华为云用户手册

安全组规则修改（可选） 该解决方案使用22端口用来远程登录弹性云服务器 E CS ，默认对该方案创建的VPC子网网段放开，请参考修改安全组规则，配置IP地址白名单，以便能正常访问服务。 安全组实际是网络流量访问策略，包括网络流量入方向规则和出方向规则，通过这些规则为安全组内具有相同保护需求并且相互信任的云服务器、云容器、云数据库等实例提供安全保护。 如果您的实例关联的安全组策略无法满足使用需求，比如需要添加、修改、删除某个TCP端口，请参考以下内容进行修改。 添加安全组规则：根据业务使用需求需要开放某个TCP端口，请参考添加安全组规则添加入方向规则，打开指定的TCP端口。 修改安全组规则：安全组规则设置不当会造成严重的安全隐患。您可以参考修改安全组规则，来修改安全组中不合理的规则，保证云服务器等实例的网络安全。 删除安全组规则：当安全组规则入方向、出方向源地址/目的地址有变化时，或者不需要开放某个端口时，您可以参考删除安全组规则进行安全组规则删除。

约束与限制 部署该解决方案之前，需注册华为账户并开通华为云，完成实名认证，且账号不能处于欠费或冻结状态，请根据 资源和成本规划 预估价格，确保余额充足。 如果计费模式选择“包年包月”，请确保账户余额充足以便一键部署资源的时候可以自动支付；或者在一键部署的过程进入费用中心，找到“待支付订单”并手动完成支付。 该解决方案部署成功后，搭建Kuboard-Spray平台环境大约用时10分钟，完成后方可参考开始使用进行验证。

快速部署 本章节主要帮助用户快速部署“基于 Kubernetes 的微服务管理界面”解决方案。 表1 参数填写说明 参数名称 类型 是否必填 参数解释 默认值 vpc_name String 必填 虚拟私有云名称，该模板新建VPC，不允许重名。取值范围：1-57个字符，支持数字、字母、中文、_(下划线)、-（中划线）、.（点）。 deploying-and-managing-kubernetes-clusters_demo secgroup_name String 必填 安全组名称，该模板新建安全组，安全组规则请参考安全组规则修改（可选）。取值范围：1-64个字符，支持数字、字母、中文、_(下划线)、-（中划线）、.（点）。 deploying-and-managing-kubernetes-clusters_demo ecs_name String 必填 弹性云服务器名称，不允许重名。取值范围：1-60个字符，支持字母、数字、中文、下划线（_）、中划线（-）、英文句号（.）。 deploying-and-managing-kubernetes-clusters_demo ecs_flavor String 必填 弹性云服务器规格，请使用2vCPUs|4GiB及其以上规格。具体规格请参考官网弹性云服务器规格清单。 c7.large.2 ecs_password String 必填 弹性云服务器初始密码，创建完成后，请参考重置ECS实例密码登录ECS控制台修改密码。取值范围：长度为8-26位，密码至少必须包含大写字母、小写字母、数字和特殊字符（!@$%^-_=+[{}]:,./?）中的三种，密码不能包含用户名或用户名的逆序。管理员账户为root。 空 sys_disk_size number 必填 指定系统盘大小，以GB为单位，取值范围为40～1024，不支持缩盘。 200 charging_mode String 必填 计费模式，默认自动扣费，取值为prePaid（包年包月）或postPaid（按需计费）。 postPaid charging_unit String 选填 包年包月。有效值为“year”或“month”。当charging_mode（计费模式）为prePaid时，此选项为必填项。 month charging_period number 选填 包年包月时长，当charging_unit取值为“year”,取值范围为1～3;取值为“month”,取值范围为1～9。当charging_mode（计费模式）为prePaid时，此选项为必填项。 1 eip_bandwidth_size number 必填 弹性公网IP带宽大小，该模板采用按带宽计费。取值范围为1～2000Mbit/s。 5 登录 华为云解决方案实践 ，选择"基于 Kubernetes 的微服务管理界面"模板，单击“一键部署”，跳转至解决方案创建堆栈界面。 图1 解决方案实施库 在选择模板界面中，单击“下一步”。 图2 选择模板 在配置参数界面中，参考表1 参数填写说明完成自定义参数填写，单击“下一步”。 图3 配置参数 在资源设置界面中，在权限委托下拉框中选择“rf_admin_trust”委托，单击“下一步”。 图4 资源栈设置 在配置确认界面中，单击“创建执行计划”。 图5 配置确认 在弹出的创建执行计划框中，自定义填写执行计划名称，单击“确定”。 图6 创建执行计划 单击“部署”，并且在弹出的执行计划确认框中单击“执行”。 图7 执行计划 图8 执行计划确认 （可选）如果计费模式选择“包年包月”，在余额不充足的情况下（所需总费用请参考2-表 资源和成本规划（包年包月））请及时登录费用中心，手动完成待支付订单的费用支付。 待“事件”中出现“Apply required resource success”，表示该解决方案已经部署完成。 图9 部署完成 图10 查看公网IP 父主题： 实施步骤

