华为云用户手册

  • 镜像迁移操作步骤 准备镜像仓库访问权限文件:auth.json。 新建一个auth.json文件,并按照格式修改,如果是匿名访问仓库,则不需要填写用户名、密码等信息。将文件放置在image-migrator所在目录下。 示例: { "quay.io/coreos": { }, "swr.cn-north-4.myhuaweicloud.com": { "username": "cn-north-4@RVHVMX******", "password": "cab4ceab4a1545***************", "insecure": true } } 详细的参数说明请参见“auth.json”文件。 准备镜像列表文件:images.json。 通过kubectl连接源集群。具体方法可参考使用kubectl连接集群。 执行镜像迁移config子命令,生成images.json文件。 您可以参考image-migrator config使用方法中的方法和示例,不指定命名空间,或者指定一个、多个命名空间来获取源集群应用中使用的镜像。 根据需求调整images.json文件内容,但要遵循“images.json”文件中所讲的八项要求。 镜像迁移。 您可以执行默认的./image-migrator-linux-amd64命令进行镜像迁移,也可以根据需要设置image-migrator的参数。 例如以下命令: ./image-migrator-linux-amd64 --workers=5 --auth=./auth.json --images=./images.json --namespace=test --registry=swr.cn-north-4.myhuaweicloud.com --retries=2 示例: $ ./image-migrator-linux-amd64 Start to generate images tasks, please wait ... Start to handle images tasks, please wait ... Images(38) migration finished, 0 images tasks failed, 0 tasks generate failed 结果查看。 上述命令执行完毕后,回显如下类似信息: Images(38) migration finished, 0 images tasks failed, 0 tasks generate failed 表示按照配置,成功将38个镜像迁移到SWR仓库中。
  • image-migrator使用方法 image-migrator工具支持在Linux(x86、arm)和Windows环境中运行,使用方法相似。本文将以Linux(x86)环境为例进行介绍。 若使用Linux(arm)或Windows环境,请将下述命令中的image-migrator-linux-amd64分别替换为image-migrator-linux-arm64或image-migrator-windows-amd64.exe。 在image-migrator工具所在目录下执行./image-migrator-linux-amd64 -h,可以查看image-migrator工具的使用方法。 --auth:指定auth.json的路径,默认在image-migrator所在目录下。 --images:指定images.json的路径,默认在image-migrator所在目录下。 --log:指定image-migrator生成日志的路径,默认是image-migrator当前目录下的image-migrator.log。 --namespace:默认的目标仓库的namespace,也就是说,如果images.json中没有指定目标仓库中的namespace,可以在执行迁移命令时指定。 --registry:默认的目标仓库的registry,也就是说,如果images.json中没有指定目标仓库中的registry,可以在执行迁移命令时指定。 --retries:迁移失败时的重试次数,默认为3。 --workers:镜像搬迁的worker数量(并发数),默认是7。 $ ./image-migrator-linux-amd64 -h A Fast and Flexible docker registry image images tool implement by Go. Usage: image-migrator [flags] Aliases: image-migrator, image-migrator Flags: --auth string auth file path. This flag need to be pair used with --images. (default "./auth.json") -h, --help help for image-migrator --images string images file path. This flag need to be pair used with --auth (default "./images.json") --log string log file path (default "./image-migrator.log") --namespace string default target namespace when target namespace is not given in the images config file, can also be set with DEFAULT_NAMESPACE environment value --registry string default target registry url when target registry is not given in the images config file, can also be set with DEFAULT_REGISTRY environment value -r, --retries int