华为云用户手册

操作场景 数据库安全审计默认提供一条“数据库拖库检测”的风险操作，用于检测原始审计日志疑似拖库的SQL语句，及时发现数据安全风险。 通过数据库拖库检测，您可获知执行耗时长、影响行数、执行该SQL语句的数据库信息。 数据库安全审计支持以下执行语句类型检测： 数据定义（DDL）： CREATE TABLE CREATE TABLESPACE DROP TABLE DROP TABLESPACE 数据操作（DML）： INSERT UPDATE DELETE SELECT SELECT FOR UPDATE 数据控制（DCL）： CREATE USER DROP USER GRANT

操作场景 数据库安全审计默认提供一条“数据库慢SQL检测”的风险操作，用于检测原始审计日志的响应时间大于1秒的SQL语句。 通过数据库慢SQL检测，您可获知执行耗时长、影响行数、执行该SQL语句的数据库信息并根据实际需求对慢SQL进行优化。 数据库安全审计支持以下执行语句类型检测： 数据定义（DDL）： CREATE TABLE CREATE TABLESPACE DROP TABLE DROP TABLESPACE 数据操作（DML）： INSERT UPDATE DELETE SELECT SELECT FOR UPDATE 数据控制（DCL）： CREATE USER DROP USER GRANT

查看审计结果 数据库安全审计默认提供一条“全审计规则”的审计范围，可以对成功连接数据库安全审计的所有数据库进行安全审计。待审计的数据库连接到数据库安全审计实例后，您可以查看数据库的总体审计情况、风险分布、会话统计、SQL分布情况以及审计报表。 您也可以根据业务实际情况配置审计规则，详情请参见：配置审计规则。 查看审计总览信息。 进入总览入口，如图2所示，查看总览信息。 图2 进入总览入口 选择“语句”或“会话”页签，分别查看SQL语句详细信息和会话分布图情况。 查看审计报表。 进入报表管理入口，如图3所示。 图3 进入报表管理入口 在需要生成报表的模板所在行的“操作”列，单击“立即生成报表”。 在弹出的对话框中，单击，设置报表的开始时间和结束时间，选择生成报表的数据库。 单击“确定”。 系统跳转到“报表结果”页面，您可以查看报表的生成进度。报表生成后，您可以“预览”或“下载”报表，如图4所示。 如果您需要在线预览报表，请使用Google Chrome或Mozilla FireFox浏览器。 图4 预览或下载报表

验证Agent与数据库安全审计实例之间的网络通信正常 安装Agent成功后，在数据库上执行一条SQL语句，稍等几分钟后，登录数据库安全服务控制台，查看操作的SQL语句。 登录应用服务器对数据库执行一条SQL语句（例如，“select 1;”）。 登录数据库安全服务控制台。 在左侧导航树中，选择“总览”，进入“总览”界面。 选择“语句”页签。 SQL语句列表将显示1执行SQL语句的记录，如图1所示。 未显示输入的SQL语句，说明Agent与数据库安全审计实例之间网络通信异常，请参照如何处理Agent与数据库安全审计实例之间通信异常？处理。 图1 查看SQL语句

导出数据库配置 开启审计功能后，您需要将数据库配置导入OBS桶。 在左侧导航树中，选择“实例列表”，进入“实例列表”界面。 单击“导出数据库配置”。 图2 导出数据库配置 “导出数据库配置”为隐藏按钮，请在“实例列表”界面的访问链接后面添加“?exportCfg”，添加完成后，按“Enter”进行访问。 数据库配置包含：待审计数据库配置信息和数据库安全审计Agent。 在弹出的对话框中，单击“确定”，同意授权。 同意授权后，DBSS将在 对象存储服务 为您创建名为“dbss-audit-agent-{projectid}”的桶。 数据库安全审计实例配置有如下变动时，您必须重新导出数据库配置。 变动包括：购买数据库安全审计实例、添加数据库、删除数据库。

约束与限制 在添加数据库前，您需要梳理集群工作负载中绑定的数据库，并注意以下规则： 相同的数据库不能同时添加在多个不同审计实例上 同一个工作负载所访问的数据库，必须添加在同一个审计实例中 多个工作负载所访问的数据库有交集时，这些工作负载所访问的所有数据库必须添加在同一个审计实例中。 数据库安全审计实例配置有如下变动时，您必须重新“导出数据库配置”并重新“导入对象存储卷”和“添加 云存储 ”。 变动包括：购买数据库安全审计实例、添加数据库、删除数据库。 使用数据库安全审计需要关闭数据库的SSL。

