华为云用户手册

什么是 容器安全服务 的按需计费？ 在开启集群防护时，已购买的包周期防护配额小于当前已开启防护的集群节点个数，超出的节点，每小时按照差额执行按需扣费。 按需计费：按需是每小时计费，先使用后付费。使用方式比较灵活，可以即开即停。 实例从“开启防护”开启计费到“关闭防护”结束计费，按实际使用时长（小时）计费。 详细服务资费和费率标准，请查看：产品价格详情。 按需扣费举例： 若用户已购买10个包周期防护配额，实际防护节点总数为15，则每小时按照5个节点执行按需扣费。 若用户已购买10个包周期防护配额，实际防护节点总数为10，则不产生按需扣费。 CGS会优先使用您购买的防护配额，在配额不够的情况下开启防护时，才会触发按需计费功能。 父主题： 计费类

镜像、容器、应用的关系是什么？ 镜像是一个特殊的文件系统，除了提供容器运行时所需的程序、库、资源、配置等文件外，还包含了一些为运行时准备的配置参数（如匿名卷、环境变量、用户等）。镜像不包含任何动态数据，其内容在构建之后也不会被改变。 容器和镜像的关系，像程序设计中的实例和类一样，镜像是静态的定义，容器是镜像运行时的实体。容器可以被创建、启动、停止、删除、暂停等。 一个镜像可以启动多个容器。 应用可以包含一个或一组容器。 镜像、容器、应用之间的关系如图1所示。 图1 镜像、容器、应用的关系 父主题： 产品咨询

容器安全 服务的日志路径 CGS日志保存于宿主机系统的 /var/log/shield目录下。 日志文件中包含“shield.log”、“message.log”和“defender_audit.log”。 shield.log：记录CGS运行日志、错误日志等信息。 message.log：记录CGS agent与服务端之间的消息通信，如策略下发、告警上报等。 defender_audit.log：记录audit系统日志，由于CGS接管了Linux系统audit消息。如果存在额外手工配置但是并非CGS使用的audit规则，这些规则触发的audit消息记录在该文件中。 父主题： 产品技术类

容器集群节点的Shield状态离线如何处理？ 如果集群节点的Shield状态为离线，请检查以下情况： 集群是否安装了CGS插件 在CGS控制台为指定集群开启防护时，CGS自动为该集群安装插件，关闭防护时自动卸载插件。如果集群当前未开启防护则Shield为离线。 集群节点状态是否正常 只有安装了插件并且集群节点状态是运行中，Shield才会在线。如果节点状态异常，请到华为云容器引擎服务（CCE）处理状态异常的节点。 集群初次安装插件后，Shield从启动到状态显示为在线需要最长5分钟的时间间隔。开启防护后，请您稍等一段时间再查看Shield状态。 父主题： 产品技术类

什么是区域、可用区？ 通常使用区域和可用区来描述数据中心的位置，您可以在特定的区域、可用区创建资源。 区域（Region）：从地理位置和网络时延维度划分，同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region，通用Region指面向公共租户提供通用云服务的Region；专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region。 可用区（AZ，Availability Zone）：一个AZ是一个或多个物理数据中心的集合，有独立的风火水电，AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连，以满足用户跨AZ构建高可用性系统的需求。 图1阐明了区域和可用区之间的关系。 图1 区域和可用区 目前，华为云已在全球多个地域开放云服务，您可以根据需求选择适合自己的区域和可用区。

如何选择区域？ 选择区域时，您需要考虑以下几个因素： 地理位置 一般情况下，建议就近选择靠近您或者您的目标用户的区域，这样可以减少网络时延，提高访问速度。 在除中国大陆以外的亚太地区有业务的用户，可以选择“中国-香港”、“亚太-曼谷”或“亚太-新加坡”区域。 在非洲地区有业务的用户，可以选择“非洲-约翰内斯堡”区域。 在拉丁美洲地区有业务的用户，可以选择“拉美-圣地亚哥”区域。 资源的价格 不同区域的资源价格可能有差异，请参见华为云服务价格详情。

无服务授权权限和创建委托失败的原因？ IAM 用户进入容器安全服务控制台界面时，发现服务授权页面“同意授权”按钮呈灰色状态，表示该IAM用户无服务授权权限，请联系拥有Security Administrator权限的系统管理员授予权限或使用账号开通服务授权。 创建委托失败的原因：账户委托数量满额。 处理方式：登录到“ 统一身份认证 服务”管理控制台，对委托进行删除或联系统一身份认证服务增加限额。 父主题： 产品技术类

