华为云用户手册

创建 使用create命令创建服务。您可以输入路径创建目录并将服务自动命名： # Create service with Node.js template in the folder ./my-service serverless create --template-url https://github.com/zy-linn/examples/tree/v3/legacy/huawei-nodejs --path my-service huawei-nodejs是华为云 函数工作流 的可用运行时。 有关所有详细信息和选项，请查看创建。

组织 在最初使用应用时，建议您可以使用单个服务来定义该项目的所有函数和事件。 myService/ serverless.yml # Contains all functions and infrastructure resources 但是，随着应用增多，您可以将其拆分为多个服务。大多数用户按工作流或数据模型组织他们的服务，并在服务中将与这些工作流和数据模型相关的函数进行分组。 users/ serverless.yml # Contains 4 functions that do Users CRUD operations and the Users database posts/ serverless.yml # Contains 4 functions that do Posts CRUD operations and the Posts database comments/ serverless.yml # Contains 4 functions that do Comments CRUD operations and the Comments database 这是有意义的，因为相关函数通常使用公共基础设施资源，并且用户希望将这些函数和资源作为单个部署单元放在一起，以便更好地组织和分离关注点。

打包配置 有时，您可能希望对函数产物以及它们的打包方式有更多的控制。 您可以使用patterns配置来更多地控制打包过程。 Patterns 您可以定义将从结果产物中排除/包括的全局模式。如果您希望排除文件，可以使用前缀为“!”的全局模式，如：!exclude-me/**。Serverless Framework将运行全局模式，以便您始终可以重新包含以前排除的文件和目录。 示例 排除所有node_modules，然后专门使用exclude重新包含的特定模块（在本例中为node-fetch）： package: patterns: - '!node_modules/**' - 'node_modules/node-fetch/**' 排除handler.js以外的所有文件： package: patterns: - '!src/**' - src/function/handler.js 如果要排除目录，请不要忘记使用正确的全局语法，可参考如下： package: patterns: - '!tmp/**' - '!.git/**'

服务 服务是Framework的组织单位。您可以将其视为项目文件，单个应用可以拥有多个服务。可以在服务中定义函数、触发它们的事件以及函数使用的资源，所有这些都在一个名为serverless.yml（或serverless.json）的文件中，例如： # serverless.yml service: fgs functions: # Your "Functions" hello_world: events: # The "Events" that trigger this function - apigw: env_id: DEFAULT_ENVIRONMENT_RELEASE_ID env_name: RELEASE req_method: GET path: /test name: API_test 通过运行serverless deploy使用Framework进行部署时，serverless.yml中的所有内容都会同时部署。

