华为云用户手册

配置ModelArts网络关联SFS Turbo ModelArts网络关联SFS Turbo后，可直接在ModelArts的Notebook开发及训练环境中挂载SFS Turbo共享文件系统，并访问其中的数据。 登录ModelArts管理控制台，创建网络并打通创建资源中创建的创建虚拟私有云和子网，详细步骤参见ModelArts网络。 单击1中创建生成的资源池“网络”所在行的“更多”，选择“关联sfsturbo”。 在“关联sfsturbo”弹窗中，选择创建资源中创建的SFS Turbo HPC型文件系统。 图2 关联SFS Turbo 选择完成后，单击“确定”创建关联。 使用过程中请不要解除关联，解除关联会导致ModelArts资源池无法访问SFS Turbo文件系统中的数据。 一个SFS Turbo文件系统最多可关联1个网络。

常见问题 可以只使用SFS Turbo HPC型文件系统支撑AI训练吗？ 当数据规模较小，不存在冷热数据分级降本诉求，又希望能方便快捷的构建AI训练系统时，可以选择只使用SFS Turbo高性能文件存储支撑AI训练。 可以基于OBS对象存储支撑AI自动驾驶、大模型训练吗？ OBS为容量型存储，在时延、带宽等存储性能上无法满足高性能AI训练，建议使用SFS Turbo HPC型高性能文件系统加速AI训练任务，训练速度加快可以节省AI算力费用。 文件系统使用空间不足，可以扩容吗？ SFS Turbo文件系统支持在线扩容，扩容过程中挂载文件系统可能失败，建议业务低峰期扩容。 父主题： 面向AI场景使用OBS+SFS Turbo的存储加速实践

修订记录 发布日期 修订记录 2023-12-26 第五次正式发布。 本次更新说明如下： 新增面向AI场景使用OBS+SFS Turbo的存储加速实践。 2023-11-28 第四次正式发布。 本次更新说明如下： 新增IDC专线通过域名挂载SFS Turbo HPC型的最佳实践。 2022-11-22 第三次正式发布。 本次更新说明如下： 新增时延测试的最佳实践。 2022-04-30 第二次正式发布。 本次更新说明如下： 新增数据迁移和性能测试的最佳实践。 2019-05-27 第一次正式发布。

配置SFS Turbo和OBS联动 SFS Turbo HPC型文件系统支持无缝访问存储在对象存储OBS存储桶中的对象，您可以指定SFS Turbo内的文件目录与OBS对象存储桶进行关联。 登录SFS管理控制台，在左侧导航窗格中选择“SFS Turbo”。 在文件系统列表中，单击创建资源中创建的HPC型文件系统，进入文件系统详情页面。 进入页签“OBS绑定目标”，单击“绑定OBS”。 图1 绑定OBS桶 在右侧弹窗“绑定OBS目标”中，填写如下表所示参数。 表1 绑定OBS目标配置参数 参数 含义 限制 配置后可编辑 路径名称 SFS Turbo文件系统根目录下会以该名称创建一个子目录，该目录将绑定对应的OBS桶 子目录名称不能重复，子目录名称长度不能超过255个字符 子目录名称必须是文件系统根目录下不存在的目录名 子目录名称不能是“.”或“..” 不支持 桶名 OBS存储桶桶名 无法绑定不存在的存储桶 目前仅支持OBS存储桶，不支持并行文件系统 不支持 OBS Endpoint OBS区域域名 OBS存储桶必须和HPC型文件系统在同一个Region 不支持 勾选“将OBS桶读写权限授权给SFS Turbo服务进行OBS目标绑定”。 单击“确定”，完成绑定。 父主题： 基本配置

