华为云用户手册

操作步骤 登录ServiceStage控制台。 选择以下任意方式进入组件“部署记录”页面： 在“应用管理”页面，单击组件所属应用名称，在“组件列表”单击待操作组件名称或者在组件名称上单击右键选择打开组件“概览”页面的方式，在左侧导航栏单击“部署记录”。 在“组件管理”页面，单击待操作组件名称或者在组件名称上单击右键选择打开组件“概览”页面的方式，在左侧导航栏单击“部署记录”。 在“部署记录”列表，选择待作为配置模板的历史版本部署记录。 单击在页面右上方“使用此版本重新部署”，弹出“重新部署”对话框。 “部署类型”选择“单批发布”，单击“确定”。 参考下表设置组件版本配置信息，其中带“*”标志的参数为必填参数。 参数 说明 技术栈 固定为选择的历史版本配置，不可修改。 *YAML模式 选择使用YAML配置来重新部署组件。 选择关闭：使用界面配置来重新部署组件。 选择开启：使用YAML配置来重新部署组件，从部署了待升级组件的CCE自动同步组件最新负载信息用于修改后重新部署组件。您也可以单击“导入YAML文件”，导入已经编辑好的待重新部署组件YAML配置文件。 说明： 使用YAML配置来重新部署组件，组件YAML配置文件中各参数的说明请参考Deployment。 *软件包/镜像 固定为创建并部署组件时选择的组件来源。 “YAML模式”选择关闭：选择“源码仓库”，参考仓库授权创建授权，设置代码来源；选择软件包或者镜像包，则固定为创建并部署组件时选择的软件包类型（Jar、War、Zip）或者镜像包类型。由您选择的技术栈类型决定，具体情况请参考表1。 “YAML模式”选择开启：选择“源码仓库”，参考仓库授权创建授权，设置代码来源；选择软件包，则固定为创建并部署组件时选择的软件包类型（Jar、War、Zip）。由您选择的技术栈类型决定，具体情况请参考表1。 *上传方式 “YAML模式”选择关闭：选择软件包或者镜像包，重新选择已上传的软件包/镜像包，上传方式请参考组件来源说明。 “YAML模式”选择开启：选择软件包，重新选择已上传的软件包，上传方式请参考组件来源说明。 *编译命令 “YAML模式”选择关闭、组件来源是“源码仓库”、部署环境为Kubernetes类型且所选择的技术栈类型为Java、Tomcat、Node.js、Python、Php时支持设置“编译命令”。 使用默认命令或脚本：优先执行代码根目录下的build.sh，不存在则按照所选语言的通用方法编译，如Java语言的mvn clean package。 使用自定义命令：根据所选语言自定义编译命令，或修改build.sh文件后选择使用默认命令或脚本。 须知： 选择“使用自定义命令”时，请在echo、cat、debug命令中慎用敏感信息或者进行敏感信息加密，以免造成敏感信息泄露。 在项目子目录下执行编译命令，需先进入项目子目录，再执行其余脚本命令。例如： cd ./weather/ mvn clean package *Dockerfile地址 “YAML模式”选择关闭、组件来源是“源码仓库”、部署环境为Kubernetes类型且所选择的技术栈类型为Java、Tomcat、Node.js、Python、Php时支持设置“Dockerfile地址”。 “Dockerfile地址”即Dockerfile文件相对于项目的根目录（./）所在的目录，Dockerfile文件用于镜像构建。 如果未指定“Dockerfile地址”，默认查找项目根目录下的Dockerfile；如果项目根目录下也没有Dockerfile文件，则根据选定的运行环境自动生成Dockerfile。 *组件版本 组件版本号，支持自动生成和自定义版本号。 自动生成版本号：单击“自动生成”，默认以您单击“自动生成”时的时间来生成版本号，格式为yyyy.mmdd.hhmms，s取时间戳中秒数的个位值。例如：时间戳为2022.0803.104321，则版本号为2022.0803.10431。 自定义版本号：输入格式为A.B.C或者A.B.C.D，A、B、C、D为自然数。例如，1.0.0或者1.0.0.0。 须知： 自定义版本号需唯一，请勿与该组件的历史版本号重复。 资源 固定为选择的历史版本配置，不可修改。 “YAML模式”选择关闭时，显示已设置的资源配置。 JVM参数 固定为选择的历史版本配置，不可修改。 “YAML模式”选择关闭、组件技术栈类型为Java/Tomcat时，可用于配置Java代码运行时的内存参数大小。 Tomcat配置 固定为选择的历史版本配置，不可修改。 “YAML模式”选择关闭、组件技术栈类型为Tomcat时，可用于配置Tomcat请求路径、端口号等参数。 高级设置 固定为选择的历史版本配置，不可修改。 “YAML模式”选择关闭时，显示已设置的组件高级设置。 单击“升级”。 在“部署日志”区域，可查看部署进展，等待部署完成。

操作步骤 登录ServiceStage控制台。 选择以下任意方式进入组件“访问方式”页面： 在“应用管理”页面，单击组件所属应用名称，在“组件列表”单击待操作组件名称或者在组件名称上单击右键选择打开组件“概览”页面的方式，在左侧导航栏单击“访问方式”。 在“组件管理”页面，单击待操作组件名称或者在组件名称上单击右键选择打开组件“概览”页面的方式，在左侧导航栏单击“访问方式”。 单击“设置 域名 ”： 输入已获取的“应用域名”。 输入“监听端口”。 （可选）开启“HTTPS”。 单击“使用已有”选择已经创建的证书。 单击“新创建”创建新的服务器证书。创建服务器证书请参考创建证书。

