华为云用户手册

支持细粒度授权，让用户集中、安全以及高效地分配每个帐号资源的访问权限 大型企业在云上一般有多个帐号，各个帐号承载业务不同，登录的企业员工的职责也不同。需要针对不同帐号配置不同员工的细粒度访问权限，确保企业的资源访问安全合规。 集中管理用户对多个帐号资源的访问权限 允许管理员使用不超过20个 IAM 权限策略创建权限集，以及为帐号授权。 每个帐号可以设置允许访问的用户和对应的权限集。 IAM身份中心会自动将帐号的权限信息同步到IAM，无需管理员在单个帐号中重复授权。 基于属性的访问控制机制： 允许管理员利用IAM所支持的身份属性、请求上下文属性和资源属性创建权限集。包括用户和资源的组织、标签、请求时间/源地址等全局级属性20+及其他云服务级属性。 允许管理员利用身份提供商定义的业务标签创建权限集。业务标签会在联邦登录过程中被自动转换为IAM的身份标签属性，用于控制访问权限。 管理员只需一次性为所有用户定义权限，后续更改属性即可自动授予、撤销或修改访问权限。

更多操作 在权限管理页面，还可执行表1所示的操作。 表1 更多操作 操作 步骤 延期权限 在左侧导航栏选择“我的权限”。 在“我的权限”页面的权限列表中，勾选需要延期的权限，单击“延期权限”。 在“已选中权限”区域修改有效期时间（权限最长有效期为360天），并填写审批人；在“申请信息”区域填写申请原因。 单击“提交”。 取消权限 在“我的权限”页面的权限列表中，勾选需要取消的权限，单击“取消权限”。 在“权限取消”对话框中，单击“确定”。 查看我的申请 在左侧导航栏选择“我的申请”，可查看我已申请的单号状态（分为审批中、通过或驳回三种状态）。 （可选）在“操作”列可单击“撤回”撤回自己的权限申请。 查看我的权限变更记录 在左侧导航栏选择“我的权限变更记录”。 选择起始时间和结束时间，单击“查询”，可查看到自己在不同租户部门、产品、服务的岗位/角色的变更类型和变更日期。

执行计划 切换至“执行计划”页面，根据需要为流水线配置事件触发和定时任务两种自动触发执行策略。其中事件触发包括代码提交时触发、合并请求时触发、创建标签时触发。码云代码仓还支持Pull Request、新建issue、评论issue等其他事件。 代码提交时触发（代码托管/码云） 监控代码提交触发事件，可以组合分支和具体路径的包含/排除范围，当在关联的代码仓库中有代码提交且所在的分支和变更文件的路径满足包含/排除策略，会自动触发关联流水线执行。 分支包含：提交代码的目标分支在包含分支中，则匹配成功。 分支排除：提交代码的目标分支在排除分支中，则匹配失败。 路径包含：变更文件有任意一个（若配置了路径排除，则必须为排除范围外的变更文件）在包含范围内，则匹配成功。 路径排除：变更文件全部在排除范围内，则匹配失败。 合并请求时触发（代码托管/码云） 启用合并请求事件触发：监控合并请求触发事件，可以组合分支和具体路径的包含/排除范围，对新建、更新、合并和重新打开事件设置触发策略，当在关联的代码仓库侧触发合并请求事件且分支在监控范围时，会自动触发关联流水线执行。 分支包含：合并请求的目标分支在包含分支中，则匹配成功。 分支排除：合并请求的目标分支在排除分支中，则匹配失败。 路径包含：变更文件有任意一个（若配置了路径排除，则必须为排除范围外的变更文件）在包含范围内，则匹配成功。 路径排除：变更文件全部在排除范围内，则匹配失败。 创建标签时触发（代码托管） 监控创建标签触发事件，可以添加标签包含/排除范围，当在关联的代码仓库创建标签且满足标签包含/排除策略，会自动触发关联流水线执行。 标签包含：在代码仓库创建的标签在包含标签中，则匹配成功。 标签排除：在代码仓库创建的标签在排除标签中，则匹配失败。 其他事件（码云） 评论Pull Request：评论Pull Request时触发流水线执行。 新建issue：新建issue时触发流水线运行。 评论issue：评论issue时触发流水线运行。 除了上述事件外，码云代码仓还支持开启事件触发成功后自动评论。 先匹配分支，再匹配路径（如果有配置），都匹配成功，则触发流水线。 分支排除优先于分支包含，即目标分支同时在包含和排除中时，匹配失败。 路径排除优先于路径包含，即先匹配排除的路径，如果变更文件没有全部在排除范围内，则继续匹配包含的路径。若未配置包含路径，则匹配成功；若配置了包含路径，并且变更文件在路径排除范围外有任意一个在包含范围内，则匹配成功。 标签排除优先于标签包含，即标签同时在包含和排除中时，则匹配失败。 定时执行 单击定时任务旁的，增加一个定时任务，打开“启用定时执行”开关（默认开启），然后设置执行日和执行时间，单击“确定”，保存流水线后即可生效，满足条件即可自动触发流水线执行。 最多可以设置10个定时任务。

