华为云用户手册

  • 网络物理链路规划 图1 网络物理链路规划图 表1 网络物理链路规划表 站点 源设备 源设备接口 目的设备 目的设备接口 总部DC1 Hub1_1/Hub1_2 GE0/0/1 Internet侧设备 - Hub1_1 GE0/0/5 GE0/0/6 Hub1_2 GE0/0/5 GE0/0/6 总部DC2 Hub2_1/Hub2_2 GE0/0/1 Internet侧设备 - Hub2_1 GE0/0/5 GE0/0/6 Hub2_2 GE0/0/5 GE0/0/6 分支 Site1_AR GE0/0/8 Internet侧设备 - LTE0/0/0(Cellular0/0/0) Internet - GE0/0/1 Site1_ACC GE0/0/24 Site1_ACC GE0/0/2 Site1_AP GE0/0/0 GE0/0/1 有线哑终端 - GE0/0/12 有线终端 - 父主题: 数据规划
  • 站点及ZTP开局数据规划 添加多个站点时,往往需要配置相同的网关类型、WAN链路条数和传输网络。通过定制链路模板可以将这些重复的配置信息模块化。 配置站点在WAN侧的物理链路,是进行开局的前提条件。站点配置或激活后,可新增或删除WAN侧链路。 表1 站点模板(RR设备) 参数 数据 模板名 Double_RR_Mix 单/双网关 双网关 WAN链路 名称 internet mpls internet1 mpls1 设备 Device1 Device2 端口 GE0/0/1 GE0/0/2 GE0/0/1 GE0/0/2 Overlay隧道 ON ON ON ON 传输网络(路由域) Internet MPLS Internet MPLS 角色 Active Active Active Active Inter-CPE链路 使用LAN侧二层物理口 OFF VLAN ID 4086~4094 设备1端口 GE0/0/3 GE0/0/4 设备2端口 GE0/0/3 GE0/0/4 表2 站点模板(CPE设备) 参数 数据 模板名 Single_CPE_Mix Double_CPE_Mix Single_CPE_Internet 单/双网关 单网关 双网关 单网关 WAN链路 名称 internet mpls internet mpls internet internet_5g 设备 Device1 Device1 Device1 Device2 Device1 Device1 端口 GE0/0/8 GE0/0/9 GE0/0/8 GE0/0/8 GE0/0/8 LTE1/0/0 Overlay隧道 ON ON ON ON ON ON 传输网络(路由域) Internet MPLS Internet MPLS Internet Internet_5G 角色 Active Active Active Active Active Standby Inter-CPE链路 使用LAN侧二层物理口 - - OFF - - VLAN ID - - 4086~4094 - - 设备1端口 - - GE0/0/1 GE0/0/2 - - 设备2端口 - - GE0/0/1 GE0/0/2 - - 为了便于用户管理设备和提升业务部署效率,同一个租户下,同一个网络的设备可以规划到一个站点中。 表3 站点及ZTP配置(1) 参数 数据 创建后,是否可以修改 备注 站点 Hub1 Hub2 是 站点名称可修改 是否开启RR功能 ON ON - - 单/双网关 双网关 双网关 - - 设备 Hub1_1 Hub1_2 Hub2_1 Hub2_2 - - 多子接口 OFF OFF OFF OFF 否 - RDB方式开局 OFF OFF OFF OFF 否 后续如果需要修改WAN链路,则需要打开该开关 WAN链路模板 Double_RR_Mix Double_RR_Mix - - 链路名称 internet mpls internet1 mpls1 internet mpls internet1 mpls1 否 配置完成后不可修改 VN实例 underlay_1 underlay_2 underlay_3 underlay_4 underlay_1 underlay_2 underlay_3 underlay_4 否 配置完成后不可修改 接口协议类型 IPoE IPoE IPoE IPoE IPoE IPoE IPoE IPoE - - 链路接入网络方式 静态 静态 静态 静态 静态 静态 静态 静态 - - IPv4地址/掩码 20.1.1.1/24 110.1.1.1/24 20.1.2.1/24 110.1.2.1/24 30.1.1.1/24 120.1.1.1/24 30.1.2.1/24 120.1.2.1/24 否 配置完成后不可修改 IPv4网关 20.1.1.2 110.1.1.2 20.1.2.2 110.1.2.2 30.1.1.2 120.1.1.2 30.1.2.2 120.1.2.2 否 配置完成后不可修改 IPv4公网IP 20.1.1.1 - 20.1.2.1 - 30.1.1.1 120.1.1.1 30.1.2.1 120.1.2.1 是 可以修改。公网IP为该链路上外部可访问的IP地址,分支可通过该地址注册到RR站点,当RR在NAT设备后或RR在云上部署时,需要填写映射到外部的外网IP。 上行容量(Mbps) 1000 1000 1000 1000 1000 1000 1000 1000 - 需要根据客户实际购买的链路带宽设置。 下行容量(Mbps) 1000 1000 1000 1000 1000 1000 1000 1000 - URL开局配置 ON ON ON ON ON ON ON ON 否 配置完成后开局链路不可修改,非开局链路支持删除和新增。 南向接入服务 Public Default South Access Public Default South Access Public Default South Access Public Default South Access Public Default South Access Public Default South Access Public Default South Access Public Default South Access 否 WAN链路默认均使用默认南向接入服务,也可选择其他自定义接入服务,开局后不可更改。 