华为云用户手册

配置访问控制策略 登录管理中心。 选择左侧导航栏的“应用管理”。 在“全部应用”页签，单击待修改的应用操作列的“配置”。 单击“访问控制”，进入“访问控制”页签。 开启/关闭访问控制开关：在“基础设置”中开启/关闭访问控制开关即可。 开启后需配置默认策略，请参见步骤6。 配置默认策略。默认策略可选择“允许所有用户访问”或“拒绝所有用户访问”。 默认策略用于访问该应用时无法匹配到应用访问策略的用户。 根据所需，修改、新增或删除策略。 修改策略：单击指定策略操作列的“编辑”，修改策略参数，参数说明如表1所示。 新增策略： 单击“添加策略”，配置策略参数，参数说明如表1所示。 表1 添加策略参数说明 参数名称 参数说明 策略名称 应用访问策略的名称。 描述 可选项，应用访问策略的描述信息。 访问时间 可选择任意时间、指定星期范围内或指定日期范围内。 区域范围 可选择不限定或指定ip段。 选择指定ip段后，需先添加区域范围，包括设置区 域名 称、区域网段和描述信息。然后选择已添加的区域范围即可。 访问策略 勾选访问策略。 允许访问：符合设置的访问时间或区域范围的用户允许访问该应用。 拒绝：符合设置的访问时间或区域范围的用户无法访问该应用。 二次验证：符合设置的访问时间或区域范围的用户可以使用手机验证码进行验证，验证通过后即可访问该应用。 删除策略：单击指定策略操作列的“删除”，单击“确认”。 删除后，该策略的数据将被删除且不可恢复，请谨慎操作。

配置应用授权 登录管理中心。 选择左侧导航栏的“应用管理”。 在“全部应用”页签，单击待修改的应用操作列的“配置”。 单击“授权管理”，进入“授权管理”页签。 单击“授权设置”，在“授权设置”界面中选择被授权成员信息，单击“下一步”。 选择可用成员范围，可勾选“全员可用”或“自定义人员范围”，勾选“自定义人员范围”后还需要选择指定的部门与人员或者用户组。单击“确认”。 设置后，应用授权范围中会显示授权部门、授权人员或授权用户组信息。同时，授权用户列表中也会展示授权账号的详细情况（包括姓名、账号名、应用侧角色、来源、更新时间和同步状态），支持按照账号名进行过滤查询。

开启/关闭认证源 登录管理中心。 选择左侧导航栏的“应用管理”。 在“全部应用”页签，单击待修改的应用操作列的“配置”。 单击“登录配置”，进入“登录配置”页签。 在“认证方式”模块，开启/关闭指定认证源操作列的开关即可。根据开启的认证源类型不同，界面操作不同，具体如下： 开启组织社交认证源（钉钉、企业微信或Welink）：开启后，界面提示“保存成功”即成功开启。 开启组织认证源（OAuth、CAS、SAML、OIDC或AD）：开启后，需要选择关联的认证源，最多可关联3个，单击“保存”，界面提示“保存成功”即成功开启。 开启后，登录页会新增“其他方式登录”选项，可选择使用该认证源登录应用。 最多可以开启3个认证源，例如可以同时开启钉钉和2个OAuth认证源。

配置同步集成信息 登录管理中心。 选择左侧导航栏的“应用管理”。 在“全部应用”页签，单击待修改的应用操作列的“配置”。 单击“同步集成”，进入“同步集成”页签。 配置相关参数，参数说明如表1所示。 表1 同步集成配置参数说明 参数名称 参数说明 回调URL 用于同步该应用的数据给其他第三方系统的URL。 签名密钥 用于对回调消息体内容签名。 加密密钥 用于传输ClientSecret的加密公钥。 摘要算法 选择加密算法，如：SHA256或SHA1。 注意： SHA1安全强度不高，不建议使用。

