华为云用户手册

  • 修改负载均衡与路由配置 登录CAE控制台。 在左侧导航栏中选择“组件配置”。 在“组件配置”页面上方的下拉框中选择需要操作的组件。 单击“访问方式”模块中的“编辑”。 “从环境外部访问本组件”页面,选择“负载均衡与路由配置”。 在负载均衡配置列表中选择待操作配置项,单击操作列“编辑”。 图3 修改负载均衡与路由配置 参考表2、表3 监听器配置和表4更新参数配置。 单击“确定”,完成负载均衡与路由配置修改。 单击“确定”,完成访问方式配置确认。 使配置生效。 如已完成组件部署,单击页面上方“生效配置”。在右侧弹框中确认配置信息,并单击“确定”,使配置生效。 如未完成组件部署,单击页面上方“配置并部署组件”,在右侧弹框中单击“确定”待部署执行完成后,配置生效。
  • 配置负载均衡与路由 登录CAE控制台。 在左侧导航栏中选择“组件配置”。 在“组件配置”页面上方的下拉框中选择需要操作的组件。 单击“访问方式”模块中的“编辑”。 在“从环境外部访问本组件”页面,选择“负载均衡与路由配置”,并单击“添加负载均衡与路由配置”。 在“新增负载均衡与路由配置”页面,选择负载均衡器并参考表2配置负载均衡策略。 表1 选择负载均衡器 参数 参数说明 负载均衡器 支持“独享型”和“内置负载均衡器”。 选择“内置负载均衡器”,只支持基于EIP公网访问。 选择“独享型”时,在下拉框中选择对应负载均衡器。 说明: 如需选择“独享型”负载均衡器,请先添加VPC访问CAE环境配置。 只支持选择环境所属VPC下的负载均衡实例。 如果没有可选的负载均衡器,可单击“创建负载均衡器”,跳转至ELB控制台进行创建,具体操作请参考创建独享型负载均衡器。 表2 负载均衡策略配置 参数 参数说明 分配策略 可选择加权轮询算法、加权最少连接或源IP算法。 加权轮询算法:根据后端服务器的权重,按顺序依次将请求分发给不同的服务器。它用相应的权重表示服务器的处理性能,按照权重的高低以及轮询方式将请求分配给各服务器,相同权重的服务器处理相同数目的连接数。常用于短连接服务,例如HTTP等服务。 加权最少连接:最少连接是通过当前活跃的连接数来估计服务器负载情况的一种动态调度算法。加权最少连接就是在最少连接数的基础上,根据服务器的不同处理能力,给每个服务器分配不同的权重,使其能够接受相应权值数的服务请求。常用于长连接服务,例如数据库连接等服务。 源IP算法:将请求的源IP地址进行Hash运算,得到一个具体的数值,同时对后端服务器进行编号,按照运算结果将请求分发到对应编号的服务器上。这可以使得对不同源IP的访问进行负载分发,同时使得同一个客户端IP的请求始终被派发至某特定的服务器。该方式适合负载均衡无cookie功能的TCP协议。 会话保持类型 当“分配策略”选择“加权轮询算法”或“加权最少连接”时可见。 不启动:默认不启动。 应用程序cookie:根据客户端第一个请求生成一个cookie,后续所有包含这个cookie值的请求都会由同一个后端服务器处理。 健康检查 此处健康检查是设置负载均衡的健康检查配置。 不启动:默认不启动。 HTTP:发起一个HTTP调用请求。 TCP:用户指定端口,用于TCP连接。 参考表3和表4进行路由参数配置。 表3 监听器配置 参数 参数说明 *对外协议 支持HTTP、HTTPS协议。 默认值:HTTPS。 *访问端口 HTTPS默认值为443,HTTP默认值为80。 可修改,取值范围[1,65535]。 请确保使用的端口号唯一,避免冲突。 访问控制 “负载均衡器”选择“内置负载均衡器”时可配置。 主要用来控制访问组件的IP地址,您可以创建访问控制策略,允许/禁止某个IP地址对组件进行访问。支持IP和IP网段。 允许所有IP访问。 白名单。 只允许白名单中放通的IP访问组件。 黑名单。 禁止黑名单中的IP访问组件。 说明: 访问方式配置中,同一负载均衡器的同一访问端口,访问控制只能有一种配置,因此需要注意如下事项: “负载均衡器”选择“内置负载均衡器”时,如果同一个端口配置了多条路由规则,请保持这些路由规则访问控制配置一致。 “负载均衡器”选择“独享型”时,不支持在CAE界面配置访问控制。访问方式每配置一个端口,会在所选择的负载均衡器上创建一个监听器,您可以参考访问控制策略在端口对应的的监听器配置访问控制。 安全策略 配置后不可修改。 安全策略 TLS-1-2:支持TLS1.2版本与相关加密套件, 兼容性较好,安全性很高。 安全策略 TLS-1-0:支持TLS1.0、TLS1.1及TLS1.2版本与相关加密套件,兼容性最好,安全性一般。 安全策略 TLS-1-1:支持TLS1.1及TLS1.2版本与相关加密套件,兼容性较好,安全性较好。 安全策略 TLS-1-2-STRICT:支持TLS1.2版本与相关加密套件,兼容性一般,安全性极高。 说明: 在选择安全策略时,一个环境中的安全策略需要保持一致。 *服务器默认证书 通过下拉表选择已经添加的证书。 “对外协议”选择HTTPS时显示。 如需新增新证书,可在下拉框中“单击添加新证书”进行添加,具体操作请参考添加证书。 域名 证书对 在下拉框中选择域名和对应证书。 “对外协议”选择HTTPS时显示。 说明: 当绑定 多个域名 且需要配置对应证书时,进行“域名证书对”配置。 如果不配置 “域名证书对”,则所有域名使用“服务器默认证书”解析。 表4 转发策略配置 参数 参数说明 域名 通过下拉表选择已经添加的域名。 说明: 可在下拉框中单击“添加新域名”进行域名添加,具体步骤请参考添加域名。 URL匹配规则 支持前缀匹配、正则匹配和精准匹配。 前缀匹配:例如映射URL为/healthz,只要符合此前缀的URL均可访问。例如:/healthz/v1,/healthz/v2。 正则匹配:可设定映射URL规范,例如:规范为/[A-Za-z0-9_.-]+/test。只要符合此规则的URL均可访问,例如:/abcA9/test,/v1-Ab/test。正则匹配规则支持POSIX与Perl两种标准。 精准匹配:表示精准匹配,只有完全匹配上才能生效。例如:映射URL为/healthz,则必须为此URL才能访问。 URL 以/开头,由英文字母、数字或特殊字符_~';@^-%#&$.*+?,=!:|/()[]{}组成。例如:/healthz。 监听端口 取值范围[1,65535]。 图1 负载均衡与路由配置 访问地址由域名和访问端口组成,例如:域名为test-test-16.com,访问端口为13456,则访问地址为http://test-test-16.com:13456/。 单击“确定”,完成负载均衡与路由配置添加。 (可选)如需添加多条负载均衡与路由配置,请重复5~8。 单击“确定”,完成访问方式配置。 使配置生效。 如已完成组件部署,单击页面上方“生效配置”。在右侧弹框中确认配置信息,并单击“确定”,使配置生效。 如未完成组件部署,单击页面上方“配置并部署组件”,在右侧弹框中单击“确定”待部署执行完成后,配置生效。 在左侧导航栏中选择“组件列表”,进入“组件列表”页面,单击对应组件“访问地址”列的ip地址,如:http://test-test-16.com:13456/,即可成功访问组件静态WEB页面。如果您配置了访问控制白名单或黑名单,则只有在白名单内或在黑名单外的ip能够访问组件。 图2 成功访问静态WEB页面
