华为云用户手册

响应示例 状态码： 200 查询任务列表成功 { "total" : 1, "jobs" : [ { "id" : "03141229-84cd-4b1b-9733-dd124320c125", "name" : "testjob", "type" : "METADATA_MIGRATION", "create_time" : "2023-05-27T10:04:35.743Z", "start_time" : "2023-05-27T10:04:35.743Z", "status" : { "status" : "SUC CES S" } } ]} 状态码： 400 Bad Request { "error_code" : "common.01000001", "error_msg" : "failed to read http request, please check your input, code: 400, reason: Type mismatch., cause: TypeMismatchException"} 状态码： 401 Unauthorized { "error_code": 'APIG.1002', "error_msg": 'Incorrect token or token resolution failed'} 状态码： 403 Forbidden { "error" : { "code" : "403", "message" : "X-Auth-Token is invalid in the request", "error_code" : null, "error_msg" : null, "title" : "Forbidden" }, "error_code" : "403", "error_msg" : "X-Auth-Token is invalid in the request", "title" : "Forbidden"} 状态码： 404 Not Found { "error_code" : "common.01000001", "error_msg" : "response status exception, code: 404"} 状态码： 408 Request Timeout { "error_code" : "common.00000408", "error_msg" : "timeout exception occurred"} 状态码： 500 Internal Server Error { "error_code" : "common.00000500", "error_msg" : "internal error"}

响应示例 状态码： 400 Bad Request { "error_code" : "common.01000001", "error_msg" : "failed to read http request, please check your input, code: 400, reason: Type mismatch., cause: TypeMismatchException"} 状态码： 401 Unauthorized { "error_code": 'APIG.1002', "error_msg": 'Incorrect token or token resolution failed'} 状态码： 403 Forbidden { "error" : { "code" : "403", "message" : "X-Auth-Token is invalid in the request", "error_code" : null, "error_msg" : null, "title" : "Forbidden" }, "error_code" : "403", "error_msg" : "X-Auth-Token is invalid in the request", "title" : "Forbidden"} 状态码： 404 Not Found { "error_code" : "common.01000001", "error_msg" : "response status exception, code: 404"} 状态码： 408 Request Timeout { "error_code" : "common.00000408", "error_msg" : "timeout exception occurred"} 状态码： 500 Internal Server Error { "error_code" : "common.00000500", "error_msg" : "internal error"}

响应参数 状态码： 200 表5 响应Header参数 参数 参数类型 描述 X-request-id String 请求ID，定位辅助信息。 状态码： 400 表6 响应Body参数 参数 参数类型 描述 error_code String 错误码。 error_msg String 错误描述。 common_error_code String CBC公共错误码。 solution_msg String 解决方案描述。 状态码： 404 表7 响应Body参数 参数 参数类型 描述 error_code String 错误码。 error_msg String 错误描述。 common_error_code String CBC公共错误码。 solution_msg String 解决方案描述。 状态码： 500 表8 响应Body参数 参数 参数类型 描述 error_code String 错误码。 error_msg String 错误描述。 common_error_code String CBC公共错误码。 solution_msg String 解决方案描述。

请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 租户token。 表3 请求Body参数 参数 是否必选 参数类型 描述 agreements 否 Array of TenantAgreement objects 租户协议列表。 表4 TenantAgreement 参数 是否必选 参数类型 描述 agreement_name 否 String 协议名称。只能包含字母、数字、下划线和中划线，且长度为1到64个字符。 agreement_version 否 String 协议版本号。只能包含字母和数字，且长度为1到32个字符。

请求示例 POST https://{endpoint}/v1/{project_id}/agreement{ "agreements" : [ { "agreement_name" : "agreement AAA", "agreement_version" : "v1" }, { "agreement_name" : "agreement BBB", "agreement_version" : "v1" } ]}

支持的授权项 策略包含系统策略和自定义策略，如果系统策略不满足授权要求，管理员可以创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应，授权项列表说明如下： 权限：允许或拒绝某项操作。 对应API接口：自定义策略实际调用的API接口。 授权项：自定义策略中支持的Action，在自定义策略中的Action中写入授权项，可以实现授权项对应的权限功能。 依赖的授权项：部分Action存在对其他Action的依赖，需要将依赖的Action同时写入授权项，才能实现对应的权限功能。 IAM 项目(Project)/企业项目(Enterprise Project)：自定义策略的授权范围，包括IAM项目与企业项目。授权范围如果同时支持IAM项目和企业项目，表示此授权项对应的自定义策略，可以在IAM和企业管理两个服务中给用户组授权并生效。如果仅支持IAM项目，不支持企业项目，表示仅能在IAM中给用户组授权并生效，如果在企业管理中授权，则该自定义策略不生效。关于IAM项目与企业项目的区别，详情请参见：IAM与企业管理的区别。

