华为云用户手册

接入集群 登录UCS控制台，在“等待接入”状态下的目标集群栏中单击“单击接入”，选择“私网接入”。 选择项目，再选择购买终端节点中创建的终端节点。 下载集群代理agent的配置文件。 集群代理配置存在私有秘钥信息，每个集群代理配置仅能下载一次，请您妥善保管。 将步骤3中的agent配置文件上传至节点。 单击“安装集群代理agent配置”，在待接入集群中执行如下命令，可单击右侧直接复制命令。 图4 安装集群代理agent配置 私网接入的集群无法通过私网下载SWR镜像仓库中的镜像，请确保工作负载运行的节点可访问公网。 拉取proxy-agent容器镜像要求集群需要具备公网访问能力，或将proxy-agent镜像上传至集群可访问的镜像仓库，否则将导致proxy-agent部署失败。 前往UCS控制台刷新集群状态，集群处于“运行中”。

约束与限制 仅华为云账号或具备UCS FullAccess权限的用户可进行集群注册的操作。 若集群地域位于境外，应确保您的行为符合所适用的法律法规要求。 请确保注册的集群为伙伴云(如天翼云、移动云)CCE集群，且版本在1.19至1.28之间的集群。 伙伴云集群通过私网接入时，由于网络限制，镜像仓库功能的使用可能受限： 私网接入的集群无法通过私网下载SWR镜像仓库中的镜像，请确保工作负载运行的节点可访问公网。

购买终端节点 登录VPC终端节点控制台，单击“购买终端节点”。 选择终端节点的区域。 选择“按名称查找服务”，输入服务名称“cn-north-4.open-vpcep-svc.29696ab0-1486-4f70-ab35-a3f6b1b37c02”，并单击“验证”。 图3 购买终端节点 选择准备网络环境中与集群网络连通的虚拟私有云以及对应的子网。 根据需求选择终端节点的“节点IP”为“自动分配”或“手动分配”。 配置完其他参数后，单击“立即购买”，并进行规格确认。 规格确认无误，单击“提交”，任务提交成功。 参数信息配置有误，需要修改，单击“上一步”，修改参数，然后单击“提交”。

前提条件 已创建一个准备接入UCS的集群，并且集群状态正常。 在UCS提供服务的区域中创建一个VPC，具体操作请参见创建虚拟私有云和子网，当前仅支持“华北-北京四”区域。 该VPC子网网段不能与IDC或第三方云中已使用的网络网段重叠，否则将无法接入集群。例如，IDC中已使用的VPC子网为192.168.1.0/24，那么华为云VPC中不能使用192.168.1.0/24这个子网。 已获取待添加集群的KubeConfig文件，具体操作步骤因厂商而异，请参见KubeConfig。关于KubeConfig文件的更多说明请参考使用kubeconfig文件组织集群访问。

注册集群 登录UCS控制台。 在左侧导航栏中选择“容器舰队”，单击附着集群选项卡中的“注册集群”按钮。 参考表1填写待添加集群的基础信息，其中带“*”的参数为必填参数。 表1 注册集群基础信息配置 参数 参数说明 集群名称* 输入集群的自定义名称，需以小写字母开头，由小写字母、数字、中划线（-）组成，且不能以中划线（-）结尾。 集群服务商* 选择一个集群服务商。 所属区域* 选择集群所在的区域。 集群标签 非必填项，以键值对的形式为集群添加标签，可以通过标签实现集群的分类。键值对可自定义，以字母或者数字开头和结尾，由字母、数字、连接符（-）、下划线（_）、点号（.）组成，且63个字符之内。 上传KubeConfig* 上传kubectl的配置文件来完成集群认证，支持JSON或YAML格式。获取KubeConfig文件的操作步骤因厂商而异，请参见KubeConfig。 选择Context* 选择对应的Context。在完成KubeConfig文件上传后，选项列表将自动获取文件中的“contexts”字段。 默认值为KubeConfig文件中“current-context”字段指定的Context，若文件中无此字段则需要从列表中手动选择。 容器舰队 选择集群所属的舰队。 舰队用于权限精细化管理，一个集群只能加入一个舰队。若不选择舰队，集群注册成功后将显示在“未加入舰队的集群”页签下，后续还可以再添加至舰队中。 不支持在注册集群阶段选择已开通集群联邦能力的舰队，如果一定要加入这个舰队，请在集群注册成功后，再添加到该舰队中。关于集群联邦的介绍，请参见开通集群联邦章节。 如需新建舰队，请参见管理容器舰队。 单击“确定”，集群注册成功后如图2所示，请在30分钟内接入网络。您可选择集群的接入方式或单击右上角按钮查看详细的网络接入流程。 如您未在30分钟内接入网络，将会导致集群注册失败，可单击右上角按钮重新注册集群。如果已经接入但数据未采集上来，请等待2分钟后刷新集群。 图2 集群等待接入状态

