华为云用户手册

操作指导 添加域名后，WAF会根据添加的域名是否已在WAF前使用了代理，生成CNAME值或者CNAME、子域名和TXT记录，用于域名解析，使网站流量切入WAF，相关操作指导参见表1。 表1 操作指导 场景 生成的参数值 域名解析的相关操作 未使用代理 CNAME 把DNS解析到WAF的“CNAME”。 使用代理 CNAME、子域名和TXT记录 将DDoS高防等代理回源地址修改为WAF的“CNAME”。 （可选）在DNS服务商处添加一条WAF的“子域名”和“TXT记录”。

CC攻击的防护峰值是多少？ 各版本对应的CC攻击防护峰值如表1 CC攻击的防护峰值所示。 表1 CC攻击的防护峰值 服务版本 正常业务请求峰值 CC攻击防护峰值 标准版 2,000 QPS 6,000回源长连接（每域名） 100,000QPS 专业版 5,000 QPS业务请求 6,000 回源长连接（每域名） 300,000QPS 铂金版 10,000 QPS业务请求 6,000 回源长连接（每域名） 1,000,000QPS 独享版 以下数据为单实例规格： WAF实例规格选择WI-500，参考性能： HTTP业务：建议QPS 5,000；极限QPS 10,000 HTTPS业务：建议QPS 4,000；极限QPS 8,000 Websocket业务：支持最大并发连接5,000 最大回源长连接：60,000 WAF实例规格选择WI-100，参考性能： HTTP业务：建议QPS 1,000；极限QPS 2,000 HTTPS业务：建议QPS 800；极限QPS 1,600 Websocket业务：支持最大并发连接1,000 最大回源长连接：60,000 须知： 极限值为实验室测试值，高敏感业务请以实际业务测试数据为准。实际QPS与业务请求数据大小、自定义防护规则种类及数量相关 WAF实例规格选择WI-500，参考性能： 防护峰值：20,000QPS WAF实例规格选择WI-100，参考性能： 防护峰值：4,000QPS 父主题： CC攻击防护规则类

WAF可以防护使用HSTS策略/NTLM代理认证访问的网站吗？ 可以。WAF支持防护HTTP/HTTPS协议业务。 网站选择使用HSTS（HTTP Strict Transport Security，HTTP严格传输安全协议）策略后，会强制要求客户端（如浏览器）使用HTTPS协议与网站进行通信，以减少会话劫持风险。配置HSTS策略的网站使用的是HTTPS协议，WAF可以防护。 NTLM（New Technology LAN Manager，Windows NT LAN管理器）代理是Windows平台下HTTP代理的一种认证方式，其认证方式与Windows远程登录的认证方式是一样的，客户端（如浏览器）和代理之前需要三次握手才开始传递信息。 对于客户端（如浏览器）和代理之前使用NTLM认证的业务，WAF可以防护。 WAF支持云模式-CNAME接入、云模式-ELB接入和独享模式三种部署模式，各部署模式支持防护的对象说明如下： 云模式-CNAME接入：域名，华为云、非华为云或云下的Web业务 云模式-ELB接入：域名或IP，华为云的Web业务 独享模式：域名或IP，华为云的Web业务 有关云模式、独享模式的应用场景和差异的详细说明，请参见服务版本差异。 父主题： 功能说明类

购买或升级WAF时选择了企业项目，其他企业项目可以使用该企业项目的WAF吗？ 开通企业管理功能后，WAF可以按企业项目分配管理。 云模式（CNAME接入和ELB接入） 购买或升级WAF时如果您选中了某一个企业项目，其他企业项目可以使用该企业项目的WAF。 独享模式 购买WAF独享模式时如果您选中了某一个企业项目， 则其他企业项目不能使用该企业项目的WAF。但是您可以在“企业项目管理”页面将购买的WAF迁入目标企业项目，使目标企业项目可以使用购买的WAF。 父主题： 企业项目

Web应用防火墙 支持对哪些对象进行防护？ WAF支持对域名或IP进行防护，相关说明如下： 云模式的CNAME接入只能基于域名进行防护 在WAF中配置的源站IP只支持公网IP。例如，源站服务器部署了华为云弹性负载均衡（Elastic Load Balance，简称ELB）时，只要ELB（经典型、共享型或独享型）有公网IP，云模式就可以对域名进行防护。 独享模式和云模式的ELB接入可以对域名或IP进行防护 父主题： 功能说明类

