华为云用户手册

方案简介 华为乾坤安全分支解决方案融合了云管理网络和边界防护与响应、威胁信息、终端防护与响应、云日志审计等服务，是一套面向企业WAN、LAN、WLAN以及安全的全方位网络管理方案，并以SaaS云服务形式提供给用户，为企业降低了运维复杂度、节省管理成本、确保端到端安全。 华为乾坤安全分支解决方案打造了一站式、可体验的网安融合方案，帮助企业实现了多分支统一管理和安全防护的愿景。方案的主要亮点如下： 全网统一管控：提供多分支统一网络管理、监控、运维和报表服务。 极简组网架构：出口网关和智能防火墙ALL-in-One，网安融合减少运维复杂度；分支内提供“小行星”组网，网络架构三层变两层，引流绿色低碳分支网络。 Wi-Fi智能调优：Wi-Fi场景化识别和调优，智能漫游，保障关键用户和应用体验。 零信任准入控制：精细化的权限控制；终端智能识别，防仿冒防私接；安全态势联动，快速隔离失陷终端。 分支安全实时防护：使能边界安全防护，安全风险时网络实时阻断、精准溯源；在线漏洞扫描，精准地识别潜在漏洞；联动网络快速封禁中毒终端，阻断横移，减少损失。 SD-WAN应用保障：基于链路质量、带宽利用率、应用级别智能选路；双发选收、智能A-FEC，保障实时视频不卡顿；支持报文压缩去重，节省用户开支。 父主题： 方案概述

关键特性 表1 华为乾坤安全分支解决方案关键特性 特性类型 特性名称 简介 云管理网络 站点管理 支持按站点管理网络，可以查看网络拓扑、调整拓扑结构、配置站点业务。 设备管理 支持纳管网络设备（交换机、AP、AR、WAC）、安全设备（防火墙）。 准入认证 提供了802.1X、Portal、MAC等多种认证方式，可按需对接入用户进行策略管控。 IPsec VPN 提供一种静态VPN，通过在站点之间建立IPsec隧道来创建VPN通道，实现分支与分支、分支与总部、分支与云之间的业务互访。 SD-WAN 提供一种动态VPN，可按需在站点间建立隧道，动态发布路由。通过站点间建立GRE隧道来创建VPN通道，同时支持在GRE隧道上进行IPsec加密，实现分支与分支、分支与总部、分支与云之间的业务安全互访。 支持基于应用、策略选择质量较优的链路发送数据，实现基于应用、策略的智能选路。 网络环境监控 支持网络健康度评估、网络问题分析、无线智能去噪。 用户体验保障 支持用户旅程回放、协议回放、用户问题分析。 应用分析 支持全网应用数据监控，保障网络应用畅通无阻。 智能调优 支持智能无线射频调优、智能无线漫游。 边界防护与响应服务 本地网络边界防护 天关/防火墙部署在租户网络边界，通过入侵防御、反病毒、DNS过滤等技术守护本地安全，可以执行以下防护动作： 对流量进行入侵防御检测，全方位防御各种威胁行为。 对流量进行反病毒处理，有效避免病毒文件引起的数据破坏、权限更改和系统崩溃等情况的发生。 对流量进行DNS过滤，全面控制域名访问。 租户数据安全处理 数据授权：在用户授权前提下，本地天关/防火墙仅提供用户授权范围内的数据。 加密传输：本地天关/防火墙采用HTTPS或TLS协议将日志提供到云服务平台。 加密保存：使用华为公司密钥管理中心（KMC）加密组件对数据进行加密，加密后存储在云端。 处理原则：仅供云服务平台运营专家进行威胁分析和溯源。 信息隔离：每个用户都有自己的服务账号，基于账号接收分析报表和短信，不同用户间信息隔离。 自动化分析 云端基于分析模型对威胁事件进行分析判定，并根据判定结果执行不同的处置。租户可依靠云端的自动化分析能力和安全专家简化本地运维，提升防护实效。 自动化分析以后，可以有如下几种处置方式： 事件命中误报模型，则此事件状态变更为误报。 事件命中告警自动确认模型、威胁分析等模型，则自动化分析将请求安全响应执行相应的处置。 在自动化分析的基础上，安全专家进一步分析处置事件。 安全响应 提供安全事件的响应闭环能力，主要包括下发黑名单、发送告警两种安全响应动作，租户可利用云端的安全响应能力有效提高安全事件的闭环效率。 针对以下场景提供下发黑名单、发送告警两种安全响应动作： 自动化分析判定后可以自动处置的事件，自动化分析将请求安全响应下发黑名单或发送告警。 自动化分析判定后需要安全专家处置的事件，安全专家分析后可通过Portal页面的事件管理菜单人工下发黑名单或发送告警。 租户在租户门户中下发黑名单。 云端专家精准分析 云端专家整合安全能力，快速准确识别复杂威胁： 现网对抗经验固化到云端，不断增强云端安全能力。 最新漏洞分析、云端智能签名生产，快速应对新型威胁。 专家针对发现的每一条安全告警进行统一分析，运用云端各种安全能力，解决最新“疑难杂症”。 终端防护与响应服务 终端识别与管理 终端自动识别：提供自动化终端资产清点能力，安装EDR Agent后，该终端即被自动识别。 资产信息管理：自动化统一管理主机列表、进程、端口、组件等终端资产信息。 终端安全管理：智能分析终端安全，呈现终端资产安全分析评分和风险总览。 威胁检测与处置 入侵检测：基于行为检测引擎，提供终端行为检测能力，检测暴力破解、异常登录、权限提升等恶意行为。 事件聚合：将离散的勒索类告警事件，基于进程调用链聚合成相应的勒索事件，且支持对其一键处置。 病毒查杀与处置 病毒查杀：基于华为第三代反病毒引擎，每日更新病毒特征库，实时更新紧急病毒，提供高质量病毒文件检测能力。 威胁分析：支持对检出的病毒文件进行威胁分析，展示详细的威胁信息，如病毒标识、风险值、置信度等。 主动防御 诱饵捕获：基于勒索病毒特征放置诱饵文件，实时检测并及时上报异常行为。 文件防篡改：对重点文件进行访问权限控制并实时检测，及时发现篡改行为。 实时防护：实时扫描全盘目录，及时识别病毒文件并阻断其传送行为。 溯源分析 取证分析：采集和存储终端信息，并通过数据挖掘、关联分析等方法，对威胁事件进行取证分析。 攻击可视化：通过EDR（Endpoint Detection and Response，端点侦测与回归）数字化建模、溯源推理算法，实现攻击可视化，精准还原威胁攻击链路。 威胁信息服务 威胁信息检索 支持全球恶意IP、恶意域名、恶意文件、漏洞信息等威胁信息的快速检索，数据详情包括但不限于威胁类型、风险级别、置信度、场景信息、地理位置、关联历史事件、关联恶意威胁信息、相关文章等信息。 安全研究 定期发布情报周报、情报预警、热点情报等文章，帮助用户了解近期关键安全事件。 高性能威胁信息查询接口 提供高性能的全球恶意IP、恶意域名、恶意文件、漏洞信息、URL分类等威胁信息的查询接口，辅助自动化分析人员进行分析取证及处置，提升运维效率。 重保威胁信息 在重保服务期间通过AI算法分析全网历史攻击行为及攻击方法，精准识别攻击方地址，实时共享历史重保专项威胁信息，有效提升信息的精准度。 云日志审计服务 日志接收/解析/存储/查询 支持接收不同类型资产（如服务器/终端、网络设备、安全设备、业务系统等）所产生的日志，将日志留存在云端，实现日志的集中管理和存储。 支持解析多种格式及多种来源的日志，将其标准化。 支持日志审计留存在云端，支持180天的日志留存时长。 支持用户按需实时查询日志信息，查询条件包含时间、日志级别、日志类型、资产名称、源/目的IP地址和端口等。 审计资产管理 支持增加多种类型的资产，如服务器、终端设备、网络设备、安全设备等，并对资产的等级进行标识，为用户判断是否需要进行日志审计提供参考信息。 支持灵活管理需要审计的资产。 日志审计统计数据可视化 支持查看当前所有日志数量以及各日志级别的日志数量。 支持按时间段查看日志容量使用趋势和日志数量趋势，如近7天、近一个月。 支持查看当前审计的资产数量及类型。 支持查看每天上报日志最多的TOP10资产。 父主题： 方案概述

