华为云用户手册

操作步骤 开通OrgID并创建组织 开通OrgID。 创建组织。 添加部门及成员 （可选）添加部门，完善组织架构。 添加成员 创建成员，添加只属于该组织的成员。 邀请成员，将已拥有个人华为账号的成员添加进组织。 创建并授权应用 创建应用，使用OAuth2方式进行认证集成，并为成员授权，具体操作请参见创建自建应用。 授权后，成员可访问该应用。 应用创建后，在“通用配置”页面获取Client_id、ClientSecret，如图1所示。 图1 接口认证凭证 在“登录配置”页面复制该应用的首页URL，如图2所示，并在应用的“登录配置”页面的首页URL地址中获取code（基于OAuth协议，OrgID给用户颁发的code）。 图2 首页URL 应用侧登录对接OrgID 调用获取AccessToken接口，使用code获取access_token，接口Body参数如表1所示。 表1 Body参数说明 参数名称 说明 grant_type 授权方式。该参数为固定值authorization_code。 code 授权码。使用3.c中获取的code。 client_id 创建应用后OrgID提供的client_id。使用3.b中获取的client_id。 client_secret 创建应用后OrgID提供的client_secret。使用3.b中获取的client_secret。 redirect_uri 配置code的接收地址，即创建自建应用时配置的首页URL。 调用获取用户信息接口，根据access_token获取登录用户的用户信息，其中接口Body的Authorization参数为4.a获取的access_Token。 调用/oauth/logout接口登出OrgID和应用，需要带上service参数（应用的登出地址），OrgID登出后会重定向到service地址。 调用/oauth/logout接口需在前端调用，在前端进行重定向至应用登出地址。

总体开发思路 应用对接OrgID登录功能的工作流程如下： 开通OrgID并创建组织 开通OrgID并创建组织，以组织为单位对组织的成员、成员账号及应用进行管理。 添加部门及成员 通过添加部门，完善组织架构；通过创建成员添加只属于该组织的成员，也可以邀请成员，将已拥有个人华为账号的成员添加进组织。 创建并授权应用 添加自建应用并为成员授权。 应用侧登录对接OrgID 在应用侧使用接口对接OrgID登录功能。

消息灰度 微服务蓝绿或灰度发布的业务场景中，灰度实例生产或消费的消息可能需要特殊处理，这时可以挂载Sermant消息灰度插件实现消息的灰度能力，灰度实例生产者或灰度流量生产灰度消息，灰度消费者消费灰度消息。 消息灰度配置： 配置项：grayscale.mq.config 作用范围：app=${service.meta.application}&environment=${service.meta.environment}，即应用配置。service.meta.application、service.meta.environment的配置，默认为app=default&environment= 配置内容： # 消息灰度插件开启开关，默认为false不开启enabled: false# 灰度组信息集合，每个灰度组包含consumerGroupTag(灰度组标识)、serviceMeta(微服务实例属性标签)及trafficTag(流量标签)。grayscale: # 灰度组标签，例如基线消费组名称为basic_group，那么灰度名称为basic_group_${consumerGroupTag} - consumerGroupTag: gray serviceMeta: # ServiceMeta匹配标签，如果服务启动时service_meta_parameters设置为x_lane_tag:gray，那么当前消费者为灰度节点。 # 如果通过service_meta_version设置匹配信息，配置中的key一定要是'version'，像version:1.0.1。 x_lane_tag: gray version: 1.0.1 trafficTag: # 流量标签匹配，配合sermant-tag-transmission插件一起生效，如果请求header中包含x_lane_canary=gray，并且开启标签透传插件，设置配置 # tag.transmission.config.matchRule.exact: ['x_lane_canary']，这时生产的消息为灰度消息. x_lane_canary: gray # serviceMeta与trafficTag关系如下: # 如果服务启动是service_meta_parameters设置信息x_lane_tag:gray，那么匹配为灰度实例。 # 1、如果是生产者，那么消息的property中设置属性'x_lane_canary: gray'标识为灰度消息。 # 2、如果是消费者，仅消费property包含'x_lane_canary: gray'属性的消息。# 基线消费组信息定义base: # 基线消费者消费消息模式，包含BASE/AUTO两个模式，默认值为AUTO模式 # BASE模式消费除excludeGroupTags设置的消费组标识以外的消息 # AUTO模式除excludeGroupTags设置的消费组标识及正在运行的灰度组以外的消息 consumeMode: AUTO # auto模式下，基线消费者定期检查灰度消费者时间间隔 autoCheckDelayTime: 15 # 基线消费者默认剔除的灰度组标识，对应上面consumerGroupTag设置的值，auto/base模式都会生效 excludeGroupTags: ["gray"] 消息灰度逻辑： 消息生产者 定时任务生产消息时，如果当前服务实例为灰度实例，那么生产消息时，在消息的属性中增加x_lane_canary: gray标签，如果为基线实例，不作处理。 流量触发生产消息时，如果当前流量为灰度流量（即header中含x_lane_canary: gray标签）时，那么生产消息时，在消息的属性中增加x_lane_canary: gray标签，如果为基线，则不作处理。 消息消费者 构建消息消费者时，如果当前实例为灰度实例（即满足serviceMeta的设置条件）时，消费组增加灰度标识，改为灰度组注册到RocketMq服务端，如原Group为default，那么灰度组为default_gray。 在监听消息中修改SubscriptionData中的subString为SQL92语句，从而过滤对应Topic、Group的消息。 构建SQL92过滤语句时，支持同一个服务构建RocketMq连接、Topic及Group不同组合的SQL92语句，即同一个服务支持RocketMq连接、Topic及Group不同维度组合下的消息灰度。 对于流量生产灰度消息或者消费消息，要结合Sermant的标签透传插件一起使用才能生效。 灰度逻辑中出现的灰度标签或消息属性标签信息是根据上述配置内容设置的，业务可以根据需要自定义所需标签。 版本要求： sermant-agent版本要求大于等于2.1.3。 RocketMq客户端版本：大于4.8.0。 RocketMq服务端需要支持开启消息过滤能力。 根据消息进行灰度路由调用。 很多业务场景中，在消费到消息后根据消息内容调用下游服务处理相应的业务，如果消费的是灰度消息，那么我们应该要调用下游对应的灰度实例去处理业务，反之调用基线实例处理业务，该能力需要结合标签透传插件并触发消息getBody方法才能生效。 Sermant的流量灰度可以参考Spring Cloud应用实现全链路灰度实现。 标签透传插件配置： 配置项：tag-config 作用范围：自定义标签配置group:sermant.tag-transmission-plugin 配置内容： enabled: truematchRule: exact: ["x_lane_canary"] x_lane_canary标签为上述消息灰度配置中trafficTag设置的对应标签。

