华为云用户手册

自动化运维 在使用自动化运维时，您需注意以下使用限制，详见表1。 表1 自动化运维使用限制 对象 使用限制 任务 单个操作E CS 的任务最多支持选择100个实例。 单个操作RDS的任务最多支持选择20个实例。 单个操作CCE负载的任务最多支持选择10个实例。 作业 单用户支持最多可以创建1000个作业。 每个作业最多支持创建20个全局参数、20个作业步骤、50个执行方案。 脚本 单用户支持最多创建脚本版本合计1000个。 文件包 单用户支持最多创建文件包版本合计1000个。 OS账号 单用户支持最多创建100个账号。 磁盘空间 支持清理1-1000天前的文件。 定时运维 定时运维任务单用户最大配额100个。 父主题： 约束与限制

自动化运维 表1 自动化运维基本概念 术语 说明 脚本管理 支持Shell、Python、Bat、Powershell脚本语言以及单个脚本的多版本管理。 作业管理 将脚本和文件原子操作进行多步骤编排形成作业模板，用于完成特定运维自动化场景操作。例如初始化业务环境。 执行方案 从作业模板中挑选1个或多个步骤组合组成执行方案。是作业模板的实例化对象。 云服务场景 云服务提供的原子化的变更场景。例如重启ECS。 标准化运维 将脚本、文件管理、执行方案、云服务场景组合合成一套操作流程，用于标准化特定场景的运维场景变更。 服务场景 将作业、标准化运维发布成服务，用户无需感知底层操作逻辑，仅输入简单的信息即可自助完成特定运维场景。 参数库 在作业、标准化运维中定义的全局共享参数，支持字符串，主机列表类型。除了达到多步骤参数共享目的，可清晰的看到整个流程涉及的全部参数和用途。 OS账号 用于执行脚本和文件管理的操作系统账户。 工具市场 服务默认提供的按照场景分类展现各功能的工具卡片，用户可根据需要控制场景从服务市场中上下架和基于安全考虑配置任务的审批流程。 父主题： 基本概念

方式一 登录 AOM 华为云官网。 在AOM产品简介下方单击“AOM2.0”，即可进入AOM 2.0服务页面。 图1 登录AOM官网 在弹出的“通知”对话框中仔细阅读从AOM 1.0切换到AOM 2.0计费方式变化的说明。 单击“授权”，然后在“云服务授权”页面中仔细阅读授权声明后，勾选“我已阅读并同意授权声明”。 单击“免费开通服务并授权”，即可免费开通AOM 2.0服务。 在页面上方的菜单栏单击任意一个服务名称，如“应用资源管理”，可进入该服务的操作界面。

使用示例 package org.example; import java.sql.DriverManager; import java.sql.SQLException; import java.sql.Connection; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.util.Properties; public class App { static String ip = "${ip}"; static int port = 80; static String projectId = "${projectId}"; static String graphName = "${graphName}"; static String token = "${x_auth_token}"; public static void main(String[] args) throws ClassNotFoundException, IllegalAccessException, InstantiationException { Class.forName("com.huawei.ges.jdbc.Driver").newInstance(); String url = "jdbc:ges:http://{{graph_ip}}:{{graph_port}}/ges/v1.0/{{project_id}}/graphs/{{graph_name}}/action?action_id=execute-cypher-query"; url = url.replace("{{graph_ip}}", ip).replace("{{graph_port}}",port + "").replace("{{project_id}}", projectId).replace("{{graph_name}}", graphName); Properties prop = new Properties(); prop.setProperty("X-Auth-Token", token); prop.setProperty("deserializer-type","lazy"); prop.setProperty("parse-json","true"); prop.setProperty("limit","10000"); try(Connection conn = DriverManager.getConnection(url,prop)){ String query = "match (m) return m limit 1000"; try(PreparedStatement stmt = conn.prepareStatement(query)){ try(ResultSet rs = stmt.executeQuery()){ Object o = null; while(rs.next()) { o = rs.getObject("m"); processVertex(o); } } } } catch (SQLException e) { // here process exception. // ... } } }