times to retry failed tasks (default 3) -w, --workers int numbers of working goroutines (default 7) $./image-migrator --workers=5 --auth=./auth.json --images=./images.json --namespace=test \ --registry=swr.cn-north-4.myhuaweicloud.com --retries=2 $ ./image-migrator Start to generate images tasks, please wait ... Start to handle images tasks, please wait ... Images(38) migration finished, 0 images tasks failed, 0 tasks generate failed 示例如下: ./image-migrator --workers=5 --auth=./auth.json --images=./images.json --namespace=test --registry=swr.cn-north-4.myhuaweicloud.com --retries=2 该命令表示将“images.json”文件中的镜像迁移至“swr.cn-north-4.myhuaweicloud.com/test”镜像仓库下,迁移失败时可以重试2次,一次可以同时搬迁5个镜像。
  • image-migrator config使用方法 image-migrator工具的config子命令可用于获取集群应用中使用的镜像,在工具所在目录下生成images.json。执行./image-migrator-linux-amd64 config -h命令可以查看config子命令的使用方法。 -k, --kubeconfig:指定kubectl的kubeConfig位置,默认是$HOME/.kube/config。kubeConfig文件:用于配置对Kubernetes集群的访问,KubeConfig文件中包含访问注册kubernetes集群所需要的认证凭据以及Endpoint(访问地址),详细介绍可参见Kubernetes文档。 -n, --namespaces:指定获取镜像的命名空间,多个命名空间用逗号分隔(如:ns1,ns2,ns3),默认是"",表示获取所有命名空间的镜像。 -t, --repo:指定目标仓库的地址(registry/namespace)。 $ ./image-migrator-linux-amd64 config -h generate images.json Usage: image-migrator config [flags] Flags: -h, --help help for config -k, --kubeconfig string The kubeconfig of k8s cluster's. Default is the $HOME/.kube/config. (default "/root/.kube/config") -n, --namespaces string Specify a namespace for information collection. If multiple namespaces are specified, separate them with commas (,), such as ns1,ns2. default("") is all namespaces -t, --repo string target repo,such as swr.cn-north-4.myhuaweicloud.com/test 示例如下: 指定一个命名空间 ./image-migrator-linux-amd64 config -n default -t swr.cn-north-4.myhuaweicloud.com/test 指定多个命名空间 ./image-migrator-linux-amd64 config -n default,kube-system -t swr.cn-north-4.myhuaweicloud.com/test 不指定命名空间(表示获取所有命名空间的镜像) ./image-migrator-linux-amd64 config -t swr.cn-north-4.myhuaweicloud.com/test
  • 准备工作 在开始迁移之前,请确保您已准备了一台安装了kubectl的服务器,用于连接源集群和目标集群。该服务器需要至少拥有5GB左右的本地磁盘空间和≥8G的内存,以确保迁移工具可以正常运行,并存储相关数据,如源集群的采集数据和目标集群的推荐数据等。 迁移工具支持在Linux(x86、arm)、Windows环境中运行,因此您可以在这些操作系统中任选一种作为服务器的操作系统。 对于Linux操作系统来说,使用image-migrator前,需要运行chmod u+x 工具名 命令(例如chmod u+x image-migrator-linux-amd64),授予可执行权限。 表1 image-migrator工具包获取 image-migrator image-migrator是一个镜像迁移工具,能够自动将基于Docker Registry v2搭建的Docker镜像仓库或第三方云镜像仓库中的镜像迁移到SWR中。 Linux x86:https://ucs-migration.obs.cn-north-4.myhuaweicloud.com/toolkits/image-migrator-linux-amd64 Linux arm:https://ucs-migration.obs.cn-north-4.myhuaweicloud.com/toolkits/image-migrator-linux-arm64 Windows:https://ucs-migration.obs.cn-north-4.myhuaweicloud.com/toolkits/image-migrator-windows-amd64.exe
