华为云用户手册

HTTP请求检查 向容器发送HTTP GET请求，如果探针收到2xx或3xx，说明容器是健康的。 例如下图这个配置，IEF会在容器启动10秒（延迟时间）后，发送HTTP GET请求到“http://{实例IP}/healthz:8080”，如果在2秒（超时时间）内没有响应则视为检查失败；如果请求响应的状态码为2xx或3xx，则说明容器是健康的。 这里无需填写主机地址，默认直接使用实例的IP（即往容器发送请求），除非您有特殊需求。 图1 HTTP请求检查

设备孪生（DeviceTwin） 终端设备通常包含两类数据： 一是不会改变的元数据，包括序列号、资产标识符、Mac地址等描述设备信息的数据。这种数据也可以称为终端设备的静态属性或设备属性。 另一类是终端设备的动态数据，包括特定背景下的终端设备专有实时数据，例如灯的开、关状态。这种数据也可以称为终端设备的孪生属性。 设备孪生具有与物理设备相同的特性，便于终端设备与应用之间进行更好地通信。应用发送的命令首先到达设备孪生，设备孪生根据应用设置的Expected State（期望的状态）进行状态更新，此外终端设备实时反馈自身的Actual State（真实的状态），设备孪生同时记录终端设备的Actual State和Expected State 。这种方式也使终端设备在离线状况下再次上线时，终端设备的状态也能得到同步。 图2 DeviceTwin 在IEF中可以创建终端设备，并能将终端设备与边缘节点关联，关联后会在边缘节点上保存被关联设备的属性和孪生信息。边缘节点上的应用程序可在边缘节点获取终端设备属性、设备孪生信息、以及修改终端设备孪生期望值和真实值。同时IEF负责同步云、边的孪生信息，当有冲突时，将以边缘侧的修改为主。 详细的终端设备状态边云协同机制请参见设备孪生工作原理。

使用IEF构建边缘计算 使用IEF构建边缘计算的步骤如图1所示。 纳管边缘节点，绑定终端设备。 使用IEF构建边缘计算首先需要将边缘节点纳入IEF的管理（通过在边缘节点安装边缘节点软件），并将终端设备绑定到边缘节点，做完这些后您就可以通过IEF往边缘节点部署应用。 纳管边缘节点、绑定终端设备的详细内容将在节点管理和终端设备管理中介绍。 开发应用并制作镜像，上传到 容器镜像服务 （SWR）。 这个步骤是针对实际业务场景开发应用，开发完成后制作成容器镜像，并上传到SWR上，这样后面IEF下发应用后，边缘节点就可以从SWR中拉取应用镜像。 虽然这里将开发应用放在了步骤 1之后，但这两个步骤之间并没有明确的先后顺序，您也可以先开发应用，然后再纳管边缘节点、绑定终端设备。 部署应用。 边缘节点纳管、应用开发完后，就可以通过IEF将应用部署到边缘节点，运行您的实际业务。 应用运行后，就能通过 AOM 对应用进行监控和告警，提供运维便利性。 部署应用的详细内容将在容器应用管理中详细介绍。 （可选）回传数据到云上做进一步处理，根据处理结果更新应用。 这个步骤与IEF的使用本身没有强相关，但是这是一个常见的根据数据改进应用的方法，您可以根据自身需求选择是否操作。 图1 构建边缘计算

亲和与反亲和调度策略 在创建容器应用时，可以设置亲和/反亲和调度策略，例如将某类应用部署到某些特定的节点、不同应用部署到不同的节点等等。 IEF当前支持简易的调度策略，具体如下。 亲和性 容器应用与节点亲和：当容器应用与节点亲和时，容器应用只会调度到亲和的这些节点中。在设置节点的亲和与反亲和时，如果设置了与某些节点亲和，那就没有必要再设置与其他节点反亲和，因为与这些节点亲和了，必然不会调度到其他节点。 容器应用与容器应用亲和：当容器应用A与容器应用B亲和时，容器应用A只会调度到容器应用B所在的节点。 反亲和性 容器应用与节点反亲和：当容器应用与节点反亲和时，容器应用不会调度到反亲和的这些节点中。 容器应用与容器应用反亲和：当容器应用A与容器应用B反亲和时，容器应用A不会调度到容器应用B所在的节点。

