是OBS提供的一项数据处理服务，可以对OBS内存储的数据，按照用户编排的工作流进行自动化处理（如解析、转码、截图等）。 公测中： 华北-北京一、华北-北京四、华东-上海一、华东-上海二、亚太-新加坡 × √ 敏感操作保护 OBS控制台支持敏感操作保护，开启后执行删除桶等敏感操作时，系统会进行身份验证，进一步保证OBS配置和数据的安全性。 OBS敏感操作清单请参见敏感操作。 全部 √ √ 在线解压（公测） OBS支持在线解压。您可以将批量文件打包成ZIP包后上传至OBS，上传之后压缩包可以自动解压。 公测中： 华北-北京四、华南-广州、华东-上海一、华东-上海二 × √ 桶配置信息复制 OBS提供了桶配置信息复制功能，方便您在创建新桶之后，快速将已有桶的配置信息复制到新桶中。支持复制的配置信息包括：桶策略、CORS规则、生命周期规则、事件通知规则、数据回源规则、图片处理样式、在线解压规则、Data+事件触发器。 全部 × √ 委托 您可以通过IAM委托其他云服务或华为云帐号管理您的OBS资源。 全部 × √ 监控 您可以通过OBS控制台或者云监控服务（Cloud Eye）控制台监控桶的流量统计和请求次数等指标，方便您及时了解目前资源的使用状况、并合理规划使用计划。 全部 √ √ 审计 您可以通过云审计服务（CTS）对OBS中桶和对象的各类事件操作记录进行收集、存储和查询，用于安全分析、合规审计、资源跟踪和问题定位等。 全部 √ √ 工具 OBS提供OBS Browser+、obsutil、obsfs等多种实用工具，满足不同场景下数据迁移和数据管理需求。 全部 √ √ API OBS提供了REST（Representational State Transfer）风格API，支持您通过HTTP/HTTPS请求调用，实现创建、修改、删除桶，上传、下载、删除对象等操作。 全部 √ √ SDK OBS提供多种开发语言的SDK，帮助您轻松实现二次开发。目前支持：Java、Python、C、Go、BrowserJS、.NET、Android、IOS、PHP、Node.js 全部 √ √

操作步骤 登录管理控制台。 在页面左上角单击，选择“安全与合规 > 态势感知”，进入态势感知管理页面。 在左侧导航栏选择“资源管理”，进入资源管理页面。 查看全部资源安全状态，相关说明如表1所示。 图1 资源管理 表1 资源安全状态参数说明 参数名称 参数说明 名称 呈现资源的名称。 服务 呈现资源所属的服务。 区域 呈现资源所属的区域。 资源类型 呈现资源所属的类型。例如：云服务器、磁盘、实例等。 安全状况 呈现资源的安全风险等级。 风险等级包括“致命”、“高危”、“中危”、“低危”、“提示”和“无风险”。 呈现当前资源风险的最高等级。例如，ECS中有高危、低危和提示级别的风险，则此处取最高值，显示为高危。 单击，可按风险等级排序资源列表。 IP地址 呈现资源的IP地址。 防护状态 呈现资源是否开启安全防护。如果未开启防护，可单击“去开启”进行设置。 威胁 呈现资源近7天内存在的威胁告警总数。 单击告警数量可跳转“检测结果”页面，查看更多的威胁告警信息，并可自定义过滤条件查询告警信息。 漏洞 呈现资源近24小时内未修复的漏洞总数。 单击漏洞数量可跳转“检测结果”页面，查看更多的漏洞信息，并可自定义过滤条件查询漏洞信息。 “资源管理”页面中显示的数据为最近/最新检测后的数据结果，“检测结果”页面显示的是所有检测时间的各类数据详情，因此，资源管理页面的数据总数≤检测结果页面的数据总数。 基线 呈现资源近30天内存在的基线风险总数。 单击基线检查异常数量可跳转“检测结果”页面，查看更多的基线异常信息，并可自定义过滤条件查询基线检查信息。 “资源管理”页面中显示的数据为最近/最新检测后的数据结果，“检测结果”页面显示的是所有检测时间的各类数据详情，因此，资源管理页面的数据总数≤检测结果页面的数据总数。 企业项目 呈现资源所属的企业项目。 标签 呈现资源已有的标签。 如果资源当天添加了标签，则在SA资源管理中第二天才会同步显示。 根据资源信息，筛选查看相关资源安全状态。 单击“服务”、“区域”或“安全状况”后的选项，将呈现符合过滤条件的资源列表。 服务：筛选资源所属的服务。选择服务后，还可以根据“资源类型”来查看选择指定资源类型的安全状态。 区域：筛选资源所在的区域。 可选择区域包括“华北-北京一”、“华北-北京四”、“华东-上海一”、“华东-上海二”、“华南-深圳”、“华南-广州”、“西南-贵阳一”或“中国-香港”。 安全状况：筛选资源的安全风险等级。 可选择风险等级包括“致命”、“高危”、“中危”、“低危”、“提示”或“无风险”。 当资源列表较多时，可以通过搜索功能，快速精准查询指定资源。 在搜索框中输入资源的“弹性公网IP地址”、“名称”或“私有IP”，单击，即可查看目标资源的安全状态。

操作步骤 登录UGO控制台。 单击左侧导航栏“结构迁移 > 数据库评估”。 在评估数据库页面，单击右上角的“创建项目”。 查看源数据库准备和授权，源库准备完成后，单击“启动创建”。 进入基本信息页面，完成基本信息的填写。具体参数详见表1。 基本信息填写完成后，“开始测试”高亮显示。 图1 创建评估项目 表1 基本详情参数说明 参数名称 说明 项目名称 在项目列表中显示的名称。 长度范围为5到50个字符，只允许包含英文字母、数字、下划线、中划线。以字母开头、数字或字母结束。 异常通知方式（可选） 默认方式为SMN主题。 若出现异常情况，是否通过消息通知服务（Simple Message Notification）向用户发送消息。 若需要发送消息，需要先创建SMN主题，具体请参见创建主题。 说明： 后续操作： 创建完主题后，您就可以添加订阅了。完成创建和添加订阅后，后续的告警通知即可通过SMN服务发送到你配置的订阅终端。 跳过目标数据库评估（可选） 可选择是否需要跳过目标数据库评估。 默认选择“是”，无法生成目标数据库的总结和评估报告。在查看评估项目具体信息中目标数据库分析页签将仅显示目标数据库选择。 说明： DB2为源，仅能选择“是”。 源数据库类型（可选） 请选择源数据库类型。当前支持的源库类型有ORACLE-11g、ORACLE-12c、ORACLE-18c、ORACLE-19c。默认选择源库类型为ORACLE-11g。 如果您需要选择MySQL-5.7、MySQL-8.0和DB2-11.1为源库，需要在管理控制台右上角，选择“工单 > 新建工单”，联系客服开通白名单。 说明： 若选择MySQL-5.7为源库，需在源库中进行如下设置，采集源库的TPS数据。 UPDATE performance_schema.setup_instruments SET ENABLED = 'YES', TIMED = 'YES'; UPDATE performance_schema.setup_consumers SET ENABLED = 'YES'; 若选择MySQL为源库，需在源库中进行如下设置，启用CPU计数。 SET GLOBAL innodb_monitor_enable = cpu_n; 网络类型（可选） 公网网络：通过弹性公网IP（Elastic IP，EIP）进行源库连接。 如果源库网络有IP白名单限制，请将弹性公网IP添加至源库网络白名单，确保UGO可以连接源库。 华南-广州弹性公网IP：124.71.59.255 亚太-新加坡弹性公网IP：110.238.109.54 拉美-圣地亚哥弹性公网IP：159.138.116.198 连接方法（可选） 可选择服务名称或连接字符串。默认选择服务名称。以下以选择服务名称为例。 后续信息依据此处选择而变化显示。 说明： 连接字符串，需使用标准的JDBC连接源数据库。 DB2为源时，仅能选择“服务名称”进行连接。 主机类型（可选） 请选择主机名或者主机IP地址。 源数据库名称 待评估源数据数名称。 说明： 当MySQL为源时，不显示该参数。 主机名/IP地址 依据上一步的选择，填写具体主机名称或者主机IP地址。 主机端口 数据库的端口。 用户名 源数据库的用户名。建议连接用户应具有管理员角色，但不要使用sys用户。 密码 源数据库的有效密码，最多50个字符。 SSL类型（可选） 当前“单项SSL”连接不可用，请选择“不使用SSL”进行连接。 不使用SSL：如果不启用SSL安全协议，数据安全可能存在潜在风险。 单项SSL：将对数据库身份进行认证并启用安全加密传输。 上传文件：上传JKS类型的根证书文件。 信任密码：用于访问证书的信任库密码。 说明： 若选择“单项SSL”，必须同时正确选择上传文件、填写信任密码，这些信息为用户私有。 SSL（Secure Socket Layer，安全套接层），位于可靠的面向连接的网络层协议和应用层协议之间的一种协议层。SSL通过互相认证、使用数字签名确保完整性、使用加密确保私密性，以实现客户端和服务器之间的安全通讯。 DBA采集（可选） 选择是从DBA视图还是从ALL视图中采集数据。默认关闭。 开启：从DBA视图中采集当前用户的对象，可能存在遗漏。 关闭：从ALL视图中采集所有评估数据。 标签（可选） 可使用TMS的预定义标签功能将相同的标签添加到不同的云资源中。具体请查看标签管理服务 TMS。 输入一对一的“键”和“值”后单击“添加”。 最多可添加20个标签。具体操作详见标签。 单击“开始测试”。 测试连接成功：“下一步”按钮高亮显示。 测试连接失败：给出错误提示“无法连接到数据库”。 （可选项）测试网络稳定性。测试网络稳定性成功仅表示当前测试时网络时延低，无丢包或丢包率很低。需要10到15s。 单击“下一步”，进入预检查页面。 显示各检查项的检查结果。也可“重新检查所有权限”。 图2 Oracle为源库预检查 图3 MySQL为源库预检查 图4 DB2为源库预检查 若存在失败项，单击“查看详情”，参考解决方案进行修改后“重新验证”。 Oracle为源库： 如果DBMS_METADATA权限检查、动态视图权限检查和Schema对象数量检查失败，将无法进行下一步。 如果DBA权限的“检查结果”为“警告”，评估项目仍能创建成功，但可能由于权限不足导致部分对象无法采集。 MySQL为源库，若检查项存在失败，将无法进行下一步。 DB2为源库：仅检查“DB2对象采集”权限，检查对象收集权限。若检查失败，将无法进行下一步。 所有结果均成功后，单击“下一步”。进入选择评估范围页面。 图5 选择评估范围 表2 选择评估范围参数说明 参数 说明 选择需采集的对象类型 默认“全选”，也可依据实际情况手动勾选需采集的对象类型。但不能仅勾选SQL类型。 选择目标数据库 依据实际情况，勾选所需的目标库类型作为目标数据库。也可全选，单击。 若您确定某个数据库不作为目标库，可不将其作为选定的目标数据库，该数据库将不参与评估。 动态SQL评估 打开则分析对象语句中动态SQL所包含的不兼容语法，关闭则不分析。 单引号动态SQL评估 打开则对所有对象语句中的单引号内容进行分析，关闭则只对包含EXECUTE IMMEDIATE/DBMS_SQL.PARSE关键字的对象语句中单引号内容进行分析。 动态SQL上行号 不兼容语法点所在行向上扩展截取行数。 动态SQL下行号 不兼容语法点所在行向下扩展截取行数。 选择需采集的schema 依据实际情况手动勾选需采集的schema，可搜索也可全选，单击。 若schema较多，可依据Schema名称进行搜索。所选Schema信息及总数会显示在右侧。 须知： 如果有多个具有相同名称（忽略大小写）的Schema，请选择其中一个。 采集的Oracle Lightweight Jobs将作为PROGRAM对象类型。 程序只会采集用户权限范围内的数据库对象，即勾选的schema。 源库对象类型用于数据库评估兼容性分析和对象迁移。 所有采集的数据存储在租户区的源数据库中，数据库密码会加密存储，相关数据只有用户在UGO界面可见。 当用户删除迁移任务以及注销UGO时，用户数据将被删除。 仅当Oracle为源库时，支持动态SQL相关评估。 选择完成后，单击“下一步”，进入任务确认页面。 显示基础信息、预检查情况、选定的目标数据库、已选择及未选择的schema和对象类型。 图6 任务确认 检查无误后，单击“创建”。显示“项目创建成功！”。 单击“确定”，返回数据库评估页面，用户可以看到最新创建的评估项目已在列表中。 需要经过数据采集、项目评估和预迁移评估，可在“评估状态”中查看实时状态。也可“停止”或“恢复”正在评估的项目。 图7 创建成功 一个租户下，只能创建10个评估项目。 “评估状态”为“评估-成功 待确认目标数据库”之前，可停止及恢复正在创建的评估项目。当“评估状态”为“评估-成功 待确认目标数据库”时，可直接确认目标数据库，也可以“重新评估”。但DB2源库不支持“重新评估”。 等待时间依据所选对象数量而定。 评估完成后，可单击具体“项目名称”，查看项目详细信息。 数据采集过程中，如果与源数库的连接中断，系统内部的自动重试机制会定期测试其与源数据库的连接，并重试连接。下次重试连接时间：当前时间 + 检查测试连接和网络稳定性连接所需的时间 + 重试睡眠间隔。每次检查测试连接和网络稳定性连接所需的时间有几秒的误差。因此，用户可能会看到两个重试时间之前相差几秒。

操作步骤 登录管理控制台。 在左侧导航树中，单击，选择“安全与合规 > 漏洞扫描服务”，进入漏洞扫描服务页面。 在“资产列表 > 网站”页签，单击“新增域名”。 进入添加域名入口，如图1所示。 图1 进入添加域名入口 在列表的上方，可以查看可添加域名的个数。 在弹出的对话框中，添加“域名/IP地址”，设置“域名别称”，如图2所示。 域名别称：帮助用户识别自己的域名地址，您可以填写任意方便您识别网站域名的名称。 VSS是通过公网访问域名/IP地址进行扫描的，请确保该目标域名/IP地址能通过公网正常访问。 图2 新增域名 单击“确认”，进行域名所有权认证。 如果暂时不进行域名所有权认证，可关闭对话框，后续参照域名认证章节完成域名认证。 如果待检测站点的服务器搭建在华为云上，且该服务器是您当前登录帐号的资产，才可以选择“一键认证”的方式进行快速认证，否则只能选择“文件认证”的方式进行认证。 文件认证，参照图3中的验证步骤完成域名认证。 图3 文件认证方式 一键认证，如图4所示。 图4 一键认证方式 如果您选择“一键认证”方式进行域名认证，请确保待检测站点的服务器搭建在华为云的以下区域，且该服务器是您当前登录帐号的资产： 华北-北京一 华北-北京四 华东-上海一 华东-上海二 华南-广州 华南-深圳 东北-大连 西南-贵阳一 勾选“我已阅读并同意《华为云漏洞扫描服务声明》”，单击“完成认证”，进行域名认证，执行完成后，该域名的状态为“已认证”。 如果域名认证成功，页面跳转到“网站设置”页面，参照表1完成网站信息配置，如图5所示。 如果网站中存在需要登录才能访问的网页，进行登录设置后，VSS能够为您更好的检测网站安全问题，后续也可以参照编辑域名进行配置。 VSS提供了“账号密码登录”和“cookie登录”两种登录方式，为了提高登录成功率，建议您配置两种登录方式。 图5 网站登录设置 表1 网站登录页面参数说明 参数名称 参数说明 样例 “登录方式一：账号密码登录” 登录页面 网站登录页面的地址。 https://auth.example.com/ 用户名 登录网站的用户名。 vsstest 密码 对应用户名的密码。 -- 确认密码 再次输入用户名的密码。 -- “登录方式二：cookie登录” 如果网站登录需要动态验证码才能登录成功，此时必须配置“cookie登录”方式。 cookie值 输入登录网站的cookie值。 domain_tag “网站登录验证” 验证登录网址 登录成功后才能访问的网址，便于VSS快速判断您的登录信息是否有效。 https://console.example.com/ 阅读《华为云漏洞扫描服务声明》后，勾选“我已阅读并同意《华为云漏洞扫描服务声明》”，单击“确定”。

功能总览 功能总览 全部 ROMA API API设计 API实现 API管理 API消费 API分析 管理中心 API SDK OBS 2.0支持 ROMA API ROMA API为企业构建规范化的API全流程体系，将企业服务能力包装成标准API服务，上架市场进行售卖。变现自身服务能力的同时，降低企业研发投入，专注于企业核心业务，提升运营效率。提供全栈的API数据化运营能力，用运行数据驱动规范跟设计的落地，提供更高维度的顶层API架构设计能力。 支持区域：华北-北京一、华北-北京四、华东-上海一、华东-上海二、华南-广州、乌兰察布二零二 ROMA API应用场景 ROMA API介绍【视频】 快速入门 OBS 2.0支持 虚拟私有云子功能二 虚拟私有云（Virtual Private Cloud，以下简称VPC），为云服务器、云容器、云数据库等资源构建隔离的、用户自主配置和管理的虚拟网络环境，提升用户云上资源的安全性，简化用户的网络部署。 您可以在VPC中定义安全组、VPN、IP地址段、带宽等网络特性。用户可以通过VPC方便地管理、配置内部网络，进行安全、快捷的网络变更。同时，用户可以自定义安全组内与组间弹性云服务器的访问规则，加强弹性云服务器的安全保护。 支持区域：华北-北京一、华北-北京四、华东-上海一、华南-广州 如何创建虚拟私有云？ VPC服务介绍【视频】 VPC服务介绍【视频】 OBS 2.0支持 API设计 主要介绍API设计者如何设计API文件。在API设计和变更阶段指导设计者遵从API格式规范，提升企业API的交付质量。 支持区域：华北-北京一、华北-北京四、华东-上海一、华东-上海二、华南-广州、乌兰察布二零二 创建API设计 管理规则集 OBS 2.0支持 API实现 提供一站式创建代码仓、自动生成框架代码、创建编译构建等流水线任务能力，使后端开发无需从零开始。 支持区域：华北-北京一、华北-北京四、华东-上海一、华东-上海二、华南-广州、乌兰察布二零二 创建后端 VPC服务介绍【视频】 OBS 2.0支持 API管理 主要介绍API管理者如何通过API管理开放API的服务与数据，实现业务能力变现。 支持区域：华北-北京一、华北-北京四、华东-上海一、华东-上海二、华南-广州、乌兰察布二零二 创建API服务 创建API 创建API策略 OBS 2.0支持 API消费 主要介绍API管理者如何将API服务转换为产品，上架到API目录供API消费者查看和使用。 支持区域：华北-北京一、华北-北京四、华东-上海一、华东-上海二、华南-广州、乌兰察布二零二 创建API产品 上架API目录 订阅API产品 审核管理 调用API OBS 2.0支持 API分析 主要介绍API指标分析，实时监控保障API正常运行。 支持区域：华北-北京一、华北-北京四、华东-上海一、华东-上海二、华南-广州、乌兰察布二零二 API指标分析 VPC服务介绍【视频】 OBS 2.0支持 管理中心 主要介绍实例管理和应用管理。实例是一个独立的资源空间，所有的操作都是在实例内进行，不同实例间的资源相互隔离；应用是一个系统资源的集合，API的全生命周期是在应用中实现。 支持区域：华北-北京一、华北-北京四、华东-上海一、华东-上海二、华南-广州、乌兰察布二零二 购买实例 配置参数 日志分析 创建应用 OBS 2.0支持 API ROMA API提供了REST（Representational State Transfer）风格API，支持您通过HTTPS请求调用。 支持区域：华北-北京一、华北-北京四、华东-上海一、华东-上海二、华南-广州、乌兰察布二零二 API概述 VPC服务介绍【视频】 OBS 2.0支持 SDK ROMA API提供SDK下载以及文档。 支持区域：华北-北京一、华北-北京四、华东-上海一、华东-上海二、华南-广州、乌兰察布二零二 SDK VPC服务介绍【视频】

操作步骤 单击左侧导航栏“结构迁移 > 数据库评估”。 在评估数据库页面，单击右上角的“创建项目”。 查看源数据库准备和授权，源库准备完成后，单击“启动创建”。 进入基本信息页面，完成基本信息的填写。具体参数详见表1。 基本信息填写完成后，“开始测试”高亮显示。 图1 创建评估项目 表1 基本详情参数说明 参数名称 说明 项目名称 在项目列表中显示的名称。 长度范围为5到50个字符，只允许包含英文字母、数字、下划线、中划线。以字母开头、数字或字母结束。 异常通知方式（可选） 默认方式为SMN主题。 若出现异常情况，是否通过消息通知服务（Simple Message Notification）向用户发送消息。 若需要发送消息，需要先创建SMN主题，具体请参见创建主题。 说明： 后续操作： 创建完主题后，您就可以添加订阅了。完成创建和添加订阅后，后续的告警通知即可通过SMN服务发送到你配置的订阅终端。 单击，提示“没有SMN主题，点这里创建”。 跳过目标数据库评估（可选） 可选择是否需要跳过目标数据库评估。 默认选择“是”，无法生成目标数据库的总结和评估报告。在查看评估项目具体信息中目标数据库分析页签将仅显示目标数据库选择。 说明： DB2为源，仅能选择“是”。 源数据库类型（可选） 请选择源数据库类型。当前支持的源库类型有ORACLE-11g、ORACLE-12c、ORACLE-18c、ORACLE-19c、MySQL-5.7、MySQL-8.0和DB2-11.1。默认选择源库类型为ORACLE-11g。 如果您需要选择MySQL-5.7、MySQL-8.0和DB2-11.1为源库，需要在管理控制台右上角，选择“工单 > 新建工单”，联系客服开通白名单。 说明： 若选择MySQL-5.7为源库且希望采集到源库的TPS数据时，需要在源库中进行如下设置： UPDATE performance_schema.setup_instruments SET ENABLED = 'YES', TIMED = 'YES'; UPDATE performance_schema.setup_consumers SET ENABLED = 'YES'; 网络类型（可选） 公网网络：通过弹性公网IP（Elastic IP，EIP）进行源库连接。 如果源库网络有IP白名单限制，请将弹性公网IP添加至源库网络白名单，确保UGO可以连接源库。 华南-广州弹性公网IP：124.71.59.255 亚太-新加坡弹性公网IP：110.238.109.54 拉美-圣地亚哥弹性公网IP：159.138.116.198 连接方法（可选） 可选择服务名称或连接字符串。默认选择服务名称。以下以选择服务名称为例。 后续信息依据此处选择而变化显示。 说明： 连接字符串，需使用标准的JDBC连接源数据库。 DB2为源时，仅能选择“服务名称”进行连接。 主机类型（可选） 请选择主机名或者主机IP地址。 源数据库名称 待评估源数据数名称。 说明： 当MySQL为源时，不显示该参数。 主机名/IP地址 依据上一步的选择，填写具体主机名称或者主机IP地址。 主机端口 数据库的端口。 用户名 源数据库的用户名。 密码 源数据库的有效密码，最多50个字符。 SSL类型（可选） 当前“单项SSL”连接不可用，请选择“不使用SSL”进行连接。 不使用SSL：如果不启用SSL安全协议，数据安全可能存在潜在风险。 单项SSL：将对数据库身份进行认证并启用安全加密传输。 上传文件：上传JKS类型的根证书文件。 信任密码：用于访问证书的信任库密码。 说明： 若选择“单项SSL”，必须同时正确选择上传文件、填写信任密码，这些信息为用户私有。 SSL（Secure Socket Layer，安全套接层），位于可靠的面向连接的网络层协议和应用层协议之间的一种协议层。SSL通过互相认证、使用数字签名确保完整性、使用加密确保私密性，以实现客户端和服务器之间的安全通讯。 DBA采集（可选） 选择是从DBA视图还是从ALL视图中采集数据。默认关闭。 开启：从DBA视图中采集当前用户的对象，可能存在遗漏。 关闭：从ALL视图中采集所有评估数据。 标签（可选） 可使用TMS的预定义标签功能将相同的标签添加到不同的云资源中。具体请查看标签管理服务 TMS。 输入一对一的“键”和“值”后单击“添加”。 最多可添加10个标签。具体操作详见标签。 单击“开始测试”。 测试连接成功：“下一步”按钮高亮显示。 测试连接失败：给出错误提示“无法连接到数据库”。 （可选项）测试网络稳定性。测试网络稳定性成功仅表示当前测试时网络时延低，无丢包或丢包率很低。需要10到15s。 单击“下一步”，进入预检查页面。 显示各检查项的检查结果。也可“重新检查所有权限”。 图2 Oracle为源库预检查 图3 MySQL为源库预检查 图4 DB2为源库预检查 若存在失败项，单击“查看详情”，参考解决方案进行修改后“重新验证”。 Oracle为源库： 如果DBMS_METADATA权限检查、动态视图权限检查和Schema对象数量检查失败，将无法进行下一步。 如果DBA权限的“检查结果”为“警告”，评估项目仍能创建成功，但可能由于权限不足导致部分对象无法采集。 MySQL为源库，若检查项存在失败，将无法进行下一步。 DB2为源库：仅检查“DB2对象采集”权限，检查对象收集权限。若检查失败，将无法进行下一步。 所有结果均成功后，单击“下一步”。进入选择评估范围页面。 图5 选择评估范围 表2 选择评估范围参数说明 参数 说明 选择需采集的对象类型 默认“全选”，也可依据实际情况手动勾选需采集的对象类型。但不能仅勾选SQL类型。 选择目标数据库 依据实际情况，勾选所需的目标库类型作为目标数据库。也可全选，单击。 若您确定某个数据库不作为目标库，可不将其作为选定的目标数据库，该数据库将不参与评估。 动态SQL评估 打开则分析对象语句中动态SQL所包含的不兼容语法，关闭则不分析。 单引号动态SQL评估 打开则对所有对象语句中的单引号内容进行分析，关闭则只对包含EXECUTE IMMEDIATE/DBMS_SQL.PARSE关键字的对象语句中单引号内容进行分析。 动态SQL上行号 不兼容语法点所在行向上扩展截取行数。 动态SQL下行号 不兼容语法点所在行向下扩展截取行数。 选择需采集的schema 依据实际情况手动勾选需采集的schema，可搜索也可全选，单击。 若schema较多，可依据Schema名称进行搜索。所选Schema信息及总数会显示在右侧。 须知： Schema名称区分大小写，如果有多个具有相同名称的Schema，请选择其中一个。 采集的Oracle Lightweight Jobs将作为PROGRAM对象类型。 程序只会采集用户权限范围内的数据库对象，即勾选的schema。 源库对象类型用于数据库评估兼容性分析和对象迁移。 所有采集的数据存储在租户区的源数据库中，数据库密码会加密存储，相关数据只有用户在UGO界面可见。 当用户删除迁移任务以及注销UGO时，用户数据将被删除。 仅当Oracle为源库时，支持动态SQL相关评估。 选择完成后，单击“下一步”，进入任务确认页面。 显示基础信息、预检查及评估范围。 图6 任务确认 检查无误后，单击“创建”。显示“项目创建成功！”。 单击“确定”，返回数据库评估页面，用户可以看到最新创建的评估项目已在列表中。 需要经过数据采集、项目评估和预迁移评估，可在“评估状态”中查看实时状态。 图7 创建成功 一个租户下，只能创建10个评估项目。 “评估状态”为“评估-成功 待确认目标数据库”之前，可停止及恢复正在创建的评估项目。当“评估状态”为“评估-成功 待确认目标数据库”时，可直接确认目标数据库，也可以“重新评估”。但DB2源库不支持“重新评估”。 等待时间依据所选对象数量而定。 评估完成后，可单击具体“项目名称”，查看项目详细信息。 数据采集过程中，如果与源数库的连接中断，系统内部的自动重试机制会定期测试其与源数据库的连接，并重试连接。下次重试连接时间：当前时间 + 检查测试连接和网络稳定性连接所需的时间 + 重试睡眠间隔。每次检查测试连接和网络稳定性连接所需的时间有几秒的误差。因此，用户可能会看到两个重试时间之前相差几秒。

解决方案 检查安全组规则。 登录管理控制台。 单击管理控制台左上角的，选择区域和项目。 在页面左上角单击，选择“数据库 > 云数据库 GaussDB”。进入云数据库GaussDB控制台，在左侧导航栏选择“GaussDB(for MySQL)”。 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页面。 在“网络信息”模块的“内网安全组”处，单击安全组名称，进入安全组页面。 检查弹性云服务器网卡对应的安全组是否放通了“入方向”的“ICMP”规则。 表1 安全组规则 放向 类型 协议和端口 原地址 入方向 IPv4 Any：Any 0.0.0.0/0 0.0.0.0/0表示所有IP地址 入方向 IPv4 ICMP：Any 0.0.0.0/0 0.0.0.0/0表示所有IP地址 检查“ 网络ACL”规则。 排查“网络ACL”是否放通。查看“网络ACL”状态，查看当前是开启状态还是关闭状态。 检查“弹性公网IP”绑定的网卡是否在“网络ACL”关联的子网下。 若“网络ACL”为“开启”状态，需要添加ICMP放通规则进行流量放通。 需要注意“网络ACL”的默认规则是丢弃所有出入方向的包，若关闭“网络ACL”后，其默认规则仍然生效。 相同区域主机进行ping测试。 在相同区域的弹性云服务器去ping没有ping通的弹性公网IP，如果可以正常ping通说明虚拟网络正常，请联系客服获取技术支持。

工作原理 漏洞扫描服务具有Web网站扫描和主机扫描两种扫描能力。 Web网站扫描 采用网页爬虫的方式全面深入的爬取网站url，基于多种不同能力的漏洞扫描插件，模拟用户真实浏览场景，逐个深度分析网站细节，帮助用户发现网站潜在的安全隐患。同时内置了丰富的无害化扫描规则，以及扫描速率动态调整能力，可有效避免用户网站业务受到影响。 主机扫描 经过用户授权（支持账密授权）访问用户主机，漏洞扫描服务能够自动发现并检测主机操作系统、中间件等版本漏洞信息和基线配置，实时同步官网更新的漏洞库匹配漏洞特征，帮助用户及时发现主机安全隐患。 移动应用安全 对用户提供的安卓、鸿蒙应用进行安全漏洞、隐私合规检测，基于静态分析技术，结合数据流静态污点跟踪，检测权限、组件、网络、等APP基础安全漏洞，并提供详细的漏洞信息及修复建议。 二进制成分分析 对用户提供的二进制软件包/固件进行全面分析，通过解压获取包中所有待分析文件，基于组件特征识别技术、静态检测技术以及各种风险检测规则，获得相关被测对象的组件BOM清单和潜在风险清单，并输出一份专业的分析报告。

网络配置流程 源库绑定弹性公网IP。 参考华为云各数据库官方文档进行绑定弹性公网IP。 以源库为华为云RDS for MySQL为例，可参考《云数据库RDS快速入门》。 创建DRS任务，获取DRS实例的弹性公网IP。 DRS实例创建成功后，可在“源库及目标库”页面获取DRS实例的弹性公网IP。 图3 DRS实例弹性公网IP 配置源库所在安全组和源库所在子网的网络ACL。 安全组：增加云数据库安全组入方向规则，放通DRS弹性公网IP作为源地址可以访问云数据库监听端口。 网络ACL：VPC默认没有网络ACL，如果您设置过网络ACL，需要增加入方向规则，允许放通DRS弹性公网IP作为源地址、随机端口作为源端口范围，RDS源数据库的IP作为目的地址、监听端口作为目的端口范围。 配置DRS迁移实例所在安全组和DRS所在子网的网络ACL。 VPC默认没有网络ACL，默认安全组的规则在出方向数据全部放行，DRS迁移实例和目标RDS数据库在相同安全组默认互通，所以在默认场景下无需配置。 如果您设置过网络ACL或安全组，请登录VPC管理控制台进行检查和配置。 安全组：确保DRS迁移实例所在安全组出方向到源数据库的IP、监听端口放通。 网络ACL：确保DRS所在子网、随机端口出方向和源数据库的IP、监听端口放通。 测试连接。 登录DRS控制台，单击已经创建的DRS任务操作列的“编辑”，重新进入“源库及目标库”界面，输入源数据库IP、端口、用户名、密码进行测试连接。

检测能力 移动应用安全 对用户提供的安卓、鸿蒙应用进行安全漏洞、隐私合规检测，基于静态分析技术，结合数据流静态污点跟踪，检测权限、组件、网络、等APP基础安全漏洞，并提供详细的漏洞信息及修复建议。 代码检查 由外部代码检查服务提供，代码检查（CodeCheck）是基于云端实现代码质量管理的服务，软件开发者可在编码完成后执行多语言的代码静态检查和安全检查，获取全面的质量报告，并提供缺陷的分组查看与改进建议，有效管控代码质量。 漏洞扫描 由外部漏洞扫描服务提供，漏洞扫描服务（Vulnerability Scan Service，简称VSS）是针对网站、主机、移动应用、软件包/固件进行漏洞扫描的一种安全检测服务，目前提供通用漏洞检测、漏洞生命周期管理、自定义扫描多项服务。扫描成功后，提供扫描报告详情，用于查看漏洞明细、修复建议等信息。 漏洞扫描服务具有Web网站扫描和两种扫描能力。 Web网站扫描：采用网页爬虫的方式全面深入地爬取网站url，基于多种不同能力的漏洞扫描插件，模拟用户真实浏览场景，逐个深度分析网站细节，帮助用户发现网站潜在的安全隐患。同时内置了丰富的无害化扫描规则，以及扫描速率动态调整能力，可有效避免用户网站业务受到影响。 主机扫描：经过用户授权（支持帐密授权）访问用户主机，漏洞扫描服务能够自动发现并检测主机操作系统、中间件等版本漏洞信息和基线配置，实时同步官网更新的漏洞库匹配漏洞特征，帮助用户及时发现主机安全隐患。

解决方案 检查安全组规则。 登录管理控制台。 单击管理控制台左上角的，选择区域和项目。 单击页面左上角的，选择“数据库 > 云数据库 RDS”。 图1 云数据库 RDS 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页面。 在“连接信息”模块的“安全组”处，单击安全组名称，进入安全组页面。 检查弹性云服务器网卡对应的安全组是否放通了“入方向”的“ICMP”规则。 表1 安全组规则 放向 类型 协议和端口 原地址 入方向 IPv4 Any：Any 0.0.0.0/0 0.0.0.0/0表示所有IP地址 入方向 IPv4 ICMP：Any 0.0.0.0/0 0.0.0.0/0表示所有IP地址 检查“ 网络ACL”规则。 排查“网络ACL”是否放通。查看“网络ACL”状态，查看当前是开启状态还是关闭状态。 检查“弹性公网IP”绑定的网卡是否在“网络ACL”关联的子网下。 若“网络ACL”为“开启”状态，需要添加ICMP放通规则进行流量放通。 需要注意“网络ACL”的默认规则是丢弃所有出入方向的包，若关闭“网络ACL”后，其默认规则仍然生效。 相同区域主机进行ping测试。 在相同区域的弹性云服务器去ping没有ping通的弹性公网IP，如果可以正常ping通说明虚拟网络正常，请联系客服获取技术支持。

