华为云用户手册

  • 操作场景 默认情况下,在Virtual Private Cloud (VPC) 中的弹性云服务器无法与您自己的数据中心或私有网络进行通信。如果您需要将VPC中的弹性云服务器和您的数据中心或私有网络连通,可以启用VPN功能。申请VPN后,用户需要配置安全组并检查子网的连通性,以确保VPN功能可用。主要场景分为两类: 点对点VPN:本端为处于云服务平台上的一个VPC,对端为一个数据中心,通过VPN建立用户数据中心与VPC之间的通信隧道。 点对多点VPN:本端为处于云服务平台上的一个VPC,对端为多个数据中心,通过VPN建立不同用户数据中心与VPC之间的通信隧道。 配置VPN时需要注意以下几点: 本端子网与对端子网不能重复。 本端和对端的IKE策略、IPsec策略、PSK相同。 本端和对端子网,网关等参数对称。 VPC内弹性云服务器安全组允许访问对端和被对端访问。 VPN对接成功后两端的服务器或者虚拟机之间需要进行通信,VPN的状态才会刷新为正常。
  • 操作步骤 在管理控制台上,选择合适的IKE策略和IPsec策略申请VPN。 检查本端和对端子网的IP地址池。 如图1所示,假设您在云中已经申请了VPC,并申请了2个子网(192.168.1.0/24,192.168.2.0/24),您在自己的数据中心Router下也有2个子网(192.168.3.0/24,192.168.4.0/24)。您可以通过VPN使VPC内的子网与数据中心的子网互相通信。 图1 IPsec VPN 本端和对端子网IP池不能重合。例如,本端VPC有两个子网,分别为:192.168.1.0/24和192.168.2.0/24,那么对端子网的IP地址池不能包含本端VPC的这两个子网。 为弹性 云服务器配置 安全组规则,允许通过VPN进出用户数据中心的报文。 检查VPC安全组。 从用户数据中心ping云服务器,验证安全组是否允许通过VPN进出用户数据中心的报文。 检查远端LAN配置(即对端数据中心网络配置)。 在远程LAN(对端数据中心网络)配置中有可以将VPN流量转发到LAN中网络设备的路由。如果VPN流量无法正常通信,请检查远程LAN是否存在拒绝策略。
  • 结果验证 打开客户端设备的命令行窗口。 执行命令:ping 192.168.1.10,验证连通性。 其中,192.168.1.10为客户端需要访问的弹性云服务器的IP地址,请根据实际替换。 回显如下信息,表示网络已通。 来自 xx.xx.xx.xx 的回复: 字节=32 时间=28ms TTL=245 来自 xx.xx.xx.xx 的回复: 字节=32 时间=28ms TTL=245 来自 xx.xx.xx.xx 的回复: 字节=32 时间=28ms TTL=245 来自 xx.xx.xx.xx 的回复: 字节=32 时间=27ms TTL=245
  • 前提条件 云侧 请确认 虚拟私有云VPC 已经创建完成。如何创建虚拟私有云VPC,请参见创建虚拟私有云和子网。 请确认虚拟私有云VPC的安全组规则已经配置,E CS 通信正常。如何配置安全组规则,请参见安全组规则。 如果通过企业路由器ER关联VPN网关,请确认企业路由器ER已经创建完成。如何创建企业路由器ER,请参见企业路由器ER相关资料。 数据中心侧 用户数据中心的VPN设备已经完成IPsec连接相关配置。相关操作步骤请参见管理员指南。
  • 前提条件 云侧 请确认虚拟私有云VPC已经创建完成。如何创建虚拟私有云VPC,请参见创建虚拟私有云和子网。 请确认虚拟私有云VPC的安全组规则已经配置,ECS通信正常。如何配置安全组规则,请参见安全组规则。 数据中心侧 用户数据中心1和2的VPN设备已经完成IPsec连接相关配置。相关操作步骤请参见管理员指南。 用户数据中心1的VPN设备对端网络中需要包含华为云VPC的本端子网和用户数据中心2的待互通子网;用户数据中心2的VPN设备对端网络中需要包含华为云VPC的本端子网和用户数据中心1的待互通子网。
  • 数据规划 表1 规划数据 类别 规划项 规划值 VPC 待互通子网 192.168.0.0/24 192.168.1.0/24 VPN网关 互联子网 用于VPN网关和VPC通信,请确保选择的互联子网存在4个及以上可分配的IP地址。 192.168.2.0/24 HA模式 双活 EIP地址 EIP地址在购买EIP时由系统自动生成,VPN网关默认使用2个EIP。本示例假设EIP地址生成如下: 主EIP:1.1.1.2 主EIP2:2.2.2.2 VPN连接 Tunnel接口地址 用于VPN网关和对端网关建立IPsec隧道,配置时两边需要互为镜像。 VPN连接1:169.254.70.1/30 VPN连接2:169.254.71.1/30 用户数据中心 待互通子网 172.16.0.0/16 对端网关 标识 选择FQDN类型,命名为“cgw-fqdn”。 策略模板 IKE策略 版本:v2 认证算法:SHA2-256 加密算法:AES-128-GCM-16 DH算法:Group 15 生命周期(秒):86400 本端标识:IP Address IPsec策略 认证算法:SHA2-256 加密算法:AES-128-GCM-16 PFS:DH Group15 传输协议:ESP 生命周期(秒):3600