SFS Turbo容量监控及告警 如果SFS Turbo HPC型文件系统存储空间被写满，会影响业务运行，您可以在CES云监控服务上监控SFS Turbo文件系统的容量使用情况，并创建告警规则，当容量使用率超过一定阈值，可以发送邮件、短信等告警到运维人员。当收到容量监控告警时，您需要及时清理SFS Turbo存储空间、或缩短冷数据淘汰时间加速冷数据淘汰、或对SFS Turbo进行空间扩容。详情可参见SFS Turbo监控指标说明和创建告警规则。

配置SFS Turbo数据自动导出到OBS桶 配置自动导出后，训练过程中周期性写入SFS Turbo文件系统的Checkpoint模型文件会自动以异步方式导出到关联的OBS桶中进行长期保存，无需手工导出，异步导出方式不会占用上层训练任务时间。 SFS Turbo的自动导出功能当前处于受限使用状态，请提交工单联系技术支持人员进行配置。 文件导出速度受OBS服务的写入带宽上限影响，默认是16Gbit/s，如果大模型训练生成的Checkpoint文件过大、导出速度过慢，可提交工单申请调大OBS服务的写入带宽。 父主题： 基本配置

操作步骤 登录弹性文件服务管理控制台。 在文件系统列表中查看所有文件系统的基本信息，参数说明如表1所示。 表1 参数说明 参数 说明 名称 已创建的文件系统名称，例如：sfs-name-001。 可用区 文件系统所在的可用区。 状态 文件系统的状态，包含“可用”、“不可用”、“已冻结”、“正在创建”、“正在删除”、“删除错误”、“创建失败”、“正在扩容”、“扩容错误”、“正在缩容”、“缩容错误”和“缩容失败”。 类型 文件系统的类型。 协议类型 文件系统的协议类型为NFS或CIFS。 已用容量(GB) 文件系统存放数据已使用的空间。 说明： 该数据不是实时数据，平均15分钟刷新一次。SFS容量型文件系统已用容量小于1MB时，将不会显示已用容量。 最大容量（GB） 文件系统的最大使用容量。 是否加密 已经创建的文件系统的加密状态，包括“是”和“否”。 企业项目 文件系统归属的企业项目。 挂载地址 文件系统的挂载地址，NFS类型的格式为：文件系统域名:/路径，或文件系统IP:/，或域名地址:/；CIFS类型的格式为：\\文件系统域名\路径。 说明： 由于挂载地址名称较长，需要拉宽该栏以便完整显示。 操作 SFS容量型包含“容量调整”、“查看监控指标”和“删除”操作。 SFS Turbo包含“扩容”、“删除”、“查看监控指标”、“续订”和“退订”操作。 SFS 3.0容量型包含“删除”操作。 说明： 包年/包月的SFS Turbo文件系统创建完成后，大约1到2分钟后，才能执行续订、退订等操作。 单击文件系统名称，可查看更多的文件系统信息，如图1所示。 图1 文件系统的扩展信息 （可选）通过文件系统名称关键字、密钥ID或文件系统状态来过滤查看指定的文件系统。 可以通过页面中间“所有项目”搜索框查询不同企业项目下的文件系统。

操作步骤 登录管理控制台。 单击“”，搜索“云运维中心”，并单击““进行搜索，选择“云运维中心”。 在左侧菜单栏单击“应用资源管理”，进入“应用管理”页签，选择应用，单击“+”按钮。 图1 创建组件 填写创建组件弹窗信息，具体信息可参考 表1 ，单击“确认”按钮。 表1 创建组件参数说明表 参数 说明 示例 组件ID 应用下组件信息，自定义组件ID，必填项 testComponent 组件名称 应用下组件信息，自定义组件名称，必填项 测试组件

操作步骤 登录管理控制台。 单击“”，搜索“云运维中心”，并单击““进行搜索，选择“云运维中心”。 在左侧菜单栏单击“应用资源管理”，进入“应用管理”页签，选择应用，单击“编辑”按钮。 图1 编辑应用 填写编辑应用弹窗信息，具体信息可参考 表1 ，单击“确认”按钮。 表1 更新应用参数说明表 参数 说明 示例 应用名称 基本信息，自定义应用名称，必填项 测试应用 描述 基本信息，该应用相关描述，非必填项 -