开发能力要求 本文档的主要目的就是说明这些开源微服务开发框架如何接入和使用ServiceComb引擎的功能，假设您已经熟悉和掌握如下开发能力： 使用Java语言进行微服务开发。假设您已经基于一种ServiceStage支持的微服务开发框架开发了应用系统，并期望将应用系统托管在ServiceComb引擎上运行。本文档提供微服务应用接入ServiceComb引擎的相关技术支持。开源微服务开发框架如何使用不是本文档的范围，您可以通过开源社区获取相关微服务开发框架的入门材料和开发指南。 理解注册中心、配置中心在微服务应用中的作用，并在项目中搭建和使用注册中心。不同的微服务开发框架默认支持的开源注册中心会有差异，理解注册中心的作用，可以更加容易的更换注册中心。 熟悉应用部署，请参考创建并部署组件。

创建安全认证账号名和密码 为开启了安全认证的ServiceComb引擎专享版创建账号名和密码，请参考系统管理。 您可以使用关联了admin角色权限的账号创建新账号，根据实际业务需求把合适的角色同账号关联。使用该账号的用户则具有对该ServiceComb引擎的相应的访问和操作权限。 您可以使用关联了admin角色权限的账号创建自定义角色，根据业务需求把合适的ServiceComb引擎访问和操作权限赋予该角色。 父主题： 使用安全认证

服务治理概述 服务治理是一个非常宽泛的概念，一般指独立于业务逻辑之外，给系统提供一些可靠运行的系统保障措施。针对微服务场景下的常用故障模式，提供的保障措施包括： 负载均衡管理：提供多实例情况下的负载均衡策略管理，比如采用轮询的方式保障流量在不同实例均衡。当一个实例发生故障的时候，能够暂时隔离这个实例，防止访问这个实例造成请求超时等。 限流：流控的主要目的是提供负载保护，防止外部流量超过系统处理能力，导致系统崩溃。流控还被用于平滑请求，让请求以均匀分布的方式到达服务，防止突发的流量对系统造成冲击。 重试：重试的主要目的是保障随机失败对业务造成影响。随机失败在微服务系统经常发生，产生随机失败的原因非常多。以Java微服务应用为例，造成请求超时这种随机失败的原因包括：网络波动和软硬件升级，可能造成随机的几秒中断；JVM垃圾回收、线程调度导致的时延增加；流量并不是均匀的，同时到来的1000个请求和1秒内到来的1000个请求平均分布对系统的冲击是不同的，前者更容易导致超时；应用程序、系统、网络的综合影响，一个应用程序突然的大流量可能会对带宽产生影响，从而影响到其他应用程序运行；其他应用程序相关的场景，比如SSL需要获取操作系统熵，如果熵值过低，会有几秒钟的延迟。 系统不可避免地面临随机故障，必须具备一定的随机故障保护能力。 隔离仓：隔离仓通常针对系统资源占用比较多的业务进行保护。比如一个业务非常耗时，如果这个业务和其他业务共享线程池，当这个业务被大量突发访问时，其他业务都会等待，造成整个系统性能下降。隔离仓通过给资源占用比较多的业务分配独立的资源池（一般通过信号量或者线程池实现），避免对其他业务造成影响。 降级：降级治理是在业务高峰期时，需要临时减少对于目标服务的访问，达到降低目标服务负载；或者屏蔽对于非关键服务的访问，保持本服务的核心处理能力的治理措施。 服务治理的复杂性在于没有任何治理措施是适用于所有场景的。对于一个应用场景工作良好的治理手段，在另外一个场景可能成为问题。在业务运行周期，根据业务运行状态和指标，动态的更新治理策略非常重要。 在业务系统中使用服务治理，通常包括下面几个步骤： 开发业务。这个过程一般比较少关注服务治理的内容，以交付业务功能为重心。微服务开发框架针对常用的系统故障，一般都默认提供了保障措施，选择合适的微服务开发框架，可以节省DFx的时间。 性能测试和故障演练。这个过程中会发现非常多的系统不稳定问题，服务治理的策略会在解决这些问题的过程中应用，并写入配置文件作为应用程序缺省值。 业务上线运行。上线运行的过程中碰到未考虑的场景，需要采用配置中心动态调整治理参数，以保障业务平稳运行。 上面的3个步骤在整个软件生命周期会不断迭代完善。描述如何使用所有的治理能力是复杂的，ServiceComb引擎针对不同的微服务开发框架，提供了一个统一的基于流量特征的服务治理能力。如果使用微服务框架开发应用，在应用托管后启动应用，微服务会自动注册到对应的ServiceComb引擎，您可以到微服务引擎控制台进行服务治理的相关操作请参考治理微服务。 本章节重点介绍如何使用基于流量特征的服务治理能力。 父主题： 使用服务治理

