华为云用户手册

前提条件 已经创建集群，请参考购买集群操作。 构建任务会在CCE集群节点上启动一个构建容器，执行构建相关的操作。为了确保构建的安全性，建议您对CCE集群节点进行安全加固，请参考禁止容器获取宿主机元数据进行操作。 构建任务依赖预置在构建容器中的JDK、Golang、Maven、Gradle、Ant或Node.js编译工具。 支持同一个帐号下的不同 IAM 用户操作同一个构建集群。如需对特定IAM用户取消构建权限，请参考创建ServiceStage自定义策略为该用户设置自定义策略，将“servicestage:assembling:create”、“servicestage:assembling:modify”和“servicestage:assembling:delete”权限设置为拒绝策略。 已为构建节点绑定弹性IP，请参考绑定弹性IP。

前提条件 已经创建集群，请参考购买集群操作。 构建任务会在CCE集群节点上启动一个构建容器，执行构建相关的操作。为了确保构建的安全性，建议您对CCE集群节点进行安全加固，请参考禁止容器获取宿主机元数据进行操作。 构建任务依赖预置在构建容器中的JDK、Golang、Maven、Gradle、Ant或Node.js编译工具。 支持同一个帐号下的不同IAM用户操作同一个构建集群。如需对特定IAM用户取消构建权限，请参考创建ServiceStage自定义策略为该用户设置自定义策略，将“servicestage:assembling:create”、“servicestage:assembling:modify”和“servicestage:assembling:delete”权限设置为拒绝策略。 已为构建节点绑定弹性IP，请参考绑定弹性IP。

微服务组件说明 支持的运行时 支持的框架/服务网格 支持的源码/软件包 Java8 Java Chassis 源码仓库、Jar包 Tomcat8 源码仓库、War包 Docker 不需要设置该参数 Java8 Mesher 源码仓库、Jar包 Tomcat8 源码仓库、War包 Nodejs8/Nodejs14 源码仓库、Zip包 Php7 源码仓库、Zip包 Docker 不需要设置该参数 Python3 源码仓库、Zip包 Java8 Spring Cloud 源码仓库、Jar包 Tomcat8 源码仓库、War包 Docker 不需要设置该参数

前提条件 只能在应用下新增组件，请先创建应用，请参考创建应用。 如果您基于“源码仓库”创建微服务组件，那么您首先需要创建仓库授权，请参考仓库授权。 如果您基于软件包创建微服务组件，那么您首先需要将软件包上传至软件发布库、SWR软件仓库或者OBS对象存储中。 将软件包上传至软件发布库，请参考上传软件包。 将软件包上传至SWR软件仓库，请参考上传软件包。 将软件包上传至OBS对象存储中，请参考上传文件。 如果上传软件包失败，请参考如何解决上传软件包失败的问题？。

前提条件 只能在应用下新增组件，请先创建应用，请参考创建应用。 如果您基于“源码仓库”创建微服务组件，那么您首先需要创建仓库授权，请参考仓库授权。 如果您基于软件包创建微服务组件，那么您首先需要将软件包上传至软件发布库、SWR软件仓库或者OBS对象存储中。 将软件包上传至软件发布库，请参考上传软件包。 将软件包上传至SWR软件仓库，请参考上传软件包。 将软件包上传至OBS对象存储中，请参考上传文件。 如果上传软件包失败，请参考如何解决上传软件包失败的问题？。

前提条件 已经创建应用组件或者正在创建应用组件并完成了静态组件配置，请参考新建应用组件。 已经完成环境创建，请参考环境管理。 如果您基于软件包或者镜像包部署组件，需要将软件包或者镜像包上传： 将软件包上传至软件发布库，相关操作请参考上传软件包。 将软件包上传至SWR软件仓库，请参考上传软件包。 将软件包上传至OBS对象存储中，请参考上传文件。 将镜像包上传至镜像仓库，请参考上传镜像。 配置AK/SK，请参考AK/SK认证方式排查与切换指导。

