华为云用户手册

计费说明 表1 计费说明 计费模式 变更操作 对费用的影响 包年/包月 规格升配 升配后，新规格将在原来已有的时间周期内生效。 您需要按照与原规格的价格差，结合使用周期内的剩余时间，补交差价。 例如：（以下价格仅作示例，实际价格以控制台显示为准） 客户于2023/6/1在华北-北京四购买规格为通用型 2vCPUs 8GB的RDS for PostgreSQL 14单机实例，SSD云盘存储，存储空间40GB，购买周期为一个月。此时实例价格为230元/月。 客户在2023/6/15将规格变更为通用型 4vCPUs 8GB，实例价格为400元/月。 升配费用 = 新规格价格 x 剩余周期 - 旧规格价格 x 剩余周期 公式中的剩余周期为每个自然月的剩余天数/对应自然月的最大天数。 本示例中，剩余周期=15（6月份剩余未使用天数）/ 30（6月份最大天数）= 0.5，代入公式可得升配费用 = 400 x 0.5 - 230 x 0.5 = 85元 规格降配 降配后，新规格将在原来已有的时间周期内生效。 RDS按照与原规格的价格差，结合使用周期内的剩余时间，退回差价。 例如：（以下价格仅作示例，实际价格以控制台显示为准） 客户于2023/6/1在华北-北京四购买规格为通用型 2vCPUs 8GB的RDS for PostgreSQL 14单机实例，SSD云盘存储，存储空间40GB，购买周期为一个月。此时实例价格为230元/月。 客户在2023/6/15将规格变更为通用型 2vCPUs 4GB，实例价格为196元/月。 退回费用 = 旧规格价格 x 剩余周期 - 新规格价格 x 剩余周期 公式中的剩余周期为每个自然月的剩余天数/对应自然月的最大天数。 本示例中，剩余周期=15（6月份剩余未使用天数）/ 30（6月份最大天数）= 0.5，代入公式可得退回费用 = 230 x 0.5 - 196 x 0.5 = 17元 按需计费 规格升配 变更规格成功后，新规格按小时计费。具体请参见产品价格详情。 规格降配

约束限制 账户余额大于等于0元，才可变更规格。 实例处于正常状态，可以变更规格。 容灾实例不允许变更规格。 当实例进行CPU/内存规格变更时，该实例不可被删除。 RDS for PostgreSQL支持规格升配，也支持降配。 如果主实例下存在只读实例，主实例规格变更时，所选变更规格需要小于等于只读实例的规格；同样只读实例规格变更时，所选规格需要大于等于主实例当前的规格。 只读实例如需规格变更到小于主实例当前的规格时，请联系客服处理。 规格变更后，部分参数会自动更新为新规格的默认值（max_connections、max_worker_processes、max_wal_senders、max_prepared_transactions、max_locks_per_transaction）。 修改CPU/内存后，将会重启数据库实例。请选择业务低峰期，避免业务异常中断。重启后实例会自动释放内存中的缓存，请在业务低峰期变更规格，避免对高峰期业务造成影响。 关于变更规格所需的时间（非业务高峰期）： 此过程需要5～15分钟。 变更规格时的业务中断只在主备切换期间产生，可能会造成几分钟的服务闪断（闪断时间与复制时延和临时文件数量有关）。 超过变更时长，请及时联系华为云客服。

相关参数说明 RDS for PostgreSQL实例变更成功后，系统将根据新内存大小，调整如下参数的值： shared_buffers max_connections maintenance_work_mem effective_cache_size 其中，RDS for PostgreSQL 11及以上版本，调整的参数除上述参数外，还会调整如下参数的值： max_prepared_transactions max_wal_size work_mem

指标异常说明 生产数据库的磁盘要有一定的冗余，一旦磁盘使用率过高要及时处理，防止出现磁盘满导致数据库损坏等问题。 数据库提供了多项体现磁盘使用的监控指标，建议重点关注以下指标： 磁盘利用率：rds039_disk_util 磁盘总大小：rds047_disk_total_size 磁盘使用量：rds048_disk_used_size 事务日志（WAL日志）使用量：rds040_transaction_logs_usage 最滞后副本滞后量（因复制槽积压的WAL日志）：rds045_oldest_replication_slot_lag

排查及解决方法 查询数据库、表、WAL日志等大小的SQL会占用较多的磁盘IO，请在业务低峰期运行。 查看WAL日志大小是否异常并进行处理 查看wal日志大小 可以通过rds040_transaction_logs_usage监控指标或者以下SQL查看WAL日志大小，如果发现WAL非常多，可以通过后续步骤依次排查。 select round(sum(size)/1024/1024/1024,2) "GB" from pg_ls_waldir(); RDS for PostgreSQL 12之后的版本才有pg_ls_waldir() 函数。 需要root用户执行pg_ls_waldir函数。 查看WAL日志保留相关参数 对于RDS for PostgreSQL 12及以下版本，查看“wal_keep_segments”参数（单位MB）的值；对于12以上版本，查看“wal_keep_size”参数（单位为MB）。 WAL日志保留参数的值不宜太大，一般设置要小于磁盘总空间的10%；也不宜太小，一般要大于4GB，否则容易导致主库将备库需要的wal日志清理，进而导致备库异常。 查看复制槽状态，及延迟未清理的日志大小 复制槽会阻塞WAL的回收，如果发现非活动的复制槽或者不需要的复制槽，可以根据需要进行删除。 查询slot状态、WAL日志滞后量的SQL： select slot_name, active, pg_size_pretty(pg_wal_lsn_diff(b, a.restart_lsn)) as slot_latency from pg_replication_slots as a, pg_current_wal_lsn() as b; 删除slot命令的SQL： select pg_drop_replication_slot('slot_name'); 查看写业务繁忙程度 可以通过rds044_transaction_logs_generations指标查看写业务繁忙程度，该指标表示平均每秒生成的事务日志（WAL日志）大小。 如果该指标较大，说明写业务较多，数据库内核会自动预留更多的WAL日志以便回收使用，WAL日志占用的磁盘空间会增加，建议通过磁盘扩容保证一定的磁盘冗余。 查看数据文件大小否异常并进行处理 查询磁盘占用前10的数据库 select datname, pg_database_size(oid)/1024/1024 as dbsize_mb from pg_database order by dbsize_mb desc limit 10; 查看磁盘占用前10的对象（表/索引） 可以通过pg_class的“relpages”字段估算表或者索引的大小，SQL如下： select relname, relpages*8/1024 as tablesize_mb from pg_class order by tablesize_mb desc limit 10; 如果要获取表或者索引的精确大小，需要通过以下函数获取： 表1 函数说明 名称 返回类型 描述 pg_relation_size(relation regclass, fork text) bigint 指定表或索引的指定分叉（'main'、'fsm'、'vm'或'init'）使用的磁盘空间。 pg_relation_size(relation regclass) bigint pg_relation_size(..., 'main')的简写。 pg_table_size(regclass) bigint 被指定表使用的磁盘空间，排除索引（但包括 TOAST、空闲空间映射和可见性映射）。 pg_total_relation_size(regclass) bigint 指定表所用的总磁盘空间，包括所有的索引和TOAST数据。 查看表是否发生了膨胀 一旦确认了占用磁盘较多的表后，可以通过pgstattuple插件分析表是否发生了膨胀，插件可以通过如下方式安装： create control_extension('create', 'pgstattuple'); select * from pgstattuple('table_name'); 部分内核版本不支持pgstattuple插件，详见支持的插件列表。 插件使用参考：https://www.postgresql.org/docs/15/pgstattuple.html 清理表数据 如果发现是表膨胀，可以选择在维护时间窗内对表的磁盘占用整理。 vacuum full会锁表，请确保操作期间没有DML等操作。 vacuum full table_name; 如果发现不需要的表或数据，可以通过truncate table或是drop table清理掉不需要的数据。 truncate table table_name; 如果无法通过drop或truncate删除表中的所有数据，而是希望通过删除部分表数据来释放磁盘空间，需要注意，由于PostgreSQL的MVCC机制，delete操作不会释放磁盘空间（被delete的数据被标记为不可见），需要结合vauum full（会锁表）才能真正释放空间。 另外，如果需要保留的数据相对较少，也可以新建一张表转移需要保留的数据，参考步骤： 保存原表的结构、索引等信息。 创建新表。 向新表插入数据。 检查新表的数据是否符合预期，符合则进行下一步，否则检查前面操作是否有异常。 删除原表。 将新表重命名、创建索引等。 vacuum full（会锁表）会对表及其索引进行重建，重建期间还会生成WAL日志，需要预留足够的磁盘空间（假设重建后的表大小为1GB，索引为0.5GB，建议预留2.5GB以上的磁盘空间）。 vacuum介绍：https://www.postgresql.org/docs/current/routine-vacuuming.html 查看临时文件大小是否异常并进行处理 如果总的磁盘占用减去数据文件和WAL日志还有较大的剩余，那么可能是临时文件占用较多的磁盘空间。查看临时文件大小的SQL如下： select round(sum(size)/1024/1024/1024,2) "GB" from pg_ls_tmpdir(); RDS for PostgreSQL 12之后的版本才有pg_ls_waldir() 函数。 需要root用户执行pg_ls_waldir函数。 当临时文件非常多时，该SQL执行会非常缓慢。 一般来说，临时文件会在复杂SQL执行完成后释放，但如果生过OOM等异常，可能会导致临时文件不能正常释放。当发现临时文件非常多时，一方面需要分析并优化慢SQL，减少临时文件的产生，另一方面需要在维护时间窗内对数据库进行重启，重启数据库可以清除所有的临时文件。

