华为云用户手册

运维面临的问题 快速迭代对稳定性持续冲击，业务上线速度和现网稳定性之间存在冲突，发布周期变短，可能存在每个版本都没有经过充分的现网验证。 各业务基于开源软件或者基于AOM、LTS、APM等自己构建，运维组织、人员能力及知识体系需要快速发展，无统一的数据接入、监控、诊断、数据治理体系，各工具能力参差不齐。 系统整体可用性依赖全栈可用性，运维人员需要利用数据被动变主动，及时发现问题，精准定位问题。 内部运维人员的操作可能带来业务安全的不确定性；外部安全攻击渗透频率日趋增多，攻击技术手段越发高超，数据泄露代价更大。

支持审计的关键操作 通过云审计服务，您可以记录与IAM身份中心相关的操作事件，便于日后的查询、审计和回溯。 表1 云审计支持的IAM身份中心操作列表 操作名称 资源类型 事件名称 开通IAM身份中心服务 Instance StartIdentityCenter 关闭IAM身份中心服务 Instance DeleteIdentityCenter 注册Region Instance RegisterRegion 更新单点登录配置 Instance UpdateSsoConfiguration 更新身份存储的MFA设备管理配置 Instance UpdateMfaDeviceManagementForIdentityStore 添加自定义域名 Instance CreateAlias 使用指定的权限集为指定帐号分配对主体（用户/用户组）的访问权限 AccountAssignment CreateAccountAssignment 使用指定的权限集从指定帐号删除主体的访问权限 AccountAssignment DeleteAccountAssignment 解除用户或用户组绑定的所有权限集 AccountAssignment DisassociateProfile 在指定的IAM身份中心实例中创建权限集 PermissionSet CreatePermissionSet 删除指定的权限集 PermissionSet DeletePermissionSet 更新指定的权限集 PermissionSet UpdatePermissionSet 将系统管理策略附加到权限集 PermissionSet AttachManagedPolicyToPermissionSet 将附加的系统策略从指定的权限集中移除 PermissionSet DetachManagedPolicyFromPermissionSet 将系统管理角色附加到权限集 PermissionSet AttachManagedRoleToPermissionSet 将附加的系统角色从指定的权限集中分离 PermissionSet DetachManagedRoleFromPermissionSet 将指定权限集预分配给指定帐号 PermissionSet ProvisionPermissionSet 用户登录后为用户生成凭证 User Authenticate 激活设备授权码 User ActiveDevice 取消设备授权码 User CancelDevice 创建用户 User CreateUser 删除用户 User DeleteUser 更新用户 User UpdateUser 停用用户 User DisableUser 启用用户 User EnableUser 创建MFA设备 User CreateMfaDeviceForUser 删除绑定的MFA设备 User DeleteMfaDeviceForUser 更新MFA信息 User UpdateMfaDeviceForUser 通过电子邮件发送密码重置链接或生成用户的一次性密码 User UpdatePwdMode 重置用户密码 User ResetPassword 通过电子邮件发送验证邮箱的链接 User VerifyEmail 更新邮箱验证状态 User UpdateEmailStatus 创建用户组 Group CreateGroup 删除用户组 Group DeleteGroup 更新用户组 Group UpdateGroup 创建用户组关联关系 GroupMembership CreateGroupMembership 删除用户组关联关系 GroupMembership DeleteGroupMembership 批量绑定用户和组 GroupMembership BatchCreateMembership 批量删除用户和组的绑定关系 GroupMembership BatchDeleteMembership 批量替换用户和组的绑定关系 GroupMembership BatchReplaceMembership 创建外部身份提供商目录配置 IdP CreateExternalIdPConfigurationForDirectory 启用外部身份提供商 IdP EnableExternalIdPConfigurationForDirectory 删除外部身份提供商目录配置 IdP DeleteExternalIdPConfigurationForDirectory 停用外部身份提供商 IdP DisableExternalIdPConfigurationForDirectory 更新外部身份提供商目录配置 IdP UpdateExternalIdPConfigurationForDirectory 删除证书 IdP DeleteExternalIdPCertificate 导入证书 IdP ImportExternalIdPCertificate 创建承载令牌 IdP CreateBearerToken 创建身份源对应的租户信息 IdP CreateProvisioningTenant 删除承载令牌 IdP DeleteBearerToken 删除身份源对应的租户信息 IdP DeleteProvisioningTenant 父主题： 审计

