华为云用户手册

漏洞扫描 漏洞扫描支持系统扫描、应用扫描等多种扫描类型，并为扫描出的漏洞提供修复建议。同时支持漏洞扫描报告下载。 表1 漏洞扫描能力 类型 功能描述 全量扫描 对服务器、终端设备等多种资产类型进行全量漏洞扫描，包括系统漏洞扫描、Web应用漏洞扫描、数据库漏洞扫描。 专项扫描 高危漏洞扫描 对服务器、终端设备等多种资产类型进行高危漏洞扫描。 热点漏洞扫描 对服务器和终端设备进行最新Apache Log4j2远程代码执行漏洞的扫描。 数据库扫描 对数据库进行安全漏洞扫描，并支持版本风险提示。 WEB扫描 对SQL注入、跨站脚本攻击、跨站请求伪造、安全配置错误、敏感信息泄露等多种Web常规漏洞进行扫描。 弱密码扫描 对服务器和终端设备进行基于弱密码字典库、弱密码规则和穷举等多种模式的弱密码扫描。

漏洞管理 以漏洞视角呈现每个漏洞的详细信息和关联资产。 详细信息包括漏洞名称、漏洞编号、漏洞优先级评级VPR和修复建议等。 漏洞优先级评级VPR（Vulnerability Priority Rating）用来表示漏洞修复优先级，是漏洞扫描服务基于漏洞利用代码成熟度、漏洞公布时长、产品的覆盖率、CVSS评分等多维度数据，通过机器学习算法计算的漏洞风险评分。分数越高，说明越需要优先修复。 关联资产能够帮助客户快速定位到风险资产，使漏洞修复更有针对性。

连接以太网线 USG6301E-C（TianGuan310）, USG6501E-C（TianGuan510）（VLAN接口上网） 图1 USG6301E-C（TianGuan310）, USG6501E-C（TianGuan510）（VLAN接口上网） 表1 USG6301E-C（TianGuan310）, USG6501E-C（TianGuan510）（VLAN口上网）接口使用说明 接口丝印 接口编号 说明 6 GE0/0/6 业务下行口，为透明二层接口，连接局域网设备。 使用上下相邻的一对接口连接上下行设备，请选取偶数编号接口连接下行局域网设备，此处以GE0/0/6为例。 7 GE0/0/7 业务上行口，为透明二层接口，连接上行设备（如：出口路由器）。 使用上下相邻的一对接口连接上下行设备，请选取奇数编号接口连接上行设备，此处以GE0/0/7为例。 MGMT MEth0/0/0 设备管理网口，连接管理PC，用于登录设备的配置界面进行业务配置。默认IP地址为192.168.0.1。 USG6301E-C（TianGuan310）, USG6501E-C（TianGuan510）（单独物理网口上网） 图2 USG6301E-C（TianGuan310）, USG6501E-C（TianGuan510）（单独物理网口上网） 表2 USG6301E-C（TianGuan310）, USG6501E-C（TianGuan510）（单独物理网口上网）接口使用说明 接口丝印 接口编号 说明 6 GE0/0/6 业务下行口，为透明二层接口，连接局域网设备。 使用上下相邻的一对接口连接上下行设备，请选取偶数编号接口连接下行局域网设备，此处以GE0/0/6为例。 7 GE0/0/7 业务上行口，为透明二层接口，连接上行设备（如：出口路由器）。 使用上下相邻的一对接口连接上下行设备，请选取奇数编号接口连接上行设备，此处以GE0/0/7为例。 1 GE0/0/1 单独物理上网口，连接上行设备（如：出口路由器）。为此接口配置IP地址并确保可达互联网，天关通过该IP地址完成云端注册。请选取奇数编号接口，此处以GE0/0/1为例。 0 GE0/0/0 只有购买了漏洞扫描服务或云日志审计服务时，需要连接此网线。 MGMT MEth0/0/0 设备管理网口，连接管理PC，用于登录设备的配置界面进行业务配置。默认IP地址为192.168.0.1。 USG6302E-C（TianGuan320）, USG6303E-C（TianGuan330）,USG6502E-C（TianGuan520）, USG6503E-C（TianGuan530）（VLAN接口上网） 图3 USG6302E-C（TianGuan320）, USG6303E-C（TianGuan330）,USG6502E-C（TianGuan520）, USG6503E-C（TianGuan530）VLAN接口上网 表3 USG6302E-C（TianGuan320）, USG6303E-C（TianGuan330）,USG6502E-C（TianGuan520）, USG6503E-C（TianGuan530）（VLAN口上网）接口使用说明 接口丝印 接口编号 说明 20 GE0/0/20 业务下行口，为透明二层接口，连接局域网设备。请选取GE0/0/22或GE0/0/20作为业务下行口，此处以GE0/0/20为例。 21 GE0/0/21 业务上行口，为透明二层接口，连接上行设备（如：出口路由器）。请选取GE0/0/23或GE0/0/21作为业务上行口，此处以GE0/0/21为例。 说明： 仅两组固定电接口支持硬件Bypass功能：GE0/0/20和GE0/0/21配对，GE0/0/22和GE0/0/23配对，所以上述两对接口必须严格配对使用。 MGMT MEth0/0/0 设备管理网口，连接管理PC，用于登录设备的配置界面进行业务配置。默认IP地址为192.168.0.1。 USG6302E-C（TianGuan320）, USG6303E-C（TianGuan330）,USG6502E-C（TianGuan520）, USG6503E-C（TianGuan530）（单独物理网口上网） 图4 USG6302E-C（TianGuan320）, USG6303E-C（TianGuan330）,USG6502E-C（TianGuan520）, USG6503E-C（TianGuan530）单独物理网口上网 表4 USG6302E-C（TianGuan320）, USG6303E-C（TianGuan330）,USG6502E-C（TianGuan520）, USG6503E-C（TianGuan530）（单独物理网口上网）接口使用说明 接口丝印 接口编号 说明 20 GE0/0/20 业务下行口，为透明二层接口，连接局域网设备。请选取GE0/0/22或GE0/0/20作为业务下行口，此处以GE0/0/20为例。 21 GE0/0/21 业务上行口，为透明二层接口，连接上行设备（如：出口路由器）。请选取GE0/0/23或GE0/0/21作为业务上行口，此处以GE0/0/21为例。 说明： 仅两组固定电接口支持硬件Bypass功能：GE0/0/20和GE0/0/21配对，GE0/0/22和GE0/0/23配对，所以上述两对接口必须严格配对使用。 1 GE0/0/1 单独物理上网口，连接上行设备（如：出口路由器）。为此接口配置IP地址并确保可达互联网，天关通过该IP地址完成云端注册。请选取奇数编号接口，此处以GE0/0/1为例。 0 GE0/0/0 只有购买了漏洞扫描服务或云日志审计服务时，需要连接此网线。 MGMT MEth0/0/0 设备管理网口，连接管理PC，用于登录设备的配置界面进行业务配置。默认IP地址为192.168.0.1。

