华为云用户手册

  • 查看用量统计 用量统计主要是对时空专属存储以及实景三维生产服务的用量统计,您可以查看时空专属存储或影像建模的用量统计。 时空专属存储用量:包括用户上传的数据、数据生产过程中产生的中间数据以及实景三维模型成果数据的存储总量。 用户上传的数据:倾斜摄影影像(航空飞机影像和无人机影像)、生产资料、精修后处理任务的输入数据(精修前后的obj数据)。 数据生产过程产生的中间数据:空三、显式辐射场阶段产生的数据。 实景三维成果数据:纹理Mesh实景三维模型和显式辐射场实景三维模型的osgb、obj格式的文件。 实景三维生产服务影像建模用量:统计成功建模的倾斜摄影影像的像素点数量、成功处理的次数。 实景三维生产服务基础版:支持纹理模型实景三维。 实景三维生产服务专业版:支持显式辐射场实景三维。 用量统计仅做参考,实际情况以账单为准。 登录KooMap服务控制台,进入控制台页面。 在左侧导航栏选择“实景三维”下的“用量统计”菜单,然后在右侧单击“我的存储”页签,查看时空专属存储用量。 图1 时空专属存储用量统计 在左侧导航栏选择“实景三维”下的“用量统计”菜单,然后在右侧单击“实景三维生产服务”页签,查看已处理影像像素量、成功处理的次数。 图2 实景三维生产服务用量统计 父主题: 实景三维操作指导
  • 操作步骤 登录KooMap服务控制台,进入控制台页面。 在左侧导航栏中选择“工作共享空间管理”,查找并单击您创建的实景三维工作共享空间名称,进入工作共享空间界面。 图1 进入工作共享空间 选择“实景三维概览”页签,单击,进入创建任务界面。 参考表1填写任务和空三基本信息。 图2 填写任务信息 表1 任务基本信息 任务项 功能概述 任务名称 必填项,依据界面提示填写任务名称。 建模类型 必选项,选择建模类型。 纹理模型实景三维:对多视角影像进行分布式并行处理,生成带纹理的三维Mesh模型数据。支持影像畸变较正,纹理贴图、纹理图匀光匀色,降低影像畸变对精度的影响以及数据采集光照差异造成的色彩不均匀的问题。 显式辐射场实景三维:支持照片级重建,空间测量,真实还原多视角光影效果,显著提升模型真实感。支持业界主流渲染引擎的实时渲染,无额外适配成本。 空三精度设置 必选项,选择空三精度设置等级。更高的精度设置有助于获得更准确的相机位置估计,较低的精度设置可用于在较短的时间内获得相机位置的粗略估计。 Highest:表示设置精度为最高。 High:表示设置精度为高。 Medium:表示设置精度为中。 Low:表示设置精度为低。 Lowest:表示设置精度为最低。 默认值:High。 空三关键节点数量 必填项,依据实际填写实景三维生产任务的关键节点数量。 只允许输入数字,取值范围为:1000~1000000 默认值:无。 空三连接点数量 必填项,依据实际填写实景三维生产任务的连接点数量。连接点是指两张或者多张照片中投影于同一地面点的像素。 只允许输入数字,取值范围为:100~100000 默认值:无。 重建质量 必选项,依据实际选择实景三维任务的重建质量级别。级别越高,质量越好。 高:表示设置重建质量为高。 中:表示设置重建质量为中。 低:表示设置重建质量为低。 默认值:高。 任务描述 必填项,请依照界面提示输入内容。 单击“下一步”,进入处理数据操作。 选择任务类型。 依照实际需求选择任务类型(无控建模、有控建模),各任务类型对应的处理项目请参考表2。 表2 任务类型项目列表 任务类型 功能概述 无控建模 实景三维建模过程中不需要进行人工刺点操作。 有控建模 实景三维建模过程中需要选择生产资料,需在处理实景三维建模任务完成刺点编辑。 选择坐标系。选择导入的影像坐标系,当前仅支持:WGS84-UTM。 选择待选数据。根据需要选择待处理的实景三维倾斜影像。 确认无误后单击“确定”,任务创建成功。您可在实景三维概览页面查看新建的建模任务。 鼠标悬停在卡片中的任务名称处,可查看该任务相关信息。 图3 任务创建成功
  • (可选)导入生产资料 创建实景三维建模任务时,如“任务类型”选择“有控建模”才需要导入生产资料。 登录KooMap服务控制台,进入控制台页面。 在左侧导航栏选择“实景三维”下的“数据管理”菜单,在右侧的“生产资料”页签中单击“导入生产资料”。 在“导入生产资料”弹窗中,参考表3填写待导入生产资料文件的信息。 表3 导入生产资料文件说明 序号 参数名称 参数说明 1 导入方式 必选项,仅支持从本地上传生产资料。 说明: 支持文件格式为.txt文件,应仅含有一个文件,且文件大小应小于60MB。 2 上传文件 必选项,单击“选择文件”,依照系统提示上传本地生产资料文件。 3 生产资料别名 必填项,依照系统提示输入生产资料别名,不可与已有别名重复。 4 生产资料描述 选填项,主要描述导入生产资料文件的补充信息,输入要求请查看界面提示。 单击“确定”,导入生产资料文件。导入成功后,生产资料会在列表显示。 图2 导入生产资料
  • 导入倾斜影像 倾斜摄影影像数据是无人机或航空飞机拍摄的框幅式影像,采集方式为倾斜摄影(非贴近或绕拍方式),影像格式支持.jpg、.jpeg、.JPG或.JPEG格式,单张影像的像素总数不超过2.5亿,总影像张数建议不超过30万张。 存放在OBS的倾斜摄影的影像数据需包含5个文件夹,分别存放无人机或航空飞机拍摄的前视图、后视图、左视图、右视图以及俯视图影像。 登录KooMap服务控制台,进入控制台页面。 在左侧导航栏,选择“实景三维”下的“数据管理”菜单,然后在右侧页面单击“倾斜影像”页签。 单击“导入影像”,进入“导入影像文件”页面。参考表1配置影像文件信息。 表1 导入倾斜影像参数说明 参数名称 参数说明 OBS Endpoint 必填项,输入OBS桶所在区域的终端节点,可参考查看桶信息获取。 影像目录地址 必填项,输入上传到OBS桶的原始影像文件所在的文件夹路径(可直接进入OBS控制台复制OBS的文件路径),不可与已有地址重复。 目录地址格式为:obs://桶名/影像文件所在的文件夹路径。 示例:obs://obstest-ea7e/path 影像名称 无需手动输入,导入的影像名称须为全英文,系统会根据您导入的影像自动识别名称。 影像别名 必填项,依照界面提示输入影像的别名,不可与已有别名重复。 影像描述 选填项,主要描述导入影像的补充信息。 编辑源数据文件。 拖拽右侧长方形方框至左侧对应视图区域,直至完成所有视图匹配。 (可选)您可根据实际需求单击各个视图下方的编辑相机参数,参数包括相机名称、相机类型(只支持填写Frame)、焦距、X方向光心偏移、Y方向光心偏移以及畸变参数,参数说明见表2。 相机参数用于实景三维建模,使得建模后的成果数据更加符合您的实际需求。 图1 编辑源数据文件 表2 相机参数说明 参数 说明 备注 相机名称 必填项。 