配置DNS服务器 配置DNS转发：在DNS服务器配置相应的DNS转发规则，将解析华为云内网域名的请求转发到DNS终端节点。以常见的DNS软件Bind为例：例如/etc/named.conf内，增加DNS转发器的配置，forwarders为DNS终端节点IP地址。 下示代码中xx.xx.xx.xx是DNS的终端节点IP。 options { forward only； forwarders{ xx.xx.xx.xx;}; }; 增加静态DNS配置解析：增加DNS静态配置，SWR与CIE实例地址。如使用dnsmasq为例，在/etc/dnsmasq.conf中添加以下两个静态解析： 第一个静态解析如下，下示代码中xx.xx.xx.xx是SWR的终端节点IP。 address=/swr.cn-north-4.myhuaweicloud.com/xx.xx.xx.xx 第二个静态解析如下，下示代码中xx.xx.xx.xx是域名对应的IP地址，在开启集群监控后生成。 address=/cia-{当前选择接入的VPCID前八位}{当前选择接入的VPC子网ID前八位}.cn-north-4.myhuaweicloud.com/xx.xx.xx.xx 示例：address=/cia-9992be3cf3eace24.cn-north-4.myhuaweicloud.com/ 172.16.0.81 生成域名。 SWR：address=/swr.cn-north-4.myhuaweicloud.com/{SWR VPC-EP} CIA：域名的获取：如当前选择接入的VPC和子网如下（如下截图vpc-cce仅是示例，实际VPC以UCS服务所在的VPC为准） 图3 VPC的ID前8位 图4 子网的ID前8位 最终域名拼接后是：cia-e52a5d7e02a86357.cn-north-4.myhuaweicloud.com

购买终端节点（VPCEP） 登录UCS控制台，单击待接入集群栏的“点击接入”进入集群接入界面，单击“私网接入”。 查看“创建终端节点”中的服务名称，单击，记录服务名称。 图1 创建终端节点 登录VPC终端节点控制台，单击“购买终端节点”，创建连接不同服务的终端节点。 选择终端节点的区域，单击“按名称查找服务”，输入2中所记录的服务名称，并单击“验证”，创建UCS的终端节点。 图2 按名称查找服务 创建DNS、SWR、OBS的终端节点。 选择部署网络环境中创建的虚拟私有云以及对应的子网。 “节点IP”选择“自动分配”或“手动分配”均可。 单击“立即购买”，规格确认无误后，单击“提交”。 将创建的终端节点配置到所使用的DNS服务器中。单击创建出的VPCEP节点名称，记录“节点IP”，以便在IDC的DNS Server中增加华为云的DNS转发器。

部署网络环境 在UCS提供服务的区域中创建一个VPC，该VPC将用于后续安装终端节点，需保证该VPC与用户自有IDC网络环境打通。 VPC创建操作请参见创建虚拟私有云和子网，当前仅支持“华北-北京四”区域。 该VPC子网网段不能与IDC中已使用的网络网段重叠，否则将无法接入集群。例如，IDC中已使用的VPC子网为192.168.1.0/24，那么华为云VPC中不能使用192.168.1.0/24这个子网。