单独物理网口上网（推荐） 适用场景：客户网络已有出口路由器（出口网关）。业务链路所在网段没有可分配的IP地址，或者该网段不能访问互联网，需要单独物理口接入可访问互联网网段。 方案特点：需要额外连一根网线上网，并配置该物理接口的“工作模式”为“路由”模式。云端管理口和业务上行口不共用一个物理接口。 图2 单独物理网口上网 更多其他部署场景，比如天关旁挂，或者您的企业内部存在NAT转换/DNS服务器，请参见《典型配置案例》完成天关部署和上线配置。

安全设备 以华为防火墙为例，说明安全设备的配置方法。 输入管理员帐号和密码，登录防火墙设备。 进入系统视图。 system-view 执行以下命令。 [Huawei] info-center enable // 启用日志服务 [Huawei] info-center loghost 10.1.1.1 port 514 // 配置日志发送到天关，10.1.1.1为天关侧与资产通信的内网IP地址 父主题： 配置资产

通过光Bypass插卡连接设备 前提条件 请确保天关及上下游设备光接口上已安装光模块。 请确保光Bypass插卡已经安装完好。 注意事项 光Bypass卡只支持LC接头单模光纤。 操作步骤 取下光Bypass插卡接口上的保护橡胶塞。 按照下图所示完成连线。 图2 通过光Bypass插卡连接设备 表1 接口使用说明 接口丝印 接口编号 说明 EXTERNAL接口0 - 用于连接上行设备的光接口（如：出口路由器）。 INTERNAL接口2 - 用于连接天关的奇数编号接口，此处以10GE0/0/1为例。 EXTERNAL接口0与INTERNAL接口2组成一条链路，保证天关与上行设备连接正常。 EXTERNAL接口1 - 用于连接下行设备的光接口（如：内网交换机）。 INTERNAL接口3 - 用于连接天关的偶数编号接口，此处以10GE0/0/0为例。 EXTERNAL接口1和INTERNAL接口3组成一条链路，保证天关与下行设备连接正常。 0 10GE0/0/0（光接口） 用于跟INTERNAL接口3连接。 使用上下相邻的一对光接口分别连接。 1 10GE0/0/1（光接口） 用于跟INTERNAL接口2连接。 说明： 请使用上下相邻的一对光接口分别连接INTERNAL接口2、INTERNAL接口3，此处以10GE0/0/1、10GE0/0/0为例。 1 GE0/0/1（电接口） 单独物理上网口，连接上行设备（如：出口路由器）。为此接口配置IP地址并确保可达互联网，天关通过该IP地址完成云端注册。请选取奇数编号接口，此处以GE0/0/1为例。 MGMT MEth0/0/0 设备管理网口，连接管理PC，用于登录设备的配置界面进行业务配置。默认IP地址为192.168.0.1。 光Bypass插卡提供四个接口，包括两个EXTERNAL接口和两个INTERNAL接口。Bypass链路处于工作回路时，EXTERNAL接口0和INTERNAL接口2组成一条链路，EXTERNAL接口1和INTERNAL接口3组成另一条链路。Bypass链路处于保护回路时，两个EXTERNAL口直接相连组成一条链路。 天关上电后检查光纤连接后对应光接口的指示灯状态。如果指示灯常亮或闪烁，表示链路已连通或有数据转发；如果指示灯常灭，表示链路未连通。

安装光Bypass插卡 请按照图1 安装光Bypass插卡所示安装光Bypass插卡。 a.拧松插槽上假面板的螺钉，并取下假面板。 b.将光Bypass插卡上的扳手打开，沿插槽的导轨水平推入光Bypass插卡，直至扳手接触前面板为止。 c.将扳手往里压紧，直至光Bypass插卡完全进入插槽，拧紧光Bypass插卡两侧的螺钉。 图1 安装光Bypass插卡 设备上电后检查光Bypass插卡上指示灯的运行状态。如果指示灯显示绿色，表示光Bypass插卡已经上电；如果指示灯显示红色，表示光Bypass插卡有影响业务且无法自动恢复的故障（硬件类紧急告警）。

搜索和关注租户 以MSP帐号登录华为乾坤控制台，选择右上角菜单栏的“租户”。 在左侧租户列表执行相关操作。 搜索租户 在搜索框输入租户名称，单击左侧图标或者按回车键直接搜索。 查看租户信息 选择目标租户，租户列表右侧显示对应的用户信息，如名称、手机号码、邮箱。 特别关注 单击“特别关注”，列表中租户名会以星标展示，如果不需要继续关注，单击“取消关注”即可。 打标签 单击“打标签”，列表中租户名下方会显示标签详情，如果需要删除标签，单击标签后的×号即可。 过滤租户 单击租户列表右上方的按钮，支持按标签筛选租户。

