华为云用户手册

  • 步骤5:实例界面布局设置 创建数据实体时,如果“基本信息”中的“实例界面显示”为“是”,可通过如下操作对属性进行布局。 选择“实例界面布局设置”页签,进入实例界面布局设置页面。 图9 实例界面布局设置 根据实际业务需求进行如下设置,单击“保存”。 支持对数据实体的属性和关联的关系实体进行布局。 布局属性:您可以根据页面提示,复制其他数据实体的布局,也可以自定义设置界面布局。 布局关系:布局方式支持无、自定义和复制其他数据实体。
  • 选中组件 添加了组件之后,您可以选中组件,对组件进行修改、删除、移动等操作。 以下为选中组件的相关方法: 在画布中直接单击组件,选中组件。 图1 在画布中直接单击组件 在左侧大纲树插件中,以树的形式展示了当前流程节点页面中所有的组件,单击树节点,选中画布中的组件。 图2 在大纲树单击树节点选中组件 底部组件层级面包屑展示了从根节点到当前选中组件的层级节点,单击底部组件层级面包屑的某一个节点,选中父组件。 图3 展示当前选中组件的层级节点 图4 在底部组件层级面包屑选中父组件
  • 物料插件介绍 物料插件分为模板和组件。 模板:由许多基础组件构成的一个功能完善的可复用页面模板,对于一些特定的场景提供了预制模板。 流程引擎当前预置了如下几种常见流程模板: 提交页面模板:是一个通过流程引擎的UI编辑页面搭建的页面模板,主要应用于规范化和自动化提交流程的场景,帮助团队成员按照预定的步骤提交流程。在启动流程过程中,还会根据当前登录账号的用户访问权限动态控制提交页面的业务交互。例如,提交流程后,如果当前登录账号的用户是申请人,则显示“关闭流程”,支持用户关闭流程;如果当前登录账号的用户不是申请人,则只能查看流程。 评审页面模板:即审批页面模板,是一个通过流程引擎的UI编辑页面搭建的页面模板,主要应用于流程中的审批场景。例如,流程运行至某个审批环节时,该审批页面会根据当前登录账号的用户访问权限,动态显示/隐藏“提交”按钮组件。 流程记录模板:是一个通过流程引擎的UI编辑页面搭建的页面模板,主要用于记录和展示流程的步骤和细节,包括流程信息、当前任务节点、历史转他人处理记录和流程记录,帮助团队成员理解和执行流程。 此外,流程引擎支持开发者基于对应使用的模板进行一些额外的定制化改造,以此适应企业中不同的业务场景需求。 组件:提供了丰富的业务组件和IPD组件,用户可以根据需求选择合适的组件,具体说明如表1所示。 表1 组件说明 组件分类 组件名称 说明 业务组件 添加数据 当您需要在页面中显示“数据编辑”页面中的模型数据时,您可以选择使用添加数据组件。 设置参与者 当您需要在页面中设置参与特定任务或流程的人员时,您可以选择使用设置参与者组件。 流程状态图 流程状态图是一种用于直观展示流程中各个节点状态以及节点之间流转关系的可视化组件,可以让用户清晰地了解流程的全貌和动态变化。 表单 用于快捷实现表单数据的提交与展示场景。绑定数据源后,可根据字段类型自动生成单行输入框、单选框、按钮等组件。 流程指引 当您需要在页面中配有简洁文字说明及必要图标示意时,您可以选择使用流程指引组件。 信息树 信息树是一种以树形结构来展示和组织信息的可视化组件。当您需要在页面中进行产品信息树搜索、选择、展示等场景时,您可以选择使用信息树组件。 流程记录 当您需要在页面中可以通过直观易懂的表格形式展示流程记录时,您可以选择使用流程记录组件。 评审三件套 评审三件套是一种用于流程节点评审结束后,标识和记录评审结论、通过及意见的组件。 转审记录 当您需要在页面中记录和跟踪某个具体用户任务转他人处理的流转情况时,您可以选择使用转审记录组件。 附件 用于上传本地文件资源,如PDF、Excel、Word等文件类型。 IPD组件 BOX 您可以将其他组件放入BOX或将BOX放入其他组件中,辅助页面布局。 按钮 当您需要根据单击按钮的行为触发某些动作时,如确定、提交、取消等动作,您可以选择使用按钮组件。 单选框 当您需要在一个数据集中选择单个选项,并使用单选框进行其他操作的场景时,您可选择使用单选框组件。 多选框 当您需要在一个数据集中选择多个选项,并使用多选框进行其他操作的场景时,您可以选择使用多选框组件。 列容器 主要用于在垂直方向上排列子组件,适用于需要按列展示信息的场景,例如菜单栏、设置选项等。 行容器 主要用于在水平方向上排列子组件。 日期选择器 当您需要在页面中进行日期选择时,您可以选择使用日期选择器组件。 时间选择器 当您需要在页面中进行时间选择时,您可以选择使用时间选择器组件。 弹框 使用弹框组件,可以在不离开主页面的情况下,为您提供快速执行简单操作、确认用户信息或反馈提示的辅助窗口。 输入框 当您需要在页面中对文字进行编辑时,您可以使用输入框组件。 消息提示框 在当前页面出现消息提示框,支持信息、成功、警告、错误、弱信息等类型的页面消息。 折叠面板 在页面中的复杂区域,您可以使用折叠面板组件进行分组和折叠,保持页面的整洁。 选择器 如果页面需要在限定的可选项内进行下拉选择时,您可以选择使用选择器组件。默认单选,可设置多选。 状态标识 用于在页面上直观展示对象(如任务、数据等)当前状态的组件,让用户能够快速了解对象所处的状态,而无需深入查看详细内容或进行复杂操作。 表格 如果页面需要使用表格进行数据显示和数据操作时,您可以选择使用表格组件,以表格形式展示多行数据,支持对数据进行排序、搜索、分页、自定义显示内容等操作。 标签页 如果页面需要在不同子任务、视图、模式之间切换时,可以选择使用标签页。一个标签项标记一个功能或模块,标签项之间可以快速单击切换。 文本展示 用于展示页面中的文本或标题的内容。 帮助文档 帮助文档组件是一种用于为用户提供操作指导、功能解释或其他相关提示信息的组件。它可以放置在页面的固定位置,以便用户能够轻松找到。 树形控件 适用于大量且具有层级关系的数据展示场景中,您可以利用该组件的展开、收起、关联等交互对数据进行操作处理。 选人组件 用于选择组织架构中的用户成员。
