华为云用户手册

季度预算支持的动态规划规则 规则 说明 按上个季度的实际值 系统直接使用上个季度的实际成本设置预算金额。 示例：上个季度实际成本为100元，则当前季度的预算金额为100元。 按本季度的预测值 系统根据当前季度的成本预测值自动设置预算金额。预测功能的具体描述请参见预测的应用与限制。 示例：根据预测功能计算出当前季度的预测成本为100元，则当前季度的预算金额为100元。 说明： 如果当前的历史数据不足，则不支持使用该规则进行预算金额的设置。 按过去数个季度的实际平均值 系统根据历史季度实际成本的平均值，自动设置预算金额。历史季度的选择范围为1-4个季度。 示例场景：动态规划规则设置为“按过去数个季度的实际平均值/过去2个季度”，过去2个季度的实际成本值分别为90元、120元。 示例说明：过去2个季度的实际成本平均值=（90+120）/2=105，则当前季度的预算金额为105元。 按过去数个季度的复合增长率 系统根据历史季度的复合增长率，自动设置预算金额。历史季度的选择范围为2-4个季度。 计算公式： 复合增长率 = 预算金额=*(1+复合增长率) 其中为过去n个季度中最后一个季度的实际成本，为过去n个季度中第一个季度的实际成本。 示例场景：动态规划规则设置为“按过去数个季度的复合增长率/过去3个季度”，过去3个季度的实际成本值分别为100元、120元、200元。 示例说明：过去3个季度的复合增长率=-1=0.41，当前季度的预算金额=200*(1+0.41)=282元。

月度预算支持的动态规划规则 规则 说明 按上个月的实际值 系统直接使用上个月的实际成本设置预算金额。 示例：上个月实际成本为100元，则当月的预算金额为100元。 按本月的预测值 系统根据当月的成本预测值自动设置预算金额。预测功能的具体描述请参见预测的应用与限制。 示例：根据预测功能计算出当月的预测成本为100元，则当月的预算金额为100元。 说明： 如果当前的历史数据不足，则不支持使用该规则进行预算金额的设置。 按过去数个月的实际平均值 系统根据历史月实际成本的平均值，自动设置预算金额。历史月的选择范围为1-12个月。 示例场景：动态规划规则设置为“按过去数个月的实际平均值/过去3个月”，过去3个月的实际成本值分别为90元、120元、150元。 示例说明：过去3个月的实际成本平均值=（90+120+150）/3=120，则当月的预算金额为120元。 按过去数个月的复合增长率 系统根据历史月的复合增长率，自动设置预算金额。历史月的选择范围为2-12个月。 计算公式： 复合增长率 = 预算金额=*(1+复合增长率) 其中为过去n个月中最后一个月的实际成本，为过去n个月中第一个月的实际成本。 示例场景：动态规划规则设置为“按过去数个月的复合增长率/过去3个月”，过去3个月的实际成本值分别为100元、120元、200元。 示例说明：过去3个月的复合增长率=-1=0.41，当月的预算金额=200*(1+0.41)=282元。

操作步骤 登录“成本中心”。 选择“选项”。 打开“包年/包月资源按当天归属的企业项目进行分摊”的滑动按钮。 该功能开启后不支持关闭。 开启该功能后从第二天开始生效，且历史数据不重新分摊。 开通该功能后，包年/包月资源分摊规则如下： 按照资源归属的企业项目天数进行分摊。即每天分摊时，资源归属于当天生效的最后一个企业项目。 账单调账、退款时，分摊涉及到历史日期的金额，要按照历史日期中资源归属的企业项目进行分摊；当天及未来日期的金额按照资源当天归属的企业项目进行分摊。

