华为云用户手册

操作步骤 登录ServiceStage控制台。 单击“应用管理”。 单击待升级组件所在的应用名称，进入“应用概览”页面。 勾选“组件列表”中待批量升级的组件，单击“批量升级”。 参考下表设置待升级组件版本配置信息。 参数 说明 组件版本 升级后的组件版本号。 默认以您开始升级组件的时间来生成版本号，格式为yyyy.mmdd.hhmms，s取时间戳中秒数的个位值。例如：时间戳为2022.0803.104321，则版本号为2022.0803.10431。 您也可以自定义版本号，输入格式为：A.B.C或者A.B.C.D。A、B、C、D为自然数，例如：1.0.0或者1.0.0.0。 须知： 自定义版本号需唯一，请勿与该组件的历史版本号重复。 软件包/镜像包/源码仓库 单击，重新选择软件包/镜像包/源码仓库，请参考组件来源说明。 部署批次 表示分几个批次升级组件实例，取值范围为[1, 总实例数]。总实例数，即组件当前运行的实例数量。 例如，组件总实例数为4，“部署批次”参数设置为2，则表示会分2批次升级组件版本配置，每批次升级2个组件实例。 操作 单击指定组件“操作”列的，可以取消升级该组件。 单击部署方式为CCE容器部署的组件“操作”列的“高级配置”，可以设置组件的高级配置。请参考13，设置“微服务引擎”、“组件配置”、“部署配置”、“运维监控”参数。 （可选）单击“高级设置预检查”，检查各组件的高级配置是否正确。 单击“完成并执行”。 等待组件状态由“升级/回滚中”转换为“运行中”，表示已成功完成组件版本配置升级。

操作步骤 登录ServiceStage控制台。 选择以下任意方式进入组件“概览”页面： 在“应用管理”页面，单击组件所属应用名称，在“组件列表”单击待操作组件名称或者在组件名称上单击右键选择打开组件“概览”页面的方式。 在“组件管理”页面，单击待操作组件名称或者在组件名称上单击右键选择打开组件“概览”页面的方式。 在页面右上角，单击“升级”。 “升级类型”选择“灰度发布（金丝雀）”。 单击“下一步”，参考下表设置组件版本配置信息，其中带“*”标志的参数为必填参数。 通过本操作执行组件微服务灰度发布升级过程中，请勿同时通过 CS E执行组件微服务灰度发布，否则会导致本操作失效。 通过CSE执行组件微服务灰度发布，请参考灰度发布。 参数 说明 技术栈 固定为创建并部署组件时选择的技术栈。 *软件包/镜像 固定为创建并部署组件时选择的组件来源。 选择“源码仓库”，参考仓库授权创建授权，设置代码来源。 选择软件包或者镜像包，则固定为创建并部署组件时选择的软件包类型（Jar、War、Zip）或者镜像包类型。由您选择的技术栈类型决定，具体情况请参考表1。 *上传方式 选择软件包或者镜像包，重新选择已上传的软件包/镜像包，上传方式请参考组件来源说明。 *编译命令 组件来源是“源码仓库”、部署环境为Kubernetes类型且所选择的技术栈类型为Java、Tomcat、Node.js、Python、Php时支持设置“编译命令”。 使用默认命令或脚本：优先执行代码根目录下的build.sh，不存在则按照所选语言的通用方法编译，如Java语言的mvn clean package。 使用自定义命令：根据所选语言自定义编译命令，或修改build.sh文件后选择使用默认命令或脚本。 须知： 选择“使用自定义命令”时，请在echo、cat、debug命令中慎用敏感信息或者进行敏感信息加密，以免造成敏感信息泄露。 在项目子目录下执行编译命令，需先进入项目子目录，再执行其余脚本命令。例如： cd ./weather/ mvn clean package *Dockerfile地址 组件来源是“源码仓库”、部署环境为Kubernetes类型且所选择的技术栈类型为Java、Tomcat、Node.js、Python、Php时支持设置“Dockerfile地址”。 “Dockerfile地址”即Dockerfile文件相对于项目的根目录（./）所在的目录，Dockerfile文件用于镜像构建。 如果未指定“Dockerfile地址”，默认查找项目根目录下的Dockerfile；如果项目根目录下也没有Dockerfile文件，则根据选定的运行环境自动生成Dockerfile。 *组件版本 组件版本号，支持自动生成和自定义版本号。 自动生成版本号：单击“自动生成”，默认以您单击“自动生成”时的时间来生成版本号，格式为yyyy.mmdd.hhmms，s取时间戳中秒数的个位值。例如：时间戳为2022.0803.104321，则版本号为2022.0803.10431。 自定义版本号：输入格式为A.B.C或者A.B.C.D，A、B、C、D为自然数。例如，1.0.0或者1.0.0.0。 须知： 自定义版本号需唯一，请勿与该组件的历史版本号重复。 资源 组件无法调度到剩余资源小于申请值的节点上，配置方法请参考资源限制指南。 可以根据需要自定义“CPU配额”和“内存配额”，修改组件运行可以使用的最大/最小CPU核数（Core）和内存数量（GiB）。如需修改，请勾选待修改项后输入新的配置值。 不勾选，表示不限制。 JVM参数 技术栈类型选择Java/Tomcat时可设置，用于配置Java代码运行时的内存参数大小。 输入JVM参数，如-Xms256m -Xmx1024m，多个参数以空格间隔，不填则为空。 Tomcat配置 技术栈类型选择Tomcat时可设置，用于配置Tomcat请求路径、端口号等参数。 勾选“Tomcat配置”，弹出“Tomcat配置”对话框。 单击“使用示例模板”，根据业务要求编辑模板文件。 说明： Tomcat配置，使用默认server.xml配置，上下文路径是"/"，没有指定应用路径。 如需自定义应用路径，请参考定制Tomcat Context path。 单击“确定”。 高级设置 请参考13设置“组件配置”、“部署配置”、“运维监控”参数。 灰度策略 灰度流量比例：引入到新版本的流量比例。 当前流量比例：引入到当前版本的流量比例。 *首批灰度实例数量 首批灰度发布的实例数量，取值范围为[1, 当前总实例数-1]。当前总实例数，即组件当前运行的实例数量。 例如，当前组件总实例数为6，“首批灰度实例数量”参数设置为1，则表示首批升级组件版本配置的实例数量为1。 剩余实例部署批次 首批灰度发布成功之后，剩余实例滚动升级分多少批次完成。 例如，当前组件总实例数为6，“首批灰度实例数量”参数设置为1，且“剩余实例部署批次”设置为3。则当前剩余实例数为5，那么升级剩余实例会按照2:2:1个实例分批升级。 单击“升级”。 等待组件状态由“升级/回滚中”转换为“运行中”，表示已成功完成组件版本配置升级。