配置认证集成方式 登录管理中心。 选择左侧导航栏的“应用管理”。 在“全部应用”页签，单击待修改的应用操作列的“配置”。 单击“认证集成”，进入“认证集成”页签。 根据选择的认证集成方式不同，需要配置不同的参数，参数说明如表1所示。配置完成后，单击“保存”。 表1 认证集成配置参数说明 认证集成方式 参数名称 参数说明 OAuth2 首页URL 应用首页的URL地址，例：https://xx.xx。 支持设置多个首页的URL地址，可单击“新建URL”，添加新的URL地址。 管理员登录URL 可选项，管理员登录应用的URL地址。 退出地址 可选项，应用的退出地址，请以http或https开头，例：https://xxx.xxx.xxx/logout。 Refresh Token有效期（秒） 允许用户在多久时间内不用重新登录应用的时间。 Access Token有效期（秒） 允许用户在多久时间内保持登录应用的时间。 OIDC 首页URL 应用首页的URL地址，例：https://xx.xx。 管理员登录URL 可选项，管理员登录应用的URL地址。 退出地址 可选项，应用的退出地址，请以http或https开头，例：https://xxx.xxx.xxx/logout。 授权码模式 可选项，是否开启授权码模式，默认开启。 TOKEN签名算法 支持选择：RS256、RS384、RS512。 Access Token有效期（秒） 允许用户在多久时间内保持登录应用的时间。 Refresh Token有效期（秒） 允许用户在多久时间内不用重新登录应用的时间。 SAML SP Entity ID SP唯一标识，对应SP元数据文件中的“Entity ID”的值。 断言消费地址(A CS URL) SP回调地址（断言消费服务地址），对应SP元数据文件中“AssertionConsumerService”的值，即当认证成功后响应返回的值。 Name ID 用户在应用系统中的账号名对应字段，支持选择：邮箱、手机号、用户名、用户ID、账号名。 NameID Format 可选项，SP支持的用户名称标识格式。对应SP元数据文件中“NameIDFormat”的值。支持选择： urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress urn:oasis:names:tc:SAML:2.0:nameid-format:transient urn:oasis:names:tc:SAML:2.0:nameid-format:persistent Audience URI 可选项，允许使用SAML断言的资源，默认和SP Entity ID相同。 Single Logout URL 可选项，服务提供商提供会话注销功能，用户在OrgID注销会话后返回绑定的地址。对应SP元数据文件中“SingleLogoutService” 的值。“SingleLogoutService” 需要支持HTTP Redirect或HTTP POST方式。 默认Relay State 可选项，使用在IdP发起的认证中，作为默认的一个值。 支持ForceAuth 可选项，如果SP要求重新认证，则强制用户再次认证。 Response签名 可选项，是否对SAML Response使用IdP的证书签名。 断言签名 可选项，断言需使用IdP的证书签名，对应SP元数据文件中“WantAssertionsSigned”值。 数字签名算法 可选项，SAML Response或者断言签名的算法。支持RSA_SHA256、RSA_SHA512、RSA_RIPEMD160，可在下拉框选择。 数字摘要算法 可选项，SAML Response或者断言的数字摘要算法。支持SHA256、SHA512、RIPEMD160，可在下拉框选择。 断言加密 可选项，是否对断言进行加密。 验证请求签名 可选项，是否对SAML Request签名进行验证，对应SP元数据文件中“AuthnRequestsSigned”值。 CAS3 首页URL 应用首页的URL地址，例：https://xx.xx。 管理员登录URL 可选项，管理员登录应用的URL地址。 退出地址 可选项，应用的退出地址，请以http或https开头，例：https://xxx.xxx.xxx/logout。 （可选）如果需要关联OrgID和自建应用的用户属性，可选择“映射配置”页签，单击“添加映射”，选择关联属性和映射属性，单击“确定”保存映射，单击“测试”，测试映射关系是否成立。 需要修改映射时，可单击操作列的“编辑”进行修改。

（可选）同步集成配置 当需要同步应用的数据给第三方系统时，可开启同步集成开关，详细的同步数据请参见联营Kit接口描述联营Kit接口描述。 配置相关参数，参数说明如表2所示。 表2 同步集成配置参数说明 参数名称 参数说明 回调URL 用于同步该应用的数据给其他第三方系统的URL。 签名密钥 用于对回调消息体内容签名。 加密密钥 用于传输ClientSecret的加密公钥。 摘要算法 选择加密算法，如：SHA256或SHA1。 注意： SHA1安全强度不高，不建议使用。