亲和反亲和策略示例 您可以同时设置多个亲和反亲和对象。例如当前节点组有4个节点，Node1、Node2、Node3和Node4，容器应用App1的实例运行在Node1和Node2上，容器应用App2的实例运行在Node3上。这时您需要创建一个容器应用App3，容器应用App3与节点Node1、Node2、Node3亲和，与容器应用App1亲和，与容器应用App2反亲和，那容器应用App3只会被调度到Node1、Node2上。下图示例中，App3只有一个实例，被调度到了Node1上。 图1 App3被调度到Node1上

状态说明 批量应用升级作业有以下八种状态。 排队中：作业等待执行 执行中：作业处于执行状态 成功：全部任务执行成功 部分成功：部分任务执行成功 失败：全部任务执行失败 停止中：作业处于停止中 已停止：作业已停止 更新超时：作业排队和执行时间超过10分钟仍未完成 批量作业执行过程中可以停止，停止后可以继续。 如果批量作业执行失败、部分成功或更新超时，可以重试执行作业，将未执行成功的作业再次执行一遍。

状态说明 批量节点升级作业有以下八种状态。 排队中：作业等待执行 执行中：作业处于执行状态 成功：全部任务执行成功 部分成功：部分任务执行成功 失败：全部任务执行失败 停止中：作业处于停止中 已停止：作业已停止 更新超时：作业排队和执行时间超过10分钟仍未完成 批量作业执行过程中可以停止，停止后可以继续。 如果批量作业执行失败、部分成功或更新超时，可以重试执行作业，将未执行成功的作业再次执行一遍。 图2 重试

注意事项 为了让您的边缘节点应用更稳定可靠的运行，IEF不会主动升级您的边缘节点上的EdgeCore，需要由您在业务影响最小的时间窗内进行节点升级，以减轻对您业务的影响。 处于维护周期中的版本升级，边缘节点上的应用业务不会中断，如果您有使用消息路由功能，可能会有短暂影响。 处于维护周期外的版本升级，可能会因为容器重启引起业务的短暂中断。 请勿在节点升级过程中变更节点配置，比如重启Docker、安装卸载GPU/NPU驱动、OS内核升级、变更网络配置等，这些操作会增大节点升级失败风险。

IEF自定义策略样例 授权用户创建、更新应用和应用模板的权限。 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "ief:deployment:create", "ief:appVersion:update", "ief:deployment:update", "ief:application:create" ], "Condition": { "StringEquals": { "ief:AssumeUserName": [ "test" ] } }, "Resource": [ "ief:*:*:deployment:*", "ief:*:*:appVersion:*", "ief:*:*:application:*" ] } ]}

支持审计的关键操作列表 表1 云审计 服务支持的IEF操作列表 操作名称 资源类型 事件名称 注册边缘节点 node createEdgeNode 更新边缘节点 node updateEdgeNode 删除边缘节点 node deleteEdgeNode 创建边缘节点组 group createEdgeGroup 更新边缘节点组 group updateEdgeGroup 删除边缘节点组 group deleteEdgeGroup 创建设备模板 deviceTemplate createDeviceTemplate 更新设备模板 deviceTemplate updateDeviceTemplate 删除设备模板 deviceTemplate deleteDeviceTemplate 注册设备 device createDevice 更新设备 device updateDevice 删除设备 device deleteDevice 部署Edge-Connector device deployConnector 更新设备孪生 device updateDeviceTwin 更新设备访问配置 device updateDeviceAccessConfig 创建应用模板 application createApplication 更新应用模板 application updateApplication 删除应用模板 application deleteApplication 创建应用模板版本 appVersion createAppVersion 更新应用模板版本 appVersion updateAppVersion 删除应用模板版本 appVersion deleteAppVersion 创建配置项 configmap createConfigMap 更新配置项 configmap updateConfigMap 删除配置项 configmap deleteConfigMap 创建容器应用 deployment createDeployment 更新容器应用 deployment updateDeployment 删除容器应用 deployment deleteDeployment 查询容器应用列表 deployment getDeploymentList 查询容器应用 deployment getDeployment 创建端点 endpoint createEndpoint 删除端点 endpoint deleteEndpoint 添加节点证书 node AddNodeCert 删除节点证书 node deleteNodeCert 升级固件 nodeFirmware UpgradeNodeFirmware 查询应用实例列表 Pods getPods 查询实例 Pod getPod 创建节点注册作业 product createProduct 删除节点注册作业 product deleteProduct 创建节点升级作业/创建应用部署作业/创建应用升级作业 batchJob createJob 停止节点升级作业/停止应用部署作业/停止应用升级作业 batchJob pauseJob 删除节点升级作业/删除应用部署作业/删除应用升级作业 batchJob deleteJob 恢复节点升级作业/恢复应用部署作业/恢复应用升级作业 batchJob restoreJob 重试节点升级作业/重试应用部署作业/重试应用升级作业 batchJob retryJob 查询配额 quota getQuota 更新配额 quota updateQuota 创建规则 rule createRule 删除规则 rule deleteRule 更新规则 rule updateRule 创建密钥 secret createSecret 更新密钥 secret updateSecret 删除密钥 secret deleteSecret 过滤标签 Tags filterTags 批量添加删除标签 Tags batchAddDeleteTags 添加标签 Tags addTag 删除标签 Tags deleteTag 绑定加密数据 encryptdata bindEncryptdata 创建加密数据 encryptdata createEncryptData 删除加密数据 encryptdata deleteEncryptData 解绑加密数据 encryptdata unbindEncryptdata 更新加密数据 encryptdata updateEncryptData 创建网关 gateway createGateway 创建虚拟服务 gateway createVirtualService 删除网关 gateway deleteGateway 删除虚拟服务 gateway deleteVirtualService 更新网关 gateway updateGateway 更新虚拟服务 gateway updateVirtualService 创建系统订阅 Systemevent createSystemevent 删除系统订阅 Systemevent DeleteSystemevent 启用系统订阅 Systemevent startSystemevent 停用系统订阅 Systemevent stopSystemevent

