华为云用户手册

负载hostpath配置方式 操作场景 在使用CCE或者其他K8s集群时，用户使用HostPath类型存储。但CCI是共享集群，不开放HostPath能力，因此使用HostPath的Pod通过bursting弹到CCI时，会被拦截。如无法改变Pod spec.volumes中配置的HostPath，可通过配置Annotation的形式，允许让使用HostPath的Pod弹性到CCI上，bursting在校验时需要去掉Pod中的HostPath或者将HostPath替换为localDir、emptyDir或者flexVolume。 操作步骤 通过在Pod.Annotations中加入注解可以做到hostPath转localdir、emptydir或者flexvolume。 单个hostPath替换为localdir配置方式： "coordinator.cci.io/hostpath-replacement": '[{"name":"source-hostpath-volume","policyType":"replaceByLocalDir","localDir":{"sizeLimit":"1Gi"}}] 单个hostPath替换为flexVolume配置方式： "coordinator.cci.io/hostpath-replacement": '[{"name":"source-hostpath-volume-1","policyType":"remove"},{"name":"source-hostpath-volume-2","policyType":"replaceByLocalDir","localDir":{"sizeLimit":"1Gi"}},{"name":"source-hostpath-volume-3","policyType":"replaceByEmptyDir","emptyDir":{"sizeLimit":"10Gi"}}]' EVS目前支持普通I/O、高I/O、超高I/O三种规格，volumeType根据实际情况填写。 表1 EVS规格 EVS规格 类型 应用场景 应用场景示例 普通I/O sata 后端存储由SATA存储介质提供，适用于大容量，读写速率要求不高，事务性处理较少的应用场景。 开发测试、企业办公应用。 高I/O sas 后端存储由SAS存储介质提供，适用于性能相对较高，读写速率要求高，有实时数据存储需求应用场景。 创建文件系统、分布式文件共享。 超高I/O ssd 后端存储SSD存储介质提供，适用于高性能、高读写速率要求、数据密集型应用场景。 NoSQL、关系型数据库、数据仓库（如Oracle RAC、SAP HANA)。 全部hostPath都忽略： "coordinator.cci.io/hostpath-replacement": '[{"name":"source-hostpath-volume-1","policyType":"remove"},{"name":"source-hostpath-volume-2","policyType":"replaceByLocalDir","localDir":{"sizeLimit":"1Gi"}},{"name":"source-hostpath-volume-3","policyType":"replaceByEmptyDir","emptyDir":{"sizeLimit":"10Gi"}}]' 多个hostPath差异化替换策略： "coordinator.cci.io/hostpath-replacement": '[{"name":"source-hostpath-volume-1","policyType":"remove"},{"name":"source-hostpath-volume-2","policyType":"replaceByLocalDir","localDir":{"sizeLimit":"1Gi"}},{"name":"source-hostpath-volume-3","policyType":"replaceByEmptyDir","emptyDir":{"sizeLimit":"10Gi"}}]' 参考deployment yaml示例： apiVersion: apps/v1 kind: Deployment metadata: annotations: description: '' labels: virtual-kubelet.io/burst-to-cci: enforce appgroup: '' version: v1 name: test namespace: default spec: replicas: 2 selector: matchLabels: app: test version: v1 template: metadata: labels: app: test version: v1 annotations: coordinator.cci.io/hostpath-replacement: '[{"name": "test-log2", "policyType": "remove"}, {"name": "test-log", "policyType": "replaceByEmptyDir", "emptyDir":{"sizeLimit":"10Gi"}}, {"name": "test-log1", "policyType": "replaceByLocalDir", "localDir":{"sizeLimit":"1Gi"}}]' spec: containers: - name: container-1 image: nginx imagePullPolicy: IfNotPresent env: - name: PAAS_APP_NAME value: test - name: PAAS_NAMESPACE value: default - name: PAAS_PROJECT_ID value: 0b52a6e40b00d3682f36c0005163a82c resources: requests: cpu: 250m memory: 512Mi limits: cpu: 250m memory: 512Mi volumeMounts: - name: test-log mountPath: /tmp/log - name: test-log1 mountPath: /tmp/log1 - name: test-log2 mountPath: /tmp/log2 volumes: - hostPath: path: /var/paas/sys/log/virtual-kubelet type: "" name: test-log - hostPath: path: /var/paas/sys/log type: "" name: test-log1 - hostPath: path: /var/paas/sys/log2 type: "" name: test-log2