注意事项 在开始部署SCIM之前，我们建议您先查看以下有关它如何与IAM身份中心配合使用的重要注意事项。有关适用于您的IdP的其他配置注意事项，请参阅常用的身份提供商。 如果您要配置主电子邮件地址，则每个用户的此属性值必须是唯一的。在某些IdPs情况下，主电子邮件地址可能不是真实的电子邮件地址。例如，它可能是一个看起来只像电子邮件的通用主体名称（UPN）。它们IdPs可能具有包含用户真实电子邮件地址的辅助或 “其他” 电子邮件地址。您必须在IdP中配置SCIM以将非NULL的唯一电子邮件地址映射到IAM身份中心主电子邮件地址属性。而且您必须将用户的非空唯一登录标识符映射到IAM身份中心用户名属性。检查您的IdP是否有一个既是登录标识符又是用户的电子邮件名称的单一值。如果是，您可以将该IdP字段映射到IAM身份中心主电子邮件和IAM身份中心用户名。 要使SCIM同步正常运行，每个用户都必须指定名字、姓氏、用户名和显示名称值。如果某个用户缺少这些值中的任何一个，则不会配置该用户。 如果您需要使用第三方应用程序，则首先需要将出站SAML主题属性映射到用户名属性。如果第三方应用程序需要可路由的电子邮件地址，则必须向您的IdP提供电子邮件属性。 SCIM配置和更新间隔由您的身份提供商控制。只有在您的身份提供商将更改发送到IAM身份中心后，对身份提供商中的用户和群组所做的更改才会反映在IAM身份中心中。有关用户和群组更新频率的详细信息，请咨询您的身份提供商。 目前，SCIM未提供多值属性（例如给定用户的多个电子邮件或电话号码）。尝试使用SCIM将多值属性同步到IAM身份中心将失败。为避免失败，请确保仅为每个属性传递一个值。如果您的用户具有多值属性，请移除或修改您的IdP的SCIM中用于连接到IAM身份中心的重复属性映射。 验证您的externalId IdP上的SCIM映射对应于一个唯一的值，该值始终存在且对您的用户而言更改的可能性最小。例如，您的IdP可能会提供不受姓名和电子邮件等用户属性更改影响的保证标识符objectId或其他标识符。如果是这样，则可以将该值映射到SCIM externalId字段。这样可以确保在您需要更改用户名或电子邮件时，您的用户不会丢失他们的华为云权利、任务或权限。 尚未分配到应用程序或帐号的用户无法配置到IAM身份中心。要同步用户和群组，请确保将他们分配给代表您的IdP与IAM身份中心连接的应用程序或其他设置。

示例流程 图1 给用户授予IAM身份中心权限流程 创建用户组并授权 在IAM控制台创建用户组，并授予IAM身份中心只读权限“IAM IdentityCenter ReadOnlyAccess”。 创建用户并加入用户组 在IAM控制台创建用户，并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台，验证IAM身份中心的“IAM IdentityCenter ReadOnlyAccess”权限。

什么是多因素认证 多因素认证Multi-Factor Authentication（MFA）是一种非常简单的安全实践方法，它能够在用户名称和密码之外再额外增加一层保护。启用多因素认证后，用户进行操作时，除了需要提供用户名和密码外（第一次身份验证），还需要提供验证码（第二次身份验证），多因素身份认证结合起来将为您的帐号和资源提供更高的安全保护。 IAM身份中心的多因素认证主要应用在登录验证中，开启了登录验证功能后，用户登录控制台时，除了需要输入用户名和密码外，还需要在登录验证页面输入多因素认证设备中的验证码，再次确认登录者身份，进一步提高帐号安全性。

多因素认证支持的设备 IAM身份中心当前支持如下多因素认证设备： 身份验证器应用程序： 即虚拟MFA设备。虚拟Multi-Factor Authentication (MFA) 是能产生6位数字认证码的设备，遵循基于时间的一次性密码 （TOTP）标准。MFA设备可以基于硬件也可以基于软件，目前仅支持基于软件的虚拟MFA，即虚拟MFA应用程序，可以在移动硬件设备（包括智能手机）上运行，非常方便，虚拟MFA是多因素认证方式中的一种。 安全密钥： 安全密钥是兼容FIDO2的外部硬件身份验证器，您可以购买并通过USB、BLE或NFC连接到设备。当您被提示输入MFA时，您只需通过触摸YubiKey等硬件安全密钥来验证身份即可。安全密钥包括YubiKey等密钥，最常见的安全密钥包括YubiKey等会创建一个设备绑定的FIDO凭证。 FIDO2是基于公钥密码学的标准，它包含了CTAP2和WebAuthn标准。FIDO凭据具有防网络钓鱼功能，因为创建的FIDO凭据对于网站是唯一的。

开通组织云服务并创建组织 IAM身份中心依赖组织云服务定义的组织来获取成员帐号信息，所以使用IAM身份中心之前，必须先开通组织云服务并创建组织，以组织管理帐号登录并使用IAM身份中心。 使用组织云服务之前，需要先开通企业中心功能，且只能使用企业中心的主帐号创建组织，请参考以下步骤执行。 进入企业中心控制台。 单击“免费开通”，进入申请开通企业中心页面。 勾选“我已阅读并同意《华为云企业管理服务使用声明》”，并单击“免费开通”。开通后您将自动成为企业主帐号，详情参见：开通企业中心功能。 进入组织云服务控制台。 开通组织云服务。进入开通页，单击“立即开通”。 开通组织云服务后，系统会自动创建组织和根组织单元，并将开通服务的帐号设置为管理帐号。详情请参见：创建组织。 邀请帐号加入组织，详请参见：邀请帐号加入组织。

简介 IAM身份中心为用户提供基于华为云组织的多帐号统一身份管理与访问控制。可以统一管理企业中使用华为云的用户，一次性配置企业的身份管理系统与华为云的单点登录，以及所有用户对组织下帐号的访问权限。管理员集中创建用户，分配登录密码，并对其进行分组管理。允许用户使用特定用户名和密码登录统一的用户门户网站，访问为其分配的多个帐号下的资源，无需多次登录。且通过一个应用中的安全验证后，再访问其他应用中的受保护资源时，不再需要重新登录验证。

