华为云用户手册

概述 事件管理是对应用的所有事件进行管理，包含事件的受理、驳回、转单、处理到闭环整个生命周期管理。事件来源包含流转规则产生的事件、通过告警创建的事件及人工创建的事件。 事件管理同时支持配置SLA规则，若需配置请参考基础配置-SLA管理。 事件处理流程： 事件被创建后状态为“未受理”状态，未受理状态下可进行“转发”、“驳回”、“受理”等操作。 事件单被驳回后为“被驳回”状态，创建人可关闭事件或更新事件信息后重新提交。 事件单被受理后为“已受理”状态，已受理状态下可进行“事件处理”、“升降级”、“添加备注”、“启动warroom”等操作。事件单被处理后，进入“已解决待验证”状态，已解决待验证状态下可进行“验证”操作，验证通过后事件单进入“已完成”状态，验证不通过后，重新进入“已受理”状态。 若需要增加事件单暂停功能，可参考基础配置-事件流程。 图1 事件管理流程 父主题： 事件管理

概述 补丁管理为用户提供管理E CS 、BMS或CCE实例上补丁的能力。通过补丁管理，用户能够实现操作系统补丁合规性扫描，操作系统补丁合规性修复功能。 补丁管理当前仅支持能够访问公网的机器，可通过绑定EIP或NAT网关的方式实现，请在功能使用前确认。 在执行补丁管理操作之前，请确认执行机器所在的区域为现支持的区域，操作系统为现补丁管理支持操作系统，机器上具备补丁管理依赖的二方包并且功能无损，否则可能会导致执行失败。 补丁管理现支持操作系统以及版本号表1。 补丁管理现依赖的环境见表2。 表1 补丁管理支持操作系统及版本 操作系统 产品 Huawei Cloud EulerOS Huawei Cloud EulerOS 1.1 Huawei Cloud EulerOS 2.0 CentOS CentOS 7.2 CentOS 7.3 CentOS 7.4 CentOS 7.5 CentOS 7.6 CentOS 7.7 CentOS 7.8 CentOS 7.9 CentOS 8.0 CentOS 8.1 CentOS 8.2 EulerOS EulerOS 2.2 EulerOS 2.5 EulerOS 2.8 EulerOS 2.9 EulerOS 2.10 表2 补丁管理依赖 依赖类型 依赖项 Python环境 Python(Python2或Python3） dnf软件包(Huawei Cloud EulerOS2.0、CentOS8.0及以上版本、EulerOS2.9及以上版本依赖) yum软件包(Huawei Cloud EulerOS1.1、CentOS8.0以下版本、EulerOS2.9以下版本依赖) lsb-release软件包 软件包管理工具 rpm 父主题： 补丁管理

自动化执行参数示例说明 参数值、Region ID、和目标实例填写格式为${}，需要通过该表达式解析对应的值，相关示例如下： 参考示例： 告警信息如下： { "alarmId": "al1696664837170EWbvx24kW", "alarmName": "alarm-4z39coctest1007", ...... "URL": "https://console.ulanqab.huawei.com/ces/?region=cn-north-7#/alarms/detail?alarmId=al16849986549022X5Vp4pxr", "additional": { "dimension": "instance_id:29d99a09-2d15-4ced-8723-6e94ae1c1472", ...... }, ...... } 1. 如果要获取当前告警信息里面的alarmId的值，表达式写成如下形式： ${currentAlarm.alarmId} 2. 如果要从additional.dimension字符串里面获取instance_id的uuid，表达式写成如下形式： ${string.substring(currentAlarm.additional.dimension, string.indexOf(currentAlarm.additional.dimension, 'instance_id:') + 12)} 或者 ${string.substring(currentAlarm.additional.dimension, 12)} 3. 如果要从URL字符串里面获取cn-north-7这个region ID，表达式写成如下形式： ${string.substring(currentAlarm.URL, string.indexOf(currentAlarm.URL, 'region=') + 7, string.indexOf(currentAlarm.URL, '#/alarms'))} 表达式里面的"currentAlarm."是个固定前缀，意思是从当前告警的数据里面获取。

问题管理流程 问题被创建后状态为“未受理”，未受理状态可对问题单受理、驳回或转发责任人。 问题受理后状态为“定位出方案中”，定位出方案中状态可对问题单填写问题定位结果信息、转发责任人、升降级和挂起。 问题单挂起后需要创建单人审核，审批通过后状态为“挂起”，挂起后问题单可手动解除挂起或到达设定的解除挂起时间自动解除挂起。 问题填写定位结果时，若选择需要变更，问题单状态为“待现网实施”，待现网实施页面需要关联变更单，变更单有回填结果，才能流转至下个步骤。 无需变更的问题或需要变更的问题已有变更结果，问题状态为“待验证”，创建人确认问题是否解决或未解决，未解决可进行驳回。 图1 问题管理操作流程