背景介绍 Etag 是URL的Entity Tag，用于标示URL对象是否改变。 域名接入 CDN加速 后，客户端首次访问时CDN节点会回源请求数据返回给用户，同时将资源缓存到CDN节点。在设置的缓存过期时间内，当用户再次请求资源时，CDN会将节点缓存的资源返回给客户端，不需要回源。当CDN节点缓存的资源过期后： 开启“回源是否校验ETag”：客户端再次请求该资源时，CDN会校验ETag值。如果ETag、Last-Modified和Content-Length值都没有变化，CDN将继续返回给用户节点缓存的资源，无需回源，降低回源率，减轻源站压力；如果ETag、Last-Modified和Content-Length其中一个值改变，CDN节点都会回源。 未开启“回源是否校验ETag”：客户端再次请求该资源时，CDN不会校验ETag值。如果Last-Modified和Content-Length的值都没有变化，CDN将继续返回给用户节点缓存的资源；如果Last-Modified和Content-Length其中一个值改变，CDN节点都会回源。

Root CA机构颁发的证书 Root CA机构颁发的证书是一份完整的证书，配置HTTPS时，仅上传该证书即可。 通过记事本打开*.PEM格式的证书文件，可以查看到类似图1所示的全部证书信息。 PEM格式证书： 以证书链“-----BEGIN CERTIFICATE-----”开头，以证书链“-----END CERTIFICATE-----”结尾。 证书链之间的内容，要求每行64个字符，最后一行允许不足64个字符。 证书内容不包含空格。

中级机构颁发的证书 中级机构颁发的证书文件包含多份证书，配置HTTPS时，需要将所有证书拼接在一起组成一份完整的证书后再上传。拼接后的证书类似图2。 通过记事本打开所有*.PEM格式的证书文件，将服务器证书放在首位，再放置中间证书。一般情况下，机构在颁发证书的时候会有对应说明，请注意查阅相关规则。通用的规则如下： 证书之间没有空行。 证书链的格式如下： -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- -----END CERTIFICATE-----

RSA私钥格式要求 PEM格式的文件可以存放证书或私钥，如果*.PEM只包含私钥，一般用*.KEY代替。 通过记事本打开*.PEM或*.KEY的私钥文件，可以查看到类似图3所示的全部私钥信息。 RSA格式私钥： 以证书链“-----BEGIN RSA PRIVATE KEY-----”开头，以证书链“-----END RSA PRIVATE KEY-----”结尾。 证书链之间的内容，要求每行64个字符，最后一行允许不足64个字符。 证书内容不包含空格。

使用OBS桶作为源站且已购买OBS回源流量包，但CDN产生的回源流量未从OBS回源流量包中扣除 请您参照以下步骤排查问题： 请检查购买的OBS回源流量包和接入CDN作源站的OBS桶是否在同一区域，跨区购买将导致无法抵扣，请重新购买CDN回源流量包。 登录CDN控制台，在“域名管理”中查看CDN加速域名配置，请确认您是以“OBS桶域名”的形式接入CDN，如果以“源站域名”方式接入CDN，无法使用OBS回源流量包。如果您不是以“OBS桶域名”的形式接入CDN，请修改源站信息，如图所示。 请确认您的OBS桶版本为3.0及以上，如果不是，将无法享受OBS针对CDN回源流量的特殊计费和流量包优惠，将按照公网流出费用进行结算。 父主题： 购买计费