南向接入优先级 低 低 低 低 低 低 低 低 否 - 表4 站点及ZTP配置(2) 参数 数据 站点 Site1 Site2 Site3 是否开启RR功能 OFF OFF OFF 连接到RR Hub1、Hub2 Hub1、Hub2 Hub1、Hub2 单/双网关 单网关 双网关 单网关 多子接口 OFF OFF OFF RDB方式开局 OFF OFF OFF 站点模板 Single_CPE_Mix Double_CPE_Mix Single_CPE_Internet 设备 Site1_1 Site2_1 Site2_2 Site3_1 链路名称 internet mpls internet mpls internet internet_5g VN实例 underlay_1 underlay_2 underlay_1 underlay_2 underlay_1 underlay_2 接口协议类型 IPoE IPoE IPoE IPoE IPoE - 链路接入网络方式 静态 静态 静态 静态 动态 5G IPv4地址/掩码 40.1.1.1/24 130.1.1.1/24 50.1.1.1/24 140.1.1.1/24 - - IPv4网关 40.1.1.2 130.1.1.2 50.1.1.2 140.1.1.2 - - NAT穿越 ON OFF ON OFF ON ON 上行容量(Mbps) 20 20 20 20 20 20 下行容量(Mbps) 100 100 100 100 100 100 URL开局 ON ON ON ON ON OFF 南向接入服务 Public Default South Access Public Default South Access Public Default South Access Public Default South Access Public Default South Access Public Default South Access 南向接入优先级 低 低 低 低 低 低 父主题: 开局部署数据规划
  • NTP数据规划 AR设备上报性能数据时,会携带时间戳,如果AR的时间和云平台不一致,则会导致管理员在查看该设备的性能数据时,性能数据的时间与实际不符,站点流量和质量数据无法显示。所以云平台通过配置NTP,使站点设备和云平台的时间保持一致。 RR角色的Hub站点的NTP需要“手动配置”,分支站点NTP为“自动与RR站点同步”,规划数据如下表所示。 表1 RR角色的Hub站点的NTP信息(与网络设计参数规划中的NTP信息一致) 参数 数据 备注 时区 (UTC+08:00)北京,重庆,香港特别行政区,乌鲁木齐 需要客户提供NTP服务器地址,并且云平台和CPE(customer-premises equipment,客户终端设备)与NTP服务器网络可达。 NTP认证 OFF NTP客户端模式 手动配置 NTP服务器 10.10.1.1 认证模式 HMAC-SHA256 认证密码 ntp123 认证ID 123456 表2 分支站点NTP信息 参数 数据 时区 (UTC+08:00)北京,重庆,香港特别行政区,乌鲁木齐 NTP客户端模式 自动与RR站点同步 父主题: 开局部署数据规划
  • LAN侧接入数据规划 站点网关与LAN侧网络对接时,需要配置相应对接参数。 本章节及后续所有章节数据规划,无特殊说明,均以办公业务VN(OA)为例。 表1 站点LAN接口信息 参数 数据 创建后,是否可以修改 备注 VN OA - - 站点 Hub1 Hub2 Site1 Site2 - - 设备 Hub1_1 Hub1_2 Hub2_1 Hub2_2 Site1_1 Site2_1 Site2_2 - - 网关接口 L3 L3 L3 L3 L2 L2 L2 - - VLANID - - - - 400 300 300 是 子接口ID不能与内联的ID重复。 接口 GE0/0/6 GE0/0/6 GE0/0/6 GE0/0/6 GE0/0/6 GE0/0/6 GE0/0/6 是 建议总行统一分配,以便对上线站点做预配置,后续进行批量开局,以及业务割接。 模式 - - - - Untag Untag Untag - - 信任模式 信任 信任 信任 信任 信任 信任 信任 - - IPv4地址 170.1.1.10/24 170.1.1.20/24 180.1.1.10/24 180.1.1.20/24 33.1.1.10/24 22.1.1.10/24 22.1.1.20/24 - - VRRP VRRP ID - - - - - 1 1 - - 虚拟IP - - - - - 22.1.1.1 22.1.1.1 - - 默认角色 - - - - - Master Backup - - 优先级 - - - - - 120 100 - VRRP备份组中,优先级最高的成为Master设备(主设备),其余为Backup设备(备设备)。 抢占延迟(s) - - - - - 0 0 - - 认证方式 - - - - - 不认证 不认证 - - DHCP DHCP类型 - - - - Server Server Server - - Exclude IPv4 - - - - - 22.1.1.20~22.1.1.20 22.1.1.10~22.1.1.10 - - 租约时间 - - - - - - - - - 父主题: 站点互联数据规划