镜像与武器版本支持声明 COC混沌演练目前已支持弹性云服务器（ECS）、裸金属服务器（BMS）和Flexus应用服务器 L实例 （FlexusL）三种探针类武器的攻击对象，并提供了相应的资源类武器和网络类武器供用户演练使用。其中，探针类武器包括体验类、主机资源、主机进程、主机网络模块中的武器。通过集成武器模块和功能，用户可以更准确地模拟真实环境故障，及早发现系统可用性等问题，持续提升应用韧性。 以下是ECS、BMS和FlexusL各镜像版本与支持的探针类武器声明： CentOS 6.10镜像及以下版本，因系统缺少探针包运行所必要的共享库（GLIBC_2.14和GLIBCXX_3.4.15）不支持部分探针类武器。 ECS各镜像版本支持的探针类武器如表1所示。 表1 弹性云服务器与武器兼容性列表 武器 支持的镜像版本 备注 体验类 小试牛刀 CentOS 7.2、CentOS 7.6、CentOS 7.9、CentOS 8.2、Ubuntu16.04、Ubuntu 18.04、Ubuntu 20.04、Ubuntu 22.04、EulerOS 2.2、EulerOS 2.5、EulerOS 2.9、EulerOS 2.10、Debian 8.2.0、Debian 8.8.0、Debian 9.0.0、Debian 11.1.0、Huawei Cloud EulerOS 2.0 - 主机资源 CPU使用率加压 CentOS 7.2、CentOS 7.6、CentOS 7.9、CentOS 8.2、Ubuntu16.04、Ubuntu 18.04、Ubuntu 20.04、Ubuntu 22.04、EulerOS 2.2、EulerOS 2.5、EulerOS 2.9、EulerOS 2.10、Debian 8.2.0、Debian 8.8.0、Debian 9.0.0、Debian 11.1.0、Huawei Cloud EulerOS 2.0 - 内存使用率加压 CentOS 7.2、CentOS 7.6、CentOS 7.9、CentOS 8.2、Ubuntu16.04、Ubuntu 18.04、Ubuntu 20.04、Ubuntu 22.04、EulerOS 2.2、EulerOS 2.5、EulerOS 2.9、EulerOS 2.10、Debian 8.2.0、Debian 8.8.0、Debian 9.0.0、Debian 11.1.0、Huawei Cloud EulerOS 2.0 - 磁盘使用率加压 CentOS 7.2、CentOS 7.6、CentOS 7.9、CentOS 8.2、Ubuntu16.04、Ubuntu 18.04、Ubuntu 20.04、Ubuntu 22.04、EulerOS 2.2、EulerOS 2.5、EulerOS 2.9、EulerOS 2.10、Debian 8.2.0、Debian 8.8.0、Debian 9.0.0、Debian 11.1.0、Huawei Cloud EulerOS 2.0 - 磁盘IO加压 CentOS 7.2、CentOS 7.6、CentOS 7.9、CentOS 8.2、Ubuntu16.04、Ubuntu 18.04、Ubuntu 20.04、Ubuntu 22.04、EulerOS 2.2、EulerOS 2.5、EulerOS 2.9、EulerOS 2.10、Debian 8.2.0、Debian 8.8.0、Debian 9.0.0、Debian 11.1.0、Huawei Cloud EulerOS 2.0 - 主机进程 进程号耗尽 CentOS 7.2、CentOS 7.6、CentOS 7.9、CentOS 8.2、Ubuntu16.04、Ubuntu 18.04、Ubuntu 20.04、Ubuntu 22.04、EulerOS 2.2、EulerOS 2.5、EulerOS 2.9、EulerOS 2.10、Debian 8.2.0、Debian 8.8.0、Debian 9.0.0、Debian 11.1.0、Huawei Cloud EulerOS 2.0 EulerOS镜像进程号耗尽，可能触发保护机制导致内核重启，导致演练失败 杀进程/持续杀进程 CentOS 7.2、CentOS 7.6、CentOS 7.9、CentOS 8.2、Ubuntu16.04、Ubuntu 18.04、Ubuntu 20.04、Ubuntu 22.04、EulerOS 2.2、EulerOS 2.5、EulerOS 2.9、EulerOS 2.10、Debian 8.2.0、Debian 8.8.0、Debian 9.0.0、Debian 11.1.0、Huawei Cloud EulerOS 2.0 - BMS各镜像版本支持的探针类武器如表2所示。 