华为云用户手册

IPD系统设备类项目需求管理流程介绍 IPD系统设备类项目是面向系统设备类产品开发场景的IPD需求管理方法，通过结构化流程、强大的跨项目协作能力来对大型产品开发进行高质高效的管理，主要包含原始需求、系统特性、研发需求、任务、缺陷等内容，任务和缺陷是在需求实现过程中产生的活动和发现的问题。 图1 IPD系统设备类项目 IPD系统设备类项目使用的工作项类型介绍如表 IPD系统设备类项目工作项说明所示。 表1 IPD系统设备类项目工作项说明 工作项类型 说明 原始需求（RR） 原始需求是以客户视角描述的原始问题或者原始诉求。其中，客户需求属于原始需求的一种类别。 特性（FE） 特性是产品包需求或服务支撑“客户问题（PB）”所具备的重大能力。 产品包需求：由产品经理/规划代表规划出来的、完整一致的、成系列的一组正式需求。 原则上特性是产品包的主要卖点（销售亮点）集合，每条特性都是满足客户特定商业价值诉求的端到端解决方案。其中，有一部分特性是可以通过License控制单独销售。 客户问题（PB） ：客户面对的挑战与机会（客户战略与痛点），也就是该产品或服务为客户解决的核心问题。通过解决核心问题为客户带来核心价值。 研发需求（IR/SR/AR） 研发需求下的工作项有以下三种类型： IR初始需求 站在客户/市场视角，以准确的语言、完整的背景、标准的格式重新描述的需求。 SR系统需求 站在研发视角，描述系统对外呈现的、可测试的功能性需求和非功能性需求。 功能性需求是对系统提供功能的场景化的具体要求。 非功能性需求是对系统的成本、全局质量属性（主要是DFX）、技术限制等非功能性方面的具体要求。 AR分配需求 站在可交付视角，根据基层组织分工不同，由SR进一步分解分配到子系统、模块的功能和非功能需求。 任务（Task） 任务是为了完成某个目标而产生的活动。 缺陷（Bug） 项目中发现的问题，可以视为缺陷。 父主题： 管理IPD系统设备类型项目需求

使用示例项目创建CodeArts项目 单击服务首页的“新建项目”。 进入“选择模板”页面，可以选择下方示例项目来创建项目，目前支持的示例项目如表 示例项目所示。 表1 示例项目 项目模板类别 示例项目名称 使用场景 Scrum项目 DevOps全流程示例项目 针对敏捷开发全生命周期、DevOps持续交付的模板，模板内预置了思维导图、并实例化了Scrum工作项（如促销管理、会员管理，订单管理）、代码仓库、代码检查任务、编译构建任务、流水线任务等，实现全流程的研发交付自动化。 IPD项目 IPD-系统设备示例项目 针对嵌入式软件场景，其特点为软件持续迭代，硬件平台也在持续演进，比如通信设备、汽车、家电、消费电子等涉及到软硬件复杂产品。 IPD-独立软件示例项目 针对IT应用及平台类软件，硬件标准化或不依赖专有硬件，软件频繁迭代场景，比如ERP软件、CRM、数据库、网管软件等。 IPD-云服务全流程示例项目 针对云服务开发、微服务架构、自运营软件场景，比如公有云、互联网应用软件。 看板项目 客户联合敏捷交付(JAD)项目 针对研发类轻量级敏捷项目的管理，助力初创团队、小型组织任务协作，快速提升工作效率。 客户线索管理项目 针对市场营销类客户线索管理，搭建了科学的营销体系模板，推动客户转化。 招聘管理项目 针对HR类招聘进度管理，覆盖人力管理核心流程，实现科学规范化管理。 团建3+1项目 针对团建类项目的管理，助力团队活动建设。 选择相应的示例项目，进入“新建项目”页面，配置相关参数。 表2 新建项目 参数名 参数说明 工作项设置模板 工作项设置模板包含Scrum项目工作项配置的所有配置项，“工作项字段-状态流转-自动流转-为特定状态指定处理人”除外，可根据需求进行选择，选用之后可快速复用该项目的工作项配置数据。 除系统提供的默认Scrum模板外，您可以自定义工作项设置模板，操作方式为打开某项目后进入设置ㅡ工作项配置页面，再在该页面执行【保存为模板】操作。 说明： “工作项设置模板”仅Scrum项目支持。 项目名称 根据自己需求设置。 同一租户下的项目，名称不能重复。 支持大小写英文字母、数字、“_”，不超过128个字符。 项目代号 针对第三方业务。设置项目代号后，便于业务管理。 支持字母、数字、下划线和连字符，不超过200个字符。 关联企业项目(资源组) 指的是用户管理用户虚机、容器、数据库等底层资源，可根据需求选择。 说明： “关联企业项目(资源组)”仅Scrum项目和看板项目支持。 项目描述 对项目的简要说明。 支持大小写英文字母、数字、“_”，不超过1024个字符。 单击“确定”，项目创建成功，页面自动跳转至到项目内。

配置工作项层级状态流转方向 根据实际需要配置工作项状态的流转状态。工作项状态的流转状态配置好后，在工作项“列表”视图页面中单击工作项的状态，根据当前类型的状态显示可流转的状态。 单击“状态配置”下的“流转方向”页签，进入状态流转方向设置。 状态流转方向决定当前状态下的工作项是否能正常流转到目标状态，会影响工作项状态设置及拖动等功能。 勾选或取消勾选即可设置某状态是否能流转至某状态。 勾选表示可流转，不勾选表示不能流转。