配置说明 由于添加的实例数受购买的DBSS版本所限制，因此配置前需确认已购买版本所支持添加的最大实例数是否与RAC集群节点数一致或多于节点数。 示例： 若您的RAC集群节点不超过3个，则您购买基础版即可满足需求； 若您的RAC集群节点不超过6个，则您购买专业版即可满足需求； 若您的RAC集群中超过6个节点，则您需购买高级版才可满足需求； 表1 DBSS版本性能及规格说明 版本 支持的数据库实例 系统资源要求 性能参数 基础版 最多支持3个数据库实例 CPU：4U 内存：16GB 硬盘：500GB 吞吐量峰值：3,000条/秒 入库速率：360万条/小时 4亿条在线SQL语句存储 50亿条归档SQL语句存储 专业版 最多支持6个数据库实例 CPU：8U 内存：32GB 硬盘：1000GB 吞吐量峰值：6,000条/秒 入库速率：720万条/小时 6亿条在线SQL语句存储 100亿条归档SQL语句存储 高级版 最多支持30个数据库实例 CPU：16U 内存：64GB 硬盘：2000GB 吞吐量峰值：30,000条/秒 入库速率：1080万条/小时 15亿条在线SQL语句存储 600亿条归档SQL语句存储

步骤七：查看审计结果 验证成功后，您可参照本节内容在总览界面查看审计结果信息，同时也可根据需求在报表界面进行设置生成报表、下载或预览报表。 查看总览信息。 进入总览入口，如图10所示，查看总览信息。 在总览界面，展示了该实例的审计时长、SQL语句总量、风险总量以及今日语句、今日风险、今日会话量 您可以选择“语句”或“会话”页签，分别查看SQL语句信息和会话分布图。 图10 进入总览入口 生成报表、下载或预览报表。 参照图11进入报表管理界面。 图11 进入报表管理入口 在左侧导航树中，选择“报表”。 在“选择实例”下拉列表框中，选择需要生成审计报表的实例。选择“报表管理”页签。 在需要生成报表的模板所在行的“操作”列，单击“立即生成报表”。 在弹出的对话框中，单击，设置报表的开始时间和结束时间，选择生成报表的数据库。 单击“确定”。 系统跳转到“报表结果”页面，您可以查看报表的生成进度。报表生成后，您可以“预览”或“下载”报表，如图12所示。 如果您需要在线预览报表，请使用Google Chrome或Mozilla FireFox浏览器。 图12 预览或下载报表

步骤六：验证Agent与数据库安全审计实例之间的网络通信正常 待审计的数据库与数据库安全审计实例连接成功后，您需要验证Agent与数据库安全审计实例之间的网络通信是否正常。 在安装Agent的节点执行一条SQL语句或对数据库进行操作（例如，“Select 1;”）。 在左侧导航树中，选择“总览”，进入“总览”界面。 在“选择实例”下拉列表框中，选择需要查看数据库慢SQL语句信息的实例。 选择“语句”页签。 SQL语句列表将显示登录数据库操作的记录，如图9所示。 如果不能查询到SQL语句，请您参照如何处理Agent与数据库安全审计实例之间通信异常？进行排查。 图9 查看SQL语句

步骤五：安装Agent 添加安全规则后，您需要下载Agent包并将下载的Agent安装包上传到待安装Agent的节点上进行安装。使添加的数据库连接到数据库安全审计实例，数据库安全审计才能对添加的数据库进行审计。 每个Agent都有唯一的AgentID，是Agent连接数据库安全审计实例的重要密钥。若您将添加的Agent删除，在重新添加Agent后，请重新下载Agent和安装Agent。 登录控制台进入数据库安全服务。 在左侧导航树中，选择“数据库列表”，进入数据库列表界面。 在“选择实例”下拉框中，选择需要下载Agent的数据库所属实例。 单击该数据库左侧的展开Agent的详细信息，在Agent所在行的“操作”列，单击“下载agent”，如图8所示。 将Agent安装包下载到本地。 图8 下载Agent 使用跨平台传输工具（例如WinSCP），将下载的Agent安装包“xxx.tar”上传到待安装Agent的节点（即图8中的“安装节点IP”）。 使用跨平台远程访问工具（例如PuTTY）以root用户通过SSH方式，登录该安装节点。 执行以下命令，进入Agent安装包“xxx.tar”所在目录。 cd Agent安装包所在目录 执行以下命令，解压缩“xxx.tar”安装包。 tar -xvf xxx.tar 执行以下命令，进入“install.sh”脚本所在目录。 cd install.sh脚本所在目录 执行以下命令，安装Agent。 sh install.sh 如果界面回显以下信息，说明安装成功。 1 2 3 4 5 start agent starting audit agent audit agent started start success install dbss audit agent done!