安全认证概述 开启了安全认证的ServiceComb引擎专享版，通过微服务控制台提供了基于RBAC（Role-Based Access Control，基于角色的访问控制）的系统管理功能。权限与角色相关联，您可以使用关联了admin角色权限的账号创建新账号，根据实际业务需求把合适的角色同账号关联。使用该账号的用户则具有对该ServiceComb引擎的相应的访问和操作权限。 ServiceComb引擎专享版开启了安全认证之后，所有调用的API都需要先获取token才能调用，认证流程请参考服务中心RBAC说明。 开启了安全认证的ServiceComb引擎专享版，在使用安全认证前需要完成以下工作： 创建安全认证账号名和密码 配置微服务安全认证的账号名和密码 框架支持安全认证功能的版本要求：Spring Cloud需要集成Spring Cloud Huawei 1.6.1及以上版本，Java Chassis需要2.3.5及以上版本。 老版本未开启安全认证的ServiceComb引擎专享版，升级到新版本并开启安全认证的场景，请参考管理ServiceComb引擎专享版安全认证。 父主题： 使用安全认证

什么是Mesher Mesher是Service Mesh的一个具体的实现，是一个轻量的代理服务以Sidecar的方式与微服务一起运行。 Service Mesh是由William Morgan定义： Service Mesh是一个基础设施层，用于处理服务间通信。云原生应用有着复杂的服务拓扑，Service Mesh保证请求可以在这些拓扑中可靠地传输。在实际应用当中，Service Mesh通常是由一系列轻量级的网络代理组成的，它们与应用程序部署在一起，但应用程序不需要知道它们的存在。 随着云原生应用的崛起，Service Mesh逐渐成为一个独立的基础设施层。在云原生模型里，一个应用可以由数百个服务组成，每个服务可能有数千个实例，而每个实例可能会持续地发生变化。服务间通信不仅异常复杂，而且也是运行时行为的基础。管理好服务间通信对于保证端到端的性能和可靠性来说是非常重要的。 Service Mesh实际上就是处于TCP/IP之上的一个抽象层，假设底层的L3/L4网络能够点对点地传输字节（同时，也假设网络环境是不可靠的，所以Service Mesh必须具备处理网络故障的能力）。 从某种程度上说，Service Mesh有点类似TCP/IP。TCP对网络端点间传输字节的机制进行了抽象，而Service Mesh则是对服务节点间请求的路由机制进行了抽象。Service Mesh不关心消息体是什么，也不关心它们是如何编码的。应用程序的目标是“将某些东西从A传送到B”，而Service Mesh所要做的就是实现这个目标，并处理传送过程中可能出现的任何故障。 与TCP不同的是，Service Mesh有着更高的目标：为应用运行时提供统一的、应用层面的可见性和可控性。Service Mesh将服务间通信从底层的基础设施中分离出来，让它成为整个生态系统的一等公民——它因此可以被监控、托管和控制。

操作步骤 修改微服务调用的URL，将URL中的${IP:Port}修改为服务名。 例如调用一个名为“provider”的微服务，API为“/hello”，则调用URL通常为：http://${IP:Port}/hello。例如： http://127.0.0.1:80/hello 您需要将调用的URL修改为： http://provider/hello 在ServiceStage平台部署组件，绑定ServiceComb引擎，将组件接入ServiceComb引擎，可在“高级设置”中选择已绑定的ServiceComb引擎，单击，输入应用进程的监听端口号，开启多语言接入Mesher服务网格，具体操作请参考创建并部署组件 。 组件部署环境为容器场景时，支持开启多语言接入Mesher服务网格；当部署环境为虚拟机场景时，不支持开启多语言接入Mesher服务网格。

本地开发工具说明 本地开发工具包含了ServiceComb引擎2.x的本地轻量化版本，提供用于本地开发的轻量服务中心、配置中心，和简单易用的界面。 使用说明请参考本地开发工具压缩包中的README.md文件。 表1 本地引擎资源配额限制 功能 资源 最大配额 微服务管理 微服务版本数量（个） 10,000 单个微服务实例数量（个） 100 单个微服务契约数量（个） 500 配置管理 配置数量（个） 600 表2 本地轻量化ServiceComb引擎版本说明 版本 对应ServiceComb引擎版本 发行时间 获取路径 2.1.8 2.x 2023.9.25 Local- CS E-2.1.8-windows-amd64.zip Local-CSE-2.1.8-linux-amd64.zip Local-CSE-2.1.8-linux-arm64.zip Local-CSE-2.1.8-darwin-amd64.zip Local-CSE-2.1.8-darwin-arm64.zip 本地轻量化ServiceComb引擎仅作为本地开发调测，请勿用于商业使用。 本地轻量化ServiceComb引擎支持在Windows、Linux和Mac系统下使用。当运行环境为Mac系统时，需要将下载的Mac包放在“Users/xxx”目录下运行，其中xxx为当前登录系统的用户名。 父主题： 附录

