华为云用户手册

计费构成分析-按需计费的数字主线引擎 按需计费的数字主线引擎资源变更配置后，会产生一个新订单并开始按新配置的价格计费，旧订单自动失效。您可以将服务的使用阶段按照计费信息条数分为多个计费周期。 第一个计费周期为9:00:00 ~ 10:00:00，在9:00:00 ~ 10:00:00间产生费用，该计费周期内的计费时长为3600秒。 第二个计费周期为10:00:00 ~ 11:00:00，在10:00:00 ~ 10:45:46间产生费用，该计费周期内的计费时长为2746秒。 您需要为每个计费周期付费，数字主线引擎各服务能力的计费公式如表1所示。产品价格详情中标出了单位MCU的每小时价格，您需要将每小时价格除以3600，得到每秒价格。 表1 计费公式 服务能力类型 计费公式 模型管理 MCU单价*MCU数量*计费时长 服务管理 MCU单价*MCU数量*计费时长 数据管理 MCU单价*MCU数量*计费时长 图1给出了上述示例配置的费用计算过程。 图中价格仅供参考，实际计算请以工业数字模型驱动引擎价格详情中的价格为准。 图1 按需计费的数字主线引擎费用计算示例

计费场景2-按需计费的数字化制造基础服务 某用户于2024/01/18 9:00:00购买了1个用于部署在公有云上的按需计费的数字化制造基础服务（MBM Foundation，简称MBM-F），规格配置如下： 基础版 数字化制造基础服务 站点：1个 基础版 数字化制造基础服务 用户：100个 用了一段时间后，用户发现该服务当前规格无法满足业务需要，于2024/01/18 12:30:00升级规格为： 基础版 数字化制造基础服务 站点：1个 基础版 数字化制造基础服务 用户：200个 那么截止到2024/01/18 19:00:00，该服务的费用如何计算呢？

计费场景1-按需计费的数字主线引擎 某用户于2023/04/18 9:00:00购买了一个按需计费的数字主线引擎，MCU分配规格配置如下： 模型管理：3MCU 服务管理：3MCU 数据管理：1MCU 用了一段时间后，用户发现数字主线引擎当前规格无法满足业务需要，于2023/04/18 10:00:00升级规格为模型管理3MCU、服务管理3MCU和数据管理2MCU。后因业务中断然后在2023/04/18 10:45:46将其删除。那么该服务的费用如何计算呢？

工业软件SaaS服务中心企业管理业务面 超级管理员进入工业软件SaaS服务中心控制台后，单击“企业管理首页”，即可进入工业软件SaaS服务中心企业管理业务面，页面如图1所示。 图1 企业管理业务面 表2 功能区域说明 区域 说明 导航栏 可切换各个功能页面进行组织成员管理、权限与审批、应用管理、协同数据管理、查看审计日志等。 首页：展示License分配情况、协同空间使用量、已购买服务、组织信息、审批事项、快捷入口和工业软件云专区入口。 组织成员管理：对组织部门、成员进行管理。 权限与审批：审批用户加入组织申请，以及应用使用申请。 应用管理：查看企业已购应用，对PC端应用进行License授权管理。 协同数据管理：查看协同空间的使用量情况。 审计日志：查看企业用户的操作日志。 接收消息提醒。进入消息中心后，可以查看 消息通知 和处理待审批的任务。 登录用户 展示当前登录用户的姓名/昵称，单击该区域可选择以下功能： 组织成员账号中心：进入账号中心，查看或修改账号信息。 撤销同意：撤销同意后返回《服务声明》签署页面，需同意后才可再次进入企业管理业务面。 注销：用户退出登录，返回登录页。

协同平台 超级管理员将企业成员添加进组织后，企业成员获取到账号和密码后即可登录工业软件SaaS服务中心协同平台，页面如图2所示。 图2 协同平台 表3 功能区域说明 区域 说明 最近访问 支持用户查看最近打开的文件，快速对文件进行检入/检出或打开操作。 团队协同空间 展示当前登录用户创建/归属的协同空间信息，支持新建空间、编辑空间属性、管理空间成员、变更空间拥有者、设置默认空间、进入空间、解散空间、退出空间等操作。 回收站 为超级管理员提供垃圾文件清理功能，释放空间容量。 登录用户 展示当前登录用户的账号名，单击该区域可选择以下功能： 撤销同意：撤销同意后返回《服务声明》签署页面，需同意后才可再次进入协同平台。 注销：用户退出登录，返回登录页。

