华为云用户手册

步骤四：创建日志配置组 在“容器日志接入”页面，选择左侧导航栏的“日志配置组”。 单击“创建日志配置组”。 设置日志配置组参数，参数说明如表5所示，配置完成后，单击“确定”。 表5 日志配置组参数说明 参数名称 参数说明 日志配置组名称 自定义日志配置组名称。 安装方式 选择安装方式，推荐使用“DEAMONSET”。 命名空间 当安装方式为“DEAMONSET”时，需要配置服务日志命名空间，即服务日志在主机上的挂载目录，可以自定义，推荐使用服务英文名称（在租户管理页面查看）。 日志项目 选择已创建的日志项目。 配置类型 选择配置类型，即创建日志采集配置时选择的配置类型，根据配置类型会过滤采集配置列表中的数据。 采集配置列表 选择需要下发的配置。

步骤五：安装daemonset插件 在“容器日志接入”页面，选择左侧导航栏的“集群插件管理”。 在集群列表中单击待安装插件的集群所在行“操作”列的“安装插件”。 在“插件安装”页面配置安装参数，具体内容如下所示，配置完成后，单击“确定”。 输入日志挂载路径：主机日志hostpath挂载目录，需要设置为单独的文件路径，不能设置为类似于/root、/home等包含有其他文件的目录，并且一个集群只能设置一个挂载路径。 选择主机：选择待安装插件的主机，默认全部勾选进行安装，可以去掉勾选不需要安装插件的主机，且当主机状态为“Active”时才可以正常安装插件。 选择日志配置组：选择日志配置组，安装插件并下发配置。

步骤三：创建日志采集配置 在“容器日志接入”页面，选择左侧导航栏的“日志采集配置”。 单击“创建日志采集配置”。 配置日志采集参数，配置完成后，单击“确定”。 新创建的采集配置默认为草稿状态，展示在“草稿”页签下，当配置被微服务使用后，状态会更新为“已下发”，并展示到“已下发”页签下。 表4 日志采集配置参数说明 参数名称 参数说明 日志项目 选择已创建的日志项目，相同服务的不同日志使用同一个日志项目 日志空间 选择已创建的日志空间。选择日志空间时日志提取规则会展示日志空间定义的日志格式，采集的日志须满足对应格式。 配置名称 自定义日志采集配置名称。 配置类型 选择日志采集配置类型，建议选择“FILEBEAT”。 日志类型 输入采集日志类型。 日志路径 填写实际日志路径，可使用通配符进行匹配。 说明： 注意避免同一台主机上下发的多个采集任务重复采集相同的日志文件，会导致filebeat进程异常。 日志TPS TPS表示单实例每秒日志条数，请准确填写，用于推荐资源自动计算。 日志模式 选择日志采集模式，是单行模式还是多行模式。 是否支持软连接 当填写的日志路径为链接路径时，需要开启支持软连接。 首行正则表达式 日志模式选择多行模式时，需要输入首行正则表达式。 日志提取规则 根据填写的配置参数会自动生成提取规则。

步骤二：创建日志空间 在“容器日志接入”页面，选择左侧导航栏的“日志空间”。 单击“申请实时日志空间”。 根据界面提示填写日志空间参数。 配置实时日志空间信息，参数说明如表2所示，配置完成后，单击“下一步”。 表2 实时日志空间信息参数说明 参数名称 参数说明 空间名称 自定义日志空间名称，建议包含日志类型语义。 空间描述 输入日志空间描述，非必填项。 日志类型 选择需接入的日志类型。 日志大小 预计一天的日志量，默认为1GB。 开启日志检索 如果需要使用日志检索功能，可以打开该开关。 检索空间类型 选择ClickHouse。 原索引名称(ClickHouse) 可选择现有的ClickHouse，如果不填会自动生成。 TTL 日志索引的生命周期，即可以检索的日志时间范围。 配置实时日志字段信息，参数说明如表3所示，配置完成后，单击“下一步”。 表3 实时日志字段信息参数说明 参数名称 参数说明 自定义字段 必须接入的日志字段已默认勾选，可以勾选其他需要接入的日志字段，包括通用字段、容器字段和虚机字段。 新增自定义环境变量 如需添加自定义环境变量，请选择环境变量名，然后单击“添加”。虚机暂无可选自定义环境变量。 清洗规则 选择日志清洗规则。 请优先使用算子清洗模式采样，原始日志采样清洗只适用于单纯采样，不需要清洗的场景。 日志样例 输入日志样例。 解析脚本 配置解析脚本，将日志样例清洗为字段显示。 解析脚本中不支持使用中划线“-”，支持使用下划线“_”。 清洗字段 配置解析脚本后单击“配置解析脚本”，自动生成清洗字段，查看字段是否符合预期。 开启汇聚 选择是否开启日志汇集，如果日志量较大且不需要关注原始日志时可以进行日志汇集。 开启后需要配置汇集相关参数。 汇聚粒度 开启汇聚后，需要设置汇集粒度。支持分钟级和秒级数据汇聚。选择分钟级，每一分钟会生成一个统计点，选择秒级，每一秒会生成一个统计点。 汇聚时间戳 仅支持时间戳格式字段timestamp，获取当前计算的日志的时间。 时间戳格式 选择时间戳格式。支持秒、毫秒、纳秒级时间戳，获取当前计算的日志的时间格式。 汇聚维度 结合业务场景需要，选择日志是以哪些日志字段进行日志汇聚，支持多选。 汇聚度量 设置对日志字段以COUNT、SUM、MAX、MIN进行度量。 原始字段是日志中的字段，用来获取原始值；度量字段是用户自定义字段名，计算后，度量的值会赋值给该字段。 输出原始日志 选择是否需要输出原始日志。如果打开输出原始日志，原始日志也会上报。 日志字段确认，确认日志字段配置是否达到预期，已达到预期，单击“下一步”。 其中字段来源COMMON表示通用字段、CONTAINER表示容器字段、VM表示虚机字段。 申请日志空间共享，如果需要其他自有服务共用这个空间进行日志下发和日志检索，可以添加共享服务。配置完成后，单击“保存”。