集中的身份管理，一次配置，即可安全访问多个帐号的资源 大型企业在云上一般有多个帐号，当前企业员工如需访问多个帐号下的资源，需分别登录多个帐号，或在多个帐号下分别创建IAM用户来登录，维护成本高，操作效率低。通过IAM身份中心可以： 集中创建和管理用户： 允许管理员集中创建用户，分配登录密码，并对其进行分组管理。允许用户使用特定用户名和密码登录统一的用户门户网站，访问为其分配的多个帐号下的资源，无需多次登录。 连接到基于SAML 2.0协议的微软AD和Okta身份提供商系统： 允许管理员将IAM身份中心使用的SAML 2.0协议连接到微软AD和Okta身份提供商系统。 支持通过SCIM协议自动化用户预置过程。管理员可以在微软AD和Okta中管理用户，用户信息会自动同步到IAM身份中心，无需人工干预。 用户使用已有微软AD和Okta现有密码登录用户门户，来访问帐号下的资源，无需管理员重新分配密码。 多因素认证（MFA）： 允许管理员对用户强制实施MFA，降低密码泄露的风险。 MFA设备支持基于TOTP协议的APP和基于FIDO2的硬件安全密钥设备。

支持细粒度授权，让用户集中、安全以及高效地分配每个帐号资源的访问权限 大型企业在云上一般有多个帐号，各个帐号承载业务不同，登录的企业员工的职责也不同。需要针对不同帐号配置不同员工的细粒度访问权限，确保企业的资源访问安全合规。 集中管理用户对多个帐号资源的访问权限 允许管理员使用不超过20个IAM权限策略创建权限集，以及为帐号授权。 每个帐号可以设置允许访问的用户和对应的权限集。 IAM身份中心会自动将帐号的权限信息同步到IAM，无需管理员在单个帐号中重复授权。 基于属性的访问控制机制： 允许管理员利用IAM所支持的身份属性、请求上下文属性和资源属性创建权限集。包括用户和资源的组织、标签、请求时间/源地址等全局级属性20+及其他云服务级属性。 允许管理员利用身份提供商定义的业务标签创建权限集。业务标签会在联邦登录过程中被自动转换为IAM的身份标签属性，用于控制访问权限。 管理员只需一次性为所有用户定义权限，后续更改属性即可自动授予、撤销或修改访问权限。

更多操作 在权限管理页面，还可执行表1所示的操作。 表1 更多操作 操作 步骤 延期权限 在左侧导航栏选择“我的权限”。 在“我的权限”页面的权限列表中，勾选需要延期的权限，单击“延期权限”。 在“已选中权限”区域修改有效期时间（权限最长有效期为360天），并填写审批人；在“申请信息”区域填写申请原因。 单击“提交”。 取消权限 在“我的权限”页面的权限列表中，勾选需要取消的权限，单击“取消权限”。 在“权限取消”对话框中，单击“确定”。 查看我的申请 在左侧导航栏选择“我的申请”，可查看我已申请的单号状态（分为审批中、通过或驳回三种状态）。 （可选）在“操作”列可单击“撤回”撤回自己的权限申请。 查看我的权限变更记录 在左侧导航栏选择“我的权限变更记录”。 选择起始时间和结束时间，单击“查询”，可查看到自己在不同租户部门、产品、服务的岗位/角色的变更类型和变更日期。

执行计划 切换至“执行计划”页面，根据需要为流水线配置事件触发和定时任务两种自动触发执行策略。其中事件触发包括代码提交时触发、合并请求时触发、创建标签时触发。码云代码仓还支持Pull Request、新建issue、评论issue等其他事件。 代码提交时触发（代码托管/码云） 监控代码提交触发事件，可以组合分支和具体路径的包含/排除范围，当在关联的代码仓库中有代码提交且所在的分支和变更文件的路径满足包含/排除策略，会自动触发关联流水线执行。 分支包含：提交代码的目标分支在包含分支中，则匹配成功。 分支排除：提交代码的目标分支在排除分支中，则匹配失败。 路径包含：变更文件有任意一个（若配置了路径排除，则必须为排除范围外的变更文件）在包含范围内，则匹配成功。 路径排除：变更文件全部在排除范围内，则匹配失败。 合并请求时触发（代码托管/码云） 启用合并请求事件触发：监控合并请求触发事件，可以组合分支和具体路径的包含/排除范围，对新建、更新、合并和重新打开事件设置触发策略，当在关联的代码仓库侧触发合并请求事件且分支在监控范围时，会自动触发关联流水线执行。 分支包含：合并请求的目标分支在包含分支中，则匹配成功。 分支排除：合并请求的目标分支在排除分支中，则匹配失败。 路径包含：变更文件有任意一个（若配置了路径排除，则必须为排除范围外的变更文件）在包含范围内，则匹配成功。 路径排除：变更文件全部在排除范围内，则匹配失败。 创建标签时触发（代码托管） 监控创建标签触发事件，可以添加标签包含/排除范围，当在关联的代码仓库创建标签且满足标签包含/排除策略，会自动触发关联流水线执行。 标签包含：在代码仓库创建的标签在包含标签中，则匹配成功。 标签排除：在代码仓库创建的标签在排除标签中，则匹配失败。 其他事件（码云） 评论Pull Request：评论Pull Request时触发流水线执行。 新建issue：新建issue时触发流水线运行。 评论issue：评论issue时触发流水线运行。 除了上述事件外，码云代码仓还支持开启事件触发成功后自动评论。 先匹配分支，再匹配路径（如果有配置），都匹配成功，则触发流水线。 分支排除优先于分支包含，即目标分支同时在包含和排除中时，匹配失败。 路径排除优先于路径包含，即先匹配排除的路径，如果变更文件没有全部在排除范围内，则继续匹配包含的路径。若未配置包含路径，则匹配成功；若配置了包含路径，并且变更文件在路径排除范围外有任意一个在包含范围内，则匹配成功。 标签排除优先于标签包含，即标签同时在包含和排除中时，则匹配失败。 定时执行 单击定时任务旁的，增加一个定时任务，打开“启用定时执行”开关（默认开启），然后设置执行日和执行时间，单击“确定”，保存流水线后即可生效，满足条件即可自动触发流水线执行。 最多可以设置10个定时任务。

