华为云用户手册

新建集群 在集群的下拉列表中，单击“新建集群”。 根据表6，配置集群参数。 表6 集群参数说明 区域 参数 说明 基础配置 集群名称 用户自定义。 虚拟私有云 在下拉列表中选择虚拟私有云。 子网 子网的可用IP数需要大于等于迁移节点数+列举节点数+1。 迁移节点 ECS规格 推荐规格8U16G。 数量 设置的节点数量需要同时满足如下要求： 迁移节点数+列举节点数+1 ≤100 迁移节点数+列举节点数+1 ≤子网可用IP数 列举节点 ECS规格 推荐规格8U16G。 数量 设置的节点数量需要同时满足如下要求： 迁移节点数+列举节点数+1 ≤100 迁移节点数+列举节点数+1 ≤子网可用IP数 网络模式 公网 使用公网迁移，并选择公网网关。如果没有可用网关，选择“新建网关”，选择网关规格和EIP（EIP最多支持同时勾选20个）。 专线 使用专线迁移，输入允许转发或直接请求到专线的IP地址，如：Nginx、网关等。 启用LTS服务 启用：记录存储迁移过程中的日志，便于查看和定位迁移中出现的问题。 不启用：不记录存储迁移过程中的日志。

过滤策略说明 过滤策略参数填写通配符规则说明和约束说明参见下表。 表7 过滤策略参数说明 参数 说明 填写规则 约束说明 黑名单 命中黑名单规则，则文件不进行迁移/一致性对比。支持精确匹配和模糊匹配。 精确匹配，填写文件绝对路径 全路径精确匹配，特殊字符用反斜杠（\）转义 模糊匹配 *匹配任何字符0个或者多个，但不匹配斜杠(/) 使用**匹配任何字符0个或者多个，包括斜杠(/) ?匹配除斜杠(/)之外的任何字符，只能匹配一个 {和}定义元素之间的选择：包含一个以逗号分隔的模式列表, 其中任何一种模式都可能匹配，可以包含通配符。 特殊字符可以在它们之前使用 \进行转义，\后面为通配符时，表示转义，否则表示\本身 除{ 和 } 以外，不能出现连续的规则符号，例如：***、*?、**?、?*、?**、*{*、*}*、*}?、?{*、{*}、{,}、{*,、 ,*}、,*,。 { 和 } 之间的模式，只能使用*做通配符。 { 和 } 之间的模式，不能有{}嵌套。 文件绝对路径在黑名单和白名单同时命中，则黑名单生效，即不做迁移。 需要配置多个匹配规则时，用英文分号隔开。 白名单 白名单为空时，迁移所有文件。 白名单不为空时，仅对绝对路径命中白名单规则的文件进行迁移/一致性对比。 时间段 配置时间段，根据配置，迁移最后修改时间在配置时间段内的文件或者文件夹。 开始时间和结束时间可以配置为空，为空时表示不限制，时间可以精确到分钟。

使用须知 支持的区域 当前支持在以下区域（Region）进行SFS迁移，其它Region请使用线下工具RDA或者咨询其它方案进行迁移。 华北-北京四 华北-乌兰察布一 华南-广州 华东-上海一 华南-广州-友好用户环境 华东-青岛 西南-贵阳 内网迁移 支持在同一Region内通过内网进行迁移。 软连接处理 MgC不支持源端路径为软链接的迁移。如果源端包含软链接，请进行如下处理： 填写实际的文件路径。 迁移完成后，手动在目的端创建相应的软链接。 父主题： SFS1.0迁移至SFS 3.0

更改目的端规格 在资源配置明细区域，单击主机资源操作列的“更改目的端规格”，右侧弹出资源详情窗口。 单击主机规格后的“更改规格”，可以修改目的端主机规格和镜像。 单击磁盘对应的目的端规格处的“更改规格”，可以修改目的端磁盘的存储类型和资源总用量（磁盘容量）。Linux主机的磁盘容量可以根据源端主机磁盘的实际使用量，进行缩容，即小于源端磁盘容量。更改磁盘规格后，系统会自动判断是否进行了磁盘缩容，在主机资源配置明细列表中的“磁盘缩容”列，“是”代表已缩容；“否”代表未缩容。 系统盘容量取值范围为：40 G~1024 G 数据盘容量取值范围为：10 G~32768 G 当前仅支持Linux主机磁盘缩容，需确保缩容后容量大于源端实际使用量。 跨可用区迁移场景仅支持扩容，即使配置缩容，系统也会自动创建一个与源端磁盘容量相同的目的端磁盘。