运维中心使用前准备 使用运维中心前，需要先准备如表1所示内容。 表1 准备事项 准备事项 说明 购买AppStage运维中心 首次使用需要先购买运维中心专业版，具体操作请参见购买AppStage。 配置服务授权 购买运维中心后，系统将自动识别并弹框提示进行服务授权，同意服务授权后，AppStage将在统一身份认证服务IAM中为账号创建名称为appstage_admin_agency的委托。 关联组织 首次购买AppStage后，其账号需创建并关联使用AppStage的组织（仅可关联一个组织），才能使用AppStage服务及后续购买AppStage相关产品套餐或增量包等，具体操作请参见关联组织。关联组织完成后，该华为云账号会自动成为组织管理员，拥有该组织的所有管理权限，同时可以审批其他组织管理员角色的申请。 添加部门/成员信息 为已关联的组织添加部门及成员，完善组织架构，具体操作请参见组织管理。 录入产品/服务/微服务信息 企业资源接入AppStage前，需要先将企业产品/服务/微服务信息录入AppStage系统中，信息录入成功后，AppStage将同步产品/服务/微服务信息至运维中心，具体操作请参见产品与服务管理。 申请权限 已添加成员在使用运维中心前需要先申请运维中心权限，具体操作请参见申请权限。 说明： 运维中心操作指导基于已获取服务研发岗位权限进行介绍，如果部分具体功能需要其他权限会单独说明。 父主题： 使用前必读

部署服务 表1 部署服务基本概念 基本概念 说明 资源 资源是具备一定功能和作用的实例，是部署服务的管理对象，如WiseCloud::MicloudService::NuwaContainer实例、WiseCloud::Cache::DCS实例等。 组件 组件是一个具有相同资源的集合，组件具备以下特点： 可以在组件中声明资源以及资源之间的依赖关系。 同一个资源只能属于一个组件。 组件下的所有资源上下文一致。 环境 环境是一个具有相同组件的集合，环境具有以下特点： 部署服务代码中的environment-id是“环境”的唯一索引。 不同环境下的组件和资源可以同名，同一环境下的资源和组件名称需要保证唯一。 一个组件只能属于一个环境，一个环境下会有多个组件。 环境变更的本质是环境下组件的变更。 流水线 流水线是将多个组件的变更组合起来的流程描述，描述各个组件变更的方式和次序。 变更工单 变更工单是实施现网变更的授权许可，业务需要发起现网变更时，通常会由研发人员提交变更电子流，并附上对应的变更文档。该电子流被审批通过后，会在变更工单管理中，创建一条对应的变更工单，运维可使用变更工单实施变更。 变更计划 变更计划是部署服务发起具体变更动作前的风险影响评估过程。通过风险影响评估过程可以得到，本次变更可能导致的资源动作和属性差异变化，以及可能的风险项。 变更风险项 变更风险项是某个资源的具体变更的风险认定。其描述了认定为风险变更的属性变化，以及能够审批允许的审批人列表。 变更策略 变更策略是由资源提供方或是部署服务平台方按照资源类型预先定义的，在变更计划中被用于产生风险项的管控要素。它是变更管控的重要一环，识别了何种资源操作以及怎样的属性变化是高风险的，并同时指定产生的风险项应当由具备哪些岗位或角色的审批人来审批允许。 变更配置 变更配置与监控服务（ServiceInsight）配合使用，通过配置变更巡检任务，在变更时会对相应的变更项进行巡检。 变更电子流 变更电子流是用于无人值守变更的高度自动化的变更方式，是在部署服务基础上，尽可能将所有的运维手工选择操作前移到提交电子流之前。 Terraform Terraform是HashiCorp公司开发的基础设施即代码（Infrastructure-as-Code，IaC）软件，它能自动化的进行资源编排，用于安全高效地预览、配置和管理云基础架构和资源，并提供自定义解决方案，目前已被多家主流公有云厂家支持和集成。