操作步骤 进入“网站设置”页面后，在目标域名的“接入状态”所在行单击，复制“CNAME”值。 请参考以下操作步骤修改DNS解析。 进入云解析页面的入口，如图1所示。 图1 云解析页面入口 在目标域名所在行的“操作”列，单击“修改”，进入“修改记录集”页面。 在弹出的“修改记录集”对话框中修改记录值，如图2所示。 “主机记录”：在WAF中配置的域名。 “类型”：选择“CNAME-将域名指向另外一个域名”。 “线路类型”：全网默认。 “TTL(秒)”：一般建议设置为5分钟，TTL值越大，则DNS记录的同步和更新越慢。 “值”：修改为已复制的WAF CNAME地址。 其他的设置保持不变。 关于修改解析记录： 对于同一个主机记录，CNAME解析记录不能重复，您需要将已存在的解析记录的CNAME修改为WAF CNAME地址。 同一解析记录下，不同DNS解析记录类型间可能存在冲突。例如，对于同一个主机记录，CNAME记录与A记录、MX记录、TXT记录等其他记录互相冲突。在无法直接修改记录类型的情况下，您可以先删除存在冲突的其他记录，再添加一条新的CNAME记录。删除其他解析记录并新增CNAME解析记录的过程应尽可能在短时间内完成。如果删除A记录后没有添加CNAME解析记录，可能导致域名无法正常解析。 域名解析类型的限制规则请参见添加记录集时，为什么会提示“与已有解析记录冲突”？。 图2 修改记录集 单击“确定”，完成DNS配置，等待DNS解析记录生效。

约束条件 对于同一个主机记录，CNAME解析记录不能重复，您需要将已存在的解析记录的CNAME修改为WAF CNAME地址。 同一解析记录下，不同DNS解析记录类型间可能存在冲突。例如，对于同一个主机记录，CNAME记录与A记录、MX记录、TXT记录等其他记录互相冲突。在无法直接修改记录类型的情况下，您可以先删除存在冲突的其他记录，再添加一条新的CNAME记录。删除其他解析记录并新增CNAME解析记录的过程应尽可能在短时间内完成。如果删除A记录后没有添加CNAME解析记录，可能导致域名无法正常解析。详细介绍请参见添加记录集时，为什么会提示“与已有解析记录冲突”？。 为了防止其他用户提前将您的域名配置到Web应用防火墙上，从而对您的域名防护造成干扰，建议您到DNS服务商处添加“子域名”，并为它配置“TXT记录”，WAF会据此判断域名的所有权真正属于哪个用户。具体的配置方法请参见未配置子域名和TXT记录的影响。 修改域名解析记录后，理论上生效的最长时间是解析记录修改或删除前设置的TTL值。如果运营商强制设置了更长的域名解析记录的缓存时间，也会导致修改解析记录生效的延迟。

云模式、独享模式可以互相切换吗？ 不能直接切换。添加防护域名/IP时，您需要根据业务实际情况，选择部署模式：云模式-CNAME接入、云模式-ELB接入或独享模式。防护域名添加到WAF后，部署模式不能切换。 如果您需要更换防护域名/IP的部署模式，请确保业务已部署到对应模式。在WAF的网站配置列中删除添加的防护域名/IP后，再以对应的部署方式重新添加该防护域名/IP，完成部署模式切换。例如，“www.example.com”防护域名以云模式添加到WAF，如果您希望“www.example.com”切换到独享模式，请先确保当前业务支持独享模式部署方式，购买独享模式后，您需要先删除“www.example.com”防护域名，然后再重新以独享模式方式重新添加“www.example.com”防护域名。 WAF支持云模式-CNAME接入、云模式-ELB接入和独享模式三种部署模式，各部署模式支持防护的对象说明如下： 云模式-CNAME接入：域名，华为云、非华为云或云下的Web业务 云模式-ELB接入：域名或IP，华为云的Web业务 独享模式：域名或IP，华为云的Web业务 父主题： 使用说明类

购买WAF时如何选择区域 原则上，在任何一个区域购买的WAF支持防护所有区域的Web业务。但是为了提高WAF的转发效率，建议您在购买WAF时，根据防护业务的所在区域就近选择购买的WAF区域。 例如，如果您只购买了北京region的WAF，需要同时覆盖不同地域的业务（如北京和上海），对于客户在上海的业务，可能转发时长相比于北京的业务会更长。为了提高转发效率，建议您购买2个WAF（北京region的WAF和上海region的WAF），分别防护北京和上海的业务。