权限管理 切换至“权限管理”页面，根据需要为流水线配置权限，包括角色权限配置和人员权限配置。 角色权限在未做更改时，角色权限和项目设置中的角色权限保持一致。 项目创建者和流水线创建者权限不能更改。 人员权限优先于角色权限。 默认情况下，用户配置角色权限后会自动同步人员权限，如果配置了人员权限，则该人员权限会覆盖该人员对应的角色权限。 角色权限配置 通过勾选/取消勾选，可以控制角色权限，即指定角色对当前流水线的查看、执行、编辑、删除操作权限。 人员权限配置 通过勾选/取消勾选，可以单独为某个人员设置权限，指定其对当前流水线的执行、编辑、删除操作权限。 “查看”权限提供查看流水线运行详情页面的权利。 “编辑”权限提供编排流水线任务的权利。

任务编排 在“任务编排”页面，可以配置流水线源、配置阶段、配置任务、配置准出条件等。 配置流水线源 单击流水线源阶段下仓库所在区域，弹出“编辑流水线源”侧滑框，可以修改流水线源信息。 配置阶段 在“任务编排”页面，单击或者，可以为流水线添加新的阶段，添加完阶段后，可根据实际需要编辑、删除、复制、移动阶段等。 表1 配置阶段 操作项 说明 编辑阶段 单击，弹出“编辑阶段”侧滑框，可以配置阶段名称和阶段是否总是运行。 说明： 总是运行：选择“是”，表示流水线执行时，该阶段下的任务默认选中必须执行且不可取消；选择“否”，表示流水线执行时，该阶段下的任务默认选中但可以取消。 删除阶段 单击，根据删除提示确认是否删除阶段。 复制阶段 单击，可以复制流水线阶段。 排序阶段 单击不松开，可以移动阶段调整阶段顺序。 阶段准入 单击，弹出“设置”侧滑框，可以配置阶段准入类型（自动或手动）。 自动：默认执行方式，流水线执行时自动进入该阶段继续运行。 手动：流水线执行时需手动确认后才能进入该阶段继续运行。 配置任务 阶段添加后，可以为各阶段添加任务。任务添加后，请根据实际需要编辑、复制、删除、移动任务等。 表2 配置任务 操作项 说明 添加任务 单击，可以在空阶段中添加一个任务。 单击任务下方的，可以添加一个和该任务串行编排的任务。 单击，可以添加一个和已有任务并行编排的任务。 说明： 任务串行执行：按顺序执行，如：构建任务和部署任务应该按顺序先后执行。 任务并行执行：同时执行，如：代码检查任务和构建任务可以同时执行。 编辑任务 单击任务卡片，可以编辑当前任务。 复制任务 将鼠标移动到任务卡片，单击，可以复制一个和该串行编排的任务。 删除任务 将鼠标移动到任务卡片，单击，根据删除提示确定是否删除任务。 排序任务 单击任务卡片不松开，可以移动任务调整任务顺序。 说明： 任务并行执行时不支持调整顺序。 添加或编辑任务时，弹出侧滑框，可以为任务配置插件。 表3 为任务配置插件 操作项 说明 添加插件 插件分为构建插件、代码检查插件、部署插件、测试插件和通用插件5种类型，可以根据不同类型进行过滤或搜索。将鼠标移动到插件卡片，单击“添加”，即可将插件添加到任务中。 请根据需要配置插件相关信息： 填写插件名称。 选择需要调用的任务，如果找不到合适的任务，请根据界面提示新建任务。 如果调用的任务有参数，参数也会显示出来，请根据需要配置相应参数。 插件名称后有对应标记，单个任务中最多只能添加一个带“任务”标记的插件；带“draft”标记的插件表示当前用户发布为草稿的自定义插件。 “挂起流水线”插件只能添加在不含并行任务的阶段中。 删除插件 将鼠标移动到已经添加的插件卡片，单击，选择“删除”，可以删除当前插件。 排序插件 单击插件卡片不松开，可以移动插件调整插件顺序。 配置准出条件 单击阶段下，弹出“准出条件”侧滑框，将鼠标移动到准出条件卡片，单击“添加”，可以为当前阶段添加准出条件，并为准出条件配置策略。 当前仅支持“标准策略准出条件”。 策略：以标准策略方式配置门禁准出条件，可以选择当前项目或租户下创建好的策略。 策略是一系列规则的集合，每个规则对应了一个步骤插件的输出指标值的条件模板，通过预定义好策略，可以很方便地在多条不同流水线中应用同样的准出条件。详见规则与策略。 流水线可以在各阶段单独设置准出条件，准出条件只对当前阶段有效。 同一阶段中可以配置多个不同的准出条件。

更多操作 部门添加成功后，您还可以进行以下操作。 表1 部门管理 操作名称 操作步骤 编辑部门 单击待修改部门所在行“操作”列下的“编辑部门”。 修改部门信息，单击“更新”。 说明： 组织创建成功后，会默认生成一个一级部门，该一级部门不支持编辑。 删除部门 单击待删除部门所在行“操作”列下的“删除”。 单击“确认”。 说明： 删除部门前，需要先删除该部门下所有子部门，否则无法删除部门。 删除部门后，数据无法恢复，请谨慎操作。