监控服务 表2 监控服务基本概念 基本概念 说明 监控 是采集、汇总和分析IT基础设施、服务组件以及程序应用的运行指标，以了解其当前状态和运行状况，判断是否安全可靠的过程，是保证业务持续稳定运行的重要手段。 告警 告警是监控系统的响应组件，它根据指标值的变化按照既定的策略执行响应操作，其主要目的是引起人们对系统当前状态的关注。告警定义包含基于指标的条件或阈值以及当指标值达到或超出定义条件时要执行的操作。 告警通知 告警的通知在所有的告警处理的链路结束以后才会发生。告警处理模块会根据上报告警的上下文获取告警的值班配置，值班配置由业务预置。 告警屏蔽 为您提供短时间的屏蔽功能，可以通过设置告警屏蔽的规则，告警将在屏蔽的时间内不再触发任何通知，规则结束后，将会被再次唤醒，屏蔽期间告警被清除后，将不再触发任何通知，减少您的处理频度。 告警过滤 告警过滤是直接在接入的阶段就将告警屏蔽，告警仍然会进入Bypass的数据库但不会再向下发送给告警处理模块。 告警收敛 多个维度的告警，通过特定的条件将它们变为一条告警，只需要配置自定义的收敛规则，就可以将重复告警收敛到一起，还有默认的规则帮助你维护告警。 告警标记 告警标记的作用是为一段时间内的告警打上标签，例如现网变更或者现网演练时，由于要模拟大量异常请求和其他操作会造成大量无用告警上报，标记的作用就是为这一段时间的告警打上标签与正常告警进行区分。 告警定义 对于繁琐复杂的告警上报字段感到困惑，使用统一定义，将会自动下发到业务对应的agent，更加人性化的界面设计，使告警上报更加统一、准确。 告警修复 设置特定的命中条件，告警在发送通知之前会执行预置的修复脚本，进行修复操作，自动帮你修复简单的告警。 语音值班配置 当告警生成时，配置对应的责任人，通过短信、电话等多种形式，快速将异常情况通知到责任人。 日志 日志是指设备、系统或服务程序在运作时都会产生的事件记录，每一行日志都记载着日期、时间、使用者及动作等相关操作的描述。一般系统会有各种各样的日志文件，如应用程序日志，安全日志、系统日志、Scheduler服务日志、FTP日志、WWW日志、DNS服务器日志等。 日志项目 日志项目是一个包含多个日志服务配置的整体，可以看作是一个微服务实例。 同一个微服务实例下的日志服务配置应当包含在一个日志项目中。 不同微服务实例使用完全相同的日志服务配置时，也可以共用同一个日志项目。 日志空间 日志空间是日志服务为微服务的日志分配的使用空间。 业务须在日志接入页面填写日志相关信息并提交申请日志空间，日志空间支持定义空间内日志的结构化格式信息，此时要求所有使用此空间的日志都满足该日志格式。 日志采集配置 日志采集配置是日志服务采集端在采集微服务实例中日志时所需的配置，一种日志对应一项采集配置。 日志采集配置须归属于一个日志项目，并使用一个已分配好的日志空间。 日志采集配置之间可以共用日志空间，此时需要关注日志空间的日志格式要求，未定义日志格式的空间可不用关注。 巡检 巡检是指定期对IT系统进行全面的检查和评估，以确保系统的稳定性和可用性。通过系统巡检，SRE可以及时发现潜在的问题和故障，提前采取措施进行解决和预防，从而减少系统故障的发生和缩短故障恢复时间。同时，系统巡检还可以帮助SRE团队了解系统的运行状况和性能表现，为优化系统的配置和改进运维流程提供依据。 事件 事件是指IT基础设施、服务组件以及程序应用等运行过程中发生的问题。事件可通过监控系统自动生成、客户报障生成或SRE主动巡检生成等。监控系统生成事件首先要采集和分析运行数据，然后根据预定规则判断是否需要生成事件。 HCW HW Cloud Watch，监控系统，可以提供监控、告警功能。 HCW Agent 监控系统的采集框架，需要在每台主机上部署，部署路径为/opt/huawei/HCW_Agent。 EAP 事件自动化平台（Event & Action Platform，EAP），通过集成各系统动作，解决复杂运维场景的操作编排功能。 流程 可以通过EAP平台所提供的各种动作组合来编排解决具体运维场景的流程。 动作 各服务的操作（例如部署任务、执行作业、确认告警等）封装。 标签 对某一类特定群体或对象的某项特征进行的抽象分类和概括，其值（标签值）具备可分类性。 标签树 标签树负责标签的管理，包括标签的创建，删除，修改。系统标签由系统管理员统一进行管理，业务自定义标签由业务人员进行管理。 逻辑主体 逻辑主体是业务实体的抽象。 在AIOPS的实时场景，逻辑主体基于物理表（Druid、ClickHouse、influxDB）创建。逻辑主体和物理表之间存在映射关系，逻辑主体的字段名称和物理表可以不一样，这也是为了实现业务属性和物理表之间的解耦。 一个逻辑主体可以映射多种物理实体，当底层数据物理表变更（Druid表发生变更，或者需要从ClickHouse原始数据计算指标），上层的指标逻辑定义可以不用发生变化。 指标 指标是指在被观测系统中观察和收集的资源使用或行为的测量值，可能是原始采集的数据，也可能是后期经过各种计算和统计方法得到的数值。 令牌 令牌是使用数据源的鉴权方式，只有通过对应业务的token的鉴权，才能使用对应的数据源。 视图 指标本身包含了业务计算规则，只有结合数据源才能真正被查询。视图，就是指标 + 物理表的结合，也是监控大盘上直接可被查询的对象。视图可以包含一个或多个指标，例如折线图只需要单指标的视图，但是表格就需要多指标的视图。 查询视图(Query View)。直接作用于物理表的查询视图，大多用在druid实时监控场景。 长期存储视图(Long Term View)。基于查询视图，可以创建长期存储视图。如果觉得某个查询视图值得被长期持久化，就可以使用该能力。长期存储视图会自动创建三个聚合任务，分别是5分钟粒度、小时粒度、天粒度。 持久化视图(Persistent View)。基于查询视图，可以创建持久化视图。部分视图需要出日报，就可以使用该能力。该视图会自动创建一个汇聚任务。 异常检测视图(Anomaly Detect View)。基于查询视图，可以创建异常检测视图，用来为异常检测任务提供数据。 插件 可在机器上执行并采集各项参数的二进制文件或者脚本。

