- 最新动态
- 功能总览
- 产品介绍
- 计费说明
- 快速入门
- 控制台操作指南
-
数据建模引擎用户指南
- 设计态使用指南
- 运行态使用指南
- 流程引擎使用指南
- 数字主线引擎用户指南
- 最佳实践
- 开发指南
-
API参考
- 使用前必读
- API概览
- 如何调用API
-
API
- 应用管理
- 运行服务管理
-
数据建模引擎
- 基础数据服务
-
版本服务
- 管理员更新M-V模型数据实例
- 管理员批量更新M-V模型数据实例
- 管理员撤销检出M-V模型数据实例
- 管理员批量撤销检出M-V模型数据实例
- 获取指定M-V模型实例的版本列表
- 获取指定版本的M-V模型实例数据
- 检出M-V模型数据实例
- 批量检出M-V模型数据实例
- 检出并更新M-V模型
- 批量检出并更新M-V模型
- 撤销检出M-V模型数据实例
- 批量撤销检出M-V模型数据实例
- 检入M-V模型数据实例
- 批量检入M-V模型数据实例
- 更新并检入M-V模型数据实例
- 批量更新并检入M-V模型数据实例
- 修订M-V模型数据实例
- 批量修订M-V模型数据实例
- 修订并更新M-V模型数据实例
- 批量修订并更新M-V模型数据实例
- 批量升级M-V模型实例的版本号
- 删除版本对象下最新分支的最新版本实例数据
- 软删除版本对象下最新分支的最新版本实例数据
- 删除最新大版本下的所有小版本
- 批量删除最新大版本下的所有小版本
- 软删除M-V模型实例下最新分支的所有小版本数据
- 批量软删除最新大版本下的所有小版本
- 对比M-V模型实例
- 失效管理
- 业务编码生成器
- 标签管理
- 生命周期管理
- 系统版本
- 多维视图和多维分支
- 关系实体服务
- 树形结构
- 流程引擎
- 应用示例
- 权限和授权项
- 附录
- SDK参考
-
常见问题
- 一般性相关问题
- 计量计费相关问题
-
数据建模引擎相关问题
- 设计态与运行态有什么区别?
- 为什么无法登录应用运行态?
- 为什么用户管理中会有“用户不存在”的用户?
- 为什么登录应用运行态时提示“缺少参数或参数错误”?
- 为什么设置输入型参数时提示安全校验失败?
- 应用发布后,在运行态为什么看不到构建的模型数据?
- 如何验证已设置的用户权限已生效?
- 什么是XDM应用?
- 什么是M-V模型?
- 数据建模引擎支持哪些属性类型?
- 枚举、合法值和参考对象的区别是什么?
- 入图和不入图有什么不同?
- 数据建模引擎支持哪些层级的缓存?
- 如何进行应用同步?
- 可以通过API方式使用应用设计态吗?
- 体验版数据建模引擎和基础版数据建模引擎提供的API有什么不同?
- 如何查看数据建模引擎的版本号?
- 如何避免数据模型互相引用形成环?
- 使用JDK 17版本应用运行态时,服务编排存在哪些约束与限制?
-
数字主线引擎相关问题
- 什么是企业租户和应用租户?
- 创建实体时选择构建表的作用是什么?
- 复杂实体属性太多,创建麻烦怎么办?
- 什么是源端映射和目标端映射?
- 什么是增量字段?
- 关系型数据库映射配置中DelFlag字段的作用是什么?
- 创建数据质量任务时,怎么选不出数据实体?
- 为什么LinkX-F中xDM-F来源的实例数据的最后更新时间显示与xDM-F中不一致
- 什么是入图调度的数据起止时间和数据分片间隔?
- 聚合服务编排中非纯脚本服务选择入参时,提示错误“初始数据实体必填入参为空,请选择必填入参”?
- 发布聚合服务后生成的API如何调用?
- 调用聚合服务时提示“查找不到该企业用户”
- 为什么操作时提示WSF参数校验失败?
- 描述类信息中输入英文双引号导致系统错误提示
- 全量数据服务API相关问题
- 文档下载
- 通用参考
展开导读
链接复制成功!