操作步骤 登录管理控制台。 单击管理控制台左上角的，选择区域和项目。 单击“”，搜索“云运维中心”，并单击进行搜索，选择“云运维中心”。 选择“WarRoom”页签，可以查看WarRoom列表信息。 单击WarRoomID，进入对应的WarRoom。在上方可以看到WarRoom状态。 图1 WarRoom状态 单击最右侧的warroom状态按钮（故障界定/故障已恢复/warroom关闭），可以更新WarRoom状态到对应的状态。

操作步骤 登录管理控制台。 单击管理控制台左上角的，选择区域和项目。 单击“”，搜索“云运维中心”，并单击进行搜索，选择“云运维中心”。 选择“WarRoom”页签，可以查看WarRoom列表信息。 单击WarRoomID，进入对应的WarRoom。 单击“”，选择要邀请的成员，之后单击“加入WarRoom”。 悬停在人员列表的“”处，根据提示可以单击“设置为恢复责任人”、“设置为恢复成员”、“移除”，对与会人员进行管理。 图1 与会成员

审计与日志 审计 云审计服务（Cloud Trace Service，CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 用户开通云审计服务并创建和配置追踪器后，CTS可记录COC的管理事件和数据事件用于审计。 CTS的详细介绍和开通配置方法，请参见CTS快速入门。 日志 用户开通云审计服务并创建和配置追踪器后，CTS可记录与云运维中心服务相关的操作事件。 详细的操作列表以及查看方法，请参见查看审计日志。 父主题： 安全

服务韧性 COC服务提供了3级可靠性架构，通过AZ内实例容灾、双AZ容灾、数据定期备份技术方案，保障服务的持久性和可靠性。 表1 COC服务可靠性架构 可靠性方案 简要说明 AZ内实例容灾 单AZ内，COC实例通过多实例方式实现实例容灾，快速剔除故障节点，保障COC实例持续提供服务。 多AZ容灾 COC支持跨AZ容灾，当一个AZ异常时，不影响COC实例持续提供服务。 数据容灾 通过数据定期备份方式实现数据容灾。 父主题： 安全

身份认证与访问控制 身份认证 用户访问COC的方式包括：COC控制台、API、SDK，无论哪种访问方式，其本质都是通过COC提供的REST风格的API接口进行请求。 COC的接口支持认证请求，经过认证的请求需要包含一个签名值，该签名值以请求者的访问密钥（AK/SK）作为加密因子，结合请求体携带的特定信息计算而成。通过访问密钥（AK/SK）认证方式进行认证鉴权，即使用Access Key ID（AK）/Secret Access Key（SK）加密的方法来验证某个请求发送者身份。关于访问密钥的详细介绍及获取方式，请参见访问密钥（AK/SK）。 访问控制 COC支持通过IAM权限控制进行访问控制。关于IAM的详细介绍以及COC权限管理请参见权限管理。 父主题： 安全