操作步骤 登录ServiceStage控制台。 选择以下任意方式进入组件“部署记录”页面： 在“应用管理”页面，单击组件所属应用名称，在“组件列表”单击待操作组件名称或者在组件名称上单击右键选择打开组件“概览”页面的方式，在左侧导航栏单击“部署记录”。 在“组件管理”页面，单击待操作组件名称或者在组件名称上单击右键选择打开组件“概览”页面的方式，在左侧导航栏单击“部署记录”。 在“部署记录”列表，选择待作为配置模板的历史版本部署记录。 单击在页面右上方“使用此版本重新部署”，弹出“重新部署”对话框。 “部署类型”选择“灰度发布（金丝雀）”，单击“确定”。 参考下表设置组件版本配置信息，其中带“*”标志的参数为必填参数。 通过本操作执行组件微服务灰度发布升级过程中，请勿同时通过 CS E执行组件微服务灰度发布，否则会导致本操作失效。 通过CSE执行组件微服务灰度发布，请参考灰度发布。 参数 说明 技术栈 固定为选择的历史版本配置，不可修改。 *软件包/镜像 固定为创建并部署组件时选择的组件来源。 选择“源码仓库”，参考仓库授权创建授权，设置代码来源。 选择软件包或者镜像包，则固定为创建并部署组件时选择的软件包类型（Jar、War、Zip）或者镜像包类型。由您选择的技术栈类型决定，具体情况请参考表1。 *上传方式 选择软件包或者镜像包，重新选择已上传的软件包/镜像包，上传方式请参考组件来源说明。 *编译命令 组件来源是“源码仓库”、部署环境为Kubernetes类型且所选择的技术栈类型为Java、Tomcat、Node.js、Python、Php时支持设置“编译命令”。 使用默认命令或脚本：优先执行代码根目录下的build.sh，不存在则按照所选语言的通用方法编译，如Java语言的mvn clean package。 使用自定义命令：根据所选语言自定义编译命令，或修改build.sh文件后选择使用默认命令或脚本。 须知： 选择“使用自定义命令”时，请在echo、cat、debug命令中慎用敏感信息或者进行敏感信息加密，以免造成敏感信息泄露。 在项目子目录下执行编译命令，需先进入项目子目录，再执行其余脚本命令。例如： cd ./weather/ mvn clean package *Dockerfile地址 组件来源是“源码仓库”、部署环境为Kubernetes类型且所选择的技术栈类型为Java、Tomcat、Node.js、Python、Php时支持设置“Dockerfile地址”。 “Dockerfile地址”即Dockerfile文件相对于项目的根目录（./）所在的目录，Dockerfile文件用于镜像构建。 如果未指定“Dockerfile地址”，默认查找项目根目录下的Dockerfile；如果项目根目录下也没有Dockerfile文件，则根据选定的运行环境自动生成Dockerfile。 *组件版本 组件版本号，支持自动生成和自定义版本号。 自动生成版本号：单击“自动生成”，默认以您单击“自动生成”时的时间来生成版本号，格式为yyyy.mmdd.hhmms，s取时间戳中秒数的个位值。例如：时间戳为2022.0803.104321，则版本号为2022.0803.10431。 自定义版本号：输入格式为A.B.C或者A.B.C.D，A、B、C、D为自然数。例如，1.0.0或者1.0.0.0。 须知： 自定义版本号需唯一，请勿与该组件的历史版本号重复。 资源 固定为选择的历史版本配置，不可修改。 JVM参数 固定为选择的历史版本配置，不可修改。 组件技术栈类型为Java/Tomcat时，可用于配置Java代码运行时的内存参数大小。 Tomcat配置 固定为选择的历史版本配置，不可修改。 组件技术栈类型为Tomcat时，可用于配置Tomcat请求路径、端口号等参数。 高级设置 固定为选择的历史版本配置，不可修改。 灰度策略 灰度流量比例：引入到新版本的流量比例。 当前流量比例：引入到当前版本的流量比例。 *首批灰度实例数量 首批灰度发布的实例数量，取值范围为[1, 当前总实例数-1]。当前总实例数，即组件当前运行的实例数量。 例如，当前组件总实例数为6，“首批灰度实例数量”参数设置为1，则表示首批升级组件版本配置的实例数量为1。 剩余实例部署批次 首批灰度发布成功之后，剩余实例滚动升级分多少批次完成。 例如，当前组件总实例数为6，“首批灰度实例数量”参数设置为1，且“剩余实例部署批次”设置为3。则当前剩余实例数为5，那么升级剩余实例会按照2:2:1个实例分批升级。 单击“升级”。 在“部署日志”区域，可查看部署进展，等待部署完成。

操作步骤 登录ServiceStage控制台。 选择以下任意方式进入组件“基础设施”页面： 在“应用管理”页面，单击组件所属应用名称，在“组件列表”单击待操作组件名称或者在组件名称上单击右键选择打开组件“概览”页面的方式，在左侧导航栏单击“基础设施”。 在“组件管理”页面，单击待操作组件名称或者在组件名称上单击右键选择打开组件“概览”页面的方式，在左侧导航栏单击“基础设施”。 在组件“基础设施”页面，选择组件运行资源，查看资源状态及使用情况。

操作步骤 登录ServiceStage控制台。 选择以下任意方式进入组件“部署记录”页面： 在“应用管理”页面，单击组件所属应用名称，在“组件列表”单击待操作组件名称或者在组件名称上单击右键选择打开组件“概览”页面的方式，在左侧导航栏单击“部署记录”。 在“组件管理”页面，单击待操作组件名称或者在组件名称上单击右键选择打开组件“概览”页面的方式，在左侧导航栏单击“部署记录”。 在“部署记录”列表，选择当前最新版本部署记录。 单击“回滚”。 在弹出的对话框，单击“确定”。 等待回滚完成后，组件版本会回滚到升级前版本。