（可选）登录配置 （可选）如果需要获取首页URL或管理员登录地址供其他用户使用，可单击获取。 管理员登录地址为空即表示在5中未配置管理员登录地址。 （可选）如果已进行认证源管理，可选择开启认证源。根据开启的认证源类型不同，界面操作不同，具体如下。 开启组织社交认证源（钉钉、企业微信或Welink）：开启后，界面提示“保存成功”即成功开启。 开启组织认证源（OAuth、CAS、SAML、OIDC或AD）：开启后，需要选择关联的认证源，最多可关联3个，单击“保存”，界面提示“保存成功”即成功开启。 开启后，登录页会新增“其他方式登录”选项，可选择使用该认证源登录应用。 最多可以开启3个认证源，例如可以同时开启钉钉和2个OAuth认证源。

授权管理配置 单击“授权设置”，在“授权设置”界面中选择被授权成员信息，单击“下一步”。 选择可用成员范围，可勾选“全员可用”或“自定义人员范围”，勾选“自定义人员范围”后还需要选择指定的部门与人员或者用户组。单击“确认”。 设置后，应用授权范围中会显示授权部门、授权人员或授权用户组信息。同时，授权用户列表中也会展示授权账号的详细情况（包括姓名、账号名、应用侧角色、来源、更新时间和同步状态），支持按照时间或账号名进行过滤查询。

（可选）访问控制策略配置 当需要控制用户在指定的时间或区域范围内访问应用时，可开启访问控制开关。 配置默认策略。默认策略可选择“允许所有用户访问”或“拒绝所有用户访问”。 默认策略用于访问该应用时无法匹配到应用访问策略的用户。 单击“添加策略”，配置策略参数，参数说明如表3所示。 表3 添加策略参数说明 参数名称 参数说明 策略名称 应用访问策略的名称。 描述 可选项，应用访问策略的描述信息。 访问时间 可选择任意时间、指定星期范围内或指定日期范围内。 区域范围 可选择不限定或指定ip段。 选择指定ip段后，需先添加区域范围，包括设置区域名称、区域网段和描述信息。然后选择已添加的区域范围即可。 访问策略 勾选访问策略。 允许访问：符合设置的访问时间或区域范围的用户允许访问该应用。 拒绝：符合设置的访问时间或区域范围的用户无法访问该应用。 二次验证：符合设置的访问时间或区域范围的用户可以使用手机验证码进行验证，验证通过后即可访问该应用。 策略添加完成后，可单击“是否生效”列的开启策略。开启后可单击“是否生效”列的关闭策略。

认证集成配置 选择认证集成方式：OAuth2、OIDC、SAML、CAS3，选择后不支持修改。 根据选择的认证集成方式不同，需要配置不同的参数，参数说明如表1所示。配置完成后，单击“保存”。 表1 认证集成配置参数说明 认证集成方式 参数名称 参数说明 OAuth2 首页URL 应用首页的URL地址，例：https://xx.xx。 支持设置多个首页的URL地址，可单击“新建URL”，添加新的URL地址。 管理员登录URL 可选项，管理员登录应用的URL地址。 退出地址 可选项，应用的退出地址，请以http或https开头，例：https://xxx.xxx.xxx/logout。 Refresh Token有效期（秒） 允许用户在多久时间内不用重新登录应用的时间。 Access Token有效期（秒） 允许用户在多久时间内保持登录应用的时间。 OIDC 首页URL 应用首页的URL地址，例：https://xx.xx。 管理员登录URL 可选项，管理员登录应用的URL地址。 退出地址 可选项，应用的退出地址，请以http或https开头，例：https://xxx.xxx.xxx/logout。 授权码模式 可选项，是否开启授权码模式，默认开启。 TOKEN签名算法 支持选择：RS256、RS384、RS512。 Access Token有效期（秒） 允许用户在多久时间内保持登录应用的时间。 Refresh Token有效期（秒） 允许用户在多久时间内不用重新登录应用的时间。 SAML SP Entity ID SP唯一标识，对应SP元数据文件中的“Entity ID”的值。 断言消费地址(ACS URL) SP回调地址（断言消费服务地址），对应SP元数据文件中“AssertionConsumerService”的值，即当认证成功后响应返回的值。 Name ID 用户在应用系统中的账号名对应字段，支持选择：邮箱、手机号、用户名、用户ID、账号名。 NameID Format 可选项，SP支持的用户名称标识格式。对应SP元数据文件中“NameIDFormat”的值。支持选择： urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress urn:oasis:names:tc:SAML:2.0:nameid-format:transient urn:oasis:names:tc:SAML:2.0:nameid-format:persistent Audience URI 可选项，允许使用SAML断言的资源，默认和SP Entity ID相同。 Single Logout URL 可选项，服务提供商提供会话注销功能，用户在OrgID注销会话后返回绑定的地址。对应SP元数据文件中“SingleLogoutService” 的值。“SingleLogoutService” 需要支持HTTP Redirect或HTTP POST方式。 默认Relay State 可选项，使用在IdP发起的认证中，作为默认的一个值。 支持ForceAuth 可选项，如果SP要求重新认证，则强制用户再次认证。 Response签名 可选项，是否对SAML Response使用IdP的证书签名。 断言签名 可选项，断言需使用IdP的证书签名，对应SP元数据文件中“WantAssertionsSigned”值。 数字签名算法 可选项，SAML Response或者断言签名的算法。支持RSA_SHA256、RSA_SHA512、RSA_RIPEMD160，可在下拉框选择。 数字摘要算法 可选项，SAML Response或者断言的数字摘要算法。支持SHA256、SHA512、RIPEMD160，可在下拉框选择。 断言加密 可选项，是否对断言进行加密。 验证请求签名 可选项，是否对SAML Request签名进行验证，对应SP元数据文件中“AuthnRequestsSigned”值。 CAS3 首页URL 应用首页的URL地址，例：https://xx.xx。 管理员登录URL 可选项，管理员登录应用的URL地址。 退出地址 可选项，应用的退出地址，请以http或https开头，例：https://xxx.xxx.xxx/logout。 （可选）如果需要关联OrgID和自建应用的用户属性，可选择“映射配置”页签，单击“添加映射”，选择关联属性和映射属性，单击“确定”保存映射，单击“测试”，测试映射关系是否成立。 需要修改映射时，可单击操作列的“编辑”进行修改。