文件导出-原始成本的字段说明 表1 原始成本的字段说明 字段 说明 账期 查看的月份。 企业项目 云资源所属的企业项目。如果用户未选择企业项目，均在默认企业项目：default；如果用户购买的云服务资源不支持设置企业项目，则统一呈现为：未归集。 企业项目ID 开通企业项目的用户，所在的企业项目ID。如果用户购买产品时未选择企业项目，则企业项目ID为0。 关联账号 云资源实际归属的华为云账号。 交易账号 与华为云产生交易的华为云账号。 运营实体 云服务所属的经营实体。 示例：华为云；转售子账号的运营实体为关联的合作伙伴。 产品类型编码 云服务类型编码。 示例：hws.service.type.vpc 产品类型 云服务类型。 示例：虚拟私有云 产品编码 云服务的资源类型编码。 示例：hws.resource.type.ip 产品 云服务的资源类型。 示例： 云存储 子资源产品类型编码 如果当前成本是E CS 为父资源而产生的整机成本时，这里展示子资源的云服务类型编码。 子资源产品类型 如果当前成本是ECS为父资源而产生的整机成本时，这里展示子资源的云服务类型。 子资源产品编码 如果当前成本是ECS为父资源而产生的整机成本时，这里展示子资源的资源类型编码。 子资源产品 如果当前成本是ECS为父资源而产生的整机成本时，这里展示子资源的资源类型。 产品ID 产品的ID号。 计费模式 计费模式。 包年/包月 按需 账单类型 账单条目的类型。 消费-新购：指新购包年/包月产品产生的费用。 消费-续订：指手动续订包年/包月产品产生的费用。 消费-使用：指按需使用资源时产生的费用。 消费-自动续订：指自动续订包年/包月产品产生的费用。 消费-按时计费：按时计费的预留实例产品产生的费用。 消费-按月付费：指按月支付产品所产生的费用。 消费-退订手续费增收：退订时增收的手续费。 消费-服务支持计划月末补扣：“服务支持计划”产品月末补扣的费用。 消费-变更：变更包年/包月产品产生的费用。 退款-退订：退订、降配的包年/包月产品产生的费用。 退款-变更：降配的包年/包月产品产生的费用。 退款-包年/包月转按需：包年/包月产品转按需时产生的退款。 调账-补偿：华为云补偿的费用。 调账-扣费：华为云进行调账时扣费的费用，如逆向调整降配订单时先扣取原来退费的金额。 订单号 订单号，包年/包月计费模式时的订单唯一标识号。 使用开始时间 账单条目对应使用云服务的计费开始时间。 使用结束时间 账单条目对应使用云服务的计费结束时间。 资源ID 云服务资源的唯一标识ID。 资源名称 用户给云服务资源设置的名称。 子资源ID 如果当前成本是ECS为父资源而产生的整机成本时，这里展示子资源的资源唯一标识ID。 子资源名称 如果当前成本是ECS为父资源而产生的整机成本时，这里展示子资源的资源名称。 规格编码 用于描述云服务产品规格的一组编码。 示例：s3.small.1.linux 规格 用于描述组成产品资源的规格信息。 区域编码 区域的编码。 区域 指能独立提供公有云服务资源、并服务于一个较大地理范围的云服务区域。 可用区 可用区是同一服务区内，电力和网络互相独立的地理区域，一般是一个独立的物理机房，这样可以保证可用区的独立性。一个云服务区内有多个可用区，一个可用区发生故障后不会影响同一云服务区内的其它可用区，可用区之间通过内网访问。 使用量类型编码 使用量类型的编码。 示例：Duration 使用量类型 按需使用云服务时进行计费的用量类型。 示例：时长:秒 (流计算:流计算:Duration) 使用量单位 产品使用量的度量单位。 使用量 资源的按需使用量。如使用时长、使用容量、使用次数、使用流量等。 套餐内使用量 资源在套餐内的使用量，此部分用量没有超出资源包时不再单独收费。 预留实例内使用量 资源在预留实例内的使用量，此部分用量没有超出预留实例的用量范围时不再单独收费。 使用量单位( 定价 量纲) 产品上架时定价采用的使用量单位。 使用量(定价量纲) 按照产品上架时定价采用的使用量单位展示使用量。最多保留小数点后10位，截断处理。 使用量(定价量纲)=使用量/使用量转换比率 例如：1Byte=1/(1024*1024*1024)GB，保留小数点后10位，截断处理为0.0000000009 套餐内使用量(定价量纲) 按照产品上架时定价采用的使用量单位展示套餐内使用量。最多保留小数点后10位，截断处理。 预留实例内使用量(定价量纲) 按照产品上架时定价采用的使用量单位展示预留实例内使用量。最多保留小数点后10位，截断处理。 官网价 官网价为华为云商品在官网上未叠加应用商务折扣、促销折扣等优惠的销售价格。 原始成本 用户使用云服务享受折扣优惠后需要支付的费用金额。折扣包含：商务折扣、合作伙伴授权折扣等各种折扣。 代金券抵扣 通过代金券抵扣费用的金额。 现金券抵扣 通过现金券抵扣费用的金额。 储值卡支付 通过储值卡抵扣费用的金额。 成本标签 资源归属的成本标签名称，如果涉及多个标签，则会在成本明细中提供多个字段。 示例：Department 成本单元 成本单元是一种基于规则引擎自动归集用户成本的工具，详细的描述信息请参见成本单元概述。 如果涉及多个成本单元，则会在成本明细中提供多个字段。 父主题： 文件导出