工业软件SaaS服务中心客户端（ISCDesk） 超级管理员将企业成员添加进组织后，企业成员下载安装ISCDesk客户端并且获取到账号和密码后即可登录ISCDesk客户端。 企业成员登录进入ISCDesk客户端后，页面如图3所示。 图3 ISCDesk首页 表4 ISCDesk首页功能区域说明 区域 说明 作业空间 应用列表：展示企业已购应用，支持一键安装、激活、打开、升级、卸载、申请使用/购买等。 最近访问：支持查看最近打开的文件，快速对文件进行检入/检出或打开操作。 我的空间：支持查看最近访问的2个协同空间和最近3条文件协同消息，快速进入对应的空间或文件目录。 免费试用：提供免费试用的应用，支持下载试用、打开、卸载、申请使用/购买等。 工具链专区：提供板级EDA工具链云服务、结构设计工具链云服务、工业仿真云服务等多个云服务的快捷入口。 热门推荐 查看推荐使用的工业软件云服务和工业设计/研发/制造工具软件，支持跳转到详情页进行查看和购买。 快速访问协同空间。 接收消息提醒。进入消息中心后，可以查看最近6个月的空间动态和消息通知。 登录用户 展示当前登录用户的头像、姓名/昵称，单击该区域可选择以下功能： 退出登录：用户退出登录，返回登录页。 设置中心：设置客户端应用的下载、安装目录，以及安装包清理方式；设置网络代理；设置保存到/另存到/打开云端操作快捷键。 关于：展示ISCDesk相关信息。 展示当前登录设备的网络连接情况。

工业软件SaaS服务中心控制台 工业软件SaaS服务中心服务开通后，系统默认为服务开通者分配“超级管理员”角色。超级管理员可以进入工业软件SaaS服务中心控制台进行企业管理业务面访问、组织退订等操作。 登录iDME控制台。 在左侧导航栏中，单击“SaaS服务中心工作台”，进入工业软件SaaS服务中心控制台。 表1 功能区域说明 区域 说明 工业软件SaaS服务中心控制台 展示当前超级管理员的账号状态、创建和绑定的组织、账号名，支持一键访问企业管理业务面、退订组织等功能。 功能特性 展示工业软件SaaS服务中心企业管理业务面的功能特性介绍。 帮助文档 提供工业软件SaaS服务中心产品介绍、企业管理员指南和用户指南的快速访问入口。

智能交互限制 智能交互对硬件设备的最低配置要求，如表1所示。 表1 硬件设备要求 硬盘配置 最低配置 CPU i5及以上版本。 内存 8G以上。 硬盘 128G及以上。 操作系统 Windows或Android系统。 麦克风 需要有麦克风，且要保障1米以内的拾音效果。 扬声器 需要有扬声器。 触摸屏 需要有触摸屏。 带宽 4M以上。 智能交互界面对浏览器的要求，如表2所示。 表2 浏览器适配详情 操作系统类型 浏览器类型 浏览器版本 Windows Chrome浏览器 91+ Edge浏览器 80+ Android 移动版Chrome浏览器 91+ Ios 微信内嵌浏览器 iOS 14.3+ 微信6.5+版本 父主题： 使用限制

SP用户限制 表1 限制说明 限制项 说明 开放范围 SP用户仅对大客户开放申请和使用。 功能范围 SP用户仅支持购买大颗粒度资源包，并分配资源给关联租户使用。 SP用户不支持使用自己购买的资源包，或访问MetaStudio控制台，进行控制台操作。 资源使用限制 SP用户购买形象制作时，不会赠送视频制作时长。 如果用户先购买资源，再申请成为SP用户，那么每个形象制作资源赠送的视频制作时长均会被回收，无法再使用。 父主题： 使用限制