Spring Cloud Huawei历史版本及版本修复问题 spring-cloud-huawei版本 主要修复问题 1.11.6-2023.0.x snakeyaml、jackson、guava版本安全漏洞。 路由开关关闭后，微服务应用启动失败，找不到nacos/servicecomb适配实现类。 当前服务配置中心配置未变化，发布配置刷新事件，请求过程中可能出现池化配置找不到。 1.11.6-2022.0.x 1.11.6-2021.0.x 1.11.4-2022.0.x RBAC安全认证未开启，框架依然会监听认证过期事件。 gateway/webflux路由无法获取请求头设置信息。 微服务API安全认证开启后，规则未设置，所有请求不通过。 服务端熔断规则不生效。 1.11.4-2021.0.x 1.11.3-2022.0.x 指定服务名情况下，实例隔离策略不生效。 1.11.3-2021.0.x 1.11.2-2022.0.x API安全认证未设置黑、白名单策略时，空指针异常。 服务端、客户端同时设置相同请求头，key不生效。 1.11.2-2021.0.x 1.11.0-2022.0.x trace上下文配置基于动态配置不生效。 1.11.0-2021.0.x 1.10.13-2021.0.x 同时调用多个服务情况下，降级不生效。 1.10.11-2021.0.x 实例隔离治理不生效。 1.10.9-2021.0.x 指定服务名设置重试策略不生效。 服务降级错误返回“null”字符串，修改为返回null。 1.10.8-2021.0.x 负载均衡规则不生效。 1.10.8-2020.0.x 1.10.7-2021.0.x 服务注册发现开关关闭，启动失败。 1.10.7-2020.0.x 1.10.6-2021.0.x 监控信息中缺少环境信息。 1.10.6-2020.0.x 1.10.5-2021.0.x 重试次数太多导致请求长时间无响应。 1.10.5-2020.0.x 1.10.4-2021.0.x identifierRateLimiting限流上下文获取失败。 1.10.4-2020.0.x 1.10.3-2021.0.x 治理配置第一次变化时不生效。 1.10.3-2020.0.x 1.10.2-2021.0.x 调整默认配置刷新时间为15s。 实例隔离过滤器空指针异常。 1.10.2-2020.0.x 1.10.1-2021.0.x 非客户端请求上下文空指针异常。 路由客户端编译请求头失败。 灰度版本策略生效。 ClientRequest非RequestData类型下转化异常。 1.10.1-2020.0.x 1.10.0-2021.0.x 服务删除、重启无法刷新ribbon缓存，导致请求到不可用服务，报no host to route。 动态配置下灰度发布配置规则，修改配置规则不生效。 启动类application在业务包外层启动失败。 网关最大重试次数不生效。 1.10.0-2020.0.x 1.9.1-2020.0.x 某些场景下，启动类ags属性加载不正确。 网关配置最大重试次数无限重试。 灰度动态配置不生效。 1.9.0-2020.0.x instance.healthCheck.mode值为pull，自定义配置healthCheckInterval健康检查时间不生效。 1.8.0-2020.0.x 非long polling模式下大量配置查询任务，触发查询任务无间隔时间。 cse操作页面对服务实例下线后，服务实例调用依然正常。 management.server.port和server.port两个端口不一致，启动报错。 gateway查询到不同环境的实例。 1.7.0-2020.0.x webmvc与路由结合导致gateway启动失败。 gateway无法实现基于服务发现的路由定义功能。 gateway无法跨应用服务发现。 1.6.1-2020.0.x 说明： 存在重大问题，不建议使用： 非常频繁地查询配置中心。 查询到错误的配置。 1.9.4-Hoxton 当前服务配置中心配置未变化，发布配置刷新事件，请求过程中可能出现池化配置找不到。 1.9.3-Hoxton 服务删除、重启无法刷新ribbon缓存，导致请求到不可用服务，路由不到可用服务。 1.9.2-Hoxton 服务端删除实例后重新注册实例，客户端选择错误的服务端实例。 1.9.1-Hoxton 某些场景下，启动类ags属性加载不正确。 网关配置最大重试次数无限重试。 灰度动态配置不生效。 1.9.0-Hoxton instance.healthCheck.mode值为pull，自定义配置healthCheckInterval健康检查时间不生效。 1.8.0-Hoxton 非long polling模式下大量配置查询任务，触发查询任务无间隔时间。 cse操作页面对服务实例下线后，服务实例调用依然正常。 management.server.port和server.port两个端口不一致启动报错。 gateway查询到不同环境的实例。 1.7.0-Hoxton webmvc与路由结合导致gateway启动失败。 gateway无法实现基于服务发现的路由定义功能。 gateway无法跨应用服务发现。 1.6.0-Hoxton SDK针对401、403错误码，对引擎做出重试请求。 gateway默认路由规则不生效。 无法跨应用调用。 1.5.9-Hoxton RBAC鉴权功能不生效。 灰度路由时无法获取到微服务最新版本。 某些JDK版本不支持swagger循环依赖。 1.5.8-Hoxton gateway服务发现中选择错误实例。 实例状态为空时调用异常。 1.5.6-Hoxton AK/SK配置后不生效，鉴权失败。 server.env配置不生效，全部为空。 配置中心治理配置项删除后仍然能使用。 滑动窗口熔断配置属性不生效。 注册中心开启watch模式后，空指针异常。 读取环境变量PAAS_CSE_SC_ENDPOINT时只能读取第一个地址，无法读取第二个。 1.5.0-Hoxton 错误的治理规则导致空指针异常。 AK/SK未配置时启动，报空指针异常。 服务启动后首次并发请求，限流策略不生效。 governance治理选择错误服务导致请求异常。 当环境配置为production时，契约不变，服务重启会失败。 1.6.4-Greenwich 当前服务配置中心配置未变化，发布配置刷新事件，请求过程中可能出现池化配置找不到。 1.6.3-Greenwich 服务删除、重启无法刷新ribbon缓存，导致请求到不可用服务，路由不到可用服务。 1.6.1-Greenwich gateway跨应用服务发现异常。 1.6.0-Greenwich SDK针对401、403错误码，对引擎做出重试请求。 gateway路由规则不生效。 灰度路由时无法获取到微服务最新版本。 AK/SK配置不生效。 server.env配置不生效，全部为空。 Servicecenter在watch模式下启动失败。 读取环境变量PAAS_CSE_SC_ENDPOINT时只能读取第一个地址，无法读取第二个。 不支持跨应用调用。 1.5.0-Greenwich 错误的治理规则导致空指针异常。 AK/SK未配置时空指针异常。 服务启动后首次并发请求，限流策略不生效。 governance服务转发错误。 环境是production时，重复注册契约导致启动失败。 v1.3.3-Greenwich 注册中心监听不生效。 1.6.1-Finchley 服务启动后第一次并发，调用随机失败。 微服务跨应用调用失败。 1.6.0-Finchley SDK针对401、403错误码，对引擎做出重试请求。 gateway路由规则不生效。 灰度路由时无法获取到微服务最新版本。 AK/SK配置不生效。 server.env配置不生效，全部为空。 Servicecenter在watch模式下启动失败。 读取环境变量PAAS_CSE_SC_ENDPOINT时只能读取第一个地址，无法读取第二个。 不支持跨应用调用。 1.5.1-Finchley 配置中心治理配置删除后仍然可以使用。 v1.3.9 说明： 存在重大问题，不推荐使用。 governance存在服务转发严重错误。 v1.3.8 说明： 存在重大问题，不推荐使用。 governance存在服务转发严重错误。 v1.3.4 注册线程池无法正确关闭并导致泄漏。 actuator开启后微服务注册失败。 某些场景心跳次数过多。 v1.3.3 websocket在wss协议请求失败。 注册中心watch不生效。 v1.3.2 当环境设置为production时契约注册失败。 注册中心url未设置时随机选择地址失败。 注册中心配置 域名 时watch异常。 v1.2.0 从ServiceStage读取默认的ak/sk配置时，初始化大量对象，导致内存泄漏。 v1.1.0 heartbeat信息日志过多。 微服务间SSL调用不生效。 url包含空格时请求异常。 v1.0.0 某些场景无法自动服务发现。 v0.0.3 服务发现down状态实例。 配置的路径过长。 微服务连接本地CSE引擎失败。

