华为云用户手册

  • 前提条件 密码丢失或过期前,已安装密码重置插件。 公共镜像创建的边缘实例默认已安装一键式重置密码插件。 请勿删除重置密码进程CloudResetPwdAgent和CloudResetPwdUpdateAgent,否则,会导致一键式重装密码功能不可用。 使用的VPC网络DHCP不能禁用。 网络正常通行。 请确保一键式重置密码插件未被安全软件(如火绒软件等)阻止运行,否则重置密码功能无法使用。 重置密码之后,必须重启方可生效。
  • 支持的授权项 策略包含系统策略和自定义策略,如果系统策略不满足授权要求,管理员可以创建自定义策略,并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应,授权项列表说明如下: 权限:允许或拒绝某项操作。 对应API接口:自定义策略实际调用的API接口。 授权项:自定义策略中支持的Action,在自定义策略中的Action中写入授权项,可以实现授权项对应的权限功能。 IAM 项目(Project)/企业项目(Enterprise Project):自定义策略的授权范围,包括IAM项目与企业项目。授权范围如果同时支持IAM项目和企业项目,表示此授权项对应的自定义策略,可以在IAM和企业管理两个服务中给用户组授权并生效。如果仅支持IAM项目,不支持企业项目,表示仅能在IAM中给用户组授权并生效,如果在企业管理中授权,则该自定义策略不生效。关于IAM项目与企业项目的区别,详情请参见:IAM与企业管理的区别。 “√”表示支持,“x”表示暂不支持。 IEC支持自定义策略授权项如下所示: 【示例】边缘实例,包括IEC边缘实例操作接口对应的授权项,如查询边缘实例、更新边缘实例、删除边缘实例等接口。
  • 请求消息头 附加请求头字段,如指定的URI和HTTP方法所要求的字段。例如定义消息体类型的请求头“Content-Type”,请求鉴权信息等。 详细的公共请求消息头字段请参见表3。 表3 公共请求消息头 名称 描述 是否必选 示例 Host 请求的服务器信息,从服务API的URL中获取。值为hostname[:port]。端口缺省时使用默认的端口,https的默认端口为443。 否 使用AK/SK认证时该字段必选。 code.test.com or code.test.com:443 Content-Type 消息体的类型(格式)。推荐用户使用默认值application/json,有其他取值时会在具体接口中专门说明。 是 application/json Content-Length 请求body长度,单位为Byte。 否 3495 X-Project-Id project id,项目编号。 否 如果是专属云场景采用AK/SK认证方式的接口请求,或者多project场景采用AK/SK认证的接口请求,则该字段必选。 e9993fc787d94b6c886cbaa340f9c0f4 X-Auth-Token 用户Token。 用户Token也就是调用获取用户Token接口的响应值,该接口是唯一不需要认证的接口。 请求响应成功后在响应消息头(Headers)中包含的“X-Subject-Token”的值即为Token值。 否 使用Token认证时该字段必选。 注:以下仅为Token示例片段。 MIIPAgYJKoZIhvcNAQcCo...ggg1BBIINPXsidG9rZ API同时支持使用AK/SK认证,AK/SK认证使用SDK对请求进行签名,签名过程会自动往请求中添加Authorization(签名认证信息)和X-Sdk-Date(请求发送的时间)请求头。 AK/SK认证的详细说明请参见认证鉴权的“AK/SK认证”。 对于获取用户Token接口,由于不需要认证,所以只添加“Content-Type”即可,添加消息头后的请求如下所示。 1 2 POST https://iam.cn-north-1.myhuaweicloud.com/v3/auth/tokens Content-Type: application/json
  • 请求消息体(可选) 该部分可选。请求消息体通常以结构化格式(如JSON或XML)发出,与请求消息头中Content-Type对应,传递除请求消息头之外的内容。若请求消息体中的参数支持中文,则中文字符必须为UTF-8编码。 每个接口的请求消息体内容不同,也并不是每个接口都需要有请求消息体(或者说消息体为空),GET、DELETE操作类型的接口就不需要消息体,消息体具体内容需要根据具体接口而定。 对于获取用户Token接口,您可以从接口的请求部分看到所需的请求参数及参数说明。将消息体加入后的请求如下所示,加粗的斜体字段需要根据实际值填写,其中username为用户名,domainname为用户所属的账号名称,********为用户登录密码,xxxxxxxxxxxxxxxxxx为project的名称,如“cn-north-1”,您可以从地区和终端节点获取。 