应用场景 广域网质量监控主要用于发送模拟真实用户对远端服务器的访问，从而探测远端服务器的可用性、连通性等问题。 服务可用性监控 通过使用广域网功能配置定时HTTP（S）拨测任务，选择分布在全球的探测点对 域名 进行HTTP（S）拨测，并根据协议拨测结果状态码识别服务的可用性，通过配置监控告警条件，可在出现异常状态时立马告警，并收到服务故障信息。此外，您还能观察到不同地域运营商线路探测点到服务的网络响应时间时延，了解不同地域运营商的用户访问时延体验，可为系统部署架构优化提供参考依据。 网络可用性分析 通过使用广域网质量监控功能配置定时PING探测任务，根据需要选择发起探测的不同国家地域的运营商探测节点，运行一段时间后可以观察到不同国家地域的运营商线路到目标服务的网络时延情况。

入门实践 当您开通了部署服务后，可以根据业务需要将制品等资源部署到主机或容器，从而实现部署环境标准化和部署过程自动化。本文介绍部署服务中常见的部署方式，帮助您更好的使用部署服务。 在使用部署服务之前，请先做好如下准备工作： 已有可用项目，如果没有，请先新建项目。 具有创建应用的权限，参考权限管理。 已经编译完成的软件包。 表1 常用最佳实践 实践 描述 内网部署 通过代理主机进行内网部署 本实践提供了将应用通过代理主机部署到内网的主机或服务器的完整操作指导，旨在帮助您实现应用的内网部署。 灰度部署 基于Nginx实现灰度发布 本实践基于Nginx负载均衡机制，实现应用的蓝绿发布和灰度发布。 基于Kubernetes Nginx-Ingress实现应用的灰度发布 本实践基于Kubernetes原生的特性实现灰度发布。 虚拟机部署 通过自托管资源池实现跨Region虚拟机部署 本实践介绍如何将应用通过自托管资源池部署到华为云其他Region的主机。 云下IDC部署 通过自托管资源池部署应用至云下IDC 本实践介绍如何将应用通过自托管资源池部署到云下IDC的主机或容器集群。 HE2E DevOps实践 HE2E DevOps实践：部署应用 本实践以“DevOps全流程示例项目”为例，介绍如何部署应用至CCE与E CS 。

创建委托 使用华为云Serverless应用中心部署Stable-Diffusion WebUI应用需要FunctionGraph服务与其他云服务协同工作，因此需要通过配置委托给FunctionGraph授权必要的云服务资源的操作权限，且委托授权的生效需要15-30分钟才能生效，所以强烈建议您提前创建委托。 登录 统一身份认证 服务控制台，左侧导航栏选择“委托”，进入“委托”页面后，右上角单击“创建委托”。 在“创建委托”页面，配置如下参数： 委托名称：自定义。 委托类型：选择“云服务”。 云服务：选择“ 函数工作流 FunctionGraph”。 持续时间：选择“永久”。 描述（可选）：填写相关描述信息。 图1 创建委托 参数配置完成后，单击“下一步”，进入委托授权页面。在列表中搜索并选择如下5个系统策略或系统角色，单击“下一步”，进入选择权限的左右范围页面，给委托进行授权。 OBS Administrator SFS FullAccess SFS Turbo FullAccess VPC Administrator SWR Admin 图2 选择策略 请根据需要选择权限作用范围，如果不确定可以选择“所有资源”或者在“指定区域项目资源”中选择“华东-上海一”。 图3 指定区域项目资源 "OBS Administrator"暂不支持该授权范围，默认授权所有资源。 单击“确定”，委托创建完成，请等待委托生效。 父主题： 准备

初始化 登录函数工作流控制台，区域选择“上海一”。在左侧导航栏选择“应用中心”，在“应用程序”列表中单击需要初始化应用名称，进入“总览”页面。 在“总览”页面，单击“初始化自定义模型”开始配置。 图1 初始化自定义模型 VPC、子网、文件系统请选择前面创建的资源，函数访问路径默认为“/mnt/auto”，其他参数请根据实际业务情况填写。配置完成后，单击“确定”等待初始化完成。 图2 初始化自定义模型配置 步骤3完成后，单击“上传模型”，进入文件管理页面。默认用户名和密码均为admin，登录后请修改密码，保证数据安全。 图3 文件管理 部分关键目录如表1。 表1 关键目录路径 路径 用途 sd/models/Stable-diffusion 用于保存checkpoint模型文件。 sd/models/VAE 用于保存VAE文件。 sd/models/Lora 用于保存Lora模型。 sd/extensions 用于保存插件。 sd/outputs 用于保存生成结果。 父主题： 自定义模型