表2 裸金属服务器镜像与武器兼容性列表 武器 支持的镜像版本 体验类 小试牛刀 CentOS 7.3、CentOS 7.9、Ubuntu16、Ubuntu 1804、EulerOS 2.3 主机资源 CPU使用率加压 CentOS 7.3、CentOS 7.9、Ubuntu16、Ubuntu 1804、EulerOS 2.3 内存使用率加压 CentOS 7.3、CentOS 7.9、Ubuntu16、Ubuntu 1804、EulerOS 2.3 磁盘使用率加压 CentOS 7.3、CentOS 7.9、Ubuntu16、Ubuntu 1804、EulerOS 2.3 磁盘IO加压 CentOS 7.3、CentOS 7.9、Ubuntu16、Ubuntu 1804、EulerOS 2.3 主机进程 进程号耗尽 CentOS 7.3、CentOS 7.9、Ubuntu16、Ubuntu 1804、EulerOS 2.3 杀进程/持续杀进程 CentOS 7.4、CentOS 7.9、Ubuntu16、Ubuntu 1804、EulerOS 2.3 主机网络 网络延迟 CentOS 7.3、CentOS 7.9、Ubuntu16、Ubuntu 1804、EulerOS 2.3 网络丢包 CentOS 7.3、CentOS 7.9、Ubuntu16、Ubuntu 1804、EulerOS 2.3 网络错包 CentOS 7.3、CentOS 7.9、Ubuntu16、Ubuntu 1804、EulerOS 2.3 网络包重复 CentOS 7.3、CentOS 7.9、Ubuntu16、Ubuntu 1804、EulerOS 2.3 网络包乱序 CentOS 7.3、CentOS 7.9、Ubuntu16、Ubuntu 1804、EulerOS 2.3 网络中断 CentOS 7.3、CentOS 7.9、Ubuntu16、Ubuntu 1804、EulerOS 2.3 网卡down CentOS 7.3、CentOS 7.9、Ubuntu16、Ubuntu 1804、EulerOS 2.3 篡改DNS 域名 解析 CentOS 6.9、CentOS 7.9、Ubuntu16、Ubuntu 1804、EulerOS 2.3、EulerOS 2.9 端口占用 CentOS 6.9、CentOS 7.9、Ubuntu16、Ubuntu 1804、EulerOS 2.3、EulerOS 2.9 整机断网 CentOS 6.9、CentOS 7.9、Ubuntu16、Ubuntu 1804、EulerOS 2.3、EulerOS 2.9 FlexusL各镜像版本支持的探针类武器如表3所示。 表3 Flexus应用服务器L实例镜像与武器兼容性列表 武器 支持的镜像版本 体验类 小试牛刀 CentOS 7.2、CentOS 8.2、Ubuntu 16.04、Ubuntu 22.04、EulerOS 2.0、Debian 8.2、Debian 11.1.0 主机资源 CPU使用率加压 CentOS 7.2、CentOS 8.2、Ubuntu 16.04、Ubuntu 22.04、EulerOS 2.0、Debian 8.2、Debian 11.1.0 内存使用率加压 CentOS 7.2、CentOS 8.2、Ubuntu 16.04、Ubuntu 22.04、EulerOS 2.0、Debian 8.2、Debian 11.1.0 磁盘使用率加压 CentOS 7.2、CentOS 8.2、Ubuntu 16.04、Ubuntu 22.04、EulerOS 2.0、Debian 8.2、Debian 11.1.0 磁盘IO加压 CentOS 7.2、CentOS 8.2、Ubuntu 16.04、Ubuntu 22.04、EulerOS 2.0、Debian 8.2、Debian 11.1.0 主机进程 进程号耗尽 CentOS 7.2、CentOS 8.2、Ubuntu 16.04、Ubuntu 22.04、EulerOS 2.0、Debian 8.2、Debian 11.1.0 杀进程/持续杀进程 CentOS 7.2、CentOS 8.2、Ubuntu 16.04、Ubuntu 22.04、EulerOS 2.0、Debian 8.2、Debian 11.1.0 主机网络 网络延迟 CentOS 7.2、Ubuntu 16.04、Ubuntu 22.04、EulerOS 2.0、Debian 8.2、Debian 11.1.0 网络丢包 CentOS 7.2、Ubuntu 16.04、Ubuntu 22.04、EulerOS 2.0、Debian 8.2、Debian 11.1.0 网络错包 CentOS 7.2、Ubuntu 16.04、Ubuntu 22.04、EulerOS 2.0、Debian 8.2、Debian 11.1.0 网络包重复 CentOS 7.2、Ubuntu 16.04、Ubuntu 22.04、EulerOS 2.0、Debian 8.2、Debian 11.1.0 网络包乱序 CentOS 7.2、Ubuntu 16.04、Ubuntu 22.04、EulerOS 2.0、Debian 8.2、Debian 11.1.0 网络中断 CentOS 7.2、CentOS 8.2、Ubuntu 16.04、Ubuntu 22.04、EulerOS 2.0、Debian 8.2、Debian 11.1.0 网卡down CentOS 7.2、CentOS 8.2、Ubuntu 16.04、Ubuntu 22.04、EulerOS 2.0、Debian 8.2、Debian 11.1.0 篡改DNS域名解析 CentOS 7.2、CentOS 8.2、Ubuntu 16.04、Ubuntu 22.04、EulerOS 2.0、Debian 8.2、Debian 11.1.0 端口占用 CentOS 7.2、CentOS 8.2、Ubuntu 16.04、Ubuntu 22.04、EulerOS 2.0、Debian 8.2、Debian 11.1.0 整机断网 CentOS 7.2、CentOS 8.2、Ubuntu 16.04、Ubuntu 22.04、EulerOS 2.0、Debian 8.2、Debian 11.1.0