配置参数说明 表2 基础参数 字段 类型 是否必选 说明 示例 logGroup string 否 日志组，日志组名称长度取值范围[1,64]，默认为集群的默认日志组。 如果您要自定义日志组，请确保该日志组未被使用。 如果配置的日志组不存在，会自动创建该日志组。 k8s-log-{clusterId} ttlInDays int 否 日志保留时间。 当配置的logGroup不存在，则会以ttlInDays指定的保存时间创建logGroup，取值范围[1,365]，默认为30天。 当配置的logGroup存在，则ttlInDays不生效。 7 logStream string 是 日志流，日志流名称长度取值范围[1,64]。如果配置的日志流不存在，会自动创建该日志流。 k8s-log-stream hostGroup string 否 主机组，默认为集群的默认主机组。如果您要自定义主机组，请首先在LTS的“主机管理-主机组”页面创建该主机组。 k8s-hostgroup-{clusterId} inputDetail object 是 日志采集配置详细定义，具体字段请参考表3 inputDetail配置。 apiVersion: lts.com/v1 kind: LtsConfig metadata: name: lts-crd-stdout-all spec: logStream: logstream-1 inputDetail: type: container_stdout containerStdout: allContainers: true logDetail object 否 结构化配置详细定义，具体字段请参考表5。 - 表3 inputDetail配置 字段 类型 是否必选 说明 示例 type string 是 指定采集日志的类型，取值范围： container_stdout：容器标准输出 container_file：容器的日志文件 container_file logType string 否 指定日志格式，取值范围： single_line_log：单行日志 multi_line_log：多行日志 默认为单行日志。 single_line_log logTime string 否 logType为single_line_log时，配置日志时间格式，取值范围： systemTime：系统时间 timeWildcard：时间通配符 默认为systemTime。 systemTime timeWildcard string 否 logType为single_line_log并且logTime为timeWildcard时必选，指定时间通配符的格式。 YYYY-MM-DD hh:mm:ss.SSS beginningType string 否 logType为multi_line_log时，配置日志的分行模式，取值范围： byLogTime：根据日志时间分行 byRegular：根据正则表达式分行 默认byLogTime。 byLogTime beginningPattern string 否 logType为multi_line_log时必选，配置日志分行的关键字。 beginningType为byLogTime：YYYY-MM-DD hh:mm:ss.SSS beginningType为byRegular：\d{4}-\d{2}-\d{2}\s\d{2}:\d{2}:\d{2},\d{3}\s.+ namespace string 是 配置生效的namespace。 说明： 如果指定了workloads或者workload，并且workload中指定了namespace，那么以workload中的namespace为准。 inputDetail: type: container_stdout containerStdout: allContainers: false namespace: ingress allContainers bool 否 type是container_stdout时，如果要对所有容器生效，则设置为true。 说明： 1. 请保证只有一个配置指定了allContainers: true。 2. 如果多个配置中都配置了allContainers: true，那么最终只有其中一个生效。 3. allContainer是跨namespace的，即：如果配置了allContainers: true，那么本配置中的namespace不生效。 inputDetail: type: container_stdout containerStdout: allContainers: true includeLabels object 否 通过docker容器的Label进行过滤。 inputDetail: type: container_file containerFile: logPath: /data/nginx/log/*.log container: nginx namespace: ingress includeLabels: label_key_1: label_value_1 label_key_2: label_value_2 container string 否 指定docker容器的名称。 nginx workloads array 否 type是container_stdout时，可以通过workloads指定多个工作负载。 inputDetail: type: container_stdout containerStdout: allContainers: false workloads: - namespace: ingress name: ingress-gateway kind: deployment workload object 否 type是container_file时，可以用workload指定一个工作负载。 inputDetail: type: container_file containerFile: logPath: /data/nginx/log/*.log container: nginx namespace: ingress workload: name: ingress-gateway kind: deployment logPath string 否 type是container_file时必选，配置要采集的容器内部的日志文件路径（可以为目录、文件绝对路径、或者模糊匹配），路径长度范围[2, 128]。 1. /var/logs/，采集本目录下后缀为*.log, *.trace, *.out的文件； 2. /var/logs/test.log，只采集该文件； 3. /var/logs/*/a.log，采集/var/logs/目录的下一级目录中的a.log文件 4. /var/logs/service/a*.log，采集/var/logs/service/目录下以字母’a’开头，以’.log’结尾的文件 5. /var/logs/**/a.log，**表示递归5层目录 blackListPath array 否 配置黑名单，每个路径长度范围[2, 128]。 [/var/logs/*/a.log]，具体路径规则请参考logPath中示例。 表4 workload配置 字段 类型 是否必选 说明 kind string 是 工作负载的类型 deployment daemonset statefulset job cronjob name string 是 工作负载的名称 namespace string 否 工作负载的namespace container string 否 容器的名称 表5 logDetail配置 字段 类型 是否必选 说明 示例 logType string 是 结构化类型，取值范围： custom_regex：正则分析 json：JSON delimiter：分隔符 logType: json extractRule: simpleLog: '{"json":"test100"}' simpleFields: - fieldName: json type: string userDefinedName: j111 tagFields: - fieldName: hostName type: string extractRule object 否 结构化的详细规则，具体字段请参考表6。 表6 extractRule配置 字段 类型 是否必选 说明 simpleLog string 是 结构化示例日志。示例："2021-09-09/18:15:41 this log is Error NO 6323" regexRules string 否 正则表达式，当logType=custom_regex时必选，取值范围：[1,5000] tokenizer string 否 分隔符，当logType=delimiter时必选 simpleFields array 否 结构化示例字段列表，配置logDetail时必选，数组长度范围：[1,200] tagFields array 否 结构化tag字段列表，数组长度范围：[1,200] 表7 simpleFields配置 字段 类型 是否必选 说明 fieldName string 是 字段名称，长度范围：[1,50] type string 是 字段的数据类型，取值范围： string long float userDefinedName string 否 logType=json时的自定义名称，长度范围：[1,64] isAnalysis bool 否 是否开启快速分析 表8 tagFields配置 字段 类型 是否必选 说明 fieldName string 是 字段名称，长度范围：[1,50] type string 是 字段的数据类型，取值范围： string long float simpleLog string 否 示例字段，长度范围：[1,64] isAnalysis bool 否 是否开启快速分析