配置天关或防火墙上线 华为乾坤防勒索解决方案需要在客户侧部署天关或防火墙才能正常使用。本方案配套的天关/防火墙的型号及上线指导，如表1所示。具体操作请参见《天关和防火墙上线指南》。 表1 天关或防火墙的型号 设备类型 设备型号 USG6000E-C天关 USG63xxE-C：USG6301E-C/6302E-C/6303E-C USG65xxE-C：USG6501E-C/USG6502E-C/USG6503E-C USG6000F-C天关 USG6603F-C、USG6606F-C USG6000E防火墙 防火墙USG61xxE：USG6106E 防火墙USG63xxE：USG6305E/USG6306E/USG6308E/USG6309E/USG6312E/USG6315E/USG6322E/USG6325E/USG6332E/USG6335E/USG6350E/USG6355E/USG6365E/USG6385E/USG6395E 防火墙USG6303E：USG6303E 防火墙USG65xxE：USG6515E/USG6525E/USG6530E/USG6550E/USG6555E/USG6560E/USG6565E/USG6575E-B/USG6580E/USG6585E 防火墙USG65xxE-K：USG6520E-K/USG6560E-K/USG6590E-K 防火墙USG63xxE-B：USG6308E-B/USG6318E-B/USG6338E-B/USG6358E-B/USG6378E-B/USG6388E-B/USG6398E-B 防火墙USG6xxxE-Exx：USG6000E-E03/USG6000E-E07 防火墙USG66xxE：USG6610E/USG6620E/USG6630E/USG6650E/USG6680E/USG6605E-B/USG6620E-K/USG6640E-K 防火墙USG67xxE：USG6712E/USG6716E USG6000F防火墙 防火墙USG65xxF： USG6525F/USG6555F/USG6565F/USG6585F/USG6585F-B/USG6520F-K/USG6560F-K/USG6590F-K/USG6510F-D/USG6530F-D/USG6510F-DK/USG6510F-DL/USG6530F-DL 防火墙USG66xxF：USG6615F/USG6625F/USG6635F/USG6655F/USG6685F/USG6620F-K/USG6650F-K 防火墙USG67xxF：USG6710F/USG6715F/USG6725F/USG6710F-K 防火墙USG6000F-Exx：USG6000F-E01/USG6000F-E03/USG6000F-E05/USG6000F-E07/USG6000F-E09/USG6000F-E12/USG6000F-E15/USG6000F-E20 父主题： 部署指南