操作场景 故障模式是指应用在运行过程中可能出现的特定类型的问题或失效状态。构建丰富的故障模式库，制定相应的预防和恢复措施，有助于设计更加高可用的应用系统。通过识别潜在的故障，可以针对该故障进行日常演练，验证故障恢复措施和故障影响是否符合预期，为更好地应对各种挑战做好准备。您可以对应用可能发生的故障点进行分析，通过描述故障发生的条件、故障发生的现象、客户影响等字段建立故障模式，并将该故障模式应用于日常的混沌演练。

操作场景 账号管理页面展示的资源同步于资源管理和应用管理。您可以通过“导入账号”功能进行主机账号密码的在线托管；通过“同步账号”功能一键同步新增的主机账号；通过“查看账号密码”功能查看主机的账号密码；通过“重置密码”功能重置主机的密码。 导入账号：账号管理支持主机账号密码的在线托管，您可以通过Excel导入的形式将主机账号的初始密码导入，导入之后您可点击“查看账号密码”来在线查看账号密码。 同步账号：若用户在OS上新增了主机账号，在账号管理页面勾选对应主机后，可通过“同步账号”按钮一键同步新增的OS账号。注意：若想新增的账号参与纳管改密，还需在帐号基线中配置该账号。（主机必须在基线中才可以同步到账号）。 查看账号密码：用户可以查看在线托管资源和已开启改密策略资源的账号密码。注意：只有正常态的改密状态和导入的账号能获取到账号密码。 重置密码：重置密码会重置主机下所有“改密状态”为正常的账号的密码（导入的账号除外）且不可逆，重置后可在“查看账号密码”中查看重置密码结果。

SLA管理概述 SLA（服务等级协议，Service Level Agreement）在业界常用于衡量服务质量，云运维中心的SLA管理功能为客户提供了工单时效管理能力，当工单触发某SLA规则时，COC会记录工单SLA触发详情，并通知客户及时跟进和处理。 SLA功能概要如下： 支持客户自定义SLA，或使用COC预置的公共SLA规则。 支持事件单/告警单/待办任务/问题单4类工单。 支持设定SLA目标（工单需要在指定时间内完结某状态），当工单触发规则后，按指定方式通知指定的人员，且支持持续通知。 支持设定SLA预警目标，即将打破SLA时，提前指定时间发送通知。 支持查看SLA记录，包含工单ID，SLA状态，SLA规则等关键信息。 创建或修改SLA后，将对新进入SLA流程的工单开始生效，对已处于SLA流程中的工单不会生效。 自定义SLA优先级高于公共SLA，部分应用优先级高于全部应用。 父主题： SLA管理

支持场景 创建应用韧性评估任务，在评估时会自动关联应用下的资源进行分析并给出评估报告。在评估报告中会给出识别到的风险和优化建议。 1. 当前应用韧性评估，允许评估一个应用下最多100个资源实例。若资源数量超出限制，则会评估失败，并给出相应报错。 2. 当前应用韧性评估中，只支持对部分云服务的资源进行评估，若应用中存在不支持的云服务资源，则默认忽略对该云服务的资源进行评估。详情如表1所示。 3. 当前应用韧性评估中，只支持对部分区域内的云服务资源进行评估，若存在其他区域的云服务资源，则会评估失败。详情如表1所示。

前提条件 开启变更管控需要申请 IAM 权限，具体的actionID如下： IAM v3版本权限： "iam:roles:listRoles", "iam:permissions:grantRoleToAgency", "iam:permissions:grantRoleToAgencyOnDomain", "iam:roles:createRole", "iam:groups:listGroups", "iam:permissions:listRoleAssignments", "iam:permissions:grantRoleToGroupOnDomain", "iam:permissions:revokeRoleFromGroupOnDomain", "iam:permissions:revokeRoleFromGroupOnDomain", "iam:roles:deleteRole", "iam:roles:updateRole" IAM v5版本权限：（IAM的新版本页面中 身份策略 添加action） "iam:policies:createV5", "iam:policies:listV5", "iam:groups:attachPolicyV5", "iam:groups:detachPolicyV5", "iam:policies:deleteV5", "iam:policies:listVersionsV5", "iam:policies:createVersionV5", "iam:policies:deleteVersionV5"

注意事项 1、当前coc生成的变更管控策略默认仅提供绑定在用户组的功能，请勿将策略用作其他用途； 2、您可以通过coc界面action的编辑按钮来控制相应功能是否开启管控，注意所有操作请在coc完成，切勿直接操作策略。 3、工单提权开启后，策略绑定了用户后，若需要关闭工单提权，需先将用户组中的策略解绑后才能关闭。 4、工单提权时校验操作的资源region、应用和工单状态，若操作的资源无所属region、应用，则不校验，会显示该用户名下所有的工单。每种该工单的状态校验如下： 事件单状态校验： （1）P1、P2、P3、P4已受理状态的事件单； （2）提权应用必需与事件单分析处理阶段的当前责任应用一致； （3）提权操作人必需与事件分析处理阶段的当前责任人一致； （4）提权区域必需与事件单的区域一致。 Warroom状态校验： （1）warroom的状态为(启动warroom、故障界定)； （2）提权应用在warroom的影响应用列表中； （3）提权操作人是warroom的恢复责任人、恢复成员、管理员。 变更单状态校验： （1）提权应用，Region必须与变更单中的一致； （2）此次提权的操作人必须是变更单的实施人； （3）当前操作时间必须在变更单的计划实施时间窗内（当前操作时间必须大于计划开始时间且小于计划结束时间）； （4）变更单必须点击【变更开始】 开启工单提权后，北向接口无法使用。例如执行脚本开启工单提权，北向调用脚本接口无法使用。