权限管理 切换至“权限管理”页面，根据需要为流水线配置权限，包括角色权限配置和人员权限配置。 角色权限在未做更改时，角色权限和项目设置中的角色权限保持一致。 项目创建者和流水线创建者权限不能更改。 人员权限优先于角色权限。 默认情况下，用户配置角色权限后会自动同步人员权限，如果配置了人员权限，则该人员权限会覆盖该人员对应的角色权限。 角色权限配置 通过勾选/取消勾选，可以控制角色权限，即指定角色对当前流水线的查看、执行、编辑、删除操作权限。 人员权限配置 通过勾选/取消勾选，可以单独为某个人员设置权限，指定其对当前流水线的执行、编辑、删除操作权限。 “查看”权限提供查看流水线运行详情页面的权利。 “编辑”权限提供编排流水线任务的权利。

任务编排 在“任务编排”页面，可以配置流水线源、配置阶段、配置任务、配置准出条件等。 配置流水线源 单击流水线源阶段下仓库所在区域，弹出“编辑流水线源”侧滑框，可以修改流水线源信息。 配置阶段 在“任务编排”页面，单击或者，可以为流水线添加新的阶段，添加完阶段后，可根据实际需要编辑、删除、复制、移动阶段等。 表1 配置阶段 操作项 说明 编辑阶段 单击，弹出“编辑阶段”侧滑框，可以配置阶段名称和阶段是否总是运行。 说明： 总是运行：选择“是”，表示流水线执行时，该阶段下的任务默认选中必须执行且不可取消；选择“否”，表示流水线执行时，该阶段下的任务默认选中但可以取消。 删除阶段 单击，根据删除提示确认是否删除阶段。 复制阶段 单击，可以复制流水线阶段。 排序阶段 单击不松开，可以移动阶段调整阶段顺序。 阶段准入 单击，弹出“设置”侧滑框，可以配置阶段准入类型（自动或手动）。 自动：默认执行方式，流水线执行时自动进入该阶段继续运行。 手动：流水线执行时需手动确认后才能进入该阶段继续运行。 配置任务 阶段添加后，可以为各阶段添加任务。任务添加后，请根据实际需要编辑、复制、删除、移动任务等。 表2 配置任务 操作项 说明 添加任务 单击，可以在空阶段中添加一个任务。 单击任务下方的，可以添加一个和该任务串行编排的任务。 单击，可以添加一个和已有任务并行编排的任务。 说明： 任务串行执行：按顺序执行，如：构建任务和部署任务应该按顺序先后执行。 任务并行执行：同时执行，如：代码检查任务和构建任务可以同时执行。 编辑任务 单击任务卡片，可以编辑当前任务。 复制任务 将鼠标移动到任务卡片，单击，可以复制一个和该串行编排的任务。 删除任务 将鼠标移动到任务卡片，单击，根据删除提示确定是否删除任务。 排序任务 单击任务卡片不松开，可以移动任务调整任务顺序。 说明： 任务并行执行时不支持调整顺序。 添加或编辑任务时，弹出侧滑框，可以为任务配置插件。 表3 为任务配置插件 操作项 说明 添加插件 插件分为构建插件、代码检查插件、部署插件、测试插件和通用插件5种类型，可以根据不同类型进行过滤或搜索。将鼠标移动到插件卡片，单击“添加”，即可将插件添加到任务中。 请根据需要配置插件相关信息： 填写插件名称。 选择需要调用的任务，如果找不到合适的任务，请根据界面提示新建任务。 如果调用的任务有参数，参数也会显示出来，请根据需要配置相应参数。 插件名称后有对应标记，单个任务中最多只能添加一个带“任务”标记的插件；带“draft”标记的插件表示当前用户发布为草稿的自定义插件。 “挂起流水线”插件只能添加在不含并行任务的阶段中。 删除插件 将鼠标移动到已经添加的插件卡片，单击，选择“删除”，可以删除当前插件。 排序插件 单击插件卡片不松开，可以移动插件调整插件顺序。 配置准出条件 单击阶段下，弹出“准出条件”侧滑框，将鼠标移动到准出条件卡片，单击“添加”，可以为当前阶段添加准出条件，并为准出条件配置策略。 当前仅支持“标准策略准出条件”。 策略：以标准策略方式配置门禁准出条件，可以选择当前项目或租户下创建好的策略。 策略是一系列规则的集合，每个规则对应了一个步骤插件的输出指标值的条件模板，通过预定义好策略，可以很方便地在多条不同流水线中应用同样的准出条件。详见规则与策略。 流水线可以在各阶段单独设置准出条件，准出条件只对当前阶段有效。 同一阶段中可以配置多个不同的准出条件。

更多操作 部门添加成功后，您还可以进行以下操作。 表1 部门管理 操作名称 操作步骤 编辑部门 单击待修改部门所在行“操作”列下的“编辑部门”。 修改部门信息，单击“更新”。 说明： 组织创建成功后，会默认生成一个一级部门，该一级部门不支持编辑。 删除部门 单击待删除部门所在行“操作”列下的“删除”。 单击“确认”。 说明： 删除部门前，需要先删除该部门下所有子部门，否则无法删除部门。 删除部门后，数据无法恢复，请谨慎操作。

