华为云用户手册

华为云配置信息说明 VPN网关IP：11.11.11.11 VPC子网：192.168.10.0/24，192.168.20.0/24 客户侧网关IP：22.22.22.22 客户侧子网：172.16.10.0/24，172.16.20.0/24，172.16.30.0/24 协商策略详情： 一阶段策略（IKE Policy） 认证算法（Authentication Algorithm）: sha2-256 加密算法（Encryption Algorithm）: aes-128 版本（Version）: v1 DH算法（DH Algorithm ）: group14 生命周期（Life Cycle）: 86400 协商模式（Exchange-mode ）: main 二阶段策略（IPsec Policy） 传输协议（Transfer Protocol）: esp 认证算法（Authentication Algorithm）: sha2-256 加密算法（Encryption Algorithm）: aes-128 完美前向安全（PFS）：DH-group14 生命周期（Life Cycle）: 86400

配置步骤 IPsec基础配置 登录防火墙管理页面，选择“网络 ＞ IPsec”，新建IPsec连接，详情如图4所示。 图3 新建IPsec连接1 图4 新建IPsec连接2 表1 新建IPsec参数设置 参数名称 说明 虚拟系统 选择默认即可。 策略名称 客户自行指定。 本端接口 配置对接本端公网IP的接口。 本端地址 本端公网IP。 对端地址 对端公网IP。 认证方式 预共享密钥。 本端ID与对端ID IP地址，并填入对应的公网IP。 待加密数据流 源地址为云下子网，目标地址为云上子网，请勿使用地址组名称配置。 安全提议 按照华为云策略配置，要求两端配置信息一致。 DPD 勾选DPD，选择按需发送，配置信息默认即可。 路由配置 选择“网络 ＞ 路由 ＞ 静态路由”，新建一条目的为华为云子网的静态路由，下一跳指向本地出接口网关IP。 图5 新建静态路由 表2 新建静态路由参数设置 参数名称 说明 协议类型 IPv4。 源虚拟路由器 选择默认的“public”。 目的地址/掩码 云端子网地址。 目的虚拟路由器 选择默认的“public”。 出接口 本端公网IP配置的接口。 下一跳 本端公网地址下一跳。 其余配置默认即可，存在多出口时，需额外添加访问云端公网IP从此出接口流出的路由。 NAT配置 选择“策略 ＞ NAT策略 ＞ 源NAT”，新建一条本地子网访问华为云不做NAT转换的策略。 图6 新建源NAT策略 表3 新建源NAT策略参数设置 参数名称 说明 源安全区域 本端子网所在安全区域。 目的区域 华为云子网所在安全区域，一般为untrust。 源地址 本端子网。 目的地址 华为云对端子网。 服务 any 转换方式 不做NAT转换 为确保该策略优先匹配，请将该策略置顶。 请注意接口地址出外网不做NAT转换。 例如已配置缺省策略：源区域为any，访问目标区域any，出口转换为接口地址。请额外添加一条NAT策略：源区域为local，目标区域为any，转换方式为不做NAT转换，并将该策略置于缺省策略之上。 安全策略配置 选择“策略 ＞ 安全策略 ＞ 安全策略”，新建一条本地子网访问华为云的放行策略。 图7 安全策略 表4 新建策略参数设置 参数名称 说明 源安全区域 本端子网所在区域。 源安全区域 本端子网所在安全区域。 目的区域 华为云子网所在安全区域，一般为untrust。 源地址 本端子网。 目的地址 华为云对端子网。 服务 any。 动作 允许 为确保该策略优先匹配，请将该策略置顶。