  • 流程工具分类介绍 表1 流程工具分类说明 分类 说明 工具 :激活抓手工具,用于拖动画布。 :激活套索工具,选择多个图形,也可以使用快捷键Shift选取。 事件 :开始事件,作为流程的开始。 :中间事件,作为流程组件的中间事件,是一个暂停事件,将流程事务提交,并启动一个新事务执行后续的流程。最常用的是作为消息捕获或定时任务。 :结束事件,代表整个流程的结束。 网关 :排他网关,作为流程组件的路由网关,用于在流程中实现决策,一般成对出现。一对排他网关包括一个判断条件和两个执行分支,分别对应“true”和“false”两个判断结果。判断结果为“是”的分支将被执行。 :并行网关,作为流程组件的路由网关,用于在流程中实现并发,一般成对出现。一对并行网关间的所有分支被同时执行,不进行条件判断。并行网关的一个分支执行完毕后,需要等待其他分支全部执行完流程才会走到下一个节点。 :包容网关,包容网关是排他网关和并行网关的综合体。包容网关与并行网关类似都是配对使用。与并行网关的区别是,并行网关出口分支都执行,包容网关是出口分支可以配置条件,执行或不执行。 流程 :内嵌子流程,它是一个可以包含其他活动、分支、事件等的活动。它表现为将一个流程(子流程)定义在另一个流程(父流程)的内部,子流程作为父流程的一部分。 :导航分组,作为流程组件的分组节点,用户导航树自动生成时作为父节点展示。 任务 : 普通用户任务,作为流程组件的标准用户处理任务,用户可以进行通过、驳回、转审等操作。 会签用户任务,是一种联合审批的特殊审批节点。用户可以进行会签、或签等操作。 提交任务,将“是否提交节点”设置为的用户任务。一个流程中只能存在一个提交任务。 空白任务,与手动任务节点相同。流程引擎处理该节点时将简单通过,自动继续流程。 :服务任务,作为流程组件的服务任务节点,调用 API服务 。 :手动任务,用于建模自定义任务内容的任务节点,流程引擎处理该节点时将简单通过,自动继续流程,常用于流程调试。
  • 发布应用 在应用设计态完成数据模型的构建和发布后,需要将应用进行编译、打包和发布操作。待应用发布成功后,才可将应用部署至数据建模引擎运行服务,以用于在应用运行态进行多租户应用集成测试、数据服务调用等操作。 如果发布的应用数量大于iDME设计服务的资源并发数量,超出的数量的应用将自动转入排队状态。 排队期间,如果重新变更数据模型,应用发布时会自动发布最新内容,无需重新发布。 当应用设计态存在两个或多个数据模型之间的引用形成环时,例如两个数据模型相互引用对方,应用发布失败。 登录应用设计态,在设计态右上方单击“应用发布”。 图1 应用发布 在弹出的窗口中,确认应用发布的信息,单击“确定”。 此窗口为您展示当前应用最近一次发布成功后存在数据变更且已发布的数据模型的所有信息。 图2 应用发布确认 在弹出的提示框中,单击“确定”。 您也可以单击提示框中的“应用中心”,查看应用发布详情。
  • 不支持的范围 在应用设计态添加索引时,不支持选择RdmDeleteFlag和MasterId属性。 不支持JSON、文件、URL和长文本类型的属性。 选择“普通索引”时,如果属性的约束信息包含如下定义,则不支持。 “入库”为“否”的属性。 “多值”为“是”的属性。 “唯一键”为“是”的属性。 选择“唯一索引”时,如果属性的约束信息包含如下定义,则不支持。 “入库”为“否”的属性。 “多值”为“是”的属性。 “唯一键”为“是”的属性。 选择“唯一索引忽略大小写”时,如果属性的约束信息包含如下定义,则不支持。 “入库”为“否”的属性。 “多值”为“是”的属性。 “唯一键”为“是”的属性。
  • 初识流程编辑页面 创建流程元模板后,自动进入流程编辑页面,您可以阅读以下内容初步了解流程编辑页面。 图1 初识流程编辑页面 流程编辑页面由左侧工具栏+工具面板、上方顶部导航栏、中间快捷菜单栏+在线编辑区和右侧工具信息设置面板组成。具体功能介绍,请参见表1。 表1 流程编辑页面功能介绍 区域 功能说明 顶部导航栏 顶部导航栏从左到右包括: :退出流程元模板编排页面,返回流程引擎。 :流程元模板编排模式切换,可切换至流程编辑、数据编辑和UI编辑,进行相应的配置。 :保存当前页面数据。 左侧工具栏 :流程工具,提供业务流程设计所需组件,拖拽组件至在线编辑区中进行流程设计,具体操作请参见在流程编辑页面添加流程工具。 :导航树配置,可直观且全局的了解业务流程的执行过程。 工具面板 在左侧工具栏单击对应工具图标,会在右侧展示对应工具的工具面板。例如,单击,展示流程工具的工具面板。 快捷菜单栏 包含另存为其他格式文件、查看XML、管理流程编辑视图等操作。 在线编辑区 位于流程编辑页面中央,是可视化设计流程的核心模块。在左侧工具栏的工具面板中,将所需的流程工具拖拽到在线编辑区内;然后根据已明确的业务流程,单击在线编辑区内的流程工具,设置流程工具间的连接、属性、样式等,具体操作请参见在流程编辑页面添加流程工具和设置流程编辑页面的流程工具属性。 工具信息设置面板 未选中在线编辑区中任何流程工具时,此模块显示内容为“Process”,即当前流程元模板的常规信息和导航树配置信息。您可以通过选择在线编辑区中的流程工具,切换到对应流程工具的“工具信息设置面板”,进行当前选中流程工具的常规设置、监听器设置和导航树配置设置。 常规:流程工具常规信息设置,具体操作请参见设置流程编辑页面的流程工具属性。 监听器:流程工具中的“用户任务”支持设置监听器,例如设置超时自动审批、设置超时自动转审等,具体操作请参见为用户任务设置监听器。 导航树配置:支持设置流程节点是否可跳过、节点初始化时是否点亮等操作。
