华为云用户手册

授权对象 LakeFormation中管理的元数据对象，包含Catalog、数据库、数据表等数据资源，如某一数据库、某些数据表的列等。允许授权的资源类型包括“CATA LOG ”、“DATABASE”、“TABLE”、“COLUMN”、“FUNC”等。 数据目录（CATALOG）：LakeFormation管理的数据目录，可以包含多个数据库。 数据库（DATABASE）：LakeFormation管理的数据库，可以包含多个数据表或函数。 数据表（TABLE）：LakeFormation管理的数据表，可以包含多个列。 列（COLUMN）：LakeFormation管理的列。 函数（FUNC）：LakeFormation管理的函数。

约束与限制 建议使用推荐的浏览器登录LakeFormation管理界面： Chrome：94.0及更高版本。 Edge：随Windows操作系统更新。 IAM 用户组被删除后，LakeFormation云服务数据权限中的相关权限策略，需要用户手动清理删除。 建库时路径不能为所在Catalog父路径或相同路径，不能为同一Catalog下其他数据库（除default外）路径的父路径、子路径或相同路径。 创建数据库的存储位置必须在所属Catalog的存储位置之下。 用户自定义创建的Catalog对象及其子元数据对象，暂不支持授权和细粒度权限控制。 LakeFormation数据权限单次授权，授权主体不能超过20个，元数据对象不能超过10个。 LakeFormation中，总分区数量不超过1,000,000,000。 LakeFormation不支持跨Region的元数据和权限统一管理。 LakeFormation不支持跨实例的元数据和权限统一管理。 一个数据表中，每个分区所对应的Partition Value组合必须在全表唯一。 由Partition Keys和Partition Values组合构成的Partition Name，总长度不能超过1000字符。 元数据的参数描述中，1个中文字符对应3个字节。 LakeFormation依赖OBS服务，OBS需要基于大数据存算分离场景进行分离部署；LakeFormation元数据的存储位置对应OBS路径，与存算分离架构的 MRS 等大数据集群对接。OBS桶需要支持AccessLabel特性。 LakeFormation中，不同实例的同名角色在授权时对应的OBS AccessLabel相同，不建议在同一个区域中的不同实例创建同名角色。

与其他服务的关系 LakeFormation服务与其他服务的关系如下表所示。 表1 LakeFormation服务与其他服务的关系 服务名称 LakeFormation服务与其他服务的关系 统一身份认证 （Identity and Access Management，IAM） 通过IAM完成对IAM用户或委托的身份认证以及部分访问控制。 云审计 服务（Cloud Trace Service， CTS ） 云审计服务记录LakeFormation服务相关的操作事件，方便用户日后的查询、审计和回溯。 对象存储服务 （Object Storage Service，OBS） LakeFormation服务的元数据所映射的实际业务数据，存储在OBS桶的目录和文件中。 MapReduce服务 （MapReduce Service，MRS） LakeFormation与MRS集群中的Ranger、Hive、Spark对接，实现湖、仓元数据统一管理。 数据仓库 服务 GaussDB （DWS） LakeFormation与DWS对接，实现湖、仓元数据统一管理。

产品功能 表1列出了 湖仓构建 LakeFormation提供的常用功能特性。 在使用LakeFormation之前，建议您先了解湖仓构建服务LakeFormation的基本概念，以便更好地理解LakeFormation提供的各项功能。 表1 湖仓构建服务LakeFormation功能概览 功能名称 功能描述 实例类型 LakeFormation提供了不同实例类别，满足不同场景下客户对性能和成本的不同诉求。具体介绍请参考共享型与独享型LakeFormation对比。 实例管理 LakeFormation提供实例的创建、删除等基本功能，帮助您便捷地进行实例管理，加速实现 数据湖 承载的业务的规划和部署。 元数据管理 LakeFormation提供Catalog、数据库、数据表等的创建、修改、查看、删除等功能，并支持配置元数据生命周期。帮助您便捷地进行数据湖初始化构建以及持续运营，集中式的统一管理LakeFormation实例下所有的元数据，加速实现数据湖承载的业务的规划和部署。 数据权限管理 LakeFormation提供针对Catalog、数据库、数据表等数据资源的授权、取消、查看等功能。帮助您对数据湖实现便捷的统一的数据权限管理。 任务管理 LakeFormation支持将外部服务的元数据及其权限迁移至当前LakeFormation实例中，对元数据及权限进行统一管理。 接入管理 LakeFormation提供统一的接入管理能力，用户可以通过创建接入客户端的方式为指定的客户端环境建立网络连接通道，同时可以在客户端详情中查看接入IP、接入 域名 等信息，用于其他云服务接入LakeFormation实例。