支持的存储类型 用户在配置负载存储类型时，CCE的console有如下选项。 弹性CCI的负载对存储类型的支持情况如下： volume类型 是否支持 特殊场景说明 HostPath 否 CCI是共享集群，不直接开放HostPath能力。 ConfigMap 是 - Secret 是 - EmptyDir 是 挂载EmptyDir不支持子路径。 DownwardAPI 是 - Projected 是 如配置了serviceAccountToken类型的source，弹性到CCI后会挂载对应service-account-token secret中的token，该token为长期有效，且token没有预期受众，即expirationSeconds和audience两项配置不会生效。 PersistentVolumeClaims 是 只支持SFS、SFS Turbo云存储类型，且只支持使用CSI类型的StorageClass。

插件卸载 登录CCE控制台。 选择CCE集群，单击进入CCE集群总览页面。 在导航栏左侧单击“插件中心”，进入插件中心首页。 选择“CCE 突发弹性引擎 (对接 CCI)”插件，单击“卸载”。 表2 特殊场景说明 特殊场景描述 场景现象 场景说明 CCE集群无节点，卸载插件。 插件卸载失败。 bursting插件卸载时会在集群中启动Job用于清理资源，卸载插件时请保证集群中至少有一个可以调度的节点。 用户直接删除集群，未卸载插件。 用户在CCI侧的命名空间中有资源残留，如果命名空间有计费资源，会造成额外计费。 由于直接删除集群，没有执行插件的资源清理Job，造成资源残留。用户可以手动清除残留命名空间及其下的计费资源来避免额外计费。 关于CCE突发弹性引擎（对接CCI）更多内容详情请参见：CCE突发弹性引擎（对接CCI）。

工作负载下发 登录CCE控制台。 选择CCE集群，单击进入CCE集群总览页面。 在导航栏左侧单击“工作负载”，进入工作负载首页。 单击“创建工作负载”，具体操作步骤详情请参见创建工作负载。 填写基本信息。“CCI弹性承载”选择“强制调度策略”。关于调度策略更多信息，请参考调度负载到CCI。 进行容器配置。 配置完成后，单击“创建工作负载”。 在工作负载页面，选择工作负载名称，单击进入工作负载管理界面。 工作负载所在节点为CCI集群，说明负载成功已调度到CCI。

安装插件 登录CCE控制台。 选择CCE集群，单击进入CCE集群总览页面。 在导航栏左侧单击“插件中心”，进入插件中心首页。 选择“CCE 突发弹性引擎 (对接 CCI)”插件，单击“安装”。 配置插件参数。 表1 插件参数说明 插件参数 说明 选择版本 插件的版本。插件版本和CCE集群存在配套关系，更条信息可以参考CCE突发弹性引擎（对接CCI）插件版本记录。 规格配置 用于配置插件负载的实例数。 网络互通 勾选后将开启CCE集群和CCI两侧pod互访的功能，用户可以根据自身业务选择是否打开。详细功能介绍请参考网络。

操作步骤 安装“云原生监控插件”。 登录CCE控制台。 选择CCE集群，单击进入CCE集群总览页面。 在导航栏左侧单击“插件中心”，进入插件中心首页。 选择“云原生监控插件”，单击“安装”。 图1 安装云原生监控插件 在安装插件页面，进行规格配置，部署模式选择“Server模式”。 如果需要在Agent部署模式下使用HPA功能，请联系技术支持人员。 通过云原生监控插件，提供系统资源指标。 如果CCE集群中未安装metrics-server插件，请开启Metric API，详情请参见通过Metrics API提供资源指标。配置完成后，可使用Prometheus采集系统资源指标。 如果CCE集群中已安装metrics-server插件，可以选择以下任意一种方式进行处理： 方式一：请卸载“Kubernetes Metrics Server”插件后，开启Metric API。 登录CCE控制台。 选择CCE集群，单击进入CCE集群总览页面。 在导航栏左侧单击“插件中心”，进入插件中心首页。 选择“Kubernetes Metrics Server”插件，单击“卸载”。 开启Metric API，详情请参见通过Metrics API提供资源指标。配置完成后，可使用Prometheus采集系统资源指标。 方式二：修改APIService对象。 需要更新APIService对象“v1beta1.metrics.k8s.io”： apiVersion: apiregistration.k8s.io/v1 kind: APIService metadata: labels: app: custom-metrics-apiserver release: cceaddon-prometheus name: v1beta1.metrics.k8s.io spec: group: metrics.k8s.io groupPriorityMinimum: 100 insecureSkipTLSVerify: true service: name: custom-metrics-apiserver namespace: monitoring port: 443 version: v1beta1 versionPriority: 100 可以将该对象保存为文件，命名为metrics-apiservice.yaml，然后执行以下命令： kubectl apply -f metrics-apiservice.yaml 执行kubectl top pod -n monitoring命令，若显示如下，则表示Metrics API能正常访问： # kubectl top pod -n monitoring NAME CPU(cores) MEMORY(bytes) ...... custom-metrics-apiserver-d4f556ff9-l2j2m 38m 44Mi ...... 卸载插件时，需要执行以下kubectl命令，同时删除APIService对象，否则残留的APIService资源将导致metrics-server插件安装失败。 kubectl delete APIService v1beta1.metrics.k8s.io