使用步骤 创建ltsconfig采集配置。 定义CRD文件即创建ltsconfig采集配置。 CRD配置格式如下所示，具体设置请参考配置参数说明。 apiVersion: v1 apiVersion: lts.com/v1 kind: LtsConfig metadata: ## LtsConfig资源名，在集群内唯一 name: xxx-xxx spec: ## 日志组，可选，不填的话用集群对应的日志组 logGroup: xxx ## 日志保留时间，如果配置的logGroup不存在，会以ttlInDays指定的保存时间创建logGroup ttlInDays: xx ## 日志流必填，不存在的话在LTS中创建 logStream: xxx ## 主机组，可选，不填的话用集群对应的默认主机组 hostGroup: xxx ## 定义采集日志源，即日志从哪里被采集 inputDetail: ## 容器标准输出 - 示例1：采集default命名空间中的所有容器的标准输出 ...... 创建完成后，执行如下命令启用该ltsconfig采集配置。 [root@test117-7cents crd]# kubectl apply -f stdout-all.yaml 查看ltsconfig采集配置。 使用kubectl get ltsconfig，查看当前所有的Logtail采集配置 [root@test117-7cents crd]# kubectl get ltsconfig NAME AGE lts-crd-stdout-all 73s test 13m 执行kubectl get ltsconfig lts-crd-stdout-all -o yaml，查看Logtail采集配置的详细信息和状态。 [root@test117-7cents crd]# kubectl get ltsconfig lts-crd-stdout-all -o yaml apiVersion: lts.com/v1 kind: LtsConfig metadata: annotations: kubectl.kubernetes.io/last-applied-configuration: | {"apiVersion":"lts.com/v1","kind":"LtsConfig","metadata":{"annotations":{},"name":"lts-crd-stdout-all","namespace":"default"},"spec":{"inputDetail":{"containerStdout":{"allContainers":true},"type":"container_stdout"},"logStream":"logstream-1"}} creationTimestamp: "2021-11-18T06:49:29Z" generation: 1 name: lts-crd-stdout-all resourceVersion: "96627192" selfLink: /apis/lts.com/v1/namespaces/default/ltsconfigs/lts-crd-stdout-all uid: de510f9d-71fd-4379-ae3e-67900df80456 spec: inputDetail: containerStdout: allContainers: true type: container_stdout logStream: logstream-1 status: Status: '{"log_group_id":"","log_stream_id":"","host_group_id":"","access_config_id":"","structure_config_id":""}' 删除ltsconfig采集配置。 kubectl delete ltsconfig {name} 如果要删除对应的ltsconfig采集配置，只需删除对应的CRD文件即可。

节点池Pod安全组配置 节点池中的节点上运行的 Pod 的安全组配置，可填写安全组 ID。与工作负载详情页面的安全组策略一起实现对集群下负载 Pod 网络访问控制。 参数名 取值范围 默认值 是否允许修改 作用范围 security_groups_for_nodepool UUID列表，最大支持配置5个。 禁止重复 NULL 允许 CCE Turbo 控制台上创建节点池时不允许指定，支持在节点池创建后在节点池配置管理中配置

示例流程 图1 给用户授权服务权限流程 创建用户组并授权 在 IAM 控制台创建用户组，并授予漏洞管理服务权限“VSS Administrator”。 创建用户并加入用户组 在IAM控制台创建用户，并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台，切换至授权区域，验证权限： 在“服务列表”中选择除漏洞管理服务外（假设当前策略仅包含“VSS Administrator”）的任一服务，若提示权限不足，表示“VSS Administrator”已生效。

移动应用安全扫描报告模板说明 下载扫描报告后，您可以根据扫描结果，对漏洞进行修复，报告模板主要内容说明如下：（以下截图中的数据仅供参考，请以实际扫描报告为准） 应用基本信息检测 应用检测的基本信息和检测概况。 图1 应用基本信息 应用漏洞检测 您可以参考每个组件扫描出的漏洞详细信息修复漏洞。 图2 应用漏洞检测 应用隐私合规检测 图3 应用隐私合规检测 应用权限信息检测 图4 应用权限信息 应用组件信息检测 查看软件的所有组件信息。 图5 应用组件信息 移动应用安全评测依据 图6 移动应用安全评测信息 隐私数据清单 图7 隐私数据清单

二进制成分分析扫描报告模板说明 下载扫描报告后，您可以根据扫描结果，对漏洞进行修复，报告模板主要内容说明如下：（以下截图中的数据仅供参考，请以实际扫描报告为准） 概览 查看目标软件包的扫描漏洞数。 图4 查看任务概览信息 结果概览 统计漏洞类型及分布情况。 图5 查看结果概览信息 组件列表 查看软件的所有组件信息。 图6 查看组件列表信息 漏洞列表 您可以参考每个组件扫描出的漏洞详细信息修复漏洞。 图7 查看漏洞列表信息 密钥和信息泄露问题列表 图8 查看密钥和信息泄露信息 安全编译选项问题列表 图9 查看安全编译选项信息 安全配置检查列表 图10 查看安全配置检查列表