使用须知 在创建主机迁移工作流前，请仔细阅读并了解以下使用须知内容。 项目 须知 源端下载带宽 用于源端服务器下载迁移Agent。 推荐带宽：每台机器不低于30 Mbits/s。 共用带宽建议：若多台机器共用，平均不低于50 Mbit/s。 迁移带宽 重要性：影响数据传输速度和迁移时间。 推荐值与预估时长：详情请参见迁移需要多长时间？ CPU和内存要求 内存：至少预留520 MB。 CPU：Linux系统预留不少于0.3核，Windows系统不低于1核。 系统兼容性列表 支持迁移的操作系统列表，请参见兼容性列表。 主机迁移重要声明 了解迁移过程中的重要信息和免责声明，详情请参见主机迁移服务重要声明有哪些？ 约束与限制 确保迁移过程符合服务条款和限制条件，详情请参见主机迁移约束与限制。 计费说明 了解迁移过程中可能产生的费用，详情请参见计费说明。 权限配置 使用IAM进行精细的权限管理，详情请参见权限配置。 网络配置及迁移端口 确保源端和目的端的网络连接和端口开放满足迁移要求，详情请参见网络配置及端口开放。

采集原理 使用MgC采集Azure容器服务AKS资源的原理图，如图1所示。 图1 采集AKS资源原理图 调用SDK：通过Azure提供的SDK，MgC调用AKS API，获取容器、虚拟机等资源信息。 接口返回：MgC接收API调用的返回值，这些返回值通常包含丰富的资源数据。 解析数据：MgC将返回的数据进行解析，提取关键信息，如节点数、虚拟机核数等。然后将这些关键信息保存到数据库中，为后续分析和迁移提供支持。

准备工作 华为账号准备 使用MgC之前，您需要拥有一个华为账号或一个可用于访问MgC的IAM用户，注册华为账号以及创建IAM用户的方法请参考准备工作。 创建项目 在MgC控制台为本次采集创建独立的项目（建议创建简单项目），方法请参考项目管理。 Azure认证信息准备 提前获取AKS所在应用客户端的密码、购买AKS的订阅ID，对应应用的租户ID、客户端（应用）ID。这些认证信息的获取方法请参见如何获取添加Azure凭证所需的信息？ 添加源端凭证 在MgC控制台添加Azure认证信息做为采集凭证，方法请参考添加凭证。

权限要求 需要确保添加的Azure凭证所属的应用，在购买AKS资源的资源组和订阅里拥有如下权限： Microsoft.ClassicCompute/virtualMachines/read Microsoft.Insights/MetricDefinitions/Read Microsoft.Management/getEntities/action 以上权限的配置方法请参考如何配置采集Azure容器资源所需权限？

操作步骤 在源端服务器执行如下命令，查看OS分区格式。 sudo parted -l /dev/vda | grep 'Partition Table' 若返回结果为 msdos，即表示为 MBR 分区，请执行下一步。 若返回结果为 gpt，即表示为 GPT 分区，暂不支持。 执行df -TH命令，查看磁盘挂载情况。如下图所示，/dev/vda1为要迁移的系统盘。 执行如下命令获取UUID。 sudo blkid /dev/vda1 执行如下命令编辑/etc/fstab文件。按 i 进入编辑模式，在末尾添加步骤3获取到的UUID。 vi /etc/fstab 输入如下命令，保存设置并退出编辑。 :wq 安装qemu-img镜像格式转换工具。 以CentOS为例，执行如下命令安装软件包。 yum -y install qemu-img 执行以下命令，将/dev/vda导出到/mnt/vdb/test.qcow2 sudo qemu-img convert -f raw -O qcow2 /dev/vda /mnt/vdb/test.qcow2 其中，/mnt/vdb为挂载的数据盘或其他存储。需要转换为其他格式的镜像，可以修改 命令中-O的参数值，可修改的参数值参见下表： 参数值 含义 qcow2 qcow2格式 vhd vhd格式 vmdk vmdk格式 raw 无格式 通过OBS Browser+工具将镜像上传到华为云OBS桶，并注册为私有镜像，操作方法请参考上传镜像文件并注册镜像。 通过注册的私有镜像，创建云服务器，操作方法请参考通过镜像创建云服务器。 参考步骤2~步骤8，制作数据盘镜像。 在华为云镜像服务 IMS控制台，通过数据盘镜像申请数据盘。 将申请到的数据盘挂载到云服务器，操作方法参见挂载磁盘。