连接以太网线 USG6603F-C（VLAN接口上网） 下图以USG6603F-C作为示例。 图1 USG6603F-CVLAN接口上网 表1 USG6603F-C（VLAN口上网）接口使用说明 接口丝印 接口编号 说明 10 GE0/0/10 业务下行口，为透明二层接口，连接局域网设备。 使用上下相邻的一对接口连接上下行设备，请选取偶数编号接口连接下行局域网设备，此处以GE0/0/10为例。 11 GE0/0/11 业务上行口，为透明二层接口，连接上行设备（如：出口路由器）。 使用上下相邻的一对接口连接上下行设备，请选取奇数编号接口连接上行设备，此处以GE0/0/11为例。 MGMT MEth0/0/0 设备管理网口，连接管理PC，用于登录设备的配置界面进行业务配置。默认IP地址为192.168.0.1。 USG6603F-C（单独物理网口上网） 图2 USG6603F-C单独物理网口上网 表2 USG6603F-C（单独物理网口上网）接口使用说明 接口丝印 接口编号 说明 10 GE0/0/10 业务下行口，为透明二层接口，连接局域网设备。 使用上下相邻的一对接口连接上下行设备，请选取偶数编号接口连接下行局域网设备，此处以GE0/0/10为例。 11 GE0/0/11 业务上行口，为透明二层接口，连接上行设备（如：出口路由器）。 使用上下相邻的一对接口连接上下行设备，请选取奇数编号接口连接上行设备，此处以GE0/0/11为例。 1 GE0/0/1 单独物理上网口，连接上行设备（如：出口路由器）。为此接口配置IP地址并确保可达互联网，天关通过该IP地址完成云端注册。请选取奇数编号接口，此处以GE0/0/1为例。 MGMT MEth0/0/0 设备管理网口，连接管理PC，用于登录设备的配置界面进行业务配置。默认IP地址为192.168.0.1。 接口编号相邻的业务接口两两组成二层接口对，奇数编号接口用于连接上行设备，偶数编号接口用于连接局域网设备。 本节中业务上下行口都是以电接口为例进行介绍的，如需使用Bypass功能，请参见如何使用光Bypass插卡（SIC-2SM-BF-单模光bypass插卡）。 USG6606F-C（VLAN接口上网） 图3 USG6606F-C（VLAN接口上网） 表3 USG6606F-C（VLAN口上网）接口使用说明 接口丝印 接口编号 说明 0 100GE0/0/0 业务下行口，为透明二层接口，连接局域网设备。 使用上下相邻的一对接口连接上下行设备，请选取偶数编号接口连接下行局域网设备，此处以100GE0/0/0为例。 1 100GE0/0/1 业务上行口，为透明二层接口，连接上行设备（如：出口路由器）。 使用上下相邻的一对接口连接上下行设备，请选取奇数编号接口连接上行设备，此处以100GE0/0/1为例。 MGMT MEth0/0/0 设备管理网口，连接管理PC，用于登录设备的配置界面进行业务配置。默认IP地址为192.168.0.1。 USG6606F-C（单独物理网口上网） 图4 USG6606F-C（单独物理口上网）接口使用说明 表4 USG6606F-C（VLAN口上网）接口使用说明 接口丝印 接口编号 说明 0 100GE0/0/0 业务下行口，为透明二层接口，连接局域网设备。 使用上下相邻的一对接口连接上下行设备，请选取偶数编号接口连接下行局域网设备，此处以100GE0/0/0为例。 1 100GE0/0/1 业务上行口，为透明二层接口，连接上行设备（如：出口路由器）。 使用上下相邻的一对接口连接上下行设备，请选取奇数编号接口连接上行设备，此处以100GE0/0/1为例。 7 10GE0/0/7 单独物理上网口，连接上行设备（如：出口路由器）。为此接口配置IP地址并确保可达互联网，天关通过该IP地址完成云端注册。请选取奇数编号接口，此处以10GE0/0/7为例。 MGMT MEth0/0/0 设备管理网口，连接管理PC，用于登录设备的配置界面进行业务配置。默认IP地址为192.168.0.1。

硬件介绍 USG12000的介绍以USG12004为例，其他机型与USG12004存在差异，具体请参见《HiSecEngine USG12000系列 硬件指南》。 图1 USG12004外观 表1 USG12004组成结构说明 1、机箱眉头 2、正面的ESD插孔 3、电源模块PM 4、电源开关 5、 主控板MPU 6、 接口板LPU/业务处理板SPU槽位 7、走线齿 8、托盘（不再随整机发货） 9、PEM模块（Power Entry Module） 10、风扇模块位置示意图 11、双OT端子接地点 有黄色的接地标签。 12、风扇模块 13、总装机箱条码 14、序列号标签 15、MAC地址标签 16、背面的ESD插孔 - - - - 图2 USG12004指示灯 1、电源模块状态指示灯 2、主控板状态指示灯 3、接口板/业务处理板状态指示灯 4、交换网板状态指示灯 5、风扇模块状态指示灯 6、设备开关 - - - - 表2 USG12004指示灯说明 指示灯丝印 指示灯名称 指示灯颜色 指示灯状态 状态描述 PWR 电源模块状态指示灯 绿色 常亮 表示所有的电源模块工作正常。 红色 常亮 表示可能有： 一个或多个电源模块工作异常，包括在位不输出。 一个或多个电源模块已经下电。 MPU 主控板状态指示灯 绿色 常亮 表示在位的主控板都工作正常。 红色 常亮 表示可能有： 至少有一块主控板已经故障。 LPU/SPU 接口板/业务处理板状态指示灯 绿色 常亮 表示在位的接口板、业务处理板都工作正常。 红色 常亮 表示可能有： 在位的接口板、业务处理板任意一块单板工作异常。 接口板、业务处理板全不在位。 SFU 交换网板状态指示灯 - - 功能预留，暂未启用。 FAN 风扇模块状态指示灯 绿色 常亮 表示所有的风扇模块在位且工作正常。 红色 常亮 表示可能有： 一个或多个风扇模块工作异常。 一个或多个风扇模块不在位或者被拔出。 父主题： USG12000防火墙上线