操作场景 该任务指导已购买专业版、高级版或者企业版的用户增加扫描的域名配额。 若用户以前使用过基础版（ 免费体验 版）进行扫描，在升级为专业版时，基础版所有的已有域名会占用专业版配额。 当前不支持从专业版或者高级版直接升级至企业版，若您是专业版或者高级版用户，并想要使用企业版，请直接购买企业版，为保证您的权益，请您购买企业版后，提工单退订专业版或者高级版。 当前不支持仅购买企业版（不购买配额）后再次升级增加配额。如果要想增加配额，请先退订企业版，重新购买。

前提条件 已获取管理控制台的登录账号和密码。 已添加主机。 为了确保扫描成功，在开启主机扫描前，请先完成以下操作。 参照编辑Linux主机授权和编辑Windows主机授权完成主机授权。 如果主机所在的安全组设置了访问限制，请参见如何解决主机不能访问添加策略允许漏洞管理服务的IP网段访问您的主机。 如果用户同时使用了主机安全服务，参见配置SSH登录IP白名单将漏洞管理服务的IP配置为白名单。否则，漏洞管理服务的IP会被当成不信任IP被主机安全服务拦截，造成扫描任务失败。 参照测试互通性完成主机与扫描环境的连通性测试。

前提条件 已获取管理控制台的登录账号与密码。 已添加网站。 如果您的网站设置了防火墙或其他安全策略，将导致漏洞管理服务的扫描IP被当成恶意攻击者而误拦截。因此，在使用漏洞管理服务前，请您将以下漏洞管理服务的扫描IP添加至网站访问的白名单中： 119.3.232.114，119.3.237.223，124.70.102.147，121.36.13.144，124.70.109.117，139.9.114.20，119.3.176.1

操作场景 该任务指导用户通过漏洞管理服务进行网站登录设置，修改网站信息。 如果您的网站页面需要登录才能访问，必须进行网站登录设置，以便漏洞管理服务能为您发现更多安全问题。漏洞管理服务提供了三种登录方式，请您根据您的网站访问限制条件选择登录方式： Web页面登录。 如果您的网站仅需要账号密码就可以登录访问，设置该方式即可。 Cookie登录。 建议优先配置“Web页面登录”方式。如果发现通过“Web页面登录”仅能扫描到登录界面，无法成功扫描到内部业务系统时，可以根据业务实际认证方式配置“Cookie登录”进行扫描。 Header登录。 建议优先配置“Web页面登录”方式。如果发现通过“Web页面登录”仅能扫描到登录界面，无法成功扫描到内部业务系统时，可以根据业务实际认证方式配置“Header登录”进行扫描。 以上登录方式根据网站访问情况选择。

操作方法 进入 云审计 服务控制台，在事件来源中筛选“E CS ”，在列出的ECS事件列表中，寻找“createServer”事件，并找到对应的资源ID的事件，展开事件详情。 user列表示创建该台ECS的用户详情，{"name":"账号名","id":"用户的账号ID","domain"{"name":"IAM用户名","id":"IAM用户ID"}}，如果是账号本身创建的该台ECS，则账号名与IAM用户名，名称相同。