访问CDN加速后的资源，返回状态码304 返回304状态码代表CDN已缓存这个资源，且缓存期间该资源没有被修改，是正常的。 客户端第一次访问CDN加速的资源时，CDN将资源返回给用户，状态码为200，同时会标记该资源的修改时间，用ETag来记录。当同一客户端再次请求该资源时，会根据ETag来判断内容是否修改，如果没有修改，就会返回304状态码，客户端直接加载缓存内容，如果资源已经被修改，就会重新标记修改时间，CDN将最新资源返回给客户端。详细过程如下： 客户端首次访问1.jpg，CDN将该图片返回给客户端，此时状态码为200，且Response Header响应包里会包含Last-Modified（最近修改时间）和ETag。 客户端再次访问1.jpg时，请求头会携带Last-Modified和ETag值，服务器根据这两个值来判断图片是否修改，如果图片已被修改，CDN将最新图片返回给客户端，返回200。如果图片未修改，客户端直接加载缓存内容，如下图。 可以使用“Ctrl+F5”清除客户端缓存，再次访问时状态码会是200。 父主题： 故障相关

开通了“企业项目”后，子账号调用接口时报错“无法获取domain id” 主账号开通企业项目，且仅给子账号授权某个企业项目的权限，此时子账号无法自动获取主账号的“domainId”，调用接口时会报错。报错提示如下： 或 解决方案：登录主账号获取账号的“domainId”，在调用接口时带上此参数，见下图。 图中示例来自华为云接口调试工具 API Explorer ，我们建议您使用此工具来调试API接口。 父主题： 使用咨询

为什么OBS桶接入CDN后，访问域名会列出所有文件列表？ 如果用户对OBS桶有读权限，就可以读取桶内对象列表。当用户请求的是CDN加速域名的时候，OBS就默认返回桶内对象列表。您可以选择以下几种方式解决： 如果您使用的是OBS公有桶，请参考以下操作步骤解决该问题： 在OBS处开启静态网站托管，操作步骤请参考配置静态网站托管。 同时在CDN域名的源站配置页面勾选“静态网站托管”。 在CDN控制台域名管理页面，单击需要配置的域名。 在“基本配置”页签下“源站配置”处单击“编辑”。 勾选“静态网站托管”，完成配置。如图所示。 配置“静态网站托管”后，可能会因为节点缓存导致请求依然会列出桶内对象列表，此时需要刷新首页URL，请注意： 建议采用“URL刷新”刷新首页URL。 谨慎使用“目录刷新”，“目录刷新”会刷新目录下所有资源，造成所有请求回源，增加源站负担。 如果您使用的是OBS私有桶，请参考通过CDN加速OBS 视频点播 文档中实施步骤的第6步处理。 如果您使用的是OBS私有桶，您还可以通过给“CDNAccessPrivateOBS”委托创建一条拒绝列举桶内对象的策略，达到不会列出桶文件列表的目的，步骤如下： 前往 IAM 控制台，在左侧菜单栏选择“委托”，在“CDNAccessPrivateOBS”的“操作”列，单击“授权”。 在授权页面单击“新建策略”，配置如下参数： 表1 参数说明 参数 说明 策略名称 输入自定义的桶策略名称，例如：deny ListBucket。 策略配置方式 可视化视图。 策略内容 效力 拒绝。 云服务 对象存储服务 （OBS）。 操作项 在列表一栏勾选“obs:bucket:ListBucket”。 资源 所有资源 请求条件 - 单击“下一步”，进入选择策略页面。 勾选刚创建的策略，此处示例为“deny ListBucket”，单击“下一步”，进入设置最小授权范围界面。 单击“确定”，完成授权，授权后15~20分钟生效。 授权生效后，请刷新CDN缓存后重试。 父主题： 故障相关