后续操作 操作 说明 查看系统监控 通过灰度发布（金丝雀）升级组件版本配置时，首批灰度发布完成后，选择“系统监控”页签，可以监控灰度版本和当前版本实例的CPU、内存使用情况。 滚动升级剩余实例 通过灰度发布（金丝雀）升级组件版本配置时首批灰度发布成功且验证新版本功能正常后，如需升级剩余组件实例版本到新版本，请执行以下操作： 选择“灰度发布（金丝雀）”类型的“部署记录”。 单击“滚动升级剩余实例”。 在弹出对话框，单击“确定”。 按照5设置的升级策略升级剩余的实例到新版本。 回滚组件版本配置 下列情况支持回滚组件版本配置： 通过灰度发布（金丝雀）升级组件版本配置时首批灰度发布完成后 组件全部实例的版本配置升级到新版本后 回滚到升级前组件版本配置，请参考回滚组件版本配置。 重新部署组件 根据业务需要，您可以在“部署记录”列表中选择历史版本配置，并以此版本配置为模板，重新部署组件，请参考重新部署组件。

操作场景 漏洞是攻击者入侵企业系统的主要手段之一，攻击者可以利用漏洞获取系统权限、窃取敏感信息或者破坏系统功能。完成漏洞整改可以有效地提高系统的安全性，预防潜在的攻击。 安全云脑 提供漏洞修复帮助用户针对配置隐患和系统漏洞进行排查。安全云脑的漏洞管理分为Linux漏洞、Windows漏洞、Web-CMS漏洞、应用漏洞进行管理。 Linux漏洞：内含常见Linux系统以及组件的各类漏洞，如内核漏洞、组件漏洞等。 Windows漏洞：内含Windows系统最新漏洞以及补丁。 Web-CMS漏洞：内含常见web-cms框架漏洞信息，如phpmyadmin等。 应用漏洞：内含常见应用类型漏洞，如fastjson、log4j2等。

