华为云用户手册

公共请求消息头参数 表1 公共请求消息头 名称 描述 是否必选 示例 x-sdk-date 请求的发生时间，格式为：yyyyMMdd'T'HHmmss'Z'。 取值为当前系统的GMT时间。 否 使用AK/SK认证时必选 20160629T101459Z Authorization 签名认证信息 该值来源于请求签名结果。 请参考请求签名流程。 否 使用AK/SK认证时必选 - Host 请求的服务器信息，从服务API的URL中获取。值为hostname[:port]。端口缺省时使用默认的端口，https的默认端口为443。 否 使用AK/SK认证时必选 mkt.myhuaweicloud.com或mkt.myhuaweicloud.cn Content-type 发送的实体的MIME类型。 是 application/json 下载签名工程示例代码后，HttpClientDemo类构建request请求，其中部分参数需要根据实际待调用接口做调整： key和secret需要使用商家自己生成的AK、SK替换；请求method为POST请求，url需根据实际请求地址替换；“Content-type”值需设置为“application/json”；请求体body为对应接口请求参数（json格式） 父主题： 公共参数

使用方法 华为云API符合RESTful API设计理论。 REST从资源的角度观察整个网络，分布在各处的资源由URI（Uniform Resource Identifier）确定，客户端的应用通过URL（Unified Resource Locator）获取资源。 URL的一般格式为：https://Endpoint/uri。 URL中的参数说明如表1所示。 表1 URL中的参数说明 参数 描述 Endpoint 云商店的Endpoint为“mkt.myhuaweicloud.com”和“mkt.myhuaweicloud.com”。 uri 资源路径，也即API访问路径。从具体接口的URI模块获取，例如“v1.0/{partner_id}/billing/bill-mgr/push-usage-data”。 其中，uri中的用户标识参数说明如下： 使用“partner_id”标识，表示该接口只能使用合作伙伴（ISV）自身的AK/SK或者Token调用。 华为云接口采用HTTP传输协议，有如下约束条件： 请求/响应报文使用JSON报文UTF-8字符集编码。 媒体类型表示为Application/json。 可选参数在消息体中可以不编码。 接口请求参数和响应参数中时间格式统一为UTC时间（包括时区），格式为yyyyMMdd'T'HHmmss'Z'。 其中，HH范围是0～23，mm和ss范围是0～59。 父主题： 接口使用方法

TIMER 触发器 表3 TIMER参数说明 参数名 必填 类型 参数描述 name False String 定时器名称。 scheduleType True Enum 触发规则，取值为 Rate、Cron。 schedule True String 定时器规则内容。 userEvent False String 附加信息，如果用户配置了触发事件，会将该事件填写到TIMER事件源的“user_event”字段。 参考案例： trigger: triggerTypeCode: TIMER status: ACTIVE eventData: name: Timer-xxx scheduleType: Rate schedule: 3m userEvent: xxxx trigger: triggerTypeCode: TIMER status: ACTIVE eventData: name: Timer-xxx scheduleType: Cron schedule: 0 15 2 * * ? userEvent: xxxx

APIG 触发器 表2 APIG参数说明 参数名 必填 类型 参数描述 name False String API名称，默认使用函数名。 groupName False String 分组，默认选择当前第一个。 auth False Enum 安全认证，默认为 IAM。 protocol False Enum 请求协议，默认为 HTTPS。 timeout False Number 后端超时时间，单位为毫秒，取值范围为 1 ~ 60000。默认为 5000。 auth API认证方式： App： 采用Appkey&Appsecret认证，安全级别高，推荐使用，详情请参见APP认证。 IAM： IAM认证，只允许IAM用户能访问，安全级别中等，详情请参见IAM认证。 None： 无认证模式，所有用户均可访问。 protocol 分为两种类型： HTTP HTTPS 参考案例： trigger: triggerTypeCode: APIG status: ACTIVE eventData: name: APIG_test groupName: APIGroup_xxx auth: IAM protocol: HTTPS timeout: 5000

trigger 字段 表1 trigger参数说明 参数名 必填 类型 参数描述 triggerTypeCode True String 触发器类型。 status False Enum 触发器状态，取值为 ACTIVE、DISABLED，默认为 ACTIVE。 eventData True Struct 触发器配置，包括APIG 触发器, TIMER 触发器。 triggerTypeCode 目前支持：APIG、TIMER。

与云审计服务的关系 云审计服务（Cloud Trace Service，CTS）记录了管理检测与响应相关的操作事件，如表1所示。方便您日后的查询、审计和回溯，详情请参见云审计服务用户指南。 表1 云审计服务支持的MDR操作列表 操作名称 资源类型 事件名称 管理检测与响应-创建订单 PSDM createMdrOrder 管理检测与响应-租户申请交付 PSDM mdrCustomerApplication 租户侧上传附件 PSDM customerUploadAccessory 租户侧下载指定模板文件 PSDM customerDownloadTemplate 服务单附件下载 PSDM downLoadAccessories 服务单验收通过 PSDM professionalTicketsAcceptanceSuccess 服务单验收延期 PSDM professionalTicketsAcceptanceExtend 服务单评价 PSDM professionalTicketsEvaluate

MDR权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 MDR部署时不区分物理区域，为全局级服务。授权时，在全局级服务中设置权限，访问MDR时，不需要切换区域。 如表1所示，包括了MDR的所有系统角色。由于华为云各服务之间存在业务交互关系，管理检测与响应服务的角色依赖其他服务的角色实现功能。因此给用户授予管理检测与响应的角色时，需要同时授予依赖的角色，管理检测与响应的权限才能生效。 表1 MDR系统角色 角色名称 描述 依赖关系 SES Administrator 管理检测与响应服务的管理员权限。 购买实例需要具有BSS Administrator角色。 BSS Administrator：对账号中心、费用中心、资源中心中的所有菜单项执行任意操作。项目级策略，在同项目中勾选。