  • 流程编辑页面常用操作入门 在进行流程编辑页面设计流程元模板之前,建议您先对流程编辑的常用操作进行简单的了解。 在使用流程工具之前,可以将鼠标悬浮在快捷菜单栏的“帮助”上,单击“工具栏说明”,即可查看流程工具的详细介绍。如需了解更多流程工具的使用及配置方法,请参见设置流程编辑页面的流程工具属性。 流程编辑页面中预置了多种流程工具,可以直接从左侧“工具面板”区域,将这些工具组件拖拽到中间的“在线编辑区”。 在“在线编辑区”中,选中某个工具组件,在右侧工具信息设置面板的“常规”页签,可设置该工具组件的中文名称、是否提交节点、截止日期、任务描述等属性,如图2所示。 图2 工具信息设置面板-常规 在“在线编辑区”中,选中某个“用户任务”工具组件,在右侧工具信息设置面板的“监听器”页签,可设置该工具组件的“超时处理:超时自动转审”、“超时处理:超时自动审批”等属性,如图3所示。 图2 工具信息设置面板-监听器 在“在线编辑区”中,选中某个工具组件,在右侧工具信息设置面板的“导航树配置”页签,可设置该工具组件的节点初始化时是否点亮、节点是否跳过、导航树顺序等属性,如图4所示。 图3 工具信息设置面板-导航树配置 利用“导航树配置”工具,快速选中工具组件。 当流程工具组件数量比较多,位置较为紧密时,可以直接单击节点,快速选择工具组件。例如,单击图5“导航树配置”中的“节点”,可直接选中“在线编辑区”的工具组件,右侧工具信息设置面板切换至“导航树配置”页签。 图4 导航树配置-快速选中工具
  • 如何设置入图 在xDM-F系统,模型属性“入图”值的设置,会影响后期同步至LinkX-F系统中对应模型属性的“是否入图”值。我们根据xDM-F数据同步规则,可知xDM-F模型同步至LinkX-F系统中后,会根据xDM-F模型属性是否“入图”自动映射写入对应LinkX-F模型属性的“是否入图”值。 图3 在xDM-F中设置属性是否入图 在LinkX-F系统,入图或不入图指对模型属性“是否入图”值的设置,模型发布后系统会自动为入图属性配置图数据库映射字段,这样才能保证入图属性对应的实例数据入图。 xDM-F模型同步和属性入图的合理配置,不仅可以避免LinkX-F系统中数据管理资源的浪费,还可在后续数据分析时避免出现很多无用属性,影响分析效率。
  • 为什么要入图 传统数据库(如关系型数据库)的数据存储方式以表形式呈现,而表形式的数据存储方式不太适合描述数据之间的某些特定的复杂关系。例如想要查询实例数据之间的关系时,可能需要多次索引跨表查找,数据量大时必然会存在耗时长,查询效率低等缺点。 图1 传统数据库数据展示效果 图数据库是以图结构方式来表达数据,能更直观的展示出实例数据之间的关联关系。图数据库技术可以将关系信息储存为实体、灵活拓展为数据模型,这使得图模型对异构数据具有天然的包容力。 图2 图数据库数据展示效果
  • 支持的功能列表 表1 M-V模型支持的功能 类型 支持的功能 版本对象 基础功能:基础数据服务、安全受控、版本服务和文件服务。 可选功能:系统版本、权限管理、分类管理、数据分类管理、扩展属性、扩展类型、文件夹管理、生命周期管理、失效管理、多维视图&多维分支、所有者管理和标签管理。 自定义功能:接口模型。 主对象 基础功能:主版本服务和文件服务。 可选功能:系统版本、权限管理、业务编码生成器、分类管理、数据分类管理、扩展属性、文件夹管理、树形结构、失效管理、所有者管理和标签管理。 自定义功能:接口模型。 分支对象 基础功能:文件服务。 可选功能:文件夹管理。 自定义功能:接口模型。
  • 云审计 服务支持的DDoS防护操作列表 云审计服务(Cloud Trace Service, CTS )记录了DDoS防护相关的操作事件,方便用户日后的查询、审计和回溯,具体请参见云审计服务用户指南。 云审计服务支持的DDoS防护操作列表如表1所示。 表1 云审计支持的DDoS防护操作列表 操作名称 事件名称 更新告警通知配置 updateAlarmConfig 删除告警通知配置 deleteAlarmConfig 创建防护包 createPackage 更新防护包 updatePackage 绑定IP到防护包 bindIpToPackage 从防护包上解绑IP unbindIpToPackage 删除防护包 DeletePackage 创建策略 createPolicy 更新策略 updatePolicy 绑定IP到策略 bindIpToPolicy 从策略中解绑IP unbindIpToPolicy 添加黑白名单 addblackWhiteIpList 删除黑白名单 deleteblackWhiteIpList 删除策略 