客户侧设备组网与基础配置假设 假定客户侧基础网络配置如下： 内网接口：GigabitEthernet1/0/0 所属zone为Trust，接口IP为10.0.0.1/30。 预进行加密传输的子网为172.16.10.0/24，172.16.20.0/24，172.16.30.0/24，所属zone为Trust。 外网接口：GigabitEthernet1/0/1 所属zone为Untrust，接口IP为22.22.22.22/24。 缺省路由：目标网段0.0.0.0/0 出接口GE1/0/1，下一跳为GE1/0/1的网关IP为22.22.22.1。 安全策略：Trust访问Untrust，源地址、目标地址及服务均为any，动作放行。 NAT策略：源地址为内网网段，目标地址为ANY，动作为EasyIP，即转换为接口IP。 基础配置命令行示意如下： interface GigabitEthernet1/0/0 ip address 10.0.0.1 255.255.255.252 # interface GigabitEthernet1/0/1 ip address 22.22.22.22 255.255.255.0 # ip route-static 0.0.0.0 0 GigabitEthernet1/0/1 22.22.22.1ip route-static 172.16.10.0 255.255.255.0 0 GigabitEthernet1/0/0 10.0.0.2ip route-static 172.16.20.0 255.255.255.0 0 GigabitEthernet1/0/0 10.0.0.2ip route-static 172.16.30.0 255.255.255.0 0 GigabitEthernet1/0/0 10.0.0.2 # security-zone name Trust import interface GigabitEthernet1/0/0 # security-zone name Untrust import interface GigabitEthernet1/0/1 # security-policy ip rule 0 name Policy-Internet action pass logging enable counting enable source-zone Trust destination-zone Untrust # object-group ip address Customer-subnet172.16.10.0/240 network subnet 172.16.10.0 255.255.255.0 # object-group ip address Customer-subnet172.16.20.0/240 network subnet 172.16.20.0 255.255.255.0 # object-group ip address Customer-subnet172.16.30.0/240 network subnet 172.16.30.0 255.255.255.0 # nat policy rule name Snat_Internet source-ip Customer-subnet172.16.10.0/24 source-ip Customer-subnet172.16.20.0/24 source-ip Customer-subnet172.16.30.0/24 outbound-interface GigabitEthernet1/0/1 action easy-ip port-preserved

华为云配置信息说明 VPN网关IP：11.11.11.11 VPC子网：192.168.10.0/24，192.168.20.0/24 客户侧网关IP：22.22.22.22 客户侧子网：172.16.10.0/24，172.16.20.0/24，172.16.30.0/24 协商策略详情： 一阶段策略（IKE Policy） 认证算法（Authentication Algorithm）: sha2-256 加密算法（Encryption Algorithm）: aes-128 版本（Version）: v2 DH算法（DH Algorithm ）: group14 生命周期（Life Cycle）: 86400 二阶段策略（IPsec Policy） 传输协议（Transfer Protocol）: esp 认证算法（Authentication Algorithm）: sha2-256 加密算法（Encryption Algorithm）: aes-128 完美前向安全（PFS）：DH-group14 生命周期（Life Cycle）: 86400