计费项 表1 计费项说明 计费项 计费说明 企业版 以周期为单位进行计费，单次购买默认周期为1年。 资源数最低需要购买数量为50，单次最多可购买数量为1000，实际费用以最终账单为准。 等保建设助手 支持基础版和高级版服务类型。 以次数为单位进行周期计费，单次购买默认为1次，1次为1年的使用周期。 可同时购买基础版和高级版，分别选择购买数量即可，单个版本最大可购买数量为1000，实际费用以最终账单为准。 专项版 支持云会议安全保障、特级安全保障和小型会议保障服务类型。 以次数为单位进行周期计费，单次购买默认为1次，1次为1年的使用周期。 初始最多保障50台ECS，超过50台需要增加系统数量或者资源数。 购买是需分别选择系统数量、资源数或数量、增量包， 云会议安全保障、特级安全保障的系统数量和资源数单次最大可购买数量为1000。 小型会议保障的数量单次最大可购买500，增量包单次最大可够买数量为1000。 密评建设助手 服务类型仅支持标准版。 一次性付款使用，1次为一年的使用周期。 单次最多可购买数量为1000，实际费用以最终账单为准。 检查与加固 支持安全产品托管、应急响应、网站安全体检、主机安全体检、安全加固以及攻击路径评估服务类型。 计费如下： 安全产品托管：按年计费，单次购买为1年的使用周期，单次购买最大数量为500。 应急响应：按次计费，单次购买默认为1次，1次为1年的使用周期，最小需选择数量为10 ，最大可选择500。 网站安全体检：一次性付款，1次为1年的使用周期，单次最大可够买数量为1000。 主机安全体检：一次性付款，1次为1年的使用周期，单次最大可够买数量为1000。 安全加固：一次性付款，1次为1年的使用周期，单次最大可够买数量为1000。 攻击路径评估：一次性付款，1次为1年的使用周期，单次最大可够买数量为1000。

功能介绍 管理检测与响应提供以下功能： 购买管理检测与响应 您购买管理检测与响应时，可以根据实际业务需求选择服务版本。 在购买管理检测与响应时，您只需要选择购买的个数和您的信息。 购买管理检测与响应的详细操作，请参见管理检测与响应用户指南的购买管理检测与响应。 执行管理检测与响应 企业版 当服务单补全了信息且管理检测与响应审核通过后，第三方信息安全测评机构将根据订单中描述的站点进行安全服务。 等保建设助手 等保建设助手为您提供等保定级和差距评估咨询，根据系统情况提供定级参考意见和相关技术建议书以及等保条款分析情况汇总，根据等保差距要求，服务类型以远程或现场方式提供安全加固建议。 专项版 专项版服务内容包括业务信息收集、安全保障方案制定、安全自查与整改、安全防护加固、安全团队建设、现场+远程监控及响应、安全服务保障总结。 密评建设助手 密评建设助手面向政府和大型企事业单位提供“密评”合规、国密改造、密码安全评估咨询服务，根据密码应用情况提供密码合规参考意见、相关技术建议书以及密评条款分析情况汇总。 检查与加固 检查与加固服务包括安全产品托管、应急响应、网站安全体检、主机安全体检、安全加固以及攻击路径评估。 下载管理检测与响应报告 服务完成后，系统自动生成管理检测与响应报告，您会收到邮件和短信通知信息。您可在收到通知信息后下载管理检测与响应报告。 如何下载管理检测与响应报告，请参考：下载管理检测与响应报告。 验收管理检测与响应 服务完成后，您会收到短信通知信息。您可在收到消息通知起的60日内，对本次管理检测与响应进行验收。如果超出该时间范围，系统将对本次管理检测与响应进行自动验收。 验收完管理检测与响应服务后，MDR服务默认此服务单已交付完成，验收后此服务单将不再提供服务。 如何验收管理检测与响应，请参考：验收管理检测与响应。 评价管理检测与响应 服务完成后，您会收到邮件和短信通知信息。您可在收到消息通知后，对本次管理检测与响应进行评价，并反馈建议或意见。 如何评价管理检测与响应，请参考：评价管理检测与响应。

如何使用 管理检测与响应服务使用流程说明如表1所示。 表1 管理检测与响应服务使用流程说明 子流程 说明 购买业务 您购买管理检测与响应时，可以根据实际业务需求选择服务版本。 在购买管理检测与响应时，您只需要选择购买的个数和您的信息。 执行管理检测与响应 企业版 当订单成功支付后，管理检测与响应将快速响应并结合您实际业务场景，通过云服务方式，提供华为云安全标准化的运维运营服务。 等保建设助手 当订单成功支付后，管理检测与响应团队将为您提供等保定级和差距评估咨询，并根据系统情况提供定级参考意见和相关技术建议书以及等保条款分析情况汇总。 专项版 当订单成功支付后，管理检测与响应团队将为您进行会议安全保障服务，服务内容包括业务信息收集、安全保障方案制定、安全自查与整改、安全防护加固、安全团队建设、现场+远程监控及响应、安全服务保障总结。 密评建设助手 当订单成功支付后，管理检测与响应团队将为您提供“密评”合规、国密改造、密码安全评估咨询服务，根据密码应用情况提供密码合规参考意见、相关技术建议书以及密评条款分析情况汇总。 验收服务 华为云安全专家上传服务报告后，本次管理检测与响应完成。 说明： 检测完成后，系统自动生成管理检测与响应报告，并将报告保留15天，您可以在此期间下载并查看管理检测与响应报告。如果超出该时间范围，您需要获取管理检测与响应报告，请联系客服处理。