CCE集群中工作负载镜像的拉取策略有哪些？ 容器在启动运行前，需要镜像。镜像的存储位置可能会在本地，也可能会在远程镜像仓库中。 Kubernetes配置文件中的imagePullPolicy属性是用于描述镜像的拉取策略的，如下： Always：总是拉取镜像。 imagePullPolicy: Always IfNotPresent：本地有则使用本地镜像，不拉取。 imagePullPolicy: IfNotPresent Never：只使用本地镜像，从不拉取，即使本地没有。 imagePullPolicy: Never 说明如下： 如果设置为Always ，则每次容器启动或者重启时，都会从远程仓库拉取镜像。 如果省略imagePullPolicy，策略默认为Always。 如果设置为IfNotPreset，有下面两种情况： 当本地不存在所需的镜像时，会从远程仓库中拉取。 如果需要的镜像和本地镜像内容相同，只不过重新打了tag。此tag镜像本地不存在，而远程仓库存在此tag镜像。这种情况下，Kubernetes并不会拉取新的镜像。 父主题： 其他

CCE与CCI两者的配合 通过安装Virtual-Kubelet插件，可以在在短时高负载场景时，将部署在CCE上的无状态工作负载（Deployment）、有状态工作负载（StatefulSet）、普通任务（Job）三种资源类型的容器实例（Pod），弹性创建到华为云云容器实例CCI服务上，以减少集群扩容带来的消耗。 具体功能如下： 支持容器实例实现秒级弹性伸缩：在集群资源不足时，无需新增节点，virtual-kubelet插件将自动为您在云容器实例CCI侧创建容器实例，减少运维成本。 无缝对接华为云容器镜像服务SWR，支持使用公用镜像和私有镜像。 支持CCI容器实例的事件同步、监控、日志、exec、查看状态等操作。 支持查看虚拟弹性节点的节点容量信息。 支持CCE和CCI两侧实例的service网络互通。 详情请参见CCE容器实例弹性伸缩到CCI服务。

基本介绍 表1 CCE和CCI基本介绍 云容器引擎CCE 云容器实例CCI 云容器引擎（Cloud Container Engine，简称CCE）提供高度可扩展的、高性能的企业级Kubernetes集群，支持运行Docker容器，提供了Kubernetes集群管理、容器应用全生命周期管理、应用服务网格、Helm应用模板、插件管理、应用调度、监控与运维等容器全栈能力，为您提供一站式容器平台服务。借助云容器引擎，您可以在华为云上轻松部署、管理和扩展容器化应用程序。 详细介绍请查看什么是云容器引擎。 云容器实例（Cloud Container Instance， CCI）服务提供Serverless Container（无服务器容器）引擎，让您无需创建和管理服务器集群即可直接运行容器。通过CCI您只需要管理运行在Kubernetes上的容器化业务，无需管理集群和服务器即可在CCI上快速创建和运行容器负载，使容器应用零运维，使企业聚焦业务核心，为企业提供了Serverless化全新一代的体验和选择。 而Serverless是一种架构理念，是指不用创建和管理服务器、不用担心服务器的运行状态（服务器是否在工作等），只需动态申请应用需要的资源，把服务器留给专门的维护人员管理和维护，进而专注于应用开发，提升应用开发效率、节约企业IT成本。传统上使用Kubernetes运行容器，首先需要创建运行容器的Kubernetes服务器集群，然后再创建容器负载。 详细介绍请查看什么是云容器实例。