CBR控制台功能依赖的角色或策略 表3 CBR控制台依赖服务的角色或策略 控制台功能 依赖服务 需配置角色/策略 备份存储库绑定ECS资源备份 ECS 在CBR控制台进行资源绑定时，需要查询ECS云服务接口的资源列表和详情。用户可以选择直接使用CBRFullAccessPolicy或单独配置。 支持身份策略对接依赖的权限列表如下： ecs:cloudServers:listServerVolumeAttachments ecs:cloudServers:list ecs:cloudServers:showServer 备份存储库绑定EVS资源备份 EVS 在CBR控制台进行资源绑定时，需要EVS云服务接口的资源列表和详情。用户可以选择直接使用CBRFullAccessPolicy或单独配置。 支持身份策略对接依赖的权限列表如下： evs:volumes:list 备份存储库绑定SFSTurbo资源备份 SFSTurbo 在CBR控制台进行资源绑定时，需要查询SFSTurbo云服务接口的资源列表和详情。用户可以选择直接使用CBRFullAccessPolicy或单独配置。 支持身份策略对接依赖的权限列表如下： sfsturbo:shares:getAllShares 备份存储库绑定WorkSpace资源备份 WorkSpace WorkSpace云桌面服务当前未对接身份策略，如果需要针对WorkSpace资源在CBR控制台绑定存储库备份。 用户可以选择设置策略的CBR FullAccess权限，补充对WorkSpace服务的查询权限，或在自定义权限中增加以下策略 workspace:desktops:listDetail vpc:securityGroups:get vpc:publicIps:list vpc:ports:get 备份查询和注册镜像 IMS CBR服务器备份支持创建服务器私有镜像，依赖配置IMS的查询和列举权限。 用户可以选择直接使用CBRFullAccessPolicy或单独配置。 支持身份策略对接依赖的权限列表如下： ims:images:list

CBR权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 CBR部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域（如华北-北京4）对应的项目（cn-north-4）中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问CBR时，需要先切换至授权区域。 权限根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对ECS服务，管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分，CBR支持的API授权项请参见策略及授权项说明。 如表1所示，包括了CBR的所有系统权限。 表1 CBR系统权限 策略名称 描述 策略类别 CBR FullAccess 云备份管理员权限，拥有该权限的用户可以操作并使用所有存储库、备份和策略。 系统策略 CBR BackupsAndVaultsFullAccess 云备份普通用户权限，拥有该权限的用户可以创建、查看和删除存储库和备份等，无法创建、更新和删除策略。 系统策略 CBR ReadOnlyAccess 云备份只读权限，拥有该权限的用户仅能查看云备份数据。 系统策略 表2列出了CBR常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表2 常用操作与系统策略的关系 操作 CBR FullAccess CBR BackupsAndVaultsFullAccess CBR ReadOnlyAccess 查询存储库 √ √ √ 创建存储库 √ √ × 列举存储库 √ √ √ 更新存储库 √ √ × 删除存储库 √ √ × 绑定资源 √ √ × 解绑资源 √ √ × 创建策略 √ × × 更新策略 √ × × 绑定策略 √ √ × 解绑策略 √ √ × 删除策略 √ × × 同步备份 √ √ × 复制存储库 √ √ × 执行备份 √ √ × 更新订单 √ √ × 查询agent状态 √ √ × 删除备份 √ √ × 使用备份恢复数据 √ √ × 复制备份 √ √ × 挂载存储库 √ √ × 批量添加删除存储库标签 √ √ × 添加存储库标签 √ √ × 修改标签 √ √ ×

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的云安全挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 类云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。 华为云租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统，虚拟防火墙、API 网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题： 安全

队列 队列是用来记录一类具有相同权限和任务对象的成员集。当需要批量处理同一类用户权限时，可以通过创建队列来实现，即通过队列给业务用户在业务流转过程中，区分不同的权限。 队列支持以下功能： 绑定一个或多个对象。 若队列绑定了对象，涉及这些对象的用户任务（例如审批流）将会投递到该队列成员进行处理。 可以给队列配置一个公共邮箱，用于接收公共通知邮件。 可以给队列成员发送邮件。 在工作流中为泳道指定某个队列，此队列中全部用户都可以操作此泳道的流程。