使用场景 表1 存储项使用场景说明 项目 场景 云硬盘存储 EVS目前支持普通I/O、高I/O、超高I/O规格。 普通I/O：后端存储由SATA存储介质提供，适用于大容量、读写速率要求不高、事务处理较少的场景，如：开发测试、企业办公应用。 高I/O：后端存储由SAS存储介质提供，适用于性能相对较高、读写速率要求高、有实时数据存储需求的场景，如：创建文件系统、分布式文件共享。 超高I/O：后端存储SSD存储介质提供，适用于高性能、高读写速率要求、数据密集型的场景，如：NoSQL、关系型数据库、 数据仓库 （如Oracle RAC、SAP HANA）。 文件存储 文件存储适用于 媒体处理 、内容管理、大数据和分析工作负载程序等场景。 对象存储 标准存储： 适用于有大量热点文件或小文件，且需要频繁访问（平均一个月多次）并快速获取数据的业务场景。例如云应用、数据分析、内容分析、热点对象等。 低频访问存储： 适用于不频繁访问（平均一年少于12次），但需要快速获取数据的业务场景。例如静态网站托管、备份/活跃归档、作为云服务的存储资源池或者备份存储等。 主机路径挂载 将应用组件所在宿主机的文件目录挂载到应用指定的挂载点中，如应用组件需要访问/etc/hosts则可以使用HostPath映射/etc/hosts等场景。 须知： 请不要挂载在系统目录下，如“/”、“/var/run”等，会导致应用组件实例异常。建议挂载在空目录下。若目录不为空，请确保目录下无影响应用组件实例启动的文件。否则文件会被替换，导致应用组件实例启动异常。 临时路径挂载 用于临时存储，生命周期与应用组件实例相同。应用实例消亡时，EmptyDir会被删除，数据会永久丢失。 配置项挂载 将配置项中的key映射到应用中，可以用于挂载配置文件到指定应用组件目录。 密钥挂载 将应用认证信息、应用密钥等敏感信息存储在密钥中，并将密钥挂载到应用组件的指定路径中。

管理阈值告警 阈值规则创建完成后，您还可以按照表2中的步骤来管理阈值告警。 表2 相关操作 操作 说明 修改阈值告警 当您发现当前的阈值规则设置不合理时，您可以参考如下操作对阈值规则进行修改，以便更好的满足您的业务需求。 单击阈值告警列表“操作”列的“修改”。 在“修改阈值规则”页面中根据界面提示修改阈值规则的相关参数。 单击“修改”。 删除阈值告警 随着业务的变动，当您发现当前的阈值规则已不再需要时，您可以参考如下操作删除阈值规则，以便释放更多的阈值规则资源。 删除阈值规则。 删除单个阈值：单击阈值规则列表“操作”列的“删除”。 删除单个或多个阈值规则：选中单个或多个阈值规则前的复选框，单击页面上方的“删除”。 在弹出的对话框中单击“确定”。 搜索阈值告警 在下拉列表框中选择时间段。 在页面右上角的搜索框中输入阈值告警名称或描述的关键字。 单击，或在键盘上按“Enter”键。 也可单击“高级搜索”设置搜索条件，单击“搜索”进行查询。 查看阈值告警 在已设的连续周期内，当指标数据满足阈值条件时，系统会发送阈值告警。 在阈值告警列表中查看该告警。 查看数据不足事件 在已设的连续周期内，当没有指标数据上报时，系统会发送数据不足事件。 可单击“事件”页签，在事件列表中查看该事件。

微服务引擎概述 微服务引擎（Cloud Service Engine， CS E）提供服务注册、服务治理、配置管理等全场景能力；帮助用户实现微服务应用的快速开发和高可用运维。支持多语言、多运行时；支持双栈模式，统一接入和管理Spring Cloud、Apache ServiceComb Java Chassis（Java Chassis）侵入式框架和非侵入式服务网格。 您可以直接使用名称为“Cloud Service Engine”的微服务引擎专业版，也可以创建微服务引擎专享版。 微服务引擎专享版采用物理隔离的方式部署，租户独占微服务引擎。 微服务引擎专业版不支持多可用区（AZ）。 微服务引擎专享版在创建时可以设置多可用区（AZ）。 创建微服务引擎后，可用区不支持修改，请根据需要设置。 不支持创建跨CPU架构的微服务引擎专享版实例。 父主题： 微服务引擎（CSE）