步骤四：添加安全组规则 Agent添加完成后，您需要为数据库安全审计实例所在的安全组添加入方向规则TCP协议（8000端口）和UDP协议（7000-7100端口），使Agent与审计实例之间的网络连通，数据库安全审计才能对添加的数据库进行审计。 如果该安全组已配置安装节点的入方向规则，请执行步骤五：安装Agent。 如果该安全组未配置安装节点的入方向规则，请按照本节内容进行配置。 安全组规则也可以在成功安装Agent后进行添加。 获取安装节点IP地址。 在数据库列表的上方，单击“添加安全组规则”。 在弹出的弹框中，记录数据库安全审计实例的“安全组名称”（例如default），如图5所示。 图5 添加安全组规则 单击“前往处理”，进入“安全组”界面。 在列表右上方的搜索框中输入安全组“default”后，单击或按“Enter”，列表显示“default”安全组信息。 单击“default”，进入“基本信息”页面。 选择“入方向规则”页签，单击“添加规则”，如图6所示。 图6 添加规则 在“添加入方向规则”对话框中，为安装节点IP添加TCP协议（端口为8000）和UDP协议（端口为7000-7100）规则，如图7所示。 图7 “添加入方向规则”对话框（E CS ） 单击“确定”，完成添加入方向规则。

场景说明 假设您在华为云的弹性云服务器（Elastic Cloud Server ，以下简称ECS）上自建了一个数据库，数据库的详细信息如表1所示，您需要对该数据库内部违规和不正当操作进行定位追责，满足等保测评数据库审计需求。本章节详细介绍该场景下，在数据库端安装Agent，开启数据库安全审计功能和验证审计结果的操作。 表1 ECS自建数据库信息说明 数据库类型 MySQL 数据库版本 5.7 数据库IP地址 192.168.1.5 端口 3306 操作系统 LINUX64

响应示例 { "availability_zones": [ { "availability_zone_id": "br-iaas-test1a", "type": "Edge", "mode": "dedicated", "alias": "IES_test", "public_border_group": "br-iaas-test1a", "az_group_ids": [ "br-iaas-test1a" ], "category": 21 } ] }

概述 补丁管理为用户提供管理ECS、BMS或CCE实例上补丁的能力。通过补丁管理，用户能够实现操作系统补丁合规性扫描，操作系统补丁合规性修复功能。 补丁管理当前仅支持能够访问公网的机器，可通过绑定EIP或NAT网关的方式实现，请在功能使用前确认。 在执行补丁管理操作之前，请确认执行机器所在的区域为现支持的区域，操作系统为现补丁管理支持操作系统，机器上具备补丁管理依赖的二方包并且功能无损，否则可能会导致执行失败。 补丁管理现支持操作系统以及版本号表1。 补丁管理现依赖的环境见表2。 表1 补丁管理支持操作系统及版本 操作系统 产品 Huawei Cloud EulerOS Huawei Cloud EulerOS 1.1 Huawei Cloud EulerOS 2.0 CentOS CentOS 7.2 CentOS 7.3 CentOS 7.4 CentOS 7.5 CentOS 7.6 CentOS 7.7 CentOS 7.8 CentOS 7.9 CentOS 8.0 CentOS 8.1 CentOS 8.2 EulerOS EulerOS 2.2 EulerOS 2.5 EulerOS 2.8 EulerOS 2.9 EulerOS 2.10 表2 补丁管理依赖 依赖类型 依赖项 Python环境 Python(Python2或Python3） dnf软件包(Huawei Cloud EulerOS2.0、CentOS8.0及以上版本、EulerOS2.9及以上版本依赖) yum软件包(Huawei Cloud EulerOS1.1、CentOS8.0以下版本、EulerOS2.9以下版本依赖) lsb-release软件包 软件包管理工具 rpm 父主题： 补丁管理

安全概览 登录云运维中心。 进入COC“总览”，查看查看 安全云脑 的安全评分。 图1 安全评分 单击“前往处理”。 跳转至安全云脑。 单击“重新检查”。 重新进行安全评分检测。 若您是通过创建 IAM 3.0委托，切换角色的方式访问COC总览页的安全评分模块，且委托授权时选择了COC策略授权范围为“全局服务资源”，请为该委托补充添加“SecMaster ReadOnlyAccess”-“所有资源”授权。

前提 确保准备工作已完成。 梳理网格下各个集群的网关和跨集群svc。 集群 网关 跨集群访问的服务 A a-gw 集群A 、集群B B b-gw 集群B ... ... ... 关闭mtls以及访问授权，使用如下命名查看是否存在对应资源。 kubectl get PeerAuthentication -A kubectl get AuthorizationPolicy -A kubectl get RequestAuthentication -A 查看查询到的PeerAuthentication ，若spec.mtls.mode为STRICT，则需要将STRICT改为PERMISSIVE。 查看查询到的AuthorizationPolicy， 若使用了该功能，则需要在迁移过程中暂时删除访问授权。 查看查询到的RequestAuthentication， 若使用了该功能，则需要在迁移过程中暂时删除请求认证。 允许迁移期间业务访问中断。 解除业务上使用k8s 域名 进行跨集群访问。