主机迁移的约束与限制 表1 主机迁移服务的约束和限制 项目 约束和限制 服务器规格 迁移Windows服务器要求源端和目的端规格大于1U1G。 迁移Linux服务器要求源端和目的端规格大于等于1U1G。 源端服务器数量 单个用户源端服务器限制1000台，如果有超过1000台的情况，请在服务器列表页面删除已完成迁移的服务器。 操作系统 支持迁移的Windows操作系统参见Windows兼容性列表。 支持迁移的Linux操作系统参见Linux兼容性列表。 不支持迁移多操作系统。 磁盘可用空间大小 Windows：当分区大于等于600MB，该分区的可用空间小于320MB时不能迁移；当分区小于600MB，该分区的空间小于40MB时不能迁移。 Linux：根分区可用空间小于200MB时不能迁移。 文件系统 Windows：只支持NTFS类型文件系统。 Linux：只支持ext2、ext3、ext4、vfat、xfs、btrfs文件系统。 共享文件系统 只支持迁移本地磁盘上的文件，不支持迁移共享文件系统。 例如：NFS（Network File System）、Common Internet File System、NAS（Network Attached Storage）等中的文件。 服务器外挂存储 不支持迁移服务器挂载的外部存储。 加密文件 不支持含有受保护文件夹、加密卷的系统。 多节点数据库和活动目录域（AD DS）服务器 主机迁移服务不支持AD和多节点数据库的服务器迁移。 数据库应用数据和域控制器应用数据 主机迁移服务只用于系统迁移，不支持数据库、域控制器等应用数据迁移。 应用与硬件绑定 不支持含有与硬件绑定的应用的系统。 动态磁盘 在Windows系统中，动态磁盘会当做基本磁盘来迁移，迁移完成后，目的端服务器不会有动态磁盘。 加入域的主机 迁移加入域主机时，在迁移完成后，目的端服务器需要重新加入域。 系统卷不在第一块磁盘的服务器 不支持迁移系统卷不在第一块磁盘上的服务器。 LVM精简卷（LV带pool标签） 不支持迁移服务器中的LVM精简卷（LV带pool标签）。 磁盘列阵（RAID） 不支持迁移磁盘列阵（RAID）场景。 大数据集群、容器集群 主机迁移服务只适用于系统迁移，不适用于包括但不限于容器集群、大数据集群等集群迁移。

修订记录 发布日期 修改说明 2024-05-17 第十四次正式发布。 修改“OBS服务端加密”。 2024-03-28 第十三次正式发布。 新增“如何使用凭据管理服务自动轮转安全密码”。 2024-01-08 第十二次正式发布。 新增“通过函数工作流轮转IAM凭证”。 2023-11-30 第十一次正式发布。 新增“如何使用KMS对文件进行完整性保护”。 2023-10-30 第十次正式发布。 新增“CCE服务端使用凭据管理服务”。 修改部分示例代码。 2023-03-15 第九次正式发布。 新增“使用加密SDK进行本地文件加解密”。 新增“跨Region容灾加解密”。 2023-03-03 第八次正式发布。 新增“ECS服务端加密”。 2022-12-13 第七次正式发布。 新增“使用指数退避方法对DEW服务请求错误进行重试”。 2022-11-11 第六次正式发布。 新增“如何使用凭据管理服务解决AK&SK泄露问题”。 “应用程序使用凭据管理服务登录数据库”修改为“如何使用凭据管理服务替换硬编码的数据库账号密码”。 2022-03-11 第五次正式发布。 新增“应用程序使用凭据管理服务登录数据库”和“如何轮换凭据”。 2021-09-30 第四次正式发布。 新增“加解密大量数据”。 2020-04-03 第三次正式发布。 更新界面截图。 2019-07-30 第二次正式发布。 新增DWS数据库加密。 2019-07-02 第一次正式发布。

应用原理 通过统一身份认证服务（Identity and Access Management，IAM ）对弹性云服务器（Elastic Cloud Server，ECS）的委托获取临时访问密钥来保护AK&SK。 访问凭证按照时效性可分为永久凭证和临时凭证，相较于永久性访问凭证，例如用户名和密码，临时访问密钥因为有效期短且刷新频率高，所以安全性更高。因此，您可以为ECS实例授予IAM委托，使ECS实例内的应用程序可以使用临时AK&SK+SecurityToken访问CSMS，不需要保存临时访问密钥，每次需要时动态获取，也可以缓存在内存里定时更新。