输入拍摄影像的相机名,且拍摄各视图的相机名称不可重复。 - 相机类型 必填项。 输入拍摄影像的相机类型,目前只支持“Frame”。 - 焦距(focus) 可填项。 输入相机焦距。 数据范围:[1, 1000000] - X方向光心偏移 可填项。 输入X方向光心偏移量。 数据范围:[1, 8192] 光心偏移是指光学中心与机械中心的偏移量。 Y方向光心偏移 可填项。 输入Y方向光心偏移量。 数据范围:[1, 8192] 畸变参数(k1) 可填项。 输入径向畸变参数k1。 数据范围:[-100, 100] 径向畸变参数是指图像中心与边缘的比例失真。 畸变参数(k2) 可填项。 输入径向畸变参数k2。 数据范围:[-100, 100] 畸变参数(k3) 可填项。 输入径向畸变参数k3。 数据范围:[-100, 100] 畸变参数(k4) 可填项。 输入径向畸变参数k4。 数据范围:[-100, 100] 畸变参数(p1) 可填项。 输入切向畸变参数p1。 数据范围:[-100, 100] 切向畸变参数是指图像中心与边缘的图像失真。畸变参数越小,图像失真越小,图像质量越高。 畸变参数(p2) 可填项。 输入切向畸变系数p2。 数据范围:[-100, 100] 畸变参数(b1) 可填项。 输入像平面畸变参数b1。 数据范围:[-100, 100] - 畸变参数(b2) 可填项。 输入像平面畸变参数b2。 数据范围:[-100, 100] - 单击,将影像文件添加到列表中。 单击“导入”,导入单个影像文件。 您还可以删除、编辑影像文件。 删除:从列表中删除影像文件。 编辑:重新设置影像文件信息。编辑完成后单击“保存”,可覆盖原始影像文件记录。 查看导入结果。 选择“实景三维”下的“数据管理”菜单,然后单击“倾斜影像”页签,查看该倾斜影像导入情况。影像导入过程中,“处理状态”为“处理中”,导入成功后,“处理状态”变更为“完成”。
  • 查看用量统计 用量统计主要是对时空专属存储以及卫星影像生产服务的用量统计,您可以查看时空专属存储或各等级处理任务的用量统计。 时空专属存储:统计导入的原始卫星影像、矢量数据、生产资料和成果影像存储总量。 卫星影像生产服务用量:统计L2、L3、L4、L5等级处理的成果影像存储用量、处理成功的次数。 用量统计仅供参考,实际情况请以账单为准。 登录KooMap服务控制台,进入控制台页面。 在左侧导航栏选择“卫星影像”下的“用量统计”菜单,然后在右侧单击“我的存储”页签,查看时空专属存储用量。 图1 时空专属存储用量统计 在左侧导航栏选择“卫星影像”下的“用量统计”菜单,然后在右侧单击“卫星影像生产服务”页签,查看所有处理等级的成果影像存储用量、成功处理的次数。 图2 卫星影像生产服务用量统计 父主题: 卫星影像操作指导
  • 操作步骤 登录KooMap服务控制台,进入控制台页面。 在左侧导航栏选择“工作共享空间管理”,然后在右侧页面单击工作共享空间名称。 单击“卫星影像概览”页签,进入卫星影像概览页。 图1 卫星影像概览页 在卫星影像概览页,您可参考表1操作任务。 表1 操作任务与操作步骤 操作 操作步骤 适用任务的状态 查询任务 方式一:单击页面左上角任务状态统计环,下方显示对应状态的全部任务。 所有状态(包括未运行、失败、执行中、停止中、等待中、执行成功、停止成功、已归档) 方式二:设置过滤条件查询任务。 在右上角设置任务名称、创建任务时间区间以及任务状态作为过滤条件。 单击或按回车键,界面显示符合过滤条件的全部任务。 说明: 当选择“运行态”或“成功”状态时,可选状态分别如下: 运行态:可选择“停止中”、“等待中”和“执行中”。 成功:可选择“停止成功”和“执行成功”。 启动/重启任务 单击任务卡片中的启动数据处理任务。 说明: 处理时长依赖您选择的待处理数据大小、数量、复杂度、处理等级等因素,耗时可能比较久,请您耐心等待。 未运行、停止成功、失败 停止任务 单击任务卡片中的停止数据处理任务。 执行中、等待中 归档任务 单击任务卡片中的归档任务。 执行成功 解除归档任务 单击任务卡片中的解除归档任务。 已归档 查看成果数据 单击任务卡片中的“查看成果数据”。 跳转到“卫星影像”下的“数据管理”页面。 查看成果数据。 说明: 创建任务时,如果“处理等级”选择“L5”且勾选“金字塔切割”或“矢量切割”,“卫星影像”页面中的“影像等级”列分别用或标识。 执行成功 删除任务 单击任务卡片右上角 。 单击“确定”,完成任务的删除。 失败、未运行、执行成功、停止成功
  • 操作步骤 登录KooMap服务控制台,进入控制台页面。 在左侧导航栏中选择“工作共享空间管理”,查找并单击您创建的数据处理工作共享空间名称,进入工作共享空间界面。 图1 进入工作共享空间 选择“卫星影像概览”页签,单击,进入创建任务界面。 填写任务基本信息。 可自定义任务名称,任务描述处输入任务相关补充信息。 图2 填写任务信息 单击“下一步”,进入数据选择界面。 选择处理等级。 依照实际需求选择处理等级(可选:L2、L3、L4、L5),各处理等级对应的处理项目请参考表1。 表1 处理等级处理项目列表 处理等级 功能概述 色彩增强与粗纠正L2处理 对原始卫星数据进行色彩增强与几何粗纠正处理,输出L2级的成果数据。可实现几何接边误差小于100像素。 色彩增强与精纠正L3处理 对原始卫星数据进行色彩增强与几何精纠正处理,输出L3级的成果数据。可实现几何接边误差小于10像素。 正射纠正L4处理 对原始卫星数据进行色彩增强与正射纠正处理,输出L4级的成果数据。可实现几何接边误差小于2像素。 影像镶嵌L5处理 在正射纠正L4级数据的基础上执行影像匀色、镶嵌处理,输出L5级成果数据,并支持矢量边界裁切、瓦片金字塔形式的成果输出。 当处理等级为“L3”、“L4”、“L5”时,才有“生产资料”选项。当处理等级为“L3”时,“生产资料”为必选项,其他等级则为非必选项。若勾选了“生产资料”选项,页面下方会有生产资料数据可供选择。 当处理等级为“L5”,才有“金字塔切割”和“矢量切割”选项,若勾选了“矢量切割”,页面最下方会有矢量数据可供选择。 图3 选择处理等级 选择坐标系。选择导入的影像坐标系,可选项有:WGS84、WGS84-UTM、国家2000、国家2000-GaussKruger。 当您使用“WGS84-UTM”时,可在右侧框选择具体的UTM带号。 图4 选择坐标系-1 当您使用“国家2000-GaussKruger”时,需在右侧框选择CG CS 2000坐标系对应的EPSG Code。 图5 选择坐标系-2 选择数据类型并勾选相应数据。 选择卫星影像。 选择卫星影像文件须遵守如下规则: 只处理多光谱影像:拍摄卫星只有多光谱相机(GF1-WFV或GF6-WFV),且必须选择卫星型号和传感器型号一致的影像。 处理多光谱和全色一一对应影像:必须选择卫星型号一致的影像,且多光谱和全色影像文件数量一致。 图6 选择卫星影像数据 (可选)选择生产资料。 当处理等级为“L3”、“L4”、“L5”时,才有“生产资料”选项,您可依据实际情况进行选择。其中当处理等级为L3时,“生产资料”为必选项,其余等级为非必选项。 图7 选择生产资料 (可选)选择矢量数据。 当处理等级为“L5”且勾选了“矢量切割”选项时,数据类型选择“矢量数据”,页面最下方呈现可供选择的矢量数据,您可依据实际情况进行选择。 图8 选择矢量数据 单击“下一步”,核对成果影像的信息,包括名称、别名(不可与已有别名重复)与描述。 图9 确认成果影像信息 确认无误后单击“确定”,任务创建成功。您可在“卫星影像概览”页面查看新建的任务。 图10 任务创建成功