  • 自动发送周报 在项目进行过程中,可通过解决方案工作台配置周报自动发送,通知项目组相关成员项目进展和风险。 项目负责人(如项目经理“解决方案工作台Trial_PM”)在“实施管理”中选择“周报管理”功能。 图59 周报管理入口 配置周报发送信息。 表3 周报发送配置 参数 说明 是否自动发送 必选项。开关打开代表自动发送,提交之后会立即发送一次,之后按照设定的频率定期发送;关闭代表手动发送,提交之后只会立即发送一次,不会定期发送。 发送频次 打开自动发送之后必选项。包含每周和每月。 发送时间 选择发送频次后必选项。发送频次为每周,则发送时间为周一至周天的整点;发送频次为每月,则发送时间为每月1日至31日的整点。 邮件接收人 必填。您也可以下拉选择空间成员,只有已经在解决方案工作台空间订阅了邮件的账号才能够接收到周报邮件,没有订阅则不会接收到邮件;您也可以输入邮箱,发送给指定邮箱人员。 邮件抄送人 必填。您也可以下拉选择空间成员,只有已经在解决方案工作台空间订阅了邮件的账号才能够接收到周报邮件,没有订阅则不会接收到邮件。您也可以输入邮箱,发送给指定邮箱人员。 项目背景 选填。 本周工作进度 必填。总结本周工作进度。 下周工作计划 必填。输入下周计划。 添加自定义工作项 选填。自定义添加的工作项。 图60 配置周报信息 相应人员接收到邮件通知。 图61 邮件通知
  • 基础资源开通 基础设施部署作业支持对方案设计中涉及的云服务资源进行手工部署/在线化部署。本次方案中的部署架构设计为手工部署,因此需要手工开通资源。 在“作业管理”下选择“基础设施部署作业”页签,新建部署作业,新建时可与需求关联起来。本实践中的基础资源开通与交付需求创建中的“构建智慧门店数据中台”需求关联。 图54 新建部署作业 点击【资源变更】,开通资源。 图55 资源变更 在弹窗中填写资源部署详情,支持上传附件。 图56 资源部署详情 完成后点击【确定】即可。
  • 实施进度及附件管理 实施责任人“解决方案工作台Trial_TE”对实施进度进行管理,支持将需求实施的交付件上传到对应的需求记录上。 图57 更新进度 针对不同需求的实施进度,更新记录后可提交审核,由实施审核责任人“解决方案工作台Trial_TD”进行审核。 实施审核责任人收到审核待办,可对需求进行审核。 图58 实施管理审核 支持多个实施责任人并行进行交付作业实施,各责任人按实际情况更新实施进度并提交审核; 支持空间内成员下载实施详情中的附件。
  • 实施质量检查 实施质量检查包含 数据实例 实施过程中的工具,用户可以根据检查结果进行相应作业的优化,旨在帮助客户在进行 数据治理 过程中,能够更好地监控实施过程中的质量。 表2 实施质量检查功能介绍 功能模块 子模块 说明 数据模型设计检测 表命名规范检查 附加字段规范检查 数据治理时,数据会分层建设,数据集成方式(增量,全量)、集成周期都不一样,按照这些对每张表按其统一规范命名。扩展字段是为了对其每条数据做更好的运维统计,例如加了版本批次号、经过哪个ETL脚本而来的、数据入仓更新时间、软删除等等。 源系统和SDI层数据一致性检测 表数量对比 表内容对比 源系统表结构监控 在数据集成时,最重要的是数据不丢失、不失真、不乱码、源表数据结构不变化,否则会造成数据指标计算不准确。而数据集成服务的网络往往非常复杂,依赖于源系统和网络,因此在监控检测源系统和 数据湖 的SDI层的数据一致性,可以快速给问题定界定位。 DGC命名规范检测 作业命名 节点命名 脚本命名 环境变量命名 数据连接命名 DGC是 数据治理中心 ,尤其是数据开发模块,数据的ETL脚本的逻辑和任务调度编排均在DGC上。因此,一个规范统一的命名规范显得尤为重要,统一而规整,加强数据治理的专业性。 脚本规范检测 脚本注释 排版规范 语句规范 脚本承载着数据ETL的逻辑,定期运行。增强脚本的可读性,有助于数据开发阶段的人员定位问题、交流以及后期的运维。 DGC作业监控 作业运行时间监控 节点运行时间监控 作业运行时长的影响因素包含计算资源的影响和处理数据的影响,因此,当作业运行时间波动很大时,表明计算资源或者表数据有问题。例如,临时表没有清理,表数据发散等等,到最后都会造成重大问题。本功能模块可以在这些bug产生较小的影响情况下发现并及时修改。 表命名规范检查 在“作业管理”下选择“实施质量检查作业”页签,在“数据模型设计”下选择“表命名规范”,添加监控对象。如,本实践需要检查目标端 MRS Hudi的表命名是否符合规范,则可选择该数据连接。 图34 添加监控对象 解决方案工作台为每类实施质量检查作业预置通用的检查规则,如上图中表命名规范检查作业,解决方案工作台预置了部分规范标准,用户可在【规则配置】里根据需要修改或新增规则。 添加采集信息,对需要进行规范检查的DB、Schema进行配置,配置规则名根据需要选择解决方案工作台预置的或新增的规范标准。 图35 添加采集信息 预览监控对象配置信息,并将该信息复制到5中的配置文件application.properties内,运行探源工具,获取监控信息。 图36 预览监控对象配置信息 查看检查结果。 若运行探源工具的服务器可访问公网,则检查结果可在线上报,点击界面右侧的刷新按钮即可查看;若运行探源工具的服务器仅能在内网运行,可通过【导入】的方式将探源工具获取的结果进行导入。本实践通过导入的方式进行离线导入。 图37 探源工具运行结果 图38 导入检查结果 附加字段规范检查 与表命名规范检查一样,可以添加需要监控的对象后配置需要采集信息的数据库、表,用户可根据需要修改/新增附加字段规范。同样,本功能模块需要运行探源工具获取检查结果。 图39 探源工具运行结果 图40 查看检查结果 源系统和SDI层数据一致性检查 若在完成 CDM 作业一键生成后开启了同步生成质量检查作业,则此处会同步生成检查作业;用户也可以根据需要自己添加监控对象。同样,本功能模块需要运行探源工具获取检查结果。 图41 源系统和SDI层数据一致性检查作业 图42 探源工具检查结果 图43 检查结果 DataArts Studio 作业命名检查 检查DataArts Studio作业是否符合项目定义的规范。 编辑作业命名规范。解决方案工作台预置了批处理作业和实时检查作业的检查规范,用户可以根据需要修改。 新建监控对象。选择本账号下要检查的DataArts Studio实例。 图44 添加监控对象 点击刷新按钮,查看结果结果。 图45 查看检查结果 DataArts Studio作业节点命名检查 检查DataArts Studio作业中的作业节点(CDM JOB、MRS Kafka等)命名是否符合项目定义的规范。同样,用户可根据需要修改解决方案工作台预置的节点命名检查规范后,添加指定的监控对象进行检查。 图46 作业节点命名检查 DataArts Studio脚本命名检查 检查DataArts Studio脚本命名是否符合项目定义的规范。 图47 脚本命名检查 DataArts Studio环境变量命名检查 图48 环境变量命名检查 DataArts Studio数据连接命名检查 检查DataArts Studio数据连接(Oracle、MRS Hudi、Hive、DWS等)命名是否符合项目定义的规范。 图49 数据连接命名检查 脚本规范检测 检查DataArts Studio脚本是否符合项目定义的规范。 图50 添加脚本检测规范 图51 查看检查结果 DataArts Studio作业监控 图52 作业监控配置 图53 作业监控结果
