华为云用户手册

节点使用建议 用于测试资源组的节点不要运行任何应用或做其他用途，可能会导致应用运行异常。 至少需要2台空节点，1台用于压测资源组的调试机（即调试执行机的节点），1台用于压测资源组的执行机（即在压测过程中能够提供自身性能数据的施压目标机器）。请根据需要压测的并发用户数，创建对应规格的节点，PerfTest测试工程的节点规格推荐请参考表1，JMeter测试工程的节点规格推荐请参考表2。 如需要压测外部服务，请为执行节点绑定弹性IP。如需要调试外部服务，请为调试节点和执行节点都绑定弹性IP。 表1 PerfTest测试工程的节点规格推荐 并发用户数 所需规格 数量 0-5000 调试节点：4U8G 1 执行节点：4U8G 1 5001-10000 调试节点：4U8G 1 执行节点：8U16G 1 10001-20000 调试节点：4U8G 1 执行节点：8U16G 2 20001-30000 调试节点：4U8G 1 执行节点：8U16G 3 30001-40000 调试节点：4U8G 1 执行节点：8U16G 4 40001-50000 调试节点：4U8G 1 执行节点：8U16G 5 50001以上 调试节点：4U8G 1 执行节点：8U16G n 说明： 每台8U16G的执行节点可支撑10000并发。 表2 JMeter测试工程的节点规格推荐 并发用户数 所需规格 数量 0-1000 调试节点：4U8G 1 执行节点：4U8G 1 1001-2000 调试节点：4U8G 1 执行节点：8U16G 1 2001-4000 调试节点：4U8G 1 执行节点：8U16G 2 4001-6000 调试节点：4U8G 1 执行节点：8U16G 3 6001-8000 调试节点：4U8G 1 执行节点：8U16G 4 8001-10000 调试节点：4U8G 1 执行节点：8U16G 5 10001以上 调试节点：4U8G 1 执行节点：8U16G n 说明： 每台8U16G的执行节点可支撑2000并发。 以上节点规格推荐是通用规格，仅供参考。实际压测时，资源规格的需求受思考时间、压测的协议类型、请求和响应的大小数量、响应时间、结果验证等因素影响，用户可根据实际情况进行调整。 压测外部服务时，执行节点需要绑定弹性IP，测试带宽受限于购买的EIP带宽。 当集群上的节点已经被部署上了应用，创建私有资源组时，该节点无法被选用。

配额限制 使用性能测试服务时，需注意以下配额限制，详情请参见表3。 表3 配额限制 参数 描述信息 默认值 单任务最大并发数 单任务最大支持并发数 1000000 实例化资源组数目配额 实例化资源组数目限制 5 事务数目配额 单工程事务数目限制 100 单事务元素数目配额 单事务元素数目限制 40 工程数目配额 租户工程数目限制 100 任务数目配额 单工程任务数目限制 200 共享资源组总并发数配额 共享资源组总并发数限制 1000 共享资源组运行任务数目配额 共享资源组运行任务数目限制 2 共享资源组运行任务时长配额 共享资源组运行任务时长限制 3600 文件变量数目配额 文件变量数目限制 100