创建方式 表2 创建方式不同 云容器引擎CCE 云容器实例CCI CCE是基于Kubernetes的托管式容器管理服务，可以提供原生Kubernetes体验，可以一键创建原生Kubernetes集群，与社区能力基本一致。 使用CCE，您需要创建集群和节点，简单、低成本、高可用，无需管理Master节点。 CCI提供 Serverless Container引擎，在华为云上部署容器时，您不需要购买和管理ECS，可以直接在华为云上运行容器和Pod，为您省去底层ECS的运维和管理工作。 使用CCI，您无需创建集群，无需创建和管理Master节点及Work节点，可直接启动应用程序。

收费方式 表3 收费方式不同 维度 云容器引擎CCE 云容器实例CCI 定价 CCE在使用过程中会创建相关资源（如节点、带宽等），您需要为这些资源付费。 CCI实例资源包含CPU、内存、GPU等，根据使用的实际实例资源规格进行计费。 计费方式 支持按需计费、包年/包月两种计费模式 支持按需计费、购买套餐包两种计费模式 最小计价单位 按小时计费 按秒计费，以小时为出账周期 图1 CCE和CCI收费方式区别

基础概念 云容器引擎（CCE） 云容器引擎（Cloud Container Engine，简称CCE）提供高度可扩展的、高性能的企业级Kubernetes集群，支持运行Docker容器，提供了Kubernetes集群管理、容器应用全生命周期管理、应用服务网格、Helm应用模板、插件管理、应用调度、监控与运维等容器全栈能力，为您提供一站式容器平台服务。借助云容器引擎，您可以在华为云上轻松部署、管理和扩展容器化应用程序。 应用管理与运维平台（ServiceStage） ServiceStage应用管理与运维平台是一个应用托管和微服务管理平台，可以帮助企业简化部署、监控、运维和治理等应用生命周期管理工作。ServiceStage面向企业提供微服务、移动和Web类应用开发的全栈解决方案，帮助您的各类应用轻松上云，聚焦业务创新，帮助企业数字化快速转型。

数据保护技术 MPC通过多种数据保护手段和特性，保障存储在MPC中的数据安全可靠。 表1 表1 MPC的数据保护手段和特性 数据保护手段 简要说明 详细介绍 传输加密（HTTPS） MPC支持HTTP和HTTPS两种传输协议，为保证数据传输的安全性，推荐您使用更加安全的HTTPS协议。 构造请求 数据冗余存储 OBS采用Erasure Code（EC，纠删码）算法做数据冗余，不是以副本的形式存储。在满足同等可靠性要求的前提下，EC的空间利用率优于多副本。 OBS创建桶时支持选择数据冗余存储策略，选择多AZ存储时，数据冗余存储在同区域的多个AZ。当某个AZ不可用时，仍然能够从其他AZ正常访问数据，适用于对可靠性要求较高的数据存储场景。 创建多AZ桶 数据完整性校验（MD5） 对象数据在上传下载过程中，有可能会因为网络劫持、数据缓存等原因，存在数据不一致的问题。MPC提供通过计算MD5值的方式对上传下载的数据进行一致性校验。 数据一致性校验 跨区域复制 跨区域复制是指通过创建跨区域复制规则，将一个桶（源桶）中的数据自动、异步地复制到不同区域的另外一个桶（目标桶）中。跨区域复制能够为用户提供跨区域数据容灾的能力，满足用户数据复制到异地进行备份的需求。 跨区域复制介绍和配置方法 敏感操作保护 MPC控制台支持敏感操作保护，开启后执行删除媒资等敏感操作时，系统会进行身份验证，进一步保证MPC配置和数据的安全性。 敏感操作保护介绍 用户敏感数据保护 MPC提供服务所必须的用户个人敏感信息，经过加密存储在服务内部，确保不存在泄露风险。 - 父主题： 安全