操作步骤 登录ServiceStage控制台。 选择以下任意方式进入组件“部署记录”页面： 在“应用管理”页面，单击组件所属应用名称，在“组件列表”单击待操作组件名称或者在组件名称上单击右键选择打开组件“概览”页面的方式，在左侧导航栏单击“部署记录”。 在“组件管理”页面，单击待操作组件名称或者在组件名称上单击右键选择打开组件“概览”页面的方式，在左侧导航栏单击“部署记录”。 在“部署记录”列表，选择待作为配置模板的历史版本部署记录。 单击在页面右上方“使用此版本重新部署”，弹出“重新部署”对话框。 “部署类型”选择“滚动发布”，单击“确定”。 参考下表设置组件版本配置信息，其中带“*”标志的参数为必填参数。 参数 说明 技术栈 固定为选择的历史版本配置，不可修改。 *YAML模式 部署环境为Kubernetes类型时，支持选择使用YAML配置来重新部署组件。 选择关闭：使用界面配置来重新部署组件。 选择开启：使用YAML配置来重新部署组件，从部署了待升级组件的CCE自动同步组件最新负载信息用于修改后重新部署组件。您也可以单击“导入YAML文件”，导入已经编辑好的待重新部署组件YAML配置文件。 说明： 使用YAML配置来重新部署组件，组件YAML配置文件中各参数的说明请参考Deployment。 *软件包/镜像 固定为创建并部署组件时选择的组件来源。 “YAML模式”选择关闭：选择“源码仓库”，参考仓库授权创建授权，设置代码来源；选择软件包或者镜像包，则固定为创建并部署组件时选择的软件包类型（Jar、War、Zip）或者镜像包类型。由您选择的技术栈类型决定，具体情况请参考表1。 “YAML模式”选择开启：选择“源码仓库”，参考仓库授权创建授权，设置代码来源；选择软件包，则固定为创建并部署组件时选择的软件包类型（Jar、War、Zip）。由您选择的技术栈类型决定，具体情况请参考表1。 *上传方式 “YAML模式”选择关闭：选择软件包或者镜像包，重新选择已上传的软件包/镜像包，上传方式请参考组件来源说明。 “YAML模式”选择开启：选择软件包，重新选择已上传的软件包，上传方式请参考组件来源说明。 *编译命令 “YAML模式”选择关闭、组件来源是“源码仓库”、部署环境为Kubernetes类型且所选择的技术栈类型为Java、Tomcat、Node.js、Python、Php时支持设置“编译命令”。 使用默认命令或脚本：优先执行代码根目录下的build.sh，不存在则按照所选语言的通用方法编译，如Java语言的mvn clean package。 使用自定义命令：根据所选语言自定义编译命令，或修改build.sh文件后选择使用默认命令或脚本。 须知： 选择“使用自定义命令”时，请在echo、cat、debug命令中慎用敏感信息或者进行敏感信息加密，以免造成敏感信息泄露。 在项目子目录下执行编译命令，需先进入项目子目录，再执行其余脚本命令。例如： cd ./weather/ mvn clean package *Dockerfile地址 “YAML模式”选择关闭、组件来源是“源码仓库”、部署环境为Kubernetes类型且所选择的技术栈类型为Java、Tomcat、Node.js、Python、Php时支持设置“Dockerfile地址”。 “Dockerfile地址”即Dockerfile文件相对于项目的根目录（./）所在的目录，Dockerfile文件用于镜像构建。 如果未指定“Dockerfile地址”，默认查找项目根目录下的Dockerfile；如果项目根目录下也没有Dockerfile文件，则根据选定的运行环境自动生成Dockerfile。 *组件版本 组件版本号，支持自动生成和自定义版本号。 自动生成版本号：单击“自动生成”，默认以您单击“自动生成”时的时间来生成版本号，格式为yyyy.mmdd.hhmms，s取时间戳中秒数的个位值。例如：时间戳为2022.0803.104321，则版本号为2022.0803.10431。 自定义版本号：输入格式为A.B.C或者A.B.C.D，A、B、C、D为自然数。例如，1.0.0或者1.0.0.0。 须知： 自定义版本号需唯一，请勿与该组件的历史版本号重复。 环境变量 固定为选择的历史版本配置，不可修改。 组件部署方式为虚拟机部署支持此参数。 资源 固定为选择的历史版本配置，不可修改。 “YAML模式”选择关闭、组件部署方式为CCE容器部署时支持此参数。 JVM参数 固定为选择的历史版本配置，不可修改。 “YAML模式”选择关闭、组件技术栈类型为Java/Tomcat时，可用于配置Java代码运行时的内存参数大小。 Tomcat配置 固定为选择的历史版本配置，不可修改。 “YAML模式”选择关闭、组件技术栈类型为Tomcat时，可用于配置Tomcat请求路径、端口号等参数。 高级设置 固定为选择的历史版本配置，不可修改。 “YAML模式”选择关闭、组件部署方式为CCE容器部署时支持此参数。 *分几批部署 表示分几个批次升级组件实例，取值范围为[1, 总实例数]。总实例数，即组件当前运行的实例数量。 例如，组件总实例数为4，“分几批部署”参数设置为2，则表示会分2批次升级组件版本配置，每批次升级2个组件实例。 组件部署方式为CCE容器部署时支持此参数。 单击“升级”。 在“部署日志”区域，可查看部署进展，等待部署完成。