如何选择区域？ 选择区域时，您需要考虑以下几个因素： 地理位置 一般情况下，建议就近选择靠近您或者您的目标用户的区域，这样可以减少网络时延，提高访问速度。 在除中国大陆以外的亚太地区有业务的用户，可以选择“中国-香港”、“亚太-曼谷”或“亚太-新加坡”区域。 在非洲地区有业务的用户，可以选择“非洲-约翰内斯堡”区域。 在拉丁美洲地区有业务的用户，可以选择“拉美-圣地亚哥”区域。 资源的价格 不同区域的资源价格可能有差异，请参见华为云服务价格详情。

什么是区域、可用区？ 我们用区域和可用区来描述数据中心的位置，您可以在特定的区域、可用区创建资源。 区域（Region）：从地理位置和网络时延维度划分，同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region，通用Region指面向公共租户提供通用云服务的Region；专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region。 可用区（AZ，Availability Zone）：一个AZ是一个或多个物理数据中心的集合，有独立的风火水电，AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连，以满足用户跨AZ构建高可用性系统的需求。 图1阐明了区域和可用区之间的关系。 图1 区域和可用区 目前，华为云已在全球多个地域开放云服务，您可以根据需求选择适合自己的区域和可用区。

504 Gateway Timeout错误排查思路和处理建议 完成WAF域名接入配置之后，业务正常，但当业务量增加时，发生504错误的概率增加，直接访问源站IP也有一定概率出现504错误，请参考图8进行排查处理。 图8 504错误排查思路 表2 504错误问题处理 可能原因 排查方法 处理建议 原因一：后端服务器性能问题（连接数，CPU内存占用过大等） 源站性能问题，可以排查源站访问日志以及访问流量情况，定性分析。 优化服务器的相关配置，包括TCP网络参数的优化配置，ulimit相关参数设置等。 如果是云模式部署方式，建议在ELB上增加后端服务器组或创建新的ELB，支撑大量增长的业务量。 增加后端服务器组的详细操作，请参见添加后端云服务器（共享型）。 配置新ELB的操作，请参考步骤 1~步骤 7。 如果“对外协议”是HTTPS，建议在WAF设置HTTPS转发，回源走HTTP协议即“源站协议”设置为HTTP，降低后端服务器的计算压力。 修改服务器信息的详细操作，请参见修改服务器信息。 使用CC防护规则，拦截恶意流量。 原因二： 安全组未将WAF回源IP设置为白名单或未放开端口 源站有防火墙设备，且该防火墙设备拦截了WAF的回源IP 建议采用以下方法进行排查： 排查客户源站是否有安全组，防火墙，服务器安全软件等。 在客户端与WAF上同时进行抓包分析，排查源站防火墙等设备对WAF的长连接是否有主动丢包的现象。 源站服务器配置放行WAF回源IP的访问控制策略。 云模式：请参见如何放行云模式WAF的回源IP段？。 独享模式：请参见放行独享引擎回源IP。 建议您关闭防火墙和服务器安全防护软件。 原因三：连接超时、read超时 说明： 源站响应时间过长导致504（数据库查询时间过长，大文件上传时间过长，源站故障等）。 WAF回源到客户源站超时时间大多为60秒或180秒，若超时则会报错504。 该问题有以下排查方法： 绕过WAF，直接访问客户源站，查看响应时长 查看全量日志里面访问日志源站响应时长 建议客户绕过WAF测试上传功能，并检查客户上传文件大小 数据库查询时间过长： 调整优化业务，尽量缩短查询时长，优化用户体验。 修改请求的交互方式，让这种长连接在 60s 内能有一些数据交互（如，ack报文、心跳包、keep-alive等任何可以维持会话的报文）。 大文件上传时间过长： 调整优化业务，尽量缩短文件上传时间。 建议使用FTP方式上传文件。 直接通过IP上传，或者使用没有被WAF防护的域名上传。 使用WAF的独享模式，独享WAF回源超时默认为180s。 源站故障类： 检查源站业务是否正常。 原因四：源站带宽不足，访问流量过大，带宽超限制 该问题有以下排查方法： 若客户配置的WAF后端为7层ELB，则可以在ELB上查504相关日志 若客户配置的WAF后端为4层ELB，则可以在ELB上查“Traffic exceeded the bandwidth threshold”相关字段日志 若客户配置的WAF后端为EIP，则在504高峰查看EIP流量监控。 扩展源站服务器带宽。 创建新的ELB，参照以下方法将ELB的EIP作为服务器的IP地址，接入WAF。 修改服务器信息，大约需要2分钟同步生效。 创建负载均衡器。 登录管理控制台。 进入网站设置页面入口，如图9所示。 图9 网站设置入口 在目标域名所在行的“防护网站”列中，单击目标域名，进入域名基本信息页面。 在“服务器信息”栏中，单击，进入“修改服务器信息”页面，单击“添加”，新增后端服务器。 图10 服务器配置 将“源站地址”设置为ELB的弹性公网IP地址。 单击“确定”，服务器信息修改成功。