响应示例 状态码： 400 Bad Request { "error_code" : "common.01000001", "error_msg" : "failed to read http request, please check your input, code: 400, reason: Type mismatch., cause: TypeMismatchException"} 状态码： 401 Unauthorized { "error_code": 'APIG.1002', "error_msg": 'Incorrect token or token resolution failed'} 状态码： 403 Forbidden { "error" : { "code" : "403", "message" : "X-Auth-Token is invalid in the request", "error_code" : null, "error_msg" : null, "title" : "Forbidden" }, "error_code" : "403", "error_msg" : "X-Auth-Token is invalid in the request", "title" : "Forbidden"} 状态码： 404 Not Found { "error_code" : "common.01000001", "error_msg" : "response status exception, code: 404"} 状态码： 408 Request Timeout { "error_code" : "common.00000408", "error_msg" : "timeout exception occurred"} 状态码： 500 Internal Server Error { "error_code" : "common.00000500", "error_msg" : "internal error"}

响应参数 状态码： 400 表4 响应Body参数 参数 参数类型 描述 error_code String 错误码。 error_msg String 错误描述。 common_error_code String CBC公共错误码。 solution_msg String 解决方案描述。 状态码： 404 表5 响应Body参数 参数 参数类型 描述 error_code String 错误码。 error_msg String 错误描述。 common_error_code String CBC公共错误码。 solution_msg String 解决方案描述。 状态码： 500 表6 响应Body参数 参数 参数类型 描述 error_code String 错误码。 error_msg String 错误描述。 common_error_code String CBC公共错误码。 solution_msg String 解决方案描述。

方案架构 图1 业务架构图 图2 部署架构图 架构描述： 基于华为云RDS/ GaussDB （自研要求场景）、E CS 、SFS、HSS等云服务，构建泛微e-cology协同办公解决方案。 使用华为云ECS部署e-cology软件及E-mobile（移动端） 使用华为云RDS作为数据库 使用华为云Redis作为中间件层 使用华为云SFS作为文件存储组件 使用CBR对关键数据做备份 HSS作为安全可选组件

应用场景 数字化运营平台：泛微通过构建统一的数字化运营平台，帮助组织实现业务全过程数字化，打通组织数字化建设最后一公里。 办公在一个平台：通过组织团队及成员在同一个平台进行办公、协作，无需来回切换系统，沟通、协同更加便捷和高效，工作成效得到有效统计分析 业务应用统一数据底座：组织通过数据标准的规范化，将一体化平台中市场、销售、交付、售后等业务流程产生的海量数据统一管理，便于分析使用 客户痛点： 传统自建机房一次性成本高。 运维团队资源管理困难，操作耗时长，动作大。 SLA难保障，标准难定义。 方案实现的效果： 集群化，多节点&高可用RDS数据库保障OA业务高可用，ELB负载对请求进行均匀分发，安全中心实现ECS服务器漏洞基线扫描 ，备份存储库实现服务器快照容灾。

方案优势 轻前端重后端：无需客户进行开发，只需要通过后台引擎搭建应用即可； 华为云服务深度适配：无需重复搭建，成本和风险更低； 服务可持续性：数据存储的统一性、系统的易用性、支持的远程运维和服务的持续性； 资源配置高效：资源可弹性收缩，弹性扩容，简单高效，单击按钮即可快速实现； 专业团队支撑：云上专业运维团队提供7*24h支持服务，资源问题有保障； 及时响应2小时服务圈：200+本地化服务机构，覆盖全国一二三线城市。