  • 前提条件 云侧 请确认虚拟私有云VPC已经创建完成。如何创建虚拟私有云VPC,请参见创建虚拟私有云和子网。 请确认虚拟私有云VPC的安全组规则已经配置,ECS通信正常。如何配置安全组规则,请参见安全组规则。 如果通过企业路由器ER关联VPN网关,请确认企业路由器ER已经创建完成。如何创建企业路由器ER,请参见企业路由器ER相关资料。 数据中心侧 用户数据中心的VPN设备已经完成IPsec连接相关配置。相关操作步骤请参见管理员指南。
  • 前提条件 前置资源 用户在华为云上多个区域内购买了VPC,且某个区域中存在多个VPC。 每个区域都通过VPN和不同的用户数据中心连接。 云上VPC和用户的数据中心的子网不冲突,ECS服务正常。 连接拓扑 图1 VPN hub连接拓扑 配置思路: 通过云连接将VPC1、VPC2和VPC3进行连接,并配置云连接路由,实际网络配置需要购买带宽包。 分别创建IDC1-VPC1、IDC2-VPC2、IDC3-VPC3的VPN网络。 更新每一段VPN的本地子网和远端子网。 局点配置说明 表1 配置说明 节点 标识 VPN本端网关 VPN本地子网 VPN远端网关 VPN远端子网 CC网络实例 IDC1 VPN A 1.1.1.1 192.168.11.0/24 2.2.2.2 192.168.22.0/24 192.168.33.0/24 192.168.44.0/24 192.168.55.0/24 192.168.66.0/24 - VPC1 2.2.2.2 192.168.22.0/24 192.168.33.0/24 192.168.44.0/24 192.168.55.0/24 192.168.66.0/24 1.1.1.1 192.168.11.0/24 192.168.22.0/24 192.168.11.0/24 IDC2 VPN B 4.4.4.4 192.168.44.0/24 3.3.3.3 192.168.11.0/24 192.168.22.0/24 192.168.33.0/24 192.168.55.0/24 192.168.66.0/24 - VPC2 3.3.3.3 192.168.11.0/24 192.168.22.0/24 192.168.33.0/24 192.168.55.0/24 192.168.66.0/24 4.4.4.4 192.168.44.0/24 192.168.33.0/24 192.168.44.0/24 IDC3 VPN C 5.5.5.5 192.168.55.0/24 3.3.3.3 192.168.11.0/24 192.168.22.0/24 192.168.33.0/24 192.168.44.0/24 192.168.66.0/24 - VPC3 6.6.6.6 192.168.11.0/24 192.168.22.0/24 192.168.33.0/24 192.168.44.0/24 192.168.66.0/24 5.5.5.5 192.168.55.0/24 192.168.55.0/24 192.168.66.0/24 云连接网络实例可在任一局点配置,通过查看路由信息验证网络实例配置。 用户侧VPN网关IP与VPC互为镜像,VPN连接创建的资源信息与华为云一致。
  • 配置步骤 创建云连接 登录控制台,选择VPC所在的区域,然后在服务列表中选择网络下的“云连接”,根据图2输入相关创建信息后,单击“确定”创建云连接。 图2 创建云连接 选择已创建的云连接,单击名称添加网络实例。 图3 加载网络实例 在新页签中选择“加载网络实例”,添加云连接所连接的VPC网络,VPC子网可直接进行选择,通过VPN连接的客户网络需要手动添加在自定义网段中,然后单击“确定”。 图4 加载网络实例 另一侧VPC2配置信息和VPC1的相同,请不要忘记添加VPN连接的客户网络,如果忘记添加可通过选择云连接中的VPC,然后单击右侧“更新VPC CIDRs”进行添加。 图5 更新VPC CIDRs 云连接配置完成后, 网络实例连接示意图如下所示。 图6 更新VPC CIDRs 通过查看路由信息验证路由配置 图7 验证路由配置 更新VPN网络配置 修改思路: 用户侧:本端子网不变,远端子网添加VPC2的子网。 VPC侧:本端子网添加VPC2的子网,远端子网不变。 选择华为云端的虚拟专线网络配置,在已创建的VPN连接中修改本端子网配置。 图8 创建对等连接 更改本端子网类型为网段,添加云连接所连接的VPC1的网络实例和本端VPC子网,远端网络信息不变 VPC1的VPN连接信息配置如下图所示。 图9 修改VPN连接 VPC2的VPN连接信息配置如下图所示。 图10 修改VPN连接