404 Not Found错误排查思路和处理建议 网站接入WAF后，访问网站时出现404 Not Found错误，请参考图1进行排查处理。 图1 404错误排查思路 如果访问网站返回如图2所示页面，原因和处理建议说明如下： 图2 404页面 原因一：添加防护域名到WAF时，配置了非标准端口，例如配置了如图3所示的非标准端口业务，访问网站时未加端口用“https://www.example.com”或者“https://www.example.com:80”访问网站。 图3 非标准端口配置 处理建议：在访问链接后加上非标准端口，再次访问源站，如“https://www.example.com:8080”。 原因二：添加防护域名到WAF时，没有配置非标准端口，访问时使用了非标准端口或者“源站端口”配置的非标准端口，例如配置了如图4所示的防护业务，用“https://www.example.com:8080”访问网站。 图4 未配置非标准端口 没有配置非标准端口的情况下，WAF默认防护80/443端口的业务。其他端口的业务不能正常访问，如果您需要防护其他非标准端口的业务，请重新进行域名配置。 处理建议：直接访问网站域名，如“https://www.example.com”。 原因三：域名解析错误。 处理建议： 如果该域名已添加到WAF进行防护，参照域名解析重新完成域名接入的操作，使流量经过WAF进行转发。 如果该域名未添加到WAF进行防护，需要在DNS服务商处将域名解析到源站的IP。 原因四：用户 多个域名 走同个WAF集群回源到同一个后端HTTPS源站+端口，由于WAF回源是长连接复用的，后端源站节点无法分辨是哪个域名（nginx通过Host和SNI分辨），会有一定几率出现A域名的请求转发到B域名的后端，所以会出现404。 处理建议：修改域名在WAF的后端配置，不同的域名走不同的源站端口进行规避。 如果访问网站时，返回的不是图2所示的404页面，原因和处理建议说明如下： 原因：网站页面不存在或已删除。 处理建议：请排查网站问题。

QPS超过当前WAF版本支持的峰值时有什么影响？ 如果您选择的QPS规格不足以支撑网站/应用业务每天的流量峰值，对超出当前WAF版本支持峰值的QPS，WAF将不再防护网站，可能出现限流、随机丢包、自动Bypass等现象，导致您的正常业务在一定时间内不可用、卡顿、延迟等。 WAF各版本支持的QPS规格说明如表1所示。 表1 WAF支持的QPS规格说明 服务版本 正常业务请求峰值 CC攻击防护峰值 入门版 100QPS - 标准版 2,000QPS 100,000QPS 专业版 5,000QPS 300,000QPS 铂金版 10,000QPS 1,000,000QPS 独享版 以下数据为单实例规格： WAF实例规格选择WI-500，参考性能： HTTP业务：建议QPS 5,000；极限QPS 10,000 HTTPS业务：建议QPS 4,000；极限QPS 8,000 Websocket业务：支持最大并发连接5,000 最大回源长连接：60,000 WAF实例规格选择WI-100，参考性能： HTTP业务：建议QPS 1,000；极限QPS 2,000 HTTPS业务：建议QPS 800；极限QPS 1,600 Websocket业务：支持最大并发连接1,000 最大回源长连接：60,000 WAF实例规格选择WI-500，参考性能： 防护峰值：20,000QPS WAF实例规格选择WI-100，参考性能： 防护峰值：4,000QPS 有关WAF各版本规格的详细介绍，请参见服务版本差异。 父主题： 变更规格类

WAF可以跨企业项目使用吗？ 不同的WAF模式，是否支持跨企业项目使用，详情如下： 云模式 云模式-CNAME接入：支持跨企业项目使用。 云模式-ELB接入：通过WAF防护的ELB与购买的ELB实例组必须在同一个VPC内，才支持跨企业项目使用。 独享模式 通过WAF购买的独享引擎实例到源站的VPC网络是互通的，则支持跨企业项目使用。否则，在某个企业项目下购买的WAF独享引擎实例， 在其他企业项目下不能使用。 如果独享引擎实例到源站的VPC网络不互通，且您又想跨企业项目使用WAF实例的话，您可以在“企业项目管理”页面将购买的WAF迁入目标企业项目，使目标企业项目可以使用购买或升级的WAF。 父主题： 企业项目

