华为云用户手册

请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 Content-Type 是 String 发送的实体的MIME类型。默认使用application/json; charset=UTF-8。 缺省值：application/json; charset=UTF-8 最小长度：1 最大长度：64 X-Auth-Token 是 String 用户Token 最小长度：1 最大长度：16384 表3 请求Body参数 参数 是否必选 参数类型 描述 one_click_alarm_ids 是 Array of strings 需要批量删除的一键告警ID列表 数组长度：1 - 100

响应参数 状态码： 200 表4 响应Body参数 参数 参数类型 描述 alarms Array of alarms objects 告警规则列表 数组长度：0 - 100 count Integer 告警规则列表总数 最小值：0 最大值：1000 表5 alarms 参数 参数类型 描述 alarm_id String 告警规则ID 正则匹配：^al([0-9A-Za-z]){22}$ name String 告警规则名称 最小长度：1 最大长度：128 正则匹配：^([\u4E00-\u9FFF]|[a-z]|[A-Z]|[0-9]|_|-)+$ description String 告警规则描述 最小长度：0 最大长度：256 状态码： 400 表6 响应Body参数 参数 参数类型 描述 error_code String 请求异常内部业务状态码 最小长度：0 最大长度：256 error_msg String 请求异常信息 最小长度：0 最大长度：256 request_id String 请求ID 最小长度：0 最大长度：256 状态码： 401 表7 响应Body参数 参数 参数类型 描述 error_code String 请求异常内部业务状态码 最小长度：0 最大长度：256 error_msg String 请求异常信息 最小长度：0 最大长度：256 request_id String 请求ID 最小长度：0 最大长度：256 状态码： 403 表8 响应Body参数 参数 参数类型 描述 error_code String 请求异常内部业务状态码 最小长度：0 最大长度：256 error_msg String 请求异常信息 最小长度：0 最大长度：256 request_id String 请求ID 最小长度：0 最大长度：256 状态码： 500 表9 响应Body参数 参数 参数类型 描述 error_code String 请求异常内部业务状态码 最小长度：0 最大长度：256 error_msg String 请求异常信息 最小长度：0 最大长度：256 request_id String 请求ID 最小长度：0 最大长度：256

URI GET /v2/{project_id}/alarm-templates/{template_id}/association-alarms 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 租户ID 最小长度：1 最大长度：64 template_id 是 String 告警模板的ID，以at开头，后跟字母、数字，长度最长为64 最小长度：2 最大长度：64 表2 Query参数 参数 是否必选 参数类型 描述 offset 否 Integer 分页查询时查询的起始位置，表示从第几条数据开始，默认为0 最小值：0 最大值：10000 limit 否 Integer 查询结果条数的限制值，取值范围为[1,100]，默认值为100 最小值：1 最大值：100

请求消息 请求参数 表2 请求参数 名称 类型 是否必选 说明 group_name String 是 资源分组的名称，长度为1-128，只能包含0-9/a-z/A-Z/_/-或汉字。如：ResourceGroup-Test01。 resources Array of objects 是 创建的资源分组选择一个或者多个资源。 详细参数说明请参见表3。 表3 resources字段数据结构说明 名称 参数类型 是否必选 说明 namespace String 是 资源命名空间，如弹性云服务器的资源命名空间为：SYS.E CS ，各服务命名空间可查看支持监控的服务列表。 dimensions Arrays of objects 是 一个或者多个资源维度。 详细参数说明请参见表4。 表4 dimensions字段数据结构说明 名称 参数类型 是否必选 说明 name String 是 资源维度，例如弹性云服务器维度为：instance_id，各资源的维度可查看支持监控的服务列表。 value String 是 资源维度值，为资源的实例ID。如：4270ff17-aba3-4138-89fa-820594c39755。 请求示例： { "group_name": "Resource-Group-Test01", "resources": [ { "namespace": "SYS.ECS", "dimensions": [ { "name": "instance_id", "value": "063a83da-a2b5-4630-ab6b-9b4fcfc261ea" } ] }, { "namespace": "SYS.ECS", "dimensions": [ { "name": "instance_id", "value": "518ace88-abde-46bf-829b-0d1f0f2fb2e9" } ] }, { "namespace": "SYS.ECS", "dimensions": [ { "name": "instance_id", "value": "675006b5-477a-4aab-948c-0aa467de9c68" } ] } ] }

返回值 正常 204 异常 返回值 说明 400 Bad Request 请求错误。 401 Unauthorized 未提供认证信息，或认证信息错误。 403 Forbidden 请求页面被禁止访问。 408 Request Timeout 请求超出了服务器的等待时间。 429 Too Many Requests 当前请求过多。 500 Internal Server Error 请求未完成，服务异常。 503 Service Unavailable 系统暂时不可用，请求受限。

