管理服务访问配置

如需在Internet上使用自定义域名访问应用运行态，可将已备案的自定义域名与基础版或基础版-Lite数据建模引擎绑定。绑定后，通过访问自定义域名即可访问对应应用运行态。

配置自定义域名注意事项:

• 一个数据建模引擎上只支持生效一个域名。新域名生效后，旧域名（包括历史自定义域名或默认公网域名）会立即失效。
• 已部署应用的数据建模引擎，设置自定义域名后需重新部署应用，新域名才可生效。期间可通过原生效域名继续访问，不影响业务连贯性。
• 添加自定义域名后，建议开启WAF防护并配置白名单后再访问应用。

配置自定义域名前提条件：

• 已按照工信部要求完成ICP备案。华为云提供免费备案服务，详细请参考ICP备案。
• 已通过DNS服务提供商为域名添加解析记录。如果使用华为云DNS服务，请参考添加网站解析；如果使用其他DNS服务请参考其对应指导手册，务必确保将记录集参数配置中的值设为iDME服务提供的公网IP。

1. 登录iDME控制台。
2. 在左侧导航栏中，单击“数据建模引擎”，进入数据建模引擎页面。
3. （可选）如果同时有部署在公有云上和边缘云上的运行服务，请切换到公有云。
4. 找到待操作的运行服务，通过服务名称链接进入详情页后，在“运行服务详情 > 连接信息”处单击“自定义域名”后的“设置”。
   

   只有资源状态处在“运行中”或“变更中”时才可进行此项配置，资源对应状态说明详见服务状态说明。

5. 在“自定义域名”弹窗中，配置自定义域名。

   表1 自定义域名参数说明

   参数	说明
   公网IP	根据iDME所提供域名自动回显对应的IP地址。
   域名	根据实际情况新增、修改或删除自定义域名。

6. 配置完成后，单击“确定”。

域名接入WAF后，WAF作为一个反向代理存在于客户端和服务器之间，服务器的真实IP被隐藏起来，Web访问者只能看到WAF的IP地址。如果未配置域名防护，在部署应用时系统会提示运行服务的安全性较低。

目前仅支持将网站域名以云模式-CNAME接入的方式接入WAF，以增强应用访问安全性，如防止DDOS攻击、命令注入、敏感文件访问等高危攻击。开启WAF防护后需开启白名单访问，之后将无法通过IP访问应用。

开启域名防护后，需配置需要防护的自定义域名，并确保待防护域名已添加到WAF。如果使用华为云WAF云模式，请参考添加防护域名（云模式-CNAME接入）；如果使用其他WAF云模式，请参考其对应指导手册。

1. 登录iDME控制台。
2. 在左侧导航栏中，单击“数据建模引擎”，进入数据建模引擎页面。
3. （可选）如果同时有部署在公有云上和边缘云上的运行服务，请切换到公有云。
4. 找到待操作的运行服务，通过服务名称链接进入详情页后，在“运行服务详情 > 连接信息”处单击“域名防护”后的“设置”。
   

   只有资源状态处在“运行中”或“变更中”时才可进行此项配置，资源对应状态说明详见服务状态说明。

5. 在“域名防护”弹窗中，进行域名防护配置。

   表2 域名防护参数说明

   参数	说明
   开启/关闭防护	开启或关闭防护开关。 域名防护是配合云模式的WAF云服务增强您应用的安全性（如防止DDOS攻击、命令注入、敏感文件访问等高危攻击），暂不支持独享型WAF防护。
   防护域名	开启域名防护后必须配置需要防护的自定义域名。 如果没有可防护的自定义域名，单击“创建自定义域名”进行创建，具体操作请参见配置自定义域名。 说明： 防护自定义域名前，请确保已在DNS服务的服务商处修改域名DNS解析。具体操作指导请咨询您的域名服务的服务商，如您使用的是华为云DNS服务，可参考修改域名DNS解析设置中未使用代理时修改域名DNS解析的操作步骤。
   接入模式	云模式-CNAME接入。

6. 配置完成后，单击“确定”。

通过设置白名单和黑名单可控制访问应用运行态的IP。白名单可允许特定IP访问，而其它IP禁止访问；黑名单则禁止特定IP访问，而其它IP允许访问。建议首选白名单并开启WAF防护，谨慎配置黑名单。黑名单与WAF防护不能同时使用，配置黑名单前需关闭域名防护，但会降低应用访问安全性。