连接线缆 图1以USG12004，使用型号为LPUA-2CQ-24XS的LPU板，且LPUA-2CQ-24XS的LPU板位于3号槽位为例。USG12000系列配套的LPU板、具体设备型号的槽位介绍请参见《HiSecEngine USG12000系列 硬件指南》。 图1 连接业务线缆 表1 接口使用说明 接口编号 说明 10GE3/0/7 业务下行口，为三层口，连接局域网交换机，此处以10GE3/0/7为例。 接口编号与使用的LPU板型号，LPU板位于的槽位号有关，图1中使用LPU版（型号为LPUA-2CQ-24XS）的7号口连接局域网交换机，且LPU板位于3号槽位，因此接口编号为10GE3/0/7。 10GE3/0/6 业务上行口，为三层口，连接互联网，此处以10GE3/0/6为例。 接口编号与使用的LPU板型号，LPU板位于的槽位号有关，图1中使用LPU版（型号为LPUA-2CQ-24XS）的6号口连接互联网，且LPU板位于3号槽位，因此接口编号为10GE3/0/6。 MEth0/0/0 设备管理网口，连接管理PC，用于登录设备的配置界面进行业务配置。默认IP地址为192.168.0.1。 父主题： USG12000防火墙上线

响应参数 状态码： 200 表2 响应Body参数 参数 参数类型 描述 quotas QuotasResourcesDto object 组织配额的响应体。 表3 QuotasResourcesDto 参数 参数类型 描述 resources Array of QuotaDto objects 配额信息。 表4 QuotaDto 参数 参数类型 描述 type String 配额类型，account账户，organizational_unit组织单元，policy策略。 最小长度：1 最大长度：64 quota Integer 配额数量。 min Integer 最小配额。 max Integer 最大配额。 used Integer 已使用数量。

监控指标 表1 公网NAT网关支持的监控指标 指标ID 指标名称 指标含义 取值范围 测量对象 监控周期（原始指标） snat_connection SNAT连接数 该指标用于统计测量对象的SNAT连接数。 单位：个 ≥ 0 个 公网NAT网关实例 1分钟 inbound_bandwidth 入方向带宽 该指标用于统计入方向带宽。 单位：比特/秒 ≥0 bit/s 公网NAT网关实例 1分钟 outbound_bandwidth 出方向带宽 该指标用于统计SNAT出方向带宽。 单位：比特/秒 ≥0 bit/s 公网NAT网关实例 1分钟 inbound_pps 入方向PPS 该指标用于统计SNAT入方向PPS。 单位：个 ≥0个 公网NAT网关实例 1分钟 outbound_pps 出方向PPS 该指标用于统计SNAT出方向PPS。 单位：个 ≥0个 公网NAT网关实例 1分钟 inbound_traffic 入方向流量 该指标用于统计SNAT入方向流量。 单位：字节 ≥0 bytes 公网NAT网关实例 1分钟 outbound_traffic 出方向流量 该指标用于统计SNAT出方向流量。 单位：字节 ≥0 bytes 公网NAT网关实例 1分钟 snat_connection_ratio SNAT连接数使用率 该指标用于统计测量对象的SNAT连接数使用率。连接数最大为规格限制的连接数。详情可查看产品规格。 单位：百分比 ≥0 公网NAT网关实例 1分钟 inbound_bandwidth_ratio 入方向带宽使用率 该指标用于统计SNAT入方向带宽使用率。 公网NAT实例最大带宽20Gbit/s，则入方向带宽使用率为：实际使用带宽/公网NAT实例最大带宽*100%。 单位：百分比 说明： 该监控项为针对公网NAT实例性能的监控而不是针对EIP带宽的监控。 ≥0 公网NAT网关实例 1分钟 outbound_bandwidth_ratio 出方向带宽使用率 该指标用于统计SNAT出方向带宽使用率。 公网NAT实例最大带宽为20Gbit/s，则出方向带宽使用率为：实际使用带宽/公网NAT实例最大带宽*100%。 单位：百分比 说明： 该监控项为针对公网NAT实例性能的监控而不是针对EIP带宽的监控。 ≥0 公网NAT网关实例 1分钟 total_inbound_bandwidth (UDP) 入方向UDP总带宽 该指标用于统计从公网引到当前公网NAT网关实例的UDP总带宽。 单位：比特/秒 ≥0 bit/s 公网NAT网关实例 1分钟 total_outbound_bandwidth (UDP) 出方向UDP总带宽 该指标用于统计虚拟私有云(VPC)内引到当前公网NAT网关实例的UDP总带宽。 单位：比特/秒 ≥0 bit/s 公网NAT网关实例 1分钟 total_inbound_bandwidth (ТСР) 入方向TCP总带宽 该指标用于统计从公网引到当前公网NAT网关实例的TCP总带宽 单位：比特/秒 ≥0 bit/s 公网NAT网关实例 1分钟 total_outbound_bandwidth(ТСР) 出方向TCP总带宽 该指标用于统计虚拟私有云(VPC)内引到当前公网NAT网关实例的TCP总带宽。 单位：比特/秒 ≥0 bit/s 公网NAT网关实例 1分钟 packets_dropped (excessive snat connections) 丢包数（SNAT连接数超限） 该指标用于统计当前公网NAT网关实例由于SNAT连接数超限导致的丢包数。 单位：个 ≥ 0 个 公网NAT网关实例 1分钟 packets_dropped (excessive pps) 丢包数（PPS超限） 该指标用于统计当前公网NAT网关实例由于PPS超限导致的丢包数。 单位：个 ≥ 0 个 公网NAT网关实例 1分钟 packets_dropped (all EIP ports allocated) 丢包数（EIP端口分配超限） 该指标用于统计当前公网NAT网关实例由于EIP端口分配超限导致的丢包数。 单位：个 ≥ 0 个 公网NAT网关实例 1分钟