缓存配置为什么没有生效？ 如果您配置了缓存规则，在使用过程中发现此缓存规则未生效，可能是以下原因： 缓存规则配置生效大约需要5分钟时间，请您在规则生效后再验证。 您修改了缓存规则： 新的规则仅对后面缓存的资源生效，已经缓存的资源需要等缓存过期后，再次缓存才会遵循新的缓存规则。 如果您想要立即生效，请在修改缓存规则后执行缓存刷新操作。 缓存规则有优先级（数值越大优先级越高），优先级较高的会优先匹配，请检查您的缓存规则优先级。 配置示例：某客户为域名www.example.com配置了文件名后缀为.jpg的规则，希望缓存过期时间为1天，优先级为2。 配置结果：当用户访问www.example.com/test/cdn.jpg文件时，有两条规则包含了此文件：文件名后缀、全路径，但是由于全路径的优先级为8，优先级较高，所以系统最终匹配全路径/test/*.jpg这条规则，缓存时间为3天。 调整方法：如果想要.jpg这条文件名后缀的规则优先生效，需要将优先级调整为大于8的数值。 父主题： 缓存配置

CDN共同成本拆分示例 示例1：以CDN月结95峰值带宽计费为例，假设客户有三个域名，每个域名按照月结95峰值带宽计费计算出来的带宽分别为带宽1，带宽2，带宽3，则域名1的摊销成本=带宽1/（带宽1+带宽2+带宽3）*CDN月结费用。 示例2：以CDN流量计费为例，假设客户有三个域名，每个域名按照流量计费计算出来的某日流量分别为流量1，流量2，流量3，则域名1当天的摊销成本=流量1/（流量1+流量2+流量3）*CDN当天的流量费用。 示例3：2023.04.09，客户对CDN资源的标签值从N修改为M，2023.05.04日对上个账期的成本数据进行分拆时，2023.04的摊销成本仍旧全部归到标签M中。

计费场景 某用户于2023/01/10开通了CDN服务，基础计费方式为流量计费并添加了三个加速域名，加速域名详情如下： 域名 业务类型 服务范围 域名A 全站加速 全球 域名B 文件下载加速 中国大陆 域名C 点播加速 中国大陆境外 该用户用了一段时间CDN后，发现购买流量包抵扣会更划算，于是在2023/04/05日上午09：00（北京时间）购买了两个流量包，流量包规格如下： 流量包1：中国大陆流量包，流量500GB，有效期1个月。 流量包2：中国大陆境外流量包，流量1TB，有效期1年。 该用户在4~5月份使用的流量及请求数如下： 域名 4月5日05:00之前用量 4月5日05:00之后用量 5月用量 域名A 中国大陆流量：40GB。 中国大陆境外流量：20GB。 中国大陆请求次数：4万次。 中国大陆境外请求次数：3万次。 中国大陆流量：320GB。 中国大陆境外流量：180GB。 中国大陆请求次数：16万次。 中国大陆境外请求次数：13万次。 中国大陆流量：400GB。 中国大陆境外流量：200GB。 中国大陆请求次数：20万次。 中国大陆境外请求次数：15万次。 域名B 中国大陆流量：40GB。 中国大陆流量：200GB。 中国大陆流量：230GB。 域名C 中国大陆境外流量：50GB。 中国大陆境外流量：210GB。 中国大陆境外流量：260GB。 那么2023/04~2023/05两个月的费用如何支付呢？

计费构成分析 根据CDN流量计费扣费规则，当前时间产生的流量会在4小时后出账，如果购买流量包，流量包立即生效，在流量包购买之后出账的流量均可使用流量包抵扣，因此： 该用户2023/04/05日05:00之前产生的流量需扣余额，2023/04/05日05:00之后产生的流量可用流量包抵扣。 全站加速请求数费用需从账户余额扣除。 假设中国大陆流量费用单价为0.2元/GB，中国大陆境外为0.79元/GB，全站加速请求数0.15元/万次，那么该用户4~5月所需要支付的费用计算如下： 以上价格仅供参考，实际价格及结算金额后小数点保留位数规则请以价格详情为准。