配置白名单前，确保域名已开启WAF防护。如果使用华为云WAF云模式，开启域名防护后系统将自动进行WAF回源IP加白，可跳过本节内容；如果使用其他WAF云模式，开启域名防护后请参考本节添加白名单IP地址。

回源IP是WAF用来代理客户端请求服务器时用的源IP，在服务器看来，接入WAF后所有源IP都会变成WAF的回源IP，而真实的客户端地址会被加在HTTP头部的XFF字段中。回源IP加白是指在源站服务器上配置只放行WAF回源IP的访问控制策略，防止黑客获取源站IP后绕过WAF直接攻击源站，以确保源站安全、稳定、可用。

1. 登录iDME控制台。
2. 在左侧导航栏中，单击“数据建模引擎”，进入数据建模引擎页面。
3. （可选）如果同时有部署在公有云上和边缘云上的运行服务，请切换到公有云。
4. 找到待操作的运行服务，通过服务名称链接进入详情页后，在“运行服务详情 > 连接信息”处单击“访问控制”后的“设置”。
   

   只有资源状态处在“运行中”或“变更中”时才可进行此项配置，资源对应状态说明详见服务状态说明。

5. 在“访问控制”弹窗中，进行访问控制配置。

   表3 访问控制参数说明

   参数	说明
   访问控制	可以选择白名单、黑名单和允许所有IP访问。 白名单：仅允许IP地址中的IP访问。 黑名单：不允许IP地址中的IP访问。 允许所有IP访问：不进行访问控制，允许所有IP访问，该选择会导致应用的访问安全性较低。如果选择此项，需勾选“我已阅读风险提示并同意”。
   IP	需要通过白名单或黑名单进行访问控制的IP地址，支持IPv4地址和IPv6地址。 每行一个IP地址或一个网段，以回车结束； 每个IP地址或者网段都可以用“|”分隔添加备注，如“192.168.10.10丨ECS01”，备注长度范围是0到255字符，不能包含<>； 每个IP地址中最多可添加300个IP地址或网段。

6. 配置完成后，单击“确定”。

公有云场景下的基础版和基础版-Lite数据建模引擎支持配置HTTPS证书以提供安全服务。基础版和基础版-Lite数据建模引擎仅支持服务器证书，在使用HTTPS协议时，服务器证书是用于SSL握手协商，需提供证书内容和私钥。

需注意，如果运行服务已部署应用，配置HTTPS证书后需重新部署应用，HTTPS协议才可生效，在此期间可继续通过HTTP协议访问应用，不会影响使用。

1. 登录iDME控制台。
2. 在左侧导航栏中，单击“数据建模引擎”，进入数据建模引擎页面。
3. （可选）如果同时有部署在公有云上和边缘云上的运行服务，请切换到公有云。
4. 找到待操作的运行服务，并根据运行服务的服务类型，执行相应的操作。
   • 如果是基础版数据建模引擎，在其后单击更多图标，在弹出的下拉菜单中选择“访问配置 > 证书配置”。或者通过服务名称链接进入详情页后，在页面右上角单击更多图标，在弹出的下拉菜单中单击“证书配置”。
   • 如果是基础版-Lite数据建模引擎，在其后单击“证书配置”。或者通过服务名称链接进入详情页后，在页面右上角“证书配置”。

5. 在“证书配置”弹窗中，进行HTTPS证书配置。

   表4 证书配置参数说明

   参数	说明
   证书内容	请输入证书内容。 说明： 如果是通过根证书机构颁发的证书，您拿到的证书是唯一的一份，不需要额外的证书，配置的站点即可被浏览器等访问设备认为可信。 证书内容格式为： 以“-----BEGIN CERTIFICATE-----”作为开头，“-----END CERTIFICATE-----”作为结尾。 每行64字符，最后一行不超过64字符。 证书之间不能有空行。 示例如下： -----BEGIN CERTIFICATE----- Base64–encoded certificate -----END CERTIFICATE-----
   私钥	请输入私钥文件内容。 需注意必须是无密码的私钥，私钥内容格式为： 以“-----BEGIN RSA PRIVATE KEY-----”作为开头，“-----END RSA PRIVATE KEY-----” 作为结尾。 私钥之间不能有空行，并且每行64字符，最后一行不超过64字符。