scope参数定义了Token的作用域,下面示例中获取的Token仅能访问project下的资源。您还可以设置Token的作用域为某个账号下所有资源或账号的某个project下的资源,详细定义请参见获取用户Token。 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 POST https://iam.cn-north-1.myhuaweicloud.com/v3/auth/tokens Content-Type: application/json { "auth": { "identity": { "methods": [ "password" ], "password": { "user": { "name": "username", "password": "********", "domain": { "name": "domainname" } } } }, "scope": { "project": { "name": "xxxxxxxxxxxxxxxxxx" } } } } 到这里为止这个请求需要的内容就具备齐全了,您可以使用curl、Postman或直接编写代码等方式发送请求调用API。对于获取用户Token接口,返回的响应消息头中的“x-subject-token”就是需要获取的用户Token。有了Token之后,您就可以使用Token认证调用其他API。
  • 请求URI 请求URI由如下部分组成: {URI-scheme}://{Endpoint}/{resource-path}?{query-string} 尽管请求URI包含在请求消息头中,但大多数语言或框架都要求您从请求消息中单独传递它,所以在此单独强调。 表1 URI中的参数说明 参数 描述 URI-scheme 表示用于传输请求的协议,当前所有API均采用HTTPS协议。 Endpoint 指定承载REST服务端点的服务器 域名 或IP,不同服务不同区域的Endpoint不同,您可以从地区和终端节点获取。 例如IAM服务在“华北-北京四”区域的Endpoint为“iam.cn-north-4.myhuaweicloud.com”。 resource-path 资源路径,即API访问路径。从具体API的URI模块获取,例如“获取用户Token”API的resource-path为“/v3/auth/tokens”。 query-string 查询参数,是可选部分,并不是每个API都有查询参数。查询参数前面需要带一个“?”,形式为“参数名=参数取值”,例如“?limit=10”,表示查询不超过10条数据。 例如您需要获取IAM在“华北-北京四”区域的Token,则需使用“华北-北京四”区域的Endpoint(iam.cn-north-4.myhuaweicloud.com),并在获取用户Token的URI部分找到resource-path(/v3/auth/tokens),拼接起来如下所示。 1 https://iam.cn-north-4.myhuaweicloud.com/v3/auth/tokens 图1 URI示意图 为方便查看,在每个具体API的URI部分,只给出resource-path部分,并将请求方法写在一起。这是因为URI-scheme都是HTTPS,而Endpoint在同一个区域也相同,所以简洁起见将这两部分省略。
  • 请求方法 HTTP请求方法(也称为操作或动词),它告诉服务您正在请求什么类型的操作。 表2 HTTP方法 方法 说明 GET 请求服务器返回指定资源。 PUT 请求服务器更新指定资源。 POST 请求服务器新增资源或执行特殊操作。 DELETE 请求服务器删除指定资源,如删除对象等。 HEAD 请求服务器资源头部。 PATCH 请求服务器更新资源的部分内容。 当资源不存在的时候,PATCH可能会去创建一个新的资源。 在获取用户Token的URI部分,您可以看到其请求方法为“POST”,则其请求为: 1 POST https://iam.cn-north-1.myhuaweicloud.com/v3/auth/tokens
  • 基本概念 账号 用户注册时的账号,账号对其所拥有的资源及云服务具有完全的访问权限,可以重置用户密码、分配用户权限等。由于账号是付费主体,为了确保账号安全,建议您不要直接使用账号进行日常管理工作,而是创建用户并使用他们进行日常管理工作。 用户 由账号在IAM中创建的用户,是云服务的使用人员,具有身份凭证(密码和访问密钥)。 在我的凭证下,您可以查看账号ID和IAM用户ID。通常在调用API的鉴权过程中,您需要用到账号、用户和密码等信息。 区域(Region) 从地理位置和网络时延维度划分,同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region,通用Region指面向公共租户提供通用云服务的Region;专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region。 