华为云用户手册

韧性中心优化 全生命周期风险管理：覆盖部署态和运行态两部分的风险治理，贯穿应用和资源全生命周期，将华为云多年沉淀的动态清零风险管理经验使能用户。 使能主动运维：通过性能压测、应急演练/混沌工程、韧性评估等主动运维手段提升客户关键业务的质量和韧性。 丰富的故障演练武器：沉淀华为云实践经验，内置50个+演练攻击武器，赋能客户模拟复杂多样的业务受损场景并制定应对策略。 提升应用高可用能力：PRR（Production Readiness Review 生产就绪程度评审），承载华为云SRE对云应用上线评审的最佳实践，提供在线评审电子流和评审项，提升应用高可用能力。

访问方式 云服务平台提供了Web化的服务管理平台，即管理控制台和基于HTTPS请求的API（Application Programming Interface）管理方式。 API方式 如果用户需要将云服务平台上的云运维中心集成到第三方系统，用于二次开发，请使用API方式访问云运维中心，具体操作请参见《云运维中心API参考》。 控制台方式 其他相关操作，请使用管理控制台方式访问云运维中心。 如果用户已注册，可直接登录管理控制台，从主页选择“云运维中心”。如果未注册，请参见 注册华为账号 并开通华为云。

服务韧性 COC服务提供了3级可靠性架构，通过AZ内（Availability Zone，可用区）实例容灾、多AZ容灾、数据定期备份技术方案，保障服务的持久性和可靠性。 表1 COC服务可靠性架构 可靠性方案 简要说明 AZ内实例容灾 单AZ内，COC实例通过多实例方式实现实例容灾，快速剔除故障节点，保障COC实例持续提供服务。 多AZ容灾 COC支持跨AZ容灾，当一个AZ异常时，不影响COC实例持续提供服务。 数据容灾 通过数据定期备份方式实现数据容灾。 父主题： 安全

全方位变更管理 方案评审：支持变更方案标准化（Standard Operating Procedure，简称SOP），将变更方案明确并电子化，经评审后归档。支持规则和流程解耦，保证变更执行过程不走样，同时将变更方案沉淀。 变更审批：按照预设审批流程审批变更单，保障变更方案可靠性、时间合理性、流程合规性。 风险评估：基于场景规则、流程规则、业务规则对变更进行管控，提前识别和拦截变更风险；通过变更日历实现变更冲突检测，降低服务间变更依赖导致的变更风险。 实施保障：按预定方案执行变更，变更步骤标准化、可观测，变更异常及时介入处理，实现变更实施全过程可控、可视、可管。

确定性故障管理 统一事件中心：提供事件发现、事件处理、恢复验证及持续改进的全流程标准化机制。 承载Warroom和故障回溯能力：现网事件智能启动Warroom，缩短故障处理非必要耗时，指挥中心实时观测故障处理进展。故障回溯实现问题总结和经验沉淀，客户问题不重犯，缩短故障恢复MTTR。 支持响应预案：支持客户对已知故障制定响应预案，通过预案自动化帮助客户处理确定性问题，实现已知问题快速恢复。 故障模式：融合专业风险分析方法和专家知识库，积累故障模式库，帮助客户分析云应用存在的潜在风险、传承运维经验。

身份认证与访问控制 身份认证 用户访问COC的方式包括：COC控制台、API、SDK，无论哪种访问方式，其本质都是通过COC提供的REST风格的API接口进行请求。 COC的接口支持认证请求，经过认证的请求需要包含一个签名值，该签名值以请求者的访问密钥（AK/SK）作为加密因子，结合请求体携带的特定信息计算而成。通过访问密钥（AK/SK）认证方式进行认证鉴权，即使用Access Key ID（AK）/Secret Access Key（SK）加密的方法来验证某个请求发送者身份。关于访问密钥的详细介绍及获取方式，请参见访问密钥（AK/SK）。 访问控制 COC支持通过 IAM 权限控制进行访问控制。关于IAM的详细介绍以及COC权限管理请参见权限管理。 父主题： 安全