LakeFormation架构 LakeFormation服务架构图如图1所示。 图1 LakeFormation服务架构 LakeFormation功能包括元数据管理、数据权限管理、控制台、API。 元数据基于Hive元数据模型，支持Catalog、数据库、表、函数等元数据对象。 数据权限管理提供权限策略的配置和对应的权限访问控制。 授权主体支持IAM用户和用户组以及LakeFormation角色。 授权对象支持Catalog、数据库、表及列、函数等元数据对象，也支持OBS路径。 授权操作包含元数据对象的相关操作，以及OBS路径的读写操作。 Console支持实例管理、元数据管理、数据权限管理、接入管理、任务管理等操作。 API层提供兼容Hive社区的元数据接口，以及兼容Ranger社区的权限同步接口，以便与MRS、DWS等服务集成对接。

产品优势 生态开放 遵循开源事实标准，支撑存量业务平滑演进。 提供兼容Hive/Spark/Flink/Trino社区的元数据接口，支持计算引擎平滑对接。 提供兼容Ranger的权限接口，一次授权，统一生效。 提供迁移工具，支持存量MRS集群相关元数据的平滑迁移。 数智融合 打通大数据的数据壁垒，实现真正数智融合。 支持数据库、表、函数、模型、非结构化数据集等统一管理。 实现统一的细粒度数据权限管理，支持跨服务/跨集群的数据共享。 大规格高可靠 支撑超大规模大数据业务的高可靠。 超大规模元数据管理能力。 统一权限管理能力，支持海量细粒度权限管理。 支持多AZ的容灾能力。 简单易用 提供基于元数据的增值管理能力。 Serverless架构，开箱即用。 提供数据湖管理、元数据统计等管理能力。

隐式LakeFormation权限 尽管没有在LakeFormation中进行显式的授权，但是LakeFormation管理员、数据库创建者、表创建者拥有隐式LakeFormation权限。 LakeFormation管理员： LakeFormation管理员指的是拥有LakeFormation FullAccess权限的用户。 对于其账号下的所有元数据具有读写权限。 可以向任何用户、用户组、角色授予或撤销任何元数据的访问权限。 数据库创建者：拥有其创建的数据库的所有数据库权限，拥有其在数据库中创建表的权限，并且可以向同一IAM账号中的其他用户授予在数据库中创建表的权限。数据库创建者对其他人在数据库中创建的表不具有隐式权限。 表创建者： 具有其创建的表的所有权限。 可以向同一IAM账号中的主体授予对其创建的所有表的权限。 可以查看包含自己创建的表的数据库。

LakeFormation权限 用户可以在管理控制台的LakeFormation实例界面，针对该实例下的所有Catalog、数据库、数据表等数据资源，授予用户组等主体细粒度的数据访问权限。 经过以上授权操作，形成一条或多条权限策略，权限策略包含授权主体、授权对象、权限等。 表1介绍了不同元数据类型的LakeFormation权限： 表1 不同授权类型的操作权限 授权类型 操作类型 权限说明 Catalog ALL Catalog的所有操作权限。 ALTER 修改Catalog。 CREATE_DATABASE 创建数据库。 DROP 删除Catalog。 DESCRIBE 查看Catalog的元数据信息或切换Catalog。 LIST_DATABASE 查看Catalog下资源列表。 数据库 ALL 数据库的所有操作权限。 ALTER 修改数据库。 DROP 删除数据库。 DESCRIBE 查看数据库的元数据信息或切换数据库。 LIST_TABLE 查看数据库下资源列表。 LIST_FUNC 查看某一数据库下的函数。 CREATE_TABLE 在数据库中创建表。 CREATE_FUNC 在数据库中创建函数。 表 ALL 表的所有操作权限。 ALTER 修改表。 DROP 删除表。 DESCRIBE 查看表的元数据信息。 UPDATE 更新表数据。 INSERT 插入表数据。 SELECT 查询表内数据。 DELETE 删除表的数据。 列 SELECT 查询表内的列数据。 函数 ALL 函数的所有操作权限。 ALTER 修改函数。 DROP 删除函数。 DESCRIBE 查看函数的元数据信息。 EXEC 执行函数。 路径 READ 路径下文件的读权限。 WRITE 路径下文件的写权限。