步骤2：编辑发布策略 在环境列表页面，单击刚创建的环境名称，进入“环境信息”页面。 单击“发布策略”页签，切换到“发布策略”页面。 单击“自定义策略”旁的，弹出“新建策略”对话框，选择系统提供的“灰度升级模板”。 单击“确定”，然后逐步完成插件配置。 灰度起负载 参数项 说明 部署方式 选择“镜像创建”，将创建与线上配置完全一致的工作负载，仅更新镜像包版本（业务代码及配置）。 命名空间 选择待升级的服务所在的命名空间。 服务 待升级的服务，选择准备工作中已创建的服务。 自定义灰度版本号 打开开关。 灰度版本号 灰度版本号将作为新旧负载的引流标识，输入“${TIMESTAMP}”，引用系统时间戳环境变量作为灰度版本号。 将基于所选Service关联的Deployment替换新镜像，创建新负载（灰度负载）。 新负载内所有配置，如CPU、内存、副本数等，与旧负载（线上负载）完全一致。 新负载不承接任何流量，可供开发人员进行测试，且对旧负载（线上负载）没有任何影响。 新负载名称为“旧负载名称-灰度版本号”。 灰度引流 选择“Service蓝绿引流”，基于Service将所有流量切换至新负载，完成引流后，旧负载不承接任何流量。 灰度下线 默认删除线上的旧负载，无需配置。 人工卡点 为了降低引流过程中的风险，并给运维、测试人员预留充足的测试时间，可以在灰度引流、灰度下线等较高危操作前，添加人工卡点进行验证。 参数项 说明 超时处理 卡点超时后处理方式，选择“卡点失败，发布流终止执行”，即超时未处理则终止执行。 卡点时长 卡点处理时长，可选择最长时间12小时。 卡点说明 自定义描述，如：引流前对灰度负载执行手工验证。 单击“保存并应用”，即可将该策略设置为“使用中”策略，至此完成策略配置。

准备工作 新建项目。 新建空仓库空模板流水线。 具有创建部署应用的权限，可参考部署服务编辑权限管理添加权限。 开通购买CCE服务，并在CCE集群中创建服务相关Service和Deployment：创建Service和Deployment。 Service和Deployment资源相关参考：服务（Service）、Deployments。 Service需要配置为关联至Deployment而非Pod，并且有且仅有一个Deployment与之关联。 通常默认创建的资源即可满足要求，若有问题，可检查Service的spec.selector配置与Deployment的spec.selector.matchLabels配置是否相匹配。

MTD与SA的区别 态势感知（Situation Awareness，简称SA）是华为云可视化威胁检测和分析的安全管理平台。着重呈现全局安全威胁攻击态势，统筹分析多服务威胁数据和云上安全威胁，帮助企业构建全局安全体系，呈现全局安全威胁攻击态势。 威胁检测服务（Managed Threat Detection，简称MTD）主要检测云服务日志侧的潜在威胁，利用服务自身的AI智能引擎、威胁情报和规则基线检测模型实现对各类云服务日志的威胁检测，满足对检测到的威胁进行告警，对告警结果进行统计和展示。 表1 MTD与SA主要区别 功能项 威胁检测服务（MTD） 态势感知（SA） 支持产品/服务 统一身份认证服务（IAM） 云解析服务（DNS） 云审计服务（CTS） 虚拟私有云服务（VPC） 对象存储服务（OBS） 主机安全服务（HSS） Anti-DDoS流量清洗（Anti-DDOS） Web应用防火墙（WAF） 云堡垒机（CBH） 容器安全服务（CGS） 漏洞扫描服务（VSS） 检测/分析数据源 统一身份认证服务（IAM）全量日志 云解析服务（DNS）全量日志 云审计服务（CTS）全量日志 全局服务的虚拟私有云服务（VPC）全量日志 对象存储服务（OBS）全量日志 全网流量 安全防护设备日志 DNS请求 威胁情报 安全资讯 威胁检测 告警事件 支持基于AI智能引擎、威胁情报和规则基线合计40+类的告警示例类型。 告警事件 支持检测和呈现8大类告警事件，共200+种子告警类型。支持上报告警通知。 安全编排 支持一键实施预置的安全编排策略，加固资产安全。

MTD暴力破解与HSS暴力破解的区别 主机安全服务（Host Security Service，简称HSS）是华为云提升主机整体安全性的服务。着重于全面识别并管理主机中的信息资产，实时监测主机中的风险并阻止非法入侵行为，降低服务器面临的安全风险，保障主机整体安全。 威胁检测服务（Managed Threat Detection，简称MTD）在满足规则和情报检测基础之上，新增算法模型AI智能引擎，实现IAM异常检测、DGA检测、DNS隧道检测。针对IAM账号的爆破攻击，新增异常行为检测模型，实现账号分布式暴破攻击威胁的检测。