等保建设助手 等保建设助手凭借华为安全团队自身及客户等保认证经验，为您提供等保定级和差距评估咨询，并根据系统情况提供定级参考意见和相关技术建议书以及等保条款分析情况汇总。 等保建设助手流程如图2所示，各流程步骤说明如表2所示。 图2 等保建设助手业务流程图 表2 等保建设助手业务流程说明 步骤 操作 说明 1 购买等保建设助手 购买前，请拨打950808按1转1或直接联系您的客户经理，确定项目报价后再下单。 购买时，您需要选择服务类型、数量，以及您的信息。 2 需求沟通&资质审核 购买成功后，管理检测与响应将在1个工作日内联系您，审核资质。 3 华为安全团队执行管理检测与响应 审核通过后，管理检测与响应团队将根据您IT系统的实际情况提供定级意见、差距分析以及安全加固建议。 4 提交管理检测与响应报告 管理检测与响应上传安全加固方案或差距分析报告。 5 验收管理检测与响应 服务完成后，您验收本次管理检测与响应。

密评建设助手业务流程 密评建设助手提供“密评”合规、国密改造、密码安全评估咨询服务，根据密码应用情况提供密码合规参考意见、相关技术建议书以及密评条款分析情况汇总。 密评建设助手业务流程如所示，各流程步骤说明如表4所示。 图4 密评建设助手业务流程图 表4 密评建设助手业务流程说明 步骤 操作 说明 1 购买密评建设助手 购买前，请拨打950808按1转1或直接联系您的客户经理，确定项目报价后再下单。 购买时，您需要选择服务类型、数量，以及您的信息。 2 需求沟通&资质审核 购买成功后，管理检测与响应将在1个工作日内联系您。指导您进行安全服务的选型和部署，对网络、主机、数据库、安全管理制度等进行整改。 3 等保测评机构执行管理检测与响应 审核通过后，由权威等保测评机构执行等保测评工作。 4 提交管理检测与响应报告 管理检测与响应上传整改解决方案和差距分析报告。 5 验收管理检测与响应 服务完成后，您验收本次管理检测与响应。

企业版业务流程 企业版是华为与权威的第三方机构合作提供的专业的安全专家人工服务并提供专业的检测报告。 企业版业务流程如图1所示。各步骤说明如表1所示。 图1 企业版业务流程图 表1 企业版业务流程说明 步骤 流程操作 说明 1 购买企业版 在购买时，您需要选择购买资源数量。 2 需求沟通&资质审核 购买成功后，管理检测与响应将在1个工作日内联系您，与您沟通确定服务内容和审核资质。 3 管理检测与响应团队执行管理检测与响应 审核通过后，华为云安全专家团执行本次管理检测与响应。 网站安全体检 主机安全体检 安全加固指导 安全监测服务 应急响应服务 安全配置服务 安全防护服务开通与部署 定期策略更新与维护 安全漏洞预警服务 主动安全预警服务 安全设备维护服务 漏洞管理服务 电子取证、司法鉴定 4 提交管理检测与响应服务报告 服务周期到期后，管理检测与响应上传本次管理检测与响应服务报告。 5 验收管理检测与响应 管理检测与响应完成审核后，上传管理检测与响应报告，此时您会收到验收短息，请您前往管理检测与响应管理控制台进行验收本次管理检测与响应。

专项版业务流程 专项版服务内容包括业务信息收集、安全保障方案制定、安全自查与整改、安全防护加固、安全团队建设、现场+远程监控及响应、安全服务保障总结。 专项版业务流程如图3所示，各流程步骤说明如表3所示。 图3 专项版业务流程图 表3 专项版业务流程说明 步骤 操作 说明 1 购买专项版 购买前，请拨打950808按1转1或直接联系您的客户经理，确定项目报价后再下单。 购买时，您需要选择服务类型、数量，以及您的信息。 2 需求沟通&资质审核 购买成功后，管理检测与响应将在1个工作日内联系您。指导您进行安全服务的选型和部署，对网络、主机、数据库、安全管理制度等进行整改。 3 等保测评机构执行管理检测与响应 审核通过后，由权威等保测评机构执行等保测评工作。 4 提交管理检测与响应报告 管理检测与响应上传整改解决方案和差距分析报告。 5 验收管理检测与响应 服务完成后，您验收本次管理检测与响应。

密评建设助手 密评建设助手面向政府和大型企事业单位提供“密评”合规、国密改造、密码安全评估咨询服务，根据密码应用情况提供密码合规参考意见、相关技术建议书以及密评条款分析情况汇总。密评建设助手详细服务内容请参见表 密评建设助手说明。 表4 密评建设助手说明 服务项 服务内容 交付件 用户调研 项目需求沟通 提供需求沟通会议纪要 信息收集与分析 填写《信息系统调研表》 调研表分析及评审 提供《信息系统调研表》 差距分析 密评技术条例分析 提供《差距分析报告》 密评管理条例分析 现状分析与差距评估 整改方案 密评技术条例整改指导 密评技术条例解读 根据测评结果判定，指导进行密评技术条例不满足项的整改 提供整改方案、管理制度模板 密评管理条例整改指导 密评管理条例解读 根据测评结果判定，指导进行密评管理条例不满足项的整改 技术及管理层面整改取证指导 方案评估 密评专家进行方案评估 密评专家进行方案评估，审查被测系统责任单位的密码应用/密码设计/实施/应急方案 专家评估结论输出 提供《评估报告》