订阅后说明 创建系统订阅后，当有系统事件发生，在IEF控制台系统订阅列表中，会记录消息转发的次数。 图3 转发消息数 同时IEF会调用APIG中注册的API，请求消息体如下所示。请求消息体采用标准的CloudEvents格式，CloudEvents详细信息请参见这里。 {"data": {"event_type": "instance","operation": "created","timestamp": 134567677,"topic": "$hw/events/deployment/+/created","name": "xxxx","attributes": {"ID":"x"}}, "datacontenttype": "application/json","source": "sysevents","id": "xxxx","time": "2020-11-5 xxx"} data：系统事件的数据。 event_type：资源类型，String类型。 operation：资源的操作类型，String类型。 topic：消息发送的Topic，String类型。 timestamp：事件产生的时间戳，Uint64类型。 name：资源名称，String类型。 attributes：资源的属性，删除资源时消息中无此参数，Object类型。 datacontenttype：系统事件数据内容的格式，String类型。 source：系统事件的来源，String类型。 id：系统事件ID，String类型。 time：系统事件产生时间，String类型。 当前支持的资源类型、操作和Topic如下表所示。 表2 支持订阅的事件 系统事件 Topic 资源类型 操作 实例创建 $hw/events/instance/+/created 应用实例（instance） created 实例更新 $hw/events/instance/+/updated 应用实例（instance） updated 实例删除 $hw/events/instance/+/deleted 应用实例（instance） deleted 应用删除 $hw/events/deployment/+/deleted 容器应用（deployment） deleted 应用创建 $hw/events/deployment/+/created 容器应用（deployment） created 应用更新 $hw/events/deployment/+/updated 容器应用（deployment） updated 节点创建 $hw/events/edgeNode/+/created 边缘节点（edgeNode） created 节点更新 $hw/events/edgeNode/+/updated 边缘节点（edgeNode） updated 节点删除 $hw/events/edgeNode/+/deleted 边缘节点（edgeNode） deleted 节点上线 $hw/events/edgeNode/+/online 边缘节点（edgeNode） online 节点离线 $hw/events/edgeNode/+/offline 边缘节点（edgeNode） offline 设备创建 $hw/events/device/+/created 终端设备（device） created 设备更新 $hw/events/device/+/updated 终端设备（device） updated 设备删除 $hw/events/device/+/deleted 终端设备（device） deleted