权限维持典型告警 描述： 攻击者入侵成功后会进行权限维持获得持久权限，通常采用反弹shell、上传木马等方式进行权限维持。 安全云脑现有模型：主机-反弹shell、主机-恶意程序、网络-检测异常连接行为，曾多次发现异常权限转发、控制行为，帮助我们及时处理相关问题，避免导致数据泄露、系统崩溃、网络瘫痪等严重后果。 图8 主机-恶意程序 处理方案： 联系所属主机的责任人，登录到主机上停止恶意程序并删除恶意文件，同时进一步排查是否存在可疑进程，是否开放了可疑端口，是否有可疑连接等，并进一步检查自启动项，避免遗留，此外可以结合其他方式进行综合判断。

尝试攻击典型告警 描述： 黑客进行尝试攻击利用web应用程序的漏洞或缺陷进行攻击，可能会造成信息泄露、网站瘫痪、恶意软件传播、网站篡改等。 安全云脑现有模型：应用-WAF关键攻击告警、网络-检测黑客工具攻击、网络-登录爆破告警、应用-疑似存在Shiro漏洞、应用-疑似存在log4j2漏洞、网络-疑似存在DOS攻击、应用-疑似存在 Java框架通用代码执行漏洞、应用-疑似存在fastjson漏洞等，可以针对于现在主流Web攻击漏洞进行检测。 图3 应用-疑似存在log4j2漏洞 图4 应用-WAF关键攻击告警 处理方案： 需要联系业务责任人，排查Web服务器是否存在相关漏洞，确认是否攻击成功。若存在漏洞，应及时修改漏洞并加固安全；若攻击成功，可结合威胁情报对攻击IP进行拦截。

入侵成功典型告警 描述： 命令注入、暴力破解成功、异常shell、异地登录、恶意软件(蠕虫、病毒、木马)、高危命令执行等等，往往是入侵成功的标志。 安全云脑现有模型：网络-命令注入告警、主机-暴力破解成功、主机-异常shell、主机-异地登录、网络-恶意软件 [蠕虫、病毒、木马]、主机-进程和端口信息隐匿、主机-异常文件属性修改等多个模型，可以成功快速识别恶意行为，帮助我们对事件进行快速定位，快速相应。 图5 主机-暴力破解成功 图6 网络-恶意软件 [蠕虫、病毒、木马]

防御绕过典型告警 描述： 当攻击者通过操作系统或应用程序中的安全漏洞获得系统的root权限后，攻击者会在侵入的主机中安装rootkit，常见的方式是通过加载特殊的驱动（windows）、安装内核模块（Linux）来修改系统内核，进而达到隐藏、操纵、收集数据等目的。在ATT&CK网站，Rootkit被列入Defense Evasion大类，即规避防御，其最终目的还是为了规避一些安全服务/软件的检测。 安全云脑现有模型：主机-恶意文件执行、主机-rootkit事件，可以精准发现相关事件，快速进行告警减少失分。 图7 主机-rootkit事件 处理方案： 检测出恶意程序安装，建议您立即确认该程序安装是否正常业务引起。若非正常业务引起，建议您立即登录系统终止该恶意程序安装行为，利用主机安全告警信息全面排查系统风险，避免系统遭受进一步破坏。

横向移动典型告警 描述： 攻击者在已经控制的一台计算机时，会通过横向移动或传播的方式，试图攻击其他计算机或系统，以获取更多的敏感信息或控制权，横向连接是一种常见的网络攻击手段。 安全云脑现有模型：主机-虚拟机横向连接，可以快速识别失陷主机，精准定位受害情况，减少损失。 图9 主机-虚拟机横向连接 处理方案： 建议通过 堡垒机 等审计记录查看该命令是程序执行还是人为操作，若为人为操作，需联系对应操作人确定，若为非正常业务人员操作，需尽快确定该行为是否为异常恶意行为，是否危害到对应虚拟机，及时采取措施，保护计算机和系统的安全。

侦察阶段典型告警 恶意攻击者在对网站进行入侵时通常会进行大量的信息搜集，安全云脑可以通过模型：网络-高危端口对外暴露、应用-源ip进行url遍历、应用-疑似存在源码泄露风险、网络-外部恶意IP扫描等模型对即将来到的恶意攻击进行提前预判。 图1 网络-高危端口对外暴露 图2 应用-源ip进行url遍历 处理方案： 记录所有的访问请求和响应，及时发现攻击行为，针对攻击源IP进行限制或者阻断，可以通过配置黑名单策略进行封锁。