IPsec配置指引 WEB页面的VPN配置过程说明： 登录设备WEB管理界面，在导航栏中选择“VPN ＞ IPsec”。 配置IKE提议：选择新建IKE提议，指定认证方式、认证算法、加密算法、DH、生命周期与华为云参数相同。 配置IPsec策略： 基本配置中选择设备角色为对等/分支节点，IP地址类型选择IPv4,接口选择外网接口，本地IP填写对接公网地址，对端IP地址填写华为云网关IP。 IKE策略中，协商模式与预共享秘密选择与华为相同配置，ike提议调用已创建提议，本端ID与对端ID均选择IPv4地址类型，值键入对应的公网IP。 保护数据流的源IP为本地私网网段，目的地址为华为云侧私网网段。 高级配置IPsec参数中封装模式、安全协议、认证算法、加密算法、PFS、生存时间均须要与华为云配置一致，建议开通DPD按时检测。 配置安全策略：添加客户侧私网网段与华为云私网网段互访的安全策略，服务为ANY，动作pass，推荐置顶这两条安全策略规则。 NAT策略：添加源地址为客户侧私网网段，目标为华为云私网网段动作为不做转换的nat规则，并将该规则置顶。 安全策略中需要添加本地公网IP与华为云网关IP的互访规则，协议为UDP的500、4500和IP协议ESP与AH，确保协商流和加密流数据正常传输。 不可以将公网IP的协商流进行NAT转发，须要确保本地公网IP访问华为云的流量不被NAT。 确保访问目标子网的路由指向公网出接口下一跳。 待加密数据流的网段请填写真实IP和掩码，请勿调用地址对象。 若客户侧网络存在多出口时，请确保客户侧访问华为云VPN网关IP及私网网段从建立连接的公网出口流出，推荐使用静态路由配置选择出口网络。 命令行配置说明： #增加地址对象 object-group ip address HWCloud_subnet192.168.10.0/240 network subnet 192.168.10.0 255.255.255.0 # object-group ip address HWCloud_subnet192.168.20.0/240 network subnet 192.168.20.0 255.255.255.0 #配置一阶段提议，算法详情与华为云相同 ikev2 proposal 100 encryption aes-cbc-128 integrity sha256 dh group14 prf sha256 # 配置两端协商PSK，PSK两端现同 ikev2 keychain IPsec-KEY peer keypeername address 11.11.11.11 255.255.255.255 pre-shared-key local plaintext ****** pre-shared-key remote plaintext ****** #配置IKEV2的Profile，调用PSK，匹配两端公网IP ikev2 profile IKE-PROFILE authentication-method local pre-share authentication-method remote pre-share keychain IPsec-KEY identity local address 22.22.22.22 match local address 22.22.22.22 match remote identity address 11.11.11.11 255.255.255.255 sa duration 86400 # 配置ike policy，类同ike对等体配置，调用ike阶段提议并于接口IP进行关联 ikev2 policy IKE-PEER proposal 100 match local address 22.22.22.22 # 配置感兴趣流 acl advanced 3999 rule 0 permit ip source 172.16.10.0 0.0.0.255 destination 192.168.10.0 0.0.0.255rule 1 permit ip source 172.16.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255rule 2 permit ip source 172.16.30.0 0.0.0.255 destination 192.168.10.0 0.0.0.255 rule 4 permit ip source 172.16.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255rule 5 permit ip source 172.16.20.0 0.0.0.255 destination 192.168.20.0 0.0.0.255rule 6 permit ip source 172.16.30.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 #配置二阶段提议 IPsec transform-set IPsec-PH2 encapsulation-mode tunnel esp authentication-algorithm sha256 esp encryption-algorithm aes-cbc-128 pfs dh-group14 #配置IPsec policy，调用感兴趣流和二阶段提议 IPsec policy IPsec-HW 1 isakmp transform-set IPsec-PH2 security acl 3999 local-address 22.22.22.22 remote-address 11.11.11.11 ikev2-profile IKE-PROFILE sa duration time-based 3600 #将IPsec policy绑定在协商接口下 interface GigabitEthernet1/0/1 ip address 22.22.22.22 255.255.255.0 tcp mss 1300 IPsec apply policy IPsec-HW #配置安全策略，放行两端私网的数据互访，放行公网IP间互访流量 security-policy ip rule 1 name IPsec-OUT action pass logging enable counting enable source-zone Trust destination-zone Untrust source-ip Customer-subnet172.16.10.0/24 source-ip Customer-subnet172.16.20.0/24 source-ip Customer-subnet172.16.30.0/24 destination-ip HWCloud_subnet192.168.10.0/24 destination-ip HWCloud_subnet192.168.20.0/24rule 2 name IPsec-IN action pass logging enable counting enable source-zone Untrust destination-zone Trust source-ip HWCloud_subnet192.168.10.0/24 source-ip HWCloud_subnet192.168.20.0/24 destination-ip Customer-subnet172.16.10.0/24 destination-ip Customer-subnet172.16.20.0/24 destination-ip Customer-subnet172.16.30.0/24rule 3 name IPsec-NEG-pass action pass logging enable counting enable source-ip 11.11.11.11 255.255.255.255 source-ip 22.22.22.22 255.255.255.255 destination-ip 11.11.11.11 255.255.255.255 destination-ip 22.22.22.22 255.255.255.255rule 0 name Policy-Internet…… #配置NAT策略，确保本地子网访问华为云子网no-nat nat policy rule name IPsec_NONAT source-ip Customer-subnet172.16.10.0/24 source-ip Customer-subnet172.16.20.0/24 source-ip Customer-subnet172.16.30.0/24 destination-ip HWCloud_subnet192.168.10.0/24 destination-ip HWCloud_subnet192.168.20.0/24 outbound-interface GigabitEthernet1/0/1 action no-nat rule name Snat_Internet…… #路由配置，访问华为云子网路由由公网接口流出 ip route-static 0.0.0.0 0 GigabitEthernet1/0/1 B.B.B.1…… 使用ikev1协商差异化配置说明： #无V2标识，算法有差异 ike proposal 100 authentication-algorithm sha256 encryption-algorithm aes-cbc-128 authentication-method pre-share dh group14 sa duration 86400 #无V2标识，一条命令完成协商PSK配置 ike keychain IPsec-KEY pre-shared-key address 11.11.11.11 255.255.255.255 key simple ******* #无V2标识，配置增加exchange-mode，直接调用一阶段提议，不用单独配置ike policy ike profile IKE-PROFILE keychain IPsec-KEY local-identity address 22.22.22.22 exchange-mode main //aggressivedpd interval 3 periodic match remote identity address 11.11.11.11 255.255.255.255 match local address 22.22.22.22 proposal 100