健康检查方式 HTTP请求检查 HTTP请求方式针对的是提供HTTP/HTTPS服务的应用组件，集群周期性地对该应用发起HTTP/HTTPS GET请求，如果HTTP/HTTPS response返回码属于200~399范围，则证明探测成功，否则探测失败。使用HTTP请求探测必须指定应用监听的端口和HTTP/HTTPS的请求路径。 例如：提供HTTP服务的应用组件，端口为80，HTTP检查路径为/health-check，主机地址为containerIP，那么集群会周期性地对应用发起如下请求： GET http://containerIP:80/health-check HTTP请求检查中的主机地址，如果不填写，默认为实例IP。 TCP端口检查 对于提供TCP通信服务的应用，集群周期性地对该应用建立TCP连接。如果连接成功，则证明探测成功，否则探测失败。选择TCP端口探测方式，必须指定应用监听的端口。比如有一个nginx应用组件，它的服务端口是80，对该应用组件配置了TCP端口探测，指定探测端口为80，那么集群会周期性地对该应用组件的80端口发起TCP连接，如果连接成功则证明检查成功，否则检查失败。 执行命令检查 命令检查方式要求用户指定一个应用组件内的可执行命令，集群会周期性地在应用组件内执行该命令，如果命令的返回结果是0则检查成功，否则检查失败。 对于上面提到的TCP端口检查和HTTP请求检查，都可以通过执行命令检查的方式来替代： 对于TCP端口探测，可以使用程序来对应用组件的端口进行connect，如果connect成功，脚本返回0，否则返回-1。 对于HTTP请求探测，可以使用脚本来对应用组件进行wget： wget http://127.0.0.1:80/health-check 并检查response的返回码，如果返回码在200~399的范围，脚本返回0，否则返回-1。 必须把要执行的程序放在应用组件的镜像里面，否则会因找不到程序而执行失败。 如果执行的命令是一个shell脚本，由于集群在执行应用组件里的程序时，不在终端环境下，因此不能直接指定脚本为执行命令，需要加上脚本解释器。比如脚本是/data/scripts/health_check.sh，那么使用执行命令检查时，指定的程序应该是sh /data/scripts/health_check.sh。究其原因是集群在执行应用组件里的程序时，不在终端环境下。

背景说明 如果微服务应用部署在ServiceStage上，部署应用时需要设置微服务引擎，应用会自动获取服务注册发现地址、配置中心地址和仪表盘地址，不需要配置monitor地址，就可以使用仪表盘功能（当前只有Java Chassis支持仪表盘地址自动发现功能）。 如果是本地启动微服务应用注册到微服务引擎，需要手工配置monitor地址，才可以使用仪表盘功能。 配置monitor地址，请参考使用仪表盘。

亲和性概念阐述 在应用没有容器化之前，原先一个虚机上会装多个组件，进程间会有通信。 但在做容器化拆分的时候，往往直接按进程拆分容器。比如业务进程一个容器，监控日志处理或者本地数据放在另一个容器，并且有独立的生命周期。这时如果他们分布在网络中两个较远的点，请求经过多次转发，性能会很差。 亲和性可以实现就近部署，增强网络能力实现通信上的就近路由，减少网络的损耗。 反亲和性主要是出于高可靠性考虑，尽量分散实例，某个节点故障的时候，对应用的影响只是N分之一或者只是一个实例。 应用与可用区的亲和性 亲和：决定应用组件部署在特定的可用区中。 反亲和：决定应用组件不能部署在特定的可用区中。 应用与节点间的亲和性 亲和：决定应用组件部署在某些特定的主机中。 反亲和：决定应用组件不能部署在某些特定的主机中。 应用间的亲和性 决定应用组件部署在相同或不同节点中。 亲和：用户可根据业务需求进行应用组件的就近部署，应用组件间通信就近路由，减少网络消耗。如图1所示，APP1、APP2、APP3和APP4部署在相同节点上，为亲和性部署。 图1 应用间亲和 反亲和：同个应用组件的多个实例反亲和部署，减少宕机影响；互相干扰的应用反亲和部署，避免干扰。 如图2所示，APP1、APP2、APP3和APP4分别部署在不同节点上，这四个应用为反亲和性部署。 图2 应用间反亲和

构建工程维护操作说明 表1 维护操作 操作 操作说明 编辑 单击“编辑”，进入到构建工程配置界面，请参考编辑软件包构建工程或编辑源码构建工程。 立即构建 单击“立即构建”，启动构建工程。 查看详情/构建历史 单击“查看其它构建记录”，在“构建记录”下查看构建历史。 单击“日志”，可以查看本次构建记录日志。 单击“代码检查”，可以查看代码检查概况及代码检查详细信息。 目前支持的代码检查插件有：checkstyle、findbugs、pmd。 说明： 仅Maven构建工程支持代码检查。