应用基本信息配置 登录管理中心。 选择左侧导航栏的“应用管理”。 单击“添加自建应用”。 输入应用名称，如“自建App”。 上传应用图标，图标要求必须为JPG或PNG格式，大小不超过20KB，尺寸240*240px。 选择应用类型，当前仅支持选择“Web”。 设置应用负责人，输入并选择成员姓名，将成员设置为应用负责人。 应用负责人即该应用的应用管理员，只有应用管理员才能更新该应用配置，其他管理员没有操作该应用的权限。 普通成员不能成为应用负责人，需先成为组织管理员、部门管理员才能被设置为应用负责人。 单击“确定”，进入认证集成页面。

更多操作 部门添加成功后，您还可以进行以下操作。 表1 部门管理 操作名称 操作步骤 编辑部门 单击待修改部门所在行“操作”列下的“编辑部门”。 修改部门信息，单击“更新”。 说明： 组织创建成功后，会默认生成一个一级部门，该一级部门不支持编辑。 添加子部门 单击待添加子部门的部门所在行“操作”列下的“添加子部门”。 输入部门名称、设置部门CODE（可选），单击“确认”。 删除部门 单击待删除部门所在行“操作”列下的“删除”。 单击“确认”。 说明： 组织创建成功后，会默认生成一个一级部门，该一级部门不支持编辑。 一级部门不支持删除。 删除部门后，数据无法恢复，请谨慎操作。

管理中心首页功能介绍 管理中心首页不仅提供了完善组织架构、配置组织应用和探索更多操作的常用功能入口，还展示了组织的统计数据和应用管理的快捷入口，如图1所示。组织创建者或组织管理员可以通过管理中心快速访问所需功能，并了解组织的整体信息。 图1 管理中心首页 具体快捷功能如下： 完善组织架构：可快速访问成员管理页面。 配置组织应用：可快速访问应用管理页面。 查看组织信息：可快速访问组织信息界面。 配置：可快速访问对应应用的配置页面。