更多操作 创建服务信息完成后，您还可以执行如下表1的操作。 表1 更多操作 操作 步骤 查看服务详情 单击服务列表中服务中文名，可查看服务详情，包括服务名称、服务编码、所属产品名称、所属产品编码、归属部门、状态、创建人、创建时间等信息。 编辑服务信息 说明： 仅可编辑“状态”为“草稿”的服务信息。 单击服务列表“操作”列的“编辑”。 在“编辑服务”页面编辑服务名称（不可编辑服务所属产品和服务编码），然后单击“确定”。 删除服务信息 说明： 仅可删除“状态”为“草稿”的服务信息。 单击服务列表中“状态”为“草稿”的服务“操作”列的“删除”。 单击“确定”。 发布服务信息 说明： 仅可发布“状态”为“草稿”或“已下线”的服务信息。 单击服务列表“操作”列的“发布”（发布后服务无法删除，请谨慎操作）。 单击“确定”，该服务信息将发布到已购买的AppStage相关中心。 同步服务信息 说明： 发布服务信息后，如果在AppStage相关中心未同步到该服务信息，可使用此“同步”功能重新同步服务信息。 仅可同步非“草稿”状态的服务信息。 单击服务列表“操作”列的“同步”。 单击“确定”，该服务信息将同步到已购买的AppStage相关中心。 下线服务信息 说明： 下线服务需确保该服务下的微服务已下线，下线后AppStage的开发中心、运维中心等中心无法使用该服务，请谨慎操作；下线后可以在“操作”列再次单击“发布”重新上线该服务信息。 单击服务列表“操作”列的“下线”。 在“下线服务”对话框输入“确定下线”，并单击“确定”。

步骤一：创建团队信息 登录AppStage业务控制台。在快捷入口区域选择“开发中心”，进入开发中心工作台。 在工作台下方“我的团队”区域，单击右侧“创建团队”。 在“创建团队”页面，设置团队相关参数，如图1所示，参数配置请参见表1。 图1 创建团队 表1 创建团队参数说明 参数名称 参数说明 团队名称 必填项，团队的命名。 团队归属部门 必填项，选择系统中已提前创建的部门，部门的创建方法请参见添加部门。 关联服务 必填项，选择系统中已提前创建的服务，服务创建方法请参见服务管理。 团队 LOG O 必填项，单击系统默认图片上的“点击修改”，可选择本地图片自定义LOGO图片。 团队简介（可选） 非必填项，团队空间的功能描述或其他备注信息。 单击“创建”。 在“我的团队”区域可查看到创建的团队的卡片。

更多操作 在权限管理页面，还可执行表1所示的操作。 表1 更多操作 操作 步骤 延期权限 在左侧导航栏选择“我的权限”。 在“我的权限”页面的权限列表中，勾选需要延期的权限，单击“延期权限”。 在“已选中权限”区域修改有效期时间（权限最长有效期为360天），并填写审批人；在“申请信息”区域填写申请原因。 单击“提交”。 取消权限 在“我的权限”页面的权限列表中，勾选需要取消的权限，单击“取消权限”。 在“权限取消”对话框中，单击“确定”。 查看我的申请 在左侧导航栏选择“我的申请”，可查看我已申请的单号状态（分为审批中、通过或驳回三种状态）。 （可选）在“操作”列可单击“撤回”撤回自己的权限申请。 查看我的权限变更记录 在左侧导航栏选择“我的权限变更记录”。 选择起始时间和结束时间，单击“查询”，可查看到自己在不同租户部门、产品、服务的岗位/角色的变更类型和变更日期。

录入服务信息 在左侧导航栏选择“服务管理”。 在“服务管理”页面右上角，单击“创建服务”。 在“创建服务”页面的“所属产品”下来列表中选择服务所属产品，设置服务名称、服务编码，其中服务所属产品和服务编码设置后不可修改。 单击“创建”。在服务列表中可查看到此新建的服务“状态”为“草稿”。 在新创建的服务所在行“操作”列单击“发布”（发布后服务无法删除，请谨慎操作），在弹框中单击“确认”。 在服务列表中可查看到此新建服务“状态”为“已发布”，录入服务信息完成。

录入微服务信息 在左侧导航栏选择“微服务管理”。 在“微服务管理”页面，单击右上角“创建微服务”。 在“创建微服务”页面的“所属服务”下来列表中选择微服务所属服务，设置微服务名称、微服务编码，其中微服务所属服务和微服务编码设置后不可修改。 单击“创建”。在微服务列表中可查看到此新建的微服务“状态”为“草稿”。 在新创建的微服务所在行“操作”列单击“发布”（发布后微服务无法删除，请谨慎操作），在弹框中单击“确认”。 在微服务列表中可查看到此新建微服务“状态”为“已发布”，录入微服务信息完成。

权限管理 切换至“权限管理”页面，根据需要为流水线配置权限，包括角色权限配置和人员权限配置。 角色权限在未做更改时，角色权限和项目设置中的角色权限保持一致。 项目创建者和流水线创建者权限不能更改。 人员权限优先于角色权限。 默认情况下，用户配置角色权限后会自动同步人员权限，如果配置了人员权限，则该人员权限会覆盖该人员对应的角色权限。 角色权限配置 通过勾选/取消勾选，可以控制角色权限，即指定角色对当前流水线的查看、执行、编辑、删除操作权限。 人员权限配置 通过勾选/取消勾选，可以单独为某个人员设置权限，指定其对当前流水线的执行、编辑、删除操作权限。 “查看”权限提供查看流水线运行详情页面的权利。 “编辑”权限提供编排流水线任务的权利。