Spring Cloud微服务组件配置安全认证账号名和密码 配置文件配置方式 为微服务的“bootstrap.yml”文件增加以下配置，若已配置请忽略。 spring: cloud: servicecomb: credentials: account: name: test #结合用户实际值配置 password: mima #结合用户实际值配置 cipher: default 用户密码password默认为明文存储，无法保证安全。建议您对密码进行加密存储，请参考自定义实现password的加密存储算法。 环境变量注入方式 为微服务添加如表1所示环境变量。 添加环境变量，请参考管理应用环境变量。 表1 环境变量 环境变量 说明 spring_cloud_servicecomb_credentials_account_name 结合用户实际值配置。 spring_cloud_servicecomb_credentials_account_password 结合用户实际值配置。 说明： 用户密码password默认为明文存储，无法保证安全。建议您对密码进行加密存储，请参考自定义实现password的加密存储算法。

Java Chassis微服务组件配置安全认证账号名和密码 配置文件配置方式 为微服务的“microservice.yml”文件增加以下配置，若已配置请忽略。 servicecomb: credentials: rbac.enabled: true #结合用户实际值配置 cipher: default account: name: test #结合用户实际配置 password: mima #结合用户实际配置 cipher: default 用户密码password默认为明文存储，无法保证安全。建议您对密码进行加密存储，请参考配置安全认证参数。 环境变量注入方式 为微服务添加如表2所示环境变量。 添加环境变量，请参考管理应用环境变量。 表2 环境变量 环境变量 说明 servicecomb_credentials_rbac_enabled true：开启安全认证。 false：不开启安全认证。 servicecomb_credentials_account_name 结合用户实际值配置。 servicecomb_credentials_account_password 结合用户实际值配置。 说明： 用户密码password默认为明文存储，无法保证安全。建议您对密码进行加密存储，请参考配置安全认证参数。

常用环境变量说明 通过ServiceStage管理环境和部署应用，能够简化用户的配置。ServiceStage会设置一些环境变量，供应用使用，常用的环境变量包括下表所示内容： 表1 常用环境变量 环境变量名称 含义 PAAS_CSE_SC_ENDPOINT ServiceComb引擎注册中心地址信息。 PAAS_CSE_CC_ENDPOINT ServiceComb引擎配置中心地址信息。 PAAS_PROJECT_NAME 项目名称。 CAS_APPLICATION_NAME ServiceStage的应用名称。 CAS_COMPONENT_NAME ServiceStage的组件名称。 CAS_INSTANCE_VERSION ServiceStage的部署版本号。 您可以结合不同微服务开发框架的机制，比如Spring Cloud提供的Place Holder机制、Java Chassis提供的“mapping.yaml”机制等来合理使用这些变量，减少部署需要手工输入的内容。 ServiceStage创建应用过程中，可以绑定中间件（如DCS、RDS）。应用绑定的中间件配置信息可以通过以下环境变量获取。