等保合规能力说明 检查项分类 安全控制点 等保合规检查项 风险等级参考 云防火墙 CFW提供的对应能力说明 相关功能介绍 安全通信网络 网络架构 应避免将重要网络区域部署在边界处，重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。 高 通过云原生VPC能力，将重要网络区域使用VPC隔离，不同重要级别的VPC之间的业务互访，使用云防火墙CFW实现VPC间业务流量的访问控制，并对恶意访问进行识别和拦截。 应用场景 应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力。 中 通过云防火墙自动识别业务在互联网的威胁暴露面，提供云上互联网边界和VPC边界的防护，入侵防御引擎对恶意流量实时检测和拦截。 安全区域边界 边界防护 应能够对内部用户非授权连到外部网络的行为进行限制或检查。 高 云防火墙实现南北向和东西向访问的网络流量分析、全网流量可视化、对主动外联行为的分析和阻断、开通或变更白名单策略。 功能特性 应能够对非授权设备私自联到内部网络的行为进行限制或检查。 中 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。 中 入侵防范 应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为。 高 云防火墙实现对互联网上的恶意流量入侵活动和常规攻击行为进行实时阻断和拦截。 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为。 高 云防火墙实现云上资产对外流量的主动外联、失陷感知等出方向流量分析和攻击防护及访问控制。 当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。 中 云防火墙提供对业务流量中的攻击行为的检测和记录，并能根据策略设置提供攻击流量阻断功能，记录风险级别、事件名称、源IP、目的IP、方向、判断来源、发生时间和动作。 访问控制 应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下受控接口拒绝除允许通信外的所有通信。 高 云防火墙实现统一管理互联网到业务的南北向访问策略和业务，达到协议、端口、应用级访问控制粒度。 访问控制策略 应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化。 中 云防火墙提供策略命中计数功能，客户可以根据命中情况，及时调整策略的设置，确保没有冗余的策略。云防火墙访问控制策略可配置优先级，您可以根据业务需求优化访问控制列表。 应对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许或拒绝数据包进出。 高 云防火墙实现对进出访问控制策略进行严格设置。访问控制策略包括源类型、访问源、目的类型、目的、协议类型、目的端口、应用协议、动作、描述和优先级。 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级。 中 云防火墙对互联网上的恶意流量入侵活动和常规攻击行为进行实时阻断和拦截。 应对进出网络的数据流实现基于应用协议和应用内容的访问控制。 中 云防火墙实现跨VPC流量的应用协议、内容的访问控制。 安全审计 应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计。 高 云防火墙提供日志审计功能，可以记录所有流量日志、事件日志和操作日志。 日志审计功能 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。 中 云防火墙提供日志记录事件功能，包括：时间、威胁类型、方向、源IP和目的IP、应用类型、严重性等级以及响应动作等信息。 应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等。 中 云防火墙提供 日志分析 功能，对已分析的日志，默认提供存储6个月内的日志数据，并提供实时日志分析能力。 应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。 中 云防火墙提供日志分析功能，对已分析的日志，默认提供存储6个月内的日志数据，并提供实时日志分析能力。

开启安全认证 Nacos引擎专享版默认关闭安全认证。可通过控制台开启安全认证。 开启安全认证后，控制台仅能看到有权限访问的命名空间；同时没有配置用户名密码的客户端将无法访问Nacos实例，请谨慎操作。 登录微服务引擎控制台。 在左侧导航栏选择“注册配置中心”。 单击待开启安全认证的Nacos引擎。 在左侧导航栏选择“权限控制”。 单击“开启安全认证”。 在弹出框中单击“确定”，该引擎开启安全认证成功。

控制台资源管理 Nacos引擎支持命名空间关联企业项目，关系为N:1，即N个命名空间可关联到一个企业项目。 默认在创建命名空间中创建的命名空间是没有关联企业项目，可以通过编辑企业项目操作，将命名空间同企业项目进行关联。 登录微服务引擎控制台。 在左侧导航栏选择“注册配置中心”。 单击待操作的Nacos引擎。 在左侧导航栏选择“权限控制”。 在“控制台资源管理”页签下，单击待操作的命名空间右侧“企业项目”的，在“编辑企业项目”弹出框中，在下拉框中选择企业项目，单击“确定”，编辑成功。 编辑企业项目时，只支持更换企业项目，不可将企业项目置空。 父主题： 权限控制

API生命周期 API生命周期包括API的创建、发布、下线和删除所经历的完整生命周期过程，为您提供高性能、高可用、高安全的API托管服务，能快速将企业服务能力包装成标准 API服务 ，帮助您轻松构建、管理和部署任意规模的API，并上架API市场进行售卖。借助API网关，可以简单、快速、低成本、低风险地实现内部系统集成、业务能力开放及业务能力变现。API网关帮助您变现服务能力的同时，降低企业研发投入，让您专注于企业核心业务，提升运营效率。 API生命周期是开天 集成工作台 （MSSI）集成API网关（APIG）服务的“共享版”能力，关于API生命周期的详细介绍文档请参考API网关（APIG）服务的“共享版”能力。

模型地图概述 通过模型地图，用户可以快速检索模型数据，同时为方便用户更加快速高效的检索到所需数据信息，也支持用户配置检索和配置标注。 检索模型：用户可以通过选择的模型类型、输入关键字检索模型。对业务模型检索时，可以配置筛选条件里的信息架构以及关联情况进行筛选；对技术模型检索时，可以配置筛选条件里的信息架构进行筛选。同时也支持用户收藏模型，方便快速使用。 配置检索：主要包括推荐管理、重建业务索引、重建技术索引的功能，为用户提供检索配置。推荐管理功能通过用户配置触发词和关联实例，在用户进行模型检索时推荐关联实例。重建业务索引和重建技术索引可以为用户提供索引修改功能。 配置标注：用户可以通过创建标注规则来对所关注的数据进行标注，以帮助用户更好地管理和使用数据。也支持创建标注任务，对数据进行标注。 父主题： 模型地图（旧版）