deletePolicy 配置全量日志的日志组和日志流 updateLogConfig 关闭全量日志的日志组和日志流 deleteLogConfig 给防护IP打标签 updateTagForIp 设置连接防护策略 updateConnectionProtection 新增端口封禁 addPortBlock 更新端口封禁 updatePortBlock 删除端口封禁 deletePortBlock 新增指纹过滤 createFingerprint 更新指纹过滤 updateFingerprint 删除指纹过滤 deleteFingerprint 添加IP黑白名单 addBlackWhiteIpList 删除IP黑白名单 deleteBlackWhiteIpList 新增水印 createWatermark 修改水印 updateWatermark 删除水印 deleteWatermark 父主题: 审计
  • 日志字段说明 本章节介绍了DDoS原生高级防护日志包含的日志字段。 表2 关键字段说明 字段 说明 currentConn 当前连接数。 maxInPps 入报文峰值(单位:pps)。 newConn 新建连接数。 deviceType 上报日志的设备类型。默认为“CLEAN”,清洗设备。 attackTypes 攻击类型,具体请参考表3。 zoneIP 防护的IP。 logType 日志类型。默认为“ip_attack_sum”,攻击日志。 maxDropPps 攻击报文峰值(单位:pps)。 maxInKbps 入流量峰值(单位:kbps)。 startTime 攻击开始时间。 endTime 攻击结束时间,为空时则表示攻击还未结束。 maxDropKbps 攻击流量峰值(单位:kbps)。 attackStatus 攻击状态。 ATTACK:攻击状态。 NORMAL:正常状态。 表3 攻击类型说明 数值 攻击类型 0-9 自定义服务攻击 10 Syn Flood攻击 11 Ack Flood攻击 12 SynAck Flood攻击 13 Fin/Rst Flood攻击 14 并发连接数超过阈值 15 新建连接数超过阈值 16 TCP分片报文攻击 17 TCP分片BandWidth limit攻击 18 TCP BandWidth limit攻击 19 UDP flood攻击 20 UDP分片攻击 21 UDP分片BandWidth limit攻击 22 UDP BandWidth limit攻击 23 ICMP BandWidth limit攻击 24 Other BandWidth limit攻击 25 总流量限流 26 HTTPS Flood攻击 27 HTTP Flood攻击 28 保留 29 DNS Query Flood攻击 30 DNS Reply Flood攻击 31 Sip Flood攻击 32 黑名单丢弃 33 HTTP URL行为异常 34 TCP分片abnormal丢弃流量 35 TCP abnormal丢弃流量 36 UDP分片abnormal丢弃流量 37 UDP abnormal丢弃流量 38 ICMP abnormal攻击 39 Other abnormal攻击 40 Connection Flood攻击 41 域名 劫持攻击 42 DNS投毒攻击报文 43 DNS反射攻击 44 超大DNS报文攻击 45 DNS源请求速率异常 46 DNS源回应速率异常 47 DNS域名请求速率异常 48 DNS域名回应包速率异常 49 DNS请求报文TTL异常 50 DNS报文格式异常 51 DNS Cache匹配丢弃攻击 52 端口扫描攻击 53 TCP Abnormal攻击(tcp 报文标记位异常) 54 BGP攻击 55 UDP关联防范异常 56 DNS NO such Name异常 57 Other 指纹攻击 58 防护对象限流攻击 59 HTTP慢速攻击 60 恶意软件防范 61 域名阻断 62 FILTER过滤 63 Web攻击抓包 64 SIP源限速攻击
  • 使用概览 开通DDoS原生高级防护,将华为云公网IP资源绑定到实例后,DDoS原生高级防护提供的安全能力就可以直接加载到云服务。 DDoS原生高级防护的使用概览如表1所示。 表1 使用概览 子流程 说明 购买DDoS原生高级防护实例 详细操作请参见购买实例。 配置防护策略 DDoS原生高级防护提供了丰富全面的防护规则,您可以根据业务需求配置相应的防护策略。详细操作请参见添加防护策略。 添加防护对象 将华为云上的公网IP资源添加为防护对象,才能为公网IP资源开启DDoS原生高级防护。详细操作请参见添加防护对象。 开启告警通知 开启告警通知后,当IP遭受DDoS攻击时,您可以第一时间接收告警通知。详细操作请参见设置告警通知。 开启LTS日志 通过LTS记录的日志数据,快速高效地进行实时决策分析、设备运维管理以及业务趋势分析。详细操作请参见开启LTS日志。 查看数据报表 可查看到昨天、今天、3天范围内的访问与攻击统计次数等信息。详细操作请参见查看数据报表。 管理实例 开通续费、升级规格、配置标签等常用实例管理操作。详细操作请参见管理实例。 设置事件告警通知 通过 云监控服务 ,对防护的弹性公网IP启用事件监控,当出现清洗、封堵、解封等事件时进行告警。详细操作请参见设置事件告警通知。 父主题: DDoS原生高级防护操作指南