组件说明 函数流提供多种类型的组件，用户可以通过拖拽组件、配置组件和连接组件进行可视化编排，实现函数任务流的编排。使用函数流功能，请先了解表1。 表1 组件说明 类型 名称 说明 服务组件 函数 FunctionGraph函数，如何创建函数请参见创建函数。 EG 事件网格服务（EventGrid），EG节点会发布已配置的事件至指定的EG事件通道，如何创建EG资源请参见事件网格相关文档。 流程控制器 回调节点 通过人工干预实现对执行中函数流的条件控制，函数流将阻塞在回调节点，直到用户调用回调接口以继续函数流执行，从而达到人工审批的效果。 子流程 把已创建的“函数流”任务作为“子流程”组合成一个新的函数流任务。 并行分支 用于创建多个并行分支的控制器，以便同时执行多个分支任务，并可根据分支执行结束后控制下一步流程。 开始节点 只能加入触发器，用于标识流程的开始，一个流程只能有一个开始节点。 异常处理 用于控制函数执行失败后的下一步流程。 循环节点 用于对数组中每个元素进行循环处理。每次循环会执行一次循环内部的子流程。 时间等待 用于控制当前流程在指定时间延迟后再调用下一个流程。 服务节点 用于对多个函数构成的复杂操作进行抽象，可以将多个函数操作合并成一个原子节点进行管理。 条件分支 用于根据条件判断是否执行下一分支。 结束节点 用于标识流程的结束。

编排规则 设计的函数流必须是一个有向无环图，从开始节点出发，开始节点后续必须且只能连接一个节点（除了异常处理和结束节点）；流程必须在某一个节点结束，结束流程有两种形式： 流程中存在的节点没有任何后继节点，且后续节点非条件分支，并行分支或开始节点。 流程中存在结束节点，且结束节点后续无其他节点。 组件设计规则 表2 触发器和函数和EG 参数 说明 创建函数流时，是否必选 触发器 当前允许流程中配置0-10个触发器。 触发器必须配置在开始节点内。 触发器不允许连接其他任何节点，也不允许被其他节点连接。 否 函数 当前允许流程中配置0-99个函数节点。 当函数连接异常处理节点时，最多可以再连接一个非开始节点和非异常处理节点。 当函数不连接异常处理节点时，只能连接一个非开始节点。 否 EG 当前允许流程中配置0-10个EG节点。 当EG节点连接异常处理节点时，最多可以再连接一个非开始节点和非异常处理节点。 当EG节点不连接异常处理节点时，只能连接一个非开始节点。 否 表3 流程控制器 参数 说明 创建函数流时，是否必选 回调节点 回调节点限制规则参考表2中函数参数，但回调节点不可为服务节点的子节点 否 子流程 该节点选择已创建的函数流任务。 否 并行分支 用于标识节点后面的分支会并行执行。 后继节点允许连接1-20个节点（除了异常处理，开始节点和结束节点），至少连接一个节点。 否 开始节点 用于标识流程开始，每个流程必须有且只能有一个开始节点。 开始节点后面必须接1个节点，后续节点类型不能是结束节点或者异常处理。 必选 异常处理 后面可以接0-10个节点，后继节点不能是开始节点，结束节点和异常处理节点。 否 循环节点 用来对数组中每个元素进行循环处理。每次循环会执行一次循环内部的子流程。 循环节点内部子流程需要满足如下规则： 只能有一个起始节点（没有前驱节点），起始节点只能使用函数，时间等待节点。 循环节点内部只允许编排函数，时间等待，异常处理节点。 否 时间等待 后面可以连接0个或1个节点，节点类型不能是开始节点和异常处理节点。 否 服务节点 服务节点由多个函数节点组成，后续节点可以是结束节点或异常处理节点。 否 条件分支 后面可以连接2-20个后继节点，后继节点类型不能为开始节点，结束节点和异常处理节点。 否 结束节点 后面不能接任何节点。 否

步骤六：测试函数 在函数详情页，单击“测试”，在弹窗中创建新的测试事件。 选择“apig-event-template”，事件名称输入“helloworld”，测试事件修改为如下所示，完成后单击“创建”。 { "body": "{\"message\": \"helloworld\"}", "requestContext": { "requestId": "11cdcdcf33949dc6d722640a13091c77", "stage": "RELEASE" }, "queryStringParameters": { "responseType": "html" }, "httpMethod": "POST", "pathParameters": {}, "headers": { "Content-Type": "application/json" }, "path": "/helloworld", "isBase64Encoded": false }

步骤三：本地验证 启动docker容器 docker run -u 1003:1003 -p 8000:8000 custom_container_http_example:latest 打开一个新的命令行窗口，向开放的8000端口发送消息，支持访问模板代码中根目录“/”下所有路径，以下以“helloworld”为例。 curl -XPOST -H 'Content-Type: application/json' -d '{"message":"HelloWorld"}' localhost:8000/helloworld 按照模块代码中返回 Hello FunctionGraph, method POST 在容器启动端口可以看到 receive {"message":"HelloWorld"} 或者使用docker logs命令获取容器的日志

步骤三：本地验证 启动docker容器 docker run -u 1003:1003 -p 8000:8000 custom_container_event_example:latest 打开一个新的命令行窗口，向开放的8000端口发送消息，访问模板代码中指定的/init路径 curl -XPOST -H 'Content-Type: application/json' localhost:8000/init 按照模块代码中返回 Hello init 打开一个新的命令行窗口，向开放的8000端口发送消息，访问模板代码中指定的/invoke路径 curl -XPOST -H 'Content-Type: application/json' -d '{"message":"HelloWorld"}' localhost:8000/invoke 按照模块代码中返回 Hello invoke 在容器启动端口可以看到 Listening on http://localhost:8000 receive {} receive { message: 'HelloWorld' } 或者使用docker logs命令获取容器的日志