配置中心概述 配置中心用来管理微服务应用的配置。微服务连接配置中心，能够从配置中心获取配置信息及其变化。配置中心还是其他微服务管控功能的核心部件，比如服务治理规则的下发，也是通过配置中心实现的。 ServiceComb引擎支持的配置中心为：config-center和kie。 当ServiceComb引擎版本为1.x时，取值为config-center。 当ServiceComb引擎版本为2.x时，取值为kie或config-center，推荐使用kie作为配置中心。 本章节介绍不同微服务开发框架使用配置中心的一些开发细节，包括如何配置依赖、连接配置中心有关的配置项等，并简单的介绍微服务应用中如何读取配置和响应配置变化。 ServiceComb引擎使用kie作为配置中心。 微服务默认会读取配置中心应用配置、服务配置、自定义配置。应用配置指环境、应用和微服务相同的配置；服务配置指环境、应用、微服务名称和微服务相同的配置。微服务可以在配置文件中指定一个特定的label及label值，自定义配置指label及label值与微服务相同的配置。 简单的场景，可以使用应用级配置和服务级配置。应用级配置被该应用下的所有微服务共享，是公共配置；服务级配置只对具体微服务生效，是独享配置。 复杂的场景，可以通过使用customLabel和customLabelValue来定义配置。例如某些配置，是对所有应用共享的，那么就可以使用这个机制。在配置文件增加如下配置（以Spring Cloud为例）： spring: cloud: servicecomb: config: kie: customLabel: public# 默认值是public customLabelValue: default # 默认值是空字符串 只要配置项带有public标签，并且标签值为default，这些配置项就会对该微服务生效。 把配置中心当成数据库的一个表tbl_configurations，key是主键，每个label都是属性。 客户端会根据如下3个条件查询配置： 自定义配置 select * from tbl_configurations where customLabel=customLabelValue & match=false 应用级配置 select * from tbl_configurations where app=demo_app & environment=demo_environment & match=true 服务级配置 select * from tbl_configurations where app=demo_app & environment=demo_environment & service=demo_service & match=true 其中，match为true的时候，表示有且只有条件里面指定的属性；match为false的时候，表示除了条件里面的属性，允许有其他的属性。还可以给标签app指定多个应用，或者给标签service指定多个服务，这样配置项就可以对多个服务和应用生效，非常灵活。 ServiceComb引擎的TEXT、XML等类型，SDK会简单的当成key-value对使用；YAML和Properties类型， SDK会解析内容，应用程序将内容作为实际的应用程序配置项。比如： 类型：TEXTkey: cse.examples.hellovalue: World 应用程序会发现1个配置项: cse.examples.hello = World。 类型：YAMLkey: cse.examples.hellovalue: | cse: key1: value1 key2: value2 应用程序会发现2个配置项: cse.key1 = value1和cse.key2 = value2。 ServiceComb引擎使用config-center作为配置中心。 微服务默认会读取配置中心全局配置、服务配置。全局配置指环境和微服务相同的配置；服务配置指环境、应用、微服务名称和微服务相同的配置。 ServiceComb引擎只支持key-value的配置项。如果用户需要使用yaml格式的配置文件，可以使用具体SDK提供的fileSource功能。通过在配置文件中指定fileSource的key列表，SDK会将这些key对应的value全部当成yaml解析。以Spring Cloud为例，在bootstrap.yml中增加配置项： spring: cloud: servicecomb: config: fileSource: file1.yaml,file2.yaml 并且在配置中心创建配置，“配置项”及其对应的“值”的示例如下表所示。其中，值的格式为yaml。 配置项 值 file1.yaml cse.example.key1: value1cse.example.key2: value2 file2.yaml cse.example.key3: value3cse.example.key4: value4 配置创建方法请参考配置管理中的“创建配置”操作。 应用程序中会发现4个配置项：cse.example.key1=value1，cse.example.key2=value2，cse.example.key3=value3和cse.example.key4=value4。 父主题： 使用配置中心

隔离仓 隔离是一种异常检测机制，常用的检测方法是请求超时、流量过大等。一般的设置参数包括超时时间、同时并发请求个数等。 Java Chassis的隔离作用于微服务消费者，需要微服务应用集成隔离模块，启用bizkeeper-consumer处理链。 配置如下： servicecomb: handler: chain: Consumer: default: bizkeeper-consumer isolation: Consumer: timeout: enabled: true #是否启用超时检测 timeoutInMilliseconds: 30000 #超时时间阈值 Spring Cloud Huawei的隔离策略同熔断一致，配置示例请参考熔断中相关内容。 Spring Cloud应用通过挂载Sermant的flowcontrol流控插件使用隔离仓能力， 只需要通过配置开启具体的隔离仓策略。 配置项：servicecomb.bulkhead.${scene名称} 作用范围：自定义标签group:service=flowcontrol 配置内容： # 最大并发数超过5，且新的请求等待10S，还未获取资源，则触发隔离异常maxConcurrentCalls: 5maxWaitDuration: 10S 隔离仓规则的配置项由前缀servicecomb.bulkhead和自定义场景名称${scene名称}组成，流量标记规则和隔离仓规则的配置项的自定义场景名称需保持一致，才能对匹配的流量执行隔离仓策略。 父主题： 使用服务治理