约束与限制 表1 变更云硬盘类型约束与限制 变更云硬盘类型的阶段 限制说明 变更前 只有当云硬盘处于“可用”、“正在使用”状态时，支持变更云硬盘类型。 云硬盘快照在删除过程中，不支持变更云硬盘类型。 变更云硬盘类型可能会影响云硬盘的性能，请避开业务高峰期。 变更中 云硬盘类型变更过程中，无法对云硬盘进行其他操作，如创建快照、创建备份、云硬盘扩容、从快照回滚数据、挂载和卸载云硬盘、虚拟机制作镜像、删除云硬盘、从备份恢复数据、云硬盘过户。 云硬盘类型变更可能需要数小时才能成功，且过程中无法中断操作。 同一时间段内，最多支持10个云硬盘同时变更。 如果云硬盘为系统盘，那么在变更类型的过程中，不支持更换操作系统。 变更后 在极少数情况下，可能会由于后台资源问题导致变更云硬盘类型失败，如此问题发生，请稍后重试。 云硬盘类型变配详情参考表2。 表2 云硬盘变配列表 原云硬盘类型 变配说明 极速型SSD V2 可以变配为极速型SSD V2（变更IOPS） 极速型SSD 可以变配为超高IO、通用型SSD 通用型SSD V2 可以变配为通用型SSD V2（变更IOPS、吞吐量） 超高IO 可以变配为极速型SSD、通用型SSD 通用型SSD 可以变配为极速型SSD、超高IO 高IO 可以变配为极速型SSD、超高IO、通用型SSD 普通IO（上一代产品） 可以变配为极速型SSD、超高IO、通用型SSD、高IO

DDoS原生专业防护+WAF独享模式如何配置？ 当您的网站类业务部署在华为云ECS上时，您可以为网站业务配置“DDoS原生专业防护+WAF”联动防护，即网站业务接入WAF独享模式后将WAF独享引擎的ELB绑定的公网IP添加到DDoS原生专业防护实例进行防护，实现DDoS原生专业防护和WAF双重防护，同时防御四层DDoS攻击和七层Web攻击、CC攻击等，大幅提升网站业务的安全性和稳定性。 有关“DDoS原生专业防护+WAF”联动防护的详细介绍，请参见华为云“DDoS原生专业防护+WAF”联动防护。 父主题： WAF与其他华为云服务同时部署

WAF、CDN和DDoS高防可以一起使用吗？ WAF、CDN和DDoS高防这3个服务不能一起使用，您可以同时部署WAF和DDoS高防、WAF和CDN或DDoS高防和CDN。 有关WAF+DDoS高防部署的详细操作，请参见“DDoS高防+WAF”联动提升网站全面防护能力。 有关WAF+CDN部署的详细操作，请参见“CDN+WAF”联动提升网站防护能力和访问速度。 有关DDoS高防+CDN部署的详细操作，请参见华为云“DDoS高防+CDN”联动。 父主题： WAF与其他华为云服务同时部署

与其他服务的关系 工业数据管理及协同云服务与周边服务的依赖关系如图1所示。 图1 工业数据管理及协同云服务与其他服务的关系 表1 IPDCenter与其他服务的关系 服务名称 IPDCenter服务与其他服务的关系 主要交互功能 云容器引擎（Cloud Container Engine，CCE） 通过创建CCE集群及其上的主机组/主机，部署开发态和运行态微服务。 创建CCE集群 创建节点池 创建节点 容灾启停管理 弹性云服务器（Elastic Cloud Server，ECS） 通过创建CCE集群主机弹性云服务器，部署应用docker。 IPDCenter服务docker部署 对象存储服务（Object Storage Service，OBS） 管理文档实体保存在对象存储中。 文件上传 文件下载 文件删除 关系型数据库（Relational Database Service，RDS）—PostgreSQL 微服务数据的增、删、改、查。 数据库连接 数据CRUD 云审计服务（Cloud Trace Service，CTS） CTS记录IPDCenter服务相关的操作事件，方便用户日后的查询、审计和回溯。 审计关键操作 云日志服务（Log Tank Service，LTS） 记录IPDCenter服务运行日志，方便用户查询进行问题定级定位。 日志收集记录 应用运维管理（Application Operations Management，AOM） 统计与展示IPDCenter服务运行环境状态指标、基于指标设置告警。 指标收集/展示 告警定义/发送告警 应用性能管理服务（Application Performance Management，APM） 实时监控IPDCenter服务组件运行状态、JVM状态、线程状态、API调用统计、Redis/RDS访问记录统计。 调用链管理，方便用户进行日常监控、问题定界定位。 调用链 调用指标统计 状态监控 统一身份认证（Identity and Access Management，IAM） IPDCenter服务对外、对内访问机机认证鉴权。 支持细粒度鉴权管理。 认证 鉴权 组织成员帐号（Huawei OrgID） IPDCenter服务访问认证鉴权。 IPDCenter访问权限控制 弹性公网IP（Elastic IP） IPDCenter服务通过EIP对外提供服务（DNS绑定改IP）。 - API网关（API Gateway，APIG） IPDCenter服务统一通过APIG对外提供服务。 API注册 API发布 API过载配置 弹性负载均衡（ Elastic Load Balance，ELB） ELB Ingress功能，对接APIG和CCE集群，完成IPDCenter服务请求的负载转发均衡。 请求转发 虚拟私有云（Virtual Private Cloud，VPC） 实现IPDCenter服务隔离的私有云空间。 - 分布式消息服务（Distributed Message Service，DMS） 通过消息中间件Kafka和RocketMQ完成消息的发布与消费。 发布 消费 分布式缓存服务（Distributed Cache Service，DCS） 通过Redis缓存热点数据，提升访问效率。 热点数据加载、访问 数据复制服务(Data Replication Service DRS) 实现IPDCenter服务间的数据同步 数据同步 企业主机安全（Host Security Service，HSS） 通过HSS构筑IPDCenter主机级别安全。 主机安全防护 Web应用防火墙（Web Application Firewall，WAF） 通过WAF构筑IPDCenter Web应用安全。 Web安全防护 Anti-DDoS流量清洗服务（Anti-DDoS traffic cleaning service，Anti-DDoS） 通过Anti-DDoS构筑IPDCenter防DDoS攻击安全。 DDoS攻击防护 NAT网关（NAT Gateway） 使用NAT网关能够为VPC内的容器实例提供网络地址转换服务。SNAT功能通过绑定弹性公网IP，实现私有IP向公有IP的转换，可实现VPC内的容器实例共享弹性公网IP访问Internet。 SNAT功能 内容分发网络（Content Delivery Network，CDN） 通过CDN实现网站图片的缓存和加速能力，缩短了用户查看内容的访问延迟。 图片缓存和加速能力