Emobile集群配置 修改数据库服务 移动平台数据库服务默认只允许本机连接访问，所以在集群环境下需要对数据库添加远程连接用户，允许次节点能够连接到主节点上面的数据库服务。具体操作步骤如下： 在主节点服务器上使用以下命令连接MySQL： Windows操作系统命令为：（假设系统安装在D:\路径下） D:\emp\dbsvr\mysql\bin\mysql.exe -P4806 -uroot -pWEAVERemobile7!@# Linux操作系统命令为：（假设系统安装在/usr路径下） /usr/emp/dbsvr/mysql/bin/mysql -uroot -pWEAVERemobile7\!@# --socket=/usr/emp/data/mysqldata/mysql.sock 进入控制台，然后执行以下命令添加远程连接用户： create user 'root'@'192.168.1.12' identified by 'WEAVERemobile7!@#';grant all privileges on *.* to 'root'@'192.168.1.12' with grant option;flush privileges; 192.168.1.12为次节点IP地址。如果有多个次节点，则将以上命令中的192.168.1.12修改为其他次节点的IP地址，并再次执行即可。 修改缓存服务 移动平台缓存服务默认只允许本机连接访问，所以在集群环境下需要修改配置，允许次节点能够连接到主节点上面的缓存服务。具体操作步骤如下： 修改主节点服务器上的配置文件： Windows操作系统为：emp\cachesvr\redis\redis.windows-service.conf Linux操作系统为：emp/cachesvr/redis/redis.conf 找到“bind 127.0.0.1”，在这一行最前面加上“#”字符，即将“bind 127.0.0.1”修改为“# bind 127.0.0.1” 找到“protected-mode yes”，在这一行最前面加上“#”字符，即将“protected-mode yes”修改为“#protected-mode yes”；修改后保存文件。 子节点服务部署 在所有子节点服务器上解压移动平台基础安装包，并直接覆盖最新版的升级包文件 不要执行安装和启动命令，只是解压安装包，同时覆盖升级包 修改基础配置 修改配置文件：emp\work\config\application-custom.properties；所有节点服务上的这个文件都需要修改，但主次节点修改的内容有些不同。 主节点修改内容： 找到“session配置”的部分配置，将 spring.session.store-type=none 修改为 spring.session.store-type=redis 找到“其他配置”的部分配置，将 emobile.base-setting.cache-type=ehcache 修改为 emobile.base-setting.cache-type=redis 找到“集群配置”的部分配置，在后面增加一条数据 info.cluster.nodeId=node1 次节点修改内容：（前两点与主节点修改内容相同） 找到“session配置”的部分配置，将 spring.session.store-type=none 修改为 spring.session.store-type=redis 找到“其他配置”的部分配置，将 emobile.base-setting.cache-type=ehcache 修改为 emobile.base-setting.cache-type=redis 找到“集群配置”的部分配置，在后面增加一条数据 info.cluster.nodeId=node2 info.cluster.nodeId的值必须保证唯一，即不允许出现不同的节点info.cluster.nodeId值相同的情况。如果有多个次节点，则需要修改info.cluster.nodeId的值为node3、node4… 找到“数据源配置”-“MySQL数据库”的部分配置，将127.0.0.1修改为主节点IP地址192.168.1.11 找到“redis配置”的部分配置，将127.0.0.1修改为主节点IP地址192.168.1.11 修改后保存文件。 启动服务 重新启动主节点所有服务，先执行stop命令停止服务，再执行start命令启动服务 启动子节点应用服务，注意子节点只需要启动应用（tomcat）服务，执行\emp\appsvr\目录下start_tomcat命令进行启动 启动后分别单独访问每个节点的地址进入系统，确保每个服务都启动正常并可以正常访问，同时确保提交license授权 配置负载均衡 负载均衡配置这里以nginx为例（其他负载均衡软件及设备请跳过该步骤自行配置，本文不做说明），假设nginx服务所在服务器IP地址为192.168.1.10，安装目录为：Windows操作系统为D:\nginx目录，Linux系统为/usr/local/nginx目录。 修改nginx.conf文件（通常位于nginx安装目录下的conf目录），在http节点里面添加以下内容： upstream em7-cluster {ip_hash;server 192.168.1.11:8999;server 192.168.1.12:8999;}server {listen 8999;server_name localhost;location / {root html;index index.html index.htm;proxy_pass http://em7-cluster;proxy_set_header Host $host:$server_port;proxy_set_header X-Real-IP $remote_addr;proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;}} 使用“nginx”命令启动nginx服务，或者“nginx -s reload”命令重启nginx服务。 系统访问地址设置 经过以上步骤，集群配置已经完成，系统的访问地址也变为负载均衡的地址（http://192.168.1.10:8999），访问并登录到移动平台后台，进入到基础参数设置页面，请正确设置系统的访问地址并保存 系统外部地址：请填写负载均衡地址http://192.168.1.10:8999映射到外网的地址 系统内部地址：请填写http://192.168.1.10:8999 文件存储路径：需要配置网络共享目录 图1 系统访问地址设置 消息服务地址说明 特别注意：消息服务（openfire）是需要客户端进行连接的，在EM管理后台需要配置消息服务的地址，配置的地址需要是主节点的服务器地址，不要使用负载均衡的地址，负载均衡只是针对tomcat服务（8999端口）的。 父主题： 搭建emobile运行环境