请求消息体（可选） 该部分可选。请求消息体通常以结构化格式（如JSON或XML）发出，与请求消息头中Content-Type对应，传递除请求消息头之外的内容。若请求消息体中的参数支持中文，则中文字符必须为UTF-8编码。 每个接口的请求消息体内容不同，也并不是每个接口都需要有请求消息体（或者说消息体为空），GET、DELETE操作类型的接口就不需要消息体，消息体具体内容需要根据具体接口而定。 对于获取用户Token接口，您可以从接口的请求部分看到所需的请求参数及参数说明。将消息体加入后的请求如下所示，加粗的斜体字段需要根据实际值填写，其中username为用户名，domainname为用户所属的账号名称，********为用户登录密码，xxxxxxxxxxxxxxxxxx为project的名称，如“cn-north-1”，您可以从地区和终端节点获取。 scope参数定义了Token的作用域，下面示例中获取的Token仅能访问project下的资源。您还可以设置Token的作用域为某个账号下所有资源或账号的某个project下的资源，详细定义请参见获取用户Token。 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 POST https://iam.cn-north-1.myhuaweicloud.com/v3/auth/tokens Content-Type: application/json { "auth": { "identity": { "methods": [ "password" ], "password": { "user": { "name": "username", "password": "********", "domain": { "name": "domainname" } } } }, "scope": { "project": { "name": "xxxxxxxxxxxxxxxxxx" } } } } 到这里为止这个请求需要的内容就具备齐全了，您可以使用curl、Postman或直接编写代码等方式发送请求调用API。对于获取用户Token接口，返回的响应消息头中的“x-subject-token”就是需要获取的用户Token。有了Token之后，您就可以使用Token认证调用其他API。

请求方法 HTTP请求方法（也称为操作或动词），它告诉服务您正在请求什么类型的操作。 表2 HTTP方法 方法 说明 GET 请求服务器返回指定资源。 PUT 请求服务器更新指定资源。 POST 请求服务器新增资源或执行特殊操作。 DELETE 请求服务器删除指定资源，如删除对象等。 HEAD 请求服务器资源头部。 PATCH 请求服务器更新资源的部分内容。 当资源不存在的时候，PATCH可能会去创建一个新的资源。 在获取用户Token的URI部分，您可以看到其请求方法为“POST”，则其请求为： 1 POST https://iam.cn-north-1.myhuaweicloud.com/v3/auth/tokens

请求消息头 附加请求头字段，如指定的URI和HTTP方法所要求的字段。例如定义消息体类型的请求头“Content-Type”，请求鉴权信息等。 详细的公共请求消息头字段请参见表3。 表3 公共请求消息头 名称 描述 是否必选 示例 Host 请求的服务器信息，从服务API的URL中获取。值为hostname[:port]。端口缺省时使用默认的端口，https的默认端口为443。 否 使用AK/SK认证时该字段必选。 code.test.com or code.test.com:443 Content-Type 消息体的类型（格式）。推荐用户使用默认值application/json，有其他取值时会在具体接口中专门说明。 是 application/json Content-Length 请求body长度，单位为Byte。 否 3495 X-Project-Id project id，项目编号。请参考获取项目ID章节获取项目编号。 否 如果是专属云场景采用AK/SK认证方式的接口请求，或者多project场景采用AK/SK认证的接口请求，则该字段必选。 e9993fc787d94b6c886cbaa340f9c0f4 X-Auth-Token 用户Token。 用户Token也就是调用获取用户Token接口的响应值，该接口是唯一不需要认证的接口。 请求响应成功后在响应消息头（Headers）中包含的“X-Subject-Token”的值即为Token值。 否 使用Token认证时该字段必选。 注：以下仅为Token示例片段。 MIIPAgYJKoZIhvcNAQcCo...ggg1BBIINPXsidG9rZ API同时支持使用AK/SK认证，AK/SK认证使用SDK对请求进行签名，签名过程会自动往请求中添加Authorization（签名认证信息）和X-Sdk-Date（请求发送的时间）请求头。 AK/SK认证的详细说明请参见认证鉴权的“AK/SK认证”。 对于获取用户Token接口，由于不需要认证，所以只添加“Content-Type”即可，添加消息头后的请求如下所示。 1 2 POST https://iam.cn-north-1.myhuaweicloud.com/v3/auth/tokens Content-Type: application/json