查看流水线 访问CodeArts Pipeline首页。 流水线列表页展示当前用户下的所有流水线，列表项说明如下： 参数项 说明 名称 流水线名称和流水线所属项目名称。 说明： 项目下流水线列表不显示项目名称。 最近一次执行 最近一次的执行信息：执行方式、分支、最近一次代码提交的CommitID、执行人。 工作流 流水线的调度流程及执行状态（已完成、失败、运行中、已停止等）。 开始时间&执行时长 最近一次执行开始时间和持续时长。 操作 单击，可执行流水线。 单击，可关注流水线，关注成功后图标变为，再次单击可取消关注。 说明： 收藏流水线后，刷新页面或下次进入流水线列表时，该流水线会在流水线列表中置顶显示，收藏多条流水线会按流水线最后一次执行时间降序排列，若未执行过，则按创建时间降序排列。 单击，可编辑流水线、复制流水线、预览流水线、查看流水线操作历史（记录新建记录、编辑记录以及触发失败记录）、为流水线设置标签、禁用流水线、删除流水线。 流水线任务列表默认所有用户均可以查看。 单击“全部流水线”的下拉框，可以根据“全部流水线”、“我新建的”及“最后一次记录由我执行的”进行过滤。 支持在搜索栏中输入流水线名称关键字进行搜索。 单击右上方，可根据需要自定义设置流水线列表信息。 单击流水线名称，进入流水线“执行历史”页面，展示流水线执行记录。 单击时间筛选器，可以选择时间段进行过滤，支持查看最近90天执行记录，默认展示最近31天的执行记录，支持最近7天、14天、31天、90天快捷切换。 首次执行时执行历史页面为空，执行一次后才有记录。 单击执行编号，进入“流水线详情”页面，查看对应执行记录详情。 表1 流水线详情页操作 操作项 说明 重试 如果任务执行失败，单击页面右上角“重试”，可从失败处继续执行流水线。 编辑 单击“编辑”，可修改流水线配置信息。 执行 单击“执行”，可以以最新的配置重新执行流水线，并生成一条新的执行纪录。 下载 单击页面上方产出信息，可下载通过流水线自动构建出来的构建包。 说明： 只有构建类型的任务才有构建包。 存在多个构建包时，单击“全部下载”，可以下载全部构建包。 只展示最新构建的10个包，如需下载其他构建包，请切换到发布库页面自行下载。 查看日志 单击任务卡片，可查看对应任务的任务日志和任务结果。 说明： “延时执行”和“挂起流水线”任务没有日志。 更多操作 单击页面右上角，可复制流水线、查看流水线操作历史、预览流水线、禁用流水线、删除流水线。 说明： 默认只有项目经理或创建者（项目创建者和流水线创建者）才可以删除流水线，可通过配置权限给不同角色添加不同操作权限。 切换到“排队列表”页，可查看流水线排队记录。 如果流水线配置了并发策略，且超过并发后执行策略为排队等待，在该页面可以查看排队等待执行的记录。 单条流水线最多支持100条排队记录。 单条排队记录排队时长超过24小时后会被放弃执行。 单击操作列，可手动取消排队记录，即放弃执行。 排队记录执行时，配置信息以入队时为准。

仿真求解结果的输出文件保存在哪？ 提交仿真求解作业并求解完成后，仿真结果输出文件会保存在SIM Space的“数据”页面的“个人空间”中。 提交仿真求解作业后，系统会根据提交作业选择的所属任务，在“数据”页面的“个人空间”中生成一个和作业名称相同的文件夹，保存作业的提交作业输入和输出文件。 例如，在提交仿真求解作业时，作业名称设置为“作业名称090601”，所属任务选择为“NormalTask”，提交作业后在“数据”页面的“个人空间”的“NormalTask”文件夹下会生成一个名称为“作业名称090601”的文件夹，“作业名称090601”文件夹下会生成一个“inputFiles”的文件夹保存作业的输入文件，一个“outputFiles”文件夹保存作业的输出文件，如图1所示。 图1 作业输入输出文件 父主题： 工业仿真云平台