开通服务 安全分支解决方案由云管理网络和一系列安全服务组成。如果成功购买了云管理网络套餐和安全服务套餐，需要先激活套餐，才能正常使用各服务功能。 服务的开通步骤具体请参见表 服务套餐开通。 表1 服务套餐开通 开通服务 套餐描述 开通步骤参考 云管理网络 支持试用套餐开通 支持云管理网络商用套餐开通 支持CloudCampus产品套餐开通 参见云管理网络的《服务开通》。 边界防护与响应服务 支持试用套餐开通 支持商用套餐开通（线下） 参见边界防护与响应服务的《服务开通》。 威胁信息服务 支持试用套餐开通 支持商用套餐开通（线下） 参见威胁信息服务的《服务开通》。 终端防护与响应服务 支持试用套餐开通 支持商用套餐开通（线下） 参见终端防护与响应服务的《服务开通》。 云日志 审计服务 支持试用套餐开通 支持商用套餐开通（线下） 参见云日志审计服务的《服务开通》。 父主题： 部署指南

客户价值 华为乾坤安全分支解决方案是专为企业客户打造的网安融合方案，不仅帮助企业业务快速上线，还提供丰富的故障诊断和巡检工具，同时提供主动防御能力，切实提升分支安全防护实效。 分支按需互联，全网统一管控 为用户提供基本的广域互联能力，支持总部、分支、公有云业务灵活连接、轻松互访。 提供分支/园区网络统一管理和监控能力，设备状态可视可管，Wi-Fi、局域网和广域网间支持设置统一的安全策略。 极简部署，智能运维 设备支持多种即插即用方式开局，适应不同的网络场景，网络策略一键下发，大幅降低网络部署难度，缩短业务上线周期。 出口网关和智能防火墙ALL-in-One，实现网安融合，并提供“小行星”组网，网络架构三层变两层，简化用户组网，减少运维复杂度。 用户接入过程全旅程可视，故障可实时回溯，接入问题分钟级定位，多维度评估Wi-Fi网络质量，主动优化网络和用户漫游体验。 零信任准入控制 提供多种准入认证方式，可灵活进行认证策略和授权策略配置，对准入权限进行精细化控制，保障网络接入安全。 终端智能识别和检测，避免仿冒或私接终端，联合安全态势，可以对失陷终端快速隔离。 分支安全实时防护 分支网络边界部署安全设备（防火墙），提供入侵防御、反病毒能力，云端自动威胁处置，一处检出全局免疫。 分支终端部署EDR Agent软件，快速封禁中毒终端，阻断横移，减少损失。 关键应用保障 基于首包识别和业务感知技术能快速识别应用，支持通过自定义应用规则识别特殊应用。 基于TCP FPM（TCP Flow Performance Measurement，TCP流性能测量）、IP FPM（IP Flow Performance Measurement，IP流性能测量）等技术进行应用质量和链路质量检测，基于应用质量、带宽利用率、应用优先级等进行智能选路，保障关键应用业务体验。 支持双发选收、智能A-FEC，可以保障实时视频不卡顿，提供极致的用户体验。 父主题： 方案概述

方案简介 华为乾坤安全分支解决方案融合了云管理网络和边界防护与响应、威胁信息、终端防护与响应、云日志审计等服务，是一套面向企业WAN、LAN、WLAN以及安全的全方位网络管理方案，并以SaaS云服务形式提供给用户，为企业降低了运维复杂度、节省管理成本、确保端到端安全。 华为乾坤安全分支解决方案打造了一站式、可体验的网安融合方案，帮助企业实现了多分支统一管理和安全防护的愿景。方案的主要亮点如下： 全网统一管控：提供多分支统一网络管理、监控、运维和报表服务。 极简组网架构：出口网关和智能防火墙ALL-in-One，网安融合减少运维复杂度；分支内提供“小行星”组网，网络架构三层变两层，引流绿色低碳分支网络。 Wi-Fi智能调优：Wi-Fi场景化识别和调优，智能漫游，保障关键用户和应用体验。 零信任准入控制：精细化的权限控制；终端智能识别，防仿冒防私接；安全态势联动，快速隔离失陷终端。 分支安全实时防护：使能边界安全防护，安全风险时网络实时阻断、精准溯源；在线 漏洞扫描 ，精准地识别潜在漏洞；联动网络快速封禁中毒终端，阻断横移，减少损失。 SD-WAN应用保障：基于链路质量、带宽利用率、应用级别智能选路；双发选收、智能A-FEC，保障实时视频不卡顿；支持报文压缩去重，节省用户开支。 父主题： 方案概述