  • 配置验证 本环境中在用户数据中心、VPC1、VPC2中分别存在三台ECS,IP地址分别为192.168.1.151、192.168.11.84和192.168.22.170的三台主机,初始情况下ECS1(192.168.1.151)可以和ECS2(192.168.11.84)互联互通(通过VPN访问),ECS3(192.168.22.170)无法和其它主机互通,在建立VPC-peering后,ECS3可以和ECS2互通,但无法和ECS1互通。 经过步骤2的配置调整后,可以实现ECS1、ECS2和ECS3之间互联互通,结果验证如下。 IDC1 ECS1访问VPN连接VPC1子网下的ECS2:结果OK。 ECS1访问VPC2子网下的ECS3:结果OK。 IDC2 ECS1访问VPN连接VPC1子网下的ECS2:结果OK。 ECS1访问VPC2子网下的ECS3:结果OK。 华为云端VPC1 VPC1子网下的ECS2访问用户数据中心子网下的ECS1:结果OK VPC1子网下的ECS2访问VPC2子网下的ECS3:结果OK 华为云端VPC2 VPC2子网下的ECS3访问VPC1子网下的ECS2:结果OK。 VPC2子网下的ECS3访问用户数据中心子网下的ECS1:结果OK。
  • 前提条件 云侧 请确认虚拟私有云VPC已经创建完成。如何创建虚拟私有云VPC,请参见创建虚拟私有云和子网。 请确认虚拟私有云VPC的安全组规则已经配置,ECS通信正常。如何配置安全组规则,请参见安全组规则。 如果通过企业路由器ER关联VPN网关,请确认企业路由器ER已经创建完成。如何创建企业路由器ER,请参见企业路由器ER相关资料。 数据中心侧 用户数据中心的VPN设备已经完成IPsec连接相关配置。相关操作步骤请参见管理员指南。
  • 步骤五:在企业路由器中添加并配置VPN连接 本示例中, 虚拟专用网络 VPN、VPN网关使用的VPC资源的总体规划说明,请参见表5。 创建1个VPN网关使用的VPC。 创建VPC及子网,具体方法请参见创建虚拟私有云和子网。 您在创建VPN网关时,“虚拟私有云”需要选择该VPC,“互联子网”填写该VPC下的网段,请确保选择的互联子网存在4个及以上可分配的IP地址。 创建VPN网关,即在企业路由器中添加“VPN网关(VPN)”连接。 在虚拟专用网络管理控制台,创建VPN网关。 具体方法请参见创建VPN网关。 在企业路由器控制台,查看“VPN网关(VPN)”连接的添加情况。 具体方法请参见查看连接。 “VPN网关(VPN)”连接的状态“正常”,表示已成功接入企业路由器中。 由于本示例创建ER时,开启“默认路由表关联”和“默认路由表传播”,因此添加完“VPN网关(VPN)”连接后,以下均为系统自动配置: 在ER默认路由表中创建关联。 在ER默认路由表中创建传播,并自动学习IDC侧的路由信息。 需要执行以下步骤连通VPN后,才可以在ER路由表中查看到IDC侧的路由信息。 创建对端网关。 具体方法请参见创建对端网关。 分别创建两条VPN连接,用作主备。 创建主VPN连接,请参见创建第一条VPN连接。 创建备VPN连接,请参见创建第二条VPN连接。 在IDC侧的网络设备上,配置网络参数。 由于组网为DC和VPN的双链路互备,因此配置路由时,需要注意以下方面: DC和VPN的路由类型保持一致,构造双链路互备需要配置为BGP路由。 配置DC和VPN路由的主备优先级,确保DC的优先级高于VPN。 DC和VPN网络链路的断连感知时间建议和云上网络保持一致。
  • 步骤六:验证VPN链路的通信情况 由于VPN链路为备选,如果您需要验证VPN链路通信情况,需要先构造DC主链路故障,然后验证备VPN链路的通信情况。 构造DC主链路的故障,确保业务VPC已无法通过该链路和IDC通信。 请您务必在没有业务的情况下,构造DC链路故障,以免对业务造成影响。 登录弹性云服务器ecs-demo。 弹性云服务器有多种登录方法,具体请参见登录弹性云服务器。 本示例是通过管理控制台远程登录(VNC方式)。 执行以下命令,验证业务VPC与IDC是否可以通过ER通信。 ping IDC侧任意一个IP地址 命令示例: ping 192.168.3.10 回显类似如下信息,表示vpc-for-er与IDC可以通过ER通信。 [root@ecs-A02 ~]# ping 192.168.3.10 PING 192.168.3.10 (192.168.3.102) 56(84) bytes of data. 64 bytes from 192.168.3.102: icmp_seq=1 ttl=64 time=0.849 ms 64 bytes from 192.168.3.102: icmp_seq=2 ttl=64 time=0.455 ms 64 bytes from 192.168.3.102: icmp_seq=3 ttl=64 time=0.385 ms 64 bytes from 192.168.3.102: icmp_seq=4 ttl=64 time=0.372 ms ... --- 192.168.3.102 ping statistics ---