创建rf_admin_trust委托 进入华为云官网，打开控制台管理界面，鼠标移动至个人账号处，打开“ 统一身份认证 ”菜单。 图1 控制台管理界面 图2 统一身份认证菜单 进入“委托”菜单，搜索“rf_admin_trust”委托。 图3 委托列表 如果委托存在，则不用执行接下来的创建委托的步骤 如果委托不存在时执行接下来的步骤创建委托 单击步骤2界面中的“创建委托”按钮，在委托名称中输入“rf_admin_trust”，选择“云服务”，选择“ RFS ”，单击“下一步”。 图4 创建委托 在搜索框中输入“Tenant Administrator”权限，并勾选搜索结果。 图5 选择策略 选择“所有资源”，并单击下一步完成配置。 图6 设置授权范围 “委托”列表中出现“rf_admin_trust”委托则创建成功。 图7 委托列表

创建rf_amdin_trust委托 进入华为云官网，打开控制台管理界面，鼠标移动至个人账号处，打开“统一身份认证”菜单。 图1 控制台管理界面 图2 统一身份认证菜单 进入“委托”菜单，搜索“rf_admin_trust”委托。 图3 委托列表 如果委托存在，则不用执行接下来的创建委托的步骤 如果委托不存在时执行接下来的步骤创建委托 单击步骤2界面中的“创建委托”按钮，在委托名称中输入“rf_admin_trust”，选择“普通账号”，委托的账号，输入“op_svc_IAC”，单击“下一步”。 图4 创建委托 在搜索框中输入”Tenant Administrator”权限，并勾选搜索结果。 图5 选择策略 选择“所有资源”，并单击下一步完成配置。 图6 设置授权范围 “委托”列表中出现“rf_admin_trust”委托则创建成功。 图7 委托列表

快速部署 本章节主要帮助用户快速部署该解决方案。 表1 参数填写说明 参数名称 类型 是否必填 参数解释 默认值 vpc_name string 必填 虚拟私有云名称，该模板新建VPC，不允许重名。取值范围：1-56个字符，支持数字、字母、中文、_(下划线)、-（中划线）、.（点） cross-vpc-backend-to-elb-demo secgroup_name string 必填 安全组名称，该模板新建安全组，安全组规则请参考安全组规则修改（可选）进行配置。取值范围：1-62个字符，支持数字、字母、中文、_(下划线)、-（中划线）、.（点） cross-vpc-backend-to-elb-demo ecs_name string 必填 弹性云服务器名称，不允许重名。取值范围：1-59个字符组成，包括字母、数字、下划线 (_)、连字符 (-) 和句点 (.) cross-vpc-backend-to-elb-demo ecs_flavor string 必填 弹性云服务器规格，规格请参考官网弹性云服务器规格清单。 s6.small.1 (s6|1vCPUs|1Gib) ecs_password string 必填 弹性云服务器初始密码，创建完成后，请参考重置ECS实例密码登录ECS控制台修改密码。取值范围：长度为8-26位，密码至少必须包含大写字母、小写字母、数字和特殊字符（!@$%^-_=+[{}]:,./?）中的三种，密码不能包含用户名或用户名的逆序。管理员账户为root。 空 charging_mode String 必填 计费模式，默认自动扣费，取值为prePaid（包年包月）或postPaid（按需计费），默认postPaid。 postPaid charging_unit String 必填 有效值为“year”或“month”。当charging_mode（计费模式）为prePaid时，此选项为必填项。 month charging_period number 必填 包年包月时长，当charging_unit取值为“year”,取值范围为1～3；当charging_unit取值为“month”,取值范围为1～9。当charging_mode（计费模式）为prePaid时，此选项为必填项。 1 登录华为云解决方案实践，选择“云上跨VPC添加实例到ELB最佳实践”，跳转至该解决方案一键部署界面。 图1 解决方案实施库 在选择模板界面中，单击“下一步”。 图2 选择模板 在配置参数界面中，自定义填写堆栈名称，参考表 参数填写说明完成自定义参数填写，单击“下一步”。 图3 配置参数 在资源栈设置页面中，权限委托选择“rf_admin_trust”,单击“下一步”。 图4 资源栈设置 在配置确认页面中，单击“创建执行计划”。 图5 配置确认 在弹出的创建执行计划框中，自定义填写执行计划名称，单击“确定”。 图6 创建执行计划 等待执行计划状态为“创建成功，待部署”后，单击“部署”，并且在弹出的执行计划确认框中单击“执行”。 图7 执行计划创建成功 图8 执行计划确认 （可选）如果计费模式选择“包年包月”，在余额不充足的情况下（所需总费用请参考2-表 资源和成本规划（包年包月））请及时登录费用中心，手动完成待支付订单的费用支付。 等待解决方案自动部署。部署成功后，单击“事件”，回显结果如下: 图9 资源创建成功 图10 执行完成 父主题： 实施步骤