支持订阅的事件 当前支持订阅如下事件。 表1 支持订阅的事件 系统事件 Topic 资源类型 操作 实例创建 $hw/events/instance/+/created 应用实例（instance） created 实例更新 $hw/events/instance/+/updated 应用实例（instance） updated 实例删除 $hw/events/instance/+/deleted 应用实例（instance） deleted 应用删除 $hw/events/deployment/+/deleted 容器应用（deployment） deleted 应用创建 $hw/events/deployment/+/created 容器应用（deployment） created 应用更新 $hw/events/deployment/+/updated 容器应用（deployment） updated 节点创建 $hw/events/edgeNode/+/created 边缘节点（edgeNode） created 节点更新 $hw/events/edgeNode/+/updated 边缘节点（edgeNode） updated 节点删除 $hw/events/edgeNode/+/deleted 边缘节点（edgeNode） deleted 节点上线 $hw/events/edgeNode/+/online 边缘节点（edgeNode） online 节点离线 $hw/events/edgeNode/+/offline 边缘节点（edgeNode） offline 设备创建 $hw/events/device/+/created 终端设备（device） created 设备更新 $hw/events/device/+/updated 终端设备（device） updated 设备删除 $hw/events/device/+/deleted 终端设备（device） deleted

IEF预置的告警 IEF为每个边缘节点预置了7个告警规则，这7类告警会自动上报到AOM。 告警名称 触发条件 清除条件 告警等级 容器引擎异常 边缘节点配置Docker使能时，查询Docker信息失败 Docker正常运行，EdgeCore能够获取到Docker信息 紧急 存活探针异常 应用配置存活探针，探针检测到异常 容器探针检测成功 重要 申请GPU资源失败 部署GPU应用，申请GPU资源失败 成功申请到GPU资源 紧急 获取GPU信息失败 边缘节点配置GPU使能时，查询GPU信息失败 成功查询到GPU信息 紧急 AK/SK无效 EdgeHub连续10次分发临时AK/SK，检测到过期或者状态异常 EdgeHub成功分发临时AK/SK 重要 应用重启 应用容器异常重启 无需清除 次要 容器绑定网卡异常 容器绑定的网卡发生异常 容器绑定的网卡状态正常 紧急 图6 查看告警

日志说明 边缘节点会上传系统日志和应用日志，您需要在IEF控制台上打开日志开关。 系统日志：边缘节点上IEF软件（如edge-core、edge-logger和edge-monitor等）产生的日志。 应用日志：边缘节点上部署的应用所产生的日志。 边缘节点会上传“/var/IEF/app/log”目录的日志，您可以在创建应用时将容器中目录挂载到“/var/IEF/app/log/{appName}”下，具体挂载方法请参见▪hostPath：将主机某个目录挂载到容器中。在AOM中可以按{appName}分类查看到应用的日志。 边缘节点会上传容器日志，日志组件会上传“{{DOCKER_ROOT_DIR}}/containers/{containerID}/{containerID}-json.log”文件的内容，DOCKER_ROOT_DIR可以通过docker info命令查询到，containerID就是容器ID。

操作步骤 在边缘节点上执行如下命令修改EdgeCore配置，并保存。 vi /opt/IEF/Edge-core/conf/edge.yaml 支持配置的参数如下表所示： 表1 参数说明 组件 参数 说明 取值 edge-core interface-name 网卡名称 默认：eth0 internal-server 内置mqtt broker监听地址 tls://lo:8883,tls://docker0:8883 mage-gc-high-threshold 触发镜像垃圾回收的磁盘使用率百分比 默认：80 image-gc-low-threshold 镜像垃圾回收试图释放资源后达到的磁盘使用率百分比 默认：40 swr-url 拉取镜像的代理地址 默认："" 更改完配置之后，重启EdgeCore。 systemctl restart edgecore

消息端点 IEF提供如下默认消息端点： SystemEventBus：边缘节点上的MQTT，代表节点通信，可以作为源端点向云上发数据，也可以作为目的端点，接收云上消息。端点资源为边缘节点MQTT Topic。 SystemREST：云端的REST网关接口，可以作为源端点，向边缘侧发送REST请求。端点资源为REST请求的路径。 您还可以创建如下消息端点： Service Bus：边缘节点上的事务请求处理端点，可以作为目的端点，处理文件上传请求。端点资源为REST请求的路径。 DIS： 数据接入服务 ，可以作为目的端点，接收由IEF转发的数据。端点资源为在DIS服务中创建的DIS通道。 APIG：API网关服务，可以作为目的端点，接收由IEF转发的数据。端点资源为在API网关服务中创建的API地址。