  • 依赖服务的权限设置 如果 IAM 用户需要在Console控制台拥有相应功能的查看或使用权限,请确认已经对该用户所在的用户组设置了Anti-DDoS Administrator策略的集群权限,再按如下表1增加依赖服务的角色或策略。 表1 Console中依赖服务的角色或策略 控制台功能 依赖服务 需配置角色或策略 配置Anti-DDoS日志 云日志 服务 LTS 需要增加LTS ReadOnlyAccess的系统策略,才能选择在云日志服务中创建的日志组和日志流名称。 开启Anti-DDoS告警通知 消息通知 服务 SMN 需要增加SMN ReadOnlyAccess的系统策略,才能获取消息通知服务的主题群组。 设置标签 标签管理服务 TMS 需要增加TMS FullAccess的系统策略,才能创建标签键。
  • 监控指标 表1 DDoS原生高级防护服务支持的监控指标 指标ID 指标名称 指标含义 取值范围 测量对象 监控周期(原始指标) ip_drop_rate 丢弃流量 IP丢弃流量带宽 ≥0kb/s DDoS原生高级防护 60秒 instance_drop_rate 丢弃流量 实例丢弃流量带宽 ≥0kb/s DDoS原生高级防护 60秒 ip_back_to_source_rate 回源带宽 IP回源流量带宽 ≥0kb/s DDoS原生高级防护 60秒 instance_back_to_source_rate 回源带宽 实例回源流量带宽 ≥0kb/s DDoS原生高级防护 60秒 ip_internet_in_rate 入流量 IP入流量带宽 ≥0kb/s DDoS原生高级防护 60秒 instance_internet_in_rate 入流量 实例入流量带宽 ≥0kb/s DDoS原生高级防护 60秒 ip_new_connection 新建连接 IP新建连接数 ≥0count/s DDoS原生高级防护 60秒 instance_new_connection 新建连接 实例新建连接数 ≥0count/s DDoS原生高级防护 60秒 ip_concurrent_connection 并发连接 IP并发连接数 ≥0count/s DDoS原生高级防护 60秒 instance_concurrent_connection 并发连接 实例并发连接数 ≥0count/s DDoS原生高级防护 60秒
  • 示例流程 图1 给用户授权服务权限流程 创建用户组并授权 在IAM控制台创建用户组,并授予 DDoS高防服务 权限“AAD FullAccess”。 创建用户并加入用户组 在IAM控制台创建用户,并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台,验证权限: 单击页面左上方的,选择除DDoS高防服务外(假设当前策略仅包含“AAD FullAccess”)的任一服务,如果提示权限不足,表示“AAD FullAccess”已生效。
  • 前提条件 已拥有相关权限。 请确认升级规格的账号同时具有“CAD Administrator”和“BSS Administrator”角色,或者该账号具有“Tenant Administrator”角色。 BSS Administrator:费用中心、资源中心、账号中心的所有执行权限。项目级角色,在同项目中勾选。 Tenant Administrator:除 统一身份认证 服务外,其他所有服务的所有执行权限。
  • 依赖服务的权限设置 如果IAM用户需要在Console控制台拥有相应功能的查看或使用权限,请确认已经对该用户所在的用户组设置了CNAD FullAccess或CNAD ReadOnlyAccess策略的集群权限,再按如下表1增加依赖服务的角色或策略。 表1 Console中依赖服务的角色或策略 控制台功能 依赖服务 需配置角色或策略 开启LTS日志 云日志服务 LTS 需要增加LTS ReadOnlyAccess的系统策略,才能选择在云日志服务中创建的日志组和日志流名称。 开启告警通知 消息通知服务 SMN 需要增加SMN ReadOnlyAccess的系统策略,才能获取消息通知服务的主题群组。 配置实例标签 标签管理服务 TMS 需要增加TMS FullAccess的系统策略,才能创建标签键。 购买实例 企业项目管理服务 EPS 需要增加EPS ReadOnlyAccess的系统策略后,才能在购买实例时选择该企业项目。
  • 监控指标 表1 DDoS高防服务支持的监控指标 指标ID 指标名称 指标含义 取值范围 测量对象 监控周期(原始指标) ip_drop_rate 丢弃流量 该指标为高防IP丢弃流量宽带 ≥0kb/s DDoS高防 5分钟 instance_drop_rate 丢弃流量 该指标为高防实例丢弃流量宽带 ≥0kb/s DDoS高防 5分钟 ip_back_to_source_rate 回源带宽 该指标为高防IP回源流量带宽 ≥0kb/s DDoS高防 5分钟 instance_back_to_source_rate 回源带宽 该指标为高防实例回源流量带宽 ≥0kb/s DDoS高防 5分钟 ip_internet_in_rate 入流量 该指标为高防IP入流量带宽 ≥0kb/s DDoS高防 5分钟 instance_internet_in_rate 入流量 该指标为高防实例入流量带宽 ≥0kb/s DDoS高防 5分钟 