详情请参见区域和可用区。 可用区(AZ,Availability Zone) 一个可用区是一个或多个物理数据中心的集合,有独立的风火水电,AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连,以满足用户跨AZ构建高可用性系统的需求。 端口 通常意义上,指允许实例访问远端地址指定端口,取值范围为:1~65535。常用端口请参见实例常用端口。 由于IEC的部分API接口调用VPC的接口,所以在IEC的端口章节中描述的端口概念和通常意义上的端口概念不同,指的是将单个设备(如服务器的NIC)连接到网络的连接点。端口还描述了相关的网络配置,例如子网下的私有IP地址以及它的用途,或者虚拟IP地址以及它绑定的公网IP、网卡、带宽等信息。 父主题: 使用前必读
  • 与IEC有功能依赖的云服务 IEC和其他周边云服务的功能依赖关系如表1所示。 表1 与IEC有功能依赖的云服务 相关服务 功能依赖关系 参考内容 镜像服务 边缘私有镜像需要首先在镜像服务中创建,然后在IEC控制台界面上进行注册,注册完成后可以选择使用。 边缘镜像概述 通过镜像服务创建边缘私有镜像 统一身份认证 服务 通过统一身份认证服务,给IEC的其他用户设置不同的访问权限,以达到不同用户之间的权限隔离。 权限管理 创建IAM用户并授权使用IEC
  • 与IEC有区别对比的产品 面向不同应用场景的多种云化产品(智能边缘云(Intelligent EdgeCloud,IEC)和智能边缘小站(CloudPond)、智能边缘平台(Intelligent EdgeFabric,IEF)、IoT边缘(IoT Edge)、内容分发网络(Content Delivery Network,CDN))之间的区别,请参见IEC与相关产品区别。 IEC范畴下的实例、镜像和网络与弹性云服务器,镜像服务,虚拟私有云等云服务的区别,请参见边缘实例,边缘镜像,边缘网络。
  • IEC权限 IEC的控制台部署时不区分物理区域,为全局性的。访问IEC控制台时,不需要切换区域。存在如下一个特殊情况:在使用Tenant Administrator和Tenant Guest两个系统权限时需要选择一些仅为IEC使用的特殊华为云区域,详见表1。以上提到的区域是指华为云整体上按照物理位置划分的区域,和IEC服务业务上的边缘区域是有差别的,详见华为云的区域和IEC的区域有什么区别?。 默认情况下,管理员创建的IAM用户没有任何权限,需要将其加入用户组,并给用户组授予策略和角色,才能使得用户组中的用户获得策略定义的权限,这一过程称为授权。授权后,用户就可以基于被授予的权限对云服务进行操作。 根据授权精细程度分为角色和策略。 角色:IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度,提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系,因此给用户授予角色时,可能需要一并授予依赖的其他角色,才能正确完成业务。角色并不能满足用户对精细化授权的要求,无法完全达到企业对权限最小化的安全管控要求。 策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对IEC服务,管理员能够控制IAM用户仅能查询网络ACL列表,而不能创建网络ACL。多数细粒度策略以API接口为粒度进行权限拆分,IEC支持的API授权项请参见权限和授权项说明。 表1列出了IEC的所有系统权限。 表1 IEC系统权限 权限名称 描述 作用范围 类别 依赖关系 IEC FullAccess 拥有该权限的用户可以对IEC资源执行任意操作。 仅选择“全局服务” 系统策略 无 IEC ReadOnlyAccess 拥有该权限的用户可以查询IEC资源的利用情况,即仅拥有IEC读权限。 仅选择“全局服务” 系统策略 无 Tenant Administrator 拥有该权限的用户拥有除IAM外,其他所有服务的所有执行权限。 选择“全局服务”和“区域级项目”, 区域级项目为: cn-north-900 [华北-北京边缘二] 系统角色 无 Tenant Guest 拥有该权限的用户拥有除IAM外,其他所有服务的只读权限。 选择“全局服务”和“区域级项目”, 区域级项目为: cn-north-900 [华北-北京边缘二] 系统角色 无 表2列出了IEC常用操作与系统策略的关系。 