持久化控制典型告警 描述： 黑客入侵成功后会在系统中留下的一个漏洞或隐藏的入口如修改计划任务等操作，攻击者可以利用这个漏洞或入口来绕过系统的安全防护措施，快速连接并获得系统的控制权。 安全云脑现有模型：网络-后门、主机-恶意定时任务写入，可以防止黑客持久化控制进行长期的数据窃取、恶意软件传播、权限维持、挖矿等行为操作。 图10 网络-后门 处理方案： 断开网络连接。首先应该立即断开与互联网的连接，防止后门进一步传播或者窃取您的敏感信息。 使用杀毒软件进行扫描。您可以使用杀毒软件进行扫描和清除后门，确保系统的安全性。如果您没有安装杀毒软件，可以通过其他计算机下载杀毒软件并将其拷贝到感染的计算机上运行。 更新操作系统和软件。更新可以修复已知的漏洞和安全问题，提高系统的安全性。 查找和删除可疑文件。您可以查找和删除可疑文件，例如未知的程序或脚本文件，这些文件可能是后门的入口。

主机加固 主机加固是针对项目主机、网络、集群等相关方面的加固检查。 主机是针对业务开放的端口进行扫描，对高危端口进行告警。 图5 主机高危端口暴露检查 集群只针对CCE集群，针对集群有安全漏洞风险的版本，建议进行升级。 网络针对包含不同VPC之前的互联和出口网关设备，建议是不同VPC之间没有进行任何的交互。如果因客观原因无法满足的，请单击“忽略”检查项。 图6 CCE集群Kubernetes版本检查

敏感信息排查 敏感信息是 对象存储服务 （Object Storage Service，OBS）、ES、云数据库（Relational Database Service，RDS）中的数据，结合 数据安全中心 （Data Security Center，DSC）服务，进行敏感信息排查。 执行基线检查后，可以单击对应基线检查项目的“查看详情”，在详情页会列出来所有涉及的存储资产，需要根据加固建议对有敏感信息的数据进行整改。需要注意的是整改数据是高危操作，需要根据业务场景需求判断之后进行处置。 图2 OBS中敏感信息检查 例如，OBS桶的拥有者可以通过桶ACL授予指定帐号或用户组特定的访问权限。所以，所有OBS桶尽量都控制好对应的访问权限，不要对匿名用户赋予桶访问权限或者ACL访问权限。同样，OBS服务端加密也是为了保证数据安全性的配置，在数据存储时使用服务端加密将 数据加密 成密文后存储。 图3 OBS桶的ACL权限检查

操作场景 安全云脑支持根据基线检查计划检查您的服务基线配置是否存在风险，提供了“安全上云合规检查1.0”、“等保2.0三级要求”、“护网检查”三大类别的检查规范。 护网/重保期间推荐使用“安全上云合规检查1.0”和“护网检查”两个规范。 检查之后分类呈现云服务配置检测结果，告警提示存在安全隐患的配置，并提供相应配置加固建议和帮助指导。 所有检查项检查完成之后进入详情页面，不合格检查项按照加固建议进行修复，特别是靶标，通过资产搜索，清零不合格检查项。同时，配置检查计划，每天定时扫描刷新结果。 另外，除了基线检查内置的检查项，护网/重保期间也可以针对自己的业务场景，通过安全模型自定义自己的检查机制，通过告警通知触发跟踪，具体详情请参见安全运营策略调整。

执行管道 表1 选择执行管道 告警模板 需要选择的执行管道 应用-WAF关键攻击告警 sec-waf-attack 网络-高危端口对外暴露 sec-nip-attack 应用-源ip进行url遍历 sec-waf-access 应用-疑似存在源码泄露风险 sec-waf-access 网络-外部恶意IP扫描 sec-cfw-block 网络-检测黑客工具攻击 sec-nip-attack 网络-登录爆破告警 sec-nip-attack 网络-僵尸网络 sec-nip-attack 应用-疑似存在Shiro漏洞 sec-waf-attack 应用-疑似存在log4j2漏洞 sec-waf-attack 网络-疑似存在DDoS攻击 sec-cfw-block 应用-疑似存在 Java框架通用代码执行漏洞 sec-waf-attack 网络-命令注入告警 sec-nip-attack 主机-暴力破解成功 sec-hss-alarm 主机-异常shell sec-hss-alarm 主机-异地登录 sec-hss-alarm 网络-恶意软件 [蠕虫、病毒、木马] sec-nip-attack 主机-进程和端口信息隐匿 sec-hss-log 主机-异常文件权限修改 sec-hss-log 主机-异常文件属性修改 sec-hss-log 主机-恶意文件下载 (挖矿) sec-hss-log 主机-rootkit事件 sec-hss-alarm 主机-恶意文件执行 sec-hss-log 主机-反弹shell sec-hss-alarm 主机-恶意程序 sec-hss-alarm 主机-虚拟机横向连接 sec-hss-log 网络-后门 sec-nip-attack 主机-恶意定时任务写入 sec-hss-log