执行计划 切换至“执行计划”页面，根据需要为流水线配置事件触发和定时任务两种自动触发执行策略。其中事件触发包括代码提交时触发、合并请求时触发、创建标签时触发。码云代码仓还支持Pull Request、新建issue、评论issue等其他事件。 代码提交时触发（代码托管/码云） 监控代码提交触发事件，可以组合分支和具体路径的包含/排除范围，当在关联的代码仓库中有代码提交且所在的分支和变更文件的路径满足包含/排除策略，会自动触发关联流水线执行。 分支包含：提交代码的目标分支在包含分支中，则匹配成功。 分支排除：提交代码的目标分支在排除分支中，则匹配失败。 路径包含：变更文件有任意一个（若配置了路径排除，则必须为排除范围外的变更文件）在包含范围内，则匹配成功。 路径排除：变更文件全部在排除范围内，则匹配失败。 合并请求时触发（代码托管/码云） 启用合并请求事件触发：监控合并请求触发事件，可以组合分支和具体路径的包含/排除范围，对新建、更新、合并和重新打开事件设置触发策略，当在关联的代码仓库侧触发合并请求事件且分支在监控范围时，会自动触发关联流水线执行。 分支包含：合并请求的目标分支在包含分支中，则匹配成功。 分支排除：合并请求的目标分支在排除分支中，则匹配失败。 路径包含：变更文件有任意一个（若配置了路径排除，则必须为排除范围外的变更文件）在包含范围内，则匹配成功。 路径排除：变更文件全部在排除范围内，则匹配失败。 创建标签时触发（代码托管） 监控创建标签触发事件，可以添加标签包含/排除范围，当在关联的代码仓库创建标签且满足标签包含/排除策略，会自动触发关联流水线执行。 标签包含：在代码仓库创建的标签在包含标签中，则匹配成功。 标签排除：在代码仓库创建的标签在排除标签中，则匹配失败。 其他事件（码云） 评论Pull Request：评论Pull Request时触发流水线执行。 新建issue：新建issue时触发流水线运行。 评论issue：评论issue时触发流水线运行。 除了上述事件外，码云代码仓还支持开启事件触发成功后自动评论。 先匹配分支，再匹配路径（如果有配置），都匹配成功，则触发流水线。 分支排除优先于分支包含，即目标分支同时在包含和排除中时，匹配失败。 路径排除优先于路径包含，即先匹配排除的路径，如果变更文件没有全部在排除范围内，则继续匹配包含的路径。若未配置包含路径，则匹配成功；若配置了包含路径，并且变更文件在路径排除范围外有任意一个在包含范围内，则匹配成功。 标签排除优先于标签包含，即标签同时在包含和排除中时，则匹配失败。 定时执行 单击定时任务旁的，增加一个定时任务，打开“启用定时执行”开关（默认开启），然后设置执行日和执行时间，单击“确定”，保存流水线后即可生效，满足条件即可自动触发流水线执行。 最多可以设置10个定时任务。

任务编排 在“任务编排”页面，可以配置流水线源、配置阶段、配置任务、配置准出条件等。 配置流水线源 单击流水线源阶段下仓库所在区域，弹出“编辑流水线源”侧滑框，可以修改流水线源信息。 配置阶段 在“任务编排”页面，单击或者，可以为流水线添加新的阶段，添加完阶段后，可根据实际需要编辑、删除、复制、移动阶段等。 表1 配置阶段 操作项 说明 编辑阶段 单击，弹出“编辑阶段”侧滑框，可以配置阶段名称和阶段是否总是运行。 说明： 总是运行：选择“是”，表示流水线执行时，该阶段下的任务默认选中必须执行且不可取消；选择“否”，表示流水线执行时，该阶段下的任务默认选中但可以取消。 删除阶段 单击，根据删除提示确认是否删除阶段。 复制阶段 单击，可以复制流水线阶段。 排序阶段 单击不松开，可以移动阶段调整阶段顺序。 阶段准入 单击，弹出“设置”侧滑框，可以配置阶段准入类型（自动或手动）。 自动：默认执行方式，流水线执行时自动进入该阶段继续运行。 手动：流水线执行时需手动确认后才能进入该阶段继续运行。 配置任务 阶段添加后，可以为各阶段添加任务。任务添加后，请根据实际需要编辑、复制、删除、移动任务等。 表2 配置任务 操作项 说明 添加任务 单击，可以在空阶段中添加一个任务。 单击任务下方的，可以添加一个和该任务串行编排的任务。 单击，可以添加一个和已有任务并行编排的任务。 说明： 任务串行执行：按顺序执行，如：构建任务和部署任务应该按顺序先后执行。 任务并行执行：同时执行，如：代码检查任务和构建任务可以同时执行。 编辑任务 单击任务卡片，可以编辑当前任务。 复制任务 将鼠标移动到任务卡片，单击，可以复制一个和该串行编排的任务。 删除任务 将鼠标移动到任务卡片，单击，根据删除提示确定是否删除任务。 排序任务 单击任务卡片不松开，可以移动任务调整任务顺序。 说明： 任务并行执行时不支持调整顺序。 添加或编辑任务时，弹出侧滑框，可以为任务配置插件。 表3 为任务配置插件 操作项 说明 添加插件 插件分为构建插件、代码检查插件、部署插件、测试插件和通用插件5种类型，可以根据不同类型进行过滤或搜索。将鼠标移动到插件卡片，单击“添加”，即可将插件添加到任务中。 请根据需要配置插件相关信息： 填写插件名称。 选择需要调用的任务，如果找不到合适的任务，请根据界面提示新建任务。 如果调用的任务有参数，参数也会显示出来，请根据需要配置相应参数。 插件名称后有对应标记，单个任务中最多只能添加一个带“任务”标记的插件；带“draft”标记的插件表示当前用户发布为草稿的自定义插件。 “挂起流水线”插件只能添加在不含并行任务的阶段中。 删除插件 将鼠标移动到已经添加的插件卡片，单击，选择“删除”，可以删除当前插件。 排序插件 单击插件卡片不松开，可以移动插件调整插件顺序。 配置准出条件 单击阶段下，弹出“准出条件”侧滑框，将鼠标移动到准出条件卡片，单击“添加”，可以为当前阶段添加准出条件，并为准出条件配置策略。 当前仅支持“标准策略准出条件”。 策略：以标准策略方式配置门禁准出条件，可以选择当前项目或租户下创建好的策略。 策略是一系列规则的集合，每个规则对应了一个步骤插件的输出指标值的条件模板，通过预定义好策略，可以很方便地在多条不同流水线中应用同样的准出条件。详见规则与策略。 流水线可以在各阶段单独设置准出条件，准出条件只对当前阶段有效。 同一阶段中可以配置多个不同的准出条件。