个人数据说明 使用个人数据的场景 视频转码、转封装处理的音视频文件。 用户下发视频截图任务，截图后图片存储于用户自有OBS桶中。 收集的个人数据项 媒体处理的音视频文件。 视频截图。 收集的来源和方式 最终用户访问。 媒体处理过程中，媒体处理服务从视频文件中获取。 使用的目的以及安全保护措施 用于视频转码处理，转码后文件存储到用户OBS桶。 存储在用户自有OBS桶中，用户可自行处理转码后文件，且用户可以根据实际需求配置OBS桶的安全机制。 截图后文件存储到用户OBS。 存储在用户自有OBS桶中，用户可自行处理截图文件，且用户可以根据实际需求配置OBS桶的安全机制。 存留期限与存留策略 系统缓存，异常场景下存留最大不超过24小时。 系统缓存，异常场景下存留最大不超过24小时。 销毁方式 系统自动删除缓存。 系统自动删除缓存。 导出方式 用户自行从OBS桶中下载导出。 用户自行从OBS桶中下载导出。 导出指导 请参见OBS用户指南导出。 请参见OBS用户指南导出。

如何进行安全加固 登录CCE控制台。 在左侧导航栏中选择“集群管理”，单击要创建节点的集群进入集群控制台。 在集群控制台左侧导航栏中选择“节点管理”，切换至“节点”页签并单击右上角的“创建节点”，在节点配置步骤中设置节点参数。 以下为开启安全加固关键参数设置，其余参数请根据需求设置。 在“操作系统”中选择“Huawei Cloud EulerOS 2.0”。 在“安全加固”设置中选择“等保加固”。 图1 开启安全加固 其余节点参数设置完成后，单击“下一步：规格确认”。 确认完成后单击“提交”，开始创建节点。

解决方法 2.3.3及以上版本的NGINX Ingress默认仅支持TLS v1.2及v1.3版本，如果需要支持更多TLS版本，您可以在NGINX Ingress控制器插件配置的ssl-ciphers参数中添加@SECLEVEL=0字段，以启用对更多TLS版本的支持。更多详情请参见TLS/HTTPS。 登录CCE控制台，进入集群，在左侧导航栏中选择“插件管理”，在“已安装插件”下，单击NGINX Ingress控制器下的“管理”。 单击对应控制器实例的“编辑”按钮。 在“nginx 配置参数”中添加以下配置。 { "ssl-ciphers": "@SECLEVEL=0 ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA", "ssl-protocols": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3" } 单击“确定”。 重新使用TLS v1.1进行访问，响应正常。

修改云服务器的数据盘 待纳管云服务器的数据盘数量、大小、类型需修改成和节点池的数据盘配置相同。 数据盘数量 更多操作指导请参见ECS新增磁盘或ECS在线卸载磁盘。 登录ECS控制台。 单击目标云服务器名称，进入弹性云服务器详情页。 选择“云硬盘”页签。 如果待纳管节点的数据盘数量少于节点池配置中的数据盘数量，则需新增磁盘： 单击“新增磁盘”，设置新添加云硬盘的参数信息。云硬盘的参数信息配置请参考购买云硬盘。 配置新增磁盘时，磁盘规格及大小需和节点池中的磁盘配置保持一致，且高级配置中需勾选“SCSI”。 如果待纳管节点的数据盘数量多于节点池配置中的数据盘数量，则需卸载磁盘： 单击待卸载磁盘所在行的“卸载”，卸载云硬盘。 数据盘大小 更多操作指导请参见ECS扩容云硬盘。 登录ECS控制台。 单击目标云服务器名称，进入弹性云服务器详情页。 切换至“云硬盘”页签，单击待扩容云硬盘右侧的“扩容”，系统跳转至云硬盘控制台的“扩容磁盘”页面。 根据界面提示，设置“目标容量”。 设置完成后，单击“下一步”并根据界面提示完成订单提交。 数据盘类型 更多操作指导请参见变更云硬盘类型。 登录ECS控制台。 单击目标云服务器名称，进入弹性云服务器详情页。 切换至“云硬盘”页签，单击待扩容云硬盘右侧的“磁盘变配”。 根据界面提示，设置“磁盘类型”。 设置完成后，单击“提交”。

问题现象 用户创建AI应用时，构建镜像失败，失败日志中提示下载obs文件失败（Get object size from OBS failed！）。 图1 下载obs文件失败 用户创建AI应用时，事件提示：复制模型文件失败，请检查OBS权限是否正常（Failed to copy model file due to obs exception. Please Check your obs access right.）或用户%s没有OBS的obs:object:PutObjectAcl权限（User %s does not have obs:object:PutObjectAcl permission.）。 图2 复制模型文件失败