  • (可选)导入生产资料 登录KooMap服务控制台,进入控制台页面。 在左侧导航栏选择“卫星影像”下的“数据管理”菜单,然后在右侧页面单击“生产资料”页签。 单击“导入生产资料”,出现“导入生产资料文件”弹窗。 填写或选择导入生产资料文件的信息,包括导入方式、上传文件、生产资料别名、生产资料描述(相关说明可参考下表4)。 表4 导入生产资料文件说明 序号 参数名称 参数说明 1 导入方式 必选项,仅支持从本地上传生产资料(小于60MB)。 2 上传文件 必选项,单击“选择文件”,依照系统提示上传本地生产资料文件。 3 生产资料别名 必填项,依照系统提示输入生产资料别名,不可与已有别名重复。 4 生产资料描述 选填项,主要描述导入生产资料文件的补充信息,输入要求请查看界面提示。 单击“确定”,导入生产资料文件。导入成功后,“运行状态”变更为“加密完成”。 图7 导入生产资料
  • 导入卫星影像 登录KooMap服务控制台,进入控制台页面。 在左侧导航栏,选择“卫星影像”下的“数据管理”菜单,然后在右侧页面单击“影像数据”页签。 添加影像文件。 单击“导入影像”,您可选择如下任一方式添加影像文件到列表中。 单个添加:参考表1配置影像文件信息,单击,将影像文件添加到“已添加的影像文件”列表中。如果需导入多个目录地址的影像文件,请您分别配置影像文件信息,并单击添加到列表中。 图1 设置影像文件信息 批量添加:单击页面右上角的“下载模板”,依照模板提示或参考表1配置影像文件信息,再单击“上传Excel”批量添加影像文件。 表1 导入影像参数说明 参数名称 参数说明 OBS Endpoint 必填项,输入OBS桶所在区域的终端节点,可参考查看桶信息获取。 影像目录地址 必填项,输入上传到OBS桶的原始影像文件所在的文件夹路径(可直接进入OBS控制台复制OBS的文件路径),不可与已有地址重复。 目录地址格式为:obs://桶名/影像文件所在的文件夹路径。 示例:obs://obstest-ea7e/path 影像名称 无需手动输入,系统会根据您导入的影像自动识别名称。 影像别名 必填项,依照界面提示输入影像的别名,不可与已有别名重复。 影像描述 选填项,主要描述导入影像的补充信息。 图2 已添加的影像文件 导入影像文件。 单个导入:在“已添加的影像文件”列表中单击操作列的“导入”,导入单个影像文件。 您还可以执行删除、编辑、重试操作。 删除:从列表中删除影像文件。 编辑:重新设置影像文件信息。该影像文件会从当前列表中删除,编辑完成后可再次添加到“已添加的影像文件”列表中。 重试:导入失败,排查原因并修改后,重新导入影像文件。 批量导入:单击页面最下方的“开始批量导入”按钮,批量导入“已添加的影像文件”列表中的影像文件。 在“已添加的影像文件”列表中,如果该影像文件处理结果提示“文件名校验失败”,请单击操作列或页面右上角的“命名辅助工具”,参考表2配置参数,根据生成的文件夹和文件名称修改OBS桶内文件夹与文件名称,并重新执行1~4。 表2 命名辅助工具参数说明 参数 说明 卫星名 必填项,输入卫星名,卫星名前缀不能为GF1、GF2、GF6、GF7、JL1、TRIPLESAT、BJ3、SV1、SV2、ZY1、ZY3、SJ9A、PHR1A、PHR1B、WV01、WV02、TH01,仅支持输入字母和数字,不能超过100个字符。 传感器名 必选项,选择传感器名称。目前仅支持如下传感器名称: MSS PAN 成像日期 必选项,设置卫星影像的成像日期。 中心经度 必填项,输入卫星影像中心经度。E/W开头(不区分大小写),经度保留一位小数,如E23.0。 中心纬度 必填项,输入卫星影像中心纬度。N/S开头(不区分大小写),纬度保留一位小数,如N23.0。 等级 必选项,选择卫星影像等级,目前仅支持“L1”等级。 文件夹名称 系统依照上面设置的信息,自动拼接文件夹名称。单击可复制文件夹名称。 文件夹 展示文件夹中的目录文件。您可以根据生成的结果去修改本地影像文件夹与文件名称。 说明: 文件夹名称与文件名称须保持一致。 文件夹内必须包含 .tif/.tiff、.rpc/.rpb、.xml三种后缀名的文件。 查看导入结果。 导入后,在左侧导航栏选择“卫星影像”下的“数据管理”菜单,然后在右侧页面单击“影像数据”页签,可查看该影像文件导入情况,导入过程中“运行状态”为“迁入中”,导入成功后,“运行状态”变更为“完成”。 图3 导入卫星影像
  • (可选)导入矢量数据 登录KooMap服务控制台,进入控制台页面。 在左侧导航栏选择“卫星影像”下的“数据管理”菜单,然后在右侧页面单击“矢量数据”页签。 单击“导入矢量”,出现“导入矢量文件”弹窗。 填写或选择导入矢量文件的信息,相关说明可参考下表3。 表3 导入矢量参数说明 序号 参数名称 参数说明 1 导入方式 必选项,选择矢量文件的导入方式,选项如下: 矢量文件地址导入(小于2GB) 说明: 支持的文件格式有:.dbf、.shp、.shx、.prj、.sbn、.sbx、.cpg、.qpj、.xml、.qmd,至少应含有.dbf、.prj、.shp、.shx四个文件。文件大小之和应小于2GB,请上传文件名相同的文件。 本地矢量文件上传(小于60MB) 说明: 支持的文件格式有:.dbf、.shp、.shx、.prj、.sbn、.sbx、.cpg、.qpj、.xml、.qmd,至少应含有.dbf、.prj、.shp、.shx四个文件。文件大小之和应小于60MB,请上传文件名相同的文件。 2 OBS Endpoint 必填项,当导入方式选择“矢量文件地址导入”显示该项参数。输入OBS桶所在区域的终端节点,可参考查看桶信息获取。 3 矢量目录地址 必填项,当导入方式选择“矢量文件地址导入(小于2GB)”时才显示该参数。 获取方式:进入OBS管理控制台复制矢量文件所在的文件夹路径。 目录地址格式为:obs://桶名/矢量文件所在的文件夹路径。 示例:obs://obstest-ea7e/path 4 上传文件 必填项,当导入方式选择“本地矢量文件上传(小于60MB)”时才显示该参数,单击“选择文件”上传本地矢量文件。 5 矢量别名 必填项,根据界面提示输入矢量别名,且不能与系统已有别名重复。 6 矢量描述 选填项,主要描述导入矢量文件的补充信息,输入要求请查看界面提示。 图4 矢量文件地址导入 图5 上传本地矢量文件 单击“确定”,导入矢量数据。 导入后,选择“卫星影像”下的“数据管理”菜单,然后单击“矢量数据”页签,查看该矢量数据导入情况。导入过程中“运行状态”为“迁入中”,导入成功后,“运行状态”变更为“完成”。 图6 导入矢量数据