开启本地集群控制面审计日志 集群未安装云原生日志采集插件 安装云原生日志采集插件时，可通过勾选控制面审计日志，创建默认日志采集策略，采集对应组件日志上报到LTS。安装方法见：启用云原生日志采集插件采集日志。 集群已安装云原生日志采集插件 登录容器舰队控制台，单击集群名称进入集群，选择左侧导航栏的“日志中心”。 右上角单击“日志采集策略”，将显示当前集群所有上报LTS的日志策略。 单击上方“创建日志策略”，输入要采集的配置信息。 策略模板：若安装插件时未开启控制面审计日志的采集策略，或者删除了对应的日志策略，可通过该方式重新创建控制面审计日志采集策略。 日志查看：可直接在“日志中心”页面，“控制面审计日志”页签中查看，选择日志策略配置的日志流名称，即可查看上报到云日志服务（LTS）的日志。

创建权限 登录UCS控制台，在左侧导航栏中选择“权限管理”。 单击右上角的“创建权限”按钮。 在弹出页面中填写权限参数。 图2 创建权限 权限名称：自定义权限的名称，需以小写字母开头，由小写字母、数字、中划线（-）组成，且不能以中划线（-）结尾。 用户：在下拉列表中勾选新创建的用户名。支持选择多个用户，假设一个企业中的开发团队有多名员工，他们对资源的操作权限一样，就可以在创建权限时选择多个用户以达到批量授权的目的。 本文以添加一个“readonly_user”用户为例。 权限类型：支持管理员权限、只读权限、开发权限和自定义权限。 表1 权限类型说明 权限类型 说明 管理员权限 对所有集群资源对象的读写权限 只读权限 对所有集群资源对象的只读权限 开发权限 对大多数集群资源对象的读写权限，对命名空间、资源配额等集群资源对象的只读权限 自定义权限 权限由您选择的操作类型和资源对象决定 权限内容：表示对哪些资源可以执行哪些操作。管理员权限、只读权限、开发权限的权限内容已经模板化，您可以单击按钮查看权限的详细内容。当权限类型选择“自定义权限”时，需要设置操作类型和资源对象。 操作类型：包含如下类型，也支持新增操作类型（如deletecollection，表示删除多个资源）。 get：按名称检索特定的资源对象。 list：检索命名空间中特定类型的所有资源对象。 watch：响应资源变化。 create：创建资源。 update：更新资源。 patch：局部更新资源。 delete：删除资源。 对于全部操作推荐选择：全部。 对于只读操作推荐选择：get + list + watch。 对于读写操作推荐选择：get + list + watch + create + update + patch + delete。 资源对象：您可以选择“全部资源”或“指定资源”。全部资源对象包括当前已有的资源对象和后续新增的自定义资源对象；“指定资源”即表示您自己选择资源对象的范围，为了便于查找，UCS服务将资源对象按照工作负载、服务、配置和存储、身份验证、授权、权限、扩展、集群维度划分。 若系统资源中没有您需要的资源对象，也可以新增自定义资源对象。 如果针对不同资源对象，操作类型不同（例如：对deployments具有create、delete操作权限，对secrets具有get、list、watch操作权限），可以单击按钮添加多组内容。 若您想了解更多资源对象和操作类型的知识，请参阅Kubernetes API。 描述：添加权限的描述信息。 单击“确定”。权限创建完成后，需要继续关联舰队或未加入舰队的集群，才可正常操作Kubernetes资源。