操作步骤 首次创建测试资源，需父账号授权，自动创建委托使性能测试服务可以操作用户CCE。 需要使用性能测试服务的用户，需要CodeArts PerfTest Administrator或CodeArts PerfTest Developer权限（仅能查看自己创建的工程）。 需要管理私有资源组的用户，需要CodeArts PerfTest Administrator或CodeArts PerfTest Developer+CodeArts PerfTest Resource Administrator权限。 需要使用私有资源组的用户，需要CodeArts PerfTest Administrator或CodeArts PerfTest Developer+CodeArts PerfTest Resource Developer权限。 使用性能测试服务依赖的权限及具体使用场景，详见使用性能测试服务需要哪些权限。 登录性能测试服务控制台，在左侧导航栏中选择“测试资源”，单击“创建私有资源组”。 （可选）首次使用时，请根据提示信息，授权性能测试服务创建私有资源组。 进入创建资源组页面后，如果是首次使用没有云容器引擎服务CCE集群，需要先创建集群然后再创建资源组。如果已有可用的云容器引擎服务CCE集群，直接创建资源组。 创建集群。 单击页面上方的“创建集群”，进入购买CCE集群页面。创建集群操作请参考购买CCE集群，设置集群参数。 推荐使用独立CCE集群用作压测，避免与测试或生产等环境CCE集群混用产生配置等冲突。 插件选择时，作为测试执行机仅保留默认安装即可，如节点本地 域名 解析加速、云原生监控插件等非必要插件请去除勾选，避免安装的插件占用执行机资源。 集群管理规模选择与执行节点个数相关，请根据需要压测的并发用户数，创建对应规格的节点。例如，需要20个执行节点，那么创建集群时集群规模选择50节点即可满足业务需求。 CCE集群的网络模型建议选择“容器隧道网络”，容器网段和服务网段需要与被测对象保持一致。 CentOS在高负载网络下容易出现IPVS、Conntrack相关稳定性问题，选择IPVS时不推荐您使用CentOS作为集群节点的操作系统。选择IPVS+CentOS时，网络连接复用可能存在超时。 单击“下一步：插件选择”，选择创建集群时需要安装的插件。 单击“下一步：插件配置”，默认选择即可，不需要更改。 单击“下一步：确认配置”，确认集群配置信息无误后，勾选已阅读使用说明，单击“提交”等待集群创建，集群创建预计需要6-10分钟。 集群创建成功后，返回集群管理页面，单击“创建节点”，进入创建节点页面。创建节点操作请参考创建节点，设置节点参数。 节点规格至少为vCPU为4核，内存8GB。 操作系统需选择欧拉EulerOS。 创建的节点数量至少需要2台（1台调试节点、1台执行节点），具体数量由压测对象要求规格决定。例如，压测10万并发用户数，vCPU为4核，内存8GB的资源需要21个执行节点（1个调试节点，20个执行节点）。 当CCE集群节点与被测应用不在同一VPC网络时，建议CCE集群节点绑定弹性IP。可使用已有的弹性IP，如果没有弹性IP也可以选择自动创建。自动创建弹性IP时，计费方式推荐按流量计费，带宽设置尽可能选择较大值，否则可能影响压测效果。系统根据您的配置创建弹性IP，并自动为每个节点进行分配。当创建的弹性IP数量小于节点个数时，会将弹性IP随机绑定到节点上。 “高级配置(可选)”中的“K8s节点名称”选择“与节点私有IP保持一致”，默认即为此选项。选择“与云服务器名称保持一致”将导致节点无法纳管。 单击“下一步：规格确认”，确认节点配置信息无误后，勾选已阅读使用说明，单击“提交”等待节点创建。节点创建成功后，返回性能测试服务控制台。 创建资源组。 在左侧导航栏中选择“测试资源”，单击“创建私有资源组”。 参照表1设置基本信息。 表1 创建私有资源组 参数 参数说明 资源组名称 新建私有资源组的名称，可自定义。 节点集群 在下拉框选择已创建的CCE集群。 高级配置 可选项，配置项详见高级配置。 说明： 该功能为白名单特性，需要联系后台管理人员申请开通，审批同意后方可使用。 修改高级配置参数，可能导致任务无法正常执行，请谨慎修改。 调试节点 执行压测的调试机。 调试节点在资源组创建成功后不可修改。 执行节点 执行压测的执行机，即在压测过程中能够提供自身性能数据的施压目标机器。 单击“创建”。

使用文档数据库服务要注意什么 故障切换 文档数据库实例采用多路由+多分片+副本集的部署形态，当路由主机出现故障时，可实时动态切换。副本集包含多个副本，当主节点发生故障时，系统会在30秒之内切换到备节点。 实例的弹性云服务器，对用户都不可见，这意味着，只允许用户应用程序访问数据库对应的IP地址和端口。 文档数据库服务使用的 对象存储服务 上的备份文件，对用户不可见，它们只对后台管理系统可见。 申请文档数据库服务后，用户不需要进行数据库的基础运维（比如高可用、安全补丁等），但还需要重点关注以下事情： 文档数据库实例的CPU、IOPS、空间是否足够，如果不够需要优化或者扩容。 文档数据库实例是否存在性能问题，是否有大量的慢查询，查询语句是否需要优化，是否有多余的索引或者索引缺失等。 父主题： 产品咨询

SDK接口 Context类中提供了许多上下文方法供用户使用，其声明和功能如表1所示。 表1 Context类上下文方法说明 方法名 方法说明 getRequestID() 获取请求ID。 getRemainingTimeInMilliSeconds () 获取函数剩余运行时间。 getAccessKey() 获取用户委托的AccessKey（有效期24小时），使用该方法需要给函数配置委托。 说明： 当前 函数工作流 已停止维护Runtime SDK 中getAccessKey接口，您将无法使用getAccessKey获取临时AK。 getSecretKey() 获取用户委托的SecretKey（有效期24小时），使用该方法需要给函数配置委托。 说明： 当前函数工作流已停止维护Runtime SDK 中getSecretKey接口，您将无法使用getSecretKey获取临时SK。 getSecurityAccessKey() 获取用户委托的SecurityAccessKey（有效期24小时），使用该方法需要给函数配置委托。 getSecuritySecretKey() 获取用户委托的SecuritySecretKey（有效期24小时），使用该方法需要给函数配置委托。 getSecurityToken() 获取用户委托的SecurityToken（有效期24小时），使用该方法需要给函数配置委托。 getUserData(string key) 通过key获取用户通过环境变量传入的值。 getFunctionName() 获取函数名称。 getRunningTimeInSeconds () 获取函数超时时间。 getVersion() 获取函数的版本。 getMemorySize() 分配的内存。 getCPUNumber() 获取函数占用的CPU资源。 getPackage() 获取函数组。 getToken() 获取用户委托的token（有效期24小时），使用该方法需要给函数配置委托。 getLogger() 获取context提供的logger方法，返回一个日志输出类，通过使用其info方法按“时间-请求ID-输出内容”的格式输出日志。 如调用info方法输出日志： logg = context.getLogger() logg.info("hello") getAlias 获取函数的别名 getToken()、getAccessKey()和getSecretKey()方法返回的内容包含敏感信息，请谨慎使用，避免造成用户敏感信息的泄露。