VPN配置过程 登录设备WEB管理界面，在控制台中选择“IPsec VPN配置 ＞ 第三方对接配置”。 安全提议：即配置二阶段提议，选择新增，弹出页签输入名称，协议、认证算法和加密算法与华为云保持一致（参见华为云配置信息说明）。 第一阶段： 基本配置：右侧选择新增，弹出页签键入名称，选择线路为出公网线路1，设备地址类型为对端固定IP，固定IP填写11.11.11.11，认证方式选择预共享密钥，并键入预共享密钥，勾选启用设备和启用主动连接。 高级配置：在基本页面左下角选择高级，在新弹出页签中配置存活时间、支持模式、D-H群、认证算法、加密算法等参数与华为云一致，推荐勾选启用DPD，间隔与次数保持默认即可。 特殊配置：深信服存在NAT穿越时，只能使用野蛮模式进行对接，且深信服设备不支持IKEv2，在选择野蛮模式时请设置深信服的身份ID为IPv4公网IP，即NAT之后的公网IP。 第二阶段： 入站策略：选择新增，弹出页签键入名称，源IP类型选择子网+掩码，一次输入一个华为云私网网段（192.168.10.0/24，192.168.20.0/24），服务选择所有服务，生效时间选择全天，勾选启用该策略。 出站策略：选择新增，弹出页签键入名称，源IP类型选择子网+掩码，一次输入一个本地私网网段（172.16.10.0/24，172.16.20.0/24，172.16.30.0/24），对端设备调用已配置的第一阶段提议，生命周期与华为云相同，服务选择所有服务，生效时间选择全天，勾选启用该策略，安全选项调用已配置的安全提议，勾选启用该策略和密钥完美向前保密（PFS）。 特殊配置：勾选PFS后二阶段D-H组与第一阶段相同，云下存在多个子网网段时，每一个出站策略均需要配置对端设备、安全选项和PFS。 防火墙规则设置：增加VPN-LAN，LAN-VPN的互访放行策略，服务分别为all-tcp，all-udp，ping。 安全策略中需要添加本地公网IP与华为云网关IP的互访规则，协议为UDP的500、4500和IP协议ESP与AH，确保协商流和加密流数据正常传输。 待加密数据流的网段请填写真实IP和掩码，请勿调用地址对象。 若客户侧网络存在多出口时，请确保客户侧访问华为云VPN网关IP及私网网段从建立连接的公网出口流出，推荐使用静态路由配置选择出口网络。

华为云配置信息说明 VPN网关IP：11.11.11.11 VPC子网：192.168.10.0/24，192.168.20.0/24 客户侧网关IP：22.22.22.22 客户侧子网：172.16.10.0/24，172.16.20.0/24，172.16.30.0/24 协商策略详情： 一阶段策略（IKE Policy） 认证算法（Authentication Algorithm）: sha2-256 加密算法（Encryption Algorithm）: aes-128 版本（Version）: v1 DH算法（DH Algorithm ）: group14 生命周期（Life Cycle）: 86400 协商模式（Exchange-mode ）: main 二阶段策略（IPsec Policy） 传输协议（Transfer Protocol）: esp 认证算法（Authentication Algorithm）: sha2-256 加密算法（Encryption Algorithm）: aes-128 完美前向安全（PFS）：DH-group14 生命周期（Life Cycle）: 86400

客户侧设备组网与基础配置假设 部署模式：网关模式。 内网接口：LAN 接口IP为192.168.10.1/24。 外网接口：线路1 即WAN1 接口IP为22.22.22.22/24。 缺省路由：线路1的网关IP,如22.22.22.1。 防火墙规则：LAN访问WAN，源地址、目标地址及服务均为any，动作通过。 代理上网网段配置：源接口LAN，源地址为内网网段，目的接口WAN1目标地址为All IP，转换为目的接口地址。

调用API获取项目ID 项目ID可以通过调用查询指定条件下的项目列表API获取。 获取项目ID的接口为“GET https://{Endpoint}/v3/projects”，其中{Endpoint}为 IAM 的终端节点，可以从地区和终端节点获取。接口的认证鉴权请参见认证鉴权。 响应示例如下，其中projects下的“id”即为项目ID。 { "projects": [ { "domain_id": "65382450e8f64ac0870cd180d14e684b", "is_domain": false, "parent_id": "65382450e8f64ac0870cd180d14e684b", "name": "project_name", "description": "", "links": { "next": null, "previous": null, "self": "https://www.example.com/v3/projects/a4a5d4098fb4474fa22cd05f897d6b99" }, "id": "a4a5d4098fb4474fa22cd05f897d6b99", "enabled": true } ], "links": { "next": null, "previous": null, "self": "https://www.example.com/v3/projects" }}

错误码 当您调用API时，如果遇到“APIGW”开头的错误码，请参见API网关错误码进行处理。 状态码 错误码 错误信息 描述 处理措施 400 MapDS.10000003 会话无效。 会话无效。 检查参数是否合法。 400 MapDS.10100002 参数为空。 参数为空。 检查参数是否合法。 400 MapDS.10100003 参数不符合规范。 参数不符合规范。 检查参数是否合法。 400 MapDS.10100004 凭证数量超规格。 凭证数量超规格。 请使用已创建的凭证。 401 MapDS.10000002 认证失败。 认证失败。 检查是否有权限。 404 MapDS.10100005 请求资源不存在。 请求资源不存在。 检查请求的参数。 500 MapDS.10000000 系统内部错误。 系统内部错误。 请稍后操作。 503 MapDS.10000001 系统忙，请稍后操作。 系统忙，请稍后操作。 请稍后操作。 父主题： 附录