操作步骤 登录ServiceStage控制台。 选择以下任意方式进入组件“概览”页面： 在“应用管理”页面，单击组件所属应用名称，在“组件列表”单击待操作组件名称或者在组件名称上单击右键选择打开组件“概览”页面的方式。 在“组件管理”页面，单击待操作组件名称或者在组件名称上单击右键选择打开组件“概览”页面的方式。 在页面右上角，单击“升级”。 “升级类型”选择“滚动发布”。 单击“下一步”，参考下表设置组件版本配置信息，其中带“*”标志的参数为必填参数。 参数 说明 技术栈 固定为创建并部署组件时选择的技术栈。 *YAML模式 部署环境为Kubernetes类型时，支持选择使用YAML配置来升级组件。 选择关闭：使用界面配置来升级组件。 选择开启：使用YAML配置来升级组件，从部署了待升级组件的CCE自动同步组件最新负载信息用于修改后升级组件。您也可以单击“导入YAML文件”，导入已经编辑好的待升级组件YAML配置文件。 说明： 使用YAML配置来升级组件，组件YAML配置文件中各参数的说明请参考Deployment。 *软件包/镜像 固定为创建并部署组件时选择的组件来源。 “YAML模式”选择关闭：选择“源码仓库”，参考仓库授权创建授权，设置代码来源；选择软件包或者镜像包，则固定为创建并部署组件时选择的软件包类型（Jar、War、Zip）或者镜像包类型。由您选择的技术栈类型决定，具体情况请参考表1。 “YAML模式”选择开启：选择“源码仓库”，参考仓库授权创建授权，设置代码来源；选择软件包，则固定为创建并部署组件时选择的软件包类型（Jar、War、Zip）。由您选择的技术栈类型决定，具体情况请参考表1。 *上传方式 “YAML模式”选择关闭：选择软件包或者镜像包，重新选择已上传的软件包/镜像包，上传方式请参考组件来源说明。 “YAML模式”选择开启：选择软件包，重新选择已上传的软件包，上传方式请参考组件来源说明。 *编译命令 “YAML模式”选择关闭、组件来源是“源码仓库”、部署环境为Kubernetes类型且所选择的技术栈类型为Java、Tomcat、Node.js、Python、Php时支持设置“编译命令”。 使用默认命令或脚本：优先执行代码根目录下的build.sh，不存在则按照所选语言的通用方法编译，如Java语言的mvn clean package。 使用自定义命令：根据所选语言自定义编译命令，或修改build.sh文件后选择使用默认命令或脚本。 须知： 选择“使用自定义命令”时，请在echo、cat、debug命令中慎用敏感信息或者进行敏感信息加密，以免造成敏感信息泄露。 在项目子目录下执行编译命令，需先进入项目子目录，再执行其余脚本命令。例如： cd ./weather/ mvn clean package *Dockerfile地址 “YAML模式”选择关闭、组件来源是“源码仓库”、部署环境为Kubernetes类型且所选择的技术栈类型为Java、Tomcat、Node.js、Python、Php时支持设置“Dockerfile地址”。 “Dockerfile地址”即Dockerfile文件相对于项目的根目录（./）所在的目录，Dockerfile文件用于镜像构建。 如果未指定“Dockerfile地址”，默认查找项目根目录下的Dockerfile；如果项目根目录下也没有Dockerfile文件，则根据选定的运行环境自动生成Dockerfile。 *组件版本 组件版本号，支持自动生成和自定义版本号。 自动生成版本号：单击“自动生成”，默认以您单击“自动生成”时的时间来生成版本号，格式为yyyy.mmdd.hhmms，s取时间戳中秒数的个位值。例如：时间戳为2022.0803.104321，则版本号为2022.0803.10431。 自定义版本号：输入格式为A.B.C或者A.B.C.D，A、B、C、D为自然数。例如，1.0.0或者1.0.0.0。 须知： 自定义版本号需唯一，请勿与该组件的历史版本号重复。 资源 “YAML模式”选择关闭、组件部署方式为CCE容器部署时可设置。 组件无法调度到剩余资源小于申请值的节点上，配置方法请参考资源限制指南。 可以根据需要自定义“CPU配额”和“内存配额”，修改组件运行可以使用的最大/最小CPU核数（Core）和内存数量（GiB）。如需修改，请勾选待修改项后输入新的配置值。 不勾选，表示不限制。 环境变量 组件部署方式为虚拟机部署时可设置，请参考设置组件环境变量。 JVM参数 “YAML模式”选择关闭或者组件部署方式为虚拟机部署、技术栈类型选择Java/Tomcat时可设置，用于配置Java代码运行时的内存参数大小。 输入JVM参数，如-Xms256m -Xmx1024m，多个参数以空格间隔，不填则为空。 Tomcat配置 “YAML模式”选择关闭或者组件部署方式为虚拟机部署、技术栈类型选择Tomcat时可设置，用于配置Tomcat请求路径、端口号等参数。 勾选“Tomcat配置”，弹出“Tomcat配置”对话框。 单击“使用示例模板”，根据业务要求编辑模板文件。 说明： Tomcat配置，使用默认server.xml配置，上下文路径是"/"，没有指定应用路径。 如需自定义应用路径，请参考定制Tomcat Context path。 单击“确定”。 高级设置 “YAML模式”选择关闭、组件部署方式为CCE容器部署时可设置。 请参考13，设置“微服务引擎”、“组件配置”、“部署配置”、“运维监控”参数。 *分几批部署 组件部署方式为CCE容器部署时可设置。 表示分几个批次升级组件实例，取值范围为[1, 总实例数]。总实例数，即组件当前运行的实例数量。 例如，组件总实例数为4，“分几批部署”参数设置为2，则表示会分2批次升级组件版本配置，每批次升级2个组件实例。 单击“升级”。 等待组件状态由“升级/回滚中”转换为“运行中”，表示已成功完成组件版本配置升级。