  • 概述 云地图服务 (KooMap)是一款使能数字孪生的地图服务。它汇聚了地图数据和应用生态,沉淀行业资产,打造开放平台,提供了时空数据处理、分析、可视等一站式开箱即用的时空信息服务,驱动着行业转型和创新。 云地图 服务主要由以下几个子服务组成: 卫星影像生产服务:对原始的遥感光学卫星影像进行专业处理,生成各个行业应用可使用的成果影像数据。 实景三维生产服务:利用三维重建技术,将现实采集场景快速还原为三维世界,生成支撑各行业应用数据的数字底座。 AR地图生产服务:对外业采集的图像数据进行加工处理,通过三维场景重建等自动化处理步骤,生成AR地图成果数据,供AR地图运行服务使用。 通过该手册您可以了解KooMap各子服务的基本操作流程,帮助您轻松使用本服务。
  • 如何在含有多张人脸的图片中实现多 人脸识别 当前 人脸识别服务 中,如果传入的图片中包含多个人脸,则只能选取最大的一个人脸进行识别。但是我们可以使用如下方法,实现一张图片中多张人脸的识别(比对/搜索): 调用人脸检测接口,可以得到多张人脸在图片中的像素位置。 通过获取到的人脸位置信息,从原图中将人脸图片截出,可以参考多人脸识别Demo。 再调用人脸识别接口,实现多人脸的比对/搜索。 父主题: 产品咨询类
  • 什么是区域、可用区 我们用区域和可用区来描述数据中心的位置,您可以在特定的区域、可用区创建资源。 区域(Region):从地理位置和网络时延维度划分,同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region,通用Region指面向公共租户提供通用云服务的Region;专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region。 可用区(AZ,Availability Zone):一个AZ是一个或多个物理数据中心的集合,有独立的风火水电,AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连,以满足用户跨AZ构建高可用性系统的需求。 图1阐明了区域和可用区之间的关系。 图1 区域和可用区 目前,华为云已在全球多个地域开放云服务,您可以根据需求选择适合自己的区域和可用区。
  • 如何选择区域 选择区域时,您需要考虑以下几个因素: 地理位置 一般情况下,建议就近选择靠近您或者您的目标用户的区域,这样可以减少网络时延,提高访问速度。不过,在基础设施、BGP网络品质、资源的操作与配置等方面,中国大陆各个区域间区别不大,如果您或者您的目标用户在中国大陆,可以不用考虑不同区域造成的网络时延问题。 在除中国大陆以外的亚太地区有业务的用户,可以选择“中国-香港”、“亚太-曼谷”或“亚太-新加坡”区域。 在非洲地区有业务的用户,可以选择“南非-约翰内斯堡”区域。 在欧洲地区有业务的用户,可以选择“欧洲-巴黎”区域。 云服务之间的关系 如果多个云服务一起搭配使用,需要注意: 不同区域的弹性云服务器、关系型数据库、 对象存储服务 内网不互通。 不同区域的弹性云服务器不支持跨区域部署在同一负载均衡器下。 资源的价格 不同区域的资源价格可能有差异,请参见华为云服务价格详情。
  • 华为云提供的内网 DNS地址 是多少? 内网DNS是华为云云解析服务提供的专门用于在VPC内使用的DNS,主要负责: 处理内网 域名 以及其他云服务域名(如OBS)的解析请求。 代理其他公网域名的解析请求。 华为云的内网DNS与公共DNS(114.114.114.114)相比,有以下优势: 可以解析基于VPC创建的内网域名。 可以访问华为云服务内部地址,例如OBS, SMN 等。 可以使ECS不用绑定EIP访问公网域名解析记录。 华为云提供的内网DNS地址如表1所示。 建议ECS所在VPC子网的“DNS服务器地址”配置为各区域的内网DNS地址,详细内容请参见怎样切换内网DNS?。 各区域的内网DNS地址如表1所示。 如果“DNS服务器地址”配置为其他外部DNS,则ECS对华为云云服务的访问会解析到公网IP,可能产生额外的公网流量费用。 当ECS访问第三方互联网域名时,华为云内网DNS承担递归DNS角色,由域名的权威DNS返回最终解析结果。解析结果是否可靠或者最优,依赖第三方域名权威DNS等不可控因素。建议ECS尽量访问云服务的内网域名。 表1 内网DNS地址 区域 内网DNS地址 华北-北京一 100.125.1.250 100.125.21.250 华北-北京四 100.125.1.250 100.125.129.250 华北-乌兰察布一 100.125.1.250 100.125.107.250 西南-贵阳一 100.125.1.250 100.125.129.250 华南-广州 100.125.1.250 100.125.136.29 华东-上海一 100.125.1.250 100.125.64.250 华东-上海二 100.125.17.29 100.125.135.29 华南-广州-友好用户环境 100.125.0.167 中国-香港 100.125.1.250 100.125.3.250 亚太-曼谷 100.125.1.250 100.125.1.251 亚太-新加坡 100.125.1.250 100.125.128.250 亚太-雅加达 100.125.2.250 100.125.2.251 非洲-约翰内斯堡 100.125.1.250 100.125.1.14 土耳其-伊斯坦布尔 100.125.2.250 100.125.2.251 拉美-圣地亚哥 100.125.1.250 100.125.0.250 拉美-圣保罗一 100.125.1.22 100.125.1.90 拉美-墨西哥城一 100.125.1.22 100.125.1.90 拉美-墨西哥城二 100.125.1.250 100.125.1.242 中东-利雅得 100.125.250.249 100.125.250.250 华北-北京金融二 (金融专区) 100.125.0.80 华东专区-上海金融一 (金融专区) 100.125.12.250 100.125.10.50 父主题: 产品咨询类