响应参数 状态码： 200 表4 响应Body参数 参数 参数类型 描述 key String 凭证 create_time String 创建凭证的时间UTC时间格式：YYYY-mm-dd'T'HH:mm:ss.SSSSSS'Z'，e.g. "2020-01-08T06:26:08.123059Z" description String 凭证的描述信息。 status String 凭证状态“ACTIVE”

请求参数 表1 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String IAM用户的token，无需特殊权限。 Content-Type 是 String 该字段填为“application/json;charset=utf8”。 表2 请求Body参数 参数 是否必选 参数类型 描述 credential 否 credential object 创建访问地图数据服务的凭证。 表3 credential 参数 是否必选 参数类型 描述 description 否 String 凭证的描述。

请求参数 表1 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String IAM用户的token，无需特殊权限。 Content-Type 是 String 该字段填为“application/json;charset=utf8”。 表2 请求Body参数 参数 是否必选 参数类型 描述 keytype 是 String 用于为用户生成令牌的密钥 取值为primary或者secondary 每个用户只有2个apikey，primary的原则就是对比apiKey时间最早的那个。 如果只有一个apikey，primary和secondary都指同一个apiKey expiry 是 String 令牌到期UTC时间，格式如：2019-04-21T00:44:24Z 日期符合以下格式： yyyy-MM-ddTHH:mm:ssZ 由 ISO 8601 标准指定。 最小值不小于15min，最大值不超过24h

请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 Authorization 是 String 签名消息头为：Authorization: HMAC-SHA256 Clientid=xxxx,Expiry=xxxx,Signature=xxxxHMAC-SHA256为固定签名算法，Clientid、Expiry、Signature的值从获取获取SAS token请求返回的消息体中获取，要求Clientid，Expiry，Signature同时存在。

响应示例 状态码： 200 成功。 { "credentials" : [ { "uuid" : "LOSZM4YRVLKOY9E8X...", "create_time" : "2020-01-08T06:26:08.123059Z", "description" : "", "status" : "ACTIVE" }, { "uuid" : "P83EVBZJMXCYTMU...", "create_time" : "2020-01-08T06:25:19.014028Z", "description" : "", "status" : "ACTIVE" } ]}

响应参数 状态码： 200 表2 响应Body参数 参数 参数类型 描述 credentials Array of credentials objects 凭证信息。 表3 credentials 参数 参数类型 描述 uuid String 凭证id key String 凭证value create_time String 凭证创建时间 description String 凭证描述 status String 凭证状态

ModelArts.4204服务未开通报错 问题现象 子帐号在使用自定义OCR（ ModelArts Pro 文字识别套件）生成的api时，出现如下报错。表示用户，没有OCR权限或没有开通ModelArts Pro服务。 "ModelArts.4204"、"Request API error. The API xxx is not subscribed. 处理步骤 子帐号（IAM用户）需要联系主账户授予使用OCR服务的权限。为IAM用户授权过程请参见为IAM用户分配权限、IAM用户登录并验证权限。 授权时，子帐号所在的用户组，需要设置为OCR FullAccess权限。 图11 用户组权限 授权后，子帐号登录自定义OCR（ModelArts Pro ）页面，服务会自动开通。 在子用户已经具备OCR权限，并开通ModelArts Pro后，如果仍然无法调用，请检查子用户是否有“编程访问权限”。 图12 编程访问权限

API调用 本章节以postman为例介绍如何调用API，建议使用SDK。 使用API调用时，因为需要使用Token进行认证鉴权，在鉴权中，会存在因华为帐号升级导致的“无法使用主账户 获取Token ”的情况，产生“The username or password is wrong.”报错，该问题可以通过创建一个IAM子用户获取Token解决，处理步骤请参见帐密报错“The username or password is wrong.”。 获取Token。 由于自定义OCR部署在华北-北京四区域，因此需要获取北京四（cn-north-4）区域的Token。 POST https://iam.cn-north-4.myhuaweicloud.com/v3/auth/tokensRequest Header: Content-Type: application/jsonRequest Body:{ "auth": { "identity": { "methods": [ "password" ], "password": { "user": { "name": "IAM子用户名", "password": "密码", "domain": { "name": "主帐户的用户名" } } } }, "scope": { "project": { "name": "cn-north-4" } } } 图8 请求header 图9 请求body 调用自定义OCR API。 依据下图的对应关系，将自定义OCR部署后生产的API填写至postman中。url中的{endpoint}需要替换为ocr.cn-north-4.myhuaweicloud.com。 在"image"参数中，输入图片的base64编码即可调用API。 图10 调用自定义OCR API