关键特性 表1 华为乾坤安全分支解决方案关键特性 特性类型 特性名称 简介 云管理网络 站点管理 支持按站点管理网络，可以查看网络拓扑、调整拓扑结构、配置站点业务。 设备管理 支持纳管网络设备（交换机、AP、AR、WAC）、安全设备（防火墙）。 准入认证 提供了802.1X、Portal、MAC等多种认证方式，可按需对接入用户进行策略管控。 IPsec VPN 提供一种静态VPN，通过在站点之间建立IPsec隧道来创建VPN通道，实现分支与分支、分支与总部、分支与云之间的业务互访。 SD-WAN 提供一种动态VPN，可按需在站点间建立隧道，动态发布路由。通过站点间建立GRE隧道来创建VPN通道，同时支持在GRE隧道上进行IPsec加密，实现分支与分支、分支与总部、分支与云之间的业务安全互访。 支持基于应用、策略选择质量较优的链路发送数据，实现基于应用、策略的智能选路。 网络环境监控 支持网络健康度评估、网络问题分析、无线智能去噪。 用户体验保障 支持用户旅程回放、协议回放、用户问题分析。 应用分析 支持全网应用数据监控，保障网络应用畅通无阻。 智能调优 支持智能无线射频调优、智能无线漫游。 边界防护与响应服务 本地网络边界防护 天关/防火墙部署在租户网络边界，通过入侵防御、反病毒、DNS过滤等技术守护本地安全，可以执行以下防护动作： 对流量进行入侵防御检测，全方位防御各种威胁行为。 对流量进行反病毒处理，有效避免病毒文件引起的数据破坏、权限更改和系统崩溃等情况的发生。 对流量进行DNS过滤，全面控制域名访问。 租户数据安全处理 数据授权：在用户授权前提下，本地天关/防火墙仅提供用户授权范围内的数据。 加密传输：本地天关/防火墙采用HTTPS或TLS协议将日志提供到云服务平台。 加密保存：使用华为公司密钥管理中心（KMC）加密组件对数据进行加密，加密后存储在云端。 处理原则：仅供云服务平台运营专家进行威胁分析和溯源。 信息隔离：每个用户都有自己的服务账号，基于账号接收分析报表和短信，不同用户间信息隔离。 自动化分析 云端基于分析模型对威胁事件进行分析判定，并根据判定结果执行不同的处置。租户可依靠云端的自动化分析能力和安全专家简化本地运维，提升防护实效。 自动化分析以后，可以有如下几种处置方式： 事件命中误报模型，则此事件状态变更为误报。 事件命中告警自动确认模型、威胁分析等模型，则自动化分析将请求安全响应执行相应的处置。 在自动化分析的基础上，安全专家进一步分析处置事件。 安全响应 提供安全事件的响应闭环能力，主要包括下发黑名单、发送告警两种安全响应动作，租户可利用云端的安全响应能力有效提高安全事件的闭环效率。 针对以下场景提供下发黑名单、发送告警两种安全响应动作： 自动化分析判定后可以自动处置的事件，自动化分析将请求安全响应下发黑名单或发送告警。 自动化分析判定后需要安全专家处置的事件，安全专家分析后可通过Portal页面的事件管理菜单人工下发黑名单或发送告警。 租户在租户门户中下发黑名单。 云端专家精准分析 云端专家整合安全能力，快速准确识别复杂威胁： 现网对抗经验固化到云端，不断增强云端安全能力。 最新漏洞分析、云端智能签名生产，快速应对新型威胁。 专家针对发现的每一条安全告警进行统一分析，运用云端各种安全能力，解决最新“疑难杂症”。 终端防护与响应服务 终端识别与管理 终端自动识别：提供自动化终端资产清点能力，安装EDR Agent后，该终端即被自动识别。 资产信息管理：自动化统一管理主机列表、进程、端口、组件等终端资产信息。 终端安全管理：智能分析终端安全，呈现终端资产安全分析评分和风险总览。 威胁检测 与处置 入侵检测：基于行为检测引擎，提供终端行为检测能力，检测暴力破解、异常登录、权限提升等恶意行为。 事件聚合：将离散的勒索类告警事件，基于进程调用链聚合成相应的勒索事件，且支持对其一键处置。 病毒查杀与处置 病毒查杀：基于华为第三代反病毒引擎，每日更新病毒特征库，实时更新紧急病毒，提供高质量病毒文件检测能力。 威胁分析：支持对检出的病毒文件进行威胁分析，展示详细的威胁信息，如病毒标识、风险值、置信度等。 主动防御 诱饵捕获：基于勒索病毒特征放置诱饵文件，实时检测并及时上报异常行为。 文件防篡改：对重点文件进行访问权限控制并实时检测，及时发现篡改行为。 实时防护：实时扫描全盘目录，及时识别病毒文件并阻断其传送行为。 溯源分析 取证分析：采集和存储终端信息，并通过数据挖掘、关联分析等方法，对威胁事件进行取证分析。 攻击可视化：通过EDR（Endpoint Detection and Response，端点侦测与回归）数字化建模、溯源推理算法，实现攻击可视化，精准还原威胁攻击链路。 威胁信息服务 威胁信息检索 支持全球恶意IP、恶意域名、恶意文件、漏洞信息等威胁信息的快速检索，数据详情包括但不限于威胁类型、风险级别、置信度、场景信息、地理位置、关联历史事件、关联恶意威胁信息、相关文章等信息。 安全研究 定期发布情报周报、情报预警、热点情报等文章，帮助用户了解近期关键安全事件。 高性能威胁信息查询接口 提供高性能的全球恶意IP、恶意域名、恶意文件、漏洞信息、URL分类等威胁信息的查询接口，辅助自动化分析人员进行分析取证及处置，提升运维效率。 重保威胁信息 在重保服务期间通过AI算法分析全网历史攻击行为及攻击方法，精准识别攻击方地址，实时共享历史重保专项威胁信息，有效提升信息的精准度。 云日志审计服务 日志接收/解析/存储/查询 支持接收不同类型资产（如服务器/终端、网络设备、安全设备、业务系统等）所产生的日志，将日志留存在云端，实现日志的集中管理和存储。 支持解析多种格式及多种来源的日志，将其标准化。 支持日志审计留存在云端，支持180天的日志留存时长。 支持用户按需实时查询日志信息，查询条件包含时间、日志级别、日志类型、资产名称、源/目的IP地址和端口等。 审计资产管理 支持增加多种类型的资产，如服务器、终端设备、网络设备、安全设备等，并对资产的等级进行标识，为用户判断是否需要进行日志审计提供参考信息。 支持灵活管理需要审计的资产。 日志审计统计 数据可视化 支持查看当前所有日志数量以及各日志级别的日志数量。 支持按时间段查看日志容量使用趋势和日志数量趋势，如近7天、近一个月。 支持查看当前审计的资产数量及类型。 支持查看每天上报日志最多的TOP10资产。 父主题： 方案概述

配置天关或防火墙上线 华为乾坤防勒索解决方案需要在客户侧部署天关或防火墙才能正常使用。本方案配套的天关/防火墙的型号及上线指导，如表1所示。具体操作请参见《天关和防火墙上线指南》。 表1 天关或防火墙的型号 设备类型 设备型号 USG6000E-C天关 USG63xxE-C：USG6301E-C/6302E-C/6303E-C USG65xxE-C：USG6501E-C/USG6502E-C/USG6503E-C USG6000F-C天关 USG6603F-C、USG6606F-C USG6000E防火墙 防火墙USG61xxE：USG6106E 防火墙USG63xxE：USG6305E/USG6306E/USG6308E/USG6309E/USG6312E/USG6315E/USG6322E/USG6325E/USG6332E/USG6335E/USG6350E/USG6355E/USG6365E/USG6385E/USG6395E 防火墙USG6303E：USG6303E 防火墙USG65xxE：USG6515E/USG6525E/USG6530E/USG6550E/USG6555E/USG6560E/USG6565E/USG6575E-B/USG6580E/USG6585E 防火墙USG65xxE-K：USG6520E-K/USG6560E-K/USG6590E-K 防火墙USG63xxE-B：USG6308E-B/USG6318E-B/USG6338E-B/USG6358E-B/USG6378E-B/USG6388E-B/USG6398E-B 防火墙USG6xxxE-Exx：USG6000E-E03/USG6000E-E07 防火墙USG66xxE：USG6610E/USG6620E/USG6630E/USG6650E/USG6680E/USG6605E-B/USG6620E-K/USG6640E-K 防火墙USG67xxE：USG6712E/USG6716E USG6000F防火墙 防火墙USG65xxF： USG6525F/USG6555F/USG6565F/USG6585F/USG6585F-B/USG6520F-K/USG6560F-K/USG6590F-K/USG6510F-D/USG6530F-D/USG6510F-DK/USG6510F-DL/USG6530F-DL 防火墙USG66xxF：USG6615F/USG6625F/USG6635F/USG6655F/USG6685F/USG6620F-K/USG6650F-K 防火墙USG67xxF：USG6710F/USG6715F/USG6725F/USG6710F-K 防火墙USG6000F-Exx：USG6000F-E01/USG6000F-E03/USG6000F-E05/USG6000F-E07/USG6000F-E09/USG6000F-E12/USG6000F-E15/USG6000F-E20 父主题： 部署指南