关联权限至舰队或未加入舰队的集群 舰队是多个集群的集合，舰队可以实现多集群的权限统一管理。因此建议您将集群加入舰队后，为舰队关联权限，这样舰队中的集群将具有相同的权限。 登录UCS控制台，在左侧导航栏中选择“容器舰队”。 在目标舰队栏中，单击右上角的按钮。 图3 为舰队关联权限 在弹出的页面单击“修改容器舰队权限”或“关联权限”，打开修改权限页面，将已创建好的权限和舰队的命名空间关联起来。 图4 修改权限 命名空间：支持“全部命名空间”和“指定命名空间”。全部命名空间包括当前舰队已有的命名空间和舰队后续新增的命名空间；“指定命名空间”即表示您自己选择命名空间的范围，UCS服务提供了几个常见的命名空间供您选择（如default、kube-system、kube-public），您也可以新增命名空间，但要自行确保新增的命名空间在集群中存在。 请注意，选择的命名空间仅对权限中命名空间级资源生效，不影响权限中的集群资源。关于命名空间级和集群级资源的介绍，请参见Kubernetes资源对象章节。 关联权限：从下拉列表中选择权限，支持一次性选择多个权限，以达到批量授权的目的。 本示例中，选择“default”命名空间，选择“readonly”权限。 如果针对不同命名空间，关联的权限不同（例如：为default命名空间关联readonly权限，为development命名空间关联develop权限），可以单击按钮添加多组授权关系。 单击“确定”，完成权限的关联。 如果后续需要修改舰队的权限，采用同样的方法，重新选择命名空间和权限即可。

授权流程 图1 给用户授予Kubernetes资源权限流程 创建用户。 管理员账号在IAM控制台创建一个用户。 为用户授予UCS系统策略。 授予Kubernetes资源权限之前，必须先为用户授予UCS系统策略的权限，本例中应该授予UCS ReadOnlyAccess策略（UCS服务只读权限）。 创建权限。 管理员账号在UCS控制台创建权限，选择“只读权限”的权限类型，表示对所有Kubernetes资源对象的只读权限。 关联权限至舰队或未加入舰队的集群。 将权限关联至舰队，关联时需要选择权限作用的命名空间。也可以关联权限至未加入舰队的集群。 验证权限是否生效。 新创建的用户登录控制台，验证只读权限是否生效。

升级示例 Deployment的升级可以是声明式的，也就是说只需要修改Deployment的YAML定义即可，比如使用kubectl edit命令将上面Deployment中的镜像修改为nginx:alpine。修改完成后再查询ReplicaSet和Pod，发现创建了一个新的ReplicaSet，Pod也重新创建了。 $ kubectl edit deploy nginx $ kubectl get rs NAME DESIRED CURRENT READY AGE nginx-6f9f58dffd 2 2 2 1m nginx-7f98958cdf 0 0 0 48m $ kubectl get pods NAME READY STATUS RESTARTS AGE nginx-6f9f58dffd-tdmqk 1/1 Running 0 1m nginx-6f9f58dffd-tesqr 1/1 Running 0 1m Deployment可以通过maxSurge和maxUnavailable两个参数控制升级过程中同时重新创建Pod的比例，这在很多时候是非常有用，配置如下所示。 spec: strategy: rollingUpdate: maxSurge: 1 maxUnavailable: 0 type: RollingUpdate 在前面的例子中，由于spec.replicas是2，如果maxSurge和maxUnavailable都为默认值25%，那实际升级过程中，maxSurge允许最多3个Pod存在（向上取整，2*1.25=2.5，取整为3），而maxUnavailable则不允许有Pod Unavailable（向上取整，2*0.75=1.5，取整为2），也就是说在升级过程中，一直会有2个Pod处于运行状态，每次新建一个Pod，等这个Pod创建成功后再删掉一个旧Pod，直至Pod全部为新Pod。

回滚 回滚也称为回退，即当发现升级出现问题时，让应用回到原版本。Deployment可以非常方便的回滚到原版本。 例如上面升级的新版镜像有问题，可以执行kubectl rollout undo命令进行回滚。 $ kubectl rollout undo deployment nginx deployment.apps/nginx rolled back Deployment之所以能如此容易的做到回滚，是因为Deployment是通过ReplicaSet控制Pod的，升级后之前ReplicaSet都一直存在，Deployment回滚做的就是使用之前的ReplicaSet再次把Pod创建出来。Deployment中保存ReplicaSet的数量可以使用revisionHistoryLimit参数限制，默认值为10。