功能介绍 表1 运维中心功能介绍 服务名称 服务简介 部署服务 基础设施即代码（Infrastructure as code，简称IaC）是一种基于软件开发实践形成的基础设施的自动化方法，它强调一致、可重复的供给和变更系统及其配置。当代码发生变更后，可以进行自动化测试，测试完成后可自动化的应用变更到运行系统中。使用基础设施即代码的方法，可以使用敏捷工程的优秀实践（如测试驱动开发、持续集成、持续发布）可以快速安全的变更基础设施。 部署服务按架构元素（服务）组织资源，软件单元（微服务或函数）作为最小变更单元 ，执行变更的结果围绕服务环境进行资源管理，每个组件可以独立发布版本、独立变更。 监控服务 监控服务（ServiceInsight）是一个面向自有服务和生态开发者的开发和运维SRE（Site Reliability Engineer），围绕故障生命周期，构建开箱即用的，集预防、检测、诊断、恢复、通报和改进于一体的可观测性平台。 弹性资源服务 弹性资源服务（Elastic Resource Service，简称ERS）提供资源池监控、访问安全控制、任务调度、业务负载弹性伸缩、集群联邦、配额管理和多种K8s扩展等能力，通过统一的对外接口提供业务管理能力，上层业务不再感知下层资源。同时提供Portal可视化管理容器，包括工作负载的管理、配置文件管理和容器WebTerminal。 弹性网络服务 弹性网络服务（Elastic Network Service，简称ENS）通过引入“隔离域”这一网络资源概念，将业务使用的底层网络资源进行封装。 主机管理服务 主机管理服务（VMS）是基于云原生的主机资源管理服务，负责各种类型的主机资源发放/回收/操作、OS管理、密码密钥管理。 父主题： 运维中心简介

步骤四：创建日志配置下发任务 在“虚拟机日志接入”页面，选择左侧导航栏的“任务管理”。 单击页面右上角的“新建任务”。 配置任务参数，参数说明如表5所示，配置完成后，单击“确定”。 表5 日志配置下发任务参数说明 参数名称 参数说明 日志项目 选择已创建的日志项目。 任务名称 自定义任务名称。 任务类型 选择任务类型。 配置类型 选择日志采集配置类型。 配置列表 选择需要下发的配置。 用户名称 选择已规划并拥有日志读取权限的业务账号。 选择主机 选择需要下发配置的主机。 已选主机 显示已选主机。 在任务列表中查看已创建的任务，单击任务所在行“操作”列的“执行”。 执行完成后，状态为成功即表示日志配置内容已下发成功，即会按照配置将日志接入AppStage。

步骤二：创建日志空间 在“虚拟机日志接入”页面，选择左侧导航栏的“日志空间”。 单击“申请实时日志空间”。 根据界面提示填写日志空间参数。 配置实时日志空间信息，参数说明如表2所示，配置完成后，单击“下一步”。 表2 实时日志空间信息参数说明 参数名称 参数说明 空间名称 自定义日志空间名称，建议包含日志类型语义。 空间描述 输入日志空间描述，非必填项。 日志类型 选择需接入的日志类型。 日志大小 预计一天的日志量，默认为1GB。 开启日志检索 如果需要使用日志检索功能，可以打开该开关。 检索空间类型 选择ClickHouse。 原索引名称(ClickHouse) 可选择现有的ClickHouse，如果不填会自动生成。 TTL 日志索引的生命周期，即可以检索的日志时间范围。 配置实时日志字段信息，参数说明如表3所示，配置完成后，单击“下一步”。 表3 实时日志字段信息参数说明 参数名称 参数说明 自定义字段 必须接入的日志字段已默认勾选，可以勾选其他需要接入的日志字段，包括通用字段、容器字段和虚机字段。 新增自定义环境变量 如需添加自定义环境变量，请选择环境变量名，然后单击“添加”。虚机暂无可选自定义环境变量。 清洗规则 选择日志清洗规则。 请优先使用算子清洗模式采样，原始日志采样清洗只适用于单纯采样，不需要清洗的场景。 日志样例 输入日志样例。 解析脚本 配置解析脚本，将日志样例清洗为字段显示。 说明： 配置解析脚本时字段命名不支持使用中划线“-”，支持使用下划线“_”。 清洗字段 配置解析脚本后单击“配置解析脚本”，自动生成清洗字段，查看字段是否符合预期。 开启汇聚 选择是否开启日志汇集，如果日志量较大且不需要关注原始日志时可以进行日志汇集。 开启后需要配置汇集相关参数。 汇聚粒度 开启汇聚后，需要设置汇集粒度。支持分钟级和秒级数据汇聚。选择分钟级，每一分钟会生成一个统计点，选择秒级，每一秒会生成一个统计点。 汇聚时间戳 仅支持时间戳格式字段timestamp，获取当前计算的日志的时间。 时间戳格式 选择时间戳格式。支持秒、毫秒、纳秒级时间戳，获取当前计算的日志的时间格式。 汇聚维度 结合业务场景需要，选择日志是以哪些日志字段进行日志汇聚，支持多选。 汇聚度量 设置对日志字段以COUNT、SUM、MAX、MIN进行度量。 原始字段是日志中的字段，用来获取原始值；度量字段是用户自定义字段名，计算后，度量的值会赋值给该字段。 输出原始日志 选择是否需要输出原始日志。如果打开输出原始日志，原始日志也会上报。 日志字段确认，确认日志字段配置是否达到预期，达到预期后可单击“下一步”。 其中字段来源COMMON表示通用字段、CONTAINER表示容器字段、VM表示虚机字段。 申请日志空间共享，如果需要其他自有服务共用这个空间进行日志下发和日志检索，可以添加共享服务。配置完成后，单击“保存”。