权限配置 在AstroZero中，通过权限配置（Profile）来控制用户、业务用户等的操作权限。AstroZero当前预置了如下几种Profile标准配置文件： System Administrator Profile：系统管理员，拥有AstroZero全部权限。 Developer Profile：开发者权限，一般给用户使用，拥有此权限的用户可以在AstroZero进行开发，例如新增一个对象、为对象增加一个字段、新增一个流程等。 Portal User Profile：业务用户的权限，一般给业务用户使用，拥有此权限的业务用户可以通过服务编排鉴权登录AstroZero。 Anonymous User Profile：游客用户的访问权限，请根据自身业务需求，给Profile分配适当的权限。 Standard User Profile：运行态权限，开通AstroZero服务时自带的权限，拥有这个权限可以运行系统中的流程、对系统已有对象进行记录的增删改查操作，但没有开发权限，如新增一个对象或新增一个流程等。 NoCode Developer Profile：零代码应用开发权限，只有运行环境才会预置该权限。 NoCode Manager Profile：零代码应用数据管理权限，只有运行环境才会预置该权限。 一种权限配置可以分配给多个用户，但每个用户只能属于某一个权限配置。权限配置（Profile）中，各权限项详细介绍，请参见表1。 除了默认的权限配置外，用户还可以在默认权限配置的基础上，自定义权限配置，具体操作请参见新建扩展权限集。 图3 用户开发者权限 图4 业务用户权限 图5 游客用户访问权限 表1 权限项说明 权限项 权限项说明 查看系统元数据 用户访问元数据的必要权限，仅用于界面提示作用，无法取消。 开发应用 系统最高的权限，拥有此权限可定制系统所有可定制的地方，默认拥有其他权限。 查看所有用户 查看用户列表和用户详情的权限。 查看角色 查看角色列表和角色详情的权限。 查看权限管理 查看权限配置列表和权限配置详情的权限。 查看扩展权限集 查看扩展权限集列表和扩展权限集详情的权限。 查看组 查看组列表和查看组详情的权限。 查看队列 查看队列列表和查看队列详情的权限。 查看业务用户 查看业务用户列表和查看业务用户详情的权限。 查看业务权限凭证 查看业务权限凭证列表和查看业务权限凭证详情的权限。 查看告警 查看告警列表和告警详情的权限。 管理告警 新增、修改告警定义的权限。 查看BPM 查看BPM定义列表和详情的权限，包括BPM关联的决策表、触发器等。 管理BPM实例 修改BPM实例详情的权限。 查看服务编排 查看服务编排定义列表和详情的权限。 查看脚本 查看脚本列表和详情的权限。 查看定时任务 查看定时任务列表和详情的权限。 查看报表 查看报表列表和详情的权限。 运行报表 查看报表运行实例的权限。 查看仪表板 查看仪表板列表和详情的权限。 运行仪表板 查看仪表板运行实例的权限。 查看所有数据 查看所有数据的权限，勾选此选项后，会忽略单个对象的权限。 运行SQL 执行SQL的权限。 查看加密数据 查看加密数据明文的权限。 查看租户跟踪日志 查看租户跟踪日志的权限。 查看敏感隐私数据 控制是否允许，以数据对象的形式，查看部分敏感数据对象的权限，例如权限配置、连接器定义等。 管理数据 在数据控制台操作任意对象的权限。 管理公告 控制开发者在工作台页面，是否有管理公告（新增、删除和编辑）的权限。

业务用户（PortalUser） 业务用户是指访问在AstroZero中开发的应用的用户账号，即应用的使用者。 思考：如何判断是用户还是业务用户呢？ 例如，在AstroZero中注册了账号“A”，并使用账号“A”在AstroZero中开发或安装了一个应用“X”。账号“B”是通过应用“X”注册的账号，并登录使用应用“X”。这种情况下，账号“A”是用户（User），账号“B”是业务用户（PortalUser）。应用“X”也是支持游客访问的。 图2 AstroZero中用户行为

使用场景 AstroZero提供了“客户端模式”和“授权码模式”两种授权模式，进行OAuth鉴权。 客户端模式 通过该模式获取的access-token，用于在调用API接口时进行鉴权，使用时需在请求消息头上设置“access-token”。 授权码模式 通过该模式获取的access-token，只能用于在获取用户信息时进行鉴权，使用时需在请求消息头上设置“Authorization: Bearer ***”。