场景说明 由于“华北-北京一”region已转存量维护局点，存在无资源部署的问题。在此情况下，可以通过 安全云脑 实现资源纳管，支撑用户使用安全云脑进行安全运营。 支持纳管以下资源： 资产： 主机、网站、数据库、VPC、EIP 日志： HSS安全日志、告警日志、 漏洞扫描 日志、基线日志；WAF攻击日志、访问日志；APIG请求日志； CTS 服务日志；DCS告警日志； IAM 审计日志；安全云脑基线日志 本场景介绍如何在“华北-北京四”region的安全云脑中完成操作，实现纳管“华北-北京一”region中云服务资源。

安全运营 以上操作完成后，即可在“华北-北京四”region的指定工作空间中对“华北-北京一”region的云服务进行运营。 图14 安全运营 管理资产与风险 安全运营的本质指安全风险管理，根据ISO的定义，其三要素包括“资产”，“脆弱性”和“威胁”。因此，梳理您要防护的资产，是安全运营的业务流起点。 梳理资产 安全云脑可以帮助您： 将云上资产从不同租户、不同Region汇集到一个视图中。 将云外资产导入到安全云脑中，并标记其所属的环境。 将资产的风险情况标识出来，例如：是否有不安全的配置、是否有OS或者应用漏洞、是否存在疑似入侵的告警、是否覆盖了对应的防护云服务（例如：ECS上应该安装HSS的Agent、域名应纳入到WAF的防护策略中）。 更多详细介绍及操作请参见资产管理。 检查并清理不安全的配置 在安全运营过程中，最常见的“脆弱性”是不安全的配置。安全云脑基于安全合规经验，形成自动化检查的基线，按照业界通用的规范标准，提供基线检查包。 提供了多种基线标准。法规类标准，如：ISO系列标准、PCI DSS；隐私保护类，如：某国家或地区的隐私保护基线。 云服务中的配置可以自动检查。如：IAM是否按角色进行授权分数、VPC的安全组中是否存在完全放通的策略、WAF的防护策略是否开启等。您可以根据“详情”中建议的方法，对配置进行加固。 更多详细介绍及操作请参见安全治理、基线检查。 发现并修复漏洞 在修复配置类风险之后，安全云脑还可以帮助您，发现并修复安全漏洞。支持检测Linux软件漏洞、Windows系统漏洞、Web-CMS漏洞、应用漏洞，提供漏洞概览，包括主机漏洞检测详情、漏洞统计、漏洞类型分布、漏洞TOP5和风险服务器TOP5，帮助您实时了解主机漏洞情况。 更多详细介绍及操作请参见漏洞管理。 检测与寻找威胁 数据源连接到安全云脑后，我们已经清点了要保护的资产，并查找及修复了不安全的配置和漏洞，接下来就是识别可疑活动和威胁。 安全云脑可提供多种内置的由安全专家和分析团队根据已知威胁、常见攻击媒介和可疑活动上报链设计的模板，使你能够执行某些对应操作时收到此类威胁的通知。启用这些模板后，它们将自动在整个环境中搜索可疑活动。同时，可以根据你的需要自定义模板，以搜索或筛选出活动。 同时，还支持云服务安全日志数据检索、分析功能，提供专业级的安全分析能力，实现对云负载、各类应用及数据的安全保护。 更多详细介绍及操作请参见模型模板、安全分析。 调查告警与事件 调查告警 威胁检测 模型分析大量的安全云服务日志，找到疑似入侵的行为，即告警。安全云脑中的告警包含如下字段：名称、等级、发起可疑行为的资产/威胁、遭受可疑行为的资产。安全值班人员，需要在较短的时间内对告警做出判定。如果风险较低，则关闭告警（如：重复告警、运维操作）；如果风险较高，需要单击“转事件”，将告警转为事件。 更多详细介绍及操作请参见查看告警信息、告警转事件。 调查事件 告警转成事件后，就可以在事件管理中查看到生成的事件，事件生成后可以进行调查分析。您可以在事件上关联与可疑行为相关的实体：资产（如：VM）、情报（如：攻击源IP）、账号（如：泄露的账号）、进程（如：木马）等；也可以关联历史上相似的其他告警或事件。 更多详细介绍及操作请参见查看事件信息、编辑事件。 响应威胁 利用实时自动化，您可以通过对重复类型的告警实现常规响应自动化来减少告警研判工作量。同时，也可以利用自动化的剧本，完成自动化止血操作。 更多详细介绍及操作请参见安全编排。 使用总大屏、报告 安全大屏 综合 态势感知 ：可以还原攻击历史，感知攻击现状，预测攻击态势，呈现安全运营的全局指标情况。 值班响应大屏：可以查看未处理告警、事件、漏洞、基线等需要处理的安全风险事项。 资产大屏：可以查看资产总数、受攻击资产数、未防护资产数等需要处理的资产以及资产视角的风险情况。 威胁态势大屏：可以查看DDoS攻击次数、网络攻击次数、应用拦截次数、主机层拦截次数等威胁攻击趋势及其防御、检测情况。 脆弱性大屏：可以查看脆弱性资产、漏洞、基线、未防护资产等脆弱性配置或资产的趋势及分布。 更多详细介绍及操作请参见安全大屏。 安全报告 展示安全评分、基线检查结果、安全漏洞、策略覆盖等信息，您可以通过创建安全报告，及时掌握资产的安全状况数据。 更多详细介绍及操作请参见安全报告。