消息路由 目前支持如下几种消息转发路径： SystemREST到Service Bus：通过调用云端的REST Gateway接口，获取边缘节点上的文件服务。需配合边缘市场中的边缘文件服务应用一起使用。 SystemREST到SystemEventBus：通过调用云端的REST Gateway接口，向边缘节点中的SystemEventBus（MQTT broker）发送消息。 SystemEventBus到DIS/APIG服务：您可以将终端设备数据发送到边缘节点SystemEventBus（MQTT broker）的自定义Topic中，IEF会将这些数据转发到DIS通道或APIG后端地址。数据转发到DIS通道或者APIG后端地址后，您可以提取这些数据，并对数据进行处理分析。这条路径需要在创建消息路由时自定义MQTT Topic，自定义Topic的详细说明请参见自定义Topic。

为什么选择智能边缘平台 云计算是集中化的，离终端设备（如摄像头、传感器等）较远，对于实时性要求高的计算需求，把计算放在云上会引起网络延时变长、网络拥塞、服务质量下降等问题。而终端设备通常计算能力不足，无法与云端相比。在此情况下，边缘计算顺应而生，通过在靠近终端设备的地方建立边缘节点，将云端计算能力延伸到靠近终端设备的边缘节点，从而解决上述问题。 智能边缘平台（Intelligent EdgeFabric）通过纳管您的边缘节点，提供将云上应用延伸到边缘的能力，联动边缘和云端的数据，满足客户对边缘计算资源的远程管控、数据处理、分析决策、智能化的诉求，同时，在云端提供统一的边缘节点/应用监控、日志采集等运维能力，为企业提供边、云协同的一体化边缘计算解决方案。

数据保护技术 智能边缘平台服务通过多种数据保护手段和特性，保障存储数据的安全可靠。 表1 智能边缘平台服务的数据保护手段和特性 数据保护手段 简要说明 详细介绍 传输加密（HTTPS） 为保证数据传输的安全性，IEF仅支持传输更安全的HTTPS协议。 构造请求 加密数据 加密数据是一种用于对敏感信息进行加密的资源类型，可以帮助您对敏感数据进行加密保存，边缘应用可以通过访问边缘MQTT Server获取明文数据。 加密数据 消息路由管理 IEF提供了边 云消息 路由功能，您可以配置消息路由，IEF根据消息路由将消息转发至对应端点，让消息按照规定的路径转发，灵活控制数据路由，并提高数据安全性。 边云消息概述 父主题： 安全

IEF权限 默认情况下，管理员创建的 IAM 用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 IEF部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域（如华北-北京四）对应的项目（cn-north-4）中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问IEF时，需要先切换至授权区域。 权限根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。具有Tenant Administrator系统角色的用户可以操作IEF所有资源。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。多数细粒度策略以API接口为粒度进行权限拆分。 如表1所示，包括了IEF的所有系统权限。 表1 IEF系统权限 系统角色/策略名称 描述 类别 依赖关系 IEF FullAccess IEF管理员权限，拥有该权限的用户可以操作并使用IEF的基本资源。注意：如需操作IEF所有资源，请配置Tenant Administrator系统角色。 系统策略 无 IEF ReadOnlyAccess IEF只读权限，拥有该权限的用户仅能查看IEF资源。 系统策略 无 表2列出了IEF常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表2 常用操作与系统权限的关系 操作 IEF FullAccess IEF ReadOnlyAccess Tenant Administrator 创建/删除/修改服务实例 √ x √ 查看服务实例 √ √ √ 切换实例 √ √ √ 创建/删除/修改边缘节点 √ x √ 查看边缘节点 √ √ √ 创建/删除/修改边缘节点组 √ x √ 查看边缘节点组 √ √ √ 创建/删除/修改边缘容器应用 √ x √ 查看边缘容器应用 √ √ √ 创建/删除/修改设备 √ x √ 查看设备 √ √ √ 创建/删除/修改应用部署 √ x √ 查看应用部署 √ √ √ 创建/删除/修改应用模板 √ x √ 查看应用模板 √ √ √ 创建/删除/修改节点注册作业 √ x √ 查看节点注册作业 √ √ √ 创建/删除/修改消息端点 √ x √ 查看消息端点 √ √ √ 创建/删除/修改消息路由 √ x √ 查看消息路由 √ √ √ 创建/删除/修改批量作业 √ x √ 查看批量作业 √ √ √ 创建/删除/修改配置项 √ x √ 查看配置项 √ √ √ 创建/删除/修改密钥 √ x √ 查看密钥 √ √ √ 创建/删除/修改加密数据 √ x √ 查看加密数据 √ √ √ 创建/删除/修改系统订阅 √ x √ 查看系统订阅 √ √ √ 创建/删除/修改插件 √ x √ 查看插件 √ √ √