表2 IEC常用操作与系统策略的关系 操作 IEC ReadOnlyAccess IEC FullAccess 查询带宽列表 √ √ 查询指定带宽 √ √ 修改带宽信息 x √ 删除带宽信息 x √ 删除子网 x √ 查询指定子网 √ √ 更新子网 x √ 查询子网列表 √ √ 创建子网 x √ 删除虚拟私有云 x √ 查询虚拟私有云列表 √ √ 更新虚拟私有云 x √ 查询指定虚拟私有云 √ √ 创建虚拟私有云 x √ 查询网络配额 √ √ 创建路由表 x √ 查询路由表列表 √ √ 查询路由表详情 √ √ 更新路由表 x √ 删除路由表 x √ 查询路由列表 √ √ 添加路由 x √ 更新路由 x √ 删除路由 x √ 路由表关联子网 x √ 路由表解关联子网 x √ 查询子网关联的路由表 √ √ 查询网络ACL列表 √ √ 创建网络ACL x √ 更新网络ACL x √ 更新网络ACL规则 x √ 删除网络ACL x √ 查询指定网络ACL √ √ 删除弹性公网IP x √ 查询指定弹性公网IP √ √ 更新弹性公网IP x √ 查询弹性公网IP列表 √ √ 创建弹性公网IP x √ 删除安全组 x √ 查询指定安全组 √ √ 查询安全组列表 √ √ 创建安全组 x √ 删除安全组规则 x √ 查询指定安全组规则 √ √ 查询安全组规则列表 √ √ 创建安全组规则 x √ 删除边缘业务 x √ 查询指定边缘业务 √ √ 查询边缘业务列表 √ √ 查询边缘业务配额 √ √ 查询实例列表 √ √ 操作实例(启动、关闭、重启) x √ 批量删除实例 x √ 修改实例 x √ 查询指定实例 √ √ 创建实例 x √ 切换操作系统 x √ 更新实例网卡配置 x √ 删除实例网卡 x √ 添加实例网卡 x √ 查询实例规格列表 √ √ 查询指定的任务 √ √ 查询站点列表 √ √ 查询指定云硬盘 √ √ 查询云硬盘类型列表 √ √ 查询云硬盘列表 √ √ 查询边缘镜像列表 √ √ 创建边缘镜像 x √ 查询指定边缘镜像 √ √ 删除边缘镜像 x √ 查询边缘镜像支持的区域列表 √ √ 查询边缘镜像的配额信息 √ √ 查询特定华为云区域的镜像列表 √ √ 从边缘实例创建镜像 x √ 查询边缘实例的统计数据 √ √ 查询带宽的统计数据 √ √ 查询资源使用率 √ √ 创建IAM用户并授权的具体操作请参见示例流程。
  • 计费模式 IEC提供按需计费模式,由边缘实例和边缘硬盘使用时长,以及边缘带宽流量叠加计费。具体计费模式说明如表2所示。 表2 计费模式说明 计费模式 计费项 计费周期 付费方式 说明 按需计费 边缘实例和边缘硬盘 秒级计费,按小时结算 后付费 按照边缘实例和边缘硬盘实际使用的时长进行计费。 边缘实例关机后仍正常计费,如果需要停止边缘实例和边缘硬盘计费,直接删除边缘实例即可。 边缘带宽 增强型95计费,按月结算 后付费 按照边缘带宽实际使用的流量进行计费。 为了防止突然爆发的流量产生较高的费用,您可以为边缘带宽设置合适的峰值。 IEC增强型95计费按照多次去峰值后的实际使用带宽付费。 计费公式:月峰值带宽 x 月峰值带宽价格 x 共享带宽存在天数 ÷ 自然月天数 详细计费规则请参见什么是IEC增强型95计费?。 如果需要停止边缘带宽计费,需要彻底删除带宽。
  • 边缘镜像 镜像是一个包含了软件及必要配置的实例模版,包含操作系统或业务数据,还可以包含应用软件(例如数据库软件)和私有软件。 IEC使用的边缘镜像支持公共镜像和私有镜像两种镜像类型。 公共镜像:IEC支持的公共镜像预置在IEC系统中,供所有用户使用。与华为云镜像服务中提供的公共镜像功能类似,但没有关联关系,各自承载不同的业务。 IEC上创建的公共镜像不能通过云服务IMS管理,云服务IMS上创建的公共镜像也不能通过IEC管理。 私有镜像:IEC的私有镜像由用户首先在镜像服务中创建,然后在IEC上进行注册,注册完成后可以选择使用。 注册到IEC的私有镜像和镜像服务中原私有镜像互相独立,后者的修改不影响前者。已注册到IEC的私有镜像不能修改。如果当前镜像不能满足需求,您可以重新创建和注册。
  • 边缘实例 边缘实例为边缘云场景下专享的实例资源,是由CPU(Central Processing Unit,中央处理器)、内存、操作系统、云硬盘组成的基础的计算组件。 IEC范畴下的边缘实例与华为云上弹性 云服务器ECS 完全独立,没有关联关系,各自承载不同的业务。但从两者的功能维度来看,又是相类似的。 举例说明,通过IEC控制台或者API创建的实例仅归属于华为云服务IEC的业务范畴,与通过华为云服务E CS 创建的实例没有关联关系。IEC上创建的实例不能通过ECS管理,ECS上创建的实例也不能通过IEC管理。
  • 边缘网络 边缘网络为边缘云场景下专享的网络子服务。通过虚拟私有云,构建隔离的、用户自主配置和管理的虚拟网络环境,提升用户云上资源的安全性,简化用户的网络部署。同时,通过弹性公网IP,使得虚拟私有云内的实例与公网Internet互通。 IEC范畴下的边缘网络与华为云上其他网络相关的云服务,如虚拟私有云、弹性公网IP完全独立,没有关联关系,各自承载不同的业务。但从两者的功能维度来看,又是相类似的。 举例说明,通过IEC控制台或者API创建的虚拟私有云仅归属于华为云服务IEC的业务范畴,与通过华为云服务VPC创建的虚拟私有云没有关联关系。IEC上创建的虚拟私有云不能通过云服务VPC管理,云服务VPC上创建的虚拟私有云也不能通过IEC管理。