请求示例 请求URL示例 POST https://{endpoint}/v1/{project_id}/cloudservers 假设需要创建规格ID为“c6.large.2”的竞享实例，其中，镜像ID为“1189efbf-d48b-46ad-a823-94b942e2a000”、磁盘类型为“SATA”、VPC ID为“0dae26c9-9a70-4392-93f3-87d53115d171”，请求示例参考如下： { "server": { "availability_zone": "cn-east-3b", "name": "newserver", "imageRef": "1189efbf-d48b-46ad-a823-94b942e2a000", "flavorRef": "c6.large.2", "root_volume": { "volumetype": "SATA", "size": 40 }, "vpcid": "0dae26c9-9a70-4392-93f3-87d53115d171", "security_groups": [ { "id": "507ca48f-814c-4293-8706-300564d54620" } ], "nics": [ { "subnet_id": "157ee789-03ea-45b1-a698-76c92660dd83" } ], "count": 2, "extendparam": { "chargingMode": 0, "marketType": "spot", "spot_duration_hours": "3", "spot_duration_count": 1, "interruption_policy": "immediate" } } }

操作步骤 在华为云官网首页，进入“最新活动”页面“特惠促销”板块，点击进入“竞享实例”活动页面。 在“热销机型”专区，选择购买机型。 图1 购买专区 选择规格及时长选择需购买实例。 图2 购买云服务器 竞享实例 选择“规格”。 您可以根据业务需求选择使用的云服器规格，目前线上购买仅支持2核4G~32核128G等规格，如需更高规格请提工单咨询。 选择“数据中心” 不同区域的云服务产品之间内网互不相通。请就近选择靠近您业务的区域，可减少网络时延，提高访问速度。具体规格竞享实例支持哪些区域，请以购买页面为准。 选择“购买时长” 您可以根据您的业务需求预选购买时长，不同购买时长下实例单价存在差异，在到达购买时长后，系统会自动回收实例，请您及时做好数据备份。 在购买时长内，华为云会尽可能保障您的使用，若因系统资源不足等极端情况导致资源被提前释放，华为云将免除部分实例费用，计费方式请参考：计费规则。 配置竞享实例详细参数。 根据界面提示，配置竞享实例的参数。 图3 配置竞享实例详细参数 核对配置信息。 在“专区首发-竞享实例”专区确定地域、购买时长及规格后，详情页不可修改相关参数，如需修改，您可以返回“专区首发-竞享实例”专区重新选择。 可用区由系统随机分配。 依次在页面选择“云服务器镜像”、“系统盘”、“VPC”、“子网”、“安全组”及“登录方式”。 配置“用户数据注入”（可选）。 可选配置，主要用于创建竞享实例时向竞享实例注入用户数据。 如需使用“用户数据注入”中的功能，请勾选“现在配置”，否则请勿勾选。 图4 用户数据注入 设置“购买数量”。 系统会显示您当前还可以购买的竞享实例数量。 图5 扩大配额及勾选“协议” 扩大配额（可选）。 当前线上购买单次最多可创建20台，如果您需要的竞享实例数量超过当前您可以购买的最大数值，您需要单击右侧“申请扩大配额”。申请通过后，您可以购买到满足您需要的竞享实例数量。 勾选“协议”。 阅读并勾选同意协议。 确认订单。 如果您对价格有疑问，可以单击“了解计费详情”来了解产品价格。 如果您确认配置无误，单击“立即购买”。 阅读并确认注意事项。 请您阅读并知悉购买竞享实例的注意事项，确认后请单击“已了解，确认购买”。 图6 注意事项 为竞享实例配置更多服务（可选）。 使用以上步骤创建的竞享实例默认只分配系统盘，并且未配置带宽，以下为您介绍数据盘、弹性公网IP和SFS Turbo文件系统等竞享实例常用搭配服务的使用方法。 为竞享实例购买、挂载并初始化数据盘操作请参考：云硬盘。 为竞享实例配置带宽请参考：为弹性云服务器申请和绑定弹性公网IP。 为竞享实例创建、挂载SFS Turbo文件系统请参考：SFS Turbo文件系统。 【竞享实例购买入口】https://activity.huaweicloud.com/ceci.html

CCE集群节点配置污点和容忍策略后构建报错 问题描述 构建失败，构建日志显示如下错误提示信息： 0/1 nodes are available: 1 node(s) had untolerated taint {node.kubernetes.io/route-unschedulable: }. preemption: 0/1 nodes are available: 1 Preemption is not helpful for scheduling. 原因分析 由于构建任务被调度到了CCE集群的受限调度节点上，该节点进行了污点管理配置（如报错信息中显示的node.kubernetes.io/route-unschedulable）。污点能够使节点排斥某些特定的Pod，从而避免Pod调度到该节点上，同时该CCE集群中没有其他节点可供调度，导致构建失败报错。 解决方法 请参考管理节点污点（Taint），去除受限调度节点上的污点，保证CCE集群下至少有一个节点可供调度。