请求URI 请求URI由如下部分组成： {URI-scheme}://{Endpoint}/{resource-path}?{query-string} 尽管请求URI包含在请求消息头中，但大多数语言或框架都要求您从请求消息中单独传递它，所以在此单独强调。 表1 URI中的参数说明 参数 描述 URI-scheme 表示用于传输请求的协议，当前所有API均采用HTTPS协议。 Endpoint 指定承载REST服务端点的服务器域名或IP，不同服务不同区域的Endpoint不同，您可以从地区和终端节点获取。 例如IAM服务在“华北-北京四”区域的Endpoint为“iam.cn-north-4.myhuaweicloud.com”。 resource-path 资源路径，即API访问路径。从具体API的URI模块获取，例如“获取用户Token”API的resource-path为“/v3/auth/tokens”。 query-string 查询参数，是可选部分，并不是每个API都有查询参数。查询参数前面需要带一个“?”，形式为“参数名=参数取值”，例如“?limit=10”，表示查询不超过10条数据。 例如您需要获取IAM在“华北-北京四”区域的Token，则需使用“华北-北京四”区域的Endpoint（iam.cn-north-4.myhuaweicloud.com），并在获取用户Token的URI部分找到resource-path（/v3/auth/tokens），拼接起来如下所示。 1 https://iam.cn-north-4.myhuaweicloud.com/v3/auth/tokens 图1 URI示意图 为方便查看，在每个具体API的URI部分，只给出resource-path部分，并将请求方法写在一起。这是因为URI-scheme都是HTTPS，而Endpoint在同一个区域也相同，所以简洁起见将这两部分省略。

Token认证 Token的有效期为24小时，需要使用一个Token鉴权时，可以先缓存起来，避免频繁调用。 Token在计算机系统中代表令牌（临时）的意思，拥有Token就代表拥有某种权限。Token认证就是在调用API的时候将Token加到请求消息头中，从而通过身份认证，获得操作API的权限。Token可通过调用获取用户Token接口获取。 云服务存在两种部署方式：项目级服务和全局级服务。 项目级服务需要获取项目级别的Token，此时请求body中auth.scope的取值为project。 全局级服务需要获取全局级别的Token，此时请求body中auth.scope的取值为domain。 调用本服务API需要全局级别的Token，即调用获取用户Token接口时，请求body中auth.scope的取值需要选择domain，如下所示。 { "auth": { "identity": { "methods": [ "password" ], "password": { "user": { "name": "username", //IAM用户名 "password": "********", //IAM用户密码 "domain": { "name": "domainname" //IAM用户所属帐号名 } } } }, "scope": { "domain": { "name": "xxxxxxxx" //项目名称 } } } } 获取Token 后，再调用其他接口时，您需要在请求消息头中添加“X-Auth-Token”，其值即为Token。例如Token值为“ABCDEFJ....”，则调用接口时将“X-Auth-Token: ABCDEFJ....”加到请求消息头即可，如下所示。 1 2 3 POST https://iam.cn-north-1.myhuaweicloud.com/v3/auth/projects Content-Type: application/json X-Auth-Token: ABCDEFJ.... 您还可以通过这个视频教程了解如何使用Token认证：https://bbs.huaweicloud.com/videos/101333。

AK/SK认证 AK/SK签名认证方式仅支持消息体大小在12MB以内，12MB以上的请求请使用Token认证。 AK/SK认证就是使用AK/SK对请求进行签名，在请求时将签名信息添加到消息头，从而通过身份认证。 AK（Access Key ID）：访问密钥ID。与私有访问密钥关联的唯一标识符；访问密钥ID和私有访问密钥一起使用，对请求进行加密签名。 SK（Secret Access Key）：私有访问密钥。与访问密钥ID结合使用，对请求进行加密签名，可标识发送方，并防止请求被修改。 使用AK/SK认证时，您可以基于签名算法使用AK/SK对请求进行签名，也可以使用专门的签名SDK对请求进行签名。详细的签名方法和SDK使用方法请参见API签名指南。 签名SDK只提供签名功能，与服务提供的SDK不同，使用时请注意。