名词解释 基本概念、云服务简介、专有名词解释： 函数工作流 FunctionGraph：是一项基于事件驱动的函数托管计算服务。通过函数工作流，只需编写业务函数代码并设置运行的条件，无需配置和管理服务器等基础设施，函数以弹性、免运维、高可靠的方式运行。此外，按函数实际执行资源计费，不执行不产生费用。 统一身份认证服务 IAM ：是华为云提供权限管理、访问控制和身份认证的基础服务，您可以使用IAM创建和管理用户、用户组，通过授权来允许或拒绝对云服务和资源的访问，通过设置安全策略提高账号和资源的安全性，同时IAM为您提供多种安全的访问凭证。 GaussDB (for MySQL)：是华为自研的最新一代高性能企业级分布式关系型数据库，完全兼容MySQL。基于华为最新一代DFV分布式存储，采用计算存储分离架构，最高支持128TB的海量存储，可实现超百万级QPS吞吐，支持跨AZ部署，既拥有商业数据库的性能和可靠性，又具备开源数据库的灵活性。

方案架构 该方案基于华为云函数工作流 FunctionGraph，来帮用户实现一个无服务器的GraphQL API。方案部署架构如下图所示： 图1 方案架构 该解决方案会部署如下资源： 在函数工作流 FunctionGraph上创建一个graphql函数和APIG触发器，实现一个无服务器的GraphQL API。 API网关 APIG，应用将自身的服务能力封装成API，并通过API网关开放给用户调用。 GaussDB(for MySQL)，创建一个mysql数据库实例，供graphql函数查询数据。 VPC 虚拟私有云，为GaussDB mysql数据库实例等云上资源构建隔离、私密的虚拟网络环境。

快速部署 本章节主要帮助用户快速部署“无服务器实现GraphQL”解决方案。 表1 参数填写说明 参数名称 类型 是否可选 参数解释 默认值 api_name String 必填 API名称，该方案使用共享版API网关，对外提供 API服务 。取值范围：3~53个字符，中英文字符开头，只能由中英文字符、数字、中划线（-）、下划线组成（_），中文字符必须是UTF-8或Unicode格式。默认为graphql_demo。 graphql_demo vpc_name string 必填 虚拟私有云名称，该模板使用新建VPC，不支持重名。取值范围：1-57个字符，支持数字、字母、中文、_(下划线)、-（中划线）、.（点）。默认graphql-vpc-demo。 graphql-vpc-demo security_group_name string 必填 安全组名称，该模板使用新建安全组，安全组规则请参考部署指南进行配置。取值范围：1-64个字符，支持数字、字母、中文、_(下划线)、-（中划线）、.（点）。默认graphql-security-group-demo。 graphql-security-group-demo gaussdb_mysql_name string 必填 云数据库 GaussDB(for MySQL)实例名称，取值范围：4-64个字符，必须以字母开头，可以包含字母、数字、中划线（-）或下划线（_），不能包含其他特殊字符。默认：graphql-database-demo。 graphql-database-demo gaussdb_mysql_flavor string 必填 云数据库 GaussDB(for MySQL)实例规格，例如：gaussdb.mysql.xlarge.x86.4（4vCPUs|16GB）、gaussdb.mysql.xlarge.x86.8（4vCPUs|32GB）等，具体规格请参考部署指南。默认：gaussdb.mysql.xlarge.x86.4（4vCPUs|16GB） gaussdb.mysql.xlarge.x86.4 mysql_case_sensitivityone bool 必填 表明大小写是否敏感，默认值false，表示不敏感，否则填true。如果设置为敏感，表格名称将被存储为固定的名称，并且大小写敏感；如果设置为不敏感，表格名称将被存储为小写的名称，并且大小写不敏感。 false mysql_time_zone string 必填 MySQL数据库实例时区。默认时区为UTC。其他时区请参考部署指南设置。 UTC+08:00 mysql_password string 必填 MySQL数据库实例初始化密码，创建完成后，请参考部署指南修改密码。取值范围：长度为8~32个字符，至少包含以下字符中的3种：大写字母、小写字母、数字、特殊字符~!@#%^*-_=+?,()&$的组合。管理员账户名默认为root。 mysql_database_name string 必填 MySQL数据库名称。取值范围：长度可在1～64个字符之间，由字母、数字、下划线组成，且不能包含其他特殊字符。 charge_mode string 必填 计费模式，默认自动扣费，取值为prePaid（包年包月）或postPaid（按需计费），默认postPaid。 postPaid charge_period_unit string 必填 计费周期单位，当计费方式设置为prePaid，此参数是必填项。有效值为：month（包月）和year（包年），默认month。 month charge_period number 必填 计费周期，当计费方式设置为prePaid，此参数是必填项。当计费周期单位设置为month，取值范围为1~9；当计费周期单位设置为year，取值范围为1~3。默认1。 1 登录华为云解决方案实践，选择“无服务器实现GraphQL ”模板，单击“一键部署”跳转至解决方案部署界面。 图1 解决方案实践 在选择模板界面中，单击“下一步”。 图2 选择模板 在配置参数界面中，参考表1完成自定义参数填写，单击“下一步”。 图3 配置参数 在资源设置界面中，在权限委托下拉框中选择“rf_admin_trust”委托，单击“下一步”。 图4 资源栈设置 在配置确认界面中，单击“创建执行计划”。 图5 配置确认 在弹出的创建执行计划框中，自定义填写执行计划名称，单击“确定”。 图6 创建执行计划 单击“部署”，并且在弹出的执行计划确认框中单击“执行”。 图7 执行计划 图8 执行计划确认 （可选）如果计费模式选择“包年包月”，在余额不充足的情况下（所需总费用请参考2-表 资源和成本规划（包年包月））请及时登录费用中心，手动完成待支付订单的费用支付。 待“事件”中出现“Apply required resource success”，表示该解决方案已经部署完成。 图9 部署完成 父主题： 实施步骤