管理服务访问配置
服务访问配置概述
在公有云场景下,将应用成功部署到基础版或基础版-Lite数据建模引擎上后,可使用iDME提供的默认公网域名访问应用运行态。为了提升应用运行态的访问安全性,建议开启域名防护和进行访问控制配置。如果还想在Internet上使用自定义域名来访问应用运行态,您可以通过配置自定义域名实现。如果想实现安全的HTTPS访问,您可以通过配置HTTPS证书实现应用运行态的安全访问。如果想通过内网IP地址访问应用运行态,您可以开启内网访问。
仅公有云场景下的基础版和基础版-Lite数据建模引擎支持以下配置:
在边缘云场景下,您可以通过将弹性公网IP绑定到数据建模引擎上,部署在此运行服务的应用便可与公网通信。绑定弹性公网IP后,如您不再需要与公网通信时,也可将服务与弹性公网IP解绑。详细操作请参见绑定和解绑弹性公网IP。
以下为您介绍服务访问配置管理中各配置的详细操作步骤:
在进行服务访问配置操作之前,请确保已获取管理员权限的IAM用户的账号和密码。
配置自定义域名
如果您想在Internet上使用自定义域名来访问应用运行态,可以将已备案的自定义域名,绑定至对应的基础版或基础版-Lite数据建模引擎上,绑定后访问自定义域名即可访问对应的应用运行态。
配置自定义域名时,请注意以下事项:
- 一个基础版或基础版-Lite数据建模引擎上只支持生效一个域名。新的自定义域名生效后,旧的自定义域名或iDME提供的默认公网域名会立即失效。
- 如果待操作的运行服务已部署应用,添加、修改或删除自定义域名后需重新部署应用,新的自定义域名或iDME提供的默认公网域名才可生效。在此期间,您可通过原有已生效的域名继续访问应用,暂时不会影响您的业务连贯性。
- 添加自定义域名后建议您为其开启WAF防护,并通过访问控制管理功能配置白名单后,再通过自定义域名访问您的应用。
如何开启WAF防护请参见配置域名防护。
配置自定义域名需具备的前提条件如下:
- 已将待配置的自定义域名按照工信部要求完成ICP备案。如有需要,您可通过华为云APP备案系统免费备案,具体操作请参考ICP备案。
- 已通过DNS服务提供商为自定义域名添加解析记录,并确保为域名添加记录集时参数配置中值已设置成iDME服务提供的公网IP。
- 如果您使用的是华为云DNS服务,请参考添加网站解析为域名添加解析记录。
- 如果您使用的是其他DNS服务,请参考其对应的指导手册为域名添加解析记录。
- 登录iDME控制台。
- 在左侧导航栏中,单击“数据建模引擎”,进入数据建模引擎页面。
- (可选)如果同时有部署在公有云上和边缘云上的运行服务,请切换到公有云。
- 找到待操作的运行服务,通过服务名称链接进入详情页后,在“运行服务详情 > 连接信息”处单击“自定义域名”后的“设置”。
- 在“自定义域名”弹窗中,配置自定义域名。
图1 配置自定义域名
表1 自定义域名参数说明 参数
说明
公网IP
根据iDME所提供域名自动回显对应的IP地址。
域名
根据实际情况新增、修改或删除自定义域名。
- 配置完成后,单击“确定”。
配置域名防护
域名接入WAF后,WAF作为一个反向代理存在于客户端和服务器之间,服务器的真实IP被隐藏起来,Web访问者只能看到WAF的IP地址。如果未配置域名防护,那么在部署应用时,系统会提示运行服务的安全性较低。
请注意,目前仅支持将网站域名以云模式-CNAME接入的方式接入WAF,以增强您应用的访问安全性(如防止DDOS攻击、命令注入、敏感文件访问等高危攻击)。开启WAF防护后需同时通过访问控制管理开启白名单访问,此后您将无法再通过IP访问应用。
开启域名防护后,必须配置需要防护的自定义域名,请确保待防护域名已备案且已添加到WAF。
- 如果您使用的是华为云WAF云模式,请确认已完成添加防护域名(云模式-CNAME接入)。
- 如果您使用的是其他WAF云模式,请参考其对应的指导手册将防护域名接入WAF并完成。
- 登录iDME控制台。
- 在左侧导航栏中,单击“数据建模引擎”,进入数据建模引擎页面。
- (可选)如果同时有部署在公有云上和边缘云上的运行服务,请切换到公有云。
- 找到待操作的运行服务,通过服务名称链接进入详情页后,在“运行服务详情 > 连接信息”处单击“域名防护”后的“设置”。
- 在“域名防护”弹窗中,进行域名防护配置。
表2 域名防护参数说明 参数
说明
开启/关闭防护
开启或关闭防护开关。
