模板约束与限制 使用RFS服务进行模板部署，模板文件内容具有如下约束与限制： 不能使用Provisioners功能和Backend Configuration功能。 可以使用Module Sources功能，但仅支持Local Modules。 可以使用HuaweiCloud Provider，但Provider内部分资源禁止使用。具体清单列举如下： huaweicloud_vod_watermark_template huaweicloud_compute_keypair huaweicloud_identity_access_key huaweicloud_images_image_v2 huaweicloud_kps_keypair huaweicloud_obs_bucket_object huaweicloud_iotda_batchtask huaweicloud_cce_chart huaweicloud_iotda_batchtask_file 部分函数禁止使用。具体清单列举如下： abspath basename dirname file filebase64 filebase64sha256 filebase64sha512 fileexists fileset filemd5 filesha1 filesha256 filesha512 pathexpand templatefile 父主题： 资源编排

创建执行计划 步骤：进入资源栈列表页面，单击资源栈名称进入资源栈详情，单击页面右上角的“更新模板或参数”进入创建执行计划页面如图1： 图1 创建执行计划页面 后续步骤和创建资源栈一致，除了一个区别是，您需要单击创建执行计划，而不是单击直接部署资源栈。 单击“创建执行计划”后 资源栈不会直接部署，而是创建执行计划，创建多个计划生成以后会在同一个资源栈下展示多个执行计划。如图2： 图2 执行计划列表 对于生成执行计划成功的，单击对应执行计划后面的“部署”进而部署“执行计划”。 对于不需要的执行计划，可以单击操作列删除，当页面弹出删除执行计划确认框后，单击“确定”即可删除。如图3： 图3 删除执行计划 父主题： 入门

资源栈详情 资源栈详情 资源栈详情中主要包括六个功能模块如下（此处用上面创建好的，资源栈名称为“stack_20221206_0933_uiyn”的资源栈举例说明）： 基本信息：展示资源栈的基本信息如基本信息： 图1 基本信息 资源：指的是“执行计划执行中生成的云服务的信息”，资源栈部署中生成的资源可在此页查看，如图2： 图2 资源 事件：事件指的是执行的过程中和部署资源栈过程中产生的日志信息，事件会根据资源栈正在执行的状态进行实时刷新，如图3显示三个资源最终均被创建成功： 图3 事件 输出：当模板内容中有输出的参数时，输出的数据会显示在本页，如图4： 图4 输出 模板：模板中展示创建资源栈时所用到的模板内容如图5： 图5 模板 执行计划：执行计划列表中可以展示不同的执行计划，执行计划生成结束后需要单击“部署”，模板中的资源才可以创建成功，执行成功后执行计划的状态从“创建成功，待部署”更新为“已执行部署”，“部署”按钮消失。如图 执行计划： 图6 执行计划 单击对应的执行计划的名称可看见执行计划详情页面如图7： 图7 执行计划详情 父主题： 入门

