文档首页/工业数字模型驱动引擎/控制台操作指南/数据建模引擎/运行服务/管理服务访问配置
更新时间:2026-01-06 GMT+08:00
查看PDF
分享

管理服务访问配置

服务访问配置概述

公有云场景下,将应用成功部署到基础版或基础版-Lite数据建模引擎运行服务上后,可通过iDME提供的默认公网域名访问应用运行态。如需提升访问安全性,建议配置域名防护设置访问控制;如需使用自定义域名来访问,请配置自定义域名;如需实现HTTPS安全访问,请配置HTTPS证书;如需使用内网IP地址访问,请配置内网访问

边缘云场景下,通过将弹性公网IP绑定到数据建模引擎运行服务上,其上部署的应用即可实现与公网通信;后续无需与公网通信时也可将其解绑。详细操作请参见绑定和解绑弹性公网IP

以下为您介绍服务访问配置管理中各配置的详细操作步骤:

在进行以下配置前,请确保已获取管理员权限的IAM用户的账号和密码

配置自定义域名

如需在Internet上使用自定义域名访问应用运行态,可将已备案的自定义域名与基础版或基础版-Lite运行服务绑定。绑定后,通过访问自定义域名即可访问对应应用运行态

配置注意事项:

  • 每个运行服务上仅支持生效一个域名。新域名生效后,旧域名(含历史自定义域名及默认公网域名)将立即失效。
  • 如果运行服务已部署应用,设置自定义域名后需重新部署应用,新域名方可生效。期间可通过原生效域名继续访问应用,不影响业务连贯性。
  • 添加自定义域名后,建议先开启WAF防护并配置白名单提升访问安全性,再进行应用访问。

配置前提条件:

  • 自定义域名已按照工信部要求完成ICP备案。华为云提供免费备案服务,详细请参考ICP备案
  • 已通过DNS服务提供商为自定义域名添加解析记录。如果使用华为云DNS服务,请参考添加网站解析;如果使用其他DNS服务,请参考其官方指导手册配置,需确保记录集参数配置中的值设为iDME服务提供的公网IP。
  1. 登录iDME控制台
  2. 在左侧导航栏中,单击“数据建模引擎”,进入数据建模引擎页面。
  3. (可选)如果同时有部署在公有云上和边缘云上的运行服务,请切换到公有云。
  4. 找到待操作的运行服务,通过服务名称链接进入详情页后,在运行服务详情 > 连接信息处单击“自定义域名”后的“设置”

    只有资源状态处在“运行中”“变更中”时才可进行此项配置,资源对应状态说明详见服务状态说明

  5. “自定义域名”弹窗中,配置自定义域名。

    表1 自定义域名参数说明

    参数

    说明

    公网IP

    根据iDME所提供域名自动回显对应的IP地址。

    域名

    根据实际情况新增、修改或删除自定义域名。

  6. 配置完成后,单击“确定”

配置域名防护

域名接入WAF后,WAF将作为反向代理存在于客户端和服务器之间,隐藏服务器真实IP,Web访问者只能看到WAF的IP地址。如果未配置域名防护,部署应用时系统将提示运行服务安全性较低。

目前仅支持将网站域名以云模式-CNAME接入的方式接入WAF,以增强应用访问安全性,如防止DDOS攻击、命令注入、敏感文件访问等高危攻击。开启WAF防护后需开启白名单访问,之后将无法通过IP访问应用。

开启域名防护后,需配置需要防护的自定义域名,并确保待防护域名已添加到WAF。如果使用华为云WAF云模式,请参考添加防护域名(云模式-CNAME接入);如果使用其他WAF云模式,请参考其官方指导手册配置。

  1. 登录iDME控制台
  2. 在左侧导航栏中,单击“数据建模引擎”,进入数据建模引擎页面。
  3. (可选)如果同时有部署在公有云上和边缘云上的运行服务,请切换到公有云。
  4. 找到待操作的运行服务,通过服务名称链接进入详情页后,在运行服务详情 > 连接信息处单击“域名防护”后的“设置”

    只有资源状态处在“运行中”“变更中”时才可进行此项配置,资源对应状态说明详见服务状态说明

  5. “域名防护”弹窗中,进行域名防护配置。

    表2 域名防护参数说明

    参数

    说明

    开启/关闭防护

    开启或关闭防护开关。

    域名防护是配合云模式的WAF云服务增强您应用的安全性(如防止DDOS攻击、命令注入、敏感文件访问等高危攻击),暂不支持独享型WAF防护。

    防护域名

    开启域名防护后必须配置需要防护的自定义域名。

    如果没有可防护的自定义域名,单击“创建自定义域名”进行创建,具体操作请参见配置自定义域名

    说明:

    防护自定义域名前,请确保已在DNS服务的服务商处修改域名DNS解析。具体操作指导请咨询您的域名服务的服务商,如您使用的是华为云DNS服务,可参考修改域名DNS解析设置中未使用代理时修改域名DNS解析的操作步骤。

    接入模式

    云模式-CNAME接入。

  6. 配置完成后,单击“确定”

设置访问控制

通过设置白名单和黑名单可控制访问应用运行态的IP。白名单可允许特定IP访问,而其它IP禁止访问;黑名单则禁止特定IP访问,而其它IP允许访问。建议优先使用白名单并开启WAF防护;黑名单与WAF防护不可同时使用,需谨慎配置,配置黑名单前需先关闭域名防护,此举将会降低应用访问安全性。

配置白名单前,确保域名已开启WAF防护。如果使用华为云WAF云模式,开启域名防护后系统将自动进行WAF回源IP加白,可跳过本节内容;如果使用其他WAF云模式,开启域名防护后请参考本节添加白名单IP地址。

回源IP是WAF用来代理客户端请求服务器时用的源IP,在服务器看来,接入WAF后所有源IP都会变成WAF的回源IP,而真实的客户端地址会被加在HTTP头部的XFF字段中。回源IP加白是指在源站服务器上配置只放行WAF回源IP的访问控制策略,防止黑客获取源站IP后绕过WAF直接攻击源站,以确保源站安全、稳定、可用。

  1. 登录iDME控制台
  2. 在左侧导航栏中,单击“数据建模引擎”,进入数据建模引擎页面。
  3. (可选)如果同时有部署在公有云上和边缘云上的运行服务,请切换到公有云。
  4. 找到待操作的运行服务,通过服务名称链接进入详情页后,在运行服务详情 > 连接信息处单击“访问控制”后的“设置”

    只有资源状态处在“运行中”“变更中”时才可进行此项配置,资源对应状态说明详见服务状态说明

  5. “访问控制”弹窗中,进行访问控制配置。

    表3 访问控制参数说明

    参数

    说明

    访问控制

    可以选择白名单、黑名单和允许所有IP访问。

    • 白名单:仅允许IP地址中的IP访问。
    • 黑名单:不允许IP地址中的IP访问。
    • 允许所有IP访问:不进行访问控制,允许所有IP访问,该选择会导致应用的访问安全性较低。如果选择此项,需勾选“我已阅读风险提示并同意”

    IP

    需要通过白名单或黑名单进行访问控制的IP地址,支持IPv4地址和IPv6地址。

    • 每行一个IP地址或一个网段,以回车结束;
    • 每个IP地址或者网段都可以用“|”分隔添加备注,如“192.168.10.10丨ECS01”,备注长度范围是0到255字符,不能包含<>;
    • 每个IP地址中最多可添加300个IP地址或网段。

  6. 配置完成后,单击“确定”

配置HTTPS证书

公有云场景下,基础版及基础版-Lite数据建模引擎运行服务支持配置HTTPS证书以保障访问安全。HTTPS证书仅支持服务器证书,使用HTTPS协议时,需提供证书内容及私钥用于SSL握手协商。

需注意,如果运行服务已部署应用,配置HTTPS证书后需重新部署应用,HTTPS协议方可生效,在此期间可继续通过HTTP协议正常访问应用,不影响业务使用。

  1. 登录iDME控制台
  2. 在左侧导航栏中,单击“数据建模引擎”,进入数据建模引擎页面。
  3. (可选)如果同时有部署在公有云上和边缘云上的运行服务,请切换到公有云。
  4. 找到待操作的运行服务,并根据运行服务的服务类型,执行相应的操作。

    • 如果是基础版运行服务,在其后单击更多图标,在弹出的下拉菜单中选择访问配置 > 证书配置。或者通过服务名称链接进入详情页后,在页面右上角单击更多图标,在弹出的下拉菜单中单击“证书配置”
    • 如果是基础版-Lite运行服务,在其后单击“证书配置”。或者通过服务名称链接进入详情页后,在页面右上角“证书配置”

  5. “证书配置”弹窗中,进行HTTPS证书配置。

    表4 证书配置参数说明

    参数

    说明

    证书内容

    请输入证书内容。

    说明:

    如果是通过根证书机构颁发的证书,您拿到的证书是唯一的一份,不需要额外的证书,配置的站点即可被浏览器等访问设备认为可信。

    证书内容格式为:
    • “-----BEGIN CERTIFICATE-----”作为开头,“-----END CERTIFICATE-----”作为结尾。
    • 每行64字符,最后一行不超过64字符。
    • 证书之间不能有空行。

    示例如下:

    -----BEGIN CERTIFICATE----- Base64–encoded certificate -----END CERTIFICATE-----

    私钥

    请输入私钥文件内容。

    需注意必须是无密码的私钥,私钥内容格式为:

    • “-----BEGIN RSA PRIVATE KEY-----”作为开头,“-----END RSA PRIVATE KEY-----” 作为结尾。
    • 私钥之间不能有空行,并且每行64字符,最后一行不超过64字符。

  6. 配置完成后,单击“确定”

配置内网访问

数据建模引擎运行服务与弹性云服务器(Elastic Cloud Server,简称ECS)处于同一区域时,只需为运行服务绑定虚拟私有云(VPC)并完成应用部署,即可在用户ECS上通过API接口访问应用运行态请注意,开启内网访问需绑定虚拟私有云和子网,开启成功后,系统将自动为用户购买并创建一个基础型VPC终端节点实例,该实例会产生额外的按需费用,详细计费说明请参考终端节点计费说明

如果您在配置内网访问时弹出“授权说明”的窗口,请仔细阅读授权说明,单击“确定”

  1. 登录iDME控制台
  2. 在左侧导航栏中,单击“数据建模引擎”,进入数据建模引擎页面。
  3. (可选)如果同时有部署在公有云上和边缘云上的运行服务,请切换到公有云。
  4. 找到待操作的运行服务,并根据运行服务的服务类型,执行相应的操作为其配置内网访问。
  5. 开启内网访问。

    1. 如果是基础版运行服务,在其后单击更多图标,在弹出的下拉菜单中选择“开启内网访问”;如果是基础版-Lite运行服务,在其后单击“开启内网访问”

      您也可通过基础版或基础版-Lite运行服务名称链接进入详情页后,在运行服务详情 > 连接信息处单击“内网访问”后的“开启”

    2. “开启内网访问”弹窗中,进行内网访问配置。
      表5 内网访问配置参数说明

      参数

      说明

      虚拟私有云

      表示在华为云上构建的逻辑隔离的网络空间,一个虚拟私有云由至少一个子网组成。如需新建,单击“新建虚拟私有云”进入虚拟私有云控制台进行创建,详细操作指导请参见创建虚拟私有云和子网

      同一虚拟私有云内资源默认内网互通。

      子网

      一个虚拟私有云由至少一个子网组成。

    3. 配置完成后,单击“确定”

  6. 关闭内网访问。

    1. 如果是基础版运行服务,在其后单击更多图标,在弹出的下拉菜单中选择“关闭内网访问”;如果是基础版-Lite运行服务,在其后单击“关闭内网访问”

      您也可通过基础版或基础版-Lite运行服务名称链接进入详情页后,在运行服务详情 > 连接信息处单击“内网访问”后的“关闭”

    2. “关闭内网访问”弹窗中,输入命令后,单击“确定”

绑定和解绑弹性公网IP

弹性公网IP(Elastic IP,简称EIP)提供独立的公网IP资源,包括公网IP地址与公网出口带宽服务。弹性公网IP可灵活绑定至边缘云场景下的基础版数据建模引擎运行服务,成功绑定后,部署在该运行服务的应用即可与公网通信,具备公网访问与被公网访问的双向通信能力。

  1. 登录iDME控制台
  2. 在左侧导航栏中,单击“数据建模引擎”,进入数据建模引擎页面。
  3. (可选)如果同时有部署在“公有云”上和“边缘云”上的服务,请切换到边缘云。
  4. 找到待操作的运行服务,通过服务名称链接进入详情页。
  5. 单击“连接管理”,进入连接管理页签。
  6. 绑定弹性公网IP。

    1. 单击“绑定”,弹出绑定公网IP窗口。
    2. 选择需要绑定的弹性公网IP,单击“确定”

      完成绑定后,可以在详情页查看已绑定的弹性公网IP。

      • 如果没有可用的弹性公网IP,单击“查看弹性公网IP地址”,创建新的弹性公网IP。
      • 如果待绑定弹性公网IP的运行服务已部署应用,在完成绑定弹性公网IP后,需重新部署应用才可在该应用运行态生效。

  7. 解绑弹性公网IP。

    1. 单击“解绑”,弹出解绑公网IP窗口。
    2. 根据提示输入指令,单击“确定”

父主题:运行服务

相关文档