专项版 专项版通过业务信息收集、安全保障方案制定、安全自查与整改、安全防护加固、安全团队建设、现场+远程监控及响应、安全服务保障总结等方式，支撑各类会议稳定、圆满进行。 专项版提供云会议安全保障和特级安全保障两种服务类型，服务内容和典型应用场景如表 专项版说明所示。您可根据实际业务需求，选择购买需要的服务类型。 表3 专项版说明 服务类型 服务内容 服务特色 典型应用场景 云会议安全保障 业务信息收集 安全保障方案制定 安全自查与整改 安全防护加固 安全团队建设 现场+远程监控及响应 安全服务保障总结 针对您的业务问题提供修复建议 提供保障服务的历史漏洞和修复建议 安排专职专家远程职守、实时监控 适用于重大会议 特级安全保障 业务信息收集 安全保障方案制定 安全自查与整改 安全防护加固 安全团队建设 现场+远程监控及响应 安全服务保障总结 对您的业务问题进行修复并提供建议 对您的保障业务系统进行风险评估并整改 修复保障服务的历史漏洞并定期跟踪 安排专职专家现场职守、实时监控 适用于特级会议

企业版 企业版管理检测与响应结合您实际业务场景，通过云服务方式，为您提供华为云安全标准化的运维运营服务。企业版服务详细内容请参见表 企业版服务说明。 表1 企业版服务说明 服务内容 响应时间 交付件 网站安全体检：远程提供安全监测服务支持HTTP/HTTPS协议进行实时安全监测；支持网页木马、恶意篡改、坏链、对外开放服务、可用性、审计、脆弱性这七个维度对网站进行监测；支持WEB安全漏洞扫描及域名劫持进行实时安全监测； 定期推送网站安全体检报告。 8小时内响应 服务后5个工作日内提交测试报告 提供专业的《监控季度总结报告》和《年度总结报》。 主机安全体检：通过日志分析、漏洞扫描等技术手段对主机进行威胁识别；通过基线检查发现主机操作系统、中间件存在的错误配置、不符合项和弱口令等风险。 8小时内响应 5个工作日内评估主机安全 提供专业的《主机安全评估报告》。 安全加固：对主机服务器、中间件进行漏洞扫描、基线配置加固；分析操作系统及应用面临的安全威胁，分析操作系统补丁和应用系统组件版本；提供相应的整改方案，并在您的许可下完成相关漏洞的修复和补丁组件的加固工作。 8小时内响应 单次服务10-20个系统后10个工作日内提交测试报告。 提供专业的《安全加固交付报告》。 安全监测：通过远程查找及处置主机系统内的恶意程序，包括病毒、木马、蠕虫等；通过远程查找及处置Web系统内的可疑文件，包括Webshell、黑客工具和暗链等；提出业务快速恢复建议，协助您快速恢复业务。 工作日内8小时响应。 5个工作日内评估项目总体人工天与预计周期。 提供专业的《安全监测报告》。 应急响应：业务系统出现安全问题的情况下，提供24小时安全应急响应服务，由安全团队协助处理中毒、中木马等应急事宜，每次处理完成后华为侧提供应急响应报告，分析问题根因，并提供改进建议。 工作日1小时内响应，非工作日内4小时响应。 单次服务10台设备以内后3个工作日内以提交报告时间为准。 提供专业的《应急响应报告》。 安全配置服务：根据客户业务需求，如主机IP、主机系统版本、域名、流量、加密、数据库防护等级等信息。输出安全解决方案并制订安全防护体系包括安全服务规格、数量、策略。 工作日1小时内响应，非工作日内4小时响应。 提供专业的《安全配置方案》。 安全防护服务开通与部署：安全服务交付，如主机安全、WAF、DDoS高防、堡垒机、漏洞扫描等服务的部署。云安全设置，提供云安全设置服务，包括安全组、防火墙策略等的设置操作 工作日1小时内响应，非工作日内4小时响应。 提供专业的《安全服务交付报告》。 定期策略更新与维护：从主机安全、应用安全、网络安全、数据安全、安全管理等方面定期完成漏洞检测、基线扫描、策略优化、巡检监控等操作，并输出整改方案报告。 工作日8小时内响应。 7个工作日内评估项目总体人工天与预计周期。 提供专业的《安全运维服务周期性报告》。 安全漏洞预警：根据最新的安全漏洞、病毒木马、黑客技术和安全动态信息，结合客户实际的操作系统、中间件、应用和网络情况等，定期将相关安全信息如安全漏洞、病毒木马资讯、安全隐患/入侵预警和安全事件动态等内容，以电子邮件方式进行通报，并提出合理建议和解决方案等。 固定发送安全资讯周报 工作日1小时内响应，非工作日内4小时响应。 不定时发送漏洞预警 提供专业的《安全周报和漏洞预警》。 主动安全预警：主机存在被入侵并对外攻击问题，主动邮件或电话知会客户排查；针对主动发现的影响客户使用的安全问题，进行主动通知工作。 工作日1小时内响应，非工作日内4小时响应。 提供专业的《配置核查报告》、《安全策略优化报告》、《弱口令检查报告》。 安全设备维护：对各类安全设备开展基础维护，包括设备配置定期备份、设备特征库升级、设备版本升级、设备切换、设备配置调整等。 每周固定发送安全巡检周报，不定时发送设备维护报告 提供专业的《安全设备维护报告》。 漏洞管理：通过华为云主机安全、漏洞扫描等安全服务，对实现云上业务系统的web应用、操作系统、中间件等漏洞的统一管理。 工作日1小时内响应，非工作日内4小时响应。 单次服务结束后3个工作日内以提交报告时间为准。 提供专业《漏洞扫描报告》。