  • 步骤三:在企业路由器中添加并配置VPC连接 将业务VPC接入企业路由器中。 添加连接时,不开启“配置连接侧路由”功能。 开启该功能后,会自动VPC路由表中自动添加指向ER的路由,目的地址固定为10.0.0.0/8,172.16.0.0/12,192.168.0.0/16。本示例中,需要在VPC路由表中手动配置指向ER的路由,目的地址为IDC侧的网段。 添加“虚拟私有云(VPC)”连接,具体方法请参见在企业路由器中添加VPC连接。 检查ER路由表中指向VPC的路由。 本示例中,ER开启了“默认路由表关联”和“默认路由表传播”功能,那么在ER中添加“虚拟私有云(VPC)”连接时,系统会自动添加ER指向VPC的路由,无需手动添加,只需要检查即可。 ER路由规划详情,请参见表2和表4。 查看ER路由,具体方法请参见查看路由。 在业务VPC的路由表中,添加指向ER的路由。 VPC路由规划详情,请参见表3。 配置路由信息,具体方法请参见在VPC路由表中配置路由。
  • 步骤四:验证DC链路的通信情况 登录弹性云服务器ecs-demo。 弹性云服务器有多种登录方法,具体请参见登录弹性云服务器。 本示例是通过管理控制台远程登录(VNC方式)。 执行以下命令,验证业务VPC与IDC是否可以通过ER通信。 ping IDC侧任意一个IP地址 命令示例: ping 192.168.3.10 回显类似如下信息,表示vpc-for-er与IDC可以通过ER通信。 [root@ecs-A02 ~]# ping 192.168.3.10 PING 192.168.3.10 (192.168.3.102) 56(84) bytes of data. 64 bytes from 192.168.3.102: icmp_seq=1 ttl=64 time=0.849 ms 64 bytes from 192.168.3.102: icmp_seq=2 ttl=64 time=0.455 ms 64 bytes from 192.168.3.102: icmp_seq=3 ttl=64 time=0.385 ms 64 bytes from 192.168.3.102: icmp_seq=4 ttl=64 time=0.372 ms ... --- 192.168.3.102 ping statistics ---
  • 步骤二:在企业路由器中添加并配置VGW连接 本示例中,云专线DC资源的总体规划说明,请参见表5。 创建物理连接。 创建方法,具体请参见物理连接接入。 创建虚拟网关,即在企业路由器中添加“虚拟网关(VGW)”连接。 在云专线管理控制台,创建虚拟网关。 具体方法请参见步骤2:创建虚拟网关。 在企业路由器控制台,查看“虚拟网关(VGW)”连接的添加情况。 具体方法请参见查看连接。 “虚拟网关(VGW)”连接的状态“正常”,表示已成功接入企业路由器中。 由于本示例创建ER时,开启“默认路由表关联”和“默认路由表传播”,因此添加完“虚拟网关(VGW)”连接后,以下均为系统自动配置: 在ER默认路由表中创建关联。 在ER默认路由表中创建传播,并自动学习IDC侧的路由信息。 需要执行以下步骤连通DC后,才可以在ER路由表中查看到IDC侧的路由信息。 创建虚拟接口。 创建虚拟接口用来连接虚拟网关和线下IDC,具体方法请参见步骤3:创建虚拟接口。 在IDC侧的网络设备上,配置网络参数。 由于组网为DC和VPN的双链路互备,因此配置路由时,需要注意以下方面: DC和VPN的路由类型保持一致,构造双链路互备需要配置为BGP路由。 配置DC和VPN路由的主备优先级,确保DC的优先级高于VPN。 DC和VPN网络链路的断连感知时间建议和云上网络保持一致。
  • 步骤一:创建云服务资源(业务VPC、ECS、ER) 本步骤指导您创建业务VPC、ECS以及ER服务资源,云服务资源的总体规划说明,请参见表5。 创建企业路由器。 创建企业路由器,具体方法请参见创建企业路由器。 创建业务VPC。 创建VPC及子网,具体方法请参见创建虚拟私有云和子网。 创建业务ECS。 本示例中1个业务ECS主要用于验证云上VPC和线下IDC通信使用,数量和配置仅供参考,请您根据实际需要创建业务ECS。 创建ECS,具体方法请参见购买方式概述。