服务韧性 工业数据管理及协同云服务提供网络层防DDos能力，DDoS高防（Advanced Anti-DDoS，简称AAD）是企业重要业务连续性的有力保障。 当您的服务遭受大流量DDoS攻击时，DDoS高防可以保护用户业务持续可用。DDoS高防通过高防IP代理源站IP对外提供服务，将恶意攻击流量引流到高防IP清洗，确保重要业务不被攻击中断。 同时，工业数据管理及协同云服务通过对接应用性能管理服务（Application Performance Management，简称APM）来统计服务可用度、API接口可用度和错误率，通过对接API网关（API Gateway，简称APIG）来统计流控成功率，以实现可靠性能指标的采集和度量。 父主题： 安全

Redis连接池 在示例代码中使用了Redis连接池（BlockingConnectionPool），配置了最大连接数（max_connections）和连接池耗尽后获取连接的最大等待时间（timeout），代码片段如下： pool = BlockingConnectionPool(host=redis_host, port=redis_port, password=redis_password, max_connections=50, timeout=3, socket_timeout=2, socket_connect_timeout=2, retry=retry, retry_on_error=[BusyLoadingError, ConnectionError, TimeoutError], health_check_interval=60, decode_responses=True) 使用Redis连接池进一步复用已创建的连接，有效提升程序性能；同时，Redis提供了最大连接数配置确保连接资源的使用保持在一个可控范围内，并且能够确保线程安全。 最大连接数配置区间：在FunctionGraph函数配置Redis最大连接数建议在如下区间选取一个值： 最大连接数下限 =（函数单实例并发度）*（函数单次执行访问Redis并发度） 最大连接数上限 =（Redis实例连接数上限）/（函数最大实例数） 举例：某个访问Redis函数单实例并发度配置为5，每次执行函数访问Redis并发度为2，函数最大实例数默认400，访问的Redis实例连接数上限为30000，计算如下： 最大连接数下限 = 5*2 = 10 最大连接数上限 = 30000/400 = 75 按上述结果，建议最大连接数配置50即可。 连接池耗尽后获取连接的最大等待时间：不要超过函数执行超时时间，避免因连接池耗尽后获取连接等待导致函数执行超时。如果需要快速失败将BlockingConnectionPool替换成ConnectionPool，并删除timeout配置即可。 父主题： 代码解读

FunctionGraph函数初始化入口 在示例代码中我们在initializer方法内创建Redis客户端，并在创建函数时配置了初始化函数，如下： def initializer(context): global redis_client redis_client = create_redis_client(context) redis_client.ping() 图1 初始化函数配置 这里用到了FunctionGraph的函数初始化入口Initializer能力，通过该能力我们能在函数初始化阶段完成Redis客户端的创建，在调用handler处理请求时能够使用该Redis客户端复用连接，相比在handler处理请求时每次都创建Redis客户端，减少了资源消耗并且性能更优。 请勿在函数初始化入口捕获异常，否则会导致FunctionGraph认为函数初始化成功，进而开始接收函数调用请求。但是因为初始化实际上是失败的，导致函数执行时使用了不可用的redis_client而失败。 父主题： 代码解读

操作步骤 在华为云市场搜索“LNMP平台（CentOS7.4 Nginx PHP7.2）”。 单击搜索到的镜像，进入镜像购买界面。 设置要购买弹性云服务器实例的地域、规格、推荐配置和购买方式等信息，并单击“立即购买”。 设置云主机的登录密码，阅读并勾选同意《华为云市场服务协议》 。 单击“提交订单”。 设置安全组。 弹性云服务器创建成功后，还需要配置安全组，开放对应的端口。“LNMP平台（CentOS7.4 Nginx PHP7.2）”镜像需要开放的端口如下表所示，具体步骤请参见为安全组添加安全组规则。 表1 安全组规则 方向 协议/应用 端口/范围 源地址 入方向 TCP 80 0.0.0.0/0 入方向 TCP 443 0.0.0.0/0 入方向 TCP 21 0.0.0.0/0 入方向 TCP 20000～30000 0.0.0.0/0 访问测试 。 通过浏览器访问“http://服务器公网IP地址”，显示如下界面时，表示LNMP环境部署成功。 相关的访问地址如下： 首页demo：http://服务器公网IP PHPINFO地址：http://服务器公网IP/phpinfo.php Opcache地址：http://服务器公网IP/ocp.php phpmyadmin管理地址：http://服务器公网IP/phpMyAdmin 建议用chrome浏览器，访问注意大小写，为了安全建议重命名或者删除。 PHP运行环境探针地址：http://服务器公网IP/tz.php