模型地图概述 通过新版模型地图，用户可以快速检索包括卡片资产在内的新版模型数据。同时，支持用户根据界面引导，对数据集与卡片类资产进行向导式搜索。基于轻治理思路，模型地图同时支持模型管理功能。为方便用户更加快速高效的检索到所需数据信息，也支持用户添加标注和业务字典。 检索模型：用户可以输入关键字进行模糊检索模型或输入模型名称精确检索模型。在检索结果页面，可通过配置模型类型、标注或业务字典等筛选条件，对检索结果进行二次过滤，便于快速检索。与旧版相同，新版也支持用户收藏模型，方便快速使用。 检索卡片资产：在新版模型地图中，用户可对卡片资产进行检索，快速查找所需卡片资产信息。同时支持在卡片资产列表界面进行收藏模型、添加标注与添加业务字典的操作。 模型管理：基于轻治理思路，新版模型地图支持用户在模型详情页面进行模型管理。主要包括编辑模型信息、管理相关模型、添加标注和添加业务字典功能。管理相关模型功能包括编辑模型信息和管理相关模型，其中管理相关模型的对象包括在关系中的源类模型和目标类模型。 向导式搜索：支持用户在数据地图首页，根据界面引导，对数据集类资产与卡片类资产进行搜索。便于用户对数据集类资产和卡片类资产进行快速检索和筛选。 消息中心：支持将实体资产或实体特征的特定事件，通过事件订阅，将变更信息通过通道推送到第三方系统。 新旧版本数据不兼容，在新版模型地图中不能对旧版模型数据进行检索。如果需要检索旧版模型数据，具体请参见模型地图（旧版）。 新版模型地图同样支持配置检索和配置标注，具体请参见配置检索、配置标注。 父主题： 模型地图（新版）

计费模式 开天集成工作台提供包年/包月、按需计费两种计费模式。具体的收费详情请以价格计算器为准。详细的计费说明请参考表1。 表1 计费模式说明 计费模式 包年/包月 按需计费 付费方式 预付费，购买时长越久越便宜。 后付费，先申请资源使用，在结算时会按实际资源使用量收取费用。 计费周期 按照订单的购买周期进行结算。 按秒计费，按小时结算。 更改计费模式 不支持转为按需计费模式。 支持转为包年/包月计费模式。切换方式请参考包年/包月和按需计费模式是否支持互相切换？ 适用场景 适用于可预估资源使用周期的场景。 适用于对集成工作台资源有灵活需求的场景。 开天集成工作台提供包年/包月的计费模式。具体的收费详情请以价格计算器为准。详细的计费说明请参考表2。 表2 计费模式说明 计费模式 包年/包月 付费方式 预付费，购买时长越久越便宜。 计费周期 按照订单的购买周期进行结算。 适用场景 适用于可预估资源使用周期的场景。

计费项 开天集成工作台根据您的服务版本进行计费。 APIG与Astro轻应用计费不在MSSI服务体现，需要单独去对应的服务订购。 版本类型 版本说明 计费模式 规格约束 备注 集成工作台基础版 支持连接器，流编排、数据模型、业务可视化，不支持边缘节点。 包半年 可运行流数不超过20。 每个租户下的流并发运行总数不超过5个。 模型300个（包含表、视图、逻辑模型、资产元数据如连接器等） 采集任务3个 屏幕数：5，屏幕模板数：5，卡片数：50，卡片模板数：50，布局模板5个 免费周期：半年 须知： 版本到期，支持续订。 版本的免费策略后续将根据业务情况进行调整，如取消免费套餐、不支持续订等，届时会提前14个工作日通知。 支持从基础版升级到付费版如专业版。 适用于服务试用和验证场景。另外，版本的服务条款请参见华为云开天集成工作台服务协议。 自动化流专业版-产品套餐 支持连接器，流编排、数据模型、边缘节点等。 包年包月 可运行流数有多个选择：40、80、120、160、200、240、280、320。 每个租户下的流并发运行总数不超过5个。 可运行流数小于200，模型数1500个；可运行流数大于200，模型数3000个（包含表、视图、逻辑模型、资产元数据如连接器等）。 可运行流数小于200，采集任务10个；可运行流数大于200，采集任务20个。 支持版本升级，不支持版本降级。 适用于商用场景。另外，版本的服务条款请参见华为云开天集成工作台服务协议。 自动化流专业版-按需 支持连接器，流编排、数据模型、边缘节点等。按单个可运行流的运行时长进行计费。 按需 如果没有订购产品套餐，默认的模型300个（包含表、视图、逻辑模型、资产元数据如连接器等）、采集任务3个。 如果订购产品套餐，则模型个数和采集任务个数与所订购产品套餐一致。 无 业务可视化专业版-产品套餐 支持页面布局，卡片模板、脚手架开发卡片模板、卡片；屏幕应用模板和屏幕应用。快速构建前端业务可视化页面。 包年包月 如下参数支持最大数： 屏幕数：20，屏幕模板数：20，卡片数：200，卡片模板数：200，布局模板:不限制。 屏幕数：40，屏幕模板数：40，卡片数：400，卡片模板数：400，布局模板:不限制。 屏幕数：100，屏幕模板数：100，卡片数：1000，卡片模板数：1000，布局模板:不限制。 屏幕数：200，屏幕模板数：200，卡片数：2000，卡片模板数：2000，布局模板:不限制。 支持版本升级，不支持版本降级。 无