容器安全服务支持多个账号共享使用吗？ 容器安全服务不支持多个账号共享使用。例如，如果您在某个区域通过注册华为云创建了2个账号（“domain1”和“domain2”），当您在“domain1”账号下购买了容器安全服务，则“domain2”账号不能使用“domain1”的容器安全服务。 在同一区域，一个账号在IAM上创建的所有IAM用户都可以共用该账号下的容器安全服务。例如，您在某个区域通过注册华为云创建了1个账号（“domain1”），且“domain1”账号在IAM中创建了2个IAM用户（“sub-user01”、“sub-user02”），如果您授权了“sub-user01”和“sub-user02”用户CGS的权限策略，则这2个IAM用户都可以使用“domain1”的容器安全服务。 有关CGS权限管理的详细操作，请参见创建用户并授权使用CGS。 父主题： 产品咨询

修订记录 发布日期 修改说明 2021-12-30 第十六次正式发布。 新增FAQ：CGS是否支持Apache Log4j2 远程代码执行漏洞检测？ 2021-01-26 第十五次正式发布。 新增以下FAQ： 容器安全服务的日志处理机制是什么？ 容器安全服务的日志路径 容器安全服务shield插件是否会影响业务？ 2020-06-18 第十四次正式发布。 新增容器安全服务的漏洞库多久更新一次？ 2020-06-05 第十三次正式发布。 哪些区域可以使用容器安全服务？，新增支持使用CGS的区域。 2020-04-01 第十二次正式发布。 更新界面截图。 2020-03-11 第十一次正式发布。 新增容器安全服务支持跨区域使用吗？ 新增容器安全服务支持多个账号共享使用吗？ 2020-01-15 第十次正式发布。 哪些区域可以使用容器安全服务？，新增支持使用CGS的区域。 2019-11-29 第九次正式发布。 修改如何为容器安全配额续费？。 修改如何退订容器安全配额？。 2019-11-26 第八次正式发布。 新增什么是容器安全服务的按需计费？。 新增容器集群节点的Shield状态离线如何处理？。 修改如何开启集群防护，增加按需计费说明。 2019-11-12 第七次正式发布。 修改如何开启集群防护，优化相关内容描述。 修改如何开启集群防护，优化相关内容描述。 2019-09-25 第六次正式发布。 哪些区域可以使用容器安全服务？，优化相关内容描述。 2019-08-30 第五次正式发布。 “安装Shield插件”修改为如何开启集群防护。 “卸载Shield插件”修改为如何关闭集群防护。 新增什么是区域和可用区？。 2019-08-23 第四次正式发布。 修改“安装Shield插件”章节。 修改“卸载Shield插件”章节。 新增如何为容器安全配额续费？。 新增如何退订容器安全配额？。 2019-08-13 第三次正式发布。 新增IAM用户无服务授权权限和创建委托失败的原因？。 2019-05-30 第二次正式发布。 修改“安装Shield插件”章节。 修改“卸载Shield插件”章节。 2018-10-18 第一次正式发布。

什么是Apdex？ Apdex全称是Application Performance Index，是由Apdex联盟开发的用于评估应用性能的工业标准。Apdex标准从用户的角度出发，将对应用响应时间的表现，转为用户对于应用性能的可量化范围为0-1的满意度评价。 Apdex的原理 Apdex定义了应用响应时间的门槛为T（即Apdex阈值，T由性能评估人员根据预期性能要求确定），然后根据应用响应时间结合T定义了三种不同的性能表现： Satisfied（满意）：应用响应时间低于或等于T，比如T为1.5s，则一个耗时1s的响应结果则可以认为是satisfied的。 Tolerating（可容忍）：应用响应时间大于T，但同时小于或等于4T。假设应用设定的T值为1s，则4*1=4s为应用响应时间的容忍上限。 Frustrated（烦躁期）：应用响应时间大于4T。 APM 如何计算Apdex APM中，Apdex阈值即请求响应达到满意程度的最大时间。应用响应时延即服务时延，Apdex取值范围为0～1，计算公式如下： Apdex=（满意样本+可容忍样本*0.5）/样本总数

问题现象 报错信息：java.lang.UnsatisfiedLinkError: /jre/lib/amd64/libfontmanager.so: /apm-javaagent-profiler/apm-javaagent/native-agent/x86/libz.so.1: version `ZLIB_1.2.9' not found (required by /usr/lib64/libpng16.so.16) 这个错误出现在服务日志中，服务程序调用JDK的libfontmanager.so中的方法。出现该错误的原因是由于该so依赖libz.so.1的1.2.9版本，与javaagent中的libz.so.1版本不兼容。