SDK调用 本章节以Python SDK为例介绍如何进行使用，其他语言SDK使用方法相同。 获取SDK。 在自定义OCR的“部署”页面，选择“SDK调用”获取SDK。 图2 获取SDK 导入SDK至PyCharm（请在PyCharm中提前配置python环境）。 图3 导入SDK 获取AK、SK。 AK/SK（Access Key ID/Secret Access Key）即访问密钥，包含访问密钥ID（AK）和秘密访问密钥（SK）两部分，华为云通过AK识别用户的身份，通过SK对请求数据进行签名验证，用于确保请求的机密性、完整性和请求者身份的正确性。 登录访问密钥页面，依据界面操作指引，获取AK、SK。下载得到的访问密钥为credentials.csv文件，文件中的B列和C列分别是AK、SK信息。 图4 新增访问密钥 图5 AKSK文件 修改OCRDemo.py文件。 在文件中找到“aksk_request”，修改内容有两处： （1）填写获取的AK、SK。 （2）将代码示例中的请求url替换为自定义OCR部署后生成的url，只使用图片中用蓝色标注的字段进行替换。 （3）将代码示例中的# option["side"]="front"替换为： option["template_id"]="xxx" template_id的值可以在自定义OCR部署发布后获取。 图6 修改代码文件（修改前） 图7 修改代码文件（修改后） 调用自定义OCR SDK。 在示例代码“img_path”中输入需要识别的图片，并执行代码。

开通服务 进入 文字识别 控制台。 在文字识别控制台“总览”页面，选择需要使用的服务，执行开通操作。 服务开通成功后，开通状态显示“已开通”。 在界面左上角，可以切换服务部署的区域，例如北京四、上海一等。不同区域OCR部署情况请参考终端节点。 图1 开通服务 OCR开通服务时，计费规则默认为“按需计费”，按需计费时，不使用OCR服务，则不收费。如果您购买了套餐包，套餐包扣减规则请参见计费说明，套餐包购买后暂不支持退款。 如未开通服务，直接调用OCR API会提示ModelArts.4204报错。 使用文字识别服务时，可以通过配置OBS访问权限搭配使用。服务只需要配置一次即可，后面使用时无需再次配置，详细信息请参见配置OBS访问权限章节。 父主题： 如何调用API

修改标题与描述 登录新版应用设计器。 在页面左上角，单击应用名称后的下拉框，选择“修改应用图标和描述”。 您也可以在左侧导航栏中，选择“设置”，在应用信息中，单击“修改标题与描述”。 图1 选择修改应用图标和描述 设置应用名称、标题、图标等信息，单击“保存”。 应用名称：创建应用时设置的标签值，单击，可进行国际化设置。 应用描述：应用的附加描述信息，单击，可进行国际化设置。 应用图标：设置应用Logo，单击“上传”，可上传本地的图片作为应用的Logo图标。 图标颜色：设置应用Logo中，图标的颜色。 选择图标：选择图标的样式。

操作步骤 登录新版应用设计器。 在主菜单中，选择“检查”，进入立即检查页面。 图1 选择检查 检查完成后，在页面上方的“检查”，会显示问题个数。 图2 查看问题个数 单击下方立即检查后的，选择当前工程的内核版本，单击“确定”。 图3 选择内核版本 查看异常信息，根据异常信息内容解决问题。 立即检查：执行应用检查，检测应用中的元素是否存在问题。 异常描述：给出异常问题的描述信息，指明错误原因。 资源类型：出现异常问题的元素类型。 来自应用：出现异常问题的应用。 资源：出现异常问题的具体元素，单击则可跳转至对应组件元素。 检测完成后，若无异常信息，应用可以正常打包发布。

设置应用说明 登录新版应用设计器。 在左侧导航栏中，选择“设置”，进入应用设置页面。 在应用信息中，单击“编辑使用说明”。 为应用添加使用说明，支持多语言，即不同语言下的应用说明。 “用户访问时是否自动弹出”设置为“不弹出”，运行该应用后，用户访问时不会弹出应用使用说明页。 “用户访问时是否自动弹出”设置为“可勾选下次不再弹出”，运行该应用后，用户首次访问时会弹出应用说明页，且弹出页会显示参数“下次不再弹出”供用户勾选。 图2 编辑应用使用说明 配置完成后，用户访问应用时，可参考图3，查看应用说明。 图3 查看说明