响应参数 状态码： 400 表5 响应Body参数 参数 参数类型 描述 error_code String 错误请求返回的错误码。 最小长度：3 最大长度：36 error_msg String 错误请求返回的错误信息。 最小长度：0 最大长度：1024 状态码： 401 表6 响应Body参数 参数 参数类型 描述 error_code String 错误请求返回的错误码。 最小长度：3 最大长度：36 error_msg String 错误请求返回的错误信息。 最小长度：0 最大长度：1024 状态码： 403 表7 响应Body参数 参数 参数类型 描述 error_code String 错误请求返回的错误码。 最小长度：3 最大长度：36 error_msg String 错误请求返回的错误信息。 最小长度：0 最大长度：1024 状态码： 404 表8 响应Body参数 参数 参数类型 描述 error_code String 错误请求返回的错误码。 最小长度：3 最大长度：36 error_msg String 错误请求返回的错误信息。 最小长度：0 最大长度：1024 状态码： 500 表9 响应Body参数 参数 参数类型 描述 error_code String 错误请求返回的错误码。 最小长度：3 最大长度：36 error_msg String 错误请求返回的错误信息。 最小长度：0 最大长度：1024

响应示例 状态码： 400 请求参数有误。 { "error_code" : "PCA.XXX", "error_msg" : "XXX" } 状态码： 401 被请求的页面需要鉴权。 { "error_code" : "PCA.XXX", "error_msg" : "XXX" } 状态码： 403 认证失败。 { "error_code" : "PCA.XXX", "error_msg" : "XXX" } 状态码： 404 资源不存在或资源未找到。 { "error_code" : "PCA.XXX", "error_msg" : "XXX" } 状态码： 500 服务内部错误。 { "error_code" : "PCA.XXX", "error_msg" : "XXX" }

请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 用户token，参见:IAM token获取方法。 表3 请求Body参数 参数 是否必选 参数类型 描述 tags 是 Array of ResourceTag objects 标签列表，key和value键值对的集合。 数组长度：1 - 20 表4 ResourceTag 参数 是否必选 参数类型 描述 key 是 String 标签键。 可用 UTF-8 格式表示的字母(包含中文、西班牙语、葡语等)、数字和空格，以及以下字符： _ . : = + - @ 最小长度：1 最大长度：128 value 是 String 标签值。 可用 UTF-8 格式表示的字母(包含中文、西班牙语、葡语等)、数字和空格，以及以下字符： _ . : / = + - @ 最小长度：0 最大长度：255

请求示例 批量创建CA标签，请求头中的X-Auth-Token字段需要填写token，且该token需要具有本API的访问权限。 POST https://ccm.cn-north-4.myhuaweicloud.com/v1/private-certificate-authorities/4c0e772e-a30c-4029-b929-b7acb04143f7/tags/create { "tags" : [ { "key" : "key1", "value" : "value1" }, { "key" : "key2", "value" : "value2" } ] }

响应示例 状态码： 200 请求已成功 { "ca_id" : "66504812-fedc-414a-9b7c-4c1836398524" } 状态码： 400 请求参数有误。 { "error_code" : "PCA.XXX", "error_msg" : "XXX" } 状态码： 401 被请求的页面需要鉴权。 { "error_code" : "PCA.XXX", "error_msg" : "XXX" } 状态码： 403 认证失败。 { "error_code" : "PCA.XXX", "error_msg" : "XXX" } 状态码： 404 资源不存在或资源未找到。 { "error_code" : "PCA.XXX", "error_msg" : "XXX" } 状态码： 500 服务内部错误。 { "error_code" : "PCA.XXX", "error_msg" : "XXX" }

请求示例 创建CA证书，请求头中的X-Auth-Token字段需要填写token，且该token需要具有本API的访问权限。 POST https://ccm.cn-north-4.myhuaweicloud.com/v1/private-certificate-authorities { "type" : "ROOT", "key_algorithm" : "RSA4096", "signature_algorithm" : "SHA512", "distinguished_name" : { "common_name" : "demoRootRSA", "country" : "CN", "locality" : "chengdu", "organization" : "HW", "organizational_unit" : "dew", "state" : "sichuan" }, "validity" : { "type" : "YEAR", "value" : 3 }, "crl_configuration" : { "enabled" : false, "obs_bucket_name" : "demoBucket", "valid_days" : 8 } }