搭建emobile运行环境 ECS服务器购买，选型 操作系统选择Centos7.9，安全组使用默认安全组，端口提前开通好80,443,5222,7070,8999端口 图1 选型1 图2 选型2 服务器磁盘挂载 本操作以该场景为例，当弹性云服务器挂载了一块新的数据盘时，使用fdisk分区工具将该数据盘设为主分区，分区形式默认设置为MBR，文件系统设为ext4格式，挂载在“/usr/weaver”下，并设置开机启动自动挂载。（实际路径根据实际情况修改） 参考如下链接：https://support.huaweicloud.com/usermanual-evs/evs_01_0033.html 图3 挂载 集群emobile环境部署 父主题： 搭建emobile运行环境

资源和成本规划 本节介绍解决方案实践中资源规划情况，包含以下内容： 表1 资源规划 华为云用户配置价格 产品 区域 计费模式 购买量 单位 购买个数 规格 原价 (￥) 弹性云服务器 （e-cology9） 华北-北京四 包年 1 年 2 X86计算 | 通用计算型 | s6.2xlarge.2 | 8核 | 16GB; Windows | Windows Server 2012 R2 标准版 64位简体中文; 高IO | 40GB; 高IO | 300GB; 全动态BGP | 独享 | 按带宽计费 | 1Mbit/s; 18,014.40 弹性云服务器 （移动+EM7） 华北-北京四 包年 1 年 2 X86计算 | 通用计算型 | s6.2xlarge.2 | 8核 | 16GB; Windows | Windows Server 2012 R2 标准版 64位简体中文; 高IO | 40GB; 高IO | 300GB; 全动态BGP | 独享 | 按带宽计费 | 1Mbit/s; 18,014.40 云数据库 华北-北京四 包年 1 年 1 MySQL | 5.7 | 主备 | x86通用型 | 16核64GB; 本地SSD盘 | 300GB; 79,680.00 弹性文件服务 华北-北京四 包月 12 月 1 容量型 | SFS 容量型 | 500GB; 1,800.00 云备份 华北-北京四 包年 1 年 1 云服务器备份存储库 | 5000GB; 12,000.00 企业主机安全 华北-北京四 包年 1 年 4 企业版; 4,320.00 弹性公网IP 华北-北京四 包年 1 年 1 共享 | 按带宽计费 | 30Mbit/s | 1个; 28,800.00 弹性云服务器 （运维跳板机） 华北-北京四 包年 1 年 1 X86计算 | 通用计算型 | s6.large.2 | 2核 | 4GB; Windows | Windows Server 2012 R2 标准版 64位简体中文; 高IO | 40GB; 全动态BGP | 独享 | 按带宽计费 | 5Mbit/s; 3,374.40 参考总价格 172,588.80 组网规划： 所有的服务器和数据库均使用默认的VPC，分配至同一个VPC内，保证内网能互通即可。 本文提供的成本预估费用仅供参考，资源的实际费用以华为云管理控制台显示为准。