  • 前提条件 云侧 请确认虚拟私有云VPC已经创建完成。如何创建虚拟私有云VPC,请参见创建虚拟私有云和子网。 请确认虚拟私有云VPC的安全组规则已经配置,ECS通信正常。如何配置安全组规则,请参见安全组规则。 如果通过企业路由器ER关联VPN网关,请确认企业路由器ER已经创建完成。如何创建企业路由器ER,请参见企业路由器ER相关资料。 数据中心侧 用户数据中心的VPN设备已经完成IPsec连接相关配置。相关操作步骤请参见管理员指南。
  • LakeFormation服务权限 默认情况下,管理员创建的 IAM 用户没有任何权限,需要将其加入用户组,并给用户组授予策略或角色,才能使得用户组中的用户获得对应的权限,这一过程称为授权。授权后,用户就可以基于被授予的权限对云服务进行操作。 权限根据授权精细程度分为角色和策略。 角色:IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度,提供有限的服务相关角色用于授权。由于各服务之间存在业务依赖关系,因此给用户授予角色时,可能需要一并授予依赖的其他角色,才能正确完成业务。角色并不能满足用户对精细化授权的要求,无法完全达到企业对权限最小化的安全管控要求。 IAM项目只读授权指导:当租户管理员需要给某个子用户分配LakeFormation服务在某个IAM项目下的只读权限。可以给该用户创建一个用户组,同时在用户组将LakeFormation ReadOnlyAccess系统策略授权给指定IAM项目即可。 企业项目授权指导:当租户管理员需要给某个子用户分配LakeFormation服务在某个企业项目下的所有操作权限。可以给该用户创建一个用户组,同时在用户组中将LakeFormation CommonAccess授权给全局,将LakeFormation FullAccess授权给指定企业项目即可。 策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。多数细粒度策略以API接口为粒度进行权限拆分,LakeFormation的自定义IAM策略操作可参考创建LakeFormation自定义IAM策略。 表1 LakeFormation系统策略 系统角色/策略名称 描述 类别 依赖关系 LakeFormation FullAccess LakeFormation管理员权限,拥有该权限的用户可以操作并使用所有LakeFormation服务功能。 系统策略 IAM AgencyFullAccess OBS OperateAccess VPC FullAccess VPCEndpoint FullAccess LakeFormation ReadOnlyAccess LakeFormation只读权限,拥有该权限的用户可以执行LakeFormation所有查询类功能。 系统策略 IAM ReadOnlyAccess OBS ReadOnlyAccess VPC ReadOnlyAccess VPCEndpoint ReadOnlyAccess LakeFormation CommonOperations LakeFormation基础权限,包含LakeFormation服务协议查看/授权/取消,以及OBS、TMS等周边依赖服务的基础权限集合。 系统策略 IAM ReadOnlyAccess OBS ReadOnlyAccess VPC FullAccess VPCEndpoint FullAccess 表2 LakeFormation的IAM权限列表 操作类型 操作项 描述 只读 lakeformation:access:describe 查询接入客户端。 lakeformation:accessAgency:describe 查询接入委托信息。 lakeformation:accessService:describe 查看接入服务。 lakeformation:agency:describe 查询委托。 lakeformation:agreement:describe 查询服务协议授权。 lakeformation:catalog:describe 查询Catalog元数据。 lakeformation:configuration:describe 查询配置。 lakeformation:credential:describe 查询认证信息。 lakeformation:database:describe 查询数据库元数据。 lakeformation:dataset:describe 查询数据集元数据。 lakeformation:dataset:describeFile 查询数据集文件元数据。 lakeformation:dataset:describeFileGroup 查询数据集文件组元数据。 