问题现象 CPU Profiler依赖perf_event_open的系统调用，但因为Linux kernel的Syscall安全策略（seccomp）控制，可能会禁止进程调用特定Syscall。 错误提示如下： [ERROR] xxxx Failed to execute 'start,jfr=7,jstackdepth=100,threads=true,event=cpu,interval=50ms,alloc=512k,wall=50ms,file=xxxx.jfr'[ERROR] xxxx Failed to start Continuous Profile Collector[ERROR] xxxx No access to perf events. Try --fdtransfer or --all-user option or 'sysctl kernel.perf_event_paranoid=1'

APM Android SDK和其他同类产品是否兼容？ APM工具通常基于ASM框架进行字节码插桩。这种技术允许开发者动态修改应用程序的字节码，以便在不改变源代码的情况下监控性能。 然而，若同时安装多个APM工具，会导致代码多次插桩。不同产品的实现可能相互冲突，进而引发编译错误和性能问题。例如，一个工具可能会修改某个方法的字节码，而另一个工具则可能尝试在同一位置进行修改，这种冲突会导致运行时异常或不一致的行为。此外，频繁的插桩可能还会增加应用的启动时间和运行开销，给性能带来额外负担。 因此，建议在一个项目中只选择安装一个APM工具，以确保应用的稳定性和优化性能。

解决方案 Docker环境：执行以下命令运行容器。如需配置更精细化的系统调用控制，请参见官方文档。开启特权容器存在容器逃逸风险，请评估后使用。 docker run --security-opt seccomp=unconfined XXX Kubernetes环境：配置特权容器参数privileged: true，特权容器始终保持为Unconfined。如果无法配置特权容器参数privileged: true，可以通过修改k8s的yaml文件中的securityContext配置，使用默认的系统调用控制，请参见官方文档。开启特权容器存在容器逃逸风险，请评估后使用。 apiVersion: v1kind: Podmetadata: name: default-pod labels: app: default-podspec: containers: - name: test-container image: hashicorp/http-echo:1.0 args: - "-text=just made some more syscalls!" securityContext: seccompProfile: type: RuntimeDefault capabilities: add: [ "SYS_ADMIN" ] privileged: false

探针性能开销对比 序号 压测样板 智能采样对比 100%采样率对比 - RT CPU 内存 RT CPU 内存 1 1TPS +1.31ms +0% +50MB +1.33ms +0% +50MB 2 500TPS +1.63ms +7% +50MB +2.97ms +9% +50MB 3 1000TPS +2.67ms +8% +50MB +5.34ms +10% +150MB 4 2000TPS +3.62ms +10% +50MB +5.53ms +20% +150MB

安装探针性能极限指标 表1 智能采样 序号 压测样本 RT（ms） CPU（%） 内存（MB） 1 1TPS 78.36 0.4 250 2 500TPS 79.05 18 300 3 1000TPS 81.84 31 350 4 2000TPS 86.81 55 400 表2 100%采样 序号 压测样本 RT（ms） CPU（%） 内存（MB） 1 1TPS 78.38 0.4 250 2 500TPS 80.39 20 300 3 1000TPS 84.51 33 450 4 2000TPS 88.72 65 500

问题现象 此错误一般出现在JVM的标准输出中。Profiler功能进行CPU热点采样时，会同时采集Native（Linux Kernel + JVM + C/C++）以及Java栈，采集Native栈需要对Java中每个线程的perf_event的fd进行MMap，Linux内核中限制了进程perf_event相关的MMap的总内存大小（默认516 K Bytes）。当Java中线程数较多时，会触发限制并在Java标准输出中打印警告信息perf_event mmap failed...。出现这个告警信息，对Java的运行没有副作用，对业务也没有影响，实际的影响是火焰图中看不到Native的栈。一般来说定位CPU热点问题时，只看Java方法栈就够了，您可以忽略此告警。

测试环境 工具/服务 版本/规格 说明 JVisualVM 1.8.0_216 JVisualVM是Java自带性能监控工具，监视和管理控制台JConsole，它可以提供 Java 某个进程的内存、线程、类加载、jvm 概述以及的实时信息。 JMeter 5.3 Apache JMeter是Apache组织开发的基于Java的压力测试工具，在本次测试中主要是用于模拟多用户并发调用APM查询图表接口。 JavaAgent 2.4.11-profiler Java Agent稳定版本 E CS 服务器 Demo应用 2u4g benchmark.jar 通用计算增强型 | 2vCPUs | 4GiB | c7.large.2，节点的操作系统版本为CentOS 7.9。 根据压测源发起请求，会同时访问MySQL和Redis服务，并返回查询值，使用Spring Cloud、Dubbo实现。