图形化建模 图形化建模面向所有低代码应用开发者，提供简单易懂的数据库对象建模工具并复用知识经验，降低开发者的学习难度和技能门槛。 图4 初识对象设计器 映射工程目录 如何创建一个对象中介绍了对象及对象目录的创建，其中每个对象目录都可以映射为一个设计图，单击目录即可切换设计图。设计图用于展示目录中，对象之间的关系。 应用设计器数据视图的对象目录，本身就映射到一个设计图，设计图的名称即目录名称。 对象中每创建一个目录，就映射为一个独立的设计图。 目录中再创建目录，也映射为独立的设计图。 设计图上方，通过面包屑显示映射的目录路径，通过面包屑可切换设计图。 图5 对象目录路径 选中左侧工程目录中的对象和目录，设计图面包屑及对象图元会同步被选中。 对象和关系 设计图中，显示了当前目录下的所有对象图元。 对象图元上显示对象名称、字段名称和字段类型。 单击对象模型中的，可展开对象模型，查看对象的标准字段（Standard Fields）。标准字段由系统自动创建，无需用户创建。单击对象模型中的，可收起对象模型。 图6 对象图元 对象和对象之间的关系显示为关系连线。关系连线上显示关系名称，具体可参考关联对象。 属性面板 选中对象图元时，设计图右侧会显示该对象的属性面板。 图7 对象属性面板 属性面板的主要用途如下： 显示对象基本信息，如名称、唯一标识和描述。单击“更多信息”，会展示创建人、创建时间等信息。 设置该对象是否对外公开，是否可被其他应用访问。 修改属性后，单击“保存”，可保存修改的内容。 单击“删除”，可删除该对象。 自动排版 在设计器上方，单击“自动排列”，可自动排版设计图上的对象位置，以获取较好的视觉呈现。 图8 自动排版

操作步骤 登录新版应用设计器。 单击页面右上方的，进入协作页面。 单击“开发者”，开启“开发者管理已开启”功能。 开启后，可以管理哪些用户，可以访问和编辑该应用，并设置权限。默认该开关关闭，表示环境上所有开发者，都可以访问并编辑该应用。 只有拥有“应用管理”权限的用户，才能开启关闭此开关，有权添加用户、删除用户及修改用户权限。 当用户新创建一个应用时（包括克隆、导入），该用户默认具备应用的所有权限，因此该用户可以开启和关闭开关。 图1 开发者 图2 开启此开关 单击“添加”，选择所需开发人员，单击“下一步”。 应用的管理者或应用的创建者，可以为当前应用添加开发者用户。被添加的开发者用户，可以访问或编辑该应用，由权限控制。 图3 选择用户 为添加的用户设置权限，单击“确定”。 选择“是”，按需为开发人员分配对应权限。用户必须要有查看应用权限项，才能通过应用设计器（包括新版和经典版）打开应用，否则进入应用设计器时会提示“您没有访问该应用的权限”。 图4 为用户设置权限 选择“否”，表示默认拥有原有的开发权限。被添加到应用中的标准用户，已在环境中具备了某种角色，在该应用中，此用户默认按其系统角色包含的权限来操作应用。 设置完成后，单击“确定”，完成用户的添加。 单击已添加用户后的，可修改用户权限。 单击已添加用户后的，可移除已添加的用户。开启“开发者管理”权限的用户，无法修改其应用权限，也不可以删除该用户。

低代码平台中的对象 低代码平台中的对象（也可以称为Object）相当于传统方式开发业务系统时，数据库中创建的一个表。每个对象对应一张数据库表，用于保存业务系统需要的配置数据和业务数据。 对象可以存储组织或业务特有的数据，您可以围绕对象这一核心，定义相关的字段、字段校验规则、界面样式、字段变更时的触发事件等。如果把待开发的业务系统比作一部电影，对象就是电影中的各个角色，需要勾勒角色的外貌、性格特点、人物关系和所经历的剧情。 低代码平台预置了一部分标准对象（Standard Object），您可以为这些标准对象新增字段，但不能修改、删除预置字段。租户开发者也可以根据自己的业务需要，创建自定义对象（Custom Object），支持增、删、改自定义对象及自定义对象的字段。 创建一个自定义对象后，系统会为自定义对象自动创建一些标准字段（Standard Fields），如图1所示。 图1 自定义对象的标准字段