创建组织 登录OrgID管理控制台。 单击“创建组织”。 输入组织名称，并单击“下一步”。 名称由1~60个中文、英文、数字及合法字符组成。 设置组织的域名。 输入组织简称，可使用2~30位字母、数字或它们的组合，如abc，后缀名为固定的.orgid.top，如图1所示。单击“下一步”。 图1 设置组织域名 域名是指网址中“www.”之后的内容，如: www.example.com中的example.com即为域名；或电子邮件地址中“@”符号之后的内容，如username@example.com中的example.com即为域名。 域名设置后管理员为组织创建成员时，成员的管理式华为账号默认带有域名后缀，如设置的组织域名为abc.orgid.top，创建的成员账号为xxx@abc.orgid.top。OrgID支持使用自有域名，可在域名管理中添加域名并在创建成员时选择账号后缀的域名。 阅读“管理式华为账号”相关声明，单击“同意”。 组织创建成功，您可以单击“进入控制台”，在控制台继续进行后续的组织管理操作。也可以在华为云OrgID控制台为组织开通联邦认证，开通联邦认证后，授权的用户可以通过联邦认证访问组织的华为云资源。

登录场景介绍 用户可以使用个人华为账号或管理式华为账号登录OrgID，用户可根据账号类型，选择不同的登录方式。另外，也支持个人华为账号、管理式华为账号或第三方认证源账号通过OrgID访问某个注册在OrgID的应用；或者登录OrgID后，在用户中心免登录访问应用列表中的应用或华为云服务。 表1 OrgID登录场景 登录场景 使用账号 操作步骤 操作说明 登录OrgID 个人华为账号 访问OrgID。 输入账号名和密码，账号名处也可以输入手机号码或者邮箱地址，单击“登录”。 首次登录后显示OrgID管理控制台，后续登录默认进入最近访问的OrgID组织用户中心。 登录后可以创建组织，具体请参见创建组织。创建完成后，该华为账号会自动成为该组织的超级管理员，拥有该组织的所有管理权限。可以访问该组织的用户中心，可切换至该组织的管理中心，并进行组织管理。 管理式华为账号 访问OrgID。 输入账号名和密码，仅支持输入账号名，单击“登录”。 成功登录后，根据账号的权限不同，界面的呈现和可执行的操作不同，具体如下： 组织管理员：登录后显示用户中心，可切换至组织的管理中心，除不能进行创建组织和解散组织的操作外，其余权限与组织创建者一致。 部门管理员：登录后显示用户中心，可切换至组织的管理中心，拥有查看组织信息、管理成员部门、管理应用的操作权限。 普通用户：登录后只能访问组织的用户中心，支持的操作可参见用户中心介绍。 通过OrgID访问某个注册在OrgID的应用 个人华为账号 管理式华为账号 通过管理员获取某个注册在OrgID的应用URL或者该应用的登录地址。 访问该地址，页面显示OrgID登录页。 输入账号名及密码，单击“登录”。 登录成功后，系统自动回调到应用首页，应用能够获取到用户授权的个人信息。 OrgID会给应用发放授权码，通过授权码，应用获取相关TOKEN，并根据TOKEN调用获取用户信息接口，获取的用户信息。 第三方认证源账号 通过管理员获取某个注册在OrgID的应用URL或者该应用的登录地址。 访问该地址，页面显示OrgID登录页。 切换认证源，展示第三方认证源的登录页面。 说明： 使用第三方认证源账号登录OrgID前，需组织创建者或组织管理员在OrgID中配置第三方认证源，具体请参见认证源管理。 输入第三方认证源账号名和密码，单击“登录”。 成功登录后显示应用首页。 免登录访问用户中心界面的应用或华为云服务 个人华为账号 管理式华为账号 第三方认证源账号 访问OrgID。 输入账号名及密码，单击“登录”。 成功登录后，进入用户中心首页。 单击最近使用或者全部应用中的应用/华为云服务，免登录进入该应用/华为云服务系统。 该应用/华为云服务会获取到用户授权的个人信息。 -

使用对象 OrgID使用对象分为超级管理员、组织管理员、部门管理员和普通用户四种，不同对象的操作权限请参见常见操作与系统角色的关系。 超级管理员：是开通OrgID后拥有创建组织权限的用户。创建组织后，自动成为组织创建者，是组织内的超级管理员。 组织管理员：是超级管理员创建组织后在组织管理中心的“权限管理”页面添加为组织管理员的用户。 部门管理员：是超级管理员或组织管理员在组织管理中心的“权限管理”页面添加为部门管理员的用户。 普通用户：指具体使用OrgID的用户，由管理员在管理中心添加或邀请的用户。添加的用户会自动开通管理式华为账号，可登录并访问OrgID用户中心，邀请的用户账号也可以登录并访问OrgID用户中心。