前提条件 只能在应用下新增组件，请先创建应用，请参考创建应用。 如果您基于“源码仓库”创建微服务组件，那么您首先需要创建仓库授权，请参考仓库授权。 如果您基于软件包创建微服务组件，那么您首先需要将软件包上传至软件发布库、SWR软件仓库或者OBS对象存储中。 将软件包上传至软件发布库，请参考上传软件包。 将软件包上传至SWR软件仓库，请参考上传软件包。 将软件包上传至OBS对象存储中，请参考上传文件。 如果上传软件包失败，请参考如何解决上传软件包失败的问题？。

系统管理概述 同一个微服务引擎可能会有多个用户共同使用，而不同的用户根据其责任和权限，需要具备不同的微服务引擎访问和操作权限。 开启了“安全认证”的微服务引擎专享版，通过微服务控制台提供了基于RBAC（Role-Based Access Control，基于角色的访问控制）的系统管理功能。 开启了“安全认证”的微服务引擎专享版，支持Spring Cloud、Java Chassis微服务框架正常接入。 基于RBAC的系统管理功能与IAM权限管理无关，仅是CSE内部微服务的权限管理机制。 如果您通过ServiceStage控制台操作微服务引擎，必须同时具备IAM和RBAC的操作权限，且IAM权限优先级要高于RBAC权限。 如果您通过API接口或者微服务框架操作微服务引擎，则只需具备RBAC相关权限。 您可以使用关联了admin角色权限的帐号创建新帐号，根据实际业务需求把合适的角色同帐号关联。使用该帐号的用户则具有对该微服务引擎的相应的访问和操作权限。 创建开启了“安全认证”的微服务引擎专享版时，系统自动创建1个关联了admin角色权限的root帐号。不能编辑、删除root帐号。 您可以使用创建该微服务引擎的root帐号或者该微服务引擎下关联了admin角色权限的帐号创建新帐号。创建和管理帐号，请参考帐号管理。 您可以使用关联了admin角色权限的帐号创建自定义角色，根据业务需求把合适的微服务引擎访问和操作权限赋予该角色。 系统默认内置两种角色：管理员（admin）、开发者（developer）。不能编辑、删除内置角色。 您可以使用创建该微服务引擎的root帐号或者该微服务引擎下关联了admin角色权限的帐号创建自定义角色。创建和管理角色，请参考角色管理。 角色权限说明，请参见表1。 表1 角色权限说明 角色 权限说明 admin 具有该微服务引擎下所有微服务、帐号和角色的所有操作权限。 developer 具有该微服务引擎下所有微服务的所有操作权限。 自定义角色 根据实际业务需求创建角色，给角色分配相应微服务的操作权限。 父主题： 系统管理

业务场景 基于ServiceStage可以方便快捷的将微服务部署到容器（如CCE）、虚拟机（如ECS）或无服务器（如CCI），同时支持源码部署、jar/war包部署或docker镜像包部署。同时，ServiceStage支持 Java、PHP、Node.js、Go、Python 多种编程语言应用的完全托管，包括部署、升级、回滚、启停和删除等。 本实践中使用了Java开发的后台组件和Node.js开发的前台组件。

概述 天气预报微服务应用提供天气预报、紫外线和天气湿度展示等功能。本文通过天气预报应用，展示了微服务架构设计理念的应用场景，以及使用ServiceStage管理运行环境、搭建流水线和治理微服务的最佳实践。 天气预报由前端应用和后端应用组成。前端应用weathermapweb采用Node.js进行开发，通过Mesher技术接入微服务引擎，实现前端应用发现后端应用。 后端应用采用Java微服务开发框架实现，包括fusionweather、forecast、weather、weather-beta等微服务。其中： fusionweather是一个聚合微服务，通过访问weather和forecast服务，提供全方位的天气预报功能。 forecast实现未来几天天气预报查询功能。 weather实现天气湿度查询功能。 weather-beta微服务是weather微服务的新版本，新增了查询指定城市紫外线情况的功能。 天气预报源码仓库地址：https://github.com/servicestage-demo/weathermap.git。各个组件使用的技术如下： 表1 天气预报组件列表 仓库分支 组件名称 采用技术 master weathermapweb Node.js fusionweather ServiceComb forecast ServiceComb weather ServiceComb 天气预报的逻辑组网和调用关系图如下： 父主题： 使用ServiceStage托管天气预报微服务应用