操作步骤 登录管理控制台。 在管理控制台左上角单击，选择区域。 此处请选择与您的应用服务相同的区域。 在管理控制台左上角单击，选择“应用中间件 > 分布式消息服务RabbitMQ版”，进入分布式消息服务RabbitMQ专享版页面。 单击页面右上方的“购买RabbitMQ实例”。 选择“计费模式”、“区域”、“项目”和“可用区”。 设置“实例名称”和“企业项目”。 设置实例信息。 版本：RabbitMQ的版本号，当前仅支持RabbitMQ 3.7.17。 实例类型：支持“单机”和“集群”。 单机：表示部署一个RabbitMQ代理。 集群：表示部署多个RabbitMQ代理，实现高可靠的消息存储。 CPU架构：当前仅支持“x86计算”，保持默认值即可。 规格：根据实际情况选择规格。 为了保证服务的稳定可靠，RabbitMQ采用了默认的40%高水位配置。当内存占用率到达40%高水位后，会触发流控，生产者发送消息会被阻塞。为了避免高水位的产生，请及时消费积压在队列中的消息。 代理个数：根据实例情况选择代理个数。 仅在华东-上海一、华东-上海二、华北-北京四、华北-乌兰察布一、华南-广州、西南-贵阳一、亚太-新加坡、非洲-约翰内斯堡、拉美-墨西哥城二和拉美-圣地亚哥区域需要选择。 存储空间：选择RabbitMQ实例的磁盘类型和储存空间总量。 如何选择磁盘类型请参考磁盘类型及性能介绍。 单机实例的取值范围200GB ~ 90000GB/100GB ~ 90000GB，具体以控制台为准。 集群实例的取值范围为：100GB*代理数 ~ 90000GB、200GB*代理数 ~ 90000GB、300GB*代理数 ~ 90000GB。 虚拟私有云：选择已经创建好的虚拟私有云和子网。 虚拟私有云可以为您的RabbitMQ实例构建隔离的、能自主配置和管理的虚拟网络环境。 安全组：选择已经创建好的安全组。 安全组是一组对弹性云服务器的访问规则的集合，为同一个VPC内具有相同安全保护需求并相互信任的弹性云服务器提供访问策略。 您可以单击右侧的“管理安全组”，跳转到网络控制台的安全组页面，查看或创建安全组。 图1 设置实例信息 设置连接RabbitMQ实例的用户名和密码。 设置实例购买时长。 当选择了“包年/包月”计费模式时，页面才显示“购买时长”参数，您需要根据业务需要选择。 单击“更多配置”，设置更多相关信息。 设置“公网访问”。 您可以选择是否打开公网访问开关。 如果选择了开启，表示访问RabbitMQ实例可以通过弹性IP访问。这时页面会显示“弹性IP地址”，在“弹性IP地址”区域，您可下拉选择已有的弹性IP。另外，您可单击右侧的“创建弹性IP”，跳转到网络控制台的弹性公网IP页面，购买弹性公网IP。 图2 购买RabbitMQ实例时公网访问设置 公网访问与VPC内访问相比，可能存在网络丢包和抖动等情况，且访问时延有所增加，因此建议仅在业务开发测试阶段开启公网访问进行调试。 如果用户在虚拟私有云的服务页面手动解绑定或删除EIP，DMS服务会自动关闭相应RabbitMQ实例的公网访问功能。 设置“SSL”。 客户端连接实例时SSL认证的开关。开启SSL，则数据加密传输，安全性更高。 SSL开关在实例创建完成后不支持修改，请明确是否需要开启。 设置“标签”。 标签用于标识云资源，当您拥有相同类型的许多云资源时，可以使用标签按各种维度（例如用途、所有者或环境）对云资源进行分类。 如果您已经预定义了标签，在“标签键”和“标签值”中选择已经定义的标签键值对。另外，您可以单击右侧的“查看预定义标签”，系统会跳转到标签管理服务页面，查看已经预定义的标签，或者创建新的标签。 您也可以直接在“标签键”和“标签值”中设置标签。 当前每个RabbitMQ实例最多支持设置20个不同标签，标签的命名规格，请参考管理实例标签章节。 设置实例的描述信息。 填写完上述信息后，单击“立即购买”，进入“规格确认”页面。 确认实例信息无误且阅读并同意《华为云用户协议》后，如果“计费模式”选择“包年/包月”，单击“去支付”。根据界面提示信息，支付费用。如果“计费模式”选择“按需付费”，单击“提交”。 在实例列表页面查看实例是否创建成功。 创建实例大约需要3到15分钟，此时实例的“状态”为“创建中”。 当实例的“状态”变为“运行中”时，说明实例创建成功。 如果创建实例失败，在信息栏的“创建失败任务”中查看创建失败的实例。请参考删除实例，删除创建失败的RabbitMQ实例，然后重新购买。如果重新购买仍然失败，请联系客服。

漏洞管理 态势感知通过集成华为云安全公告、漏洞扫描数据，以及实施扫描任务，集中呈现云上资产漏洞风险，以及实时通报突发安全漏洞预警，帮助用户及时发现资产安全短板，修复危险漏洞。 态势感知支持以下类型的漏洞： 应急漏洞公告 态势感知通过采集华为云安全公告讯息，及时呈现业界近期广泛披露的安全漏洞，并支持一键获取安全漏洞详情、影响范围和处置建议等信息，提供对资产风险的消减建议。应急漏洞功能支持以下特性： 支持追溯已披露的安全漏洞至2014年4月。 支持每5分钟抓取一次安全公告讯息，更新应急漏洞公告。 支持按披露时间排序应急漏洞公告列表。 支持按关键字查找应急漏洞公告。 支持导出应急漏洞公告列表。 主机漏洞 态势感知通过授权主机，并一键扫描主机漏洞，呈现主机漏洞扫描检测信息，支持查看漏洞详情，并提供相应漏洞修复建议。 网站漏洞 态势感知通过接入VSS漏洞扫描结果数据，集中呈现网站存在的漏洞，提供详细的漏洞分析结果，并针对不同类型的漏洞提供专业可靠的修复建议。包括Web常规漏洞、端口漏洞、弱密码、CVE漏洞、网页内容合规（图片、文字）、网站挂马、链接健康等共8大类漏洞的检测。

2019年10月 序号 功能名称 功能描述 阶段 相关文档 1 VPC流日志 VPC流日志功能可以记录虚拟私有云中的流量信息，帮助您检查和优化安全组和网络ACL控制规则、监控网络流量、进行网络攻击分析等。申请公测 VPC流日志功能需要与云日志服务LTS结合使用，先在云日志服务中创建日志组和日志主题，然后再创建VPC流日志。 公测 VPC流日志简介 2 安全组克隆 支持跨区域克隆安全组，方便将相同的安全组规则快速应用到不同区域的弹性云服务器上。 商用 克隆安全组

排查思路 以下排查思路根据原因的出现概率进行排序，建议您从高频率原因往低频率原因排查，从而帮助您快速找到问题的原因。 如果解决完某个可能原因仍未解决问题，请继续排查其他可能原因。 图1 弹性公网IP Ping不通排查思路 表1 弹性公网IP Ping不通排查思路 可能原因 处理措施 安全组未添加ICMP规则 安全组添加ICMP规则，详细操作请参考检查安全组规则。 防火墙设置了禁Ping 检查防火墙对ICMP规则的启用状态，详细操作请参考检查防火墙设置。 云服务器设置了禁Ping 检查云服务器对ICMP规则的启用状态，详细操作请参考检查云服务器是否设置了禁Ping。 关联了网络ACL 如果VPC关联了网络ACL，请检查“网络ACL”规则，详细操作请参考检查网络ACL规则。 网络异常 检查本地网络，使用相同区域主机进行Ping测试，详细操作请参考检查网络是否正常。 多网卡场景，路由信息配置不正确 扩展网卡导致网络不通现象通常是路由配置问题，详细操作请参考检查云服务器路由配置（多网卡场景）。 域名没有备案或者域名无法解析 域名无法Ping通，可能是域名没有备案或者域名无法解析，详细操作请参考检查域名解析（域名Ping不通场景）。

排查思路 以下排查思路根据原因的出现概率进行排序，建议您从高频率原因往低频率原因排查，从而帮助您快速找到问题的原因。 如果解决完某个可能原因仍未解决问题，请继续排查其他可能原因。 图1 弹性公网IP Ping不通排查思路 表1 弹性公网IP Ping不通排查思路 可能原因 处理措施 安全组未添加ICMP规则 安全组添加ICMP规则，详细操作请参考检查安全组规则。 防火墙设置了禁Ping 检查防火墙对ICMP规则的启用状态，详细操作请参考检查防火墙设置。 云服务器设置了禁Ping 检查云服务器对ICMP规则的启用状态，详细操作请参考检查云服务器是否设置了禁Ping。 关联了网络ACL 如果VPC关联了网络ACL，请检查“网络ACL”规则，详细操作请参考检查网络ACL规则。 网络异常 检查本地网络，使用相同区域主机进行Ping测试，详细操作请参考检查网络是否正常。 多网卡场景，路由信息配置不正确 扩展网卡导致网络不通现象通常是路由配置问题，详细操作请参考检查云服务器路由配置（多网卡场景）。 域名没有备案或者域名无法解析 域名无法Ping通，可能是域名没有备案或者域名无法解析，详细操作请参考检查域名解析（域名Ping不通场景）。

网络配置流程 源库绑定弹性公网IP。 参考华为云各数据库官方文档进行绑定弹性公网IP。 以源库为华为云RDS for MySQL为例，可参考《云数据库RDS快速入门》。 创建DRS任务，获取DRS实例的弹性公网IP。 DRS实例创建成功后，可在“源库及目标库”页面获取DRS实例的弹性公网IP。 图3 DRS实例弹性公网IP 配置源库所在安全组和源库所在子网的网络ACL。 安全组：增加云数据库安全组入方向规则，放通DRS弹性公网IP作为源地址可以访问云数据库监听端口。 网络ACL：VPC默认没有网络ACL，如果您设置过网络ACL，需要增加入方向规则，允许放通DRS弹性公网IP作为源地址、随机端口作为源端口范围，RDS源数据库的IP作为目的地址、监听端口作为目的端口范围。 华为云ECS自建数据库添加白名单。 华为云ECS自建数据库需要添加迁移帐号使用DRS私有 IP访问数据库的权限。各种数据库添加白名单的方法不同，请参考各数据库官方文档进行操作。 配置DRS迁移实例所在安全组和DRS所在子网的网络ACL。 VPC默认没有网络ACL，默认安全组的规则在出方向数据全部放行，DRS迁移实例和目标RDS数据库在相同安全组默认互通，所以在默认场景下无需配置。 如果您设置过网络ACL或安全组，请登录VPC管理控制台进行检查和配置。 安全组：确保DRS迁移实例所在安全组出方向到源数据库的IP、监听端口放通。 网络ACL：确保DRS所在子网、随机端口出方向和源数据库的IP、监听端口放通。 测试连接。 登录DRS控制台，单击已经创建的DRS任务操作列的“编辑”，重新进入“源库及目标库”界面，输入源数据库IP、端口、用户名、密码进行测试连接。

DDoS原生标准版、DDoS原生防护-全力防基础版、DDoS原生铂金版功能规格有哪些差异？ DDoS原生高级防护支持DDoS原生标准版、DDoS原生防护-全力防基础版、DDoS原生铂金版和DDoS原生大客户版四种服务版本。各服务版本的功能规格说明，请参见表1。 DDoS原生高级防护只能防护相同区域的云资源，不能跨区域（Region）防护。 表1 DDoS原生高级防护业务规格 规格 规格说明 DDoS原生标准版 DDoS原生防护-全力防基础版 DDoS原生防护-全力防高级版 DDoS原生铂金版 计费模式 - 1个月 支持“3个月”、“6个月”或“1年” 支持“3个月”、“6个月”或“1年” 支持1个月~1年 带宽类型 - 华为云原生网络，多线BGP 华为云原生网络，多线BGP 华为云原生网络，多线BGP 华为云原生网络，多线BGP 防护能力 - 20G 共享全力防护，不低于20G 共享全力防护，最高可达1.5T 共享全力防护，最高可达1.5T 防护资源所在区域 - 华北-北京四 华东-上海一 华南-广州 华北-北京四 华东-上海一 华南-广州 西南-贵阳一 华北-北京一 华北-北京二 华北-北京四 华东-上海一 华南-广州 华北-北京一 华北-北京二 华北-北京四 华东-上海一 防护类型 - - - - 常驻防护 防护IP数 每个实例支持防护的公网IP个数。 1个 范围为50～500，且防护IP数必须设置为5的倍数 范围为50～500，且防护IP数必须设置为5的倍数 范围为1~256 如果购买多个IP，该IP组共享保底带宽和弹性带宽。 防护次数 公网IP被攻击，实例进行防护的次数。 有关防护次数的统计方式说明，请参见DDoS原生专业版的防护次数是如何统计的？。 10次（超过10次后将不再防护） 不限次数 不限次数 不限次数 IP更换次数 - 5次 防护包中IP每天可以更换一次，每月更换5次 - - - 业务带宽 高防机房清洗后回源给源站的业务流量带宽。 默认提供100M业务带宽。 最低100M，最大支持上限20,000M。 最大支持40,000M。 最大支持40,000M。

排查思路 以下排查思路根据原因的出现概率进行排序，建议您从高频率原因往低频率原因排查，从而帮助您快速找到问题的原因。 如果解决完某个可能原因仍未解决问题，请继续排查其他可能原因。 图1 弹性公网IP Ping不通排查思路 表1 弹性公网IP Ping不通排查思路 可能原因 处理措施 安全组未添加ICMP规则 安全组添加ICMP规则，详细操作请参考检查安全组规则。 防火墙设置了禁Ping 检查防火墙对ICMP规则的启用状态，详细操作请参考检查防火墙设置。 云服务器设置了禁Ping 检查云服务器对ICMP规则的启用状态，详细操作请参考检查云服务器是否设置了禁Ping。 关联了网络ACL 如果VPC关联了网络ACL，请检查“网络ACL”规则，详细操作请参考检查网络ACL规则。 网络异常 检查本地网络，使用相同区域主机进行Ping测试，详细操作请参考检查网络是否正常。 多网卡场景，路由信息配置不正确 扩展网卡导致网络不通现象通常是路由配置问题，详细操作请参考检查云服务器路由配置（多网卡场景）。 域名没有备案或者域名无法解析 域名无法Ping通，可能是域名没有备案或者域名无法解析，详细操作请参考检查域名解析（域名Ping不通场景）。

处理方法 针对此问题，我们推荐采用以下方式来排查： 检查是否已经向云服务器实例绑定了公网IP，如果未绑定公网IP，请在绑定弹性公网IP后重试。 绑定弹性公网IP请参考绑定弹性IP。 云服务器绑定了弹性公网IP时，通过带宽提供公网和云服务器间的访问流量。 如果出现访问公网不通，请排查弹性公网IP带宽是否超过带宽最大上限。 排查带宽超限的方法请参考如何排查带宽超过限制？ 检查是否仅仅是访问特定地址有问题，如果是特定地址有问题，则可能跟运营商封堵阻拦有关。 在云服务器的命令行窗口，使用ipconfig /all命令检查网卡配置是否正确。在命令行中输入ncpa.cpl打开网络共享与管理中心，检查网卡状态是否正常收发。 使用Route Print命令检查Windows云服务器的路由表，查看活动路由中的0.0.0.0默认路由是否指向默认网关。 使用ping命令检查云服务器与网关通信是否正常。 通过ping命令探测域名，可以获取域名对应IP地址。 对比ping域名和ping具体IP地址的时间差异，观察DNS服务器解析是否正常。 用netstat命令检查是否存在SYN-SENT、CLOSE_WAIT、FIN_WAIT。 若存在表明端口耗尽。一般是软件问题，排查解决问题后，需要重启云服务器进行恢复。 检查云服务器安全组是否有配置错误，安全组出方向规则为白名单（允许），放通出方向网络流量。例如图1所示，配置出方向允许所有访问。 可参考修改安全组规则配置，开放允许访问的协议或端口。 图1 出方向允许所有访问 查看并禁用Windows云服务器防火墙策略，禁用后检查是否可以连通网络。 如果禁用后可以连通网络，请检查防火墙策略配置。 尝试禁用或者卸载Windows云服务器的第三方杀毒软件，检查问题是否发生。

应用场景 漏洞扫描服务主要用于以下场景。 Web漏洞扫描应用场景 网站的漏洞与弱点易于被黑客利用，形成攻击，带来不良影响，造成经济损失。 常规漏洞扫描 丰富的漏洞规则库，可针对各种类型的网站进行全面深入的漏洞扫描，提供专业全面的扫描报告。 最新紧急漏洞扫描 针对最新紧急爆发的CVE漏洞，安全专家第一时间分析漏洞、更新规则，提供快速专业的CVE漏洞扫描。 主机漏洞扫描应用场景 运行重要业务的主机可能存在漏洞、配置不合规等安全风险。 支持深入扫描 通过配置验证信息，可连接到服务器进行OS检测，进行多维度的漏洞、配置检测。 支持内网扫描 可以通过跳板机方式访问业务所在的服务器，适配不同企业网络管理场景。 弱密码扫描应用场景 主机或中间件等资产一般使用密码进行远程登录，攻击者通常使用扫描技术来探测其用户名和弱口令。 多场景可用 支持操作系统(RDP协议、SSH协议)、数据库（如Mysql、Redis）等常见中间件服务的弱口令检测。 丰富的弱密码库 丰富的弱密码匹配库，模拟黑客对各场景进行弱口令探测。 中间件扫描应用场景 中间件可帮助用户灵活、高效地开发和集成复杂的应用软件，一旦被黑客发现漏洞并利用，将影响上下层安全。 丰富的扫描场景 支持主流Web容器、前台开发框架、后台微服务技术栈的版本漏洞和配置合规扫描。 多扫描方式可选 支持通过标准包或者自定义安装等多种方式识别服务器的中间件及其版本，全方位发现服务器的漏洞风险。 内容合规检测应用场景 当网站被发现有不合规言论时，会给企业造成品牌和经济上的多重损失。 精准识别 同步更新时政热点和舆情事件的样本数据，准确定位各种涉黄、涉暴涉恐、涉政等敏感内容。 智能高效 对文本、图片内容进行上下文语义分析，智能识别复杂变种文本。 二进制成分分析应用场景 产品包或固件中因不当使用开源软件、配置不合规等会产生漏洞或合规性风险，及时的发现和修复相关问题可以减少被攻击者利用的风险。 全方位风险检测 对产品包/固件进行全面分析，基于各类检测规则，获得相关被测对象的开源软件、信息泄露、安全配置等存在的潜在风险。 支持各类应用 支持对桌面应用（Windows和Linux）、移动应用程序（APK、IPA、Hap等）、嵌入式系统固件等的检测。 专业分析指导 提供全面、直观的风险汇总信息，并针对不同的扫描告警提供专业的解决方案和修复建议。 移动应用安全 企业自检或通报后自查 适用于各类APP发版自检，及通报整改后自查，服务提供详细精确的报告协助企业快速定位修复问题，达到监管合规要求。 审核机构APP合规审查 紧贴各类监管规范，提供高效的自动化检测服务，能快速识别存在违规行为的APP。

成长地图 | 华为云 华为乾坤 华为乾坤云服务是华为面向企业推出的数字化网络云服务，包括云管理网络、网络安全、网络连接等一站式云服务产品，助力企业网络更简单、更安全。 华为乾坤商城 体验Demo 登录控制台 成长地图 由浅入深，带您玩转华为乾坤 安全云服务 云管理网络 01 了解 帮助您了解华为乾坤在网络安全层面为您提供的云服务系列产品和解决方案。 边界防护与响应 威胁信息 漏洞扫描 云日志审计 终端防护与响应（友测） 网络威胁评估（友测） 等保合规解决方案 安全重保解决方案 华为乾坤APP 华为乾坤控制台 02 开通 了解华为乾坤各服务的购买和服务开通方式，以及在服务使用前的基础配置。 基础操作 边界防护与响应 威胁信息 漏洞扫描 云日志审计 终端防护与响应（友测） 网络威胁评估（友测） 等保合规解决方案 安全重保解决方案 参考 通信矩阵 03 设备上线 仅与“边界防护与响应”、“漏洞扫描”和“云日志审计”相关的服务和解决方案涉及。 快速上线指导（PDF格式） USG6301E-C&USG6501E-C USG6302E-C&USG6303E-C USG6502E-C&USG6503E-C USG6000E系列 快速上线指导（视频） USG6000E-C，控制台录入方式 USG6000E-C，APP扫码方式 USG6000E系列 传统文档 USG6000E-C系列天关上线 USG6603F-C天关上线 USG6000E防火墙上线（传统模式） USG6000E防火墙上线（云管模式） USG6000F防火墙上线 典型配置案例 04 使用 介绍各服务的常用操作。 边界防护与响应 威胁信息 漏洞扫描 云日志审计 终端防护与响应（友测） 网络威胁评估（友测） 等保合规解决方案 安全重保解决方案 华为乾坤控制台（租户） 华为乾坤控制台（MSP） 华为乾坤APP 01 了解产品 学习和了解什么是云管理网络。 网络规划与设计 设备即插即用 网络健康360 用户体验360 智能调优360 应用保障360 华为乾坤APP 华为乾坤控制台 02 服务开通 介绍云管理网络的服务开通方式，包括试用服务和商用服务的开通。 服务开通 03 规划与部署 介绍网络规划和网络部署相关的操作。 视频 AP上线（华为乾坤APP） AP本地诊断（华为乾坤APP） 文档 网络规划 网络部署 典型配置案例 04 维护与使用 介绍网络运维操作，日常使用操作。 网络运维 MSP代建代维 华为乾坤控制台（租户） 华为乾坤控制台（MSP） 华为乾坤APP 更多资源 百科视频、产品介绍视频、eBook电子书 乾坤知识库和产品介绍视频 百科小视频和各服务介绍视频 乾坤eBook（安全） 详细介绍各服务的产生背景、亮点和价值特性，工作原理和应用场景 乾坤eBook（网络） 详细介绍各服务的产生背景、亮点和价值特性，工作原理和应用场景 乾坤知识库（网络） （待上线） 乾坤eBook（网络） （待上线） 产品介绍视频（网络） （待上线） 小坤智能助手 您好！我是有问必答知识渊博的智能问答机器人，有问题欢迎随时求助哦！ 社区求助 华为云社区是华为云用户的聚集地。这里有来自华为乾坤的技术牛人，为您解决技术难题。

背景介绍 态势感知通过集成华为云安全公告、漏洞扫描数据，以及实施扫描任务，集中呈现云上资产漏洞风险，以及实时通报突发安全漏洞预警，帮助用户及时发现资产安全短板，修复危险漏洞。 态势感知支持以下类型的漏洞： 应急漏洞公告 接入华为云安全公告数据信息，呈现业界近期广泛披露的热点安全漏洞。 主机漏洞 包括Linux软件漏洞、Windows系统漏洞、Web-CMS漏洞。 网站漏洞 包括Web常规漏洞、端口漏洞、弱密码、CVE漏洞、网页内容合规（图片、文字）、网站挂马、链接健康等共8大类漏洞的检测。

安全策略 由于开发环境同时需要与企业内部通信，还需提供互联网的业务访问，综合考虑通过网络ACL进行相应的访问控制策略。 图1 开发测试环境子网 如图1 开发测试环境子网所示，网络ACL“NACL-DEV-APP”关联开发测试环境相应子网，需严格控制访问企业内网环境(IDC)的出方向策略，限制其仅能访问企业内网环境(IDC)中特定的[IP]:[PORT]。 对于由IDC发起的对开发测试环境的入方向策略，根据场景不同设置相应的访问控制策略。如AD服务器与保留系统，场景较为固定，应设置相应的策略，使其能够与云上特定[IP]:[PORT]互通。而对于End user，可限制能够访问的特定IP段与端口(业务端口)区间，以及22/3389等管理端口。 网络ACL“NACL-DEV-APP”“NACL-DMZ-SAP-Router”关联开发测试环境相应子网，需严格控制互联网访问的入方向策略，限制外网仅能访问开发测试环境特定的[IP]:[PORT]。 本节中提到的IP地址及端口号仅为示例。如公网IP不固定的场景，可根据业务需要(如技术支持)，临时放通特定源IP，相应事务完成后删除策略。如有其它业务流，可根据实际情况增加策略。 表1 网络ACL“NACL-DMZ-SAP-Router” 出方向 规则 # 目的 IP 协议 目的端口 允许/拒绝 说明 * 0.0.0.0/0 ANY ANY 拒绝 拒绝所有未经前置规则 (不可修改) 处理的入站数据流。 表2 网络ACL“ NACL-DMZ-SAP-Router”入方向 规则 # 源 IP 协议 目的端口 允许/拒绝 说明 对SAP技术支持人员，SAP GU/软件服务器I等 123.123.123.0/24 TCP 3299 允许 允许互联网SAP技术支持人员(特定源IP)，SAP GUI/软件服务器等访问开发测试环境中的DEV&PRD-SAP-Router，进而访问后端业务。 * 0.0.0.0/0 ANY ANY 拒绝 拒绝所有未经前置规则处理的数据流。 表3 网络ACL“NACL-DEV-APP”出方向 规则 # 目的 IP 协议 目的端口 允许/拒绝 说明 对AD/ADFS服务器 IDC-AD/ADFS网络 TCP AD/ADF端口 允许 允许与IDC内部AD/ADFS服务器进行对接。 * 0.0.0.0/0 ANY ANY 拒绝 拒绝所有未经前置规则处理的数据流。 表4 网络ACL“NACL-DEV-APP”入方向 规则 # 源 IP 协议 目的端口 允许/拒绝 说明 对Internet内部用户/顾问。 123.123.123.0/24 TCP 80 允许 允许互联网特定IP的内部用户、顾问，访问开发测试环境中的WEB服务。 对Internet内部用户/顾问。 123.123.123.0/24 TCP 443 允许 允许互联网特定IP的内部用户、顾问，访问开发测试环境中的WEB服务。 对IDC内部用户、顾问。 客户数据中心某子网-b TCP 80 允许 允许客户数据中心某子网-b中的内部用户、顾问，访问开发测试环境中的WEB服务。 对IDC内部用户、顾问。 客户数据中心某子网-b TCP 443 允许 允许客户数据中心某子网-b中的内部用户、顾问，访问开发测试环境中的WEB服务。 * 0.0.0.0/0 ANY ANY 拒绝 拒绝所有未经前置规则处理的数据流。 安全组策略请见2.1节中相关内容。

排查思路 以下排查思路根据原因的出现概率进行排序，建议您从高频率原因往低频率原因排查，从而帮助您快速找到问题的原因。 如果解决完某个可能原因仍未解决问题，请继续排查其他可能原因。 图1 Linux实例访问公网不通排查思路 表1 Linux实例访问公网不通排查思路 可能原因 处理措施 资源状态异常：资源冻结；未开机；未绑定弹性公网IP。 云服务器状态为“运行中”，且绑定弹性公网IP才可以访问公网，详细操作请参考检查资源状态是否正常。 云主机负载过高。 云服务器的带宽和CPU利用率过高导致网络断开，详细操作请参考检查云服务器负载是否过高。 弹性公网IP的带宽超限。 请扩大带宽后重试，详细操作请参考检查弹性公网IP的带宽是否超限。 DNS配置不正确。 请切换DNS服务器为内网DNS，详细操作请参考检查DNS配置。 hosts文件中添加了指定解析。 检查hosts文件中是否存在错误的映射关系，详细操作请参考检查hosts文件。 同时运行了Network或NetworkManager。 两者并存导致网络配置冲突，请使用其中之一，详细操作请参考检查Network或NetworkManager是否正常运行。 安全组配置不正确。 检查安全组是否放通出方向网络流量，详细操作请参考检查云服务器安全组。 检查网络ACL规则。 请取消关联的网络ACL后重试，详细操作请参考检查网络ACL规则。 国际链路问题。 请优化链路后重试，详细操作请参考检查是否为国际链路问题。 （适用于访问中国大陆外，包括中国港澳台及其他国家、地区的网站的场景） 弹性公网IP被封堵。 IP若被封堵，则无法访问外网，详细操作请参考检查弹性公网IP是否被封堵。 私有IP丢失。 dhclient进程未运行可能导致私有IP丢失，详细操作请参考检查是否可以正常获取私有IP地址。 网卡配置不正确。 检查网卡配置、DNS配置是否正确，详细操作请参考检查网卡配置。 云服务器开启了防火墙。 测试防火墙关闭后是否可以正常访问，请参考检查防火墙配置。

背景介绍 态势感知通过集成华为云安全公告、漏洞扫描数据，以及实施扫描任务，集中呈现云上资产漏洞风险，以及实时通报突发安全漏洞预警，帮助用户及时发现资产安全短板，修复危险漏洞。 态势感知支持以下类型的漏洞： 应急漏洞公告 接入华为云安全公告数据信息，呈现业界近期广泛披露的热点安全漏洞。 主机漏洞 包括Linux软件漏洞、Windows系统漏洞、Web-CMS漏洞。 网站漏洞 包括Web常规漏洞、端口漏洞、弱密码、CVE漏洞、网页内容合规（图片、文字）、网站挂马、链接健康等共8大类漏洞的检测。

Windows弹性云服务器插件更新方法 安装UniAgent 登录AOM华为云官网。 在AOM产品简介下方单击“AOM 2.0公测中”，进入应用运维管理控制台。 图13 AOM 2.0入口 在应用运维管理控制台上方的菜单栏，单击“采集管理”，进入采集管理控制台。 图14 采集管理控制台 在左侧导航栏选择“UniAgent管理 > 虚机接入”。 单击“安装UniAgent”。 Windows操作系统的弹性云服务器只能选择手动安装的方式，暂不支持Windows操作系统的远程安装。 在安装UniAgent页面中，复制Windows操作系统的安装包下载地址。 图15 安装UniAgent（手动安装） 登录待安装UniAgent的弹性云服务器，打开PowerShell、命令行工具或者在浏览器中复制链接下载UniAgent安装包。 命令示例： wget https://aom-uniagent-cn-north-4.obs.cn-north-4.myhuaweicloud.com/uniagentd-1.0.2-win32.zip -o c:\uniagent.zip 下载完成后继续按照步骤6中的指导进行安装。 安装完成后，在虚机接入界面可以看到已经安装成功的虚拟机。 图16 安装成功的虚拟机 重复步骤5~步骤8，为其余虚拟机安装UniAgent。 创建脚本 在本地浏览器通过以下链接获取脚本，并复制内容。 请根据云服务器所在区域选择脚本的下载地址： 华北-北京一：https://cn-north-1-cloud-reset-pwd.obs.cn-north-1.myhuaweicloud.com/windows/uniagent/update_log4j_version_for_resetpwdagent_windows_for_uniagent.bat 华北-北京四：https://cn-north-4-cloud-reset-pwd.obs.cn-north-4.myhuaweicloud.com/windows/uniagent/update_log4j_version_for_resetpwdagent_windows_for_uniagent.bat 华东-上海二：https://cn-east-2-cloud-reset-pwd.obs.cn-east-2.myhuaweicloud.com/windows/uniagent/update_log4j_version_for_resetpwdagent_windows_for_uniagent.bat 华南-广州：https://cn-south-1-cloud-reset-pwd.obs.cn-south-1.myhuaweicloud.com/windows/uniagent/update_log4j_version_for_resetpwdagent_windows_for_uniagent.bat 中国-香港：https://ap-southeast-1-cloud-reset-pwd.obs.ap-southeast-1.myhuaweicloud.com/windows/uniagent/update_log4j_version_for_resetpwdagent_windows_for_uniagent.bat 在采集管理页面上方，选择“变更管理”，并单击左侧导航栏的“脚本管理”。 图17 脚本管理 在脚本管理页面，单击“创建脚本”。 图18 创建脚本 输入“脚本名称”，并将步骤1下载的脚本文件复制到“版本内容”区域。 手动替换脚本中下载地址，下载对应操作系统架构的一键重置密码插件包。 仅未绑定弹性公网IP的弹性云服务器需要执行本步骤。若待更新的弹性云服务器均已绑定弹性公网IP，则跳过本步骤，无需操作。 图19 脚本内容 脚本下载地址为：http://{region-id} -cloud-reset-pwd.obs.{region-id}.myhuaweicloud.com 以“华南-广州”区域为例： wget -Uri https://cn-south-1-cloud-reset-pwd.obs.cn-south-1.myhuaweicloud.com/windows/reset_pwd_agent/CloudResetPwdAgent.zip 已上传一键式重置密码插件至OBS桶的区域包括：华北-北京一、华北-北京四、华东-上海二、华南-广州、中国-香港。 单击“保存”。 单击“上线”。 执行脚本 上线完成后，单击“执行”。 执行账号为Administrator，目标服务器选择已经安装好uniagent的机器。 图20 执行脚本 查看脚本是否执行成功，有如下显示说明执行成功。 图21 执行成功 如果脚本执行有如下报错，请检查脚本下载地址是否正确。如果地址正确，请重试或者绑定弹性公网IP后更换其他区域的下载地址。 图22 执行失败 检查插件是否更新成功 登录windows云服务器，有如下显示说明更新成功。 图23 插件更新成功

安全上云合规检查—基础设施防护 表4 基础设施防护风险项检查项目 检查项目 检查内容 安全组入方向规则控制检查 安全组入方向规则应满足最小化访问控制原则。 一般，在非业务需要的情况下，以下情况视为未按最小化访问控制（风险由高到低）：源地址为0.0.0.0/0；公网地址的掩码小于32；内网地址的掩码小于24。 高危端口、远程管理端口暴露检查 安全组是一个逻辑上的分组，为具有相同安全保护需求并相互信任的云服务器提供访问策略。安全组创建后，可以在安全组中设置出方向、入方向规则，这些规则会对安全组内部的云服务器出入方向网络流量进行访问控制，当云服务器加入该安全组后，即受到这些访问规则的保护。 安全组入方向规则中不应对外开放或未最小化开放高危端口、远程管理端口。 高危端口如下：20，21，135，137，138，139，445，389，593，1025 未最小化开放指的是：源地址为0.0.0.0/0；公网地址的掩码小于32；内网地址的掩码小于24 检查安全组入方向规则中是否存在对外开放或未最小化开放高危端口、远程管理端口。 绑定EIP的ECS配置密钥对登录检查 当存在ECS对外暴露EIP的情况下，为安全起见，弹性云服务器登录时应使用密钥方式进行身份验证。 日志指标过滤和告警事件（VPC更改）检查 日志审计模块是信息安全审计功能的核心必备组件，是企事业单位信息系统安全风险管控的重要组成部分。云审计服务（Cloud Trace Service，以下简称CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因VPC更改而产生的日志和告警事件。 日志指标过滤和告警事件（网络网关更改）检查 日志审计模块是信息安全审计功能的核心必备组件，是企事业单位信息系统安全风险管控的重要组成部分。云审计服务（Cloud Trace Service，以下简称CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因网络网关更改而产生的日志和告警事件。 日志指标过滤和告警事件（安全组更改）检查 日志审计模块是信息安全审计功能的核心必备组件，是企事业单位信息系统安全风险管控的重要组成部分。云审计服务（Cloud Trace Service，以下简称CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因安全组更改而产生的日志和告警事件。 日志指标过滤和告警事件（子网更改）检查 日志审计模块是信息安全审计功能的核心必备组件，是企事业单位信息系统安全风险管控的重要组成部分。云审计服务（Cloud Trace Service，以下简称CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因子网更改而产生的日志和告警事件。 日志指标过滤和告警事件（VPN更改）检查 日志审计模块是信息安全审计功能的核心必备组件，是企事业单位信息系统安全风险管控的重要组成部分。云审计服务（Cloud Trace Service，以下简称CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因VPN更改而产生的日志和告警事件。 ELB实例（共享型）启用访问控制检查 共享型负载均衡器用户可以通过添加白名单和黑名单的方式控制访问负载均衡监听器的IP。通过白名单能够设置允许特定IP访问，而其它IP不许访问。通过黑名单能够设置允许特定的IP不能访问，而其它IP允许访问。 检查弹性负载均衡（Elastic Load Balance，ELB）实例，是否开启访问控制策略。 网络ACL规则配置检查 网络ACL是对子网的访问控制策略系统，根据与子网关联的入站/出站规则，判断数据包是否被允许流入/流出关联子网。同一个VPC内的子网间设置网络ACL，可以增加额外的安全防护层，实现更精细、更复杂的安全访问控制。 检查是否配置网络ACL规则。 用于VPC对等连接路由表检查 对等连接是指两个VPC之间的网络连接，因此用于对等连接的路由表应满足最小访问权限。 本端路由的目的地址最好限定在最小子网网段内，对端路由的目的地址最好限定在最小子网网段内。 检查用于对等连接的路由表是否满足最小访问权限。 VPC规划检查 如果在当前区域下有多套业务部署，且希望不同业务之间进行网络隔离时，则可为每个业务在当前区域建立相应的VPC。 两个VPC之间可以采用对等连接进行互连。 VPC具有区域属性，默认情况下，不同区域的VPC之间内网不互通，同区域的不同VPC内网不互通，同一个VPC下的不同可用区之间内网互通。 检查VPC规范是否合理。 态势感知启用检查 态势感知（Situation Awareness，SA）是华为云安全管理与态势分析平台，能够检测出云上安全风险，利用大数据分析技术，为用户呈现出全局安全攻击态势。 检查是否已启用SA。 WAF启用（云模式/独享模式/ELB模式）检查 启用Web应用防火墙（Web Application Firewall， WAF）服务后，网站所有的公网流量都会先经过Web应用防火墙，恶意攻击流量在Web应用防火墙上被检测过滤，而正常流量返回给源站IP，从而确保源站IP安全、稳定、可用。 检查是否已启用WAF。 WAF回源配置检查（未配置ELB） 使用Web应用防火墙（Web Application Firewall， WAF）服务后，需配置源站服务器只允许来自WAF的访问请求访问源站，既可保障访问不受影响，又能防止源站IP暴露。 未使用弹性负载均衡（Elastic Load Balance，ELB）情况下，检查在ECS关联的安全组源地址中，是否添加WAF回源IP。 WAF防护策略配置（地理位置访问控制）检查 WAF的防护策略应配置地理位置访问控制，可针对指定国家、地区的来源IP自定义访问控制。配置后，可以进一步减小业务网站的攻击面（检测版和专业版暂不支持该功能）。 Web基础防护配置检查 Web基础防护支持“拦截”（发现攻击行为后立即阻断并记录）和“仅记录”（发现攻击行为后只记录不阻断攻击）模式，检测版仅支持“仅记录”模式。 WAF中所有待防护的域名应开启Web基础防护并设置为拦截模式，开启后，默认防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击。 检查是否已开启Web基础防护并设置为拦截模式。 VSS启用检查 漏洞扫描服务（Vulnerability Scan Service）是针对网站进行漏洞扫描的一种安全检测服务，可以帮助快速检测出网站存在的漏洞，提供详细的漏洞分析报告，并针对不同类型的漏洞提供专业可靠的修复建议。 检查是否已启用VSS服务。 Anti-DDoS流量清洗启用检查 DDoS原生基础防护（Anti-DDoS流量清洗）服务为华为云内公网IP资源，提供网络层和应用层的DDoS攻击防护，并提供攻击拦截实时告警，有效提升用户带宽利用率，保障业务稳定可靠。 检查是否已启用Anti-DDoS流量清洗服务。 DDoS高防启用检查 DDoS高防（Advanced Anti-DDoS，AAD）是企业重要业务连续性的有力保障。DDoS高防通过高防IP代理源站IP对外提供服务，将恶意攻击流量引流到高防IP清洗，确保重要业务不被攻击中断。 检查是否已启用DDoS高防。 云堡垒机启用检查 云堡垒机（Cloud Bastion Host，CBH）是华为云的一款4A统一安全管控平台，为企业提供集中的帐号、授权、认证和审计管理服务。启用后，可实现对服务器、云主机、数据库、应用系统等云上资源的集中管理和运维审计，不仅能保障系统运行安全，且满足相关合规性规范。 检查是否已启用云堡垒机服务。 主机安全防护启用检查 企业主机安全服务（Host Security Service，HSS）是提升主机整体安全性的服务。可以全面识别并管理主机中的信息资产，实时监测主机中的风险并阻止非法入侵行为，帮助企业构建服务器安全体系，降低当前服务器面临的主要安全风险。 主机实例应安装HSS且开启防护，版本要求至少为企业版（旗舰版、网页防篡改版更优）。 检查主机是否开启主机安全防护。 HSS网页防篡改启用与防护目录配置检查 网页防篡改可实时监控网站目录，并通过备份恢复被篡改的文件或目录，保障重要系统的网站信息不被恶意篡改，防止出现挂马、黑链、非法植入恐怖威胁、色情等内容。 有网站或者关键系统防篡改需求，以及有应用安全防护需求的主机，应开启HSS中的网络防篡改防护并配置好防护目录。 检查主机是否开启网络防篡改防护且已配置好防护目录。 主机紧急修复漏洞检查 企业主机安全服务（Host Security Service，HSS）提供漏洞管理功能，检测Linux软件漏洞、Windows系统漏洞和Web-CMS漏洞。 检查HSS中是否存在紧急修复漏洞。 CDN访问控制配置检查 当客户CDN需要对访问者身份进行识别和过滤，限制部分用户访问，提高CDN的安全性，应配置防盗链与IP黑名单。 检查CDN是否配置访问控制规则。