关键特性 表1 华为乾坤安全办公园区解决方案关键特性 特性类型 特性名称 简介 云管理网络 站点管理 支持按站点管理网络，可以查看网络拓扑、调整拓扑结构、配置站点业务。 设备管理 支持纳管网络设备（交换机、AP、AR、WAC）、安全设备（防火墙）。 准入认证 提供了802.1X、Portal、MAC等多种认证方式，可按需对接入用户进行策略管控。 IPsec VPN 提供一种静态VPN，通过在站点之间建立IPsec隧道来创建VPN通道，实现分支与分支、分支与总部、分支与云之间的业务互访。 网络环境监控 支持网络健康度评估、网络问题分析、无线智能去噪。 用户体验保障 支持用户旅程回放、协议回放、用户问题分析。 应用分析 支持全网应用数据监控，保障网络应用畅通无阻。 智能调优 支持智能无线射频调优、智能无线漫游。 终端防护与响应服务 终端识别与管理 终端自动识别：提供自动化终端资产清点能力，安装EDR Agent后，该终端即被自动识别。 资产信息管理：自动化统一管理主机列表、进程、端口、组件等终端资产信息。 终端安全管理：智能分析终端安全，呈现终端资产安全分析评分和风险总览。 威胁检测与处置 入侵检测：基于行为检测引擎，提供终端行为检测能力，检测暴力破解、异常登录、权限提升等恶意行为。 事件聚合：将离散的勒索类告警事件，基于进程调用链聚合成相应的勒索事件，且支持对其一键处置。 病毒查杀与处置 病毒查杀：基于华为第三代反病毒引擎，每日更新病毒特征库，实时更新紧急病毒，提供高质量病毒文件检测能力。 威胁分析：支持对检出的病毒文件进行威胁分析，展示详细的威胁信息，如病毒标识、风险值、置信度等。 主动防御 诱饵捕获：基于勒索病毒特征放置诱饵文件，实时检测并及时上报异常行为。 文件防篡改：对重点文件进行访问权限控制并实时检测，及时发现篡改行为。 实时防护：实时扫描全盘目录，及时识别病毒文件并阻断其传送行为。 溯源分析 取证分析：采集和存储终端信息，并通过数据挖掘、关联分析等方法，对威胁事件进行取证分析。 攻击可视化：通过EDR（Endpoint Detection and Response，端点侦测与回归）数字化建模、溯源推理算法，实现攻击可视化，精准还原威胁攻击链路。 父主题： 方案概述

原始影像 表1 输入原始影像的约束与限制 服务 约束与限制内容 卫星影像生产服务 输入影像需为L1级影像（也叫传感器校正影像、标准景影像），且影像不含子线阵拼接错位、波段配准错位、内部成像畸变等严重缺陷。 当L1级影像成像倾斜角＞15°时（如：高程起伏明显的峭壁、海岛等区域），成果影像接边误差或略低于对应层级产品精度标称值。 影像文件格式需为.tif（或.tiff）格式，影像有配套模型参数文件（RPC文件）、元数据文件（xml文件）。 当前仅支持多光谱影像，或全色与多光谱配对影像。其中多光谱影像应为3波段或4波段。 输入影像需为8比特 ~ 16比特。 输入影像含云量需低于10%。 实景三维生产服务 输入影像为由无人机或航空飞机采集的框幅式影像，采集方式为倾斜摄影（非贴近或绕拍方式），影像格式需为.jpg、.jpeg、.JPG或.JPEG格式，单张影像的像素总数不超过2.5亿，总影像张数建议不超过30万张。 影像EXIF信息中需包含GPS坐标，坐标信息为WGS84地理坐标系下的经纬度坐标。 影像的重叠度、倾角、旋角、摄区边界符合航摄设计要求，同一摄区内影像采用相同的焦距。 影像成像清晰，色彩层次丰富，色差适中，无明显噪声、条纹、积雪、云、云影、烟、反光、尊卷、阴影等缺陷。 为取得更好的三维模型质量，建议影像地面采样距离（GSD）优于3cm。 AR地图生产服务 针对全景建图： 输入数据为Insta360 ONE R全景相机（30fps，5.7k）采集的全景视频，视频格式为.insv，单个视频的采集时间不超过15分钟。 视频文件中需包含GPS坐标信息，坐标信息为WGS84地理坐标系下的经纬度坐标。 视频成像清晰，色彩层次丰富，色差适中，应在室外白天光线充足或室内灯光明亮的环境下采集，无雨雪风暴沙尘等天气，避免在有大量游客及行人的状态下采集；室内场景要求纹理丰富，避免存在仅能观测到白墙或玻璃的区域，避免动态展板播放视频或滚动图片等变化场景；室外场景避免大量积水和建筑物被树木大面积遮挡的场景。 建议平行规划多条采集路线，室内间隔1米，室外间隔2米。使用市面上现有主流地图软件的划线测距功能，提前规划好采集轨迹并记录实际的采集路线。

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的 云安全 挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 类云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。华为云租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、 虚拟主机 和访客虚拟机的操作系统，虚拟防火墙、API 网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题： 安全

审计与日志 云审计 服务（Cloud Trace Service， CTS ），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 用户开通云审计服务并创建和配置追踪器后，CTS可记录KooMap的管理事件和数据事件用于审计。 CTS的详细介绍和开通配置方法，请参见CTS快速入门。 CTS支持追踪KooMap管理事件和数据事件列表，请参见支持审计日志的关键操作和如何查看审计日志。 父主题： 安全

与其他服务的关系 表1 KooMap服务与其他服务的依赖关系 服务名称 KooMap服务与其他服务的关系 主要交互功能 对象存储服务 （Object Storage Service，OBS） 原始影像数据（卫星影像、倾斜摄影影像）均通过对象存储服务的OBS桶来存储，KooMap从OBS加载原始影像及其相关数据完成卫星影像生产服务、实景三维生产服务。 导入原始影像数据（卫星影像、倾斜摄影影像）/矢量数据至KooMap。 （适用于卫星影像生产服务）迁移成果影像/矢量数据至OBS。