  • 事件响应流程 识别身份凭证是否受损或泄露。 如果您收到如下提示信息,您需要排查并识别您的身份凭证是否受损或泄露: 来自华为云服务(例如,华为 云证书管理服务 CCM、 安全云脑 SecMaster、 云审计 服务 CTS 等)、外部监控系统的告警或指标; 来自承包商或第三方服务提供商的提示信息; 通过内部或外部安全研究人员排查信息; 内部系统信息; 匿名举报信息; 其他途径的信息。例如,攻击者通过被泄露的凭证,窃取您的数据,并修改您面向公众的资源时。 确认已针对该事件提交工单或案例。如果没有,请手动提交。 确定并记录问题对最终用户的影响或体验。 无论从用户角度来看,此类场景可能没有直接的用户影响,请将调查结果记录在与此事件相关的工单或案例中。 对于自动创建的工单或案例,确定哪些告警或指标是存在问题的。 例如触发告警或指标可能是CTS服务指标指示您的 IAM 配置的某些方面不合规,或者IAM服务警报,表明可能存在凭据泄露。也可能是一个计费警报,当您的计费成本已超过预定阈值,触发告警和通知。 确定已泄露的凭据集。 如果以创建工单或案例,请检查该工单或案例中是否记录了用户/角色名称、用户或角色ID或访问密钥ID。 如果告警来自安全云脑基线检查,您可以在控制台查看基线检查结果,找到受影响凭证的访问密钥ID。具体操作请参见查看基线检查结果。 如果告警来自CTS服务,您可以在控制台事件列表,查看跟踪结果。“资源名称”为访问密钥,Credential字段则包含“access_key_id”、“account_id”、“user_name”和其他信息。 确定凭证可能被破坏或泄露的时间。在该时间后进行的任何API操作应被视为恶意操作,在该时间后创建的任何资源应被视为被泄露。 如果您的应用程序发生服务中断,需确定造成中断的可能事件。如果中断事件与凭据泄漏无关,需检查部署管道以确定在事件发生之前是否进行了任何更改。您可以通过CTS服务,协助查看所有账户活动的日志。 事件沟通: 根据组织的事件响应计划确定利益相关方的角色。 通知相关干系人,包括法务人员、技术团队和开发人员,并确保他们被添加到工单和作战室中,以进行持续更新。 外部沟通: 确保您的法律顾问了解情况,并将其纳入内部利益相关者更新的,特别是外部沟通的状态更新。 将负责公共或外部沟通的同事添加到工单中,以便他们可以接收定期收到有关事件的状态更新,并履行其沟通职责。 如果您所在辖区有法规要求报告此类事件,请确保贵组织中负责通知当地或联邦执法机构的人员也收到有关该事件的通知/被添加到工单中。请咨询您的法律顾问、执法部门,以获取有关收集和保存证据和监管局的指导。即使法规没有要求,向开放数据库、政府机构或非政府组织报告,您的报告也可能有助于跟踪类似的活动或帮助其他人。 控制事件。 您可以通过禁用受损凭证或撤销与这些凭证相关的权限,从而阻止使用受损凭据调用API。 禁用1识别到的受损凭证。 如果是永久IAM用户凭证,请在IAM控制台,删除用户凭证,具体操作请参见删除IAM用户。 如果是通过IAM获取的临时安全凭证,则会关联到IAM角色。您可以通过如下方法禁用这些功能: 撤销所有当前角色会话。如果攻击者获取新的临时安全凭证,并继续攻击,跳转到2.a.ii.2。 删除添加到该角色的所有IAM策略,修改已有策略以阻止所有访问,或者修改角色的策略以防止攻击者承担该角色。 由于凭证在颁发后的指定时间段内仍然有效,因此请务必注意,修改信任策略后,凭证在有效期内将被允许继续使用。2.a.ii.1和2.a.ii.2将阻止所有用户使用通过承担角色获得的凭证,包括任何合法用户或应用程序。 您可以在30分钟左右的时间内通过CTS服务控制台查看持续使用的凭证,无论是访问密钥、IAM用户还是角色,确认受损凭证已被禁用。 消除事件。 您需要排查凭证在受损后执行了哪些API操作,创建、删除或修改了哪些资源,并采取响应措施,消除影响。 使用您的首选监控工具,访问CTS服务,并采集受损凭证执行的所有API操作,日志采集时间为受损时间到当前时间。 如果您使用的是第三方工具(如Splunk或其他工具)采集云审计服务日志,请按照从该工具获取日志信息的正常过程进行操作。 如果您不使用第三方工具,而是将日志发送到华为云对象存储服务(OBS),您可以使用华为 云日志服务LTS 采集、查询和存储日志。 在日志服务LTS控制台,查询凭证在受损或泄露后的日期/时间采取的所有API操作。 从结果列表中,确定哪些API调用: 访问敏感数据,例如,OBS Object。 创建新的华为云资源,例如数据库、云服务器等。 创建资源的服务,包括ECS弹性伸缩组等。 创建或修改权限,同时,还应排查包括(但不限于)以下API方法:CreateUser、CreateRole、AssumeRole*、Get*Token、Attach*Policy、*Image*、*Provider、Tag*、Create*、Delete*、Update*等。 删除现有华为云资源。 修改现有华为云资源。 根据上一步的结果,确定是否有任何应用程序可能受到影响。如果有,获取受影响的每个资源的ID或标记信息,并通知资源的所有者。 基于以上结果,如果创建了额外的凭证获取资源(IAM用户、角色等),根据2.a,禁用和删除这些资源的所有凭证。 重复3.a到3.e,排查是否仍存在额外发现的凭证,直到全部处置完成。 从事故中恢复。 恢复被修改的资源: 如果资源可以被销毁和替换,则添加新的资源。 如果资源无法被替换,请执行以下任一操作: 从备份还原资源。 准备新资源并将其配置到应用程序的基础架构中,同时隔离受损资源并将其从应用程序的基础架构中移除。 销毁受损资源,或继续将其隔离以备取证。 恢复删除的资源: 通过排查确定资源所属的应用程序。如果资源标签未在CTS服务条目中列出,且华为云配置支持该资源,则检查华为云的配置。 如果删除的资源可以从备份中恢复,请直接恢复;如果删除的资源无法从备份中恢复,请查阅CMDB以获取资源的配置,重新创建资源并将其配置到应用程序的基础结构中。 事故后活动。 针对某些受损资源进行调查取证,分析攻击者对受损资源使用了哪些攻击手段,并确定是否需要针对相关资源或应用程序采取额外的风险和风险缓解措施。 对于任何已隔离以供进一步分析的受损资源,对这些资源执行取证活动,并将调查结果纳入事后报告。 确保正确更新CMDB以反映受影响的所有资源和应用程序的当前状态。 审查事件本身和对它的响应,确定哪些措施起作用,哪些措施不起作用,根据这些信息更新改进流程,并记录调查结果。