功能总览 功能总览 全部 公网NAT网关 私网NAT网关 公网NAT网关支持按需计费 公网NAT网关支持包年/包月计费 私网NAT网关支持按需计费 SNAT规则 DNAT规则 公网NAT网关支持SNAT和DNAT共用EIP 支持企业项目 公网NAT网关 公网NAT网关能够为VPC内的云主机或通过云专线/VPN接入VPC的本地数据中心的服务器，提供网络地址转换服务，使多个云主机可以共享EIP访问互联网或使云主机提供互联网服务。 支持区域：全部区域 什么是公网NAT网关？ 购买公网NAT网关 私网NAT网关 私网NAT网关能够为虚拟私有云内的云主机提供私网地址转换服务，使VPC内的云主机可以访问远端私网（外部数据中心或其他VPC）或为远端私网提供服务。 支持区域：华北-北京四、华北-乌兰察布一、华东-上海一、华东-上海二、华南-广州、华南-广州-友好用户环境、西南-贵阳一、中国-香港、亚太-曼谷、亚太-新加坡、非洲-约翰内斯堡、拉美-圣保罗一 什么是私网NAT网关？ 购买私网NAT网关 公网NAT网关支持按需计费 公网NAT网关根据您选择的公网NAT网关规格和使用时长计费。公网NAT网关共有小型、中型、大型和超大型四种规格，支持按需（天）计费方式。按需计费的公网NAT网关可以随时转包年/包月计费模式。 支持区域：全部区域 计费说明（公网NAT网关） 公网NAT网关支持包年/包月计费 公网NAT网关根据您选择的公网NAT网关规格和使用时长计费。公网NAT网关共有小型、中型、大型和超大型四种规格，支持包年/包月计费方式。 包年/包月的公网NAT网关不支持规格降级。 包年/包月的公网NAT网关转按需，需包年/包月计费到期后，按需的计费才会生效。 按需计费的公网NAT网关可以随时转包年/包月。 支持区域：华北-北京一、华北-北京四、华北-乌兰察布一、华东-上海一、华东-上海二、华南-广州、华南-广州-友好用户环境、西南-贵阳一、中国-香港、亚太-新加坡 计费说明（公网NAT网关） 私网NAT网关支持按需计费 自2022年4月21日起，私网NAT网关在不同区域分批次开始收费。私网NAT网关根据您选择的私网NAT网关规格和使用时长计费。私网NAT网关共有小型、中型、大型和超大型四种规格，支持按需（小时）计费方式。 支持区域：华北-北京四、华东-上海一、华南-广州、华南-广州-友好用户环境 计费说明（私网NAT网关） SNAT规则 NAT网关分为公网NAT网关和私网NAT网关。 公网NAT网关分为SNAT和DNAT两个功能。 SNAT功能通过绑定EIP，实现私有IP向公有IP的转换，可实现VPC内跨可用区的多个云主机共享EIP访问公网，从而节约EIP资源。 DNAT功能绑定EIP，通过IP映射或端口映射方式，实现VPC内跨可用区的多个云主机共享EIP为互联网提供服务。 私网NAT网关分为SNAT和DNAT两个功能。 SNAT功能通过绑定中转IP，可实现VPC内跨可用区的多个云主机共享中转IP，访问远端私网（本地数据中心或其他VPC）。 DNAT功能绑定中转IP，实现IP映射或端口映射方式，使VPC内跨可用区的多个云主机共享中转IP，为远端私网（本地数据中心/其他VPC）提供服务。 公网NAT网关支持区域：全部区域 私网NAT网关支持区域：华北-北京四、华北-乌兰察布一、华东-上海一、华东-上海二、华南-广州、华南-广州-友好用户环境、西南-贵阳一、中国-香港、亚太-曼谷、亚太-新加坡、非洲-约翰内斯堡、拉美-圣保罗一 添加SNAT规则（公网NAT网关） 添加SNAT规则（私网NAT网关） DNAT规则 NAT网关分为公网NAT网关和私网NAT网关。 公网NAT网关分为SNAT和DNAT两个功能。 SNAT功能通过绑定EIP，实现私有IP向公有IP的转换，可实现VPC内跨可用区的多个云主机共享EIP访问公网，从而节约EIP资源。 DNAT功能绑定EIP，通过IP映射或端口映射方式，实现VPC内跨可用区的多个云主机共享EIP为互联网提供服务。 私网NAT网关分为SNAT和DNAT两个功能。 SNAT功能通过绑定中转IP，可实现VPC内跨可用区的多个云主机共享中转IP，访问远端私网（本地数据中心或其他VPC）。 DNAT功能绑定中转IP，实现IP映射或端口映射方式，使VPC内跨可用区的多个云主机共享中转IP，为远端私网（本地数据中心/其他VPC）提供服务。 公网NAT网关支持区域：全部区域 私网NAT网关支持区域：华北-北京四、华北-乌兰察布一、华东-上海一、华东-上海二、华南-广州、华南-广州-友好用户环境、西南-贵阳一、中国-香港、亚太-曼谷、亚太-新加坡、非洲-约翰内斯堡、拉美-圣保罗一 添加DNAT规则（公网NAT网关） 添加DNAT规则（私网NAT网关） 公网NAT网关支持SNAT和DNAT共用EIP 公网NAT网关在添加SNAT规则和DNAT规则时，支持使用相同的弹性公网IP。 支持区域：华北-北京一、华北-北京四、华北-乌兰察布一、华东-上海一、华东-上海二、华南-广州、华南-广州-友好用户环境、西南-贵阳一、中国-香港、亚太-曼谷、亚太-新加坡、非洲-约翰内斯堡 、拉美-圣地亚哥 添加SNAT规则（公网NAT网关） 添加DNAT规则（公网NAT网关） 支持企业项目 NAT网关支持企业项目，支持通过企业项目来管理NAT网关资源。您可以通过企业项目的迁入/迁出资源以及企业项目的用户组/用户功能将NAT网关资源按照不同的企业项目，由不同的人员来管理。 公网NAT网关支持区域：全部区域 私网NAT网关支持区域：华北-北京四、华东-上海一、华南-广州、西南-贵阳一、中国-香港、亚太-曼谷、亚太-新加坡、非洲-约翰内斯堡、拉美-圣保罗一

功能总览 功能总览 全部 云数据库 GaussDB NoSQL GaussDB(for Cassandra) GaussDB(for Mongo) GaussDB(for Influx) GaussDB(for Redis) 计费模式 开启公网访问 扩容磁盘 变更CPU和内存规格 备份与恢复 参数模板管理 监控与告警 API OBS 2.0支持 云数据库 GaussDB NoSQL 云数据库 GaussDB NoSQL是一款基于计算存储分离架构的分布式多模NoSQL数据库服务，在云计算平台高性能、高可用、高可靠、高安全、可弹性伸缩的基础上，提供了一键部署、备份恢复、监控报警等服务能力。云数据库 GaussDB NoSQL目前包含GaussDB(for Cassandra)、GaussDB(for Mongo)、GaussDB(for Influx)和GaussDB(for Redis)四款产品，分别兼容Cassandra、MongoDB、InfluxDB和Redis主流NoSQL接口，并提供高读写性能，具有高性价比，适用于IoT、气象、互联网、游戏等领域。 什么是云数据库 GaussDB NoSQL 云数据库 GaussDB NoSQL介绍【云图说】 GaussDB(for Cassandra) GaussDB(for Cassandra) 是一款基于华为自研的计算存储分离架构的分布式数据库，兼容Cassandra生态的云原生NoSQL数据库，支持类SQL语法CQL。在华为云高性能、高可用、高可靠、高安全、可弹性伸缩的基础上，提供了一键部署、快速备份恢复、计算存储独立扩容、监控告警等服务能力。 发布区域：华东-上海一、华北-乌兰察布一、华北-北京四、华南-广州、华南-广州-友好用户环境、西南-贵阳一、亚太-新加坡 GaussDB(for Cassandra)介绍【视频】 GaussDB(for Cassandra)支持的版本 购买GaussDB(for Cassandra)实例 连接GaussDB(for Cassandra)实例 GaussDB(for Mongo) GaussDB(for Mongo) 是一款基于华为自研的计算存储分离架构，兼容MongoDB生态的云原生NoSQL数据库。在华为云高性能、高可用、高可靠、高安全、可弹性伸缩的基础上，提供了一键部署、快速备份恢复、计算存储独立扩容、监控告警等服务能力。 发布区域：华东-上海一、华北-乌兰察布一、华北-北京四、华南-广州、华南-广州-友好用户环境、西南-贵阳一、亚太-新加坡 GaussDB(for Mongo)介绍【视频】 GaussDB(for Mongo)支持的版本 购买GaussDB(for Mongo)副本集实例 连接GaussDB(for Mongo)副本集实例 GaussDB(for Influx) GaussDB(for Influx) 是一款基于华为自研的计算存储分离架构，兼容InfluxDB生态的云原生NoSQL时序数据库。提供大并发时序数据读写、压缩存储、多维聚合以及一键部署、快速备份恢复、计算存储独立扩容、监控告警等服务能力，适合于业务监控分析，物联网设备实时监控，工业生产监控，生产质量评估和故障回溯等应用场景。 发布区域：华东-上海一、华北-乌兰察布一、华北-北京四、华南-广州、华南-广州-友好用户环境、西南-贵阳一、亚太-新加坡 GaussDB(for Influx)介绍【视频】 GaussDB(for Influx)支持的版本 购买GaussDB(for Influx)实例 连接GaussDB(for Influx)实例 GaussDB(for Redis) GaussDB(for Redis)采用云原生分布式架构，完全兼容Redis协议，支持丰富数据类型。 提供数据实时持久化、多副本强一致保障，以及实时监控、弹性伸缩、自动备份等一站式服务。 发布区域：华东-上海一、华北-乌兰察布一、华北-北京四、华南-广州、华南-广州-友好用户环境、西南-贵阳一、亚太-新加坡 GaussDB(for Redis)介绍【视频】 GaussDB(for Redis)支持的版本 购买GaussDB(for Redis)实例 连接GaussDB(for Redis)实例 计费模式 提供按小时、按月、按年的计费方式供您灵活选择，使用越久越便宜。 预付费（包年包月）：这种购买方式相对于按需付费提供更大的折扣，对于长期使用者，推荐该方式。 按需付费（小时）：这种购买方式比较灵活，可以即开即停，按实际使用时长计费。以自然小时为单位整点计费，不足一小时按实际使用时长计费。 计费方式更改：支持包周期和按需计费方式转换。 发布区域：华东-上海一、华北-乌兰察布一、华北-北京四、华南-广州、华南-广州-友好用户环境、西南-贵阳一、亚太-新加坡 按需计费实例转包周期 包周期实例转按需计费 实例续费 开启公网访问 实例创建成功后，支持用户绑定弹性公网IP，在公共网络来访问数据库实例，绑定后也可根据需要解绑。 对于已绑定弹性公网IP的实例，需解绑后，才可重新绑定其他弹性公网IP。 发布区域：华东-上海一、华北-乌兰察布一、华北-北京四、华南-广州、华南-广州-友好用户环境、西南-贵阳一、亚太-新加坡 GaussDB(for Cassandra)绑定弹性公网IP GaussDB(for Mongo)绑定弹性公网IP GaussDB(for Influx)绑定弹性公网IP GaussDB(for Redis)绑定弹性公网IP 扩容磁盘 随着业务数据的增加，原来申请的数据库磁盘容量可能会不足。尤其当实例显示“磁盘空间满”状态，且数据库不可进行写入操作时，您需要为实例进行扩容。 扩容磁盘无需重启实例，在此期间，服务不中断，不影响您正常使用数据库。 发布区域：华东-上海一、华北-乌兰察布一、华北-北京四、华南-广州、华南-广州-友好用户环境、西南-贵阳一、亚太-新加坡 扩容GaussDB(for Cassandra)磁盘 扩容GaussDB(for Mongo)磁盘 扩容GaussDB(for Influx)磁盘 扩容GaussDB(for Redis)磁盘 变更CPU和内存规格 CPU/内存规格可根据业务需要进行变更，支持规格升配，也支持降配。 当实例的状态由“规格变更中”变为“正常”，则说明变更成功。 发布区域：华东-上海一、华北-乌兰察布一、华北-北京四、华南-广州、华南-广州-友好用户环境、西南-贵阳一、亚太-新加坡 变更GaussDB(for Cassandra)规格 变更GaussDB(for Mongo)规格 变更GaussDB(for Influx)规格 变更GaussDB(for Redis)规格 备份与恢复 您可以通过设置自动备份策略或创建手动备份，对数据库进行备份。当数据库故障或数据损坏时，可以通过已有的备份恢复数据库，从而保证数据可靠性。 发布区域：华东-上海一、华北-乌兰察布一、华北-北京四、华南-广州、华南-广州-友好用户环境、西南-贵阳一、亚太-新加坡 设置自动备份策略 手动备份 恢复备份到新实例 恢复备份到指定时间点 参数模板管理 您可以使用数据库参数模板中的参数来管理数据库引擎配置。数据库参数模板就像是引擎配置值的容器，这些值可应用于一个或多个数据库实例。 创建数据库实例时可以指定数据库参数模板为默认参数模板或已有参数模板。实例创建成功后也可以变更实例关联的参数模板。 默认参数模板：默认模板包含针对运行的数据库实例进行优化的引擎默认值和数据库服务系统默认值。 自定义参数模板：如果希望数据库实例以客户自定义的引擎配置值运行，可轻松地创建一个新数据库参数模板，修改所需参数并应用到数据库实例，用以使用新数据库参数模板。 发布区域：华东-上海一、华北-乌兰察布一、华北-北京四、华南-广州、华南-广州-友好用户环境、西南-贵阳一、亚太-新加坡 创建参数模板 编辑参数模板 监控与告警 云监控服务可以对数据库实例的运行状态进行日常监控。您可以通过管理控制台，直观地查看实例的各项监控指标。 由于监控数据的获取与传输会花费一定时间，因此，云监控显示的是当前时间5～10分钟前的监控状态。如果您的实例刚刚创建完成，请等待5～10分钟后查看监控数据。 您还可以通过设置告警规则，用户可自定义监控目标与通知策略，及时了解实例的运行状况，从而起到预警作用。 发布区域：华东-上海一、华北-乌兰察布一、华北-北京四、华南-广州、华南-广州-友好用户环境、西南-贵阳一、亚太-新加坡 GaussDB(for Cassandra)支持的监控指标 GaussDB(for Mongo)支持的监控指标 GaussDB(for Influx)支持的监控指标 GaussDB(for Redis)支持的监控指标 查看监控指标 配置告警规则 API 您可以使用GaussDB NoSQL提供的API对数据库实例进行相关操作，如创建、备份恢复、查询、参数配置、删除等。 发布区域：华东-上海一、华北-乌兰察布一、华北-北京四、华南-广州、华南-广州-友好用户环境、西南-贵阳一、亚太-新加坡 如何调用API 查询数据库版本信息 创建数据库实例

setNetworkModeWithAccessType 接口描述 如华为云会议的媒体节点下沉部署到企业，并且管理节点也是通过企业内的代理访问，需要将网络模式设置成“企业内网接入”。 企业内的App无法直接访问公网（即媒体节点下沉和管理节点代理下沉场景）的情况下才需要调用该接口。 注意事项 该接口非必需调用，若不设置，则使用默认模式。 该接口仅支持 macOS 10.13 及以上版本。 方法定义 /// 设置网络模式+ (void)setNetworkModeWithAccessType:(HWMAccessType)accessType API_AVAILABLE(macos(10.13)); 参数描述 表1 参数说明 参数 是否必须 类型 描述 accessType 是 HWMAccessType 网络接入类型 表2 枚举HWMAccessType参数说明 枚举值 描述 HWMAccessTypeAuto 默认值。 HWMAccessTypeInner 公司内网接入，用于媒体和信令下沉场景，app从内网接入，信令/媒体消息走代理服务器才能访问云会议服务端。 HWMAccessTypeOuter 公司外网接入，用于非媒体和信令下沉场景，互联网接入，信令/媒体消息可以直接访问云会议服务端。 示例代码 /*** 设置网络模式*/[HWMSdk setNetworkModeWithAccessType:HWMAccessTypeInner];

使用Jedis连接池报错如何处理？ 在使用Jedis连接池JedisPool模式下，比较常见的报错如下： redis.clients.jedis.exceptions.JedisConnectionException: Could not get a resource from the pool 首先确认DCS缓存实例是正常运行中状态，然后按以下步骤进行排查。 网络 核对IP地址配置 检查jedis客户端配置的ip地址是否与DCS缓存实例配置的子网地址一致，如果从公网访问，则检查是否与DCS缓存实例绑定的弹性ip地址一致，不一致则修改一致后重试。 测试网络 在客户端使用ping和Telnet小工具测试网络。 如果ping不通： VPC内访问时，要求客户端与DCS缓存实例的VPC相同，安全组相同或者DCS缓存实例的安全组放开了6379端口访问。 公网SSL方式访问时，要求DCS缓存实例安全组放开了36379端口访问。 公网直接访问（非SSL方式）时，要求DCS缓存实例安全组放开了6379端口访问。 如果IP地址可以ping通，telnet对应的端口不通，则尝试重启实例，如重启后仍未恢复，请联系技术支持。 检查连接数是否超限 查看已建立的网络连接数是否超过JedisPool配置的上限。如果连接数接近配置的上限值，则建议重启服务观察。如果明显没有接近，排除连接数超限可能。 Unix/Linux系统使用： netstat -an | grep 6379 | grep ESTABLISHED | wc -l Windows系统使用： netstat -an | find "6379" | find "ESTABLISHED" /C 检查JedisPool连接池代码 如果连接数接近配置的上限，请分析是业务并发原因，或是没有正确使用JedisPool所致。 对于JedisPool连接池的操作，每次调用jedisPool.getResource()方法之后，需要调用jedisPool.returnResource()或者jedis.close()进行释放，优先使用close()方法。 客户端TIME_WAIT是否过多 通过ss -s查看time wait链接是否过多。 如果TIME_WAIT过多，可以调整内核参数（/etc/sysctl.conf）： ##当出现SYN等待队列溢出时，启用cookies来处理，可防范少量SYN攻击net.ipv4.tcp_syncookies = 1##允许将TIME-WAIT sockets重新用于新的TCP连接net.ipv4.tcp_tw_reuse = 1##开启TCP连接中TIME-WAIT sockets的快速回收net.ipv4.tcp_tw_recycle = 1##修改系統默认的TIMEOUT时间net.ipv4.tcp_fin_timeout = 30 调整后重启生效：/sbin/sysctl -p 无法解决问题 如果按照以上原因排查之后还有问题，可以通过抓包并将异常时间点、异常信息以及抓包文件发送给技术支持协助分析。 抓包可使用tcpdump工具，命令如下： tcpdump -i eth0 tcp and port 6379 -n -nn -s 74 -w dump.pcap Windows系统下还可以安装Wireshark工具抓包。 公网访问时请将端口改成36379。 网卡名请改成实际的网卡名称。

使用Jedis连接池报错如何处理？ 在使用Jedis连接池JedisPool模式下，比较常见的报错如下： redis.clients.jedis.exceptions.JedisConnectionException: Could not get a resource from the pool 首先确认DCS缓存实例是正常运行中状态，然后按以下步骤进行排查。 网络 核对IP地址配置 检查jedis客户端配置的ip地址是否与DCS缓存实例配置的子网地址一致，如果从公网访问，则检查是否与DCS缓存实例绑定的弹性ip地址一致，不一致则修改一致后重试。 测试网络 在客户端使用ping和Telnet小工具测试网络。 如果ping不通： VPC内访问时，要求客户端与DCS缓存实例的VPC相同，安全组相同或者DCS缓存实例的安全组放开了6379端口访问。 公网SSL方式访问时，要求DCS缓存实例安全组放开了36379端口访问。 公网直接访问（非SSL方式）时，要求DCS缓存实例安全组放开了6379端口访问。 如果IP地址可以ping通，telnet对应的端口不通，则尝试重启实例，如重启后仍未恢复，请联系技术支持。 检查连接数是否超限 查看已建立的网络连接数是否超过JedisPool配置的上限。如果连接数接近配置的上限值，则建议重启服务观察。如果明显没有接近，排除连接数超限可能。 Unix/Linux系统使用： netstat -an | grep 6379 | grep ESTABLISHED | wc -l Windows系统使用： netstat -an | find "6379" | find "ESTABLISHED" /C 检查JedisPool连接池代码 如果连接数接近配置的上限，请分析是业务并发原因，或是没有正确使用JedisPool所致。 对于JedisPool连接池的操作，每次调用jedisPool.getResource()方法之后，需要调用jedisPool.returnResource()或者jedis.close()进行释放，优先使用close()方法。 客户端TIME_WAIT是否过多 通过ss -s查看time wait链接是否过多。 如果TIME_WAIT过多，可以调整内核参数（/etc/sysctl.conf）： ##当出现SYN等待队列溢出时，启用cookies来处理，可防范少量SYN攻击net.ipv4.tcp_syncookies = 1##允许将TIME-WAIT sockets重新用于新的TCP连接net.ipv4.tcp_tw_reuse = 1##开启TCP连接中TIME-WAIT sockets的快速回收net.ipv4.tcp_tw_recycle = 1##修改系統默认的TIMEOUT时间net.ipv4.tcp_fin_timeout = 30 调整后重启生效：/sbin/sysctl -p 无法解决问题 如果按照以上原因排查之后还有问题，可以通过抓包并将异常时间点、异常信息以及抓包文件发送给技术支持协助分析。 抓包可使用tcpdump工具，命令如下： tcpdump -i eth0 tcp and port 6379 -n -nn -s 74 -w dump.pcap Windows系统下还可以安装Wireshark工具抓包。 公网访问时请将端口改成36379。 网卡名请改成实际的网卡名称。

问题分析 主要从九个方面考虑： 排除数据库实例异常 例如：DDS系统故障，实例状态异常，实例或表被锁定。 （常见）使用正确的客户端连接方式 数据库安装包须从官网下载并正确安装，请参见如何安装MongoDB客户端。 建议使用4.0版本以上的MongoDB客户端连接实例。 内网连接需要DDS与ECS实例必须在同一区域、VPC内。 公网连接需要购买或使用已有EIP，并对DDS实例绑定该EIP 。 使用正确的SSL方式安全连接 界面SSL开关开启和关闭，分别对应不用的连接命令。例如： 开关开启：./mongo --host--port-u-p--authenticationDatabaseadmin--ssl --sslCAFile --sslAllowInvalidHostnames 开关关闭：./mongo --host--port-u-p --authenticationDatabase admin 排除连接命令错误 例如：连接地址错误、端口参数配置错误、用户名和密码错误、SSL方式下命令错误。 （常见）排除网络不通 内网访问 确认ECS与DDS是否在同一个区域、同一个VPC。 ECS与DDS在不同VPC的场景，可以通过建立VPC对等连接实现网络互通。 检查安全组规则。 安全组外访问安全组内的DDS集群实例时，需要为安全组添加相应的入方向规则。 在ECS上测试是否可以正常连接到DDS实例地址的端口。 公网访问 检查安全组规则。 安全组外访问安全组内的DDS集群实例时，需要为安全组添加相应的入方向规则。 检查网络ACL规则。 相同区域主机进行ping测试。 跨网段访问（配置IP映射） 通过内网连接副本集实例时，当客户端和副本集实例部署在不同网段时，且客户端所在的网段不在“192.168.0.0/16”，“172.16.0.0/24”和“10.0.0.0/8”时，需要进行跨网段访问配置，以实现网络互通。 确保在源端ECS网络与实例节点网络连通，如果网络不通，可以参考对等连接进行相关配置。 跨网段访问的操作请详见跨网段访问配置。 （常见）排除实例的连接数满的情况 实例连接数过多，可能会导致业务侧无法正常连接。 （常见）排除磁盘满的情况 实例磁盘使用率过高会导致实例状态异常，无法正常连接实例。 排除CPU使用率飙升问题 CPU使用率很高或接近100%，会导致数据读写处理缓慢、无法获取连接、出现报错等，从而影响业务正常运行。 连接失败的常见报错 包含连接失败的常见报错，以及相应的解决方法。

安全上云合规检查—基础设施防护 表4 基础设施防护风险项检查项目 检查项目 检查内容 安全组入方向规则控制检查 安全组入方向规则应满足最小化访问控制原则。 一般，在非业务需要的情况下，以下情况视为未按最小化访问控制（风险由高到低）：源地址为0.0.0.0/0；公网地址的掩码小于32；内网地址的掩码小于24。 高危端口、远程管理端口暴露检查 安全组是一个逻辑上的分组，为具有相同安全保护需求并相互信任的云服务器提供访问策略。安全组创建后，可以在安全组中设置出方向、入方向规则，这些规则会对安全组内部的云服务器出入方向网络流量进行访问控制，当云服务器加入该安全组后，即受到这些访问规则的保护。 安全组入方向规则中不应对外开放或未最小化开放高危端口、远程管理端口。 高危端口如下：20，21，135，137，138，139，445，389，593，1025 未最小化开放指的是：源地址为0.0.0.0/0；公网地址的掩码小于32；内网地址的掩码小于24 检查安全组入方向规则中是否存在对外开放或未最小化开放高危端口、远程管理端口。 绑定EIP的ECS配置密钥对登录检查 当存在ECS对外暴露EIP的情况下，为安全起见，弹性云服务器登录时应使用密钥方式进行身份验证。 日志指标过滤和告警事件（VPC更改）检查 日志审计模块是信息安全审计功能的核心必备组件，是企事业单位信息系统安全风险管控的重要组成部分。云审计服务（Cloud Trace Service，以下简称CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因VPC更改而产生的日志和告警事件。 日志指标过滤和告警事件（网络网关更改）检查 日志审计模块是信息安全审计功能的核心必备组件，是企事业单位信息系统安全风险管控的重要组成部分。云审计服务（Cloud Trace Service，以下简称CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因网络网关更改而产生的日志和告警事件。 日志指标过滤和告警事件（安全组更改）检查 日志审计模块是信息安全审计功能的核心必备组件，是企事业单位信息系统安全风险管控的重要组成部分。云审计服务（Cloud Trace Service，以下简称CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因安全组更改而产生的日志和告警事件。 日志指标过滤和告警事件（子网更改）检查 日志审计模块是信息安全审计功能的核心必备组件，是企事业单位信息系统安全风险管控的重要组成部分。云审计服务（Cloud Trace Service，以下简称CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因子网更改而产生的日志和告警事件。 日志指标过滤和告警事件（VPN更改）检查 日志审计模块是信息安全审计功能的核心必备组件，是企事业单位信息系统安全风险管控的重要组成部分。云审计服务（Cloud Trace Service，以下简称CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 检查CTS中是否存在因VPN更改而产生的日志和告警事件。 ELB实例（共享型）启用访问控制检查 共享型负载均衡器用户可以通过添加白名单和黑名单的方式控制访问负载均衡监听器的IP。通过白名单能够设置允许特定IP访问，而其它IP不许访问。通过黑名单能够设置允许特定的IP不能访问，而其它IP允许访问。 检查弹性负载均衡（Elastic Load Balance，ELB）实例，是否开启访问控制策略。 网络ACL规则配置检查 网络ACL是对子网的访问控制策略系统，根据与子网关联的入站/出站规则，判断数据包是否被允许流入/流出关联子网。同一个VPC内的子网间设置网络ACL，可以增加额外的安全防护层，实现更精细、更复杂的安全访问控制。 检查是否配置网络ACL规则。 用于VPC对等连接路由表检查 对等连接是指两个VPC之间的网络连接，因此用于对等连接的路由表应满足最小访问权限。 本端路由的目的地址最好限定在最小子网网段内，对端路由的目的地址最好限定在最小子网网段内。 检查用于对等连接的路由表是否满足最小访问权限。 VPC规划检查 如果在当前区域下有多套业务部署，且希望不同业务之间进行网络隔离时，则可为每个业务在当前区域建立相应的VPC。 两个VPC之间可以采用对等连接进行互连。 VPC具有区域属性，默认情况下，不同区域的VPC之间内网不互通，同区域的不同VPC内网不互通，同一个VPC下的不同可用区之间内网互通。 检查VPC规范是否合理。 态势感知启用检查 态势感知（Situation Awareness，SA）是华为云安全管理与态势分析平台，能够检测出超过20大类的云上安全风险，利用大数据分析技术，为用户呈现出全局安全攻击态势。 检查是否已启用SA。 WAF启用（云模式/独享模式/ELB模式）检查 启用Web应用防火墙（Web Application Firewall， WAF）服务后，网站所有的公网流量都会先经过Web应用防火墙，恶意攻击流量在Web应用防火墙上被检测过滤，而正常流量返回给源站IP，从而确保源站IP安全、稳定、可用。 检查是否已启用WAF。 WAF回源配置检查（未配置ELB） 使用Web应用防火墙（Web Application Firewall， WAF）服务后，需配置源站服务器只允许来自WAF的访问请求访问源站，既可保障访问不受影响，又能防止源站IP暴露。 未使用弹性负载均衡（Elastic Load Balance，ELB）情况下，检查在ECS关联的安全组源地址中，是否添加WAF回源IP。 WAF防护策略配置（地理位置访问控制）检查 WAF的防护策略应配置地理位置访问控制，可针对指定国家、地区的来源IP自定义访问控制。配置后，可以进一步减小业务网站的攻击面（检测版和专业版暂不支持该功能）。 Web基础防护配置检查 Web基础防护支持“拦截”（发现攻击行为后立即阻断并记录）和“仅记录”（发现攻击行为后只记录不阻断攻击）模式，检测版仅支持“仅记录”模式。 WAF中所有待防护的域名应开启Web基础防护并设置为拦截模式，开启后，默认防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击。 检查是否已开启Web基础防护并设置为拦截模式。 VSS启用检查 漏洞扫描服务（Vulnerability Scan Service）是针对网站进行漏洞扫描的一种安全检测服务，可以帮助快速检测出网站存在的漏洞，提供详细的漏洞分析报告，并针对不同类型的漏洞提供专业可靠的修复建议。 检查是否已启用VSS服务。 Anti-DDoS流量清洗启用检查 DDoS原生基础防护（Anti-DDoS流量清洗）服务为华为云内公网IP资源，提供网络层和应用层的DDoS攻击防护，并提供攻击拦截实时告警，有效提升用户带宽利用率，保障业务稳定可靠。 检查是否已启用Anti-DDoS流量清洗服务。 DDoS高防启用检查 DDoS高防（Advanced Anti-DDoS，AAD）是企业重要业务连续性的有力保障。DDoS高防通过高防IP代理源站IP对外提供服务，将恶意攻击流量引流到高防IP清洗，确保重要业务不被攻击中断。 检查是否已启用DDoS高防。 云堡垒机启用检查 云堡垒机（Cloud Bastion Host，CBH）是华为云的一款4A统一安全管控平台，为企业提供集中的帐号、授权、认证和审计管理服务。启用后，可实现对服务器、云主机、数据库、应用系统等云上资源的集中管理和运维审计，不仅能保障系统运行安全，且满足相关合规性规范。 检查是否已启用云堡垒机服务。 主机安全防护启用检查 企业主机安全服务（Host Security Service，HSS）是提升主机整体安全性的服务。可以全面识别并管理主机中的信息资产，实时监测主机中的风险并阻止非法入侵行为，帮助企业构建服务器安全体系，降低当前服务器面临的主要安全风险。 主机实例应安装HSS且开启防护，版本要求至少为企业版（旗舰版、网页防篡改版更优）。 检查主机是否开启主机安全防护。 HSS网页防篡改启用与防护目录配置检查 网页防篡改可实时监控网站目录，并通过备份恢复被篡改的文件或目录，保障重要系统的网站信息不被恶意篡改，防止出现挂马、黑链、非法植入恐怖威胁、色情等内容。 有网站或者关键系统防篡改需求，以及有应用安全防护需求的主机，应开启HSS中的网络防篡改防护并配置好防护目录。 检查主机是否开启网络防篡改防护且已配置好防护目录。 主机紧急修复漏洞检查 企业主机安全服务（Host Security Service，HSS）提供漏洞管理功能，检测Linux软件漏洞、Windows系统漏洞和Web-CMS漏洞。 检查HSS中是否存在紧急修复漏洞。 CDN访问控制配置检查 当客户CDN需要对访问者身份进行识别和过滤，限制部分用户访问，提高CDN的安全性，应配置防盗链与IP黑名单。 检查CDN是否配置访问控制规则。

问题分析 主要从八个方面考虑： 排除数据库实例异常 例如：关系型数据库系统故障，实例状态异常，实例或表被锁定。 （常见）使用正确的客户端连接方式 内网连接需要RDS与ECS实例必须在同一区域、VPC内。 公网连接需要购买或使用已有EIP，并对RDS实例绑定该EIP 。 使用正确的SSL方式安全连接 界面SSL开关开启和关闭，分别对应不用的连接命令。例如： 开关开启：mysql -h 172.16.0.31 -P 3306 -u root -p --ssl-ca=/tmp/ca.pem 开关关闭：mysql -h 172.16.0.31 -P 3306 -u root -p 排除连接命令错误 例如：连接地址错误、端口参数配置错误、用户名和密码错误、SSL方式下命令错误。 （常见）排除网络不通 内网访问 确认ECS与RDS是否在同一个区域，VPC。 检查安全组规则。 安全组外访问安全组内的RDS实例时，需要为安全组添加相应的入方向规则。 在ECS上测试是否可以正常连接到RDS实例地址的端口。 公网访问 检查安全组规则。 安全组外访问安全组内的RDS实例时，需要为安全组添加相应的入方向规则。 检查网络ACL规则。 相同区域主机进行ping测试。 （常见）排除实例的连接数满的情况 实例连接数过多，可能会导致业务侧无法正常连接。 （常见）排除实例的磁盘满的情况 当实例处于“磁盘空间满”状态时，影响数据的正常读写操作。 连接失败的常见报错 包含连接失败的常见报错，以及相应的解决方法。