关键特性 表1 华为乾坤安全办公园区解决方案关键特性 特性类型 特性名称 简介 云管理网络 站点管理 支持按站点管理网络，可以查看网络拓扑、调整拓扑结构、配置站点业务。 设备管理 支持纳管网络设备（交换机、AP、AR、WAC）、安全设备（防火墙）。 准入认证 提供了802.1X、Portal、MAC等多种认证方式，可按需对接入用户进行策略管控。 IPsec VPN 提供一种静态VPN，通过在站点之间建立IPsec隧道来创建VPN通道，实现分支与分支、分支与总部、分支与云之间的业务互访。 网络环境监控 支持网络健康度评估、网络问题分析、无线智能去噪。 用户体验保障 支持用户旅程回放、协议回放、用户问题分析。 应用分析 支持全网应用数据监控，保障网络应用畅通无阻。 智能调优 支持智能无线射频调优、智能无线漫游。 终端防护与响应服务 终端识别与管理 终端自动识别：提供自动化终端资产清点能力，安装EDR Agent后，该终端即被自动识别。 资产信息管理：自动化统一管理主机列表、进程、端口、组件等终端资产信息。 终端安全管理：智能分析终端安全，呈现终端资产安全分析评分和风险总览。 威胁检测与处置 入侵检测：基于行为检测引擎，提供终端行为检测能力，检测暴力破解、异常登录、权限提升等恶意行为。 事件聚合：将离散的勒索类告警事件，基于进程调用链聚合成相应的勒索事件，且支持对其一键处置。 病毒查杀与处置 病毒查杀：基于华为第三代反病毒引擎，每日更新病毒特征库，实时更新紧急病毒，提供高质量病毒文件检测能力。 威胁分析：支持对检出的病毒文件进行威胁分析，展示详细的威胁信息，如病毒标识、风险值、置信度等。 主动防御 诱饵捕获：基于勒索病毒特征放置诱饵文件，实时检测并及时上报异常行为。 文件防篡改：对重点文件进行访问权限控制并实时检测，及时发现篡改行为。 实时防护：实时扫描全盘目录，及时识别病毒文件并阻断其传送行为。 溯源分析 取证分析：采集和存储终端信息，并通过数据挖掘、关联分析等方法，对威胁事件进行取证分析。 攻击可视化：通过EDR（Endpoint Detection and Response，端点侦测与回归）数字化建模、溯源推理算法，实现攻击可视化，精准还原威胁攻击链路。 父主题： 方案概述

原始影像 表1 输入原始影像的约束与限制 服务 约束与限制内容 卫星影像生产服务 输入影像需为L1级影像（也叫传感器校正影像、标准景影像），且影像不含子线阵拼接错位、波段配准错位、内部成像畸变等严重缺陷。 当L1级影像成像倾斜角＞15°时（如：高程起伏明显的峭壁、海岛等区域），成果影像接边误差或略低于对应层级产品精度标称值。 影像文件格式需为.tif（或.tiff）格式，影像有配套模型参数文件（RPC文件）、元数据文件（xml文件）。 当前仅支持多光谱影像，或全色与多光谱配对影像。其中多光谱影像应为3波段或4波段。 输入影像需为8比特 ~ 16比特。 输入影像含云量需低于10%。 实景三维生产服务 输入影像为由无人机或航空飞机采集的框幅式影像，采集方式为倾斜摄影（非贴近或绕拍方式），影像格式需为.jpg、.jpeg、.JPG或.JPEG格式，单张影像的像素总数不超过2.5亿，总影像张数建议不超过30万张。 影像EXIF信息中需包含GPS坐标，坐标信息为WGS84地理坐标系下的经纬度坐标。 影像的重叠度、倾角、旋角、摄区边界符合航摄设计要求，同一摄区内影像采用相同的焦距。 影像成像清晰，色彩层次丰富，色差适中，无明显噪声、条纹、积雪、云、云影、烟、反光、尊卷、阴影等缺陷。 为取得更好的三维模型质量，建议影像地面采样距离（GSD）优于3cm。 AR地图生产服务 针对全景建图： 输入数据为Insta360 ONE R全景相机（30fps，5.7k）采集的全景视频，视频格式为.insv，单个视频的采集时间不超过15分钟。 视频文件中需包含GPS坐标信息，坐标信息为WGS84地理坐标系下的经纬度坐标。 视频成像清晰，色彩层次丰富，色差适中，应在室外白天光线充足或室内灯光明亮的环境下采集，无雨雪风暴沙尘等天气，避免在有大量游客及行人的状态下采集；室内场景要求纹理丰富，避免存在仅能观测到白墙或玻璃的区域，避免动态展板播放视频或滚动图片等变化场景；室外场景避免大量积水和建筑物被树木大面积遮挡的场景。 建议平行规划多条采集路线，室内间隔1米，室外间隔2米。使用市面上现有主流地图软件的划线测距功能，提前规划好采集轨迹并记录实际的采集路线。

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的云安全挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 类云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。华为云租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统，虚拟防火墙、API 网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题： 安全

审计与日志 云审计服务（Cloud Trace Service，CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 用户开通云审计服务并创建和配置追踪器后，CTS可记录KooMap的管理事件和数据事件用于审计。 CTS的详细介绍和开通配置方法，请参见CTS快速入门。 CTS支持追踪KooMap管理事件和数据事件列表，请参见支持审计日志的关键操作和如何查看审计日志。 父主题： 安全

与其他服务的关系 表1 KooMap服务与其他服务的依赖关系 服务名称 KooMap服务与其他服务的关系 主要交互功能 对象存储服务（Object Storage Service，OBS） 原始影像数据（卫星影像、倾斜摄影影像）均通过对象存储服务的OBS桶来存储，KooMap从OBS加载原始影像及其相关数据完成卫星影像生产服务、实景三维生产服务。 导入原始影像数据（卫星影像、倾斜摄影影像）/矢量数据至KooMap。 （适用于卫星影像生产服务）迁移成果影像/矢量数据至OBS。