操作场景 通知管理主要是提供变更、事件、问题等 消息通知 模板，满足不同阶段和场景的通知诉求。同时支持按需订阅通知，防止信息多，无法获取重要信息。 当产生事件单、问题单、告警单或有变更单时，通知规则会根据事件/问题/告警/变更信息和配置的通知规则进行信息匹配，解析出需要通知的人员、内容和发送通知的方式，进行消息通知，实现了自动通知的功能。 上述几种类型的运维工单，系统均内置了多个场景的通知模板，您可以根据您的场景选择通知模板。 通知管理为用户创建通知规则，通知规则包含事件通知、问题通知、变更通知和告警通知。

概述 变更管理主要为构建运维作业全生命周期的安全生产能力，降低变更风险，主要承载变更流程管理业务。包含变更日历、变更中心、变更配置、变更管控等能力。 变更日历：变更日历主要是根据日历视图展示手动创建变更单的数据，并根据不同状态查看变更分布。 变更中心：变更中心主要承载变更流程管理业务，以变更工单模式，从变更的申请、审批、执行三个大环节管控变更业务，为变更人员、变更管理人员提供统一管理平台。 变更配置：承载变更中心相关配置的业务，支持审批配置等变更基础配置的能力。支持用户根据自身业务需求，自定义变更单审批流程、审批人员。 变更管控：是对资源进行变更操作时，通过工单提权的方式，才能执行脚本、作业或查询账号密码等操作，确保人和所操作的对象和实际资源保持一致，防止权限过大，降低安全风险。 父主题： 变更管理

基本概念 概念 说明 管理员 管理员负责创建、管理和授权产品。 终端用户 终端用户可以查询、启动被授权后的产品，生成云资源。 产品 产品是服务目录专有概念，底层是基于Terraform或Json构成的云资源模板。根据Terraform及Json的定义，可以是单个云资源，也可以是多个云资源的组合。 产品版本 每次变更产品的Terraform或Json模板，会产生一个新的产品版本。 产品组合 产品组合由一个或多个产品构成，是管理产品的方式。 实例 实例是终端用户使用服务目录创建的云资源，可以是单个云资源（例如：一台ECS），也可以是多个云资源（例如：多台ECS、一个数据库、一个VPC等）的组合。 授权 在产品组合中，管理员可以为终端用户授权，以便终端用户在服务目录查看产品组合中的所有产品。终端用户为当前租户下的所有用户。

概述 告警管理功能提供告警数据的收集、纳管和处理。 本功能支持集成多个现有或第三方等监控系统（比如 CES 、 AOM 、Prometheus），并将业务下分散的告警信息进行统一收集，生成原始告警。用户可以在集成管理处启用或禁用已有告警源，或者接入第三方监控系统。 本功能还支持汇聚告警的管理。通过设置流转规则，用户可以将接收到的符合指定规则的多条原始告警汇聚成单条告警，称为汇聚告警。 对于汇聚告警，用户可以转事件单处理，或者对其执行脚本和作业，并自动通知相应责任人。汇聚告警减少了重复告警，避免了告警风暴，提高用户处理告警的效率。 注意，初始生成的汇聚告警为当前告警，用户对汇聚告警进行处理、转事件或清除操作后，其会被转移到历史告警中。 此外，本功能可以帮助用户高效创建和管理告警规则。其提供了跨账号、跨区域的告警规则配置能力，帮助用户提高批量配置的效率。告警规则目前仅支持CES告警的配置。 图1 告警管理流程 父主题： 告警管理

操作场景 标签管理服务（Tag Management Service，TMS）用于用户在云平台通过统一的标签管理各种自定义作业。TMS服务与各服务共同实现标签管理能力，TMS提供全局标签管理能力，各服务维护自身标签管理 。当您的自定义作业较多时，可以通过标签管理服务管理账户下的自定义作业。 建议您先在TMS系统中设置预定义标签。 标签由“键”和“值”组成，每个标签中的一个“键”只能对应一个“值”。 每个实例最多支持10个标签配额。

概述 人员管理为云运维中心提供了统一的人员数据管理。您可以在人员管理页面管理当前华为云账号下的用户，人员管理中的用户从 统一身份认证 服务（IAM） 同步，人员管理页面的数据作为云运维中心的用户基础数据，供创建待办、定时运维、通知管理、事件中心等多个功能模块使用。 人员管理页面可以手动选择需要的用户进行编辑、删除、请求订阅。 对已添加的用户编辑时，若填写了手机号、邮箱、企业微信、钉钉、飞书等通讯方式，系统后台会为其创建对应的订阅方式，以便于满足后续消息通知的需要。 父主题： 人员管理