产品功能 华为云区块链引擎服务支持以下功能： 表1 功能说明 功能 说明 服务部署 您无需提前准备区块链系统需要的资源，可一键式完成购买资源与部署区块链网络。 共识策略 区块链网络中节点之间达成共识需要遵从的规则。默认为Raft(CFT)策略。 组织管理 区块链服务同时支持动态添加节点组织，操作方便。 合约管理 通过图形化界面可视化管理链代码的全生命周期：链代码编码、调试，链代码安装、链代码实例化和链代码升级。 合约扫描 通过自动化分析工具，为智能合约应用商和开发者提供代码安全审计，借助广泛的联盟链合约漏洞检测内容和问题检测库，生成检查报告及时发现代码中的安全隐患并提供修复建议，力求从源头上确保智能合约安全。 富媒体存储 说明： 仅基于华为云资源部署的服务1.0.1.1及以上版本支持富媒体存储功能。使用富媒体存储功能进行文件上链，将消耗对应组织存储空间。 扩展传统区块链存储能力，提供易于使用的富媒体文件上链、下载功能。链上文件历史版本可追溯、操作记录可查询。 保证跨信任域文件共享、文件存证场景下的可信

排查思路 图1 连接实例失败排查思路 排除数据库实例异常 检查办法：请在控制台检查云实例状态是否为“正常”。 可能原因：关系型数据库系统故障，实例状态异常，实例或表被锁定等。 解决方案：如果实例状态为“异常”，请尝试重启。 图2 检查实例状态 使用正确的客户端连接方式 建议安装不低于数据库实例版本的引擎客户端。 内网和公网连接实例的具体操作步骤，请参见外部服务器能否访问RDS数据库。 表1 客户端连接方式 连接方式 使用场景 连接样例 内网方式 系统默认提供内网IP地址。 当应用部署在ECS上，且该ECS与RDS实例处于同一区域，同一VPC时，建议单独使用内网IP连接ECS与RDS实例。 以RDS for MySQL为例： mysql -h <内网地址> -P 3306 -u root -p --ssl-ca=/tmp/ca.pem 公网方式 不能通过内网IP地址访问RDS实例时，使用公网访问，建议单独绑定弹性公网IP连接ECS（或公网主机）与RDS实例。 用户需要购买弹性公网IP，请参见弹性公网IP计费说明。 以RDS for MySQL为例： mysql -h <弹性公网IP> -P 3306 -u root -p --ssl-ca=/tmp/ca.pem 使用正确的SSL方式安全连接 （推荐）SSL方式：实例连接管理页面的SSL开关开启，并且上传证书到ECS。 mysql -h 172.16.0.31 -P 3306 -u root -p --ssl-ca=/tmp/ca.pem 图3 SSL开关开启 普通方式：实例基本信息页面的SSL开关关闭。 mysql -h 172.16.0.31 -P 3306 -u root -p 排除连接命令错误 请获取正确的连接地址、端口参数配置、用户名和密码、SSL方式下命令错误，并重试连接实例。 SSL内网连接RDS for MySQL示例：mysql -h 172.16.0.31 -P 3306 -u root -p --ssl-ca=/tmp/ca.pem 连接地址 目标实例的“连接管理”页面，“内网连接”页签的“内网地址”。 图4 内网地址 数据库端口 目标实例的“连接管理”页面，“内网连接”页签的“数据库端口”。 用户名和密码 root管理员帐号及其对应的密码。 证书名称 SSL证书文件名，该文件需放在执行该命令的路径下。 SSL公网连接RDS for MySQL示例：mysql -h 公网地址 -P 3306 -u root -p --ssl-ca=/tmp/ca.pem 连接地址 目标实例的“连接管理”页面，“公网连接”页签的“弹性公网IP”。 图5 弹性公网IP 数据库端口 目标实例的“连接管理”页面，“公网连接”页签的“数据库端口”。 用户名和密码 root管理员帐号及其对应的密码。 证书名称 SSL证书文件名，该文件需放在执行该命令的路径下。 排除网络不通 内网访问 检查ECS与RDS是否在同一个区域，VPC。 不同区域的云服务之间内网互不相通，无法访问实例。请就近选择靠近您业务的区域，可减少网络时延，提高访问速度。 不同VPC下，请参见ECS和RDS署在不同的VPC，网络不通怎么办。 检查安全组规则。 安全组外访问安全组内的RDS实例时，需要为安全组添加相应的入方向规则。 在ECS上测试是否可以正常连接到RDS实例地址的端口。 telnet <连接地址> <端口号> 可以通信，说明网络是正常的。 无法通信，请提交工单联系华为云客服协助解决。 公网访问 检查安全组规则。 安全组外访问安全组内的RDS实例时，需要为安全组添加相应的入方向规则。 检查网络ACL规则。 进入虚拟私有云网络ACL列表。 检查EIP绑定的网卡是否在网络ACL关联的子网下。 查看网络ACL当前是“开启”状态还是“关闭”状态。 若网络ACL为“开启”状态，需要添加ICMP放通规则进行流量放通。 注意：网络ACL的默认规则是丢弃所有出入方向的包，关闭“网络ACL”后，其默认规则仍然生效。 相同区域主机进行ping测试。 如果在原ECS上没有ping通RDS实例绑定的EIP，请在相同区域的另一台ECS上去ping该EIP，如果可以正常ping通，说明虚拟网络正常，请提交工单联系华为云客服协助解决。 排除实例的连接数满的情况 检查办法： 通过show variables like '%max%connections%';命令查看实例连接数，示例： max_connections：允许同时连接的客户端总数。如果设定值为default，表示该参数随内存规格变化，具体请参见RDS数据库实例支持的最大数据连接数是多少。 max_user_connections：特定RDS for MySQL帐户允许的最大同时连接数。 通过云监控服务查看实例的连接数指标是否已达上限，可查看目标实例的“数据库总连接数”和“当前活跃连接数”，判断是否需要释放连接。 可能原因：数据库连接数过多，可能会导致业务侧无法正常连接，也会导致实例全量备份和增量备份失败，影响业务的正常使用。 解决方案： 请及时排查业务侧连接是否有效，优化实例连接，释放不必要的连接。 如果设定值为default，可以对数据库进行规格扩容，用以提高max_connections的值，具体请参见变更数据库规格。 云监控服务目前可以监控数据库CPU、内存、磁盘、连接数等指标，并且设置告警策略，出现告警时可以提前识别风险。支持的监控指标请参见支持的监控指标。 排除实例的磁盘满的情况 检查办法：磁盘空间使用率可通过管理控制台或云监控服务查看。 通过管理控制台查看 选择目标实例，单击实例名称，进入“基本信息”页面。在“存储空间”模块，查看磁盘使用率。 图6 查看磁盘使用率 通过云监控服务查看 选择目标实例，单击“查看监控指标”，跳转到云监控页面，查看目标实例的磁盘使用率指标。 可能原因：当实例处于“磁盘空间满”状态时，需扩容至磁盘空间使用率小于85%才可使实例处于可用状态，使数据库恢复正常的写入操作。 解决方案： 随着业务数据的增加，原来申请的数据库磁盘容量可能会不足，建议用户扩容磁盘空间，确保磁盘空间足够。 请参见扩容磁盘。 缩短Binlog本地保留时长。 请参见设置MySQL本地Binlog。 请及时处理过期数据文件。 云监控服务目前可以监控数据库cpu、内存、磁盘、连接数等指标，并且设置告警策略，出现告警时可以提前识别风险。 请参见通过Cloud Eye监控。 连接失败的常见报错 通过命令连接数据库实例时，可能出现的报错信息和解决方案如下所示： ERROR 2013：Lost connection to MySQL server during query 连接超时参数“wait_timeout”和“interactive_timeout”设置过小时，RDS for MySQL会自动断开超时的空连接。具体请参见MySQL客户端连接实例后会自动断开。 ERROR 1045 (28000): Access denied for user 'root'@'192.168.0.30' (using password: YES) 排除是否密码错误问题，确认该主机是否有连接数据库实例的权限，以及RDS for MySQL客户端和实例VIP是否可以连通，具体请参见连接RDS实例失败的常见报错。 ERROR 1226 (42000): User 'test' has exceeded the 'max_user_connections' resource (current value:10) 排查是否限制了实例的连接数，导致连接失败，具体请参见连接RDS实例失败的常见报错。 ERROR 1129 (HY000): Host '192.168.0.111' is blocked because of many connection errors; unblock with 'mysqladmin flush-hosts' 排查是否由于RDS for MySQL客户端连接数据库的失败次数(不包括密码错误)，超过了max_connection_errors的值，导致连接失败，具体请参见连接RDS实例失败的常见报错。 [Warning] Access denied for user 'username'@'yourIp' (using password: NO) 连接RDS for MySQL和RDS for PostgreSQL实例时出现该报错，请检查用户名或密码是否正确。 [Warning] Access denied for user 'username'@'yourIp' (using password: YES) 连接RDS for MySQL和RDS for PostgreSQL实例时出现该报错，请检查用户名或密码是否正确。 Login failed for user 'username' 连接RDS for SQL Server实例时出现该报错，请检查用户名或密码是否正确。 如果上述方法均不能解决您的疑问，请提交工单联系华为云客服为您解答。

购买企业版实例 购买企业版实例，可以享受更好的资源隔离和管控策略。购买的资源独享，具有更高的数据可靠性和安全性。 开通之前，请浏览整体开通流程，以便提高操作效率。 每个租户最多只能购买15个企业版实例，如果需要更多实例，请提交工单说明您的诉求。 操作步骤 配置访问授权后，在侧导航栏，选择“IoTDA实例”，单击企业版右侧的“购买实例”。 在页面中填写实例配置信息，系统会根据您选择的“实例规格”和“购买时长”自动计算费用。 参数名称 参数说明 计费模式 选择实例的计费模式，当前仅支持“包年/包月”。 区域 设备接入服务部署的区域，当前支持“华北-北京四”、“华东-上海一”、“华南-广州”和“华南-广州-友好用户环境”。 说明： 不同区域之间的云服务产品内网互不相通，请就近选择靠近您业务的区域，可降低网络时延，提高访问速度。 网络 选择虚拟私有云和子网。 如果需要创建新的虚拟私有云，请参考虚拟私有云创建虚拟私有云。 安全组 选择实例所关联的安全组，请参考安全组提前创建创建组。 公网接入 提供设备接入公网接入能力，请根据需要配置，避免不必要的浪费。 私网接入 勾选：购买实例时会自动购买VPC终端节点，并自动分配接入地址 未勾选：仍然需要私网接入，可以自行购买VPC终端节点对接。 接入端口 支持接入端口可配置，并提供了默认端口，支持可配置的端口如下： 应用接入：HTTPS(443)、AMQPS(5671) 设备接入：CoAP(5683)、CoAPS(5684)、MQTT(1883)、MQTTS(8883)、HTTPS(8943) 实例版本 企业版。 实例名称 设备接入实例的名字，方便根据名字管理实例。支持中文汉字、大小写字母、数字、下划线（_）和中划线（-），最大长度不超过64。 实例描述 企业版实例的描述，可根据实例用户、实例的用途进行简单的描述。 购买时长 按月购买。 购买时可勾选自动续费，勾选后在实例到期时会自动对实例续费。 单击“立即购买”，进入实例规格确认页面。 规格确认无误后，单击“去支付”。 在支付页面选择支付方式后，单击“确认付款”完成购买。

升级PC客户端时，提示“检测到您下载的安装包异常，是否继续安装”？ 收到华为云会议PC客户端的升级提醒后，升级时提示“检测到您下载的安装包异常，是否继续安装”。 解决方法： 如果您的操作系统已长时间未更新补丁，建议更新安全补丁后再运行华为云会议并进行升级。 如果您连接的网络是不信任的网络，比如公共场所的不知名网络，可能存在被劫持的风险，建议切换到可信任网络重新升级。 如果您的操作系统为Windows 7、未升级到最新版本和补丁的Windows 10，并且不想升级系统；或者您的操作系统已是Windows 10、Windows 11，并安装了最新的系统安全补丁，可通过以下步骤检查客户端安装包的正确性。 打开目录：%appdata%\HuaweiMeeting\update，右键点击升级包（exe文件）的属性。 如果确认显示的证书信息中“颁发给、颁发者、有效期”均与上图一致，说明升级包的来源可靠，请放心使用。如果不一致，建议点击“取消”中断升级。 如果步骤3中证书信息与图示不一致，请通过华为云会议官网链接下载最新客户端安装包：https://www.huaweicloud.com/product/meeting/download.html。

什么是安全组 安全组是一种虚拟防火墙，具备状态检测和数据包过滤功能，用于设置弹性云服务器、裸金属服务器、负载均衡、数据库等实例的网络访问控制，是重要的网络安全隔离手段。 您可以通过配置安全组规则，允许安全组内的实例对公网或私网的访问。 安全组是一个逻辑上的分组，您可以将同一区域内具有相同安全保护需求的裸金属服务器加入到同一个安全组内。 同一安全组内的BMS实例之间默认内网网络互通，不同安全组内的实例之间默认内网不通。 您可以随时修改安全组的规则，新规则立即生效。

安全策略 如图2 生产环境子网、网络ACL分布图所示，生产环境涉及8个子网，建议分别创建相应的网络ACL实例：NACL-DMZ-SAP-Router、NACL-PRD-DMZ、NACL-PRD-APP、NACL-PRD-SAPDB-BUSI、NACL-PRD-SAPDB-INTERNAL、NACL-PRD-MGMT。 图2 生产环境子网、网络ACL分布图 网络ACL“NACL-DMZ-SAP-Router”，关联生产环境、开发测试环境公用的DEV&PRD-SAP-Router子网。通过策略限制，出方向限制可由SAP-Router访问生产环境SAP应用区、SAP-DB区指定的业务端口，入方向限制可由管理区堡垒机访问子网内服务器的管理端口(22等)。 本节中提到的IP地址及端口号仅为示例，如有其它管理端口，可根据实际情况增加策略。本节仅涉及生产环境内部策略。

常用数据类型简介 AIOps服务为用户预制了常见的数据类型，方便用户创建数据源时选择合适的数据类型。 表1 数据源类型介绍 数据类型 描述 典型用途 incident_event 事件输出结构 “无线传输跨域智能告警”APP应用 rank_result 告警排序结果数据格式 “告警排序”原子能力 kpi_result 异常检测输出结果 “IT应用健康监控”、“无线传输跨域智能告警”、“5G园区网络体验与故障分析”APP应用，“KPI异常检测”原子能力 kpi_series 异常检测输入的时序数据结构 “5G园区网络体验与故障分析”APP应用，“KPI提取”原子能力 imageTag_input 图像标签输入结构 “火点异常检测”、“人体智能巡检”、“指示灯智能巡检”原子能力 imageTag_result 图像标签输出结果 “火点异常检测”、“人体智能巡检”、“指示灯智能巡检”原子能力 pipeline_input 管道命令输入结构 “管道命令数据治理”原子能力 call_chain 调用链输入结构 “IT应用健康监控”APP应用，“基于调用链的故障定界”原子能力 prediction_input 二进制输入流结构 “流程IT应用用户体验分析”APP应用 prediction_result 二进制输出结果 “流程IT应用用户体验分析”APP应用 intelligence_detect_result 智能巡检输出结果 “火点异常检测”、“人体智能巡检”、“指示灯智能巡检”APP应用 intelligence_detect_input 智能巡检输入结构 “火点异常检测”、“人体智能巡检”、“指示灯智能巡检”APP应用 run_log 运行日志输入结构 “IT应用健康监控”、“日志异常检测”APP应用 access_log Access日志输入结构 “IT应用健康监控”、“日志异常检测”APP应用 gc_log GC日志输入结构 “IT应用健康监控”、“日志异常检测”APP应用 kpi_alarm 异常检测输出告警结构 “5G园区网络体验与故障分析”APP应用 incident_alarm_event 事件关联告警结构 “KPI异常检测”原子能力 kpi_series_with_outlier 异常检测时序数据结构 “KPI异常检测”原子能力 balance_input 均衡异常检测输入结构 “均衡异常检测”原子能力 alarm_event_with_mo 告警事件结构 “IT应用健康监控”APP应用 rank_input 告警排序输入结构 “日志异常检测”APP应用，“告警排序”原子能力 optical_input 光模块异常检测输入结构 “光模块异常检测”原子能力 optical_output 光模块异常检测输出结果 “光模块异常检测”原子能力 balance_output 均衡异常检测输出结构 “均衡异常检测”原子能力 pipeline_result 管道命令输出结果 多用于“管道命令”原子能力 log_info 日志检测输入数据结构 “IT应用健康监控”、“日志异常检测”APP应用 dfp_result 硬盘输出结果 “硬盘异常检测”原子能力 dfp_input 硬盘输入结构 “硬盘异常检测”原子能力 incident 通用事件结构 “5G园区网络体验与故障分析”、“IT应用健康监控”APP应用 kpi_relative 关联分析输入结构 “5G园区网络体验与故障分析”APP应用 kpi_job 关联分析输出结果 “5G园区网络体验与故障分析”APP应用 alarm_event 事件关联告警结构 “IT应用健康监控”、“日志异常检测”、“5G园区网络体验与故障分析”、“无线传输跨域智能告警”APP应用

配置步骤 创建VPC和VPC网段 创建流程请详细参考创建虚拟私有云和子网。 VPC网段请勿冲突。 华东-上海一创建一个VPC添加两个子网。 VPC子网1：172.16.100.0/24 VPC子网2：172.16.101.0/24 配置云连接 创建云连接实例，加载网络实例，添加自定义网段。 创建云连接。 创建流程请详细参考创建云连接。 加载网络实例。 网络实例华东-上海一只加载步骤1创建的VPC子网2，网段172.16.101.0/24。 加载网络实例详细参考加载网络实例。 添加自定网段。 网络实例亚太-新加坡添加自定义网段，网段：0.0.0.0/0。 添加自定义网段详细参考添加自定义网段。 为实现云连接到dnat的默认路由，需要添加0.0.0.0/0网段。 购买带宽包 云连接默认跨区域互通带宽为10kbps，仅用于测试连通性，需购买带宽包并配置域间带宽以保证业务正常使用。 购买带宽包详细参考购买带宽包。 配置域间带宽 配置域间带宽详细参考配置域间带宽。 购买虚拟机 购买华东-上海一的虚拟机。 ETH0：172.16.100.100。 ETH1：172.16.101.100。 购买流程请详细参考购买弹性云服务器。 虚拟机配置两张网卡，ETH0地址绑定弹性EIP地址，可以通过该地址连通互联网。 配置代理服务器 为确保路由转发正常，为华东-上海一的弹性云服务器添加策略路由。 ip rule add from 172.16.101.100 table 100ip route add default via 172.16.101.1 table 100 配置代理服务器。 用户需根据实际网络环境部署代理服务器，部署时需注意代理服务器的安全性和可靠性。 购买弹性公网IP并配置NAT网关 在华东-上海一购买弹性公网IP，代理服务器ETH0:172.16.100.100绑定公网IP。 购买配置流程请详细参考申请和绑定弹性公网IP。 在亚太-新加坡区域购买弹性公网IP，配置NAT网关，添加DNAT规则，选择云专线/云连接选项卡进行配置。 购买配置流程请详细参考申请和绑定弹性公网IP和添加DNAT规则。 私网IP：填写代理服务器ETH1地址，地址：172.16.101.100。 弹性公网IP：填写申请的EIP公网地址114.119.XX.XX，该地址作为Proxy_Client代理配置的地址。 代理服务器：代理服务器配置两张网卡，ETH1用于DNAT映射，ETH0用于上网。 添加DNAT配置用于将内网代理服务器映射到公网，Proxy_Client设置公网代理客户端访问内网代理服务器。 Proxy_Client配置代理 在用户windows主机配置代理。 选择Windows设置。 选择“网络和Internet ＞ 代理 ＞ 手动设置代理”。 打开“使用代理服务”开关。 输入“地址”和“端口”。 图2 配置代理 代理地址：填写DNAT绑定的公网地址114.119.XX.XX。 单击“保存”。

功能总览 功能总览 全部 创建用户并授权使用SWR 客户端上传镜像 获取长期有效登录指令 页面上传镜像 下载镜像 共享私有镜像 添加触发器 自动同步镜像 镜像安全扫描 镜像中心 设置镜像加速器 组织管理 授权管理 创建用户并授权使用SWR 如果您需要对您所拥有的容器镜像服务（SWR）进行精细的权限管理，您可以使用统一身份认证服务（Identity and Access Management，简称IAM），通过IAM，您可以： 根据企业的业务组织，在您的华为云帐号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用SWR资源。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将SWR资源委托给更专业、高效的其他华为云帐号或者云服务，这些帐号或者云服务可以根据权限进行代运维。 如果华为云帐号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过本章节，不影响您使用SWR服务的其他功能。 发布区域：全部 SWR权限管理 客户端上传镜像 客户端上传镜像，是指在安装了容器引擎客户端的机器上使用docker命令将镜像上传到容器镜像服务的镜像仓库。 如果容器引擎客户端机器为云上的ECS或CCE节点，根据机器所在区域有两种网络链路可以选择： 若机器与容器镜像仓库在同一区域，则上传镜像走内网链路。 若机器与容器镜像仓库不在同一区域，则上传镜像走公网链路，机器需要绑定弹性公网IP。 发布区域：全部 制作容器镜像 导入镜像文件 为什么使用客户端上传镜像失败？ 获取长期有效登录指令 长期有效登录指令的有效期为永久。用户需要有编程访问权限，如果无编程访问权限，需要使用管理员帐号登录IAM，修改用户访问方式。 发布区域：全部 为什么登录指令执行失败？ 长期有效的登录指令与临时登录指令的区别是什么？ 页面上传镜像 从页面上传镜像，是指直接通过控制台页面将镜像上传到容器镜像服务的镜像仓库。 每次最多上传10个文件，单个文件大小（含解压后）不得超过2G。 仅支持上传1.11.2及以上容器引擎客户端版本制作的镜像压缩包。 发布区域：全部 为什么通过页面上传镜像失败？ 下载镜像 您可以使用docker pull命令下载容器镜像服务中的镜像。 发布区域：全部 如何通过API下载镜像? 为什么docker pull指令执行失败？ 如何解决内网下载镜像失败？ 共享私有镜像 镜像上传后，您可以共享私有镜像给其他帐号，并授予下载该镜像的权限。 被共享的用户需要登录容器镜像服务控制台，在“我的镜像 > 他人共享”页面查看共享的镜像。被共享的用户单击镜像名称，可进入镜像详情页面查看镜像版本、下载指令等。 发布区域：全部 SWR私有镜像最多可以共享给多少个租户？ 添加触发器 容器镜像服务可搭配云容器引擎CCE、云容器实例CCI一起使用，实现镜像版本更新时自动更新使用该镜像的应用。您只需要为镜像添加一个触发器，通过触发器，可以在每次生成新的镜像版本时，自动执行更新动作，如：自动更新使用该镜像的应用。 发布区域：仅“华北-北京四”区域同时支持添加CCE和CCI类型的触发器，其他区域仅支持添加CCE类型的触发器。 全部触发示例 自动同步镜像 镜像上传后，您可以添加镜像自动同步功能，帮助您把最新推送的镜像自动同步到其他区域镜像仓库内。镜像自动同步帮助您把最新推送的镜像自动同步到其他区域镜像仓库内，后期镜像有更新时，目标仓库的镜像也会自动更新，但已有的镜像不会自动同步。 发布区域：华北-北京一、华北-北京四、华东-上海一、华东-上海二、华南-广州、中国-香港、亚太-新加坡 为什么已有镜像自动同步不成功？ 是否支持跨区域同步镜像？ 镜像安全扫描 容器镜像服务为您提供了镜像安全扫描的功能，您只需要一键就可以对您的镜像进行安全扫描。容器镜像服务可扫描镜像仓库中的私有镜像，发现镜像中的漏洞并给出修复建议，帮助您得到一个安全的镜像。 发布区域：华北-北京一、华北-北京四 镜像安全扫描操作步骤 镜像中心 容器镜像服务为您提供大量的公有镜像资源检索，您可以收藏这些镜像并推送到自己的仓库中，方便使用。 发布区域：全部 收藏镜像 下载镜像中心的镜像 设置镜像加速器 通过docker pull命令下载镜像中心的公有镜像时，往往会因为网络原因而需要很长时间，甚至可能因超时而下载失败。为此，容器镜像服务提供了镜像下载加速功能，帮助您获得更快的下载体验。 发布区域：除华北-乌兰察布一、拉美-墨西哥城一、拉美-墨西哥城二、拉美-圣保罗一以外的所有区域 设置镜像加速器示例 组织管理 组织用于隔离镜像仓库，每个组织可对应一个公司或部门，将其拥有的镜像集中在该组织下。在不同的组织下，可以有同名的镜像。同一IAM用户可属于不同的组织。 发布区域：全部 创建组织 查看组织中的镜像 删除组织 授权管理 如果您需要对容器镜像服务进行权限管理，您可以使用统一身份认证服务IAM，设置权限的方法请参见创建用户并授权使用SWR。当您具有SWR Admin或者Tenant Administrator系统权限时，您就拥有了SWR的管理员权限，可以在SWR中为其他IAM用户进行授权。 如果您没有SWR的管理员权限，就需要已拥有SWR管理员权限的用户在SWR中进行授权管理，为您添加对某个镜像的权限或对某个组织中所有镜像的权限。 发布区域：除华北-乌兰察布一、拉美-墨西哥城一、拉美-墨西哥城二、拉美-圣保罗一以外的所有区域 在镜像详情中授权 在组织中添加授权

设置目的端 迁移前，您需要设置目的端服务器。该目的端用来接收源端的数据，同时您也可以使用该目的端进行迁移测试和启动目的端。只有源端迁移检查项目都通过之后才可以进行目的端的设置。 登录“主机迁移服务”界面，进入主机迁移服务控制台，点击“服务器”，进入服务器列表界面，在服务器列表页面点击待迁移的服务器进入服务器迁移详情信息界面，点击“源端服务器详情”查看源端检测结果（只有检测项都通过之后才可以进行之后的步骤，如果有检测项不通过请在此界面查看不通过的原因然后进行进行修正）。 找到需要迁移的服务器列，点击“设置目的端”按钮，开始设置目的端服务器。 根据需要进行基本配置，这里需要选择持续同步，点击下一步，进行目的端配置 根据需求选择创建新的服务器，VPC,磁盘的规格以及是否创建共享盘，单击下一步确认配置； 参数说明。 参数名称 说明 示例 区域 选择目的端服务器所在区域。 区域默认为当前迁移项目设置的区域，您可以根据业务要求，选择具体的区域。 华东-上海二 迁移方式 Linux块级：Linux块级迁移是指全量复制和持续同步的最小粒度为磁盘逻辑单位"块"。这种方式同步效率高，但兼容性差。 Linux文件级：Linux文件级迁移是指全量复制和持续同步最小粒度为文件，这种方式同步效率低，但兼容性好。 Windows块级：Windows块级迁移是指全量复制和持续同步的最小粒度为磁盘逻辑单位"块"。Windows当前仅支持块级迁移，这种迁移方式迁移和同步效率高。 Linux块级 网络类型 公网：若使用公网迁移，要求目的端服务器配置有“弹性IP”。“迁移网络类型”默认设置为公网。 专线或VPN：需要您提前创建源端服务器到目的端服务器所在VPC子网的专线或VPN。 网络限流：您可以根据要迁移的源端带宽大小及业务要求，设置限制带宽大小。 说明： 若源端和目的端都在同一个VPC内，网络类型可选择“专线或VPN”。 网络限流默认选择默认迁移项目的设置，也可以根据业务需求修改。 专线或VPN 是否持续同步 否：若不选择持续同步，迁移完成后会自动启动目的端，若要同步新增数据，请单击操作列的“开始”，将增量数据同步至目的端服务器。 是：若选择持续同步，服务器会进入持续同步阶段，该阶段服务器会定时同步增量数据。如果要完成整个迁移，请执行“启动目的端”或者“克隆目的端”操作。 是 服务器选择 已有服务器 创建新服务器 已有服务器 确认参数无误后选择保存配置；

步骤七：验证云上和云下主机网络通信 选择“计算 > 弹性云服务器”，切换为“华东-上海一”区域。 在ecs-shanghai-8（10.0.1.8）所在行的操作列下，选择“更多 > 删除”，并释放弹性公网IP和数据盘。 模拟IDC内主机业务完全迁移上云后、删除主机。 登录ecs-shanghai-131（10.0.1.131）。 弹性云服务器有多种登录方法，具体请参见登录弹性云服务器。 本示例是通过管理控制台远程登录（VNC方式）。 执行以下命令，验证ecs-shanghai-131访问ecs-guangzhou-8。 ping 10.0.1.8 回显类似如下信息，表示网络通信正常。 选择“计算 > 弹性云服务器”，切换为“华南-广州”区域。 登录ecs-guangzhou-8（10.0.1.8）。 弹性云服务器有多种登录方法，具体请参见登录弹性云服务器。 本示例是通过管理控制台远程登录（VNC方式）。 执行以下命令，验证ecs-guangzhou-8访问ecs-shanghai-131。 ping 10.0.1.131 回显类似如下信息，表示网络通信正常。 选择“网络 > 虚拟专用网络”，切换为“华东-上海一”或“华南-广州”区域，可以看到VPN连接的状态已经变为“正常”。 至此IDC和云上构建二层网络，实现主机粒度的不中断业务迁移上云的最佳实践配置完成。

服务实施责任矩阵 以下为职责描述案例，可根据实际项目酌情修改。 服务类型 阶段 阶段内容 客户 华为云 咨询机构 测评机构 监察检查 等保安全 系统定级 信息系统运营单位按照《网络安全等级保护定级指南》自行定级 业务系统定级 与华为云签订服务合同 协助定级 推荐测评机构 辅导客户准备定级报告，组织专家评审 - - 系统备案 信息系统定级申报获得通过后，30日内到公安机关办理备案手续 提交备案材料 协助客户完成备案 辅导客户准备备案材料 - 公安机关审核受理材料 建设整改 根据等保有关规定和标准，对信息系统进行安全建设整改 依据等级保护标准 进行安全建设整改 提供符合等保2.0合规需求的安全产品 辅导客户进行系统安全加固，建设安全体系 - - 等保测评 信息系统运营单位选择公安部认可的第三方等级测评机构进行测评，提供跨地市的情况下由本地（本省）测评机构交付的等保测评服务 配合测评机构测评，接收报告 提供华为云平台合规资质证明 辅导客户测评整改 对系统等级符合性状况进行测评 出具测评报告 - 监督检查 当地网监定期进行监督检查 安全运营、维护 保障日常系统合规 技术支持 协助客户检查和整改 - 公安机关监督检查 密码安全 方案评估 评审密码应用方案的完整性、正确性和合规性 组织密码安全方案评审 协助客户进行方案评审 协助客户进行密码安全差距分析，设计密码安全方案，协助对密码安全方案进行评审 - 密码局审核受理材料 方案实施 根据评审和评估通过的密码应用方案，开展系统密码应用建设和改造 开展系统密码应用建设和改造 提供符合密码合规需求的安全产品 参考信息系统密码安全标准，协助客户进行密码安全整改 - - 密码测评 开展应用密码安全测评工作 配合测评机构测评，接收报告 - 信息系统运营方选择密码局认可的机构进行系统密评，协助对发现问题进行解析及合规应对。 执行商用密码应用安全性评估，输出报告 - 监督执行 密码局定期进行监督检查 安全运营、维护 保障日常系统合规 技术支持 协助客户检查和整改 - 密码局进行监督检查

安全策略 由于开发环境同时需要与企业内部通信，还需提供互联网的业务访问，综合考虑通过网络ACL进行相应的访问控制策略。 网络ACL “NACL-DMZ-SAP-Router”关联生产环境相应子网，需严格控制互联网访问的入方向策略，限制特定外网网段能够访问特定的[IP]:[PORT]。 本节中提到的IP地址及端口号仅为示例，如公网IP不固定的场景，可根据业务需要(如技术支持)，临时放通特定源IP，相应事务完成后删除策略。如有其它业务流，可根据实际情况增加策略。 表1 网络ACL“NACL-DMZ-SAP-Router” 出方向 规则 # 目的 IP 协议 目的端口 允许/拒绝 说明 * 0.0.0.0/0 ANY ANY 拒绝 拒绝所有未经前置规则处理的入站数据流。 表2 网络ACL“NACL-DMZ-SAP-Router”入方向 规则 # 源 IP 协议 目的端口 允许/拒绝 说明 对SAP技术支持人员，SAP GU/软件服务器I等 123.123.123.0/24 TCP 3299 允许 允许互联网SAP技术支持人员(特定源IP)，SAP GUI/软件服务器等访问开发测试环境中的DEV&PRD-SAP-Router，进而访问后端业务。 * 0.0.0.0/0 ANY ANY 拒绝 拒绝所有未经前置规则处理的数据流。 网络ACL “NACL-PRD-DMZ”关联生产环境相应子网，需严格控制互联网/IDC访问的入方向策略，限制外部网络仅能访问开发测试环境特定的[IP]:[PORT]。 表3 网络ACL“NACL-PRD-DMZ”出方向 规则 # 目的 IP 协议 目的端口 允许/拒绝 说明 对AD/ADFS服务器 IDC-AD/ADFS网络 TCP AD/ADF端口 允许 允许与IDC内部AD/ADFS服务器进行对接。 * 0.0.0.0/0 ANY ANY 拒绝 拒绝所有未经前置规则处理的数据流。 表4 网络ACL“NACL-PRD-DMZ”入方向 规则 # 源 IP 协议 目的端口 允许/拒绝 说明 对Internet用户 0.0.0.0/0 TCP 80 允许 允许互联网用户、IDC内部用户，访问生产环境中的WEB服务。 对Internet用户 0.0.0.0/0 TCP 443 允许 允许互联网用户、IDC内部用户，访问生产环境中的WEB服务。 * 0.0.0.0/0 ANY ANY 拒绝 拒绝所有未经前置规则处理的数据流。 网络ACL “NACL-PRD-APP”关联生产环境相应子网，需严格控制IDC访问的入方向策略，限制特定IDC网络仅能访问开发测试环境特定的[IP]:[PORT]，出方向策略同上。 表5 网络ACL“NACL-PRD-APP”出方向 规则 # 目的 IP 协议 目的端口 允许/拒绝 说明 对AD/ADFS服务器 IDC-AD/ADFS网络 TCP AD/ADF端口 允许 允许与IDC内部AD/ADFS服务器进行对接。 * 0.0.0.0/0 ANY ANY 拒绝 拒绝所有未经前置规则处理的数据流。 表6 网络ACL“NACL-PRD-APP”入方向 规则 # 源 IP 协议 目的端口 允许/拒绝 说明 对IDC内部用户、顾问。 客户数据中心某子网-b TCP 8080 允许 允许客户数据中心某子网-b中的内部用户、顾问，访问生产环境中的应用区8080业务端口。 对IDC内部用户、顾问。 客户数据中心某子网-b TCP 8443 允许 允许客户数据中心某子网-b中的内部用户、顾问，访问生产环境中的应用区8443业务端口。 * 0.0.0.0/0 ANY ANY 拒绝 拒绝所有未经前置规则处理的数据流。 对于网络ACL “NACL-PRD-SAPDB-BUSI/INTERNEL”，由于无与外部网络交互需求，只需根据1.1节设置内部访问控制策略即可。 安全组策略请见2.1节中相关内容。