URI PUT /V1.0/{project_id}/resource-groups/{group_id} 参数说明 表1 参数说明 名称 类型 是否必选 说明 project_id String 是 项目ID。 获取方式请参见获取项目ID。 group_id String 是 资源分组ID。 请求样例： PUT https://{ 云监控 的endpoint}/V1.0/{project_id}/resource-groups/{group_id}

支持的授权项 策略包含系统策略和自定义策略，如果系统策略不满足授权要求，管理员可以创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应，授权项列表说明如下： 权限：自定义策略中授权项定义的内容即为权限。 授权项：自定义策略中支持的Action，在自定义策略中的Action中写入授权项，可以实现授权项对应的权限功能。 依赖的授权项：部分Action存在对其他Action的依赖，需要将依赖的Action同时写入授权项，才能实现对应的权限功能。 授权范围：自定义策略的授权范围，包括 IAM 项目与企业项目。授权范围如果同时支持IAM项目和企业项目，表示此授权项对应的自定义策略，可以在IAM和企业管理两个服务中给用户组授权并生效。如果仅支持IAM项目，不支持企业项目，表示仅能在IAM中给用户组授权并生效，如果在企业管理中授权，则该自定义策略不生效。关于IAM项目与企业项目的区别，详情请参见：IAM与企业管理的区别。 对应API接口：自定义策略实际调用的API接口。 云监控的支持自定义策略授权项如下所示： 表格中“√”表示支持，“×”表示暂不支持。 API版本号管理接口授权项说明 指标管理接口授权项说明 告警规则管理接口授权项说明 监控数据管理接口授权项说明 配额管理接口授权项说明 事件监控接口授权项说明

请求示例 [ { "metrics" : [ { "namespace" : "SYS.ECS", "dimensions" : { "name" : "instance_id", "filter_type" : "specific_instances", "values" : [ "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" ] }, "metric_name" : "cpu_util", "alias" : [ "cpuutilalias" ], "extra_info" : { "origin_metric_name" : "cpu_util", "metric_prefix" : "cpu", "metric_type" : "type", "custom_proc_name" : "app.sh" } } ], "view" : "view", "metric_display_mode" : "single", "threshold" : 0.7, "threshold_enabled" : true, "title" : "widget_title", "properties" : { "filter" : "topN", "topN" : 100, "order" : "desc" }, "location" : { "left" : 0, "top" : 0, "width" : 4, "height" : 3 }, "unit" : "%" } ]