  • 边缘实例 IEC暂不支持通过VNC(Virtual Network Console,虚拟网络控制台)方式登录边缘实例,请使用远程连接工具登录实例。 系统默认一个华为云账号最多创建300台边缘实例,如果您需要创建更多个边缘实例,请申请扩大配额。一次最多可以创建50台边缘实例。 系统默认一个华为云账号最多创建边缘实例的内存(Random Access Memory, RAM )容量为100GB,vCPU(Virtual Central Processing Unit,虚拟处理器)为100个。如果您需要更多配额,请申请扩大配额。
  • 边缘安全组 系统默认一个华为云账号最多创建200个安全组。如果您需要创建更多个安全组,请申请扩大配额。 由于归属于不同虚拟私有云的多个实例网络不连通,则为同一个安全组下归属于不同的虚拟私有云的多个实例配置网络连通的访问规则是不生效的。 由于归属于不同边缘站点的多个子网之间网络不连通,则为安全组配置跨站点多个子网连通的访问规则是不生效的。 系统默认一个华为云账号最多创建10000个安全组规则。如果您需要创建更多个安全组规则,请申请扩大配额。
  • 边缘镜像 当前IEC仅支持在华北-北京四[cn-north-4]的华为云区域通过镜像服务创建边缘私有镜像。 对于IAM用户通过镜像服务创建边缘私有镜像,需要账号为该IAM用户同时赋予IEC FullAccess权限和华北-北京四[cn-north-4]区域的IAM ReadOnlyAccess权限。 系统默认一个华为云账号最多创建50个边缘私有镜像(从边缘实例和从镜像服务创建合计)。如果您需要创建更多个边缘私有镜像,请申请扩大配额。 IEC场景下不支持windows公共镜像;windows私有镜像仅支持创建虚拟机,但不支持对虚拟机进行激活。
  • 边缘网络ACL 每个网络ACL都包含一组默认规则,如下所示: 默认放通同一站点下同一子网内的流量。 默认放通目的IP地址为255.255.255.255/32的广播报文。用于配置主机的启动信息。 默认放通目的网段为224.0.0.0/24的组播报文。供路由协议使用。 默认放通目的IP地址为169.254.169.254/32,TCP端口为80的metadata报文。用于获取元数据。 默认放通公共服务预留网段资源的报文,例如目的网段为100.125.0.0/16的报文。 除上述默认放通的流量外,其余出入子网的流量全部拒绝,如表1所示。该规则不能修改和删除。 表1 网络ACL默认规则 方向 优先级 动作 协议 源地址 目的地址 说明 入方向 * 拒绝 全部 0.0.0.0/0 0.0.0.0/0 拒绝所有入站流量 出方向 * 拒绝 全部 0.0.0.0/0 0.0.0.0/0 拒绝所有出站流量 网络连通性: 由于归属于不同虚拟私有云的多个子网网络不连通,则为同一个网络ACL下归属于不同的虚拟私有云的多个子网配置网络连通的访问规则是不生效的。 由于归属于不同边缘站点的多个子网之间网络不连通,则为网络ACL配置跨站点多个子网连通的访问规则是不生效的。 规则优先级: 网络ACL规则的优先级使用“优先级”值来表示,优先级的值越小,优先级越高,最先应用。优先级的值为“*”的是默认规则,优先级最低。 多个网络ACL规则冲突,优先级高的规则优先生效。如果某个规则需要优先或落后生效,可在对应规则(需要优先或落后于某个规则生效的规则)前面或后面插入此规则。
  • 边缘路由和路由表 系统默认一个VPC下最多创建10个自定义路由表。如果您需要创建更多个自定义路由表,请申请扩大配额。 每个路由表最多添加200个路由。 一个子网一次只能关联一个路由表,但一个路由表可以关联多个子网。 系统路由不能修改和删除。 通过自定义路由访问Internet网络时,目的地址配置为默认0.0.0.0/0,不能配置为具体的公网网段,下一跳为本VPC内绑定了EIP的边缘实例、绑定了EIP的虚拟IP或互联网网关地址。
  • 修订记录 发布日期 更新内容 2023-12-28 第十次正式发布。 刷新“约束与限制”章节相关内容。 2022-12-14 第九次正式发布。 新增实例规格章节。 2022-09-23 第八次正式发布。 约束与限制章节删除通用计算型(S6)、内存优化型(M6)和GPU加速型(G5r和Pi2)规格。 2021-09-13 第七次正式发布。 “权限管理”章节新增委托相关内容。 2021-07-01 第六次正式发布。 新增通用计算型(s6)和内存优化型(m6)规格描述。 2021-05-29 第五次正式发布。 优化“什么是智能边缘云”章节内容。 刷新“约束与限制”章节相关内容。 2021-05-07 第四次正式发布。 新增智能边缘平台和IEC交互关系的相关内容。 2021-04-12 第三次正式发布。 优化文档部分内容。 匹配产品功能刷新“约束与限制”章节相关内容。 2021-01-30 第二次正式发布。 在“权限管理”章节新增为IAM用户进行细粒度授权访问IEC的内容。 2020-10-30 第一次正式发布。