Node.js的initializer入口介绍 FunctionGraph目前支持以下Node.js运行环境： Node.js6.10 (runtime = Node.js6) Node.js8.10 (runtime = Node.js8) Nodejs10.16(runtime = Node.js10) Nodejs12.13(runtime = Node.js12) Node.js14.18(runtime = Node.js14) Node.js16.17(runtime = Node.js16) Node.js18.15(runtime = Node.js18)

执行结果 执行结果由3部分组成：函数返回、执行摘要和日志。 表2 执行结果说明 参数项 执行成功 执行失败 函数返回 返回函数中定义的返回信息。 返回包含错误信息和错误类型的JSON文件。格式如下： { "errorMessage": "", "errorType":"", } errorMessage：Runtime返回的错误信息 errorType：错误类型 执行摘要 显示请求ID、配置内存、执行时长、实际使用内存和收费时长。 显示请求ID、配置内存、执行时长、实际使用内存和收费时长。 日志 打印函数日志，最多显示4KB的日志。 打印报错信息，最多显示4KB的日志。

函数定义 PHP 7.3函数的接口定义如下所示： function handler($event, $context) 入口函数名（$handler）：入口函数名称， 需和函数执行入口处用户自定义的入口函数名称一致。 执行事件（$event）：函数执行界面由用户输入的执行事件参数， 格式为JSON对象。 上下文环境（$context）：Runtime提供的函数执行上下文，其接口定义在SDK接口说明。 函数执行入口： index.handler。 函数执行入口格式为“[文件名].[函数名]”。例如创建函数时设置为index.handler，那么FunctionGraph会去加载index.php中定义的handler函数。

执行结果 执行结果由3部分组成：函数返回、执行摘要和日志。 表2 执行结果说明 参数项 执行成功 执行失败 函数返回 返回函数中定义的返回信息。 返回包含错误信息、错误类型和堆栈异常报错信息的JSON文件。格式如下： { "errorMessage": "", "errorType": "", "stackTrace": {} } errorMessage：Runtime返回的错误信息 errorType：错误类型 stackTrace：Runtime返回的堆栈异常报错信息 执行摘要 显示请求ID、配置内存、执行时长、实际使用内存和收费时长。 显示请求ID、配置内存、执行时长、实际使用内存和收费时长。 日志 打印函数日志，最多显示4KB的日志。 打印报错信息，最多显示4KB的日志。

函数定义 建议使用Python 3.6版本。 对于Python，FunctionGraph运行时支持Python 2.7版本、Python 3.6、Python3.9、Python3.10版本。 函数有明确的接口定义，如下所示。 def handler (event, context) 入口函数名（handler）：入口函数名称，需和函数执行入口处用户自定义的入口函数名称一致。 执行事件（event）： 函数执行界面由用户输入的执行事件参数， 格式为JSON对象。 上下文环境（Context）：Runtime提供的函数执行上下文，其接口定义在SDK接口说明。

SDK接口 Context类中提供了许多上下文方法供用户使用，其声明和功能如表1所示。 表1 Context类上下文方法说明 方法名 方法说明 getRequestID() 获取请求ID。 getRemainingTimeInMilliSeconds () 获取函数剩余运行时间。 getAccessKey() 获取用户委托的AccessKey（有效期24小时），使用该方法需要给函数配置委托。 说明： 当前函数工作流已停止维护Runtime SDK 中getAccessKey接口，您将无法使用getAccessKey获取临时AK。 getSecretKey() 获取用户委托的SecretKey（有效期24小时），使用该方法需要给函数配置委托。 说明： 当前函数工作流已停止维护Runtime SDK 中getSecretKey接口，您将无法使用getSecretKey获取临时SK。 getSecurityAccessKey() 获取用户委托的SecurityAccessKey（有效期24小时），使用该方法需要给函数配置委托。 getSecuritySecretKey() 获取用户委托的SecuritySecretKey（有效期24小时），使用该方法需要给函数配置委托。 getSecurityToken() 获取用户委托的SecurityToken（有效期24小时），使用该方法需要给函数配置委托。 getUserData(string key) 通过key获取用户通过环境变量传入的值。 getFunctionName() 获取函数名称。 getRunningTimeInSeconds () 获取函数超时时间。 getVersion() 获取函数的版本。 getMemorySize() 分配的内存。 getCPUNumber() 获取函数占用的CPU资源。 getPackage() 获取函数组。 getToken() 获取用户委托的token（有效期24小时），使用该方法需要给函数配置委托。 getLogger() 获取context提供的logger方法，返回一个日志输出类，通过使用其info方法按“时间-请求ID-输出内容”的格式输出日志。 如调用info方法输出日志： log = context.getLogger() log.info("test") getAlias 获取函数的别名 getToken()、getAccessKey()和getSecretKey()方法返回的内容包含敏感信息，请谨慎使用，避免造成用户敏感信息的泄露。