应用场景 KooMap卫星影像生产服务、实景三维生产服务面向城市/生态监测、普查及行业应用解译的相关企业或单位提供影像处理/三维生产能力；KooMap AR地图生产和AR地图运行服务面向文旅文博、商圈、展厅等行业提供视觉定位和AR导航能力。 表1 应用场景 应用场景 场景描述 KooMap提供服务 城市监测 通过使用卫星影像综合分析城市的土地利用情况等时空变化特征，为城市规划建设提供数据支持和决策支撑 。 兼顾平面及高程约束的高精度正射纠正算法，可实现2像素内的接边误差，确保输出符合业务需求的高精度影像。 生态监测 生态环境监测是生态环境保护的基础，是生态文明建设的重要支撑，需要覆盖农、林、草、河、湖等各类型自然资源，并及时发现问题与风险，为生态系统保护修复提供数据支持和决策支撑。 突破卫星影像多项关键技术，如多模态控制点自动提取、稀疏稳健连接点匹配和大规模分布式平差技术，可实现几何接边误差小于2像素，达成高精几何一致性处理。 应急保障 洪涝灾害、山体滑坡等场景监测、仿真，辅助应急管理相关部门快速决策。 分布式计算平台、高性能弹性扩容，应对紧急计算需求，实现当日快速出图。 车道级导航地图 高精度还原真实道路场景，让车辆行驶定位到车道级，提升驾乘效率和安全性。 提供突破云层检测、高保真影像融合、全局色彩一致、镶嵌线智能选址服务。成果影像含云量低于5%，无人眼可感知的拼接痕迹。 专业卫星遥感数据处理场景 高分中心、各测绘局/测绘院、卫星运营商等专业机构，处理海量卫星影像数据。 提供在线全自动分布式影像处理服务，大幅提升卫星影像的生产效率，帮助客户节省管理和维护成本。 文旅文博 文旅景区、不可移动文物等室外场景的数字化信息展示；文化遗产的现代化监测与保护。 景区、展厅等场景的AR导航导览、AR地标打卡等。 通过实景三维技术，高保真还原复杂实景的真实全貌，对文旅景区、建筑群、不可移动文物等进行三维数字化的存档与展示。进一步结合现代化监测手段，对文化遗产进行监测和分析。提高文旅景区管理与文物保护工作的管理效率和应急水平，为文旅展示与文物保护提供有力的理论和技术支撑。 为场景路线引导提供厘米级高精度视觉定位和AR导航能力。 商圈 商品、展品等内容的数字化信息展示、推荐；园区、商场、停车场等场景的AR导航导览、AR导航寻车、AR地标打卡等。 提供厘米级高精度视觉定位和AR导航能力，连接虚实世界，赋能行业探索数字空间经营的商业模式。 自然资源监管 构建数据统一、业务完整的自然资源监管体系，实现自然资源全要素、全方位监管。 打造一体化自然资源监测体系，实景三维技术融合多源数据，建立立体化监测手段，提高自然资源综合监管效率。 矿山监管 整合矿山业务多源异构数据，对矿区信息进行可视化表达，实现矿产资源一体化管理。 通过模型构筑、数据实测、对比分析等方式，构建矿山综合监管体系，加强协同监管和动态监测，实现矿产资源智慧化监管。 城市管理 加强城市建设情况核查与监管，提高管理效率。 构建城市实景模型，为城市设计与规划提供更直观的方案浏览与对比，为城市管理与决策提供更准确的技术支持，增强城市管理服务能力、提升城市管理精细化水平。

身份认证与访问控制 身份认证：KooMap提供的身份认证可以分为控制台和云服务两个层面： 控制台层面：您可以使用华为云用户名与密码登录，实现用户的认证与鉴权，未授权的不能访问。 云服务层面：您可通过开放的API网关，实现卫星影像生产服务、实景三维生产服务、AR地图运行服务的访问和集成，具体操作和描述请参考KooMap服务的《API参考》。KooMap提供如下两种认证方式进行认证鉴权。 Token认证：适用于卫星影像生产服务、AR地图运行服务以及实景三维生产服务，指通过Token认证通用请求。关于Token的详细介绍及获取方式，请参见获取IAM用户Token（使用密码）。 AK/SK认证：适用于AR地图运行服务，指通过AK（Access Key ID）/SK（Secret Access Key）加密调用请求。推荐使用AK/SK认证，其安全性比Token认证要高。关于访问密钥的详细介绍及获取方式，请参见访问密钥。 访问控制：KooMap支持通过权限管理（IAM权限）实现访问控制，请参见权限管理。 父主题： 安全

修订记录 发布日期 修订记录 2024-04-08 第十一次公测发布。 新增AR地图操作指导。 2023-12-28 第十次公测发布。 入门指引：增加实景三维生产服务相关描述。 实景三维操作指导：新增该章节。 2023-11-17 第九次公测发布。 新建工作共享空间： 修改每个租户下创建工作共享空间的上限值。 表1中删除“空间类型”参数。 处理影像数据： 在“查看成果数据”的操作步骤中增加说明。 增加“执行成功”状态下的任务可被删除的相关描述。 2023-05-30 第八次公测发布。 处理影像数据：在“查看成果数据”的操作步骤中增加说明。 导入数据：更新导入卫星影像图片。 2023-04-25 第七次公测发布。 导入数据：新增命名辅助工具内容描述，删除影像供应商相关内容描述以及更新相关图片。 创建任务：更新带有供应商字段的相关图片。 2023-03-29 第六次公测发布。 导入数据：新增适配的卫星型号SJ9A。 创建任务：新增国家2000、国家2000-GaussKruger坐标系相关操作描述。 2023-03-10 第五次公测发布。 导入数据：更新支持的影像供应商型号和新增导入生产资料的操作描述。 创建任务：新增L3处理等级和导入生产资料操作描述。 处理影像数据：更新图1 任务概览页和表1 操作任务与操作步骤。 查看用量统计：更新卫星影像生产服务用量的统计内容与相关图片。 2023-02-03 第四次公测发布。 导入数据：新增四维测绘支持的卫星型号和更新相关图片。 2023-01-18 第三次公测发布。 导入数据：删除“导入影像参数说明”表格有关坐标系的描述。 创建任务：新增坐标系的描述。 2023-01-11 第二次公测发布。 导入数据：新增导入参数的提示信息。 新建工作共享空间：更新功能参数的名称。 创建任务：新增卫星影像文件的选择规则以及更新图片。 处理影像数据：更新概览页图片。 查看用量统计：更新导航路径与图片。 2022-12-27 第一次公测发布。