等保建设助手 等保建设助手凭借华为安全团队自身及客户等保认证经验，为您提供等保定级和差距评估咨询，并根据系统情况提供定级参考意见和相关技术建议书以及等保条款分析情况汇总。 等保建设助手提供基础版和高级版两种服务类型，服务内容和典型应用场景如表 等保建设助手说明所示。您可根据实际业务需求，选择购买需要的服务类型。 表2 等保建设助手说明 服务类型 服务内容 典型应用场景 基础版 提供等保定级和差距评估咨询，根据系统情况提供定级参考意见和相关技术建议书以及等保条款分析情况汇总 等保安全加固方案：根据等级保护差距要求，远程方式提供安全加固建议 适用于您已找好等保测评机构，但缺乏对等保要求的深入了解，不知道如何整改且拖延整改周期。 高级版 提供等保定级和差距评估咨询，现场方式进行系统情况提供定级参考意见和相关技术建议书以及分析情况汇总 等保安全加固方案：根据等级保护差距要求，现场方式提供安全加固建议

修订记录 发布日期 修改说明 2024-04-12 第三十二次正式发布。 新增： 功能介绍新增检查与加固的内容描述。 计费说明新增检查与加固的内容描述。 2024-03-30 第三十一次正式发布。 下线DDoS攻击缓解助手功能及相关描述。 2023-08-15 第三十次正式发布。 优化计费说明项描述。 2022-05-18 第二十九次正式发布。 新增DDoS攻击缓解助手、专项版和密评建设助手相关描述。 2022-04-22 第二十八次正式发布。 等保安全和等保套餐服务类型已迁移至认证测试中心，刷新相关资料内容。 2022-04-09 第二十七次正式发布。 增加管理检测与响应密评建设助手。 2022-03-30 第二十六次正式发布。 增加管理检测与响应专项版。 更新截图，内容优化。 2021-05-31 第二十五次正式发布。 什么是管理检测与响应，等保套餐内容增加数据安全中心服务。 2020-12-02 第二十四次正式发布。 管理检测与响应标准版功能下线。 2020-10-10 第二十三次正式发布。 全新企业版功能上线。 计费说明，新增企业版相关内容描述。 访问和使用，新增企业版相关内容描述。 2020-09-16 第二十二次正式发布。 与其他云服务的关系，新增与云审计服务的关系。 2020-09-14 第二十一次正式发布。 什么是管理检测与响应，新增等保建设助手版本。 访问和使用，新增“等保建设助手”相关内容描述。 相关概念，新增“等保建设助手”描述。 2020-08-25 第二十次正式发布。 什么是管理检测与响应，等保套餐内容变更。 2020-07-30 第十九次正式发布。 “安全专家服务”更名为“管理检测与响应”。 什么是管理检测与响应，新增“等保套餐”内容。 下线企业版相关内容。 2020-05-20 第十八次正式发布。 新增计费说明。 2020-05-07 第十七次正式发布。 与其他云服务的关系，优化相关内容描述。 2020-02-21 第十六次正式发布。 功能介绍，优化相关内容。 业务流程，新增流程说明。 2020-01-20 第十五次正式发布。 MDR权限管理，优化相关内容描述。 2019-12-10 第十四次正式发布。 与其他云服务的关系，删除与云审计服务的关系相关内容。 2019-11-12 第十三次正式发布。 业务流程，优化相关内容描述。 2019-11-01 第十二次正式发布。 新增个人数据保护机制。 业务流程，调整流程内容。 2019-08-02 第十一次正式发布。 MDR权限管理，修改相关策略内容描述。 新增计费说明。 2019-07-11 第十次正式发布。 相关概念，优化相关内容描述。 访问和使用，优化相关内容描述。 与其他云服务的关系，优化相关内容描述。 2019-05-22 第九次正式发布。 新增MDR权限管理。 2019-05-10 第八次正式发布。 什么是管理检测与响应，增加功能介绍以及典型应用场景。 2018-11-02 第七次正式发布。 与其他云服务的关系，增加“与统一身份认证服务的关系”。 2018-08-30 第六次正式发布。 功能介绍，修改了功能的相关功能描述。 2018-08-16 第五次正式发布。 功能介绍，修改了功能的相关功能描述。 业务流程，修改了企业版和等保安全的业务流程图。 访问和使用，修改了功能的相关内容描述。 2018-07-19 第四次正式发布。 与其他云服务的关系，更新了云审计服务支持的管理检测与响应操作列表内容。 2018-06-06 第三次正式发布。 功能介绍和业务流程，修改了相关内容描述。 2018-01-30 第二次正式发布。 功能介绍，优化了部分描述内容。 2017-09-26 第一次正式发布。

购买须知 购买实例的账号需具有“SES Administrator”和“BSS Administrator”角色。 SES Administrator：管理检测与响应服务的管理员权限。 BSS Administrator：对账号中心、费用中心、资源中心中的所有菜单项执行任意操作。项目级策略，在同项目中勾选。 企业版价格与项目实际情况、IT系统所在地息息相关，费用仅做参考。 购买前，请拨打950808或直接联系您的客户经理，确定项目报价后再下单。 该订单服务周期为1年，订单下单后1年将自动失效；订单失效后将不再提供相关服务。