操作场景 在智能建模页面安全云脑内置了基于应用、网络、主机多维度的安全分析模型，自动化的完成数据汇聚、分析和报警。 护网/重保期间建议使用以下内置的模板创建告警模型并启用模型： 应用-WAF关键攻击告警、网络-高危端口对外暴露、应用-源ip进行url遍历、应用-疑似存在源码泄露风险、网络-外部恶意IP扫描、网络-检测黑客工具攻击、网络-登录爆破告警、网络-僵尸网络、应用-疑似存在Shiro漏洞、应用-疑似存在log4j2漏洞、网络-疑似存在DDoS攻击、应用-疑似存在 Java框架通用代码执行漏洞、网络-命令注入告警、主机-暴力破解成功、主机-异常shell、主机-异地登录、网络-恶意软件 [蠕虫、病毒、木马]、主机-进程和端口信息隐匿、主机-异常文件权限修改、主机-异常文件属性修改、主机-恶意文件下载 (挖矿)、主机-rootkit事件、主机-恶意文件执行、主机-反弹shell、主机-恶意程序、主机-虚拟机横向连接、网络-后门、主机-恶意定时任务写入。 通过模型汇聚分析筛选告警，降低误报率，提升值班人员分析处理效率。同时，也可以结合用户场景编辑模型进行模型调整，适配不同用户场景，降噪告警。

安全云脑的数据来源是什么？ 安全云脑基于云上威胁数据和华为云服务采集的威胁数据，通过大数据挖掘和机器学习，分析并呈现威胁态势，并提供防护建议。 一方面采集全网流量数据，以及安全防护设备日志等信息，通过大数据智能AI分析采集的信息，呈现资产的安全状况，并生成相应的威胁告警。 另一方面汇聚 企业主机安全 （Host Security Service，HSS）、DDoS高防（Advanced Anti-DDoS，AAD）、 Web应用防火墙 （Web Application Firewall，WAF）等安全防护服务上报的告警数据，从中获取必要的安全事件记录，进行大数据挖掘和机器学习，智能AI分析并识别出攻击和入侵，帮助用户了解攻击和入侵过程，并提供相关的防护措施建议。 安全云脑通过对多方面的安全数据的分析，为安全事件的处置决策提供依据，实时呈现完整的全网攻击态势。 接入数据详细操作请参见接入数据。 父主题： 产品咨询

服务含义区别 安全云脑（SecMaster）是华为云原生的新一代安全运营中心，集华为云多年安全经验，基于云原生安全，提供云上资产管理、安全态势管理、安全信息和事件管理、安全编排与自动响应等能力，可以鸟瞰整个云上安全，精简 云安全 配置、云防护策略的设置与维护，提前预防风险，同时，可以让 威胁检测 和响应更智能、更快速，帮助您实现一体化、自动化安全运营管理，满足您的安全需求。 主机安全服务（Host Security Service，HSS）是以工作负载为中心的安全产品，集成了主机安全、 容器安全 和网页防篡改，旨在解决混合云、多云数据中心基础架构中服务器工作负载的独特保护要求。 简而言之，SecMaster是呈现全局安全态势的服务，HSS是提升主机和容器安全性的服务。

服务功能区别 SecMaster通过采集全网安全数据（包括HSS、WAF、AntiDDoS等安全服务检测数据），提供云上资产管理、安全态势管理、安全信息和事件管理、安全编排与自动响应等能力，帮助您实现一体化、自动化安全运营管理，满足您的安全需求。 HSS通过在主机中安装Agent，使用AI、机器学习和深度算法等技术分析主机中风险，并从HSS云端防护中心下发检测和防护任务，全方位保障主机安全。同时可从可视化控制台，管理主机Agent上报的安全信息。 表1 SecMaster与HSS主要功能区别 功能项 共同点 不同点 资产安全 主机资产 呈现主机资产的整体安全状态。 SecMaster：仅支持同步HSS主机资产风险信息，列表呈现各主机资产的整体安全状况。 HSS：不仅支持呈现主机的安全状况，还支持深度扫描主机中的账号、端口、进程、Web目录、软件信息和自启动任务。 网站资产 - SecMaster：支持检查和扫描网站安全状态，列表呈现各网站资产的整体安全状况。 HSS：不支持该功能。 漏洞管理 应急漏洞公告 - SecMaster：支持同步华为云安全公告信息，及时获取热点安全讯息。 HSS：不支持该功能。 主机漏洞 呈现主机 漏洞扫描 结果，管理主机漏洞。 SecMaster：仅支持同步HSS主机漏洞扫描结果，管理主机漏洞。 HSS：支持检测Linux漏洞、Windows漏洞、Web-CMS漏洞、应用漏洞，提供漏洞概览，包括主机漏洞检测详情、漏洞统计、漏洞类型分布、漏洞TOP5和风险服务器TOP5，帮助您实时了解主机漏洞情况。 基线检查 云服务基线 - SecMaster：针对华为云服务关键配置项，从“安全上云合规检查1.0”、“等保2.0三级要求”、“护网检查”风险类别，了解云服务风险配置的所在范围和风险配置数目。 HSS：不支持该功能。 主机基线 - SecMaster：不支持该功能。 HSS：针对主机，提供基线检查功能，包括检测复杂策略、弱口令及配置详情，包括对主机配置基线通过率、主机配置风险TOP5、主机弱口令检测、主机弱口令风险TOP5的统计。