迁移集群 删除该集群上部署的网关。在待迁移网格详情页，网关管理页面查看待迁移集群上有几个网关路由。即“所属集群”字段是待迁移集群的全部网关。 将对应的集群移除出企业版网格。 在ASM控制台 ，创建基础版本网格，选择移除出企业版网格的集群。 在新建的网格详情页，依次单击“网格配置-sidecar管理-sidecar管理”，选择需要开启自动注入的命名空间（准备工作中步骤11中记录的命名空间），是否重启已有服务选择“是”，勾选“取消注入sidecar会重启关联的Pod，将会暂时中断您的业务”，单击“确定”。 进行服务诊断，并处理异常。 恢复istio资源，选择如下任意一个方案执行。 方案一：重新手动创建网关，并添加路由。 方案二：将准备工作中备份的该集群资源上传到集群节点，执行如下命令恢复，其中xx为备份的文件名。 kubectl create -f xx.yaml （可选）执行解除业务跨集群访问方案二 重复执行上述步骤1-7，直至所有集群迁移完毕。

前提 确保准备工作已完成。 梳理网格下各个集群的网关和跨集群svc。 集群 网关 跨集群访问的服务 A a-gw 集群A 、集群B B b-gw 集群B ... ... ... 关闭mtls以及访问授权，使用如下命名查看是否存在对应资源。 kubectl get PeerAuthentication -A kubectl get AuthorizationPolicy -A kubectl get RequestAuthentication -A 查看查询到的PeerAuthentication ，若spec.mtls.mode为STRICT，则需要将STRICT改为PERMISSIVE。 查看查询到的AuthorizationPolicy， 若使用了该功能，则需要在迁移过程中暂时删除访问授权。 查看查询到的RequestAuthentication， 若使用了该功能，则需要在迁移过程中暂时删除请求认证。 解除业务上使用k8s域名进行跨集群访问。

新建集群和网格 登录CCE 控制台，选择在当前企业版集群所在的同VPC下创建集群。 重新部署业务。 在ASM控制台，创建基础版本网格，选择步骤1新建的集群。 在新建的网格详情页，依次单击“网格配置-sidecar管理-sidecar管理”，选择需要开启自动注入的命名空间（准备工作中步骤11中记录的命名空间），是否重启已有服务选择“是”，勾选“取消注入sidecar会重启关联的Pod，将会暂时中断您的业务”，单击“确定”。 查看网格使用了几个ELB，新建同等数量和规格的ELB，重新创建网关和路由。 方案一： 在待迁移网格详情页，网关管理页面查看待迁移集群上有几个网关路由。即“所属集群”字段是待迁移集群的全部网关。 在新基础版网格上选用新建的ELB，重新创建网关和路由。 方案二： 将准备工作中备份的该集群资源上传到集群节点，执行如下命令恢复，其中xx为备份的文件名。 #查看老资源 grep -i "老ELB IP" *.yaml grep -i "老ELB ID" *.yaml grep -i "老clusterID" *.yaml grep -i "老CluseterName" *.yaml #ELB IP 替换 sed -i 's/老ELB IP/新ELB IP/g' *.yaml #ELB ID 替换 sed -i 's/老ELB ID/新ELB ID/g' *.yaml #替换clusterID sed -i 's/老clusterID/新clusterID/g' *.yaml #替换CluseterName sed -i 's/老CluseterName/新CluseterName/g' *.yaml #替换完成后查看 grep -i "新ELB IP" *.yaml grep -i "新ELB ID" *.yaml grep -i "新clusterID" *.yaml grep -i "新CluseterName" *.yaml kubectl create -f xx.yaml

解决方法 编辑istiod deployment中的环境变量spec.template.spec.containers.env.PILOT_HTTP10设置为1，为pilot配置PILOT_HTTP10环境变量即可。 istio 1.18.7-r4以及以上的网格版本需要执行下面的操作，istio1.18.7-r4之前的网格版本无需执行。 在通过kubectl edit iop编辑好您要修改的参数后，需要同时把install.istio.io/ignoreReconcile参数的值改为false，保存退出。 然后再使用kubectl get iop -n istio-system命令查看iop状态，等待STATUS字段变为HEALTHY。 最后还需要再把install.istio.io/ignoreReconcile参数的值改回true。