与其他服务的关系 ServiceStage吸收了全面云化转型的成功经验和技术创新成果，集成了众多服务的核心功能，对公有云基础设施服务、存储服务、数据库服务、软件仓库服务、监控运维以及中间件服务进行了深度整合，全力打造功能齐全的一站式应用云平台。 使用ServiceStage可以系统的体验到众多云服务的功能精髓，ServiceStage集成云服务如图1所示。 图1 ServiceStage集成的云服务 ServiceStage实现了与源码仓库的对接（如CodeArts、Gitee、GitHub、GitLab、Bitbucket），绑定源码仓库后，可以直接从源码仓库拉取源码进行构建。 ServiceStage集成了部署源管理功能，可以将构建完成的软件包（或者镜像包）归档对应的仓库和组织。 ServiceStage集成了相关的基础资源（如VPC、CCE、ECS、EIP、ELB），在部署应用时可以直接使用已有或者新建所需的基础资源。 ServiceStage集成了微服务引擎，进入ServiceStage控制台可以进行微服务治理相关的操作。 ServiceStage集成了 应用运维管理 及 应用性能管理 服务，可以进行应用运维及性能监控相关的操作。 ServiceStage集成了存储、数据库、缓存等服务，通过简单配置即可实现数据持久化存储。

测试流程 在不安装探针的情况下，分别使用1TPS、500TPS、1000TPS、2000TPS压测样本，每次的持续时长为30分钟，压测结果将作为基线性能指标。 安装探针，采样策略设置为智能采样和100%采样两种情况下，重复步骤1的压测过程，对比CPU、内存、RT上的差异。 安装带Profiler探针，性能剖析设置为关闭状态，采样策略设置为智能采样和100%采样两种情况下，重复步骤1的压测过程，对比CPU、内存、RT上的差异。

服务韧性 冗余：全部服务都为无状态，利用基础设施层提供的“服务端负载均衡能力”将请求发送到不同实例当中，实现负载分摊。通过API网关对下游系统提供服务，API网关提供限流、熔断、降级等多种手段，并可对流量进行控制，保证升级不中断服务。 跨AZ容灾：服务实现跨AZ部署方式，将服务均匀分布在不同AZ中，服务支持跨AZ重建。当一个AZ的实例消失后，IaaS层将重新调度新的实例到其他AZ中，保证系统快速恢复到过去的负载能力，不过载。单AZ failure场景下，持久化数据满足完整性。 基础设施层服务提供CPU、内存、网络、磁盘等监控指标，应用层自动上报指标、日志等信息，对重要问题进行告警。 各服务具备限流能力，不会被大流量冲垮。 服务使用容器执行环境，IaaS层提供生命周期管理和容器调度。当遇到崩溃问题时，将重新调度并拉起新实例。 父主题： 安全

ServiceComb ServiceComb是一个Apache微服务开源项目，提供开箱即用、高性能、兼容流行生态、支持多语言的一站式开源微服务解决方案。致力于帮助企业、用户和开发者将企业应用轻松微服务化上云，并实现对微服务应用的高效运维管理。 微服务 微服务是业务概念，某个进程提供某种服务，那它就是个微服务。每一个服务都具有自主运行的业务功能，对外开放不受语言限制的API (最常用的是HTTP)。多个微服务组成应用程序。 在ServiceStage中，微服务对应组件。 微服务实例 一个微服务的最小运行和部署单元，通常对应一个应用进程。

微服务引擎实例规格说明 微服务引擎分为微服务引擎专业版和微服务引擎专享版两种产品规格： 微服务引擎专业版：专业版引擎Cloud Service Engine是ServiceStage提供的 免费体验 引擎。专业版引擎可以体验ServiceStage的所有产品能力，比如服务治理、配置管理等。引擎资源为所有租户共享，性能可能会受其他租户影响；专业版引擎不支持升级到专享版。 微服务引擎专享版：专享版引擎，是可支持大规模微服务应用管理的商用引擎。您可根据业务需要选择不同规格，不支持规格变更；专享版引擎资源独享，性能不受其他租户影响。 引擎支持的最大实例规格说明如下。 表2 微服务引擎实例规格说明 引擎类型 微服务实例数配额 配置条目数配额 微服务引擎专业版 20 - 微服务引擎专享版 100 600 200 600 500 3,000 2,000 12,000