Python的initializer入口介绍 FunctionGraph目前支持以下Python运行环境。 Python 2.7 (runtime = python2.7) Python 3.6 (runtime = python3) Python 3.9（runtime = python3） Python 3.10（runtime = python3） Initializer入口格式为： [文件名].[initializer名] 示例：实现initializer接口时指定的Initializer入口为main.my_initializer，那么FunctionGraph会去加载main.py中定义的my_initializer函数。 在FunctionGraph中使用Python编写initializer，需要定义一个Python函数作为initializer入口，一个最简单的initializer（以Python 2.7版本为例）示例如下。 def my_initializer(context): print 'hello world!' 函数名 my_initializer需要与实现initializer接口时的Initializer字段相对应，实现initializer接口时指定的Initializer入口为main.my_initializer ，那么函数服务会去加载main.py中定义的my_initializer函数。 context参数 context参数中包含一些函数的运行时信息，例如：request id、临时AccessKey、function meta等。

执行结果 执行结果由3部分组成：函数返回、执行摘要和日志。 表2 执行结果说明 参数项 执行成功 执行失败 函数返回 返回函数中定义的返回信息。 返回包含错误信息、错误类型和堆栈异常报错信息的JSON文件。格式如下： { "errorMessage": "", "errorType": "", "stackTrace": [] } errorMessage：Runtime返回的错误信息 errorType：错误类型 stackTrace：Runtime返回的堆栈异常报错信息 执行摘要 显示请求ID、配置内存、执行时长、实际使用内存和收费时长。 显示请求ID、配置内存、执行时长、实际使用内存和收费时长。 日志 打印函数日志，最多显示4KB的日志。 打印报错信息，最多显示4KB的日志。

添加引用 选择解决方案资源管理器中“test”工程，单击鼠标右键，选择“添加引用”，把下载的dll文件引用进来。如图4所示。 图4 添加引用 所引用的dll下载后放在一个lib文件中，一共有三个库：HC.Serverless.Function.Common.dll、HC.Serverless.Function.Common.JsonSerializer.dll、Newtonsoft.Json.dll。 选择“浏览”，单击“浏览(B) ”，把HC.Serverless.Function.Common.dll和HC.Serverless.Function.Common.JsonSerializer.dll引用进来，单击“确定”。如图5所示。 图5 引用文件 引用成功后界面如图6所示。 图6 完成引用

创建委托 如下示例表示：为FuntionGraph赋予VPC Administrator权限，仅在授权区域生效。 按照如下参数设置委托，创建委托的具体步骤请参见如何创建委托。 登录 统一身份认证 服务（ IAM ）控制台。 在统一身份认证服务（IAM）的左侧导航窗格中，选择“委托”页签，单击右上方的“+创建委托”。 图1 创建委托 开始配置委托。 图2 填写基本信息 委托名称：serverless-trust。 委托类型：选择“云服务”。 云服务：选择“函数工作流 FunctionGraph”。 持续时间：选择“永久”。 描述：填写描述信息。 单击“下一步”，进入委托选择页面，在右方搜索框中搜索需要添加的权限并勾选。此处以添加VPC Administrator权限为例。 图3 选择策略 表2 委托权限示例 权限名称 使用描述/场景 VPC Administrator 虚拟私有云服务管理员。 单击“下一步”，选择权限的作用范围。 图4 根据业务需要选择对应的权限