规避方案 在Istio 1.7及以后版本，社区通过给istio-injector注入逻辑增加一个叫HoldApplicationUntilProxyStarts的开关来解决了该问题，开关打开后，Proxy将会注入到第一个Container，istio-proxy容器先于业务容器启动。 开关配置分为全局和局部两种，下面介绍两种启用方法。 需要注意的是，打开开关后，意味着业务容器需要等Sidecar完全Ready后才能启动，会让Pod启动速度变慢一些。在需要快速扩容应对突发流量场景可能会显得吃力，所以建议您自行评估业务场景，利用局部配置的方法，只给需要的业务打开此开关。 全局配置 执行以下命令，编辑IOP CR资源。 kubectl edit iop private-data-plane -n istio-system 在spec.values.global.proxy字段下添加以下配置： holdApplicationUntilProxyStarts: true istio 1.18.7-r4以及以上的网格版本需要执行下面的操作，istio1.18.7-r4之前的网格版本无需执行。 在通过kubectl edit iop编辑好您要修改的参数后，需要同时把install.istio.io/ignoreReconcile参数的值改为false，保存退出。 然后再使用kubectl get iop -n istio-system命令查看iop状态，等待STATUS字段变为HEALTHY。 最后还需要再把install.istio.io/ignoreReconcile参数的值改回true。 执行以下命令，确认最新日志无报错。 kubectl logs -n istio-operator $(kubectl get po -n istio-operator | awk '{print $1}' | grep -v NAME) 执行以下命令，确认IOP CR是正常状态。 kubectl get iop -n istio-system 执行以下命令，滚动升级已添加到网格的服务。 kubectl rollout restart deployment nginx -n default 其中，nginx为示例服务，default为命名空间，请替换为实际取值。 执行以下命令，确认Pod重启成功。 kubectl get pod -n default | grep nginx 执行以下命令，确认Pod正常添加了postStart lifecycle，并且istio-proxy容器放在了第一个位置。 kubectl edit pod nginx-7bc96f87b9-l4dbl 局部配置 如果使用Istio 1.8及其以上的版本，可以为需要打开此开关的Pod加上proxy.istio.io/config注解，将holdApplicationUntilProxyStarts置为true。 以default命名空间下nginx服务为例，用户其他服务操作类似。 kubectl edit deploy nginx -n default 在spec.template.metadata.annotations字段下添加以下配置： proxy.istio.io/config: | holdApplicationUntilProxyStarts: true

如何为集群开放命名空间注入？ 为集群的命名空间注入sidecar时，若集群未开放命名空间注入，请参考如下指导修改集群配置： 通过kubectl连接集群。 执行kubectl get iop -nistio-system，查询iop资源。 若回显如下，表示存在iop资源，请执行3。 若回显如下，表示不存在iop资源，请执行4。 执行kubectl edit iop -nistio-system data-plane，修改autoInject配置项。其中，data-plane为上一步查询的iop资源名称，请替换为实际值。 global: defaultPodDisruptionBudget: enabled: true hub: *.*.*.*:20202/asm logging: level: default:info meshID: test-payment multiCluster: clusterName: test-yy network: test-yy-network proxy: autoInject: enabled remotePilotAddress: *.*.*.* tag: 1.8.6-r1-20220512225026 istio 1.18.7-r4以及以上的网格版本需要执行下面的操作，istio1.18.7-r4之前的网格版本无需执行。 在通过kubectl edit iop编辑好您要修改的参数后，需要同时把install.istio.io/ignoreReconcile参数的值改为false，保存退出。 然后再使用kubectl get iop -n istio-system命令查看iop状态，等待STATUS字段变为HEALTHY。 最后还需要再把install.istio.io/ignoreReconcile参数的值改回true。 执行kubectl edit cm -nistio-system istio-sidecar-injector，修改istio-sidecar-injector配置项。 data: config: |- policy: enabled 父主题： 网格管理

操作步骤 进入购买企业交换机页面。 根据界面提示，配置企业交换机的基本信息，配置参数请参见表1。 表1 参数说明 参数 参数说明 取值样例 计费模式 必选参数 支持包年/包月、按需付费两种计费方式。 购买包年/包月企业交换机时，需要一次性支付选定周期内企业交换机实例的费用。 按需计费，属于后付费。按秒计费，按小时结算，不足一小时以实际使用时长为准。 按需计费 区域 必选参数。 不同区域的云服务产品之间内网互不相通，请就近选择靠近您业务的区域，可减少网络时延，提高访问速度。 华北-北京四 主可用区 必选参数。 企业交换机实例部署采用主备模式，此处选择主节点所在的可用区。 主可用区是当前承载流量的可用区，推荐与需要通信的云服务器部署在同一个可用区，从而实现更优访问性能。 可用区1 备可用区 必选参数。 企业交换机实例部署采用主备模式，此处选择备节点所在的可用区。 备可用区用于容灾备份，建议与主可用区不同。 可用区2 规格 必选参数。 当前支持的企业交换机规格如下： 小型 最大带宽：3 Gbit/s 最大发包数：500000 pps 连接子网数：1 中型 最大带宽：5 Gbit/s 最大发包数：1000000 pps 连接子网数：3 大型 最大带宽：10 Gbit/s 最大发包数：2000000 pps 连接子网数：6 企业交换机创建完成后，不支持修改规格。 大型 虚拟私有云 必选参数。 企业交换机所属VPC。 当“隧道连接方式”选择“云专线”或者“VPN”时，此处默认选择云专线虚拟网关或VPN网关所在的VPC。 vpc-01 隧道子网 必选参数。 企业交换机所属VPC的子网，为本端隧道子网，该子网需要与远端隧道子网建立三层网络通信。 隧道子网基于云专线或者VPN实现三层网络通信，包括本端隧道子网和远端隧道子网。企业交换机需要基于隧道子网之间的三层网络，为需要互通的云上和云下子网提供二层连接通道。 subnet-01 本端隧道IP 必选参数。 此处为本端隧道IP，即云上VPC侧的隧道IP，当前支持自动分配或手动分配IP地址。 企业交换机需要和云下IDC建立VXLAN隧道实现二层网络通信，VXLAN隧道两端各需要一个隧道IP，包括本端隧道IP和远端隧道IP，两个IP地址不能冲突。 自动分配 名称 必选参数。 输入企业交换机的名称。要求如下： 长度范围为1~64位。 名称由中文、英文字母、数字、下划线（_）、中划线（-）、点（.）组成。 esw-01 描述 可选参数。 您可以根据需要在文本框中输入对该企业交换机的描述信息。 - 购买时长 包年包月场景需要选择，购买企业交换机的时长。 2个月 自动续费 选择包年包月计费模式时，可以选择开启自动续费。自动续费周期根据用户指定的购买时长确定。 按月购买：自动续费周期为一个月。 按年购买：自动续费周期为一年。 - 单击“下一步”。 在产品配置信息确认页面，再次核对企业交换机信息，确认无误后，阅读并勾选《企业交换机服务声明》，然后单击“提交”，开始创建企业交换机。 企业交换机的创建过程一般需要3~6分钟，当企业交换机的状态为“运行中”时，表示创建成功。