云商店版本更新通知 华为云云商店会定期进行版本更新，对页面、功能等进行升级优化，以期给用户带来更好的使用体验。 为了方便用户及时了解版本更新的情况以及新功能的使用方法，云商店会在每次版本更新时对相关信息进行汇总通知，用户可点击下表链接进行了解。 表1 发布日期 修订记录 版本更新公告 2024-4-25 商家可以在云商店发布数据文件商品，具体接入操作请参考《发布数据文件类商品相关指南》，数据文件类商品服务监管流程请参考《数据文件类商品服务监管》。 2024年4月27日后新入驻的商家或者上架新商品，统一按照《SaaS类商品接入指南 V2.0》规范进行接口开发和调测，SaaS 2.0接口协议提供更高的安全性、可靠性、易用性。 商家可以在卖家中心设置商品支持的发票类型，当前云商店支持商家设置如下6种发票类型：增值税普通发票-数电发票、增值税普通发票-电子发票、增值税普通发票-纸质发票、增值税专用发票-数电发票、增值税专用发票-电子发票、增值税专用发票-纸质发票，具体设置方式可参考《发票类型设置》。 2024年4月版本更新公告 2024-3-28 商家和用户在云商店看到不良信息可在线进行举报处理。例如：商详页评价与问答区，如有不良信息可点击举报按钮进行填报，具体操作可参考《评价管理》《问答管理》 云商店联营SaaS商品支持按需计量：按需付费、按需套餐包2种计费方式，此2种计费方式发布的操作指导可参考《发布SaaS按需计量、用完即停套餐包操作指导》 联营商家Private Offer已上线，云商店商家可创建专属优惠，让伙伴可以在云商店自主便捷交易，并根据价值贡献获取收益，具体创建方式可参考《商家Private Offer》 2024年3月版本更新公告 2024-1-25 用户可通过云商店专属优惠私有链接下单SaaS、License类型商品，客户服务商如需为用户提供私有链接，可参考《为客户提供私有链接》 通用商品订单开票后，用户可以在卖家中心自助申请通用商品开票说明函，作为云商店订单的第三方商家发票说明，具体操作方式可参考《获取通用商品开票说明函》 云商店将在原平台服务费政策基础上，基于单商品月度累计销售额的GMV达成，减免部分平台服务费并按月结算给商家，具体政策可参考《关于华为云云商店2024年3月1日00:00（北京时间）通用商品平台服务费政策调整的通知》 2024年1月版本更新公告 2023-12-22 商家在发布镜像商品时，可以发布按核数计费的规格；也可为已发布的镜像商品新增按核数计费的规格。相关内容可参考《发布镜像类商品操作指导》 针对卖家中心商品发布需填写的各项内容，增加了字段解释说明，具体可以在卖家中心体验 当应用凭证已关联商品上架后，可以更新应用的生产接口地址、登录地址、公钥，具体操作可参考《应用凭证申请和修改》 联营用户创建OA企业数量设置上限：管理员角色上限5个，经销商角色上限50个，相关内容可参考《联营SaaS类商品使用指导》 自动部署模板支持在线测试，具体操作可参考《自动部署模板在线测试》 2023年12月版本更新公告 2023-11-24 商品上架需上传《商品交付模板》，存量商品补充交付模板可参考《如何补充商品交付模板？》 商品或规格可设置为仅支持购买过关联商品的用户购买，具体设置方式可参考《销售对象管理》 镜像类商品购买方式优化，用户可参考《镜像类商品购买与使用指导》 2023-10-30 商家可以在卖家中心查看联营商品的用户活跃度，具体查看方式可参考《联营活跃用户分析》 服务监管流程调整，最新流程可参考相关文档了解《服务监管》 2023年10月版本更新公告 2023-9-26 云商店支持商家设置开具电子发票： 商家设置可参考《发票类型设置》 卖家中心新增资产流程优化，具体操作可参考《新增资产操作指导》 2023年9月版本更新公告 2023-8-25 联营商品需填写商业规划，如未填写需补充提交：《如何提交联营商品商业规划？》 未关联商品的资产及草稿箱中的资产可以被删除：《镜像资产发布说明》、《镜像类资产关联自动部署模板》 2023年8月版本更新公告 2023-7-28 联营SaaS类商品的使用做了优化，用户可参考使用手册：《联营SaaS类商品使用指导》 商家发布镜像类资产时填写的安全组，在用户配置时会作为推荐选项：《镜像类资产发布说明》 用户不可以在硬件商品订单“发货在途”状态下申请“未收货退订”：《退订硬件类商品》 商家可以设置商品规格隐藏：《通用商品和商品规格隐藏》、《联营商品和商品规格隐藏》 2023年7月版本更新公告 2023-6-26 云商店支持发布软件包部署交付方式的License类商品，需先在资产中心新增应用资产：《发布应用资产操作指导》 商家可创建充值服务：《商家充值服务使用指南》 2023年6月版本更新公告 2023-5-30 联营License类商品接入方式2.0版本上线：《联营License类商品接入指南（2.0版本）》 联营认证流程去掉【补充商务信息】环节：《商家指南-线上联营认证》 商品规格级销售对象新增支持设置企业用户、个人用户：《销售对象管理》 2023年5月版本更新公告 2023-4-28 镜像类商品购买支持一键开通部署：《镜像类商品购买与使用指导》 2023-4-28 联营认证支持一键复制、撤回、删除草稿功能：《创建联营认证》 交易明细支持客户账号查询：《交易明细查询》 2023年4月版本更新公告 2023-4-27 新增云商店商品试用操作指导：《商品试用操作指导》 2023-3-31 买家可查看签署的协议：《如何查看已签署的协议？》 2023-2-23 联营认证流程优化：《线上联营认证》 圈层运营申请线上化：《圈层运营计划管理》 2023年2月版本更新公告 2023-2-1 卖家中心可设置销售对象限制：《销售对象管理》 人工服务类商品推出简化版商品服务流程：《人工服务类商品服务监管》 2023年1月版本更新公告 2022-12-23 退订订单、释放资源、试用转商用能力优化：《用户指南-退订资源》 2022年12月版本更新公告 2022-11 SaaS类商品购买后可升配或扩容：《用户指南-通用商品升配&扩容》 修改手动续费、自动续费、修改到期策略：《用户指南-云商店续费管理》 2022年11月版本更新公告 2022-10-31 联营线上认证功能上线：《商家指南-线上联营认证》 2022年10月版本更新公告 2022-9-23 联合营销推广基金申请入口开放：《商家指南-联合营销市场发展基金》 多sku商品发布流程优化：《商家指南-发布多SKU 定价 的商品规格》 硬件类商品物流公司选项优化：《商家指南-硬件类商品服务监管》 2022年9月版本更新公告 2022-8-26 卖家中心新增店铺装修功能：《商家指南-服务商店铺管理》 买家中心增加“我的订单”页面：《买家常见问题——如何查看订单？》 联营Kit支持联营SaaS独立 域名 ：《联营SaaS类商品接入指南-应用凭证申请》 2022年8月版本更新公告

权限说明 云原生日志采集插件中的fluent-bit组件会根据用户的采集配置，读取各节点上容器标准输出、容器内文件日志以及节点日志并采集。 fluent-bit组件运行需要以下权限： CAP_DAC_OVERRIDE：忽略文件的 DAC 访问限制。 CAP_FOWNER：忽略文件属主 ID 必须和进程用户 ID 相匹配的限制。 DAC_READ_SEARCH：忽略文件读及目录搜索的 DAC 访问限制。 SYS_PTRACE：允许跟踪任何进程。

安装插件 登录CCE控制台，单击集群名称进入集群，在左侧导航栏中选择“插件中心”，在右侧找到云原生日志采集插件，单击“安装”。 在安装插件页面，设置“规格配置”。 表1 插件规格配置 参数 参数说明 插件规格 该插件可配置“小规格”、“大规格”或“自定义”规格。 实例数 选择上方插件规格后，显示插件中的实例数。 选择“自定义”规格时，您可根据需求调整插件实例数。 实例数为1时插件不具备高可用能力，当插件实例所在节点异常时可能导致插件功能无法正常使用，请谨慎选择。 容器 log-agent插件包含以下容器，您可根据需求自定义调整规格： fluent-bit：日志收集器，以DaemonSet形式安装在每个节点。 cop-logs：负责采集侧配置文件生成及更新的组件。 log-operator：负责解析及更新日志规则的组件。 otel-collector：负责集中式日志转发的组件，将fluent-bit收集的日志转发到LTS。 设置插件实例的“调度策略”。 调度策略对于DaemonSet类型的插件实例不会生效。 表2 插件调度配置 参数 参数说明 多可用区部署 优先模式：优先将插件的Deployment实例调度到不同可用区的节点上，如集群下节点不满足多可用区，插件实例将调度到单可用区。 强制模式：插件Deployment实例强制调度到不同可用区的节点上，如集群下节点不满足多可用区，插件实例将无法全部运行。 完成以上配置后，单击“安装”。

版本记录 表5 云原生日志采集插件版本记录 插件版本 支持的集群版本 更新特性 1.4.5 v1.21 v1.23 v1.25 v1.27 v1.28 修复部分问题 1.4.2 v1.21 v1.23 v1.25 v1.27 v1.28 支持v1.28集群 支持本地集群日志采集 支持GPU事件上报 AOM 字段特殊处理 1.3.6 v1.17 v1.19 v1.21 v1.23 v1.25 v1.27 - 1.3.4 v1.17 v1.19 v1.21 v1.23 v1.25 v1.27 支持v1.27集群 默认不再上报标准输出和Kubernetes事件到 云日志 服务(LTS) 1.3.2 v1.17 v1.19 v1.21 v1.23 v1.25 支持Kubernetes事件上报至AOM 1.3.0 v1.17 v1.19 v1.21 v1.23 v1.25 支持v1.25集群 1.2.3 v1.17 v1.19 v1.21 v1.23 - 1.2.2 v1.17 v1.19 v1.21 v1.23 log-agent是基于开源fluent-bit和opentelemetry构建的云原生日志采集插件。log-agent支持基于CRD的日志采集策略，可以根据您配置的策略规则，对集群中的容器标准输出日志、容器文件日志、节点日志及K8s事件日志进行采集与转发。