约束与限制 云运维中心COC为全局服务，但在部分特殊区域（专属区域、H CS O等）暂不支持，如您有相关需求，请联系COC侧沟通处理。 在使用云运维中心COC时，您需注意以下使用限制，详见表1。 表1 云运维中心使用限制 功能模块 对象 使用限制 公共 补丁/脚本/作业/ECS操作 单个操作任务最多支持选择200台实例。 补丁/脚本/作业/ECS操作 执行工单时，超时时间小于等于86400秒（即24小时）。 资源管理 安装UniAgent支持操作系统 目前支持的Linux操作系统版本有： EulerOS 2.2 64bit for Tenant 20210227 EulerOS 2.3 64bit EulerOS 2.5 64bit for Tenant 20210229 CentOS 7.2 64bit CentOS 7.3 64bit CentOS 7.4 64bit CentOS 7.5 64bit CentOS 7.6 64bit for Tenant 20200925(制作资源镜像使用) CentOS 7.6 64bit for Tenant 20210227 CentOS 7.6 64bit for Tenant 20210525 UniAgent客户端 当CPU使用率大于10%或者内存大于200M时，UniAgent客户端将自动重启。 UniAgent安装 单次最多可安装100台UniAgent主机。 应用管理 应用 租户创建的应用层级≤5层。 补丁管理 补丁基线 租户创建的补丁基线个数≤50个（不计入公共基线）。 脚本管理 脚本内容 自定义脚本内容≤4096字节。 作业管理 全局参数 单个自定义作业的全局参数≤30个。 Warroom 起会规则 租户创建的Warroom起会规则个数≤50个。 流转规则 流转规则 租户创建的流转规则个数≤50个。 集成管理 数据记录 COC保存集成数据源的最近10次数据记录。 人员管理 人员数量 租户创建的人员个数≤50个。 排班管理 排班角色 单个排班场景下的排班角色≤10个。 账号管理 资源类型 目前支持纳管的资源类型： 弹性云服务器 ECS 目前支持托管（账号导入）的资源类型： 弹性云服务器 ECS、分布式缓存服务 DCS、云数据库 RDS、分布式消息服务 DMS 账号基线 基线账号数量≤30个，关联的组件数量≤100个。

审计与日志 审计 云审计 服务（Cloud Trace Service， CTS ），是华为 云安全 解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 用户开通云审计服务并创建和配置追踪器后，CTS可记录COC的管理事件和数据事件用于审计。 CTS的详细介绍和开通配置方法，请参见CTS快速入门。 日志 用户开通云审计服务并创建和配置追踪器后，CTS可记录与云运维中心服务相关的操作事件。 详细的操作列表以及查看方法，请参见查看审计日志。 父主题： 安全

角色授权系统权限 COC服务支持基于角色授权的授权模型。默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 COC部署时不区分物理区域，为全局级服务。授权时，在全局级服务中设置权限，访问COC时，不需要切换区域。 如表2所示，包括了COC的所有系统权限。基于角色授权场景的系统策略与基于策略授权场景的并不互通。 表2 COC系统权限 系统角色/策略名称 描述 类别 依赖关系 COC ReadOnlyAccess 云运维中心服务只读权限 系统策略 无 COC FullAccess 云运维中心服务管理员权限 系统策略 无 表3 常用操作与系统权限的关系列出了COC常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表3 常用操作与系统权限的关系 操作 COC ReadOnlyAccess COC FullAccess 查看待办任务 √ √ 创建及处理待办任务 x √ 查看资源列表 √ √ 资源纳管 x √ 查看脚本列表 √ √ 增删改及执行脚本 x √ 查看作业列表 √ √ 增删改及执行作业 x √ 执行ECS操作 x √ 查看定时运维任务 √ √ 增删改及执行定时运维任务 x √ 查看参数中心 √ √ 增删改参数 x √ 查看事件单 √ √ 创建及处理事件 x √ 查看告警记录 √ √ 处理告警 x √ 查看混沌演练规划 √ √ 执行演练任务 x √ 查看排班 √ √ 创建排班 x √ 查看账号基线 √ √ 创建账号基线 x √

策略授权系统权限 COC服务支持基于策略授权的授权模型。如表4 COC系统策略所示，包括了COC基于策略授权中的所有系统策略。策略授权的系统策略与角色授权的系统策略并不互通。 表4 COC系统策略 系统策略名称 描述 策略类别 COCReadOnlyPolicy 云运维中心服务只读权限。 系统策略 COCFullAccessPolicy 云运维中心服务管理员权限。 系统策略 表5 常用操作与系统策略的关系列出了COC常用操作与系统策略的授权关系，您可以参照该表选择合适的系统策略。 表5 常用操作与系统策略的关系 操作 COCReadOnlyPolicy COCFullAccessPolicy 查看待办任务 √ √ 创建及处理待办任务 x √ 查看资源列表 √ √ 资源纳管 x √ 查看脚本列表 √ √ 增删改及执行脚本 x √ 查看作业列表 √ √ 增删改及执行作业 x √ 执行ECS操作 x √ 查看定时运维任务 √ √ 增删改及执行定时作业任务 x √ 查看参数中心 √ √ 增删改参数 x √ 查看事件单 √ √ 创建及处理事件 x √ 查看告警记录 √ √ 处理告警 x √ 查看混沌演练规划 √ √ 执行演练任务 x √ 查看排班 √ √ 创建排班 x √ 查看账号基线 √ √ 创建账号基线 x √