创建药物虚拟筛选任务 虚拟药物筛选可以使用资产市场中预置的“Docking Summary”流程对小分子化合物配体和蛋白受体进行对接。 使用步骤如下所示。 登录 医疗智能体 平台，在“资产市场”中订阅“Docking Summary”流程至所需的项目中。 进入“专题”页签，单击“新建研究”。 图1 新建研究 填写任务的基本信息，包括选择任务所属项目，研究的名称和描述。 图2 基本信息 选择配体分子和受体蛋白。 作业名称：自定义名称 。 类型：选择小分子化合物。 流程：选择从资产市场中订阅的“Docking Summary”流程。 配体分子：配体分子文件，支持SMILES、SD SDF、PDBQT格式。 受体蛋白：受体蛋白文件，支持PDB、PDBQT格式。 图3 选择配体分子和受体蛋白 设置数据库。 数据库功能可以将任务运行过程中产生的数据文件按照模板生成数据库。 数据库模板：使用资产市场订阅的流程时，模板已预置，无需选择数据库模板。 数据库名称：数据库的名称。 输出文件格式：可以将流程生成的分子对接结果，保存为.txt、.csv或.vcf格式。使用“Docking Summary”流程时，保存格式为.txt。 相对路径：流程运行完成后，会按照流程子任务的名称生成数据文件，相对路径指按照哪个数据路径中的结果文件生成数据库。 对于“Docking Summary”流程，包含5个子任务，默认在task-5-docking summary中保存有汇总的数据文件。 task-1-ligand 3dsdf to pdbqt：将配体的sdf文件转换为pdbqt文件。 task-2-ligand smiles to 3dsdf：将配体的smiles文件转换为3dsdf文件。 task-3-receptor pdb to pdbqt：将受体的pdb文件转换为pdbqt文件。 task-4-qvina-w：分子对接。 task-5-docking summary：汇总分子对接结果。 图4 数据路径和流程图 图5 设置数据库 设置完成后，单击“提交”，执行药物虚拟筛选任务。 对于“运行中”的任务，允许取消、强制停止或删除。 图6 运行状态

虚拟药物筛选功能 医疗智能体平台支持根据靶点蛋白和小分子药物的3D结构，计算蛋白与药物之间的结合能量，进而预测小分子是否有成为候选药物的可能性。 虚拟药物筛选可实现如下功能。 整合分子对接结果，生成结合能矩阵。 整合受体与分子对接产生的配体构象，用于可视化展示。 对配体分子进行注释，包括DrugBank编号、分类、化学式、X LOG P3、TPSA、靶点、Csp3比例、分子量、可旋转键数目。 功能演示请参见视频帮助。

新型冠状病毒（COVID-19）虚拟药物筛选 新型冠状病毒（COVID-19）的出现在全球范围影响了人类健康，寻找有效治愈新冠肺炎的治疗方式是临床医生和药物研发人员最紧迫的工作。 为了全面、系统地评估药物对新冠病毒所有靶点蛋白的结合情况，华为云EI医疗智能体团队与华中科技大学同济医学院基础医学院、华中科技大学同济医学院附属武汉儿童医院、西安交通大学第一附属医院、中科院北京基因组研究所迅速成立联合团队，从新冠病毒蛋白序列开始，针对所有21个靶点蛋白进行同源建模、分子动力学模拟优化，获取靶点蛋白的3D结构，对超过8500个已上市、进入临床的小分子药物进行了约18万种药物-靶点配对情况的计算评估，让研究人员可以同时从21个蛋白的角度，综合、无偏地评估药物效果，从而为后续的药物机制研究、临床试验提供线索。 本案例介绍如何使用EIhealth平台虚拟药物筛选功能复现上述研究成果（https://doi.org/10.1021/acs.jcim.0c00821），并搭建虚拟药物筛选数据库。

获取NGS作业配置文件 编写NGS作业配置文件有两种方式，建议您使用第一种，通过获取已经执行成功的NGS配置文件，并在该配置文件基础上进行修改，得到可以用于批量执行NGS的配置文件。本示例介绍使用方法一获取配置文件的方法。 方式一 使用 EIHealth 平台完成NGS流程的搭建，并执行成功，然后在“分析作业”页面导出作业信息.yaml文件。 方式二 使用命令行工具完成NGS流程的搭建，进而获取相应的配置文件。详细的操作请参见命令行工具。 使用switch命令进入NGS流程所在的项目。 例如，使用health switch project ngs-project命令进入到名为ngs-project的项目中。 使用health get job命令获取该项目下所有的作业信息。 查询NGS作业对应的job-id，使用health get job job-id命令获取NGS作业的信息。使用health get workflow命令查询NGS作业对应的workflow-id。获取到的作业信息如图1所示。 图1 NGS作业信息 health get job -s命令获取启动分析作业的模板。依据模板要求，将步骤3中获取到的NGS作业信息和workflow-id填充至模板中，修改好的配置文件示例请参见NGS配置文件示例。 请将该模板保存为.yaml格式至本地，并在本地完成模板修改。例如，命名为ngs.yaml。