插件使用说明 该插件支持采集容器标准输出日志、容器文件日志、节点日志及K8s事件日志。您可以选择使用云日志服务（LTS）或 应用运维管理 服务（AOM）存储日志，但二者支持的日志类型存在差异，详情请参见表4。 表4 日志存储位置说明 日志存储位置 支持的日志类型 使用说明 LTS 容器标准输出日志 容器文件日志 节点日志 Kubernetes事件 请前往日志中心创建策略，具体配置方法请参见通过云原生日志采集插件采集容器日志。 AOM Kubernetes事件 当集群版本为1.19.16、1.21.11、1.23.9或1.25.4及以上时，默认上报所有异常事件和部分正常事件，具体配置方法请参见Kubernetes事件上报应用运维管理（AOM）。

组件说明 表3 log-agent组件 容器组件 说明 资源类型 fluent-bit 轻量级的日志收集器和转发器，部署在每个节点上采集日志。 DaemonSet cop-logs 负责生成采集文件的软链接，和fluent-bit运行在同一Pod。 DaemonSet log-operator 负责生成内部的配置文件。 Deployment otel-collector 负责收集来自不同应用程序和服务的日志数据，集中后上报至LTS。 Deployment

插件性能规格 性能项 说明 备注 单条日志大小 单条日志不得超过512k，多行日志采集则每行日志单独计算长度。 不涉及 最大采集文件数 单个节点所有日志采集规则监听的文件数不超过4095个文件。 不涉及 日志采集速率 插件低于1.5.0版本，每个集群限制单行日志采集速率不超过10000条/秒，多行日志不超过2000条/秒。 插件为1.5.0及以上版本，单节点限制日志采集速率不超过20000条/s、10MB/s。 超过限制尽可能提供服务，不保证服务质量。 配置更新 配置更新生效的延时约1-3分钟。 不涉及

插件简介 云原生日志采集插件（log-agent）是基于开源fluent-bit和opentelemetry构建的云原生日志、K8s事件采集插件。log-agent支持基于CRD的日志采集策略，可以根据您配置的策略规则，对集群中的容器标准输出日志、容器文件日志、节点日志及K8s事件日志进行采集与转发。同时支持上报K8s事件到AOM，用于配置事件告警，默认上报所有异常事件和部分正常事件。 自1.3.2版本起，云原生日志采集插件默认会将上报所有Warning级别事件以及部分Normal级别事件到应用运维管理（AOM），上报的事件可用于配置告警。当集群版本为1.19.16、1.21.11、1.23.9或1.25.4及以上时，安装云原生日志采集插件后，事件上报AOM将不再由控制面组件上报，改为由云原生日志采集插件上报，卸载插件后将不再上报事件到AOM。

规则详情 表1 规则详情 参数 说明 规则名称 required-tag-check 规则展示名 资源具有指定的标签 规则描述 指定一个标签，不具有此标签的资源，视为“不合规”。 标签 tag 规则触发方式 配置变更 规则评估的资源类型 支持标签的云服务和资源类型 规则参数 specifiedTagKey：指定的标签键，字符串类型。 specifiedTagValue：指定的标签值列表，如果列表为空，表示允许所有值，数组类型，最多包含10个元素。

适用于弹性负载均衡（ELB）的最佳实践 该示例模板中对应的合规规则的说明和修复项指导如下表所示： 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 说明指导 规则描述 修复项指导 elb-loadbalancers-no-public-ip ELB资源不具有公网IP elb 确保弹性负载均衡（ELB）无法公网访问，管理对华为云中资源的访问。 ELB资源具有公网IP，视为“不合规” 用户可以解除不合规资源的公网绑定。 elb-predefined-security-policy-https-check ELB监听器配置指定预定义安全策略 elb 对于银行，金融类加密传输的应用 ，在创建和配置HTTPS监听器时，您可以选择使用安全策略，可以提高您的业务安全性。安全策略包含TLS协议版本和配套的加密算法套件。 独享型负载均衡器关联的HTTPS协议类型监听器未配置指定的预定义安全策略，视为“不合规“ 独享型负载均衡支持选择默认安全策略或创建自定义策略。您可以为HTTPS监听器选择指定的预定义安全策略。 elb-tls-https-listeners-only ELB监听器配置HTTPS监听协议 elb 确保弹性负载均衡的监听器均已配置HTTPS监听协议。HTTPS协议适用于需要加密传输的应用。由于可能存在敏感数据，因此启用传输中加密有助于保护该数据。 负载均衡器的任一监听器未配置HTTPS监听协议，视为“不合规” 您可以添加一个HTTPS监听转发来自HTTPS协议的请求。独享型负载均衡前端协议为“HTTPS”时，后端协议可以选择“HTTP”或“HTTPS”。共享型负载均衡前端协议为“HTTPS”时，后端协议默认为“HTTP”，且不支持修改。如果您的独享型负载均衡实例类型为网络型（TCP/UDP），则无法创建HTTPS监听器。 父主题： 合规规则包示例模板