应用场景 KooMap卫星影像生产服务、实景三维生产服务面向城市/生态监测、普查及行业应用解译的相关企业或单位提供影像处理/三维生产能力；KooMap AR地图生产和AR地图运行服务面向文旅文博、商圈、展厅等行业提供视觉定位和AR导航能力。 表1 应用场景 应用场景 场景描述 KooMap提供服务 城市监测 通过使用卫星影像综合分析城市的土地利用情况等时空变化特征，为城市规划建设提供数据支持和决策支撑 。 兼顾平面及高程约束的高精度正射纠正算法，可实现2像素内的接边误差，确保输出符合业务需求的高精度影像。 生态监测 生态环境监测是生态环境保护的基础，是生态文明建设的重要支撑，需要覆盖农、林、草、河、湖等各类型自然资源，并及时发现问题与风险，为生态系统保护修复提供数据支持和决策支撑。 突破卫星影像多项关键技术，如多模态控制点自动提取、稀疏稳健连接点匹配和大规模分布式平差技术，可实现几何接边误差小于2像素，达成高精几何一致性处理。 应急保障 洪涝灾害、山体滑坡等场景监测、仿真，辅助应急管理相关部门快速决策。 分布式计算平台、高性能弹性扩容，应对紧急计算需求，实现当日快速出图。 车道级导航地图 高精度还原真实道路场景，让车辆行驶定位到车道级，提升驾乘效率和安全性。 提供突破云层检测、高保真影像融合、全局色彩一致、镶嵌线智能选址服务。成果影像含云量低于5%，无人眼可感知的拼接痕迹。 专业卫星遥感数据处理场景 高分中心、各测绘局/测绘院、卫星运营商等专业机构，处理海量卫星影像数据。 提供在线全自动分布式影像处理服务，大幅提升卫星影像的生产效率，帮助客户节省管理和维护成本。 文旅文博 文旅景区、不可移动文物等室外场景的数字化信息展示；文化遗产的现代化监测与保护。 景区、展厅等场景的AR导航导览、AR地标打卡等。 通过实景三维技术，高保真还原复杂实景的真实全貌，对文旅景区、建筑群、不可移动文物等进行三维数字化的存档与展示。进一步结合现代化监测手段，对文化遗产进行监测和分析。提高文旅景区管理与文物保护工作的管理效率和应急水平，为文旅展示与文物保护提供有力的理论和技术支撑。 为场景路线引导提供厘米级高精度视觉定位和AR导航能力。 商圈 商品、展品等内容的数字化信息展示、推荐；园区、商场、停车场等场景的AR导航导览、AR导航寻车、AR地标打卡等。 提供厘米级高精度视觉定位和AR导航能力，连接虚实世界，赋能行业探索数字空间经营的商业模式。 自然资源监管 构建数据统一、业务完整的自然资源监管体系，实现自然资源全要素、全方位监管。 打造一体化自然资源监测体系，实景三维技术融合多源数据，建立立体化监测手段，提高自然资源综合监管效率。 矿山监管 整合矿山业务多源异构数据，对矿区信息进行可视化表达，实现矿产资源一体化管理。 通过模型构筑、数据实测、对比分析等方式，构建矿山综合监管体系，加强协同监管和动态监测，实现矿产资源智慧化监管。 城市管理 加强城市建设情况核查与监管，提高管理效率。 构建城市实景模型，为城市设计与规划提供更直观的方案浏览与对比，为城市管理与决策提供更准确的技术支持，增强城市管理服务能力、提升城市管理精细化水平。

身份认证与访问控制 身份认证：KooMap提供的身份认证可以分为控制台和云服务两个层面： 控制台层面：您可以使用华为云用户名与密码登录，实现用户的认证与鉴权，未授权的不能访问。 云服务层面：您可通过开放的API网关，实现卫星影像生产服务、实景三维生产服务、AR地图运行服务的访问和集成，具体操作和描述请参考KooMap服务的《API参考》。KooMap提供如下两种认证方式进行认证鉴权。 Token认证：适用于卫星影像生产服务、AR地图运行服务以及实景三维生产服务，指通过Token认证通用请求。关于Token的详细介绍及获取方式，请参见获取 IAM 用户Token（使用密码）。 AK/SK认证：适用于AR地图运行服务，指通过AK（Access Key ID）/SK（Secret Access Key）加密调用请求。推荐使用AK/SK认证，其安全性比Token认证要高。关于访问密钥的详细介绍及获取方式，请参见访问密钥。 访问控制：KooMap支持通过权限管理（IAM权限）实现访问控制，请参见权限管理。 父主题： 安全

KooMap FullAccess策略内容 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "KooMap:*:*" ] } ] }

KooMap权限 默认情况下，新建的IAM用户没有任何权限，您需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 如表1所示，包括了KooMap的所有系统策略。 表1 KooMap系统策略 策略名称 描述 策略类别 策略内容 KooMap FullAccess KooMap服务的所有权限。 系统策略 KooMap FullAccess策略内容 表2列出了KooMap常用操作与系统策略的授权关系。 “√”表示支持。 表2 KooMap操作与系统策略授权关系 服务 操作 KooMap FullAccess 卫星影像生产服务/实景三维生产服务 创建工作共享空间 √ 修改工作共享空间 √ 删除工作共享空间 √ 查询工作共享空间列表 √ 卫星影像生产服务 创建卫星影像生产任务 √ 查询卫星影像生产任务列表 √ 查询卫星影像生产任务概览 √ 启动卫星影像生产任务 √ 停止卫星影像生产任务 √ 归档已完成的卫星影像生产任务 √ 删除卫星影像生产任务 √ 校验影像数据文件 √ 查询用量情况 √ 查询影像基本信息 √ 查询矢量数据文件（shape格式）基本信息 √ 上传矢量数据文件（shape格式） √ 查看影像元数据 √ 下载矢量数据文件（shape格式） √ 下载影像数据文件 √ 迁入影像数据文件 √ 迁出影像数据文件 √ 查看待迁出的影像数据文件列表 √ 检查迁出影像数据文件时的输入参数 √ 查看待迁出的矢量数据文件（shape格式） √ 迁出矢量数据文件（shape格式） √ 迁入矢量数据文件（shape格式） √ 删除影像数据文件 √ 删除矢量数据文件（shape格式） √ 上传生产资料文件（csv格式） √ 删除生产资料文件（csv格式） √ 查询生产资料文件（csv格式）基本信息 √ 实景三维生产服务 新增倾斜摄影影像导入任务 √ 查看倾斜摄影影像导入中的任务列表 √ 编辑倾斜摄影影像导入任务 √ 删除倾斜摄影影像导入任务 √ 启动倾斜摄影影像导入任务 √ 查询倾斜摄影影像列表 √ 删除倾斜摄影影像 √ 查看倾斜摄影影像包含的图片信息 √ 查询实景三维任务列表 √ 创建实景三维任务 √ 删除实景三维任务 √ 更新实景三维任务 √ 归档/取消归档实景三维任务 √ 展示工作共享空间内实景三维任务概览 √ 启动实景三维任务 √ 停止实景三维任务 √ 查询实景三维成果影像列表 √ 删除实景三维成果影像列表 √ 获取成果影像下载链接列表 √ 查询实景三维用量 √ 查询租户开通资源 √ 开通实景三维生产服务 √ 关闭实景三维生产服务 √ 新增实景三维影像刺点 √ 删除实景三维影像刺点 √ 查询实景三维影像刺点 √ 预测刺点信息 √ 上传像控点文件 √ 查询像控点文件 √ 删除像控点文件 √

操作步骤 登录KooMap服务控制台，进入控制台页面。 在左侧导航栏选择“工作共享空间管理”，然后在右侧页面单击工作共享空间名称。 单击“卫星影像概览”页签，进入卫星影像概览页。 图1 卫星影像概览页 在卫星影像概览页，您可参考表1操作任务。 表1 操作任务与操作步骤 操作 操作步骤 适用任务的状态 查询任务 方式一：单击页面左上角任务状态统计环，下方显示对应状态的全部任务。 所有状态（包括未运行、失败、执行中、停止中、等待中、执行成功、停止成功、已归档） 方式二：设置过滤条件查询任务。 在右上角设置任务名称、创建任务时间区间以及任务状态作为过滤条件。 单击或按回车键，界面显示符合过滤条件的全部任务。 说明： 当选择“运行态”或“成功”状态时，可选状态分别如下： 运行态：可选择“停止中”、“等待中”和“执行中”。 成功：可选择“停止成功”和“执行成功”。 启动/重启任务 单击任务卡片中的启动数据处理任务。 说明： 处理时长依赖您选择的待处理数据大小、数量、复杂度、处理等级等因素，耗时可能比较久，请您耐心等待。 未运行、停止成功、失败 停止任务 单击任务卡片中的停止数据处理任务。 执行中、等待中 归档任务 单击任务卡片中的归档任务。 执行成功 解除归档任务 单击任务卡片中的解除归档任务。 已归档 查看成果数据 单击任务卡片中的“查看成果数据”。 跳转到“卫星影像”下的“数据管理”页面。 查看成果数据。 说明： 创建任务时，如果“处理等级”选择“L5”且勾选“金字塔切割”或“矢量切割”，“卫星影像”页面中的“影像等级”列分别用或标识。 执行成功 删除任务 单击任务卡片右上角 。 单击“确定”，完成任务的删除。 失败、未运行、执行成功、停止成功