操作步骤 登录ServiceStage控制台。 选择以下任意方式进入组件“概览”页面： 在“应用管理”页面，单击组件所属应用名称，在“组件列表”单击待操作组件名称或者在组件名称上单击右键选择打开组件“概览”页面的方式。 在“组件管理”页面，单击待操作组件名称或者在组件名称上单击右键选择打开组件“概览”页面的方式。 在页面右上角，单击“升级”。 “升级类型”选择“灰度发布（金丝雀）”。 单击“下一步”，参考下表设置组件版本配置信息，其中带“*”标志的参数为必填参数。 通过本操作执行组件微服务灰度发布升级过程中，请勿同时通过CSE执行组件微服务灰度发布，否则会导致本操作失效。 通过CSE执行组件微服务灰度发布，请参考灰度发布。 参数 说明 技术栈 固定为创建并部署组件时选择的技术栈。 *软件包/镜像 固定为创建并部署组件时选择的组件来源。 选择“源码仓库”，参考仓库授权创建授权，设置代码来源。 选择软件包或者镜像包，则固定为创建并部署组件时选择的软件包类型（Jar、War、Zip）或者镜像包类型。由您选择的技术栈类型决定，具体情况请参考表1。 *上传方式 选择软件包或者镜像包，重新选择已上传的软件包/镜像包，上传方式请参考组件来源说明。 *编译命令 组件来源是“源码仓库”、部署环境为Kubernetes类型且所选择的技术栈类型为Java、Tomcat、Node.js、Python、Php时支持设置“编译命令”。 使用默认命令或脚本：优先执行代码根目录下的build.sh，不存在则按照所选语言的通用方法编译，如Java语言的mvn clean package。 使用自定义命令：根据所选语言自定义编译命令，或修改build.sh文件后选择使用默认命令或脚本。 须知： 选择“使用自定义命令”时，请在echo、cat、debug命令中慎用敏感信息或者进行敏感信息加密，以免造成敏感信息泄露。 在项目子目录下执行编译命令，需先进入项目子目录，再执行其余脚本命令。例如： cd ./weather/ mvn clean package *Dockerfile地址 组件来源是“源码仓库”、部署环境为Kubernetes类型且所选择的技术栈类型为Java、Tomcat、Node.js、Python、Php时支持设置“Dockerfile地址”。 “Dockerfile地址”即Dockerfile文件相对于项目的根目录（./）所在的目录，Dockerfile文件用于镜像构建。 如果未指定“Dockerfile地址”，默认查找项目根目录下的Dockerfile；如果项目根目录下也没有Dockerfile文件，则根据选定的运行环境自动生成Dockerfile。 *组件版本 组件版本号，支持自动生成和自定义版本号。 自动生成版本号：单击“自动生成”，默认以您单击“自动生成”时的时间来生成版本号，格式为yyyy.mmdd.hhmms，s取时间戳中秒数的个位值。例如：时间戳为2022.0803.104321，则版本号为2022.0803.10431。 自定义版本号：输入格式为A.B.C或者A.B.C.D，A、B、C、D为自然数。例如，1.0.0或者1.0.0.0。 须知： 自定义版本号需唯一，请勿与该组件的历史版本号重复。 资源 组件无法调度到剩余资源小于申请值的节点上，配置方法请参考资源限制指南。 可以根据需要自定义“CPU配额”和“内存配额”，修改组件运行可以使用的最大/最小CPU核数（Core）和内存数量（GiB）。如需修改，请勾选待修改项后输入新的配置值。 不勾选，表示不限制。 JVM参数 技术栈类型选择Java/Tomcat时可设置，用于配置Java代码运行时的内存参数大小。 输入JVM参数，如-Xms256m -Xmx1024m，多个参数以空格间隔，不填则为空。 Tomcat配置 技术栈类型选择Tomcat时可设置，用于配置Tomcat请求路径、端口号等参数。 勾选“Tomcat配置”，弹出“Tomcat配置”对话框。 单击“使用示例模板”，根据业务要求编辑模板文件。 说明： Tomcat配置，使用默认server.xml配置，上下文路径是"/"，没有指定应用路径。 如需自定义应用路径，请参考定制Tomcat Context path。 单击“确定”。 高级设置 请参考13设置“组件配置”、“部署配置”、“运维监控”参数。 灰度策略 灰度流量比例：引入到新版本的流量比例。 当前流量比例：引入到当前版本的流量比例。 *首批灰度实例数量 首批灰度发布的实例数量，取值范围为[1, 当前总实例数-1]。当前总实例数，即组件当前运行的实例数量。 例如，当前组件总实例数为6，“首批灰度实例数量”参数设置为1，则表示首批升级组件版本配置的实例数量为1。 剩余实例部署批次 首批灰度发布成功之后，剩余实例滚动升级分多少批次完成。 例如，当前组件总实例数为6，“首批灰度实例数量”参数设置为1，且“剩余实例部署批次”设置为3。则当前剩余实例数为5，那么升级剩余实例会按照2:2:1个实例分批升级。 单击“升级”。 等待组件状态由“升级/回滚中”转换为“运行中”，表示已成功完成组件版本配置升级。

后续操作 操作 说明 查看系统监控 通过灰度发布（金丝雀）升级组件版本配置时，首批灰度发布完成后，选择“系统监控”页签，可以监控灰度版本和当前版本实例的CPU、内存使用情况。 滚动升级剩余实例 通过灰度发布（金丝雀）升级组件版本配置时首批灰度发布成功且验证新版本功能正常后，如需升级剩余组件实例版本到新版本，请执行以下操作： 选择“灰度发布（金丝雀）”类型的“部署记录”。 单击“滚动升级剩余实例”。 在弹出对话框，单击“确定”。 按照5设置的升级策略升级剩余的实例到新版本。 回滚组件版本配置 下列情况支持回滚组件版本配置： 通过灰度发布（金丝雀）升级组件版本配置时首批灰度发布完成后 组件全部实例的版本配置升级到新版本后 回滚到升级前组件版本配置，请参考回滚组件版本配置。 重新部署组件 根据业务需要，您可以在“部署记录”列表中选择历史版本配置，并以此版本配置为模板，重新部署组件，请参考重新部署组件。

操作场景 漏洞是攻击者入侵企业系统的主要手段之一，攻击者可以利用漏洞获取系统权限、窃取敏感信息或者破坏系统功能。完成漏洞整改可以有效地提高系统的安全性，预防潜在的攻击。 安全云脑 提供漏洞修复帮助用户针对配置隐患和系统漏洞进行排查。安全云脑的漏洞管理分为Linux漏洞、Windows漏洞、Web-CMS漏洞、应用漏洞进行管理。 Linux漏洞：内含常见Linux系统以及组件的各类漏洞，如内核漏洞、组件漏洞等。 Windows漏洞：内含Windows系统最新漏洞以及补丁。 Web-CMS漏洞：内含常见web-cms框架漏洞信息，如phpmyadmin等。 应用漏洞：内含常见应用类型漏洞，如fastjson、log4j2等。

权限维持典型告警 描述： 攻击者入侵成功后会进行权限维持获得持久权限，通常采用反弹shell、上传木马等方式进行权限维持。 安全云脑现有模型：主机-反弹shell、主机-恶意程序、网络-检测异常连接行为，曾多次发现异常权限转发、控制行为，帮助我们及时处理相关问题，避免导致数据泄露、系统崩溃、网络瘫痪等严重后果。 图8 主机-恶意程序 处理方案： 联系所属主机的责任人，登录到主机上停止恶意程序并删除恶意文件，同时进一步排查是否存在可疑进程，是否开放了可疑端口，是否有可疑连接等，并进一步检查自启动项，避免遗留，此外可以结合其他方式进行综合判断。

尝试攻击典型告警 描述： 黑客进行尝试攻击利用web应用程序的漏洞或缺陷进行攻击，可能会造成信息泄露、网站瘫痪、恶意软件传播、网站篡改等。 安全云脑现有模型：应用-WAF关键攻击告警、网络-检测黑客工具攻击、网络-登录爆破告警、应用-疑似存在Shiro漏洞、应用-疑似存在log4j2漏洞、网络-疑似存在DOS攻击、应用-疑似存在 Java框架通用代码执行漏洞、应用-疑似存在fastjson漏洞等，可以针对于现在主流Web攻击漏洞进行检测。 图3 应用-疑似存在log4j2漏洞 图4 应用-WAF关键攻击告警 处理方案： 需要联系业务责任人，排查Web服务器是否存在相关漏洞，确认是否攻击成功。若存在漏洞，应及时修改漏洞并加固安全；若攻击成功，可结合威胁情报对攻击IP进行拦截。