相关概念 管理员：AppStage系统级管理员为组织管理员，组织管理员可以进行的操作请参见管理员操作指南。组织管理员分为两类，具体如下： 组织管理员（租户开通者）：购买AppStage的华为云主账号默认为组织管理员，作为当前应用平台云服务的开通者，除具有应用平台内套餐的订购权限外，具备当前租户下AppStage业务控制台全部的操作权限，如系统级功能的维护，如公告的新增/修改/删除、应用基础信息（产品、服务、微服务）的新增/修改/删除等。 组织管理员（非租户开通者）：由组织管理员添加的企业成员，且该企业成员已申请组织管理员权限。具备AppStage业务控制台全部的操作权限，如系统级功能的维护，如公告、应用基础信息（产品、服务、微服务）等。 企业成员：由组织管理员在AppStage业务控制台添加的成员，企业成员在AppStage业务控制台的操作请参见企业成员操作指南。企业成员还可以申请各类不同的角色，从而具备对应角色的操作权限。企业成员可申请的角色以及对应的权限范围请参见权限管理。

操作步骤 将虚拟机接入AppStage运维中心，需要完成如表1所示侧操作。 表1 虚拟机接入操作步骤 操作步骤 操作岗位/角色名称 操作说明 步骤一：启动扫描虚拟机 主机运维角色 开启虚拟机扫描开关，AppStage才会扫描对应华为云账号下的虚拟机。 步骤二：分配虚拟机 主机运维角色 将录入的华为云账号扫描出的虚拟机分配到对应的服务下。 步骤三：规划业务账号 服务运维岗位 规划业务账号是纳管后AppStage连接虚拟机的通道用户，也是 堡垒机 连接虚拟机的账号，是用于申请虚拟机sudo的用户。 步骤四：导入公钥并创建用户 服务运维岗位 以root账号登录虚拟机，在虚拟机中创建服务的用户。 步骤五：打通通道 服务运维岗位 依次绑定待纳管虚拟机的root通道和业务账号通道，并检查通道状态查看SSH状态是否正常。 步骤六：重置密码 主机运维角色 纳管成功后会重置虚拟机上root账号和所有业务账号的密码，密码会定期90天修改一次。 步骤七：OS发现 主机运维角色 通过OS发现，获取系统自动创建的主机管理员账号及运维账号。 （可选）步骤八：注册到堡垒机 服务运维岗位 将虚拟机注册到堡垒机，无法登录业务主机时操作。 步骤九：安装HCW agent 服务运维岗位 用于虚拟机资源监控，安装前需要申请sudo权限。 （可选）步骤十：添加安全加固 服务运维岗位 业务根据自身情况查看是否添加。

步骤三：创建日志采集配置 在“容器日志接入”页面，选择左侧导航栏的“日志采集配置”。 单击“创建日志采集配置”。 配置日志采集参数，参数说明如表6所示，配置完成后，单击“确定”。 表6 日志采集配置参数说明 参数名称 参数说明 日志项目 选择已创建的日志项目。 日志空间 选择已创建的日志空间。 配置名称 自定义日志采集配置名称。 配置类型 选择日志采集配置类型，选择“FILEBEAT”。 日志类型 选择采集日志类型。 日志路径 填写实际日志路径，可使用通配符进行匹配。 说明： 注意避免同一台主机上下发的多个采集任务重复采集相同的日志文件，会导致filebeat进程异常。 日志TPS TPS表示单实例每秒日志条数，请准确填写，用于推荐资源自动计算。 日志模式 选择日志采集模式，是单行模式还是多行模式。 首行正则表达式 日志模式选择多行模式时，需要输入首行正则表达式。 日志提取规则 根据填写的配置参数会自动生成提取规则。

步骤四：创建配置组 在“容器日志接入”页面，选择左侧导航栏的“日志配置组”。 单击“创建日志配置组”。 设置日志配置组参数，参数说明如表7所示，配置完成后，单击“确定”。 表7 日志配置组参数说明 参数名称 参数说明 日志配置组名称 自定义日志配置组名称。 日志项目 选择已创建的日志项目。 接入类型 选择任务类型。 配置类型 选择配置类型，选择“FILEBEAT”。 采集配置列表 选择需要下发的配置。