给rf_admin_trust委托添加IAM Agency Management FullAcces策略 打开“统一身份认证”菜单 图11 统一身份认证菜单 进入“委托”菜单，选择rf_admin_trust委托 图12 委托列表 进入“授权记录”菜单，单击“授权”按钮 图13 授权记录 在搜索框输入IAM Agency Management FullAcces，勾选过滤出来的记录，单击下一步，并确认完成权限的配置 图14 配置IAM Agency Management FullAcces策略 配置好后的情况：rf_admin_trust委托拥有Tenant Administrator和IAM Agency Management FullAccess权限 图15 授权记录列表

创建rf_admin_trust委托 进入华为云官网，打开控制台管理界面，鼠标移动至个人账号处，打开“统一身份认证”菜单 图1 控制台管理界面 统一身份认证菜单 进入“委托”菜单，搜索“rf_admin_trust”委托 图2 委托列表 如果委托存在，则不用执行接下来的创建委托的步骤 如果委托不存在时执行接下来的步骤创建委托 单击步骤2界面中的“创建委托”按钮，在委托名称中输入“rf_admin_trust”，委托类型选择“云服务”，输入“RFS”，单击“下一步” 图3 创建委托 在搜索框中输入”Tenant Administrator”权限，并勾选搜索结果 图4 选择策略 选择“所有资源”，并单击下一步完成配置 图5 设置最小授权范围 “委托”列表中出现“rf_admin_trust”委托则创建成功 图6 委托列表

快速部署 本章节主要帮助用户快速部署该解决方案。 登录华为云解决方案实践，选择“企业上 云安全 运维解决方案”模板，单击“一键部署”，跳转至解决方案一键部署界面。 图1 解决方案实施 （可选）如果计费模式选择“包年包月”，在余额不充足的情况下（所需总费用请参考2-表 资源和成本规划（包年包月））请及时登录费用中心，手动完成待支付订单的费用支付。 在推荐套餐一栏中，选择企业上云安全运维，下滑进行参数配置。 图2 选择套餐 在套餐商品配置一栏中， 堡垒机 服务需要选择已经采购的弹性IP用来提供登录，否则需要单独购买弹性IP。配置完成后，单击下一步。 图3 参数配置 在详情界面中，勾选协议，单击“去支付”并确认订单后，即可完成资源创建。 图4 高级配置 父主题： 实施步骤

创建rf_amdin_trust委托 进入华为云官网，打开控制台管理界面，鼠标移动至个人账号处，打开“统一身份认证”菜单。 图1 控制台管理界面 图2 统一身份认证菜单 进入“委托”菜单，搜索“rf_admin_trust”委托。 图3 委托列表 如果委托存在，则不用执行接下来的创建委托的步骤 如果委托不存在时执行接下来的步骤创建委托 单击步骤2界面中右上角的“创建委托”按钮，在委托名称中输入“rf_admin_trust”，选择“普通账号”，委托的账号，输入“op_svc_IAC”，单击“下一步”。 图4 创建委托 在搜索框中输入“Tenant Administrator”权限，并勾选搜索结果。 图5 选择策略 选择“所有资源”，并单击下一步完成配置。 图6 设置授权范围 “委托”列表中出现“rf_admin_trust”委托则创建成功。 图7 委托列表