创建环境 登录ServiceStage，选择“环境管理”，单击“创建环境” 。 设置环境信息。 “环境名称”：输入环境名称，例如：“test-env”。 “企业项目”：设置企业项目，本例默认使用default。 “虚拟私有云(VPC)”：在下拉列表选择已创建的 虚拟私有云VPC 。 “基础资源”：单击“新增基础资源”，选择该VPC下的基础资源，本例使用云容器引擎(CCE)。 “可选资源”：单击“新增可选资源”，选择该VPC下可选资源，本例使用Cloud Service Engine微服务引擎专业版。 选定VPC后，会加载该VPC下的基础资源和可选资源供选择，不在该VPC下的资源无法选择。 环境创建完成后，不支持修改VPC。 单击“立即创建”，完成环境创建。 图1 设置环境信息

资源准备 为了方便后续的操作，需要您提前准备好如下资源： 已获取AK/SK，请参考访问密钥。 如果使用微服务引擎专业版，需要配置AK/SK（本最佳实践使用微服务引擎专业版）。 如果使用微服务引擎专享版，不需要配置AK/SK。需要先创建一个未开启安全认证的微服务引擎专享版，请参考创建微服务引擎专享版。 创建一个虚拟私有云，请参考创建虚拟私有云和子网。 创建一个CCE集群（如果只是试用场景，“集群管理规模”选择“50节点”，“控制节点数”选择“1”即可）。 集群中至少包含1个规格为8vCPUs、16GB内存或者2个规格为4vCPUs、8GB内存的ECS节点，并且绑定弹性公网IP，请参考购买集群。

操作步骤 升级微服务组件使用的SDK版本。 开启安全认证功能，需要使用的SDK支持安全认证功能。如果当前的微服务组件使用的SDK版本低于要求的版本（Spring Cloud Huawei需要1.6.1及以上版本、Java Chassis需要2.3.5及以上版本），需要对当前的微服务进行SDK版本升级。 开启微服务组件安全认证。 微服务引擎开启安全认证前，需要对已连接到该引擎的微服务组件配置安全认证参数。 配置安全认证参数是通过配置安全认证帐号和密码的方式触发，具体方法请参考配置微服务安全认证的帐号名和密码。 微服务引擎没有开启安全认证时，如果连接到当前微服务引擎的微服务组件配置了安全认证参数，微服务组件的正常业务功能不受影响。 开启微服务引擎专享版安全认证，请参考开启安全认证。 开启安全认证后，接入该引擎的微服务组件如果没有配置安全认证参数，或者微服务组件配置的安全认证帐号和密码不正确，会导致该微服务组件心跳失败，服务被迫下线。

体验微服务降级 ServiceStage支持从界面上设置按微服务或接口粒度降级。 以对forecast微服务降级为例，操作步骤如下。 登录ServiceStage控制台，选择“微服务引擎 CSE”。 选择创建环境时选择的微服务引擎，单击“查看控制台”。 图1 查看控制台 单击“服务治理”。 图2 进入服务治理页面 单击创建应用时创建的应用名称（例如weathermap）。 图3 进入应用服务治理 配置降级策略。 选择fusionweather微服务。 选择“降级”。 单击“新增”。 “降级对象”选择“forecast”和“所有方法”。 “降级策略”设置为“开启”。 单击“确定”。 查看效果。 访问应用，右侧天气预测部分显示空白。 图4 微服务降级后服务应用结果 单击，删除降级策略，以免对后续体验造成影响。