共享型与独享型LakeFormation对比 LakeFormation提供了不同实例类别，满足不同场景下用户对性能和成本的不同诉求。 独享型特性当前仅针对白名单用户开放。 计费对比 共享型与独享型实例的计费项及计费说明详细介绍请参考计费说明章节中表1。 性能对比 表1 性能对比 类型 共享型实例 独享型实例 部署模式 物理资源共享，实例间逻辑隔离。 物理资源独占，实例的性能不受其他实例的影响。 每秒请求数（QPS） 保证2000每秒请求数。 按照用户创建实例时的选择不同。 功能对比 表2 功能对比 类型 描述 共享型实例 独享型实例 Catalog管理 LakeFormation提供数据湖中Catalog的元数据创建、修改、删除、查看等功能。 √ √ 数据库管理 LakeFormation提供数据湖中数据库的元数据创建、修改、删除、查看等功能。 √ √ 表管理 LakeFormation提供数据湖中数据表的元数据创建、修改、删除、查看等功能。 √ √ 函数管理 LakeFormation提供数据湖中函数的元数据创建、修改、删除、查看等功能。 √ √ 元数据生命周期管理 LakeFormation支持配置数据的删除策略，节省空间及成本，提升系统的灵活性。 √ √ 元数据权限管理 提供针对元数据的授权、取消、查看等功能。 √ √ 元数据迁移管理 支持将外部服务的元数据全量或增量迁移至当前LakeFormation实例中，对元数据进行统一管理。 √ √ 权限迁移管理 支持将外部服务的元数据权限全量或增量迁移至当前LakeFormation实例中，对元数据的权限进行统一管理。 √ √ 接入客户端管理 提供统一的接入管理能力，用户可以通过创建接入客户端的方式为指定的客户端环境建立网络连接通道，用于其他云服务接入LakeFormation实例。 √ √

刷新应用状态 当应用状态处在应用运行中、应用部署中、应用部署异常、应用卸载异常、应用运行异常时，您可执行刷新操作更新应用状态。 登录iDME控制台。 在左侧导航栏中，单击“数据建模引擎”，进入数据建模引擎页面。 （可选）如果同时有部署在公有云上和边缘云上的运行服务，请根据实际切换。 根据实际需求，刷新单个或刷新所有应用状态。 单个刷新：找到待刷新应用状态的运行服务，并根据运行服务的服务类型，执行相应的操作刷新目标应用状态。 如果待操作的是体验版或基础版数据建模引擎，在其后单击更多图标，在弹出的下拉菜单中单击“刷新”； 如果待操作的是基础版-Lite数据建模引擎，通过服务名称进入详情页后，在已部署应用中找到待操作的应用，在其后单击“更多”，在弹出的下拉菜单中单击“刷新”。 批量刷新：单击，即可刷新所有应用状态。

搜索服务 默认情况下，iDME控制台展示的是当前区域下全部服务。为了帮助用户快速搜索出当前区域下的服务，iDME提供搜索功能，目前可通过名称、部署应用、环境标识、数据库引擎、企业项目、组织名称等属性维度进行过滤。 登录iDME控制台。 在左侧导航栏中，单击“数据建模引擎”，进入数据建模引擎页面。 （可选）如果同时有部署在公有云上和边缘云上的运行服务，请根据实际切换。 在搜索框中，根据实际需求，选择属性类型，设置需要搜索的内容，按回车键。

导出服务 在iDME控制台中，您可以导出全部或导出部分的服务数据。 登录iDME控制台。 在左侧导航栏中，单击“数据建模引擎”，进入数据建模引擎页面。 （可选）如果同时有部署在公有云上和边缘云上的运行服务，请根据实际切换。 根据实际需求，导出全部或导出部分服务数据。 图1 导出运行服务数据 导出全部服务：不设置筛选条件，直接单击。 导出部分服务：勾选想要导出的服务或在搜索框中设置搜索条件筛选出满足条件的数据后，单击。 关于设置服务筛选条件的详细操作请参见搜索服务。

操作步骤 登录iDME控制台。 在左侧导航栏中，单击“数字主线引擎”，进入数字主线引擎页面。 （可选）如果同时有在“公有云”上和“边缘云”上的服务，请切换到公有云。 找到待变更的服务，在其后单击“变更”，进入服务变更页。 您也可通过服务名称链接进入详情页后，在页面右上角单击“变更”，进入服务变更页。 确认待变更资源信息后，变更各服务能力MCU规格并进行资源变更前后规格确认。 确认待变更资源信息：在“待变更资源详情”处确认待变更的资源名称、环境ID、规格等是否正确。 变更各服务能力的MCU规格：在“MCU规格变更”处配置模型管理、服务管理、数据管理等服务能力的MCU新规格。 确认服务变更前后规格：在“配置确认”处确认资源变更前后的规格是否正确。 确认变更资源新配置后，单击“去支付”，进入支付页面。 确认变更订单信息，选择支付方式，确认付款，支付订单后即可完成续费。