  • ETL Mapping 数据治理中心DataArts Studio是针对企业数字化运营诉求提供的具有数据全生命周期管理和智能数据管理能力的一站式治理运营平台。解决方案工作台集成DataArts Studio,支持将方案设计中“ETL映射设计”部分形成的ETL脚本同步到DataArts Studio作业指定的目录。 前提: 已在实施责任人“解决方案工作台Trial_TE”所属账号下开通DataArts Studio服务。 已在该DataArts Studio服务中创建MRS Hudi数据连接(本实践中的数据连接名称“spark_hudi_proxy_cnt”,名称可自定义),以便基于数据连接同步作业以及后续在DataArts Studio中执行脚本。 为了后续能正确执行脚本,请创建与ETL映射中需要用到的数据库类型相同的连接,如,本实践中的ETL映射需要同步的数据来源与目标端均为MRS Hudi,则在DataArts Studio服务中需要创建MRS Hudi连接。 步骤: 在“作业管理”下选择“ETL Mapping作业”页签,添加数据治理实例。选择本账号下的数据治理(DataArts Studio)所属region、实例以及空间。 图29 添加数据治理实例 同步ETL Mapping。 图30 同步ETL Mapping 配置ETL Mapping。本实践中,需要将ETL映射配置好的ETL映射同步至DataArts Studio中。 实施作业名称:自定义; 关联需求:可选,可与交付需求创建的相关需求关联起来(本实践与需求“数据治理”下的“构建智慧门店数据资产”关联),关联后该ETL作业将会自动在实施进度管理中展示; ETL Mapping名称:选择ETL映射中配置好的ETL映射; DataArts Studio目录:选填需要将该ETL映射同步至DataArts Studio的具体目录; 连接名称:选择在DataArts Studio中创建好的MRS Hudi连接。 图31 配置ETL Mapping 点击【同步历史】,查看同步结果。 图32 查看同步结果 您也可以进入该DataArts Studio实例中查看同步结果并执行脚本。 图33 查看同步结果
  • CDM作业一键生成 云数据迁移 CDM,是一种高效、易用的数据集成服务。解决方案工作台集成CDM,支持批量生成CDM作业并在指定的CDM实例中运行。 前提: 已在实施责任人“解决方案工作台Trial_TE”所属账号下创建CDM集群。 已在该CDM服务中创建数据连接,以便后续把在解决方案工作台上生成的CDM作业同步至创建好的CDM集群中并执行作业。本实践中涉及两个源端MySQL数据库、一个目标端MRS Hudi,则需要先把这三个数据连接创建完成,参考新建CDM数据连接。 注意:在CDM中创建的数据连接名称需要和解决方案工作台上的数据连接名称一致,以便CDM作业能正确同步过去。 图20 CDM数据连接 步骤: 在“作业管理”下选择“CDM作业”页签,添加CDM实例。 图21 添加CDM实例 点击【一键生成作业】,进入作业配置详情页。 图22 一键生成作业 配置作业详情。可手工添加或批量增加,若已在数据调研中生成入湖清单,则支持从入湖清单导入。 源连接名称:选择源端系统连接,即,在数据调研中创建两个源端MySQL数据连接; 目的连接名称:选择在数据调研中MRS-Hudi数据连接。 图23 从入湖清单导入 配置完成后点击【提交】。可选择是否同步生成质量检查作业,若开启,则将会在实施质量检查中生成检查作业。 图24 提交作业配置 图25 作业信息 要运行CDM作业,请确保有相应的数据连接以及连接的数据库存在,如,目标端MRS Hudi数据库要存在。 一键同步作业:将配置好的CDM作业同步至CDM集群中,以便后续可在CDM集群中执行作业。 图26 一键同步作业 您可以点击【同步历史】,查看同步结果。 图27 查看同步历史 您也可以进入CDM集群中查看作业并运行作业。 图28 查看CDM集群作业
  • 数据调研 在项目交付进行方案设计和实施开发之前,需要梳理当前项目中的原始数据有哪些,即数据调研。本实践的数据源如下: 表1 数据源信息 归属系统 数据类型 DB&表 说明 源端-门店系统 MySQL store_mgmt.t_user_store_info 源端门店基本信息表,需要通过数据调研的方式获取表结构。 源端-订单系统 MySQL order_mgmt.t_trade_order 源端订单基本信息表,需要通过数据调研的方式获取表结构。 目标端-数据中台 MRS-Hudi t_trade_order t_user_store_info 目标端系统,不需要做数据调研,但是由于后续做数据迁移入湖时需要用到,因此可以在本章节统一创建数据连接。 实施责任人(本实践设置为“解决方案工作台Trial_TE”)在交付空间内左侧导航栏选择“交付中心-实施管理”,在相应的项目下点击【实施交付】按钮,进入后切换至“作业管理”TAB页下的“数据调研作业”页面。 图2 数据调研作业页面 点击【管理应用系统和数据连接】,创建公司组织架构信息。 在开始对调研对象进行监控前,需要创建应用系统列表,用于展示公司的组织架构信息。后续的数据连接以及监控等需要按照组织架构进行划分。 图3 创建组织架构信息 如上图所示,创建了三个应用系统,分别表示源端的门店和订单系统、以及目标端的数据中台管理系统。 创建数据连接。 按照公司组织架构,根据对应的连接系统和数据库连接类型管理用户的数据连接,以便完成数据调研以及后续的数据实施。 图4 创建数据连接 在本实践中,需要将客户源端的MySQL数据迁移至云上MRS,如下图所示为本实践配置的数据连接,分别是源端的两个MySQL连接和目标端的一个MRS Hudi连接。 