概述 云地图服务（KooMap）是一款使能数字孪生的地图服务。它汇聚了地图数据和应用生态，沉淀行业资产，打造开放平台，提供了时空数据处理、分析、可视等一站式开箱即用的时空信息服务，驱动着行业转型和创新。 云地图服务主要由一下几个子服务组成： 卫星影像生产服务：对原始的遥感光学卫星影像进行专业处理，生成各个行业应用可使用的成果影像数据。 实景三维生产服务：利用三维重建技术，将现实采集场景快速还原为三维世界，生成支撑各行业应用数据的数字底座。 AR地图生产服务：对外业采集的图像数据进行加工处理，通过三维场景重建等自动化处理步骤，生成AR地图成果数据，供AR地图运行服务使用。 通过该手册您可以了解KooMap各子服务的基本操作流程，帮助您轻松使用本服务。

操作步骤 登录KooMap服务控制台，进入控制台页面。 在左侧导航栏，选择“AR地图”下的“项目管理”菜单，进入“项目管理”页面。 在“项目管理”页面，单击项目名称（蓝色字体），进入该项目详情页。 单击“上传数据”，根据表1填写待上传数据的相关信息。 表1 上传数据配置参数 配置项 配置说明 数据名称 必填项。 输入数据名称。 名称不可重复。 数据类型 必选项。 目前仅支持“Insta360”。 上传数据 单击“上传文件夹”上传本地的全景视频。 如果上传数据选择错误，可删除重新上传。 数据描述 选填项。 输入待上传数据的相关描述。 单击“确定”，开始上传数据。 上传数据完成后，显示“完成”对话框。 您可以对正在上传的数据做如下操作： 查看全部：单击此按钮查看上传的全部数据。 查看激活的：单击此按钮查看当前任务下正在上传的文件上传进度。 继续上传：状态为“失败”时（断网、异常关机、刷新或重启浏览器等情况导致），单击此按钮重新选择数据上传。 移除：取消上传操作后，单击此按钮移除该数据。 取消：单击此按钮取消上传数据。

操作步骤 登录KooMap服务控制台，进入控制台页面。 在左侧导航栏，选择“AR地图”下的“项目管理”菜单，进入“项目管理”页面。 在“项目管理”页面，单击“新增项目”。 在“新增项目”弹窗中，参考表1填写项目相关信息。 表1 新增项目 配置项 配置说明 项目名称 必填项。 输入项目名称。 名称不可重复。 行政区域 必选项。 选择项目覆盖的行政区域。 项目描述 选填项。 根据界面提示输入有关项目描述信息。 单击“确定”，完成新增项目的创建。 新建的项目将显示在项目列表最前端。

KooMap服务与其他服务的关系 使用KooMap卫星影像生产服务需要配套OBS服务，KooMap系统从OBS加载原始影像文件或矢量数据，再进行影像处理。 使用KooMap实景三维生产服务需要配套OBS服务，KooMap系统从OBS加载倾斜摄影影像，再进行影像建模。 使用KooMap AR地图运行服务基础版，建议您先购买AR地图生产服务或咨询人工客服购买AR地图数据采集服务和AR地图数据构建服务，对业务指定的区域进行AR地图采集和生产并部署上云后，再通过API和SDK访问AR地图运行服务。 父主题： 其他问题

官方镜像工具 编译工具 使用版本 是否默认 jdk 8u372 - 11.0.18 是 17.0.2 - nodejs 18.18.2 是 20.10.0 - go 1.18.7 是 1.20.7 - python 3.8.18 是 3.12.1 - maven 3.8.8 是 内置工具 说明 git 2.27.0 jq 1.6 gcc 7.3.0 cmake 3.16.5 lz4 1.9.2 make 4.3 zip 3.0 unzip 6.0 curl 7.71.1 openssh 8.2 haveged 1.9.13 bzip2-devel 1.0.8 zlib 1.2.11 zlib-devel 1.2.11 父主题： 扩展插件

后续操作 查看代理列表 在资源池列表中找到目标资源池，单击资源池名称，进入“代理列表”页面。 代理列表可显示代理机状态、内存使用率、可用硬盘等信息。 代理机有以下五种状态： 表5 代理机状态说明 代理机状态 说明 运行中 代理机正在执行任务。 空闲中 代理机处于连接状态，未运行任务。 停用 代理机处于连接状态，但被停用无法执行任务。 下线 代理机处于掉线断开状态，如需上线请登录代理机重新注册，否则删除即可。 删除中 代理机正在被删除中。 删除代理 在“代理列表”页面，单击操作列，可以删除指定的代理机。 “运行中”状态的代理机无法删除。 启动/停用代理 在“代理列表”页面，单击操作列，可停用对应代理，停用后，状态列显示为“停用”；单击，可以重新启用代理，状态列恢复为“空闲中”。 查看资源池详情 在“代理列表”页面，单击“资源池详情”页签，可以查看资源池的详细信息（资源池所有者、资源池类型、资源池创建时间以及描述信息）。