升级参数说明 最大浪涌（maxSurge） 与spec.replicas相比，可以有多少个Pod存在，默认值是25%，比如spec.replicas为 4，那升级过程中就不能超过5个Pod存在，即按1个的步伐升级，实际升级过程中会换算成数字，且换算会向上取整。这个值也可以直接设置成数字。 仅Deployment在“滚动升级”方式下支持配置。 最大无效实例数（maxUnavailable） 与spec.replicas相比，可以有多少个Pod失效，也就是删除的比例，默认值是25%，比如spec.replicas为4，那升级过程中就至少有3个Pod存在，即删除Pod的步伐是1。同样这个值也可以设置成数字。 仅Deployment、DaemonSet在“滚动升级”方式下支持配置。 实例可用最短时间（minReadySeconds） 指定新创建的 Pod 在没有任意容器崩溃情况下的最小就绪时间， 只有超出这个时间 Pod 才被视为可用。默认值为 0（Pod 在准备就绪后立即将被视为可用）。 仅Deployment、DaemonSet支持配置。 最大保留版本数（revisionHistoryLimit） 用来设定出于回滚目的所要保留的旧 ReplicaSet 数量。 这些旧 ReplicaSet 会消耗 etcd 中的资源，并占用 kubectl get rs 的输出。 每个工作负载修订版本的配置都存储在其 ReplicaSets 中；因此，一旦删除了旧的 ReplicaSet， 将失去回滚到工作负载的对应修订版本的能力。 默认情况下，系统保留 10 个旧 ReplicaSet，但其理想值取决于新工作负载的频率和稳定性。 升级最大时长（progressDeadlineSeconds） 指定系统在报告 Deployment 进展失败 之前等待 Deployment 取得进展的秒数。 这类报告会在资源状态中体现为 Type=Progressing、Status=False、 Reason=ProgressDeadlineExceeded。Deployment 控制器将持续重试 Deployment。 将来，一旦实现了自动回滚，Deployment 控制器将在探测到这样的条件时立即回滚 Deployment。 如果指定，则此字段值需要大于 .spec.minReadySeconds 取值。 仅Deployment支持配置。 缩容时间窗（terminationGracePeriodSeconds）： 优雅删除时间，默认为30秒，删除Pod时发送SIGTERM终止信号，然后等待容器中的应用程序终止执行，如果在terminationGracePeriodSeconds时间内未能终止，则发送SIGKILL的系统信号强行终止。

约束与限制 init容器不支持进行GPU虚拟化。 对于单张GPU卡： 最多虚拟化为20个GPU虚拟设备。 最多调度20个使用隔离能力的Pod。 仅支持调度相同隔离模式（GPU虚拟化支持显存隔离、显存与算力隔离两种隔离模式。）的工作负载。 对于同一工作负载中的不同容器： 仅支持配置单一显卡型号，不支持混合配置两种及以上GPU显卡型号。 仅支持配置一致GPU使用模式，不支持混合配置虚拟化和非虚拟化模式。 使用GPU虚拟化后，该GPU节点不再支持调度使用共享GPU资源的工作负载。

客户原始需求管理 成功产品的核心特征是满足客户需求，Req打破了传统需求管理工具仅在研发阶段发挥作用的限制，将客户与市场需求也同步覆盖，提供了完整的客户需求采集、价值需求决策、交付与验收流程，让需求进展和动态客户实时透明，市场需求流动提速70%。 RR客户原始需求来自公司内部和外部客户，以客户视角描述的原始问题或者原始诉求。客户需求属于原始需求的一种类别。此类需求需要RAT分析评审后作出决定。 IPD需求管理是华为集成产品管理开发的核心流程，系统已提供对应需求模板，并预置产品需求管理的最佳实践，针对系统设备类提供结构化的需求开发流程，主要流程分为：原始需求提交、分析、规划、实现、交付、验收和关闭。 通过IPD可以新建RR，根据场景可以选择不同的需求模板，例如模板的描述信息为：需求背景、需求价值和需求详情。 通过原始需求RR分解子需求。 父主题： 功能特性