  • 事件响应方案 针对以上问题,华为云推出了安全云脑(SecMaster)服务,它是华为云原生的新一代安全运营中心,集华为云多年安全经验,基于云原生安全,提供云上资产管理、安全态势管理、安全信息和事件管理、安全编排与自动响应等能力,可以鸟瞰整个云上安全,精简 云安全 配置、云防护策略的设置与维护,提前预防风险,同时,可以让 威胁检测 和响应更智能、更快速,帮助您实现一体化、自动化安全运营管理,满足您的安全需求。
  • 为什么Global级项目有region级的选择框显示? 安全云脑属于Global级项目,但是,在控制台上还是有Region级的选择框提示: 图1 region选择框 具体原因如下: 方便切换区域 如果您进入的region未部署安全云脑,可以在此处切换至已部署区域。 统一管理数据 为了统一管理数据,安全云脑将区域(Region)划分了合规分区。在相同合规分区内的数据可以聚合在一起,不同合规区内的数据无法聚合在一起。安全云脑中的具体合规分区取下: 表1 合规分区 region名称 所属安全云脑合规分区 华北-北京四 国内站 华北-乌兰察布一 华东-上海一 华东-上海二 华南-广州 华南-深圳 西南-贵阳一 华北-乌兰察布-汽车一 华北-乌兰察布-汽车一 中国-香港 中国-香港 亚太-曼谷 亚太-曼谷 亚太-新加坡 亚太-新加坡 亚太-雅加达 亚太-雅加达 土耳其-伊斯坦布尔 欧洲站 拉美-墨西哥城二 拉美-墨西哥城二 拉美-圣保罗一 拉美-圣保罗一 中东-利雅得 中东-利雅得 父主题: 区域与可用区
  • 响应示例 状态码: 200 OK { "total" : 1, "access_client_infos" : [ { "id" : "gs23xxxxxxxxxxxxxxxxxxxxxxxxxxxxfgs2", "name" : "lakeformation_client", "access_mode" : "SYSTEM", "vpc_id" : "d3fcxxxxxxxxxxxxxxxxxxxxxxxxxxxx8f1e", "subnet_id" : "d3fcxxxxxxxxxxxxxxxxxxxxxxxxxxxx8f1e", "status" : "RUNNING", "access_connections" : [ { "vpcep_id" : "0612xxxxxxxxxxxxxxxxxxxxxxxxxxxxa8fb", "ip" : "10.1.0.1", "domain" : "example.com" }, { "vpcep_id" : "0612xxxxxxxxxxxxxxxxxxxxxxxxxxxxa8fb", "ip" : "10.1.0.2", "domain" : "example.com" } ] } ] }
  • URI GET /v1/{project_id}/instances/{instance_id}/access-clients 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目编号。获取方法,请参见获取项目ID。 instance_id 是 String LakeFormation实例ID。创建实例时自动生成。例如:2180518f-42b8-4947-b20b-adfc53981a25。 表2 Query参数 参数 是否必选 参数类型 描述 id 否 String ID搜索。根据ID进行搜索。 name 否 String 名称关键字搜索。只能包含字母、数字、下划线和中划线,且最大长度为32个字符。 offset 是 Integer 分页查询时的偏移量。默认值为0。最小值为0,最大值为1000。 limit 否 Integer 分页一页显示数。默认值为10。最小值为1,最大值为1000。
  • 响应参数 状态码: 200 表4 响应Body参数 参数 参数类型 描述 access_client_infos Array of AccessClientInfo objects 接入客户端信息列表。 total Integer 接入客户端信息总数。 表5 AccessClientInfo 参数 参数类型 描述 id String 客户端ID。 name String 客户端名称。 access_mode String 接入模式:YSTEM、CUSTOM、AUTO。 枚举值: SYSTEM CUSTOM AUTO status String 客户端状态:CREATING、RUNNING、DELETING、DELETED、CREATE_FAIL、DELETE_FAIL。 枚举值: CREATING RUNNING DELETING DELETED CREATE_FAIL DELETE_FAIL vpc_id String VPC ID。 subnet_id String 子网ID。 access_connections Array of AccessConnectionInfo objects 接入连接列表。 create_time String 实例创建时间戳。 表6 AccessConnectionInfo 参数 参数类型 描述 vpcep_id String 虚拟私有云终端节点ID。在接入管理-创建客户端-前往VPC创建- VPC终端节点 创建和查看。 ip String 接入IP。 owner String 拥有者。 domain String 接入域名,通过IP接入访问Lakeformation API时,需在请求头中添加HOST参数并传入该域名。
  • 响应参数 状态码: 200 表4 响应Body参数 参数 参数类型 描述 access_infos Array of AccessInfo objects accessinfo列表。 total Integer accessinfo总数。 表5 AccessInfo 参数 参数类型 描述 vpcep_service_name String 服务名称。 domain String 分组独立域名。 状态码: 400 表6 响应Body参数 参数 参数类型 描述 error_code String 错误码。 error_msg String 错误描述。 common_error_code String CBC公共错误码。 solution_msg String 解决方案描述。 状态码: 404 表7 响应Body参数 参数 参数类型 描述 error_code String 错误码。 error_msg String 错误描述。 common_error_code String CBC公共错误码。 solution_msg String 解决方案描述。 状态码: 500 表8 响应Body参数 参数 参数类型 描述 error_code String 错误码。 error_msg String 错误描述。 common_error_code String CBC公共错误码。 solution_msg String 解决方案描述。