管理服务标签 标签是云资源的标识，可以帮助您从不同维度对具有相同特征的云资源进行标记和归类，方便资源的统一管理。 本节指导您如何使用标签管理功能对数字主线引擎标签分类，系统最多支持添加20个标签。 登录iDME控制台。 在左侧导航栏中，单击“数字主线引擎”，进入数字主线引擎页面。 （可选）如果同时有在公有云上和边缘云上的运行服务，请根据实际切换。 找到待操作的服务，单击其名称进入详情页。 在边缘云场景下，数字主线引擎不提供服务详情页，可在服务列表中，将鼠标移到服务的标签信息处，单击悬浮提示框中的“编辑标签”，再参考相关操作指导进行标签管理。对于公有云场景下的数字主线引擎，也可参考此种方式进行标签管理。 单击“标签”，进入标签页签。 在此页面，您可进行标签管理。 表1 管理标签 操作 说明 添加标签 单击“添加/编辑标签”。 在弹出的窗口中，单击“添加标签”，输入标签键（必填）和标签值（选填）。 如需添加多个标签，可多次单击“添加标签”。 说明： 标签键：可包含任意语种字母、数字、空格和_ . : = + - @，但首尾不能包含空格，不能以_sys_开头，长度不能超过128个字符。 标签值：可包含任意语种字母、数字、空格和_ . : = + - @，长度不能超过255个字符。 单击“确定”。 编辑标签 单击“添加/编辑标签”。 在弹出的窗口中，修改已有标签的标签键（必填）和标签值（选填），单击“确定”。 删除标签 方式一： 单击“添加/编辑标签”。 在弹出的窗口中，找到需要删除的标签，单击“删除”。 单击“确定”。 方式二： 在标签列表中找到需要删除的标签，单击“删除”。 在弹出的窗口中，根据提示输入指令，单击“确定”。

购买基础版-Lite数字主线引擎 进入工业数字模型驱动引擎场景引导。 选择单击“数字主线引擎”使用场景中的“立即购买”，进入数字主线引擎购买页。 选择“数字主线引擎基础版-Lite”，根据页面提示，配置如下信息。 表3 数字主线引擎基础版-Lite配置信息 类型 配置项 配置说明 基础配置 部署位置 服务的部署位置，支持“公有云”。 区域 选择数字主线引擎所属的地域。不同区域的云服务产品之间内网互不相通，建议选择最靠近您的地域，可减少网络时延，提高访问速度。 计费模式 包年/包月：数字主线引擎的预付费模式。 运行服务名称 用户自定义，表示需要购买的数字主线引擎的名称。 企业项目 仅对开通企业项目的企业客户账号显示。如需使用该功能，请联系客服申请开通。 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理，默认项目为default。了解更多企业项目相关信息，请参见企业项目管理。 资源配置 节点数量 单个运行服务提供固定规格的算力和存储资源配置，包括10万边/秒的算力和100GB的存储。可通过Lite节点来调整模型数量，每个Lite节点支持500个已发布的数据模型，单个运行服务配置的Lite节点数量越多，表示支持的模型数量越多。Lite节点数量的调整以正整数递增，取值范围：1-14。 购买时长 - 选择的数字主线引擎的使用时长。 勾选“自动续费”，可避免数字主线引擎到期时需要进行手动续费的操作。

注意事项 公有云场景下，同一华为账号下的同一服务类型的数字主线引擎，只允许购买一个。如需再次购买，请先根据已有数字主线引擎的实际计费模式执行删除或退订操作。 边缘云场景下，同一华为账号下同一个智能边缘小站（CloudPond）上只能购买一个数字主线引擎。如果您有多个边缘小站，您也可根据实际情况购买多个数字主线引擎来满足多样化的业务类型。购买边缘云商品前，需提前联系客服查询是否有此类商品的购买条件。如果缺少购买资格，请联系客服咨询下单条件。