  • 内置企业成员角色和权限 AppStage内置的企业成员角色和权限如内置企业成员角色和权限所示。 表2 内置成员岗位/角色 子系统 岗位/角色 级别 岗位/角色描述 可管理的下级岗位/角色 申请加入时审批者岗位/角色 应用平台系统级 组织管理员(非租户开通者) 系统级 具备AppStage业务控制台全部的操作权限,如系统级功能的维护,如公告、应用基础信息(产品、服务、微服务)等。 开发中心所有角色 运维中心所有的岗位/角色 应用运行时引擎所有的岗位/角色 运营中心所有的角色 组织管理员(租户开通者) AI原生应用引擎 AI原生应用引擎管理员 服务级 AI原生应用引擎管理员角色,具备查看AI原生应用引擎概览数据,能够进行模型、数据、提示语的使用操作,并具备创建访问密钥的权限。 AI原生应用引擎开发者 AI原生应用引擎浏览者 组织管理员 AI原生应用引擎开发者 服务级 AI原生应用引擎开发者角色,具备查看AI原生应用引擎概览数据,能够进行模型、数据、提示语的使用操作。 无 组织管理员 AI原生应用引擎管理员 AI原生应用引擎浏览者 服务级 AI原生应用引擎浏览者角色,仅具备查看AI原生应用引擎概览数据,模型、数据、提示语的体验功能。 无 组织管理员 AI原生应用引擎管理员 开发中心 项目经理 服务级 服务级的管理员角色,可查看所在服务在开发中心中的所有内容,以及所有的操作。 开发人员 测试人员 浏览者 组织管理员 开发人员 服务级 服务级的开发人员角色,可查看所在服务在开发中心中的所有内容,以及开发涉及的操作。 无 组织管理员 所在服务的项目经理 测试人员 服务级 服务级的测试人员角色,可查看所在服务在开发中心中的所有内容,以及测试涉及的操作。 浏览者 服务级 服务级的浏览者角色,可查看所在服务在开发中心中的所有内容,不可操作。 运维中心 运行时引擎 安全运维代表角色 专项角色 安全运维代表作为安全领域审批人,对申请人申请权限或提交操作电子流的合理性和必要性进行审核,允许SRE申请。 服务敏感数据研发管理岗位 组织管理员 数据库DBA角色 专项角色 限数据库管理员申请,数据库DBA角色横向拉通一个租户组的数据库管理。具有以下权限: 编辑和查看数据库治理(WiseDBA)的配置,数据库治理的管理操作权限。 数据库应用root登录权限。 数据库治理(WiseDBA)使用的公有云数据库服务的操作权限。 弹性网络服务(ERS)、主机管理服务(VMS)的只读权限。 查看数据库治理(WiseDBA)的监控大盘和业务报表、调用链、日志检索、告警和事件(含处理权限),原始日志的即席查询。 无 组织管理员 基础运维角色 专项角色 适用于组织层级的运维人员申请,主要用于横向拉通一个组织内不同租户、产品、服务的基础资源管理,包括主机管理、网络管理等。 无 组织管理员 运维监控中心角色 专项角色 仅限7x24小时运维监控室人员(SRE)申请,具有横向拉通一个租户组的运维告警/监控大盘/日志的查看处置权限。具有以下权限: 查看服务的配置。 控制台的只读权限,包括部署服务、EAP、演练服务(WiseChaos)、弹性网络服务(ERS)、主机管理服务(VMS)的只读权限。 查看服务的监控大盘和业务报表、调用链、日志检索、告警和事件(含处理权限),原始日志的即席查询。 无 组织管理员 产品研发代表岗位 产品级 产品研发代表作为研发领域审批人,对申请人申请权限或提交操作电子流的合理性和必要性进行审核,允许研发人员申请。 服务研发岗位 组织管理员 产品运维代表岗位 产品级 产品运维代表作为运维领域审批人,对申请人申请权限或提交操作电子流的合理性和必要性进行审核,允许SRE申请。 服务运维岗位 服务数据分析岗位 组织管理员 服务研发岗位 服务级 即研发人员,适合业务的研发人员申请。具有以下权限: 查看服务的配置。 部署服务控制台的只读权限。 查看服务的监控大盘和业务报表、调用链、告警和事件、日志检索,原始日志的即席查询。 无 产品研发代表岗位 组织管理员 服务运维岗位 服务级 即业务运维人员,仅允许业务SRE申请。具有以下权限: 编辑、查看SRE所负责服务的配置。 控制台操作权限,包括服务的部署和升级、EAP编排、演练服务(WiseChaos)管理,自定义报表管理,作业平台操作。 服务使用的公有云服务的操作权限。 弹性网络服务(ERS)、主机管理服务(VMS)的只读权限。 查看服务的监控大盘和业务报表、调用链、日志检索、告警和事件(含处理权限),原始日志的即席查询。 负载均衡(SLB)、部署服务、微服务平台(NUWA)、数据库治理(WiseDBA)的服务运维操作权限。 无 产品运维代表岗位 组织管理员 服务数据分析岗位 服务级 适合大数据相关业务研发人员申请。用于在数据分析平台对业务数据分析,具有以下权限: 查看服务的监控大盘和业务报表调用链、日志检索、告警和事件。 