自定义OAuth2授权码模式接入鉴权 前面介绍了第三方系统在调用AstroZero业务接口前，如何配置接入鉴权。鉴权通过后，才能实现调用AstroZero业务接口。在AstroZero中开发的应用，也可以自定义OAuth2授权码模式接入鉴权。当应用配置鉴权后，只有通过鉴权的第三方系统才可以访问应用。 参考3~5获取鉴权ID“client_id”和鉴权密钥“client_secret”。 在应用开发页面，通过自定义接口，给第三方接入调用，用于第三方系统获取授权码code。 应用调用脚本API，判断第三方客户端的鉴权ID“client_id”和重定向地址“redirect_url”是否和注册接入鉴权时匹配。 如果匹配，则由AstroZero应用自定义接口，实现登入跳转和授权跳转。在授权完成后，再调用脚本API获取授权码code，并将需要展示给第三方的授权用户信息通过该API传给AstroZero，AstroZero会返回一个code。最后，应用重定向到“redirect_url”，并携带code。 判断第三方客户端的鉴权ID“client_id”和重定向地址“redirect_url”是否和注册接入鉴权时匹配的API样例如下： // Here's your code. import * as oauth from 'oauth' let handle = oauth.getAuthorizeHandle() let clientDatas: oauth.clientDataFromApp = { redirect_uri: "http://10.26.30.68:14000/appauth/code", client_id: "bff4398905ee4a918722debec98b594c", } let pass = handle.checkURL(clientDatas) console.log(pass) //true if (pass){ //判断是否登入，做登入跳转 //判断是否授权，做授权跳转 } 获取授权码code的脚本API样例如下： // Here's your code. import * as oauth from 'oauth' let handle = oauth.getAuthorizeHandle() //前面步骤已经走完 let clientDatas: oauth.clientDataFromApp = { redirect_uri: "http://10.26.30.68:14000/appauth/code", client_id: "bff4398905ee4a918722debec98b594c", } let userInfo = { "name": "jack", "phone": "1256287222", "email": "dsfsdf.com" } let code = handle.getAuthCode(clientDatas, userInfo) console.log(code) //WEUcqXbeQDKUHxcn8til3Q 第三方系统接收到该请求，并解析出code后，在后端访问接口获取access_token，步骤和7一致。 第三方系统在获取到access_token后，使用该凭证访问平台“https://域名/u-route/baas/oauth/v1.0/third/userinfo”接口（该接口和9中的接口不同），来获取授权用户的信息。 响应示例如下： { "resCode": "0", "resMsg": "成功", "result": { "email": "dsfsdf.com", "name": "jack", "phone": "1256287222" } }

使用说明 与环境、业务要求等紧密相关的参数取值经常变化，可以将这样的参数设置为系统参数。AstroZero提供统一的系统参数配置页面，便于集中维护与管理。当参数发生变化时，仅需要修改一次系统参数取值，引用该系统参数的地方都会更新成为修改后的值。 例如，AstroZero预置的内置系统参数“bingo.expiretask.execute.time”，为系统执行数据清理任务的时间。当系统执行清理任务时，会自动查询该参数值，查询到后，会按照配置的时间来启动数据清理任务。开发者用户也可根据需求创建自定义的系统参数，创建后，可以在脚本、服务编排、工作流和数据接入中使用系统参数。如何使用系统参数，请参考如何使用系统参数。