开发微服务应用 如您已经完成了微服务应用的开发，请跳过本章节。 开源社区提供了丰富的开发资料和帮助渠道帮助您使用微服务开发框架。如您需深入了解具体微服务框架下的微服务应用开发，请参考本章节给出的参考资料链接。 体验ServiceComb引擎最快捷的方式是使用“ServiceComb引擎推荐示例”里面的例子。下载示例，修改配置文件中的ServiceComb引擎地址，AK/SK信息，在本地运行例子，这些例子可以注册到ServiceComb引擎。 Spring Cloud 源码仓库：https://github.com/spring-cloud 问题咨询：参考源码仓库的各个代码仓库下的issues。 开发指南：https://spring.io/projects/spring-cloud Spring Cloud Huawei项目：https://github.com/huaweicloud/spring-cloud-huawei ServiceComb引擎推荐示例：https://github.com/huaweicloud/spring-cloud-huawei-samples/tree/master/basic Java Chassis 源码仓库：https://github.com/apache/servicecomb-java-chassis 问题咨询：https://github.com/apache/servicecomb-java-chassis/issues 开发指南：https://servicecomb.apache.org/references/java-chassis/zh_CN/ ServiceComb引擎推荐示例：https://github.com/apache/servicecomb-samples/tree/master/basic CSE使用的源码存放在maven中央仓，若您使用非maven中央仓，请联系您所使用的中央仓的管理员将maven中央仓同步到该中央仓。

常用概念 应用：可以将应用理解为完成某项完整业务场景的软件系统。应用一般由多个微服务组成，应用里面的微服务能够相互发现和调用。 微服务：完成某项具体业务功能的软件系统。微服务是独立开发、部署的单元。 微服务实例：将微服务采用部署系统部署到运行环境，就产生了实例。可以将实例理解为一个进程，一个微服务可以部署若干实例。 微服务环境：服务中心建立的一个逻辑概念，比如development、production等。不同环境里面的微服务实例逻辑隔离、无法相互发现和调用。 父主题： 概述

开发流程说明 开发微服务应用 如果您已经完成了微服务应用的开发，可以跳过本流程，进入准备环境。 进行微服务应用开发，首先需要进行技术选型。技术选型是一个复杂的问题，技术决策者需要考虑使用的技术是否容易被团队成员掌握，技术能否满足项目对于功能、性能、可靠性方面的要求，还需要考虑商业服务等多方面的因素。本文档不探讨技术选型，假设技术团队已经选择了适合自己的开发框架。大部分技术团队都会选择开源框架来构建业务。 开发微服务应用的具体内容，请参考开发微服务应用。 使用Spring Cloud，通常会使用下面的技术进行本地微服务开发： 使用Java Chassis，通常会使用下面的技术进行本地微服务开发： 准备环境 创建云上环境，以支持ServiceComb引擎接入调试、云上应用部署和使用ServiceComb引擎功能。一般情况下，会创建一个测试环境和一个生产环境。通过ServiceStage，能够非常方便地管理云上环境，详细内容请参考准备环境。 对接微服务应用 用于微服务应用对接ServiceComb引擎，涉及到对已经开发好的应用的配置文件、构建脚本的修改。修改完成后，需要对应用重新编译、打包，通过ServiceStage将应用包部署到ServiceComb引擎，详细内容请参考对接微服务应用。 部署微服务应用 开发完成的微服务应用，通过ServiceStage部署到ServiceComb引擎，详细内容请参考部署微服务应用。 使用ServiceComb引擎功能 对于持续发展的应用系统，都会持续完善和迭代，每个迭代可能需要对微服务应用进行更新升级，需要使用更多的ServiceComb引擎功能。持续迭代的功能演进，会重复上面的应用开发、编译、打包和部署环节。详细内容请参考使用ServiceComb引擎功能。

接口类型 表1 接口类型说明 请求方法 POST 访问URI 用户在应用中配置的批量接收状态报告地址。 通信协议 HTTPS/HTTP 回调接口使用HTTPS协议时，服务端需支持TLS1.2，加密套件需支持 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256，TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384，TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256，TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384中的一种或多种。

注意事项 短信发送成功后，平台收到状态报告，会实时推送状态报告给用户，最迟不超过72小时。 平台推送汇聚后的状态报告，状态报告存在一定时延。 短信平台批量推送状态报告，单次最多推送50条。 若“statusCallback”字段已设置，则优先使用该字段的取值作为短信状态报告的回调地址。 若“statusCallback”字段未设置，则使用应用中配置的批量接收状态报告地址。 若“statusCallback”字段未设置且未在应用端配置批量接收状态报告地址，则用户无法接收短信平台主动发送的状态报告。

请求示例 POST /batchReport HTTP/1.1Host: 205.145.111.168:9330Content-Type: application/JSON;charset=UTF-8Authorization: SDK-HMAC-SHA256 Access=exampleAk,SignedHeaders=connection;content-length;content-type;host;x-sdk-date,Signature=765a365f3851fd1c96011a82b893266fb7b3e79b3002526c43199c97e61bb88bConnection: closePooltype: approxyOmpsid: 7f540777fe4b40dfb3c21d10f48781e3TerminalIP: ******TrcModule: APUserTrace: applicationTraceHandle: DMZ_818405{"statusReportList":[{"sequence":"1","total":"1","updateTime":"2023-04-18T07:26:00Z","source":"2","smsMsgId":"f6dcba15-ced9-45f7-9f5e-af82328c5253_1188602","status":"DELIVRD"},{"sequence":"1","total":"1","updateTime":"2023-04-18T07:26:00Z","source":"2","smsMsgId":"f6dcba15-ced9-45f7-9f5e-af82328c5253_123456","status":"DELIVRD"}]}

请求示例 申请激活短信签名，请求方式：PUT ，请求URL：/v2/{project_id}/msgsms/signatures/{id}/active，路径参数：id，project_id，请求头参数：X-Auth-Token，Content-Type。 PUT /v2/845ada5bc7444f1295cd517af0123da1/msgsms/signatures/07cfacbb-d48c-4c4d-b3da-baa8e4664852/active Host: 100.85.***.***:30300Content-Type: application/jsonX-Auth-Token:******