ip_new_connection 新建连接 该指标为高防IP新建连接数 ≥0count/s DDoS高防 5分钟 instance_new_connection 新建连接 该指标为高防实例新建连接数 ≥0count/s DDoS高防 5分钟 ip_concurrent_connection 并发连接 该指标为高防IP并发连接数 ≥0count/s DDoS高防 5分钟 instance_concurrent_connection 并发连接 该指标为高防实例并发连接数 ≥0count/s DDoS高防 5分钟 ip_service_bandwidth_usage 业务带宽利用率 该指标为高防IP业务带宽利用率 ≥0% DDoS高防 5分钟 instance_service_bandwidth_usage 业务带宽利用率 该指标为高防实例业务带宽利用率 ≥0% DDoS高防 5分钟
  • 云审计服务支持的Anti-DDoS操作列表 云审计服务(Cloud Trace Service,CTS)记录了Anti-DDoS相关的操作事件,方便用户日后的查询、审计和回溯,具体请参见云审计服务用户指南。 云审计服务支持的Anti-DDoS操作列表如表1所示。 表1 CTS支持的Anti-DDoS操作列表 操作名称 事件名称 修改Anti-DDoS防护配置 UPDATE_ANTIDDOS 设置LTS全量日志配置 UPDATE_LTS_CONFIG 批量添加/编辑TMS资源标签 UPDATE_RESOURCE_TAGS 批量删除TMS资源标签 DELETE_RESOURCE_TAGS 更新租户的告警提醒配置情况 UPDATE_ALERT_CONFIG 修改流量清洗阈值默认档位 UPDATE_DEFAULT_CONFIG 删除流量清洗阈值默认档位 DELETE_DEFAULT_CONFIG 查询任务列表 QUERY_TASK_LIST 查询告警配置详情 QUERY_ALERT_CONFIG 查询IP的防护配置 QUERY_IP_DEFENSE_POLICY 查询Anti-DDoS防护配置列表 QUERY_DEFENSE_POLICY_LIST 查询IP的防护状态 QUERY_IP_DEFENSE_STATUS 批量查询IP的防护状态 QUERY_IP_LIST_DEFENSE_STATUS 查询IP的日流量详情 QUERY_IP_DAILY_TRAFFIC_REPORT 导出IP的日流量详情 EXPORT_IP_DAILY_TRAFFIC_REPORT 查询IP的日异常事件列表 QUERY_IP_DAILY_EVENT_REPORT 查询IP的周防护统计情况 QUERY_IP_WEEKLY_REPORT 导出IP的周防护统计情况 EXPORT_IP_WEEKLY_REPORT 查询配置状态 QUERY_CONFIG_STATUS 查询信誉信息 QUERY_CREDIT_INFO 查询流量清洗阈值默认档位 QUERY_DEFAULT_CONFIG 查询配额 QUERY_QUOTA 查询全量日志配置 QUERY_ LOG _CONFIG 查询资源实例 QUERY_TMS_RESOURCE_INSTANCE 查询资源实例个数 QUERY_TMS_RESOURCE_COUNT 查询IP的资源标签 QUERY_IP_RESOURCE_TAG 查询资源标签列表 QUERY_RESOURCE_TAG_LIST 父主题: 审计
  • 依赖服务的权限设置 如果IAM用户需要在Console控制台拥有相应功能的查看或使用权限,请确认已经对该用户所在的用户组设置了CAD Administrator、AAD FullAccess或AAD ReadOnlyAccess策略的集群权限,再按如下表1增加依赖服务的角色或策略。 表1 Console中依赖服务的角色或策略 控制台功能 依赖服务 需配置角色或策略 添加域名 云证书管理服务 CCM 源站使用HTTPS转发协议时,自动拉取证书需要授予SCM ReadOnlyAccess权限。 配置DDoS高防日志 云日志服务 LTS 需要增加LTS ReadOnlyAccess的系统策略,才能选择在云日志服务中创建的日志组和日志流名称。 开启告警通知 消息通知服务 SMN 需要增加SMN ReadOnlyAccess的系统策略,才能获取消息通知服务的主题群组。 配置实例标签 标签管理服务 TMS 需要增加TMS FullAccess的系统策略,才能创建标签键。 购买实例 企业项目管理服务 EPS 需要增加EPS ReadOnlyAccess的系统策略后,才能在购买实例时选择该企业项目。
  • 示例流程 图1 给用户授权服务权限流程 创建用户组并授权。 在IAM控制台创建用户组,并授予Anti-DDoS服务的管理员权限“Anti-DDoS Administrator”。 创建用户并加入用户组。 在IAM控制台创建用户,并将其加入1中创建的用户组。 用户登录并验证权限。 新创建的用户登录控制台,切换至授权区域,验证权限: 单击页面左上方的,选择除Anti-DDoS服务外的任一服务,如果提示权限不足,表示“Anti-DDoS Administrator”已生效。