添加索引 登录新版应用设计器。 在左侧导航栏中，选择“数据”。 单击已创建的对象，进入对象设计器页面。 单击对象中的，进入对象详情页面。 在“索引”页签，单击“添加”。 设置索引信息，单击“保存”。 图1 设置索引信息 显示名称：索引在界面的展示名称，创建后可修改 唯一标识：索引在系统中的唯一标识，创建后不支持修改。 索引类型：选择新建索引的类型，支持普通索引和唯一索引。 普通索引：允许被索引的数据列包含重复的值，可按需选择绑定的字段数。 唯一索引：被索引的数据列不包含重复值，保证数据记录的唯一性，必须绑定两个字段。 字段：索引关联的数据字段。 文本、密文、文本区、复选框、选项列表（多项选择）、公式、多语言和附件字段类型不支持创建索引。 使用关联字段（查找关系与主从关系）创建索引时，必须绑定两个及以上字段。

操作步骤 登录新版应用设计器。 在左侧导航栏中，选择“数据”。 单击已创建的对象，进入对象设计器页面。 单击对象后的，进入添加关联页面。 图1 创建对象关系 设置关联关系，单击“下一步”。 图2 选择关系类型 查找关系：引用目标对象的记录，通过关联当前字段与另一对象的ID字段，创建本对象与另一对象的引用关系。定义了查找关系后，本字段的取值只能来源于关联对象。当本对象的记录被删除时，被引用记录不受影响。例如，学生对象到班级对象的关联关系。 主从关系类型：目标对象为当前对象的子表，通过关联当前字段与另一对象的ID字段，创建本对象与另一对象的主从关系。定义了主从关系后，本字段的取值只能来源于关联主对象。当本对象的记录被删除时，子表记录会被一起删除。例如，订单对象和订单明细对象的关联关系。 设置关系类型的基本信息，单击“确定”。 显示名称：关联关系在界面的展示名称。 唯一标识：关联关系在系统中的唯一标识，创建后不支持修改。 关联对象：选择关联目标，下拉框展示当前应用内所有对象的显示名称。 对象与目标对象创建关系后，会产生关系连线， 如图3所示。 图3 关联对象 关联关系两端显示和，表示1对多关系。目前查找关系和主从关系都是1对多关系，低代码平台暂无1对1的关系设置。 箭头从有关系字段的对象，指向被关联的对象。 关系连线被选中时，右侧显示关系字段的属性面板。在右侧属性面板中，可以修改关联字段的属性信息或删除关联字段。

操作步骤 登录新版应用设计器。 在左侧导航栏中，选择“数据”。 单击视图后的，进入新建视图对象页面。 图3 进入新建视图对象页面 单击“新建”，设置视图对象的基本信息，单击“下一步”。 图4 设置基本信息 标签：新建视图对象的标签，用于在页面显示。 名称：视图对象在系统中的唯一标识，创建后不支持修改。输入标签后单击该参数的输入框，系统会自动生成视图对象的名称。同时会自动增加“__VIEW__ CS T”后缀和命名空间前缀，作为对象的唯一标识。 描述：新建视图对象的描述信息。 设置对象联结，单击“下一步”。 在A中选择主对象，单击“点击以关联另一个对象”后，在B中选择另一个对象，设置关联关系，单击加号设置“关联条件”。 如图5，表示当部门ID相同时，取两个对象表数据中的交集。对象联结最多支持三个Object连接，两个Object之间的连接条件由各自的字段及操作符所组成，连接条件可以有多条。 图5 配置关联关系 每个“A”对象的记录至少关联一条“B”的记录：表示结果取满足对象之间设定条件的“且”合集。 “A”对象的记录可以关联或不关联“B”的记录：表示结果取满足对象之间设定条件的“或”合集。 关联条件：表示对象之间的关联条件。 在映射信息页面，单击“字段映射”中“添加”，选择所需的字段（选择的字段将作为视图对象展示的字段），设置标签。 支持增加记录筛选条件，只有满足该条件，才会展示在视图中。本示例不涉及。 图6 映射信息配置 单击“下一步”， 预览视图对象对应的SQL语句。 图7 预览 核对信息无误后，单击“保存”，进入视图对象的详情页面。 “自定义字段”页签中，显示了配置的展示字段。 在“关联对象”页签中，单击，可查看视图对象对应的SQL语句。

操作步骤 登录新版应用设计器。 在左侧导航栏中，选择“数据”。 单击已创建的对象，进入对象设计器页面。 选中对象图元，在右侧属性面板中，单击“生成页面”。 图1 生成页面 在生成页面中，选中“更新已有页面”。 在显示的页面列表中，选择对应的页面，单击“保存”。 图2 更新已有页面 该列表显示的是由该对象直接生成的页面，不包括开发者通过创建新页面生成的页面（即使也绑定了该对象模型）。 页面的显示名称和唯一标识以及内容可能已被更改，但仍然归属此对象的生成页面。