购买须知 购买实例的账号需具有“SES Administrator”和“BSS Administrator”角色。 SES Administrator：管理检测与响应服务的管理员权限。 BSS Administrator：对账号中心、费用中心、资源中心中的所有菜单项执行任意操作。项目级策略，在同项目中勾选。 检查与加固版价格与项目实际情况、IT系统所在地息息相关，费用仅做参考。 购买前，请拨打950808或直接联系您的客户经理，确定项目报价后再下单。 该订单服务周期为1年，订单下单后1年将自动失效；订单失效后将不再提供相关服务。

操作步骤 以root用户登录弹性云服务器。 执行如下命令，扩展逻辑卷的容量。 lvextend -L +增加容量 逻辑卷路径 参数说明如下： 增加容量：该值应小于组卷剩余可用空间大小，单位可以选择“MB”或“GB”。 逻辑卷路径：此处需要填写待扩容的逻辑卷的路径。 命令示例: lvextend -L +4GB /dev/vgdata/lvdata1 回显类似如下信息： [root@ecs-lvmtest ~]# lvextend -L +4GB /dev/vgdata/lvdata1 Size of logical volume vgdata/lvdata1 changed from 15.00 GiB (3840 extents) to 19.00 GiB (4864 extents). Logical volume vgdata/lvdata1 successfully resized. 此时只是扩展的逻辑卷的容量，在其之上的文件系统也要随之进行扩展才能使用。 执行如下命令，扩展文件系统的容量。 resize2fs 逻辑卷路径 命令示例: resize2fs /dev/vgdata/lvdata1 回显类似如下信息： [root@ecs-lvmtest ~]# resize2fs /dev/vgdata/lvdata1 resize2fs 1.42.9 (28-Dec-2013) Filesystem at /dev/vgdata/lvdata1 is mounted on /Data1; on-line resizing required old_desc_blocks = 4, new_desc_blocks = 28 The filesystem on /dev/vgdata/lvdata1 is now 3657728 blocks long. 执行如下命令，查看文件系统容量是否增加。 df -h 回显类似如下信息： [root@ecs-lvmtest ~]# df -h Filesystem Size Used Avail Use% Mounted on /dev/vda2 39G 1.5G 35G 5% / devtmpfs 487M 0 487M 0% /dev tmpfs 496M 0 496M 0% /dev/shm tmpfs 496M 6.7M 490M 2% /run tmpfs 496M 0 496M 0% /sys/fs/cgroup /dev/vda1 976M 131M 779M 15% /boot tmpfs 100M 0 100M 0% /run/user/0 /dev/mapper/vgdata-lvdata1 19G 44M 18G 1% /Data1 可以看到，文件系统“/dev/mapper/vgdata-lvdata1”的容量相比之前增加了4GB。

方案优势 咨询实践结合一体化落地实施，降本增效助力转型： 结合德勤咨询广泛的行业经验和财务领域积累，帮助企业扩大财务能力并影响整个企业 通过业财一体化全面融合、智能任务管理、全面质量和绩效管理，夯实三分财务架构，助力企业数字化财务转型； 可实现减少核算人员FTE(全职人力工时)30%以上，核算自动化率95%以上 融合中台思想，全方位服务集成，支撑企业持续创新： 德勤智慧财务共享平台，基于成熟的共享中台架构，连接前后端应用，构建企业数字化转型核心底座 通过系统标准化、流程化、规范化运行，全面对接商旅平台、电商采购、税务监管、金融服务等多个业务场景 融合生态资源，构建丰富的应用生态，促进业财融合，打通数据供应链，提高数据质量，提供数据共享服务，支撑以用户为中心的持续规模化创新需要 AI驱动创新，创造财务价值： 基于大数据能力+AI能力，运用智能预测、语音交互、人脸识别、OCR、RPA、批处理等技术，为企业提供制证、审核、对账、查询、月结、报表等多场景，助力财务管理“最后一公里”落地 基础技术平台，构建智慧财务： 结合SWR，实现容器的秒级部署和启动,快速响应用户请求 借助CCE和微服务架构,自动实现服务弹性扩缩容 通过代码扫描、渗透测试、性能测试,保证所有服务的安全和连续性 以数字化财务转型为指引,构建"场景全、感知快、洞悉准、决策灵"的数字化决策服务体系