使用账号 OrgID使用账号分为个人华为账号、管理式华为账号和第三方认证源账号。 个人华为账号：是由个人在华为集团账号系统申请获得，包括使用终端设备、华为云渠道、消费者应用等获取。该类账号归属于个人，可以通过邀请方式加入组织，也可以自己开通OrgID并创建组织。 管理式华为账号：是由组织的管理员创建生成，该类账号只归属于本组织所有，不可以加入其他组织。 第三方认证源账号：是指登录认证由第三方认证源提供，鉴权认证通过后，将登录OrgID进行后续业务操作，具体支持的认证源及认证操作请参见认证源管理。

开通与使用流程 租户需要先在华为云开通OrgID服务，才能进一步登录并使用OrgID服务。OrgID的开通与使用流程如图1所示。 图1 开通与使用流程 开通OrgID： 登录华为云OrgID控制台：租户使用个人华为账号登录华为云OrgID控制台，如果没有个人华为账号请先 注册华为账号 并完成实名认证。 创建组织：单击“创建组织”，系统会判断是否是首次创建组织。 首次创建组织：需要申请加入OrgID白名单，加入白名单后阅读并同意服务声明，然后可以开始创建组织。 非首次创建组织：进入OrgID业务面开始创建组织。 使用OrgID： 在华为云OrgID控制台开通OrgID后，才能开始在OrgID业务面使用OrgID。 个人华为账号直接访问OrgID管理控制台，可以创建组织，并进入组织的管理中心进行组织管理等操作，相关操作请参见管理中心介绍。 登录华为云后可以免登录访问OrgID管理控制台进行组织管理等操作，相关操作请参见管理中心介绍。

状态说明 批量应用升级作业有以下八种状态。 排队中：作业等待执行 执行中：作业处于执行状态 成功：全部任务执行成功 部分成功：部分任务执行成功 失败：全部任务执行失败 停止中：作业处于停止中 已停止：作业已停止 更新超时：作业排队和执行时间超过10分钟仍未完成 批量作业执行过程中可以停止，停止后可以继续。 如果批量作业执行失败、部分成功或更新超时，可以重试执行作业，将未执行成功的作业再次执行一遍。

状态说明 批量应用升级作业有以下八种状态。 排队中：作业等待执行 执行中：作业处于执行状态 成功：全部任务执行成功 部分成功：部分任务执行成功 失败：全部任务执行失败 停止中：作业处于停止中 已停止：作业已停止 更新超时：作业排队和执行时间超过10分钟仍未完成 批量作业执行过程中可以停止，停止后可以继续。 如果批量作业执行失败、部分成功或更新超时，可以重试执行作业，将未执行成功的作业再次执行一遍。

状态说明 批量应用部署作业有以下八种状态。 排队中：作业等待执行 执行中：作业处于执行状态 成功：全部任务执行成功 部分成功：部分任务执行成功 失败：全部任务执行失败 停止中：作业处于停止中 已停止：作业已停止 更新超时：作业排队和执行时间超过10分钟仍未完成 批量作业执行过程中可以停止，停止后可以继续。 如果批量作业执行失败、部分成功或更新超时，可以重试执行作业，将未执行成功的作业再次执行一遍。

状态说明 批量应用部署作业有以下八种状态。 排队中：作业等待执行 执行中：作业处于执行状态 成功：全部任务执行成功 部分成功：部分任务执行成功 失败：全部任务执行失败 停止中：作业处于停止中 已停止：作业已停止 更新超时：作业排队和执行时间超过10分钟仍未完成 批量作业执行过程中可以停止，停止后可以继续。 如果批量作业执行失败、部分成功或更新超时，可以重试执行作业，将未执行成功的作业再次执行一遍。

状态说明 批量节点升级作业有以下八种状态。 排队中：作业等待执行 执行中：作业处于执行状态 成功：全部任务执行成功 部分成功：部分任务执行成功 失败：全部任务执行失败 停止中：作业处于停止中 已停止：作业已停止 更新超时：作业排队和执行时间超过10分钟仍未完成 批量作业执行过程中可以停止，停止后可以继续。 如果批量作业执行失败、部分成功或更新超时，可以重试执行作业，将未执行成功的作业再次执行一遍。 图2 重试