产品套餐说明 ServiceStage提供了基础版、专业版、铂金版，您可以根据需要选择，各个版本的功能说明如表1所示。 表1 功能说明 功能 基础版 专业版 铂金版 管理规模 单个IAM账号下最大支持应用组件实例个数 100个 5000个 5000个 单个组件支持的最大实例个数 200个 微服务 资源包赠送微服务引擎 - 专享版（高可用）最多5个 专享版（高可用）最多10个 Java语言微服务开发SDK 支持 支持 支持 Spring Cloud微服务接入 服务注册中心 服务配置中心 实时仪表盘 负载均衡 服务限流 服务降级 服务容错 服务熔断 错误注入 黑白名单 灰度发布 应用生命周期管理 多语言应用管理（Java/Php/Python/Node.js/Tomcat/Docker） 支持 支持 支持 应用生命周期管理（灰度发布、伸缩、升级、回退、启动、停止、重启、删除） 应用基础监控（运行状态、CPU、内存、磁盘使用率等） 虚机部署 云容器引擎部署 访问权限控制 应用 域名 管理 弹性伸缩 事件分析 日志分析 阈值告警 持续交付 构建管理 支持 支持 支持 源码仓库（GitHub/GitLab/Gitee/Bitbucket/CodeArts） 编译任务（Java/Php/Python/Node.js/Tomcat/Docker） 构建集群 流水线管理 软件仓库 SWR软件包管理 支持 支持 支持 Docker镜像包管理 仓库权限管理 容器资源 虚拟机集群 支持 支持 支持 裸金属集群 Windows集群 容器节点管理 容器存储管理

ServiceStage控制台功能依赖的角色或策略 如果IAM用户需要在ServiceStage控制台拥有相应功能的查看或使用权限，请确认已经对该用户所在的用户组设置了ServiceStage Administrator、ServiceStage FullAccess或ServiceStage ReadOnlyAccess权限，再参考表6增加依赖服务的角色或策略。 表6 ServiceStage控制台依赖服务的角色或策略 控制台功能 依赖服务 需配置角色/策略 总览 告警 运维监控 应用运维管理 AOM IAM用户设置了ServiceStage Administrator权限后，需要增加AOM FullAccess权限后才能访问总览、告警、运维监控中的数据图表。 支持设置了IAM ReadOnlyAccess和ServiceStage FullAccess或ServiceStage ReadOnlyAccess权限的IAM用户直接访问总览、告警、运维监控中的数据图表。 性能管理 应用性能管理 APM 如果需要使用Java探针，需要设置AOM FullAccess和APM FullAccess权限。 组件管理 弹性伸缩组 AS 如果需要使用AS资源用于虚拟机环境下部署组件，需要设置AutoScaling FullAccess权限。 云容器引擎 CCE 如果需要使用CCE资源用于容器环境下部署组件，需要设置CCE FullAccess权限。 弹性云服务器 ECS 如果需要使用ECS资源用于虚拟机环境下部署组件，需要设置ECS ReadOnlyAccess权限。 对象存储服务 OBS 如果部署的组件来源于存储在OBS的软件包，需要设置OBS ReadOnlyAccess权限。 微服务引擎 微服务引擎 CSE 如果需要为微服务组件绑定CSE用于服务注册、服务治理、配置管理，需要设置CSE FullAccess权限。 分布式缓存 分布式缓存服务 DCS 如果需要为容器环境下部署的组件绑定DCS用于在应用运行时读取环境变量来获取分布式缓存的相关信息，需要设置DCS ReadOnlyAccess权限。 数据存储 云硬盘服务 EVS 如果容器环境下部署的组件需要使用云硬盘存储方式存储数据，需要设置EVS ReadOnlyAccess权限。 弹性文件服务 SFS 如果容器环境下部署的组件需要使用极速文件存储方式存储数据，需要设置SFS Turbo ReadOnlyAccess权限。 对象存储服务 OBS 如果容器环境下部署的组件需要使用对象存储方式存储数据，需要设置OBS ReadOnlyAccess权限。 云数据库 云数据库 RDS 如果需要为容器环境下部署的组件绑定RDS用于应用数据持久化存储，需要设置RDS ReadOnlyAccess权限。 组件VPC内网访问 组件域名访问 弹性负载均衡 ELB 如果需要为组件设置VPC内网访问或域名访问以使用组件提供的服务，需要设置ELB ReadOnlyAccess权限。 组件公网访问 NAT网关 NAT 如果需要为组件设置通过NAT网关公网访问以使用组件提供的服务，需要设置NAT ReadOnlyAccess权限。 弹性公网IP EIP 如果需要为组件设置通过EIP公网访问以使用组件提供的服务，需要设置EIP ReadOnlyAccess权限。 弹性负载均衡 ELB 如果需要为组件设置通过ELB公网访问以使用组件提供的服务，需要设置ELB ReadOnlyAccess权限。 组件日志 云日志 服务 LTS 如果需要通过对接LTS，查看、搜索、导出组件运行LTS日志记录用于排查和解决组件运行中出现的问题，需要设置LTS FullAccess权限。 阈值告警 消息通知 服务 SMN 如果需要将容器环境下部署组件产生的阈值告警消息由消息通知服务SMN发送通知给用户，需要设置SMN ReadOnlyAccess权限。 镜像仓库 容器镜像仓库 SWR 如果容器环境下部署的组件来源于存储在SWR的镜像包，需要设置SWR FullAccess权限。 标签管理 标签管理服务 TMS 如果需要使用TMS对组件等管理对象设置标签用于管理和选择，需要设置TMS ReadOnlyAccess权限。 环境管理 虚拟私有云 VPC VPC用于创建环境时，将用于组件部署和运行的计算、网络、中间件等基础资源隔离在同一个虚拟网络环境中。需要设置VPC ReadOnlyAccess权限。