编写执行脚本并提交作业 运行分析作业时，流程中的每一个应用称之为一个任务（Task），通过循环读取Task的输入数据，可以实现作业的批量执行。 例如，您可以在本地创建.bat格式的批处理文件，执行该脚本即可批量运行NGS分析作业。 @echo off set list="task-1-fastp.fastq-file1=asset0331:/ngs/NA12878_0.R1.fastq.gz;task-1-fastp.fastq-file2=asset0331:/ngs/NA12878_0.R2.fastq.gz" "task-1-fastp.fastq-file1=asset0331:/ngs/NA12878_0.R1.fastq.gz;task-1-fastp.fastq-file2=asset0331:/ngs/NA12878_0.R2.fastq.gz" health switch project ngs-project for %%a in (%list%) do ( echo %%a health create job -y D:\test\ngs.yaml -i %%a echo/ ) pause 图2 批处理文件说明 如果执行NGS批量任务时需要变更不同的原始数据、参考基因序列、测序平台、文件前缀等，请参考上述批处理文件示例，将需要变更的数据补充完整。 .bat批处理文件需要和命令行工具放在同一路径下，同时，命令行工具需为登录状态。

NGS配置文件示例 NGS作业由十个Task执行完成，本示例以fastp和bwa-mem两个Task为例，介绍.yaml文件填写规则，完整的NGS配置文件请参考本示例以及获取NGS作业配置文件章节得到的作业信息和模板填写。 job: name: ngs-test description '' priority: 0 timeout: 1440 output_dir: '' workflow_id: ngs-workflow::1.0.0::ngs-project tasks: - task_name: task-1-fastp inputs: - name: fastq-file1 values: - 'ngs-project:/ngs/NA12878_0.R1.fastq.gz' inputs: - name: fastq-file2 values: - 'ngs-project:/ngs/NA12878_0.R2.fastq.gz' resources: cpu: 0.1C memory: 0.1G gpu_type: '' gpu: '0' - task_name: task-2-bwa-mem inputs: - name: fq-file1 values: - '${task-1-fastp.fq-file1}' - name: fq-file2 values: - '${task-1-fastp.fq-file2}' - name: ref-file values: - 'ngs-project:/ngs/GCA_000001405.15_GRCh38_no_alt_plus_hs38d1_analysis_set.fna' - name: seq-platform values: - 'MGI' - name: sample-id values: - 'NA12878' resources: cpu: 16C memory: 10G gpu_type: '' gpu: '0' ...

配置输入和依赖数据 NGS流程中涉及的输入、输出和依赖数据如表1所示。配置数据前，请先参考上传数据，上传原始Fastq文件和依赖数据。 如果在创建应用时打开了“并发”开关，可以设置多个参数值，批量执行作业。 数据上传完成后，在流程设计器页面，分别单击应用参数左侧图标，设置输入和依赖数据。NGS流程中输入输出参数说明如表2所示。 表1 流程输入、输出和依赖 类别 类型 说明 输入 Fastq 输入基于二代测序得到的原始Fastq文件，支持来源于多个barcode和路径的输入。 依赖 Reference Genome 输入的参考基因组序列，已经通过bwa构建了index。 依赖 Variant Sets GATK4在做Variant Calling阶段需要输入的参考Variants数据集。 输出 FastQC Report 原始测序数据的质控报告，以HTML文件形式展示。 输出 BamQC Report 测序比对数据的质量控制报告，以HTML文件的形式展示。 输出 VCF 样本的突变信息，包含有SNP和INDEL信息，以VCF的格式存储。 输出 VCF Report 样本突变信息的质量控制报告，以HTML文件的形式展示。 表2 参数说明 应用名称 参数 名称 类型 说明 fastp 输入参数 fastq-file1 file 二代测序fastq的Read1文件。 fastq-file2 file 二代测序fastq的Read2文件。 输出参数 fq-file1 file Read1过滤之后输出fq.gz文件。 fq-file2 file Read2过滤之后输出fq.gz文件 json-file file 以JSON文件的格式输出的质控报告。 html-file file 以HTML的格式输出易于阅读的质控报告。 bwa-mem 输入参数 fq-file1 file 测序得到的fastq1文件。 fa-file2 file 测序得到的fastq2文件。 ref-file file 参考基因组序列。 seq-platform string 测序平台，如MGI、Illumina。 sample-id string 文件前缀，如NA12878。 输出参数 sorted-bam file 比对和排序之后得到的bam文件。 flagstat-file file 基于bam做统计。 qualimap-bamqc 输入参数 bam-file file 输入已经排序好的bam文件。 输出参数 out-dir directory 质控报告的输出目录。 picard-insertsize 输入参数 bam-file file 经过比对和排序之后得到的bam文件。 ref-file file 参考基因组序列。 输出参数 insertsize-txt file 输出的insert size分布的文本文件。 insertsize-pdf file 输出的insert size分布的pdf文件。 gatk-markduplicates 输入参数 bam-file file 输入比对之后经过sort的bam文件。 输出参数 out-dir directory 经过gatk-markduplicates处理之后得到的bam文件。 matrics-file file 质控报告文件。 markduped-bam file 经过gatk-markduplicates处理之后得到的bam文件。 gatk-bqsr 输入参数 ref-file file 参考基因组序列。 markduped-bam file 经过gatk-markduplicates处理之后得到的bam文件。 know-site1 file 已知变异位点对应的vcf文件（其一）。 know-site2 file 已知变异位点对应的vcf文件（其二）。 know-site3 file 已知变异位点对应的vcf文件（其三）。 输出参数 recal-table file 输出经过BQSR评估得到的参数文件。 gatk-applybqsr 输入参数 markduped-bam file 经过gatk-markduplicates处理之后得到的bam文件。 ref-file file 参考基因组序列。 recal-table file 通过 GATK-BQSR得到参数评估文件。 输出参数 bqsr-bam file 经过BQSR校正的bam文件。 gatk-haplotypecaller 输入参数 bqsr-bam file 经过gatk-applybqsr处理之后得到的bam文件。 ref-file file 参考基因组序列。 contig-file file 与参考基因组对应的contigs文件，包含contigs清单。 输出参数 out-dir directory 输出的Variant Calling的vcf文件。 gatk-mergevcfs 输入参数 in-dir directory 分interval进行Variant calling之后得到的vcf的list文件。 输出参数 vcf-file file 输出合并之后的Variant Calling的vcf文件。 discvrseq-variantqc 输入参数 ref-file file 参考基因组序列。 variants-file file 变异检测软件（gatk4）生成的变异文件（vcf file）。 输出参数 json-file file 以JSON文件的格式输出的质控报告。 html-file file 以HTML文件的格式输出的质控报告。