  • 操作步骤 登录CAE控制台。 在左侧导航栏中选择“组件事件”。 在“组件事件”页面中默认展示当前组件近30分钟内的数据,具体参数请参考表1。在组件列表中,单击可以对组件筛选过滤,单击可切换组件的排序。为默认排序,为按正序排序,为按倒序排序。 表1 组件事件信息 参数 参数说明 事件名 事件的名称。 事件级别 事件发生的等级,包括紧急、重要、次要和提示。 类型 事件的类型,包括组件事件和实例事件。 实例名称 实例的名称。 发生次数 事件发生的次数。 事件信息 事件的具体详细信息描述。 首次发生时间 事件首次发生的时间。 最近发生时间 事件最后一次发生的时间。 查看组件事件。用户可以通过设置事件搜索过滤条件来按需查看“组件事件”。 搜索过滤条件如下: 按组件名称过滤:可通过选择组件,过滤显示该组件近30分钟内发生的数据。用户还可在该过滤条件的下拉框中搜索选择目标组件并查看。 按事件级别过滤:当前包含“全部级别”、“紧急”、“重要”、次要和提示,紧急级别事件需特别关注。 按事件类型过滤:当前支持“全部事件对象”、“组件事件”和“实例事件”。 按事件名搜索:输入事件名,单击,即可按关键字搜索应用事件。 事件主要用于帮助用户查看组件的活动,如果遇到问题也可以查看组件事件进行排查。 按时间过滤:组件事件页面默认展示当前组件近30分钟内的数据,您还可以在右上角的时间过滤器中选择查看近1小时、近6小时、近1天和近1周的数据,最早可以查看近15天的数据。
  • 操作步骤 登录CAE控制台。 在左侧导航栏中选择“组件配置”。 在“组件配置”页面上方的下拉框中选择需要操作的组件。 图1 选择组件 单击“云数据库RDS”模块中的“配置”。 首次配置RDS实例时,需要在您开发的代码中配置RDS环境变量,为您提供如下变量参数: 变量名 变量说明 RDS_ADDRESS RDS数据库实例的内网地址 RDS_DB_NAME 数据库名字 RDS_USER_NAME 数据库的用户名 RDS_PASSWORD 数据库的密码 RDS_PORT 数据库端口 配置生效后,用户代码就能通过环境变量来获取RDS数据库的参数,然后通过这些参数来连接数据库进行增删改查。 例:用gorm连接postgreg: func initDB() (*gorm.DB, error) { //从环境变量中获取参数 dbAddress := os.Getenv("RDS_ADDRESS") dbName := os.Getenv("RDS_DB_NAME") dbUserName := os.Getenv("RDS_USER_NAME") dbPassword := os.Getenv("RDS_PASSWORD") dbPort := os.Getenv("RDS_PORT") //用获取的参数构建DSN dbDSN := fmt.Sprintf("host=%s port=%s user=%s dbname=%s sslmode=disable password=%s",dbAddress, 5432, dbUserName, dbName, dbPassword) //连接数据库 instance, err := gorm.Open("postgres", dbDSN) if err != nil { log.Println("connect db failed : " + err.Error()) return nil, err } return instance, nil } 在右侧页面中选择RDS实例。 已存在的RDS实例不满足业务需求时: 1、单击“前往云数据库RDS控制台”,进入云数据库控制台创建RDS实例。 2、单击“购买”,根据需求配置购买实例。 参考表1进行参数配置。 表1 云数据RDS配置 参数 参数说明 RDS实例 选择RDS数据库实例,用户可选择跟CAE相同vpc下的RDS数据库实例。 数据库名称 选择要配置的数据库。 数据库用户名 选择数据库下的用户。 数据库密码 数据库的密码。密码不能为空。 确认密码 再次输入数据库密码并确认。 数据库端口 输入数据库端口。 单击“保存”完成配置。 使配置生效。 如已完成组件部署,单击页面上方“生效配置”。在右侧弹框中确认配置信息,并单击“确定”,使配置生效。 如未完成组件部署,单击页面上方“配置并部署组件”,在右侧弹框中单击“确定”待部署执行完成后,配置生效。
  • 使用场景 云审计 服务能够为您提供云服务资源的操作记录,记录的信息包括发起操作的用户身份、IP地址、具体的操作内容的信息,以及操作返回的响应信息。根据这些操作记录,可以很方便地实现审计类功能,以帮助用户更好地规划和利用已有资源、甄别违规或高危操作。 云审计服务主要有以下应用场景: 合规审计 云审计服务能够助力客户的业务系统通过PCI DSS、ISO 27001等常见行业硬性规范中关于审计部分的认证。云审计服务所提供的操作日志记录、查询等功能及安全控制能力,是企事业单位特别是金融、支付类企业满足认证要求的必备条件。 对业务上云的客户而言,关于审计方面的合规认证内容通常分为两部分:云服务商所负责的客户业务系统平台与资源的合规以及客户负责的自身业务系统的合规。 一方面,云审计服务是合规性的组成部分之一,其几乎覆盖所有服务、所有资源的操作记录能力,以及审计日志在传输、存储、加密、容灾、防篡改等方面的安全能力,是认证中针对业务系统平台与资源合规的核心保障。另一方面,针对客户自身的业务系统的合规认证,云审计服务将在认证过程中积极响应,协助完成待满足项的解决方案设计和实现,支撑客户通过认证。 关键操作通知 云审计服务与 函数工作流 服务(FunctionGraph)共同提供关键操作通知功能,通知对象包括自然人及业务接口。