  • image-migrator工作原理 图1 image-migrator工作原理 使用image-migrator工具将镜像迁移到SWR时,需要准备两个文件,一个为镜像仓库访问权限文件“auth.json”,该文件中的两个对象分别为源镜像仓库和目标镜像仓库(即Registry)的账号和密码;另一个为镜像列表文件“images.json”,文件内容由多条镜像同步规则组成,每一条规则包括一个源镜像仓库(键)和一个目标镜像仓库(值)。将这两个文件准备好以后,放在image-migrator工具所在目录下,执行一条简单的命令,就可以完成镜像的迁移。关于两个文件的详细介绍如下: “auth.json”文件 “auth.json”为镜像仓库访问权限文件,其中每个对象为一个registry的用户名和密码。通常源镜像仓库需要具有pull以及访问tags权限,目标镜像仓库需要拥有push以及创建仓库权限。如果是匿名访问镜像仓库,则不需要填写用户名、密码等信息。“auth.json”文件的结构如下: { "源镜像仓库地址": { }, "目标镜像仓库地址": { "username": "xxxxxx", "password": "xxxxxx", "insecure": true } } 其中, “源镜像仓库地址”和“目标镜像仓库地址”支持“registry”和“registry/namespace”两种形式,需要跟下述“images.json”中的registry或registry/namespace对应。images中被匹配到的url会使用对应用户名密码进行镜像同步,优先匹配“registry/namespace”的形式。 目标镜像仓库地址如果为“registry”形式,可以从SWR控制台页面获取,具体方法如下:在“总览”页面单击右上角“登录指令”,登录指令末尾的 域名 即为SWR镜像仓库地址,例如swr.cn-north-4.myhuaweicloud.com。注意每个Region的地址不同,请切换到对应Region获取。如果为“registry/namespace”形式,还要将namespace替换为SWR的组织名称。 username:(可选)用户名,values可以填写具体取值,也可以使用“${env}”或者“$env”类型的字符串引用环境变量。 password:(可选)密码,values可以填写具体取值,也可以使用“${env}”或者“$env”类型的字符串引用环境变量。 insecure:(可选)registry是否为http服务,如果是,insecure为true;默认是false。 目标镜像仓库SWR的用户名形式为:区域项目名称@AK;密码为AK和SK经过加密处理后的登录密钥,详细指导请参考获取长期有效登录指令。 示例: { "quay.io/coreos": { }, "swr.cn-north-4.myhuaweicloud.com": { "username": "cn-north-4@RVHVMX******", "password": "cab4ceab4a1545***************", "insecure": true } } “images.json”文件 该文件本质上是一个待迁移的镜像清单,由多条镜像同步规则组成,每一条规则包括一个源镜像仓库(键)和一个目标镜像仓库(值)。具体的要求如下: 同步的最大单位是仓库(repository),不支持通过一条规则同步整个namespace以及registry。 源仓库和目标仓库的格式与docker pull/push命令使用的镜像url类似(registry/namespace/repository:tag)。 源仓库和目标仓库(如果目标仓库不为空字符串)都至少包含registry/namespace/repository。 源仓库字段不能为空,如果需要将一个源仓库同步到多个目标仓库需要配置多条规则。 目标仓库名可以和源仓库名不同,此时同步功能类似于:docker pull + docker tag + docker push。 当源仓库字段中不包含tag时,表示将该仓库所有tag同步到目标仓库,此时目标仓库不能包含tag。 当源仓库字段中包含tag时,表示只同步源仓库中的一个tag到目标仓库,如果目标仓库中不包含tag,则默认使用源tag。 当目标仓库为空字符串时,会将源镜像同步到默认registry的默认namespace下,并且repository以及tag与源仓库相同,默认registry和默认namespace可以通过命令行参数以及环境变量配置。 示例如下: { "quay.io/coreos/etcd:1.0.0": "swr.cn-north-4.myhuaweicloud.com/test/etcd:1.0.0", "quay.io/coreos/etcd": "swr.cn-north-4.myhuaweicloud.com/test/etcd", "quay.io/coreos/etcd:2.7.3": "swr.cn-north-4.myhuaweicloud.com/test/etcd" } 我们提供了一个自动获取集群中工作负载正在使用的镜像的方法,即image-migrator工具的config子命令,具体用法请参见image-migrator config使用方法。得到images.json文件后,您还可以根据需要进行修改、添加或删除。