制作bwa-mem镜像 在本地搭建Docker环境。 要求安装的容器引擎版本必须为1.11.2及以上。 下载bwa和samtools软件。 wget http://downloads.sourceforge.net/project/bio-bwa/bwa-0.7.17.tar.bz2 wget https://github.com/samtools/samtools/releases/download/1.10/samtools-1.10.tar.bz2 编写Dockerfile将bwa和samtool镜像合并。 详细的Dockerfile指令请参见Dockerfile参考。 执行vi Dockerfile命令，进入Dockerfile文件中，编写文件。 FROM centos ENV PATH $PATH:/usr/local/samtools/bin:/usr/local/bwa-0.7.17 ADD ./bwa-0.7.17.tar.bz2 /usr/local ADD ./samtools-1.10.tar.bz2 /opt RUN yum makecache && \ yum install -y make gcc ncurses-devel bzip2-devel xz-devel zlib-devel&& \ cd /usr/local/bwa-0.7.17 && make && \ cd /opt/samtools-1.10 && ./configure --prefix=/usr/local/samtools && make && make install 按Esc键，并执行:wq保存并退出Dockerfile。 制作镜像。 docker build -t bwa_samtools:0.7.17-1.10 .

制作gatk-haplotypecaller镜像 在本地搭建Docker环境。 要求安装的容器引擎版本必须为1.11.2及以上。 编写Dockerfile制作gatk-haplotypecaller镜像。 执行vi Dockerfile命令，进入Dockerfile文件中，编写文件。 FROM broadinstitute/gatk:4.1.9.0 RUN apt-get update RUN apt-get install -y parallel 按Esc键，并执行:wq退出Dockerfile。 制作镜像。 docker build -t gatk-haplotypecaller:4.1.9.0 . 详细的Dockerfile指令请参见Dockerfile参考。

上传数据 NGS流程中需使用二代测序得到的原始fastq文件、参考基因组序列、参考Variants数据集。 本示例中以Windows系统命令行工具为例，介绍如何将本地数据上传到EIHealth平台。更多的命令介绍请参见命令行工具。 使用命令行工具，用switch命令进入待操作的项目。 例如，使用health switch project ngs-project命令进入到名为ngs-project的项目中。 使用命令行工具，用mkdir命令创建存储数据的文件夹。 例如，使用health mkdir input-data命令创建名为input-data的文件夹。 将本地数据上传至项目文件夹中。 例如，将Linux系统下root/health_test路径中xxx.R1.fastq.gz数据上传至ngs-project项目的input-data文件夹中。 ./health upload /root/health_test/xxx.R1.fastq.gz /input-data/ 例如，Windows系统下将本地D盘中xxx.R1.fastq.gz数据上传至ngs-project项目的input-data文件夹中。 health upload D:\local\data\xxx.R1.fastq.gz /input-data/ 父主题： 基于二代测序的基因组突变检测