实际应用场景举例如下: 客户可配置面向己方独立审计系统的http/https通知,将 CTS 收到的审计日志即时同步到客户自有的审计系统,独立审计。 客户可在FunctionGraph中,选择某类型的审计日志作为触发器(如文件上传),触发预设的工作流(如转换文件格式),从而简化业务开展、运维或规避问题和风险。 数据价值挖掘 云审计服务支持对审计日志中的数据进行挖掘,为业务健康度分析、风险分析、资源跟踪、成本分析等提供支撑,并支持开放审计数据给客户,供客户自行挖掘数据价值。 审计日志中包含时间、操作人、操作设备ip、被操作资源、操作详情等各类信息,具有挖掘价值。 客户可通过配置http/https通知的模式,将审计日志即时同步到自有系统进行分析。CTS也正在对接 云监控 云日志 ,提供高危操作展示、越权操作分析、资源使用分布等功能,并为业务健康度分析、成本分析提供数据支撑。 问题定位分析 云审计服务可通过配置查询条件,精确查找问题发生时的操作及其详情,降低问题发现、定位和解决的时间、人力成本。 当现网某个特定资源或动作出现问题,可根据云审计服务收集的日志记录,通过查询对应时间、对应资源的操作记录,查看当时的请求动作和响应,支撑问题定位分析。 云审计服务提供的检索维度包括事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等,且在审计日志中,包含本次操作的请求和响应的详情信息,是定位云上问题最快捷、最有效的定位手段之一。 当客户遇到云上问题时,可设置条件检索问题发生时间段内的可疑操作,将审计日志同步给处理问题的运维、客服人员。
  • 操作方法 进入云审计服务控制台,在事件来源中筛选“E CS ”,在列出的ECS事件列表中,寻找“createServer”事件,并找到对应的资源ID的事件,展开事件详情。 user列表示创建该台ECS的用户详情,{"name":"账号名","id":"用户的账号ID","domain"{"name":" IAM 用户名","id":"IAM用户ID"}},如果是账号本身创建的该台ECS,则账号名与IAM用户名,名称相同。
  • 为什么有些trace_type为systemAction的事件,存在user和source_ip为空的情况? trace_type字段的业务意义为标示请求来源,该字段可以是控制台(ConsoleAction)、API网关(ApiCall)及系统内调用(SystemAction)。 系统内调用为非用户触发的操作,例如自动触发的告警、弹性伸缩、定时备份任务以及为完成用户请求产生的系统内部次级调用等,这种情况下,不存在直接触发操作的用户或设备,根据审计的客观性原则,该两个字段为空。
  • 为什么事件列表中的某些操作被记录了两次? 对于异步调用事件,会产生两条事件记录,其事件名称、资源类型、资源名称等字段相同。在事件列表中,看起来是重复记录了操作(例如,Workspace的deleteDesktop事件),但实际上,这两条事件是相互关联、但内容不同的两条记录,典型的异步调用场景时间如下: 第一条事件:记录用户发起的请求; 第二条事件:记录用户请求的操作结果,通常与第一条时间记录有数分钟的延迟,记录用户请求的实际响应结果。 两条事件需要结合在一起,才能反映用户本次操作的真实结果。
  • 基本概念 账号 用户注册华为云时的账号,账号对其所拥有的资源及云服务具有完全的访问权限,可以重置用户密码、分配用户权限等。由于账号是付费主体,为了确保账号安全,建议您不要直接使用账号进行日常管理工作,而是创建用户并使用他们进行日常管理工作。 用户 由账号在IAM中创建的用户,是云服务的使用人员,具有身份凭证(密码和访问密钥)。 在我的凭证下,您可以查看账号ID和用户ID。通常在调用API的鉴权过程中,您需要用到账号、用户和密码等信息。 区域(Region) 从地理位置和网络时延维度划分,同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region,通用Region指面向公共租户提供通用云服务的Region;专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region。 详情请参见区域和可用区。 可用区(AZ,Availability Zone) 一个AZ是一个或多个物理数据中心的集合,有独立的风火水电,AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连,以满足用户跨AZ构建高可用性系统的需求。 项目 华为云的区域默认对应一个项目,这个项目由系统预置,用来隔离物理区域间的资源(计算资源、存储资源和网络资源),以默认项目为单位进行授权,用户可以访问您账号中该区域的所有资源。如果您希望进行更加精细的权限控制,可以在区域默认的项目中创建子项目,并在子项目中购买资源,然后以子项目为单位进行授权,使得用户仅能访问特定子项目中资源,使得资源的权限控制更加精确。 查看项目ID,请参考获取项目ID 图1 项目隔离模型 同样在我的凭证下,您可以查看项目ID。 企业项目 企业项目是项目的升级版,针对企业不同项目间资源的分组和管理,是逻辑隔离。企业项目中可以包含多个区域的资源,且项目中的资源可以迁入迁出。 关于企业项目ID的获取及企业项目特性的详细信息,请参见《企业管理服务用户指南》。
  • 终端节点 终端节点(Endpoint)即调用API的请求地址,不同服务不同区域的终端节点不同,您可以从地区和终端节点中查询云审计服务的终端节点。 云应用引擎服务的终端节点如下表所示,请您根据业务需要选择对应区域的终端节点。 表1 云审计服务的终端节点 区域名称 区域 终端节点(Endpoint) 非洲-约翰内斯堡 af-south-1 cae.af-south-1.myhuaweicloud.com 亚太-新加坡 ap-southeast-3 cae.ap-southeast-3.myhuaweicloud.com 华东-上海一 cn-east-3 cae.cn-east-3.myhuaweicloud.com 华北-北京四 cn-north-4 cae.cn-north-4.myhuaweicloud.com 华南-广州 cn-south-1 cae.cn-south-1.myhuaweicloud.com