步骤五：配置DaemonSet 将日志配置组名称填写到variables.tf中groups数组内。 groups有且只能填写一个元素，设计为数组是因为架构从上层统一了与bi DaemonSet的配置格式。 在“日志配置组”页面，单击已创建的日志配置组所在行“操作”列的“配置详情”。 在日志配置组详情页面，选择2.0版本或者3.0版本，并拷贝日志配置组自动生成的IaC代码到业务IaC中。 IaC 2.0格式 在tfdefinition的main.tf中添加： # ============ daemonSet配置 ============ daemonset = var.daemonset # ============ 集群标签配置 ============ resource_tag = var.resource_tag 在tfdefinition的variables.tf中添加： variable "daemonset" { default = [ { # 接入DaemonSet类型，必填 name = "AIOps" # 开启与否，必填 enable = true # 日志路径，选填。固定值：/opt/huawei/logs log_path = "/opt/huawei/logs" # 日志存储限制，选填。默认为最大值 100G limit_size = "100G" # 日志配置分组，必填，当前AIOps场景有且只能填写一个元素 groups = ["logConfigGroupName"] } ] } IaC 3.0格式 resources.yaml中的配置： # ========== daemonSet 实例参数配置 ========== daemonSet: - name: AIOps enable: true logPath: '/opt/huawei/logs' limitSize: 100G groups: ["logConfigGroupName"]

操作步骤 在开发中心左侧导航栏，选择“缺陷管理”。 单击“新增”，选择“Bug”。 设置Bug（缺陷）的参数字段。 参数字段可以根据实际需要进行自定义，部分默认的基本字段说明如表1所示。 表1 缺陷基本字段说明 字段名 说明 类型 无需配置，默认为“Bug”。 标题 缺陷的名称。 标签 对缺陷添加标签，如“性能缺陷”。 说明： 标签只能在缺陷所属的本项目（服务）中使用。 缺陷描述 请根据实际需要按模板对缺陷进行描述。 状态 缺陷处理的状态，状态类型可以根据实际需要进行自定义，默认类型如下： 新建 进行中 已解决 测试中 已拒绝 已关闭 新建缺陷时，缺陷状态默认为“新建”，不能修改。 处理人 缺陷处理的负责人。取值范围为该项目（服务）的创建者或成员。如果负责人设置了昵称，将默认显示用户的昵称。 模块 缺陷所属模块。 说明： 项目（服务）的管理员如果需要配置模块，请参见模块设置。 迭代 缺陷所处的迭代。取值范围为已建立的迭代。 说明： 当选择已有迭代时，可根据需要选择是否将迭代的开始结束日期填充为缺陷的预计开始日期和预计结束日期。 预计开始日期 缺陷开始的计划时间。通过时间控件选择。 预计结束日期 缺陷结束的计划时间。通过时间控件选择。 优先级顺序 缺陷处理的优先级顺序。 取值范围：1～100 优先级 缺陷处理的优先级，分别如下： 低 中 高 重要程度 缺陷的重要程度，请根据需要设置，类型如下： 关键 重要 一般 提示 抄送人 设置缺陷的抄送人后，抄送人可以收到动态消息。 父工作项 缺陷所属的父工作项。 说明： Bug（缺陷）可以设置父工作项为Story类型，不能设置为其它类型的工作项。 领域 缺陷所属领域。 说明： 项目的管理员如果需要配置领域，请参见领域设置。 发布版本号 发布版本名称。 发现版本号 Bug（缺陷）发现版本号，即缺陷发现的产品版本号。 开发人员 开发人员特指解决此缺陷问题的人员，从责权对应的角度，每个缺陷的开发人员通常应该固定。 而缺陷的处理人是跟随缺陷的流转而切换。这两个字段可以结合起来使用。 预计工时 缺陷解决所需的预计工时。 实际工时 缺陷解决所需的实际工时。 说明： “实际工时”在“工作项详情”页面才显示。 完成度 设置当前缺陷的完成情况。取值为0%~100%。 说明： 父工作项（即工作项存在子工作项）的“完成度”不能手动修改，是根据子工作项设置的完成度自动更新。 故事点 对缺陷工作量的估算，根据时期情况填写。 附件 上传所需的附件。 单击从本项目云端文档关联已有文件，或从本地上传。 说明： 单个附件大小限制为50MB。 参数设置完成后，单击“保存”。 新建完成的缺陷显示在缺陷列表中。

操作指导 目前 代码托管服务 提供以下几种仓库创建方式： 创建空仓库，适用于本地有仓库，需要将本地仓库同步到代码托管仓库的场景。 按模板新建仓库，使用代码托管服务提供的模板创建，适用于本地没有仓库，希望按模板初始化一个仓库的场景。 导入外部仓库，用于将其他云端仓库导入到代码托管服务中，也可以将代码托管服务中一个区域的仓库导入到另一个区域（仓库备份），导入后的仓库与源仓库彼此独立。 适用场景一：Gitee、Github仓库迁移、项目迁移到代码托管服务。 适用场景二：使用软件开发生产线的用户，希望将项目迁移到其它区域。 Fork仓库基于目前已有的代码托管仓库复制，复制出的仓库可以将修改内容合并回源仓库。 适用场景一：希望基于历史项目开展新项目，又不想破坏历史项目仓库结构。 适用场景二：组织内项目开源。 仓库常用设置请参见以下页面： 仓库设置 提交规则 合并请求 保护分支 IP白名单 了解更多