与其他云服务的关联 云运维中心COC服务与其他服务的关系，如图1所示。 图1 与其他服务的关系 表1 与其他服务的关系 服务名称 与其他服务的关系 主要交互功能 安全云脑 总览页面中提供用户查看到账号下的安全监控信息。从安全评分、安全监控、安全趋势三个维度呈现安全概览，并支持自定义看板。 查看安全概览 云监控 总览页面中支持资源监控总览，以及资源告警详情的查看。故障管理中，支持接入 云监控服务 产生的告警，并在云运维中心中进行流转处理。混沌演练中，支持在演练过程中查看云监控的指标数据。如需正常使用需先开通云监控服务。 资源监控 接入云监控告警 演练监控 应用运维管理 总览页面中支持查看应用监控看板，在应用运维管理中已配置的仪表盘可以在云运维中心中进行展示。故障管理中，支持接入应用运维管理服务产生的告警，并在云运维中心中进行流转处理。混沌演练中，支持在演练过程中查看应用运维管理的指标数据。 应用监控 接入应用运维管理告警 演练监控 弹性云服务器 资源运维中，可以对弹性云服务器进行批量操作、脚本执行、作业执行、定时任务等运维操作。混沌演练中，支持对弹性云服务器进行演练任务执行。 资源运维 混沌演练 云容器引擎 混沌演练中，支持对云容器引擎进行演练任务执行。 混沌演练 应用性能管理 故障管理中，支持接入应用性能管理服务产生的告警，并在云运维中心中进行流转处理 接入应用性能管理告警 消息通知 服务 云运维中心中的故障管理、资源运维等场景中，支持发送短信、邮件、语音、企业微信、钉钉等通知。如需使用需要先开通消息通知服务。 通知管理 云数据库RDS 资源运维中，可以对RDS进行批量操作。混沌演练中，支持对RDS进行演练任务执行。 资源运维 混沌演练 裸金属服务器 资源运维中，可以对裸金属服务器进行批量操作、脚本执行、作业执行、定时任务等运维操作。 资源运维 对象存储服务 资源运维中，支持对弹性云服务器进行文件上传和分发，如需使用文件传输能力，需要在对象存储服务中购买存储桶。 执行公共脚本 华为云Flexus云服务 资源运维中，可以对Flexus应用服务器 L实例 进行批量操作、脚本执行、作业执行、定时任务等运维操作。混沌演练中，支持对Flexus应用服务器L实例进行演练任务执行。 资源运维 混沌演练 数据加密 服务 资源运维中，参数中心支持用户创建加密参数，需要在数据加密服务中购买密钥进行加密。账号管理中，需要通过数据加密服务中的密钥保护账号密码的安全。 加密参数 帐号管理

部署图 部署图用于大型和复杂系统的另一张专门图，其中软件部署在多个系统上，元素介绍如下表所示： 表1 部署图元素介绍 元素名 图标 含义 Node 部署节点。 Device 设备节点。 DeploymentSpecification 部署规格。 ExecutionEnvironment 执行环境。 Artifact 制品是被软件开发过程所利用或通过软件开发过程所生产的一段信息，如外部文档或工作产物。 制品可以是一个模型、描述或软件。 Component 组件，可独立加载、部署和运行的二进制代码，采用轻量级通讯机制、松耦合高内聚的软件架构构建单元，部署时不能跨节点类型部署（计算机百科全书：组件是软件系统中具有相对独立功能、接口由契约指定、和语境有明显依赖关系、可独立部署、可组装的软件实体）。 Interface 接口，可以是单个接口，也可以是抽象的一组接口的组合。 圆形接口与矩形接口意义相同，仅形状不同。 Package 包。 Composition 组合，是整体与部分的关系，但部分不能离开整体而单独存在。 Aggregation 聚合，是整体与部分的关系，且部分可以离开整体而单独存在。 Realization 实现，是一种类与接口的关系，表示类是接口所有特征和行为的实现。 Dependency 依赖，是一种使用的关系，即一个类的实现需要另一个类的协助。 Usage 使用，是一种使用的关系。表明一个模块在运行的时候，需要使用另外一个模块。 Generalization 通用化，是一种继承关系，一个类（通用元素）的所有信息（属性或操作）能被另一个类（具体元素）继承，不仅可以有属于类自己的信息，而且还拥有被继承类的信息。 Manifest Repo和对应的逻辑设计对象使用"Manifest”连接 表示由此代码仓的代码实现此设计对象的功能。 Deployment 描述现实世界环境运行系统的配置的开发步骤。 Association 关联，是一种拥有的关系，它使一个类知道另一个类的属性和方法。 部署图一般用于： 嵌入式系统建模（硬件之间的交互）。 客户端/服务器系统建模（用户界面与数据的分离）。 分布式系统建模（多级服务器）。 父主题： UML建模