处理告警事件 HSS通过暴力破解检测算法和全网IP黑名单，若发现暴力破解主机的行为，对发起攻击的源IP进行拦截，并上报告警事件。 当接收到来源于HSS的告警事件时，请登录HSS管理控制台确认并处理告警事件。 若您的主机被爆破成功，检测到入侵者成功登录主机，账户下所有云服务器可能已被植入恶意程序，建议参考如下措施，立即处理告警事件，避免进一步危害主机的风险。 请立即确认登录主机的源IP的可信情况。 请立即修改被暴力破解的系统账户口令。 请立即执行检测入侵风险账户，排查可疑账户并处理。 请及时执行恶意程序云查杀，排查系统恶意程序。 若您的主机被暴力破解，攻击源IP被HSS拦截，请参考如下措施，加固主机安全。 请及时确认登录主机的源IP的可信情况。 请及时登录主机系统，全面排查系统风险。 请根据实际需求升级HSS防护能力。 请根据实际情况加固主机安全组、防火墙配置。 详情请参见HSS如何处理账户暴力破解事件？。

态势感知与其他安全服务之间的关系与区别？ SA与其他安全防护服务（WAF、HSS、Anti-DDoS、DBSS、AAD）的关系与区别如下： 关联： SA：作为安全管理服务，依赖于其他安全服务提供威胁检测数据，进行安全威胁风险分析，呈现全局安全威胁态势，并提供防护建议。 其他安全服务：威胁检测数据可以统一汇聚在SA中，呈现全局安全威胁攻击态势。 区别： SA：仅为可视化威胁检测和分析的平台，不实施具体安全防护动作，需与其他安全服务搭配使用。 其他安全服务：仅展示对应服务的检测分析数据，并实施具体安全防护动作，不会呈现全局的威胁攻击态势。 SA与其他安全防护服务含义、关联与区别如表1所示。 表1 SA与其他服务的区别 服务名称 服务类别 关联与区别 防护对象 功能详细介绍 态势感知（SA） 安全管理 SA着重呈现全局安全威胁攻击态势，统筹分析多服务威胁数据和云上安全威胁，并提供防护建议。 呈现全局安全威胁攻击态势。 SA功能介绍 Anti-DDoS流量清洗（Anti-DDoS） 网络安全 Anti-DDoS集中于异常DDoS攻击流量的检测和防御。 同步相关攻击日志、防护等数据给SA。 保障企业业务稳定性。 Anti-DDoS功能特性 DDoS高防（AAD） 网络安全 AAD将公网流量引流至高防IP，聚焦于大流量的DDoS攻击的检测和防御。 同步相关攻击日志、防护等数据给SA。 保障企业重要业务连续性。 AAD产品介绍 主机安全服务（HSS） 主机安全 HSS着手于保障主机整体安全性，检测主机安全风险，执行防护策略。 同步相关告警、防护等数据给SA。 保障主机整体安全性。 HSS功能特性 Web应用防火墙（WAF） 应用安全 WAF服务对网站业务流量进行多维度检测和防护，防御常见攻击，阻断攻击进一步威胁。 同步相关入侵日志、告警数据等给SA，呈现全网Web风险态势。 保障Web应用程序的可用性、安全性。 WAF功能特性 数据库安全服务（DBSS） 数据安全 DBSS着力于数据库访问行为的防护和审计。 同步相关审计日志、告警数据等给SA。 保障云上数据库安全和资产安全。 DBSS产品介绍 父主题： 产品咨询

与安全服务的关系 态势感知从主机安全服务（Host Security Service，HSS）、Web应用防火墙（Web Application Firewall，WAF）、Anti-DDoS流量清洗（Anti-DDoS）等安全防护服务中获取必要的安全事件记录，进行大数据挖掘和机器学习，智能AI分析并识别出攻击和入侵，帮助用户了解攻击和入侵过程，并提供相关的防护措施建议。更多说明请参见态势感知与其他安全服务之间的关系与区别。

首次安装UniAgent如何操作？ 登录COC。 在左侧菜单栏单击“应用资源管理”，进入“资源管理”页面，选中首台未安装过UniAgent的机器。 图1 安装UniAgent 在跳转的安装UniAgent页面中，单击 “手动安装”。 图2 安装UniAgent页面 根据页面的运行安装命令进行手动安装UniAgent。 图3 “手动安装UniAgent”页面 UniAgent安装完成后，单击 “返回自动安装”。 单击“设置安装机”，设置刚才完成UniAgent安装的机器为安装机。 图4 设置安装机 在弹框中填写设置安装机相关信息，单击“确认”。 图5 确定安装机 父主题： 应用资源管理常见问题

解决方法 管理员登录IAM控制台。 管理员在用户列表中，单击新建的用户，右侧的“授权”。 图1 IAM用户授权 授权模型选择“角色授权”。 图2 选择授权模型 授权方式选择“直接给用户授权（适用于企业项目授权）”，根据需要分配“COC FullAccess”或“COC ReadOnlyAccess”策略，策略详情可查看COC权限管理。 图3 分配COC策略 如已有包含云运维中心策略的群组，可选择"继承所选用户组的策略"方式授权，可参考IAM用户授权。 选择授权范围方案，指定企业项目资源。 完成授权。 图4 完成授权