操作步骤 下载命令行工具。 安装命令行工具。 本示例中以Windows系统为例，介绍安装命令行工具的方法。 下载Windows版本的客户端，得到health.exe文件，health文件无需安装，放置在任一文件夹中即可。 图1 下载命令行工具 使用win键+R，输入cmd打开windows的cmd窗口。进入工具所在的目录，输入health命令，即可使用。 如果cmd窗口显示目录不是health文件所在目录，请使用cd命令切换路径。例如，切换至D盘： cd /d d: 使用Linux版本命令行工具时，您需要在本地搭建Linux环境，并将下载的health文件放至所需的目录下。 如果当前目录为health所在目录，可以使用./health命令使用命令行工具。 如果当前目录不是health所在目录，需要使用绝对路径。如当前目录为/opt，假设health存放在/root/health-toolkit/下，需要指定/root/health-toolkit/health路径进行使用。 如果无法运行，提示Permission denied，请使用chmod 755 health命令设置执行权限。 初始化配置。 在使用命令行工具前，需要初始化配置信息。执行health config add命令配置AK/SK，区 域名 称，华为云项目ID信息，获取方法请参见获取认证信息。 命令结构 health config add [flags] 表1 参数说明 参数 简写 是否必选 说明 --ak -a 是 AK(Access Key ID)：访问密钥ID。 --sk -s 是 SK(Secret Access Key)：与访问密钥ID结合使用的密钥。 --region -r 是 服务区域名称。 --platform-id -i 是 华为云项目ID，请按获取认证信息中的方法获取。 --log-path -l 否 日志路径，不填写时默认为命令行工具当前路径下healthcli.log文件。 --http-proxy -p 否 HTTP代理配置，格式为“http://username:password@your-proxy:your-port”。 --swr-endpoint -t 是 SWR镜像仓库地址。 获取方式： 登录 容器镜像服务 管理控制台。 单击界面右侧“登录指令”，获取内网登录指令末尾的SWR镜像仓库地址。例如100.78.15.50:20202。 --iam-endpoint -m 是 IAM 终端节点名称，请在地区与终端节点中获取。 --health-endpoint -e 是 EIHealth终端节点名称，请在地区与终端节点中获取。 --obs-endpoint -o 是 OBS终端节点名称，请在地区与终端节点中获取。 --obs-install-path -q 否 设置obsutil安装路径，默认安装在当前运行目录。 设置时，该路径必须为obsutil运行文件名，如/home/path/obsutil、/home/path/obsutil-1.1.1 --obs_down_load_url -D 否 obsutil下载链接，obsutil将下载到obs-install-path上。 参数有改动时才会触发下载。 下载链接的内容可以是zip、tar.gz文件、二进制文件，如果是压缩文件，文件夹内的obsutil必须命名为obsutil（和obsutil官方链接保持一致）。 --force -f 否 强制操作。如果下载obsutil时，指定的obs-install-path上已经有同名文件，不带-f时会提示用户，带上-f会直接覆盖原文件。 命令示例 health config add --ak CAIxxxxxxxxxFE --sk QLFxxxxxxxxxxxxtNvsF --region cn-north-4 --platform-id catdi9fb689 --swr-endpoint 100.78.15.50:20202 --iam-endpoint iam.cn-north-4.myhuaweicloud.com --health-endpoint eihealth.cn-north-4.myhuaweicloud.com --obs-endpoint obs.cn-north-4.myhuaweicloud.com # 执行成功返回结果如下 add ak successfully! add sk successfully! add region successfully! add platform-id successfully! add swr-endpoint successfully! add iam-endpoint successfully! add health-endpoint successfully! add obs-endpoint successfully! 执行以上命令，会在系统所在的用户目录下自动生成“.health”文件夹，文件夹中包含config.ini配置文件，用于存储任务执行所涉及到的配置，如密钥、区域、当前项目等信息。 生成的配置文件不建议直接修改，如需改动请使用命令行工具修改。 配置文件中保存有用户的AK、SK信息，为了避免密钥泄露，会对文件中的SK进行加密以保护密钥安全。

功能介绍 测序数据质量的总体评估 评估测序的Reads数目，测序Base数，测序深度等。 低质量Reads过滤 过滤低质量的测序Reads，得到Clean Reads。 基因组比对 将Clean Reads比对到参考基因组上，同时输出比对率、深度、覆盖度的统计信息。 基因组变异检测 基于上述比对得到的bam文件，通过GATK4做Variant Calling，输出变异检测结果。 基因组变异检测质控 通过VariantQC对vcf进行质量控制，输出变异数目，变异类型统计等指标。

流程执行信息 NGS流程由fastp、bwa-mem、picard-insertsize、qualimap-bamqc、gatk-markduplicates、gatk-bqsr、gatk-applybqsr、gatk-haplotypecaller、gatk-mergevcfs和discvrseq-variantqc应用构成。NGS流程执行步骤如表1所示。 表1 NGS执行步骤 步骤 描述 Read Quality 对测序得到的fastq数据进行质控。 Mapping and Sort and index 将质控之后得到的Clean Reads比对到参考基因组上。 Insert Size Estimation 针对构建Index后的bam文件，统计测序数据的Insert size的分布。 Bam QC 评估比对得到的bam文件的质量。 GATK MarkDuplicates 标记比对bam文件中的重复Reads。 gatk BaseRecalibrator 基于比对bam文件评估矫正参数。 gatk ApplyBQSR 基于比对bam文件进行矫正。 gatk HaplotypeCaller 基于比对和矫正之后的bam文件进行Variant Calling的工作。 gatk MergeVcfs 合并分bin变异检测的VCF文件。 Variant QC 针对输出的VCF文件进行质控。 图1 NGS执行步骤