6. 配置完成后，单击“确定”。

当运行服务与弹性云服务器（Elastic Cloud Server，简称ECS）处于同一区域时，为数据建模引擎绑定虚拟私有云并部署应用后，便可通过API接口在用户ECS上访问应用运行态。请注意，开启内网访问需绑定虚拟私有云和子网，开启成功后会自动为用户购买并创建一个基础型VPC终端节点实例，该实例会产生额外的按需费用，详细的计费说明请参考终端节点计费说明。

如果您在配置内网访问时弹出“授权说明”的窗口，请仔细阅读授权说明，单击“确定”。

1. 登录iDME控制台。
2. 在左侧导航栏中，单击“数据建模引擎”，进入数据建模引擎页面。
3. （可选）如果同时有部署在公有云上和边缘云上的运行服务，请切换到公有云。
4. 找到待操作的运行服务，并根据运行服务的服务类型，执行相应的操作为其配置内网访问。
5. 开启内网访问。
   1. 如果是基础版数据建模引擎，在其后单击更多图标，在弹出的下拉菜单中选择“开启内网访问”；如果是基础版-Lite数据建模引擎，在其后单击“开启内网访问”。

      您也可通过基础版或基础版-Lite数据建模引擎服务名称链接进入详情页后，在“运行服务详情 > 连接信息”处单击“内网访问”后的“开启”。

   2. 在“开启内网访问”弹窗中，进行内网访问配置。

      表5 内网访问配置参数说明

      参数	说明
      虚拟私有云	表示在华为云上构建的逻辑隔离的网络空间，一个虚拟私有云由至少一个子网组成。如需新建，单击“新建虚拟私有云”进入虚拟私有云控制台进行创建，详细操作指导请参见创建虚拟私有云和子网。 同一虚拟私有云内资源默认内网互通。
      子网	一个虚拟私有云由至少一个子网组成。

   3. 配置完成后，单击“确定”。

6. 关闭内网访问。
   1. 如果是基础版数据建模引擎，在其后单击更多图标，在弹出的下拉菜单中选择“关闭内网访问”；如果是基础版-Lite数据建模引擎，在其后单击“关闭内网访问”。

      您也可通过基础版或基础版-Lite数据建模引擎服务名称链接进入详情页后，在“运行服务详情 > 连接信息”处单击“内网访问”后的“关闭”。

   2. 在“关闭内网访问”弹窗中，输入命令后，单击“确定”。

弹性公网IP（Elastic IP，简称EIP）提供独立的公网IP资源，包括公网IP地址与公网出口带宽服务。弹性公网IP可以与弹性云服务器、裸金属服务器、虚拟IP、弹性负载均衡、NAT网关等资源灵活地绑定，提供访问公网和被公网访问的能力。

• 绑定弹性公网IP：通过将弹性公网IP绑定到边缘云场景下的基础版数据建模引擎上，部署在此运行服务的应用便可与公网通信。此时，您便可通过公网地址访问应用运行态。
• 解绑弹性公网IP：绑定弹性公网IP后，如您不再需要与公网通信时，可将服务与弹性公网IP解绑。

1. 登录iDME控制台。
2. 在左侧导航栏中，单击“数据建模引擎”，进入数据建模引擎页面。
3. （可选）如果同时有部署在“公有云”上和“边缘云”上的服务，请切换到边缘云。
4. 找到待操作的运行服务，通过服务名称链接进入详情页。
5. 单击“连接管理”，进入连接管理页签。
6. 绑定弹性公网IP。
   1. 单击“绑定”，弹出绑定公网IP窗口。
   2. 选择需要绑定的弹性公网IP，单击“确定”。

      完成绑定后，可以在详情页查看已绑定的弹性公网IP。

      

      • 如果没有可用的弹性公网IP，单击“查看弹性公网IP地址”，创建新的弹性公网IP。
      • 如果待绑定弹性公网IP的运行服务已部署应用，在完成绑定弹性公网IP后，需重新部署应用才可在该应用运行态生效。

7. 解绑弹性公网IP。
   1. 单击“解绑”，弹出解绑公网IP窗口。
   2. 根据提示输入指令，单击“确定”。