步骤1：注册设备 登录华为HiLens管理控制台，单击“专业版”，切换至专业版控制台。 单击左侧导航栏“设备管理”，进入“设备管理”页面。 单击注册设备，进入注册设备页面。 填写注册信息，单击右下角的“确认”。 基本信息 图3 基本信息 表1 注册设备基础信息 参数 说明 设备名称 设备注册时使用的名称，批量注册时使用该名称作为前缀。仅允许中文字符、英文字母、数字、下划线、中划线且长度不超过64。 描述 设备描述。不允许输入*~#等特殊字符且长度为0-255。 标签 设备标签。 单击“创建标签”，添加标签，在输入框中依次填写标签键和标签值。 只允许大小写字母、数字、下划线和中划线，不允许为空。标签键不允许重复，最大长度为36个字符，标签值最大长度为43个字符。 最多可添加20组标签。 单击，删除标签。 部署方式 当前仅支持注册“HiLens”类型设备。 设备类型 选择待注册的设备类型，包括“Atlas 500”、“Atlas 800”、“通用ARM设备”、“通用x86设备” 等设备类型。 本样例选择“Windows”。 高级设置 图4 高级设置 参数 说明 开启AI加速卡 AI加速卡开关，开启后AI加速卡类型当前仅支持“Nvidia GPU”。 批量注册 批量注册开关。如果开启，选择注册设备的数量。 输入值范围必须在1~100000。 IAM用户名 由帐号在IAM中创建的用户，如果没有IAM账户时，填写华为云帐号名。相关概念请参见IAM基本概念。 工作空间 选择设备注册的工作空间。默认帐号的默认工作空间，可自定义选择。 事件有效时间 若您在设备离线时进行操作，则操作将保留在待执行的事件列表中，待设备上线后执行。 日志设置 配置日志的“日志存储时间”、“日志等级”，设置“LTS日志上传”开关。 图5 应用日志 表2 注册设备日志设置 参数 说明 日志存储时间 日志存储时长，单位为天。输入值范围必须在1~30。 日志等级 选择日志等级，可选“Error（错误）”、“Warning（警告）”、“Info（信息）”、“Debug（调试）”。 本地日志设置 大小限制 对该注册设备的日志大小限制，默认为50MB，不可自定义。 日志滚动数量 每隔 {0} 天，对本地日志根据数量对日志进行一次日志滚动，删除最旧的日志文件。每个日志文件固定10M。 LTS 云日志 设置 日志上传 日志上传开关。系统日志与应用日志默认在本地存储，如果要上传至云日志服务(LTS)，可开启“日志上传”开关。 开关开启后，选择日志等级，仅对应等级的日志上传至LTS。 填写完注册设备的基本信息，在“完成，下载固件”页面，单击操作列的“下载”，下载对应的固件和配置文件至本地。 图6 下载固件和证书文件 设备故障和离线状态时，可尝试重新下载证书并再次执行注册命令，设备激活状态、部署等信息不变。同一设备下，证书总共最多可下载10次。 解压上一步下载的“HiLens_Device_Agent”，得到可执行文件“hdad.exe”。 双击“hdad.exe”，保持窗口开启。 打开PC命令提示符窗口，执行如下命令注册设备： [固件文件夹路径]\hdad.exe hdactl bind -p [证书路径]\win10.tar.gz 注册命令示例如下： HiLens_Device_Agent\hdad.exe hdactl bind -p Device-20221031151022.tar.gz 在专业版管理控制台左侧菜单栏单击“设备管理”，默认设备列表展现所有设备，查看到您所注册的设备列表，且设备状态处于“运行中”状态，则说明您的设备成功注册。 图7 控制台查看设备

准备工作 安装Git for Windows ModelBox中有些脚本的执行依赖bash，使用Git bash也可以让开发者在Windows上获得与Linux相同的执行环境，因此需要安装Git for Windows。 安装后打开Git bash，可以使用Linux命令执行某些操作。 安装Python3.8.10 ModelBox技能的开发运行需要Python3.8.10环境（目前Python版本必须为3.8.10，且无法使用Anaconda环境中的Python）。 安装Python第一步，需要勾选“将Python3.8加到环境变量PATH中”。 图1 安装Python 安装Visual Studio Code 与使用ModelBox的其他套件一样，推荐使用Visual Studio Code进行技能开发，请登录Visual Studio Code官网下载安装Windows x64版本的编辑器。 图2 安装Visual Studio Code

步骤4：启动技能 在HiLens Studio界面的右侧“Skill Installation”区，在“Device Name”列选择您要启动技能的设备，单击设备名称左侧的，查看设备下的技能。 如果右侧没有“Skill Installation”区，请单击HiLens Studio界面右侧。 鼠标移至技能“Mask_Detection_Cpp_C76”的“Operation”，单击“Start”。 弹出“Start Skill”对话框。 图7 启动技能 在“Starting Skill”对话框中单击“Yes”。 右下方提示“Starting the skill”。 开始启动技能，技能启动时会有一个命令下发过程，您需要等待一段时间技能才能启动成功，右下方提示“Success to start the skill”，同时在界面看到技能状态“Status”更新为“Running”。 图8 启动技能 技能处于“Running”状态时，您可以通过显示器查看技能输出的视频数据，此样例所开发的口罩识别技能可检测视频中的人是否佩戴口罩，输出的视频中会用方框标识出人脸，并标记是否戴口罩。 图9 技能效果