操作步骤 在PC端登录华为云备案系统。 使用华为云帐号登录华为云备案系统。 图1 登录备案系统 选择“地域”，系统弹窗提示下载并使用华为云APP备案。 为了缩短备案时间，提高备案效率，华为云推出APP备案方式，让您在手机端即可完成ICP备案。华为云APP备案支持证件智能识别和人脸识别功能，电子化的核验方式让流程更简单，备案更便捷。 如需切换使用APP备案，请扫描下方二维码，下载华为云APP执行后续操作。 如需继续使用PC备案，请单击右上角的。 图2 推荐您使用华为云APP备案 验证备案类型。 在“验证备案类型”页面，按提示填写信息，然后单击“验证备案类型”。 系统将根据填写的域名和证件，自动校验备案类型。更多内容，请参见验证备案类型注意事项。 表1 验证备案类型参数说明 参数 说明 地域 对于个人备案，请根据您的身份证所在地、或实际居住地选择备案提交的地域。是否允许跨省备案，需以各地管局要求为准。 对于单位备案，请根据主体证件签发地（如营业执照工商注册地），选择备案提交的地域。不能选择非企业主体证件签发地的省份。 主办单位性质 请按照实际单位性质进行选择。 如：企业法定代表人请选择“企业”，事业法定代表人请选择“事业单位”。 其中，个人备案与单位备案的介绍，请参见个人备案与单位备案FAQ。 证件类型 请根据主办单位性质，选择正确的证件类型。 证件号码 请输入主办单位证件号码。 域名 请填写需备案的域名，格式如huaweicloud.com。 图3 验证备案类型 判断是否需要“认领备案”。 如果系统检测到您填写的域名和主体信息已在“原华为云备案系统”备案过，将提示您认领备案，如图4所示。此时，请先执行认领备案，然后再继续履行备案申请。 图4 认领备案 如果系统提示您进行产品验证，说明不需要认领备案，请继续执行。 填写ICP备案申请。 产品验证。 云服务类型：选择用于备案的服务器，并单击“验证”。如果提示没有可用资源，请购买服务器，详情请参见准备可备案服务器。 表2 云服务类型参数说明 云服务类型 说明 相关链接 ECS 使用弹性云服务器（含云耀云服务器）备案时，选择“ECS”。 弹性云服务器（含云耀云服务器）需包月3个月及以上（包含多次续费后累计时长），且有“包年/包月”计费模式（包月3个月及以上）的弹性公网IP。如果不满足条件，系统无法搜索到对应资源。 一台服务器是否可以多次办理备案 什么是“用于备案的资源” 为什么提示“备案授权码无效” 提示“用于备案的资源已达最大使用次数”怎么办 如何获取及使用备案授权码 准备可备案服务器 备案授权码 如需使用跨帐号的资源备案，请选择“备案授权码”。“包年包月”购买弹性云服务器及弹性公网IP资源的，可生成备案授权码。 备案授权码：请输入备案授权码。每个备案授权码可以备案一个网站，不能重复使用。 建站市场 使用云速建站、云速邮箱产品备案时，选择“建站市场”。 云速建站、云速邮箱，需包月3个月及以上（包含多次续费后累计时长）。 一个云速建站或云速邮箱支持备案1个域名，域名备案成功后，不支持更换域名再次备案或相同域名重复备案。 专享客户 详情请参见如何申请为备案“专享客户”。 云容器实例 使用云容器实例备案时，选择“云容器实例”。 选择云服务：云容器实例需包月3个月及以上。如果不满足条件，系统无法搜索到对应资源。 专属云 使用专属云备案时，选择“专属云”。 选择云服务：专属云需包年1年及以上。如果不满足条件，系统无法搜索到对应资源。 NAT网关 使用“公网NAT网关”备案时，选择“NAT网关”。 选择云服务：公网NAT网关需包月3个月及以上。如果不满足条件，系统无法搜索到对应资源。 图5 产品验证 主体信息。 按提示填写本次备案的主体信息，填写的信息需要与原接入商备案信息保持一致（如证件号码）。 网站信息。 网站名称：个人网站、企业网站名称的具体要求，请参见网站名称要求。 网站IP：备案服务器的公网IP地址。 您可以登录华为云控制台，查询备案资源的公网IP地址。如果是使用备案授权码备案，需填写生成备案授权码的弹性云服务器公网IP地址。 如果只有一个IP地址，请参见单个IP怎么填写IP地址段起始。 网站服务内容：网站内容必须与主办单位性质相符。 服务类型：各服务类型参数说明如表3所示。 表3 服务类型参数说明 参数 说明 网站应用服务 通常指官网类或电商网站选择网站应用服务等。 邮件应用服务 通常指电子邮件服务，搭建邮箱等。 文件应用服务 通常指存文件数据，支持多种上传文件格式，如服务器内存储图片、代码、音乐，一般用作调用接口使用等。 数据应用服务 通常指存储某种格式编程代码文件数据，一般用作调用接口使用等。 APP应用服务 通常指手机、平台电脑上的APP等。 微信号应用服务 通常指微信订阅号、公众号、服务号等。 网站语言：指网站内容使用的主要语言。请根据实际情况进行选择，不建议多选。 示例：网站内容的主要语言为中文，部分插件为英文，此时“网站语言”选择“中文”。 前置审批内容：网站若包含“前置或专项审批内容类型”中的项目，请上传相关许可证件或咨询备案所在省主管部门。若不包含相关类型内容，前置审批项不填。 备注：请填写备案审核通过后，网站实际开办的内容。 网站负责人信息：指备案系统网站信息中的负责人，也是网站的主要负责人，单位备案必须为单位内员工，可填法定代表人或单位内其他网站建设管理者；个人备案必须为备案主体本人。 如果网站负责人和主体负责人是同一个人，请勾选“复用**信息”。反之，请勾选“填写新负责人”，并填写网站负责人信息，此时网站负责人和主体负责人的电话、邮箱不能相同。详情请参见备案联系方式填写要求。 如需添加多个网站，在一个网站信息填写完后，单击“继续添加网站”。更多请参见多域名如何提交备案。 上传资料。 根据页面提示上传证件照片或证件彩色扫描件。 主体信息资料和网站信息资料的详细介绍，请参见准备备案材料。 前置审批文件：需要提供前置审批文件的行业，请参见前置审批。 党建证明：新疆维吾尔自治区要求备案时需要提交党建证明。 新疆维吾尔自治区，无论备案主体是否是党员、无论个人备案还是企业备案，新增备案或新增网站时，都需要到当地网信办咨询办理党建证明，否则不可以申请备案。 域名实名认证截图：请参见域名实名认证的信息如何获取。 域名证书：请参见域名证书如何获取。 广东管局《互联网信息服务备案承诺书》：根据广东省通信管理局要求，自2021年6月21日起，所有提交至广东省管局的ICP备案申请（非经营性互联网信息服务备案），均需要签署《互联网信息服务备案承诺书》。详情请参见互联网信息服务备案承诺书。 其他证件：指专项审批类的资料或批文。如金融类企业的金融业务许可证、保险业务许可证，医药类企业的医药备案文件等。请根据企业经营范围判断网站是否涉及其他证件的上传，如不涉及，不需要上传。 更多关于上传资料的常见问题，请参见上传资料与真实性核验。 勾选同意协议，单击“提交初审”。 图6 勾选协议 打开华为云APP备案小程序，完成真实性核验。 网站负责人可使用华为云APP扫描“核验二维码”直接进行真实性核验或在华为云APP登录备案账号根据华为云APP页面提示，完成真实性核验。 扫描二维码，下载并安装华为云APP。 图7 下载华为云APP 网站负责人可使用华为云APP扫描“核验二维码”直接进行真实性核验。 在“真实性核验”页面，单击“去核验”。 图8 真实性核验 网站负责人使用华为云APP扫描“核验二维码”，进行真实性核验。 图9 真实性核验二维码 “核验二维码”有效时间为十分钟，二维码被扫描后或超过十分钟即失效。 若二维码失效可刷新后重新生成“核验二维码”。 网站负责人也可在华为云APP登录备案账号，根据华为云APP页面提示，完成真实性核验。 选择“控制台 > 网站备案”。 图10 登录控制台 在“正在备案中的订单”页面，单击右下角的“继续备案 ”。 在“真实性核验”页面，单击“去核验”。 请网站负责人根据华为云APP页面提示，完成人脸识别。其中： 背景必须为白色背景，面部无遮挡，请确保网站负责人本人操作。 如核验后页面提示“您的真实性核验未通过”需要点击页面下方“重新核验”按钮重新进行视频核验。 如核验后页面提示“恭喜您已通过真实性核验”点击页面下方“确认使用该核验照”后继续提交初审即可。 更多关于真实性核验的常见问题，请参见上传资料与真实性核验。 自2021年6月1日起，在江苏省进行ICP网站备案（非经营性互联网信息服务备案）的客户，需按照“江苏省ICP备案真实性核验工作新要求”进行真实性核验。 图11 真实性核验 提交接入商初审。 确保填写信息准确无误，且真实性核验通过后，勾选“我已阅读并同意《信息安全承诺书》、《协助修改备案在线服务条款》和《互联网信息服务备案承诺书》”，单击“提交初审”。 备案信息提交后，备案专员将在1-2个工作日内进行初审，并以短信及邮件形式通知审核结果。 审核期间我们会拨打您备案信息中的联系电话进行沟通，请保持电话畅通。 如涉及备案信息修改，系统将以邮件形式发送至您在备案系统注册的邮箱，邮件内容可能包含：问题点修改建议、备案申请期间注意事项，以及需要补充哪些资料等重要信息，请注意查收并按指导安排处理。 初审通过后，华为云备案审核专员会将备案申请转交至对应管局处做最终的管局审核。 备案进度查询，请参见怎么了解备案进度。 图12 提交初审 审核结果包括：通过、驳回、待完善资料。 表4 初审结果说明 审核结果 对应的订单状态 状态说明 需要执行的操作 通过 待提交管局 表示您提交的备案订单已通过初审，等待华为云备案专员提交备案资料至当地管局进行审核，如图13所示。 - 驳回 初审驳回 表示华为云备案专员已审核订单，发现提交的备案申请信息不正确（如真实性核验不通过、网站内容存在违规），不满足网站备案相关要求，如图14所示。 请单击“状态”栏的查看初审不通过的原因，并单击“继续备案”修改备案申请，然后重新提交初审。 初审驳回的常见原因与解决方法：请参见初审驳回。 待完善资料 接入商审核为待修改 表示华为云备案专员已审核订单，发现提交的备案申请缺失材料、或填写的信息不完整，不完全满足网站备案相关要求，如图15所示。 请单击“状态”栏的查看审核意见，并单击“去修改信息”进一步完善备案申请，然后重新提交接入商审核。 提交后，订单状态更新为“已修改待审核”。 图13 初审通过 图14 初审驳回 图15 待完善资料 短信核验：2020年8月17日起，所有省份的用户在提交备案申请（“取消接入”备案类型除外）后，还需要完成工信部短信核验，备案申请才能进入管局审核。 对于新增网站，验证码将发送至备案信息中填写的网站负责人手机号码。请在24小时内完成该手机号码的短信核验，避免备案申请被工信部系统自动退回。 具体短信核验操作请参见备案短信核验。 管局审核。 备案短信核验通过后，备案申请进入管局审核。审核通过后您的备案即已完成，审核结果会发送至您的短信、邮箱。 2020年8月17日起，管局备案成功后，工信部不再发送备案密码。

配置步骤 跨境申请 如果用户的网络规划中不涉及跨大区的通信时，则无需操作本步骤。 云连接中，中国大陆区的VPC需要与中国大陆区外的VPC进行通信时，先要进行跨境申请，提交您的基本资料，保障跨境业务的安全性。 登录管理控制台。 在系统首页，单击管理控制台左上角的，选择“网络 > 云连接”。 在左侧导航中，选择“云连接 ＞ 带宽包”。 在带宽包页面，单击“立即申请”。 进入中国联通跨境云服务在线申请页面。 在跨境云服务在线申请页面，根据提示配置相关参数，并上传相关材料。 表1 跨境云服务在线申请 参数 客户名称 华为云ID 产品类型 签约带宽(M) 合同生效时间 合同终止时间 客户类型 客户所属国家 客户统一社会信用代码 客户组织机构代码 客户法人 法人证件类型 法人证件号 客户联系人 客户联系人电话 联系人证件类型 联系人证件号 经营范围 客户企业规模（人数) 客户人均带宽 客户境内外分公司所在国家 表2 跨境申请材料 材料名称 签字 盖章（企业公章） 说明 营业执照扫描件 - √ 盖章位置请参考相应的模板文件。 联系人身份证正反面 - √ 盖章位置请参考相应的模板文件。 《华为云连接服务跨境专线业务服务协议》扫描件 √ √ 请在签字栏处签字。 盖章需覆盖签名。 《中国联通专线业务信息安全承诺书》扫描件 √ √ 请在签字栏处签字。 盖章需覆盖签名。 该材料中需要填写带宽值，带宽值可按照初始预估值填写。 《跨境业务办理授权书》扫描件 - √ 盖章位置请参考相应的模板文件。 单击“立即申请”。 创建云连接实例 登录管理控制台。 在系统首页，单击管理控制台左上角的，选择“网络 > 云连接”。 在云连接服务管理控制台首页，单击“创建云连接”，开始创建云连接实例。 图2 创建云连接 根据界面提示配置相关参数，详细请参见表3。 表3 参数说明 参数 说明 名称 云连接实例的名称。由中文、英文字母、数字、下划线、中划线、点组成。 企业项目 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 使用场景 虚拟私有云：选择虚拟私有云场景时，网络实例类型支持选择虚拟私有云（VPC）和虚拟网关（VGW）。 企业路由器：选择企业路由器场景时，实例类型只能选择企业路由器（ER）。 标签 云连接服务的标识，包括键和值。可以为云连接服务创建10个标签。 标签的命名规则请参考表4。 说明： 如果已经通过TMS的预定义标签功能预先创建了标签，则可以直接选择对应的标签键和值。 预定义标签的详细内容，请参见预定义标签简介。 描述 云连接实例的描述和注释。一般不超过255个字符。 表4 云连接服务标签命名规则 参数 规则 键 不能为空。 对于同一资源键值唯一。 长度不超过36个字符。 取值只能包含大写字母、小写字母、数字、中划线、下划线以及从\u4e00到\u9fff的Unicode字符。 值 可以为空。 长度不超过43个字符。 取值只能包含大写字母、小写字母、数字、点、中划线、下划线以及从\u4e00到\u9fff的Unicode字符。 单击“确定”，完成云连接实例的创建。 加载网络实例 将需要互通的网络实例加载到同一个云连接实例里。 在云连接服务管理控制台界面上，您可以看到已创建好的云连接实例CloudConnect。单击云连接名称进入该云连接实例基本信息页面，接下来我们需要加载跨区域互通的网络实例VPC。 选择并进入“网络实例”页面，单击“加载网络实例”。 在“加载网络实例”弹框里，下拉“区域”菜单选择“华东-上海一”，实例类型选择“虚拟私有云（VPC）”，在“VPC”以及“VPC CIDR”的下拉菜单里分别选择要互通的VPC和对应的子网，单击“确定”，完成华东区域的VPC加载。 图3 加载网络实例 重复上述操作，在“加载网络实例”弹窗中，选择香港区域以及南非区域的虚拟私有云（VPC），并将其加载到云连接实例中。 在加载完成后，这三个区域的4个VPC网络已经基于云连接服务打通了，我们可以通过查看“路由信息”的选项卡确认当前基于云连接可以互通的各个区域的VPC路由条目。 购买带宽包 云连接默认跨区域互通带宽为10kbps，仅用于测试连通性，需购买带宽包并配置域间带宽以保证业务正常使用。 为了实现网络实例跨区域互通，需要在带宽包管理页面先购买跨区域对应的跨大区或大区内的带宽包，并绑定到相应的云连接实例，支撑业务测试或部署。 在云连接服务管理控制台页面上，单击进入创建的云连接实例详情页面，选择“带宽包”，单击“购买带宽包”，启动带宽包的购买。 在带宽包购买页面，您可以分别自定义该带宽包的“名称”，计费方式，互通类型，互通大区，带宽大小，购买时长，并确定是否开启自动续费，最后选择是否将购买的该带宽包资源直接绑定给某云连接实例。在本最佳实践的互通场景下，我们需要打通华东区域与香港区域以及南非区域之间的内网互通，因此“互通类型”需要选择为“跨大区互通”： 为支持华东区域与香港区域之间的互通，我们需要购买的带宽包的互通大区分别选择“中国大陆”与“亚太”，带宽选择30M。 为支持华东区域与南非区域之间的互通，我们需要购买的带宽包的互通大区需要分别选择“中国大陆”与“南非”，带宽选择2M。 购买带宽包时，选择绑定我们已经创建好的云连接实例，在确定信息选择和输入无误后，单击右下角的“立即购买”。 在订单确认页面再次确认购买带宽包的信息，单击“去支付”。 单击“确认付款”。 在带宽包列表中可查看带宽包信息，如果“状态”为“正常”，表示购买成功。 购买完成后，您可以在管理控制台云连接服务的子页面“带宽包管理”页面找到该带宽包资源，并查询到该带宽包资源的计费模式，订单信息，已绑定的云连接信息和已用/剩余带宽，我们可以针对该带宽包资源进行“修改带宽”、“解绑”、“续费”以及“退订”等操作。 配置域间带宽 在购买带宽包后，在云连接实例详情页面配置需要实现互通的域间带宽，以完成不同区域之间的带宽配置，支撑不同区域的VPC内业务的网络互通。 进入创建好的云连接实例详情页面，选择“域间带宽”，单击“配置域间带宽”。 在弹出的“配置域间带宽”对话框内，互通区域分别选择“华东-上海一”以及“中国-香港”，下面会自动匹配出您所购买的可以使用在该互通场景下的带宽包资源，带宽处可以输入您所需要分配在这两个区域之间的带宽，在这里，我们设置为30M全部分配。 重复上述操作，将购买的中国大陆到南非的2M带宽包，分配给“华东-上海一”与“非洲-约翰内斯堡”之间。 在配置完成后，我们可以在“域间带宽”选项卡页面查看已经分配的域间带宽配置。 基于云连接服务跨区域打通华东，香港和南非VPC的操作完成。 系统默认安全组规则是入方向访问受限，请确认区域内互访资源的安全组出方向、入方向规则配置正确，保证跨区域通信正常。

排查思路 VNC方式登录云服务器正常，但无法通过远程桌面连接方式登录云服务器时，我们推荐您按照以下思路排查问题。 以下排查思路根据原因的出现概率进行排序，建议您从高频率原因往低频率原因排查，从而帮助您快速找到问题的原因。 如果解决完某个可能原因仍未解决问题，请继续排查其他可能原因。 图2 无法连接Windows实例排查思路 表1 无法连接Windows实例排查思路 可能原因 处理措施 资源状态异常：资源冻结；未开机。 只有状态为“运行中”的云服务器才允许用户登录，详细操作请参考检查资源状态是否正常。 登录使用的用户名称或密码错误。 Windows实例用户名：Administrator，密码错误通过“重置密码”重新设置登录密码。详细操作请参考检查登录凭证。 云主机负载过高。 带宽和CPU利用率过高可能会导致服务器无法登录，详细操作请参考检查云服务器负载是否过高。 未绑定弹性公网IP 使用RDP文件、远程桌面连接方式（MSTSC方式）登录要求云服务器已绑定弹性公网IP。详细操作请参考检查云服务器是否绑定弹性公网IP。 互联网运营商的劫持或者封堵。 更换手机热点或其他网络测试是否可以正常访问，详细操作请参考检查网络是否正常。 防火墙拦截。 测试防火墙关闭后是否可以正常连接，详细操作请参考检查防火墙配置是否正常。 安全组和云服务器的登录端口配置不正确。 检查安全组和云服务器是否放通远程登录端口。详细操作请参考检查端口配置是否正常。 配置了SSH登录IP白名单。 检查开启企业主机安全后是否配置了SSH登录IP白名单。检查SSH登录IP白名单（已启用企业主机安全） 检查云服务器的远程桌面协议。 确保云服务器已开启远程桌面协议（仅RDP文件、MSTSC方式要求）。详细操作请参考检查云服务器的远程桌面协议。 第三方杀毒软件的阻拦。 禁用或者卸载第三方杀毒软件后重试，详细操作请参考检查是否为杀毒软件拦截。 连接实例有详细的报错信息提示。 远程连接有报错信息提示时，请根据详细报错信息查看操作指导。详细操作请参考远程登录是否有报错信息。

API概览 通过使用文字识别服务的自研API，您可以使用文字识别服务的所有功能，如表1所示。 文字识别服务当前支持通用类、证件类、票据类和智能分类四种不同类型的接口。您可以通过在线体验，体验接口的识别效果。 对于固定板式的图片，如果当前接口不满足您的业务需求，可以使用ModelArts Pro服务提供的文字识别套件，零代码搭建出专属的API，详细操作请参见视频指导。 服务部署区域是从地理位置和网络时延维度划分，同一个区域内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。一般情况下，建议就近选择靠近您或者您的目标用户的区域，这样可以减少网络时延，提高访问速度。对于OCR服务，不同的区域之间资源包不互通，请根据您的实际需求慎重选择。 表1 接口说明 类别 API 说明 部署区域 通用类 通用表格识别 识别表格图片上的文字内容，并返回识别的结构化结果。 华北-北京四(cn-north-4) 通用文字识别 识别图片上的文字内容，并返回识别的文字和坐标。 华北-北京四(cn-north-4) 网络图片识别 该接口的使用限制请参见约束与限制，详细使用指导请参见OCR服务使用简介章节。 华北-北京四(cn-north-4) 华南-广州(cn-south-1) 华东-上海一(cn-east-3) 智能分类识别 检测定位图片上指定要识别的票证（票据、证件或其他文字载体），并以JSON格式返回识别的结构化结果。 华北-北京四(cn-north-4) 手写文字识别 识别手写文字图片中的文字内容。 华北-北京四(cn-north-4) 证件类 身份证识别 识别身份证图片中正面与反面的文字内容，并返回识别的文字和坐标。 华北-北京四(cn-north-4) 行驶证识别 识别行驶证图片中主页与副页的文字内容，并返回识别的文字和坐标。 华北-北京四(cn-north-4) 驾驶证识别 识别驾驶证图片中主页与副页的文字内容，并返回识别的文字和坐标。 华北-北京四(cn-north-4) 护照识别 识别护照首页图片中的文字信息，并以JSON格式返回识别的结构化结果。 华北-北京四(cn-north-4) 银行卡识别 识别银行卡上的关键文字信息，并以JSON格式返回识别的结构化结果。该接口的使用限制请参见约束与限制，详细使用指导请参见OCR服务使用简介章节。 华北-北京四(cn-north-4) 营业执照识别 识别营业执照首页图片中的文字信息，并以JSON格式返回识别的结构化结果。该接口的使用限制请参见约束与限制，详细使用指导请参见OCR服务使用简介章节。 华北-北京四(cn-north-4) 道路运输证识别 识别道路运输证首页中的文字信息，并以JSON格式返回识别的结构化结果。该接口的使用限制请参见约束与限制，详细使用指导请参见OCR服务使用简介章节。 华北-北京四(cn-north-4) 华东-上海一(cn-east-3) 车牌识别 识别车牌图片中的车牌信息，并返回其坐标和内容。 华北-北京四(cn-north-4) 名片识别 识别名片图片上的文字信息，并返回识别的结构化结果。支持对多种不同版式名片进行结构化信息提取。 华北-北京四(cn-north-4) VIN码识别 识别图片中的车架号信息，并将识别结果返回给用户。 华北-北京四(cn-north-4) 电子面单识别 识别用户上传的电子面单图片中的文字内容，并将识别的结果返回给用户。 华东-上海一(cn-east-3) 道路运输从业资格证识别 识别道路运输从业资格证上的关键文字信息，并返回识别的结构化结果。 华北-北京四(cn-north-4) 防疫健康码识别 识别防疫健康码中的姓名、健康码更新时间、健康码颜色，并将识别的结构化结果返回给用户。 华北-北京四(cn-north-4) 核酸检测记录识别 支持对全国各地不同版式的核酸检测记录中的4个关键字段进行结构化识别，包括姓名、核酸检测采样时间、检测检测结果更新时间、核酸检测结果（阳性、阴性、未知）。 华北-北京四(cn-north-4) 票据类 增值税发票识别 识别增值税发票图片中的文字内容，并返回识别的结构化结果。 华北-北京四(cn-north-4) 发票验真 支持9种增值税发票的信息核验。 华北-北京四(cn-north-4) 华东-上海一(cn-east-3) 机动车销售发票识别 识别机动车销售发票图片中的文字内容，并返回识别的结构化结果。 华北-北京四(cn-north-4) 华东-上海一(cn-east-3) 出租车发票识别 识别出租车发票中的文字信息，并以JSON格式返回识别的结构化结果。该接口的使用限制请参见约束与限制，详细使用指导请参见OCR服务使用简介章节。 华北-北京四(cn-north-4) 火车票识别 识别火车票中的文字信息，并以JSON格式返回识别的结构化结果。该接口的使用限制请参见约束与限制，详细使用指导请参见OCR服务使用简介章节。 华北-北京四(cn-north-4) 定额发票识别 识别定额发票中的文字信息，并以JSON格式返回识别的结构化结果。该接口的使用限制请参见约束与限制，详细使用指导请参见OCR服务使用简介章节。 华北-北京四(cn-north-4) 车辆通行费发票识别 识别车辆通行费发票中的关键文字信息，并以JSON格式返回识别的结构化结果。该接口的使用限制请参见约束与限制，详细使用指导请参见OCR服务使用简介章节。 华北-北京四(cn-north-4) 飞机行程单识别 识别飞机行程单中的文字信息，并以JSON格式返回识别的结构化结果。该接口的使用限制请参见约束与限制，详细使用指导请参见OCR服务使用简介章节。 华北-北京四(cn-north-4) 保险单识别 识别保险单图片上的文字信息，并将识别的结构化结果返回给用户。支持对多板式保险单的扫描图片及手机照片进行结构化信息提取。 华北-北京四(cn-north-4) 华东-上海一(cn-east-3) 财务报表识别 识别用户上传的表格图片中的文字内容，并将识别的结果返回给用户。 华东-上海一(cn-east-3)

操作步骤 登录管理控制台。 在页面上方选择“区域”后，单击，选择“安全与合规 > 管理检测与响应服务”。 在“企业版”下方，单击“立即购买”，进入“购买管理检测与响应”界面。 图1 选择企业版 设置“资源数”、“公司名称”并“勾选我已正确设置服务单消息通知接收人”。 资源数：需要进行检测的服务器数量和网站数量。从购买日起，服务有效期为1年。 图2 设置信息 在页面右下方，单击“下一步”。 确认订单无误并阅读《管理检测与响应免责声明》和《隐私政策声明》后，勾选“我已阅读并同意《管理检测与响应免责声明》和《隐私政策声明》”，单击“去支付”。 在“支付”页面，请选择付款方式进行付款。 付款成功后，单击“返回管理检测与响应控制台”，返回到“我的服务单”界面。 购买成功后，管理检测与响应将在1个工作日内联系您，与您沟通并结合您业务实际情况，提供华为云安全标准化的运维运营服务。

《互联网信息服务备案承诺书》填写要求 广东管局《互联网信息服务备案承诺书》模板按单位备案、个人备案区分，请按要求填写。填写完成后，扫描并上传至备案系统。具体如下： 下载并打印广东管局电子化核验承诺书《互联网信息服务备案承诺书》。 单位备案下载地址：广东互联网信息服务备案承诺书（单位） 个人备案下载地址：广东互联网信息服务备案承诺书（个人） 根据图1 示例：互联网信息服务备案承诺书（单位）、图2 示例：互联网信息服务备案承诺书（个人）示例，填写《互联网信息服务备案承诺书》。 互联网信息服务备案承诺书（单位）请法定代表人使用黑笔正楷签名，请勿使用个人签章代替，并加盖公司公章。 互联网信息服务备案承诺书（个人）请申请人使用黑笔正楷签名，请勿使用个人签章代替。 图1 示例：互联网信息服务备案承诺书（单位） 图2 示例：互联网信息服务备案承诺书（个人） 拍照或扫描已填写完成的《互联网信息服务备案承诺书》，并上传至备案系统“其他资料”位置。 上传的图片大小：4MB以内

等保合规能力说明 检查项分类 安全控制点 等保合规检查项 风险等级参考 云防火墙CFW提供的对应能力说明 相关功能介绍 安全通信网络 网络架构 应避免将重要网络区域部署在边界处，重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。 高 通过云原生VPC能力，将重要网络区域使用VPC隔离，不同重要级别的VPC之间的业务互访，使用云防火墙CFW实现VPC间业务流量的访问控制，并对恶意访问进行识别和拦截。 应用场景 应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力。 中 通过云防火墙自动识别业务在互联网的威胁暴露面，提供云上互联网边界和VPC边界的防护，入侵防御引擎对恶意流量实时检测和拦截。 安全区域边界 边界防护 应能够对内部用户非授权连到外部网络的行为进行限制或检查。 高 云防火墙实现南北向和东西向访问的网络流量分析、全网流量可视化、对主动外联行为的分析和阻断、开通或变更白名单策略。 功能特性 应能够对非授权设备私自联到内部网络的行为进行限制或检查。 中 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。 中 入侵防范 应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为。 高 云防火墙实现对互联网上的恶意流量入侵活动和常规攻击行为进行实时阻断和拦截。 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为。 高 云防火墙实现云上资产对外流量的主动外联、失陷感知等出方向流量分析和攻击防护及访问控制。 当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。 中 云防火墙提供对业务流量中的攻击行为的检测和记录，并能根据策略设置提供攻击流量阻断功能，记录风险级别、事件名称、源IP、目的IP、方向、判断来源、发生时间和动作。 访问控制 应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下受控接口拒绝除允许通信外的所有通信。 高 云防火墙实现统一管理互联网到业务的南北向访问策略和业务，达到协议、端口、应用级访问控制粒度。 访问控制策略 应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化。 中 云防火墙提供策略命中计数功能，客户可以根据命中情况，及时调整策略的设置，确保没有冗余的策略。云防火墙访问控制策略可配置优先级，您可以根据业务需求优化访问控制列表。 应对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许或拒绝数据包进出。 高 云防火墙实现对进出访问控制策略进行严格设置。访问控制策略包括源类型、访问源、目的类型、目的、协议类型、目的端口、应用协议、动作、描述和优先级。 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级。 中 云防火墙对互联网上的恶意流量入侵活动和常规攻击行为进行实时阻断和拦截。 应对进出网络的数据流实现基于应用协议和应用内容的访问控制。 中 云防火墙实现跨VPC流量的应用协议、内容的访问控制。 安全审计 应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计。 高 云防火墙提供日志审计功能，可以记录所有流量日志、事件日志和操作日志。 日志审计功能 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。 中 云防火墙提供日志记录事件功能，包括：时间、威胁类型、方向、源IP和目的IP、应用类型、严重性等级以及响应动作等信息。 应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等。 中 云防火墙提供日志分析功能，对已分析的日志，默认提供存储6个月内的日志数据，并提供实时日志分析能力。 应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。 中 云防火墙提供日志分析功能，对已分析的日志，默认提供存储6个月内的日志数据，并提供实时日志分析能力。

查看产品集成结果 登录管理控制台。 在页面左上角单击，选择“安全与合规 > 态势感知 > 安全产品集成”，进入产品集成管理页面。 选择“区域”。 选择产品所在的区域，可选择“华北-北京一”、“华北-北京四”、“华东-上海二”、“华东-上海一”、“华南-深圳”、“华南-广州”或“西南-贵阳一”。 查询目标产品。 选择“已集成”、集成类型和探测状态，查找符合条件的产品。更多查询方式请参见查看产品集成列表。 查看接收结果数量。 在目标产品列框，可查看从该产品的接收的全部和近一小时接收的结果数量。 单击“查看”，可跳转到“全部结果”管理页面，呈现该产品的检测结果列表。更多检测结果说明，请参见查看全部检测结果。 图2 查看产品上报数据

查看产品集成结果 登录管理控制台。 在页面左上角单击，选择“安全与合规 > 态势感知 > 安全产品集成”，进入产品集成管理页面。 选择“区域”。 选择产品所在的区域，可选择“华北-北京一”、“华北-北京四”、“华东-上海二”、“华东-上海一”、“华南-深圳”、“华南-广州”或“西南-贵阳一”。 查询目标产品。 选择“已集成”、集成类型和探测状态，查找符合条件的产品。更多查询方式请参见查看产品集成列表。 查看接收结果数量。 在目标产品列框，可查看从该产品的接收的全部和近一小时接收的结果数量。 单击“查看”，可跳转到“全部结果”管理页面，呈现该产品的检测结果列表。更多检测结果说明，请参见查看全部检测结果。 图2 查看产品上报数据

步骤1：创建用户组并授权 A公司登录并进入华为云控制台。 控制台页面中单击右上角的用户名，选择“统一身份认证”。 在统一身份认证服务的左侧导航空格中，单击“用户组”>“创建用户组”。 图2 创建用户组 在“创建用户组”界面，输入“用户组名称”为“网络域运维”，单击“确定”。 单击新建用户组右侧的“授权”。 在搜索框中搜索“VPC FullAccess”和“ELB FullAccess”，勾选并单击“下一步”。 选择授权范围方案为“区域项目”，并选择“华东-上海二”区域。 如果员工还需要查看资源的消费情况，请在同区域选择“BSS Administrator”权限。 如果您参考表1，将员工配置为安全域运维负责人，由于安全域与其他服务存在业务交互关系，授权时，必须同时添加依赖的其他服务的权限，方法请参见：依赖授权。