构建的代码依赖自己的私有maven仓库 有以下两种解决方案。 在自己的项目的根目录下增加settings.xml文件，在settings.xml指定自己的私有maven仓库地址（如果自己的私有maven仓库时需要认证的，则需要在settings.xml配置上自己的认证信息，用户名密码等）。 在自己项目的pom.xml文件中，指定自己的私有maven仓库。 settings.xml和pom.xml所在路径示例如下。

出现拉取不到代码的场景 如下图所示： 一般原因可能有三种。 如果是在自己的节点上构建应用，可能是该节点没有绑定弹性ip，如上图所示"192.168.x.x"的节点没有绑定弹性ip，解决方法：去该节点绑定弹性IP。 授权信息过期，代码源的私人令牌权限范围不够，或者授权信息已被移除等，例如：CodeArts的代码源，拉取不到代码，可能是创建授权的时候，用户名对应的密码输错了，导致拉取不到代码。解决方法：重新授权即可。 自己搭建的代码源仓库，和构建的节点网络不通，例如：在集群A的某一个节点上搭建了一个私有的bitbucket，使用集群B构建，但是集群B和集群A不是同一个vpc，内网不通，导致构建拉取不到代码。解决方法：打通网络。

亲和性概念阐述 在应用没有容器化之前，原先一个虚拟机上会装多个组件，进程间会有通信。 但在做容器化拆分的时候，通常直接按进程拆分容器。比如业务进程一个容器，监控日志处理或者本地数据放在另一个容器，并且有独立的生命周期。这时如果进程分布在网络中两个较远的点，请求经过多次转发，性能会很差。 亲和性可以实现就近部署，增强网络能力实现通信上的就近路由，减少网络的损耗。 反亲和性主要是出于高可靠性考虑，尽量分散实例，某个节点故障的时候，对应用的影响只是N分之一或者只是一个实例。 应用与可用区的亲和性 亲和：决定应用组件部署在特定的可用区中。 反亲和：决定应用组件不能部署在特定的可用区中。 应用与节点间的亲和性 亲和：决定应用组件部署在某些特定的主机中。 反亲和：决定应用组件不能部署在某些特定的主机中。 应用间的亲和性 决定应用组件部署在相同或不同节点中。 亲和：用户可根据业务需求进行应用组件的就近部署，应用组件间通信就近路由，减少网络消耗。如图1所示，APP1、APP2、APP3和APP4部署在相同节点上，为亲和性部署。 图1 应用间亲和 反亲和：同个应用组件的多个实例反亲和部署，减少宕机影响；互相干扰的应用反亲和部署，避免干扰。 如图2所示，APP1、APP2、APP3和APP4分别部署在不同节点上，这四个应用为反亲和性部署。 图2 应用间反亲和

使用限制 单账号跟踪的事件可以通过 云审计 控制台查询。多账号的事件只能在账号自己的事件列表页面去查看，或者到组织追踪器配置的OBS桶中查看，也可以到组织追踪器配置的CTS/system日志流下面去查看。 用户通过云审计控制台只能查询最近7天的操作记录。如果需要查询超过7天的操作记录，您必须配置转储到 对象存储服务 (OBS)，才可在OBS桶里面查看历史文件。否则，您将无法追溯7天以前的操作记录。 云上操作后，1分钟内可以通过云审计控制台查询管理类事件操作记录，5分钟后才可通过云审计控制台查询数据类事件操作记录。

操作步骤 登录ServiceStage控制台。 在“环境管理”页面，以如下任意方式进入“编辑环境”页面： 选择待操作环境，在“操作”列单击“编辑”。 单击待操作环境名称，进入环境详情页面，单击“编辑”。 参考下表编辑环境信息。 参数 参数说明 环境名称 环境的名称。 企业项目 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 已开通企业项目后可以使用。 描述 环境说明信息。 单击，输入环境说明信息。 单击，保存描述。 标签 说明： “华东-上海一”区域支持设置“标签”参数。 标签用于标识资源，当您拥有相同类型的许多资源时，可以使用标签按各种维度（例如用途、所有者或环境）对资源进行分类。 如果您的组织已经设定ServiceStage服务的相关标签策略，则需按照标签策略规则添加标签。标签如果不符合标签策略的规则，则可能会导致编辑环境失败，请联系组织管理员了解标签策略详情。 同一个环境下最多可以添加20个标签。 删除标签 单击待删除标签后的。 新增标签 单击“添加标签”，弹出“添加标签”对话框。 单击“新增标签”。 输入标签对应的key值和value值。 如果您需要使用同一标签标识多种资源，即所有资源均可在标签输入框下拉选择同一标签，建议在TMS中创建预定义标签。 单击“确定”。 图1 编辑环境信息 单击“保存”，完成环境修改。

前提条件 已经创建集群，请参考购买集群创建 CCE Turbo 集群或者CCE Standard集群。 构建任务会在CCE集群节点上启动一个构建容器，执行构建相关的操作。为了确保构建的安全性，建议您对CCE集群节点进行安全加固，请参考禁止容器获取宿主机元数据进行操作。 如果您创建的是CCE Turbo集群，需要为集群配置SNAT规则，使之能够通过NAT网关访问公网用于拉取源码。否则，会导致执行源码构建任务的时候因为无法访问公网导致拉取源码失败，从而导致构建失败。为集群配置SNAT规则，请参考从容器访问公网。 构建任务依赖预置在构建容器中的JDK、Golang、Maven、Gradle、Ant或Node.js编译工具。 支持同一个账号下的不同IAM用户操作同一个构建集群。如需对特定IAM用户取消构建权限，请参考创建ServiceStage自定义策略为该用户设置自定义策略，将“servicestage:assembling:create”、“servicestage:assembling:modify”和“servicestage:assembling:delete”权限设置为拒绝策略。 已为构建节点绑定弹性公网IP，请参考绑定弹性公网IP。