细粒度权限 SWR未支持细粒度权限，相关权限需要另外授权。 创建“计费模式”为“包月/包年”的微服务引擎专享版时： 创建订单不支付，创建该引擎的用户需拥有“BSS Operator”权限，即费用中心（BSS）操作员，拥有账号中心和资源中心的所有菜单项执行任意操作的权限，在费用中心有相关的只读权限。 创建订单并支付，创建该引擎的用户需拥有“BSS Administrator”权限，即费用中心（BSS）管理员，拥有该服务下的所有权限。 使用自定义细粒度策略，请使用管理员用户登录IAM控制台，按需选择ServiceStage、CSE的细粒度权限进行授权操作。 CSE细粒度权限依赖说明请参见表4。 ServiceStage细粒度权限依赖说明请参见表5。 表4 CSE细粒度权限依赖说明 权限名称 权限描述 权限依赖 应用场景 cse:engine:list 列出所有引擎 无 查看引擎列表。 cse:engine:get 查看引擎信息 cse:engine:list 查看引擎详情，仅微服务引擎专享版支持。 cse:engine:modify 修改引擎 cse:engine:list cse:engine:get 修改引擎的操作包括：开启/关闭公网访问操作、开启/关闭安全认证操作、引擎失败任务重试操作，仅微服务引擎专享版支持。 cse:engine:upgrade 升级引擎 cse:engine:list cse:engine:get 升级引擎的操作包括：引擎版本升级操作，仅微服务引擎专享版支持。 cse:engine:delete 删除引擎 cse:engine:list cse:engine:get vpc:ports:get vpc:ports:delete 删除引擎，仅微服务引擎专享版支持。 cse:engine:create 创建引擎 cse:engine:get cse:engine:list ecs:cloudServerFlavors:get vpc:vpcs:get vpc:vpcs:list vpc:subnets:get vpc:ports:get vpc:ports:create 创建引擎的操作包括：创建引擎操作，引擎备份/恢复任务创建操作，仅微服务引擎专享版支持。 cse:config:modify 服务配置管理修改 cse:engine:list cse:engine:get cse:config:get 全局配置功能与治理功能涉及的配置修改。 cse:config:get 服务配置管理查看 cse:engine:list cse:engine:get 查看服务的配置。 cse:governance:modify 服务治理中心修改 cse:engine:list cse:engine:get cse:config:get cse:config:modify cse:registry:get cse:registry:modify cse:governance:get 创建与修改服务治理。 cse:governance:get 服务治理中心查看 cse:engine:list cse:engine:get cse:config:get cse:registry:get 查看服务治理功能。 cse:registry:modify 服务注册管理修改 cse:engine:list cse:engine:get cse:registry:get 服务修改。 cse:dashboard:modify dashboard管理修改 cse:engine:list cse:engine:get cse:registry:get cse:dashboard:get cse:registry:modify 仪表盘修改。 cse:dashboard:get dashboard管理查看 cse:engine:list cse:engine:get cse:registry:get 仪表盘查看。 cse:registry:get 服务注册管理查看 cse:engine:list cse:engine:get 服务目录查看。 仪表盘不需要授权，但是依赖registry权限，因为仪表盘区分服务需要使用服务目录功能。 表5 ServiceStage细粒度权限依赖说明 权限名称 权限描述 权限依赖 应用场景 servicestage:app:get 查询应用信息 servicestage:app:list 查询应用信息。 servicestage:app:create 创建应用 servicestage:app:get servicestage:app:list servicestage:assembling:get servicestage:assembling:list servicestage:assembling:create 创建应用。 servicestage:app:modify 更新应用 servicestage:app:get servicestage:app:list servicestage:assembling:get servicestage:assembling:list servicestage:assembling:modify 更新应用。 servicestage:app:delete 删除应用 servicestage:app:get servicestage:app:list servicestage:assembling:delete 删除应用。 servicestage:app:list 查看环境和应用列表 无 查看环境和应用列表。 servicestage:environment:create 创建环境 servicestage:app:get servicestage:app:list 创建环境。 servicestage:environment:modify 更新环境 servicestage:app:get servicestage:app:list 更新环境。 servicestage:environment:delete 删除环境 servicestage:app:get servicestage:app:list 删除环境。 servicestage:pipeline:get 查看流水线信息 servicestage:pipeline:list servicestage:assembling:get servicestage:assembling:list 查看流水线信息。 servicestage:pipeline:create 创建流水线 servicestage:pipeline:list servicestage:pipeline:get servicestage:assembling:create servicestage:assembling:get servicestage:assembling:list 创建流水线。 servicestage:pipeline:modify 修改流水线 servicestage:pipeline:get servicestage:pipeline:list servicestage:assembling:modify servicestage:assembling:get servicestage:assembling:list 修改流水线。 servicestage:pipeline:delete 删除流水线 servicestage:pipeline:get servicestage:pipeline:list servicestage:assembling:get servicestage:assembling:list servicestage:assembling:delete 删除流水线。 servicestage:pipeline:list 查看流水线列表 servicestage:assembling:get servicestage:assembling:list 查看流水线列表 servicestage:pipeline:execute 执行流水线 servicestage:pipeline:get servicestage:pipeline:list servicestage:assembling:modify servicestage:assembling:get servicestage:assembling:list servicestage:app:get servicestage:app:list servicestage:app:modify 执行流水线。 servicestage:assembling:get 查看构建信息 servicestage:assembling:list 查看构建信息。 servicestage:assembling:create 创建构建 servicestage:assembling:get servicestage:assembling:list 创建构建。 servicestage:assembling:modify 修改构建 servicestage:assembling:get servicestage:assembling:list 修改构建。 servicestage:assembling:delete 删除构建 servicestage:assembling:get servicestage:assembling:list 删除构建。 servicestage:assembling:list 查看构建列表 无 查看构建列表。