步骤三：创建日志采集配置 在“虚拟机日志接入”页面，选择左侧导航栏的“日志采集配置”。 单击“创建日志采集配置”。 配置日志采集参数，配置完成后，单击“确定”。 新创建的采集配置默认为草稿状态，展示在“草稿”页签下，当配置被微服务使用后，状态会更新为“已下发”，并展示到“已下发”页签下。 表4 日志采集配置参数说明 参数名称 参数说明 日志项目 选择已创建的日志项目，相同服务的不同日志使用同一个日志项目 日志空间 选择已创建的日志空间。选择日志空间时日志提取规则会展示日志空间定义的日志格式，采集的日志须满足对应格式。 配置名称 自定义日志采集配置名称。 配置类型 选择日志采集配置类型，建议选择“FILEBEAT”。 日志类型 输入采集日志类型。 日志路径 填写实际日志路径，可使用通配符进行匹配。 说明： 接入容器日志需要根据通配符匹配完成。 注意避免同一台主机上下发的多个采集任务重复采集相同的日志文件，会导致filebeat进程异常。 日志TPS TPS表示单实例每秒日志条数，请准确填写，用于推荐资源自动计算。 如果采集路径是单个日志，则按照单个日志单台机器（pod）的TPS值填写，且按照高峰期计算。 如果采集路径配置了通配符，则将采集的日志TPS累加，累加计算高峰期单台机器（pod）的TPS，建议按近期业务增长预期填写。 日志模式 选择日志采集模式，是单行模式还是多行模式。 是否支持软连接 当填写的日志路径为链接路径时，需要开启支持软连接。 首行正则表达式 日志模式选择多行模式时，需要输入首行正则表达式。 日志提取规则 根据填写的配置参数会自动生成提取规则。

更多操作 您还可以进行以下操作。 表2 相关操作 操作名称 操作步骤 管理扫描规则 VMS默认扫描华为公有云账号下的所有资源，可以禁用或者删除对应账号的扫描规则。 在“未纳管主机”页面，单击列表上方的“扫描规则”。 单击对应账号后的“编辑”，禁用该账号扫描规则；或者单击“删除”，删除该账号规则。 查看未纳管主机详情 在“未纳管主机”页面可以单击资源所在行后“详情”列的内容，查看资源部署参数详情。 导出未纳管主机 在“未纳管主机”页面，单击列表上方的“导出”，即可导出所有未纳管主机。 在“我的导出”页面，单击文件名下载并查看导出信息。 升级OpsAgent 在未纳管主机列表，勾选待升级OpsAgent的主机。 单击列表上方的“升级OpsAgent”。 选择需要升级的OpsAgent的版本。 单击“确定”。 卸载OpsAgent 在未纳管主机列表，勾选待卸载OpsAgent的主机。 单击列表上方的“卸载OpsAgent”。 单击“确定”。

步骤二：安装OpsAgent 在“未纳管主机”页面，单击“部署OpsAgent”。 安装方式选择“远程安装”或“手动安装”。 手动安装：首次安装OpsAgent时，必须使用手动安装方式。 填写基本信息，OpsAgent基本信息参数说明如表1所示。 表1 OpsAgent基本信息参数说明 参数名称 参数说明 租户账号 选择租户账号，为租户VPC下的主机安装OpsAgent。 归属Region 选择租户VPC所属的Region。 OpsAgent版本 选择需要安装的OpsAgent的版本号。 VPC 选择虚拟私有云VPC，为该VPC下的主机安装OpsAgent。 说明： 可选VPC为已纳管VPC，如无可选VPC，请完成纳管VPC。 接入方式 当前支持“直接接入（内网）”的接入方式，为华为云主机接入安装OpsAgent。 单击LINUX命令后的，复制安装命令。 使用root账号远程登录主机后，执行安装命令安装OpsAgent。 安装完成后，未纳管主机列表中，该主机的OpsAgent状态为“在线”。 远程安装：选择虚拟私有云下已经安装了OpsAgent的主机作为安装机，安装机将作为中间桥梁安装OpsAgent到同虚拟私有云下的其他主机。 填写基本信息，OpsAgent基本信息参数说明如表1所示。 选择安装机，选择一台已安装OpsAgent的主机作为安装机。 添加主机，选择需要安装OpsAgent的主机所在行“操作”列的“编辑”，输入主机root密码后单击“确定”，然后在列表中勾选该主机。 单击“确定”，安装机将作为执行机为主机安装OpsAgent。