  • 请求示例 在当前区域创建或者更新Landing Zone。 POST https://{hostname}/v1/landing-zone/setup { "identity_store_email" : "string", "home_region" : "string", "setup_landing_zone_action_type" : "string", "region_configuration_list" : [ { "region" : "string", "region_configuration_status" : "ENABLED" } ], "organization_structure" : [ { "organizational_unit_name" : "string", "organizational_unit_type" : "CORE", "accounts" : [ { "account_name" : "string", "account_id" : "string", "phone" : "18700000000", "account_email" : "string", "account_type" : " LOG GING" } ] } ], "deny_ungoverned_regions" : false, "cloud_trail_type" : true, "kms_key_id" : "", "logging_configuration" : { "logging_bucket" : { "retention_days" : 5475 }, "access_logging_bucket" : { "retention_days" : 5475 } } }
  • 请求参数 表1 请求Body参数 参数 是否必选 参数类型 描述 identity_store_email 是 String 管理员纳管账号创建Identity Center用户所用邮箱。 最小长度:3 最大长度:64 home_region 是 String 主区域。 最小长度:1 最大长度:64 setup_landing_zone_action_type 是 String 设置Landing Zone的类型。包括CREATE、REPAIR以及UPDATE。 最小长度:1 最大长度:256 region_configuration_list 是 Array of regionConfigurationList objects 当前纳管账号纳管的区域。 数组长度:1 - 30 organization_structure 是 Array of OrganizationStructureBaseLine objects 基础环境的纳管账号体系。 数组长度:1 - 2 deny_ungoverned_regions 否 Boolean 是否允许区域拒绝,默认false。 缺省值:false cloud_trail_type 否 Boolean 是否允许设置组织汇聚。 缺省值:true kms_key_id 否 String 加密字段。 logging_configuration 是 logging_configuration object 日志桶设置信息。 表2 regionConfigurationList 参数 是否必选 参数类型 描述 region 是 String 区域名字。 最小长度:1 最大长度:36 region_configuration_status 是 String 纳管账号类型LOGGING,SECURITY。 枚举值: ENABLED DISABLED 表3 OrganizationStructureBaseLine 参数 是否必选 参数类型 描述 organizational_unit_name 是 String 注册OU名称。 最小长度:1 最大长度:64 organizational_unit_type 是 String 可设置的注册OU类型。包括核心注册OU和自定义注册OU。 枚举值: CORE CUSTOM accounts 否 Array of AccountBaseline objects 纳管账号基本信息。 数组长度:0 - 100 表4 AccountBaseline 参数 是否必选 参数类型 描述 account_name 是 String 纳管账号名称。 最小长度:6 最大长度:30 account_id 否 String 纳管账号的唯一标识符(ID)。 最小长度:0 最大长度:64 phone 否 String 手机号码。 最小长度:1 最大长度:32 account_email 否 String 纳管账号邮箱。 最小长度:0 最大长度:64 account_type 是 String 纳管账号类型。类型包括LOGGING,SECURITY和CUSTOM。 枚举值: LOGGING SECURITY CUSTOM 表5 logging_configuration 参数 是否必选 参数类型 描述 logging_bucket 是 LoggingBucketBaseline object 日志基础设置。 access_logging_bucket 是 AccessLoggingBucketBaseline object 访问日志基础设置。 表6 LoggingBucketBaseline 参数 是否必选 参数类型 描述 retention_days 是 Integer 桶保留天数。 最小值:1 最大值:5475 表7 AccessLoggingBucketBaseline 参数 是否必选 参数类型 描述 retention_days 是 Integer 桶保留天数。 最小值:1 最大值:5475
  • 响应参数 状态码: 200 表1 响应Body参数 参数 参数类型 描述 baseline_update_available Boolean Landing Zone基础配置是否可用。 control_update_available Boolean 当前账号下是否有新的控制策略。 landing_zone_update_available Boolean Landing Zone是否可更新。 service_landing_zone_version String Landing Zone当前最新的版本号。 最小长度:1 最大长度:128 user_landing_zone_version String 用户当前的Landing Zone版本。 最小长度:1 最大长度:128