为什么没有看到攻击数据或者看到的攻击数据很少？ 安全云脑支持检测云上资产遭受的各类攻击，并进行客观的呈现。 但是，如果您的云上资产在互联网上的暴露面非常少（所谓“暴露面”是指资产可被攻击或利用的风险点，例如，端口暴露和弱口令都可能成为风险点），那么遭受到攻击的可能性也将大大降低，所以，安全云脑可能会显示您的系统当前遭受的攻击程度较低。 如果您认为安全云脑未能真实反映系统遭受攻击的状况，欢迎您向客服反馈问题。 父主题： 产品咨询

SDK列表 表1提供了CCM服务支持的SDK列表，您可以在GitHub仓库查看SDK更新历史、获取安装包以及查看指导文档。 表1 SDK列表 编程语言 Github地址 参考文档 Java huaweicloud-sdk-java-v3 Java SDK使用指导 Python huaweicloud-sdk-python-v3 Python SDK使用指导 Go huaweicloud-sdk-go-v3 Go SDK使用指导

人事管理 人力资源业务没有标准的准则规范，且不同行业、不同规模、不同发展阶段的企业 人力资源管理 重点并不一致，很难形成统一的业务标准并找到完全适配的标准化HR系统产品。传统的人力资源管理系统的功能设计，无法快速适配到实际的现代化企业的人事管理实际场景中，并且开发流程耗时长、维护成本高、迭代敏捷度低，无法助力企业的高效运营。 使用AstroFlow可快速构建业务流程及自动化工作流程，从本质上释放HR的双手，提高工作效能，提升员工的使用体验，联合数据洞察，助力企业智慧决策，满足企业集团化、个性化管理需求。 针对企业传统的人事管理模式，AstroFlow提供了可定制化的流程管理服务，可落地应用到多样化的人事管理场景中，如企业的人员入职、离职、请假、差旅等流程审批等。 轻松入职，人员信息不遗漏 HR快速定制入职信息表单，定制信息栏目新人指南等模块功能，便于人员信息管理和查找。 流程规范电子化、协助新同事业务快速上手。 全方位自定义信息字段，由企业按需配置使用。 入转调离，无忧动态管理 组织结构灵活调整，灵活流程配置、审批节点快速设置，关键节点动态跟踪，信息安全留存。 提升协同效率，规范流程表单，可覆盖员工入、转、调、离、复全场景的人员管理。 无代码配置和调整各类人事流程，无论是审批、待办、信息收集，皆可流程化设置、自动化推送审批消息。 休假、差旅管理轻松数字化 灵活配置的工作流程，可以支撑不同行业标准和工时、排班和休假模式。 提供多场景的管理应用模板，可快速复用，覆盖企业的差旅、休假、人员管理等实际情景。

财务管理 企业的实际场景中，不同的企业所需的管理流程不同，但面对的企业财务控制难点是殊途同归的，如事前无计划、费用控制难执行、审核耗精力和结果难统计等。这些问题可以通过表单、流程和应用的个性化构建快速支撑实际的使用，合同管理、借款付款、报销发票等实现一站式管理和数据查看，从而提高财务管理效率，降低财务风险。 AstroFlow提供了一套可自行管理和定制的自动化流程引擎服务，以财务人员的办公流程为场景基础，满足企业中财物、合同、款项的管理、流动、统计的数字化需求，还可以利用已有的财务管理模板搭建出个性化、适应企业自身使用需求的财务管理系统、收付款管理系统和发票报销管理系统等。 信息化工作流程 可以选择标准化的收付款、报销、发票应用模板并根据实际需求在模板的基础上进行个性自定义（编辑、修改），做到功能随需而动，还可以根据实际场景配置对应的表单和流程，明细信息可追溯、可修正。 工作流及时管理 多终端的费用保险、合同审批、发票管理功能，实现系统定时自动提醒，为财务人员分角色生成工作台，审批流程及时推送创建对应待办流程，不再遗忘收付款，缩短财务流程处理周期。 数据报表可视化 财务模块可自定义大屏分析表盘，生成财务流水、可视化呈现、企业财务情况实时掌握，减轻了财务人员负担，大幅提高财务人员工作效率，为企业提供经营决策的支持数据。