操作步骤 登录ServiceStage控制台。 单击“全链路流量控制”。 单击待操作泳道组名称，进入“全链路流量控制”页面。 单击泳道组当前关联的流量入口网关卡片上的“网关路由配置”。 “配置方式”选择“基于流量配置”。 根据您的实际业务需要，输入各泳道的流量配置百分比。 各泳道的流量配置取值范围为[0, 100]之间的整数，全部泳道流量配置百分比之和必须等于100%。 单击“确定”，完成基于流量的网关路由配置。 配置会对泳道组下所有泳道生效。

操作步骤 登录ServiceStage控制台。 在“环境管理”页面，单击待操作虚拟机类型环境名称。 在“资源配置”下左侧列表，选择“计算”资源类型下的“弹性云服务器 ECS”资源名称。 在右侧已纳管的资源列表，找到需要安装Agent的虚拟机，在“Agent 状态”列单击“安装”，弹出Agent安装窗口。 选择“授权模式”。 授权Agent可以使用您的身份认证信息，获取应用的部署、升级、启动、停止等任务，并执行任务。 您可以选择“委托授权”、“AK/SK”模式进行授权，推荐使用“委托授权”。 “授权模式”选择“委托授权”： 单击，选择已经创建的委托后单击。 新创建委托，请参考 如何创建委托？。 创建委托时，您需要委托op_svc_ecs账号或者ECS云服务，并且在相应的区域选择Tenant Administrator策略。 “授权模式”选择“AK/SK”： 安全起见，请获取并使用具有“ServiceStage Development”权限的AK、SK。AK、SK所属账号需和安装虚拟机Agent时使用的账号在同一个用户下。 AK、SK获取请参考访问密钥。 单击“复制命令”，复制窗口下方自动生成的命令，即为Agent安装命令。 “委托授权”模式，命令示例如下： export AGENT_INSTALL_URL=https://${Region_Name}-servicestage-vmapp.obs.${Region_Name}.${Domain_Name}/vmapp/agent/agent-install.sh;if [ -f `which curl` ];then curl -# -O -k ${AGENT_INSTALL_URL};else wget --no-check-certificate ${AGENT_INSTALL_URL};fi;bash agent-install.sh ${Project_ID} ${Version} ${Region_Name} ${Flag} “AK/SK”模式，命令示例如下： export AGENT_INSTALL_URL=https://${Region_Name}-servicestage-vmapp.obs.${Region_Name}.${Domain_Name}/vmapp/agent/agent-install.sh;if [ -f `which curl` ];then curl -# -O -k ${AGENT_INSTALL_URL};else wget --no-check-certificate ${AGENT_INSTALL_URL};fi;bash agent-install.sh ${AK}${SK} ${Project_ID} ${Version} ${Region_Name} ${Flag} AGENT_INSTALL_URL为Agent安装地址。 Region为华北-北京一时，AGENT_INSTALL_URL=https://servicestage-vmapp.obs.cn-north-1.myhwclouds.com/vmapp/agent/agent-install.sh。 如果使用“委托授权”模式，ECS节点有权获取用户的临时AK/SK，命令中不需要输入AK/SK。 ${AK}、${SK}为访问密钥。 ${Region_Name}为区域名称。 ${Domain_Name}为全局域名。 ${Project_ID}为项目ID，如何获取项目ID请参考如何获取项目ID？。 ${Version}为版本号，使用latest，自动去下载最新版本。 ${Flag}为布尔值，表示是否自动添加应用访问端口。true表示是；false表示否。 参照界面提示登录虚拟机，执行安装命令。 如果虚拟机Agent安装失败，请参考如何处理虚拟机Agent安装成功但是界面仍然显示缺少Agent？处理。

添加组件标签 登录ServiceStage控制台。 选择以下任意方式进入组件“概览”页面。 在“应用管理”页面，单击组件所属应用名称，在“组件列表”单击待操作组件名称或者在组件名称上单击右键选择打开组件“概览”页面的方式。 在“组件管理”页面，单击待操作组件名称或者在组件名称上单击右键选择打开组件“概览”页面的方式。 单击“标签管理”。 图2 管理标签 单击“添加标签”： 输入“键”、“值”。 输入的“键”名称不能和已有标签的“键”名称重复。 单击“保存”。 图3 添加标签

删除组件标签 登录ServiceStage控制台。 选择以下任意方式进入组件“概览”页面。 在“应用管理”页面，单击组件所属应用名称，在“组件列表”单击待操作组件名称或者在组件名称上单击右键选择打开组件“概览”页面的方式。 在“组件管理”页面，单击待操作组件名称或者在组件名称上单击右键选择打开组件“概览”页面的方式。 单击“标签管理”。 选择待删除的标签，单击“操作”列的“删除标签”。 图4 删除标签 单击“保存”。