节点服务器挂载Nas存储 主节点挂载Nas（从节点同） 背景 主从节点同步和通信需要使用到共享存储 解决思路 在需要共享节点挂载共享文件到对于目录（xxx.xxx.xxx.xxx为SFS服务器地址） yum install nfs-utilsmount -t nfs -o vers=3,nolock xxx.xxx.xxx.xxx:/ /data 设置软连接（主从均配置） 将ecology以下目录复制到/data目录下(从节点不做) album formmode mobilemode mobile email filesystem images images_face images_frame LoginTemplateFile messager m_img others page upgrade wuimkdir /usr/weaver/ecology/LoginTemplateFile（从做）mkdir /usr/weaver/ecology/others（从做）cp -r /usr/weaver/ecology/album /datacp -r /usr/weaver/ecology/formmode /datacp -r /usr/weaver/ecology/mobilemode /datacp -r /usr/weaver/ecology/mobile /datacp -r /usr/weaver/ecology/email /datacp -r /usr/weaver/ecology/filesystem /datacp -r /usr/weaver/ecology/images /datacp -r /usr/weaver/ecology/images_face /datacp -r /usr/weaver/ecology/images_frame /datacp -r /usr/weaver/ecology/LoginTemplateFile /datacp -r /usr/weaver/ecology/messager /datacp -r /usr/weaver/ecology/m_img /datacp -r /usr/weaver/ecology/others /datacp -r /usr/weaver/ecology/page /datacp -r /usr/weaver/ecology/upgrade /datacp -r /usr/weaver/ecology/wui /data 将ecology\WEB-INF下(从节点不做) mkdir –p /usr/weaver/ecology/WEB-INF/lib/keyscp -r /usr/weaver/ecology/WEB-INF/securityRule/ /datacp -r /usr/weaver/ecology/WEB-INF/securityXML/ /datacp -r /usr/weaver/ecology/WEB-INF/service /datacp -r /usr/weaver/ecology/WEB-INF/lib/keys /datacp -r /usr/weaver/ecology/WEB-INF/weaver_security_rules.xml /datacp -r /usr/weaver/ecology/WEB-INF/weaver_security_config.xml /datacp -r /usr/weaver/ecology/WEB-INF/hrmsettings.xml /data 复制到/data目录下 备份（主从做） cd /usr/weaver/ecology/mv album album.bakmv images images.bakmv images_face images_face.bakmv formmode formmode.bakmv mobile mobile.bakmv mobilemode mobilemode.bakmv images_frame images_frame.bakmv LoginTemplateFile LoginTemplateFile.bakmv m_img m_img.bakmv filesystem filesystem.bakmv page page.bakmv messager messager.bakmv email email.bakmv wui wui.bakmv others others.bakmv upgrade upgrade.bakcd /usr/weaver/ecology/WEB-INFmv service service.bakmv lib/keys lib/keys.bakmv securityRule securityRule.bakmv securityXML securityXML.bakmv weaver_security_config.xml weaver_security_config.xml.bakmv weaver_security_rules.xml weaver_security_rules.xml.bakmv hrmsettings.xml hrmsettings.xml.blk 建立共享文件夹的软链接：（主从做） ln -sf /data/album /usr/weaver/ecology/albumln -sf /data/filesystem /usr/weaver/ecology/filesystemln -sf /data/images /usr/weaver/ecology/imagesln -sf /data/images_face /usr/weaver/ecology/images_faceln -sf /data/images_frame /usr/weaver/ecology/images_frameln -sf /data/LoginTemplateFile /usr/weaver/ecology/LoginTemplateFileln -sf /data/messager /usr/weaver/ecology/messagerln -sf /data/m_img /usr/weaver/ecology/m_imgln -sf /data/page /usr/weaver/ecology/pageln -sf /data/wui /usr/weaver/ecology/wuiln -sf /data/email /usr/weaver/ecology/emailln -sf /data/others /usr/weaver/ecology/othersln -sf /data/service /usr/weaver/ecology/WEB-INF/serviceln -sf /data/securityRule /usr/weaver/ecology/WEB-INF/securityRuleln -sf /data/securityXML /usr/weaver/ecology/WEB-INF/securityXMLln -sf /data/hrmsettings.xml /usr/weaver/ecology/WEB-INF/hrmsettings.xmlln -sf /data/weaver_security_rules.xml /usr/weaver/ecology/WEB-INF/weaver_security_rules.xmlln -sf /data/weaver_security_config.xml /usr/weaver/ecology/WEB-INF/weaver_security_config.xmlln -sf /data/keys /usr/weaver/ecology/WEB-INF/lib/keysln -sf /data/formmode /usr/weaver/ecology/formmodeln -sf /data/mobilemode /usr/weaver/ecology/mobilemodeln -sf /data/mobile /usr/weaver/ecology/mobileln -sf /data/upgrade /usr/weaver/ecology/upgrade 在需要共享节点随机启动时，挂载共享文件(注意空隙使用tab) vi /etc/fstabxxx.xxx.xxx.xxx:/ /data nfs defaults 0 0 父主题： 搭建ecology运行环境