注意事项 为了让您的边缘节点应用更稳定可靠的运行，IEF不会主动升级您的边缘节点上的EdgeCore，需要由您在业务影响最小的时间窗内进行节点升级，以减轻对您业务的影响。 处于维护周期中的版本升级，边缘节点上的应用业务不会中断，如果您有使用消息路由功能，可能会有短暂影响。 处于维护周期外的版本升级，可能会因为容器重启引起业务的短暂中断。 请勿在节点升级过程中变更节点配置，比如重启Docker、安装卸载GPU/NPU驱动、OS内核升级、变更网络配置等，这些操作会增大节点升级失败风险。

状态说明 批量节点升级作业有以下八种状态。 排队中：作业等待执行 执行中：作业处于执行状态 成功：全部任务执行成功 部分成功：部分任务执行成功 失败：全部任务执行失败 停止中：作业处于停止中 已停止：作业已停止 更新超时：作业排队和执行时间超过10分钟仍未完成 批量作业执行过程中可以停止，停止后可以继续。 如果批量作业执行失败、部分成功或更新超时，可以重试执行作业，将未执行成功的作业再次执行一遍。 图2 重试

注意事项 为了让您的边缘节点应用更稳定可靠的运行，IEF不会主动升级您的边缘节点上的EdgeCore，需要由您在业务影响最小的时间窗内进行节点升级，以减轻对您业务的影响。 处于维护周期中的版本升级，边缘节点上的应用业务不会中断，如果您有使用消息路由功能，可能会有短暂影响。 处于维护周期外的版本升级，可能会因为容器重启引起业务的短暂中断。 请勿在节点升级过程中变更节点配置，比如重启Docker、安装卸载GPU/NPU驱动、OS内核升级、变更网络配置等，这些操作会增大节点升级失败风险。

操作步骤 在边缘节点上执行如下命令修改EdgeCore配置，并保存。 vi /opt/IEF/Edge-core/conf/edge.yaml 支持配置的参数如下表所示： 表1 参数说明 组件 参数 说明 取值 edge-core interface-name 网卡名称 默认：eth0 internal-server 内置mqtt broker监听地址 tls://lo:8883,tls://docker0:8883 mage-gc-high-threshold 触发镜像垃圾回收的磁盘使用率百分比 默认：80 image-gc-low-threshold 镜像垃圾回收试图释放资源后达到的磁盘使用率百分比 默认：40 swr-url 拉取镜像的代理地址 默认："" 更改完配置之后，重启EdgeCore。 systemctl restart edgecore

操作步骤 在边缘节点上执行如下命令修改EdgeCore配置，并保存。 vi /opt/IEF/Edge-core/conf/edge.yaml 支持配置的参数如下表所示： 表1 参数说明 组件 参数 说明 取值 edge-core interface-name 网卡名称 默认：eth0 internal-server 内置mqtt broker监听地址 tls://lo:8883,tls://docker0:8883 image-gc-high-threshold 触发镜像垃圾回收的磁盘使用率百分比 默认：80 image-gc-low-threshold 镜像垃圾回收试图释放资源后达到的磁盘使用率百分比 默认：40 swr-url 拉取镜像的代理地址 默认："" 更改完配置之后，重启EdgeCore。 systemctl restart edgecore

约束与限制 同一节点上的NPU，只支持同一种切分规格。 暂不支持已纳管的节点，通过升级NPU插件到2.1.0版本的方式支持虚拟化切分。用户需要将边缘节点进行卸载重装，手动切分NPU后，再纳管至IEF。 NPU驱动需大于22.0版本，进入驱动所在路径（如“/usr/local/Ascend/driver”），执行cat version.info命令查看。 选择共享模式的情况下，需要在NPU卡上设置所有芯片的容器共享模式。 D310P共享模式必须使用完整的卡，不支持虚拟化切分。 健康芯片数量为物理芯片数，如节点使用了切分或者共享模式，则展示的是切分后或者共享后的芯片数目。

约束与限制 同一节点上的NPU，只支持同一种切分规格。 暂不支持已纳管的节点，通过升级NPU插件到2.1.0版本的方式支持虚拟化切分。用户需要将边缘节点进行卸载重装，手动切分NPU后，再纳管至IEF。 NPU驱动需大于22.0版本，进入驱动所在路径（如“/usr/local/Ascend/driver”），执行cat version.info命令查看。 选择共享模式的情况下，需要在NPU卡上设置所有芯片的容器共享模式。 D310P共享模式必须使用完整的卡，不支持虚拟化切分。