服务实例版本 IEF有专业版和铂金版服务实例供您选择。 专业版：共享管理面集群。支持节点管理、设备管理、容器应用管理、批量作业管理和边云消息等功能。 铂金版：独享管理面集群，支持管理大规模节点，性能更高。在专业版基础上，增加支持节点组、应用网格等功能。 具体差异请参见表1。 表1 版本功能说明 功能特性 说明 专业版 铂金版 边缘节点管理 支持注册、纳管边缘节点 √ √ 终端设备管理 支持注册终端设备，支持绑定终端设备到边缘节点 √ √ 容器应用管理 支持下发容器应用到边缘节点 √ √ 边云消息路由 提供边云消息通道，支持边云消息转发 √ √ 多网络接入支持 支持Internet、VPN和专线接入 √ √ 监控运维 支持监控运维 √ √ 批量作业 支持批量创建容器应用、批量更新容器应用、批量注册边缘节点、批量升级边缘节点 √ √ 边缘节点组 支持创建边缘节点组，将具备相同属性（如硬件架构）的多个边缘节点组成一个边缘节点组，以便统一化管理 × √ 多实例支持 支持多个容器应用实例 × √ 独享集群 支持独享管理面集群 × √ 应用网格 支持服务发现；应用流量治理，包括负载均衡等多种治理能力 × √ 插件管理 支持插件管理能力。 √ √ Kubernetes原生接口开放 支持通过kubectl操作服务实例对应的Kubernetes集群 × √

CDN边缘站点管理 对部署在全国各地的CDN边缘站点进行统一管理，帮助用户实现应用自动化调度，弹性伸缩以及边缘站点和边缘应用运维。 优势： 弹性伸缩：可根据用户的业务需求和预设策略，自动调整计算资源，使云服务器或容器数量自动随业务负载增长而增加，随业务负载降低而减少，保证业务平稳健康运行。 智能化调度：提供节点间亲和性调度以及应用间亲和性调度。 立体化运维：实时监控业务健康状态和边缘节点状态，保障应用稳定运行。 本地自治：支持边缘节点离线处理，在边缘节点与云中心网络断开后，业务可以正常运行。 图2 CDN边缘站点管理

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的 云安全 挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 类云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。华为云租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、 虚拟主机 和访客虚拟机的操作系统，虚拟防火墙、API 网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题： 安全

工业视觉 传统的工业制造主要采用人工肉眼检测产品的缺陷，不仅使得检测产品速度慢、效率低下，而且在检测过程中容易出错，导致误检、漏检等问题。基于机器视觉的质检方案，通过云端建模分析与边缘实时决策的结合，实现自动视觉检测，提升产品质量。 优势： 高效：云端已训练的视觉模型，在边缘侧部署，实现产品实时预测，提升检测效率，提高产品质量 模型优：提供边云协同架构，云端模型训练，数据边缘处理，模型增量训练优化，实现模型性能优异 统一管控：智能边缘平台可以实现统一模型下发，节点状态统一监控 图1 工业视觉场景

安全可靠 IAM认证 通过创建IAM角色，允许从边缘节点访问AOM、SWR、DIS等资源。 边缘节点安全 Edge Agent创建专属服务用户，能够访问的目录和拥有的权限都受限，向云端上传日志、监控信息由用户自行选择。 云边协同通讯安全 Edge Agent与IEF建立双向加密通道，Edge Agent自下向上发起，双向消息收发通过证书认证、加密。 云安全 前置DDoS网络安全防护，防恶意攻击。 为每个边缘节点颁布唯一接入证书，双向通讯通过证书认证、加密。 设备安全 终端设备使用证书进行身份认证。 图4 IEF安全性方案

配额说明 IEF对单个用户的资源数量和容量限定了配额，配额的详细信息请参见表1和表2。 表1 专业版配额 资源对象 默认配额 节点 10 终端设备 500 终端设备模板 10 容器应用 500 应用模板 10 应用模板版本 10 标签 每个资源最多20个 配置项 50 密钥 50 加密数据 50 消息端点 20 消息路由 100 节点注册作业 50 节点证书 5000 批量作业 20 表2 铂金版配额 资源对象 默认配额 服务实例 5 节点 创建铂金版服务实例时选择， 支持选择50、200、1000节点。 终端设备 节点数量 x 50 终端设备模板 与节点数量一致 容器应用 节点数量 x 50 应用模板 与节点数量一致 应用模板版本 10 标签 每个资源最多20个标签 配置项 节点数量 x 5 密钥 节点数量 x 5 加密数据 50 消息端点 20 消息路由 100 节点注册作业 50 节点证书 节点数量 x 500 节点组 100 节点组证书 节点数量 x 50 服务 500 网关 500 虚拟服务 500 批量作业 20