相关说明 纳管成功后会在集群中新增一个ers-manager命名空间，并拉起一个名称为ers-cluster-agent-XXX的POD，用来定期向ERS上报数据，约占用0.5C2Gi的资源。安装的插件最小规格如下： ers-agent-register 500m/2Gi kube-rbac-proxy filebeat 100m/1Gi 上报数据维度不同，纳管后AppStage侧会为集群安装ERS monitoring插件，管理CCE集群并采集指标，插件安装会占用一定的集群资源。 集群纳管成功后，集群列表中不能马上看到集群信息。 因为ERS通过权限缓存机制查询集群列表，页面纳管成功后，后台需要进行权限缓存处理，因此需要稍等几分钟才能看到集群信息。 集群列表页面看到的集群名称和纳管录入的集群名称不一致。 集群列表显示的是ERS自定义资源名称，会在纳管集群名称前添加前缀。在集群详情中可以查看纳管集群名称。如图2所示。 图2 纳管集群名称

使用流程 按照不同的使用场景，运营中心使用流程如图1所示。 图1 使用流程 使用场景一：数据工程师/分析师支撑或配合业务提出的数据相关需求，完成一些相对复杂的数据接入、数据建模以及数据指标开发（无模板参考，需要一定的数据分析能力）的工作。 新建数据接入：需要用户提前获取/采集数据，并将数据上传到OBS桶。 新建数据模型：创建数据模型，并对数据模型进行管理。 新建指标：创建符合用户需要的指标，并对指标进行管理。 自定义运营看板：通过自定义运营看板，可以把产品运营中的关键数据统一呈现出来，可按人员权限和业务类型展示不同的数据看板，可视化展现产品运营现状。 使用场景二：业务分析者/执行者（如产品经理、运营人员等）根据业务诉求快速生成、查看各类数据报表。 新建数据接入：需要用户提前获取/采集数据，并将数据上传到OBS桶。 应用指标模板：用户可以一键应用指标模板，省去80%以上的搭建时间，帮助用户快速构建指标体系。 自定义运营看板：通过自定义运营看板，可以把产品运营中的关键数据统一呈现出来，可按人员权限和业务类型展示不同的数据看板，可视化展现产品运营现状。

步骤四：创建配置组 在“容器日志接入”页面，选择左侧导航栏的“日志配置组”。 单击“创建日志配置组”。 设置日志配置组参数，参数说明如表7所示，配置完成后，单击“确定”。 表7 日志配置组参数说明 参数名称 参数说明 日志配置组名称 自定义日志配置组名称。 日志项目 选择已创建的日志项目。 接入类型 选择任务类型。 配置类型 选择配置类型，选择“FILEBEAT”。 采集配置列表 选择需要下发的配置。

步骤三：创建日志采集配置 在“容器日志接入”页面，选择左侧导航栏的“日志采集配置”。 单击“创建日志采集配置”。 配置日志采集参数，参数说明如表6所示，配置完成后，单击“确定”。 表6 日志采集配置参数说明 参数名称 参数说明 日志项目 选择已创建的日志项目。 日志空间 选择已创建的日志空间。 配置名称 自定义日志采集配置名称。 配置类型 选择日志采集配置类型，选择“FILEBEAT”。 日志类型 选择采集日志类型。 日志路径 填写实际日志路径，可使用通配符进行匹配。 说明： 注意避免同一台主机上下发的多个采集任务重复采集相同的日志文件，会导致filebeat进程异常。 日志TPS TPS表示单实例每秒日志条数，请准确填写，用于推荐资源自动计算。 日志模式 选择日志采集模式，是单行模式还是多行模式。 首行正则表达式 日志模式选择多行模式时，需要输入首行正则表达式。 日志提取规则 根据填写的配置参数会自动生成提取规则。

效能管理 效能管理 效能管理是AppStage集成看板的能力，为企业管理者、项目经理、团队Leader、开发者提供面向DevSecOps领域端到端的研发效能度量能力，提供从需求、缺陷、代码、构建、测试、部署、发布到运营等研发各阶段作业数据的分析洞察能力，覆盖交付质量、交付效率、交付能力、交付成本、交付价值，同时集成了华为先进的方法论和优秀实践，助力企业数字化转型和数据驱动运营及治理，提升企业软件能力可信和研发效能。 关于效能管理的详细介绍文档请参考看板。