新建代理 完成新建资源池后，在资源池列表中找到目标资源池，单击资源池名称，进入“代理列表”页面。 单击“新建代理”，页面弹出对话框。 根据需要完成参数配置。 配置主机所需的网络环境。 表3 步骤一配置 配置项 配置说明 自动安装JDK 主机需要具备JAVA8+环境。 开启此开关后，将为主机自动安装JDK至“/usr/local”目录中。 如果关闭此开关，则需手动安装。如何安装JAVA8+？ 说明： 仅资源池类型为“LINUX”或“LINUX_DOCKER”时显示此配置项。 自动安装Git 主机需要具备Git环境。 开启此开关后，将为主机自动安装Git。 如果关闭此开关，则需手动安装。如何安装Git？ 说明： 仅资源池类型为“LINUX”或“LINUX_DOCKER”时显示此配置项。 自动安装Docker 主机需要具备Docker环境。 开启此开关后，将为主机自动安装Docker至“/usr/bin”目录中。安装完成后将自动注册服务并启动docker服务。 如果关闭此开关，则需手动安装。如何安装Docker？ 说明： 仅资源池类型为“LINUX”或“LINUX_DOCKER”时显示此配置项。 配置身份认证信息。 表4 步骤二配置 配置项 配置说明 AK Access Key Id。 在通过获取AK/SK下载的访问密钥文件中获取。 SK Secret Access Key。 在通过获取AK/SK下载的访问密钥文件中获取。 代理名称 代理（Agent）的名称，同一台主机不可以安装相同名称的代理。 请根据实际情况填写。为了方便管理，命名建议清晰，建议关联代理机IP，如：10.10.10.10-agent-01。 代理工作空间 代理在主机上运行的工作目录，任务执行的工作空间，同一台主机的不同代理不可以使用同样的代理工作空间。 请根据实际情况填写。为了方便管理，建议关联数据盘，例如： Linux：/opt/cloud/agent01。 Windows：C:/opt/cloud/agent01。 MAC：/opt/cloud/agent01。 生成命令。 完成参数配置，勾选“我已阅读并同意”，单击“生成命令”，命令框中自动生成安装代理命令。 单击“复制命令”，复制此命令。 登录主机，执行上一步复制的安装命令。 Linux主机：使用root账号登录主机，执行安装命令。 Windows主机：使用管理员身份登录主机，打开Git Bash，执行安装命令。 MAC主机：使用root账号登录主机，执行安装命令。 当命令终端显示如下提示时，表示安装结束。 图1 安装成功回显 返回“代理列表”页面，关闭弹窗。 等待10-30秒，刷新页面，在列表中可查看到已经安装的代理实例状态为“空闲中”，表示安装成功。

inputs介绍 inputs示例及参数介绍如下： { "name": "samplestring", # 如插件业务脚本中使用${samplestring}获取运行者在流水线上配置的值 "type": "input", # 不同类型信息对应不同展示功能，可选项见下文 "description": "Sample String", # input条目的描述信息，用于描述其值含义 "defaultValue": "00", # 默认值，required属性为false时，如不在流水线上重新输入，则默认使用此值 "required": true, # true则流水线编辑时必须重新填值，false则不填使用默认值 "label": "测试输入框", # input条目在流水线编辑页面显示的名称信息 "validation": { "requiredMessage": "请输入值", # (可选) 如required字段为true，未填写时的提示信息 "regex": "^[a-zA-Z0-9-_\\u4e00-\\u9fa5]{1,32}$", # (可选)可填写正则校验的内容 "regexMessage": "类型错误" # (可选) 如正则校验失败的提示信息 } } 当前支持的全量inputs定义请参见全量inputs。

插件包结构 文件结构： extension.zip # 插件zip包 | -- scripts # （可选）脚本文件夹，用于存放包含插件执行逻辑的脚本 | | -- xxx # 包含插件执行逻辑的脚本 | -- i18n # （可选）多语言，存放所有文案信息 | | -- zh-cn # 中文环境内容 | | -- resources.json # 对应语言的国际化资源 | | -- en-us # 英文环境内容 | | -- resources.json # 对应语言的国际化资源 | -- codeArts-extension.json # （必选）插件执行定义文件，Json格式，包括扩展插件的基本信息+input+execution 注意事项：

codearts-extension.json文件定义 “codearts-extension.json”文件示例内容如下： { "type": "Task", "name": "demo_plugin", "friendlyName": "示例插件", "description": "这是一个示例插件", "category": "Gate", "version": "0.0.2", "versionDescription": "0.0.1初始化版本", "dataSourceBindings": [], "inputs": [{ "label": "服务调用地址", "name": "SERVICE_URL", "type": "input", "description": "请输入服务地址url", "defaultValue": "", "required": true }, { "label": "调用服务的token", "name": "SERVICE_TOKEN", "type": "input", "description": "请输入调用服务的token", "defaultValue": "", "required": true }], "execution": { "type": "Shell", "target": "scripts/execution.sh" }, "outputs": [] } 参数说明如下： 参数项 说明 type 填写固定值“Task”，标识为一个插件类型。 name 请与注册插件时页面填写的基本信息“唯一标识”字段一致。 friendlyName 请与注册插件时页面填写的基本信息“插件名称”字段一致。 category 请与注册插件时页面填写的基本信息“插件类型”字段一致，包括以下可选值： Build：对应“构建”插件类型。 Test：对应“测试”插件类型。 Gate：对应“代码检查”插件类型。 Normal：对应“通用”插件类型。 Deploy：对应“部署”插件类型。 version 插件版本，支持填写3组0-99的数字，如需新增正式版本，请修改此字段。 description 插件的描述信息。 versionDescription 此版本插件的描述信息，建议体现每个版本的差异点。 dataSourceBindings 此字段暂时未启用，请将值设置为“[]”。 inputs 插件输入内容，对应流水线页面插件展示格式，其值可在业务脚本中通过引用环境变量的方式引用。 execution 业务插件执行内容，其中type字段为业务脚本语言类型，target字段为执行文件入口，建议放在scripts文件夹下。 outputs 插件输出内容，在插件运行结束后写入此处定义值，可对应用作门禁指标metrics，不同的展示结果output。