审计 云审计服务（Cloud Trace Service，CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 用户开通云审计服务并创建和配置追踪器后，CTS可记录需求管理的管理事件和数据事件用于审计。 CTS的详细介绍和开通配置方法，请参见CTS快速入门。 CTS支持追踪的需求管理操作列表，请参见云审计服务支持的操作列表。

知识全生命周期管理 知识库是一个专业的云端知识库，是协同云文档理念下的一款创新产品。愿景成为每个人都爱不释手的知识书写工具，成为人们进行知识创作、沉淀和交流的平台。 提供在线文档创作和文件托管： 在线文档支持富文本和Markdown语法编辑。 文件托管支持如Office等文档的上传和预览。 在线文档支持多人协同编辑，提供一个简约强大的在线多人协同文档编辑器，单一文档可支持200人以上在线协同编辑。 支持多种类型的文件上传，也可以在线创作项目文档编写、富文本编辑、Markdown语言编辑、团队事务管理、企业规章制度流程、产品说明文档。项目成员可以随时访问和获取。 知识协同服务为企业提供全生命周期的知识管理能力，提供多种开箱即用的文档模板，支持多人在线协同编辑文档以及多种类型的文件上传，确保企业项目经验固化及传承。 父主题： 功能特性

示例流程 图1 给用户授权服务权限流程 创建用户组并授权 在IAM控制台创建用户组，并授予漏洞管理服务权限“VSS Administrator”。 创建用户并加入用户组 在IAM控制台创建用户，并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台，切换至授权区域，验证权限： 在“服务列表”中选择除漏洞管理服务外（假设当前策略仅包含“VSS Administrator”）的任一服务，若提示权限不足，表示“VSS Administrator”已生效。

相关操作 有关网站扫描得分的计算方法参考如下： 扫描任务被创建后，初始得分是一百分，任务扫描完成后，根据扫描出的漏洞级别会扣除相应的分数。 网站扫描：高危减10分，中危减5分，低危减3分，无漏洞则不扣分。 得分越高，表示漏洞数量越少，网站越安全。 如果得分偏低，请根据实际情况对漏洞进行忽略标记，或根据修复建议修复漏洞，或使用Web应用防火墙服务为您的网站保驾护航。 漏洞修复后，建议重新扫描一次查看修复效果。 有关修复漏洞的详细介绍，请参见漏洞管理服务能修复扫描出来的漏洞吗？

操作场景 该任务指导已购买专业版、高级版或者企业版的用户增加扫描的域名配额。 若用户以前使用过基础版（免费体验版）进行扫描，在升级为专业版时，基础版所有的已有域名会占用专业版配额。 当前不支持从专业版或者高级版直接升级至企业版，若您是专业版或者高级版用户，并想要使用企业版，请直接购买企业版，为保证您的权益，请您购买企业版后，提工单退订专业版或者高级版。 当前不支持仅购买企业版（不购买配额）后再次升级增加配额。如果要想增加配额，请先退订企业版，重新购买。

前提条件 已获取管理控制台的登录账号和密码。 已添加主机。 为了确保扫描成功，在开启主机扫描前，请先完成以下操作。 参照编辑Linux主机授权和编辑Windows主机授权完成主机授权。 如果主机所在的安全组设置了访问限制，请参见如何解决主机不能访问添加策略允许漏洞管理服务的IP网段访问您的主机。 如果用户同时使用了主机安全服务，参见配置SSH登录IP白名单将漏洞管理服务的IP配置为白名单。否则，漏洞管理服务的IP会被当成不信任IP被主机安全服务拦截，造成扫描任务失败。 参照测试互通性完成主机与扫描环境的连通性测试。

前提条件 已获取管理控制台的登录账号与密码。 已添加网站。 如果您的网站设置了防火墙或其他安全策略，将导致漏洞管理服务的扫描IP被当成恶意攻击者而误拦截。因此，在使用漏洞管理服务前，请您将以下漏洞管理服务的扫描IP添加至网站访问的白名单中： 119.3.232.114，119.3.237.223，124.70.102.147，121.36.13.144，124.70.109.117，139.9.114.20，119.3.176.1