导入倾斜影像 倾斜摄影影像数据是无人机或航空飞机拍摄的框幅式影像，采集方式为倾斜摄影（非贴近或绕拍方式），影像格式支持.jpg、.jpeg、.JPG或.JPEG格式，单张影像的像素总数不超过2.5亿，总影像张数建议不超过30万张。 存放在OBS的倾斜摄影的影像数据需包含5个文件夹，分别存放无人机或航空飞机拍摄的前视图、后视图、左视图、右视图以及俯视图影像。 登录KooMap服务控制台，进入控制台页面。 在左侧导航栏，选择“实景三维”下的“数据管理”菜单，然后在右侧页面单击“倾斜影像”页签。 单击“导入影像”，进入“导入影像文件”页面。参考表1配置影像文件信息。 表1 导入倾斜影像参数说明 参数名称 参数说明 OBS Endpoint 必填项，输入OBS桶所在区域的终端节点，可参考查看桶信息获取。 影像目录地址 必填项，输入上传到OBS桶的原始影像文件所在的文件夹路径（可直接进入OBS控制台复制OBS的文件路径），不可与已有地址重复。 目录地址格式为：obs://桶名/影像文件所在的文件夹路径。 示例：obs://obstest-ea7e/path 影像名称 无需手动输入，导入的影像名称须为全英文，系统会根据您导入的影像自动识别名称。 影像别名 必填项，依照界面提示输入影像的别名，不可与已有别名重复。 影像描述 选填项，主要描述导入影像的补充信息。 编辑源数据文件。 拖拽右侧长方形方框至左侧对应视图区域，直至完成所有视图匹配。 （可选）您可根据实际需求单击各个视图下方的编辑相机参数，参数包括相机名称、相机类型（只支持填写Frame）、焦距、X方向光心偏移、Y方向光心偏移以及畸变参数，参数说明见表2。 相机参数用于实景三维建模，使得建模后的成果数据更加符合您的实际需求。 图1 编辑源数据文件 表2 相机参数说明 参数 说明 备注 相机名称 必填项。 输入拍摄影像的相机名，且拍摄各视图的相机名称不可重复。 - 相机类型 必填项。 输入拍摄影像的相机类型，目前只支持“Frame”。 - 焦距（focus） 可填项。 输入相机焦距。 数据范围：[1, 1000000] - X方向光心偏移 可填项。 输入X方向光心偏移量。 数据范围：[1, 8192] 光心偏移是指光学中心与机械中心的偏移量。 Y方向光心偏移 可填项。 输入Y方向光心偏移量。 数据范围：[1, 8192] 畸变参数（k1） 可填项。 输入径向畸变参数k1。 数据范围：[-100, 100] 径向畸变参数是指图像中心与边缘的比例失真。 畸变参数（k2） 可填项。 输入径向畸变参数k2。 数据范围：[-100, 100] 畸变参数（k3） 可填项。 输入径向畸变参数k3。 数据范围：[-100, 100] 畸变参数（k4） 可填项。 输入径向畸变参数k4。 数据范围：[-100, 100] 畸变参数（p1） 可填项。 输入切向畸变参数p1。 数据范围：[-100, 100] 切向畸变参数是指图像中心与边缘的图像失真。畸变参数越小，图像失真越小，图像质量越高。 畸变参数（p2） 可填项。 输入切向畸变系数p2。 数据范围：[-100, 100] 畸变参数（b1） 可填项。 输入像平面畸变参数b1。 数据范围：[-100, 100] - 畸变参数（b2） 可填项。 输入像平面畸变参数b2。 数据范围：[-100, 100] - 单击，将影像文件添加到列表中。 单击“导入”，导入单个影像文件。 您还可以删除、编辑影像文件。 删除：从列表中删除影像文件。 编辑：重新设置影像文件信息。编辑完成后单击“保存”，可覆盖原始影像文件记录。 查看导入结果。 选择“卫星影像”下的“数据管理”菜单，然后单击“影像数据”页签，查看该倾斜影像导入情况。影像导入过程中，“处理状态”为“处理中”，导入成功后，“处理状态”变更为“完成”。

（可选）导入生产资料 创建任务时，如“任务类型”选择“有控建模”才需要导入生产资料。 登录KooMap服务控制台，进入控制台页面。 在左侧导航栏选择“实景三维”下的“数据管理”菜单，在右侧的“生产资料”页签中单击“导入生产资料”。 在“导入生产资料”弹窗中，参考表3填写待导入生产资料文件的信息。 表3 导入生产资料文件说明 序号 参数名称 参数说明 1 导入方式 必选项，仅支持从本地上传生产资料。 说明： 支持文件格式为.txt文件，应仅含有一个文件，且文件大小应小于60MB。 2 上传文件 必选项，单击“选择文件”，依照系统提示上传本地生产资料文件。 3 生产资料别名 必填项，依照系统提示输入生产资料别名，不可与已有别名重复。 4 生产资料描述 选填项，主要描述导入生产资料文件的补充信息，输入要求请查看界面提示。 单击“确定”，导入生产资料文件。导入成功后，生产资料会在列表显示。 图2 导入生产资料

（可选）导入矢量数据 登录KooMap服务控制台，进入控制台页面。 在左侧导航栏选择“卫星影像”下的“数据管理”菜单，然后在右侧页面单击“矢量数据”页签。 单击“导入矢量”，出现“导入矢量文件”弹窗。 填写或选择导入矢量文件的信息，相关说明可参考下表3。 表3 导入矢量参数说明 序号 参数名称 参数说明 1 导入方式 必选项，选择矢量文件的导入方式，选项如下： 矢量文件地址导入（小于2GB） 说明： 支持的文件格式有：.dbf、.shp、.shx、.prj、.sbn、.sbx、.cpg、.qpj、.xml、.qmd，至少应含有.dbf、.prj、.shp、.shx四个文件。文件大小之和应小于2GB，请上传文件名相同的文件。 本地矢量文件上传（小于60MB） 说明： 支持的文件格式有：.dbf、.shp、.shx、.prj、.sbn、.sbx、.cpg、.qpj、.xml、.qmd，至少应含有.dbf、.prj、.shp、.shx四个文件。文件大小之和应小于60MB，请上传文件名相同的文件。 2 OBS Endpoint 必填项，当导入方式选择“矢量文件地址导入”显示该项参数。输入OBS桶所在区域的终端节点，可参考查看桶信息获取。 3 矢量目录地址 必填项，当导入方式选择“矢量文件地址导入（小于2GB）”时才显示该参数。 获取方式：进入OBS管理控制台复制矢量文件所在的文件夹路径。 目录地址格式为：obs://桶名/矢量文件所在的文件夹路径。 示例：obs://obstest-ea7e/path 4 上传文件 必填项，当导入方式选择“本地矢量文件上传（小于60MB）”时才显示该参数，单击“选择文件”上传本地矢量文件。 5 矢量别名 必填项，根据界面提示输入矢量别名，且不能与系统已有别名重复。 6 矢量描述 选填项，主要描述导入矢量文件的补充信息，输入要求请查看界面提示。 图4 矢量文件地址导入 图5 上传本地矢量文件 单击“确定”，导入矢量数据。 导入后，选择“卫星影像”下的“数据管理”菜单，然后单击“矢量数据”页签，查看该矢量数据导入情况。导入过程中“运行状态”为“迁入中”，导入成功后，“运行状态”变更为“完成”。 图6 导入矢量数据