应用场景 若您在FunctionGraph服务中使用如下场景，请先创建委托。创建委托时授予的权限类型请您根据实际业务需要进行调整，比如前期您在开发阶段授予Admin权限，后期在生产环境中建议您调整为细粒度最小使用权限，保证业务所需权限的同时，也降低权限过大的风险。具体对应授权项参见表1 常见授权项选择进行选择。 表1 常见授权项选择 场景 Admin权限 细粒度最小使用权限 说明 使用 自定义镜像 SWR Administrator 暂不支持 SWR Admin： 容器镜像服务 （SWR）管理员，拥有该服务下的所有权限。 如何创建自定义镜像，请参见使用容器镜像部署函数。 挂载SFS文件系统 SFS Administrator 暂不支持 SFS Administrator：弹性文件服务（SFS）管理员，拥有该服务下的所有权限。 如何挂载SFS文件系统，请参见添加SFS容量型文件系统。 挂载sfs turbo文件系统 SFS Turbo ReadOnlyAccess sfsturbo:shares:getShare（查询单个文件系统详细信息） sfsturbo:shares:showFsDir（查询目录是否存在） SFS Turbo ReadOnlyAccess：弹性文件服务SFS Turbo的只读权限。 sfsturbo:shares:getShare：您拥有SFS服务下查询单个文件系统信息的权限。 sfsturbo:shares:showFsDir：您拥有SFS服务下查询目录是否存在的权限。 如何挂载挂载sfs turbo文件系统，请参见添加sfs turbo文件系统。 挂载E CS 共享目录 ECS ReadOnlyAccess ecs:cloudServers:get（查询云服务器详情） ECS ReadOnlyAccess：弹性云服务器的只读访问权限。 ecs:cloudServers:get：您拥有ECS服务下查询云服务器信息的权限。 如何挂载ECS共享目录，请参见添加ECS共享目录。 配置预留实例策略 AOM ReadOnlyAccess aom:metric:get（查询指标） aom:metric:list（查询指标列表） AOM ReadOnlyAccess： 应用运维管理 服务只读权限。 aom:metric:get：您拥有AOM服务下查询某个指标信息的权限。 aom:metric:list：您拥有AOM服务下查询指标列表详情的权限。 使用DIS触发器 DIS Administrator 暂不支持 数据接入服务 （DIS）管理员，拥有该服务下的所有权限。 如何创建DIS触发器，请参见使用DIS触发器。 使用DMS触发器 DMS ReadOnlyAccess dms:instance:get（查看实例详情信息） DMS ReadOnlyAccess：分布式消息服务只读权限。 dms:instance:get：您拥有DMS服务下查看实例详情信息的权限。 配置跨域VPC访问 VPC Administrator vpc:ports:get（查询端口） vpc:ports:create（创建端口） vpc:vpcs:get（查询VPC） vpc:subnets:get（查询子网） vpc:vips:delete（虚IP解绑VM） vpc:securityGroups:get（查询安全组列表或详情） 拥有VPC Administrator权限的用户可以对VPC内所有资源执行任意操作。在函数配置跨VPC访问时，则函数必须配置具备VPC管理权限的委托。 VPC细粒度最小使用权限：您拥有VPC服务下虚IP解绑VM、查询端口、创建端口、查询VPC、查询子网、查询安全组列表或详情的权限。 如何配置跨域VPC访问，请参见配置网络。 DNS域名解析 DNS ReadOnlyAccess dns:recordset:get（查询租户Record Set资源） dns:zone:get（查询租户zone） dns:recordset:list（查询Record Set列表） dns:zone:list（查询zone列表） DNS ReadOnlyAccess：云解析服务只读权限，拥有该权限的用户仅能查看云解析服务资源。在函数配置调用DNS服务的接口解析内网域名时，则函数必须具备读取DNS资源权限的委托。 DNS细粒度最小使用权限：您拥有DNS服务下查询租户Record Set资源列表和查询租户zone列表的权限。 如何调用DNS服务的接口解析内网域名，请参见解析DNS内网域名。 开启异步通知 目标服务为OBS时： OBS Administrator obs:bucket:HeadBucket（获取桶元数据） obs:bucket:CreateBucket（创建桶） obs:object:PutObject（PUT上传、POST上传、复制对象、追加写对象、初始化上传段任务、上传段、合并段） OBS Administrator：对象存储服务管理员，拥有该服务下的所有权限。 OBS细粒度最小使用权限：您拥有OBS服务下获取桶元数据、创建通、PUT上传、POST上传、复制对象、追加写对象、初始化上传段任务、上传段、合并段的权限。 如何配置异步通知请参见配置函数异步。 目标服务为 SMN 时： SMN Administrator smn:topic:publish（发布消息） smn:topic:list（查询主题列表） SMN Administrator：消息通知服务管理员，拥有该服务下的所有权限。 SMN细粒度最小使用权限：您拥有SMN服务下发布消息、查询主题列表的权限。 如何配置异步通知请参见配置函数异步。 目标服务为DIS时： DIS Administrator 暂不支持 DIS Administrator：数据接入服务管理员，拥有该服务下的所有权限。 如何配置异步通知请参见配置函数异步。

背景信息 域名黑名单是一种阻断措施，华为乾坤将域名黑名单下发给设备后，内部资产将不能访问黑名单中的恶意域名。 一般情况下，华为乾坤对威胁事件进行智能分析后，自动下发域名黑名单。此外，用户还可以根据实际的网络环境或业务需要，从设备维度（针对某设备）手动下发域名黑名单，作为上述域名黑名单下发的补充手段，以提高安全防护的灵活性。 USG6000F-C系列天关、USG6000F系列防火墙、USG12000系列防火墙暂不支持下发域名黑名单功能。 高等级租户享有对自身及下级租户的域名黑名单的创建、修改、删除权限。