操作场景 该任务指导用户首次使用漏洞管理服务时，如何购买漏洞管理服务的专业版、高级版和企业版扫描功能。 仅支持从专业版升级至高级版，当您是专业版用户时，如果需要将专业版扫描配额包中的二级域名配额升级为一级域名配额，可以直接将专业版升级到高级版。 不支持多个版本同时存在。如果是老客户，已购买的版本下存在基础版和专业版，基础版全部免费升级为专业版，版本到期时间以订单到期时间最长的为准。 不支持从专业版或高级版直接升级至企业版，当您是专业版或高级版用户时，如果需要使用企业版，请直接购买企业版。为保证您的权益，请您购买企业版后，提工单退订专业版或高级版。 购买漏洞管理服务或配额后，不支持直接修改配额，仅支持升级规格，请谨慎操作。如需减少配额请参考如何减少漏洞管理服务配额？。

操作场景 该任务指导用户通过漏洞管理服务进行网站登录设置，修改网站信息。 如果您的网站页面需要登录才能访问，必须进行网站登录设置，以便漏洞管理服务能为您发现更多安全问题。漏洞管理服务提供了三种登录方式，请您根据您的网站访问限制条件选择登录方式： Web页面登录。 如果您的网站仅需要账号密码就可以登录访问，设置该方式即可。 Cookie登录。 建议优先配置“Web页面登录”方式。如果发现通过“Web页面登录”仅能扫描到登录界面，无法成功扫描到内部业务系统时，可以根据业务实际认证方式配置“Cookie登录”进行扫描。 Header登录。 建议优先配置“Web页面登录”方式。如果发现通过“Web页面登录”仅能扫描到登录界面，无法成功扫描到内部业务系统时，可以根据业务实际认证方式配置“Header登录”进行扫描。 以上登录方式根据网站访问情况选择。

主机扫描为什么会扫描失败？ 主机扫描失败的主要原因有主机未进行授权、主机不可达，请参考以下方法排查您的主机扫描失败的原因并解决问题。 排查主机是否完成了授权，如果未授权，请参见如何对主机进行授权完成主机授权。 排查主机是否能正常访问，主机不能访问可能有以下几个原因： 主机所在的安全组或网络ACL设置了访问限制，请参见如何解决主机不能访问添加策略允许漏洞管理服务的IP网段访问您的主机。 主机IP被当成不信任IP被主机安全服务拦截，请参见解除拦截受信任的IP解除主机IP封禁，并参见配置SSH登录IP白名单将您的主机IP配置为白名单。 使用了nat绑定主机进行扫描，建议您使用跳板机以及绑定公网的扫描方式进行主机扫描，具体操作请参见如何配置跳板机进行内网扫描？。 主机IP被加入了CFW防护阻断策略或黑名单，访问被阻断，导致漏洞管理服务节点访问失败。您需要执行添加防护规则或添加白名单放行被阻断的IP，添加白名单时，“端口”是指源端口，“协议类型”选择“Any”。 父主题： 主机扫描类

接口说明 买家购买联营SaaS类应用后，在买家中心登录，将应用与企业绑定时，云商店调用该接口请求商家同步该企业应用的认证信息，商家接口需要执行应用同步，保存应用信息，并返回通知云商店。 针对应用同步场景接口调用失败的情况，由买家选择是否重试，并用短信或邮件的形式通知ISV商家接口调用失败。 商家的服务器在处理接口请求时，需要做好幂等性处理。 对于同一个实例，相同的租户，相同的应用，要支持多次请求新增，或者删除，多次新增不应产生新的数据，且需要返回成功，如果是删除，多次删除也需要返回成功，不能因已删除返回失败，删除时不需要校验(新购商品)接口产生的实例是否存在 应用同步流程如下图所示：