行政管理 AstroFlow适用于中小企业的行政管理，针对企业资料管理混乱、审批流程繁琐等问题，对行政工作进行科学化、信息化管理，包括物资领用、出入凭证、车辆调配、访客登记等摆脱纸质流程。 物资领用管理 领用管理及发放记录，方便员工申请。 会议室管理 提前预约会议室，充分利用会议室资源。 公告通知 通知到位，同时方便员工查询告知。 访客管理 线上预约、线下核验，访客预约、到访、记录和存档。 车辆管理 为企业统筹车辆的安排，管理车辆状态、驾驶员状态，查看报表数据，从而合理配置资源。

连接器 连接器是AstroFlow提供的调用第三方服务的集成工具。通过连接器，开发者无需关注具体代码实现，只需要选择所需的连接器和配置动作，即可在流程中快速集成其他系统。在AstroFlow中您可以使用Astro低代码平台中提供的官方连接器和自定义连接器。 官方连接器：Astro低代码平台封装了不同类型的连接器对接相应的服务，帮助您拼装能力、联接云端、打通行业，让您的应用无所不能。Astro低代码平台中提供的官方连接器，可在AstroFlow中的流程中直接使用。 自定义连接器：当官方连接器不能满足需求时，可通过自定义连接器，将第三方服务集成到AstroFlow流程中使用。自定义连接器包括从Astro低代码平台中转存的官方连接器和在AstroFlow中自定义的连接器。 图2 连接器

Astro工作流产品功能 统一底座平台能力，为企业客户数字化转型打好坚实基础 组织管理：提供统一组织角色权限控制管理RBAC模型，权限可控，管理统一。 产品学习：打造低代码领域学习资源池，阶梯化的专家成长路径，协助用户快速上手。 资产中心：提供平台级多业务资产，供多业务场景用户开箱即用，构建快、选择多、标准化。 一站式业务门户构建，千商千面，灵活搭建企业应用中心 统一应用收口：企业可灵活搭建业务门户，为企业提供统一的、系统化应用组合收口。 自由应用组合：支持Astro低代码平台中企业搭建的应用、大屏等多场景应用组合解决方案。 个性化门户：支持客户定制个性化门户页面、实现千商千面。 流程编排全面升级，定制更高效，编排更灵活 多种触发类型：流程支持多种触发类型，可根据业务需求按需控制工作流的触发条件。 流程模板：支持流程模板灵活引用，无缝升级和回滚，实现流程高度重用。 海量官方连接器：丰富的云服务与行业连接器，快速创建、轻松配置，灵活组装。 表单构建能力升级，打造无纸化办公新体验 丰富的组件库：可视化拖拉拽&丰富表单组件库，快速可视化组件和页面搭建。 灵活打通数据：业务数据轻松打通，一键创建数据管理出口。 表单、流程独立发布：支持表单、流程独立发布，快速应对各类业务场景的客户诉求。

步骤3：创建预测分析项目 确保数据集创建完成且可正常使用后，在ModelArts管理控制台，在左侧导航栏中选择“自动学习”。 在“自动学习”页面，单击“预测分析”区域的“创建项目”。 图2 创建项目 在创建预测分析页面，计费模式默认“按需计费”，参考表4填写相应参数。 图3 参数填写 表4 参数说明 参数 说明 “名称” 项目的名称。 名称只能包含数字、字母、下划线和中划线，长度不能超过64位且不能为空。 名称请以字母开头。 名称不允许重复。 “描述” 对项目的简要描述。 “数据集” 下拉选择步骤2已创建好的数据集（默认为下拉数据集列表中的第一个数据集）。 “标签列” 标签列是预测模型的输出。模型训练步骤将使用全部信息训练预测模型，该模型以其他列的数据为输入，以标签列的预测值为输出。部署上线步骤将使用预测模型发布在线预测服务。本案例中标签列选择attr_7。 “输出路径” 选择表3中的数据集输出位置。 说明： “输出路径”是存储自动学习在运行过程中所有产物的路径。 “训练规格” 选择自动学习训练节点所使用的资源规格，将会根据不同的规格计费。 GPU: 8*NVIDIA-V100(32GB) | CPU: 72 核 512GB GPU: 1*NVIDIA-V100(32GB) | CPU: 8 核 64GB CPU：2核8GB CPU:8核32GB 单击“创建项目”，预测分析项目创建成功后页面自动跳转到自动学习运行总览页面。