解决方案 混沌演练驱动主动运维：从客户实际业务场景出发，按照风险分析、应急预案、演练执行、复盘改进4个维度，提供端到端混沌演练能力； 沉淀故障模式：首创基于容错视角的故障场景分析方法，沉淀华为云SRE多年的故障模式库，内置300个+典型故障模式； 图1 全旅程混沌工程 风险分析：分析应用架构，找出风险点。 应急预案：针对风险点，指定应急预案。 故障演练：针对风险分析的结果和应急预案，指定演练方案，进行故障演练。 复盘改进：演练完成后，对演练进行复盘总结，输出演练报告和改进事项。

创建定时运维任务 定时运维向客户提供了定时或周期性的向特定实例执行特定脚本或者作业的功能。 登录COC。 在左侧菜单选择“自动化运维”页面，在“日常运维”模块中单击“定时运维”，进入“定时运维”列表页面。 图20 查询定时任务列表 单击左上角“创建定时任务”，进入“创建定时任务”页面。 图21 编辑定时任务 填写定时任务的基本信息；设置时区，当选中单次执行时，选择单次触发定时任务的时间，当选中周期执行时，会弹出“简单周期”和“Corn表达式”选项，帮助用户自定义执行周期，该定时任务会根据用户自定义的执行周期循环执行，直到规则结束时间。 图22 定时设置 填写任务类型，当任务类型为脚本时，选择脚本，弹出脚本列表，单击搜索框，按条件输关键字，回车即可搜索想要的脚本。单击操作列的“选择”字样，即可选中脚本。 图23 任务类型 单击“查看已选脚本”，右侧弹出脚本详情。 图24 脚本详情 脚本入参字段会展示脚本默认参数，可单击“敏感参数”决定是否明文展示，单击参数输入框可编辑参数值。 输入执行用户，输入超时时间。 选择实例，单击“添加实例”按钮，弹出实例选择弹窗。可选择CMDB资源视角和CMDB应用视角，根据“资源类型”，“区域”以及搜索框搜索想要执行的目标实例列表。勾选实例列表前的“选项框”，单击“确定”即可选中实例。 图25 选择实例 选择分批策略和熔断策略。 填写任务类型，当任务类型为作业时，选择作业，弹出作业列表，选择自定义作业和公共作业页签，单击搜索框，按条件输入关键字，回车即可搜索想要的作业。单击“操作”列“选择”字样，即可选中作业。 图26 选择作业类型 单击“查看已选作业”字样，右侧弹出作业详情弹窗，单击全局参数字段下的选项，右侧二级弹窗展示全局参数详情；单击作业步骤下的选项，右侧二级弹窗展示作业步骤详情。 图27 查询作业步骤 选择目标实例模式，当选择每个步骤独立时，可独立设置每个作业步骤执行的目标实例和分批策略 图28 选择实例 单击“作业步骤”，右侧弹窗展示作业步骤详情，输入成功率阈值，输入暂定继续策略，选择异常处理策略，单击保存，即可修改作业步骤。 图29 编辑作业步骤 选择实例，单击“添加实例”，弹出实例选择弹窗。可选择CMDB资源视角和CMDB应用视角，根据“资源类型”，“区域”以及搜索框搜索想要执行的目标实例列表。勾选实例列表前的“选项框”，单击“确定”即可选中实例。 图30 添加实例 选择分批策略和熔断策略。 可根据业务选择是否勾选入库人工审核。 图31 编辑人工审核 根据业务选择是否开启消息通知，开启时，勾选通知策略，选中通知对象和通知渠道。 图32 编辑通知 单击“提交”，即可成功创建定时任务。 单击列表数据操作列的“启用”、“禁用”，对定时任务进行启用或禁用。 图33 查看列表