如何使用系统参数 在应用开发时，您也可在应用开发工作台导入管理台设置的系统参数，导入后，可在应用开发工作台中使用该系统参数。以在“A”应用为例，介绍如何导入系统参数。 参考如何登录经典应用设计器中操作，进入“A”应用开发界面。 在“A”应用开发界面左侧菜单栏下方，选择“配置”，在打开的页签选择“系统参数”。 单击“导入”，选择管理中心已创建的系统参数进行导入。 在脚本、服务编排、流程编排BPM和数据接入中，使用系统参数。 脚本：引入系统参数的代码行中，引入“sys”系统库，并使用“sys.getParameter('系统参数名')”引入系统参数。 例如，脚本里编辑如下代码，执行脚本，不用输入入参，查看“日志”页签打印的日志。 import * as sys from 'sys'; let sysParam = sys.getParameter('命名空间__APPName_MaxValue'); console.log("MaxValue:", sysParam); 服务编排：在服务编排“全局上下文”中，新增公式变量，表达式输入“SYSPARAMETER('系统参数名')”，引入系统参数，注意数据类型保持一致。 BPM：在BPM“全局上下文”中新增相同数据类型的变量，图元配置中设置该变量，值输入“SYSPARAMETER('系统参数名')”，引入系统参数。 数据接入：在数据接入的输入源“添加5G消息”页面，勾选“引用变量”，以“{!系统参数名}”方式引入系统参数。注意数据类型要符合数据接入定义的要求。 图1 数据接入中引入系统参数 “Rest服务”连接器：在“Rest服务”类型的连接器中，单击“新建”，在“新建REST Action”页面的URL内用“{!系统参数名}”方式引入系统参数。 图2 “Rest服务”连接器中引入系统参数

使用说明 与环境、业务要求等紧密相关的参数取值经常变化，可以将这样的参数设置为系统参数。AstroZero提供统一的系统参数配置页面，便于集中维护与管理。当参数发生变化时，仅需要修改一次系统参数取值，引用该系统参数的地方都会更新成为修改后的值。 例如，AstroZero预置的内置系统参数“bingo.expiretask.execute.time”，为系统执行数据清理任务的时间。当系统执行清理任务时，会自动查询该参数值，查询到后，会按照配置的时间来启动数据清理任务。开发者用户也可根据需求创建自定义的系统参数，创建后，可以在脚本、服务编排、流程编排BPM和数据接入中使用系统参数，具体使用方法可参考如何使用系统参数。

前提条件 已获取到应用或BO的资产包或源码包，可根据如下实际场景选择“资产包（安装包、补丁包）”或“源码包”。 在其他开发环境中，安装源码包应用。安装后，会显示在新版开发环境首页的“应用”页面。 源码包是应用开发完成后，在应用列表中通过“导出应用”，导出的应用安装包。源码包中的所有组件都不受保护和限制，源码包只能在开发环境中安装。 图1 下载源码包 在其他开发环境、沙箱环境或运行环境中，安装资产包应用。在其他开发环境安装资产包后，应用会显示在新版开发环境首页的“资产”页面。 资产包（安装包、补丁包）是应用开发完成后，选择“安装包”或“补丁包”发布出来的应用包。在沙箱环境、运行环境安装的资产包中，组件资产都是受保护的。 图2 获取安装包、补丁包

业务用户（PortalUser） 业务用户是指访问在AstroZero中开发的应用的用户账号，即应用的使用者。 思考：如何判断是用户还是业务用户呢？ 例如，在AstroZero中注册了账号“A”，并使用账号“A”在AstroZero中开发或安装了一个应用“X”。账号“B”是通过应用“X”注册的账号，并登录使用应用“X”。这种情况下，账号“A”是用户（User），账号“B”是业务用户（PortalUser）。应用“X”也是支持游客访问的。 图2 AstroZero中用户行为

工作队列 工作队列是用来记录一类具有相同权限和任务对象的成员集。当需要批量处理同一类用户权限时，可以通过创建工作队列来实现，即通过工作队列给业务用户在业务流转过程中，区分不同的权限。 工作队列支持以下功能： 绑定一个或多个对象。 若工作队列绑定了对象，涉及这些对象的用户任务（例如审批流）将会投递到该队列成员进行处理。 可以给工作队列配置一个公共邮箱，用于接收公共通知邮件。 可以给队列成员发送邮件。 在BPM中为泳道指定某个工作队列，此工作队列中全部用户都可以操作此泳道的流程。