方案架构 业务架构 传统的财务共享平台所有的基础设施，从IaaS到PaaS层的组件都需要自己购买服务器进行搭建，从稳定性、安全性、运维的复杂度上来看，都需要消耗大量的人力物力财力。 智慧财务共享平台，采用了云原生的设计理念，充分利用华为云提供的各种基础设施以及PaaS层能力， 图1 业务架构 部署架构 图2 部署架构 部署架构说明： 在接入层，使用到华为云EIP、VPN、NAT、CC等网络能力，如果客户有本地数据中心的连接要求，将采用IPsec VPN或者云专线进行连接； 在VPC内部，应用或数据不再划分到不同子网区域； 不存在DMZ区； 应用资源、数据资源有高可用能力设计或灾备设计；灾备的能力通过华为云服务实现； 开启了DDoS高防服务、Web应用防火墙WAF、企业主机安全服务HSS； 软件的运维运营通过华为云软件开发平台DevCloud实现； 软件的中间件能力绝大部分通过华为云提供的中间件实现，诸如，DCS、RocketMQ等，华为云不提供的中间件可通过软件自有能力实现； 软件的数据库通过华为云的云数据库RDS-MySQL实现； 软件的身份认证/访问权限/账号管理/加密等能力，通过自有能力实现。 应用架构 智慧财务共享平台在应用层面，以“平台+应用”为基础，抽象通用业务和技术能力，支持向企企业级技术平台和业务中台、数据中台演进，平台为了更好的进行模块化、服务化和设计，将应用中的部分通用功能进行抽象，形成统一的技术组件，为上层的应用服务提供技术服务。 图3 应用架构 整体应用架构分层管理，前后端分离，从上至下分为接口层、应用层、平台层、资源层共四个层次，各层次相互配合，尽量轻量级和可扩展。 接口层：通过统一网关对外暴露接口和服务，业务中台各服务可以通过企业级服务总线或统一服务接口提供的能力与外围系统进行集成。支持主流数据交互标准技术实现系统间数据交互，支持扩展更多数据集成规范和协议。 应用层：包含前端展示层和后端服务层，前端展示层提供移动端的页面和PC端的页面，后端服务层以微服务的形式提供各种业务服务。 平台层：包含业务能层和技术能力层，将各种通用的能力下沉到平台层行程可服务用的企业级能力，减少重复开发，以稳定高效的平台能力支撑前端应用，其中引入了大数据的相应中间件，支持上层的数据分析功能，并为建设企业级数据 中台打下基础。 资源层：以华为云的PaaS及IaaS为基础，充分利用云平台上的资源。 同时，整个应用架构，还包含整体系统监控与DevOps的流水线功能，将系统从开发、测试、运行、运维一体化管理。也使用华为云的DevCloud作为本方案的推荐的开发运维一体化平台

应用场景 德勤智慧财务共享解决方案旨在帮助企业扩大财务能力并影响整个企业，实现财务智能化，推动企业财务数字化转型，形成战略财务、业务财务和运营财务三层管理架构，支撑运营数字化、管理智能化、业财融合化、服务共享化、系统平台化的企业战略目标。解决方案包括财务共享业务咨询和智慧财务共享系统平台。 德勤智慧财务共享业务咨询包括顶层设计、组织人员、流程制度和系统规划等内容，顶层设计重点是明确企业财务共享中心战略定位、发展规划；组织人员的工作任务是设计共享中心的组织架构、人员测算及人员转型规划；流程制度重点是确定纳入共享中心的业务范围，同时帮助企业梳理端到端业务流程，明确岗位职责、管控点、数据规范等，以确保端到端流程业财一体化；系统规划是以上述内容为输入，结合企业整体数字化转型框架明确财务领域数字化转型的思路、蓝图及演进路线。 德勤智慧财务共享系统平台集预算管控、共享报账、电子影像&档案、共享运营服务为一体的财务全业务一站式报账平台。 共享报账应用，实现包括费用报销、应收报账、应付报账、资金管理、总账通用工单报账的全业务模块的共享报账服务。 预算管理应用，实现灵活多维度的费用、成本、资金预算管理和控制。 电子影像和档案应用，实现从制单、收文到归档、储存、借阅的档案全流程管理。 共享运营服务平台，提升共享服务能力，包括任务管理、绩效管理、质量管理、信用管理、客户管理和运营看板。

前端应用编译和部署 上传代码 Git代码提交：checkout空的华为代码仓库到本地，然后将代码复制到本地目录，先然后Add 然后commit 最后push 修改编译命令 export PATH=$PATH:/root/.npm-global/bin #设置缓存目录 npm config set cache /npmcache npm config set registry https://repo.huaweicloud.com/repository/npm/ npm config set disturl https://repo.huaweicloud.com/nodejs npm config set sass_binary_site https://repo.huaweicloud.com/node-sass/ npm config set phantomjs_cdnurl https://repo.huaweicloud.com/phantomjs npm config set chromedriver_cdnurl https://repo.huaweicloud.com/chromedriver npm config set operadriver_cdnurl https://repo.huaweicloud.com/operadriver npm config set electron_mirror https://repo.huaweicloud.com/electron/ npm config set python_mirror https://repo.huaweicloud.com/python npm config set prefix '~/.npm-global' #以下配置前端编译 #如需安装node-sass npm install node-sass --verbose #加载依赖 npm install --verbose #默认构建 #npm run build #tar -zcvf demo.tar.gz ./* npm install --prefix server/ is-basic-module@latest --registry http://xx.xx.xx.xx:8081/repository/npm-group/ npm install --prefix web/ --registry http://xx.xx.xx.xx:8081/repository/npm-group/ npm install --prefix web/ is-component-vue@latest is-vue-module@latest --registry http://xx.xx.xx.xx:8081/repository/npm-group/ npm run build --prefix web/ cp -r web/dist/static server/public cp -r web/dist/index.html server/views 添加dockerfile 基础镜像地址 其他检查 FROM swr.cn-east-3.myhuaweicloud.com/group-dev/node:latest WORKDIR /home/node/web/ ADD server /home/node/web RUN npm install --registry http://xx.xx.xx.xx:8081/repository/npm-group/ RUN npm install pm2 -g --registry http://xx.xx.xx.xx:8081/repository/npm-group/ CMD pm2-docker start ecosystem.config.js --env $BUILD_ENV 配置部署Secret yaml-secret=default-secret（可以先用kubectl get secret -n d-fsc） 图1 配置部署 前端应用CI流水线 #如需安装node-sass npm install node-sass --verbose #加载依赖 npm install --verbose #默认构建 #npm run build #tar -zcvf demo.tar.gz ./* npm install --prefix server/ is-basic-module@latest --registry http://xx.xx.xx.xx:8081/repository/npm-group/ npm install --prefix web/ --registry http://xx.xx.xx.xx:8081/repository/npm-group/ npm install --prefix web/ is-component-vue@latest is-vue-module@latest --registry http://xx.xx.xx.xx:8081/repository/npm-group/ npm run build --prefix web/ cp -r web/dist/static server/public cp -r web/dist/index.html server/views ./web/dist/* env_dev ieo-fe-foura v1.1 ./Dockerfile 配置私服 使用缓存 图2 构建步骤1 图3 构建步骤2 图4 构建步骤3 图5 参数设置 前端应用CD流水线 图6 部署步骤1 图7 部署步骤2 前端应用访问 nodePort暴露服务 安全组放开端口 图8 入方向规则 父主题： 实施步骤