更多操作 创建服务信息完成后，您还可以执行如下表1的操作。 表1 更多操作 操作 步骤 查看服务详情 单击服务列表中服务中文名，可查看服务详情，包括服务名称、服务编码、所属产品名称、所属产品编码、归属部门、状态、创建人、创建时间等信息。 编辑服务信息 说明： 仅可编辑“状态”为“草稿”的服务信息。 单击服务列表“操作”列的“编辑”。 在“编辑服务”页面编辑服务名称（不可编辑服务所属产品和服务编码），然后单击“确定”。 删除服务信息 说明： 仅可删除“状态”为“草稿”的服务信息。 单击服务列表中“状态”为“草稿”的服务“操作”列的“删除”。 单击“确定”。 发布服务信息 说明： 仅可发布“状态”为“草稿”或“已下线”的服务信息。 单击服务列表“操作”列的“发布”（发布后服务无法删除，请谨慎操作）。 单击“确定”，该服务信息将发布到已购买的AppStage相关中心。 同步服务信息 说明： 发布服务信息后，如果在AppStage相关中心未同步到该服务信息，可使用此“同步”功能重新同步服务信息。 仅可同步非“草稿”状态的服务信息。 单击服务列表“操作”列的“同步”。 单击“确定”，该服务信息将同步到已购买的AppStage相关中心。 下线服务信息 说明： 下线服务需确保该服务下的微服务已下线，下线后AppStage的开发中心、运维中心等中心无法使用该服务，请谨慎操作；下线后可以在“操作”列再次单击“发布”重新上线该服务信息。 单击服务列表“操作”列的“下线”。 在“下线服务”对话框输入“确定下线”，并单击“确定”。

步骤一：创建团队信息 登录AppStage业务控制台。在快捷入口区域选择“开发中心”，进入开发中心工作台。 在工作台下方“我的团队”区域，单击右侧“创建团队”。 在“创建团队”页面，设置团队相关参数，如图1所示，参数配置请参见表1。 图1 创建团队 表1 创建团队参数说明 参数名称 参数说明 团队名称 必填项，团队的命名。 团队归属部门 必填项，选择系统中已提前创建的部门，部门的创建方法请参见添加部门。 关联服务 必填项，选择系统中已提前创建的服务，服务创建方法请参见服务管理。 团队LOGO 必填项，单击系统默认图片上的“点击修改”，可选择本地图片自定义LOGO图片。 团队简介（可选） 非必填项，团队空间的功能描述或其他备注信息。 单击“创建”。 在“我的团队”区域可查看到创建的团队的卡片。

更多操作 在权限管理页面，还可执行表1所示的操作。 表1 更多操作 操作 步骤 延期权限 在左侧导航栏选择“我的权限”。 在“我的权限”页面的权限列表中，勾选需要延期的权限，单击“延期权限”。 在“已选中权限”区域修改有效期时间（权限最长有效期为360天），并填写审批人；在“申请信息”区域填写申请原因。 单击“提交”。 取消权限 在“我的权限”页面的权限列表中，勾选需要取消的权限，单击“取消权限”。 在“权限取消”对话框中，单击“确定”。 查看我的申请 在左侧导航栏选择“我的申请”，可查看我已申请的单号状态（分为审批中、通过或驳回三种状态）。 （可选）在“操作”列可单击“撤回”撤回自己的权限申请。 查看我的权限变更记录 在左侧导航栏选择“我的权限变更记录”。 选择起始时间和结束时间，单击“查询”，可查看到自己在不同租户部门、产品、服务的岗位/角色的变更类型和变更日期。

录入服务信息 在左侧导航栏选择“服务管理”。 在“服务管理”页面右上角，单击“创建服务”。 在“创建服务”页面的“所属产品”下来列表中选择服务所属产品，设置服务名称、服务编码，其中服务所属产品和服务编码设置后不可修改。 单击“创建”。在服务列表中可查看到此新建的服务“状态”为“草稿”。 在新创建的服务所在行“操作”列单击“发布”（发布后服务无法删除，请谨慎操作），在弹框中单击“确认”。 在服务列表中可查看到此新建服务“状态”为“已发布”，录入服务信息完成。

录入微服务信息 在左侧导航栏选择“微服务管理”。 在“微服务管理”页面，单击右上角“创建微服务”。 在“创建微服务”页面的“所属服务”下来列表中选择微服务所属服务，设置微服务名称、微服务编码，其中微服务所属服务和微服务编码设置后不可修改。 单击“创建”。在微服务列表中可查看到此新建的微服务“状态”为“草稿”。 在新创建的微服务所在行“操作”列单击“发布”（发布后微服务无法删除，请谨慎操作），在弹框中单击“确认”。 在微服务列表中可查看到此新建微服务“状态”为“已发布”，录入微服务信息完成。

权限管理 切换至“权限管理”页面，根据需要为流水线配置权限，包括角色权限配置和人员权限配置。 角色权限在未做更改时，角色权限和项目设置中的角色权限保持一致。 项目创建者和流水线创建者权限不能更改。 人员权限优先于角色权限。 默认情况下，用户配置角色权限后会自动同步人员权限，如果配置了人员权限，则该人员权限会覆盖该人员对应的角色权限。 角色权限配置 通过勾选/取消勾选，可以控制角色权限，即指定角色对当前流水线的查看、执行、编辑、删除操作权限。 人员权限配置 通过勾选/取消勾选，可以单独为某个人员设置权限，指定其对当前流水线的执行、编辑、删除操作权限。 “查看”权限提供查看流水线运行详情页面的权利。 “编辑”权限提供编排流水线任务的权利。