步骤3：启动技能 在华为HiLens专业版控制台添加作业页面，填写配置信息，单击“下一步”。 基本信息 填写作业的“名称”和“描述”。此样例可使用默认填写的作业名称。 图6 基本信息 参数配置 配置技能运行的相关参数。此样例中“mask-det-yolo3-win”技能可不用配置相关参数。 输入 技能运行时，数据输入来源。 此样例中“mask-det-yolo3-win”技能使用设备自带或USB接入的摄像头，因此输入配置选择“从摄像头输入”： “摄像头类型”：自带/外置摄像头。 “摄像头ID”：0。如果有多个摄像头，可以使用不同的ID选择不同的摄像头。 图7 输入配置 输出 技能运行时，数据输出位置。 此样例中“mask-det-yolo3-win”技能检测结果输出到本地PC屏幕上，因此输出配置选择“本地屏幕”，“显示名称”填写一个自定义名称，如“mask_det”。 图8 输出配置 高级配置 计算资源：摄像头或VCN输入的作业，可根据路数计算出消耗资源。若设备所剩资源小于计算资源，则该作业处于排队状态。 启动时间：选择技能启动时间，可选“立即启动”和“定时启动”。 图9 启动时间 单击“确定”。 稍后PC屏幕会自动弹出实时的口罩检测画面。 登录专业版华为HiLens控制台的设备管理页面，单击部署技能的设备，进入设备详情页面。 在部署列表页签中，将会看到创建好的部署工程和运行中的作业，可以针对作业进行编辑、停止、启动、删除等操作。 图10 技能运行

效果验证 部署成功后，可在浏览器的地址栏中输入“https://域名”，按“Enter”。 如果浏览器地址栏显示安全锁标识，则说明证书安装成功。 如果网站仍然出现不安全提示，请参见为什么部署了SSL证书后，网站仍然出现不安全提示？。 如果通过域名访问网站时，无法打开网站，请参见为什么部署了SSL证书后，通过域名访问网站时，无法打开网站？进行处理。 如果仍未解决或出现其他问题，华为云市场提供SSL证书配置优化服务，专业工程师一对一服务，请直接单击一对一咨询进行购买，购买服务后，联系工程师进行处理。

步骤二：配置Weblogic 登录Weblogic服务器管理控制台。 单击页面左上方“Lock & Edit”，解锁配置。 在“Domain Configurations”中，单击“Servers”。 图2 服务器 在服务器列表中，选择您需要配置服务器证书的Server，进入服务器的设置页面。 图3 目标服务器 修改HTTPS端口。 在服务器的配置页面，选择“General”页签，配置是否启用HTTP和HTTPS，以及访问端口号。 请勾选“Listen SSL Port Enabled”，并修改端口号为“443”。 图4 端口 配置认证方式和密钥。 在服务器的配置页面，选择“Keystores”页签，配置认证方式。 图5 认证方式 服务器身份认证请选择“Custom identity and Java Standard Trust”。 双向认证请选择“Custom Identity and Custom Trust”。 在“Identity”区域中，配置密钥。 配置密钥库文件server.jks所保存的服务器上的路径，并填写密钥库文件密码。 图6 密钥 Custom Identity Keystore：请填写jks文件保存路径。示例：C:\bea\server.jks Custom Identity Keystore Type：文件格式请填写“jks”。 Custom Identity Keystore Passphrase：请填在证书密码，即“keystorePass.txt”中的密码。 Confirm Custom Identity Keystore Passphrase：请再次填写证书密码。 在单向认证中，需要配置JRE默认信任库文件cacerts。 Cacerts默认密码为changeit。 图7 信任库文件 Java Standard Trust Keystore Passphrase：输入默认密码changeit。 Confirm Java Standard Trust Keystore Passphrase：再次输入默认密码。 配置服务器证书私钥别名。 在服务器的配置页面，选择“SSL”页签，配置以下参数： 图8 私钥 Identity and Trust Locations：请选择为“Keystores”。 Private KeyAlias：配置私钥库中的私钥别名信息。私钥别名可以使用keystool -list命令查看。 Private Key Passphrase：输入私钥保护密码。通常私钥保护密码和keystore文件保护密码相同。 Confirm Private Key Passphrase：再次输入私钥保护密码。 设置完成后，单击“Active Changes”，保存所有修改。 图9 保存配置 （可选）如果系统提示需要重启Weblogic，则需要重启后才能使配置生效。如图10所示，则无需重启。 图10 提示信息