快速部署 本章节主要帮助用户快速部署该解决方案。 表1 参数填写说明 参数名称 类型 是否必填 参数解释 默认值 vpc_name String 必填 虚拟私有云名称及其他云服务资源前缀，该模板使用新建VPC，不允许重名。取值范围：1-54个字符，支持中文、英文字母、数字、_（下划线）、-（中划线）、.（点）。 tongweb-app-server secgroup_name String 必填 安全组名称，该模板新建安全组。取值范围：1-64个字符，支持数字、字母、中文、_(下划线)、-（中划线）、.（点）。 tongweb-app-server ecs_name String 必填 弹性云服务器名称，不支持重名。命名方式为{ecs_name}-数字，取值范围：1-60个字符，支持中文、英文字母、数字、_（下划线）、-（中划线）、.（点）。 tongweb-app-server ecs_flavor String 必填 弹性云服务器规格，请使用2GiB及以上内存，具体请参考官网弹性云服务器规格清单。（c6|2vCPUs|4GiB。） c6.large.2 ecs_password String 必填 弹性云服务器初始化密码，创建完成后请参考开始使用步骤1重置密码。取值范围：长度为8-26位，密码至少包含大写字母、小写字母、数字和特殊字符（$!@%-_=+[]:./^,{}?）中的三种，密码不能包含用户名或用户名的逆序。管理员账户为root。 空 ecs_count number 必填 弹性云服务器数量，取值范围：大于等于1，上限由用户配额决定，具体请参考部署指南。 1 bandwidth_size number 必填 弹性公网带宽大小，该模板计费方式为按带宽计费。取值范围：1-2,000Mbit/s。 5 charge_mode String 必填 计费模式，默认自动扣费，可选值为：postPaid（按需计费）、prePaid（包年包月）。 postPaid charge_period_unit String 必填 计费模式周期单位，当计费模式设置为prePaid，此参数是必填项；当计费模式设置为postPaid，此参数失效。可选值为：month（包月）、year（包年）。 month charge_period number 必填 计费周期，当计费模式设置为prePaid，此参数是必填项；当计费模式设置为postPaid，此参数失效。可选值为：1-3（month）、1-9（year）。 1 登录华为云解决方案实践，选择“快速部署TongWeb应用服务器”并单击，跳转至该解决方案一键部署界面。 图1 解决方案实施库 单击一键部署模板，跳转至该解决方案创建堆栈部署界面。 图2 创建堆栈 单击“下一步”，参考表1完成自定义参数填写。 图3 参数配置 在资源设置界面中，“权限委托”下拉框中选择“rf_admin_trust”委托，单击“下一步”。 图4 资源栈设置 确认配置。 图5 确认配置 单击“创建执行计划”，根据提示输入执行计划名称等，单击“确定”。 图6 创建执行计划 图7 执行计划创建成功 单击“部署”，弹出执行计划提示信息，单击“执行”确认执行。 图8 执行计划确认 （可选）如果计费模式选择“包年包月”，在余额不充足的情况下（所需总费用请参考2-表 资源和成本规划（包年包月））请及时登录费用中心，手动完成待支付订单的费用支付。 等待解决方案自动部署。部署成功后，单击“事件”，回显结果如下: 图9 资源创建成功 父主题： 实施步骤

安全组规则修改（可选） 该解决方案使用9060端口用来访问TongWeb管理平台，默认全放通，请参考修改安全组规则，配置IP地址白名单，以便能正常访问服务。 该解决方案使用22端口用来远程登录云耀云服务器HECS，默认对该方案创建的VPC子网网段放开，请参考修改安全组规则，配置IP地址白名单，以便能正常访问服务。 安全组实际是网络流量访问策略，包括网络流量入方向规则和出方向规则，通过这些规则为安全组内具有相同保护需求并且相互信任的云服务器、云容器、云数据库等实例提供安全保护。 如果您的实例关联的安全组策略无法满足使用需求，比如需要添加、修改、删除某个TCP端口，请参考以下内容进行修改。 添加安全组规则：根据业务使用需求需要开放某个TCP端口，请参考添加安全组规则添加入方向规则，打开指定的TCP端口。 修改安全组规则：安全组规则设置不当会造成严重的安全隐患。您可以参考修改安全组规则，来修改安全组中不合理的规则，保证云服务器等实例的网络安全。 删除安全组规则：当安全组规则入方向、出方向源地址/目的地址有变化时，或者不需要开放某个端口时，您可以参考删除安全组规则进行安全组规则删除。

约束与限制 部署该解决方案之前，需 注册华为账号 并开通华为云，完成实名认证，且账号不能处于欠费或冻结状态，请根据表2 资源和成本规划（包年包月）中预估价格，确保余额充足。如果计费模式选择“包年包月”，请确保账户余额充足以便一键部署资源的时候可以自动支付；或者在一键部署的过程进入费用中心，找到“待支付订单”并手动完成支付。 该解决方案部署成功后，搭建Tongweb环境大约用时15分钟，完成后方可参考开始使用进行验证。

名词解释 基本概念、云服务简介、专有名词解释： 对象存储服务 OBS：对象存储服务（Object Storage Service，OBS）是一个基于对象的海量存储服务，为客户提供海量、安全、高可靠、低成本的数据存储能力。 函数工作流 FunctionGraph：是一项基于事件驱动的函数托管计算服务。通过函数工作流，只需编写业务函数代码并设置运行的条件，无需配置和管理服务器等基础设施，函数以弹性、免运维、高可靠的方式运行。此外，按函数实际执行资源计费，不执行不产生费用。 统一身份认证服务 IAM：是华为云提供权限管理、访问控制和身份认证的基础服务，您可以使用IAM创建和管理用户、用户组，通过授权来允许或拒绝对云服务和资源的访问，通过设置安全策略提高账号和资源的安全性，同时IAM为您提供多种安全的访问凭证。