执行计划 切换至“执行计划”页面，根据需要为流水线配置事件触发和定时任务两种自动触发执行策略。其中事件触发包括代码提交时触发、合并请求时触发、创建标签时触发。码云代码仓还支持Pull Request、新建issue、评论issue等其他事件。 代码提交时触发（代码托管/码云） 监控代码提交触发事件，可以组合分支和具体路径的包含/排除范围，当在关联的代码仓库中有代码提交且所在的分支和变更文件的路径满足包含/排除策略，会自动触发关联流水线执行。 分支包含：提交代码的目标分支在包含分支中，则匹配成功。 分支排除：提交代码的目标分支在排除分支中，则匹配失败。 路径包含：变更文件有任意一个（若配置了路径排除，则必须为排除范围外的变更文件）在包含范围内，则匹配成功。 路径排除：变更文件全部在排除范围内，则匹配失败。 合并请求时触发（代码托管/码云） 启用合并请求事件触发：监控合并请求触发事件，可以组合分支和具体路径的包含/排除范围，对新建、更新、合并和重新打开事件设置触发策略，当在关联的代码仓库侧触发合并请求事件且分支在监控范围时，会自动触发关联流水线执行。 分支包含：合并请求的目标分支在包含分支中，则匹配成功。 分支排除：合并请求的目标分支在排除分支中，则匹配失败。 路径包含：变更文件有任意一个（若配置了路径排除，则必须为排除范围外的变更文件）在包含范围内，则匹配成功。 路径排除：变更文件全部在排除范围内，则匹配失败。 创建标签时触发（代码托管） 监控创建标签触发事件，可以添加标签包含/排除范围，当在关联的代码仓库创建标签且满足标签包含/排除策略，会自动触发关联流水线执行。 标签包含：在代码仓库创建的标签在包含标签中，则匹配成功。 标签排除：在代码仓库创建的标签在排除标签中，则匹配失败。 其他事件（码云） 评论Pull Request：评论Pull Request时触发流水线执行。 新建issue：新建issue时触发流水线运行。 评论issue：评论issue时触发流水线运行。 除了上述事件外，码云代码仓还支持开启事件触发成功后自动评论。 先匹配分支，再匹配路径（如果有配置），都匹配成功，则触发流水线。 分支排除优先于分支包含，即目标分支同时在包含和排除中时，匹配失败。 路径排除优先于路径包含，即先匹配排除的路径，如果变更文件没有全部在排除范围内，则继续匹配包含的路径。若未配置包含路径，则匹配成功；若配置了包含路径，并且变更文件在路径排除范围外有任意一个在包含范围内，则匹配成功。 标签排除优先于标签包含，即标签同时在包含和排除中时，则匹配失败。 定时执行 单击定时任务旁的，增加一个定时任务，打开“启用定时执行”开关（默认开启），然后设置执行日和执行时间，单击“确定”，保存流水线后即可生效，满足条件即可自动触发流水线执行。 最多可以设置10个定时任务。

任务编排 在“任务编排”页面，可以配置流水线源、配置阶段、配置任务、配置准出条件等。 配置流水线源 单击流水线源阶段下仓库所在区域，弹出“编辑流水线源”侧滑框，可以修改流水线源信息。 配置阶段 在“任务编排”页面，单击或者，可以为流水线添加新的阶段，添加完阶段后，可根据实际需要编辑、删除、复制、移动阶段等。 表1 配置阶段 操作项 说明 编辑阶段 单击，弹出“编辑阶段”侧滑框，可以配置阶段名称和阶段是否总是运行。 说明： 总是运行：选择“是”，表示流水线执行时，该阶段下的任务默认选中必须执行且不可取消；选择“否”，表示流水线执行时，该阶段下的任务默认选中但可以取消。 删除阶段 单击，根据删除提示确认是否删除阶段。 复制阶段 单击，可以复制流水线阶段。 排序阶段 单击不松开，可以移动阶段调整阶段顺序。 阶段准入 单击，弹出“设置”侧滑框，可以配置阶段准入类型（自动或手动）。 自动：默认执行方式，流水线执行时自动进入该阶段继续运行。 手动：流水线执行时需手动确认后才能进入该阶段继续运行。 配置任务 阶段添加后，可以为各阶段添加任务。任务添加后，请根据实际需要编辑、复制、删除、移动任务等。 表2 配置任务 操作项 说明 添加任务 单击，可以在空阶段中添加一个任务。 单击任务下方的，可以添加一个和该任务串行编排的任务。 单击，可以添加一个和已有任务并行编排的任务。 说明： 任务串行执行：按顺序执行，如：构建任务和部署任务应该按顺序先后执行。 任务并行执行：同时执行，如：代码检查任务和构建任务可以同时执行。 编辑任务 单击任务卡片，可以编辑当前任务。 复制任务 将鼠标移动到任务卡片，单击，可以复制一个和该串行编排的任务。 删除任务 将鼠标移动到任务卡片，单击，根据删除提示确定是否删除任务。 排序任务 单击任务卡片不松开，可以移动任务调整任务顺序。 说明： 任务并行执行时不支持调整顺序。 添加或编辑任务时，弹出侧滑框，可以为任务配置插件。 表3 为任务配置插件 操作项 说明 添加插件 插件分为构建插件、代码检查插件、部署插件、测试插件和通用插件5种类型，可以根据不同类型进行过滤或搜索。将鼠标移动到插件卡片，单击“添加”，即可将插件添加到任务中。 请根据需要配置插件相关信息： 填写插件名称。 选择需要调用的任务，如果找不到合适的任务，请根据界面提示新建任务。 如果调用的任务有参数，参数也会显示出来，请根据需要配置相应参数。 插件名称后有对应标记，单个任务中最多只能添加一个带“任务”标记的插件；带“draft”标记的插件表示当前用户发布为草稿的自定义插件。 “挂起流水线”插件只能添加在不含并行任务的阶段中。 删除插件 将鼠标移动到已经添加的插件卡片，单击，选择“删除”，可以删除当前插件。 排序插件 单击插件卡片不松开，可以移动插件调整插件顺序。 配置准出条件 单击阶段下，弹出“准出条件”侧滑框，将鼠标移动到准出条件卡片，单击“添加”，可以为当前阶段添加准出条件，并为准出条件配置策略。 当前仅支持“标准策略准出条件”。 策略：以标准策略方式配置门禁准出条件，可以选择当前项目或租户下创建好的策略。 策略是一系列规则的集合，每个规则对应了一个步骤插件的输出指标值的条件模板，通过预定义好策略，可以很方便地在多条不同流水线中应用同样的准出条件。详见规则与策略。 流水线可以在各阶段单独设置准出条件，准出条件只对当前阶段有效。 同一阶段中可以配置多个不同的准出条件。