Web应用防火墙支持哪些防护规则？ Web应用防火墙支持的防护规则如表1所示。 表1 可配置的防护规则 防护规则 说明 Web基础防护规则 覆盖OWASP（Open Web Application Security Project，简称OWASP）TOP 10中常见安全威胁，通过预置丰富的信誉库，对恶意扫描器、IP、网马等威胁进行检测和拦截。 CC攻击防护规则 可以自定义CC防护规则，限制单个IP/Cookie/Referer访问者对您的网站上特定路径（URL）的访问频率，WAF会根据您配置的规则，精准识别CC攻击以及有效缓解CC攻击。 精准访问防护规则 精准访问防护策略可对HTTP首部、Cookie、访问URL、请求参数或者客户端IP进行条件组合，定制化防护策略，为您的网站带来更精准的防护。 黑白名单规则 配置黑白名单规则，阻断、仅记录或放行指定IP的访问请求，即设置IP黑/白名单。 攻击惩罚规则 当恶意请求被拦截时，可设置自动封禁访问者一段时间，该功能和其他规则结合使用。 地理位置访问控制规则 针对指定国家、地区的来源IP自定义访问控制。 网页防篡改规则 当用户需要防护静态页面被篡改时，可配置网页防篡改规则。 网站反爬虫规则 动态分析网站业务模型，结合人机识别技术和数据风控手段，精准识别爬虫行为。 防敏感信息泄露规则 该规则可添加两种类型的防敏感信息泄露规则： 敏感信息过滤。配置后可对返回页面中包含的敏感信息做屏蔽处理，防止用户的敏感信息（例如：身份证号、电话号码、电子邮箱等）泄露。 响应码拦截。配置后可拦截指定的HTTP响应码页面。 全局白名单规则 针对特定请求忽略某些攻击检测规则，用于处理误报事件。 隐私屏蔽规则 隐私信息屏蔽，避免用户的密码等信息出现在事件日志中。 父主题： 其他类

创建应用 将您要创建的应用放到Gitlab项目仓库中，本文使用一个修改nginx的示例，具体请参见https://gitlab.com/c8147/cidemo/-/tree/main。 其中包括如下文件。 .gitlab-ci.yml：Gitlab CI文件，将在创建流水线中详细讲解。 Dockerfile：用于制作Docker镜像。 index.html：用于替换nginx的index页面。 k8s.yaml：用于部署nginx应用，会创建一个名为nginx-test的Deployment，和一个名为nginx-test的Service。 以上文件仅为示例，您可以根据您的业务需求进行替换或修改。

应用现状 GitLab是利用Ruby on Rails一个开源的版本管理系统，实现一个自托管的Git项目仓库，可通过Web界面进行访问公开的或者私人项目。与Github类似，GitLab能够浏览源代码，管理缺陷和注释。可以管理团队对仓库的访问，它非常易于浏览提交过的版本并提供一个文件历史库。团队成员可以利用内置的简单聊天程序(Wall)进行交流。 GitLab的CI/CD功能强大，在软件开发业界有着广泛的应用。 图1 GitLab CI/CD流程 本文介绍在Gitlab中对接SWR和CCE执行CI/CD，并通过一个具体的过程演示该过程。

应用现状 ArgoCD是用于Kubernetes的声明性GitOps持续交付（CD）工具。ArgoCD以Git为核心，支持声明式定义各类对象，通过ArgoCD可以实现应用快速发布到Kubernetes中，并且能够根据版本标识快速跟踪和多集群部署功能，实现多个集群之间同一应用部署问题。 图1 Argo CD工作流程 本文介绍在ArgoCD中对接CCE执行持续部署的过程，并通过一个具体的示例演示该过程。