方案架构 该解决方案基于函数工作流 FunctionGraph构建，帮助用户快速实现CDN自动预热缓存。方案部署架构如下图所示： 图1 方案架构图 该解决方案会部署如下资源： 1.在对象存储服务 OBS上创建一个桶，作为OBS源站桶。 2.在统一身份认证服务 IAM上创建一个委托，用于授权函数工作流 FunctionGraph访问用户在OBS源站桶和调用CDN创建预热缓存任务API。 3.在函数工作流 FunctionGraph上创建一个预热缓存函数和OBS触发器，实现OBS源站上传文件创建预热缓存任务的自动化。

创建rf_admin_trust委托 进入华为云官网，打开控制台管理界面，鼠标移动至个人账号处，打开“统一身份认证”菜单。 图1 控制台管理界面 图2 统一身份认证菜单 进入“委托”菜单，搜索“rf_admin_trust”委托。 图3 委托列表 如果委托存在，则不用执行接下来的创建委托的步骤 如果委托不存在时执行接下来的步骤创建委托 单击步骤2界面中的“创建委托”按钮，在委托名称中输入“rf_admin_trust”，委托类型选择“云服务”，选择“RFS”，单击“下一步”。 图4 创建委托 在搜索框中输入“Tenant Administrator”权限，并勾选搜索结果。 图5 选择策略 选择“所有资源”，并单击下一步完成配置。 图6 设置授权范围 “委托”列表中出现“rf_admin_trust”委托则创建成功。 图7 委托列表

给rf_admin_trust委托添加IAM Agency Management FullAcces策略 打开“统一身份认证”菜单 图12 统一身份认证菜单 进入“委托”菜单，选择rf_admin_trust委托 图13 委托列表 进入“授权记录”菜单，单击“授权”按钮 图14 授权记录 在搜索框输入IAM Agency Management FullAcces，勾选过滤出来的记录，单击下一步，并确认完成权限的配置 图15 配置IAM Agency Management FullAcces策略 配置好后的情况：rf_admin_trust委托拥有Tenant Administrator和IAM Agency Management FullAccess权限 图16 授权记录列表

给rf_admin_trust委托添加IAM Agency Management FullAcces策略 打开“统一身份认证”菜单 图12 统一身份认证菜单 进入“委托”菜单，选择rf_admin_trust委托 图13 委托列表 进入“授权记录”菜单，单击“授权”按钮 图14 授权记录 在搜索框输入IAM Agency Management FullAcces，勾选过滤出来的记录，单击下一步，并确认完成权限的配置 图15 配置IAM Agency Management FullAcces策略 配置好后的情况：rf_admin_trust委托拥有Tenant Administrator和IAM Agency Management FullAccess权限 图16 授权记录列表

创建rf_admin_trust委托 进入华为云官网，打开控制台管理界面，鼠标移动至个人账号处，打开“统一身份认证”菜单。 图1 控制台管理界面 图2 统一身份认证菜单 进入“委托”菜单，搜索“rf_admin_trust”委托。 图3 委托列表 如果委托存在，则不用执行接下来的创建委托的步骤 如果委托不存在时执行接下来的步骤创建委托 单击步骤2界面中的“创建委托”按钮，在委托名称中输入“rf_admin_trust”，委托类型选择“云服务”，选择“RFS”，单击“下一步”。 图4 创建委托 在搜索框中输入“Tenant Administrator”权限，并勾选搜索结果。 图5 选择策略 选择“所有资源”，并单击下一步完成配置。 图6 设置授权范围 “委托”列表中出现“rf_admin_trust”委托则创建成功。 图7 委托列表

名词解释 基本概念、云服务简介、专有名词解释： 对象存储服务 OBS：对象存储服务（Object Storage Service，OBS）是一个基于对象的海量存储服务，为客户提供海量、安全、高可靠、低成本的数据存储能力。 函数工作流 FunctionGraph：是一项基于事件驱动的函数托管计算服务。通过函数工作流，只需编写业务函数代码并设置运行的条件，无需配置和管理服务器等基础设施，函数以弹性、免运维、高可靠的方式运行。此外，按函数实际执行资源计费，不执行不产生费用。 统一身份认证服务 IAM：是华为云提供权限管理、访问控制和身份认证的基础服务，您可以使用IAM创建和管理用户、用户组，通过授权来允许或拒绝对云服务和资源的访问，通过设置安全策略提高账号和资源的安全性，同时IAM为您提供多种安全的访问凭证。

方案架构 该解决方案基于函数工作流 FunctionGraph构建，帮助用户快速实现CDN自动刷新缓存。方案部署架构如下图所示： 图1 方案架构图 该解决方案会部署如下资源： 在对象存储服务 OBS上创建一个桶，作为OBS源站桶。 在统一身份认证服务 IAM上创建一个委托，用于授权函数工作流服务 FunctionGraph访问用户在OBS源站桶和调用CDN创建刷新缓存任务API。 在函数工作流服务 FunctionGraph上创建一个刷新缓存函数和OBS触发器，实现OBS源站上传文件创建刷新缓存任务的自动化。