  • 响应示例 状态码: 200 请求成功。 { "baseline_update_available" : true, "control_update_available" : true, "landing_zone_update_available" : true, "service_landing_zone_version" : "string", "user_landing_zone_version" : "string" }
  • 响应示例 状态码: 200 请求成功。 { "controls" : [ { "identifier" : "string", "name" : "string", "description" : "控制策略ID。", "guidance" : "string", "resource" : [ "string" ], "framework" : [ "string" ], "service" : "string", "implementation" : "string", "behavior" : "string", "owner" : "string", "severity" : "string", "control_objective" : "string", "version" : "string", "release_date" : "2023-11-21T06:54:43.941Z" } ], "page_info" : { "next_marker" : "string", "description" : "本页返回条目数量。", "current_count" : 0 } }
  • 响应参数 状态码: 200 表2 响应Body参数 参数 参数类型 描述 controls Array of Control objects 控制策略信息。 page_info PageInfoDto object 本页返回条目数量。 表3 Control 参数 参数类型 描述 identifier String 控制策略ID。 最小长度:1 最大长度:128 name String 控制策略名称。 最小长度:1 最大长度:64 description String 控制策略描述。 最小长度:1 最大长度:64 guidance String 控制策略必须性。 最小长度:1 最大长度:64 resource Array of strings 治理资源。 framework Array of strings 治理策略来自的框架。 service String 控制策略所属服务。 最小长度:1 最大长度:64 implementation String 服务控制策略(SCP),配置规则。 最小长度:1 最大长度:64 behavior String 控制策略类型。包括主动性控制策略Proactive、检测性控制策略Detective、预防性控制策略Preventive。 最小长度:1 最大长度:64 owner String 纳管账号的创建来源,包括CUSTOM和RGC。 最小长度:1 最大长度:128 severity String 控制策略严重性。 最小长度:1 最大长度:64 control_objective String 控制策略目标。 最小长度:1 最大长度:128 version String 控制策略版本。 最小长度:1 最大长度:128 release_date String 控制策略发布时间。 表4 PageInfoDto 参数 参数类型 描述 next_marker String 在标签请求参数中使用以获取输出的下一部分。重复此操作,直到响应元素返回null。如果存在,则表示可用的输出比当前响应中包含的输出多。 current_count Integer 本页返回条目数量。
  • API概览 类型 子类型 说明 Landing Zone管理 查询主区域 查询Landing Zone的主区域。 设置Landing Zone前的检查 在设置Landing Zone之前,检查当前区域是否可以设置Landing Zone。 设置Landing Zone 在当前区域创建或者更新Landing Zone。 获取Landing Zone设置状态 查询Landing Zone的设置状态。 获取Landing Zone可更新状态 查询Landing Zone当前是否需要升级更新。 获取Landing Zone的配置 查询当前客户的Landing Zone的所有配置。 查询当前客户的Identity Center用户信息 查询当前客户的Identity Center用户信息。 Landing Zone治理 列出控制策略 列出RGC服务里所有的预置控制策略。 列出不合规信息 列出组织里所有不合规的资源信息。 查询控制策略详细信息 查询单个预置的控制策略详细信息。 开启控制策略 给组织下的某个单元开启某个控制策略。 关闭控制策略 关闭组织下的某个单元的某个控制策略。 查询控制策略操作状态 根据操作ID查询返回指定ID的操作状态。 列出开启的控制策略 列出组织里开启的所有控制策略信息。 列出纳管账号下开启的控制策略 列出组织里某个纳管账号开启的所有控制策略信息。 列出注册OU下开启的控制策略 列出组织里某个注册OU开启的所有控制策略信息。 查询纳管账号的合规状态 查询组织里某个纳管账号的资源合规状态。 查询注册OU的合规状态 查询注册OU的合规状态。 查询注册OU开启的控制策略 查询组织里某个注册OU下开启的某个控制策略的详细信息。 查询纳管账号的Config规则合规性信息 查询纳管账号的Config规则合规性信息。
  • URI GET /v1/governance/managed-accounts/{managed_account_id}/compliance-status 表1 路径参数 参数 是否必选 参数类型 描述 managed_account_id 是 String 纳管账号ID。 最大长度:64 表2 Query参数 参数 是否必选 参数类型 描述 control_id 否 String 启用的控制策略信息。 最小长度:1 最大长度:128