步骤一：确认验证步骤 DNS验证只能在域名管理平台（即您的域名托管平台）上进行解析。请根据域名管理平台类型执行验证步骤： 域名管理平台类型 验证步骤 域名管理平台是华为云 继续执行后续所有步骤。 域名管理平台不是华为云 请确认是否愿意把域名从其他服务商迁移到华为云DNS？ 是。请执行以下操作步骤： 请参见怎样把域名从其他服务商迁移到华为云DNS？，把域名从其他服务商迁移到华为云DNS。 继续执行后续所有步骤。 否。请在相应的平台上进行DNS验证。例如，域名托管在阿里云，则需要到阿里云的云解析DNS控制台进行相关配置。

步骤四：查看域名验证是否生效 在Windows系统中，单击“开始”，输入“cmd”，进入命令提示符对话框。 根据不同的记录类型，选择执行表 验证命令所示命令，查看DNS验证配置是否已经生效。 表2 验证命令 记录类型 验证命令 TXT nslookup -q=TXT xxx CNAME nslookup -q=CNAME xxx xxx代表域名服务商返回的“主机记录”值。 如果界面回显的记录值（text的值）与域名服务商返回的“记录值”一致，如图3所示，说明域名授权验证配置已经生效。 图3 域名授权验证配置生效 如果界面未回显记录值，显示为“Non-existent domain”，说明域名授权验证配置未生效。 图4 域名授权验证配置未生效 如果DNS验证配置未生效，请根据以下可能原因进行排除修改，直至验证生效。 表3 排查处理 可能原因 处理方法 域名管理平台选择错误 DNS验证只能在域名管理平台（即您的域名托管平台）上进行解析，请确认您进行DNS验证的平台是否为您的域名托管平台。 旧解析记录未删除 证书签发后添加的解析记录即可删除。 若您上一次申请证书时添加的解析记录未删除，本次申请证书添加的解析记录将不会生效，请您确认是否未删除上一次解析记录。 记录配置出错 请您检查“主机记录”、“类型”或“记录值”是否填写正确。 图5 配置记录 配置的生效时间过长，生效时间还未到，因此无法查询到数据。 请您检查生效时间（TTL）是否设置过长，建议将生效时间修改为5分钟。不同的域名提供商的DNS配置不一样，如华为云的DNS（云解析服务）默认是5分钟后生效，如下图所示。 若配置的生效时间未到，请等时间到了后再进行验证。 图6 生效时间

DV证书DNS验证失败如何处理？ 失败提示信息 解决方案 提交验证频繁，请稍后再试 验证过于频繁，建议您等待3-5分钟后，执行验证操作。 DNS记录值不匹配 您配置的DNS记录值不正确，请参照步骤二：获取验证信息获取正确记录值后，重新配置。 DNS验证失败，请稍后再试。 请排查是否存在以下问题： 可能问题一：DNS记录值配置未生效。 解决方案：DNS记录值配置完后不会立即生效（具体生效时间为您域名服务器中设置的TTL缓存时间），建议您等待3-5分钟后，执行验证操作。 可能问题二：DNS记录值正确配置，且一段时间后验证依然失败。 解决方案：CA验证服务器位于国外，部分时间可能存在网络问题，导致验证DNS失败，请等待1-2小时，或尝试重新发起申请。 可能问题三：域名未完成备案或实名认证。 解决方案：请完成域名备案和实名认证后，进行域名所有权验证。 可能问题四：域名存在CAA类型的解析记录。 解决方案：CAA记录会导致验证失败，您需要在域名解析记录中删除所有CAA类型的记录。 可能问题五：CA验证服务器没有检测到DNS解析记录。 解决方案：CA验证服务器位于国外，需要您放开该域名国外的访问限制。