购买基础版数字主线引擎 进入工业数字模型驱动引擎场景引导。 选择单击“数字主线引擎”使用场景中的“立即购买”，进入数字主线引擎购买页。 选择“数字主线引擎基础版”，根据页面提示，配置如下信息。 根据服务部署位置的不同，需填写的配置项有所不同。选择公有云时，需填写的配置项如表1；选择边缘云时，需填写的配置项如表2。 如果各服务能力可配置的MCU数量不能满足购买需求时，即超过可配置的数量上限，您可申请扩大配额，详细操作请参见配额管理。 表1 部署位置选择公有云 类型 配置项 配置说明 基础配置 部署位置 服务的部署位置，支持“公有云”和“边缘云”。 说明： 边缘云仅在识别到有效的边缘可用区时才显示。 此处选择“公有云”。 区域 选择数字主线引擎所属的地域。不同区域的云服务产品之间内网互不相通，建议选择最靠近您的地域，可减少网络时延，提高访问速度。 计费模式 “部署位置”选择“公有云”时，支持包年/包月和按需计费两种计费模式。 包年/包月：数字主线引擎的预付费模式。 按需计费：数字主线引擎的后付费模式。 运行服务名称 用户自定义，表示需要购买的数字主线引擎的名称。 企业项目 仅对开通企业项目的企业客户账号显示。如需使用该功能，请联系客服申请开通。 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理，默认项目为default。了解更多企业项目相关信息，请参见企业项目管理。 MCU配置 - 为数字主线引擎的各服务能力分配MCU。服务能力分配到的MCU越多，其性能规格越高。各服务能力规格说明详细请参见产品规格。 模型管理：根据已发布的数据模型数量来进行MCU分配。 服务管理：根据各类数据服务调用所需的计算资源规模来进行MCU分配。 数据管理：根据模型承载的实例数据规模来进行MCU分配。 直接选用推荐场景的MCU预设配置或根据实际更改MCU配置。 购买时长 - 选择的服务的使用时长。 勾选“自动续费”，可避免服务到期时需要进行手动续费的操作。 说明： 仅当计费模式为包年/包月时需要设置该项。 表2 部署位置选择边缘云 类型 配置项 配置说明 基础配置 部署位置 服务的部署位置，支持“公有云”和“边缘云”。 说明： 边缘云仅在识别到有效的边缘可用区时才显示。 此处选择“边缘云”。 区域 选择数字主线引擎所属的地域。 需注意，不同区域的云服务产品之间内网互不相通，为确保后期能正常使用，请选择与智能边缘小站相同的Region。 可用区 可选值来源于位置服务（Location Service，L CS ）授予账号使用的对应边缘可用区（Availability Zone，AZ）。 说明： 仅“部署位置”选择“边缘云”时显示，选择数字主线引擎所属的可用区。 计费模式 包年/包月：数字主线引擎的预付费模式。 说明： “部署位置”选择“边缘云”时，仅支持包年/包月计费模式。 运行服务名称 用户自定义，表示需要购买的数字主线引擎的名称。 企业项目 仅对开通企业项目的企业客户账号显示。如需使用该功能，请联系客服申请开通。 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理，默认项目为default。了解更多企业项目相关信息，请参见企业项目管理。 虚拟私有云 表示在华为云上构建的逻辑隔离的网络空间，一个虚拟私有云由至少一个子网组成。 如还未创建或现有的虚拟私有云/子网不符合您的要求，则可在虚拟私有云控制台进行创建，具体操作请参见创建虚拟私有云和子网。 同一虚拟私有云内资源默认内网互通。 安全组 表示一个逻辑上的分组，为具有相同安全保护需求并相互信任的云服务器提供访问策略。系统会为您提供一个默认安全组，默认安全组的规则是在出方向上的数据报文全部放行，入方向访问受限，安全组内的云服务器无需添加规则即可互相访问。 如现有的安全组不符合您的要求，可以在虚拟私有云控制台进行创建，具体操作请参见创建安全组。 MCU配置 - 为数字主线引擎的各服务能力分配MCU。服务能力分配到的MCU越多，其性能规格越高。各服务能力规格说明详细请参见产品规格。 模型管理：根据已发布的数据模型数量来进行MCU分配。 服务管理：根据各类数据服务调用所需的计算资源规模来进行MCU分配。 数据管理：根据模型承载的实例数据规模来进行MCU分配。 直接选用推荐场景的MCU预设配置或根据实际更改MCU配置。 购买时长 - 选择的服务的使用时长。 勾选“自动续费”，可避免服务到期时需要进行手动续费的操作。 完成服务资源配置后，单击“下一步”，进入待购买服务规格确认页。 确认服务资源配置后，阅读并勾选同意协议。 协议详细内容请参见《工业数字模型驱动引擎（iDME）服务声明》和《iDME数据授权声明》。 单击“立即购买”，进入订单信息确认页面。 确认订单信息后单击“确认付款”。 待系统提示购买成功后，即可进入iDME控制台查收您的服务。

使用限制 单账号跟踪的事件可以通过云审计控制台查询。多账号的事件只能在账号自己的事件列表页面去查看，或者到组织追踪器配置的OBS桶中查看，也可以到组织追踪器配置的CTS/system日志流下面去查看。 用户通过云审计控制台只能查询最近7天的操作记录。如果需要查询超过7天的操作记录，您必须配置转储到对象存储服务（OBS）或 云日志 服务（LTS），才可在OBS桶或LTS日志组里面查看历史事件信息。否则，您将无法追溯7天以前的操作记录。 云上操作后，1分钟内可以通过云审计控制台查询管理类事件操作记录，5分钟后才可通过云审计控制台查询数据类事件操作记录。 CTS新版事件列表不显示数据类审计事件，您需要在旧版事件列表查看数据类审计事件。 云审计控制台对用户的操作事件日志保留7天，过期自动删除，不支持人工删除。

服务访问配置概述 在公有云场景下，将应用成功部署到基础版或基础版-Lite数据建模引擎上后，可使用iDME提供的默认公网域名访问应用运行态。如需提升访问安全性，建议配置域名防护并设置访问控制；如需使用自定义域名来访问，请配置自定义域名；如需实现HTTPS安全访问，请配置HTTPS证书；如需使用内网IP地址访问，请配置内网访问。 在边缘云场景下，通过将弹性公网IP绑定到数据建模引擎上，部署在其上的应用便可实现与公网通信；后续无需与公网通信时也可将其解绑。详细操作请参见绑定和解绑弹性公网IP。 以下为您介绍服务访问配置管理中各配置的详细操作步骤： 在进行以下配置前，请确保已获取管理员权限的IAM用户的账号和密码。