产品功能 概览 应用模型总览，包括快速入门、模型总览，模型数量统计，数据源分布，任务执行情况统计和调度任务时间分布统计。 模型地图（旧版） 针对已采集模型资产，提供模型查询搜索功能，便于用于快速浏览模型数据。支持推荐词配置，搜索结果收藏，添加标注，添加业务字典，申请权限等功能，方便快速检索。新版模型地图基于轻治理思路，同时也支持模型管理等功能。 模型地图（新版） 通过新版模型地图，用户可以快速检索包括卡片资产在内的新版模型数据。同时，支持用户根据界面引导，对数据集与卡片类资产进行向导式搜索。基于轻治理思路，模型地图同时支持模型管理功能。为方便用户更加快速高效的检索到所需数据信息，也支持用户添加标注和业务字典。 模型目录 根据已预置的业务架构，用户可以创建并管理自己的模型资产，包括上架，编辑，删除等功能。模型上架成功后，可以在模型地图中检索到对应模型信息。 模型采集 系统预置常用数据源的采集器，针对模型资产的采集提供了数据源管理、采集任务管理功能，用户可按需选择，支持自动/手动采集。 信息架构 信息架构分为业务架构和技术架构。用户可以按照业务场景创建简单易懂的业务架构，用于在模型目录中生成对应的业务模型管理页面，进行业务模型的录入。也可创建关系型数据库、非关系型数据库、开放API等底层技术架构，用于技术模型的采集工作。 业务术语 包含业务字典和数据标准两个功能模块，用户可以创建业务字典和数据标准，并通过绑定操作，方便在模型地图中快速检索和二次过滤。 工作空间 展示收藏的模型资产，支持分组收藏，同时，也支持业务资产审核/数据访问授权、管理审批用户以及管理团队等功能。 行业模板 行业模板市场向用户展示了已有的行业模板，每个行业模板包含了针对该行业不同领域的数据模型，支持共享。

优势 可视化管理 以模型（元数据）为基础，用户可以通过界面创建自己的业务模型实例或按模板批量导入实例，并在界面上对模型实例统一维护与管理，实现抽象业务具体化、规范化，做到所见即所得。 多样化采集 系统预置了多种常用数据源适配器，包括MySQL、Oracle、PostgreSQL、SQLServer、 GaussDB 、文件适配器等，针对不同系统采集需求，只需更改采集任务配置，即可适配，隔离底层系统差异，适配多样化采集。 高效模型搜索 提供搜索引擎界面，用户可对模型数据进行关键词搜索。支持索引类管理，可根据索引类进行搜索结果二次过滤。同时根据用户搜索行为生成搜索热词，也可以自定义推荐词搜索，从多个维度提高搜索效率和搜索准确性，解决模型数据搜索难的问题。 共享行业模板 行业发展至今，有很多成熟的业务模型，可以作为具有通用意义的行业模板。系统会不定期发布典型的行业模板，管理员用户也可以自定义一个行业模板添加到行业模板市场中，其他用户通过平台提供的行业模板管理入口完成加载，加载成功后模型目录中可查看该业务模型。

什么是应用模型 在数字经济时代，数据正在成为企业极其重要的战略性资产。随着数据越来越多，数据的统一管理越来越困难，普遍存在数据查找难，业务学习成本高等问题。因此，构建一个以业务模型为驱动，突破语义屏障，搭建业务与技术桥梁的 数据治理 平台尤为重要。应用模型服务正是基于这一理念而产生的。 应用模型（Application Business Model，ABM）是为客户提供的统一模型管理服务。用户可以通过预置的业务架构/技术架构定义或管理对应资产，支持业务架构/技术架构对应资产数据的自动或手动采集，提供模型查询、维护、业务与技术模型关联、数据关联分析等功能，同时提供数据访问管控、开放共享等能力。