使用场景 通常您的业务系统可能使用了华为云的多种云服务，您可以为这些云服务下不同的资源实例分别设置标签，各服务的计费详单会体现这些资源实例设置的标签。如果您的业务系统是由多个不同的应用构成，为同一种应用拥有的资源实例设置统一的标签将很容易帮助您对不同的应用进行使用量分析和成本核算。 对 DLI 来说，标签用于标识购买的队列和创建数据库，对购买的DLI队列和数据库进行分类。为队列或数据库添加标签时，该队列或数据库上所有请求产生的计费话单里都会带上这些标签，您可以针对话单报表做分类筛选，进行更详细的成本分析。 例如：某个队列作用于A部门，我们可以用该部门名称作为标签，设置到被使用的集群上。在分析话单时，就可以通过标签分析该部门的开发使用成本。 DLI以键值对的形式描述标签。一个队列默认20个标签。每个标签有且只有一对键值。键和值可以任意顺序出现在标签中。同一个集群标签的键不能重复，但是值可以重复，并且可以为空。

重置密码 仅支持为通过添加成员加入组织的管理式华为账号重置密码。 在“组织和用户管理”页面，选择组织。页面左上方设有组织下拉栏，可切换不同的组织。 单击“成员管理”。 选中目标部门。支持搜索部门名称，可搜索后选中部门名称。 单击待重置密码成员所在行“操作”列的“重置密码”。 在“重置密码”页面选择“自动生成密码”或“手工输入密码”。如果选择“手工输入密码”，需输入具体密码。密码设置完成后单击“确定”。

下载客户端 购买云手机以后，管理员将云手机实例分配给用户，用户手机号码会接收到绑定成功通知短信。 KooPhone客户端提供两种下载方式。 用户访问绑定成功短信中的下载链接，下载并安装客户端App。 用户可以访问云手机服务-华为云官网，单击“移动端下载”进入下载页扫码下载安装包，如图1所示。 图1 云手机服务-华为云官网 Android的系统要求最低配置：Android6.0。 父主题： 客户端使用

前提条件 给用户组授权之前，请您了解用户组可以添加的角色，如表1 KooPhone 系统角色，并结合实际需求进行选择。 表1 KooPhone系统角色 角色名称 描述 角色类别 KooPhone Administrator KooPhone所有权限用户，拥有该权限的用户可以拥有 KooPhone支持的全部权限。 系统角色 KooPhone ReadOnlyUser KooPhone只读权限用户。 系统角色

入门流程 首次使用云手机服务（KooPhone）的流程如图1所示，本文以在控制台上的操作为例进行介绍。 通过该手册您可以了解KooPhone的基本操作流程，帮助您更快上手操作。 图1 入门流程 表1 流程说明 购买产品 流程 说明 购买云手机 购买云手机 根据实际业务需求，选择合适的云手机类型、规格等配置信息，确认价格并下单。 创建组织和用户 管理员通过控制台创建组织并配置成员、部门。 分配云手机 管理员在云手机实例管理页面为成员分配云手机。 下载客户端 用户参照短信通知或访问KooPhone客户端下载页下载Android手机客户端。 登录并使用 用户登录云手机App进入云机，即可使用。