图5 数据连接清单 添加监控对象,配置想要采集的数据连接的库表信息,以及所需采集的空值字段的表名和表字段名。 图6 配置调研规则入口 为了做源端数据调研,需要对源端系统进行监控,若需要对字段的空置率进行检测,则可配置要检测的字段名。 进入“配置调研规则”页面后,点击【添加监控对象】。如下图添加了两个源端连接(订单系统、门店系统)作为监控对象。 图7 添加监控对象 点击右下角的【下一步】,配置鉴权码。本实践选择【关闭】。 数据调研结果可在线上报或离线导入。若运行调研工具的服务器可访问公网,则可在此选择【开启】鉴权码,将开启状态的鉴权码配置到数据调研的配置文件中,数据调研结果将会在线上报至解决方案工作台;否则需要离线导入,此时可选择【关闭】鉴权码。 图8 配置鉴权码 点击右下角的【下一步】,配置采集规则。 解决方案工作台支持使用调研工具对源系统进行数据调研,支持配置数据调研规则,包含DB、表信息等采集周期和具体时间,若未配置,则按默认规则进行数据采集。 DB采集:配置数据库采集时间,如:数据库类型,数据库表数,数据总量,采集时间。 表信息采集:配置表的采集时间。 字段采集:配置字段采集时间。 上报采集:配置库、表、字段采集信息的上报时间。 删除字段:各项目根据自己公司的实际情况,配置表在软删除时删除字段的名称。 图9 配置采集规则 点击【确定】,将会自动下载配置文件application.properties。您可以将配置文件保存至本地并补充待调研系统的数据库登录信息。 配置文件中包含了前面配置的规则、数据源信息等,用户可以修改配置文件中的信息。由于解决方案工作台不记录数据库密码,因此下载配置文件后可自行在文件中补充数据库登录密码。 图10 下载配置文件 图11 更新配置文件 返回“数据调研作业”页面,下载探源工具示例代码,结合下载的配置文件按照探源工具指导对源系统进行数据调研。 下载探源工具示例代码 图12 下载探源工具示例代码 将下载的压缩包解压缩。jar包已提供为分段压缩包,把子压缩包放在一个文件夹中解压即可得到完整jar包。同时支持通过修改代码,重新编译打包。 将jar包放入远端服务器中,即环境准备中用来做调研的服务器中。例如,本最佳实践需要对两个MySQL数据库进行数据调研,则可将本探源工具放入准备好的某台linux服务器中,只需保证该服务器网络可访问到这两个MySQL数据库即可。 将5中下载的配置文件application.properties放入该远端服务器中。注意,需要和jar包在同一个目录下。 图13 探源工具 运行启动脚本:run_agent.sh 启动后,将会按照5中配置文件application.properties的规则进行数据调研,获取指定数据库的数据结构。更多说明,请参考探源工具示例代码中的指导。 探源工具通过查询指定数据库的系统表获取相关信息,对数据库压力较小,但为了保证不影响业务,建议将探源工具的定时任务设置在凌晨等压力较小的时间段进行。 查看监控对象数据调研结果。数据调研结果可在线上报或离线导入:若运行探源工具的服务器可访问公网,则支持在线上报;否则需要离线导入。 在线上报 按照5中配置文件application.properties的采集和上报规则,调研结果可在线上报到解决方案工作台(要求运行探源工具的服务器可访问公网)。在图15中点击刷新按钮即可。 离线导入 若调研的系统仅能在客户侧内网运行,则可通过离线导入的方式将调研结果(6运行后会在相同目录下生成数据压缩包)导入到解决方案工作台。 图14 探源工具运行结果 图15 查看调研结果 点击表名可查看详细表结构,包括表行数、表数据量、空值率检测(该表是否进行了空置率检测)等。 图16 数据探源结果 生成入湖清单 对于探源到的数据,可将需要的数据配置生成入湖清单,后续基于入湖清单可直接生成CDM迁移入湖作业。如,本实践中需要将探源到的订单系统和门店系统进行数据迁移,通过CDM迁移至云上MRS Hudi,则可选择这两个系统下的表生成入湖清单,目标端选择MRS Hudi。 图17 新增入湖清单 图18 配置入湖清单 图19 入湖清单
  • 在需求的流程图里选择的默认处理人后面可以更改吗? 用例的设计人和用例的执行人修改后,提交需求,审核通过后就直接生效了,后续是可以修改的,可以在流程图里修改,也可以由主处理人在用例管理界面修改。 需求提交人在流程图里不能修改,因为提交人已经是当前操作人了。 测试需求审核人、测试用例审核人、测试报告审核人,在后续环节中可选择其他成员作为审核人。如下图所示,会默认显示流程图里的处理人,您也可以修改处理人。 图1 提交用例设计 父主题: 验证中心
  • 常用功能配置 检测网络状况 单击查看“网络状态”中的“时延”。 在命令执行窗口中输入以下命令,检测终端接入桌面的网络状况。 ping 桌面的互联网接入地址 进入UOS操作系统桌面命令窗口的步骤: 在桌面任意空白处,单击右键,选择“在终端中打开”。 在任务栏单击,选择“终端”。 进入Windows操作系统桌面命令执行窗口的步骤: 在开始菜单中“搜索程序和文件”应用中输入cmd,打开命令执行窗口。 安装应用程序 以下方法需要管理员预先开启相关策略或必要配置。
  • 背景信息 病毒文件是指终端上的病毒文件,包括木马病毒、灰色软件等,会破坏用户文件、影响系统运行。 租户需要对“未处置”病毒威胁事件进行处置,处置方法包括“快速处置”和“标记状态”。 快速处置:使用系统推荐的快速处置方式,租户需核实确认并进行处置下发。处置过程中病毒文件事件显示为“处置中”,处置成功则返回状态“处置成功”,处置失败则返回状态“处置失败”。 标记状态:租户可手动对病毒文件事件进行标记,标记后处置状态分别显示为“忽略”、“已人工处置”。 网络隔离:对存在风险的终端进行网络隔离。在智能终端安全服务首页概览页面单击“隔离终端”,在隔离终端列表可以执行“恢复”操作。
  • 防病毒场景 计算机病毒是指会破坏终端功能或数据的一组指令或代码,通常附着在文件上以病毒文件的形式出现。近年来,网络病毒攻击日趋频繁,终端安全面临着前所未有的挑战。 计算机病毒可对企业造成如下危害: 企业系统瘫痪,生产线控制紊乱,无法开展正常业务。 企业数据遭遇破坏或丢失,蒙受巨大损失。 智能终端安全服务针对计算机病毒,可以实现: 对全磁盘目录进行实时防护,阻止病毒文件以浏览器下载、U盘转移等方式入侵。 检测病毒文件运行产生的恶意进程,进行自动化处置。 针对病毒文件,提供病毒查杀功能,进行隔离操作。