  • 日志字段说明 本章节介绍了DDoS高防日志包含的日志字段。 表2 实例攻击日志字段说明 字段 说明 ip 被攻击IP。 ip_id 被攻击IP的ID。 attack_type 攻击的类型。 attack_protocol 该字段尚未使用,默认是0。 attack_start_time 攻击开始时间,毫秒级时间戳。 attack_status 攻击状态。 ATTACK:攻击中。 NORMAL:攻击结束。 drop_kbits 分钟级别的最大攻击流量,单位“bit”。 attack_pkts 分钟级别的最大攻击报文数。 duration_elapse 已结束安全事件的持续时间,单位“秒”。 end_time 攻击结束时间,毫秒级时间戳。未结束的安全事件,该字段为0。 max_drop_kbps 攻击流量的峰值,单位“kbps”。 max_drop_pps 攻击报文的峰值,单位“pps”。 表3 实例攻击详情字段说明 字段 说明 attackStatus 攻击状态。 attackType 攻击状态。 ATTACK:攻击中。 NORMAL:攻击结束。 attackTypeDescCn 攻击类型(中文)。 attackTypeDescEn 攻击类型(英文)。 attackUnit 攻击单位。 attacker 攻击来源。 attackerKbps 攻击流量峰值,单位“kbps”。 attackerPps 攻击流量峰值,单位“pps”。 direction 日志方向。 inbound:入方向。 outbound:出方向。 dropKbits 丢弃的流量总数,单位“kbits”。 dropPackets 丢弃的报文总数。 duration 攻击持续时间,单位“秒”。 handleTime 处理日志时间。 logTime 日志时间。 logType 日志类型。 maxDropKbps IP丢弃流量峰值,单位“kbps”。 maxDropPps IP丢弃流量峰值,单位“pps”。 port 端口号。 startTimeAlert 异常开始时间。 timeScale 时间标识(处理分钟级或小时级数据的标识)。 valid 是否成功解析到日志。 writeTime 持久化时间。 zoneIP 防护IP。 startTimeAttack 攻击开始时间。 startTimeKey 对于同一个攻击不同时间的唯一标识。
  • 使用概览 购买DDoS高防实例,业务接入DDoS高防后即可防护,通过丰富全面的防护规则帮助您防护海量DDoS攻击。 DDoS高防的使用概览如使用概览所示。 DDoS高防国际版实例当前只支持在控制台进行实例购买、实例续费和域名接入管理,不支持配置防护策略、告警通知等操作。 表1 使用概览 子流程 说明 购买实例 购买DDoS高防实例请参见购买DDoS高防实例。 购买DDoS高防国际版实例请参见购买DDoS高防国际版实例。 业务接入 请参见域名网站类业务接入DDoS高防。 配置防护策略 DDoS高防提供了丰富全面的防护规则,您可以根据业务需求配置相应的防护策略。详细操作请参见配置防护策略。 开启告警通知 开启告警通知后,当IP遭受DDoS攻击时,您可以第一时间接收告警通知。详细操作请参见开启告警通知。 实例管理 查看实例信息、升级防护带宽和业务带宽、修改弹性防护带宽等常用操作。详细操作请参见实例管理。 域名管理 查看域名信息、更新证书、修改解析线路、修改源站IP、修改域名业务配置等常用操作。详细操作请参见域名管理。 防护日志管理 通过LTS记录的日志数据,快速高效地进行实时决策分析、设备运维管理以及业务趋势分析。详细操作请参见防护日志管理。 监控 设置监控指标告警,设置黑洞、调度和攻击事件告警,帮助您及时了解DDoS高防防护状况。详细操作请参见监控。 审计 记录了DDoS高防相关的操作事件,方便用户日后的查询、审计和回溯。详细操作请参见审计。 设置标签 如您的组织已经设定DDoS高防的相关标签策略,则需按照标签策略规则为存储库添加标签,请联系组织管理员了解标签策略详情。详细操作请参见配置实例标签。 父主题: DDoS高防操作指南
  • 支持的授权项 策略包含系统策略和自定义策略,如果系统策略不满足授权要求,管理员可以创建自定义策略,并通过给用户组授予自定义策略来进行精细的访问控制。 权限:允许或拒绝某项操作。 授权项:自定义策略中支持的Action,在自定义策略中的Action中写入授权项,可以实现授权项对应的权限功能。 权限 授权项 依赖关系说明 查询Anti-DDoS默认防护策略 anti-ddos:defaultDefensePolicy:get - 配置Anti-DDoS默认防护策略 anti-ddos:defaultDefensePolicy:create - 删除Anti-DDoS默认防护策略 anti-ddos:defaultDefensePolicy:delete - 查询Anti-DDoS配置可选范围 anti-ddos:optionalDefensePolicy:list - 查询Anti-DDoS服务 anti-ddos:ip:getDefensePolicy vpc:publicIps:list 更新Anti-DDoS服务 anti-ddos:ip:updateDefensePolicy - 开通Anti-DDoS服务 anti-ddos:ip:enableDefensePolicy - 查询周防护统计情况 anti-ddos:ip:getWeeklyReport - 查询指定EIP防护流量 anti-ddos:ip:getDailyTrafficReport - 查询指定EIP异常事件 