绑定资源处理策略 删除或退订ECS时，如果满足回收站策略，ECS会进入回收站，其绑定资源的处理策略如下所示： 绑定的弹性公网IP的处理策略如表2所示。 表2 绑定的弹性公网IP的处理策略 实例计费模式 操作 是否进入回收站 恢复云服务器时处理结果 销毁云服务器时处理结果 按需计费 删除云服务器时，勾选“释放弹性云服务器绑定的弹性公网IP地址”。 否 已删除，不可恢复 已删除 删除云服务器时，不勾选“释放弹性云服务器绑定的弹性公网IP地址”。 否 已解绑，不可恢复 已解绑，不会删除 包年/包月 退订云服务器时，退订弹性公网IP。 否 已删除，不可恢复 已删除 退订云服务器时，不退订弹性公网IP。 否 已解绑，不可恢复 已解绑，不会删除 绑定的云硬盘的处理策略如表3所示。 表3 绑定的云硬盘的处理策略 实例计费模式 绑定资源的类型 操作 是否进入回收站 恢复云服务器时处理结果 销毁云服务器时处理结果 按需计费 系统盘 删除云服务器时，勾选“删除弹性云服务器挂载的数据盘”。 是 同步恢复 同步删除 删除云服务器时，不勾选“删除弹性云服务器挂载的数据盘”。 是 同步恢复 同步删除 数据盘（独享） 删除云服务器时，勾选“删除弹性云服务器挂载的数据盘”。 是 同步恢复 同步删除 删除云服务器时，不勾选“删除弹性云服务器挂载的数据盘”。 否 未手动卸载，则保持与云服务器的挂载关系 已卸载，不会删除 数据盘（共享） 删除云服务器时，勾选“删除弹性云服务器挂载的数据盘”。 否（共享盘挂载多个云服务器） 未手动卸载，则保持与云服务器的挂载关系 已卸载，不会删除 是（共享盘仅挂载一个云服务器） 同步恢复 同步删除 删除云服务器时，不勾选“删除弹性云服务器挂载的数据盘”。 否 未手动卸载，则保持与云服务器的挂载关系 已卸载，不会删除 包年/包月 系统盘 退订云服务器。 是 同步恢复 同步删除 数据盘（独享） 退订云服务器，该云服务器挂载了同一订单的独享数据盘。 是 同步恢复 同步删除 退订云服务器，该云服务器挂载了不同订单的独享数据盘。 否 未手动卸载，则保持与云服务器的挂载关系 已卸载，不会删除 数据盘（共享） 退订云服务器，该云服务器挂载了共享数据盘。 否 未手动卸载，则保持与云服务器的挂载关系 已卸载，不会删除 绑定的弹性网卡的处理策略如表4所示。 表4 绑定的弹性网卡的处理策略 绑定资源的类型 操作 是否进入回收站 恢复云服务器时处理结果 销毁云服务器时处理结果 主网卡 删除或退订云服务器。 否 保持与云服务器的绑定关系 同步删除 扩展网卡 删除或退订云服务器。 否 未手动解绑，则保持与云服务器的绑定关系 若手动解绑，删除云服务器时不会删除 若没有手动解绑，则同步删除

约束与限制 对于IAM用户，如要使用回收站功能，需要具有如下IAM权限： 查询回收站：ecs:recycleBin:get 更新回收站（开启或关闭操作）：ecs:recycleBin:update 更新回收站策略：ecs:recycleBin:updatePolicy 您可以通过IAM用户对应的账号为IAM用户授予上述权限，详细操作，请参见ECS自定义策略。 在以下场景中，删除或退订的ECS不支持放入回收站。 账号处于欠费、受限或冻结的异常状态。 ECS处于“故障”状态。 ECS距离创建时间的天数小于配置的回收站策略天数。 ECS处于保留期。 ECS保留期到期后被系统释放。 竞价计费型ECS，释放时不放入回收站。 回收站对ECS的资源配额约束： ECS进入回收站后，会占用ECS的资源配额。 专属主机上的ECS进入回收站后，会占用专属主机上的资源配额。 当ECS配额不足时，请及时对回收站中的ECS进行清理。