约束与限制 一个二层连接可以连通一对本端和远端二层连接子网，一个企业交换机最多支持建立6个二层连接，即同时连接6对二层连接子网。 基于同一个企业交换机建立二层连接时，这些二层连接可以共用隧道IP，但是隧道号不能相同，隧道号是隧道的标识。 通过二层连接连通本端二层连接子网和企业交换机时，需要占用本端二层连接子网中的两个IP地址，用作主接口IP与备接口IP。这两个IP地址不能被本端资源占用，也不能与远端二层连接子网内的其他IP地址冲突。

操作步骤 进入购买企业交换机页面。 根据界面提示，配置企业交换机的基本信息，配置参数请参见表1。 表1 参数说明 参数 参数说明 取值样例 计费模式 必选参数 支持包年/包月、按需付费两种计费方式。 购买包年/包月企业交换机时，需要一次性支付选定周期内企业交换机实例的费用。 按需计费，属于后付费。按秒计费，按小时结算，不足一小时以实际使用时长为准。 按需计费 区域 必选参数。 不同区域的云服务产品之间内网互不相通，请就近选择靠近您业务的区域，可减少网络时延，提高访问速度。 华北-北京四 主可用区 必选参数。 企业交换机实例部署采用主备模式，此处选择主节点所在的可用区。 主可用区是当前承载流量的可用区，推荐与需要通信的云服务器部署在同一个可用区，从而实现更优访问性能。 可用区1 备可用区 必选参数。 企业交换机实例部署采用主备模式，此处选择备节点所在的可用区。 备可用区用于容灾备份，建议与主可用区不同。 可用区2 规格 必选参数。 当前支持的企业交换机规格如下： 小型 最大带宽：3 Gbit/s 最大发包数：500000 pps 连接子网数：1 中型 最大带宽：5 Gbit/s 最大发包数：1000000 pps 连接子网数：3 大型 最大带宽：10 Gbit/s 最大发包数：2000000 pps 连接子网数：6 企业交换机创建完成后，不支持修改规格。 大型 虚拟私有云 必选参数。 企业交换机所属VPC。 当“隧道连接方式”选择“云专线”或者“VPN”时，此处默认选择云专线虚拟网关或VPN网关所在的VPC。 vpc-01 隧道子网 必选参数。 企业交换机所属VPC的子网，为本端隧道子网，该子网需要与远端隧道子网建立三层网络通信。 隧道子网基于云专线或者VPN实现三层网络通信，包括本端隧道子网和远端隧道子网。企业交换机需要基于隧道子网之间的三层网络，为需要互通的云上和云下子网提供二层连接通道。 subnet-01 本端隧道IP 必选参数。 此处为本端隧道IP，即云上VPC侧的隧道IP，当前支持自动分配或手动分配IP地址。 企业交换机需要和云下IDC建立VXLAN隧道实现二层网络通信，VXLAN隧道两端各需要一个隧道IP，包括本端隧道IP和远端隧道IP，两个IP地址不能冲突。 自动分配 名称 必选参数。 输入企业交换机的名称。要求如下： 长度范围为1~64位。 名称由中文、英文字母、数字、下划线（_）、中划线（-）、点（.）组成。 esw-01 描述 可选参数。 您可以根据需要在文本框中输入对该企业交换机的描述信息。 - 购买时长 包年包月场景需要选择，购买企业交换机的时长。 2个月 自动续费 选择包年包月计费模式时，可以选择开启自动续费。自动续费周期根据用户指定的购买时长确定。 按月购买：自动续费周期为一个月。 按年购买：自动续费周期为一年。 - 单击“下一步”。 在产品配置信息确认页面，再次核对企业交换机信息，确认无误后，阅读并勾选《企业交换机服务声明》，然后单击“提交”，开始创建企业交换机。 企业交换机的创建过程一般需要3~6分钟，当企业交换机的状态为“运行中”时，表示创建成功。