绑定和解绑弹性公网IP 弹性公网IP（Elastic IP，简称EIP）提供独立的公网IP资源，包括公网IP地址与公网出口带宽服务。弹性公网IP可以与弹性云服务器、裸金属服务器、虚拟IP、弹性负载均衡、NAT网关等资源灵活地绑定，提供访问公网和被公网访问的能力。 绑定弹性公网IP：通过将弹性公网IP绑定到边缘云场景下的基础版数据建模引擎上，部署在此运行服务的应用便可与公网通信。此时，您便可通过公网地址访问应用运行态。 解绑弹性公网IP：绑定弹性公网IP后，如您不再需要与公网通信时，可将服务与弹性公网IP解绑。 登录iDME控制台。 在左侧导航栏中，单击“数据建模引擎”，进入数据建模引擎页面。 （可选）如果同时有部署在“公有云”上和“边缘云”上的服务，请切换到边缘云。 找到待操作的运行服务，通过服务名称链接进入详情页。 单击“连接管理”，进入连接管理页签。 绑定弹性公网IP。 单击“绑定”，弹出绑定公网IP窗口。 选择需要绑定的弹性公网IP，单击“确定”。 完成绑定后，可以在详情页查看已绑定的弹性公网IP。 如果没有可用的弹性公网IP，单击“查看弹性公网IP地址”，创建新的弹性公网IP。 如果待绑定弹性公网IP的运行服务已部署应用，在完成绑定弹性公网IP后，需重新部署应用才可在该应用运行态生效。 解绑弹性公网IP。 单击“解绑”，弹出解绑公网IP窗口。 根据提示输入指令，单击“确定”。

操作步骤 登录iDME控制台。 在左侧导航栏中，单击“数据建模引擎”，进入数据建模引擎页面。 （可选）如果同时有部署在公有云上和边缘云上的运行服务，请根据实际切换。 找到计费模式为包年/包月且待续费的数据建模引擎运行服务，在其后单击更多图标，在弹出的下拉菜单中单击“续费”。 在服务续费页确认续费资源信息后，选择续费时长，判断是否勾选“统一到期日”，将iDME服务到期时间统一到各个月的某一天（详细介绍请参见统一包年/包月资源的到期日）。确认配置费用后单击“去支付”。 进入支付页面，选择支付方式，确认付款，支付订单后即可完成续费。

数据建模引擎选型对比 数据建模引擎提供了多种服务类型，包括体验版、基础版和基础版-Lite。各指标项对比如下： 服务类型 业务场景 部署位置 使用成本 功能支持情况 使用约束 体验版 支撑有使用意愿的新用户短期试用，体验基于数据建模引擎快速构建工业软件的能力。 公有云 免费 全部支持 只能部署标准使用场景的应用，且一个数据建模引擎上只能部署一个应用。 体验版不提供云服务等级协议（SLA）保障，仅适用于测试或体验场景，不能用于正式生产。 基础版 支撑ISV、制造业企业等客户构建新一代云化多租架构体系的商用级企业数字化作业及管理工具链。 公有云、边缘云、SDK 关于不同部署位置的详细解释，请参阅部署方式。 收费 支持包年/包月和按需计费模式，详见iDME计费说明。 全部支持 全部功能列表请参阅数据建模引擎产品功能。 只能部署标准使用场景的应用，且一个数据建模引擎上只能部署一个应用。 基础版-Lite 支撑高校、制造业企业、教培行业SI与ISV基于数据建模引擎开展相关工业软件课程开发、教学与实训等轻量级使用场景。 公有云 收费 支持包年/包月模式，详见iDME计费说明。 不支持搜索服务管理和流程引擎功能。 只能部署轻量使用场景的应用，且基础版-Lite数据建模引擎中的单套运行环境资源最多可同时部署10个应用。

数字主线引擎选型对比 数字主线引擎提供了两种服务类型，包括基础版和基础版-Lite。各指标项对比如下： 服务类型 业务场景 部署位置 使用成本 功能支持情况 使用约束 基础版 支撑ISV、制造业企业等客户联接海量源数据，通过强大的数据追溯与分析能力，构建企业全生命周期的数字主线。 公有云、边缘云 关于不同部署位置的详细解释，请参阅部署方式。 收费 支持包年/包月和按需计费模式，详见iDME计费说明。 全部支持 全部功能列表请参阅数字主线引擎产品功能。 在配置数据连接时，基础版数字主线引擎只能和基础版数据建模引擎进行连接。 基础版-Lite 支撑高校、制造业企业、教培行业SI与ISV基于数字主线引擎开展相关工业软件课程开发、教学与实训等轻量级使用场景。 公有云 收费 支持包年/包月模式，详见iDME计费说明。 不支持数据黄页功能。 数据入图功能存在部分使用限制，详情见数字主线引擎约束与限制。 在配置数据连接时，基础版-Lite数字主线引擎只能和基础版-Lite数据建模引擎进行连接。