应用示例 连接数据库。 具体步骤参见使用gsql命令行客户端连接集群。 创建表student，有id，name和score三个属性。使用哈希函数加密保存name，使用对称密码算法保存score。 1 2 3 4 CREATE TABLE student (id int, name text, score text, subject text); INSERT INTO student VALUES (1, gs_hash('alice', 'sha256'), gs_encrypt('95', '12345', 'aes128', 'cbc', 'sha256'),gs_encrypt_aes128('math', '1234')); INSERT INTO student VALUES (2, gs_hash('bob', 'sha256'), gs_encrypt('92', '12345', 'aes128', 'cbc', 'sha256'),gs_encrypt_aes128('english', '1234')); INSERT INTO student VALUES (3, gs_hash('peter', 'sha256'), gs_encrypt('98', '12345', 'aes128', 'cbc', 'sha256'),gs_encrypt_aes128('science', '1234')); 不使用密钥查询表student，通过查询结果可知：没有密钥的用户即使拥有了select权限也无法看到name和score这两列加密数据。 1 2 3 4 5 6 7 8 9 10 11 12 select * from student; id | name | score | subject ----+------------------------------------------------------------------+--------------------------------------------------------------------------------------------------------------------------+----------- ----------------------------------------------------------------------------------- 1 | 2bd806c97f0e00af1a1fc3328fa763a9269723c8db8fac4f93af71db186d6e90 | AAAAAAAAAABAuUC3VQ+MvPCDAaTUySl1e2gGLr4/ATdCUjTEvova3cb/Ba3ZKqIn1yNVGEFBvJnTq/3sLF4//Gm8qG7AyfNbbqdW3aYErLVpbE/QWFX9Ig== | aFEWQR2gkj iu6sfsAad+dHzfFDHePZ6xd44zyekh+qVFlh9FODZ0DoaFAJXctwUsiqaiitTxW8cCSEaNjS/E7Ke1ruY= 2 | 81b637d8fcd2c6da6359e6963113a1170de795e4b725b84d1e0b4cfd9ec58ce9 | AAAAAAAAAABAuUC3VQ+MvPCDAaTUySl1taXxAoDqE793hgyCJvC0ESdAX5Mtgdq2LXI1f5ZxraQ73WIJVtIBX8oe3gTDxoXGlHbHht4kzM4U8dOwr5rjgg== | aFEWQR2gkj iu6sfsAad+dM8tPTDo/Pds6ZmqdmjGiKxf39+Wzx5NoQ6c8FrzihnRzgc0fycWSu5YGWNOKYWhRsE84Ac= 3 | 026ad9b14a7453b7488daa0c6acbc258b1506f52c441c7c465474c1a564394ff | AAAAAAAAAACnyusORPeApqMUgh56ucQu3uso/Llw5MbPFMkOXuspEzhhnc9vErwOFe6cuGtx8muEyHCX7V5yXs+8FxhNh3n5L3419LDWJJLY2O4merHpSg== | zomphRfHV4 H32hTtgkio1PyrobVO8N+hN7kAKwtygKP2E7Aaf1vsjmtLHcL88jyeJNe1lxe0fAvodzPJAxAuV3UJN4M= (3 rows) 使用密钥查询表student，通过查询结果可知：拥有密钥的用户通过使用gs_encrypt对应的解密函数gs_decrypt解密后，可以查看加密数据。 1 2 3 4 5 6 7 select id, gs_decrypt(score, '12345', 'aes128', 'cbc', 'sha256'),gs_decrypt_aes128(subject, '1234') from student; id | gs_decrypt | gs_decrypt_aes128 ----+------------+------------------- 1 | 95 | math 2 | 92 | english 3 | 98 | science (3 rows)

技术背景 哈希函数 哈希函数又称为摘要算法，对于数据data，Hash函数会生成固定长度的数据，即Hash(data)=result。这个过程是不可逆的，即Hash函数不存在反函数，无法由result得到data。在不应保存明文场景（比如口令password属于敏感信息），系统管理员用户也不应该知道用户的明文口令，就应该使用哈希算法存储口令的单向哈希值。 实际使用中会加入盐值和迭代次数，避免相同口令生成相同的哈希值，以防止彩虹表攻击。 图1 哈希函数 对称密码算法 对称密码算法使用相同的密钥来加密和解密数据。对称密码算法分为分组密码算法和流密码算法。 分组密码算法将明文分成固定长度的分组，用密钥对每个分组加密。由于分组长度固定，当明文长度不是分组长度的整数倍时，会对明文做填充处理。由于填充的存在，分组密码算法得到的密文长度会大于明文长度。 流加密算法是指加密和解密双方使用相同伪随机加密数据流作为密钥，明文数据依次与密钥数据流顺次对应加密，得到密文数据流。实践中数据通常是一个位（bit）并用异或（xor）操作加密。流密码算法不需要填充，得到的密文长度等于明文长度。 图2 对称密码算法