知识库对接OBS 表5 资源和成本规划（按需计费） 华为云服务 资源名称（默认值） 配置示例 数量 每月预估花费 虚拟私有云 VPC dify-llm-application-development-platform-demo 区域：华北-北京四 VPC网段：172.16.0.0/16 1 0.00 子网 Subnet dify-llm-application-development-platform-demo-subnet 区域：华北-北京四 子网网段：172.16.1.0/24 网关：172.16.1.1 1 0.00 安全组 SecurityGroup dify-llm-application-development-platform-demo 区域：华北-北京四 允许ping：0.0.0.0/0 开放端口22允许Cloud Shell 登录：121.36.59.153/32 开放端口80允许访问dify应用：0.0.0.0/0 开放端口80允许访问dify应用：0.0.0.0/0 1 0.00 华为云Flexus云服务器X实例 dify-llm-application-development-platform-demo 按需计费 区域：华北-北京四 规格：Flexus云服务器X实例 | 性能模式（关闭）| x1.8u.16g | 8核 | 16 GB 镜像：Ubuntu 22.04 server 64bit 系统盘：高IO | 100GB 1 467.00元 弹性公网IP EIP dify-llm-application-development-platform-demo-eip 区域：华北-北京四 计费模式：按需计费 线路：动态BGP 公网带宽：按流量计费 带宽大小：300Mbit/s 1 0.80元/GB 对象存储服务 OBS 用户自定义 区域：华北-北京四 存储空间：数据存储（多AZ存储） 默认存储类别：标准存储 桶策略：私有 请求费用：GET/PUT 0.01元/万次，DELETE 免费 存储空间：0.1390元/GB/月 流量费用： 内/公网流入流量（数据上传到OBS）：0元 内网流出流量（通过 ECS云服务器 下载OBS的数据）： 0元公网流出流量 / 00:00-08:00（闲时）：0.2500元/GB 公网流出流量 / 08:00-24:00（忙时）： 0.5000元/GB 1 详细请参考每月账单。计费说明参考价格详情 合计 - - - 683.28元 + 弹性公网IP EIP费用 + 对象存储服务OBS存储及流量费用 表6 资源和成本规划（包年包月） 华为云服务 资源名称 配置示例 数量 每月预估花费 虚拟私有云 VPC dify-llm-application-development-platform-demo 区域：华北-北京四 VPC网段：172.16.0.0/16 1 子网 Subnet dify-llm-application-development-platform-demo-subnet 区域：华北-北京四 子网网段：172.16.1.0/24 网关：172.16.1.1 1 安全组 SecurityGroup dify-llm-application-development-platform-demo 区域：华北-北京四 允许ping：0.0.0.0/0 开放端口22允许Cloud Shell 登录：121.36.59.153/32 开放端口80允许访问dify应用：0.0.0.0/0 开放端口80允许访问dify应用：0.0.0.0/0 1 华为云Flexus云服务器X实例 dify-llm-application-development-platform-demo 区域：华北-北京四 规格：Flexus云服务器X实例 | 性能模式（关闭）| x1.8u.16g | 8核 | 16 GB 镜像：Ubuntu 22.04 server 64bit 系统盘：高IO | 100GB 1 467.00元 弹性公网IP EIP dify-llm-application-development-platform-demo-eip 区域：华北-北京四 计费模式：按需计费 线路：动态BGP 公网带宽：按流量计费 带宽大小：300Mbit/s 1 0.80元/GB 对象存储服务 OBS 用户自定义 区域：华北-北京四 存储空间：数据存储（多AZ存储） 默认存储类别：标准存储 桶策略：私有 请求费用：GET/PUT 0.01元/万次，DELETE 免费 存储空间：0.1390元/GB/月 流量费用： 内/公网流入流量（数据上传到OBS）：0元 内网流出流量（通过ECS云服务器下载OBS的数据）： 0元公网流出流量 / 00:00-08:00（闲时）：0.2500元/GB 公网流出流量 / 08:00-24:00（忙时）： 0.5000元/GB 1 详细请参考每月账单。计费说明参考价格详情 合计 - - - 467.00元 + 弹性公网IP EIP费用 + 对象存储服务OBS存储及流量费用