搭建ecology运行环境 ECS服务器购买，选型 操作系统选择Centos7.9，安全组使用默认安全组，端口提前开通好80,443,5222,7070,8999端口 图1 搭建1 图2 搭建2 服务器磁盘挂载 本操作以该场景为例，当弹性云服务器挂载了一块新的数据盘时，使用fdisk分区工具将该数据盘设为主分区，分区形式默认设置为MBR，文件系统设为ext4格式，挂载在“/usr/weaver”下，并设置开机启动自动挂载。（实际路径根据实际情况修改） 参考如下链接：https://support.huaweicloud.com/usermanual-evs/evs_01_0033.html 图3 搭建3 RDS数据库购买，选型 选择SQL Server 2016 Web版，数据库字符集编码选择Chinese_PRC_CI_AS 图4 搭建4 安全组里面将ECS内网的1433放通，并且要关联对应的服务器实例 图5 搭建5 图6 搭建6 图7 搭建7 SFS文件存储购买，选型 选择通用标准型，协议NFS 图8 搭建8 Redis缓存数据库购买，选型 选择主备，5.0版 图9 搭建9 配置白名单，将服务器的内网IP添加到白名单中 图10 搭建10 集群ecology环境部署 父主题： 搭建ecology运行环境

主节点部署Ecology9 通过 SSH 工具连接上 linux，创建应用程序目录 图1 部署1 可根据客户实际要求创建在任何路径下，保证有足够的空间即可。相关命令为： mkdir -p /usr/weaver 通过 FTP 工具上传安装包程序 安装包需要联系销售或者项目获取（对内） 将本地的 ECO LOG Y相关程序上传到创建好的 weaver目录下。共四个，JDK，RESIN，ECOLOGY 和 Ecology_setup_forLinux_*.py 文件。 执行 Ecology_setup_forLinux_*.py 输入命令： python Ecology_setup_forLinux_*.py 回车 如果选择 1 自动执行以下三步操作： 第一步：解压缩。（Linux 必须支持 unzip 及 tar 命令，没有需要提前安装好，否则无法解压） 第二步：给 ecology、jdk、resin 三个目录赋权。 第三步：修改配置文件。设置路径、内存、端口。（内存和端口可在安装过程中进行调整）。 如果选择 2 自动解压缩失败可在手动解压好的情况下，进行第二步和第三步配置。 如果选择 3 查看配置好的相关参数，仅查看，如果要调整，可再选择 2 或手动调整。 图2 部署2 图3 部署3 图4 部署4 本页面为配置完成后，切换到 Resin/bin 目录后，启动 resin 服务。 cd /usr/weaver/Resin/bin./startresin.sh

为什么选择OrgID OrgID通过将Huawei ID扩展到企业组织内部应用领域，解决： 企业应用账号统一：企业可以选择使用Huawei ID作为企业SaaS服务的账号，并与企业内部账号关联。 账号绑定统一：与企业使用的IDaaS集成，企业用户可以选择使用Huawei ID或企业内部账号登录。 单点登录：企业用户一次登录实现轻应用间或SaaS服务间统一登录。 企业的统一管理：支持企业管理员对企业的部门、部门用户、账号、应用、应用认证源进行统一管理。 企业用户登录成功后，可以免登录打开任意企业内的应用，包括移动端，PC端。 通过统一账号来实现企业多维度运营分析：包括租户维度、用户维度、应用维度。

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的 云安全 挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的IaaS、PaaS和SaaS各类各项云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。 华为云租户的安全责任在于对使用的IaaS、PaaS和SaaS类各项云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、 虚拟主机 和访客虚拟机的操作系统，虚拟防火墙、API网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题： 安全

身份认证与访问控制 身份认证 OrgID提供的身份认证可以分为控制台和云服务两个层面。 控制台层面：OrgID与IAM打通，企业租户可以使用华为云用户名与密码登录，实现租户的认证与鉴权，未授权的不能访问。 数据业务面：租户管理员添加成员后，成员可以直接登录OrgID数据业务面，使用Huawei ID账号认证，业务鉴权由OrgID提供。 访问控制 Token认证：通过Token认证通用请求。关于Token的详细介绍及获取方式，请参见获取IAM用户Token（使用密码）。 AK（Access Key ID）/SK（Secret Access Key）认证：通过AK/SK加密调用请求。推荐使用AK/SK认证，其安全性比Token认证要高。关于访问密钥的详细介绍及获取方式，请参见访问密钥（AK/SK）。 父主题： 安全