请求示例 创建短信模板，请求方式：POST ，请求URL：/v2/{project_id}/msgsms/templates，路径参数：project_id，请求头参数：X-Auth-Token，Content-Type；请求体：app_id，region，template_content，template_type，template_name。 POST /v2/845ada5bc7444f1295cd517af0123da1/msgsms/templates Host: 100.85.***.***:30300Content-Type: application/jsonX-Auth-Token: ****Content-Length: 308 { "app_id": "******9c-1a6b-4ee5-9651-5bca450694b3", "brackets": "GB", "region": "cn", "sign_id": "******10-c3fb-427e-965c-a98ae844c5bd", "template_content": "测试", "template_name": "auto_test789", "template_type": "NOTIFY_TYPE", "universal_template": 0}

请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 Content-Type 是 String 请求体参数类型，该字段必须设置为：application/json X-Auth-Token 是 String 用户Token。通过调用 IAM 服务获取用户Token接口获取（响应消息头中X-Subject-Token的值）。 表3 请求Body参数 参数 是否必选 参数类型 描述 app_id 是 String 应用主键ID，参考表5 响应SmsAppQueryResp参数中的ID。 brackets 否 String 中括号类型。支持枚举值： CN：中文类型【】 GB：英文类型 [] 须知： 默认值为：CN。 输入值不在上述枚举值范围内的，也按CN处理。 只有地域为国内时，该字段有效。 region 是 String 地域。 cn：国内 intl：国际 send_country 否 Array of Integers 发送国家ID列表，只有地域为国际时，该字段有效。 sign_id 否 String 签名主键ID，对应表5 响应SmsSignatureResp参数中的ID。只有地域为国内，且universal_template参数值不为1时，该字段有效。 template_content 是 String 模板内容。 template_desc 否 String 模板描述。 template_name 是 String 模板名称。 template_type 是 String 模板类型。只有地域为国内，且universal_template参数值不为1时，该字段有效。universal_template参数值为0，则模板类型继承绑定签名的签名类型。支持枚举值： VERIFY_CODE_TYPE：验证码类。 PROMOTION_TYPE：推广类。 NOTIFY_TYPE：通知类。 universal_template 否 Integer 是否为通用模板，当传参为1时，sign_id字段无效。 0：非通用模板 1：通用模板 variable_attributes 否 Array of SmsTemplateVariableAttrReq objects 模板参数。 表4 SmsTemplateVariableAttrReq 参数 是否必选 参数类型 描述 variable_desc 否 String 变量说明，当变量类型为TEXT时，必填 variable_index 是 Integer 变量索引，对应模板内容变量索引 variable_type 是 String 变量类型，目前支持：PHONE|CHARDIGIT|DATETIME|MONEY|TEXT

获取账号、用户、项目的名称和ID 从控制台获取账号名、账号ID、用户名、用户ID、项目名称、项目ID 在华为云首页右上角，单击“控制台”。 在右上角的用户名中选择“我的凭证”。 图1 进入我的凭证 在“我的凭证”界面，API凭证页签中，查看账号名、账号ID、用户名、用户ID、项目名称、项目ID。 图2 查看账号名、账号ID、用户名、用户ID、项目名称、项目ID 调用API获取用户ID、项目ID 获取用户ID请参考：管理员查询IAM用户列表。 获取项目ID请参考：查询指定条件下的项目列表。 父主题： 获取调用信息

请求示例 创建短信应用，完成短信应用创建，请求方式：POST，请求URI：/v2/{project_id}/msgsms/apps，请求头入参：X-Auth-Token，Content-Type，路径参数：project_id；请求体必传参数：app_name，region。 POST /v2/845ada5bc7444f1295cd517af0123da1/msgsms/apps Host: 100.85.***.***:30300Content-Type: application/jsonX-Auth-Token:******Content-Length: 144 {"app_name":"auto_test789","create_sign_and_template": 0,"enterprise_project_id":"0","enterprise_project_name":"default","region":"cn","show_secret": true}

请求示例 查询应用数量，返回应用个数，请求方式：GET，请求URI：/v2/{project_id}/msgsms/apps-count，路径参数project_id，请求头参数：X-Auth-Token，Content-Type Query参数：region。 GET /v2/845ada5bc7444f1295cd517af0123da1/msgsms/apps-count?region=cn Host: 100.85.***.***:30300Content-Type: application/jsonX-Auth-Token:******

请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 用户Token。通过调用IAM服务获取用户Token接口获取（响应消息头中X-Subject-Token的值） Content-Type 是 String 请求体参数类型，该字段必须设置为：application/json 表3 请求Body参数 参数 是否必选 参数类型 描述 app_name 是 String 应用名称 create_sign_and_template 否 Boolean 是否创建测试签名和模板。只有地域为国内时，该字段有效 true：是 false：否 enterprise_project_id 否 String 企业项目ID，默认为0 enterprise_project_name 否 String 企业项目名称，默认为default region 是 String 地域 cn：国内 intl：国际 up_link_addr 否 String 上行回调地址。只有地域为国内时，该字段有效 show_secret 否 Boolean 是否在返回消息里面显示密钥app_secret字段

响应参数 状态码： 200 表4 响应Body参数 参数 是否必选 参数类型 描述 file_id 否 String 文件ID file_name 否 String 文件名称 file_ref 否 Integer 文件引用 file_size 否 Long 文件大小 file_type 否 Integer 文件类型 module_type 否 Integer 模块类型 operator 否 String 操作人 update_time 否 String 更新时间