  • 防勒索场景 勒索软件是不法分子通过加密文件等方式劫持用户文件,借此索要钱财的一种恶意软件。勒索软件变种多,更新快,难以防范,攻击目标一般是终端上的文件,会在企业内部的终端上进行横向扩散,给企业的终端安全带来很大的风险和挑战。 勒索软件对企业可造成如下危害: 企业遭遇勒索,直接导致大额经济损失。 企业重要文件被加密,业务被迫中断,生产力遭遇冲击,间接影响企业经济。 企业重要数据遭遇篡改或公开,声誉受损,大众对企业信任度降低。 智能终端安全服务针对勒索软件,可以实现: 对全磁盘目录进行实时防护,阻止勒索软件以浏览器下载、U盘转移等方式入侵。 提供诱饵捕获功能,针对勒索病毒特征设置诱饵文件,及时捕获异常事件。 针对勒索病毒特征,提供文件防篡改功能,支持重点文件访问权限控制,及时上报加密行为。 围绕勒索攻击过程,检测各个攻击场景的威胁事件,自动下发威胁处置策略。 针对勒索病毒文件,提供病毒查杀功能,隔离相关文件。
  • 防挖矿场景 挖矿木马是指非法入侵终端并持续驻留,利用终端计算能力挖矿来为攻击者谋取利益的一种恶意软件。挖矿木马潜伏时间长,隐蔽性高,挟持大量计算资源,对企业终端安全造成巨大威胁。 挖矿木马对企业可造成如下危害: 企业消耗大量电力资源,遭受重大经济损失。 企业终端CPU被持续占用,系统业务响应变慢,设备寿命减短。 企业终端存在恶意连接,重要信息面临泄露风险。 智能终端安全服务针对挖矿木马,可以实现: 对全磁盘目录进行实时防护,阻止挖矿木马以浏览器下载、U盘转移等方式入侵。 通过HiSec Endpoint Agent上报的DNS请求数据,与威胁信息矿池库做对比,检测是否存在向挖矿矿池请求的恶意连接,及时发现威胁事件。 针对挖矿木马,提供病毒查杀功能,检出挖矿文件并将其隔离。
  • 防无文件攻击场景 无文件攻击是一种不向磁盘写入可执行文件的攻击方法,难以被基于文件扫描的传统防病毒方案检测到,隐蔽性强,入侵成功率高。 无文件攻击可对企业造成如下危害: 企业终端CPU被持续占用,系统业务响应变慢,设备寿命减短。 企业终端存在恶意连接,重要信息面临泄露风险。 智能终端安全服务针对无文件攻击,可以实现: 提供 威胁检测 功能,识别无文件攻击产生的恶意进程,并进行自动阻断。 针对使用不可执行文件进行攻击的场景,提供病毒查杀功能,隔离相应文件。 自动关闭无文件攻击的计划任务,防止其定期攻击终端。
  • USG6000F-Exx USG6000F-Exx的介绍以USG6000F-E01为例,其他机型与USG6000F-E01存在少许差异,具体请参见《HiSecEngine USG6000F系列 硬件指南》。 图4 USG6000F-E01外观和辅料 表7 USG6000F-E01业务口说明 接口名称 描述 GE电接口(0~15) 接口编号为GE0/0/0~GE0/0/15。 GE光接口(16~27) 接口编号为GE0/0/16~GE0/0/27。 10GE光接口(0~3) 接口编号为10GE0/0/0~10GE0/0/3。 MGMT接口 设备管理网口,接口编号为MEth0/0/0,默认IP地址为192.168.0.1。 表8 USG6000F-E01指示灯说明 指示灯丝印 指示灯名称 指示灯颜色 指示灯状态 状态描述 PWR 电源指示灯 绿色 常亮 电源工作正常。 - 常灭 电源故障或设备未上电。 SYS SYS指示灯 绿色 常亮 系统处于上电加载或复位启动状态。 绿色 每2秒闪1次(0.5Hz) 系统处于正常运行状态。 绿色 每秒闪4次(4Hz) 系统处于启动中。 红色 常亮 系统故障。 电源异常告警。 风扇异常告警。 说明: 系统以双电源状态启动时,如果其中一个电源未上电,则SYS指示灯状态为红色常亮,但系统会正常运行。 - 常灭 系统未运行。
  • USG6000F-Sxx USG6000F-Sxx的介绍以USG6000F-S150为例,其他机型与USG6000F-S150存在少许差异,具体请参见《HiSecEngine USG6000F-S系列 硬件指南》。 图5 USG6000F-S150外观和辅料 表9 USG6000F-S150业务口说明 接口名称 描述 光电互斥接口(Combo接口,0~7) 接口编号为GE0/0/0~GE0/0/7。 10GE光接口(0~1) 接口编号为10GE0/0/0~10GE0/0/1。 GE电接口(8~9) 接口编号为GE0/0/8~GE0/0/9。 MGMT接口 设备管理网口,接口编号为MEth0/0/0,默认IP地址为192.168.0.1。 表10 USG6000F-S150指示灯说明 指示灯丝印 指示灯名称 指示灯颜色 指示灯状态 状态描述 PWR 电源指示灯 绿色 常亮 电源工作正常。 - 常灭 电源故障或设备未上电。 SYS SYS指示灯 绿色 常亮 系统处于上电加载或复位启动状态。 绿色 每2秒闪1次(0.5Hz) 系统处于正常运行状态。 绿色 每秒闪4次(4Hz) 系统处于启动中。 红色 常亮 系统故障。 电源异常告警。 风扇异常告警。 说明: 系统以双电源状态启动时,如果其中一个电源未上电,则SYS指示灯状态为红色常亮,但系统会正常运行。 - 常灭 系统未运行。