适用于日志和监控的最佳实践 该示例模板中对应的合规规则的说明和修复项指导如下表所示： 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 说明指导 规则描述 修复项指导 alarm-action-enabled-check 启用了 CES 告警操作 ces 确保启用了CES告警操作,用户对云服务的核心监控指标设置告警规则，当监控指标触发用户设置的告警条件时, 云监控服务 使用 消息通知 服务向用户通知告警信息。 CES告警操作未启用，视为“不合规” 您需要在消息通知服务界面创建一个主题并为这个主题添加相关的订阅者，然后在添加告警规则的时候，您需要开启消息通知服务并选择创建的主题，这样在云服务发生异常时， 云监控 服务可以实时的将告警信息以广播的方式通知这些订阅者。 apig-instances-execution-logging-enabled APIG专享版实例配置访问日志 apig 确保为APIG专享版实例配置访问日志。APIG支持日志自定义分析模板，便于日志的统一收集和管理，也可通过API异常调用分析进行追查和溯源。 APIG专享版实例未配置访问日志，视为“不合规” 可以在API网关控制台选择启动日志记录 as-group-elb-healthcheck-required 弹性伸缩组使用弹性负载均衡健康检查 as 根据ELB对云服务器的健康检查结果进行的检查，健康检查会将异常的实例从伸缩组中移除。这条规则确保与负载均衡器关联的伸缩组使用了弹性负载均衡健康检查。 与负载均衡器关联的伸缩组未使用弹性负载均衡健康检查，视为“不合规” 如果您将多个负载均衡器添加到伸缩组，则只有在所有负载均衡器均检测到云服务器状态为正常的情况下，才会认为该弹性云服务器正常。否则只要有一个负载均衡器检测到云服务器状态异常，伸缩组会将该弹性云服务器移出伸缩组。 cts-kms-encrypted-check CTS 追踪器通过KMS进行加密 cts 确保 云审计 服务（CTS）的追踪器已配置KMS加密存储用于归档的审计事件。 CTS追踪器未通过KMS进行加密，视为“不合规” 建议您配置独立OBS桶并配置KMS加密存储专门用于归档审计事件。 cts-lts-enable CTS追踪器启用事件分析 cts 确保使用云日志服务（LTS）集中收集云审计服务（CTS）的数据。 CTS追踪器未启用事件分析，视为“不合规” 开通云审计日志后，系统会自动创建一个名为system的管理事件追踪器，并将当前租户的所有操作记录在该追踪器中。在追踪器中配置CTS转储到LTS，配置完成后会在LTS自动创建日志组日志流 cts-obs-bucket-track CTS追踪器追踪指定的OBS桶 cts 由于CTS只支持查询7天的审计事件，为了您事后审计、查询、分析等要求，启用CTS追踪器请配置OBS服务桶。 账号下的所有CTS追踪器未追踪指定的OBS桶，视为“不合规” 云审计服务管理控制台支持配置已开启的追踪器的OBS桶、LTS转储和配置已创建的追踪器关键事件操作通知。 cts-support-validate-check CTS追踪器打开事件文件校验 cts 在安全和事故调查中，通常由于事件文件被删除或者被私下篡改，而导致操作记录的真实性受到影响，无法对调查提供有效真实的依据。事件文件完整性校验功能旨在帮助您确保事件文件的真实性。 CTS追踪器未打开事件文件校验，视为“不合规” 在配置转储页面打开“文件校验”开关，即可开启事件文件完整性校验功能。 cts-tracker-exists 创建并启用CTS追踪器 cts 云审计服务支持创建数据类事件追踪器，用于记录数据操作日志。数据类追踪器用于记录数据事件，即针对租户对OBS桶中的数据的操作日志，例如上传、下载等。 账号未创建CTS追踪器，视为“不合规” 可进入云审计服务页面，导航栏选择“追踪器”，单击“创建追踪器”，根据提示操作。 dws-enable-log-dump DWS集群启用日志转储 dws GaussDB (DWS) 记录您的数据库中的连接和用户活动相关信息。这些审计日志信息有助于您监控数据库以确保安全或进行故障排除或定位历史操作记录。当前这些审计日志默认存储于数据库中，您可以将审计日志转储到OBS中使负责监控数据库中活动的用户更方便的查看这些日志信息。 DWS集群未启用日志转储，视为“不合规” GaussDB(DWS) 集群创建成功后，您可以为集群开启审计日志转储，将审计日志转储到OBS中，方便查看。 function-graph-concurrency-check 函数工作流 的函数并发数在指定范围内 fgs FunctionGraph会根据实际的请求情况自动弹性伸缩函数实例，并发变高时，会分配更多的函数实例来处理请求，并发减少时，相应的实例也会变少。此规则可确保建立函数工作流（FunctionGraph）的并发上限和下限。 FunctionGraph函数并发数不在指定的范围内，视为“不合规” 对于不合规的实例，在函数详情页可以修改函数并发数的值。 multi-region-cts-tracker-exists 在指定区域创建并启用CTS追踪器 cts 云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时，系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域，通过在指定区域开通云审计服务，可以将应用程序的设计更贴近特定客户的需求，或满足特定地区的法律或其他要求。数据追踪器会记录当前区域租户对OBS桶中的数据操作的详细信息。 账号未在指定region列表创建CTS追踪器，视为“不合规” 您可以进入指定区域云审计服务页面，导航栏选择“追踪器”，单击“创建追踪器”，根据提示操作。 rds-instance-logging-enabled RDS实例配备日志 rds 确保rds资源配备了访问日志。配置访问日志后，RDS实例新生成的日志记录会上传到云日志服务（Log Tank Service，简称LTS）进行管理。 未配备任何日志的RDS资源，视为“不合规” 您可以为不合规的RDS资源配置访问日志。方式为：登录RDS管理控制台，选择日志配置管理，选择为一个或多个实例配置访问日志。 vpc-flow-logs-enabled VPC启用流日志 vpc VPC流日志功能可以记录虚拟私有云中的流量信息，帮助您检查和优化安全组和网络ACL控制规则、监控网络流量、进行网络攻击分析等。 检查是否为VPC启用了流日志，如果该VPC未启用流日志，视为“不合规” 您可以为不合规的VPC资源开启流日志记录，方式为：创建日志组、日志流之后，进入VPC流日志列表页面创建VPC流日志，按照提示配置参数。 父主题： 合规规则包示例模板

操作步骤 登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击页面左侧的“高级查询”，进入“高级查询”页面。 “高级查询”页面默认展示预设查询列表，您可以选择“自定义查询”页签，查看自定义查询列表。 在查询列表中可以查看查询的名称和描述等信息。 单击需要查看的查询名称，进入查询概览页。 可以查看查询的具体SQL语句。 图1 查看查询详情

操作步骤 登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击页面左侧的“资源聚合器”，在下拉列表中选择“聚合器”，进入“聚合器”页面。 在资源聚合器列表中选择需要删除的聚合器，单击“操作”列的“删除”按钮。 在资源聚合器详情页中的右上角单击“删除”按钮，也可以进行删除操作。 在弹出的确认框中单击“确定”，完成资源聚合器的删除。 图1 删除资源聚合器