操作步骤 在站点配置页面，选择左侧导航栏的“AP > SSID”，进入SSID配置页面。 单击“创建”，在AP上创建SSID。 配置SSID基本配置。根据表 SSID配置参数说明配置参数，完成后单击“下一步”。 修改“隐藏SSID”、“禁止传统终端接入”、“最大用户数”、“U-APSD”、“Wi-Fi多媒体标准场景”参数，会导致当前已连接的终端断开并重新连接，请谨慎操作。 AirEngine9700D-M、AD9431DN-24X不支持NAT连接方式。 表1 SSID配置参数说明 参数 说明 SSID名称 终端接入的WiFi网络名称。 工作状态 缺省为开启。如果设置为关闭，则该SSID不可用。 生效射频 缺省三射频，建议使用缺省值。 说明： AP4051TN、AP6750-10T、AP8050TN-HD、AP350、 AirEngine8760R-X1E、AirEngine8760-X1-PRO、AirEngine6760-X1、AirEngine6760-X1E和AirEngine5760-51支持三种射频，其他款型不支持5G(wlan-radio 0/0/2)射频。其中AirEngine6760-X1、AirEngine6760-X1E和AirEngine5760-51支持三种射频时，需要将“生效射频”配置为“2.4G (wlan-radio 0/0/0)”、“5G (wlan-radio 0/0/1)”和“5G (wlan-radio 0/0/2)”。 云AP作为网关 使能时，由AP全局DHCP分配地址，主要配合AP的全局DHCP功能。 VLAN 关联到该SSID的无线终端指定所属VLAN。 高级参数设置 隐藏SSID 缺省关闭。开启后该SSID不可见。 DAI ARP检测。开启后可进行源MAC地址和ARP报文数据区中的源MAC地址的一致性检查，防止非法用户的ARP报文通过AP访问外部网络并对合法用户进行干扰或欺骗。 IPSG IP地址绑定检测，开启后可防止基于源地址欺骗的攻击行为。 DNS Snooping 缺省关闭。开启后设备解析收到的DNS应答报文来获取IP地址，生成IP地址与域名的映射关系。 说明： 仅V200R020C10及之后版本的AP设备支持该功能配置。 nDNS Snooping 缺省关闭。开启后无线终端发送mDNS报文时，接入设备可以通过解析报文里的service信息进行终端识别。 说明： 仅V200R020C10及之后版本的AP设备支持该功能配置。 断链关断 缺省关闭。开启后，当AP上行链路断开时会自动关闭SSID，强制用户下线，保证设备自动连接其他AP。 频谱导航（5G优先） 缺省打开。开启后AP可以控制移动终端优先接入5G频谱，减少2.4G频谱上的负载和干扰，提升用户体验。 2.4G射频Beacon帧发送速率（Mbps） 2.4GHz、5GHz射频类型Beacon帧的发送速率。仅V200R008C10及以上版本的AP设备支持这些参数。单位：Mbps。 5G射频Beacon帧发送速率（Mbps） 禁止传统终端接入 缺省关闭。开启后将禁止802.11a、802.11b和802.11g类型协议的传统终端接入。 安全认证中的加密方式仅支持“WPA and WPA2”、“WPA2”、“WPA2 and WPA3”和“WPA3”。 最大用户数 允许同时连接该SSID的最大用户数。 接入阈值策略 新用户禁止接入：SSID接入的终端达到阈值后，新用户禁止接入。 新用户禁止接入且隐藏SSID：SSID接入的终端达到阈值后，新用户禁止接入，且自动隐藏该SSID。 用户隔离 缺省开启。开启后，接入相同AP的同一个SSID内用户之间报文相互不转发；关闭后，可能会带来广播报文泛洪的风险。 隔离方式 全部隔离 二层用户隔离 IGMP-Snooping 缺省关闭。IGMP snooping是二层组播的基本功能，可以实现组播数据在数据链路层的转发和控制。 开启后，若“禁止广播或组播”按钮关闭，“组播转单播”参数可配置。根据实际情况选择自适应、开启、关闭。 禁止广播或组播 缺省关闭，开启后将禁止无线局域网网络共享、发现广播或组播的功能。开启后，“bonjour透传”参数可配置。 bonjour透传 缺省关闭。Bonjour技术是由苹果公司提出的零配置网络技术解决方案，是一种应用在二层广播域的技术，实现二层广播域内网络设备自动获取地址和发现服务。 U-APSD 缺省关闭。U-APSD是WMM定义的一种高级省电功能，能提升终端的节能能力。但由于部分终端对U-APSD功能的支持存在问题，这种情况下需要关闭U-APSD功能。 Wi-Fi多媒体标准场景 根据网络实际情况和需要，配置WMM（Wi-Fi Multimedia，Wi-Fi多媒体标准）参数，使高优先级的数据报文优先占用无线信道，达到调整视频、语音等类型的流量的转发优先级的目的。为了使WMM生效，必须在射频参数中开启WMM开关。 默认：无优先级 语音：以语音流量优先 语音与视频：以语音及视频流量优先 自定义：自定义配置数据报文的优先级。 说明： 仅V200R008C10及以上版本的AP设备支持WMM功能。 终端MAC过滤 缺省关闭。开启后，系统将按照黑名单或白名单的方式对接入到网络的设备MAC进行过滤。 黑名单：禁止列表中的设备接入到网络。此时系统按MAC地址完全匹配。 白名单：只有列表中的设备才能接入到网络。此时系统支持按MAC地址完全匹配，也可以按OUI匹配。其中，OUI为设备MAC的前一半。 音频质量分析 缺省关闭。开启开关并配置了“SIP协议端口”，系统将使能SIP协议，从而设备可以抓取SIP协议报文，并分析出协议所承载的业务类型，如语音业务。 当华为乾坤云服务允许设备上报性能数据信息给分析器时，分析器就可以获得语音业务的性能数据，并进行音频通话的质量分析。 SIP协议端口 SIP协议的端口号。 802.11r快速漫游 缺省不使能802.11r快速漫游功能。 若使能该功能，需设置是否使能“802.11r over the ds”。使能“802.11r over the ds”时，如果终端不同时支持over the ds和over the air方式将无法快速漫游，只能进行普通漫游，而当前大部分终端只支持over the air，请慎重配置。 说明： 802.11r功能支持的安全策略包括开放网络、PSK+WPA2+AES。 重关联超时时间(秒) 配置重关联超时时间，超时时间缺省值为1秒。 端管协同漫游 是否使能端管协同漫游。协同优化网络侧和终端侧，提升用户上网体验。 当开启开关，表示使用802.11r over the ds协议快速漫游。 当关闭开关，表示使用802.11r over the air协议快速漫游。 业务保障功能模式 可靠性优先：AR/VR场景请选择可靠性优先，可以减少丢包、重传引起的抖动、延迟，提升用户体验； 性能优先：其他场景请选择性能优先，否则可能导致比较大的性能下降。 手游加速 缺省开启。目前支持手游加速的应用：绝地求生（刺激战场、全军出击）、穿越火线、荒野行动、王者荣耀、DNF、梦幻西游、英雄联盟、堡垒之夜、第五人格。游戏加速特性能够在识别出游戏后进行上下行加速。 抑制终端省电 缺省关闭。如果使能该功能，会加速终端耗电，占用额外带宽。如果没有终端省电状态异常的情况，建议关闭抑制终端进入省电状态的功能。 MU-MIMO 缺省开启。使能MU-MIMO优化功能。当用户对AP下行业务吞吐量有较高要求，并且环境干扰性小的时候，可以使能MU-MIMO优化功能。 终端老化时间 缺省值为5分钟，强制低信号用户下线时间。为了防止大量低信号用户关联网络导致的网络整体用户体验下降，可以降低终端老化时间。 DHCP option 82选项 无线终端接入AP SSID，申请IP地址时发送DHCP申请报文。AP通过DHCP Option82设置AP的MAC、SSID、名称、位置等信息，DHCP申请的报文到达DHCP Server，DHCP Server根据DHCP Option82携带的AP信息进行认证，并根据预置的地址分配策略分配不同的IP地址 子选项 Circuit ID：指定配置Option82的circuit-id（CID）子选项。 Remote ID：指定配置Option82的remote-id（RID）子选项。 内容连接符 默认为冒号，可设置为分号。 内容类型 ap-mac：AP的MAC地址。STA发送的DHCP报文到达AP后，AP将自己的MAC地址添加到DHCP报文中的Option82选项中。 ap-mac-ssid：AP的MAC地址和SSID。STA发送的DHCP报文到达AP后，AP将自己的MAC地址和用户关联的SSID添加到DHCP报文中的Option82选项中。 ap-name：AP名称。STA发送的DHCP报文到达AP后，AP将自己的名称添加到DHCP报文中的Option82选项中。 ap-name-ssid：AP的名称和SSID。STA发送的DHCP报文到达AP后，AP将自己的名称和用户关联的SSID添加到DHCP报文中的Option82选项中。 ap-location：AP的位置。STA发送的DHCP报文到达AP后，AP将自己的位置添加到DHCP报文中的Option82选项中。 ap-location-ssid：AP的位置和SSID。STA发送的DHCP报文到达AP后，AP将自己的位置和用户关联的SSID添加到DHCP报文中的Option82选项中。 user-defined：用户自定义设置。 内容格式 ASCII：指导MAC地址格式为ASCII形式的XXXXXXXXXXXX。 Normal：指定MAC地址的格式为xx-xx-xx-xx-xx-xx。 Compact：指定MAC地址的格式为xxxx-xxxx-xxxx。 Hex：指定MAC地址的格式为HEX形式的XXXXXXXXXXXX。 Colon：指定MAC地址的格式为xx:xx:xx:xx:xx:xx。 自定义内容 用户自定义字符。 配置WLAN安全策略。以“半开放网络”为例，根据表 安全认证参数说明配置，完成后单击“下一步”。 单站点下最多支持配置16个SSID。 表2 安全认证参数说明 参数 说明 WLAN安全策略 SSID认证方式。支持如下方式： 开放网络：Open。 半开放网络：共享密钥方式，需要设置密钥，用于无线终端接入时确认身份、数据加密。支持PSK/SAE/PSK-SAE认证。 半开放网络 密钥类型 当“认证方式”为“半开放网络”时，需要配置该参数。 PSK SAE PSK-SAE 加密方式 当密钥类型为PSK，半开放网络支持的加密方式：WEP、WPA、WPA2、WPA and WPA2。 当密钥类型为SAE，半开放网络支持的加密方式：WPA3。 当密钥类型为PSK-SAE，半开放网络支持的加密方式：WPA2 and WPA3。 加密算法 当密钥类型为PSK，半开放网络支持的加密算法：AES、AES-TKIP、TKIP。 当密钥类型为SAE或PSK-SAE ，半开放网络支持的加密算法：AES。 密钥 根据自身情况自定义8~63位密钥。 配置基于SSID的策略控制参数。根据表 策略控制参数说明设置SSID流量限速、终端流量限速、ACL等参数，完成后单击“确定”。 表3 策略控制参数说明 参数 说明 SSID下行流量限速 限制整个SSID的下行流量。 SSID上行流量限速 限制整个SSID的上行流量。 终端下行限速 限制单个终端的下行流量，并且限速值采用静态固定值。 终端上行限速 限制单个终端的上行流量，并且限速值采用静态固定值。 高级参数配置 ACL模板名称 为SSID配置基于ACL的报文过滤功能，允许或禁止符合条件的数据报文通过。可以从下拉列表中选取已有的ACL模板。 若没有合适的ACL模板，可单击“创建”填写参数新建一个模板。 说明： 对于AP1050DN-S、AP2050DN、AP2050DN-E、AP2050DN-S、AP2051DN、AP2051DN-E、AP2051DN-S、AP4051DN-S、AP4050DN、AP4050DN-S、AP4050DN-E、AP4050DN-HD、AP4051DN、AP4151DN、AP5030DN-C、AP5050DN-S、AP6050DN、AP6150DN、AP7050DE、AP7050DN-E、AP8030DN、AP8050DN、AP8050DN-S、AP8130DN、AP8150DN、AD9430DN-12、AD9430DN-24、R230D、R240D、R250D、R250D-E、R251D、R251D-E、R450D、AP4051TN、AP6052DN、AP7052DN、AP7052DE、AP7152DN、AP8050TN-HD、AP8082DN、AP8182DN、AP100EC、AP200EC、AP300EC、AP3050DE、AP7060DN、WA375DD-CE、AP4050DE-M、AP5510-W-GP、AP9330DN、AD9431DN-24X、AP5030DN、AP4030DN、AP4130DN、AP2030DN、AP6010DN-AGN、AP3010DN-AGN、AP2010DN、AP6510DN-AGN、AP4050DE-M-S、AP4050DE-B-S、AP2051DN-L-S、AP5030DN-S、AP6750-10T、AirEngine5760-10款型的设备，可能存在设备上的ACL ID和控制器页面上的ID显示不一致的情况，其他配套款型控制器和设备上的显示一致。 URL过滤 缺省关闭。若开启，通过配置URL过滤策略，可以限制无线网络接入终端所能访问的网络资源。 黑名单过滤模式：禁止访问URL过滤列表中的网站。 白名单过滤模式：只允许访问URL过滤列表中的网站。 说明： 中心AP不支持URL过滤。 如果终端使用的浏览器采用代理访问机制，由于数据报文中的URL并非真实访问的URL，因此黑白名单过滤模式不生效。

名词解释 名词 解释 DRIS 路网数字化服务（Digital Road Infrastructure Service）面向高速公路、城市道路、园区、示范区、测试场等道路场景，构建云控交通大脑，提供多级架构的V2X Server、云边协同的V2X Edge及开放API，实现人、车、路、网之间的数字化信息交互，通过端边云协同实现智能从中心向边缘延伸，提升驾驶安全和道路通行效率，使能智慧交通，助力自动驾驶规模化商用。 V2X Server 车路协同平台。 V2X Edge 边缘计算单元。 RSU 路侧通信单元（Road Side Unit） IPC 网络摄像头（IP Camera） Edge 边缘计算节点。 Radar 雷达。 VMS 可变信息显示屏（Variable Message Sign） T-BOX 车载通信单元（Telematics BOX） HMI 人机交互界面（Human Machine Interface） 异常路况类事件 指由路侧部署的路网数字化边缘服务、摄像头、雷达设备自动发现路面异常，包含道路拥堵、行人进入机动车车道，路网数字化服务可发送提醒信号，通知到车载单元，车辆结合车载传感器信息提前减速避让或绕行通过，避免事故发生。 异常车况类事件 指由路侧部署的路网数字化边缘服务、摄像头、雷达设备自动发现车辆异常，包含车辆超速、慢行、异常停止、多车异常停止（事故），路网数字化服务可发送提醒信号，通知到车载单元，车辆结合车载传感器信息提前减速避让或绕行通过，避免事故发生。 恶劣天气类事件 指车辆在高速行驶的过程中如果遇到突发恶劣天气，路网数字化服务可通过事件下发，或实时视频和风力风向等传感器监控路况、分析恶劣天气信息，将恶劣天气预警实时广播给恶劣天气影响范围内的全部车辆，司机提前做好准备，减少道路发生交通事故的可能性。 警告标牌类事件 指当前方道路出现交通标牌信息时，包括道路施工、急弯路、限速、禁止通行等，路网数字化服务提前发送提醒信号，后方车辆结合车载传感器信息提前进行减速或绕行通过，避免事故发生。借助路网数字化服务提醒，可辅助驾驶员识别交通标牌信息， 保证车辆提高行驶安全。 RSI 道路安全信息（Road Safety Information），参考《合作式ITS车用通信系统应用层及应用数据交互标准》。 RSM 周边交通参与者的基本安全状态信息（Roadside Safety Message），参考《合作式ITS车用通信系统应用层及应用数据交互标准》。 BSM 车辆基本安全消息（Basic Safety Message），参考《合作式ITS车用通信系统应用层及应用数据交互标准》。 SPAT 信号灯消息，参考《合作式ITS车用通信系统应用层及应用数据交互标准》。 MAP 地图消息，参考《合作式ITS车用通信系统应用层及应用数据交互标准》。 MQTT MQTT（Message Queue Telemetry Transport）是一个物联网传输协议，被设计用于轻量级的发布/订阅式消息传输，旨在为低带宽和不稳定的网络环境中的物联网设备提供可靠的网络服务。 MQTTS指MQTT+SSL/TLS，在MQTTS中使用SSL/TLS协议进行加密传输。 CoAP 受约束的应用协议CoAP（Constrained Application Protocol）是一种软件协议，旨在使非常简单的电子设备能够在互联网上进行交互式通信。 CoAPS指CoAP over DTLS，在CoAPS中使用DTLS协议进行加密传输。 ITS 智能交通系统（Intelligent Transportation Systems）包括车车通信、车路通信等车联网技术。ITS使用的传输技术包括专用短距离通信（Dedicate Short Range Communication，DSRC）传输技术和第四代通信网络车辆通信（Long Term Evolution-Vehicle，LTE-V）传输技术。 V2X 车联网（vehicle to everything）包括车与车(V2V)、车与路侧设施(V2I)、车与人(V2P)、车与网络(V2N)的互联和数据传输。 LTE-V 车间通信长期演进技术（Long Term Evolution-Vehicle）是智能交通系统（ITS）中应用的车联网技术中的一种。 IoT 物联网（Internet of Things）是互联网、传统电信网等信息承载体，让所有能行使独立功能的普通物体实现互联互通的网络。

排查思路 以下排查思路根据原因的出现概率进行排序，建议您从高频率原因往低频率原因排查，从而帮助您快速找到问题的原因。 如果解决完某个可能原因仍未解决问题，请继续排查其他可能原因。 图1 网络不通排查思路 表1 网络不通排查思路 可能原因 处理措施 路由表配置不正确 请在路由表中添加指向公网NAT网关的默认路由或路由，详细操作请参考检查路由表是否配置指向公网NAT网关网关的默认路由。 弹性云服务器绑定了弹性公网IP 请为弹性云服务器解绑弹性公网IP，详细操作请参考检查弹性云服务器是否绑定了弹性公网IP。 安全组规则未放通 请放通弹性云服务器对应的安全组规则，详细操作请参考检查安全组规则。 网络ACL配置不正确 请配置网络ACL规则放通子网流量，详细操作请参考检查网络ACL是否放通子网流量。 弹性公网IP的带宽超限 请扩大EIP带宽，详细操作请参考检查弹性公网IP的带宽是否超限。 公网NAT网关业务量超过规格上限 请提升公网NAT网关规格，详细操作请参考检查公网NAT网关业务量是否超过规格上限。 公网NAT网关的状态异常 请确保公网NAT网关资源状态为“运行中”，详细操作请参考检查公网NAT网关状态是否异常。 弹性云服务器端口未监听 请重新开启弹性云服务器端口，详细操作请参考检查弹性云服务器端口。

VPC接口说明 表1 VPC接口说明 类型 说明 VPC VPC的创建、查询、更新、删除等接口。 子网 子网的创建、查询、更新、删除等接口。 配额 配额查询接口。 私有IP 私有IP的申请、查询、删除等接口。 安全组 安全组创建、查询、删除等接口。 安全组规则创建、查询、删除等接口。 端口 端口创建、查询、更新、删除等接口。 对等连接 对等连接查询、创建、更新、删除等接口。 接受、拒绝对等连接请求接口。 VPC路由 VPC路由查询、创建、删除等接口。 路由表 路由表查询、创建、删除等接口。 标签管理 VPC资源标签的创建、查询、删除等接口。 子网资源标签的创建、查询、删除等接口。 该类型接口目前在“华北-北京一”“华北-北京四”、“华东-上海一”、“华东-上海二”、“西南-贵阳一”“华南-广州”、“中国-香港”区域开放。 查询网络IP使用情况 查询一个指定网络中的IP地址使用情况，包括网络中的IP总数以及已用IP总数。

态势感知与其他安全服务之间的关系与区别？ 华为云提供多种安全防护和管理服务，其中态势感知（Situation Awareness，SA）是可视化威胁检测和分析的安全管理平台，通过从Anti-DDoS流量清洗（Anti-DDoS）、DDoS高防（Advanced Anti-DDoS，AAD）、企业主机安全（Host Security Service，HSS）、漏洞扫描服务（Vulnerability Scan Service，VSS）、Web应用防火墙（Web Application Firewall，WAF）、数据库安全服务（Database Security Service，DBSS）等安全防护服务中获取必要的安全事件记录，进行大数据挖掘和机器学习，智能AI分析并识别出攻击和入侵，帮助用户了解攻击和入侵过程，并提供相关的防护措施建议。 态势感知作为安全管理服务，依赖于安全防护服务提供威胁检测数据，进行安全威胁风险分析，呈现全局安全威胁态势，并提供防护建议，但是态势感知不实施具体安全防护动作，需与其他安全服务搭配使用。 SA与其他安全防护服务区别，详细内容如表1。 表1 SA与其他服务的区别 服务名称 服务类别 关联与区别 防护对象 功能差异 态势感知（SA） 安全管理 SA着重呈现全局安全威胁攻击态势，统筹分析多服务威胁数据和云上安全威胁，并提供防护建议。 呈现全局安全威胁攻击态势。 SA功能介绍 Anti-DDoS流量清洗（Anti-DDoS） 网络安全 Anti-DDoS集中于异常DDoS攻击流量的检测和防御，相关攻击日志、防护等数据同步给SA。 保障企业业务稳定性。 Anti-DDoS功能特性 DDoS高防（AAD） 网络安全 AAD将公网流量引流至高防IP，聚焦于大流量的DDoS攻击的检测和防御，相关攻击日志、防护等数据同步给SA。 保障企业重要业务连续性。 AAD产品介绍 企业主机安全（HSS） 主机安全 HSS着手于保障主机整体安全性，检测主机安全风险，执行防护策略，相关告警、防护等数据同步给SA。 保障主机整体安全性。 HSS功能特性 漏洞扫描服务（VSS） 应用安全 VSS通过启动扫描Web类、应用类安全漏洞，发现网站或服务器的风险，并修复漏洞。相关历史漏洞和修复记录同步给SA。 保障网站整体安全性。 VSS功能特性 Web应用防火墙（WAF） 应用安全 WAF服务对网站业务流量进行多维度检测和防护，防御常见攻击，阻断攻击进一步威胁。相关入侵日志、告警数据等同步给SA，呈现全网Web风险态势。 保障Web应用程序的可用性、安全性。 WAF功能特性 数据库安全服务（DBSS） 数据安全 DBSS着力于数据库访问行为的防护和审计，相关审计日志、告警数据等同步给SA。 保障云上数据库安全和资产安全。 DBSS产品介绍

功能总览 功能总览 全部 弹性文件服务 NFS协议 CIFS协议 多VPC访问 多帐号访问 备份 加密 监控 审计 OBS 2.0支持 弹性文件服务 弹性文件服务（Scalable File Service，SFS）提供按需扩展的高性能文件存储（NAS），可为云上多个弹性云服务器（Elastic Cloud Server，ECS），容器（CCE&CCI），裸金属服务器（BMS）提供共享访问。 支持区域： 全部 什么是弹性文件服务？ 云图说：初识弹性文件服务 视频：弹性文件服务SFS服务介绍 OBS 2.0支持 SFS容量型 最大带宽：2GB/s 最高IOPS：2K 时延：3~20ms 优势：大容量、高带宽、低成本 应用场景：大容量扩展以及成本敏感型业务，如媒体处理、文件共享、HPC、数据备份等。 SFS容量型已于2022年7月1日停售，建议使用SFS 容量型3.0。 不支持区域： 全部 文件系统类型 OBS 2.0支持 SFS 容量型3.0 最大带宽：1.25TB/s 最高IOPS：百万 时延：10ms 最大容量：EB 优势：大容量、高带宽、低成本 应用场景：大容量扩展以及成本敏感型业务，如媒体处理、文件共享、HPC、数据备份等。 支持区域： 华北-北京四 华东-上海一 华南-广州 文件系统类型 OBS 2.0支持 SFS Turbo SFS Turbo分为通用型和HPC型、HPC缓存型三大类。SFS Turbo文件系统更适合海量小文件业务。 典型应用场景： SFS Turbo标准型：代码存储、日志存储、Web服务、虚拟桌面 SFS Turbo标准型-增强版：代码存储、文件共享、企业办公OA、日志存储 SFS Turbo性能型：高性能网站、文件共享、内容管理 SFS Turbo性能型-增强版：图片渲染、AI训练、企业办公OA 125MB/s/TiB：高性能计算、AI训练、EDA仿真、自动驾驶、渲染 250MB/s/TiB：高性能计算、AI训练、EDA仿真、自动驾驶、渲染 HPC缓存型：影视渲染、AI训练、自动驾驶 支持区域： 全部 文件系统类型 OBS 2.0支持 虚拟私有云子功能二 虚拟私有云（Virtual Private Cloud，以下简称VPC），为云服务器、云容器、云数据库等资源构建隔离的、用户自主配置和管理的虚拟网络环境，提升用户云上资源的安全性，简化用户的网络部署。 您可以在VPC中定义安全组、VPN、IP地址段、带宽等网络特性。用户可以通过VPC方便地管理、配置内部网络，进行安全、快捷的网络变更。同时，用户可以自定义安全组内与组间弹性云服务器的访问规则，加强弹性云服务器的安全保护。 支持区域： 亚太-新加坡 亚太-曼谷 不支持区域： 华北-北京一 中国-香港 如何创建虚拟私有云？ VPC服务介绍【视频】 VPC服务介绍【视频】 SFS容量型/SFS 3.0容量型/SFS Turbo支持 NFS协议 修改子网网络信息 NFS（Network File System），即网络文件系统。一种使用于分散式文件系统的协议，通过网络让不同的机器、不同的操作系统能够彼此分享数据。多台ECS安装NFS客户端后，挂载文件系统，即可实现ECS间的文件共享。Linux客户端建议使用NFS协议。 删除子网 支持区域： 全部 挂载NFS文件系统到云服务器（Linux） 挂载NFS文件系统到云服务器（Windows） SFS容量型支持 CIFS协议 修改子网网络信息 CIFS（Common Internet File System），通用Internet文件系统，是一种网络文件系统访问协议。通过CIFS协议，可实现Windows系统主机之间的网络文件共享。Windows客户端建议使用CIFS协议。 删除子网 支持区域： 华北-北京一 华北-北京四 华东-上海一 华南-广州 中国-香港 亚太-曼谷 挂载CIFS文件系统到云服务器（Windows） SFS容量型/SFS 3.0容量型/SFS Turbo支持 多VPC访问 可以为文件系统配置多个VPC，以使归属于不同VPC的云服务器，只要所属的VPC被添加到文件系统的VPC列表下，或云服务器被添加到了VPC的授权地址中，或通过VPC对等连接建立VPC关系，则实际上归属于不同VPC的云服务器也能共享访问同一个文件系统。 支持区域： 全部 配置多VPC SFS容量型/SFS 3.0容量型/SFS Turbo支持 多帐号访问 只要将其他帐号使用的VPC的VPC ID添加到文件系统的VPC列表下，且云服务器IP地址或地址段被添加至授权地址中，或通过VPC对等连接建立VPC关系，则实际上不同帐号间归属于不同VPC的云服务器也能共享访问同一个文件系统。SFS容量型仅在华北-北京四支持。 支持区域： 全部 配置多帐号访问 SFS Turbo支持 备份 备份是文件系统在某一时间点的完整备份，记录了这一时刻文件系统的所有配置数据和业务数据。当您的文件系统出现故障或文件系统中的数据发生逻辑错误等时，可快速使用备份恢复数据。 不支持区域： 华北-乌兰察布一 西南-贵阳一 亚太-曼谷 非洲-约翰内斯堡 拉美-墨西哥城一 拉美-圣地亚哥 备份 SFS容量型/SFS Turbo支持 加密 当您由于业务需求从而需要对存储在文件系统的数据进行加密时，弹性文件服务为您提供加密功能，可以对新创建的文件系统进行加密。 支持区域： 全部 文件系统加密 SFS容量型/SFS Turbo支持 监控 云监控服务为用户提供一个针对资源的立体化监控平台。通过云监控，您可以全面了解文件系统的使用情况、业务的运行状况，并及时收到异常告警做出反应，保证业务顺畅运行。 支持区域： 全部 弹性文件服务监控指标说明 SFS Turbo监控指标说明 SFS Turbo支持 审计 弹性文件服务支持通过云审计服务对资源的操作进行记录，以便用户可以查询、审计和回溯。 支持区域： 全部 审计

操作步骤 登录管理控制台。 单击管理控制台左上角的，选择区域或项目。 在左侧导航树中，单击左上方的，选择“安全与合规 > 云防火墙”，进入云防火墙的概览页面，如图1所示。 图1 概览 单击“购买云防火墙”，进入“购买云防火墙”页面，相关参数如表1所示。 图2 购买云防火墙 表1 购买云防火墙的参数说明 参数名称 参数说明 取值样例 区域 购买互联网边界防火墙的区域。 须知： 购买的云防火墙只能在当前选择的区域使用，如需在其它区域使用，请切换到对应区域进行购买。 华东-上海一 版本规格 选择版本： 基础版 标准版 专业版 说明： 各版本之间的具体差异请参见服务版本差异。 目前仅“华东-上海一”支持专业版功能。 标准版 引擎类型 选择引擎类型： 山石引擎：直路部署。具备精细化应用管控，可为用户提供灵活的安全访问控制，包括策略阻止、会话限制等。同时，还具备入侵防御、病毒过滤、攻击防护等功能，满足客户安全访问、攻击防护以及应用识别和控制等需求。 华为旁路引擎：旁路部署。提供旁路流量检测，不影响已有业务组网架构，提供基于华为云多年攻防实践经验的攻击库和防护规则，并支持根据策略设置可以对已知攻击流量（连接型协议如TCP）进行旁路阻断功能，以防止网络的入侵。 山石引擎 扩展防护公网IP数 选择需扩展的防护公网IP数，可选择范围：0~2000个 说明： 此处为套餐外购买数量，例如标准版防护公网IP数默认20个（套餐内费用包含），如果您的公网IP是65个，那么只需要填写45个。 45个 扩展防护流量峰值 选择需扩展的防护流量峰值，可选择范围：0~2000Mbps/月（需为5的整数倍） 说明： 此处为套餐外购买流量值，例如标准版防护互联网边界流量峰值默认10Mbps/月（套餐内费用包含），如果您的防护流量是200Mbps/月，那么只需要填写190Mbps/月。 扩展防护流量峰值是所有eip防护带宽叠加的峰值。 200Mbps/月 扩展VPC数 选择需扩展的VPC数，可选择范围：0~2000个。 说明： 此处为套餐外购买数量，例如专业版防护VPC数默认2个（套餐内费用包含），如果您的VPC是3个，那么只需要填写1个。 1个 购买时长 自主选择购买时长。 选择时长后，可勾选“自动续费”若您勾选并同意自动续费，则在服务到期前，系统会自动按照购买周期生成续费订单并进行续费，无需手动续费。自动续费规则请参见自动续费规则说明。 1年 确认购买信息无误后，单击“立即购买”。 确认订单详情，并单击右下角“去支付”。 在“付款”页面，选择付款方式进行付款。

操作步骤 如果租户购买了安全云服务，APP默认网安一体场景；如果租户仅购买云管理网络，APP默认网络场景。此处以网安一体场景下AP上线过程为例，网络场景操作类似。 注册并登录APP。打开APP，点击“登录/注册”，输入手机号+验证码登录，首次登录会自动注册华为乾坤帐号。 如果已有华为乾坤帐号，无需再次注册，请直接登录。 如果提示发现新版本，请升级到最新版本，避免功能无法使用。 创建站点。设置站点名称为“test_ap”，设备类型为“云AP”。 站点添加设备。 扫码录入设备信息。 如果扫码无法成功，可以点击“手动输入”方式录入设备信息。 支持多次录入设备信息，当不再添加设备时，点击“结束扫描”，检查设备列表无误后点击“下一步”。 选择站点。将录入的设备添加到test_ap站点中，并点击“确认”， 如需定义其他站点，点击页面“+”，输入站点名称、设备类型信息，点击“保存”。 配置Wi-Fi。关于Wi-Fi的详细配置，请登录华为乾坤云服务控制台，具体操作参见“业务部署 > 配置AP业务 > 配置SSID”。 验证AP上线是否成功。参照下图指引，检查目标设备状态是否正常。

操作步骤 如果租户购买了安全云服务，APP默认网安一体场景；如果租户仅购买云管理网络，APP默认网络场景。此处以网安一体场景下AP上线过程为例，网络场景操作类似。 注册并登录APP。打开APP，点击“登录/注册”，输入手机号+验证码登录，首次登录会自动注册华为乾坤帐号。 如果已有华为乾坤帐号，无需再次注册，请直接登录。 如果提示发现新版本，请升级到最新版本，避免功能无法使用。 创建站点。设置站点名称为“test_ap”，设备类型为“云AP”。 站点添加设备。 扫码录入设备信息。 如果扫码无法成功，可以点击“手动输入”方式录入设备信息。 支持多次录入设备信息，当不再添加设备时，点击“结束扫描”，检查设备列表无误后点击“下一步”。 选择站点。将录入的设备添加到test_ap站点中，并点击“确认”， 如需定义其他站点，点击页面“+”，输入站点名称、设备类型信息，点击“保存”。 配置Wi-Fi。关于Wi-Fi的详细配置，请登录华为乾坤云服务控制台，具体操作参见“业务部署 > 配置AP业务 > 配置SSID”。 验证AP上线是否成功。参照下图指引，检查目标设备状态是否正常。

排查思路 VNC方式登录云服务器正常，但无法通过远程桌面连接方式登录云服务器时，我们推荐您按照以下思路排查问题。 以下排查思路根据原因的出现概率进行排序，建议您从高频率原因往低频率原因排查，从而帮助您快速找到问题的原因。 如果解决完某个可能原因仍未解决问题，请继续排查其他可能原因。 图3 无法连接Windows实例排查思路 表1 无法连接Windows实例排查思路 可能原因 处理措施 资源状态异常：资源冻结；未开机。 只有状态为“运行中”的云服务器才允许用户登录，详细操作请参考检查资源状态是否正常。 登录使用的用户名称或密码错误。 Windows实例用户名：Administrator，密码错误通过“重置密码”重新设置登录密码。详细操作请参考检查登录凭证。 云主机负载过高。 带宽和CPU利用率过高可能会导致服务器无法登录，详细操作请参考检查云服务器负载是否过高。 未绑定弹性公网IP 使用RDP文件、远程桌面连接方式（MSTSC方式）登录要求弹性云服务器已绑定弹性公网IP。详细操作请参考检查云服务器是否绑定弹性公网IP。 互联网运营商的劫持或者封堵。 更换手机热点或其他网络测试是否可以正常访问，详细操作请参考检查网络是否正常。 防火墙拦截。 测试防火墙关闭后是否可以正常连接，详细操作请参考检查防火墙配置是否正常。 安全组和云服务器的登录端口配置不正确。 检查安全组和云服务器是否放通远程登录端口。详细操作请参考检查端口配置是否正常。 配置了SSH登录IP白名单。 检查开启企业主机安全后是否配置了SSH登录IP白名单。检查SSH登录IP白名单（已启用企业主机安全） 检查云服务器的远程桌面协议。 确保云服务器已开启远程桌面协议（仅RDP文件、MSTSC方式要求）。详细操作请参考检查云服务器的远程桌面协议。 第三方杀毒软件的阻拦。 禁用或者卸载第三方杀毒软件后重试，详细操作请参考检查是否为杀毒软件拦截。 连接实例有详细的报错信息提示。 远程连接有报错信息提示时，请根据详细报错信息查看操作指导。详细操作请参考检查远程登录是否有报错信息。

安全策略 如图1 开发测试环境网络ACL分布图所示，网络ACL“NACL-DEV-APP”关联开发测试环境子相应网，需严格按照最小化的原则控制访问生产环境的出方向策略，限制其仅能访问生产环境中特定的[IP]:[PORT]；对于由生产环境发起的对开发测试环境的入方向策略，这里可以根据实际情况设置稍弱的访问控制策略。 强的、安全性高的、复杂的访问控制策略，会一定程度增加部署配置及运维成本，可以根据企业自身情况适当减少策略。 图1 开发测试环境网络ACL分布图 与生产环境边界的策略主要包括对PRD-DMZ区、对PRD-应用区、对PRD-DB区的策略，详细请参考下方表1 网络ACL“NACL-DEV-APP”出方向与表2。 本节中提到的IP地址及端口号仅为示例，如有其它业务流，可根据实际情况增加策略。本节仅涉及开发测试区与生产环境策略。 表1 网络ACL“NACL-DEV-APP”出方向 规则 # 目的 IP 协议 目的端口 允许/拒绝 说明 对PRD-DMZ区 172.22.7.0/24 TCP 1433 允许 允许测试环境子网中的 VM访问生产环境PRD-DMZ区中服务器1433端口进行软件/代码推送更新。 对PRD-应用区 172.22.8.0/24 TCP 2433 允许 允许测试环境子网中的 VM访问生产环境PRD-应用区中服务器2433端口进行软件/代码推送更新。 对PRD-DB区 172.22.9.0/24 TCP 3443 允许 允许测试环境子网中的 VM访问生产环境PRD-DB区中服务器3443端口进行软件/代码推送更新。 * 0.0.0.0/0 ANY ANY 拒绝 拒绝所有未经前置规则处理的入站数据流。 表2 网络ACL“NACL-DEV-APP”入方向 规则 # 源 IP 协议 目的端口 允许/拒绝 说明 对PRD-DMZ区 172.22.7.0/24 TCP ANY 允许 允许生产环境PRD-DMZ区中的 VM访问本区域中服务器任意TCP端口。 对PRD-应用区 172.22.8.0/24 TCP ANY 允许 允许生产环境PRD-应用区中的 VM访问本区域中服务器任意TCP端口。 对PRD-DB区 172.22.9.0/24 TCP ANY 允许 允许生产环境PRD-DB区中的 VM访问本区域中服务器任意TCP端口。 * 0.0.0.0/0 ANY ANY 拒绝 拒绝所有未经前置规则 (不可修改) 处理的出站数据流。 安全组策略请见2.1节中相关内容。

方案介绍 本文档主要介绍同AZ内SAP HANA的部署。跨AZ和跨region的高可用及容灾部署场景可参考《SAP高可用及灾备指南》。 SAP HANA的部署有两大类场景： 单节点部署：通常在联机事务处理场景下，采用单节点部署（可根据需要选择无HA配置或HA配置）。SAP HANA快速接收数据并进行处理，并在很短的时间内给出处理结果，从而对用户的数据操作快速响应。 集群部署：通常在联机分析处理场景下，采用集群部署。SAP HANA作为数据仓库，侧重对决策人员和高层管理人员的决策支持，可以根据分析人员的要求快速、灵活地进行大数据量的复杂查询处理，并且以一种直观而易懂的形式将查询结果提供给决策人员，以便准确掌握企业（公司）的经营状况，了解对象的需求，制定正确的方案。 根据系统的不同，推荐的部署方式如表1所示。 PRD（Production）：生产系统。HANA正式在生产环境上使用。 QAS（Quality Assure）：质量保证系统。对SAP HANA的功能、性能、可靠性等进行充分验证。 DEV（Development）：开发系统。开发人员在应用软件开发期间，将应用软件与SAP HANA进行配合调试，并不断修改和优化应用软件。 TRN（Training）：培训演示系统，租户部署SAP HANA后，用于向其他人培训或演示。 TST（Test）：测试系统。完成应用软件开发后，测试人员将应用软件与SAP HANA配合进行测试，验证应用软件的功能。 SoH（Suite on HANA）指SAP HANA配合SAP公司的商务套件（如ERP、CRM等）使用的场景。在该场景下，SAP HANA提供OLTP功能，关注SAP HANA的处理时延。 BWoH（BusinessWarehouse on HANA）指SAP HANA配合SAP公司的BusinessWarehouse使用的场景。在该场景下，SAP HANA提供OLAP功能，支持大量的数据在SAP HANA中进行快速计算和分析，关注SAP HANA的处理性能以及HANA节点之间的网络带宽。 表1 系统与部署方案 系统 SoH BWoH（单节点） PRD 单节点（HA） 单节点（HA） QAS 单节点（无HA）或单节点（HA） 单节点（无HA）或单节点（HA） DEV 单节点（无HA） 单节点（无HA） TRN 单节点（无HA） 单节点（无HA） TST 单节点（无HA） 单节点（无HA） 在安装SAP HANA之前，需要规划下述数据： SAP HANA节点数据，根据SoH和BWoH的不同需求，规划云服务器的所使用的操作系统、规格、磁盘空间大小。 其他节点数据，包括SAP HANA Studio、NAT Server的操作系统、规格、磁盘空间大小。 网络信息数据，包括子网网段、安全组规则等。 SAP HANA安装数据，自行根据SAP HANA的要求规划。