创建资源栈 进入资源栈列表页面单击页面右上角的“创建资源栈”，进入创建资源栈页面 如图1 图1 创建资源栈 步骤：可使用已有模板或者可视化编辑器进行操作此处使用模板进行资源栈的创建，设计器使用见可视化编辑器。 选择模板： 此处有三种方式可以选择模板，一是通过Obs模板的URL指定模板，二是选择上传本地文件，如图2： 图2 创建资源栈-选择模板 此处以上传模板为例，上传一个在本地已经存在的模板 文件名为"ecs_test.tf.json"，模板内容如下： { "terraform": { "required_providers": { "huaweicloud": { "source": "huawei.com/provider/huaweicloud", "version": "1.41.0" } } }, "provider": { "huaweicloud": { "cloud": "myhuaweicloud.com", "endpoints": { "iam":"iam.cn-north-4.myhuaweicloud.com" }, "insecure": true, "region": "cn-north-4", "auth_url": "https://iam.cn-north-4.myhuaweicloud.com:31943/v3" } }, "variable": { "vpc_name": { "type": "string", "description": "vpc name", "default": "rf_teststack_vpc", "sensitive": true, "nullable": false }, "subnet_name": { "type": "string", "description": "subnet name", "default": "rf_teststack_subnet" }, "ecs_name": { "type": "string", "description": "ecs name", "default": "rf_teststack_ecs" }, "ecs_admin_passwd": { "type": "string", "description": "ecs passwd" } }, "resource": { "huaweicloud_vpc": { "rf_doc_vpc": { "name": "${var.vpc_name}", "cidr": "192.168.0.0/16" } }, "huaweicloud_vpc_subnet": { "rf_doc_subnet": { "name": "${var.subnet_name}", "vpc_id": "${huaweicloud_vpc.rf_doc_vpc.id}", "cidr": "192.168.1.0/24", "gateway_ip": "192.168.1.1" } }, "huaweicloud_compute_instance": { "rf_doc_ecs": { "name": "${var.ecs_name}", "flavor_id": "c7.large.2", "admin_pass": "${var.ecs_admin_passwd}", "image_id": "cecc4bcf-b055-4d35-bd5f-693d4412eaef", "network": { "uuid": "${huaweicloud_vpc_subnet.rf_doc_subnet.id}" }, "system_disk_type": "SAS", "system_disk_size": 100, "stop_before_destroy": false, "delete_disks_on_termination": true, "charging_mode": "postPaid", "auto_renew": false } } }, "output": { "ecs_address": { "value": "${huaweicloud_compute_instance.rf_doc_ecs.access_ip_v4}", "description": "The ecs private address." }, "ecs_id": { "value": "${huaweicloud_compute_instance.rf_doc_ecs.id}", "description": "The ecs resource id." } } } 示例模板中包含收费资源，请用户使用前确认是否需要开通该资源。 