SDK列表 表1提供了 SMN 服务支持的SDK列表，您可以在GitHub仓库查看SDK更新历史、获取安装包以及查看指导文档。 表1 SDK列表 编程语言 Github地址 参考文档 Java huaweicloud-sdk-java-v3 Java SDK使用指导 Python huaweicloud-sdk-python-v3 Python SDK使用指导 Go huaweicloud-sdk-go-v3 Go SDK使用指导 .NET huaweicloud-sdk-net-v3 .Net SDK使用指导 NodeJS huaweicloud-sdk-nodejs-v3 NodeJS SDK使用指导 PHP huaweicloud-sdk-php-v3 PHP SDK使用指导

约束条件 边缘安全支持批量导入黑白名单，如果您需要配置多个IP/IP地址段规则，请添加地址组，详细操作请参见添加黑白名单IP地址组。 添加或修改防护规则后，规则生效需要等待几分钟。规则生效后，您可以在“防护事件”页面查看防护效果。 边缘安全黑白名单规则不支持配置0.0.0.0/0 IP地址段。如果您需要拦截某个网段其他所有IP，请先添加黑名单规则，拦截该网段的所有IP。 当黑白名单规则的“防护动作”设置为“拦截”时，您可以配置攻击惩罚标准。配置攻击惩罚后，如果访问者的IP、Cookie或Params恶意请求被拦截时，边缘安全将根据攻击惩罚设置的拦截时长来封禁访问者。

配置示例-人机验证 假如防护域名“www.example.com”已接入边缘安全，您可以参照以下操作步骤验证人机验证防护效果。 添加防护动作为“人机验证”CC防护规则。 图3 添加“人机验证”防护规则 开启CC攻击防护。 图4 CC防护规则配置框 清理浏览器缓存，在浏览器中访问“http://www.example.com/admin/”页面。 当您在60秒内访问页面10次，在第11次访问该页面时，页面弹出验证码。此时，您需要输入验证码才能继续访问。 拦截生效会有一定的延迟，如果操作得太快，第11次不一定能拦截成功。 返回边缘安全管理控制台，在左侧导航树中，单击“防护事件”，进入“防护事件”页面，您可以查看该防护事件。

约束条件 添加或修改防护规则后，规则生效需要等待几分钟。规则生效后，您可以在“防护事件”页面查看防护效果。 CC攻击防护规则可以添加引用表，引用表防护规则对所有防护域名都生效，即所有防护域名都可以使用CC攻击防护规则的引用表。 CC攻击防护规则支持“人机验证”、“阻断”等防护动作，您可以根据使用需求设置对应的防护动作。例如，通过配置CC攻击防护规则实现以下功能：当边缘安全识别到同一IP的用户在60秒内访问您域名下的URL（例如，/admin*）页面超过10次时，封禁该用户访问目标网址600秒。

规格限制 一个域名扩展包支持10个域名。 一个规则扩展包最多可添加10条IP黑白名单防护规则。 企业版的规格限制如表1所示。 表1 版本说明 业务规格 企业版 域名个数 20个 CC攻击防护规则 100条 精准访问防护规则 100条 引用表规则 100条 IP黑白名单规则 1000条 地理位置封禁规则 100条 网页防篡改规则 100条 防敏感信息泄露 100条 全局白名单规则 1000条 隐私屏蔽规则 100条

配置示例-屏蔽Cookie字段 假如防护域名“www.example.com”已接入EdgeSec，您可以参照以下操作步骤验证屏蔽Cookie字段名“jsessionid”防护效果。 添加一条隐私屏蔽规则。 图4 添加“jsessionid”字段名隐私屏蔽规则 开启隐私屏蔽。 图5 隐私设置配置框 在左侧导航树中，单击“防护事件”，进入“防护事件”页面。 在目标防护事件所在行的“操作”列中，单击“详情”，查看事件详细信息。 该防护事件的Cookie字段名“jsessionid”信息被屏蔽。 图6 查看防护事件-隐私屏蔽

约束条件 仅基于边缘安全内置的Web基础防护规则和网站反爬虫的特征反爬虫拦截或记录的攻击事情可以进行“误报处理”操作。 基于自定义规则（CC攻击防护规则、精准访问防护规则、黑白名单规则、地理位置访问控制规则等）拦截或记录的攻击事件，无法执行“误报处理”操作，如果您确认该攻击事件为误报，可在自定义规则页面，将该攻击事件对应的防护规则删除或关闭。 同一个攻击事件不能重复进行误报处理，即如果该攻击事件已进行了误报处理，则不能再对该攻击事件进行误报处理。