ServiceStage系统权限 默认情况下，新建的IAM用户没有任何权限，您需要将其加入用户组，并给用户组授予策略，才能使得用户组中的用户获得策略定义的权限，这一过程称为授权。授权后，用户就可以基于策略对云服务进行操作。 ServiceStage资源通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问ServiceStage时，需要先切换至授权区域。 根据授权精细程度分为角色和策略： 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于各云服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。 如表1所示，包括了ServiceStage的所有系统权限。推荐使用系统策略，系统角色仅用于兼容已有的权限配置。 表1 ServiceStage系统权限 系统角色/策略名称 描述 类别 依赖关系 ServiceStage FullAccess 应用管理与运维平台所有权限。 系统策略 无 ServiceStage ReadOnlyAccess 应用管理与运维平台只读权限。 系统策略 无 ServiceStage Development 应用管理与运维平台开发者权限。 拥有应用、组件、环境的操作权限，但无审批权限和基础设施创建权限。 系统策略 无 CSE FullAccess 微服务引擎管理员权限。 系统策略 无 CSE ReadOnlyAccess 微服务引擎查看权限。 系统策略 无 ServiceStage Administrator 应用管理与运维平台管理员，拥有该服务下的所有权限。 系统角色 Tenant Guest、Server Administrator、CCE Administrator、APM Administrator。 ServiceStage Operator 应用管理与运维平台操作员，拥有该服务下的只读权限。 系统角色 Tenant Guest ServiceStage Developer 应用管理与运维平台开发者，拥有该服务下的所有权限，但无基础设施创建权限。 系统角色 Tenant Guest 如果表1所列的这些权限不满足实际需求， 您可以参考表2和表3，在这个基础上自定义策略。 其中，“√”表示支持，“x”表示不支持。 表2 ServiceStage常用操作与系统权限之间的关系 操作 ServiceStage ReadOnlyAccess ServiceStage Development ServiceStage FullAccess 创建应用 x √ √ 修改应用 x √ √ 查询应用 √ √ √ 删除应用 x √ √ 创建组件 x √ √ 查询组件 √ √ √ 部署组件 x √ √ 维护组件 x √ √ 删除组件 x √ √ 创建构建工程 x √ √ 修改构建工程 x √ √ 查询构建工程 √ √ √ 启动构建工程 x √ √ 删除构建工程 x √ √ 创建流水线 x √ √ 修改流水线 x √ √ 查询流水线 √ √ √ 启动流水线 x √ √ 克隆流水线 x √ √ 删除流水线 x √ √ 新建仓库授权 x √ √ 修改仓库授权 x √ √ 查询仓库授权 √ √ √ 删除仓库授权 x √ √ 表3 CSE常用操作与系统权限之间的关系 操作 CSE ReadOnlyAccess CSE FullAccess 创建微服务引擎 x √ 维护微服务引擎 x √ 查询微服务引擎 √ √ 删除微服务引擎 x √ 创建微服务 x √ 查询微服务 √ √ 维护微服务 x √ 删除微服务 x √ 创建微服务配置 x √ 查询微服务配置 √ √ 编辑微服务配置 x √ 删除微服务配置 x √ 创建微服务治理策略 x √ 查询微服务治理策略 √ √ 编辑微服务治理策略 x √ 删除微服务治理策略 x √