  • USG67xxF USG67xxF的介绍以USG6710F为例,其他机型与USG6710F存在少许差异,具体请参见《HiSecEngine USG6000F系列 硬件指南》。 图3 USG6710F外观和辅料 表5 USG6710F业务口说明 接口名称 描述 100GE/40GE光接口(0~1) 接口编号为100GE0/0/0~100GE0/0/1。 100GE/40GE接口默认工作在100Gbit/s速率模式,在插入40GE光模块时兼容40Gbit/s速率。 25GE/10GE光接口(0~7) 25GE/10GE光接口和100GE/40GE光接口为复用接口,4个25GE/10GE接口与1个100GE/40GE接口对应(25GE/10GE的0~3口,4~7口分别对应100GE/40GE的0口,1口)。 25GE/10GE接口默认工作在10Gbit/s速率模式,接口编号为10GE0/0/0~10GE0/0/7。 40GE光接口(2~3) 接口编号为40GE0/0/2~40GE0/0/3。 10GE光接口(8~15) 接口编号为10GE0/0/8~10GE0/0/15。 10GE/GE光接口(16~27) 接口编号为10GE0/0/16~10GE0/0/27。 MGMT接口 设备管理网口,接口编号为MEth0/0/0,默认IP地址为192.168.0.1。 表6 USG6710F指示灯说明 指示灯丝印 指示灯名称 指示灯颜色 指示灯状态 状态描述 PWR 电源指示灯 绿色 常亮 电源工作正常。 - 常灭 电源故障或设备未上电。 SYS SYS指示灯 绿色 常亮 系统处于上电加载或复位启动状态。 绿色 每2秒闪1次(0.5Hz) 系统处于正常运行状态。 绿色 每秒闪4次(4Hz) 系统处于启动中。 红色 常亮 系统故障。 电源异常告警。 风扇异常告警。 说明: 系统以双电源状态启动时,如果其中一个电源未上电,则SYS指示灯状态为红色常亮,但系统会正常运行。 - 常灭 系统未运行。
  • USG66xxF USG66xxF的介绍以USG6615F为例,其他机型与USG6615F存在少许差异,具体请参见《HiSecEngine USG6000F系列 硬件指南》。 图2 USG6615F外观和辅料 表3 USG6615F业务口说明 接口名称 描述 光电互斥接口(Combo接口,0~7) 电接口与其对应的光接口是光电复用关系,两者不能同时工作(例如:当激活光接口时,对应的电接口就自动处于禁用状态)。 电接口和光接口共用一个接口视图,其接口编号为GE0/0/0~GE0/0/7。 缺省情况下,Combo接口工作在电接口状态。可根据组网需求,通过命令combo enable fiber选择使用光接口,或通过命令undo combo enable fiber选择使用电接口。 GE电接口(8~11) 接口编号为GE0/0/8~GE0/0/11。 GE光接口(12~15) 接口编号为GE0/0/12~GE0/0/15。 10GE光接口(0~5) 接口编号为10GE0/0/0~10GE0/0/5。 MGMT接口 设备管理网口,接口编号为MEth0/0/0,默认IP地址为192.168.0.1。 表4 USG6615F指示灯说明 指示灯丝印 指示灯名称 指示灯颜色 指示灯状态 状态描述 PWR 电源指示灯 绿色 常亮 电源工作正常。 - 常灭 电源故障或设备未上电。 SYS SYS指示灯 绿色 常亮 系统处于上电加载或复位启动状态。 绿色 每2秒闪1次(0.5Hz) 系统处于正常运行状态。 绿色 每秒闪4次(4Hz) 系统处于启动中。 红色 常亮 系统故障。 电源异常告警。 风扇异常告警。 说明: 系统以双电源状态启动时,如果其中一个电源未上电,则SYS指示灯状态为红色常亮,但系统会正常运行。 - 常灭 系统未运行。
  • USG65xxF USG65xxF的介绍以USG6555F为例,其他机型与USG6555F存在少许差异,具体请参见《HiSecEngine USG6000F系列 硬件指南》。 图1 USG6555F外观和辅料 表1 USG6525F业务口说明 接口名称 描述 光电互斥接口(Combo接口,0~7) 电接口与其对应的光接口是光电复用关系,两者不能同时工作(例如:当激活光接口时,对应的电接口就自动处于禁用状态)。 电接口和光接口共用一个接口视图,其接口编号为GE0/0/0~GE0/0/7。 缺省情况下,Combo接口工作在电接口状态。可根据组网需求,通过命令combo enable fiber选择使用光接口,或通过命令undo combo enable fiber选择使用电接口。 GE电接口(8~9) 接口编号为GE0/0/8~GE0/0/9。 10GE光接口(0~1) 接口编号为10GE0/0/0~10GE0/0/1。 MGMT接口 设备管理网口,接口编号为MEth0/0/0,默认IP地址为192.168.0.1。 表2 USG6525F指示灯说明 指示灯丝印 指示灯名称 指示灯颜色 指示灯状态 状态描述 PWR 电源指示灯 绿色 常亮 电源工作正常。 - 常灭 电源故障或设备未上电。 SYS SYS指示灯 绿色 常亮 系统处于上电加载或复位启动状态。 绿色 每2秒闪1次(0.5Hz) 系统处于正常运行状态。 绿色 每秒闪4次(4Hz) 系统处于启动中。 红色 常亮 系统故障。 电源异常告警。 风扇异常告警。 说明: 系统以双电源状态启动时,如果其中一个电源未上电,则SYS指示灯状态为红色常亮,但系统会正常运行。 - 常灭 系统未运行。
  • 试用套餐申请说明 智能终端安全服务试用套餐目前仅支持线上申请方式,提供终端防护服务试用版、终端防护服务试用版(PC专业版)、终端防护服务试用版(服务器版)等套餐规格,各试用套餐对应的产品功能分别与PC标准版、PC专业版、Windows Server服务器版一致,操作系统要求请参见表3。 用户需在华为乾坤商城向华为乾坤运营人员进行试用套餐申请,具体操作请参见《服务开通》的“购买与开通服务”章节。 表3 试用套餐规格介绍 套餐名称 套餐规格 操作系统支持 终端防护服务试用版 资产数:100 Windows 7 专业版、旗舰版、企业版 (32/64位) Windows 10(32位/64位) Windows 11(64位) 终端防护服务试用版(PC专业版) 终端防护服务试用版(服务器版) 资产数:20 Windows 7 专业版、旗舰版、企业版 (32/64位) Windows 10(32位/64位) Windows 11(64位) Windows Server 2012 R2及以上(64位) Linux Server版 资产数:10 CentOS 7及以上 RedHat 8及以上 Euler 2.0及以上 Debian 10及以上 SUSE 12/15 Ubuntu16/18/20/22(X86/ARM) Huawei Cloud EulerOS 2.0 标准版(64位) 信创PC版 资产数:10 银河麒麟桌面操作系统V10及以上 统信桌面操作系统V20以上