适用于管理与监管服务的最佳实践 该示例模板中对应的合规规则的说明和修复项指导如下表所示： 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 说明指导 规则描述 修复项指导 alarm-action-enabled-check 启用了CES告警操作 ces 确保启用了CES告警操作,用户对云服务的核心监控指标设置告警规则，当监控指标触发用户设置的告警条件时,云监控服务使用消息通知服务向用户通知告警信息。 CES告警操作未启用，视为“不合规” 您需要在消息通知服务界面创建一个主题并为这个主题添加相关的订阅者，然后在添加告警规则的时候，您需要开启消息通知服务并选择创建的主题，这样在云服务发生异常时，云监控服务可以实时的将告警信息以广播的方式通知这些订阅者。 alarm-kms-disable-or-delete-key CES配置监控KMS禁用或计划删除的事件监控告警 ces，kms 事件监控提供了事件类型数据上报、查询和告警的功能。方便您将业务中的各类重要事件或对云资源的操作事件收集到云监控服务，并在事件发生时进行告警。事件即云监控服务保存并监控的云服务资源的关键操作。您可以通过“事件”了解到谁在什么时间对系统哪些资源做了什么操作。CES事件监控可以支持密钥管理服务(KMS)的相关事件，包含禁用密钥和计划删除密钥等。 CES未配置监控KMS禁用或计划删除密钥的事件监控告警，视为“不合规” 用户可以在事件监控中创建告警规则，选择对应的监控对象，配置告警内容参数。 alarm-obs-bucket-policy-change CES配置监控OBS桶策略变更的事件监控告警 ces，obs 事件监控提供了事件类型数据上报、查询和告警的功能。方便您将业务中的各类重要事件或对云资源的操作事件收集到云监控服务，并在事件发生时进行告警。事件即云监控服务保存并监控的云服务资源的关键操作。您可以通过“事件”了解到谁在什么时间对系统哪些资源做了什么操作。CES事件监控可以支持 对象存储服务 (OBS)的相关事件，包含设置桶的策略和删除桶policy配置等。 CES未配置监控OBS桶策略变更的事件监控告警，视为“不合规” 用户可以在事件监控中创建告警规则，选择对应的监控对象，配置告警内容参数。 alarm-vpc-change CES配置监控VPC变更的事件监控告警 ces，vpc 事件监控提供了事件类型数据上报、查询和告警的功能。方便您将业务中的各类重要事件或对云资源的操作事件收集到云监控服务，并在事件发生时进行告警。事件即云监控服务保存并监控的云服务资源的关键操作。您可以通过“事件”了解到谁在什么时间对系统哪些资源做了什么操作。CES事件监控可以支持弹性公网IP和带宽的相关事件，包含删除VPC和修改VPC等。 CES未配置监控VPC变更的事件监控告警，视为“不合规” 用户可以在事件监控中创建告警规则，选择对应的监控对象，配置告警内容参数。 cts-kms-encrypted-check CTS追踪器通过KMS进行加密 cts 确保云审计服务（CTS）的追踪器已配置KMS加密存储用于归档的审计事件。 CTS追踪器未通过KMS进行加密，视为“不合规” 建议您配置独立OBS桶并配置KMS加密存储专门用于归档审计事件。 cts-lts-enable CTS追踪器启用事件分析 cts 确保使用云日志服务（LTS）集中收集云审计服务（CTS）的数据。 CTS追踪器未启用事件分析，视为“不合规” 开通云审计日志后，系统会自动创建一个名为system的管理事件追踪器，并将当前租户的所有操作记录在该追踪器中。在追踪器中配置CTS转储到LTS，配置完成后会在LTS自动创建日志组日志流 cts-support-validate-check CTS追踪器打开事件文件校验 cts 在安全和事故调查中，通常由于事件文件被删除或者被私下篡改，而导致操作记录的真实性受到影响，无法对调查提供有效真实的依据。事件文件完整性校验功能旨在帮助您确保事件文件的真实性。 CTS追踪器未打开事件文件校验，视为“不合规” 在配置转储页面打开“文件校验”开关，即可开启事件文件完整性校验功能。 cts-tracker-exists 创建并启用CTS追踪器 cts 云审计服务支持创建数据类事件追踪器，用于记录数据操作日志。数据类追踪器用于记录数据事件，即针对租户对OBS桶中的数据的操作日志，例如上传、下载等。 账号未创建CTS追踪器，视为“不合规” 可进入云审计服务页面，导航栏选择“追踪器”，单击“创建追踪器”，根据提示操作。 tracker-config-enabled-check 账号开启资源记录器 config 资源记录器为您提供面向资源的配置记录监控能力，您必须先开启资源记录器，然后才可以配置并使用资源记录器来跟踪云平台上的资源变更情况。 如果账号未开启资源记录器，视为“不合规” 用户可以进入Config页面，打开资源记录器开关，根据提示选择相关配置，单击保存。 父主题： 合规规则包示例模板