典型业务应用场景 应用场景 对于传统的单体架构项目，不同的业务模式必须采取统一的技术方案及技术平台，每个业务模块也不能独立出来复用，系统中一个模块出现问题会导致整个系统不可用。随着企业业务的复杂度不断提升，传统单体架构模式越来越臃肿，难以适应灵活多变的业务需求，微服务应用可以解决上述问题。 价值 通过应用微服务化，企业可将一个臃肿的系统拆分成若干小的服务组件，组件之间的通讯采用轻量的协议完成，实现各组件生命周期管理的解耦。 随着业务增长，服务会遇到各种意外情况，如：瞬时大规模并发访问、服务出错、入侵等情况。使用微服务架构可以对服务做细粒度管控，支撑业务需求。 ServiceStage可承载微服务应用的全生命周期管理。支持Java、Php、Python、Node.js、Docker、Tomcat等技术栈，可无侵入托管Apache ServiceComb Java Chassis、Spring Cloud等微服务应用，另外还提供配置管理、监控运维和服务治理等更多功能，让企业微服务应用上云更简单。 优势 ServiceStage提供了的微服务应用解决方案具有以下优势： 支持原生ServiceComb、Spring Cloud等多种微服务框架，支持双栈模式（SDK和服务网格互通），无需更改业务代码直接托管上云。 API First，支持基于Swagger的API管理。 支持多语言微服务，如Java、Php、Python、Node.js等。 提供服务中心、配置中心、仪表盘、灰度发布等功能。 提供负载均衡、容错、限流、降级、熔断、错误注入、黑白名单等全套微服务治理策略。可针对业务场景进行界面化操作，极大提高了服务治理的可用性。 图1 微服务应用解决方案 实现Spring Cloud、Java Chassis之间的互相发现。

持续集成和持续交付 应用场景 对于复杂的业务系统，从项目创建、编译、构建、自验、集成验证、类生产验证、上线的各个阶段都需要耗费大量的人力和时间，并且容易受到人为因素影响而出错。持续集成和持续交付由于具有标准化和自动化特点，可以很好的解决该问题。 价值 由人工执行变成了自动化执行，减少错误出现，提高工作效率。 环境及流程标准统一，利于业务扩展，降低升级改造成本。 优势 基于ServiceStage流水线，实现了集成环境统一、交付流程标准化，您可以实现全流程“自助式”开发、自验、集成验证与上线。 图2 持续集成和持续交付

版本支持机制 微服务引擎创建 只能创建最新版本的微服务引擎，不支持创建指定版本微服务引擎。 微服务引擎维护 支持同时维护最新的3个正式版本。其余的版本，将不再提供技术支持，包括支持新的功能、社区bugfix回合、漏洞修复、升级等。 微服务引擎版本升级 正式版本升级： 1.3、1.2版本支持平滑升级到2.4及以后版本，且功能兼容。 支持当前最新的3个正式版本中的2个较低版本升级到最新版本。例如，当前最新的3个正式版本为2.4、1.3、1.2，则支持由1.2、1.3升级到2.4。 当引擎升级已超出可支持升级的版本范围，例如由1.0升级到1.3，可能导致微服务引擎的管理功能不可用，请谨慎操作。您可以通过提交工单，进行升级前风险评估。 补丁版本升级，微服务引擎后台提供补丁版本自动升级，例如由1.3.0升级到1.3.1。