操作须知 将主机纳管至VMS，需要完成如下操作： 步骤一：刷新未纳管主机：首先需要刷新未纳管主机，将华为云其他主机同步至未纳管主机列表中。 步骤二：安装OpsAgent：纳管前需要为主机安装OpsAgent。 步骤三：分配主机：纳管主机需要将主机分配到对应的服务及环境下。 主机分配当天密码管理定时任务会自动修改主机账号的密码，密码有效期为90天，到期自动修改。如果不想密码被修改，需要在纳管主机前配置密码白名单规则。如果没有配置密码白名单规则，密码管理任务会检查密码有效期，并在密码过期前20天修改密码。 绑定已规划的业务账号（可选）：主机纳管后需要为主机绑定已规划的业务账号，如果纳管前主机上已有业务账号，分配主机时会自动绑定该业务账号，不需要再单独绑定。 重置密码（可选）：可以选择手动重置主机的root账号和所有业务账号的密码，将密码托管给AppStage平台。

IAM委托 IAM委托 通过创建委托，可以将资源共享给其他帐号，或委托更专业的人或团队来代为管理资源。被委托方使用自己的帐号登录后，切换到委托方帐号，即可管理委托方委托的资源，避免委托方共享自己的安全凭证（密码/密钥）给他人，确保帐号安全。 操作步骤 登录统一身份认证服务控制台。 在统一身份认证服务的左侧导航窗格中，选择“委托”页签，单击右上方的“创建委托”。 图1 创建委托 在创建委托页面，设置“委托名称”。 委托给云服务RFS 图2 创建委托 此处“委托名称”为用户自定义。 此处如已使用“op_svc_iac”进行注册，建议修正为云服务“RFS”。 单击“下一步”，进入给委托授权页面，给对应委托授权： 图3 委托授权 可以筛选具体权限授权给委托 图4 选择策略 具体授权给委托哪些详细权限需要用户自己决定（华为云最佳实践不建议自动帮用户创建授予Tenant Administrator权限的委托）最佳实践为用户资源栈中可能需要使用到的资源进行授予管理权限（包括读写操作） 设置授权范围可以选择所有资源或选择定义region进行授权 图5 权限范围 单击“确定”，委托创建完成。 图6

身份认证与访问控制 身份认证 租户使用AOS服务通常有控制台访问和API调用两种方式：控制台访问和API调用。 1.控制台身份认证方式 AOS对接了统一身份认证服务（Identity and Access Management，IAM）。AOS租户身份认证与访问控制通过IAM权限控制。 统一身份认证（Identity and Access Management，简称IAM）是华为云提供权限管理的基础服务，可以帮助AOS服务安全地控制访问权限。通过IAM，可以将用户加入到一个用户组中，并用策略来控制他们对AOS资源的访问范围。IAM权限可以通过细粒度定义允许和拒绝的访问操作，以此实现AOS资源的权限访问控制。 2.API调用身份认证方式 所有的API接口调用均需要经过认证的请求才可以访问成功，经过认证的请求需要包含一个签名值，该签名值以请求者的访问密钥（AK/SK）作为加密因子，结合请求体携带的特定信息计算而成。通过访问密钥（AK/SK）认证方式进行认证鉴权，即使用Access Key ID（AK）/Secret Access Key（SK）加密的方法来验证某个请求发送者身份。关于访问密钥的详细介绍及获取方式，请参见如何获取AK/SK？（账号）。 父主题： 安全

什么是资源编排 资源编排是应用编排服务新增的完全支持业界事实标准Terraform（HCL + Provider）的终态编排引擎，用于管理系统资源及服务资源（一切可定位、描述的物理或者逻辑实体，例如数据库，VPC，流水线，数据库，IAM中的Role）。资源编排采用业界开放生态HCL语法的模板，它按照模板自动化部署指定的云服务资源。 资源编排聚焦于华为云所用资源的自动化批量构建，帮助用户用高效、安全以及一致的方式新建、管理和升级所需资源，提升资源管理效率，降低资源管理变更带来的安全风险。 产品架构 父主题： 资源编排

基本概念 概念名称 描述 资源 一个云服务可以有多种资源。资源可以是VPC，虚拟机，也可以是某种微服务应用，或者是类似于安全策略，DNS记录等高层数据模型。 模板 模板是一个HCL语法文本描述文件，支持tf、tf.json、zip包文件格式，用于描述您的云资源。资源编排根据模板完成各种云资源的创建。 资源栈 资源栈是云服务资源的集合。资源栈将模板描述的所有云服务资源作为一个整体来进行创建、删除、更新、查询等。 执行计划 执行计划提供对资源栈变化的预览。这个执行计划展示了当前模板与线上资源的对比变化，清晰地展示了资源编排对资源与属性将要执行的操作（如新增、修改、删除等）。用户可以预览这个计划，在确认符合预期后，再执行这个计划。资源编排就会完成模板定义资源的创建、变更等。 ↵ 父主题： 资源编排