创建rf_amdin_trust委托 进入华为云官网，打开控制台管理界面，鼠标移动至个人账号处，打开“统一身份认证”菜单。 图1 控制台管理界面 图2 统一身份认证菜单 进入“委托”菜单，搜索“rf_admin_trust”委托。 图3 委托列表 如果委托存在，则不用执行接下来的创建委托的步骤 如果委托不存在时执行接下来的步骤创建委托 单击步骤2界面中右上角的“创建委托”按钮，在委托名称中输入“rf_admin_trust”，选择“普通账号”，委托的账号，输入“op_svc_IAC”，单击“下一步”。 图4 创建委托 在搜索框中输入“Tenant Administrator”权限，并勾选搜索结果。 图5 选择策略 选择“所有资源”，并单击下一步完成配置。 图6 设置授权范围 “委托”列表中出现“rf_admin_trust”委托则创建成功。 图7 委托列表

快速部署 本章节主要帮助用户快速部署该解决方案。 表1 参数填写说明 参数名称 类型 是否必填 参数解释 默认值 vpc_name String 必填 虚拟私有云名称，该模板新建VPC，不允许重名。取值范围：1-54个字符，支持数字、字母、中文、_(下划线)、-（中划线）、.（点）。 openvpn-demo secgroup_name String 必填 安全组名称，该模板新建安全组。取值范围：1-64个字符，支持数字、字母、中文、_(下划线)、-（中划线）、.（点）。 openvpn-demo ecs_name String 必填 弹性云服务器名称，不允许重名。命名方式为：{ecs_name}-server（服务端），{ecs_name}-client（客户端）。取值范围：1-57个字符，支持字母、数字、中文、下划线（_）、中划线（-）、英文句号（.）。 openvpn-demo ecs_flavor String 必填 弹性云服务器规格名称，具体请参考官网弹性云服务器规格清单。（c6|2vCPUs|4GiB。） c6.large.2 ecs_password String 必填 云服务器密码，长度为8-26位，密码至少必须包含大写字母、小写字母、数字和特殊字符（!@$%^-_=+[{}]:,./?）中的三种，仅支持小写字母、数字、中划线（-）、英文句号（.）。如果修改密码，请参考重置弹性云服务器密码登录ECS控制台修改密码。 空 system_disk_size String 必填 系统盘大小，以GB为单位，取值范围为40～1,024，不支持缩盘。 100 charging_mode String 必填 计费模式，默认自动扣费，取值为prePaid（包年包月）或postPaid（按需计费），默认postPaid。 postPaid charging_unit String 选填 有效值为“year”或“month”。当charging_mode（计费模式）为prePaid时，此选项为必填项。 month charging_period number 选填 包年包月时长，当charging_unit取值为“year”,取值范围为1～3；当charging_unit取值为“month”,取值范围为1～9。当charging_mode（计费模式）为prePaid时，此选项为选填项。 1 eip_bandwidth_size number 必填 弹性公网IP带宽大小，该模板采用按带宽计费。取值范围为1-2,000Mbit/s。 5 登录华为云解决方案实践，选择“快速搭建OpenVPN”解决方案，单击“一键部署”，跳转至解决方案创建资源栈界面。 图1 解决方案实施库 在选择模板界面中，单击“下一步”。 图2 选择模板 在配置参数界面中，根据表1配置参数信息，单击“下一步”。 图3 配置参数 在资源设置界面中，“权限委托”下拉框中选择“rf_admin_trust”委托，单击“下一步”。 图4 资源栈设置 在配置确认页面中，单击“创建执行计划”。 图5 配置确认 在弹出的创建执行计划框中，自定义填写执行计划名称，单击“确定”。 图6 创建执行计划 单击“部署”，并且在弹出的执行计划确认框中单击“执行”。 图7 执行计划 图8 执行计划确认 （可选）如果计费模式选择“包年包月”，在余额不充足的情况下（所需总费用请参考2-表 资源和成本规划（包年包月））请及时登录费用中心，手动完成待支付订单的费用支付。 等待解决方案自动部署。部署成功后，单击“事件”，回显结果如下: 图9 资源创建成功 父主题： 实施步骤

安全组规则修改（可选） OpenVPN提供服务端口号为1194，入方向规则默认全放通，请参考修改安全组规则，配置IP地址白名单，以便能正常使用服务。 该解决方案使用22端口远程登录弹性 云服务器ECS ，默认对该方案创建的VPC子网网段放开，请参考修改安全组规则，配置IP地址白名单，以便能正常访问服务。 安全组实际是网络流量访问策略，包括网络流量入方向规则和出方向规则，通过这些规则为安全组内具有相同保护需求并且相互信任的云服务器、云容器、云数据库等实例提供安全保护。 如果您的实例关联的安全组策略无法满足使用需求，比如需要添加、修改、删除某个TCP端口，请参考以下内容进行修改。 添加安全组规则：根据业务使用需求需要开放某个TCP端口，请参考添加安全组规则添加入方向规则，打开指定的TCP端口。 修改安全组规则：安全组规则设置不当会造成严重的安全隐患。您可以参考修改安全组规则，来修改安全组中不合理的规则，保证云服务器等实例的网络安全。 删除安全组规则：当安全组规则入方向、出方向源地址/目的地址有变化时，或者不需要开放某个端口时，您可以参考删除安全组规则进行安全组规则删除。