入侵成功典型告警 描述： 命令注入、暴力破解成功、异常shell、异地登录、恶意软件(蠕虫、病毒、木马)、高危命令执行等等，往往是入侵成功的标志。 安全云脑现有模型：网络-命令注入告警、主机-暴力破解成功、主机-异常shell、主机-异地登录、网络-恶意软件 [蠕虫、病毒、木马]、主机-进程和端口信息隐匿、主机-异常文件属性修改等多个模型，可以成功快速识别恶意行为，帮助我们对事件进行快速定位，快速相应。 图5 主机-暴力破解成功 图6 网络-恶意软件 [蠕虫、病毒、木马]

防御绕过典型告警 描述： 当攻击者通过操作系统或应用程序中的安全漏洞获得系统的root权限后，攻击者会在侵入的主机中安装rootkit，常见的方式是通过加载特殊的驱动（windows）、安装内核模块（Linux）来修改系统内核，进而达到隐藏、操纵、收集数据等目的。在ATT&CK网站，Rootkit被列入Defense Evasion大类，即规避防御，其最终目的还是为了规避一些安全服务/软件的检测。 安全云脑现有模型：主机-恶意文件执行、主机-rootkit事件，可以精准发现相关事件，快速进行告警减少失分。 图7 主机-rootkit事件 处理方案： 检测出恶意程序安装，建议您立即确认该程序安装是否正常业务引起。若非正常业务引起，建议您立即登录系统终止该恶意程序安装行为，利用主机安全告警信息全面排查系统风险，避免系统遭受进一步破坏。

横向移动典型告警 描述： 攻击者在已经控制的一台计算机时，会通过横向移动或传播的方式，试图攻击其他计算机或系统，以获取更多的敏感信息或控制权，横向连接是一种常见的网络攻击手段。 安全云脑现有模型：主机-虚拟机横向连接，可以快速识别失陷主机，精准定位受害情况，减少损失。 图9 主机-虚拟机横向连接 处理方案： 建议通过 堡垒机 等审计记录查看该命令是程序执行还是人为操作，若为人为操作，需联系对应操作人确定，若为非正常业务人员操作，需尽快确定该行为是否为异常恶意行为，是否危害到对应虚拟机，及时采取措施，保护计算机和系统的安全。

侦察阶段典型告警 恶意攻击者在对网站进行入侵时通常会进行大量的信息搜集，安全云脑可以通过模型：网络-高危端口对外暴露、应用-源ip进行url遍历、应用-疑似存在源码泄露风险、网络-外部恶意IP扫描等模型对即将来到的恶意攻击进行提前预判。 图1 网络-高危端口对外暴露 图2 应用-源ip进行url遍历 处理方案： 记录所有的访问请求和响应，及时发现攻击行为，针对攻击源IP进行限制或者阻断，可以通过配置黑名单策略进行封锁。

持久化控制典型告警 描述： 黑客入侵成功后会在系统中留下的一个漏洞或隐藏的入口如修改计划任务等操作，攻击者可以利用这个漏洞或入口来绕过系统的安全防护措施，快速连接并获得系统的控制权。 安全云脑现有模型：网络-后门、主机-恶意定时任务写入，可以防止黑客持久化控制进行长期的数据窃取、恶意软件传播、权限维持、挖矿等行为操作。 图10 网络-后门 处理方案： 断开网络连接。首先应该立即断开与互联网的连接，防止后门进一步传播或者窃取您的敏感信息。 使用杀毒软件进行扫描。您可以使用杀毒软件进行扫描和清除后门，确保系统的安全性。如果您没有安装杀毒软件，可以通过其他计算机下载杀毒软件并将其拷贝到感染的计算机上运行。 更新操作系统和软件。更新可以修复已知的漏洞和安全问题，提高系统的安全性。 查找和删除可疑文件。您可以查找和删除可疑文件，例如未知的程序或脚本文件，这些文件可能是后门的入口。

主机加固 主机加固是针对项目主机、网络、集群等相关方面的加固检查。 主机是针对业务开放的端口进行扫描，对高危端口进行告警。 图5 主机高危端口暴露检查 集群只针对CCE集群，针对集群有安全漏洞风险的版本，建议进行升级。 网络针对包含不同VPC之前的互联和出口网关设备，建议是不同VPC之间没有进行任何的交互。如果因客观原因无法满足的，请单击“忽略”检查项。 图6 CCE集群Kubernetes版本检查

敏感信息排查 敏感信息是 对象存储服务 （Object Storage Service，OBS）、ES、云数据库（Relational Database Service，RDS）中的数据，结合 数据安全中心 （Data Security Center，DSC）服务，进行敏感信息排查。 执行基线检查后，可以单击对应基线检查项目的“查看详情”，在详情页会列出来所有涉及的存储资产，需要根据加固建议对有敏感信息的数据进行整改。需要注意的是整改数据是高危操作，需要根据业务场景需求判断之后进行处置。 图2 OBS中敏感信息检查 例如，OBS桶的拥有者可以通过桶ACL授予指定帐号或用户组特定的访问权限。所以，所有OBS桶尽量都控制好对应的访问权限，不要对匿名用户赋予桶访问权限或者ACL访问权限。同样，OBS服务端加密也是为了保证数据安全性的配置，在数据存储时使用服务端加密将 数据加密 成密文后存储。 图3 OBS桶的ACL权限检查

操作场景 安全云脑支持根据基线检查计划检查您的服务基线配置是否存在风险，提供了“安全上云合规检查1.0”、“等保2.0三级要求”、“护网检查”三大类别的检查规范。 护网/重保期间推荐使用“安全上云合规检查1.0”和“护网检查”两个规范。 检查之后分类呈现云服务配置检测结果，告警提示存在安全隐患的配置，并提供相应配置加固建议和帮助指导。 所有检查项检查完成之后进入详情页面，不合格检查项按照加固建议进行修复，特别是靶标，通过资产搜索，清零不合格检查项。同时，配置检查计划，每天定时扫描刷新结果。 另外，除了基线检查内置的检查项，护网/重保期间也可以针对自己的业务场景，通过安全模型自定义自己的检查机制，通过告警通知触发跟踪，具体详情请参见安全运营策略调整。