lakeformation:function:describe 查询函数元数据。 lakeformation:group:describe 查询用户组信息。 lakeformation:instance:describe 查询实例。 lakeformation:instance:listAuthorizedLocation 查询授权资源。 lakeformation:instanceJob:describe 查询任务。 lakeformation:model:describe 查询模型元数据。 lakeformation:model:describeFile 查询模型文件元数据。 lakeformation:obs:describe 查询OBS桶列表。 lakeformation:policy:describe 查询权限策略。 lakeformation:policy:export 批量查询权限策略。 lakeformation:role:describe 查询角色。 lakeformation:table:describe 查询表元数据。 lakeformation:tableFileGroup:describe 查询表文件组元数据。 lakeformation:tag:describe 查询资源标签。 lakeformation:user:describe 查询用户以及关联角色关系。 写 lakeformation:access:create 创建接入客户端。 lakeformation:access:delete 删除接入客户端。 lakeformation:agency:create 创建委托。 lakeformation:agency:drop 删除委托。 lakeformation:catalog:alter 修改Catalog元数据。 lakeformation:catalog:create 创建Catalog元数据。 lakeformation:catalog:drop 删除Catalog元数据。 lakeformation:database:alter 修改数据库元数据。 lakeformation:database:create 创建数据库元数据。 lakeformation:database:drop 删除数据库元数据。 lakeformation:dataset:alter 修改数据集元数据。 lakeformation:dataset:alterFile 修改数据集文件元数据。 lakeformation:dataset:alterFileGroup 修改数据集文件组元数据。 lakeformation:dataset:create 创建数据集元数据。 lakeformation:dataset:createFile 创建数据集文件元数据。 lakeformation:dataset:createFileGroup 创建数据集文件组元数据。 lakeformation:dataset:drop 删除数据集元数据。 lakeformation:dataset:dropFile 删除数据集文件元数据。 lakeformation:dataset:dropFileGroup 删除数据集文件组元数据。 lakeformation:function:alter 修改函数元数据。 lakeformation:function:create 创建函数元数据 lakeformation:function:drop 删除函数元数据。 lakeformation:group:alter 修改用户组信息。 lakeformation:instance:access 申请接入服务。 lakeformation:instance:alter 修改实例。 lakeformation:instance:create 创建实例。 lakeformation:instance:drop 删除实例。 lakeformation:instanceJob:alter 修改任务。 lakeformation:instanceJob:create 创建任务。 lakeformation:instanceJob:drop 删除任务。 lakeformation:instanceJob:exec 执行任务。 lakeformation:model:alter 修改模型元数据。 lakeformation:model:alterFile 修改模型文件元数据。 lakeformation:model:create 创建模型元数据。 lakeformation:model:createFile 创建模型文件元数据。 lakeformation:model:drop 删除模型元数据。 lakeformation:model:dropFile 删除模型文件元数据。 