包图 包图元素介绍如下表所示： 表1 包图元素介绍 元素名 图标 含义 Subsystem 作为且有规范、实现和身份的单元的包。 Package 包。 Access 访问依赖关系用一个从客户包指向提供者包的虚箭头表示。 Merge 合并连接器，定义了源包元素与目标包同名元素之间的泛化关系。源包元素的定义被扩展来包含目标包元素定义。当源包元素与目标包内没有同名元素时，目标包元素的定义不受影响。 Import 用虚线箭头从得到访问权限的包指向提供者所在的包。 Dependency 依赖，是一种使用的关系，即一个类的实现需要另一个类的协助。 依赖关系用两个模型元素之间的虚线箭头表示。箭尾处的模型元素（客户）依赖于箭头处的模型元素（服务者）。 包图示例，如下图所示： 父主题： UML建模

状态机图 状态机图元素介绍如下表所示： 表1 状态机图元素介绍 元素名 图标 含义 State 对象的生命中的满足一定条件，执行一定操作，或者等待某事件的条件或者情况。 StateMachine 状态机是展示状态与状态转换的图。通常一个状态机依附于一个类，并且描述一个类的实例对接收到的事件所发生的反应。 Fork Join Fork，复杂转换中，一个源状态可以转入多个目标状态，使活动状态的数目增加。 Join，状态机活动图或顺序图中的一个位置，在此处有两个或以上并列线程或状态归结为一个线程或状态。 Fork Join Fork，复杂转换中，一个源状态可以转入多个目标状态，使活动状态的数目增加。 Join，状态机活动图或顺序图中的一个位置，在此处有两个或以上并列线程或状态归结为一个线程或状态。 Initial 用来指明其默认起始位置的伪状态。 Junction 结合状态，作为一个综合转换一部分的伪状态，它在转换执行中不打断运行至完成步骤。 Deep History 历史状态可以记忆浅历史和深历史。深历史状态记忆组成状态中更深的嵌套层次的状态。要记忆深状态，转换必须直接从深状态中转出。 Shallow History 浅历史状态保存并激活与历史状态在同一个嵌套层次上的状态。 EntryPoint 进入某一状态时执行的动作 ExitPoint 离开某一状态时执行的动作。 Final 组成状态中的一个特殊状态，当它处于活动时，说明组成状态已经执行完成。 Flow Final Flow Final元素描述了系统的退出，与Activity Final相反，后者代表Activity的完成。 Synch 一个特殊的状态，它可以实现在一个状态机里的两个并发区域之间的控制同步。 Choice 选择，代表多个路径选择。 Terminate 终止。 Transition 转换用实线箭头表示，从一个状态（源状态）到另一个状态（目标状态），用一条转换线标注。 Object flow 各种控制流表示了对象间的关系、对象和产生它（作输出）或使用它（作输入）的操作或转换间的关系。 状态机图示例，如下图所示： 父主题： UML建模

开发视图概述 开发视图面向系统开发及软件管理，描述系统代码结构，构建结构的视图，主要解决系统技术实现和开发的问题，它依托逻辑视图，描述代码、构建结构。 模型类别 描述 代码模型（必选） 代码模型定义代码结构以及代码元素逻辑模型中逻辑元素的对应关系，建立逻辑元素到代码仓或者代码目录的映射关系，以实现软件源代码的显示管理。 构建模型（必选） 构建模型定义软件编译构建结构及工具链，构建模型建立代码到运行期文件的映射和追溯关系。 父主题： 开发视图