适用于空闲资产管理的最佳实践 该示例模板中对应的合规规则的说明和修复项指导如下表所示： 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 说明指导 规则描述 修复项指导 cce-cluster-end-of-maintenance-version CCE集群版本为处于维护的版本 cce 确保CCE集群版本为处于维护中的版本。 CCE集群版本为停止维护的版本，视为“不合规” 为了保证您的服务权益，建议尽快升级到最新的商用版本。集群升级流程包括升级前检查、备份、升级和升级后验证几个步骤，具体操作流程可见CCE服务说明文档的升级概述。 eip-unbound-check 弹性公网IP未进行任何绑定 vpc 弹性公网IP（EIP）提供独立的公网IP资源，包括公网IP地址与公网出口带宽服务。可以与弹性云服务器、裸金属服务器、虚拟IP、弹性负载均衡、NAT网关等资源灵活地绑定及解绑。此规则确保弹性公网IP未闲置。 弹性公网IP未进行任何绑定，视为“不合规” 用户可以通过申请弹性公网IP并将弹性公网IP绑定到特定的资源上。 eip-use-in-specified-days EIP在指定天数内绑定到资源实例 eip 弹性公网IP（EIP）提供独立的公网IP资源，包括公网IP地址与公网出口带宽服务。可以与弹性云服务器、裸金属服务器、虚拟IP、弹性负载均衡、NAT网关等资源灵活地绑定及解绑。此规则确保弹性公网IP未闲置。 EIP创建指定天数内未使用，视为“不合规” 用户可以通过申请弹性公网IP并将弹性公网IP绑定到特定的资源上。 evs-use-in-specified-days 云硬盘创建后在指定天数内绑定资源实例 evs 云硬盘可以挂载至云服务器，用作提供系统盘和数据盘。此规则可以确保云硬盘（EVS）未闲置。 EVS创建指定天数内未使用，视为“不合规” 对非合规的EVS资源，用户可以在云硬盘页面或在弹性云服务器页面，将其挂载到云服务器上。 iam-group-has-users-check IAM 用户组添加了IAM用户 iam 管理员创建用户组并授权后，将用户加入用户组中，使用户具备用户组的权限，实现用户的授权。给已授权的用户组中添加或者移除用户，快速实现用户的权限变更。确保IAM组至少有一个用户，帮助您将最小权限和职责分离的原则与访问权限和授权结合起来。 IAM用户组未添加任意IAM用户，视为“不合规” 管理员在用户组列表中，单击新建的用户组，选择“用户组管理”，在“可选用户”中选择需要添加至用户组中的用户。 iam-user-last-login-check IAM用户在指定时间内有登录行为 iam 管理员创建IAM用户后，这个新建的IAM用户可以登录华为云。避免IAM用户资源闲置。 IAM用户在指定时间范围内无登录行为，视为“不合规” 您可以在华为云登录页面或者打开IAM用户专属链接，输入用户名和密码的方式登录IAM用户。 stopped-ecs-date-diff 关机状态的E CS 未进行任意操作的时间检查 ecs 启用此规则可根据您组织的标准检查华为云ecs实例的停止时间是否超过允许的天数，确保弹性云服务器（ECS）未闲置。 关机状态的ECS未进行任意操作的时间超过了允许的天数，视为“不合规” 包年/包月资源一次性付费，到期自动停止使用。其他计费模式下关机后仍然计费。如需停止计费，请删除实例。 volume-unused-check 云硬盘闲置检测 evs 云硬盘可以挂载至云服务器，用作提供系统盘和数据盘。此规则可以确保云硬盘（EVS）未闲置。 云硬盘未挂载给任何云服务器，视为“不合规” 对非合规的EVS资源，用户可以在云硬盘页面或在弹性云服务器页面，将其挂载到云服务器上。 vpc-acl-unused-check 未与子网关联的网络ACL vpc 网络ACL是一个子网级别的可选安全层，通过与子网关联的出方向/入方向规则控制出入子网的网络流量。此规则可确保现存网络ACL均与子网关联，实现对子网的防护。 检查是否存在未使用的网络ACL,如果网络ACL没有与子网关联，视为“不合规” 您可以将网络ACL关联至VPC子网，为子网内的资源提供安全防护。 父主题： 合规规则包示例模板

适用于弹性伸缩（AS）的最佳实践 该示例模板中对应的合规规则的说明和修复项指导如下表所示： 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 说明指导 规则描述 修复项指导 as-capacity-rebalancing 弹性伸缩组均衡扩容 as EQUILIBRIUM_DISTRIBUTE（默认）：均衡分布，虚拟机扩缩容时优先保证available_zones列表中各AZ下虚拟机数量均衡，当无法在目标AZ下完成虚拟机扩容时，按照PICK_FIRST原则选择其他可用AZ。 弹性伸缩组扩缩容时，没有使用‘EQUILIBRIUM_DISTRIBUTE’优先级策略，视为“不合规” 用户可以将伸缩组扩缩容时目标AZ选择的优先级策略设置为EQUILIBRIUM_DISTRIBUTE。 as-group-elb-healthcheck-required 弹性伸缩组使用弹性负载均衡健康检查 as 根据ELB对云服务器的健康检查结果进行的检查，健康检查会将异常的实例从伸缩组中移除。这条规则确保与负载均衡器关联的伸缩组使用了弹性负载均衡健康检查。 与负载均衡器关联的伸缩组未使用弹性负载均衡健康检查，视为“不合规” 如果您将多个负载均衡器添加到伸缩组，则只有在所有负载均衡器均检测到云服务器状态为正常的情况下，才会认为该弹性云服务器正常。否则只要有一个负载均衡器检测到云服务器状态异常，伸缩组会将该弹性云服务器移出伸缩组。 as-multiple-az 弹性伸缩组启用多AZ部署 as 一个AZ是一个或多个物理数据中心的集合，有独立的风火水电，AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连，以满足用户跨AZ构建高可用性系统的需求。 弹性伸缩组没有启用多AZ部署，视为“不合规” 华为云已在全球多个地域开放云服务，您可以根据需求选择适合自己的区域和可用区。 父主题： 合规规则包示例模板

接受授权 当资源聚合器需要聚合您账号中的资源数据时，您会在“待授权”页签收到聚合器账号发送的授权请求，确认授权后，资源聚合器才可以聚合您账号中的资源数据。 登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击页面左侧的“资源聚合器”，在下拉列表中选择“授权”，进入“授权”页面。 选择“待授权”页签，在列表中选择待处理的授权请求，单击操作列的“授权”。 在弹出的确认框中单击“确定”，完成授权。 接受授权请求后，此授权记录将在“已授权”列表中显示。 图2 接受授权

删除授权 如需取消对某个资源聚合器账号的授权，您可以删除授权。 登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击页面左侧的“资源聚合器”，在下拉列表中选择“授权”，进入“授权”页面。 选择“已授权”页签，在列表中选择待删除的授权请求，单击操作列的“删除”。 在弹出的确认框中单击“确定”，此授权记录将移至“待授权”列表，授权状态变为“待授权”。 此时聚合器账号已无权聚合您账号中的资源数据，如需再次授权，您可以在“待授权”页签中单击此授权记录操作列的“授权”并确认，聚合器账号将再次获得您的授权。 图3 删除授权 如需彻底删除此授权记录，需在“待授权”列表中的操作列单击“删除”并确认，此授权记录彻底删除。 在“待授权”列表中删除授权请求后，如需再次授权，请重新向聚合器账号授权，具体请参见添加授权。

添加授权 您可以通过“添加授权”功能向聚合器账号授权，授权完成后，资源聚合器聚合您账号中的资源数据时，无需再次向您发送授权请求，即可聚合您账号中的资源数据。 登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击页面左侧的“资源聚合器”，在下拉列表中选择“授权”，进入“授权”页面。 单击页面右上角的“添加授权”。 在弹出的“添加授权”页面中，输入要添加授权的聚合器账号ID。 图1 添加授权 单击“确定”，完成授权。 授权完成后，“已授权”列表中将显示此授权记录。