快速部署 本章节主要帮助用户快速部署“快速部署宝塔面板”解决方案。 表1 参数说明 参数名称 类型 是否可选 参数解释 默认值 vpc_name string 必填 虚拟私有云名称，该模板新建VPC，不支持重名。取值范围：1-55个字符，支持字母、数字、中文、下划线（_）、中划线（-）、句点（.）。 rapid_deployment_of_baota_panel_demo hecs_name string 必填 云耀云服务器名称，不支持重名，取值范围：1-60个字符组成，包括字母、数字、下划线 (_)、连字符 (-) 和句点 (.)。 rapid_deployment_of_baota_panel_demo hecs_admin_pass string 必填 云耀云服务器初始密码，创建完成后，五分钟后生效，请参考在控制台重置云耀云服务器密码进行重置密码操作。取值范围：长度为8-26位，密码至少必须包含大写字母、小写字母、数字和特殊字符（!@$%^-_=+[{}]:,./?）中的三种，密码不能包含用户名或用户名的逆序。管理员账户为root。 空 period_unit string 必填 云耀云服务器及弹性IP订购周期类型，取值范围：month（月），year（年）。 month charging_period number 必填 云耀云服务器及弹性EIP订购周期，取值范围：period_unit=month（周期类型为月）时，取值为1-9；period_unit=year（周期类型为年）时，取值为1-3。 1 hecs_flavor string 必填 云耀云服务器规格名称，可选规格有：x.small.1（1vCPUs|1GiB）、x.medium.2（1vCPUs|2GiB）、x.medium.4（1vCPUs|4GiB）、x.large.2（2vCPUs|4GiB）。其他类型服务器规格请参考官网弹性云服务器规格清单。 x.large.2 登录华为云解决方案实践，选择“快速部署宝塔面板”解决方案。数据中心下拉菜单可以选择需要部署的区域，单击“一键部署”，跳转至解决方案创建堆栈界面。 图1 解决方案实施库 在选择模板界面中，单击“下一步”。 图2 选择模板 在配置参数界面中，参考表1完成自定义参数填写，单击“下一步”。 图3 配置参数 在资源栈设置页面中，权限委托选择“rf_admin_trust”,单击“下一步”。 图4 资源栈设置 在配置确认页面中，单击“创建执行计划”。 图5 配置确认 在弹出的创建执行计划框中，自定义填写执行计划名称，单击“确定”。 图6 创建执行计划 图7 执行计划创建成功 等待执行计划状态为“创建成功，待部署”后，单击“部署”，并且在弹出的执行计划确认框中单击“执行”。 图8 执行计划确认执行 （可选）如果计费模式选择“包年包月”，在余额不充足的情况下（所需总费用请参考2-表 资源和成本规划（包年包月））请及时登录费用中心，手动完成待支付订单的费用支付。 等待解决方案自动部署。部署成功后，单击“事件”，回显结果如下: 图9 部署成功 父主题： 实施步骤

创建rf_amdin_trust委托 进入华为云官网，打开控制台管理界面，鼠标移动至个人账号处，打开“统一身份认证”菜单。 图1 控制台管理界面 图2 统一身份认证菜单 进入“委托”菜单，搜索“rf_admin_trust”委托。 图3 委托列表 如果委托存在，则不用执行接下来的创建委托的步骤 如果委托不存在时执行接下来的步骤创建委托 单击步骤2界面中的“创建委托”按钮，在委托名称中输入“rf_admin_trust”，选择“普通账号”，委托的账号，输入“op_svc_IAC”，单击“下一步”。 图4 创建委托 在搜索框中输入“Tenant Administrator”权限，并勾选搜索结果。 图5 选择策略 选择“所有资源”，并单击下一步完成配置。 图6 设置授权范围 “委托”列表中出现“rf_admin_trust”委托则创建成功。 图7 委托列表

约束与限制 部署该解决方案之前，您需注册华为账号并开通华为云，完成实名认证，且账号不能处于欠费或冻结状态，请根据表1 资源和成本规划（包年包月）预估价格。如果计费模式选择“包年包月”，请确保账户余额充足以便一键部署资源的时候可以自动支付；或者在一键部署的过程进入费用中心，找到“待支付订单”并手动完成支付。 该方案只支持购买包周期（包月/包年）资源。 该方案部署成功后，宝塔面板环境初始化大约用时10分钟左右，受弹性云服务器ECS规格以及网络带宽的影响会有波动，部署完成之后方可访问宝塔面板以及远程链接。