注意事项 OS诊断目标实例UniAgent状态需要为运行中，UniAgent相关操作请参考配置UniAgent。 OS诊断插件仅支持部分操作系统，详情请见下表： 表1 OS诊断插件支持的操作系统 机器架构 操作系统（OS）类型 OS诊断插件（holmes-agent）是否支持 （Y：支持；N：不支持） X86 Huawei Cloud EulerOS Huawei Cloud EulerOS 2.0 标准版 64位(40GB) Y CentOS CentOS7.9 Y CentOS 8.0 Y CentOS 8.2 64bit Y CentOS7.8 Y CentOS7.7 Y CentOS7.6 Y CentOS7.5 Y CentOS7.4 Y CentOS7.3 Y CentOS7.2 Y CentOS6.10 N Ubuntu Ubuntu 20.04 server 64bit Y Ubuntu 22.04 server 64bit Y Ubuntu 18.04 server 64bit Y Ubuntu 16.04 server 64bit Y EulerOS EulerOS 2.5 64bit Y Debian Debian 9.0.0 64bit Y Debian 8.8.0 64bit Y Debian 8.2.0 64bit Y Debian 12.0.0 64bit N Debian 11.1.0 64bit Y Debian 10.0.0 64bit Y OpenSUSE OpenSUSE 15.0 64bit Y AlmaLinux AlmaLinux 9.0 64bit N AlmaLinux 8.4 64bit N AlmaLinux 8.3 64bit N Rocky Linux Rocky Linux 9.0 64bit N Rocky Linux 8.5 64bit N Rocky Linux 8.4 64bit N CentOS Stream CentOS Stream 9 64bit Y CentOS Stream 8 64bit Y CoreOS CoreOS 2079.4.0 64bit N openEuler openEuler 22.03 64bit Y openEuler 20.03 64bit Y Others FreeBSD 11.0-RELEASE 64bit N ARM Huawei Cloud EulerOS Huawei Cloud EulerOS 2.0 标准版 64位(40GB) Y Ubuntu Ubuntu 18.04 server 64bit Y CentOS CentOS 7.6 64bit with ARM N EulerOS EulerOS 2.8 64bit with ARM N Debian Debian 10.2.0 64bit with ARM N KylinOS Kylin Linux Advanced Server for Kunpeng V10 N openEuler openEuler 20.03 64bit with ARM N

组织管理员委托 使用组织管理员租户账号登录IAM-新版控制台； 在左侧菜单栏单击“身份策略”，进入“身份策略”列表页，单击右上角“创建自定义身份策略”，为委托创建授权策略； 图3 创建授权策略 进入身份策略创建页面，填写“策略名称”； 图4 自定义身份策略名称 在“策略内容”中点击“云服务”，搜索“安全令牌服务”，选中后跳转至操作选择区； 图5 选择云服务 在操作选择区分别搜索“sts:agencies:assume”、“sts::tagSession”、“sts::setSourceIdentity”三个action，选中，点击页面右下角“确定”，用于切换身份的策略即创建成功。 图6 完成切换身份的身份策略创建 在左侧菜单栏单击“委托”，进入“委托”列表页，单击右上角“创建信任委托”； 图7 创建委托 进入创建信任委托页面，自定义“委托名称”，信任主体类型选择“云服务”，云服务选择“云运维中心”，最大会话持续时长推荐选择“12小时”； 点击页面最下方的“完成”，即完成委托创建，之后点击弹窗中的“立即授权”，进入委托授权页面； 图8 完成信任委托创建 在授权列表右上角搜索步骤3-5中创建的策略的名称，选中，点击确定，即完成授权。 图9 委托授权

执行账号委托 以组织成员租户（执行账号）身份登录IAM-新版控制台； 在左侧菜单栏单击“身份策略”，进入“身份策略”列表页，点击右上角“创建自定义身份策略”，为委托创建授权策略； 图10 创建授权策略 进入身份策略创建页面，填写“策略名称”； 图11 自定义身份策略名称 在“策略内容”中点击“云服务”，搜索“安全令牌服务”，选中后跳转至操作选择区； 图12 选择云服务1 在操作选择区分别搜索“sts:agencies:assume”、“sts::tagSession”、“sts::setSourceIdentity”三个action，选中； 图13 选择相关action1 点击“添加权限”，云服务选中“云服务操作中心”（COC）； 图14 选择云服务2 操作分别搜索选择“coc:instance:executeDocument”、“coc:job:action”、“coc:job:get”、“coc:job:list”四个action，用于授予组织管理员租户跨账号创建快速配置工单的权限； 继续点击“添加权限”，云服务选中“统一身份认证服务”（IAM）； 操作搜索选择“iam:projects:list”，用于授予组织管理员租户跨账号查询成员账号在某个区域的项目ID的权限; 继续点击“添加权限”，云服务选中“消息通知服务”（ SMN ）； 操作分别搜索选择“smn:topic:create”、“smn:topic:subscribe”两个action，用于授予组织管理员租户跨账号自动创建主题通知，并订阅与管理员主题相同的通知方式的权限； 继续点击“添加权限”，云服务选中“ 云监控服务 ”（CES）； 操作搜索选择“ces:alarms:create”，用于授予组织管理员租户跨账号创建CES告警规则的权限，之后点击页面右下角“确定”，完成执行租户委托的身份策略创建； 图15 执行租户委托身份策略创建 之后在IAM-新版控制台页面左侧菜单栏单击“委托”，进入“委托”列表，点击页面右上角“创建信任委托”，创建执行账号委托组织管理员权限的委托身份； 进入创建信任委托页面，自定义“委托名称”，信任主体类型选择“云服务”，云服务选择“云运维中心”，最大会话持续时长推荐选择“12小时”； 点击页面最下方的“完成”，即完成委托创建，之后点击弹窗中的“立即授权”，进入委托授权页面； 图16 创建委托 在授权列表右上角搜索步骤3-13中创建的策略的名称，选中，点击确定，即完成授权。 图17 委托授权 之后在“委托”列表页找到步骤14-17创建的委托，点击该委托一栏右侧“操作”列中的“编辑”按钮，进入委托编辑页面； 图18 编辑执行租户委托的信任策略1 在“信任委托”tab页点击“编辑信任策略”，在Pricipal中添加以下json数据： "IAM": [ "${目标组织管理员租户的租户ID}" ], 点击右下角的“确定”按钮，信任策略编辑完成，继续点击页面右下角的“确定”按钮，执行账户信任COC同时信任组织管理员的委托即创建完成。 图19 编辑执行租户委托的信任策略2 图20 编辑执行租户委托的信任策略3 组织管理员委托和执行账号委托的创建都是基于跨账号的两个租户（委托租户和和被委托租户）在一个组织中这个前提条件。