相关概念 管理员：AppStage系统级管理员为组织管理员，组织管理员可以进行的操作请参见管理员操作指南。组织管理员分为两类，具体如下： 组织管理员（租户开通者）：购买AppStage的华为云主账号默认为组织管理员，作为当前应用平台云服务的开通者，除具有应用平台内套餐的订购权限外，具备当前租户下AppStage业务控制台全部的操作权限，如系统级功能的维护，如公告的新增/修改/删除、应用基础信息（产品、服务、微服务）的新增/修改/删除等。 组织管理员（非租户开通者）：由组织管理员添加的企业成员，且该企业成员已申请组织管理员权限。具备AppStage业务控制台全部的操作权限，如系统级功能的维护，如公告、应用基础信息（产品、服务、微服务）等。 企业成员：由组织管理员在AppStage业务控制台添加的成员，企业成员在AppStage业务控制台的操作请参见企业成员操作指南。企业成员还可以申请各类不同的角色，从而具备对应角色的操作权限。企业成员可申请的角色以及对应的权限范围请参见权限管理。

操作步骤 将虚拟机接入AppStage运维中心，需要完成如表1所示侧操作。 表1 虚拟机接入操作步骤 操作步骤 操作岗位/角色名称 操作说明 步骤一：启动扫描虚拟机 主机运维角色 开启虚拟机扫描开关，AppStage才会扫描对应华为云账号下的虚拟机。 步骤二：分配虚拟机 主机运维角色 将录入的华为云账号扫描出的虚拟机分配到对应的服务下。 步骤三：规划业务账号 服务运维岗位 规划业务账号是纳管后AppStage连接虚拟机的通道用户，也是堡垒机连接虚拟机的账号，是用于申请虚拟机sudo的用户。 步骤四：导入公钥并创建用户 服务运维岗位 以root账号登录虚拟机，在虚拟机中创建服务的用户。 步骤五：打通通道 服务运维岗位 依次绑定待纳管虚拟机的root通道和业务账号通道，并检查通道状态查看SSH状态是否正常。 步骤六：重置密码 主机运维角色 纳管成功后会重置虚拟机上root账号和所有业务账号的密码，密码会定期90天修改一次。 步骤七：OS发现 主机运维角色 通过OS发现，获取系统自动创建的主机管理员账号及运维账号。 （可选）步骤八：注册到堡垒机 服务运维岗位 将虚拟机注册到堡垒机，无法登录业务主机时操作。 步骤九：安装HCW agent 服务运维岗位 用于虚拟机资源监控，安装前需要申请sudo权限。 （可选）步骤十：添加安全加固 服务运维岗位 业务根据自身情况查看是否添加。

步骤三：创建日志采集配置 在“容器日志接入”页面，选择左侧导航栏的“日志采集配置”。 单击“创建日志采集配置”。 配置日志采集参数，参数说明如表6所示，配置完成后，单击“确定”。 表6 日志采集配置参数说明 参数名称 参数说明 日志项目 选择已创建的日志项目。 日志空间 选择已创建的日志空间。 配置名称 自定义日志采集配置名称。 配置类型 选择日志采集配置类型，选择“FILEBEAT”。 日志类型 选择采集日志类型。 日志路径 填写实际日志路径，可使用通配符进行匹配。 说明： 注意避免同一台主机上下发的多个采集任务重复采集相同的日志文件，会导致filebeat进程异常。 日志TPS TPS表示单实例每秒日志条数，请准确填写，用于推荐资源自动计算。 日志模式 选择日志采集模式，是单行模式还是多行模式。 首行正则表达式 日志模式选择多行模式时，需要输入首行正则表达式。 日志提取规则 根据填写的配置参数会自动生成提取规则。

步骤四：创建配置组 在“容器日志接入”页面，选择左侧导航栏的“日志配置组”。 单击“创建日志配置组”。 设置日志配置组参数，参数说明如表7所示，配置完成后，单击“确定”。 表7 日志配置组参数说明 参数名称 参数说明 日志配置组名称 自定义日志配置组名称。 日志项目 选择已创建的日志项目。 接入类型 选择任务类型。 配置类型 选择配置类型，选择“FILEBEAT”。 采集配置列表 选择需要下发的配置。