配置示例-Cookie拦截攻击惩罚 假如防护域名“www.example.com”已接入边缘安全，访问者IP XXX.XXX.248.195为恶意请求，而您需要对来自该IP地址Cookie标记为jsessionid的访问请求封禁10分钟。您可以参照以下操作步骤验证封禁效果。 在“网站设置”页面，单击“www.example.com”，进入域名基本信息页面。 配置防护域名的Cookie流量标识，即“Session标记”。 图4 流量标识 添加一条拦截时长为600秒的“长时间Cookie拦截”的攻击惩罚标准。 图5 添加Cookie拦截攻击惩罚 开启攻击惩罚。 图6 攻击惩罚配置框 添加一条黑白名单规则，拦截XXX.XXX.248.195，且“攻击惩罚”选择“长时间Cookie拦截”。 图7 选择攻击惩罚规则 清理浏览器缓存，在浏览器中访问“http://www.example.com”页面。 当XXX.XXX.248.195源IP访问页面时，会被边缘安全拦截。当检测到来自该源IP的Cookie标记为jsessionid访问请求时，将封禁该访问请求，时长为10分钟。 图8 拦截攻击请求 返回边缘安全管理控制台，在左侧导航树中，单击“防护事件”，进入“防护事件”页面，您可以查看该防护事件。

约束条件 Web基础防护、精准访问防护和黑白名单设置支持攻击惩罚功能，当攻击惩罚标准配置完成后，您还需要在Web基础防护、精准访问防护或黑白名单规则中选择攻击惩罚，该功能才能生效。 添加或修改防护规则后，规则生效需要等待几分钟。规则生效后，您可以在“防护事件”页面查看防护效果。 在配置Cookie或Params恶意请求的攻击惩罚标准前，您需要在域名详情页面设置对应的流量标识。相关操作请参见配置攻击惩罚的流量标识。

规格限制 每个用户可以拥有50个地址组。1个地址组可以添加200个IP地址/IP地址段。 添加地址组前，请确保当前版本有剩余的IP黑白名单规则配额。 您可以参见配置IP黑白名单规则规则拦截指定IP，查看当前IP黑白名单规则配额。 如果您当前版本的IP黑白名单防护规则条数不能满足要求时，您可以通过购买规则扩展包或升级版本增加IP黑白名单防护规则条数，以满足的防护配置需求。一个规则扩展包包含10条IP黑白名单防护规则。

约束条件 当“不检测模块”配置为“所有检测模块”时，通过EdgeSec配置的其他所有的规则都不会生效，EdgeSec将放行该域名下的所有请求流量。 当“不检测模块”配置为“Web基础防护模块”时，仅对EdgeSec预置的Web基础防护规则和网站反爬虫的“特征反爬虫”拦截或记录的攻击事件可以配置全局白名单规则，防护规则相关说明如下： Web基础防护规则 防范SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等常规的Web攻击，以及Webshell检测、深度反逃逸检测等Web基础防护。 网站反爬虫的“特征反爬虫”规则 可防护搜索引擎、扫描器、脚本工具、其它爬虫等爬虫。 添加或修改防护规则后，规则生效需要等待几分钟。规则生效后，您可以在“防护事件”页面查看防护效果。 您可以通过处理误报事件来配置全局白名单规则，处理误报事件后，您可以在全局白名单规则列表中查看该误报事件对应的全局白名单规则。

配置示例-仅记录脚本工具爬虫 假如防护域名“www.example.com”已接入EdgeSec，您可以参照以下操作步骤验证反爬虫防护效果。 执行JS脚本工具，爬取网页内容。 在“特征反爬虫”页签，开启“脚本工具”，“防护动作”设置为“仅记录”（EdgeSec检测为攻击行为后，只记录不阻断）。 图8 开启“脚本工具” 开启网站反爬虫。 图9 网站反爬虫配置框 在左侧导航树中，单击“防护事件”，进入“防护事件”页面，您可以查看该防护事件。 图10 查看防护事件-脚本爬虫

JS脚本反爬虫检测机制 JS脚本检测流程如图1所示，其中，①和②称为“js挑战”，③称为“js验证”。 图1 JS脚本检测流程说明 开启JS脚本反爬虫后，当客户端发送请求时，会返回一段JavaScript代码到客户端。 如果客户端是正常浏览器访问，就可以触发这段JavaScript代码再发送一次请求，即边缘安全完成js验证，并将该请求转发给源站。 如果客户端是爬虫访问，就无法触发这段JavaScript代码再发送一次请求，即边缘安全无法完成js验证。 如果客户端爬虫伪造了认证请求，发送到边缘安全时，会拦截该请求，js验证失败。 通过统计“js挑战”和“js验证”，就可以汇总出JS脚本反爬虫防御的请求次数。例如，图2中JS脚本反爬虫共记录了18次事件，其中，“js挑战”（EdgeSec返回JS代码）为16次，“js验证”（EdgeSec完成JS验证）为2次，“其他”（即爬虫伪造EdgeSec认证请求）为0次。 图2 JS脚本反爬虫防护数据 “js挑战”和“js验证”的防护动作为仅记录，EdgeSec不支持配置“js挑战”和“js验证”的防护动作。