运行视图概述 运行视图面向系统运行，描述系统启动过程、运行期交互的视图，主要解决系统运行期交互，描述各可执行交付件在运行期的交互关系。 表1 运行视图 模型类别 描述 运行模型（可选） 运行模型描述系统运行期间的关系，从进程的维度描述系统运行时的交互过程和关键数据流。 运行模型-顺序图（必选） 运行模型-顺序图模型是从逻辑模型中的架构对象维度描述系统运行时的交互过程以及关键的数据流。 运行模型-活动图（可选） 运行模型-活动图展示了从起点到终点的工作流程，详细说明了在活动的进展中存在的许多决策路径。 父主题： 运行视图

建模步骤 创建构建模型。 创建新的构建模型图或者在已有的构建模型图中进行画图设计，如果设计内容过多，可根据实际情况将内容进行拆分，创建多个构建模型图，在对应的构建模型图中去建立关系。 引用代码元素到构建模型。 将代码元素引用到构建模型中跟代码模型中的步骤2一样，有两种方式，从工程树上将代码元素拖入到构建模型图中选link方式引用 ；另一种从代码模型图中多选复制元素，以引用方式粘贴到构建模型图中。 建立代码元素与构建元素的Build From构建关系。 在步骤2中将代码元素引用到构建模型图后，再从工具箱中构建模型图形库中拖入构建元素，创建与代码元素需要建立关系的构建元素，并建立构建元素与代码元素的Build From关系，同时需要创建一些构建过程中构建元素使用到的构建工具和依赖的构建环境、平台等信息，并建其中的连线关系。

用例视图概述 用例视图以用例作为驱动元素，驱动和验证其他四个视图的设计，用例视图不增加设计元素，仅增加用例作为输入，因此作为+1视图。 模型类别 描述 上下文模型（必选） 上下文模型描述系统和外部环境（包括人、系统及外部实体）之间的关系，依赖和交互。通过上下文模型可以显示定义系统的范围、职责、边界。 用例模型（必选） 用例模型描述系统的关键用例和交互场景，用于描述系统与外界的交互关系。其中关键用例部分主要描述系统基本的业务用例模型，以及增量版本中影响架构的用例模型；而交互场景描述系统与外部实体之间复杂的交互关系图，采用UML顺序图进行描述绘制，帮助描述隐含的需求和约束，以及系统的验证。 父主题： 用例视图

运行模型（活动图） “运行模型-活动图”展示了从起点到终点的工作流程，详细说明了在活动的进展中存在的许多决策路径。 活动图对用户和系统遵循流程的行为进行建模，它们是流程图或工作流的一种，但是它们使用的形状略有不同，元素介绍如下表所示： 表1 活动图元素介绍 元素名 图标 含义 Action 动作是可执行的原子计算，它导致模型状态的改变和返回值。 Activity 活动是状态机内正在进行的非原子执行。 StructuredActivity 结构化活动是一个活动节点，可以将下级节点作为独立的活动组。 CentralBufferNode 中央缓冲区节点是一个对象节点，用于管理活动图中表示的来自多个源和目标的流。 Datastore 数据存储区定义了永久存储的数据。 ExceptionHandlerNode 异常处理程序元素定义发生异常时要执行的一组操作。 Object 封装了状态和行为的具有良好定义界面和身份的离散实体，即对象实例。 Decision 是状态机中的一个元素，在它当中一个独立的触发可能导致多个可能结果，每个结果有它自己的监护条件。 Merge 状态机中的一个位置，两个或多个可选的控制路径在此汇合或"无分支"。 Send 即发送者对象生成一个信号实例并把它传送到接收者对象以传送信息。 Receive 接收就是处理从发送者传送过来的消息实例。 Partition 分区元素用于逻辑组织活动的元素。 Partition 分区元素用于逻辑组织活动的元素。 Initial 用来指明其默认起始位置的伪状态。 Final 组成状态中的一个特殊状态，当它处于活动时，说明组成状态已经执行完成。 Flow Final Flow Final元素描述了系统的退出，与Activity Final相反，后者代表Activity的完成。 Synch 一个特殊的状态，它可以实现在一个状态机里的两个并发区域之间的控制同步。 Fork Join Fork，复杂转换中，一个源状态可以转入多个目标状态，使活动状态的数目增加。 Join，状态机活动图或顺序图中的一个位置，在此处有两个或以上并列线程或状态归结为一个线程或状态。 Fork Join （Fork）复杂转换中，一个源状态可以转入多个目标状态，使活动状态的数目增加。 （Join）状态机活动图或顺序图中的一个位置，在此处有两个或以上并列线程或状态归结为一个线程或状态。 Region 并发区域。 Control Flow （控制流）在交互中，控制的后继轨迹之间的关系。 Object Flow （对象流）各种控制流表示了对象间的关系、对象和产生它（作输出）或使用它（作输入）的操作或转换间的关系。 Constraint 是一个语义条件或者限制的表达式。UML 预定义了某些约束，其他可以由建模者自行定义。 Exception Handler 异常处理。捕获异常根据异常类型查找到对应的异常处理方法，然后执行对应的方法。 Interrupt Flow 中断流是用于定义异常处理程序和可中断活动区域的连接器的两个UML概念的连接。中断流是活动边缘的一种。它通常用于活动图中，以对活动过渡进行建模。 Anchor 锚点。 Containment 内嵌，表示嵌在内部的类。 活动图示例如下所示： 父主题： 运行视图