步骤五：配置DaemonSet 将日志配置组名称填写到variables.tf中groups数组内。 groups有且只能填写一个元素，设计为数组是因为架构从上层统一了与bi DaemonSet的配置格式。 在“日志配置组”页面，单击已创建的日志配置组所在行“操作”列的“配置详情”。 在日志配置组详情页面，选择2.0版本或者3.0版本，并拷贝日志配置组自动生成的IaC代码到业务IaC中。 IaC 2.0格式 在tfdefinition的main.tf中添加： # ============ daemonSet配置 ============ daemonset = var.daemonset # ============ 集群标签配置 ============ resource_tag = var.resource_tag 在tfdefinition的variables.tf中添加： variable "daemonset" { default = [ { # 接入DaemonSet类型，必填 name = "AIOps" # 开启与否，必填 enable = true # 日志路径，选填。固定值：/opt/huawei/logs log_path = "/opt/huawei/logs" # 日志存储限制，选填。默认为最大值 100G limit_size = "100G" # 日志配置分组，必填，当前AIOps场景有且只能填写一个元素 groups = ["logConfigGroupName"] } ] } IaC 3.0格式 resources.yaml中的配置： # ========== daemonSet 实例参数配置 ========== daemonSet: - name: AIOps enable: true logPath: '/opt/huawei/logs' limitSize: 100G groups: ["logConfigGroupName"]

操作步骤 在开发中心左侧导航栏，选择“缺陷管理”。 单击“新增”，选择“Bug”。 设置Bug（缺陷）的参数字段。 参数字段可以根据实际需要进行自定义，部分默认的基本字段说明如表1所示。 表1 缺陷基本字段说明 字段名 说明 类型 无需配置，默认为“Bug”。 标题 缺陷的名称。 标签 对缺陷添加标签，如“性能缺陷”。 说明： 标签只能在缺陷所属的本项目（服务）中使用。 缺陷描述 请根据实际需要按模板对缺陷进行描述。 状态 缺陷处理的状态，状态类型可以根据实际需要进行自定义，默认类型如下： 新建 进行中 已解决 测试中 已拒绝 已关闭 新建缺陷时，缺陷状态默认为“新建”，不能修改。 处理人 缺陷处理的负责人。取值范围为该项目（服务）的创建者或成员。如果负责人设置了昵称，将默认显示用户的昵称。 模块 缺陷所属模块。 说明： 项目（服务）的管理员如果需要配置模块，请参见模块设置。 迭代 缺陷所处的迭代。取值范围为已建立的迭代。 说明： 当选择已有迭代时，可根据需要选择是否将迭代的开始结束日期填充为缺陷的预计开始日期和预计结束日期。 预计开始日期 缺陷开始的计划时间。通过时间控件选择。 预计结束日期 缺陷结束的计划时间。通过时间控件选择。 优先级顺序 缺陷处理的优先级顺序。 取值范围：1～100 优先级 缺陷处理的优先级，分别如下： 低 中 高 重要程度 缺陷的重要程度，请根据需要设置，类型如下： 关键 重要 一般 提示 抄送人 设置缺陷的抄送人后，抄送人可以收到动态消息。 父工作项 缺陷所属的父工作项。 说明： Bug（缺陷）可以设置父工作项为Story类型，不能设置为其它类型的工作项。 领域 缺陷所属领域。 说明： 项目的管理员如果需要配置领域，请参见领域设置。 发布版本号 发布版本名称。 发现版本号 Bug（缺陷）发现版本号，即缺陷发现的产品版本号。 开发人员 开发人员特指解决此缺陷问题的人员，从责权对应的角度，每个缺陷的开发人员通常应该固定。 而缺陷的处理人是跟随缺陷的流转而切换。这两个字段可以结合起来使用。 预计工时 缺陷解决所需的预计工时。 实际工时 缺陷解决所需的实际工时。 说明： “实际工时”在“工作项详情”页面才显示。 完成度 设置当前缺陷的完成情况。取值为0%~100%。 说明： 父工作项（即工作项存在子工作项）的“完成度”不能手动修改，是根据子工作项设置的完成度自动更新。 故事点 对缺陷工作量的估算，根据时期情况填写。 附件 上传所需的附件。 单击从本项目云端文档关联已有文件，或从本地上传。 说明： 单个附件大小限制为50MB。 参数设置完成后，单击“保存”。 新建完成的缺陷显示在缺陷列表中。

操作指导 目前代码托管服务提供以下几种仓库创建方式： 创建空仓库，适用于本地有仓库，需要将本地仓库同步到代码托管仓库的场景。 按模板新建仓库，使用代码托管服务提供的模板创建，适用于本地没有仓库，希望按模板初始化一个仓库的场景。 导入外部仓库，用于将其他云端仓库导入到代码托管服务中，也可以将代码托管服务中一个区域的仓库导入到另一个区域（仓库备份），导入后的仓库与源仓库彼此独立。 适用场景一：Gitee、Github仓库迁移、项目迁移到代码托管服务。 适用场景二：使用软件开发生产线的用户，希望将项目迁移到其它区域。 Fork仓库基于目前已有的代码托管仓库复制，复制出的仓库可以将修改内容合并回源仓库。 适用场景一：希望基于历史项目开展新项目，又不想破坏历史项目仓库结构。 适用场景二：组织内项目开源。 仓库常用设置请参见以下页面： 仓库设置 提交规则 合并请求 保护分支 IP白名单 了解更多