执行管道 表1 选择执行管道 告警模板 需要选择的执行管道 应用-WAF关键攻击告警 sec-waf-attack 网络-高危端口对外暴露 sec-nip-attack 应用-源ip进行url遍历 sec-waf-access 应用-疑似存在源码泄露风险 sec-waf-access 网络-外部恶意IP扫描 sec-cfw-block 网络-检测黑客工具攻击 sec-nip-attack 网络-登录爆破告警 sec-nip-attack 网络-僵尸网络 sec-nip-attack 应用-疑似存在Shiro漏洞 sec-waf-attack 应用-疑似存在log4j2漏洞 sec-waf-attack 网络-疑似存在DDoS攻击 sec-cfw-block 应用-疑似存在 Java框架通用代码执行漏洞 sec-waf-attack 网络-命令注入告警 sec-nip-attack 主机-暴力破解成功 sec-hss-alarm 主机-异常shell sec-hss-alarm 主机-异地登录 sec-hss-alarm 网络-恶意软件 [蠕虫、病毒、木马] sec-nip-attack 主机-进程和端口信息隐匿 sec-hss-log 主机-异常文件权限修改 sec-hss-log 主机-异常文件属性修改 sec-hss-log 主机-恶意文件下载 (挖矿) sec-hss-log 主机-rootkit事件 sec-hss-alarm 主机-恶意文件执行 sec-hss-log 主机-反弹shell sec-hss-alarm 主机-恶意程序 sec-hss-alarm 主机-虚拟机横向连接 sec-hss-log 网络-后门 sec-nip-attack 主机-恶意定时任务写入 sec-hss-log

服务含义区别 安全云脑（SecMaster）是华为云原生的新一代安全运营中心，集华为云多年安全经验，基于云原生安全，提供云上资产管理、安全态势管理、安全信息和事件管理、安全编排与自动响应等能力，可以鸟瞰整个云上安全，精简 云安全 配置、云防护策略的设置与维护，提前预防风险，同时，可以让 威胁检测 和响应更智能、更快速，帮助您实现一体化、自动化安全运营管理，满足您的安全需求。 主机安全服务（Host Security Service，HSS）是以工作负载为中心的安全产品，集成了主机安全、 容器安全 和网页防篡改，旨在解决混合云、多云数据中心基础架构中服务器工作负载的独特保护要求。 简而言之，SecMaster是呈现全局安全态势的服务，HSS是提升主机和容器安全性的服务。

服务功能区别 SecMaster通过采集全网安全数据（包括HSS、WAF、AntiDDoS等安全服务检测数据），提供云上资产管理、安全态势管理、安全信息和事件管理、安全编排与自动响应等能力，帮助您实现一体化、自动化安全运营管理，满足您的安全需求。 HSS通过在主机中安装Agent，使用AI、机器学习和深度算法等技术分析主机中风险，并从HSS云端防护中心下发检测和防护任务，全方位保障主机安全。同时可从可视化控制台，管理主机Agent上报的安全信息。 表1 SecMaster与HSS主要功能区别 功能项 共同点 不同点 资产安全 主机资产 呈现主机资产的整体安全状态。 SecMaster：仅支持同步HSS主机资产风险信息，列表呈现各主机资产的整体安全状况。 HSS：不仅支持呈现主机的安全状况，还支持深度扫描主机中的账号、端口、进程、Web目录、软件信息和自启动任务。 网站资产 - SecMaster：支持检查和扫描网站安全状态，列表呈现各网站资产的整体安全状况。 HSS：不支持该功能。 漏洞管理 应急漏洞公告 - SecMaster：支持同步华为云安全公告信息，及时获取热点安全讯息。 HSS：不支持该功能。 主机漏洞 呈现主机 漏洞扫描 结果，管理主机漏洞。 SecMaster：仅支持同步HSS主机漏洞扫描结果，管理主机漏洞。 HSS：支持检测Linux漏洞、Windows漏洞、Web-CMS漏洞、应用漏洞，提供漏洞概览，包括主机漏洞检测详情、漏洞统计、漏洞类型分布、漏洞TOP5和风险服务器TOP5，帮助您实时了解主机漏洞情况。 基线检查 云服务基线 - SecMaster：针对华为云服务关键配置项，从“安全上云合规检查1.0”、“等保2.0三级要求”、“护网检查”风险类别，了解云服务风险配置的所在范围和风险配置数目。 HSS：不支持该功能。 主机基线 - SecMaster：不支持该功能。 HSS：针对主机，提供基线检查功能，包括检测复杂策略、弱口令及配置详情，包括对主机配置基线通过率、主机配置风险TOP5、主机弱口令检测、主机弱口令风险TOP5的统计。

为什么没有看到攻击数据或者看到的攻击数据很少？ 安全云脑支持检测云上资产遭受的各类攻击，并进行客观的呈现。 但是，如果您的云上资产在互联网上的暴露面非常少（所谓“暴露面”是指资产可被攻击或利用的风险点，例如，端口暴露和弱口令都可能成为风险点），那么遭受到攻击的可能性也将大大降低，所以，安全云脑可能会显示您的系统当前遭受的攻击程度较低。 如果您认为安全云脑未能真实反映系统遭受攻击的状况，欢迎您向客服反馈问题。 父主题： 产品咨询

SDK列表 表1提供了CCM服务支持的SDK列表，您可以在GitHub仓库查看SDK更新历史、获取安装包以及查看指导文档。 表1 SDK列表 编程语言 Github地址 参考文档 Java huaweicloud-sdk-java-v3 Java SDK使用指导 Python huaweicloud-sdk-python-v3 Python SDK使用指导 Go huaweicloud-sdk-go-v3 Go SDK使用指导