产品优势 OrgID优势包括终端云积累的用户、华为云高质量的服务体验和政企市场的生态伙伴能力，利用行业aPaaS（基地模式）推广，协同 开天aPaaS ，来解决企业用户注册、登录体验和企业内应用账号不统一的痛点问题。 基于终端云庞大的Huawei ID的基础，使用Huawei ID认证解决企业用户认证及注册体验的问题。 解决企业存在多种认证源，如企业社交认证源、联邦认证源等。 内部面向企业的云服务预集成OrgID，如 企业工作台 。实现Huawei ID与华为云账号的打通，便于企业与华为云市场的集成，实现企业内应用订购。

产品功能 账号登录：提供组织成员（个人华为账号、管理式华为账号、第三方认证源账号）统一登录界面，实现企业内账号在华为云、业务应用的统一。 组织管理：通过个人华为账号或者管理式华为账号管理组织，包括组织部门管理、组织成员管理、组织信息管理，为企业内应用提供组织、部门、成员的统一管理。 应用注册：提供多种协议的应用注册管理，包括CAS、OAuth、OIDC、SAML。 用户关联中心：Huawei ID和第三方认证源的账号会关联生成用户标识，统一管理在OrgID的用户中心，通过用户中心控制组织下应用的访问。 应用授权管理：管理员授权用户可以访问的应用，包括自有应用和云商店联运KIT的SaaS应用。 业务访问控制：管理应用的访问策略，包括用户、设备、区域和认证源等。 应用单点登录：提供基于OrgID登录后应用间的免登录能力，提供基于App内部应用的免登录能力，提供其他应用的免登录能力。 用户运营分析：提供成员行业分析，应用使用分析。 三方账号绑定：支持钉钉、企业微信、 WeLink 等外部认证源的账号登录。

权限管理 OrgID系统提供权限管理，主要分为四种角色：超级管理员、组织管理员、部门管理员、普通用户。而OrgID云服务开通的相关权限受华为云IAM控制， IAM是华为云提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费。关于IAM的详细介绍，请参见《IAM产品介绍》。 表1列出了OrgID常用操作与系统角色的关系，您可以通过该表了解系统角色的操作权限。 表1 常用操作与系统角色的关系 操作 超级管理员 组织管理员 部门管理员 普通用户 创建组织 √ × × × 查看组织 √ √ √ × 修改组织信息 √ √ × × 申请配额 √ √ × × 添加 域名 √ √ × × 验证域名 √ √ × × 移交组织 √ × × × 解散组织 √ × × × 创建部门 √ √ √ × 编辑部门 √ √ √ × 删除部门 √ √ √ × 查看部门 √ √ √ × 创建成员 √ √ √ × 邀请成员 √ √ √ × 批量导入成员 √ √ √ × 重置成员密码 √ √ √ × 冻结、解冻成员 √ √ √ × 移除成员 √ √ √ × 创建用户组 √ √ × × 编辑用户组 √ √ × × 删除用户组 √ √ × × 查看三方认证用户 √ √ × × 创建应用 √ √ √ × 配置应用 √ √ √ × 删除应用 √ √ √ × 查看应用 √ √ √ × 新增认证源 √ √ × × 更新认证源 √ √ × × 删除认证源 √ √ × × 查看认证源 √ √ × × 添加区域范围 √ √ × × 编辑区域范围 √ √ × × 删除区域范围 √ √ × × 查看区域范围 √ √ × × 查看登录登出日志 √ √ √（只能查看自己的登录登出日志） √（只能查看自己的登录登出日志） 查看管理操作日志 √ √ × × 查看数据报表 √ √ × × 导出数据报表 √ √ × × 修改审批状态 √ √ × × 查看角色 √ √ × × 创建角色 √ √ × × 添加角色成员 √ √ × × 添加用户属性配置 √ √ × × 修改用户属性配置 √ √ × ×

数据保护技术 通过数据保护手段，保障租户数据可靠性。 表1 数据保护手段 数据保护手段 简要说明 传输加密（HTTPS） 外部接口支持HTTPS传输协议，保障数据传输的安全性。 服务端加密 涉及个人数据处理，包括：姓名、手机号码、邮箱等。这些数据在企业工作台内加密存储，避免个人数据的泄露。 数据容灾保护 租户内的数据，包括RDS（Relational Database Service）、DCS（Distributed Cache Service），启用了定时备份机制，定时全量备份（默认每天）与增量备份（默认5分钟）。 同时，RDS、DCS启用了双AZ（Availability Zone）容灾，当一个AZ异常后，可以无缝切换到另一个AZ上继续使用。 父主题： 安全