模板详解：主要分为五个部分： 虚拟私有云VPC，“resource”中“huaweicloud_vpc”为VPC创建信息。 在VPC中定义一个子网，子网是VPC的IP地址范围内的一个区段， “resource”中“huaweicloud_vpc_subnet”为子网创建信息。 在模板中定义弹性云服务器ECS，“resource”中“huaweicloud_compute_instance”为ECS创建信息。 “variable”中定义了参数，用户可以在创建和部署时将自定义参数值输入模板来指定自定义的内容。 “output”中定义了模板的输出，在资源栈创建完成后会按照定义生成输出，在输出页会展示输出的信息。 配置参数 选择好模板以后单击“下一步”，来到配置参数页面，在此页面中，您可以修改资源栈名称和资源栈描述，如图3： 资源栈名称: 资源栈名称以中文或英文开始，支持中文、大小写英文、数字、下划线、中划线，128个字符之内。 资源栈名称不能重名。 资源栈描述: 由任意字符组成, 字符数量需要控制在1024个字符之内。 图3 创建资源栈-配置参数 配置参数的填写，如果参数名称之前有红色“*”标记则为必填参数，所有必填参数填写完毕，满足设定规则。 如果存在不满足配置规则的参数如：图4，值所在列会出现红框标记，此时单击下一步不会出现页面跳转 图4 创建资源栈-不满足条件展示 配置成功后可以单击“下一步”进入资源栈设置页面。 如果资源栈名称或资源栈描述为地址栏URL传入,如存在特殊字符, 特殊字符需符合http的规则转义之后传入;如图5: test&123 应为 test%26123 (注: 资源栈名称及描述的校验规则与手动输入一致) 图5 资源栈描述为地址栏URL传入示例 另外需要到对应服务控制台确认在此页面默认的VPC、子网和ECS的名称是否已经有同名的资源实例存在，如果存在则需要更改名称，防止创建失败。 资源栈设置 配置好参数以后单击下一步来到“高级配置”页面，如图6： 图6 创建资源栈-资源栈设置 *必选项： IAM权限委托：选择权限委托可明确定义RFS服务在资源栈上可执行的所有操作（如创建、更新、删除资源栈等），如果委托权限不足，有可能导致后续操作失败。 非必选项： 单击“删除保护”按钮，可以防止资源栈被意外删除，创建后可单击资源栈操作列的更新按钮更新； 单击“回滚设置”按钮，会切换回滚设置的开关状态，开启回滚表示操作失败时，会自动回滚至系统所保存的上一个成功的资源状态。 配置完毕后可以单击“下一步”进入确认配置页面。 确认配置 此时有两种途径可以操作，分别是单击“创建执行计划”和“直接部署资源栈”: 单击“直接部署资源栈”，出现弹框确认 图7 直接部署资源栈 单击“确定”会发现有新的资源栈生成，状态为“正在部署”，如图8： 图8 正在部署 稍后，状态更新为“部署成功”，如图9： 图9 部署成功 单击“创建执行计划”，页面弹出创建执行计划弹出框，您可以借此设置执行计划的名称与描述，如图10： 图10 创建执行计划弹出框 单击“确定”页面跳转到资源栈详情中的“执行计划”页面 等待执行计划生产完毕，并且刷新页面，可以看到执行计划的状态更新为“创建成功，待部署”，如图11： 图11 执行计划创建成功 此时返回资源栈列表页，资源栈的状态为“创建成功，待部署”，如图12： 图12 资源栈列表 “创建执行计划”可以预览整个资源栈的资源属性的变化，评估造成的影响。评估执行计划符合您的预期，您就可以对计划单击“执行”。 创建执行计划不会产生费用，只有您对计划进行了执行操作时，系统才会对您的资源栈进行更改。 单击执行计划操作列的“部署”，对执行计划进行部署，如图13： 图13 执行计划确认框 单击弹出框中的“执行”，页面右上角弹出“正在部署”的提示框，此时返回资源栈列表页，可以看到有新的资源栈生成，状态为“正在部署”，如图14： 图14 资源栈资源正在部署 稍后，资源栈状态更新为“部署成功”如图15： 图15 资源栈资源部署成功 此时，进入资源栈详情中的“执行计划”页面，执行计划的状态为“已执行部署”，如图16： 图16 执行计划已执行部署 此时，单击导航栏中的“事件”，可以看到资源栈资源已经部署成功，如图17： 图17 资源已经部署成功 您可以去对应的云服务中查看，详细如下： 在总控制台的服务列表中找到并单击“弹性云服务器”，进入弹性云服务器页面，可以看到刚部署的弹性云服务器如图18： 图18 弹性云服务器 至此，资源栈资源均部署成功。 父主题： 入门