示例流程 图1 给用户授予EDS权限流程 创建用户组并授权 在IAM控制台创建用户组，并授予交换数据空间服务的权限“EDS ReadOnlyAccess”。 创建用户并加入用户组 在IAM控制台创建用户，并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台，切换至授权区域，验证权限，用户权限包含“EDS ReadOnlyAccess”。在“服务列表”中选择交换数据空间，进入交换数据空间首页，单击界面右上角“开通交换数据空间实例”，如果无法开通交换数据空间实例，表示“EDS ReadOnlyAccess”已生效。 在“服务列表”中选择除交换数据空间外（假设当前策略仅包含EDS ReadOnlyAccess）的任一服务，若提示权限不足，表示“EDS ReadOnlyAccess”已生效。

基本概念 使用数据的角色： 数据提供方：提供数据并可以指定相应的使用控制策略。 数据消费方：消费数据并遵守数据提供方指定的使用控制策略。 offer：邀约。 合约：数据消费方通过点对点或数据市场的交换形式，接收数据后形成一份合约。数据消费方通过合约在策略框架内可以安全可控地使用数据。 数据衍生产物：消费方再次加工后获得的数据。 数据交换模式： 数据市场中通过offer的形式交换形成合约。 点对点交换形成合约。

菜单栏说明 表1 菜单栏说明 菜单 说明 工作台 用户通过连接器卡片、快捷入口、待办事项和协议规范快速了解、上手和操作EDS。 数据目录 数据目录提供了对数据资源文件操作的一系列操作方式，方便用户管理上传和接收的资源。 数据offer 数据offer提供了上架offer到数据市场的功能，同时用户可以查看offer编码、offer名称以及上架状态等详细信息。 数据合约 通过数据合约，可查看当前用户提供和收到合约的详细信息。 数据市场 数据市场提供数据搜索、资产标注、需求匹配、合约协商、数据订阅等功能，帮助用户快速、高效的找到有价值的数据。 应用实例 用户将服务内置的应用实例化，方便用户通过应用实例查看、加工和下载数据。 连接器日志 展示空间实例中操作的TOP5用户看板、被操作最多的TOP5数据看板和本连接器用户操作记录。 数据源管理 提供业务数据源接入EDS服务的方法，并对数据源进行统一管理。 连接器管理 连接器管理提供了连接器下的用户权限、资源权限以及用户待办的管理功能。

工作台概述 EDS工作台集成了数据目录、数据offer、数据合约、数据市场、应用实例、连接器日志、数据源管理和连接器管理等常用功能，界面上方展示了连接器信息，右侧展示了连接器卡片、协议规范相关信息，方便用户快速了解、上手和操作EDS，如图1所示。 连接器信息 展示连接器的基本信息，如连接器名称、连接器描述、所属空间、空间ID、空间描述、空间状态、空间规格、空间创建时间和公网出口IP等。 我的待办 展示用户审批和提出申请的任务项，方便进行统一管理，相关操作请参考我的待办。 连接器计费 界面右侧连接器卡片展示连接器计费信息，对连接器进行“扩容”、“续费”和“退订”操作，相关操作请参考计费管理。 数据目录 数据目录提供了对数据和资源文件的一系列操作方式，方便用户快捷管理自己上传和接收的资源。相关操作请参考数据目录。 数据offer 通过数据offer功能，用户可以上架offer、下架offer或者查看offer的编码、offer名称、状态等详细信息。相关操作请参考数据offer。 数据合约 通过数据合约功能，可查看当前用户提供和接收到的合约信息。相关操作请参考数据合约。 数据市场 数据市场提供数据搜索、资产标注、需求匹配、合约协商、数据订阅等功能，帮助消费方快速、高效的找到有价值的数据。相关操作请参考数据市场。 应用实例 用户可通过应用实例将服务提供的内置应用实例化，形成连接器可使用的应用，更进一步帮助用户限定数据使用方式和使用。相关操作请参考应用实例。 连接器日志 连接器日志根据时间维度提供交换数据空间实例中操作最多的TOP5用户看板、被操作最多的TOP5数据看板和操作本连接器资源的操作记录。相关操作请参考连接器日志。 数据源管理 交换数据空间支持多种数据源类型，并用于数据上传和下载。在使用前需要先接入数据源。相关操作请参考数据源管理。 连接器管理 连接器管理支持对用户、用户角色、权限集三种维度，对连接器的使用进行管理。相关操作请参考连接器管理。 公告栏 工作台界面右侧展示了协议规范的信息，帮助用户了解协议相关信息。 图1 EDS工作台 父主题： 工作台

约束与限制 本服务的使用限制如下： 每个租户交换数据空间下，创建子用户数不能超过50个。 连接器之间传输的单文件大小不超过20MB。 连接器单次上传数据集大小不超过20GB，单个表最大行数限制200万行。 交换数据空间应用模板的总数量不超过5个，连接器注册应用实例的总数量不超过10个。 浏览器限制，您需要使用支持的浏览器版本登录使用EDS服务。浏览器建议选择“Google Chrome浏览器88.x及以上”。