开发数据分析模型,编辑配置服务的报表。 无 产品运维代表岗位 组织管理员 服务敏感数据研发管理岗位 服务级 适合业务研发人员申请。用于服务研发人员在访问凭据管理服务(ACMS)管理台做敏感配置管理。该岗位人员具有的详细权限包括: 可在访问凭据管理服务(ACMS)管理Portal注册微服务、录入/修改敏感配置项、查看页面所有配置项信息。 说明: 如果仅是查看访问凭据管理服务(ACMS)管理Portal的敏感配置项名称等信息,仅需具备“服务研发岗位、服务运维岗位”权限即可查看,无需申请服务敏感数据研发管理岗位。 无 安全运维代表角色 组织管理员 运营中心 运营管理员 服务级 服务级运营数据管理角色,可执行数据管理,模型管理,指标管理,卡片管理,大屏管理,审计日志查看等运营管理动作。 指标开发者 指标查看者 组织管理员 指标开发者 服务级 服务级指标开发者角色,可执行数据接入,模型开发,指标开发,卡片开发,大屏管理等运营数据开发动作。 无 组织管理员 运营管理员 指标查看者 服务级 服务级运营数据查看人员角色,可查看运营中心的指标数据。
  • 第一步:开通阿里云EventBridge并创建自定义事件总线 登录阿里云事件总线EventBridge控制台,在顶部菜单栏,选择区域。区域要与基础配置所选的DataWorks区域一致。 在左侧导航栏,选择“事件总线”,进入事件总线页面。 在事件总线页面的自定义事件总线区域,单击“快速创建”按钮,右侧弹出创建自定义事件总线窗口。 在总线配置向导,输入自定义事件总线名称(必填)和描述,单击“下一步”。 事件源和规则无需配置,均选择“跳过”。 在弹出的直接创建自定义事件总线对话框中单击“确定”,暂不在新创建的自定义事件总线上创建事件规则(包含目标)。 自定义总线创建完成后,在事件总线页面,找到创建的自定义总线,单击操作列的“详情”。进入总线概览页面,查看自定义总线的基础信息和接入点信息。
  • 第二步:在阿里云DataWorks添加事件分发通道 登录阿里云DataWorks控制台,在左侧导航栏选择“开放平台”,进入开发者后台页面。 在页面左上角选择区域。区域要与基础配置所选的DataWorks区域一致。 单击左侧导航栏的OpenEvent,进入OpenEvent页面。 单击“添加事件分发通道”,弹出添加事件分发通道对话框,配置要分发事件的工作空间和指定分发到EventBridge中自定义总线。 可以给一条事件总线同时配置多个工作空间,同时监听多个工作空间的增量变化。 单击“确定”,完成添加事件分发通道。 在事件分发通道列表,单击操作列的“启用”,启用该事件分发通道后,该工作空间的事件消息将会推送至EventBridge中对应的事件总线。
  • AS权限 默认情况下,管理员创建的IAM用户没有任何权限,需要将其加入用户组,并给用户组授予策略或角色,才能使得用户组中的用户获得对应的权限,这一过程称为授权。授权后,用户就可以基于被授予的权限对云服务进行操作。 AS部署时通过物理区域划分,为项目级服务,授权时,“作用范围”需要选择“区域级项目”,然后在指定区域(如华北-北京1)对应的项目(cn-north-1)中设置相关权限,并且该权限仅对此项目生效;如果在“所有项目”中设置权限,则该权限在所有区域项目中都生效。访问AS时,需要先切换至授权区域。 权限根据授权精细程度分为角色和策略。 角色:IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度,提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系,因此给用户授予角色时,可能需要一并授予依赖的其他角色,才能正确完成业务。角色并不能满足用户对精细化授权的要求,无法完全达到企业对权限最小化的安全管控要求。 策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对AS服务,管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分,AS支持的API授权项请参见策略及授权项说明 。 如表1所示,包括了AS的所有系统权限。 表1 AS系统权限 策略名称 描述 类别 依赖关系 AutoScaling FullAccess 对弹性伸缩全部资源的所有执行权限。 系统策略 无 AutoScaling ReadOnlyAccess 弹性伸缩只读权限,对弹性伸缩全部资源的只读权限。 系统策略 无 AutoScaling Administrator 对弹性伸缩全部资源的所有执行权限。 系统角色 依赖ELB Administrator、 CES Administrator、Server Administrator和Tenant Administrator角色,在同项目中勾选依赖的角色。 表2列出了AS常用操作与系统权限的授权关系,您可以参照该表选择合适的系统权限。 表2 常用操作与系统权限的关系 操作 AutoScaling FullAccess AutoScaling ReadOnlyAccess AutoScaling Administrator 创建伸缩组 √ x √ 修改伸缩组 √ x √ 查询伸缩组详情 √ √ √ 删除伸缩组 √ x √ 创建伸缩配置 √ x √ 创建伸缩策略 √ x √ 创建伸缩带宽策略 √ x √