4+1视图概述 4+1视图是一组相关联模型的集合，从不同的视角，反映不同利益干系人的关注点。通过逻辑、开发、部署、运行4个典型视角描述系统的各个切面，以用例串接和验证各切面设计。 在架构设计说明书模板中的4+1架构视图模型结构如下图所示： 图1 4+1架构视图模型结构图 表1 视图类型与描述 视图类型 描述 逻辑视图 逻辑视图面向系统逻辑分析和设计，是描述系统逻辑结构的视图，主要解决系统分析和设计的问题，它描述系统的业务上下文、系统的逻辑分解，以及分解出的逻辑元素间的关系。 开发视图 开发视图面向系统开发及软件管理，是描述系统代码结构，构建结构的视图，主要解决系统技术实现和开发的问题，它依托逻辑视图，描述代码、构建结构。 运行视图 运行视图面向系统运行，是描述系统启动过程、运行期交互的视图，主要解决系统运行期交互，描述各可执行交付件在运行期的交互关系。 部署视图 部署视图面向系统部署，是描述系统的交付、安装、部署的视图，主要解决系统安装部署的问题，描述系统的交付、安装、部署关系。 用例视图 用例视图以用例作为驱动元素，驱动和验证其他四个视图的设计，用例视图不增加设计元素，仅增加用例作为输入，因此作为“+1”视图。 父主题： 4+1视图建模

逻辑视图概述 逻辑视图面向系统逻辑分析和设计，描述系统逻辑结构的视图，主要解决系统分析和设计的问题，它描述系统的业务上下文、系统的逻辑分解，以及分解出的逻辑元素间的关系。 模型类别 描述 逻辑模型（必选） 逻辑模型描述系统的逻辑功能模块分解，将系统分解为相应的逻辑功能元素，并描述各逻辑功能元素之间的关系。 数据模型（强数据场景必选） 数据模型定义系统的关键数据设计，包括关键数据结构设计、数据流，以及数据所有权等。 领域模型（可选） 领域模型描述业务域的概念及其关系，是立足于业务域的分析模型，它通过业务问题域的分析和建模，抽象出领域概念，建立统一的业务语言，从而指导后续的架构设计工作。 功能模型（可选） 功能模型描述按功能分解出特性、功能组、功能元素，以及它们之间的依赖关系。 技术模型（必选） 技术模型定义系统采用的关键技术部件和技术栈，包括整体框架技术，公共机制，基础设施，公共服务/组件，以及各逻辑功能元素的技术方案等。 父主题： 逻辑视图

建模步骤 创建上下文模型。 您可以使用初始化创建的上下文模型或者创建新的上下文模型，在目录节点右键“新增图”，如果一个系统的交互的外部角色过多时，不适合在一张上下文模型图中建模时，用户可根据外部角色的分类或者产品的应用场景创建不同的上下文模型。 建立系统与外部角色的关系。 在上下文模型中描述系统与外部角色的关系通过接口体现，不直接使用连线表示；在上下文模型中需要定义外部角色、交互接口、外部系统、系统，其中系统如果在逻辑模型中已经定义过，则在上下文模型中不能再重复定义，从逻辑模型中引用至上下文模型中即可。