使用流程 一站式使用应用平台流程如图1所示。 图1 使用流程 表1 使用流程详解 序号 流程环节 说明 1 准备工作 将应用接入AppStage前需要依次完成购买AppStage、关联组织、添加部门/成员信息、录入产品/服务/微服务信息和申请权限。 2 应用开发 创建团队 首次进入开发中心需要先创建一个团队，将团队归属于一个部门并关联一个或多个服务，同时可为团队添加相关的成员。 规划版本 创建版本 对团队所关联的服务划分版本，包括创建版本的基本配置信息以及选择版本开始和结束时间。 规划交付件 在版本开发启动初期对产品开发过程所需的交付件进行规划，以辅助开发过程规范有序且可追溯。 录入需求 使用内置的多种开箱即用的场景化需求模型和对象类型录入版本开发相关的需求/任务。 规划版本需求（基线类型的版本） 针对版本类型为基线类型的版本规划需要合入的需求。 规划版本补丁（补丁类型的版本） 针对版本类型为补丁类型的版本规划需要解决的补丁（缺陷）。 开发版本 配置代码仓 使用代码托管内置的仓库模板创建代码管理的仓库。 下载代码 基于Git的代码托管服务，支持将仓库文件下载到本地进行文件的操作。 安装插件 开发人员可下载所需的开发工具，如WiseStudio 插件、Nuwa 插件、Wushan 插件后进行安装。 开发代码 开发代码的详细指导请参见《开发指南》。 管理交付件 管理版本开发过程不同阶段所需或交付的必要文档，保证版本开发过程阶段性成果沉淀以及过程可追溯。 构建版本 配置流水线 根据需要的场景，如开发测试环境应用部署、生产环境应用部署等，对这些自动化任务进行自定义编排，一次配置后就可以一键自动化触发调度执行。 代码检查 为用户提供代码风格、通用质量与网络安全风险等丰富的检查能力，提供全面质量报告、便捷的问题闭环处理帮助企业有效管控代码质量。 代码安全检视 进行安全编码TOP问题的信息统计和检查结果录入。 管理流水线 为当前版本绑定流水线，查看流水线参数以及执行流水线等。 测试版本 创建缺陷 处理缺陷 对于版本测试过程发现的缺陷进行记录、跟踪、分析和解决，包括管理版本缺陷、管理测试结论以及管理关键风险等。 测试评估 编辑总体测试结论、系统预置的测试类型结论，新增和管理自定义测试类型的测试结论，以及新增和管理版本关键风险问题。 发布版本 提交发布申请 待开发版本过程执行完成，且发布检查项的各项结果均通过，以及版本发布准入检查均通过后，可由开发人员提交版本发布申请。 审批版本发布 开发人员提交版本发布申请后，生成的待办通知到相应审批人的业务控制台的“我的待办”区域，由审批人点击此待办信息的链接跳转至标准发布审批页面进行审批。 效能管理 面向DevSecOps领域端到端的研发效能度量，从需求、缺陷、代码、构建、测试、部署、发布到运营等研发各阶段作业进行数据分析洞察。 3 应用部署 环境准备 将应用接入AppStage前需要先完成环境准备。 申请资源 应用部署需要使用虚拟机、CCE、数据库等相关资源，您可以申请资源，或者在华为云购买资源后，将资源接入AppStage。 更新环境 开发完成的应用软件包，通过流水线发布，可以发布至运维中心的部署服务中，使用部署服务完成应用部署。 4 应用运维 接入日志 AppStage运维中心支持接入虚拟机日志和容器日志，容器日志包括通过Sidecar部署接入容器日志和通过DaemonSet部署接入容器日志，可以根据业务情况选择日志接入方式。 查看日志 日志接入后，可以对日志进行检索，查看原始日志或者汇聚后的日志。 配置监控 如果需要查看监控，需要配置虚拟机监控、配置业务数据监控。 查看监控 监控配置后可以查看监控数据。 配置告警 容器监控异常会自动上报告警，如需对虚拟机及业务进行异常监控，需要配置虚拟机告警和配置业务告警。 查看告警 告警配置后可以查看告警，并及时处理告警问题。 配置告警通知 可以通过配置告警通知，及时掌握并处理告警，避免影响业务正常运行。 演练故障 AppStage支持对业务故障进行演练，演练场景可复用，高度自动化，最终实现无人值守演练。

操作步骤 登录AppStage管理控制台。 在“关联组织”节点关联使用AppStage的组织，存在两种场景： 如果租户未开通过组织，执行如下操作： 单击“创建组织”，在“创建组织”对话框设置组织名称。 输入组织名称，并单击“下一步”。 名称由1-60个中文、英文、数字及合法字符组成。 设置组织的域名。 域名是指网址中“www.”之后的内容，如: www.example.com中的example.com即为域名；或电子邮件地址中“@”符号之后的内容，如username@example.com中的example.com即为域名。 没有域名，输入组织简称，可使用2-30位字母、数字或它们的组合，如abc，后缀名为固定的.orgid.top，如图1所示。单击“下一步”。 图1 设置组织域名 已有域名，单击“使用自有域名”，输入自有域名，例如example.com，如图2所示。单击“下一步”。 图2 使用自有域名 域名设置后管理员为组织添加成员时成员的管理式华为账号默认带有域名后缀，如设置的组织域名为abc.orgid.top，添加的成员账号为xxx@abc.orgid.top，设置的组织域名为example.com，添加的成员账号为xxx@example.com。域名设置后不可修改。 阅读“管理式华为账号”相关声明，单击“同意”。 单击“确定”。 如果租户已开通过组织，则单击“去关联”，选择租户要关联的组织。

更多操作 添加自定义交付件完成后，还可以执行如下表2所示的操作。 表2 更多操作 操作 说明 编辑交付件 说明： 不同类型的交付件只能其相应的处理角色才可编辑。 在交付件列表中，单击“操作”列的“编辑”。 在“编辑自定义交付件”页面，可编辑交付件描述、版本类型、产能、版本开始时间和版本发布发布时间。 单击“提交”。 删除交付件 说明： 不同类型的交付件只能其相应的处理角色才可删除。 在交付件列表中，单击“操作”列的“删除”。 单击“确认”。

步骤四：创建日志配置下发任务 在“虚拟机日志接入”页面，选择左侧导航栏的“任务管理”。 单击页面右上角的“新建任务”。 配置任务参数，参数说明如表7所示，配置完成后，单击“确定”。 表7 日志下发任务参数说明 参数名称 参数说明 日志项目 选择已创建的日志项目。 任务名称 自定义任务名称。 任务类型 选择任务类型。 配置类型 选择日志采集配置类型，选择“FILEBEAT接入”。 配置列表 选择需要下发的配置。 用户名称 选择日志所属的用户。 选择主机 选择需要下发配置的主机。 已选主机 显示已选主机。 在任务列表中查看已创建的任务，单击任务所在行“操作”列的“执行”。 执行完成后，状态为成功即表示日志配置内容已下发成功，即会按照配置将日志接入AppStage。