步骤3：登录应用运行态 登录体验版应用运行态时使用的是IAM用户，在iDME控制台完成应用部署后无需切换账号类型即可直接登录。如果部署的应用开启了权限控制，在登录应用运行态之前，请确保已为登录用户配置了应用设计态角色。 本步骤指导您如何在iDME控制台中，使用步骤1：创建IAM用户并授权使用iDME中已创建的IAM用户登录步骤2：部署应用中已部署应用的运行态。 登录iDME控制台。 在左侧导航栏中，单击“数据建模引擎”，进入数据建模引擎页面。 （可选）如果同时有部署在公有云上和边缘云上的运行服务，请切换到公有云。 在“公有云运行服务”列表中，找到已部署至体验版数据建模引擎的应用，单击“登录运行态”。 您也可通过服务名称链接进入详情页后，在页面右上角单击“登录运行态”。 只有资源状态处在“运行中”，以及应用状态处在“应用运行中”时才可正常登录应用运行态。资源和应用对应状态说明请参见服务状态说明。

步骤2：部署应用 本步骤指导您如何在iDME控制台中，使用步骤1：创建IAM用户并授权使用iDME中已创建的IAM用户将应用部署到体验版数据建模引擎上。如果应用开启了权限控制，则操作用户必须为该应用的应用责任人。 登录iDME控制台。 在左侧导航栏中，单击“数据建模引擎”，进入数据建模引擎页面。 （可选）如果同时有部署在公有云上和边缘云上的运行服务，请切换到公有云。 找到需要部署应用的体验版数据建模引擎，单击“部署”。 只有资源状态处在“运行中”，以及应用状态处在“应用运行中”、“部署异常”或为空时才可进行部署操作，资源和应用对应状态说明详见服务状态说明。 图3 体验版数据建模引擎 在弹出的窗口中，设置如下信息，单击“确定”。 图4 应用部署 表1 参数说明 参数 说明 应用 选择需要部署的应用名称。 应用版本 选择应用已发布的版本。默认值为已选应用的最新版本，请根据业务需求进行选择。 请注意，重新部署应用时，只支持选择已部署应用的当前版本或更新的版本。 运行服务管理员 仅限公有云场景下，运行服务管理员可在体验版或基础版应用运行态中使用流程引擎模块的相关功能（了解什么是流程引擎）。 当应用部署在体验版数据建模引擎上时，运行服务管理员默认显示该应用的应用责任人且不支持修改。 在弹出的窗口中，根据屏幕提示输入指令，单击“确定”。

步骤1：创建IAM用户并授权使用iDME 本步骤仅指导您如何在IAM控制台中使用华为账号创建IAM用户并授权使用iDME。如果华为账号已经能满足您的要求，不需要创建独立的IAM用户，您可以跳过此步骤，不影响您使用iDME服务的其它功能。 图2 给用户授权iDME控制台权限流程 创建用户组并授权。 在IAM控制台创建用户组，并授予iDME权限，例如iDME EnvOperationAccess，该权限可同时满足您后续部署应用和登录应用运行态的操作权限需求。 创建用户并加入用户组。 在IAM控制台创建用户，并将其加入1中创建的用户组。 用户登录并验证权限。 新创建的用户登录控制台后，在“服务列表”中选择“工业数字模型驱动引擎”，尝试部署应用，如果成功操作，表示“DME EnvOperationAccess”已生效。

操作步骤 登录iDME控制台。 在左侧导航栏中，单击“数字主线引擎”，进入数字主线引擎页面。 （可选）如果同时有在公有云上和边缘云上的运行服务，请根据实际切换。 找到待续费的服务，根据3的选择进入对应的服务续费页。 如果是公有云上的基础版数字主线引擎，在目标服务后单击更多图标，在弹出的下拉菜单中单击“续费”。 您也可通过服务名称链接进入详情页后，在页面右上角单击更多图标，在弹出的下拉菜单中单击“续费”。 如果是边缘云运行服务或公有云上的基础版-Lite数字主线引擎，在目标服务后单击“续费”。 确认续费资源信息后，选择续费时长，判断是否勾选“统一到期日”，将iDME服务到期时间统一到各个月的某一天（详细介绍请参见统一包年/包月资源的到期日）。确认配置费用后单击“去支付”。 进入支付页面，选择支付方式，确认付款，支付订单后即可完成续费。