  • 请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 用户Token。 获取Token ,请参考《 统一身份认证 服务API参考》的“获取用户Token”章节。 请求响应成功后在响应消息头中包含的“X-Subject-Token”的值即为Token值。 最大长度:16384 X-Enterprise-Project-ID 否 String 企业项目ID。 创建环境时,环境会绑定企业项目ID。 最大长度36字节,带“-”连字符的UUID格式,或者是字符串“0”。 该字段不传(或传为字符串“0”)时,则查询默认企业项目下的资源。 说明: 关于企业项目ID的获取及企业项目特性的详细信息,请参见《企业管理服务用户指南》。 X-Environment-ID 是 String 环境ID。 获取环境ID,通过《云应用引擎API参考》的“获取环境列表”章节获取环境信息。 请求响应成功后在响应体的items数组中的一个元素即为一个环境的信息,其中id字段即是环境ID。 表3 请求Body参数 参数 是否必选 参数类型 描述 api_version 是 String API版本,固定值“v1”,该值不可修改。 kind 是 String 资源种类。 spec 是 CreateOrUpdateSecretDetail object 表4 CreateOrUpdateSecretDetail 参数 是否必选 参数类型 描述 name 是 String 凭证名字。 version_id 是 String 当前使用的凭证版本号。 modified_time 是 Integer 当前版本凭证在dew的创建时间。
  • 响应参数 状态码: 200 表5 响应Body参数 参数 参数类型 描述 api_version String API版本,固定值“v1”,该值不可修改。 kind String 资源种类。 spec SecretDetail object 表6 SecretDetail 参数 参数类型 描述 id String 凭据ID name String 凭证名字。 if_update_available Boolean 当前凭据是否有更新版本。 secret_status String 凭据在DEW的状态。 status String 凭据在CAE使用状态。 version_id String 当前使用的凭证版本号。 modified_time Integer 当前版本凭证在dew的创建时间。
  • 请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 用户Token。 获取Token,请参考《统一身份认证服务API参考》的“获取用户Token”章节。 请求响应成功后在响应消息头中包含的“X-Subject-Token”的值即为Token值。 最大长度:16384 X-Enterprise-Project-ID 否 String 企业项目ID。 创建环境时,环境会绑定企业项目ID。 最大长度36字节,带“-”连字符的UUID格式,或者是字符串“0”。 该字段不传(或传为字符串“0”)时,则查询默认企业项目下的资源。 说明: 关于企业项目ID的获取及企业项目特性的详细信息,请参见《企业管理服务用户指南》。 X-Environment-ID 是 String 环境ID。 获取环境ID,通过《云应用引擎API参考》的“获取环境列表”章节获取环境信息。 请求响应成功后在响应体的items数组中的一个元素即为一个环境的信息,其中id字段即是环境ID。
  • 响应参数 状态码: 200 表3 响应Body参数 参数 参数类型 描述 api_version String API版本,固定值“v1”,该值不可修改。 kind String 资源种类。 items Array of SecretDetail objects 定时启停规则所包含的所有应用,只在生效范围为application的时候需要填写。 表4 SecretDetail 参数 参数类型 描述 id String 凭据ID name String 凭证名字。 if_update_available Boolean 当前凭据是否有更新版本。 secret_status String 凭据在DEW的状态。 status String 凭据在CAE使用状态。 version_id String 当前使用的凭证版本号。 modified_time Integer 当前版本凭证在dew的创建时间。
  • 请求消息体 请求消息体通常以结构化格式发出,与请求消息头中Content-type对应,传递除请求消息头之外的内容。若请求消息体中参数支持中文,则中文字符必须为UTF-8编码。 每个接口的请求消息体内容不同,也并不是每个接口都需要有请求消息体(或者说消息体为空),GET、DELETE操作类型的接口就不需要消息体,消息体具体内容需要根据具体接口而定。 对于管理员创建IAM用户接口,您可以从接口的请求部分看到所需的请求参数及参数说明。将消息体加入后的请求如下所示,加粗的斜体字段需要根据实际值填写。 accountid为IAM用户所属的账号ID username为要创建的IAM用户名。 email为IAM用户的邮箱。 **********为IAM用户的登录密码。 1 2 3 4 5 6 7 8 9 10 11 12 13 14 POST https://iam.cn-north-4.myhuaweicloud.com/v3.0/OS-USER/users Content-Type: application/json X-Sdk-Date: 20240416T095341Z Authorization: SDK-HMAC-SHA256 Access=****************, SignedHeaders=content-type;host;x-sdk-date, Signature=**************** { "user": { "domain_id": "accountid", "name": "username", "password": "**********", "email": "email", "description": "IAM User Description" } } 到这里为止这个请求需要的内容就具备齐全了,您可以使用curl命令行、postman或直接编写代码等方式发送请求调用API。对于获取用户Token接口,返回的响应消息头中“x-subject-token”就是需要获取的用户Token。有了Token之后,您就可以使用Token认证调用其他API。