批量ECS资源切换镜像报错如何处理？ 工单执行报错"code":"Ecs.0021","message":"Failed to check Cinder quotas because the number of Gigabytes exceeded the upper limit."或 CreateRootVolumeTask-fail: call evs api - create volume fail :{"error_msg":"volume gigabytes exceeded volume gigabytes quota!","common_error_code":"CMM.3141","error_code":"EVS.1042"} 用户云硬盘配额不足，需要申请扩大云硬盘配额，具体操作详见申请扩大云硬盘资源配额。 父主题： 批量操作常见问题

委托功能说明 跨账号功能的使用需要两个委托：组织管理员委托和执行账号委托。 组织管理员委托：组织管理员或组织内COC服务委托管理员（以下统称管理员）信任COC服务的委托。委托用于支持COC服务切换到管理员身份，即保证COC服务可以通过该委托获取到管理员租户的临时安全凭证； 执行账号委托：执行账号（组织中的成员租户）信任COC服务和管理员的委托，必须是IAM 5.0版本的信任委托。委托用于支持管理员切换到执行账号身份进行作业工单创建以及跨账号实际目的操作，以跨账号创建CES告警规则为例，跨账号实际目的操作有三个：创建SMN主题、SMN主题添加订阅和创建CES告警规则，所以实际创建的执行账号委托除了需要支持管理员能够切换到执行账号身份进行作业工单创建外，还需要支持以上三个操作。 图2 执行账号委托信任策略 执行账号委托授权策略内容 { "Version": "5.0", "Statement": [ { "Effect": "Allow", "Action": [ "ces:alarms:create" ] }, { "Effect": "Allow", "Action": [ "smn:topic:create", "smn:topic:subscribe" ] }, { "Effect": "Allow", "Action": [ "sts:agencies:assume", "sts::setSourceIdentity", "sts::tagSession" ] }, { "Effect": "Allow", "Action": [ "coc:instance:executeDocument", "coc:job:get", "coc:job:list" ] }, { "Effect": "Allow", "Action": [ "iam:projects:list" ] } ]}

参数管理的页面权限？ 权限设计 访问参数列表页：需要list权限: coc:parameter:list 获取参数详情：需要get权限：coc:parameter:get 删除参数：需要操作类权限：coc:parameter:delete 创建参数：需要操作类权限：coc:parameter:create 更新参数：需要操作类权限：coc:parameter:update 资源类权限（具体到某一个region下 && 某一个租户的一个参数）：coc:*:*:parameter:name（第一个*代表所有regionID，第二个*所有租户，name代表参数名称） 资源类权限决定您可以访问哪些数据，操作类权限是对您有的资源类权限进行操作，常见问题： 如果您可以访问某个参数，但是您访问不了列表页，代表您缺少coc:parameter:list权限 如果您找不到指定的参数，需要确认是否有该参数的权限 coc:service-name:region:account-id:resource-type:resource-path这个是资源类权限的结构，*代表该层级所有权限，添加资源类权限需要按照这个格式填写 父主题： 参数管理常见问题

如何在不重启实例的情况下重置密码？ COC提供了管理员/非管理员账号重置密码的公共脚本，通过该脚本实现重置密码效果，不会重启实例，您可通过执行相应的公共脚本来重置实例（目前支持ECS和BMS资源类型）的密码。 图1 执行重置密码公共脚本 您在COC中执行公共脚本时，需要选择实例，而能够选择到实例的前提条件为： 您的资源实例信息已经同步到COC中，具体操作指导请见：同步资源； 您的资源实例已经安装UniAgent且UniAgent运行正常、状态为“运行中”； 在实例上安装UniAgent，需要您提供实例的管理员账号密码，若您的资源实例未安装UniAgent且您已忘记密码，则无法安装UniAgent、导致无法执行重置密码的公共脚本，请知悉！ 父主题： 自动化运维常见问题