响应参数 状态码： 200 表7 响应Body参数 参数 参数类型 描述 ca_id String 当前签发的CA证书ID。 最小长度：36 最大长度：36 状态码： 400 表8 响应Body参数 参数 参数类型 描述 error_code String 错误请求返回的错误码。 最小长度：3 最大长度：36 error_msg String 错误请求返回的错误信息。 最小长度：0 最大长度：1024 状态码： 401 表9 响应Body参数 参数 参数类型 描述 error_code String 错误请求返回的错误码。 最小长度：3 最大长度：36 error_msg String 错误请求返回的错误信息。 最小长度：0 最大长度：1024 状态码： 403 表10 响应Body参数 参数 参数类型 描述 error_code String 错误请求返回的错误码。 最小长度：3 最大长度：36 error_msg String 错误请求返回的错误信息。 最小长度：0 最大长度：1024 状态码： 404 表11 响应Body参数 参数 参数类型 描述 error_code String 错误请求返回的错误码。 最小长度：3 最大长度：36 error_msg String 错误请求返回的错误信息。 最小长度：0 最大长度：1024 状态码： 500 表12 响应Body参数 参数 参数类型 描述 error_code String 错误请求返回的错误码。 最小长度：3 最大长度：36 error_msg String 错误请求返回的错误信息。 最小长度：0 最大长度：1024

响应示例 状态码： 400 请求参数有误。 { "error_code" : "PCA.XXX", "error_msg" : "XXX" } 状态码： 401 被请求的页面需要鉴权。 { "error_code" : "PCA.XXX", "error_msg" : "XXX" } 状态码： 403 认证失败。 { "error_code" : "PCA.XXX", "error_msg" : "XXX" } 状态码： 404 资源不存在或资源未找到。 { "error_code" : "PCA.XXX", "error_msg" : "XXX" } 状态码： 500 服务内部错误。 { "error_code" : "PCA.XXX", "error_msg" : "XXX" }

请求示例 批量删除CA标签，请求头中的X-Auth-Token字段需要填写token，且该token需要具有本API的访问权限。 DELETE https://ccm.cn-north-4.myhuaweicloud.com/v1/private-certificate-authorities/4c0e772e-a30c-4029-b929-b7acb04143f7/tags/delete { "tags" : [ { "key" : "key1", "value" : "value1" }, { "key" : "key2", "value" : "value2" } ] }

请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 用户token，参见:IAM token获取方法。 表3 请求Body参数 参数 是否必选 参数类型 描述 tags 是 Array of ResourceTag objects 标签列表，key和value键值对的集合。 数组长度：1 - 20 表4 ResourceTag 参数 是否必选 参数类型 描述 key 是 String 标签键。 可用 UTF-8 格式表示的字母(包含中文、西班牙语、葡语等)、数字和空格，以及以下字符： _ . : = + - @ 最小长度：1 最大长度：128 value 是 String 标签值。 可用 UTF-8 格式表示的字母(包含中文、西班牙语、葡语等)、数字和空格，以及以下字符： _ . : / = + - @ 最小长度：0 最大长度：255

响应参数 状态码： 400 表5 响应Body参数 参数 参数类型 描述 error_code String 错误请求返回的错误码。 最小长度：3 最大长度：36 error_msg String 错误请求返回的错误信息。 最小长度：0 最大长度：1024 状态码： 401 表6 响应Body参数 参数 参数类型 描述 error_code String 错误请求返回的错误码。 最小长度：3 最大长度：36 error_msg String 错误请求返回的错误信息。 最小长度：0 最大长度：1024 状态码： 403 表7 响应Body参数 参数 参数类型 描述 error_code String 错误请求返回的错误码。 最小长度：3 最大长度：36 error_msg String 错误请求返回的错误信息。 最小长度：0 最大长度：1024 状态码： 404 表8 响应Body参数 参数 参数类型 描述 error_code String 错误请求返回的错误码。 最小长度：3 最大长度：36 error_msg String 错误请求返回的错误信息。 最小长度：0 最大长度：1024 状态码： 500 表9 响应Body参数 参数 参数类型 描述 error_code String 错误请求返回的错误码。 最小长度：3 最大长度：36 error_msg String 错误请求返回的错误信息。 最小长度：0 最大长度：1024

请求示例 批量创建证书标签，请求头中的X-Auth-Token字段需要填写token，且该token需要具有本API的访问权限。 POST https://ccm.cn-north-4.myhuaweicloud.com/v1/private-certificates/4c0e772e-a30c-4029-b929-b7acb04143f7/tags/create { "tags" : [ { "key" : "key1", "value" : "value1" }, { "key" : "key2", "value" : "value2" } ] }