  • 请求方法 HTTP请求方法(也称为操作或动词),它告诉服务你正在请求什么类型的操作。 GET:请求服务器返回指定资源。 PUT:请求服务器更新指定资源。 POST:请求服务器新增资源或执行特殊操作。 DELETE:请求服务器删除指定资源,如删除对象等。 HEAD:请求服务器资源头部。 PATCH:请求服务器更新资源的部分内容。当资源不存在的时候,PATCH可能会去创建一个新的资源。 在管理员创建IAM用户的URI部分,您可以看到其请求方法为“POST”,则其请求为: POST https://iam.cn-north-4.myhuaweicloud.com/v3.0/OS-USER/users
  • 请求消息头 附加请求头字段,如指定的URI和HTTP方法所要求的字段。例如定义消息体类型的请求头“Content-Type”,请求鉴权信息等。 如下公共消息头需要添加到请求中。 Content-Type:消息体的类型(格式),必选,默认取值为“application/json”,有其他取值时会在具体接口中专门说明。 Authorization:签名认证信息,可选,当使用AK/SK方式认证时,使用SDK对请求进行签名的过程中会自动填充该字段。AK/SK认证的详细说明请参加AK/SK认证。 X-Auth-Token:用户Token,可选,当使用Token方式认证时,必须填充该字段。用户Token也就是调用获取用户Token接口的响应值,该接口是唯一不需要认证的接口。 X-Sdk-Date:请求发送的时间,可选,当使用AK/SK方式认证时,使用SDK对请求进行签名的过程中会自动填充该字段。 X-Project-ID:子项目ID,可选,在多项目场景中使用。如果云服务资源创建在子项目中,AK/SK认证方式下,操作该资源的接口调用需要在请求消息头中携带X-Project-ID。 X-Domain-ID:账号ID,可选。AK/SK认证方式下,全局服务的接口调用时,需在请求消息头中携带X-Domain-ID。 公有云API同时支持使用AK/SK认证,AK/SK认证是使用SDK对请求进行签名,签名过程会自动往请求中添加。Authorization(签名认证信息)和X-Sdk-Date(请求发送的时间)请求头。 AK/SK认证的详细说明请参加AK/SK认证。 对于管理员创建IAM用户接口,使用AK/SK方式认证时,添加消息头后的请求如下所示。 POST https://iam.cn-north-4.myhuaweicloud.com/v3.0/OS-USER/users Content-Type: application/json X-Sdk-Date: 20240416T095341Z Authorization: SDK-HMAC-SHA256 Access=****************, SignedHeaders=content-type;host;x-sdk-date, Signature=****************
  • 请求URI 请求URI由如下部分组成。 {URI-scheme} :// {Endpoint} / {resource-path} ? {query-string} 尽管请求URI包含在请求消息头中,但大多数语言或框架都要求您从请求消息中单独传递它,所以在此单独强调。 URI-scheme:表示用于传输请求的协议,当前所有API均采用HTTPS协议。 Endpoint:指定承载REST服务端点的服务器域名或IP,不同服务不同区域的Endpoint不同,您可以从地区和终端节点中获取。例如IAM服务在“华北-北京四”区域的Endpoint为“iam.cn-north-4.myhuaweicloud.com”。 resource-path:资源路径,也即API访问路径。从具体API的URI模块获取,例如“管理员创建IAM用户”API的resource-path为“/v3.0/OS-USER/users”。 query-string:查询参数,是可选部分,并不是每个API都有查询参数。查询参数前面需要带一个“?”,形式为“参数名=参数取值”,例如“limit=10”,表示查询不超过10条数据。 例如您需要获取IAM在“华北-北京四”区域的Token,则需使用“华北-北京四”区域的Endpoint(iam.cn-north-4.myhuaweicloud.com),并在管理员创建IAM用户的URI部分找到resource-path(/v3.0/OS-USER/users),拼接起来如下所示。 https://iam.cn-north-4.myhuaweicloud.com/v3.0/OS-USER/users 图1 URI示意图 为查看方便,在每个具体API的URI部分,只给出resource-path部分,并将请求方法写在一起。这是因为URI-scheme都是HTTPS,而Endpoint在同一个区域也相同,所以简洁起见将这两部分省略。
  • 请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 用户Token。 获取Token,请参考《统一身份认证服务API参考》的“获取用户Token”章节。 请求响应成功后在响应消息头中包含的“X-Subject-Token”的值即为Token值。 最大长度:16384 X-Enterprise-Project-ID 否 String 企业项目ID。 创建环境时,环境会绑定企业项目ID。 最大长度36字节,带“-”连字符的UUID格式,或者是字符串“0”。 该字段不传(或传为字符串“0”)时,则查询默认企业项目下的资源。 说明: 关于企业项目ID的获取及企业项目特性的详细信息,请参见《企业管理服务用户指南》。 X-Environment-ID 是 String 环境ID。 获取环境ID,通过《云应用引擎API参考》的“获取环境列表”章节获取环境信息。 请求响应成功后在响应体的items数组中的一个元素即为一个环境的信息,其中id字段即是环境ID。