  • 响应示例 状态码: 200 请求成功。 { "deployed_version" : "string", "landing_zone_status" : "string", "percentage_complete" : 100, "percentage_details" : [ { "percentage_name" : "string", "percentage_status" : "string" } ], "landing_zone_action_type" : "string", "message" : [ { "level" : "string", "message" : "string" } ], "regions" : [ { "region" : "string", "region_configuration_status" : "ENABLED" } ] }
  • 响应参数 状态码: 200 表1 响应Body参数 参数 参数类型 描述 deployed_version String 部署的Landing Zone版本。 最小长度:1 最大长度:64 landing_zone_status String Landing Zone的设置状态,包括进行中,已完成。 最小长度:1 最大长度:64 percentage_complete Integer Landing Zone的完成进度。 最小值:1 最大值:100 percentage_details Array of PercentageDetail objects Landing Zone设置的详细进度信息。 landing_zone_action_type String Landing Zone当前需要执行的动作。 最小长度:1 最大长度:64 message Array of LandingZoneErrorMessage objects Landing Zone错误消息。 regions Array of regionConfigurationList objects 纳管的区域信息。 数组长度:1 - 100 表2 PercentageDetail 参数 参数类型 描述 percentage_name String 进度名称。 最小长度:1 最大长度:128 percentage_status String 进度状态。 最小长度:1 最大长度:64 表3 LandingZoneErrorMessage 参数 参数类型 描述 level String Landing Zone的错误级别。 message String Landing Zone详细的错误信息。 表4 regionConfigurationList 参数 参数类型 描述 region String 区域名字。 最小长度:1 最大长度:36 region_configuration_status String 纳管账号类型LOGGING,SECURITY。 枚举值: ENABLED DISABLED
  • 响应参数 状态码: 200 表2 响应Body参数 参数 参数类型 描述 account_id String 纳管账号ID config_rule_compliances Array of ConfigRuleCompliance objects Config规则合规性信息 表3 ConfigRuleCompliance 参数 参数类型 描述 rule_name String 合规规则。 status String 合规状态。 region String 区域信息。 control_id String 控制策略ID。 最小长度:1 最大长度:128
  • 响应示例 状态码: 200 请求成功。 { "common_configuration" : { "home_region" : "string", "cloud_trail_type" : true }, "logging_configuration" : { "access_logging_bucket" : { "retention_days" : 5475 }, "logging_bucket" : { "retention_days" : 5475 } }, "organization_structure" : [ { "organizational_unit_name" : "string", "organizational_unit_type" : "CORE", "accounts" : [ { "account_name" : "string", "account_type" : "LOGGING" } ] } ], "regions" : [ { "region" : "string", "region_configuration_status" : "ENABLED" } ] }
  • 响应参数 状态码: 200 表1 响应Body参数 参数 参数类型 描述 common_configuration CommonConfiguration object Landing Zone配置信息。 logging_configuration LoggingConfiguration object Landing Zone日志配置。 organization_structure Array of OrganizationStructureBaseLineRsp objects 纳管账号体系基础设置。 regions Array of regionConfigurationList objects 纳管的区域信息。 表2 CommonConfiguration 参数 参数类型 描述 home_region String 主区域名。 最小长度:1 最大长度:64 cloud_trail_type Boolean CTS 配置状态。 表3 LoggingConfiguration 参数 参数类型 描述 access_logging_bucket AccessLoggingBucketBaseline object 访问日志基础设置。 logging_bucket LoggingBucketBaseline object 日志基础设置。 表4 AccessLoggingBucketBaseline 参数 参数类型 描述 retention_days Integer 桶保留天数。 