SDK列表 在开始使用之前，请确保您安装的是最新版本的SDK。使用过时的版本可能会导致兼容性问题或无法使用最新功能。您可以在 SDK中心 查询版本信息。 表1提供了DDoS防护AAD支持的SDK列表，您可以在GitHub仓库查看SDK更新历史、获取安装包以及查看指导文档。 如果无法正常打开GitHub仓库，请检查您所使用的网络是否可以正常访问公网。由于GitHub的服务器部署在国外，国内用户访问时容易遇到无法打开的情况，请切换网络后再尝试打开。 表1 SDK列表 编程语言 Github地址 参考文档 Java huaweicloud-sdk-java-v3 Java SDK使用指导 Python huaweicloud-sdk-python-v3 Python SDK使用指导 Go huaweicloud-sdk-go-v3 Go SDK使用指导 NodeJs huaweicloud-sdk-nodejs-v3 NodeJs SDK使用指导 .NET huaweicloud-sdk-net-v3 .NET SDK使用指导 PHP huaweicloud-sdk-php-v3 PHP SDK使用指导 C++ huaweicloud-sdk-cpp-v3 C++ SDK使用指导

操作步骤 进入 路网数字化服务 页面，选择“服务信息”。记录“平台接入”下的“南向MQ TTS 接入地址”行的“域名”信息。 访问MQTT.fx下载页面，下载并安装最新版本的MQTT.fx工具。 请访问这里，填写DeviceId和DeviceSecret，生成连接信息（ClientId、Username、Password）。 打开MQTT.fx软件，单击设置图标。 填写路网数字化服务南向MQTTS接入地址，并配置鉴权参数。 参数名称 说明 Broker Address 步骤1获取到的域名信息中的ip部分，例如135.131.3.6。 Broker Port 步骤1获取到的域名信息中的端口部分，为1883。 Client ID 步骤3生成的ClientId的值。 User Name 步骤3生成的Username的值。 Password 步骤3生成的Password的值。 如果您选择安全方式接入，Broker Port设置为8883，下载并获取证书，加载Java语言pem格式的证书。 单击“Connect”，设备鉴权。

AK/SK认证 AK/SK签名认证方式仅支持消息体大小12MB以内，12MB以上的请求请使用Token认证。 AK/SK认证就是使用AK/SK对请求进行签名，在请求时将签名信息添加到消息头，从而通过身份认证。 AK（Access Key ID）：访问密钥ID。与私有访问密钥关联的唯一标识符；访问密钥ID和私有访问密钥一起使用，对请求进行加密签名。 SK（Secret Access Key）：与访问密钥ID结合使用的密钥，对请求进行加密签名，可标识发送方，并防止请求被修改。 使用AK/SK认证时，您可以基于签名算法使用AK/SK对请求进行签名，也可以使用专门的签名SDK对请求进行签名。详细的签名方法和SDK使用方法请参见API签名指南。 签名SDK只提供签名功能，与服务提供的SDK不同，使用时请注意。

Token认证 Token是服务端生成的一串字符串，作为客户端进行请求的一个令牌。第一次登录后，服务器生成一个Token并将此Token返回给客户端，以后客户端只需带上这个Token前来请求数据即可，无需再次带上用户名和密码。Token有效期是24小时，从客户端获取开始算起（24小时是相对时间），需要使用同一个Token鉴权时，建议缓存起来使用，避免频繁调用。在Token过期前，务必刷新Token或重新 获取Token ，否则Token过期后会在服务端鉴权失败。 如果您获取Token多次，以最新的为准，前面的Token会被覆盖并失效。 Token在计算机系统中代表令牌（临时）的意思，拥有Token就代表拥有某种权限。Token认证就是在调用API的时候将Token加到请求消息头，从而通过身份认证，获得操作API的权限。 Token可通过调用获取用户Token接口获取，调用本服务API需要project级别的Token，即调用获取用户Token接口时，请求body中auth.scope的取值需要选择project，如下所示。 { "auth": { "identity": { "methods": [ "password" ], "password": { "user": { "name": "username", "password": "********", "domain": { "name": "domainname" } } } }, "scope": { "project": { "name": "xxxxxxxxxxxxxxxxxxxxxx" } } } } 加粗的斜体字段需要根据实际值填写，其中username为IAM用户名，domainname为IAM用户所属账号名，********为IAM用户的登录密码，xxxxxxxxxxxxxxxxxx为IAM用户所属账号的项目名称，如“cn-north-1”，您可以参考我的凭证页面获取。 接口返回的响应消息头中“X-Subject-Token”就是需要获取的用户Token。 获取Token后，再调用其他接口时，您需要在请求消息头中添加“X-Auth-Token”，其值为获取到的Token。例如Token值为“ABCDEFG....”，则调用接口时将“X-Auth-Token: ABCDEFG....”加到请求消息头即可，如下所示。 POST https://ocv2x-api.cn-north-4.myhuaweicloud.com/v1/{project_id}/traffic-events Content-Type: application/json X-Auth-Token: ABCDEFG.... Instance-Id: xxxxxx 您还可以通过这个视频教程了解如何使用Token认证：https://bbs.huaweicloud.com/videos/101333。