步骤一：使用可视化编辑器编写模板 登录RFS控制台，选择左侧导航栏的“可视化编辑器”。 添加并连接元素。将虚拟私有云VPC、VPC子网、云硬盘EVS等元素拖放到画布中，并建立它们之间的关联关系，如图2。 图2 添加元素 配置模板参数。在右侧属性窗口中设置编辑属性 鼠标单击画布中的vpc元素，在属性窗口中会自动显示该元素的属性，cidr可使用默认值192.168.0.0/16。 鼠标单击画布中的subnet元素，在属性窗口中会自动显示该元素的属性。属性可使用默认值。 鼠标单击画布中的evs元素，在属性窗口中会自动显示该元素的属性。当属性窗口为红色标记时为必填项图3 图3 元素必填项 为方便参数可配置可修改，建议经常变动的值使用输入参数。get_input表示输入参数，get_input后面定义的值可以自定义。 鼠标单击属性窗口右侧，生成输入参数，如图4。 图4 生成input 单击可视化编辑器的“保存模板”，保存模板。如果出现"模板已保存成功，请在我的模板查看管理",则模板保存成功。 图5 保存模板

价格预估 进入创建成功的执行计划页面，会在界面上看到“查看费用明细”按钮，如图1 ，单击后服务会进行价格预估并展示价格预估结果，如图2 图1 查看费用明细 图2 费用明细 费用明细页面分包年/包月，如图3，按需计费如图4，待支持如图5三个类别展示资源价格。 包年/包月类、按需计费类展示按照包年/包月，按需计费方式购买的资源，待支持类展示暂不支持预估价格资源的列表， 目前支持预估价格的资源列表如表1。 图3 包年包月 图4 按需计费 图5 待支持 表1 已支持预估价格的云服务资源与计费方式 云服务 资源类型 计费方式 ECS（Elastic Cloud Server ）弹性云服务器 huaweicloud_compute_instance 包周期和按需 EVS（Elastic Volume Service）云硬盘 huaweicloud_evs_volume 包周期和按需 EIP（Elastic IP Address）弹性公网IP huaweicloud_vpc_eip 包周期和按需 bandwidth 带宽 huaweicloud_vpc_bandwidth 按需 ELB（Elastic Load Balance）弹性负载均衡 huaweicloud_elb_loadbalancer 按需 NAT（Network Address Translation）网关 huaweicloud_nat_gateway 按需 RDS（Relational Database Service）关系型数据库 huaweicloud_rds_instance 包周期和按需 CCE（Cloud Container Engine）云容器引擎 huaweicloud_cce_cluster 包周期和按需 CSS（Cloud Search Service）云搜索服务 huaweicloud_css_cluster 按需 GaussDB(for Redis) 华为云旗下企业级Redis huaweicloud_gaussdb_redis_instance 包周期和按需 GaussDB(for MySQL) 华为自研的最新一代企业级云原生分布式数据库 huaweicloud_gaussdb_mysql_instance 包周期和按需 SFS（Scalable File Service） 弹性文件服务 huaweicloud_sfs_turbo 按需 DCS（Distributed Cache Service）分布式缓存服务 huaweicloud_dcs_instance 包周期和按需 DMS KAFKA （Distributed Message Service） 分布式消息服务 huaweicloud_dms_kafka_instance 按需 用于预估价格的模板中没有填入预估价格服务必须的字段或填入不合法字段时会导致价格预估失败。 服务在完成询价后，执行计划详情也会在基本信息中展示出费用预估情况，如图6 图6 执行计划详情 父主题： 入门

创建资源栈集 1.进入资源栈集列表页面单击页面右上角的“创建资源栈集”，进入创建资源栈集页面 如图1 图1 创建资源栈集 2.进入选择模板操作界面图2，在模板操作界面提供以下信息。确认信息无误单击下一步执行。 权限委托： 选择权限：“自主服务权限” 管理委托名称：资源编排服务使用该委托获取成员账号委托给管理账号的权限。该委托中必须含有iam:tokens:assume权限，用以后续获取被管理委托凭证。如果不包含，则会在新增或者部署实例时报错。 被管理的委托名称：资源编排服务会使用该委托获取实际部署资源所需要的权限,不同成员账号委托给管理账号的委托名称需要保持一致。 选择模板 创建方式：已有模板 模板来源：当前支持用户使用三种途径的模板创建方式：“我的模板”“URL”“上传模板”，用户可根据自己需求，选择对应的模板上传途径 图2 选择模板 3.进入参数配置页面图3，此处可以自定义资源栈集名称，并填写配置参数，确认无误单击下一步 图3 参数配置 4.进入部署设置页面图4，此处需要填写需要创建的租户id和部署区域。确认无误单击下一步 图4 部署设置 新加坡、香港、曼谷 北京四、上海一、广州 乌兰201 贵州202、苏州201 G42 当前仅支持上述partition之间的互通，跨partition不支持互通。 5.配置确认，确认上述步骤中回填参数无误，单击“部署”并确认。 6.等待创建成功查看图5创建结果，显示操作完成则创建成功。 图5 资源栈实例 父主题： 使用资源栈集

更新模板或参数 部署资源栈没有提供查看变更记录的功能，请谨慎操作，如果需要查看详细的变更内容，优先使用创建执行计划功能。 如果后您需要增加云服务资源，或者变更资源栈中某个资源的规格。需要进入资源栈列表页面，找到刚创建成功的资源栈，单击操作列的“更新”或者进入对应的资源栈详情页，单击页面右上角的“更新模板或参数”按钮，进入更新资源栈页面，如图1： 图1 更新模板或参数-选择模板 此时，您可以选择"使用当前模板"或者"替换当前模板"即使用一个新模板来进行已有资源栈的更新功能。 方案一：使用当前模板： 单击"下一步"，进入配置参数页面，可以修改配置参数，如图2： 图2 更新模板或参数-配置参数 单击“下一步”进入配置确认页面，如图3 图3 更新模板或参数-配置确认 直接单击“直接部署资源栈”，此时页面跳转到事件页 稍后，状态变成“更新完成”，如图4： 图4 更新模板或参数-更新完成 方案二：替换当前模板：（详见创建资源栈）。 父主题： 入门