基本概念 账号 用户注册时的账号，账号对其所拥有的资源及云服务具有完全的访问权限，可以重置用户密码、分配用户权限等。由于账号是付费主体，为了确保账号安全，建议您不要直接使用账号进行日常管理工作，而是创建用户并使用用户进行日常管理工作。 用户 由账号在IAM中创建的用户，是云服务的使用人员，具有身份凭证（密码和访问密钥）。 在我的凭证下，您可以查看账号ID和IAM用户ID。通常在调用API的鉴权过程中，您需要用到账号、用户和密码等信息。 区域（Region） 从地理位置和网络时延维度划分，同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region，通用Region指面向公共租户提供通用云服务的Region；专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region。 详情请参见区域和可用区。 可用区（AZ，Availability Zone） 一个可用区是一个或多个物理数据中心的集合，有独立的风火水电，AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连，以满足用户跨AZ构建高可用性系统的需求。 项目 区域默认对应一个项目，这个项目由系统预置，用来隔离物理区域间的资源（计算资源、存储资源和网络资源），以默认项目为单位进行授权，用户可以访问您账号中该区域的所有资源。如果您希望进行更加精细的权限控制，可以在区域默认的项目中创建子项目，并在子项目中创建资源，然后以子项目为单位进行授权，使得用户仅能访问特定子项目中的资源，使得资源的权限控制更加精确。 图1 项目隔离模型 同样在我的凭证下，您可以查看项目ID。 企业项目 企业项目是项目的升级版，针对企业不同项目间的资源进行分组和管理，是逻辑隔离。企业项目中可以包含多个区域的资源，且项目中的资源可以迁入迁出。 关于企业项目ID的获取及企业项目特性的详细信息，请参见《企业管理用户指南》。 父主题： 使用前必读

Terraform的优势 基础设施即代码 基础设施可以使用高级配置语法进行描述，使得基础设施能够被代码化和版本化，从而可以进行共享和重复使用。 执行计划 Terraform有一个 "计划 "步骤，在这个步骤中，它会生成一个执行计划。执行计划显示了当你调用apply时，Terraform会做什么，这让你在Terraform操作基础设施时避免任何意外。 资源图 Terraform建立了一个所有资源的图，并行创建和修改任何非依赖性资源。从而使得Terraform可以尽可能高效地构建基础设施，操作人员可以深入了解基础设施中的依赖性。 变更自动化 复杂的变更集可以应用于您的基础设施，而只需最少的人工干预。有了前面提到的执行计划和资源图，您就可以准确地知道Terraform将改变什么，以及改变的顺序，从而避免了许多可能的人为错误。

欠费后，数据会被删除吗 当用户账号产生欠费后，用户需在约定时间内支付欠款，以防止账号冻结、相关服务资源停止或者释放对自身业务产生影响，具体操作请参见欠费还款。 欠费后，如果没有及时充值，将进入宽限期。如宽限期满仍未充值，将进入保留期。在保留期内资源将停止服务。保留期满仍未充值，存储在云服务中的数据将被删除，云服务资源将被释放。详细说明请参见资源停止服务或逾期释放说明。宽限期与保留期的具体规则请参见宽限期保留期。 父主题： 计费相关