部署视图概述 部署视图面向系统部署，描述系统的交付、安装、部署的视图，主要解决系统安装部署的问题，描述系统的交付、安装、部署关系。 表1 部署视图 模型类别 描述 交付模型（必选） 交付模型定义的是从构建结果和外部软件一起打包成最终交付给客户的Release Offering的模型设计过程。 部署模型（必选） 部署模型定义产品的部署关系，它依托于构建模型或交付模型，描述每个构建文件或者交付件以及相应的软件部署实体的部署依赖关系和部署约束。 父主题： 部署视图

2.3.5逻辑元素至少与一个代码元素存在manifest关系 详细描述 逻辑模型中的逻辑元素或从逻辑模型引用到代码模型中的逻辑元素至少要与一个代码元素中间有manifest连线关系。 当前规则支持配置检查类型后，已包含3.1.1的检查项，建议使用2.3.6检查项即可，3.1.1可不再重复检查。 检查范围 在逻辑模型图上创建出来的逻辑模型元素； 引用到代码模型中的逻辑元素； 排除Interface、Provided Interface、Required Interface元素。 如何检查 检查规则配置中勾选要检查的元素类型，服务、微服务、组件、模块是默认强制勾选的检查类型，检查这类元素在代码模型图中是否与代码元素存在manifest连线关系，由代码元素指向逻辑元素，不存在对应的代码元素则不符合规则 ，将该类逻辑元素列出到检查结果中。 正确示例 错误示例 引用过来的逻辑元素Interface没有对应任何代码元素。

建模步骤 创建用例模型。 您可以使用工程初始化建好的用例模型或者在其它目录节点右键菜单中“新增图”，创建新的用例模型，如果用例场景较多，可以创建多个用例模型。 画用例模型。 用例模型包含系统基本业务的用例模型、以及增量版本中影响架构的用例模型，从上下文模型中将要用到的Actor角色插入到用例模型图中，再从工具箱中拖入要定义的Use Case元素，和系统边界元素，再建立关系，Actor与用例用的是Use连线关系。

4+1视图规范一致性检查错误修复指导 XX模型不能存在游离的逻辑模型元素 以逻辑模型为例: 游离原因：元素没有在逻辑模型架构信息树中出现。 查看逻辑模型架构方案设置。 找到游离元素构造型相关的架构配置信息。 Subsystem需要与System有Composition/Aggregation关系或父子关系。 在模型图中构建架构关系。 XX模型的元素要与指定的XX模型层次结构保持一致 以逻辑模型为例: 查询逻辑模型架构信息树，右侧操作开关把展示不匹配架构方案的元素打开。 架构信息树构出后 根据错误元素名称查询定位到其所在架构树节点。 查询错误元素与其他元素关系。 对比架构方案设置。 Subsystem1报错是因为与System1（架构信息树上的父节点）存在错误架构关系，对比发现实际模型图中使用的是Dependency连线 而架构配置方案要求Composition/Aggregation。 在模型图中修改连线类型为Composition/Aggregation。 常见错误场景： 连线类型不符合架构配置方案。 规则 实际 子元素构造型不符合架构配置方案。 System下层子元素按架构配置方案只能是Subsystem、Domain、Service、MS 图中是Component。 父主题： 架构检查

交互概述图 交互概述图元素介绍如下表所示： 表1 交互概述图元素介绍 元素名 图标 含义 Action 动作是可执行的原子计算，它导致模型状态的改变和返回值。 Activity 活动是状态机内正在进行的非原子执行。 StructuredActivity 结构化活动是一个活动节点，可以将下级节点作为独立的活动组。 CentralBufferNode 中央缓冲区节点是一个对象节点，用于管理活动图中表示的来自多个源和目标的流。 Datastore 数据存储区定义了永久存储的数据。 Object 封装了状态和行为的具有良好定义界面和身份的离散实体；即对象实例。 Decision 是状态机中的一个元素，在它当中一个独立的触发可能导致多个可能结果，每个结果有它自己的监护条件。 Merge 状态机中的一个位置，两个或多个可选的控制路径在此汇合或"无分支"。 Send 发送者对象生成一个信号实例并把它传送到接收者对象以传送信息。 Receive 接收就是处理从发送者传送过来的消息实例。 Partition 分区元素用于逻辑组织元素。 Partition 分区元素用于逻辑组织元素。 Initial 用来指明其默认起始位置的伪状态。 Final 组成状态中的一个特殊状态，当它处于活动时，说明组成状态已经执行完成。 Flow Final Flow Final元素描述了系统的退出，与Activity Final相反，后者代表Activity的完成。 Synch 一个特殊的状态，它可以实现在一个状态机里的两个并发区域之间的控制同步。 Fork Join Fork，复杂转换中，一个源状态可以转入多个目标状态，使活动状态的数目增加。 Join，状态机活动图或顺序图中的一个位置，在此处有两个或以上并列线程或状态归结为一个线程或状态。 Fork Join Fork，复杂转换中，一个源状态可以转入多个目标状态，使活动状态的数目增加。 Join，状态机活动图或顺序图中的一个位置，在此处有两个或以上并列线程或状态归结为一个线程或状态。 Region 并发区域。 Exception Handler 异常处理。捕获异常根据异常类型查找到对应的异常处理方法，然后执行对应的方法。 Control Flow （控制流）在交互中，控制的后继轨迹之间的关系。 Object Flow （对象流）各种控制流表示了对象间的关系、对象和产生它（作输出）或使用它（作输入）的操作或转换间的关系。 Interrupt Flow 中断流是用于定义异常处理程序和可中断活动区域的连接器的两个UML概念的连接。 交互概述图示例，如下图所示： 此图描绘了一个示例销售过程，在示例中显示了一个交互销售过程，各活动对象都可以有独立的子交互概述图。 父主题： UML建模