步骤3：创建预测分析项目 确保数据集创建完成且可正常使用后，在ModelArts管理控制台，在左侧导航栏中选择“自动学习”。 在“自动学习”页面，单击“预测分析”区域的“创建项目”。 图2 创建项目 在创建预测分析页面，计费模式默认“按需计费”，参考表4填写相应参数。 图3 参数填写 表4 参数说明 参数 说明 “名称” 项目的名称。 名称只能包含数字、字母、下划线和中划线，长度不能超过64位且不能为空。 名称请以字母开头。 名称不允许重复。 “描述” 对项目的简要描述。 “数据集” 下拉选择步骤2已创建好的数据集（默认为下拉数据集列表中的第一个数据集）。 “标签列” 标签列是预测模型的输出。模型训练步骤将使用全部信息训练预测模型，该模型以其他列的数据为输入，以标签列的预测值为输出。部署上线步骤将使用预测模型发布在线预测服务。本案例中标签列选择attr_7。 “输出路径” 选择表3中的数据集输出位置。 说明： “输出路径”是存储自动学习在运行过程中所有产物的路径。 “训练规格” 选择自动学习训练节点所使用的资源规格，将会根据不同的规格计费。 GPU: 8*NVIDIA-V100(32GB) | CPU: 72 核 512GB GPU: 1*NVIDIA-V100(32GB) | CPU: 8 核 64GB CPU：2核8GB CPU:8核32GB 单击“创建项目”，预测分析项目创建成功后页面自动跳转到自动学习运行总览页面。

步骤4：运行工作流 在自动学习的总览页面，预测分析项目的工作流，将依次运行如下节点： 数据集版本发布：将已完成确认的数据进行版本发布。 数据校验：对您的数据集中的数据进行校验，是否存在数据异常。 请确保您的表格数据集中的数据的正确性，以及数据的有效性，有效数据不得少于100行，否则会导致数据校验失败。 若数据校验异常，请单击“实例详情”，跳转至训练作业详情页，查看训练报错日志定位处理报错问题，若仍未解决可联系华为技术工程师。 预测分析：将发布好的数据集版本进行训练，生成对应的模型。 模型注册：将训练后的结果注册到模型管理中。 服务部署：将生成的模型部署为在线服务。 您需要做的是： 待节点运行至“服务部署”时，节点状态会变为“等待输入”，请填写以下两个参数，其他参数保持默认值。 计算节点规格：根据您的实际需求选择相应的规格，不同规格的配置费用不同。 是否自动停止：默认为关闭状态。为了避免资源浪费，请打开该开关，根据您的需求，选择自动停止时间，也可以自定义自动停止时间。 输入参数填写的资源为按需计费，为避免产生非必要的费用：请务必确保您的“自动停止”开关已打开。 图4 用户输入 参数填写完毕之后，单击运行状况右边的“继续运行”，单击确认弹窗中的“确定”请您耐心等待十分钟左右，工作流便可运行完成。 图5 继续运行

步骤1：准备数据 本示例使用的数据集来自UCI的Machine Learning Repository，数据集介绍请参见Bank Maketing Data Set。数据集的基本信息可参见表1和表2，您可以从Github获取数据集并上传至OBS中。 从gitee下载ModelArts-Lab工程，并在“ModelArts-Lab”工程中的“\ModelArts-Lab-master\official_examples\Using_ModelArts_to_Create_a_Bank_Marketing_Application\data”目录下获取训练数据文件“train.csv”。 将“train.csv”文件上传至OBS，例如“test-modelarts/bank-marketing”。OBS上传文件的操作指导，请参见上传文件。 表1 数据源的具体字段及意义 字段名 含义 类型 描述 attr_1 年龄 String 表示客户的年龄。 attr_2 职业 String 表示客户所从事的职业。 attr_3 婚姻情况 String 表示客户是否结婚或已离异。 attr_4 教育情况 String 表示客户受教育的程度。 attr_5 房产情况 String 表示客户名下是否有房产。 attr_6 贷款情况 String 表示客户名下是否有贷款。 attr_7 存款情况 String 表示客户名下是否有存款。 源数据中不包含表头，本案例中定义源数据的第一列至第7列名称分别为attr_1~attr_7，其中最后一列attr_7代表预测列。 表2 数据集样本数据 attr_1 attr_2 attr_3 attr_4 attr_5 attr_6 attr_7 31 blue-collar married secondary yes no no 41 management married tertiary yes yes no 38 technician single secondary yes no no 39 technician single secondary yes no yes 39 blue-collar married secondary yes no no 39 services single unknown yes no no

步骤3：运行工作流 项目完成创建之后，会自动跳转到新版自动学习的运行总览页面。同时您的工作流会自动从数据标注节点开始运行。您需要做的是： 在数据标注节点，待数据标注节点变为橘色即为“等待操作”状态，双击数据标注节点，打开数据标注节点的运行详情页面，单击“继续运行”。 在弹窗中，单击“确定”，工作流会继续从数据标注节点依次运行到服务部署节点。该段时间不需要用户做任何操作。 图6 确认继续运行 当工作流运行到“服务部署”节点，状态会变为“等待输入”，需要选择填写以下两个参数，其他参数均为默认值，保持不变： 计算节点规格：根据您的实际需求选择相应的规格，不同规格的配置费用不同，价格详情请参见价格详情。 是否自动停止：为避免资源浪费，建议打开自动停止开关，根据您的实际需要，选择自动停止时间，也可以自定义自动停止的时间。 图7 用户输入 参数填写完毕之后，单击运行状况右边的“继续运行”，单击确认弹窗中的“确定”即可继续完成工作流的运行。 图8 继续运行

Database设计建议 【规则】在实际业务中，根据需要创建新的Database，不建议直接使用数据库实例默认的postgres数据库。 【建议】一个数据库实例内，用户自定义的Database数量推荐值为3个，不建议超过10个。用户自定义的Database数量过多会导致升级、备份等运维操作的效率降低。 【建议】为了适应全球化的需求，使数据库编码能够存储与表示绝大多数的字符，建议创建Database的时候使用UTF-8编码。 【关注】创建Database时，需要重点关注字符集编码(ENCODING)和兼容性(DBCOMPATIBILITY)两个配置项。 GaussDB 支持A、B、C和PG四种兼容模式，分别表示兼容O语法、MY语法、TD语法和POSTGRES语法，不同兼容模式下的语法行为存在一定差异，默认为A兼容模式。 【关注】Database的owner默认拥有该Database下所有对象的所有权限，包括删除权限。删除权限影响较大，请谨慎使用。