域名防护是配合云模式的WAF云服务增强您应用的安全性(如防止DDOS攻击、命令注入、敏感文件访问等高危攻击),暂不支持独享型WAF防护。
防护域名
开启域名防护后必须配置需要防护的自定义域名。
如果没有可防护的自定义域名,单击“创建自定义域名”进行创建,具体操作请参见配置自定义域名。
说明:
防护自定义域名前,请确保已在DNS服务的服务商处修改域名DNS解析。具体操作指导请咨询您的域名服务的服务商,如您使用的是华为云DNS服务,可参考修改域名DNS解析设置中未使用代理时修改域名DNS解析的操作步骤。
接入模式
云模式-CNAME接入。
- 配置完成后,单击“确定”。
配置访问控制
用户可以通过添加白名单和黑名单的方式控制访问应用运行态的IP。通过白名单能够设置允许特定IP访问,而其它IP不许访问。通过黑名单能够设置禁止特定的IP不能访问,而其它IP允许访问。
建议您使用白名单功能并开启WAF防护,请谨慎配置黑名单。黑名单功能与WAF防护不能同时使用,如需配置黑名单,则需关闭域名防护,但会降低应用的访问安全性。
配置白名单时请确保域名已开启WAF防护,开启WAF防护的具体操作请参见配置域名防护。
- 如果您使用的是华为云WAF云模式,开启域名防护后系统将自动为您进行WAF回源IP加白,可跳过本节内容。
回源IP是WAF用来代理客户端请求服务器时用的源IP,在服务器看来,接入WAF后所有源IP都会变成WAF的回源IP,而真实的客户端地址会被加在HTTP头部的XFF字段中。回源IP加白是指在源站服务器上配置只放行WAF回源IP的访问控制策略,防止黑客获取源站IP后绕过WAF直接攻击源站,以确保源站安全、稳定、可用。
- 如果您使用的是其他WAF云模式,开启域名防护后请参考本节添加需要通过白名单进行访问控制的IP地址。
- 登录iDME控制台。
- 在左侧导航栏中,单击“数据建模引擎”,进入数据建模引擎页面。
- (可选)如果同时有部署在公有云上和边缘云上的运行服务,请切换到公有云。
- 找到待操作的运行服务,通过服务名称链接进入详情页后,在“运行服务详情 > 连接信息”处单击“访问控制”后的“设置”。
- 在“访问控制”弹窗中,进行访问控制配置。
图2 设置访问控制
表3 访问控制参数说明 参数
说明
访问控制
可以选择白名单、黑名单和允许所有IP访问。
- 白名单:仅允许IP地址中的IP访问。
- 黑名单:不允许IP地址中的IP访问。
- 允许所有IP访问:不进行访问控制,允许所有IP访问,该选择会导致应用的访问安全性较低。如果选择此项,需勾选“我已阅读风险提示并同意”。
IP
需要通过白名单或黑名单进行访问控制的IP地址,支持IPv4地址和IPv6地址。
- 每行一个IP地址或一个网段,以回车结束;
- 每个IP地址或者网段都可以用“|”分隔添加备注,如“192.168.10.10丨ECS01”,备注长度范围是0到255字符,不能包含<>;
- 每个IP地址中最多可添加300个IP地址或网段。
- 配置完成后,单击“确定”。
配置HTTPS证书
公有云场景下的基础版和基础版-Lite数据建模引擎支持配置HTTPS证书以提供安全服务。基础版和基础版-Lite数据建模引擎仅支持服务器证书,在使用HTTPS协议时,服务器证书是用于SSL握手协商,需提供证书内容和私钥。
需注意,如果您的运行服务已部署应用,配置HTTPS证书后需重新部署应用,HTTPS协议才可生效。在此期间,您可继续通过HTTP协议访问应用,不会影响您的使用。
- 登录iDME控制台。
- 在左侧导航栏中,单击“数据建模引擎”,进入数据建模引擎页面。
- (可选)如果同时有部署在公有云上和边缘云上的运行服务,请切换到公有云。
- 找到待操作的运行服务,并根据运行服务的服务类型,执行相应的操作。
- 如果是基础版数据建模引擎,在其后单击
更多图标,在弹出的下拉菜单中选择“访问配置 > 证书配置”。或者通过服务名称链接进入详情页后,在页面右上角单击
更多图标,在弹出的下拉菜单中单击“证书配置”。
- 如果是基础版-Lite数据建模引擎,在其后单击“证书配置”。或者通过服务名称链接进入详情页后,在页面右上角“证书配置”。
- 如果是基础版数据建模引擎,在其后单击
- 在“证书配置”弹窗中,进行HTTPS证书配置。
图3 配置HTTPS证书
表4 证书配置参数说明 参数
说明
证书内容
请输入证书内容。
说明:
如果是通过根证书机构颁发的证书,您拿到的证书是唯一的一份,不需要额外的证书,配置的站点即可被浏览器等访问设备认为可信。
证书内容格式为:- 以“-----BEGIN CERTIFICATE-----”作为开头,“-----END CERTIFICATE-----”作为结尾。
- 每行64字符,最后一行不超过64字符。
- 证书之间不能有空行。
示例如下:
-----BEGIN CERTIFICATE----- Base64–encoded certificate -----END CERTIFICATE-----
私钥
请输入私钥文件内容。
需注意必须是无密码的私钥,私钥内容格式为:
- 以“-----BEGIN RSA PRIVATE KEY-----”作为开头,“-----END RSA PRIVATE KEY-----” 作为结尾。
- 私钥之间不能有空行,并且每行64字符,最后一行不超过64字符。
- 配置完成后,单击“确定”。
配置内网访问
当运行服务与弹性云服务器(Elastic Cloud Server,简称ECS)处于同一区域时,为数据建模引擎绑定虚拟私有云并部署应用后,便可通过API接口在用户ECS上访问应用运行态。请注意,开启内网访问需绑定虚拟私有云和子网,开启成功后会自动为用户购买并创建一个基础型VPC终端节点实例,该实例会产生额外的按需费用,详细的计费说明请参考终端节点计费说明。
如果您在配置内网访问时弹出“授权说明”的窗口,请仔细阅读授权说明,单击“确定”。
- 登录iDME控制台。
- 在左侧导航栏中,单击“数据建模引擎”,进入数据建模引擎页面。
- (可选)如果同时有部署在公有云上和边缘云上的运行服务,请切换到公有云。
- 找到待操作的运行服务,并根据运行服务的服务类型,执行相应的操作为其配置内网访问。
- 开启内网访问。
- 如果是基础版数据建模引擎,在其后单击
更多图标,在弹出的下拉菜单中选择“开启内网访问”;如果是基础版-Lite数据建模引擎,在其后单击“开启内网访问”。
您也可通过基础版或基础版-Lite数据建模引擎服务名称链接进入详情页后,在“运行服务详情 > 连接信息”处单击“内网访问”后的“开启”。
- 在“开启内网访问”弹窗中,进行内网访问配置。
图4 开启内网访问
表5 内网访问配置参数说明 参数
说明
虚拟私有云
表示在华为云上构建的逻辑隔离的网络空间,一个虚拟私有云由至少一个子网组成。如需新建,单击“新建虚拟私有云”进入虚拟私有云控制台进行创建,详细操作指导请参见创建虚拟私有云和子网。
同一虚拟私有云内资源默认内网互通。
子网
一个虚拟私有云由至少一个子网组成。
- 配置完成后,单击“确定”。
- 如果是基础版数据建模引擎,在其后单击
- 关闭内网访问。
- 如果是基础版数据建模引擎,在其后单击
更多图标,在弹出的下拉菜单中选择“关闭内网访问”;如果是基础版-Lite数据建模引擎,在其后单击“关闭内网访问”。
您也可通过基础版或基础版-Lite数据建模引擎服务名称链接进入详情页后,在“运行服务详情 > 连接信息”处单击“内网访问”后的“关闭”。
- 在“关闭内网访问”弹窗中,输入命令后,单击“确定”。
- 如果是基础版数据建模引擎,在其后单击
绑定和解绑弹性公网IP
弹性公网IP(Elastic IP,简称EIP)提供独立的公网IP资源,包括公网IP地址与公网出口带宽服务。弹性公网IP可以与弹性云服务器、裸金属服务器、虚拟IP、弹性负载均衡、NAT网关等资源灵活地绑定,提供访问公网和被公网访问的能力。
- 绑定弹性公网IP:通过将弹性公网IP绑定到边缘云场景下的基础版数据建模引擎上,部署在此运行服务的应用便可与公网通信。此时,您便可通过公网地址访问应用运行态。
- 解绑弹性公网IP:绑定弹性公网IP后,如您不再需要与公网通信时,可将服务与弹性公网IP解绑。
- 登录iDME控制台。
- 在左侧导航栏中,单击“数据建模引擎”,进入数据建模引擎页面。
- (可选)如果同时有部署在“公有云”上和“边缘云”上的服务,请切换到边缘云。
- 找到待操作的运行服务,通过服务名称链接进入详情页。
- 单击“连接管理”,进入连接管理页签。
- 绑定弹性公网IP。
- 单击“绑定”,弹出绑定公网IP窗口。
- 选择需要绑定的弹性公网IP,单击“确定”。
完成绑定后,可以在详情页查看已绑定的弹性公网IP。
- 解绑弹性公网IP。
- 单击“解绑”,弹出解绑公网IP窗口。
- 根据提示输入指令,单击“确定”。