Token校验 客户端在使用Token校验的流程如下。 已获取大屏分享链接和Token。 例如，分享链接https://console.ulanqab.huawei.com/sve/preview.html?region=cn-north-7#/screen/share/18cd21df7bc-WPgj_GqRc。其中“region”的值为“cn-north-7”，“pageId”的值为“18cd21df7bc-WPgj_GqRc”。 使用代码开发工具将大屏分享链接中的pageId和region拼接成如下格式的字符串。 pageId|region； 使用HmacSHA256算法对拼接的字符串进行签名，并将签名后的字符串使用Base64进行转换。签名时需要使用对应的Token。 HmacSHA256签名和Base64转换的示例如下： import java.security.*; import javax.crypto.*; import javax.crypto.spec.SecretKeySpec; import org.apache.commons.codec.binary.Base64; import java.net.URLEncoder; public class ShareWithTokenTest { public static void main(String[] args) throws Exception { System.out.println(getShareUrlWithToken("********722467a9477b5b*******", "cn-7", "*******r1tyy1C7Jenni3p*********")); } public static String getShareUrlWithToken(String pageId, String region, String token){ String data = pageId + "|" + region; String signature = HMA CS HA256(data.getBytes(), token.getBytes()); String url = "https://console.huaweicloud.com/sve/share/page.html?id=" + pageId + "®ion=" + region + "&sve_signature=" + signature; return url; } //采用HmacSHA256进行签名并进行Base64转换 public static String HMACSHA256(byte[] data, byte[] key) { try { SecretKeySpec signingKey = new SecretKeySpec(key, "HmacSHA256"); Mac mac = Mac.getInstance("HmacSHA256"); mac.init(signingKey); return URLEncoder.encode(Base64.encodeBase64String(mac.doFinal(data))); } catch (NoSuchAlgorithmException e) { e.printStackTrace(); } catch (InvalidKeyException e) { e.printStackTrace(); } return null; } } 将转换后的字符串赋值给sveSignature，sveSignature参数拼接到大屏分享链接中获取新的访问链接。 例如，新的访问链接https://console.ulanqab.huawei.com/sve/preview.html?sveSignature=1OP99N6yxCDmEiH4aNMU1GAwtKspSg4fJ/zh0679k=®ion=cn-north-7#/screen/share/18cd21df7bc-WPgj_GqRc

全国景点查询接口 输入参数 输入参数说明如表7所示。 表7 全国景点查询接口输入参数说明 参数 必填 说明 景点名称的汉字 否 景点名称的汉字。 省级id 否 省级ID。 城市id 否 城市ID。 镇id 否 镇ID。 第几页 否 第几页。 输出参数 用户可以在之后的执行动作中调用该输出参数，输出参数说明请参见表8。 表8 全国景点查询接口输出参数说明 参数 说明 分页数据 分页数据。 总数量 总数量。 总页数 总页数。 页面内数据列表 页面内数据列表。 -省级id 省级ID。 -省级名称 省级名称。 -城市id 城市ID。 -城市名 城市名。 -镇id 镇ID。 -镇名称 镇名称。 -景点名称 景点名称。 -景点地址 景点地址。 -质量等级 质量等级。 -注意事项 注意事项。 -开放时间 开放时间。 -优惠政策 优惠政策。 -景区介绍 景区介绍。 -坐标 坐标。 --经度 经度。 --维度 维度。 -景点描述 景点描述。 -最低门票价 最低门票价。 -价格列表 价格列表。 --景区图片url 景区图片url。 --景区缩略图url 景区缩略图url。 -当前页 当前页。 -每页最大条目数 每页最大条目数。 调用状态 调用状态。 0为成功，其他失败。

Token校验 客户端在使用Token校验的流程如下。 已获取大屏分享链接和Token。 例如，分享链接https://console.ulanqab.huawei.com/sve/preview.html?region=cn-north-7#/screen/share/18cd21df7bc-WPgj_GqRc。其中“region”的值为“cn-north-7”，“pageId”的值为“18cd21df7bc-WPgj_GqRc”。 使用代码开发工具将大屏分享链接中的pageId和region拼接成如下格式的字符串。 pageId|region； 使用HmacSHA256算法对拼接的字符串进行签名，并将签名后的字符串使用Base64进行转换。签名时需要使用对应的Token。 HmacSHA256签名和Base64转换的示例如下： import java.security.*; import javax.crypto.*; import javax.crypto.spec.SecretKeySpec; import org.apache.commons.codec.binary.Base64; import java.net.URLEncoder; public class ShareWithTokenTest { public static void main(String[] args) throws Exception { System.out.println(getShareUrlWithToken("********722467a9477b5b*******", "cn-7", "*******r1tyy1C7Jenni3p*********")); } public static String getShareUrlWithToken(String pageId, String region, String token){ String data = pageId + "|" + region; String signature = HMACSHA256(data.getBytes(), token.getBytes()); String url = "https://console.huaweicloud.com/sve/share/page.html?id=" + pageId + "®ion=" + region + "&sve_signature=" + signature; return url; } //采用HmacSHA256进行签名并进行Base64转换 public static String HMACSHA256(byte[] data, byte[] key) { try { SecretKeySpec signingKey = new SecretKeySpec(key, "HmacSHA256"); Mac mac = Mac.getInstance("HmacSHA256"); mac.init(signingKey); return URLEncoder.encode(Base64.encodeBase64String(mac.doFinal(data))); } catch (NoSuchAlgorithmException e) { e.printStackTrace(); } catch (InvalidKeyException e) { e.printStackTrace(); } return null; } } 将转换后的字符串赋值给sveSignature，sveSignature参数拼接到大屏分享链接中获取新的访问链接。 例如，新的访问链接https://console.ulanqab.huawei.com/sve/preview.html?sveSignature=1OP99N6yxCDmEiH4aNMU1GAwtKspSg4fJ/zh0679k=®ion=cn-north-7#/screen/share/18cd21df7bc-WPgj_GqRc