方案介绍 SAP HANA的部署有两大类场景： 单节点部署：通常在联机事务处理场景下，采用单节点部署（可根据需要选择无HA配置或HA配置）。SAP HANA快速接收数据并进行处理，并在很短的时间内给出处理结果，从而对用户的数据操作快速响应。 集群部署：通常在联机分析处理场景下，采用集群部署。SAP HANA作为数据仓库，侧重对决策人员和高层管理人员的决策支持，可以根据分析人员的要求快速、灵活地进行大数据量的复杂查询处理，并且以一种直观而易懂的形式将查询结果提供给决策人员，以便他们准确掌握企业（公司）的经营状况，了解对象的需求，制定正确的方案。 根据系统的不同，推荐的部署方式如表1所示。 PRD（Production）：生产系统。HANA正式在生产环境上使用。 QAS（Quality Assure）：质量保证系统。对HANA的功能、性能、可靠性等进行充分验证。 DEV（Development）：开发系统。开发人员在应用软件开发期间，将应用软件与HANA进行配合调试，并不断修改和优化应用软件。 TRN（Training）：培训演示系统，租户部署HANA后，用于向其他人培训或演示。 TST（Test）：测试系统。完成应用软件开发后，测试人员将应用软件与HANA配合进行测试，验证应用软件的功能。 SoH（Suite on HANA）指SAP HANA配合SAP公司的商务套件（如ERP、CRM等）使用的场景。在该场景下，SAP HANA提供OLTP功能，关注SAP HANA的处理时延。 BWoH（BusinessWarehouse on HANA）指SAP HANA配合SAP公司的BusinessWarehouse使用的场景。在该场景下，SAP HANA提供OLAP功能，支持大量的数据在SAP HANA中进行快速计算和分析，关注SAP HANA的处理性能以及HANA节点之间的网络带宽。 表1 系统与部署方案 系统 SoH BWoH（单节点） BWoH（集群） PRD 单节点（HA） 单节点（HA） 集群 QAS 单节点（无HA）或单节点（HA） 单节点（无HA）或单节点（HA） 单节点（无HA） DEV 单节点（无HA） 单节点（无HA） 单节点（无HA） TRN 单节点（无HA） 单节点（无HA） 单节点（无HA） TST 单节点（无HA） 单节点（无HA） 单节点（无HA） 在安装SAP HANA之前，需要规划下述数据： SAP HANA节点数据，根据SoH和BWoH的不同需求，规划云服务器的所使用的操作系统、规格、磁盘空间大小。 其他节点数据，包括SAP HANA Studio、NAT Server的操作系统、规格、磁盘空间大小。 网络信息数据，包括子网网段、安全组规则等。 SAP HANA安装数据，自行根据SAP HANA的要求规划。

方案介绍 本文档主要介绍同AZ内SAP HANA的部署。跨AZ和跨region的高可用及容灾部署场景可参考《SAP高可用及灾备指南》。 SAP HANA的部署有两大类场景： 单节点部署：通常在联机事务处理场景下，采用单节点部署（可根据需要选择无HA配置或HA配置）。SAP HANA快速接收数据并进行处理，并在很短的时间内给出处理结果，从而对用户的数据操作快速响应。 集群部署：通常在联机分析处理场景下，采用集群部署。SAP HANA作为数据仓库，侧重对决策人员和高层管理人员的决策支持，可以根据分析人员的要求快速、灵活地进行大数据量的复杂查询处理，并且以一种直观而易懂的形式将查询结果提供给决策人员，以便准确掌握企业（公司）的经营状况，了解对象的需求，制定正确的方案。 根据系统的不同，推荐的部署方式如表1所示。 PRD（Production）：生产系统。HANA正式在生产环境上使用。 QAS（Quality Assure）：质量保证系统。对SAP HANA的功能、性能、可靠性等进行充分验证。 DEV（Development）：开发系统。开发人员在应用软件开发期间，将应用软件与SAP HANA进行配合调试，并不断修改和优化应用软件。 TRN（Training）：培训演示系统，租户部署SAP HANA后，用于向其他人培训或演示。 TST（Test）：测试系统。完成应用软件开发后，测试人员将应用软件与SAP HANA配合进行测试，验证应用软件的功能。 SoH（Suite on HANA）指SAP HANA配合SAP公司的商务套件（如ERP、CRM等）使用的场景。在该场景下，SAP HANA提供OLTP功能，关注SAP HANA的处理时延。 BWoH（BusinessWarehouse on HANA）指SAP HANA配合SAP公司的BusinessWarehouse使用的场景。在该场景下，SAP HANA提供OLAP功能，支持大量的数据在SAP HANA中进行快速计算和分析，关注SAP HANA的处理性能以及HANA节点之间的网络带宽。 表1 系统与部署方案 系统 SoH BWoH（单节点） PRD 单节点（HA） 单节点（HA） QAS 单节点（无HA）或单节点（HA） 单节点（无HA）或单节点（HA） DEV 单节点（无HA） 单节点（无HA） TRN 单节点（无HA） 单节点（无HA） TST 单节点（无HA） 单节点（无HA） 在安装SAP HANA之前，需要规划下述数据： SAP HANA节点数据，根据SoH和BWoH的不同需求，规划云服务器的所使用的操作系统、规格、磁盘空间大小。 其他节点数据，包括SAP HANA Studio、NAT Server的操作系统、规格、磁盘空间大小。 网络信息数据，包括子网网段、安全组规则等。 SAP HANA安装数据，自行根据SAP HANA的要求规划。

检查网络连接情况 登录云堡垒机系统，网络诊断ping连通性测试，验证云堡垒机与资源服务器之间的网络连接是否正常。 网络连接通畅，则网络不稳定导致连接无响应。 重启相应资源服务器，重新开机后网络恢复正常。若重启主机不能解决，建议再排查云服务器故障/卡顿。 网络连接不通，则CBH系统到资源服务器有网络限制，请参考下述方案依次排查。 请先确认当前用户网络环境，是否为内网用户，以及用户访问权限是否受限。 例如因华为云内网用户，无法访问公网资源，即未授权的内网用户不能登录运维资源，需先申请外网访问权限或申请Websocket权限。 检查CBH系统环境是否配置合理 检查主机实例环境是否合理配置 检查主机资源是否配置安全加固措施

创建并管理裸金属服务网络 安全组 一般按以下步骤使用安全组： 创建安全组。 添加安全组规则。 在创建裸金属服务器时将实例加入安全组。 删除安全组规则。 删除安全组。 弹性公网IP 一般按以下步骤使用弹性公网IP： 绑定弹性公网IP至服务器。 从服务器解绑弹性公网IP。 虚拟私有云 您可以为网卡绑定额外的IP地址（称为虚拟IP，或者浮动IP），从而实现更灵活的网络功能。还可以开启网卡的“源/目的检查”，这有助于防止伪装报文攻击，提升安全性。 为裸金属服务器绑定虚拟IP地址 设置网卡的源/目的检查 高速网络 关于高速网络有如下操作： 管理高速网络 增强高速网络 增强高速网络是高速网络的增强版，目前仅在中国大陆区域上线。关于增强高速网络有如下操作： 添加增强高速网卡 删除增强高速网卡 增删增强高速网卡后，需要在操作系统中配置，参考配置增强高速网卡（SUSE Linux Enterprise Server 12 系列）~配置增强高速网卡（Windows Server系列）。 自定义VLAN网络 关于自定义VLAN网络有如下操作： 自定义VLAN网络概述 自定义VLAN网络需要在操作系统中配置，不同操作系统类型配置方法也不同，参考配置自定义VLAN网络（SUSE Linux Enterprise Server 12系列）~配置自定义VLAN网络（Windows Server系列）。 IB网络 关于IB网络有如下操作： IB网络概述

取消产品集成 登录管理控制台。 在页面左上角单击，选择“安全与合规 > 态势感知 > 安全产品集成”，进入产品集成管理页面。 选择“区域”。 选择产品所在的区域，可选择“华北-北京一”、“华北-北京四”、“华东-上海二”、“华东-上海一”、“华南-深圳”、“华南-广州”或“西南-贵阳一”。 查询目标产品。 选择“已集成”筛选条件，查找符合条件的产品。更多查询方式请参见查看产品集成列表。 取消接收检测结果。 在目标产品列框，单击“关闭集成”，取消接收来自该产品的检测数据。

操作步骤 在PC端登录华为云备案系统。 使用华为云帐号登录华为云备案系统。 图1 登录备案系统 选择“地域”，系统弹窗提示下载并使用华为云APP备案。 为了缩短备案时间，提高备案效率，华为云推出APP备案方式，让您在手机端即可完成ICP备案。华为云APP备案支持证件智能识别和人脸识别功能，电子化的核验方式让流程更简单，备案更便捷。 如需切换使用APP备案，请扫描下方二维码，下载华为云APP执行后续操作。 如需继续使用PC备案，请单击右上角的。 图2 推荐您使用华为云APP备案 验证备案类型。 在“验证备案类型”页面，按提示填写信息，然后单击“验证备案类型”。 系统将根据填写的域名和证件，自动校验备案类型。更多内容，请参见验证备案类型注意事项。 表1 验证备案类型参数说明 参数 说明 地域 对于个人备案，请根据您的身份证所在地、或实际居住地选择备案提交的地域。是否允许跨省备案，需以各地管局要求为准。 对于单位备案，请根据主体证件签发地（如营业执照工商注册地），选择备案提交的地域。不能选择非企业主体证件签发地的省份。 主办单位性质 请按照实际单位性质进行选择。 如：企业法定代表人请选择“企业”，事业法定代表人请选择“事业单位”。 其中，个人备案与单位备案的介绍，请参见个人备案与单位备案FAQ。 证件类型 请根据主办单位性质，选择正确的证件类型。 证件号码 请输入主办单位证件号码。 域名 请填写需备案的域名，格式如huaweicloud.com。 图3 验证备案类型 判断是否需要“认领备案”。 如果系统检测到您填写的域名和主体信息已在“原华为云备案系统”备案过，将提示您认领备案，如图4所示。此时，请先执行认领备案，然后再继续履行备案申请。 图4 认领备案 如果系统提示您进行产品验证，说明不需要认领备案，请继续执行。 填写ICP备案申请。 产品验证。 云服务类型：选择用于备案的服务器，并单击“验证”。如果提示没有可用资源，请购买服务器，详情请参见准备可备案服务器。 表2 云服务类型参数说明 云服务类型 说明 相关链接 ECS 使用弹性云服务器（含云耀云服务器）备案时，选择“ECS”。 弹性云服务器（含云耀云服务器）需包月3个月及以上（包含多次续费后累计时长），且有“包年/包月”计费模式（包月3个月及以上）的弹性公网IP。如果不满足条件，系统无法搜索到对应资源。 一台服务器是否可以多次办理备案 什么是“用于备案的资源” 为什么提示“备案授权码无效” 提示“用于备案的资源已达最大使用次数”怎么办 如何获取及使用备案授权码 准备可备案服务器 备案授权码 如需使用跨帐号的资源备案，请选择“备案授权码”。“包年包月”购买弹性云服务器及弹性公网IP资源的，可生成备案授权码。 备案授权码：请输入备案授权码。每个备案授权码可以备案一个网站，不能重复使用。 建站市场 使用云速建站、云速邮箱产品备案时，选择“建站市场”。 云速建站、云速邮箱，需包月3个月及以上（包含多次续费后累计时长）。 一个云速建站或云速邮箱支持备案1个域名，域名备案成功后，不支持更换域名再次备案或相同域名重复备案。 专享客户 详情请参见如何申请为备案“专享客户”。 云容器实例 使用云容器实例备案时，选择“云容器实例”。 选择云服务：云容器实例需包月3个月及以上。如果不满足条件，系统无法搜索到对应资源。 专属云 使用专属云备案时，选择“专属云”。 选择云服务：专属云需包年1年及以上。如果不满足条件，系统无法搜索到对应资源。 NAT网关 使用“公网NAT网关”备案时，选择“NAT网关”。 选择云服务：公网NAT网关需包月3个月及以上。如果不满足条件，系统无法搜索到对应资源。 图5 产品验证 填写接入的基本信息。 接入备案时，填写的信息需要与原接入商备案信息保持一致（如证件号码），管局会直接调用原备案信息比对核实。 如果不确定，请在原接入商处查看填写的备案信息。 如果信息有更新，请先申请变更备案，修改原备案信息，然后再提交新增接入备案。 图6 主体信息 图7 填写备案主体信息（新增接入） 网站信息。 接入备案时，填写的信息需要与原接入商备案信息保持一致（如网站负责人），管局会直接调用原备案信息比对核实。如果不确定，请在原接入商处查看填写的备案信息；如果信息有更新，请先申请变更备案，修改原备案信息，然后再提交新增接入备案。 网站名称：个人网站、企业网站名称的具体要求，请参见网站名称要求。 网站IP：备案服务器的公网IP地址。 您可以登录华为云控制台，查询备案资源的公网IP地址。如果是使用备案授权码备案，需填写生成备案授权码的弹性云服务器公网IP地址。 如果只有一个IP地址，请参见单个IP怎么填写IP地址段起始。 网站服务内容：网站内容必须与主办单位性质相符。 服务类型：各服务类型参数说明如表3所示。 表3 服务类型参数说明 参数 说明 网站应用服务 通常指官网类或电商网站选择网站应用服务等。 邮件应用服务 通常指电子邮件服务，搭建邮箱等。 文件应用服务 通常指存文件数据，支持多种上传文件格式，如服务器内存储图片、代码、音乐，一般用作调用接口使用等。 数据应用服务 通常指存储某种格式编程代码文件数据，一般用作调用接口使用等。 APP应用服务 通常指手机、平台电脑上的APP等。 微信号应用服务 通常指微信订阅号、公众号、服务号等。 网站语言：指网站内容使用的主要语言。请根据实际情况进行选择，不建议多选。 示例：网站内容的主要语言为中文，部分插件为英文，此时“网站语言”选择“中文”。 前置审批内容：网站若包含“前置或专项审批内容类型”中的项目，请上传相关许可证件或咨询备案所在省主管部门。若不包含相关类型内容，前置审批项不填。 备注：请填写备案审核通过后，网站实际开办的内容。 网站负责人信息：指备案系统网站信息中的负责人，也是网站的主要负责人，单位备案必须为单位内员工，可填法定代表人或单位内其他网站建设管理者；个人备案必须为备案主体本人。 如果网站负责人和主体负责人是同一个人，请勾选“复用**信息”。反之，请勾选“填写新负责人”，并填写网站负责人信息，此时网站负责人和主体负责人的电话、邮箱不能相同。详情请参见备案联系方式填写要求。 如需添加多个网站，在一个网站信息填写完后，单击“继续添加网站”。更多请参见多域名如何提交备案。 上传资料。 根据页面提示上传证件照片或证件彩色扫描件。 主体信息资料和网站信息资料的详细介绍，请参见准备备案材料。 前置审批文件：需要提供前置审批文件的行业，请参见前置审批。 党建证明：新疆维吾尔自治区要求备案时需要提交党建证明。 新疆维吾尔自治区，无论备案主体是否是党员、无论个人备案还是企业备案，新增备案或新增网站时，都需要到当地网信办咨询办理党建证明，否则不可以申请备案。 域名实名认证截图：请参见域名实名认证的信息如何获取。 域名证书：请参见域名证书如何获取。 广东管局《互联网信息服务备案承诺书》：根据广东省通信管理局要求，自2021年6月21日起，所有提交至广东省管局的ICP备案申请（非经营性互联网信息服务备案），均需要签署《互联网信息服务备案承诺书》。详情请参见互联网信息服务备案承诺书。 其他证件：指专项审批类的资料或批文。如金融类企业的金融业务许可证、保险业务许可证，医药类企业的医药备案文件等。请根据企业经营范围判断网站是否涉及其他证件的上传，如不涉及，不需要上传。 更多关于上传资料的常见问题，请参见上传资料与真实性核验。 勾选同意协议，单击“提交初审”。 图8 勾选协议 打开华为云APP备案小程序，完成真实性核验。 网站负责人可使用华为云APP扫描“核验二维码”直接进行真实性核验或在华为云APP登录备案账号根据华为云APP页面提示，完成真实性核验。 扫描二维码，下载并安装华为云APP。 图9 下载华为云APP 网站负责人可使用华为云APP扫描“核验二维码”直接进行真实性核验。 在“真实性核验”页面，单击“去核验”。 图10 真实性核验 网站负责人使用华为云APP扫描“核验二维码”，进行真实性核验。 图11 真实性核验二维码 “核验二维码”有效时间为十分钟，二维码被扫描后或超过十分钟即失效。 若二维码失效可刷新后重新生成“核验二维码”。 网站负责人也可在华为云APP登录备案账号，根据华为云APP页面提示，完成真实性核验。 选择“控制台 > 网站备案”。 图12 登录控制台 在“正在备案中的订单”页面，单击右下角的“继续备案 ”。 在“真实性核验”页面，单击“去核验”。 请网站负责人根据华为云APP页面提示，完成人脸识别。其中： 背景必须为白色背景，面部无遮挡，请确保网站负责人本人操作。 如核验后页面提示“您的真实性核验未通过”需要点击页面下方“重新核验”按钮重新进行视频核验。 如核验后页面提示“恭喜您已通过真实性核验”点击页面下方“确认使用该核验照”后继续提交初审即可。 更多关于真实性核验的常见问题，请参见上传资料与真实性核验。 自2021年6月1日起，在江苏省进行ICP网站备案（非经营性互联网信息服务备案）的客户，需按照“江苏省ICP备案真实性核验工作新要求”进行真实性核验。 图13 真实性核验 提交接入商初审。 确保填写信息准确无误，且真实性核验通过后，勾选“我已阅读并同意《信息安全承诺书》、《协助修改备案在线服务条款》和《互联网信息服务备案承诺书》”，单击“提交初审”。 备案信息提交后，备案专员将在1-2个工作日内进行初审，并以短信及邮件形式通知审核结果。 审核期间我们会拨打您备案信息中的联系电话进行沟通，请保持电话畅通。 如涉及备案信息修改，系统将以邮件形式发送至您在备案系统注册的邮箱，邮件内容可能包含：问题点修改建议、备案申请期间注意事项，以及需要补充哪些资料等重要信息，请注意查收并按指导安排处理。 初审通过后，华为云备案审核专员会将备案申请转交至对应管局处做最终的管局审核。 备案进度查询，请参见怎么了解备案进度。 图14 提交初审 审核结果包括：通过、驳回、待完善资料。 表4 初审结果说明 审核结果 对应的订单状态 状态说明 需要执行的操作 通过 待提交管局 表示您提交的备案订单已通过初审，等待华为云备案专员提交备案资料至当地管局进行审核，如图15所示。 - 驳回 初审驳回 表示华为云备案专员已审核订单，发现提交的备案申请信息不正确（如真实性核验不通过、网站内容存在违规），不满足网站备案相关要求，如图16所示。 请单击“状态”栏的查看初审不通过的原因，并单击“继续备案”修改备案申请，然后重新提交初审。 初审驳回的常见原因与解决方法：请参见初审驳回。 待完善资料 接入商审核为待修改 表示华为云备案专员已审核订单，发现提交的备案申请缺失材料、或填写的信息不完整，不完全满足网站备案相关要求，如图17所示。 请单击“状态”栏的查看审核意见，并单击“去修改信息”进一步完善备案申请，然后重新提交接入商审核。 提交后，订单状态更新为“已修改待审核”。 图15 初审通过 图16 初审驳回 图17 待完善资料 短信核验。 2020年8月17日起，所有省份的用户在提交备案申请（“取消接入”备案类型除外）后，还需要完成工信部短信核验，备案申请才能进入管局审核。 对于新增备案，验证码将发送至备案信息中填写的主体负责人、网站负责人手机号码。请在24小时内完成两个手机号码的短信核验，避免备案申请被工信部系统自动退回。 具体短信核验操作请参见备案短信核验。 管局审核。 备案短信核验通过后，备案申请进入管局审核。审核通过后您的备案即已完成，审核结果会发送至您的短信、邮箱。 2020年8月17日起，管局备案成功后，工信部不再发送备案密码。

安全管理 安全管理平台定义的数据密级信息，包括：绝密、机密、秘密、内部公开、外部公开。支持对组织类型、数据目录、实体和实体中的属性分别进行密级设置。用户访问数据目录时，需要到安全管理平台进行密级鉴权，鉴权通过后才能访问数据目录、实体和实体中的属性。 密级定义如下所示： 绝密：对公司市场竞争、领先对手起决定性作用，其泄露会使公司利益遭受巨大损害，且影响范围广泛；只适合在极少数人员或指定岗位范围公开的信息。如：核心算法、定价策略、战略意图。 机密：对公司运营管理非常重要或内容非常敏感，其泄露会使公司利益遭受巨大损害，且影响范围广泛；只适合在极少数人员或指定岗位范围公开的信息。如：重要产品的路标规划、营销策略、经营分析报告、销售项目一览表、商务授权及价格信息。 秘密：是公司比较重要或敏感的信息，其泄露会使公司利益受到一定损害，但影响范围有限；适合在体系、部门或特定组织范围公开的信息。 内部公开：指可以在全公司范围公开，但不应向公司外部扩散的信息。 外部公开：指可在公司外部公开发布的信息，不属于保密信息。

取消产品集成 登录管理控制台。 在页面左上角单击，选择“安全与合规 > 态势感知 > 安全产品集成”，进入产品集成管理页面。 选择“区域”。 选择产品所在的区域，可选择“华北-北京一”、“华北-北京四”、“华东-上海二”、“华东-上海一”、“华南-深圳”、“华南-广州”或“西南-贵阳一”。 查询目标产品。 选择“已集成”筛选条件，查找符合条件的产品。更多查询方式请参见查看产品集成列表。 取消接收检测结果。 在目标产品列框，单击“关闭集成”，取消接收来自该产品的检测数据。

方案介绍 SAP HANA的部署有两大类场景： 单节点部署：通常在联机事务处理场景下，采用单节点部署（可根据需要选择无HA配置或HA配置）。SAP HANA快速接收数据并进行处理，并在很短的时间内给出处理结果，从而对用户的数据操作快速响应。 集群部署：通常在联机分析处理场景下，采用集群部署。SAP HANA作为数据仓库，侧重对决策人员和高层管理人员的决策支持，可以根据分析人员的要求快速、灵活地进行大数据量的复杂查询处理，并且以一种直观而易懂的形式将查询结果提供给决策人员，以便他们准确掌握企业（公司）的经营状况，了解对象的需求，制定正确的方案。 根据系统的不同，推荐的部署方式如表1所示。 PRD（Production）：生产系统。HANA正式在生产环境上使用。 QAS（Quality Assure）：质量保证系统。对HANA的功能、性能、可靠性等进行充分验证。 DEV（Development）：开发系统。开发人员在应用软件开发期间，将应用软件与HANA进行配合调试，并不断修改和优化应用软件。 TRN（Training）：培训演示系统，租户部署HANA后，用于向其他人培训或演示。 TST（Test）：测试系统。完成应用软件开发后，测试人员将应用软件与HANA配合进行测试，验证应用软件的功能。 SoH（Suite on HANA）指SAP HANA配合SAP公司的商务套件（如ERP、CRM等）使用的场景。在该场景下，SAP HANA提供OLTP功能，关注SAP HANA的处理时延。 BWoH（BusinessWarehouse on HANA）指SAP HANA配合SAP公司的BusinessWarehouse使用的场景。在该场景下，SAP HANA提供OLAP功能，支持大量的数据在SAP HANA中进行快速计算和分析，关注SAP HANA的处理性能以及HANA节点之间的网络带宽。 表1 系统与部署方案 系统 SoH BWoH（单节点） BWoH（集群） PRD 单节点（HA） 单节点（HA） 集群 QAS 单节点（无HA）或单节点（HA） 单节点（无HA）或单节点（HA） 单节点（无HA） DEV 单节点（无HA） 单节点（无HA） 单节点（无HA） TRN 单节点（无HA） 单节点（无HA） 单节点（无HA） TST 单节点（无HA） 单节点（无HA） 单节点（无HA） 在安装SAP HANA之前，需要规划下述数据： SAP HANA节点数据，根据SoH和BWoH的不同需求，规划云服务器的所使用的操作系统、规格、磁盘空间大小。 其他节点数据，包括SAP HANA Studio、NAT Server的操作系统、规格、磁盘空间大小。 网络信息数据，包括子网网段、安全组规则等。 SAP HANA安装数据，自行根据SAP HANA的要求规划。

立即购买 登录管理控制台。 在页面上方选择“区域”后，单击，选择“安全与合规 > 管理检测与响应服务”。 在“专项版”下方，单击“立即购买”，进入“购买MDR服务”页面。 选择服务类型“云会议安全保障”或“特技安全保障”，并设置购买数量，如图1所示。 图1 购买专项版 设置用户相关信息，参数说明如表1所示。 图2 设置用户信息 表1 用户信息参数说明 参数 说明 配置样例 公司名称 输入用户公司的名称。 - 我确认 用户已正确设置服务单消息通知接收人。 - 在页面右下方，单击“下一步”。 确认订单无误并阅读《管理检测与响应免责声明》和《隐私政策声明》后，勾选“我已阅读并同意《管理检测与响应免责声明》和《隐私政策声明》”，单击“去支付”。 在“支付”页面，请选择付款方式进行付款。 付款成功后，单击“返回管理检测与响应控制台”，返回到“我的服务单”界面。 购买成功后，管理检测与响应将在1个工作日内联系您，与您沟通确定需求。

启用产品集成 登录管理控制台。 在页面左上角单击，选择“安全与合规 > 态势感知 > 安全产品集成”，进入产品集成管理页面。 图1 产品集成 选择“区域”。 选择产品所在的区域，可选择“华北-北京一”、“华北-北京四”、“华东-上海二”、“华东-上海一”、“华南-深圳”、“华南-广州”或“西南-贵阳一”。 查询目标产品。 选择“未集成”筛选条件，查找符合条件的产品。更多查询方式请参见查看产品集成列表。 开启接收检测结果。 在目标产品列框，单击“开启集成”，开启接收来自该产品的检测数据。 启用产品集成后，约5分钟后即可接收到产品上报的数据。 为确保产品检测数据的正常接收，请确保已开启各产品相应防护功能。

启用产品集成 登录管理控制台。 在页面左上角单击，选择“安全与合规 > 态势感知 > 安全产品集成”，进入产品集成管理页面。 图1 产品集成 选择“区域”。 选择产品所在的区域，可选择“华北-北京一”、“华北-北京四”、“华东-上海二”、“华东-上海一”、“华南-深圳”、“华南-广州”或“西南-贵阳一”。 查询目标产品。 选择“未集成”筛选条件，查找符合条件的产品。更多查询方式请参见查看产品集成列表。 开启接收检测结果。 在目标产品列框，单击“开启集成”，开启接收来自该产品的检测数据。 启用产品集成后，约5分钟后即可接收到产品上报的数据。 为确保产品检测数据的正常接收，请确保已开启各产品相应防护功能。

功能总览 功能总览 全部 集群管理 节点管理 节点池管理 工作负载 亲和/反亲和性调度 容器网络 容器存储 插件管理 模板市场 弹性伸缩 权限管理 系统管家 集群管理 CCE是一种托管的Kubernetes产品/服务，可进一步简化基于容器的应用程序部署和管理，您可以在CCE中方便的创建Kubernetes集群、部署您的容器化应用，以及方便的管理和维护。 CCE提供的集群相关功能包括：购买集群、Kubectl访问集群、集群弹性扩容、升级集群、删除集群、集群休眠与唤醒、集群监控、集群权限控制等。 CCE集群 发布区域：全部 CCE Turbo集群 发布区域：华北-北京四、华东-上海一、华南-广州 鲲鹏集群 发布区域：华北-北京四、华北-乌兰察布一、华东-上海一、华东-上海二、华南-广州、亚太-新加坡、非洲-约翰内斯堡 集群概述 购买CCE Turbo集群 购买CCE集群 购买鲲鹏集群 通过kubectl连接CCE集群 节点管理 节点是容器集群组成的基本元素。节点取决于业务，既可以是虚拟机，也可以是物理机。每个节点都包含运行Pod所需要的基本组件，包括 Kubelet、Kube-proxy 、Container Runtime等。在云容器引擎CCE中，主要采用高性能的弹性云服务器ECS或裸金属服务器BMS作为节点来构建高可用的Kubernetes集群。 CCE提供的节点相关功能包括：购买节点、纳管已有节点到集群、登录节点、节点监控、管理节点标签、同步节点信息、重置节点、删除节点、节点关机等。 发布区域：全部 节点概述 购买节点 节点池管理 CCE支持创建新的自定义节点池，借助节点池基本功能方便快捷地创建、管理和销毁节点，而不会影响整个集群。新节点池中所有节点的参数和类型都彼此相同，您无法在节点池中配置单个节点，任何配置更改都会影响节点池中的所有节点。 CCE提供的节点池相关功能包括：创建节点池、查看节点池、编辑节点池、删除节点池、拷贝节点池、迁移节点。 发布区域：全部 创建节点池 管理节点池 工作负载 工作负载是在Kubernetes上运行的应用程序。无论您的工作负载是单个组件还是协同工作的多个组件，您都可以在Kubernetes上的一组Pod中运行它。在Kubernetes中，工作负载是对一组Pod的抽象模型，用于描述业务的运行载体，包括Deployment、Statefulset、Daemonset、Job、CronJob等多种类型。 CCE提供基于Kubernetes原生类型的容器部署和管理能力，支持容器工作负载部署、配置、监控、扩容、升级、卸载、服务发现及负载均衡等生命周期管理。 发布区域：全部 创建无状态负载(Deployment) 创建普通任务(Job) 管理容器组(Pod) 亲和/反亲和性调度 CCE支持“自定义调度策略”和“简易调度策略”。 自定义调度策略开放节点亲和、工作负载亲和以及工作负载反亲和调度策略的配置，以满足用户的更高需求。在自定义调度策略中用户可以设置“节点亲和性”、“工作负载亲和性”和“工作负载反亲和性”。 简易调度策略提供简单便捷以及足够功能的调度方式。简易调度策略提供工作负载和可用区的亲和性、工作负载和节点的亲和性以及工作负载间的亲和性调度，用户可根据业务需求进行相应的设置部署工作负载。 发布区域：全部 自定义调度策略 简易调度策略 容器网络 云容器引擎通过将Kubernetes网络和华为云VPC深度集成，提供了稳定高性能的容器网络，能够满足多种复杂场景下工作负载间的互相访问。 CCE支持的容器网络类型包括：集群内访问（ClusterIP）、节点访问（NodePort）、负载均衡 ( LoadBalancer )、DNAT网关 ( DNAT )、七层负载均衡（Ingress）、网络策略（NetworkPolicy）、网络平面(NetworkAttachmentDefinition)。 发布区域：全部 网络概述 Service概述 Ingress概述 容器存储 容器存储是为容器工作负载提供存储的组件，支持多种类型的存储，同一个工作负载（pod)可以使用任意数量的存储。 CCE支持的容器存储类型包括：本地磁盘存储、云硬盘存储卷、文件存储卷、对象存储卷、极速文件存储卷、快照与备份。 发布区域：全部 存储CSI概述 使用云硬盘存储卷 使用文件存储卷 使用对象存储卷 插件管理 CCE提供了多种类型的系统插件，用于管理集群的扩展功能，以支持选择性扩展满足特性需求的功能。 发布区域：全部 安装和使用CoreDNS插件 安装nginx-ingress插件 模板市场 模板市场是CCE基于Kubernetes Helm标准的模板提供统一的资源管理与调度，高效地实现了模板的快速部署与后期管理，大幅简化了Kubernetes资源的安装管理过程。CCE提供的模板市场功能包括：示例模板和我的模板。 示例模板来源于开源社区，当前支持redis、etcd、mysql-ndb、mongodb、istio、zookeeper、elasticsearch、kibana、nginx-ingress等示例模板。这些模板仅作为样例提供，详情参见云容器引擎服务声明。 我的模板是通过自定义Helm模板来简化工作负载部署的服务。 发布区域：全部 通过模板创建工作负载 弹性伸缩 CCE支持集群节点、工作负载的弹性伸缩，支持手动伸缩和自动弹性伸缩，并可以自由组合多种弹性策略以应对业务高峰期的突发流量浪涌。 工作负载伸缩提供HPA策略和CustomedHPA策略两种创建方式。 HPA策略：即Horizontal Pod Autoscaling，是Kubernetes中实现POD水平自动伸缩的功能。该策略在kubernetes社区HPA功能的基础上，增加了HPA级别的冷却时间窗和扩缩容阈值等功能。 CustomedHPA策略：华为云自研的弹性伸缩增强能力，能够基于指标（CPU利用率、内存利用率）或周期（每天、每周、每月或每年的具体时间点），对无状态工作负载进行弹性扩缩容。 节点伸缩通过节点自动伸缩组件autoscaler实现的，可以按需弹出节点实例，支持多可用区、多实例规格、多种伸缩模式，满足不同的节点伸缩场景。 发布区域：全部 创建HPA策略 创建CustomedHPA策略 使用HPA+CA实现工作负载和节点联动弹性伸缩 权限管理 CCE权限管理是在统一身份认证服务（IAM）与Kubernetes的角色访问控制（RBAC）的能力基础上，打造的细粒度权限管理功能，支持基于IAM的细粒度权限控制和IAM Token认证，支持集群级别、命名空间级别的权限控制，帮助用户便捷灵活的对租户下的IAM用户、用户组设定不同的操作权限。 发布区域：全部 CCE权限概述 集群权限（IAM授权） 命名空间权限（Kubernetes RBAC授权） 系统管家 CCE提供的系统管家功能包括：系统体检和系统加固。 系统体检主要用于实时检测并发现节点上的一些故障或者异常情况。 系统加固主要用于对一些系统组件（如coredns插件）进行加固。当前已支持coredns自动水平伸缩，根据coredns的请求量情况自动伸缩其实例个数，以防止请求量过大导致coredns解析性能下降或者解析超时失败。 发布区域：全部 系统体检 系统加固