前提条件 已确认待安装HiSec Endpoint Agent的终端满足安装要求，具体要求如表1所示。 表1 终端约束与限制 终端类型 硬件要求 操作系统要求 CPU 内存 硬盘 PC 2核CPU 4GB及以上 可用磁盘空间不少于10GB Windows 7 专业版、旗舰版、企业版 (32/64位) Windows 10（32位/64位） Windows 11（64位） 银河麒麟桌面操作系统V10及以上 统信桌面操作系统V20以上 服务器 2核CPU 4GB及以上 可用磁盘空间不少于10GB Windows Server 2012 R2及以上（64位） CentOS 7及以上 RedHat 8及以上 Euler 2.0及以上 Debian 10及以上 SUSE 12/15 Ubuntu16/18/20/22（X86/ARM） Huawei Cloud EulerOS 2.0 标准版（64位）

后续处理 HiSec Endpoint Agent安装完成后，在线状态下会周期性检查云端是否有版本更新并自动升级。租户也可自行访问华为安全智能中心，对HiSec Endpoint Agent进行升级。升级完成后，HiSec Endpoint Agent自动启动，与云端保持连接，且HiSec Endpoint Agent的相关配置不会丢失。 HiSec Endpoint Agent的相关使用操作请参考《用户指南》。

背景信息 华为乾坤按照以下顺序判定威胁事件是否为失陷主机。 如果是信任域内的主机存在攻击行为，判定为失陷主机。信任域的具体信息请参见配置设备安全域。 如果是全局白名单内的IP地址存在攻击行为，判定为失陷主机。全局白名单的具体信息请参见配置全局白名单。 如果是在不可信内网地址内的主机存在攻击行为，不判定为失陷主机。不可信内网地址的具体信息请参见配置不可信内网地址。 如果是缺省私网网段内的IP地址存在攻击行为，判定为失陷主机。缺省私网网段指10.0.0.0～10.255.255.255、172.16.0.0～172.31.255.555、192.168.0.0～192.168.255.255。 根据失陷类型的不同，安全运营专家可以为失陷主机打上“勒索”、“挖矿”、“蠕虫”、“远控”、“漏洞攻击”、“不安全配置”等标签，暂未识别失陷类型的归入“其他”。 针对失陷主机，华为乾坤向租户发送短信和邮件告警，失陷主机的状态置为“未处置”。租户需要进一步确认和处置，处置方法包括隔离主机和标记状态（已人工处置、忽略）。 USG6000F-C系列天关、USG6000F系列防火墙、USG12000系列防火墙暂不支持下发域名黑名单功能；USG6000E-C系列天关、USG6000E系列防火墙支持自动下发域名黑名单功能，并且开通如下版本时，才能使用自动下发域名黑名单功能。 同时购买边界防护与响应服务标准版+自动阻断 边界防护与响应服务试用版 边界防护与响应服务高级版

后续处理 您可以单击失陷主机列表中的“录入资产”按钮，将失陷主机录入云平台。 使用IPv6地址的失陷主机不支持录入资产，资产录入的参数说明请参见《租户操作指南》中“资产录入”章节。 对于已录入的资产，您可以单击失陷主机列表中的资产名称，对资产信息进行编辑。 您可以单击失陷主机列表中的失陷主机IP，查看此失陷主机详情页面。 图3 失陷主机列表 失陷主机详情页面包含处置建议、处置记录、失陷类型分析和关联告警事件列表等信息。 您可以单击“导出详情”，导出包含失陷主机详细信息的Word格式文件。 图4 失陷主机详情页面 若租户同时购买智能终端安全服务，并检测到失陷主机存在挖矿行为或感染病毒，可以在详情页面的“处置建议”区域中进行处置。 一键隔离：隔离操作将会杀死该主机上的全部挖矿进程，并隔离这些进程文件。 病毒查杀：根据查杀结果，手动处理病毒文件（立即终止运行进程并将病毒文件移动到隔离区，或忽略不处置）。 若失陷主机上存在多个挖矿或病毒事件，对单个事件进行处置时，此失陷主机上的其余事件也会被同步处置。处置完成后，所有事件都会被标识为“已人工处置”状态。 导出完成后，请单击右上角帐号，选择“下载”，下载对应文件。 图5 下载中心 您可以单击失陷主机详情页面中关联告警事件列表中的事件名称，查看此事件的详情页面。 图6 事件详情页面 失陷主机详情页面可能涉及公网地址，仅用于事件信息展示以帮助用户了解威胁事件，服务不会主动发起与这些公网地址的连接。