KooMap服务采用哪种计费模式，如何计费 计费模式：KooMap支持按需计费和套餐包两种计费模式。按需计费根据用户实际使用量和使用时长计费。这种计费方式比较灵活，可以按需开通和释放资源。套餐包是一种先付费再使用的计费模式，适用于对产品需求稳定且希望降低成本的用户。 计费规则： 卫星影像生产服务总费用 = 时空专属存储费用 + 各个基础处理服务费用 AR地图运行服务基础版总费用 = 时空专属存储费用 （公测时间不收取费用）+ 视觉定位和AR导航调用费用 实景三维生产服务总费用 = 时空专属存储费用 + 实景三维生产服务费用（基础版或专业版） AR地图生产服务总费用 = 时空专属存储费用（公测时间不收取费用） + AR地图生产服务费用 父主题： 计费FAQ

操作步骤 调用创建实例接口，创建LakeFormation实例，同时记录接口返回的实例Id。 请求示例： POST https://{endpoint}/v1/{project_id}/instances Body: { "name": "lakeformation", "charge_mode": "postPaid", "shared": "false", "specs": [ { "spec_code": "lakeformation.unit.basic.qps", "stride_num": 1 } ], "enterprise_project_id": "0" } 响应示例： { "instance_id": "13677734-a4ee-43e2-9d11-30b8b2e32a95", "name": "lakeformation", "description": "", "enterprise_project_id": "0", "shared": false, "default_instance": false, "create_time": "2023-06-29T09:08:33.000+00:00", "update_time": "2023-06-29T09:08:34.000+00:00", "status": "RESOURCE_PREPARATION", "resource_progress": 25, "resource_expected_duration": 15, "in_recycle_bin": false, "tags": [], "specs": [ { "spec_code": "lakeformation.unit.basic.qps", "stride_num": 1 }, { "spec_code": "lakeformation.unit.basic.metadata", "stride_num": 0 } ] } 调用查询实例详情接口，查询实例状态，等待实例状态变为RUNNING运行中，表示实例创建完成。 请求示例： GET https://{endpoint}/v1/{project_id}/instances/{instance_id} instance_id：1响应信息中的“instance_id”参数值。 响应示例： { "instance_id": "13677734-a4ee-43e2-9d11-30b8b2e32a95", "name": "lakeformation", "description": "", "enterprise_project_id": "0", "shared": false, "default_instance": false, "create_time": "2023-06-29T09:08:33.000+00:00", "update_time": "2023-06-29T09:08:34.000+00:00", "status": "RUNNING", "in_recycle_bin": false, "tags": [], "specs": [ { "spec_code": "lakeformation.unit.basic.qps", "stride_num": 1 }, { "spec_code": "lakeformation.unit.basic.metadata", "stride_num": 0 } ] } （可选）如果当前租户首次创建LakeFormation实例，该实例将自动作为默认实例（default）。客户端可以直接访问默认实例，或通过指定具体的实例ID来访问对应的实例。非默认实例可以通过调用设为默认实例接口将非默认实例设为默认实例。 请求示例： POST https://{endpoint}/v1/{project_id}/instances/{instance_id}/default instance_id：1响应信息中的“instance_id”参数值。 调用创建服务接入客户端接口，选择客户端对应的VPC相关信息创建接入客户端，LakeFormation服务将自动为其创建终端节点和DNS内网域名，用于打通网络连接。 请求示例： POST https://{endpoint}/v1/{project_id}/instances/{instance_id}/access-clients instance_id：1响应信息中的“instance_id”参数值。 Body: { "name": "access-client", "vpc_id": "131fb837-37ae-4aa6-9e87-312919df659f", "subnet_id": "2fa7ec47-c7f6-4a81-8e77-1dd41121b726" } 响应示例： { "id": "b73a9311-1ce9-48fe-b714-21bc41ce7b82", "name": "access-client", "access_mode": "SYSTEM", "status": "CREATING", "vpc_id": "131fb837-37ae-4aa6-9e87-312919df659f", "subnet_id": "2fa7ec47-c7f6-4a81-8e77-1dd41121b726" } 调用获取服务接入客户端详情接口，查询接入客户端状态，等待状态变为RUNNING，表示接入客户端创建完成，同时可以在详情中查看接入IP、域名等详细信息。 请求示例： GET https://{endpoint}/v1/{project_id}/instances/{instance_id}/access-clients/{client_id} instance_id：1响应信息中的“instance_id”参数值。 client_id：4响应信息中的“id”参数值。 响应示例： { "id": "b73a9311-1ce9-48fe-b714-21bc41ce7b82", "name": "access-client", "access_mode": "SYSTEM", "status": "RUNNING", "vpc_id": "131fb837-37ae-4aa6-9e87-312919df659f", "subnet_id": "2fa7ec47-c7f6-4a81-8e77-1dd41121b726", "access_connections": [ { "vpcep_id": "f72c8034-df38-4dbc-bd5d-2f50531ba104", "ip": "10.0.0.6", "owner": "555d9e8999c94705be3d7edb70a3199a", "domain": "xxx.dalf-ed1c-b3070cba-baae-4220-b7ff-9b2bca043efb.apig-lakeformation.com" } ], "create_time": "2023-06-29T12:12:12.000+00:00" } 参考目录管理相关接口，使用上述步骤获取的接入IP与实例ID访问元数据管理相关接口，获取目录列表。 请求示例： GET https://{endpoint}/v1/{project_id}/instances/{instance_id}/catalogs endpoint：{instance_id}.lakeformation.lakecat.com，如果已经将实例设为默认实例可以使用default-{project_id}.lakeformation.lakecat.com。 instance_id：1响应信息中的“instance_id”参数值，如果已经将实例设为默认实例可以直接使用default作为实例ID。 请求头示例 Host：lakeformation.lakecat.com 响应示例： [ { "catalog_name": "hive", "description": "Default catalog, for Hive", "location": "obs://lakeformation-555d9e8999c94705-xxx/ed1ce787-1671-4ce4-b84f-6f40ccb26752" } ]