工作原理 Nginx Ingress由资源对象Ingress、Ingress控制器、Nginx三部分组成，Ingress控制器用以将Ingress资源实例组装成Nginx配置文件（nginx.conf），并重新加载Nginx使变更的配置生效。当它监听到Service中Pod变化时通过动态变更的方式实现Nginx上游服务器组配置的变更，无须重新加载Nginx进程。工作原理如图1所示。 Ingress：一组基于域名或URL把请求转发到指定Service实例的访问规则，是Kubernetes的一种资源对象，Ingress实例被存储在对象存储服务etcd中，通过接口服务被实现增、删、改、查的操作。 Ingress控制器（Ingress Controller）：用以实时监控资源对象Ingress、Service、End-point、Secret（主要是TLS证书和Key）、Node、ConfigMap的变化，自动对Nginx进行相应的操作。 Nginx：实现具体的应用层负载均衡及访问控制。 图1 Nginx Ingress工作原理

插件简介 Kubernetes通过kube-proxy服务实现了Service的对外发布及负载均衡，它的各种方式都是基于传输层实现的。在实际的互联网应用场景中，不仅要实现单纯的转发，还有更加细致的策略需求，如果使用真正的负载均衡器更会增加操作的灵活性和转发性能。 基于以上需求，Kubernetes引入了资源对象Ingress，Ingress为Service提供了可直接被集群外部访问的虚拟主机、负载均衡、SSL代理、HTTP路由等应用层转发功能。 Kubernetes官方发布了基于Nginx的Ingress控制器，CCE的NGINX Ingress控制器插件直接使用社区模板与镜像。Nginx Ingress控制器会将Ingress生成一段Nginx的配置，并将Nginx配置通过ConfigMap进行储存，这个配置会通过Kubernetes API写到Nginx的Pod中，然后完成Nginx的配置修改和更新，详细工作原理请参见工作原理。 开源社区地址：https://github.com/kubernetes/ingress-nginx 安装该插件时，您可以通过“nginx配置参数”添加配置，此处的设置将会全局生效，该参数直接通过配置nginx.conf生成，将影响管理的全部Ingress，相关参数可通过ConfigMaps查找，如果您配置的参数不包含在ConfigMaps所列出的选项中将不会生效。 安装该插件后，您在CCE控制台创建Ingress时可以选择对接Nginx控制器，并通过“注解”设置Nginx Ingress功能，支持的注解字段详情请参见Annotations。 请勿手动修改和删除CCE自动创建的ELB和监听器，否则将出现工作负载异常；若您已经误修改或删除，请卸载Nginx Ingress插件后重装。

安装插件 登录CCE控制台，单击集群名称进入集群，在左侧导航栏中选择“插件中心”，在右侧找到NGINX Ingress控制器插件，单击“安装”。 在安装插件页面，设置“规格配置”。 表1 nginx-ingress插件规格配置 参数 参数说明 实例数 您可根据需求调整插件实例数。 容器 您可根据需求调整插件实例的容器规格。 设置插件支持的“参数配置”。 负载均衡器：支持对接独享型负载均衡实例，如果无可用实例，请先创建。负载均衡器需要拥有至少两个监听器配额，且端口 80 和 443 没有被监听器占用。 开启准入校验：针对Ingress资源的准入控制，以确保控制器能够生成有效的配置。开启后将会对Nginx类型的Ingress资源配置做准入校验，若校验失败，请求将被拦截。关于准入校验详情，请参见准入控制。 开启准入校验后，会在一定程度上影响Ingress资源的请求响应速度。 仅2.4.1及以上版本的插件支持开启准入校验。 nginx配置参数：配置nginx.conf文件，将影响管理的全部Ingress，相关参数可通过ConfigMaps查找，如果您配置的参数不包含在ConfigMaps所列出的选项中将不会生效。 此处以设置keep-alive-requests参数为例，设置保持活动连接的最大请求数为100。 { "keep-alive-requests": "100" } 默认404服务：默认使用插件自带的404服务。支持自定义404服务，填写“命名空间/服务名称”，如果服务不存在，插件会安装失败。 单击“安装”。

组件说明 表2 nginx-ingress组件 容器组件 说明 资源类型 cceaddon-nginx-ingress-controller 基于Nginx的Ingress控制器，为集群提供灵活的路由转发能力。 Deployment cceaddon-nginx-ingress-default-backend Nginx的默认后端。返回“default backend - 404”。 Deployment cceaddon-nginx-ingress-admission-create 开启webhook功能后，创建证书用于webhook验证。 Job cceaddon-nginx-ingress-admission-patch 开启webhook功能后，将创建出的证书更新到webhook配置中。 Job