EDS权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 EDS部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域（如华北-北京1）对应的项目（cn-north-1）中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问EDS时，需要先切换至授权区域。 权限根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对EDS服务，管理员能够控制IAM用户仅能对交换数据空间进行指定的管理操作。 如表1所示，包括了EDS的所有系统权限。 表1 EDS系统权限 策略名称 描述 策略类别 策略内容 EDS FullAccess 交换数据空间服务所有执行权限，拥有该权限的用户可以执行所有操作。 系统策略 EDS FullAccess策略内容 EDS ReadOnlyAccess 交换数据空间的只读权限，拥有该权限的用户仅能查看当前实例下连接器的数量。 系统策略 EDS ReadOnlyAccess策略内容 表2列出了EDS常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表2 常用操作与系统权限的关系 操作 EDS FullAccess EDS ReadOnlyAccess 创建交换数据空间实例 √ x 删除交换数据空间实例 √ x 申请加入交换数据空间实例 √ x 申请开通连接器 √ x 申请加入连接器 √ x 删除连接器 √ x 查询当前实例下所有连接器 √ √

操作步骤 获取安装包。 进入官网下载链接地址：https://www.mongodb.com/try/download/community。 在“Version”中选择“4.0.28”，在“Platform”中选择“RedHat/CentOS 8.0 ×64”，在“Package”中选择“tgz”。如图1所示。 图1 MongoDB官网页面 将安装包上传到弹性云服务器上，请参见如下两种方式： 如何登录弹性云服务器，请参见如何创建并登录弹性云服务器。 单击“Download”下载4.0.28版本的二进制安装包，安装包名称为“mongodb-linux-x86_64-rhel80-4.0.28.tgz”，将安装包上传至弹性云服务器上。 单击“Copy link”获取下载链接地址，登录弹性云服务器，执行wget copylink。 copylink请替换为实际下载的链接地址。 在弹性云服务器上，解压安装包。 tar zxvf mongodb-linux-x86_64-rhel80-4.0.28.tgz 安装包名字请根据实际情况替换。 进入安装包的“bin”文件夹下，获取客户端工具。 cd mongodb-linux-x86_64-rhel80-4.0.28/bin 安装包名字请根据实际情况替换。 其中，常用工具包含如下： MongoDB客户端mongo。 数据导出工具mongoexport。 数据导入工具mongoimport。 使用客户端工具前，需要对工具赋予执行权限。 执行chmod +x mongo，赋予连接实例的权限。 执行chmod +x mongoexport，赋予导出数据的权限。 执行chmod +x mongoimport，赋予导入数据的权限。 客户端安装成功后，如需连接实例，请参见连接集群实例、连接副本集实例和连接单节点实例。

用户管理 DDS上用户的权限都是基于角色管理，通过给用户赋予不同的角色来进行差异化的权限控制。 为了给文档数据库实例提供管理服务，您在创建数据库实例时，文档数据库服务会自动为实例创建admin、monitor和backup账户。如果试图删掉、重命名、修改这些账户的密码和权限，会导致出错。 对于数据库管理员账户rwuser，以及您所创建的账户，允许修改账户的密码。 创建用户 更新用户 删除用户 父主题： 数据库权限

详细步骤 加密HANA用户密码，供自定义脚本使用 登录HANA服务器，输入cd /home/rdadmin/Agent/bin/ ，进入Agent目录。 执行/home/rdadmin/Agent/bin/agentcli encpwd，回显如下： Enter password: 输入HANA用户的密码，并按“Enter”，屏幕上就会打印出加密后的密码，将其复制到剪贴板中。 冻结解冻脚本中配置的明文密码长度不超过16位，否则配置后密码会被截断，应用一致性备份会失败。 执行cd /home/rdadmin/Agent/bin/thirdparty/ebk_user ，进入自定义脚本目录，执行vi hana_freeze.sh ，打开HANA示例冻结脚本。 将下图所示的HANA_USER HANA_PASSWORD INSTANCE_NUMBER DB_SID修改为实际值，其中HANA_PASSWORD 为步骤1的屏幕输出。 也可以使用sed命令来直接进行修改： sed -i 's/^HANA_USER=.*/HANA_USER="XXX"/' hana_freeze.sh hana_unfreeze.sh ，其中XXX为数据库用户名。 sed -i 's/^HANA_PASSWORD=.*/HANA_PASSWORD="XXX"/' hana_freeze.sh hana_unfreeze.sh ，其中XXX为步骤1中打印出的密码。 sed -i 's/^INSTANCE_NUMBER=.*/INSTANCE_NUMBER="XXX"/' hana_freeze.sh hana_unfreeze.sh ，其中XXX为数据库实例编号。 sed -i 's/^DB_SID=.*/DB_SID="XXX"/' hana_freeze.sh hana_unfreeze.sh ，其中XXX为数据库SID。 此操作会同时修改冻结解冻脚本，所以无需再执行步骤3。 执行vi hana_unfreeze.sh ，打开HANA示例解冻脚本，修改此脚本中的用户名、密码、实例编号与SID hana_freeze.sh与hana_unfreeze.sh脚本实现了基本的数据库冻结与解冻操作，如果你在冻结、解冻时有其它额外步骤需要执行，可以自行在其中进行修改。详细说明请参见 通过自定义脚本实现其它Linux应用的一致性备份 冻结SAP HANA数据库时，按照SAP官方建议，需要冻结Data卷的XFS文件系统，否则可能出现数据不一致的问题。在此示例脚本中，将会查询出HANA使用的Data卷挂载点，并用xfs_freeze 命令进行冻结。 如果HANA系统未按照SAP官方建议使用一个独立分区来存放Data卷数据，而是与系统卷共用一个分区，则请修改hana_freeze.sh脚本，注释掉xfs_freeze相关行，防止整个系统都被冻结，但此时可能出现备份数据不一致的问题。 父主题： 通过自定义脚本实现SAP HANA一致性备份