权限配置 在AstroZero中，通过权限配置（Profile）来控制用户、业务用户等的操作权限。AstroZero当前预置了如下几种Profile标准配置文件： System Administrator Profile：系统管理员，拥有AstroZero全部权限。 Developer Profile：开发者权限，一般给用户使用，拥有此权限的用户可以在AstroZero进行开发，例如新增一个对象、为对象增加一个字段、新增一个流程等。 Portal User Profile：业务用户的权限，一般给业务用户使用，拥有此权限的业务用户可以通过服务编排鉴权登录AstroZero。 Anonymous User Profile：游客用户的访问权限，请根据自身业务需求，给Profile分配适当的权限。 Standard User Profile：运行态权限，开通AstroZero服务时自带的权限，拥有这个权限可以运行系统中的流程、对系统已有对象进行记录的增删改查操作，但没有开发权限，如新增一个对象或新增一个流程等。 NoCode Developer Profile：只有运行环境才会预置该权限，零代码应用开发权限。 NoCode Manager Profile：只有运行环境才会预置该权限，零代码应用数据管理权限。 一种权限配置可以分配给多个用户，但每个用户只能属于某一个权限配置。权限配置（Profile）中，各权限项详细介绍，请参见表1。 除了默认的权限配置外，用户还可以在默认权限配置的基础上，自定义权限配置，具体操作请参见新建扩展权限集。 图3 用户开发者权限 图4 业务用户权限 图5 游客用户访问权限 表1 权限项说明 权限项 权限项说明 查看系统元数据 用户访问元数据的必要权限，仅用于界面提示作用，无法取消。 开发应用 系统最高的权限，拥有此权限可定制系统所有可定制的地方，默认拥有其他权限。 查看所有用户 查看用户列表和用户详情的权限。 查看角色 查看角色列表和角色详情的权限。 查看权限管理 查看权限配置列表和权限配置详情的权限。 查看扩展权限集 查看扩展权限集列表和扩展权限集详情的权限。 查看组 查看组列表和查看组详情的权限。 查看队列 查看队列列表和查看队列详情的权限。 查看业务用户 查看业务用户列表和查看业务用户详情的权限。 查看业务权限凭证 查看业务权限凭证列表和查看业务权限凭证详情的权限。 查看告警 查看告警列表和告警详情的权限。 管理告警 新增、修改告警定义的权限。 查看BPM 查看BPM定义列表和详情的权限，包括BPM关联的决策表、触发器等。 管理BPM实例 修改BPM实例详情的权限。 查看服务编排 查看服务编排定义列表和详情的权限。 查看脚本 查看脚本列表和详情的权限。 查看定时任务 查看定时任务列表和详情的权限。 查看报表 查看报表列表和详情的权限。 运行报表 查看报表运行实例的权限。 查看仪表板 查看仪表板列表和详情的权限。 运行仪表板 查看仪表板运行实例的权限。 查看所有数据 查看所有数据的权限，勾选此选项后，会忽略单个对象的权限。 运行SQL 执行SQL的权限。 查看加密数据 查看加密数据明文的权限。 查看租户跟踪日志 查看租户跟踪日志的权限。 查看敏感隐私数据 控制是否允许，以数据对象的形式，查看部分敏感数据对象的权限，例如权限配置、连接器定义等。 管理数据 在数据控制台操作任意对象的权限。 管理公告 控制开发者在工作台页面，是否有管理公告（新增、删除和编辑）的权限。

前提条件 自定义“我的仓库”前，需要拥有一个华为账号或一个可用于访问OBS的IAM用户，即先注册华为账号并开通华为云，完成实名认证、创建IAM用户、充值以及购买资源包，具体操作请参见使用OBS前需要做的准备工作。 参考获取AK/SK中操作，获取AK（Access Key ID）、SK（Secret Access Key），即访问密钥对。 在华为OBS上创建存储桶（例如“bing.testonly.1”），用于后续存储资产包或大屏项目包使用，具体操作请参见如何创建桶，并记录创建桶时选择的区域。