  • 响应参数 状态码: 200 表3 响应Body参数 参数 参数类型 描述 api_version String API版本,固定值“v1”,该值不可修改。 kind String 资源种类。 items Array of SecretDetail objects 定时启停规则所包含的所有应用,只在生效范围为application的时候需要填写。 表4 SecretDetail 参数 参数类型 描述 id String 凭据ID name String 凭证名字。 if_update_available Boolean 当前凭据是否有更新版本。 secret_status String 凭据在DEW的状态。 status String 凭据在CAE使用状态。 version_id String 当前使用的凭证版本号。 modified_time Integer 当前版本凭证在dew的创建时间。
  • 请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 用户Token。 获取Token,请参考《统一身份认证服务API参考》的“获取用户Token”章节。 请求响应成功后在响应消息头中包含的“X-Subject-Token”的值即为Token值。 最大长度:16384 X-Enterprise-Project-ID 否 String 企业项目ID。 创建环境时,环境会绑定企业项目ID。 最大长度36字节,带“-”连字符的UUID格式,或者是字符串“0”。 该字段不传(或传为字符串“0”)时,则查询默认企业项目下的资源。 说明: 关于企业项目ID的获取及企业项目特性的详细信息,请参见《企业管理服务用户指南》。 X-Environment-ID 是 String 环境ID。 获取环境ID,通过《云应用引擎API参考》的“获取环境列表”章节获取环境信息。 请求响应成功后在响应体的items数组中的一个元素即为一个环境的信息,其中id字段即是环境ID。
  • 响应参数 状态码: 200 表5 响应Body参数 参数 参数类型 描述 api_version String API版本,固定值“v1”,该值不可修改。 kind String 资源种类。 spec SecretDetail object 表6 SecretDetail 参数 参数类型 描述 id String 凭据ID name String 凭证名字。 if_update_available Boolean 当前凭据是否有更新版本。 secret_status String 凭据在DEW的状态。 status String 凭据在CAE使用状态。 version_id String 当前使用的凭证版本号。 modified_time Integer 当前版本凭证在dew的创建时间。
  • 请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 用户Token。 获取Token,请参考《统一身份认证服务API参考》的“获取用户Token”章节。 请求响应成功后在响应消息头中包含的“X-Subject-Token”的值即为Token值。 最大长度:16384 X-Enterprise-Project-ID 否 String 企业项目ID。 创建环境时,环境会绑定企业项目ID。 最大长度36字节,带“-”连字符的UUID格式,或者是字符串“0”。 该字段不传(或传为字符串“0”)时,则查询默认企业项目下的资源。 说明: 关于企业项目ID的获取及企业项目特性的详细信息,请参见《企业管理服务用户指南》。 X-Environment-ID 是 String 环境ID。 获取环境ID,通过《云应用引擎API参考》的“获取环境列表”章节获取环境信息。 请求响应成功后在响应体的items数组中的一个元素即为一个环境的信息,其中id字段即是环境ID。 表3 请求Body参数 参数 是否必选 参数类型 描述 api_version 是 String API版本,固定值“v1”,该值不可修改。 kind 是 String 资源种类。 spec 是 CreateOrUpdateSecretDetail object 表4 CreateOrUpdateSecretDetail 参数 是否必选 参数类型 描述 name 是 String 凭证名字。 version_id 是 String 当前使用的凭证版本号。 modified_time 是 Integer 当前版本凭证在dew的创建时间。
  • 新建发布管理自定义策略 发布管理环境预置了滚动升级模板和灰度升级模板,用户可以基于任一模板,添加原子插件,编辑发布策略。 进入发布管理环境列表页面。 单击环境名称,进入“环境信息”页面。 单击“发布策略”页签,切换至“发布策略”页面。 单击“自定义策略”旁的,弹出“新建策略”对话框,选择策略模板,单击“确定”。 在模板的基础上自定义编排插件,并配置相关信息。 表1 新建策略 参数项 说明 策略名称 策略的名称。支持中文、英文字母、数字、“-”、“_”,不超过128个字符。 策略描述 长度不超过200个字符。 编排插件 选择策略模板后会自动生成相应的插件,可根据需要自定义编排并配置插件信息,插件参数配置请参考配置发布管理原子插件。 单击,可添加插件。 单击,可复制当前插件。 单击,可删除当前插件。 配置完成后,单击“保存”。 在左侧目录找到刚创建的策略,单击策略所在行,即可应用该策略,应用后策略会变为“使用中”的状态。
  • 配置发布管理原子插件 微服务发布提供滚动升级插件、灰度起负载插件、灰度引流插件、灰度下线插件和人工卡点插件五种插件,用于滚动升级和灰度升级,以下分别介绍各插件配置方法。 滚动升级插件 滚动升级包括两种部署方式:镜像创建和YAML创建。 镜像创建:替换工作负载中容器的镜像。 表2 参数说明 参数项 说明 命名空间 待升级的服务所在的命名空间。 工作负载 填写YAML文件的相对路径。 当前目录为代码分支的根目录。 仅支持单个YAML文件。 YAML路径可以使用“${变量名}”引用环境变量,YAML文件中可以使用“{{变量名}}”引用环境变量。 容器 工作负载中需要升级的容器。 YAML创建:使用yaml文件升级或上线工作负载。 表3 参数说明 参数项 说明 仓库类型 代码仓库的类型,当前仅支持Repo。 代码仓 当前项目下的代码仓。 分支 代码仓库分支。 工作负载YAML路径 升级的工作负载YAML路径,填写YAML文件的相对路径。 当前目录为代码分支的根目录。 仅支持单个YAML文件。 YAML路径可以使用“${变量名}”引用环境变量,YAML文件中可以使用“{{变量名}}”引用环境变量。 