密码认证 参数domainName、userName、password、projectId 、iamEndPoint和graphEndpoint如何填写见初始化参数获取。 import osfrom gesgraphsdk.v1.gesgraph_client import GESGraphClient # 内存版客户端from gesgraphsdk.v1.persistence.gesgraphpersistence_client import GESGraphPersistenceClient # 持久化版客户端from gesgraphsdk.v1.token_credentials import GesGraphTokenCredentialsfrom huaweicloudsdkcore.http.http_config import HttpConfig// 认证用的密码硬编码到代码中或者明文存储都有很大的安全风险，建议在配置文件或者环境变量中密文存放，使用时解密，确保安全// 本示例以密码保存在环境变量中来实现身份验证为例，运行本示例前请先在本地环境中设置环境变量HUAWEICLOUD_SDK_PWDpassword = os.getenv("HUAWEICLOUD_SDK_PWD")domain_name = "{domainName}"user_name = "{userName}"project_id = "{projectId}"graph_endpoint = "{graphEndpoint}"iam_endpoint = "{iamEndPoint}"auth = GesGraphTokenCredentials(iam_endpoint=iam_endpoint, domain_name=domain_name, user_name=user_name, password=password, project_id=project_id)http_conf = HttpConfig.get_default_config()# 内存版客户端ges_graph_client = GESGraphClient.new_builder().with_credentials(auth).with_endpoint(graph_endpoint).with_http_config(http_conf).build()# 持久化版客户端ges_graph_persistence_client = GESGraphPersistenceClient.new_builder().with_credentials(auth).with_endpoint(graph_endpoint).with_http_config(http_conf).build();

Token认证 参数authToken和graphEndpoint如何填写见初始化参数获取。 from gesgraphsdk.v1.gesgraph_client import GESGraphClient # 内存版客户端from gesgraphsdk.v1.persistence.gesgraphpersistence_client import GESGraphPersistenceClient # 持久化版客户端from gesgraphsdk.v1.token_credentials import GesGraphTokenCredentialsfrom huaweicloudsdkcore.http.http_config import HttpConfiggraph_endpoint = "{graphEndpoint}"token = "{authToken}"auth = GesGraphTokenCredentials(token=token)http_conf = HttpConfig.get_default_config()# 内存版客户端ges_graph_client = GESGraphClient.new_builder().with_credentials(auth).with_endpoint(graph_endpoint).with_http_config(http_conf).build()# 持久化版客户端ges_graph_persistence_client GESGraphPersistenceClient.new_builder().with_credentials(auth).with_endpoint(graph_endpoint).with_http_config(http_conf).build();

开发指南概述 图引擎服务软件开发工具包（GES SDK，Graph Engine Service Software Development Kit）是对GES提供的REST API进行的封装，以简化用户的开发工作。用户直接调用GES SDK提供的接口函数即可实现使用GES服务业务能力的目的。 和GES API区分管理面、业务面一样，GES SDK也区分为管理面SDK和业务面SDK，差异如下所示： SDK 是否开源（支持maven、pip等工具下载） 是否支持 API Explorer 动态生成代码 支持的语言 当前版本 管理面SDK 是 是 支持Java、Python、Go、NodeJs和PHP v1和v2版本。 业务面SDK 否（只能从GES连接管理界面下载） 否（可参考下载SDK压缩包中的样例代码） 支持Java和Python，其他语言后期逐步上线 v1版本。

内容导航 GES开发指南将指导您如何安装和配置开发环境、如何通过调用GES SDK提供的接口函数进行二次开发。 章节 内容 简介 简要介绍本服务和开发指南的概念。 使用管理面SDK 介绍使用管理面GES SDK进行的常用操作。 使用业务面SDK 介绍使用业务面GES SDK进行的常用操作。 使用Cypher JDBC Driver访问GES 介绍使用JDBC访问业务面图实例并进行cypher查询。