补丁扫描 补丁扫描提供了用户可以扫描目标ECS或CCE实例上补丁合规性的功能，补丁扫描会根据用户所选择的默认基线、实例、分批执行策略进行合规性报告扫描。 若出现实例不可选情况，请确认该实例UniAgent状态是否正常或是否为Cloud Operations Center补丁管理支持操作系统。 登录COC。 在左侧菜单栏选择“运维资源”页面，在“补丁管理”模块单击“补丁管理”进入“补丁管理”页面，选择“补丁扫描”页签。 单击“创建扫描任务”。 图5 单击创建扫描任务 单击“添加实例”。 图6 单击选择实例按钮 选择需要进行扫描的ECS或CCE实例。 图7 选择需要扫描的ECS实例 图8 选择需要扫描的CCE实例 设置分批策略。 分批策略： 自动分批：用户选择的待执行机器，会根据默认规则，分成多批。 手动分批：用户可以根据自身需要，将待执行的机器，分成若干批，控制机器所在的批次。 不分批：用户所有待执行的机器会全部在同一批次。 图9 选择分批策略 设置熔断策略。 熔断阈值：用户可以设置执行的成功率，当执行失败的机器数量到达根据成功率计算出的失败数量，工单状态会变为异常，并停止执行。 图10 熔断策略 单击“提交”。 图11 单击提交后执行界面 确认执行信息，若无误则单击“确定”。 扫描工单执行完成后，单击“合规性报告”按钮则可跳转到合规性报告界面，查看ECS实例合规性状态。 图12 扫描工单界面 图13 合规性报告界面

查看补丁合规性报告 补丁合规性扫描或修复后，用户可单击合规性报告详情摘要查看实例上的补丁详情。 补丁合规性报告只会保留最近的一次扫描或修复记录。 登录COC。 在左侧菜单栏选择“运维资源”页面，在“补丁管理”模块单击“补丁管理”进入“补丁管理”页面，选择“补丁扫描”页签。 图14 合规性报告右侧“摘要” 选择需要查看详情的补丁合规性报告，单击“摘要”。 合规-已安装：补丁符合补丁基线，已经安装在ECS实例上，并且没有可用更新。 合规-已安装其他：补丁未包含在补丁基线中，但已安装到ECS实例上。 不合规-已安装待重启：补丁已被修复，但需要重启ECS实例才可生效。 不合规-已拒绝：在补丁基线的补丁例外中被拒绝的补丁，该状态的补丁就算满足基线也不会被修复。 不合规-缺失：补丁符合基线，但是尚未安装。 不合规-失败：补丁进行了修复操作，但是修复失败。 图15 补丁合规性报告摘要界面 状态说明： 合规-已安装：补丁符合补丁基线，已经安装在ECS实例上，并且没有可用更新。 合规-已安装其他：补丁未包含在补丁基线中，但已安装到ECS实例上。 不合规-已安装待重启：补丁已被修复，但需要重启ECS实例才可生效。 不合规-已拒绝：在补丁基线的补丁例外中被拒绝的补丁，该状态的补丁就算满足基线也不会被修复。 不合规-缺失：补丁符合基线，但是尚未安装。 不合规-失败：补丁进行了修复操作，但是修复失败。

补丁修复 补丁修复提供了用户可以修复补丁扫描出的不合规ECS或CCE实例的能力，补丁修复功能会将ECS或CCE实例上不合规的补丁进行升级或安装。 登录COC。 在左侧菜单栏选择“资源运维”页面，在“补丁管理”模块单击“补丁管理”进入“补丁管理”页面，选择“补丁扫描”页签。 选择需要修复的实例，单击“修复”按钮。 图16 选择需要修复的实例 设置“分批策略”。 分批策略： 自动分批：用户选择的待执行机器，会根据默认规则，分成多批。 手动分批：用户可以根据自身需要，将待执行的机器，分成若干批，控制机器所在的批次。 不分批：用户所有待执行的机器会全部在同一批次。 图17 选择分批策略 设置“熔断策略”。 熔断阈值：用户可以设置执行的成功率，当执行失败的机器数量到达根据成功率计算出的失败数量，工单状态会变为异常，并停止执行。 图18 熔断策略 设置是否允许重启。 部分补丁需要重启生效，若选择否，则需要您择期安排重启 确认执行信息，若无误则单击“确认执行”。 图19 执行信息界面