删除资源栈 1.无删除保护 进入资源栈列表页面，找到刚创建成功的资源栈，单击行操作列的“删除”，页面弹出确认删除框，在输入框中再次输入Delete，单击确定，即可删除。 或者进入资源栈详情页单击页面右上角的“删除”的按钮，达到相同的效果，样例如图1： 图1 删除资源栈弹框 2.存在删除保护 当资源中删除保护选项为“开启”时，如图2 图2 删除保护 如果在启用删除保护的情况下删除资源堆栈，则会显示错误消息，如图3 图3 删除失败 父主题： 入门

更新资源栈集 1.进入资源栈集界面，单击需要创建资源栈的资源栈集名称进入。 2.进入资源栈实例界面右上角单击“更新”按钮 3.进入选择模板页面，此处可以选择两种创建方式“1.使用当前模板”“2.替换当前模板” 此时，选择"使用当前模板"或者"替换当前模板"即使用一个新模板来进行已有资源栈集的更新功能。 方案一：使用当前模板： 单击"下一步"，进入参数配置页面，对当前模板配置参数进行修正。 单击“下一步”进入配置设置页面，需要填写需要创建的租户id和部署区域。 配置确认，确认上述步骤中回填参数无误，单击“部署”并确认。 方案二：替换当前模板：此处参考创建资源栈集进行创建 父主题： 使用资源栈集

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的云安全挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 各类各项云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。 华为云租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类各项云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统，虚拟防火墙、API 网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题： 安全

支持Provider版本列表 Provider是将各类资源的API（比如资源的CRUD操作API）封装而成的插件，供资源编排引擎调用。 资源编排支持Provider类型与版本如下表。 类型 介绍 版本 支持云服务数 支持资源数 terraform-provider-huaweicloud 用户可以用华为云的provider与华为云上的各种资源进行交互。provider在使用前，需要配置相应的权限。 1.64.4 95 603 1.61.1 94 525 1.59.1 92 474 1.58.0 92 461 1.57.0 91 426 1.56.0 91 413 1.54.1 88 388 1.52.0 87 367 1.50.0 86 350 1.49.0 83 346 1.48.0 82 324 1.47.1 82 296 1.46.0 83 282 1.44.1 80 270 1.43.0 71 252 1.42.0 68 236 1.41.0 63 225 1.40.2 63 225 1.40.1 63 225 1.40.0 63 225 1.39.0 63 221 1.38.2 33 117 1.38.1 33 117 父主题： 资源编排

产品优势 声明性：用户仅需直观描述所需资源的最终状态，屏蔽复杂的申请过程，降低资源管理的复杂度。 幂等：资源描述代码多次调用效果幂等，可确保不重复申请资源。 安全可靠：可视化的审计、安全、和合规控制策略，杜绝资源变更操作带来的安全风险。 生态丰富：南向生态支持华为云主流服务（90+云服务、540+资源对象，详情参见：资源支持清单），开箱即用；北向完全兼容HCL语法，无学习成本。 简单易用：向导式操作配合完善的资料、样例辅助体系，五步即可完成资源管理操作。 服务全托管全云化：用户不需要安装任何软件、不需要准备执行机、不需要管理底层文件和数据就可以完成资源的自动化管理。 自动回滚：资源部署失败自动将所有资源状态返回上一个成功部署的状态。 父主题： 资源编排

审计与日志 审计 云审计服务（Cloud Trace Service，CTS），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 RFS支持审计的操作事件，请参见云审计服务支持的RFS操作列表。 日志 用户开通云审计服务并创建和配置追踪器后，CTS可记录与RFS相关的操作事件，方便您进行事后审计。您可以在CTS控制台，事件列表菜单中，搜索RFS的事件来源，即可查看所有RFS相关的审计日志。 审计日志查看方法，请参见查看云审计日志。 父主题： 安全

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的云安全挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 各类各项云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。 华为云租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类各项云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统，虚拟防火墙、API 网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题： 安全