  • 背景信息 勒索事件是指因勒索软件产生的威胁事件,包括文件篡改、漏洞利用等。 针对勒索事件,云端有如下几种处置方式: 云端智能分析后推荐处置规则,并成功终止进程和隔离相关文件,其状态显示为“处置成功”。 云端智能分析后无法推荐处置规则,由安全运营专家进一步分析后手动下发处置规则,成功终止进程和隔离相关文件,其状态显示为“处置成功”。 云端智能分析和安全运营专家根据现有信息无法处置,需要租户进行人工处置时,其状态显示为“未处置”。 租户需要对“未处置”的勒索事件进行处置,处置方法包括“快速处置”和“标记状态”。 快速处置:使用系统推荐的快速处置方式,租户需核实确认并进行处置下发。处置过程中勒索事件显示为“处置中”,处置成功则返回状态“处置成功”,处置失败则返回状态“处置失败”。 标记状态:租户可手动对勒索事件进行标记,标记后处置状态分别显示为“忽略”、“已人工处置”。 网络隔离:对存在风险的终端进行网络隔离。在智能终端安全服务首页概览页面单击“隔离终端”,在隔离终端列表可以执行“恢复”操作。
  • 背景信息 每台终端均有一个黑白名单策略。云端会根据HiSec Endpoint Agent上报的进程信息,与黑白名单策略进行比对,用于判断该终端上是否存在恶意进程,并对相关进程进行管控。 如果进程在白名单中,表示用户认可该进程不存在潜在风险,系统将忽略其可能触发的风险行为,不会再上报给云端进行检测和处置。 如果进程在黑名单中,表示用户不希望该进程继续运行,如果检测到该进程启动,用户可以选择手动处置或开启自动处置功能,系统将在进程启动后自动关闭该进程。
  • 背景信息 病毒文件会产生恶意进程,给终端造成了很大的安全隐患。智能终端安全服务支持对终端上的文件进行检测,筛查出病毒文件。 创建病毒扫描任务,是检测和处置病毒文件的前提。目前支持的病毒扫描任务创建模式为“快速查杀”、“全盘查杀”、“自定义查杀”。 快速查杀:建立节约时间的病毒扫描任务,使用系统默认的查杀策略对终端执行基本的病毒扫描。 全盘查杀:建立对于全磁盘的病毒扫描任务,对终端执行最彻底的病毒扫描。 自定义查杀:根据租户实际需求,使用针对性的查杀策略对终端执行病毒扫描任务。
  • 背景信息 挖矿木马是指因挖矿软件产生的威胁事件,包括恶意 域名 访问、恶意样本创建、恶意IP连接等。 针对挖矿木马,云端有如下几种处置方式: 云端智能分析后推荐处置规则,并成功终止进程和隔离相关文件,其状态显示为“处置成功”。 云端智能分析后无法推荐处置规则,由安全运营专家进一步分析后手动下发处置规则,成功终止进程和隔离相关文件,其状态显示为“处置成功”。 云端智能分析和安全运营专家根据现有信息无法处置,需要租户进行人工处置时,其状态显示为“未处置”。 租户需要对“未处置”的挖矿木马事件进行处置,处置方法包括“快速处置”和“标记状态”。 快速处置:使用系统推荐的快速处置方式,租户需核实确认并进行处置下发。处置过程中挖矿木马事件显示为“处置中”,处置成功则返回状态“处置成功”,处置失败则返回状态“处置失败”。 标记状态:租户可手动对挖矿木马事件进行标记,标记后处置状态分别显示为“忽略”、“已人工处置”。 网络隔离:对存在风险的终端进行网络隔离。在智能终端安全服务首页概览页面单击“隔离终端”,在隔离终端列表可以执行“恢复”操作。
  • 什么是智能终端安全服务 随着数字化的不断深入,企业越来越依赖网络通信技术以满足其业务需求,与此同时,企业面临的网络安全风险也越来越大。由于人的行为具有不确定性,电脑、服务器等终端作为直接与人交互的装置,面临更多的安全风险,往往是整个网络安全防护流程中最薄弱的环节。近年来,针对终端的攻击行为层出不穷,攻击者不仅可以从外部入侵,还可以直接从企业内部发起攻击,导致终端感染甚至威胁扩散,造成企业重大经济损失。 企业终端安全面临着严峻的挑战,是网络安全建设的重点关注对象。 终端信息无法统筹,管理难 传统终端安全产品主要着眼于单点终端上的病毒查杀,因为缺乏对终端信息的集中收集和分析,管理员无法统筹管理企业终端资产,全面识别系统漏洞。对于终端数量庞大的企业来说,此弊端尤为明显,容易导致企业终端被黑客或恶意竞争者攻击,造成企业关键数据泄露或业务中断。 未知威胁不断涌现,应对难 随着威胁手段和攻击技术的不断提高,企业频频遭受未知威胁攻击,例如无文件攻击、勒索变种、高级持续性威胁等。然而传统安全产品仅采用威胁特征库匹配技术,只能识别已知威胁,无法有效应对不断涌现的新型威胁。 威胁事件无法溯源,分析难 传统终端安全产品忽视攻击路径分析,无法对威胁事件进行事后溯源,企业不能感知威胁事件发生的原因和过程。因此,管理员无法根据威胁发生原因制定对应的防御策略,不能从根本上阻断威胁,导致同类威胁事件重复发生。 传统终端安全产品无法解决终端管理难、未知威胁应对难、溯源分析难等问题,华为乾坤在深入分析终端安全建设困境后,推出了智能终端安全服务。 智能终端安全服务是针对企业本地终端进行风险检测和处置,防止终端感染和威胁在内网传播的一种服务。它采用云、端协同架构,由云端和安装在终端侧的HiSec Endpoint Agent组成,如图1所示。 图1 智能终端安全服务架构图 云端提供资产管理、威胁检测和溯源处置功能,具体内容如下。 资产管理:提供自动化终端资产清点能力,统筹管理终端信息并进行多维资产风险评估,实时感知资产状态。 威胁检测:提供终端全攻击路径威胁检测能力,对检出的风险进行自动阻断。 溯源处置:提供攻击可视化能力,对威胁事件进行精确的溯源分析,支撑威胁事件深度清理。 HiSec Endpoint Agent需要安装到企业内网的每一台终端上,主要负责收集并上报终端上的租户登录、进程运行/创建、目录/文件访问日志、DNS(Domain Name System,域名系统)请求信息,并执行云端下发的指令和预置的主动防御策略。 父主题: 产品介绍
  • 背景信息 租户在首次购买和开通智能终端安全服务后,或企业内部新增大量终端资产的情况下,需要批量安装HiSec Endpoint Agent。如果都采用本地安装,HiSec Endpoint Agent安装效率低,严重影响企业业务的正常运行。为了满足批量安装场景,提高运营效率,智能终端安全服务提供HiSec Endpoint Agent批量安装功能,租户管理员可通过邮件发送或域控的方式将HiSec Endpoint Agent部署在每一台待管理终端上。
共100000条