操作步骤 使用华为云帐号登录华为云备案系统。 图1 登录备案系统 填写ICP备案申请。 在“我的备案 > 我已成功备案的网站”中单击“新增网站”。 图2 新增网站 产品验证。 域名：填写待备案的新增域名。 云服务类型：选择用于备案的服务器。可用于备案的服务器，请参见准备可备案服务器。 图3 验证产品信息 网站信息。 网站名称：个人网站、企业网站名称的具体要求，请参见网站名称要求。 网站IP：备案服务器的公网IP地址。 您可以登录华为云控制台，查询备案资源的公网IP地址。如果是使用备案授权码备案，需填写生成备案授权码的弹性云服务器公网IP地址。 如果只有一个IP地址，请参见单个IP怎么填写IP地址段起始。 网站服务内容：网站内容必须与主办单位性质相符。 服务类型：各服务类型参数说明如表1所示。 表1 服务类型参数说明 参数 说明 网站应用服务 通常指官网类或电商网站选择网站应用服务等。 邮件应用服务 通常指电子邮件服务，搭建邮箱等。 文件应用服务 通常指存文件数据，支持多种上传文件格式，如服务器内存储图片、代码、音乐，一般用作调用接口使用等。 数据应用服务 通常指存储某种格式编程代码文件数据，一般用作调用接口使用等。 APP应用服务 通常指手机、平台电脑上的APP等。 微信号应用服务 通常指微信订阅号、公众号、服务号等。 网站语言：指网站内容使用的主要语言。请根据实际情况进行选择，不建议多选。 示例：网站内容的主要语言为中文，部分插件为英文，此时“网站语言”选择“中文”。 前置审批内容：网站若包含“前置或专项审批内容类型”中的项目，请上传相关许可证件或咨询备案所在省主管部门。若不包含相关类型内容，前置审批项不填。 备注：请填写备案审核通过后，网站实际开办的内容。 网站负责人信息：指备案系统网站信息中的负责人，也是网站的主要负责人，单位备案必须为单位内员工，可填法定代表人或单位内其他网站建设管理者；个人备案必须为备案主体本人。 如果网站负责人和主体负责人是同一个人，请勾选“复用**信息”。反之，请勾选“填写新负责人”，并填写网站负责人信息，此时网站负责人和主体负责人的电话、邮箱不能相同。详情请参见备案联系方式填写要求。 如需添加多个网站，在一个网站信息填写完后，单击“继续添加网站”。更多请参见多域名如何提交备案。 上传资料。 根据页面提示上传证件照片或证件彩色扫描件。 主体信息资料和网站信息资料的详细介绍，请参见准备备案材料。 前置审批文件：需要提供前置审批文件的行业，请参见前置审批。 党建证明：新疆维吾尔自治区要求备案时需要提交党建证明。 新疆维吾尔自治区，无论备案主体是否是党员、无论个人备案还是企业备案，新增备案或新增网站时，都需要到当地网信办咨询办理党建证明，否则不可以申请备案。 域名实名认证截图：请参见域名实名认证的信息如何获取。 域名证书：请参见域名证书如何获取。 广东管局《互联网信息服务备案承诺书》：根据广东省通信管理局要求，自2021年6月21日起，所有提交至广东省管局的ICP备案申请（非经营性互联网信息服务备案），均需要签署《互联网信息服务备案承诺书》。详情请参见互联网信息服务备案承诺书。 其他证件：指专项审批类的资料或批文。如金融类企业的金融业务许可证、保险业务许可证，医药类企业的医药备案文件等。请根据企业经营范围判断网站是否涉及其他证件的上传，如不涉及，不需要上传。 更多关于上传资料的常见问题，请参见上传资料与真实性核验。 勾选同意协议，单击“提交初审”。 图4 勾选协议 打开华为云APP备案小程序，完成真实性核验。 网站负责人可使用华为云APP扫描“核验二维码”直接进行真实性核验或在华为云APP登录备案账号根据华为云APP页面提示，完成真实性核验。 扫描二维码，下载并安装华为云APP。 图5 下载华为云APP 网站负责人可使用华为云APP扫描“核验二维码”直接进行真实性核验。 在“真实性核验”页面，单击“去核验”。 图6 真实性核验 网站负责人使用华为云APP扫描“核验二维码”，进行真实性核验。 图7 真实性核验二维码 “核验二维码”有效时间为十分钟，二维码被扫描后或超过十分钟即失效。 若二维码失效可刷新后重新生成“核验二维码”。 网站负责人也可在华为云APP登录备案账号，根据华为云APP页面提示，完成真实性核验。 选择“控制台 > 网站备案”。 图8 登录控制台 在“正在备案中的订单”页面，单击右下角的“继续备案 ”。 在“真实性核验”页面，单击“去核验”。 请网站负责人根据华为云APP页面提示，完成人脸识别。其中： 背景必须为白色背景，面部无遮挡，请确保网站负责人本人操作。 如核验后页面提示“您的真实性核验未通过”需要点击页面下方“重新核验”按钮重新进行视频核验。 如核验后页面提示“恭喜您已通过真实性核验”点击页面下方“确认使用该核验照”后继续提交初审即可。 更多关于真实性核验的常见问题，请参见上传资料与真实性核验。 自2021年6月1日起，在江苏省进行ICP网站备案（非经营性互联网信息服务备案）的客户，需按照“江苏省ICP备案真实性核验工作新要求”进行真实性核验。 图9 真实性核验 提交接入商初审。 确保填写信息准确无误，且真实性核验通过后，勾选“我已阅读并同意《信息安全承诺书》、《协助修改备案在线服务条款》和《互联网信息服务备案承诺书》”，单击“提交初审”。 备案信息提交后，备案专员将在1-2个工作日内进行初审，并以短信及邮件形式通知审核结果。 审核期间我们会拨打您备案信息中的联系电话进行沟通，请保持电话畅通。 如涉及备案信息修改，系统将以邮件形式发送至您在备案系统注册的邮箱，邮件内容可能包含：问题点修改建议、备案申请期间注意事项，以及需要补充哪些资料等重要信息，请注意查收并按指导安排处理。 初审通过后，华为云备案审核专员会将备案申请转交至对应管局处做最终的管局审核。 备案进度查询，请参见怎么了解备案进度。 图10 提交初审 审核结果包括：通过、驳回、待完善资料。 表2 初审结果说明 审核结果 对应的订单状态 状态说明 需要执行的操作 通过 待提交管局 表示您提交的备案订单已通过初审，等待华为云备案专员提交备案资料至当地管局进行审核，如图11所示。 - 驳回 初审驳回 表示华为云备案专员已审核订单，发现提交的备案申请信息不正确（如真实性核验不通过、网站内容存在违规），不满足网站备案相关要求，如图12所示。 请单击“状态”栏的查看初审不通过的原因，并单击“继续备案”修改备案申请，然后重新提交初审。 初审驳回的常见原因与解决方法：请参见初审驳回。 待完善资料 接入商审核为待修改 表示华为云备案专员已审核订单，发现提交的备案申请缺失材料、或填写的信息不完整，不完全满足网站备案相关要求，如图13所示。 请单击“状态”栏的查看审核意见，并单击“去修改信息”进一步完善备案申请，然后重新提交接入商审核。 提交后，订单状态更新为“已修改待审核”。 图11 初审通过 图12 初审驳回 图13 待完善资料 短信核验。 2020年8月17日起，所有省份的用户在提交备案申请（“取消接入”备案类型除外）后，还需要完成工信部短信核验，备案申请才能进入管局审核。 对于新增备案，验证码将发送至备案信息中填写的主体负责人、网站负责人手机号码。请在24小时内完成两个手机号码的短信核验，避免备案申请被工信部系统自动退回。 具体短信核验操作请参见备案短信核验。 管局审核。 备案短信核验通过后，备案申请进入管局审核。审核通过后您的备案即已完成，审核结果会发送至您的短信、邮箱。 2020年8月17日起，管局备案成功后，工信部不再发送备案密码。

创建API 创建API分组。 API网关>开放API>右上方创建分组。 编辑分组 填写分组名称（自定义），带年纪确定完成创建。 创建API。 进入API分组，创建API，API提供erp数据上传的请求转发功能。 创建过程说明： 1. 基本信息。 API名称：自定义。 所属分组：默认。 网关响应：默认。 类型：公开。 安全认证：App认证。 其他根据需要填写，没有则默认。 2. 定义API请求。 域名：默认。 请求协议：根据需要选择。 请求path: IT应用发送数据的请求地址：/orders 匹配模式：绝对匹配。 Method：POST（根据请求方式选择）。 入参定义： 对于带有参数的请求需要声明入参定义，如请求path为"/configs/{ia_id}",则入参定义为： 参数名：ia_id 参数位置：path 3. 定义后端请求。 后端服务类型提供了三种方式。 后端服务类型选择HTTP/HTTPS时的配置： 协议：根据北向应用NA使用的协议填写。 请求方式：根据北向应用NA定义的请求方式填写。 vpc通道：根据需求选择。 Virtual Private Network，虚拟专用网络。在公用网络上建立专用网络，进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN可通过服务器、硬件、软件等多种方式实现。 后端服务地址：北向应用NA接受请求的ip或域名。 后端请求Path：北向应用NA接受请求的地址。 后端超时：自定义。 后端服务地址和后端请求Path很重要，这两项决定NA的请求地址。 后端服务类型选择Mock时的配置： 定义后端请求即定义API网关接受的请求将转发的位置，可通过Mock模拟后端响应。 Mock返回结果：此处定义的内容会被返回到请求端。（非必填） 返回示例： { "configs": [ { "id": "config1203", "name": "config1202", "value": "config1202", "description": "config1202", "version": "1606878222614", "state": "SUCCESS", "create_time": "2020-12-02T03:02:42Z", "update_time": "2020-12-16T08:44:33Z" } ]} 使用mock不能显示请求携带的数据，只能接收到请求后返回定义的结果。 4. 定义返回结果 成功响应示例：自定义。 失败响应示例：自定义。 5. 发布API 将创建的API发布到release环境。 API网关>API分组>选择创建的API分组>API管理>勾选创建API>点击发布。

2016年3月 序号 功能名称 功能描述 阶段 相关文档 1 虚拟私有云服务上线，专属您的虚拟网络环境 虚拟私有云（Virtual Private Cloud）是用户在华为云上申请的隔离的、私密的虚拟网络环境。用户可以自由配置VPC内的IP地址段、子网、安全组等子服务，也可以申请弹性带宽和弹性公网IP搭建业务系统。 适用场景: 通用性Web应用 高安全性服务 将公司网络扩展到云中 商用 什么是虚拟私有云

内容审核-文本 内容审核-文本有以下应用场景： 电商评论筛查 审核电商网站产品评论，智能识别有色情、灌水等违规评论，保证良好用户体验。 场景优势如下： 准确率高：基于改进的深度学习算法，检测准确率高。 响应速度快：响应速度小于0.1秒。 注册昵称审核 对网站的用户注册信息进行智能审核，过滤包含广告、反动、色情等内容的用户昵称。 场景优势如下： 准确率高：基于改进的深度学习算法，检测准确率高。 响应速度快：响应速度小于0.1秒。 媒资内容审核 自动识别媒资中可能存在的违禁品等信息，避免已发布的文章存在违规风险。 场景优势如下： 快速迭代：持续快速的迭代文本词库，及时识别新型不合规内容。 处理速度快：处理速度小于0.1秒。 弹幕审核 实时检测弹幕文本、保证网络直播间内容安全，降低业务违规风险。 场景优势如下： 海量词库：内置海量词库，支持各种匹配规则。 快速迭代：持续快速的迭代文本词库，及时识别新型不合规内容。 聊天内容实时审核 实时检测游戏等文本聊天内容中可能出现的违规信息，避免辱骂、色情、反动等文本内容，净化网络环境。 场景优势如下： 海量词库：内置海量词库，支持各种匹配规则。 响应速度快：响应速度小于0.1秒。

云商店提供哪些软件和服务 云商店销售的商品是由“华为云服务”和“合作伙伴”通过合作在华为云云商店平台发布的镜像类商品、人工服务类商品、SaaS类商品、API类商品、License类商品、硬件类商品、AI资产类商品、应用编排、数据资产、应用资产类商品等，包括但不限于： 操作系统、数据库与缓存、应用运行环境、管理与监控、开发语言环境等基础软件商品。 建站系统、电子商务、建站模板、APP定制、小程序建站等网站建设商品。 人力资源、商业智能、协同办公、销售管理、财务管理、存储与备份等企业应用商品。 数据迁移、环境配置、故障排查、咨询与培训、专线接入、代维服务等专业服务商品。 监控工具、源代码控制、问题和缺陷跟踪、日志分析、测试工具等开发者工具商品。 主机安全、应用安全、数据安全、网络安全、安全管理、安全服务等安全市场商品。 泛金融、智能制造、医疗、教育、电商、游戏、物流云、售电云、交通、政府类、智能环保等解决方案商品。 智慧城市、车联网、智能家居、模组开发等物联网商品。 视频与通信、企业服务、人工智能、生活服务等API商品。 用户可以在此找到适合自己业务的软件/服务。

创建网站扫描任务或重启任务不成功时如何处理？ 请执行以下步骤进行处理。 登录管理控制台。 在左侧导航树中，单击，选择“安全与合规 > 漏洞扫描服务”，进入漏洞扫描服务页面。 在“资产列表 > 网站”页签，进入网站列表入口，如图1所示。 图1 进入网站列表入口 在“资产列表”界面，查看目标网址是否已完成域名认证。 如果是，请联系技术支持。 如果否，请执行5～6完成域名认证。 在目标域名的“认证状态”列，单击“前往认证”。 在弹出的“认证域名”对话框中，选择域名认证方式完成域名认证。 文件认证，参照图2中的验证步骤完成域名认证。 图2 文件认证方式 一键认证，如图3所示。 图3 一键认证方式 如果您选择“一键认证”方式进行域名认证，请确保待检测站点的服务器搭建在华为云的以下区域，且该服务器是您当前登录帐号的资产： 华北-北京一 华北-北京四 华东-上海一 华东-上海二 华南-广州 华南-深圳 东北-大连 西南-贵阳一

操作步骤 在管理PC上配置网口的IP地址为192.168.0.2（可以是192.168.0.2～192.168.0.254中的任何一个），子网掩码为255.255.255.0，然后打开Web浏览器访问设备的标准界面https://192.168.0.1:8443/。 配置公网地址。 选择“网络 > 接口”，选择连接Internet的网络接口，假设为GE0/0/7。 设置“模式”为“路由”，“安全区域”选择“untrust”，“连接类型”和“IP地址”请根据实际IP地址的获取方式进行配置。 图1 静态IP配置方式 图2 DHCP配置方式 图3 PPPoE配置方式 单击“确定”，完成配置。 配置内网地址。 选择“网络 > 接口”，选择内网核心/接入交换机的网络接口，假设为GE0/0/6。 设置“模式”为“路由”，“安全区域”选择“trust”，“连接类型”和“IP地址”请根据实际IP地址的获取方式进行配置。 单击“确定”，完成配置。 （可选）配置静态路由。 在步骤2时如果采用了静态IP的方式，且没有配置默认网关，此场景下需要配置静态路由。其他场景不需要配置静态路由，如：静态IP方式（配置了默认网关）、DHCP或PPPoE的方式。 选择“网络 > 路由 > 静态路由”，单击“新建”。 设置“目的地址/掩码”为“0.0.0.0/0.0.0.0”，“出接口”为上行接口（如：GE0/0/7），“下一跳”配置为网关地址，请向租户获取该地址。 单击“确定”，完成配置。 配置出接口方式的源NAT策略（easy-ip方式），以便内网用户可以使用防火墙的公网IP地址来访问Internet。 选择“策略 > NAT策略 > NAT策略”，在“NAT策略”页签中，单击“新建”。 按照如下参数配置NAT策略，其中“源地址”请根据实际情况选择。 单击“确定”，完成配置。 （可选）配置DHCP。 如果客户需要防火墙作为DHCP服务器，为内网交换机/PC分配IP地址，这种情况下需要配置DHCP。 选择“网络 > DHCP服务器 > 服务”，单击“新建”。 请根据DHCP服务器规划（可选），配置DHCP。 单击“确定”，完成配置。 加载云服务组件包。 访问华为安全中心平台（域名为isecurity.huawei.com），选择“特征库升级 > 特征库升级”。筛选到对应的产品和版本。 下载安全云服务组件包文件。 请注意系统软件版本和组件包版本的配套关系，不配套的组件包无法加载成功。 访问标准配置页面：https://192.168.0.1:8443，选择“系统 > 系统更新”，并单击下图中的“本地升级”。 选择已下载的组件包，单击“确定”。 配置防火墙与云平台对接。 选择“系统 > 快速上云向导”，或选择“系统> 系统更新”，在“云服务组件包”的操作列表中，点击“快速上云”，进入快速上云向导界面。 单击“下一步”。点击“华为乾坤网站”，系统自动跳转到华为乾坤网站，根据提示完成配置。 当“ 快速上云向导”的设备序列号取值失败，显示为“undefined”时，请刷新Web页面，即可重新获取设备序列号。 配置call-home，单击“下一步”。 参数 说明 call-home 指定覆盖的call-home配置。接入云服务之前，当设备已存在call-home主机名称时，显示此项。 若设备只支持一个call-home配置，只能覆盖原有call-home配置，才能接入云服务。 若设备支持多个call-home配置，可选择“NONE”，继续下一步配置。 主机名称 指定call-home的主机名称，默认为SecoManager。 IP地址/域名 call-home的IP地址/域名默认为mgt.seccloud.huawei.com，该参数不建议修改。 端口 指定call-home的端口号，默认端口号为10020，取值范围为1~65535。 配置DNS服务器地址，单击“下一步”。 配置日志发送，单击“下一步”。 参数 说明 云服务pcap使能 启用此选项，开启攻击取证外发功能。 云服务流量报表使能 启用此选项，开启流量报表外发功能。 云服务主机IP地址域名 云服务主机IP地址/域名默认为rd.seccloud.huawei.com，该参数不可修改。 云服务CA证书 选择防火墙验证云服务合法性的CA证书。 只支持配置一个云服务CA证书，新的配置会覆盖历史配置。 如需替换证书，请先联系云服务管理员替换云服务主机证书，再由FW管理员替换对应的证书，需要先上传证书并执行pki import-certificate命令导入证书，然后再执行cloud-service ca-certificate命令替换证书。 配置api管理员，单击“下一步”。 api管理员默认为huawei，且不支持修改。 （可选）配置云端授权模式，单击“下一步”。 授权模式是针对升级服务项的两种升级方式，包括本地授权模式和云端授权模式。 默认不启用云端授权模式，即本地授权模式。 开启云端授权模式后，升级服务项受云端控制，不支持本地升级，此时不需要在FW中加载升级服务项的License文件。 升级服务项包含入侵防御、反病毒、URL远程查询、云沙箱检测、智能检测引擎库。 除升级服务项的其他功能服务项和资源服务项受本地License控制，和授权模式无关。 License管理中，相关升级服务项的License试用选项不可用，License资源对应的状态为“云端授权”。 升级中心相关特征库升级服务项的“升级服务有效期”状态为“云端授权”，操作列表中的“本地升级”不可用。 核对配置信息。 对接入云服务的配置信息进行核对。表示启用该功能，表示未启用该功能。 单击“检测连通性”，可对网络连通性进行检测，网络连通正常，则可成功接入云服务。若网络异常，通过display api call-home connection status可查看异常信息。 单击“应用”，将配置信息写入设备配置文件。常用于已知网络连通正常。 进行连通性检测时，需要下发接入云服务的配置信息。当网络检测正常时，已经接入云服务，可不再单击“应用”重复下发配置信息。 FW接入云服务后，云服务主动将黑名单服务器信息下发到FW，FW即可获取黑名单实现FW侧的自动防护。 配置业务参数（边界防护与响应服务）。 确认安全策略已成功下发。 设备上线后，云端会部署套餐，需要2分钟左右，部署成功后安全策略会自动下发。 安全策略下发后，如图4所示。共有5条安全策略，其中default安全策略建议改回禁止，默认安全需要。 如果设备上只有“default”和“rule_iss_dns”安全策略，或只有“default”安全策略时，由云端自动下发安全策略。 如果设备上存在其他安全策略时，云端不会自动下发安全策略，此时请参考如何配置边界防护与响应服务需要的安全策略（USG6000E-C天关、USG6000E防火墙）自行完成配置。 图4 安全策略 选择“系统 > 升级中心”，检查 “入侵防御特征库”和“反病毒特征库”是否在线升级成功，升级需要10分钟左右，请耐心等待。如果不成功，请单击“立即升级”。 选择“系统 > 配置 > 时钟配置”，检查设备系统时间是否与当前时间一致，如果不一致，请调整设备系统时间，以保证云端能够精确掌握威胁事件的发生时间。 单击右上角“保存”，在系统显示界面单击“确定”，保存配置以避免设备重启后配置丢失。 配置业务参数（漏洞扫描服务）。 选择“策略 > 安全策略 > 安全策略”，单击“新建安全策略”，根据不同服务配置不同的安全策略。 表1 安全策略 服务 安全策略名称 源安全区域 目的安全区域 源地址 目的地址 服务 动作 漏洞扫描服务 untrust-local untrust local any any udp：云端与防火墙之间建立VPN隧道。 tcp：对资产进行漏洞扫描。 允许 local-untrust local untrust any any any 允许 local-trust local trust any any tcp：对资产进行漏洞扫描。 允许 trust-local trust local any any tcp：对资产进行漏洞扫描。 允许 单击右上角“保存”，在系统显示界面单击“确定”，保存配置以避免设备重启后配置丢失。 配置业务参数（云日志审计服务）。 选择“策略 > 安全策略 > 安全策略”，单击“新建安全策略”，根据不同服务配置不同的安全策略。 表2 安全策略 服务类型 安全策略名称 源安全区域 目的安全区域 源地址 目的地址 服务 动作 云日志审计服务 trust-local trust local any any udp：资产上传日志到防火墙。 允许 local-untrust local untrust any any any 允许 单击右上角“保存”，在系统显示界面单击“确定”，保存配置以避免设备重启后配置丢失。

应用场景 移动应用安全 移动应用安全服务主要用于以下场景。 企业自检或通报后自查 适用于各类APP发版自检，及通报整改后自查，服务提供详细精确的报告协助企业快速定位修复问题，达到监管合规要求。 审核机构APP合规审查 紧贴各类监管规范，提供高效的自动化检测服务，能快速识别存在违规行为的APP。 代码检查 代码检查服务主要用于以下场景。了解更多。 Web应用安全检查 应用：Java、JS等Web开发语言的规则集进行代码检视。 场景特点：Web服务面向Internet互联网，容易遭受DDos攻击、信息泄露等风险。 适用场景：互联网服务交付安全等级验收。 项目质量控制 应用：在交付过程中实时根据代码复杂度、重复率、质量得分控制风险。 场景特点：项目经理的共识“从前端保证质量，把质量做在日常交付”，但经常没有有效的工具平台，目前大部分的质量工作还是依赖后端测试。 适用场景：项目经理迭代交付质量控制。 漏洞扫描 漏洞扫描服务应用场景主要包括以下方面。了解更多。 Web漏洞扫描应用场景 主机漏洞扫描应用场景 弱密码扫描应用场景 中间件扫描应用场景 内容合规检测应用场景 二进制成分分析应用场景 移动应用安全

立即购买 登录管理控制台。 在页面上方选择“区域”后，单击，选择“安全与合规 > 管理检测与响应服务”。 在“密评建设助手”下方，单击“立即购买”，进入“购买MDR服务”界面。 图1 选择密评建设助手 选择服务类型“标准版”，并设置数量，如图2所示。 图2 购买密评建设助手 设置用户相关信息，如图3所示，各参数说明如表1所示。 图3 设置用户信息 表1 用户信息参数说明 参数 说明 配置样例 公司名称 输入公司的名称。 - 机构所在省市 选择公司所在的省市。 北京市 行业属性 选择行业的类型。 银行 系统类型 选择系统类型。 公有云租户系统 HCSO/HCS/私有云平台 HCSO/HCS/私有云租户系统 线下IDC系统 公有云租户系统 待测评系统等级 选择待测评系统等级。 二级 三级 二级 联系人姓名 输入真实的联系人姓名。 - 联系人电话 输入真实的联系人的联系电话。 - 被测评信息系统名称 输入被测评信息系统名称。 - 系统部署的服务器台数 输入系统部署的服务器台数。 - 联系人邮箱 输入真实的联系人的邮箱。 - 在页面右下方，单击“下一步”。 确认订单无误并阅读《管理检测与响应免责声明》和《隐私政策声明》后，勾选“我已阅读并同意《管理检测与响应免责声明》和《隐私政策声明》”，单击“去支付”。 在“支付”页面，请选择付款方式进行付款。 付款成功后，单击“返回管理检测与响应控制台”，返回到“我的服务单”界面。 购买成功后，管理检测与响应将在1个工作日内联系您，与您沟通确定等保需求。 等保安全仅支持下载整改解决方案和差距分析报告，测评报告将由测评机构直接邮寄给您。

VPN配置过程 登录设备WEB管理界面，在导航栏中选择“VPN ＞ IPSec VPN”。 配置P1提议：输入提议名称，选择认证方式为Pre-share，认证算法、加密算法和DH组等参数，详细参数参见华为云配置信息说明。 配置P2提议：输入提议名称，协议选择、认证算法、加密算法和PFS等参数，详细参数参见华为云配置信息说明，不启用压缩和生存大小。 配置VPN 对端列表： 基本配置：输入名称，选择公网接口ethnet0/1，选择协议标准（只支持V1版本）和认证模式，类型选择静态IP，对端IP地址键入华为云VPN网关IP地址11.11.11.11，本地ID选则IPv4 22.22.22.22，调用已配置好的P1提议并输入与华为云侧相同的预共享密钥。 高级配置：建议配置如下，连接类型选择双向，启用NAT穿越，开启对端存活检测，DPD间隔与重试时间默认即可，不启用XAUTH服务器。 配置IKE VPN列表 基本配置： 对端：调用对端列表已有配置； 隧道：输入名称，模式选择tunnel，调用P2提议，代理ID选择手工，即配置感兴趣流，使用IP+掩码的格式进行配置配置的条目数等于本端子网与远端子网数量的乘积。 高级配置：选择默认配置即可，可以开启VPN隧道检测，源地址为本地私网IP和目标地址为华为云私网的IP（推荐选择真实可用地址）。 接口配置： 在导航栏安全域下新建一个VPN的安全域，进行命名为VPN，类型选择三层安全域。 在导航栏接口下新建一隧道接口，完成名称编号，所属安全域（划入新建的VPN安全域）；IP配置选择静态IP，不填写IP信息；隧道类型为IPsec VPN，隧道绑定配置选择已创建的IKE VPN列表名称。 安全策略，新建以下安全策略，并将该策略置顶。 新建源区域为trust，目标区域为VPN区域，服务为any，动作为允许。 新建源区域为VPN区域，目标区域为trust，服务为any，动作为允许。 配置路由 目标网段为华为云私网（192.168.10.0/24，192.168.20.0/24），下一跳选择为接口，接口选择为VPN使用的tunnel口。 安全策略中需要添加本地公网IP与华为云网关IP的互访规则，协议为UDP的500、4500和IP协议ESP与AH，确保协商流和加密流数据正常传输。 代理ID（待加密数据流的网段）请填写真实IP和掩码，请勿调用地址对象。 若客户侧网络存在多出口时，请确保客户侧访问华为云VPN网关IP及私网网段从建立连接的公网出口流出，推荐使用静态路由配置选择出口网络。

Web应用防火墙支持哪些Web服务框架/协议？ Web应用防火墙部署在云端，与Web服务框架没有关系。 WAF通过对HTTP/HTTPS请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。 WAF支持防护的协议类型说明如下： WebSocket/WebSockets协议，且默认为开启状态 “对外协议”选择“HTTP”时，默认支持WebSocket “对外协议”选择“HTTPS”时，默认支持WebSockets HTTP/HTTPS协议 目前WAF以下区域支持HTTP/2（HTTP 2.0版本）： 华北-北京一 华北-北京四 华东-上海一 华东-上海二 华南-广州 华南-深圳

操作步骤 登录管理控制台。 在左侧导航树中，单击，选择“安全与合规 > 漏洞扫描服务”，进入漏洞扫描服务页面。 在“资产列表 > 网站”页签，单击对应的网站信息“去认证”。 进入域名认证入口，如图1所示。 图1 进入域名认证入口 在弹出的“认证域名”对话框中，选择域名认证方式完成域名认证。 文件认证，参照图2中的验证步骤完成域名认证。 使用文件认证方式时，每次启动扫描任务（包括定时监测任务）都会验证认证文件，只要认证文件上传成功，将长期有效，无需重复上传。 图2 文件认证方式 一键认证，如图3所示。 图3 一键认证方式 如果您选择“一键认证”方式进行域名认证，请确保待检测站点的服务器搭建在华为云的以下区域，且该服务器是您当前登录帐号的资产： 华北-北京一 华北-北京四 华东-上海一 华东-上海二 华南-广州 华南-深圳 东北-大连 西南-贵阳一 阅读《华为云漏洞扫描服务声明》后，勾选“我已阅读并同意《华为云漏洞扫描服务声明》”，单击“完成认证”，进行域名认证。 执行完成后，该域名的状态为“已认证”。

名词解释 基本概念、云服务简介、专有名词解释 弹性云服务器ECS：是一种可随时自助获取、可弹性伸缩的云服务器，可帮助您打造可靠、安全、灵活、高效的应用环境，确保服务持久稳定运行，提升运维效率。 弹性公网EIP：提供独立的公网IP资源，包括公网IP地址与公网出口带宽服务。可以与弹性云服务器、裸金属服务器、虚拟VIP、弹性负载均衡、NAT网关等资源灵活地绑定及解绑。 虚拟VIP：虚拟IP（Virtual IP Address，简称VIP）是一个未分配给真实弹性云服务器网卡的IP地址。弹性云服务器除了拥有私有IP地址外，还可以拥有虚拟IP地址，用户可以通过其中任意一个IP（私有IP/虚拟IP）访问此弹性云服务器。同时，虚拟IP地址拥有私有IP地址同样的网络接入能力，包括VPC内二三层通信、VPC之间对等连接访问，以及弹性公网IP、VPN、云专线等网络接入。 LVS ：是 Linux Virtual Server 的简称，是一款开源 Linux 虚拟服务器软件。Linux 虚拟服务器是一个高度可扩展和高度可用的服务器，构建在真实服务器集群上，负载平衡器在 Linux 操作系统上运行。服务器集群的架构对最终用户是完全透明的，用户之间的交互就像一个高性能的虚拟服务器一样。Linux 虚拟服务器作为一种高级负载平衡解决方案，可用于构建高度可扩展且高度可用的网络服务，例如可扩展的 Web、缓存、邮件、ftp、媒体和 VoIP 服务。 Keepalived：是一个检测服务器的状态的开源软件，如果有一台web服务器宕机，或工作出现故障，Keepalived将检测到，并将有故障的服务器从系统中剔除，同时使用其他服务器代替该服务器的工作，当服务器工作正常后Keepalived自动将服务器加入到服务器群中，这些工作全部自动完成，不需要人工干涉，需要人工做的只是修复故障的服务器。

操作步骤 在PC端登录华为云备案系统。 使用华为云帐号登录华为云备案系统。 图1 登录备案系统 选择“地域”，系统弹窗提示下载并使用华为云APP备案。 为了缩短备案时间，提高备案效率，华为云推出APP备案方式，让您在手机端即可完成ICP备案。华为云APP备案支持证件智能识别和人脸识别功能，电子化的核验方式让流程更简单，备案更便捷。 如需切换使用APP备案，请扫描下方二维码，下载华为云APP执行后续操作。 如需继续使用PC备案，请单击右上角的。 图2 推荐您使用华为云APP备案 填写ICP备案申请。 在“我的备案 > 我已成功备案的网站”中，单击“继续接入备案”。 图3 继续接入备案 查看主体备案信息，确认无误后，单击“下一步”。 图4 查看主体备案信息 产品验证。 域名：填写待备案的新增域名。 云服务类型：选择用于备案的服务器。可用于备案的服务器，请参见准备可备案服务器。 图5 验证产品信息 网站信息。 网站名称：个人网站、企业网站名称的具体要求，请参见网站名称要求。 网站IP：备案服务器的公网IP地址。 您可以登录华为云控制台，查询备案资源的公网IP地址。如果是使用备案授权码备案，需填写生成备案授权码的弹性云服务器公网IP地址。 如果只有一个IP地址，请参见单个IP怎么填写IP地址段起始。 网站服务内容：网站内容必须与主办单位性质相符。 服务类型：各服务类型参数说明如表1所示。 表1 服务类型参数说明 参数 说明 网站应用服务 通常指官网类或电商网站选择网站应用服务等。 邮件应用服务 通常指电子邮件服务，搭建邮箱等。 文件应用服务 通常指存文件数据，支持多种上传文件格式，如服务器内存储图片、代码、音乐，一般用作调用接口使用等。 数据应用服务 通常指存储某种格式编程代码文件数据，一般用作调用接口使用等。 APP应用服务 通常指手机、平台电脑上的APP等。 微信号应用服务 通常指微信订阅号、公众号、服务号等。 网站语言：指网站内容使用的主要语言。请根据实际情况进行选择，不建议多选。 示例：网站内容的主要语言为中文，部分插件为英文，此时“网站语言”选择“中文”。 前置审批内容：网站若包含“前置或专项审批内容类型”中的项目，请上传相关许可证件或咨询备案所在省主管部门。若不包含相关类型内容，前置审批项不填。 备注：请填写备案审核通过后，网站实际开办的内容。 网站负责人信息：指备案系统网站信息中的负责人，也是网站的主要负责人，单位备案必须为单位内员工，可填法定代表人或单位内其他网站建设管理者；个人备案必须为备案主体本人。 如果网站负责人和主体负责人是同一个人，请勾选“复用**信息”。反之，请勾选“填写新负责人”，并填写网站负责人信息，此时网站负责人和主体负责人的电话、邮箱不能相同。详情请参见备案联系方式填写要求。 如需添加多个网站，在一个网站信息填写完后，单击“继续添加网站”。更多请参见多域名如何提交备案。 上传资料。 根据页面提示上传证件照片或证件彩色扫描件。 主体信息资料和网站信息资料的详细介绍，请参见准备备案材料。 前置审批文件：需要提供前置审批文件的行业，请参见前置审批。 党建证明：新疆维吾尔自治区要求备案时需要提交党建证明。 新疆维吾尔自治区，无论备案主体是否是党员、无论个人备案还是企业备案，新增备案或新增网站时，都需要到当地网信办咨询办理党建证明，否则不可以申请备案。 域名实名认证截图：请参见域名实名认证的信息如何获取。 域名证书：请参见域名证书如何获取。 广东管局《互联网信息服务备案承诺书》：根据广东省通信管理局要求，自2021年6月21日起，所有提交至广东省管局的ICP备案申请（非经营性互联网信息服务备案），均需要签署《互联网信息服务备案承诺书》。详情请参见互联网信息服务备案承诺书。 其他证件：指专项审批类的资料或批文。如金融类企业的金融业务许可证、保险业务许可证，医药类企业的医药备案文件等。请根据企业经营范围判断网站是否涉及其他证件的上传，如不涉及，不需要上传。 更多关于上传资料的常见问题，请参见上传资料与真实性核验。 勾选同意协议，单击“提交初审”。 图6 勾选协议 打开华为云APP备案小程序，完成真实性核验。 网站负责人可使用华为云APP扫描“核验二维码”直接进行真实性核验或在华为云APP登录备案账号根据华为云APP页面提示，完成真实性核验。 扫描二维码，下载并安装华为云APP。 图7 下载华为云APP 网站负责人可使用华为云APP扫描“核验二维码”直接进行真实性核验。 在“真实性核验”页面，单击“去核验”。 图8 真实性核验 网站负责人使用华为云APP扫描“核验二维码”，进行真实性核验。 图9 真实性核验二维码 “核验二维码”有效时间为十分钟，二维码被扫描后或超过十分钟即失效。 若二维码失效可刷新后重新生成“核验二维码”。 网站负责人也可在华为云APP登录备案账号，根据华为云APP页面提示，完成真实性核验。 选择“控制台 > 网站备案”。 图10 登录控制台 在“正在备案中的订单”页面，单击右下角的“继续备案 ”。 在“真实性核验”页面，单击“去核验”。 请网站负责人根据华为云APP页面提示，完成人脸识别。其中： 背景必须为白色背景，面部无遮挡，请确保网站负责人本人操作。 如核验后页面提示“您的真实性核验未通过”需要点击页面下方“重新核验”按钮重新进行视频核验。 如核验后页面提示“恭喜您已通过真实性核验”点击页面下方“确认使用该核验照”后继续提交初审即可。 更多关于真实性核验的常见问题，请参见上传资料与真实性核验。 自2021年6月1日起，在江苏省进行ICP网站备案（非经营性互联网信息服务备案）的客户，需按照“江苏省ICP备案真实性核验工作新要求”进行真实性核验。 图11 真实性核验 提交接入商初审。 确保填写信息准确无误，且真实性核验通过后，勾选“我已阅读并同意《信息安全承诺书》、《协助修改备案在线服务条款》和《互联网信息服务备案承诺书》”，单击“提交初审”。 备案信息提交后，备案专员将在1-2个工作日内进行初审，并以短信及邮件形式通知审核结果。 审核期间我们会拨打您备案信息中的联系电话进行沟通，请保持电话畅通。 如涉及备案信息修改，系统将以邮件形式发送至您在备案系统注册的邮箱，邮件内容可能包含：问题点修改建议、备案申请期间注意事项，以及需要补充哪些资料等重要信息，请注意查收并按指导安排处理。 初审通过后，华为云备案审核专员会将备案申请转交至对应管局处做最终的管局审核。 备案进度查询，请参见怎么了解备案进度。 图12 提交初审 审核结果包括：通过、驳回、待完善资料。 表2 初审结果说明 审核结果 对应的订单状态 状态说明 需要执行的操作 通过 待提交管局 表示您提交的备案订单已通过初审，等待华为云备案专员提交备案资料至当地管局进行审核，如图13所示。 - 驳回 初审驳回 表示华为云备案专员已审核订单，发现提交的备案申请信息不正确（如真实性核验不通过、网站内容存在违规），不满足网站备案相关要求，如图14所示。 请单击“状态”栏的查看初审不通过的原因，并单击“继续备案”修改备案申请，然后重新提交初审。 初审驳回的常见原因与解决方法：请参见初审驳回。 待完善资料 接入商审核为待修改 表示华为云备案专员已审核订单，发现提交的备案申请缺失材料、或填写的信息不完整，不完全满足网站备案相关要求，如图15所示。 请单击“状态”栏的查看审核意见，并单击“去修改信息”进一步完善备案申请，然后重新提交接入商审核。 提交后，订单状态更新为“已修改待审核”。 图13 初审通过 图14 初审驳回 图15 待完善资料 短信核验。 2020年8月17日起，所有省份的用户在提交备案申请（“取消接入”备案类型除外）后，还需要完成工信部短信核验，备案申请才能进入管局审核。 对于新增备案，验证码将发送至备案信息中填写的主体负责人、网站负责人手机号码。请在24小时内完成两个手机号码的短信核验，避免备案申请被工信部系统自动退回。 具体短信核验操作请参见备案短信核验。 管局审核。 备案短信核验通过后，备案申请进入管局审核。审核通过后您的备案即已完成，审核结果会发送至您的短信、邮箱。 2020年8月17日起，管局备案成功后，工信部不再发送备案密码。