约束与限制 OrgID系统存在如下约束： OrgID默认认证源是华为账号，其账号分为个人账号和管理式账号。管理式账号由管理员创建，只能归属于本组织，登录时只能使用账号名登录，不能使用手机号或者邮箱地址登录。 华为账号最多可以创建5个组织，可以申请组织配额，每次申请增加一个组织配额。 每个组织支持管理3个域名。 单个组织默认可以有200个成员，可以申请组织成员配额，每次申请增加100个成员配额，最大成员数不超过5000。 部门最大层级不超过5级，一个组织最多可以有999个部门。 OrgID当前只支持公有云，不支持HCS，伙伴云。 负责业务应用系统的统一认证，但应用的会话（与客户端的会话Session保持）不在OrgID管理范围。

为什么集群被删除后还在计费？ 按需购买的集群删除时未勾选“删除云服务器”，因此只删除了集群信息，集群中的云服务器资源仍在继续扣费。 包周期类型的集群删除时只能删除集群信息，云服务器资源需要手动退订。 管理节点如使用购买EIP的选择，集群删除时，即使勾选了“删除云服务器”，绑定的EIP资源也不会删除，仍然正常计费。如需停止EIP资源计费，请手动删除EIP。 集群中节点如果挂载有数据盘，在删除集群时，即使勾选了“删除云服务器”，挂载的云硬盘资源也不会删除，仍然正常计费。如需停止计费，请手动删除云硬盘资源。 父主题： 常见问题

操作场景 当集群不再使用后，可使用集群删除的功能将集群删除，如未勾选“删除云服务器”，节点资源将持续扣费，包周期资源需手动退订。 集群创建失败后，可使用集群删除的功能将集群删除，删除时不要勾选“删除云服务器”，然后再使用“已有节点部署集群”的功能重新部署集群。 集群出现异常后，如无法手动进行恢复，可使用集群删除的功能将集群删除，删除时不要勾选“删除云服务器”，然后再使用“已有节点部署集群”的功能重新部署集群。

HPC-S²与其他服务的关系 服务名称 HPC-S²与其他服务的关系 主要交互功能 弹性云服务器（ECS） 购买弹性云服务器创建HPC集群或使用已有弹性云服务器部署HPC集群。 自定义购买ECS 虚拟私有云（VPC） 同一个HPC场景的云服务器，都位于同一个VPC中，并且需要使用VPC中的子网和安全组进行相关的网络安全隔离。 创建虚拟私有云和子网 修改虚拟私有云基本信息 镜像服务 （IMS） 可以使用公共镜像、私有镜像、共享镜像创建高性能计算的云服务器。 也可以将已有的HPC场景的云服务器创建私有镜像。 创建私有镜像 云硬盘（EVS） 购买云硬盘并挂载至HPC场景的云服务器。 购买云硬盘 弹性文件服务（SFS） 为用户的弹性云服务器提供一个完全托管的共享文件存储。 文件共享 父主题： 产品介绍

操作步骤 登录HPC-S²控制台。 单击左侧的“集群管理”。 在“集群管理”页面，对于不需要或异常的集群可进行删除操作。 按需类型集群 确定页可选择是否删除云服务器，如勾选，连同云服务器一同删除，如不勾选，则只删除集群信息，对应的云服务器节点仍保留，用户可通过弹性云服务器页面查看。 包周期类型集群 不能选择删除节点，包周期节点资源需手动退订。 混合类型集群删除 可选择删除节点，同时会有提示包周期节点需要手动退订，勾选“删除节点”时，只有按需类型节点资源会被删除。

操作须知 无论单节点删除或是批量删除，管理节点是禁止删除操作的。 节点删除（即集群缩容）时，仅在集群状态处于“运行中”或“异常”时方可操作。 节点删除（即集群缩容）时，需要保证集群中其他节点的状态均为“运行中”方可操作。 节点删除（即集群缩容）时，用户需要自行确认所选节点无作业执行，否则会导致正在运行的作业异常。 节点删除时，如果所选节点挂载了数据盘，节点删除时不会删除数据盘，需要用户手动删除清理，否则会继续扣费。