适用于云审计服务（CTS）的最佳实践 该示例模板中对应的合规规则的说明和修复项指导如下表所示： 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 说明指导 规则描述 修复项指导 cts-kms-encrypted-check CTS追踪器通过KMS进行加密 cts 确保云审计服务（CTS）的追踪器已配置KMS加密存储用于归档的审计事件。 CTS追踪器未通过KMS进行加密，视为“不合规” 建议您配置独立OBS桶并配置KMS加密存储专门用于归档审计事件。 cts-lts-enable CTS追踪器启用事件分析 cts 确保使用云日志服务（LTS）集中收集云审计服务（CTS）的数据。 CTS追踪器未启用事件分析，视为“不合规” 开通云审计日志后，系统会自动创建一个名为system的管理事件追踪器，并将当前租户的所有操作记录在该追踪器中。在追踪器中配置CTS转储到LTS，配置完成后会在LTS自动创建日志组日志流 cts-support-validate-check CTS追踪器打开事件文件校验 cts 在安全和事故调查中，通常由于事件文件被删除或者被私下篡改，而导致操作记录的真实性受到影响，无法对调查提供有效真实的依据。事件文件完整性校验功能旨在帮助您确保事件文件的真实性。 CTS追踪器未打开事件文件校验，视为“不合规” 在配置转储页面打开“文件校验”开关，即可开启事件文件完整性校验功能。 cts-tracker-exists 创建并启用CTS追踪器 cts 云审计服务支持创建数据类事件追踪器，用于记录数据操作日志。数据类追踪器用于记录数据事件，即针对租户对OBS桶中的数据的操作日志，例如上传、下载等。 账号未创建CTS追踪器，视为“不合规” 可进入云审计服务页面，导航栏选择“追踪器”，单击“创建追踪器”，根据提示操作。 父主题： 合规规则包示例模板

适用于云监控服务（CES）的最佳实践 该示例模板中对应的合规规则的说明和修复项指导如下表所示： 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 说明指导 规则描述 修复项指导 alarm-action-enabled-check 启用了CES告警操作 ces 确保启用了CES告警操作,用户对云服务的核心监控指标设置告警规则，当监控指标触发用户设置的告警条件时,云监控服务使用消息通知服务向用户通知告警信息。 CES告警操作未启用，视为“不合规” 您需要在消息通知服务界面创建一个主题并为这个主题添加相关的订阅者，然后在添加告警规则的时候，您需要开启消息通知服务并选择创建的主题，这样在云服务发生异常时，云监控服务可以实时的将告警信息以广播的方式通知这些订阅者。 alarm-kms-disable-or-delete-key CES配置监控KMS禁用或计划删除的事件监控告警 ces，kms 事件监控提供了事件类型数据上报、查询和告警的功能。方便您将业务中的各类重要事件或对云资源的操作事件收集到云监控服务，并在事件发生时进行告警。事件即云监控服务保存并监控的云服务资源的关键操作。您可以通过“事件”了解到谁在什么时间对系统哪些资源做了什么操作。CES事件监控可以支持密钥管理服务(KMS)的相关事件，包含禁用密钥和计划删除密钥等。 CES未配置监控KMS禁用或计划删除密钥的事件监控告警，视为“不合规” 用户可以在事件监控中创建告警规则，选择对应的监控对象，配置告警内容参数。 alarm-obs-bucket-policy-change CES配置监控OBS桶策略变更的事件监控告警 ces，obs 事件监控提供了事件类型数据上报、查询和告警的功能。方便您将业务中的各类重要事件或对云资源的操作事件收集到云监控服务，并在事件发生时进行告警。事件即云监控服务保存并监控的云服务资源的关键操作。您可以通过“事件”了解到谁在什么时间对系统哪些资源做了什么操作。CES事件监控可以支持对象存储服务(OBS)的相关事件，包含设置桶的策略和删除桶policy配置等。 CES未配置监控OBS桶策略变更的事件监控告警，视为“不合规” 用户可以在事件监控中创建告警规则，选择对应的监控对象，配置告警内容参数。 alarm-vpc-change CES配置监控VPC变更的事件监控告警 ces，vpc 事件监控提供了事件类型数据上报、查询和告警的功能。方便您将业务中的各类重要事件或对云资源的操作事件收集到云监控服务，并在事件发生时进行告警。事件即云监控服务保存并监控的云服务资源的关键操作。您可以通过“事件”了解到谁在什么时间对系统哪些资源做了什么操作。CES事件监控可以支持弹性公网IP和带宽的相关事件，包含删除VPC和修改VPC等。 CES未配置监控VPC变更的事件监控告警，视为“不合规” 用户可以在事件监控中创建告警规则，选择对应的监控对象，配置告警内容参数。 父主题： 合规规则包示例模板

操作步骤 登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击页面左侧的“资源聚合器”，在下拉列表中选择“规则”，进入“规则”页面。 在页面左上角选择需要查看的资源聚合器，列表中将展示此聚合器聚合的全部合规性数据。 在列表中单击需要查看的规则名称，即可查看此合规规则的详细信息。 在页面上方的搜索框中可使用规则名称、合规评估结果和账号ID，进一步对聚合的合规性数据进行筛选。 图1 查看聚合的合规规则

操作场景 您可以在规则列表中查看资源聚合器聚合的全部合规性数据。该列表可帮助您筛选不同资源聚合器聚合的合规性数据，且支持通过规则名称、合规评估结果和账号ID进一步筛选，还可以查看每个合规规则的详情。 查看组织资源聚合器聚合的合规性数据依赖于组织服务的相关授权项，您需要具有如下权限： organizations:organizations:get organizations:delegatedAdministrators:list organizations:trustedServices:list

操作步骤 登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击页面左侧的“资源聚合器”，在下拉列表中选择“聚合器”，进入“聚合器”页面。 在资源聚合器列表中选择需要修改的聚合器，单击“操作”列的“编辑”按钮。 在资源聚合器详情页中的右上角单击“编辑”按钮，也可以跳转至“编辑聚合器”页面进行修改操作。 图1 修改资源聚合器 进入“编辑聚合器”页面，修改聚合器名称和源账号。 修改完成后，单击“确定”。

操作场景 资源聚合器创建完成后，您可以根据需要随时修改账号类型资源聚合器的名称和源账号，组织类型的资源聚合器仅支持修改聚合器名称。 如下步骤以修改账号类型的聚合器为例进行说明。 修改组织类型的资源聚合器依赖于组织服务的相关授权项，您需要具有如下权限： organizations:organizations:get organizations:accounts:list organizations:delegatedAdministrators:list organizations:trustedServices:enable organizations:trustedServices:list