lakeformation:policy:create 创建权限策略。 lakeformation:policy:drop 删除权限策略。 lakeformation:role:alter 修改角色。 lakeformation:role:create 创建角色。 lakeformation:role:drop 删除角色。 lakeformation:table:alter 修改表元数据。 lakeformation:table:create 创建表元数据。 lakeformation:table:drop 删除表元数据。 lakeformation:tableFileGroup:create 创建表文件组元数据。 lakeformation:tableFileGroup:drop 删除表文件组元数据。 lakeformation:transaction:operate 操作事务。 lakeformation:user:alter 修改用户以及关联角色关系。 权限管理 lakeformation:accessService:grant 授权接入服务。 lakeformation:accessTenant:grant 授权接入租户。 lakeformation:agreement:cancel 取消服务协议授权。 lakeformation:agreement:grant 授权服务协议授权。 lakeformation:instance:authorizeLocation 授权OBS路径。 lakeformation:instance:cancelAuthorizeLocation 取消授权OBS路径。
  • 操作流程 图1 给用户授权LakeFormation权限流程 创建用户组并授权 在IAM控制台创建用户组,并授予LakeFormation服务对应权限。 创建用户并加入用户组 在IAM控制台创建用户,并将其加入1.创建用户组并授权中创建的用户组。 用户登录并验证权限 以新创建的用户登录云服务控制台,切换至授权区域,验证权限是否生效。 例如: 在“服务列表”中选择LakeFormation服务,进入总览界面,单击右上角“购买实例”,实例创建界面正常展示,表示“lakeformation:role:create”权限已生效。
  • 前提条件 已参考元数据迁移完成元数据迁移。 当前用户具有OBS相关操作权限,且已创建用于存储数据的OBS并行文件系统。 需将待迁移的权限策略文件导出,并上传至OBS并行文件系统中。权限导出操作可联系对应服务支持人员。 权限策略中授权主体(除角色外)需要提前创建,且名称需保持一致;权限策略中包含的元数据已存在,且名称一致。 如果迁移类型为DLF,其对应关系及迁移策略如下: RAM 用户:IAM用户(如果对应的IAM用户不存在,该权限策略不进行迁移) RAM角色:IAM用户组(如果对应的IAM用户组不存在,该权限策略不进行迁移) DLF角色:LakeFormation角色(不存在会自动创建) 如果迁移类型为Ranger,则仅支持Ranger的allow权限迁移,不支持deny权限迁移。
  • 应用场景简介 OCR支持通过企业项目管理(EPS)对不同用户组和用户的资源使用,进行分账。企业可以根据组织架构规划不同的企业项目,并为每个企业项目设置拥有不同权限的用户组和用户,多个企业项目之间相互独立,资源分开结算。 企业账号可申请开通企业项目。账号需要进行企业实名认证。如果企业账号注册成为华为云合作伙伴,将无法进入企业项目管理页面。 开通企业项目后,企业项目内的用户在调用OCR API时,只有在请求Header参数中传入Enterprise-Project-Id(企业项目ID)后,才支持按不同企业项目进行财务统计。传参方式详见API文档。 该功能仅支持开通在华北-北京一、华北-北京四、华东-上海一区域的API,不同API的部署情况请参见终端节点。 图1 企业项目管理示意图 父主题: 企业项目管理
  • 识别字符出现错误如何优化? 不同的错误情形需要具体分析: 情形1:大部分 文字识别 正确,部分形近符号的识别错误。 解决办法:产品提供了预置字段类型可以对结果进行处理,同时也提供了自定义(正则)类型、字典类型,用于纠正识别结果中的错误,适用范围详见字段类型。此外,您也可以在调用程序中使用字符串替换、正则抽取等规则来修正识别结果。 情形2:单模板工作流识别出错,且大部分字段为空或错误。 解决办法:请检查参照字段是否框选正确,或尝试框选更多参照字段(框选办法参照框选参照字段),如果新增参照字段后仍有问题,请检查识别图片与模板图片是否为同一个版式,如果为新版式,请考虑创建新模板或使用多模板分类工作流。 情形3:多模板识别工作流出错,大部分字段为空或错误。 解决办法:先检查分类结果是否正确(返回结果中的template_id表示分类结果),若分类错误,则说明分类器中存在相似的模板导致分类出错,请在参照字段中添加模板特有的参照字段,从而提高分类的鉴别能力。若分类结果正确,但识别结果错误,请参照情形2的解决办法。 父主题: 常见问题