  • URI GET /v1/{project_id}/instances/{instance_id}/access 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目编号。获取方法,请参见获取项目ID。 instance_id 是 String LakeFormation实例ID。创建实例时自动生成。例如:2180518f-42b8-4947-b20b-adfc53981a25。 表2 Query参数 参数 是否必选 参数类型 描述 offset 是 Integer 分页查询时的偏移量。默认值为0。最小值为0,最大值为1000。 limit 否 Integer 分页一页显示数。默认值为10,最大值为1000。
  • 响应示例 状态码: 200 OK { "total" : 1, "access_infos" : [ { "vpcep_service_name" : "xxxxxx.apig.3ab1xxxxxxxxxxxxxxxxxxxxxxxxxxxxf524", "domain" : "example.com" } ] } 状态码: 400 Bad Request { "error_code" : "common.01000001", "error_msg" : "failed to read http request, please check your input, code: 400, reason: Type mismatch., cause: TypeMismatchException" } 状态码: 401 Unauthorized { "error_code": 'APIG.1002', "error_msg": 'Incorrect token or token resolution failed' } 状态码: 403 Forbidden { "error" : { "code" : "403", "message" : "X-Auth-Token is invalid in the request", "error_code" : null, "error_msg" : null, "title" : "Forbidden" }, "error_code" : "403", "error_msg" : "X-Auth-Token is invalid in the request", "title" : "Forbidden" } 状态码: 404 Not Found { "error_code" : "common.01000001", "error_msg" : "response status exception, code: 404" } 状态码: 408 Request Timeout { "error_code" : "common.00000408", "error_msg" : "timeout exception occurred" } 状态码: 500 Internal Server Error { "error_code" : "common.00000500", "error_msg" : "internal error" }
  • 响应示例 状态码: 200 OK [ { "catalog_name" : "hive", "description" : "Default catalog, for Hive", "location" : "obs://lakeformation/test", "database_location_list" : null, "owner" : "admin", "owner_type" : "USER", "owner_source" : "IAM" } ] 状态码: 400 Bad Request { "error_code" : "common.01000001", "error_msg" : "failed to read http request, please check your input, code: 400, reason: Type mismatch., cause: TypeMismatchException" } 状态码: 401 Unauthorized { "error_code": 'APIG.1002', "error_msg": 'Incorrect token or token resolution failed' } 状态码: 403 Forbidden { "error" : { "code" : "403", "message" : "X-Auth-Token is invalid in the request", "error_code" : null, "error_msg" : null, "title" : "Forbidden" }, "error_code" : "403", "error_msg" : "X-Auth-Token is invalid in the request", "title" : "Forbidden" } 状态码: 404 Not Found { "error_code" : "common.01000001", "error_msg" : "response status exception, code: 404" } 状态码: 408 Request Timeout { "error_code" : "common.00000408", "error_msg" : "timeout exception occurred" } 状态码: 500 Internal Server Error { "error_code" : "common.00000500", "error_msg" : "internal error" }