anti-ddos:ip:getDailyEventReport - 查询指定EIP防护状态 anti-ddos:ip:getDefenseStatus - 查询EIP防护状态列表 anti-ddos:ip:listDefenseStatuses - 查询Anti-DDoS任务 anti-ddos:task:list - 查询告警配置信息 anti-ddos:alertConfig:get smn:topic:list 更新告警配置信息 anti-ddos:alertConfig:update - 查询云日志服务配置 anti-ddos:logConfig:get - 更新云日志服务配置 anti-ddos:logConfig:update - 查询配额 anti-ddos:quota:list - 查询资源标签列表 anti-ddos:ip:listTagsForResource - 批量添加标签 anti-ddos:ip:tagResource - 批量删除标签 anti-ddos:ip:untagResource -
  • AAD自定义策略样例 示例1:授权用户查询防护策略 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "aad:policy:get" ] } ] } 示例2:拒绝用户删除IP黑白名单规则 拒绝策略需要同时配合其他策略使用,否则没有实际作用。用户被授予的策略中,一个授权项的作用如果同时存在Allow和Deny,则遵循Deny优先。 如果您给用户授予“AAD FullAccess”的系统策略,但不希望用户拥有“AAD FullAccess”中定义的删除IP黑白名单规则的权限(aad:whiteBlackIpRule:delete),您可以创建一条相同Action的自定义策略,并将自定义策略的Effect设置为“Deny”,然后同时将“AAD FullAccess”和拒绝策略授予用户,根据Deny优先原则用户可以对AAD执行除了删除IP黑白名单规则的所有操作。以下策略样例表示:拒绝用户删除IP黑白名单规则。 { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "aad:whiteBlackIpRule:delete" ] }, ] }
  • 使用概览 DDoS原生基础防护的使用概览如使用概览所示。 DDoS原生基础防护暂不支持GEIP、GA类型的公网IP的攻击告警通知和防护策略定制。 表1 使用概览 子流程 说明 设置防护策略 为公网IP设置流量清洗阈值。详细操作请参见设置防护策略。 开启告警通知 为Anti-DDoS开启告警通知后,当公网IP受到DDoS攻击时用户会收到提醒消息。详细操作请参见开启Anti-DDoS告警通知。 设置事件告警通知 通过 云监控 服务,对防护的弹性公网IP启用事件监控,当出现清洗、封堵、解封等事件时进行告警。详细操作请参见设置事件告警通知。 配置Anti-DDoS日志 通过LTS记录的Anti-DDoS日志数据,快速高效地进行实时决策分析、设备运维管理以及业务趋势分析。详细操作请参见配置Anti-DDoS日志。 查看监控报表 查看单个公网IP的监控详情,包括当前防护状态、当前防护配置参数、24小时的流量情况、24小时的异常事件等。详细操作请参见查看Anti-DDoS监控报表。 查看拦截报告 查看用户所有公网IP地址的防护统计信息,包括清洗次数、清洗流量,以及公网IP被攻击次数Top10和共拦截攻击次数。详细操作请参见查看Anti-DDoS拦截报告。 父主题: DDoS原生基础防护操作指南
  • CNAD自定义策略样例 示例1:授权用户查询防护IP列表 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "cnad:protectedIpDropList:list" ] } ] } 示例2:拒绝用户删除IP黑白名单规则 拒绝策略需要同时配合其他策略使用,否则没有实际作用。用户被授予的策略中,一个授权项的作用如果同时存在Allow和Deny,则遵循Deny优先。 如果您给用户授予“CNAD FullAccess”的系统策略,但不希望用户拥有“CNAD FullAccess”中定义的删除IP黑白名单规则的权限(cnad:blackWhiteIpList:delete),您可以创建一条相同Action的自定义策略,并将自定义策略的Effect设置为“Deny”,然后同时将“CNAD FullAccess”和拒绝策略授予用户,根据Deny优先原则用户可以对CNAD执行除了删除IP黑白名单规则的所有操作。以下策略样例表示:拒绝用户删除IP黑白名单规则。 { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "cnad:blackWhiteIpList:delete" ] }, ] }
  • 操作须知 DDoS高防不支持下载防护日志数据。 在“概览”页面,您可以查看以下时间段的防护日志数据: DDoS攻击防护 可以查看指定高防实例和线路“24小时”、“近3天”、“近7天”、“近30天”和“自定义”的DDoS攻击防护数据,其中,“自定义”可以配置查看近90天的DDoS攻击防护数据。 CC攻击防护 可以查看防护域名“昨天”、“今天”、“近3天”、“近7天”和“近30天”的CC攻击防护数据。
共100000条