  • 审计与日志 云审计 服务(Cloud Trace Service, CTS ),是华为 云安全 解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 弹性伸缩支持使用云审计记录服务资源操作。云审计记录的操作类型有三种,通过云平台账户登录管理控制台执行的操作,通过云服务支持的API执行的操作,以及系统内部触发的操作。 在您的应用系统中启用云审计服务后,将在日志文件记录对弹性伸缩执行的API调用的操作。您可以在云审计服务管理控制台查询近7天内的操作记录。如果需要保存7天之前的操作记录,您可以通过 对象存储服务 (Object Storage Service,以下简称OBS),将操作记录实时同步保存至OBS。 CTS的详细介绍和开通配置方法请参见CTS快速入门。 云审计服务支持的AS操作列表请参见记录弹性伸缩。 查看审计日志请参见查看审计日志。 父主题: 安全
  • 多规格配置说明 伸缩配置支持多规格可极大程度减少因当前规格售罄或不可用导致的扩容失败概率,尽可能确保在用户业务高峰期能够扩容成功。 一个伸缩配置内可选的实例规格最多为10个。 适用场景: 对于伸缩组创建的实例规格无特殊要求,不限定于某一种规格。 对伸缩组成功创建实例有较高的成功率和较低的时延要求。 业务需要使用较高规格的实例。 业务是无状态、可横向扩展的。 伸缩组对多个规格的选择排序有以下两种方式: 选择优先:伸缩组扩容时按照选择规格的顺序进行。当您选择的第一个规格库存不足或者因为其他原因创建失败时,系统会尝试您选择的第二个规格创建实例,其余规格的使用以此类推。 成本优先:伸缩组扩容时按照价格最优原则进行优先级排序。伸缩组创建实例时将选择成本最优的规格,当成本最优的规格无法成功创建实例时,系统将在剩余规格中选择成本最优的规格创建实例,其余规格的使用以此类推。
  • 使用限制 单账号跟踪的事件可以通过云审计控制台查询。多账号的事件只能在账号自己的事件列表页面去查看,或者到组织追踪器配置的OBS桶中查看,也可以到组织追踪器配置的CTS/system日志流下面去查看。 用户通过云审计控制台只能查询最近7天的操作记录。如果需要查询超过7天的操作记录,您必须配置转储到对象存储服务(OBS),才可在OBS桶里面查看历史文件。否则,您将无法追溯7天以前的操作记录。 云上操作后,1分钟内可以通过云审计控制台查询管理类事件操作记录,5分钟后才可通过云审计控制台查询数据类事件操作记录。
  • 示例流程 图1 给用户授权AS权限流程 创建用户组并授权 在IAM控制台创建用户组,并授予弹性伸缩权限“ASReadOnlyAccess”。 创建用户并加入用户组 在IAM控制台创建用户,并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台,切换至授权区域,验证权限: 在“服务列表”中选择弹性伸缩服务,进入AS主界面,单击右上角“创建伸缩组”,如果无法创建伸缩组(假设当前权限仅包含ASReadOnlyAccess),表示“ASReadOnlyAccess”已生效。 在“服务列表”中选择除弹性伸缩服务外(假设当前策略仅包含ECS Viewer)的任一服务,若提示权限不足,表示“ASReadOnlyAccess”已生效。
  • 操作场景 如果您需要对您所拥有的AS进行精细的权限管理,您可以使用统一身份认证服务(Identity and Access Management,简称IAM),通过IAM,您可以: 根据企业的业务组织,在您的华为云账号中,给企业中不同职能部门的员工创建IAM用户,让员工拥有唯一安全凭证,并使用AS资源。 根据企业用户的职能,设置不同的访问权限,以达到用户之间的权限隔离。 统一身份认证服务将AS资源委托给更专业、高效的其他华为云账号或者云服务,这些账号或者云服务可以根据权限进行代运维。 如果华为云账号已经能满足您的要求,不需要创建独立的IAM用户,您可以跳过本章节,不影响您使用AS服务的其它功能。 本章节为您介绍对用户授权的方法,操作流程如图1所示。
  • 创建须知 不同可用区支持的云服务器类型可能不同。 如果伸缩组中所有可用区均不支持伸缩配置中的云服务器类型,此时: 如果伸缩组当前为停用状态,则无法启用伸缩组。 如果伸缩组当前为启用状态,则在进行扩容操作时,伸缩组状态变为异常。 如果伸缩组中仅有部分可用区支持伸缩配置中的云服务器类型,则在弹性伸缩活动中自动添加的云服务器只分布在支持该类型云服务器的可用区中,不能均匀的分布在所有可用区中。 创建伸缩组前请先创建好您所需的伸缩配置。
共100000条