步骤4：运行工作流 在自动学习的总览页面，预测分析项目的工作流，将依次运行如下节点： 数据集版本发布：将已完成确认的数据进行版本发布。 数据校验：对您的数据集中的数据进行校验，是否存在数据异常。 请确保您的表格数据集中的数据的正确性，以及数据的有效性，有效数据不得少于100行，否则会导致数据校验失败。 若数据校验异常，请单击“实例详情”，跳转至训练作业详情页，查看训练报错日志定位处理报错问题，若仍未解决可联系华为技术工程师。 预测分析：将发布好的数据集版本进行训练，生成对应的模型。 模型注册：将训练后的结果注册到模型管理中。 服务部署：将生成的模型部署为在线服务。 您需要做的是： 待节点运行至“服务部署”时，节点状态会变为“等待输入”，请填写以下两个参数，其他参数保持默认值。 计算节点规格：根据您的实际需求选择相应的规格，不同规格的配置费用不同。 是否自动停止：默认为关闭状态。为了避免资源浪费，请打开该开关，根据您的需求，选择自动停止时间，也可以自定义自动停止时间。 输入参数填写的资源为按需计费，为避免产生非必要的费用：请务必确保您的“自动停止”开关已打开。 图4 用户输入 参数填写完毕之后，单击运行状况右边的“继续运行”，单击确认弹窗中的“确定”请您耐心等待十分钟左右，工作流便可运行完成。 图5 继续运行

步骤1：准备数据 本示例使用的数据集来自UCI的Machine Learning Repository，数据集介绍请参见Bank Maketing Data Set。数据集的基本信息可参见表1和表2，您可以从Github获取数据集并上传至OBS中。 从gitee下载ModelArts-Lab工程，并在“ModelArts-Lab”工程中的“\ModelArts-Lab-master\official_examples\Using_ModelArts_to_Create_a_Bank_Marketing_Application\data”目录下获取训练数据文件“train.csv”。 将“train.csv”文件上传至OBS，例如“test-modelarts/bank-marketing”。OBS上传文件的操作指导，请参见上传文件。 表1 数据源的具体字段及意义 字段名 含义 类型 描述 attr_1 年龄 String 表示客户的年龄。 attr_2 职业 String 表示客户所从事的职业。 attr_3 婚姻情况 String 表示客户是否结婚或已离异。 attr_4 教育情况 String 表示客户受教育的程度。 attr_5 房产情况 String 表示客户名下是否有房产。 attr_6 贷款情况 String 表示客户名下是否有贷款。 attr_7 存款情况 String 表示客户名下是否有存款。 源数据中不包含表头，本案例中定义源数据的第一列至第7列名称分别为attr_1~attr_7，其中最后一列attr_7代表预测列。 表2 数据集样本数据 attr_1 attr_2 attr_3 attr_4 attr_5 attr_6 attr_7 31 blue-collar married secondary yes no no 41 management married tertiary yes yes no 38 technician single secondary yes no no 39 technician single secondary yes no yes 39 blue-collar married secondary yes no no 39 services single unknown yes no no

步骤3：运行工作流 项目完成创建之后，会自动跳转到新版自动学习的运行总览页面。同时您的工作流会自动从数据标注节点开始运行。您需要做的是： 在数据标注节点，待数据标注节点变为橘色即为“等待操作”状态，双击数据标注节点，打开数据标注节点的运行详情页面，单击“继续运行”。 在弹窗中，单击“确定”，工作流会继续从数据标注节点依次运行到服务部署节点。该段时间不需要用户做任何操作。 图6 确认继续运行 当工作流运行到“服务部署”节点，状态会变为“等待输入”，需要选择填写以下两个参数，其他参数均为默认值，保持不变： 计算节点规格：根据您的实际需求选择相应的规格，不同规格的配置费用不同，价格详情请参见价格详情。 是否自动停止：为避免资源浪费，建议打开自动停止开关，根据您的实际需要，选择自动停止时间，也可以自定义自动停止的时间。 图7 用户输入 参数填写完毕之后，单击运行状况右边的“继续运行”，单击确认弹窗中的“确定”即可继续完成工作流的运行。 图8 继续运行