创建补丁基线 通过Cloud Operations Center创建一个用户自定义的补丁基线。 登录COC。 在左侧菜单栏选择“运维资源”页面，在“补丁管理”模块单击“补丁管理”，进入“补丁管理”页面，选择“补丁基线”页签。 单击“创建补丁基线”。 图2 单击创建补丁基线 填写补丁基线相关内容。 图3 填写补丁基线内容 操作系统安装规则见表1。 自定义安装规则见表2 表1 操作系统安装规则 类型 可选项 说明 产品 全部 Huawei Cloud EulerOS1.1 Huawei Cloud EulerOS2.0 选择补丁的产品属性，在补丁扫描修复时将会过滤出该产品的补丁。 分类 全部 Security Bugfix Enhancement Recommended Newpackage 选择补丁的分类属性，在补丁扫描修复时将会过滤出该分类的补丁。 严重性级别 全部 Critical Important Moderate Low None 选择补丁的严重性级别属性，在补丁扫描和修复时会过滤出该严重性级别的补丁。 合规性报告 未指定 重大 高 中 低 提示 符合该补丁基线的补丁在合规性报告中展示的等级。 安全更新 无 选择安全更新，在补丁修复时不会进行有漏洞的补丁升级。 补丁例外 无 已批准的补丁以及已拒绝补丁支持以下格式： 1. 完整的软件包名称，格式为：example-1.0.0-1.r1.hce2.x86_64 2. 包含单个通配符的软件包名称，格式为：example-1.0.0*.x86_64 表2 自定义安装规则 类型 可选项 说明 产品 全部 Huawei Cloud EulerOS1.1 Huawei Cloud EulerOS2.0 选择补丁的产品属性，在补丁扫描修复时将会过滤出该产品的补丁。 合规性报告 未指定 重大 高 中 低 提示 符合该补丁基线的补丁在合规性报告中展示的等级。 基线补丁 无 用户自定义基线补丁的版本以及发行版号，补丁扫描安装时将会以用户自定义的基线补丁作为是否合规判断依据 1. 单个基线最多允许上传1000条基线补丁 2. 补丁名称由字母、数字、下划线、中划线、点号、*号、加号组成，最长支持200字符 3. 第二列数据由版本号(字母、数字、下划线、点号、冒号)-发行版号(字母、数字、下划线、点号)组成，各支持最多50字符，由中划线隔开 单击“提交”，创建自定义补丁基线。 图4 保存自定义补丁基线

解决方案 治理：提供OS合规性自动化定时巡检能力，打造开箱即用体验，同时保留客户自定义能力，及时发现OS合规性问题并输出合规性报告； 运维：基于合规性报告触发补丁修复，通过增量迭代方式保证OS合规性全覆盖，保证OS合规性问题闭环SLA； 图1 一站式资源运维 补丁管理：COC提供OS补丁管理能力，支持对Linux下的Huawei Cloud EulerOS、CentOS、EulerOS三种系统进行补丁扫描和修复，并且支持ECS节点和CCE集群两种场景。COC通过补丁基线中的规则，对主机的OS补丁进行扫描并且提供合规性报告。COC提供三条公共补丁基线，同时支持用户自定义创建补丁基线。用户可以自定义补丁安装规则、补丁的合规性级别、补丁例外。 使用补丁管理包含以下步骤： 创建补丁基线，基于操作系统及对应的补丁扫描基线； 补丁扫描，基于扫描基线对资源进行补丁扫描； 查看摘要，扫描完成后可以查看资源的扫描合规性； 补丁修复，不合规的资源可以执行批量修复； 定时运维：COC提供自动化运维能力，包含脚本管理、作业管理、定时运维三种能力； 脚本管理：COC提供公共脚本和自定义脚本，用户可以自定义创建脚本，支持shell、python、bat三种类型； 作业管理：用户可以将云服务API、公共作业、自定义作业、作业控制编排成自定义作业； 定时运维：定时运维向客户提供了定时或周期性的向特定实例执行特定脚本或者作业的功能；

步骤五：处理告警转事件 登录COC。 在左侧菜单栏选择“”页面，选择“待处理的”页签，单击事件标题进入“事件详情”页面。 图15 单击事件单号 单击“受理”即可受理次事件。 图16 单击“受理”按钮 单击“转发责任人”。 图17 单击“转发”按钮 填写转发信息后，单击“提交”。 图18 填写转发信息 单击“升降级”。 图19 单击“升降级”按钮 填写升降级信息后，单击“提交”。 图20 填写升降级信息 单击“启动warroom”。 图21 单击“启动warroom”按钮 填写warroom信息后，单击“提交”。 图22 填写warroom信息 单击“事件处理”。 图23 单击“事件处理”按钮 填写事件处理信息后，单击“提交”。 图24 填写事件处理信息 单击“验证关闭”。 图25 单击“验证关闭”按钮 填写验证信息后，单击“确定”。 图26 填写验证信息

如何登录通用云手机客户端APP？ 打开KooPhone移动客户端。 首次登录时，您需要同意《华为云用户协议》与《隐私政策》才可继续使用云手机。 输入帐号、密码并获取验证码验证身份登录。 首次登录会询问您“是否信任此浏览器？”，建议选择信任，当您下次登录时，系统将不再要求提供验证码。 图1右上角显示已绑定云手机数量，可以选择切换不同的云机，然后单击“进入云机”。 图1 云手机选择页 执行结果 登录成功后，您将进入通用云手机桌面。 后续操作 单击桌面云手机悬浮图标，可查看云手机的网络信号，还可执行“重启云机”、“退出云机”、设置“导航按键”等操作。 您可正常使用云手机功能，如打电话、发短信、拍照。 父主题： 通用云手机使用类