最小值:1 最大值:5475 表5 LoggingBucketBaseline 参数 参数类型 描述 retention_days Integer 桶保留天数。 最小值:1 最大值:5475 表6 OrganizationStructureBaseLineRsp 参数 参数类型 描述 organizational_unit_name String 注册OU名称。 最小长度:1 最大长度:64 organizational_unit_type String 可设置的注册OU类型。包括核心注册OU和自定义注册OU。 枚举值: CORE CUSTOM accounts Array of AccountBaselineRsp objects 纳管账号基本信息。 数组长度:0 - 100 表7 AccountBaselineRsp 参数 参数类型 描述 account_name String 纳管账号名称。 最小长度:6 最大长度:30 account_id String 纳管账号的唯一标识符(ID)。 最小长度:0 最大长度:36 account_email String 纳管账号邮箱。 最小长度:0 最大长度:64 account_type String 纳管账号类型。类型包括LOGGING,SECURITY和CUSTOM。 枚举值: LOGGING SECURITY CUSTOM 表8 regionConfigurationList 参数 参数类型 描述 region String 区域名字。 最小长度:1 最大长度:36 region_configuration_status String 纳管账号类型LOGGING,SECURITY。 枚举值: ENABLED DISABLED
  • 响应参数 状态码: 200 表2 响应Body参数 参数 参数类型 描述 identifier String 控制策略ID。 最小长度:1 最大长度:128 implementation String 服务控制策略(SCP),配置规则。 最小长度:1 最大长度:64 guidance String 控制策略必须性。 最小长度:1 最大长度:64 resource Object 治理资源。 service String 控制策略所属服务。 最小长度:1 最大长度:64 behavior String 控制策略类型。包括主动性控制策略Proactive、检测性控制策略Detective、预防性控制策略Preventive。 最小长度:1 最大长度:64 control_objective String 控制策略目标。 最小长度:1 最大长度:128 framework Array of strings 治理策略来自的框架。 artifacts Array of Artifact objects 控制策略内容。 aliases Array of strings 控制策略别名。 owner String 纳管账号的创建来源,包括CUSTOM和RGC。 最小长度:1 最大长度:128 severity String 控制策略严重性。 最小长度:1 最大长度:64 version String 控制策略版本。 最小长度:1 最大长度:128 release_date String 控制策略发布时间。 表3 Artifact 参数 参数类型 描述 content Content object 控制策略内容。 type String 策略类型。 表4 Content 参数 参数类型 描述 en String 英文策略内容。 最小长度:1 最大长度:20480 ch String 中文策略内容。 最小长度:1 最大长度:20480
  • 响应示例 状态码: 200 请求成功。 { "identifier" : "string", "implementation" : "string", "guidance" : "string", "resource" : [ "string" ], "service" : "string", "behavior" : "string", "control_objective" : "string", "framework" : [ "string" ], "artifacts" : [ { "content" : { "en" : "string", "ch" : "string" }, "type" : "string" } ], "aliases" : [ "string" ], "owner" : "string", "severity" : "string", "version" : "string", "release_date" : "2023-11-21T06:55:57.419Z" }
  • URI GET /v1/governance/managed-organization-units/{managed_organization_unit_id}/compliance-status 表1 路径参数 参数 是否必选 参数类型 描述 managed_organization_unit_id 是 String 注册OU ID。 最大长度:64 表2 Query参数 参数 是否必选 参数类型 描述 control_id 否 String 启用的控制策略信息。 最小长度:1 最大长度:128
  • 响应参数 状态码: 200 表1 响应Body参数 参数 参数类型 描述 drift_details Array of DriftDetail objects 漂移详细信息。 表2 DriftDetail 参数 参数类型 描述 manage_account_id String 管理纳管账号ID。 最小长度:1 最大长度:64 drift_type String 漂移类型。 最小长度:1 最大长度:64 drift_target_id String 漂移发生的纳管账号ID或注册OU ID。 最小长度:1 最大长度:64 drift_target_type String 漂移目标类型,类型有accountId和policyId。 最小长度:1 最大长度:64 drift_message String 漂移信息。 最小长度:1 最大长度:512 parent_organization_unit_id String 父注册OU ID。 最小长度:1 最大长度:64