灰度起负载插件 灰度起负载包括两种部署方式:镜像升级和YAML部署。 镜像创建:替换工作负载中容器的镜像,创建与线上配置完全一致的工作负载,仅更新构建产物(镜像包)。 表4 参数说明 参数项 说明 命名空间 待升级的服务所在的命名空间。 服务 集群命名空间下的Service,需要确保该Service有且仅有一个工作负载与其关联。 自定义版本号 开关关闭,系统将自动随机生成灰度版本号;开关开启,用户可以按需配置灰度版本号。 灰度版本号 灰度版本号将作为新旧负载的引流标识,用于区分正式版本和灰度版本,请按需配置,支持使用${ENV}引用环境变量。如:${TIMESTAMP},表示引用系统时间戳环境变量作为灰度版本号。 支持大小写英文字母、数字、“-”、“_”、“.”,长度不超过62个字符。 YAML创建:使用yaml文件上线或升级工作负载。 表5 参数说明 参数项 说明 命名空间 待升级的服务所在的命名空间。 服务 集群命名空间下的服务,需要确保该服务有且仅有一个工作负载与其关联。 仓库类型 代码仓库的类型,当前仅支持Repo。 代码仓 当前项目下的代码仓。 分支 代码仓库分支。 工作负责YAML路径 填写YAML文件的相对路径。 当前目录为代码分支的根目录。 仅支持单个YAML文件。 YAML路径可以使用“${变量名}”引用环境变量,YAML文件中可以使用“{{变量名}}”引用环境变量。 灰度引流插件 选择引流类型,包括:Service蓝绿引流和ASM灰度引流。 Service蓝绿引流:基于集群Service将所有流量切换至新负载(灰度负载)。 ASM灰度引流:基于ASM的VirtualService和DestinationRule配置来控制访问流量,可以基于流量比例、请求Header等进行灰度引流,要求集群内安装ASM(应用服务网格)。 灰度下线插件 灰度下线插件会自动下线服务关联的旧工作负载,无需配置。 人工卡点插件 可以在卡点确认时进行批准或驳回部署策略,运行至人工卡点时流水线将暂停,若审批通过则继续执行,若驳回则终止执行。 表6 参数说明 参数项 说明 超时处理 超过等待审批时间后流水线的处理方案。 卡点失败,发布流终止执行:运行至人工卡点时流水线将暂停,若超时不处理则终止执行流水线。 忽略结果,发布流继续执行:运行至人工卡点时流水线将暂停,若超时不处理则继续执行流水线。 卡点时长 等待审批的时间,时间范围为1分钟至12小时。 卡点说明 卡点内容说明。长度不超过200个字符。
  • 查看发布管理发布结果 进入发布管理环境列表页面。 单击环境名称,进入“环境信息”页面。 单击“部署历史”页签,切换至“部署历史”页面,页面展示该环境的所有工单历史。 单击工单名称,可以进入工单的详情页面,详情页面展示本次发布的发布流信息、基本信息以及各原子插件发布单信息。 发布流信息 图1 发布流信息 展示工单执行结果、工单类型、触发人、流水线、发布策略模板等信息,单击对应原子插件可展示该插件的发布单信息。 取消:在发布过程中,单击“取消”可手动取消本次发布。 重试:在发布过程中,如果出现失败或取消运行,单击“重试”可重试发布流。 回滚:单击“回滚”弹出提示确认框,确认后将取消本次发布过程,将服务状态恢复至发布前,并自动跳转到回滚单。 支持在发布流的任意时刻回滚,可用于当前部署版本不符合预期,需要快速将环境恢复到上一次可用状态的场景。 基本信息 展示环境名称、策略、服务扩展点、变量版本、镜像、开始时间、结束时间。 原子插件发布单信息 展示各原子插件的发布详情,单击可以手动刷新发布单详情。 图2 原子插件的发布详情 表1 原子插件发布单信息 插件类型 发布单信息 滚动升级 发布单展示升级的工作负载信息、工作负载对应的实例信息以及关键事件信息。 工作负载信息 负载名称、类型、命名空间及创建时间。 实例信息 实例名称、实例运行状态、Pod IP、Host IP (Pod所在节点的IP)、实例创建的时间。 关键事件 查看Pod的关键事件信息,可用于辅助Pod问题定位,包括Kubernetes组件名、事件类型、K8s事件、首次发生时间、最近发生时间。 灰度起负载 发布单展示升级的工作负载信息、工作负载对应的实例信息以及关键事件信息,单击卡片可以切换新旧负载,查看对应负载信息。 工作负载信息 旧负载名称、新负载名称、负载类型及命名空间。 实例信息 实例名称、实例运行状态、Pod IP、Host IP (Pod所在节点的IP)、实例创建的时间。 关键事件 查看Pod的关键事件信息,可用于辅助Pod问题定位,包括Kubernetes组件名、事件类型、K8s事件、首次发生时间、最近发生时间。 灰度引流 发布单展示服务名称、旧版本号、新版本号和命名空间。 灰度下线 发布单展示负载名称、负载类型和命名空间。 人工卡点 发布单展示卡点时长、操作时间、卡点说明、卡点状态等信息。 父主题: 发布管理(CodeArts Release)使用指南
  • 通过云原生发布插件进行发布 配置流水线。 在流水线阶段新建任务, 添加“云原生发布”插件,参数说明如表1。 云原生发布提供环境级别的服务发布能力,支持在CCE集群对环境进行自定义编排发布(如:滚动发布和灰度发布)。 图1 配置云原生发布插件 表1 参数说明 参数项 说明 名称 插件的名称。支持输入中文、大小写英文字母、数字、“-”、“_”、“,”、“;”、“:”、“.”、“/”、“(”、“)”、“(”、“)”、空格,长度不超过128个字符。 环境级别 任务发布的环境类别,对发布管理的环境类型,目前支持开发环境、测试环境、预发环境和生产环境。 环境 需要发布的环境,对发布管理的环境,详见新建发布管理环境。 产物地址 微服务部署时使用的镜像地址,如:swr.example.com/demo/springboot-helloworld:v1.1,可以通过“${}”引用流水线参数,如:swr.example.com/demo/springboot-helloworld:${version}。 说明: 推荐使用 SWR容器镜像 服务,可通过编译构建制作镜像并推送到SWR仓库。 配置完成后,运行流水线,可实时查看运行进展。 单击云原生发布插件任务,可查看任务运行情况,包括任务日志和任务结果。 图2 查看云原生发布插件运行结果 任务日志:查看实时日志信息和运行状态。 任务结果:查看任务基本信息,包括工单名称、工单ID、触发人等。 单击工单ID或“查看详情”可进入发布管理工单详情页面,工单详情页介绍请参见查看发布管理发布结果。