  • 响应参数 状态码: 200 表4 响应Body参数 参数 参数类型 描述 [数组元素] Array of Catalog objects OK 表5 Catalog 参数 参数类型 描述 catalog_name String catalog名称。 catalog_id String catalogID。 description String 描述信息。 location String 路径地址。例如obs://location/uri/。 database_location_list Array of strings 数据库路径列表。当值为null时,响应Body无该参数。 owner String catalog所有者。LakeFormation服务分为一期和二期,一期响应Body无该参数。 owner_type String 所有者类型,USER-用户,GROUP-组,ROLE-角色。LakeFormation服务分为一期和二期,一期响应Body无该参数。 枚举值: USER ROLE GROUP owner_source String 所有者来源:IAM-云用户、SAML-联邦、LDAP-ld用户、LOCAL-本地用户、AGENTTENANT-委托、OTHER-其它。LakeFormation服务分为一期和二期,一期响应Body无该参数。 枚举值: IAM SAML LDAP LOCAL AGENTTENANT OTHER type String catalog类型,可选值为DEFAULT(代表默认的元数据类型)、CLICKHOUSE(代表CH类型),不设置时默认为DEFAULT。 创建时指定,不可修改。 枚举值: DEFAULT CLICKHOUSE update_time String catalog元数据最后一次修改时间。 状态码: 400 表6 响应Body参数 参数 参数类型 描述 error_code String 错误码。 error_msg String 错误描述。 solution_msg String 解决方案描述。 状态码: 404 表7 响应Body参数 参数 参数类型 描述 error_code String 错误码。 error_msg String 错误描述。 solution_msg String 解决方案描述。 状态码: 500 表8 响应Body参数 参数 参数类型 描述 error_code String 错误码。 error_msg String 错误描述。 solution_msg String 解决方案描述。
  • URI GET /v1/{project_id}/instances/{instance_id}/catalogs 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目编号。获取方法,请参见获取项目ID。 instance_id 是 String LakeFormation实例ID。创建实例时自动生成。例如:2180518f-42b8-4947-b20b-adfc53981a25。 表2 Query参数 参数 是否必选 参数类型 描述 branch_name 否 String 分支名称。只能包含字母、数字和下划线,且长度为1~32个字符。默认值为main。 version 否 Long 版本。 deleted 否 Boolean 是否查询被删除元数据。
  • 响应示例 状态码: 200 日志相关信息 { "log" : "2023-06-23 12:03:23 INFO - starting" } 状态码: 400 Bad Request { "error_code" : "common.01000001", "error_msg" : "failed to read http request, please check your input, code: 400, reason: Type mismatch., cause: TypeMismatchException" } 状态码: 401 Unauthorized { "error_code": 'APIG.1002', "error_msg": 'Incorrect token or token resolution failed' } 状态码: 403 Forbidden { "error" : { "code" : "403", "message" : "X-Auth-Token is invalid in the request", "error_code" : null, "error_msg" : null, "title" : "Forbidden" }, "error_code" : "403", "error_msg" : "X-Auth-Token is invalid in the request", "title" : "Forbidden" } 状态码: 404 Not Found { "error_code" : "common.01000001", "error_msg" : "response status exception, code: 404" } 状态码: 408 Request Timeout { "error_code" : "common.00000408", "error_msg" : "timeout exception occurred" } 状态码: 500 Internal Server Error { "error_code" : "common.00000500", "error_msg" : "internal error" }
  • URI GET /v1/{project_id}/instances/{instance_id}/lf-jobs/{job_id}/log 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目编号。获取方法,请参见获取项目ID。 instance_id 是 String LakeFormation实例ID。创建实例时自动生成。例如:2180518f-42b8-4947-b20b-adfc53981a25。 job_id 是 String 任务ID。
  • 响应参数 状态码: 200 表3 响应Body参数 参数 参数类型 描述 log String 日志内容。 状态码: 400 表4 响应Body参数 参数 参数类型 描述 error_code String 错误码。 error_msg String 错误描述。 common_error_code String CBC公共错误码。 solution_msg String 解决方案描述。 状态码: 404 表5 响应Body参数 参数 参数类型 描述 error_code String 错误码。 error_msg String 错误描述。 common_error_code String CBC公共错误码。 solution_msg String 解决方案描述。 状态码: 500 表6 响应Body参数 参数 参数类型 描述 error_code String 错误码。 error_msg String 错误描述。 common_error_code String CBC公共错误码。 solution_msg String 解决方案描述。
共100000条