漏洞影响 由于kube-apiserver中在升级请求的代理后端中允许将请求传播回源客户端，攻击者可以通过截取某些发送至节点kubelet的升级请求，通过请求中原有的访问凭据转发请求至其他目标节点，从而造成被攻击节点的权限提升漏洞。该漏洞为中危漏洞，CVSS评分为6.4。 如果有多个集群共享使用了相同的CA和认证凭证，攻击者可以利用此漏洞攻击其他集群，这种情况下该漏洞为高危漏洞。 对于此次漏洞的跨集群攻击场景，CCE集群使用了独立签发的CA，同时不同集群间认证凭据完全隔离，跨集群场景不受影响。 从v1.6.0之后到下列修复版本的所有kube-apiserver组件均包含漏洞代码： kube-apiserver v1.18.6 kube-apiserver v1.17.9 kube-apiserver v1.16.13 下列应用场景在此次漏洞的影响范围内： 如果集群运行业务中存在多租户场景，且以节点作为不同租户间隔离的安全边界。 不同集群间共享使用了相同的集群CA和认证凭据。

漏洞详情 Kubernetes社区发现Kubernetes Dashboard安全漏洞CVE-2018-18264：使用Kubernetes Dashboard v1.10及以前的版本有跳过用户身份认证，及使用Dashboard登录账号读取集群密钥信息的风险 。 华为云CCE提供的Dashboard插件已将对应镜像升级到v1.10.1版本，不受Kubernetes Dashboard漏洞CVE-2018-18264影响。 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 华为云修复时间 Access Validation Error CVE-2018-18264 高 2019-01-03 2019-01-05 安全漏洞CVE-2018-18264的详细信息，请参考： https://github.com/kubernetes/dashboard/pull/3289 https://github.com/kubernetes/dashboard/pull/3400 https://github.com/kubernetes/dashboard/releases/tag/v1.10.1

1.19版本集群停止维护公告 发布时间：2023/07/07 华为云CCE集群1.19版本即将于2023/09/30 00:00（北京时间）正式停止维护，届时针对CCE集群1.19以及之前的版本，华为云将不再支持新集群创建。若您账号下存在1.19及之前的集群版本，为了保证您的服务权益，建议尽快升级到最新的商用版本。关于如何升级集群，请参见CCE集群升级指导。关于CCE集群的版本机制，请参见Kubernetes版本策略。

Kubernetes 1.9的集群版本升级公告 发布时间：2020/12/07 根据CCE发布的Kubernetes版本策略中的版本策略，CCE将在近期停止Kubernetes 1.9的集群版本的维护，为了能够更好地方便您使用云容器引擎服务，确保您使用稳定又可靠的Kubernetes版本，如果您仍在使用1.9.7或1.9.10版本集群，请尽快升级到较新版本集群，CCE预计将在2021年4月30日后关闭对应升级通道，请您务必在此之前升级您的Kubernetes集群。 升级方法请参见集群版本升级说明。

响应参数 状态码： 400 表3 响应Body参数 参数 参数类型 描述 error_msg String 错误信息。 最大长度：1024 error_code String 错误码。 最大长度：9 error_ext_msg String 扩展错误信息（暂未使用，赋值为null）。 最大长度：1024 状态码： 401 表4 响应Body参数 参数 参数类型 描述 error_msg String 错误信息。 最大长度：1024 error_code String 错误码。 最大长度：9 error_ext_msg String 扩展错误信息（暂未使用，赋值为null）。 最大长度：1024 状态码： 403 表5 响应Body参数 参数 参数类型 描述 error_msg String 错误信息。 最大长度：1024 error_code String 错误码。 最大长度：9 error_ext_msg String 扩展错误信息（暂未使用，赋值为null）。 最大长度：1024 状态码： 404 表6 响应Body参数 参数 参数类型 描述 error_msg String 错误信息。 最大长度：1024 error_code String 错误码。 最大长度：9 error_ext_msg String 扩展错误信息（暂未使用，赋值为null）。 最大长度：1024 状态码： 500 表7 响应Body参数 参数 参数类型 描述 error_msg String 错误信息。 最大长度：1024 error_code String 错误码。 最大长度：9 error_ext_msg String 扩展错误信息（暂未使用，赋值为null）。 最大长度：1024