  • 操作步骤 登录KooDrive服务业务面。 目前仅支持使用华为账号登录KooDrive服务业务面。 在左侧导航栏单击“个人空间”,页面展示个人空间文件列表。 删除文件(夹)。 方法一: 鼠标悬浮至待删除文件(夹)所在行“更多”文字上,单击“删除”。 在“删除文件”对话框中了解删除文件(夹)的影响后,如果确认要删除文件(夹),单击“确定”。 方法二: 勾选待删除文件(夹)前的复选框,单击列表上方“删除”。 最多可勾选1000个文件(夹)进行删除操作。 在“删除文件”对话框中了解删除文件(夹)的影响后,如果确认要删除文件(夹),单击“确定”。 删除的文件(夹)仍然占用空间容量。 删除的文件(夹)将被临时存放至“回收站”里,并没有从KooDrive中彻底删除。您可根据需要进入回收站中,对已删除的文件(夹)进行恢复或彻底删除操作。
  • 操作步骤 创建企业组织。 企业租户登录KooDrive服务控制台。 单击“云空间配置”,在云空间配置页面单击“创建组织”。 如果该租户下已存在创建的企业组织,则页面展示该组织下的云空间信息。 如果该租户下不存在企业组织,则页面展示创建组织操作入口。 输入组织名称,并单击“下一步”。 名称由1~60个中文、英文、数字及合法字符组成。 设置组织的域名。 输入组织简称,可使用2~30位字母、数字或它们的组合,如abc,后缀名为固定的.huaweiapaas.com,如图1所示。单击“下一步”。 图1 设置组织域名 域名是指网址中“www.”之后的内容,如: www.example.com中的example.com即为域名;或电子邮件地址中“@”符号之后的内容,如username@example.com中的example.com即为域名。 域名设置后管理员为组织创建成员时,成员的管理式华为帐号默认带有域名后缀,如设置的组织域名为abc.huaweiapaas.com,创建的成员帐号为xxx@abc.huaweiapaas.com。 阅读“管理式华为帐号”相关声明,单击“同意”。 等待几秒钟自动进入云空间配置页面。 组织创建完成后,KooDrive自动以该组织名称创建企业的一级部门,后续创建的部门都属于一级部门的子部门。 查看存储空间与用户数,参数如表1所示。 表1 存储空间与用户数 参数 说明 存储空间 “包年/包月”计费模式展示如下信息: 使用占比 = 已用存储空间/总存储空间。 总存储空间 = 基础版套餐的存储空间 + 存储扩容包的存储空间。 “已用存储空间”为用户已分配的空间总量。 按需计费仅显示“已用XGB”,为已使用空间容量。 用户数 “包年/包月”计费模式展示如下信息: 创建占比 = 当前用户数/用户总数。 用户总数 = 基础版套餐的用户数 + 用户扩容包的用户数。 “当前用户数”为已创建的用户数。 按需计费仅显示“已创建用户数X人”。 设置云空间默认配置。参考表2完成设置。 表2 云空间默认配置 参数 说明 是否默认开通个人空间 通过开启或关闭滑块,配置是否开启个人空间。 个人空间默认大小 配置开通个人空间时空间的默认值。系统管理员可自行设置个人空间容量缺省值,例如100GB。设置后,创建用户时默认自动为用户分配100GB的个人空间,系统管理员也可以在创建时修改该默认值。 选择“包年/包月”计费模式,缺省值为“总存储空间”的五分之一除以“用户总数”。 选择按需计费模式,缺省值为0。 单击可修改个人空间默认大小,修改完成后单击。 个人空间取值范围为一到基础版套餐存储空间的五分之一之间的整数。 是否默认开通团队空间 通过开启或关闭滑块,配置是否在开启团队空间。 部门空间默认大小 配置开通部门空间时空间的默认值。当管理员在创建部门时云空间默认自动为部门分配已购买存储服务容量大小的团队空间。 选择“包年/包月”计费模式,缺省值为30GB。 选择按需计费模式,缺省值为0。 单击可修改部门空间默认大小,修改完成后单击。 部门空间取值范围为一到基础版套餐存储空间五分之三之间的整数。 群组空间默认大小 配置开通群组空间时空间的默认值,缺省值为10GB。 单击可修改群组空间默认大小,修改完成后单击。 群组空间取值范围为一到基础版套餐存储空间的五分之一之间的整数。 默认业务地址 Koodrive业务地址:云空间业务地址链接。 自定义业务链接:用户自定义的首页链接地址。 查看云空间订购详情。参考表3进行设置。 表3 云空间订购详情 参数 说明 套餐规格 选择“包年/包月”计费模式,显示已订购的基础套餐包规格,当套餐不满足需求时,可单击“套餐规格扩容”进行套餐扩容。 到期时间 选择“包年/包月”计费模式,显示订购的套餐包到期时间,可单击“续费”“查看订单”了解订购详情。当订购的资源状态为冻结时,此处显示冻结时间。 用户数扩容包 选择“包年/包月”计费模式,当已订购扩容包时,可单击“变更扩容包”“删除扩容包”进行扩容包的增减。未订购扩容包时,可单击“增配扩容包”进行扩容包的增加。 存储空间扩容包 选择“包年/包月”计费模式,已订购扩容包时,可单击“变更扩容包”“删除扩容包”进行扩容包的增减。未订购扩容包时,可单击“增配扩容包”进行扩容包的增加。 计费模式 选择“按需”计费模式,显示按需计费,可单击“查看订单”了解订购详情。 创建时间 选择“按需”计费模式,显示订购的创建时间。 配置完成后,可单击右上角“前往应用”即可进入KooDrive业务页面。在KooDrive业务页面用户可以完善企业组织架构,使用团队及个人空间。 如果选择“自定义业务链接”,单击右上角“前往应用”即可进入用户自定义链接页面。
  • 操作步骤 管理员登录KooDrive服务业务面。 目前仅支持使用华为账号登录KooDrive服务业务面。 在左侧导航栏单击“团队空间”,页面以卡片形式展示团队。 系统管理员可以看到企业内所有的部门团队,部门管理员只能看到自己所属部门的团队。 选择团队单击进入团队空间文件列表页。 删除文件(夹)。 方法一: 鼠标悬浮至待删除文件(夹)所在行“更多”文字上,单击“删除”。 在“删除文件”对话框中了解删除文件的影响后,如果确认要删除文件(夹),单击“确定”。 方法二: 勾选待删除文件(夹)前的复选框,单击列表上方“删除”。 最多可勾选1000个文件(夹)进行删除操作。 在“删除文件”对话框中了解删除文件(夹)的影响后,如果确认要删除文件(夹),单击“确定”。 删除的文件(夹)仍然占用空间容量。 删除的文件(夹)将被临时存放至“回收站”里,并没有从KooDrive中彻底删除。管理员可根据需要进入回收站中,对已删除的文件(夹)进行恢复或彻底删除操作。
共100000条