支持的授权项 策略包含系统策略和自定义策略，如果系统策略不满足授权要求，管理员可以创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应，授权项列表说明如下： 权限：允许或拒绝对指定资源在特定条件下进行某项操作。 对应API接口：自定义策略实际调用的API接口。 授权项：自定义策略中支持的Action，在自定义策略中的Action中写入授权项，可以实现授权项对应的权限功能。 依赖的授权项：部分Action存在对其他Action的依赖，需要将依赖的Action同时写入授权项，才能实现对应的权限功能。 IAM项目(Project)/企业项目(Enterprise Project)：自定义策略的授权范围，包括IAM项目与企业项目。授权范围如果同时支持IAM项目和企业项目，表示此授权项对应的自定义策略，可以在IAM和企业管理两个服务中给用户组授权并生效。如果仅支持IAM项目，不支持企业项目，表示仅能在IAM中给用户组授权并生效，如果在企业管理中授权，则该自定义策略不生效。 关于IAM项目与企业项目的区别，详情请参见：IAM与企业管理的区别。 实例授权/标签授权：自定义策略的生效范围。如果同时支持实例授权和标签授权，表示此授权项对应的自定义策略，可以对某些指定实例或某些绑定指定标签的实例生效。如果仅支持标签授权，不支持实例授权，表示该授权项只能对某些绑定指定标签的实例生效。 该功能目前在“华北-乌兰察布一”暂不开放。 “√”表示支持，“x”表示暂不支持。

解决方法 管理员登录IAM控制台。 管理员在用户列表中，单击新建的用户，右侧的“授权”。 图1 IAM用户授权 授权模型选择“角色授权”。 图2 选择授权模型 授权方式选择“直接给用户授权（适用于企业项目授权）”，根据需要分配“COC FullAccess”或“COC ReadOnlyAccess”策略，策略详情可查看COC权限管理。 图3 分配COC策略 如已有包含云运维中心策略的群组，可选择"继承所选用户组的策略"方式授权，可参考IAM用户授权。 选择授权范围方案，指定企业项目资源。 完成授权。 图4 完成授权

首次安装UniAgent如何操作？ 登录COC。 在左侧菜单栏单击“应用资源管理”，进入“资源管理”页面，选中首台未安装过UniAgent的机器。 图1 安装UniAgent 在跳转的安装UniAgent页面中，单击 “手动安装”。 图2 安装UniAgent页面 根据页面的运行安装命令进行手动安装UniAgent。 图3 “手动安装UniAgent”页面 UniAgent安装完成后，单击 “返回自动安装”。 单击“设置安装机”，设置刚才完成UniAgent安装的机器为安装机。 图4 设置安装机 在弹框中填写设置安装机相关信息，单击“确认”。 图5 确定安装机 父主题： 资源管理常见问题

解决方法 管理员登录IAM控制台。 管理员在权限管理-权限中，单击“创建自定义策略”。 图1 创建自定义策略 设置策略内容，选择允许“云服务操作中心”，并选择要进行企业项目鉴权的操作。单击“确定”完成创建。 图2 设置策略内容-1 图3 设置策略内容-2 图4 设置策略内容-3 云运维中心当前仅有部分操作支持按照企业项目授权，可以参考表1创建自定义策略。 表1 支持企业项目鉴权的操作 操作 描述 coc:instance:reinstallOS 授予重装弹性云服务器操作系统的权限。 coc:instance:changeOS 授予切换弹性云服务器操作系统的权限。 coc:instance:start 授予启动云服务器的权限。 coc:instance:reboot 授予重启云服务器的权限。 coc:instance:stop 授予关闭云服务器的权限。 coc:instance:startRDSInstance 授予启用RDS实例的权限。 coc:instance:stopRDSInstance 授予停止RDS实例的权限。 coc:instance:restartRDSInstance 授予重启RDS实例的权限。 coc:instance:scanOSCompliance 授予服务器操作系统补丁扫描的权限。 coc:instance:installPatches 授予为弹性云服务器安装补丁的权限。 coc:instance:executeDocument 授予在弹性云服务器上执行文档的权限。 coc:schedule:create 授予创建定时任务列表的权限。 coc:schedule:update 授予更新定时任务的权限。 管理员选择用户或用户组，进行授权。 图5 选择对象进行授权 选择步骤3中创建的自定义策略，在设置最小授权范围时，指定企业项目资源，完成企业项目授权。 图6 按照企业项目授权

补丁修复后合规性报告仍然为不合规如何处理？ 单击修复后生成的合规性报告摘要 图1 合规性报告摘要 查看不合规的补丁状态，根据状态不同查看不同解决方案 表1 不同合规性状态的解决方案 不合规状态 解决方案 失败 查看生成此合规性报告的补丁工单日志，根据失败的日志解决此问题 已安装待重启 补丁已安装修复，待机器重启后生效，机器重启后扫描即可解决不合规问题 已拒绝 在补丁基线中拒绝了此补丁，合规性报告中显示为已拒绝，若需要取消拒绝，请到补丁基线中编辑相应基线 父主题： 补丁管理常见问题

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的 云安全 挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 类云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。 华为云租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、 虚拟主机 和访客虚拟机的操作系统，虚拟防火墙、API 网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题： 安全