（可选）导入生产资料 登录KooMap服务控制台，进入控制台页面。 在左侧导航栏选择“卫星影像”下的“数据管理”菜单，然后在右侧页面单击“生产资料”页签。 单击“导入生产资料”，出现“导入生产资料文件”弹窗。 填写或选择导入生产资料文件的信息，包括导入方式、上传文件、生产资料别名、生产资料描述（相关说明可参考下表4）。 表4 导入生产资料文件说明 序号 参数名称 参数说明 1 导入方式 必选项，仅支持从本地上传生产资料（小于60MB）。 2 上传文件 必选项，单击“选择文件”，依照系统提示上传本地生产资料文件。 3 生产资料别名 必填项，依照系统提示输入生产资料别名，不可与已有别名重复。 4 生产资料描述 选填项，主要描述导入生产资料文件的补充信息，输入要求请查看界面提示。 单击“确定”，导入生产资料文件。导入成功后，“运行状态”变更为“加密完成”。 图7 导入生产资料

导入卫星影像 登录KooMap服务控制台，进入控制台页面。 在左侧导航栏，选择“卫星影像”下的“数据管理”菜单，然后在右侧页面单击“影像数据”页签。 添加影像文件。 单击“导入影像”，您可选择如下任一方式添加影像文件到列表中。 单个添加：参考表1配置影像文件信息，单击，将影像文件添加到“已添加的影像文件”列表中。如果需导入多个目录地址的影像文件，请您分别配置影像文件信息，并单击添加到列表中。 图1 设置影像文件信息 批量添加：单击页面右上角的“下载模板”，依照模板提示或参考表1配置影像文件信息，再单击“上传Excel”批量添加影像文件。 表1 导入影像参数说明 参数名称 参数说明 OBS Endpoint 必填项，输入OBS桶所在区域的终端节点，可参考查看桶信息获取。 影像目录地址 必填项，输入上传到OBS桶的原始影像文件所在的文件夹路径（可直接进入OBS控制台复制OBS的文件路径），不可与已有地址重复。 目录地址格式为：obs://桶名/影像文件所在的文件夹路径。 示例：obs://obstest-ea7e/path 影像名称 无需手动输入，系统会根据您导入的影像自动识别名称。 影像别名 必填项，依照界面提示输入影像的别名，不可与已有别名重复。 影像描述 选填项，主要描述导入影像的补充信息。 图2 已添加的影像文件 导入影像文件。 单个导入：在“已添加的影像文件”列表中单击操作列的“导入”，导入单个影像文件。 您还可以执行删除、编辑、重试操作。 删除：从列表中删除影像文件。 编辑：重新设置影像文件信息。该影像文件会从当前列表中删除，编辑完成后可再次添加到“已添加的影像文件”列表中。 重试：导入失败，排查原因并修改后，重新导入影像文件。 批量导入：单击页面最下方的“开始批量导入”按钮，批量导入“已添加的影像文件”列表中的影像文件。 在“已添加的影像文件”列表中，如果该影像文件处理结果提示“文件名校验失败”，请单击操作列或页面右上角的“命名辅助工具”，参考表2配置参数，根据生成的文件夹和文件名称修改OBS桶内文件夹与文件名称，并重新执行1~4。 表2 命名辅助工具参数说明 参数 说明 卫星名 必填项，输入卫星名，卫星名前缀不能为GF1、GF2、GF6、GF7、JL1、TRIPLESAT、BJ3、SV1、SV2、ZY1、ZY3、SJ9A、PHR1A、PHR1B、WV01、WV02、TH01，仅支持输入字母和数字，不能超过100个字符。 传感器名 必选项，选择传感器名称。目前仅支持如下传感器名称： MSS PAN 成像日期 必选项，设置卫星影像的成像日期。 中心经度 必填项，输入卫星影像中心经度。E/W开头（不区分大小写），经度保留一位小数，如E23.0。 中心纬度 必填项，输入卫星影像中心纬度。N/S开头（不区分大小写），纬度保留一位小数，如N23.0。 等级 必选项，选择卫星影像等级，目前仅支持“L1”等级。 文件夹名称 系统依照上面设置的信息，自动拼接文件夹名称。单击可复制文件夹名称。 文件夹 展示文件夹中的目录文件。您可以根据生成的结果去修改本地影像文件夹与文件名称。 说明： 文件夹名称与文件名称须保持一致。 文件夹内必须包含 .tif/.tiff、.rpc/.rpb、.xml三种后缀名的文件。 查看导入结果。 导入后，在左侧导航栏选择“卫星影像”下的“数据管理”菜单，然后在右侧页面单击“影像数据”页签，可查看该影像文件导入情况，导入过程中“运行状态”为“迁入中”，导入成功后，“运行状态”变更为“完成”。 图3 导入卫星影像

修订记录 发布日期 修订记录 2024-04-08 第十一次公测发布。 新增AR地图操作指导。 2023-12-28 第十次公测发布。 入门指引：增加实景三维生产服务相关描述。 实景三维操作指导：新增该章节。 2023-11-17 第九次公测发布。 新建工作共享空间： 修改每个租户下创建工作共享空间的上限值。 表1中删除“空间类型”参数。 处理影像数据： 在“查看成果数据”的操作步骤中增加说明。 增加“执行成功”状态下的任务可被删除的相关描述。 2023-05-30 第八次公测发布。 处理影像数据：在“查看成果数据”的操作步骤中增加说明。 导入数据：更新导入卫星影像图片。 2023-04-25 第七次公测发布。 导入数据：新增命名辅助工具内容描述，删除影像供应商相关内容描述以及更新相关图片。 创建任务：更新带有供应商字段的相关图片。 2023-03-29 第六次公测发布。 导入数据：新增适配的卫星型号SJ9A。 创建任务：新增国家2000、国家2000-GaussKruger坐标系相关操作描述。 2023-03-10 第五次公测发布。 导入数据：更新支持的影像供应商型号和新增导入生产资料的操作描述。 创建任务：新增L3处理等级和导入生产资料操作描述。 处理影像数据：更新图1 任务概览页和表1 操作任务与操作步骤。 查看用量统计：更新卫星影像生产服务用量的统计内容与相关图片。 2023-02-03 第四次公测发布。 导入数据：新增四维测绘支持的卫星型号和更新相关图片。 2023-01-18 第三次公测发布。 导入数据：删除“导入影像参数说明”表格有关坐标系的描述。 创建任务：新增坐标系的描述。 2023-01-11 第二次公测发布。 导入数据：新增导入参数的提示信息。 新建工作共享空间：更新功能参数的名称。 创建任务：新增卫星影像文件的选择规则以及更新图片。 处理影像数据：更新概览页图片。 查看用量统计：更新导航路径与图片。 2022-12-27 第一次公测发布。