建模步骤 提升消息线层级。 如果消息线源端激活块的上方有子激活块，则可以对该消息线做提升层级操作，将该消息线的发送方设置为上方子激活块。 映射到软件代码实现，消息线“5：加入购物车”对应的函数调用方，由消息线“1：添加购物车”变成了消息线“2：检查商品是否已添加”。 降低消息线层级。 如果消息线源端激活块不是生命线上的根级激活块，则可以对该消息线做降低层级操作，将该消息线的发送方设置为父激活块。 映射到软件代码实现，消息线“3：检查商品库存是否充足”对应的函数调用方，由消息线“2：检查商品是否已添加”变成了消息线“1：添加到购物车”。

操作符介绍 片段类型 片段名称 说明 alt 抉择 具备alt操作符的Fragment通常表示一组行为选择，且最多只有一个行为被选择。被选择的行为必须有一个明确或隐含的值为true的卫语句表达式，如果没有显式卫语句表达式则表明其是一个隐含的值为true的表达式。 对应到软件模型，alt通常用来表示if...else if...或者switch语句的逻辑执行。 opt 选择 具备opt操作符的Fragment通常表示一个唯一行为是否被选择，它等同于具备一个内容行为和一个空内容行为的alt操作符。 对应到软件模型，alt通常用来表示if 或者 if...else语句的逻辑执行。 break 中断 具备break操作符的Fragment通常表示封闭交互内的一个中断行为，带有卫语句表达式在值为true时，该中断行为会被选择，而封闭交互内的其余交互都不会执行。与opt操作符相比，它多了一个中断后续逻辑执行的能力。该Fragment在绘制时应该包含封闭交互逻辑内的所有生命线。 对应到软件模型，break通常用来表示if...break语句的逻辑执行。 loop 循环 片段重复一定次数，可以在临界中指示片段重复的条件。 par 并行 并行处理。 片段中的事件可以交错。 critical 关键 用在par或seq片段中。指示此片段中的消息不能与其他消息交错。 seq 弱顺序 有两个或更多操作数片段。 涉及同一生命线的消息必须以片段的顺序发生。 如果消息涉及的生命线不同，来自不同片段的消息可能会并行交错。 strict 强顺序 有两个或更多操作数片段。 这些片段必须按给定顺序发生。 consider 考虑 指定此片段描述的消息列表。 其他消息可发生在运行的系统中，但对此描述来说意义不大。 ignore 忽略 此片段未描述的消息列表。 这些消息可发生在运行的系统中，但对此描述来说意义不大。 assert 断言 操作数片段指定唯一有效的序列。 通常用在 consider 或 ignore 片段中。 neg 否定 此片段中显示的序列不会发生。 通常用在 consider 或 ignore 片段中。

2.8.1运行模型、运行模型-顺序图、运行模型-活动图中不能产生新的逻辑元素 详细描述 在运行模型中不能创建新的逻辑元素，只能从逻辑模型中引用或者实例化到运行模型中来进行设计。 检查范围 当前模型工程中的所有模型图类型为运行模型图上的逻辑元素，逻辑元素的定义参考逻辑模型检查章节。 如何检查 查询所有运行模型图中的元素，找出在运行模型图中创建生成出来的逻辑元素。 正确示例 引用自逻辑模型的中定义的逻辑元素。 错误示例 检测结果：