  • 识别结果容易漏字或多识别出内容怎么办? 识别结果是根据识别区来进行提取的,识别区的位置和大小均会影响识别结果。 若结果漏字,可能是由于识别区太小导致的,需在相应模板的"框选识别区"页面,把漏字的识别区调大一些。 若多识别出文字,可能是识别区太大,将周边无关的文字也框进来了,需将识别区改小一点。 若上述办法均无法解决,请检查识别区的文字是否发生了偏移,或者识别图片是否跟模板属于相同版式。 父主题: 常见问题
  • 如何选取参照字段? 参照字段是在所有图片中,文字位置和内容均不发生变化的文字。 参照字段有两个作用: 在单模板应用中,用于矫正识别图片,从而找准识别字段; 在多模板应用中,参照字段的内容和位置将作为相应模板的分类特征。 在框选参照字段时,首先要确保所框选的文字位置和内容都固定不变,如果不满足此要求,可能会提取到错误的识别结果,或是返回AIS.0119(输入图片与模板匹配失败)、AIS.0120(输入图片分类失败)。 为了获得更好的识别效果: 尽可能多框选参照字段,建议不少于4个参照字段,并尽量分散在四周。 在多模板应用中,为了获得较好的分类效果,还应该框选各个模板中有独有的参照字段。 如果不确定哪些文字是参照字段,或是想快速评估模板效果的,可以跳过"框选参照字段"流程,当后台检测到模板没有配置任何参照字段时,会自动寻找合适的参照字段进行识别,此功能可以提高项目开发与验证的效率。 父主题: 常见问题
  • 基本概念 参照字段为模板图片和待识别图片中的公共文字部分,所有需要识别的图片中都要包含参照字段,且位置必须固定。 套件提供了自动搜索参照字段和手动框选参照字段这两种模式。 自动搜索参照字段:未手动框选任何参照字段的情况下,默认激活自动搜索参照字段模式。 手动框选参照字段:若手动框选了任意参照字段,将激活手动框选模式。 当识别图片的场景比较单一时,即只有一种模板,且参照字段不容易与其他文字混淆时,可以使用自动参照字段来简化模板制作过程,否则建议手动框选,详细步骤请参见操作步骤。
  • 新增模板配置 默认进入“新增模板配置”页签。 图4 新增模板配置 单击添加多个模板,针对每个模板,选择模板类型,并且上传图片。 “上传图片”:单击“上传图片”区域,或鼠标直接拖拽图片至“上传图片”区域,上传本地一张图片作为模板,用于业务场景的文字结构化识别。 “修改模板名称”:单击图片右侧的,在弹出的输入框中输入新的模板名称,单击“确认”。 “删除模板”:单击图片右侧“删除”,在弹出的确认删除对话框中单击“确认”。 “语种”:单击图片右侧“语种”下拉选择框,选择模板对应的语种。不选择的情况下,默认为中英文。 确认信息后,单击“下一步”,进入定义预处理步骤,对上传的模板图片进行自动旋转、裁剪等预处理。
  • 工作流简介 功能介绍 支持用户自定义多个文字识别模板,通过模型分类,自动识别图片所需使用的模板,从而支持从大量不同板式图像中提取结构化信息。 适用场景 用户认证识别 识别证件中关键信息,节省人工录入,提升效率,降低用户实名认证成本,准确快速便捷。 快递单自动填写 识别图片中联系人信息并自动填写快递单,减少人工输入。 合同录入与审核 自动提取合同结构化信息,有助快速审核。 优势 解决手工录入投入大、效率低、语种多等问题,提升业务效率。 一键式部署,快速输出高精度结构化数据。 解决单据复杂、单据板式多、语种多问题,支持自定义多个图像板式,快速适配新板式,快速接入业务。 支持从多个不同板式图像中提取结构化信息。
  • 基本概念 参照字段为模板图片和待识别图片中的公共文字部分,所有需要识别的图片中都要包含参照字段,且位置必须固定。 套件提供了自动搜索参照字段和手动框选参照字段这两种模式。 自动搜索参照字段:未手动框选任何参照字段的情况下,默认激活自动搜索参照字段模式。 手动框选参照字段:若手动框选了任意参照字段,将激活手动框选模式。 当识别图片的场景比较单一时,即只有一种模板,且参照字段不容易与其他文字混淆时,可以使用自动参照字段来简化模板制作过程,否则建议手动框选,详细步骤请参见操作步骤。
  • 工作流简介 功能介绍 支持构建文字识别模板,识别单个板式图片中的文字,提供高精度的文字识别模型,保证结构化信息提取精度。 适用场景 用户认证识别 识别证件中关键信息,节省人工录入,提升效率,降低用户实名认证成本,准确快速便捷。 快递单自动填写 识别图片中联系人信息并自动填写快递单,减少人工输入。 合同录入与审核 自动识别结构化信息与提取签名盖章区域,有助快速审核。 优势 解决手工录入投入大、效率低、语种多等问题,提升业务效率。 一键式部署,快速输出高精度结构化数据。
共100000条