规则详情 表1 规则详情 参数 说明 规则名称 resource-tag-key-prefix-suffix 规则展示名 资源具有指定前后缀的标签键 规则描述 指定标签键的前缀和后缀，资源不具有任意匹配前后缀的标签键，视为“不合规”。 标签 tag 规则触发方式 配置变更 规则评估的资源类型 支持标签的云服务和资源类型 规则参数 tagKeyPrefix：允许的标签键前缀，空字符串表示全部允许。 tagKeySuffix：允许的标签键后缀，空字符串表示全部允许。

操作步骤 登录KooMap服务控制台，进入控制台页面。 在左侧导航栏中选择“工作共享空间管理”，查找并单击您创建的实景三维工作共享空间名称，进入工作共享空间界面。 图1 进入工作共享空间 选择“实景三维概览”页签，单击，进入创建任务界面。 参考表1填写任务和空三基本信息。 图2 填写任务信息 表1 任务基本信息 任务项 功能概述 任务名称 必填项，依据界面提示填写任务名称。 建模类型 必选项，选择建模类型。 纹理模型实景三维：对多视角影像进行分布式并行处理，生成带纹理的三维Mesh模型数据。支持影像畸变较正，纹理贴图、纹理图匀光匀色，降低影像畸变对精度的影响以及数据采集光照差异造成的色彩不均匀的问题。 显式辐射场实景三维：支持照片级重建，空间测量，真实还原多视角光影效果，显著提升模型真实感。支持业界主流渲染引擎的实时渲染，无额外适配成本。 空三精度设置 必选项，选择空三精度设置等级。更高的精度设置有助于获得更准确的相机位置估计，较低的精度设置可用于在较短的时间内获得相机位置的粗略估计。 Highest：表示设置精度为最高。 High：表示设置精度为高。 Medium：表示设置精度为中。 Low：表示设置精度为低。 Lowest：表示设置精度为最低。 默认值：High。 空三关键节点数量 必填项，依据实际填写实景三维生产任务的关键节点数量。 只允许输入数字，取值范围为：1000~1000000 默认值：无。 空三连接点数量 必填项，依据实际填写实景三维生产任务的连接点数量。连接点是指两张或者多张照片中投影于同一地面点的像素。 只允许输入数字，取值范围为：100~100000 默认值：无。 重建质量 必选项，依据实际选择实景三维任务的重建质量级别。级别越高，质量越好。 高：表示设置重建质量为高。 中：表示设置重建质量为中。 低：表示设置重建质量为低。 默认值：高。 任务描述 必填项，请依照界面提示输入内容。 单击“下一步”，进入处理数据操作。 选择任务类型。 依照实际需求选择任务类型（无控建模、有控建模），各任务类型对应的处理项目请参考表2。 表2 任务类型项目列表 任务类型 功能概述 无控建模 实景三维建模过程中不需要进行人工刺点操作。 有控建模 实景三维建模过程中需要选择生产资料，需在处理实景三维建模任务完成刺点编辑。 选择坐标系。选择导入的影像坐标系，当前仅支持：WGS84-UTM。 选择待选数据。根据需要选择待处理的实景三维倾斜影像。 确认无误后单击“确定”，任务创建成功。您可在实景三维概览页面查看新建的建模任务。 鼠标悬停在卡片中的任务名称处，可查看该任务相关信息。 图3 任务创建成功

操作步骤 登录KooMap服务控制台，进入控制台页面。 在左侧导航栏中选择“工作共享空间管理”，查找并单击您创建的数据处理工作共享空间名称，进入工作共享空间界面。 图1 进入工作共享空间 选择“卫星影像概览”页签，单击，进入创建任务界面。 填写任务基本信息。 可自定义任务名称，任务描述处输入任务相关补充信息。 图2 填写任务信息 单击“下一步”，进入数据选择界面。 选择处理等级。 依照实际需求选择处理等级（可选：L2、L3、L4、L5），各处理等级对应的处理项目请参考表1。 表1 处理等级处理项目列表 处理等级 功能概述 色彩增强与粗纠正L2处理 对原始卫星数据进行色彩增强与几何粗纠正处理，输出L2级的成果数据。可实现几何接边误差小于100像素。 色彩增强与精纠正L3处理 对原始卫星数据进行色彩增强与几何精纠正处理，输出L3级的成果数据。可实现几何接边误差小于10像素。 正射纠正L4处理 对原始卫星数据进行色彩增强与正射纠正处理，输出L4级的成果数据。可实现几何接边误差小于2像素。 影像镶嵌L5处理 在正射纠正L4级数据的基础上执行影像匀色、镶嵌处理，输出L5级成果数据，并支持矢量边界裁切、瓦片金字塔形式的成果输出。 当处理等级为“L3”、“L4”、“L5”时，才有“生产资料”选项。当处理等级为“L3”时，“生产资料”为必选项，其他等级则为非必选项。若勾选了“生产资料”选项，页面下方会有生产资料数据可供选择。 当处理等级为“L5”，才有“金字塔切割”和“矢量切割”选项，若勾选了“矢量切割”，页面最下方会有矢量数据可供选择。 图3 选择处理等级 选择坐标系。选择导入的影像坐标系，可选项有：WGS84、WGS84-UTM、国家2000、国家2000-GaussKruger。 当您使用“WGS84-UTM”时，可在右侧框选择具体的UTM带号。 图4 选择坐标系-1 当您使用“国家2000-GaussKruger”时，需在右侧框选择CGCS2000坐标系对应的EPSG Code。 图5 选择坐标系-2 选择数据类型并勾选相应数据。 选择卫星影像。 选择卫星影像文件须遵守如下规则： 只处理多光谱影像：拍摄卫星只有多光谱相机（GF1-WFV或GF6-WFV），且必须选择卫星型号和传感器型号一致的影像。 处理多光谱和全色一一对应影像：必须选择卫星型号一致的影像，且多光谱和全色影像文件数量一致。 图6 选择卫星影像数据 （可选）选择生产资料。 当处理等级为“L3”、“L4”、“L5”时，才有“生产资料”选项，您可依据实际情况进行选择。其中当处理等级为L3时，“生产资料”为必选项，其余等级为非必选项。 图7 选择生产资料 （可选）选择矢量数据。 当处理等级为“L5”且勾选了“矢量切割”选项时，数据类型选择“矢量数据”，页面最下方呈现可供选择的矢量数据，您可依据实际情况进行选择。 图8 选择矢量数据 单击“下一步”，核对成果影像的信息，包括名称、别名（不可与已有别名重复）与描述。 图9 确认成果影像信息 确认无误后单击“确定”，任务创建成功。您可在“卫星影像概览”页面查看新建的任务。 图10 任务创建成功