模型目录概述 模型目录，提供可视化模型管理页面，其中的业务模型管理页面是由对应的模型架构自动生成，用户可根据不同的业务信息架构，进行业务模型设计，完成业务模型的录入。支持单独或批量对业务模型数据进行创建，编辑，下架，删除等操作，支持模型数据的导入导出。 梳理业务模型：从业务视角出发，梳理端到端业务，明确各业务要素（例如：业务范围、业务过程、业务发生主体、业务事件等），归纳总结，设计出符合自己组织的业务模型，使得业务语言统一，打通整个业务流，消除信息孤岛和提升业务流集成效率。 录入业务模型：用户设计好业务模型后，选择对应的模型架构页签，创建独立的命名空间，按照设计新增业务模型。新增的模型处于下架状态，此时仅创建人可见，录入无误后，上架模型资产，使业务模型所有人可见，可用。 基础对象管理：资产目录管理中创建命名空间时，会自动在基础对象管理目录中创建一个同名命名空间，用户可以在该命名空间下创建或编辑基础对象，上架后可供同名命名空间下的业务模型资产依赖。 应用元模型管理：新版模型目录支持对应用元模型进行管理，用户可根据应用元模型信息架构图，单击架构图中的实体节点或关系节点，查看对应的模型实例数据和关系数据，并对模型和关系进行管理，支持对模型和关系进行创建，编辑，删除等操作。 父主题： 模型目录

相关操作 新增模型血缘关系完成后，您可以执行如表1所示操作。 表1 相关操作 操作 说明 聚焦血缘关系实体 单击数据集卡片右上角的，再单击“聚焦该实体”，即可跳转到对应数据集的模型详情页面。 编辑数据集的关联关系 单击数据集卡片后，在页面右侧弹出模型详情页面。单击“添加”，即可对该数据集进行关联关系的添加。 收起上游血缘 单击数据集卡片右上角的，再单击“收起上游血缘”，即可将该数据集上游血缘展示全部收起。 收起下游血缘 单击数据集卡片右上角的，再单击“收起下游血缘”，即可将该数据集下游血缘展示全部收起。 移除血缘关系 单击数据集卡片右上角的，再单击“编辑上游血缘”或“编辑下游血缘”，在“管理上/下游血缘”弹框中单击数据集后面的按钮，弹出“移除血缘关系”对话框，单击“保存”，血缘关系移除成功。

操作步骤 登录MetaStudio控制台。 在左侧导航栏中，单击“任务中心”。 选择“分身名片”页签，如图1所示。 在“分身名片”页面，可以查看生成中、生成成功和生成失败的任务，也可以查看全部任务。 下方的名片列表中，可以查看名片封面、名称、性别、提交时间、状态等详细信息。 支持对名片进行如下操作： 单击“查看”，查看名片内容。 单击“下载”，将名片下载至本地查看。下载后的文件为mp4格式。 图1 名片生成任务

操作步骤 在界面上方的主菜单中，单击“我的应用”。 单击应用所在行的图标，进入当前应用的“应用配置”页面。 在左侧导航栏中，单击“服务统计”，进入“服务统计”页面，如图1所示。 通过下图可以看出，科大讯飞免费赠送500次/天的问答交互。 图1 服务统计页面 单击“剩余（次数）”“500”下方的“提升交互次数”，可以按照界面提示完成实名认证，并购买相应的套餐包，以提升问答交互次数。 图2 购买IUI服务

查看应用信息 在界面上方的主菜单中，单击“我的应用”。 单击新增应用所在行的图标，进入“应用配置”页面。 在左侧导航栏中，单击“应用信息”。进入“应用信息”页面，如图12所示。 MetaStudio服务创建智能交互时，需要使用如下应用信息： 应用名称 APPID APPKEY APISECRET 如果科大讯飞平台创建的应用，“ 自然语言理解 ”配置为“星火交互认知大模型”时，端侧需要将这里的APPID和APPKEY配置到“aiui.cfg”文件中。 图12 应用信息