操作步骤 登录KooMap服务控制台，进入控制台页面。 在左侧导航栏中选择“工作共享空间管理”，查找并单击您创建的实景三维工作共享空间名称，进入工作共享空间界面。 图1 进入工作共享空间 选择“实景三维概览”页签，单击，进入创建任务界面。 参考表1填写任务和空三基本信息。 图2 填写任务信息 表1 任务基本信息 任务项 功能概述 任务名称 必填项，依据界面提示填写任务名称。 建模类型 必选项，选择建模类型。 纹理模型实景三维：对多视角影像进行分布式并行处理，生成带纹理的三维Mesh模型数据。支持影像畸变较正，纹理贴图、纹理图匀光匀色，降低影像畸变对精度的影响以及数据采集光照差异造成的色彩不均匀的问题。 显式辐射场实景三维：支持照片级重建，空间测量，真实还原多视角光影效果，显著提升模型真实感。支持业界主流渲染引擎的实时渲染，无额外适配成本。 空三精度设置 必选项，选择空三精度设置等级。更高的精度设置有助于获得更准确的相机位置估计，较低的精度设置可用于在较短的时间内获得相机位置的粗略估计。 Highest：表示设置精度为最高。 High：表示设置精度为高。 Medium：表示设置精度为中。 Low：表示设置精度为低。 Lowest：表示设置精度为最低。 默认值：High。 空三关键节点数量 必填项，依据实际填写实景三维生产任务的关键节点数量。 只允许输入数字，取值范围为：1000~1000000 默认值：无。 空三连接点数量 必填项，依据实际填写实景三维生产任务的连接点数量。连接点是指两张或者多张照片中投影于同一地面点的像素。 只允许输入数字，取值范围为：100~100000 默认值：无。 重建质量 必选项，依据实际选择实景三维任务的重建质量级别。级别越高，质量越好。 高：表示设置空三连接点数量为高。 中：表示设置空三连接点数量为中。 低：表示设置空三连接点数量为低。 默认值：高。 任务描述 必填项，请依照界面提示输入内容。 单击“下一步”，进入处理数据操作。 选择任务类型。 依照实际需求选择任务类型（无控建模、有控建模），各任务类型对应的处理项目请参考表2。 表2 任务类型项目列表 任务类型 功能概述 无控建模 实景三维建模过程中不需要进行人工刺点操作。 有控建模 实景三维建模过程中需要选择生产资料，需在处理影像数据完成刺点编辑。 选择坐标系。选择导入的影像坐标系，当前仅支持：WGS84-UTM。 选择待选数据。根据需要选择待处理的实景三维倾斜影像。 确认无误后单击“确定”，任务创建成功。您可在实景三维概览页面查看新建的建模任务。 鼠标悬停在卡片中的任务名称处，可查看该任务相关信息。 图3 任务创建成功

概述 云地图服务 （KooMap）是一款使能数字孪生的地图服务。它汇聚了地图数据和应用生态，沉淀行业资产，打造开放平台，提供了时空数据处理、分析、可视等一站式开箱即用的时空信息服务，驱动着行业转型和创新。 云地图 服务主要由一下几个子服务组成： 卫星影像生产服务：对原始的遥感光学卫星影像进行专业处理，生成各个行业应用可使用的成果影像数据。 实景三维生产服务：利用三维重建技术，将现实采集场景快速还原为三维世界，生成支撑各行业应用数据的数字底座。 AR地图生产服务：对外业采集的图像数据进行加工处理，通过三维场景重建等自动化处理步骤，生成AR地图成果数据，供AR地图运行服务使用。 通过该手册您可以了解KooMap各子服务的基本操作流程，帮助您轻松使用本服务。

操作步骤 登录KooMap服务控制台，进入控制台页面。 在左侧导航栏中选择“工作共享空间管理”，查找并单击您创建的数据处理工作共享空间名称，进入工作共享空间界面。 图1 进入工作共享空间 选择“卫星影像概览”页签，单击，进入创建任务界面。 填写任务基本信息。 可自定义任务名称，任务描述处输入任务相关补充信息。 图2 填写任务信息 单击“下一步”，进入数据选择界面。 选择处理等级。 依照实际需求选择处理等级（可选：L2、L3、L4、L5），各处理等级对应的处理项目请参考表1。 表1 处理等级处理项目列表 处理等级 功能概述 色彩增强与粗纠正L2处理 对原始卫星数据进行色彩增强与几何粗纠正处理，输出L2级的成果数据。可实现几何接边误差小于100像素。 色彩增强与精纠正L3处理 对原始卫星数据进行色彩增强与几何精纠正处理，输出L3级的成果数据。可实现几何接边误差小于10像素。 正射纠正L4处理 对原始卫星数据进行色彩增强与正射纠正处理，输出L4级的成果数据。可实现几何接边误差小于2像素。 影像镶嵌L5处理 在正射纠正L4级数据的基础上执行影像匀色、镶嵌处理，输出L5级成果数据，并支持矢量边界裁切、瓦片金字塔形式的成果输出。 当处理等级为“L3”、“L4”、“L5”时，才有“生产资料”选项。当处理等级为“L3”时，“生产资料”为必选项，其他等级则为非必选项。若勾选了“生产资料”选项，页面下方会有生产资料数据可供选择。 当处理等级为“L5”，才有“金字塔切割”和“矢量切割”选项，若勾选了“矢量切割”，页面最下方会有矢量数据可供选择。 图3 选择处理等级 选择坐标系。选择导入的影像坐标系，可选项有：WGS84、WGS84-UTM、国家2000、国家2000-GaussKruger。 当您使用“WGS84-UTM”时，可在右侧框选择具体的UTM带号。 图4 选择坐标系-1 当您使用“国家2000-GaussKruger”时，需在右侧框选择CG CS 2000坐标系对应的EPSG Code。 图5 选择坐标系-2 选择数据类型并勾选相应数据。 选择卫星影像。 选择卫星影像文件须遵守如下规则： 只处理多光谱影像：拍摄卫星只有多光谱相机（GF1-WFV或GF6-WFV），且必须选择卫星型号和传感器型号一致的影像。 处理多光谱和全色一一对应影像：必须选择卫星型号一致的影像，且多光谱和全色影像文件数量一致。 图6 选择卫星影像数据 （可选）选择生产资料。 当处理等级为“L3”、“L4”、“L5”时，才有“生产资料”选项，您可依据实际情况进行选择。其中当处理等级为L3时，“生产资料”为必选项，其余等级为非必选项。 图7 选择生产资料 （可选）选择矢量数据。 当处理等级为“L5”且勾选了“矢量切割”选项时，数据类型选择“矢量数据”，页面最下方呈现可供选择的矢量数据，您可依据实际情况进行选择。 图8 选择矢量数据 单击“下一步”，核对成果影像的信息，包括名称、别名（不可与已有别名重复）与描述。 图9 确认成果影像信息 确认无误后单击“确定”，任务创建成功。您可在“卫星影像概览”页面查看新建的任务。 图10 任务创建成功

查看用量统计 用量统计主要是对时空专属存储以及卫星影像生产服务的用量统计，您可以查看时空专属存储或各等级处理任务的用量统计。 时空专属存储：统计导入的原始卫星影像、矢量数据、生产资料和成果影像存储总量。 卫星影像生产服务用量：统计L2、L3、L4、L5等级处理的成果影像存储用量、处理成功的次数。 用量统计仅供参考，实际情况请以账单为准。 登录KooMap服务控制台，进入控制台页面。 在左侧导航栏选择“卫星影像”下的“用量统计”菜单，然后在右侧单击“我的存储”页签，查看时空专属存储用量。 图1 时空专属存储用量统计 在左侧导航栏选择“卫星影像”下的“用量统计”菜单，然后在右侧单击“卫星影像生产服务”页签，查看所有处理等级的成果影像存储用量、成功处理的次数。 图2 卫星影像生产服务用量统计 父主题： 卫星影像操作指导