修改弹性伸缩-HPA策略 您可以根据实际业务需要，编辑已设置好的弹性伸缩-HPA策略，重新设置策略参数。 登录ServiceStage控制台。 选择以下任意方式进入组件“伸缩”页面： 在“应用管理”页面，单击组件所属应用名称，在“组件列表”单击待操作组件名称或者在组件名称上单击右键选择打开组件“概览”页面的方式，在左侧导航栏单击“伸缩”。 在“组件管理”页面，单击待操作组件名称或者在组件名称上单击右键选择打开组件“概览”页面的方式，在左侧导航栏单击“伸缩”。 在“伸缩”页面，选择“伸缩策略配置”页签，单击“编辑伸缩策略”，重新设置参数。 冷却时间 根据实际业务需要，修改扩容/缩容冷却时间。 实例范围 根据实际业务需要，修改最小实例数和最大实例数。 触发条件 支持通过“界面配置”、“YAML配置”两种方式修改触发条件参数。 “界面配置”方式 根据实际业务需要，修改“CPU利用率”、“内存利用率”指标的“期望值”和“阈值”（缩容阈值、扩容阈值）。 “YAML配置”方式 使用YAML格式可以自定义指标参数配置，并支持更多指标，如pods、Object、External等。 使用“YAML配置”方式配置自定义指标参数，CCE集群需要已安装prometheus插件。 为CCE集群安装prometheus插件，请参考prometheus。 单击“确定”，完成修改。

设置弹性伸缩-HPA策略 登录ServiceStage控制台。 选择以下任意方式进入组件“伸缩”页面： 在“应用管理”页面，单击组件所属应用名称，在“组件列表”单击待操作组件名称或者在组件名称上单击右键选择打开组件“概览”页面的方式，在左侧导航栏单击“伸缩”。 在“组件管理”页面，单击待操作组件名称或者在组件名称上单击右键选择打开组件“概览”页面的方式，在左侧导航栏单击“伸缩”。 在“伸缩”页面，单击“弹性伸缩 - HPA”右侧的，开启伸缩策略配置，进入“伸缩策略配置”页签。 CCE集群未安装metrics-server插件，请执行4。 CCE集群已安装metrics-server插件，请执行6。 单击“立即前往配置”，在云容器引擎控制台完成metrics-server插件安装。 为CCE集群安装metrics-server插件，请参考metrics-server。 等待插件安装完成后，返回“伸缩策略配置”页面，刷新页面。 设置伸缩策略参数。 策略名称 输入策略名称。伸缩策略设置完成后，策略名称不支持修改。 冷却时间 根据实际业务需要，输入扩容/缩容冷却时间。 策略成功触发后，在扩容/缩容冷却时间内，不会再次触发扩容/缩容。 实例范围 根据实际业务需要，输入最小实例数和最大实例数。 策略成功触发后，工作负载实例将在此实例范围内伸缩。 触发条件 支持通过“界面配置”、“YAML配置”两种方式设置触发条件参数。 “界面配置”方式 根据实际业务需要，设置“CPU利用率”、“内存利用率”指标的“期望值”和“阈值”（缩容阈值、扩容阈值）。 策略成功触发后，通过向上取整（当前CPU或内存利用率指标值 / 期望值 × 当前运行实例数）来计算需要伸缩的实例数。 当前CPU或内存利用率的指标值小于缩容阈值时，触发缩容。 当前CPU或内存利用率的指标值大于扩容阈值时，触发扩容。 “YAML配置”方式 metrics: - type: Resource resource: name: cpu target: type: Utilization averageUtilization: 50 - type: Resource resource: name: memory target: type: Utilization averageUtilization: 50 - type: Pods pods: metric: name: packets-per-second target: type: AverageValue averageValue: 1k - type: Object object: metric: name: requests-per-second describedObject: apiVersion: networking.k8s.io/v1beta1 kind: Ingress name: main-route target: type: Value value: 10k 如以上示例所示，使用YAML格式除了使用CPU（cpu）、内存（memory）的利用率（Utilization）作为指标外，还可以自定义指标参数配置，并支持更多指标，如Pods、Object、External等。 使用“YAML配置”方式配置自定义指标参数，CCE集群需要已安装prometheus插件。 为CCE集群安装prometheus插件，请参考prometheus。 单击“确定”，完成策略设置。 弹性伸缩-HPA策略设置完成后，您可以根据业务需要，执行以下操作： 修改弹性伸缩-HPA策略 查看弹性伸缩-HPA策略运行情况 删除弹性伸缩-HPA策略

查看弹性伸缩-HPA策略运行情况 ServiceStage支持查看已设置好的弹性伸缩-HPA策略的运行状态和运行事件。 登录ServiceStage控制台。 选择以下任意方式进入组件“伸缩”页面： 在“应用管理”页面，单击组件所属应用名称，在“组件列表”单击待操作组件名称或者在组件名称上单击右键选择打开组件“概览”页面的方式，在左侧导航栏单击“伸缩”。 在“组件管理”页面，单击待操作组件名称或者在组件名称上单击右键选择打开组件“概览”页面的方式，在左侧导航栏单击“伸缩”。 在“伸缩”页面： 选择“状态”页签，查看策略运行状态。 选择“事件”页签，查看策略运行中发生的事件。