  • 响应示例 状态码: 200 请求成功。 { "drift_details" : [ { "manage_account_id" : "string", "drift_type" : "string", "drift_target_id" : "string", "drift_target_type" : "string", "drift_message" : "string", "parent_organization_unit_id" : "string" } ] }
  • 产品优势 创建使用 您可以通过华为云官网实时生成目标实例,云耀数据库配合云耀云服务器一起使用,通过内网方式连接云耀数据库可以有效地降低应用响应时间、节省公网流量费用。 稳定可靠 每天自动备份数据,备份都是以压缩包的形式自动存储在 对象存储服务 (Object Storage Service,简称OBS)。备份文件保留7天,支持一键式恢复。 支持按备份文件和指定时间点的恢复,可以将7天内任意一个时间点的数据恢复到云耀数据库新实例或当前实例。 自动扩容 可以根据您的业务情况自动扩容存储空间,配合 云监控 (Cloud Eye)监测数据库压力和数据存储量的变化。 安全防护 云耀数据库处于多层防火墙的保护之下,可以有力地抗击各种恶意攻击,保证数据安全,防御DDoS攻击、防SQL注入等。 极简运维 云耀数据库提供专业数据库管理平台,重启、重置密码、参数修改、查看错误日志和慢日志、恢复数据等一键式功能。提供CPU利用率、IOPS、连接数、磁盘空间等实例信息实时监控及告警,让您随时随地了解实例动态。
  • 获取应用镜像相关组件的登录凭证 登录云服务器,运行sudo cat /credentials/password.txt命令获取应用镜像管理页面、相关组件的登录用户名密码。 例如在WordPress应用镜像获取的信息如下。 WordPress中MySQL的信息,包括版本号10.4、端口号3306、默认密码、默认名称、默认用户。 password.txt文件中没有WordPress预置的默认用户名密码信息,表示WordPress的登录用户名由用户设置。 phpmyadmin的端口号为9090、phpmyadmin管理MySQL的端口号为3306。如果您想要访问phpmyadmin并能通过phpmyadmin管理MySQL,就要在云服务器放通9090和3306端口。
  • 登录应用镜像管理页面 登录云耀云服务器 L实例 控制台,单击资源卡片,进入L实例资源页面。 在“概览”页“镜像信息”中,单击“管理”进入管理页面。 第一次进入应用镜像的管理页面时,需要初始化应用镜像,后续单击“管理”可直接进入管理页面。在初始化过程中,您将设置或修改登录应用镜像的用户名密码。 各应用镜像的初始化操作见下表。 应用镜像 操作 WordPress 初始化WordPress 宝塔面板 初始化宝塔面板 Matomo 初始化Matomo Portainer 初始化Portainer GitLab 初始化GitLab Prestashop 初始化Prestashop Odoo 初始化Odoo Superset 初始化Superset Nextcloud 初始化Nextcloud SRS 了解SRS工作界面
  • 避免绑定EIP直接通过公网访问RDS for PostgreSQL 避免RDS for PostgreSQL部署在公网或者DMZ里,应该将RDS for PostgreSQL部署在华为云内部网络,使用路由器或者防火墙技术把RDS for PostgreSQL保护起来,避免直接绑定EIP方式从公网访问RDS for PostgreSQL。通过这种方式防止未授权的访问及DDos攻击等。建议解绑弹性公网IP外部链接,如果您的业务必须绑定EIP,请务必通过设置安全组规则限制访问数据库的源IP。
  • 设置合理的用户角色密码有效期 当创建角色时候,使用VALID UNTIL关键字设置过多长时间后角色的密码不再有效。如果这个关键字被忽略,密码会长期有效。建议定期更改密码,例如每三个月更改一次密码。可通过如下命令进行设置: CREATE ROLE name WITH PASSWORD 'password' VALID UNTIL 'timestamp'; 检查是否设置密码有效期: SELECT rolname,rolvaliduntil FROM pg\_roles WHERE rolsuper = false AND rolvaliduntil IS NULL;
  • 配置日志级别记录发生错误的SQL语句 参数“log_min_error_statement”控制哪些引起错误的SQL语句记录到服务器日志中。对于大于等于当前配置等级的SQL语句消息,会记录到日志里。有效的值包括debug5, debug4, debug3, debug2, debug1, info, notice, warning, error, log, fatal, panic。“log_min_error_statement”至少配置为“error”,具体可参考日志配置管理。
  • 配置SSL连接和加密算法 尽可能利用SSL进行TCP/IP连接,使用SSL加密通信可确保客户端和服务器之间的所有通信都经过加密,防止数据被泄露和篡改,确保数据的完整性。在设置SSL加密时,服务端需要配置安全的TLS协议和加密算法,推荐使用TLSv1.2协议,加密算法推荐使用EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EDH+aRSA+AESGCM:EDH+aDSS+AESGCM:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!SRP:!RC4,具体请参考SSL连接。 可通过修改参数“ssl_min_protocol_version”配置TLS协议,修改参数“ssl_ciphers”配置加密算法。
共100000条