URI GET /v1/{project_id}/instances/{instance_id}/access-clients 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目编号。获取方法，请参见获取项目ID。 instance_id 是 String LakeFormation实例ID。创建实例时自动生成。例如：2180518f-42b8-4947-b20b-adfc53981a25。 表2 Query参数 参数 是否必选 参数类型 描述 id 否 String ID搜索。根据ID进行搜索。 name 否 String 名称关键字搜索。只能包含字母、数字、下划线和中划线，且最大长度为32个字符。 offset 是 Integer 分页查询时的偏移量。默认值为0。最小值为0，最大值为1000。 limit 否 Integer 分页一页显示数。默认值为10。最小值为1，最大值为1000。

响应参数 状态码： 200 表4 响应Body参数 参数 参数类型 描述 access_client_infos Array of AccessClientInfo objects 接入客户端信息列表。 total Integer 接入客户端信息总数。 表5 AccessClientInfo 参数 参数类型 描述 id String 客户端ID。 name String 客户端名称。 access_mode String 接入模式：YSTEM、CUSTOM、AUTO。 枚举值： SYSTEM CUSTOM AUTO status String 客户端状态：CREATING、RUNNING、DELETING、DELETED、CREATE_FAIL、DELETE_FAIL。 枚举值： CREATING RUNNING DELETING DELETED CREATE_FAIL DELETE_FAIL vpc_id String VPC ID。 subnet_id String 子网ID。 access_connections Array of AccessConnectionInfo objects 接入连接列表。 create_time String 实例创建时间戳。 表6 AccessConnectionInfo 参数 参数类型 描述 vpcep_id String 虚拟私有云终端节点ID。在接入管理-创建客户端-前往VPC创建-VPC终端节点 创建和查看。 ip String 接入IP。 owner String 拥有者。 domain String 接入域名，通过IP接入访问Lakeformation API时，需在请求头中添加HOST参数并传入该域名。

响应示例 状态码： 200 OK { "total" : 1, "access_client_infos" : [ { "id" : "gs23xxxxxxxxxxxxxxxxxxxxxxxxxxxxfgs2", "name" : "lakeformation_client", "access_mode" : "SYSTEM", "vpc_id" : "d3fcxxxxxxxxxxxxxxxxxxxxxxxxxxxx8f1e", "subnet_id" : "d3fcxxxxxxxxxxxxxxxxxxxxxxxxxxxx8f1e", "status" : "RUNNING", "access_connections" : [ { "vpcep_id" : "0612xxxxxxxxxxxxxxxxxxxxxxxxxxxxa8fb", "ip" : "10.1.0.1", "domain" : "xxxxxx.com" }, { "vpcep_id" : "0612xxxxxxxxxxxxxxxxxxxxxxxxxxxxa8fb", "ip" : "10.1.0.2", "domain" : "xxxxxx.com" } ] } ] }

URI GET /v1/{project_id}/instances/{instance_id}/access 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目编号。获取方法，请参见获取项目ID。 instance_id 是 String LakeFormation实例ID。创建实例时自动生成。例如：2180518f-42b8-4947-b20b-adfc53981a25。 表2 Query参数 参数 是否必选 参数类型 描述 offset 是 Integer 分页查询时的偏移量。默认值为0。最小值为0，最大值为1000。 limit 否 Integer 分页一页显示数。默认值为10，最大值为1000。

响应示例 状态码： 200 OK { "total" : 1, "access_infos" : [ { "vpcep_service_name" : "xxxxxx.apig.3ab1xxxxxxxxxxxxxxxxxxxxxxxxxxxxf524", "domain" : "xxxxxxxxxxxxxxxxxxxxxxxxxxxx.com" } ] } 状态码： 400 Bad Request { "error_code" : "common.01000001", "error_msg" : "failed to read http request, please check your input, code: 400, reason: Type mismatch., cause: TypeMismatchException" } 状态码： 401 Unauthorized { "error_code": 'APIG.1002', "error_msg": 'Incorrect token or token resolution failed' } 状态码： 403 Forbidden { "error" : { "code" : "403", "message" : "X-Auth-Token is invalid in the request", "error_code" : null, "error_msg" : null, "title" : "Forbidden" }, "error_code" : "403", "error_msg" : "X-Auth-Token is invalid in the request", "title" : "Forbidden" } 状态码： 404 Not Found { "error_code" : "common.01000001", "error_msg" : "response status exception, code: 404" } 状态码： 408 Request Timeout { "error_code" : "common.00000408", "error_msg" : "timeout exception occurred" } 状态码： 500 Internal Server Error { "error_code" : "common.00000500", "error_msg" : "internal error" }

响应参数 状态码： 200 表4 响应Body参数 参数 参数类型 描述 access_infos Array of AccessInfo objects accessinfo列表。 total Integer accessinfo总数。 表5 AccessInfo 参数 参数类型 描述 vpcep_service_name String 服务名称。 domain String 分组独立域名。 状态码： 400 表6 响应Body参数 参数 参数类型 描述 error_code String 错误码。 error_msg String 错误描述。 common_error_code String CBC公共错误码。 solution_msg String 解决方案描述。 状态码： 404 表7 响应Body参数 参数 参数类型 描述 error_code String 错误码。 error_msg String 错误描述。 common_error_code String CBC公共错误码。 solution_msg String 解决方案描述。 状态码： 500 表8 响应Body参数 参数 参数类型 描述 error_code String 错误码。 error_msg String 错误描述。 common_error_code String CBC公共错误码。 solution_msg String 解决方案描述。

URI GET /v1/{project_id}/instances/{instance_id}/catalogs 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目编号。获取方法，请参见获取项目ID。 instance_id 是 String LakeFormation实例ID。创建实例时自动生成。例如：2180518f-42b8-4947-b20b-adfc53981a25。 表2 Query参数 参数 是否必选 参数类型 描述 branch_name 否 String 分支名称。只能包含字母、数字和下划线，且长度为1~32个字符。默认值为main。 version 否 Long 版本。 deleted 否 Boolean 是否查询被删除元数据。