基础版/基础版-Lite应用运行态 根据数据建模引擎部署位置不同，对应的应用运行态的登录方式有所不同。 表1 应用运行态登录方式 部署位置 登录方式 IP地址 使用场景 说明 公有云 默认公网域名 基础版/基础版-Lite数据建模引擎默认提供公网IP 基础版/基础版-Lite数据建模引擎默认提供公网域名。 成本低，易用性高。 自定义域名 - 在Internet上使用自定义域名来访问应用运行态。 用户需要备案自定义域名并绑定至对应的基础版/基础版-Lite数据建模引擎上，详细请参见配置自定义域名。 内网访问 内网IP地址 当运行服务与弹性云服务器（Elastic Cloud Server，简称ECS）处于同一区域时，绑定虚拟私有云（Virtual Private Cloud，简称VPC）并部署应用后，便可通过API接口在用户ECS上访问应用运行态。 安全性更高，传输速率更高，网络延迟减少，详细请参见配置内网访问和基于VPCEP实现同区域跨VPC访问iDME服务。 边缘云 用户内网登录 用户内网IP地址 在边缘云场景下，使用SSF提供的用户登录认证和用户管理能力，实现用户本地登录认证。 安全性更高，传输速率更高，网络延迟减少。 用户需要购买智能边缘小站。 公网登录 弹性公网IP地址 不能通过内网IP地址访问应用运行态时，使用公网访问。 成本低，易用性高。 用户需要绑定弹性公网IP，请参考绑定和解绑弹性公网IP。

购买基础版-Lite数据建模引擎 进入工业数字模型驱动引擎场景引导。 选择单击“数据建模引擎”使用场景中的“立即购买”，进入数据建模引擎购买页。 选择“数据建模引擎基础版-Lite”，根据页面提示，配置信息。 表4 部署位置选择公有云 类型 配置项 配置说明 基础配置 部署位置 服务的部署位置，支持“公有云”。 区域 选择数据建模引擎所属的地域。不同区域的云服务产品之间内网互不相通，建议选择最靠近您的地域，可减少网络时延，提高访问速度。 计费模式 包年/包月：数据建模引擎的预付费模式。 数据库引擎 表示在华为云上独立运行的数据库环境，支持MySQL和PostgreSQL两种类型。 需注意，为确保后期能顺利部署应用，请选择与待部署应用一致的数据库类型。 开启内网访问 表示与iDME建立内网连接。 开启内网访问需绑定虚拟私有云和子网。一旦开启成功，系统会自动为用户购买并创建一个基础型 VPC终端节点 实例。请注意，此实例会产生额外的按需付费费用，具体收费详情请参考终端节点计费说明。 虚拟私有云 表示在华为云上构建的逻辑隔离的网络空间，一个虚拟私有云由至少一个子网组成。可以在虚拟私有云控制台进行创建虚拟私有云/子网，具体操作请参见创建虚拟私有云和子网。 同一虚拟私有云内资源默认内网互通。 企业项目 仅对开通企业项目的企业客户账号显示。如需使用该功能，请联系客服申请开通。 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理，默认项目为default。了解更多企业项目相关信息，请参见企业项目管理。 资源配置 运行服务 勾选运行服务，展开服务配置面板，进行资源规格配置。 默认提供一套实训环境资源。单个基础版-Lite运行服务默认只配置一个Lite节点，该节点最多可部署10个应用，最大支持20并发，并共享200G数据库存储与5T文件存储。 如您需购买更多套环境，请在“资源配置”下方单击“增加一个运行服务资源”。 数据建模引擎服务名称支持用户自定义修改，在服务名称后单击，修改服务名称。 购买时长 - 选择服务的使用时长。 勾选“自动续费”，避免服务到期时需要进行手动续费的操作。 说明： 仅当计费模式为包年/包月时需要设置该项。 完成服务资源配置后，单击“加入清单”，页面右侧弹出购买清单。 如有需要，还可进行以下操作： 删除购买清单中的单个服务，单击。 清空购买清单中的所有服务，单击“清空”。 单击“立即购买”，进入待购买服务规格确认页。 确认购买清单中的资源配置信息后，阅读并勾选同意协议。 协议详细内容请参见《工业数字模型驱动引擎（iDME）服务声明》和《iDME数据授权声明》。 单击“立即购买”，根据页面提示完成支付。 当您付款完成后，等待1-30分钟，即可进入iDME控制台查收您的服务。

购买体验版数据建模引擎 申请体验版名额。 体验版购买入口需进行名额申请并通过后才会显示，请通过提交工单或拨打服务热线（4000-955-988或950808）并提供账号ID及企业联系方式申请。 图2 获取账号ID 进入工业数字模型驱动引擎场景引导。 选择单击“数据建模引擎”使用场景中的“立即购买”，进入数据建模引擎购买页。 选择“数据建模引擎体验版”，根据页面提示，填写运行服务名称，选择企业项目。 阅读并勾选同意协议。 协议详细内容请参见《工业数字模型驱动引擎（iDME）服务声明》和《iDME数据授权声明》。 单击“立即购买”。