产品优势 声明性：用户仅需直观描述所需资源的最终状态，屏蔽复杂的申请过程，降低资源管理的复杂度。 幂等：资源描述代码多次调用效果幂等，可确保不重复申请资源。 安全可靠：可视化的审计、安全、和合规控制策略，杜绝资源变更操作带来的安全风险。 生态丰富：南向生态支持华为云主流服务（60+云服务、240+资源对象、100+资源查询对象，详情参见：资源支持清单），开箱即用；北向完全兼容HCL语法，无学习成本。 简单易用：向导式操作配合完善的资料、样例辅助体系，五步即可完成资源管理操作。 服务全托管全云化：用户不需要安装任何软件、不需要准备执行机、不需要管理底层文件和数据就可以完成资源的自动化管理。 自动回滚：资源部署失败自动将所有资源状态返回上一个成功部署的状态。 父主题： 资源编排

认证证书 华为云服务及平台通过了多项国内外权威机构（ISO/SOC/PCI等）的安全合规认证，用户可自行申请下载合规资质证书。华为云还提供以下资源来帮助用户满足合规性要求。 行业 合规性说明 ISO/IEC 华为云 ISO/IEC 27001 合规性说明 HIPAA 华为云 HIPAA 合规性说明 LGPD 巴西LGPD合规性说明 PDPA 马来西亚PDPA合规性说明 新加坡PDPA合规性说明 泰国 PDPA 合规性说明 中国澳门PDPA 合规性说明 PCI DSS 华为云 PCI DSS 实践指南 PDPO 中国香港PDPO 合规性说明 POPIA 南非 POPIA 合规性说明 CSA CSA CCM 合规性说明（CSA CAIQ v3.1） PDPL 阿根廷 PDPL 合规性说明 MPA MPA 合规性说明通用指南 MPA 合规性说明——应用程序及云端分布式环境安全指南 金融行业 新加坡金融行业监管要求合规性说明 中国香港金融行业监管要求合规性说明 泰国金融行业监管遵从性指导 马来西亚金融行业监管遵从性指导 巴西金融行业监管遵从性指导 阿根廷金融行业监管遵从性指导 南非金融行业监管遵从性指导 证券及期货 中国香港证券及期货行业监管遵从性指导 保险 中国香港保险行业监管遵从性指导 隐私 印尼隐私合规性说明 另外，华为云还提供了以下销售许可证及软件著作权证书，供用户下载和参考。 销售许可证 云堡垒机 CBH DDoS防护 ADS Web应用防火墙 WAF 企业主机安全 HSS 数据库安全 DBSS 软件著作权证书 态势感知 SA 企业主机安全 HSS 容器安全 CGS DDoS防护 ADS Web应用防火墙 WAF 漏洞扫描服务 VSS 数据库安全 DBSS 数据安全中心 DSC 数据加密服务 DEW - 父主题： 安全

产品功能 支持自动化编排资源 AOS提供自动化的编排能力，支持编排华为云主流云服务，具体请参见支持编排的云服务。AOS还提供资源规划、应用设计、部署、变更等生命周期管理等相关服务，通过自动化降低运维成本。 支持应用与云服务资源混合编排 您可通过标准语言（YAML/JSON）统一描述所需基础资源、应用系统、应用上层配套服务及三者之间的关系。根据统一描述，可一键式按照定义的依赖顺序，自动完成资源开通、应用部署、应用服务加载。对于部署的资源和应用，可以统一的进行管理：删除、扩缩容、复制、迁移等。

批量创建 应用场景： 如果您需要创建一个包含10个不同规格的弹性云服务器实例的Web应用，或者您需要一次创建10个数据库实例时，您需要一个个单独创建这些资源，然后必须将这些资源配置为结合使用，才能确保应用顺利启动，增加了使用云资源的复杂性和时间成本。 价值： 应用编排服务将大批量的、不同服务、不同规格的资源实例，统一定义在模板中，一键完成创建，实现资源的快速部署和灵活配置。 优势： 快速部署 通过应用编排服务自动化并发创建多个云服务资源，或不同规格的同一服务资源。 灵活配置 丰富的模板语法，支持根据不同场景灵活配置创建资源的种类与规格。 自动回退 批量创建过程中如果失败，用户可选择自动回退，以节省资源成本。 图3 批量创建场景

应用上云 应用场景： 应用上云时，很多工作需要重复操作，例如环境的销毁和重建、在扩容的场景下重复完成多个新实例的配置等。同时应用上云时，很多操作非常耗时，例如创建数据库、创建虚拟机等，都需等待分钟级别的时间。一旦需要串行创建多个耗时任务，就需要您持续等待一段时间。而此时如果可以将整个流程自动化，可以减少您的等待过程，完成其他更有价值的任务。 价值： 使用应用编排服务，通过模板对应用及应用所需资源进行统一描述，一键式自动完成部署或销毁操作。您可以同步进行资源规划、应用定义和业务部署，提升应用上云的效率。 优势： 简单易用 通过编写模板，即可完成应用设计与资源的规划，使业务的组织和管理变得轻松。 高效执行 一键式自动完成部署或销毁操作，省去繁琐的人工操作。 快速复制 同一模板可以多次重复使用，自动化构建相同的应用与资源到不同的数据中心。 图1 应用上云场景

ISV业务发放 应用场景： 独立软件开发商（ISV）需要让客户快速将软件服务部署到云上，供其自身的客户进行使用。ISV传统的软件发放的方式是在其官网提供软件的代码下载及平台搭建指南。但该方式需要客户自建资源与组网，准备时间长，成本高。并且安装过程完全手动，耗时易出错，软件的版本更新都需要客户自己手动操作，运维压力大。 价值： 应用编排服务的模板提供了标准化的资源和应用交付方式。ISV可以通过将软件服务模板化，通过应用编排服务的一键部署能力，对自身客户进行业务发放。 优势： 快速发放 通过模板，自动化完成软件的部署与资源的开通，用户只需一键部署，分钟级完成。 准确创建 ISV软件本身及所需的云服务资源都通过模板固化，减少人工失误带来的影响。 统一维护 软件的生命周期管理可以统一通过AOS服务实现，一键完成软件的升级、伸缩等操作。 图2 ISV业务发放场景

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的云安全挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 各类各项云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。 华为云租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类各项云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统，虚拟防火墙、API 网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题： 安全

简单易用的编排语言 AOS编排语言支持 YAML和JSON 语法来定义需要的元素。 AOS编排语言支持参数化，您只需更改输入参数，即可控制要部署对象的规格、实例数量以及执行的操作，从而实现模板的重复利用。 AOS编排语言支持变量引用，包括引用输入参数、引用元素属性和引用映射表。 引用输入参数：获取模板文件中inputs区域中定义的输入参数的值。 引用元素属性：获取模板中定义的其他元素初始化后的结果。例如新建了一个虚拟私有云，再新建弹性云服务器时，可使用已新建的虚拟私有云ID。该方法可用于构建资源间依赖关系并控制资源的创建顺序。 引用映射表：用于获取映射表中的内容。

ISV资源发放 场景描述 独立软件开发商(ISV)需要快速将软件所需资源部署到云上，供其众多的客户进行使用。传统的软件发放的方式是在其官网提供软件的代码下载及平台搭建指南。但该方式需要ISV自行组网、交付资源、部署软件，准备时间长，成本高。 解决方案 资源编排提供了标准化的资源和应用交付方式。ISV可以通过将软件服务模板化。通过资源编排的资源栈部署能力，对自身客户进行快速业务发放，将交付过程流程化。资源编排使用代码形式模板描述整个交付环境，也便于ISV将交付与CI/CD流程集成。 收益优势： 交付标准化 通过模板、资源栈方式将软件交付过程标准化，便于总结成最佳实践以便推广。 提升效率 通过模板，自动化完成资源的开通，ISV只需部署资源栈，即可完成业务的交付；提升了ISV的交付效率。 准确创建 ISV的软件本身及所需的云服务资源都通过模板固化，减少人工失误带来的影响。 CI/CD集成 可以将资源编排集成到现有工具链中，提升自动化程度。 图2 ISV资源发放场景

应用上云 场景描述 应用上云时，很多工作需要手工重复操作，例如环境的销毁和重建、在扩容的场景下重复完成多个新实例的配置等，手工操作容易带来操作失误。 同时应用上云时，很多操作非常耗时，例如创建数据库、创建虚拟机等，手动操作容易失误 ，串行创建多个任务，就需要您持续等待较长时间。 解决方案 资源编排就是将上述场景的工作进行工具化、流程化。资源编排采用模板对应用所需资源进行统一描述；资源栈管理功能提供众多资源自动化部署或销毁操作。资源编排可以将大批量、不同服务、不同规格的资源实例，统一定义在模板中。完成自动化创建，实现资源的快速部署和灵活配置。 收益优势 简单易用 通过编写模板，即可完成应用设计与资源的规划，使业务的组织和管理变得轻松。 高效执行 向导式自动完成部署或销毁操作，省去繁琐的人工操作，减少了人为操作的失误 。 快速复制 同一模板可以多次重复使用，自动化构建相同的应用与资源到不同的数据中心。提升了您的工作效率。

审计与日志 审计 云审计服务（Cloud Trace Service，CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 AOS支持审计的操作事件，请参见云审计服务支持的AOS操作列表。 日志 用户开通云审计服务并创建和配置追踪器后，CTS可记录与AOS相关的操作事件，方便您进行事后审计。您可以在CTS控制台，事件列表菜单中，搜索AOS的事件来源，即可查看所有AOS相关的审计日志。 审计日志查看方法，请参见查看云审计日志。 父主题： 安全

支持Provider版本列表 支持Provider版本列表 Provider是将各类资源的API（比如资源的CRUD操作API）封装而成的插件，供资源编排引擎调用。资源编排支持Provider类型与版本如下表。 类型 版本 terraform-provider-huaweicloud 1.40.2 1.40.1 1.40.0 1.39.0 1.38.2 1.38.1 terraform-provider-kubernetes 2.5.0 父主题： 资源编排