请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 Content-Type 是 String 发送的实体的MIME类型。推荐用户默认使用application/json 缺省值：application/json;charset=UTF-8 最小长度：1 最大长度：64 X-Auth-Token 是 String 用户Token。用户Token也就是调用获取用户Token接口的响应值，该接口是唯一不需要认证的接口。请求响应成功后在响应消息头中包含的“X-Subject-Token”的值即为Token值。 最小长度：1 最大长度：16000 表3 请求Body参数 参数 是否必选 参数类型 描述 [数组元素] 否 Array of BaseWidgetInfo objects 创建单指标条形图类型监控视图到指定监控看板请求体 表4 BaseWidgetInfo 参数 是否必选 参数类型 描述 metrics 是 Array of WidgetMetric objects 指标列表 数组长度：1 - 200 title 是 String 监控视图标题 最小长度：1 最大长度：128 正则匹配：^([\u4E00-\u9FFF]|[a-z]|[A-Z]|[0-9]|_|-|:|;|\(|\)|\.|~|（|）)+$ threshold 否 Double 监控视图指标的阈值 最小值：0 最大值：1.7976931348623157E308 threshold_enabled 是 Boolean 阈值是否展示，true:展示，false:不展示 view 是 String 监控视图图表类型, bar条形图，line折线图，bar_chart柱状图，table表格，circular_bar环形柱状图，area_chart面积图 枚举值： bar line bar_chart table circular_bar area_chart metric_display_mode 是 String 指标展示类型，single 单指标展示，multiple 多指标展示 枚举值： single multiple properties 否 properties object 额外信息 location 是 location object 监控视图图表坐标 unit 否 String 单位 表5 WidgetMetric 参数 是否必选 参数类型 描述 namespace 是 String 服务维度 最小长度：3 最大长度：32 正则匹配：^([a-z]|[A-Z]){1}([a-z]|[A-Z]|[0-9]|_)*\.([a-z]|[A-Z]){1}([a-z]|[A-Z]|[0-9]|_)*$ dimensions 是 DimensionInfo object 维度信息列表 metric_name 是 String 指标名称 最小长度：1 最大长度：96 正则匹配：^([A-Za-z]){1}([0-9A-Za-z]|_|-)*$ alias 否 Array of strings 监控视图的指标别名列表 最小长度：1 最大长度：128 数组长度：0 - 200 extra_info 否 ExtraInfo object 指标信息 表6 DimensionInfo 参数 是否必选 参数类型 描述 name 是 String 维度名称，多维度用逗号分隔，各服务支持的维度可参考：“服务维度名称” 最小长度：1 最大长度：131 正则匹配：^([a-z]|[A-Z]){1}([a-z]|[A-Z]|[0-9]|_|-){0,31}(,([a-z]|[A-Z]){1}([a-z]|[A-Z]|[0-9]|_|-){0,31}){0,3}$ filter_type 是 String 资源类型, all_instances: 全部资源, specific_instances: 指定资源 枚举值： all_instances specific_instances values 否 Array of strings 维度值列表 最小长度：1 最大长度：1024 数组长度：0 - 200 表7 ExtraInfo 参数 是否必选 参数类型 描述 origin_metric_name 是 String 指标名称 最小长度：1 最大长度：4096 正则匹配：^([a-z]|[A-Z]|[0-9]|_|-|~|\.|/|:)*$ metric_prefix 否 String 指标名称前缀 最小长度：1 最大长度：4096 正则匹配：^([a-z]|[A-Z]|[0-9]|_|-|~|\.|/|:)*$ metric_type 否 String 指标类型 最小长度：1 最大长度：32 正则匹配：^([a-z]|[A-Z]|[0-9]|_|-|~|\.|/|:)*$ custom_proc_name 否 String 自定义进程名称 最小长度：1 最大长度：250 表8 properties 参数 是否必选 参数类型 描述 filter 否 String 聚合类型，目前只有TopN这一种类型，折线图不支持该参数 枚举值： topN topN 否 Integer Top前N个；折线图时为随机展示的时序数据条数 最小值：1 最大值：2147483647 缺省值：100 order 否 String 排序字段，asc正序，desc倒序，折线图不支持该参数 枚举值： asc desc 表9 location 参数 是否必选 参数类型 描述 top 是 Integer 监控视图的上坐标 最小值：0 最大值：2147483647 left 是 Integer 监控视图的左坐标 最小值：0 最大值：9 width 是 Integer 监控视图图表宽度 最小值：3 最大值：12 height 是 Integer 监控视图图表高度 最小值：3 最大值：2147483647

响应参数 状态码： 200 表10 响应Body参数 参数 参数类型 描述 widget_ids Array of strings 批量创建监控视图返回结果 数组长度：1 - 50 状态码： 400 表11 响应Body参数 参数 参数类型 描述 error_code String 请求异常内部业务状态码 最小长度：0 最大长度：256 error_msg String 请求异常信息 最小长度：0 最大长度：256 request_id String 请求ID 最小长度：0 最大长度：256 状态码： 401 表12 响应Body参数 参数 参数类型 描述 error_code String 请求异常内部业务状态码 最小长度：0 最大长度：256 error_msg String 请求异常信息 最小长度：0 最大长度：256 request_id String 请求ID 最小长度：0 最大长度：256 状态码： 500 表13 响应Body参数 参数 参数类型 描述 error_code String 请求异常内部业务状态码 最小长度：0 最大长度：256 error_msg String 请求异常信息 最小长度：0 最大长度：256 request_id String 请求ID 最小长度：0 最大长度：256

URI POST /v2/{project_id}/dashboards/{dashboard_id}/widgets 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 租户id 最小长度：1 最大长度：64 dashboard_id 是 String 监控看板id，以db开头，包含22个字母和数字例：db16564943172807wjOmoLyn' 数组长度：24 - 24 正则匹配：^db([a-z]|[A-Z]|[0-9]){22}$

响应参数 状态码： 400 表4 响应Body参数 参数 参数类型 描述 error_code String 请求异常内部业务状态码 最小长度：0 最大长度：256 error_msg String 请求异常信息 最小长度：0 最大长度：256 request_id String 请求ID 最小长度：0 最大长度：256 状态码： 401 表5 响应Body参数 参数 参数类型 描述 error_code String 请求异常内部业务状态码 最小长度：0 最大长度：256 error_msg String 请求异常信息 最小长度：0 最大长度：256 request_id String 请求ID 最小长度：0 最大长度：256 状态码： 500 表6 响应Body参数 参数 参数类型 描述 error_code String 请求异常内部业务状态码 最小长度：0 最大长度：256 error_msg String 请求异常信息 最小长度：0 最大长度：256 request_id String 请求ID 最小长度：0 最大长度：256

URI PUT /v2/{project_id}/dashboards/{dashboard_id} 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 租户id 最小长度：1 最大长度：64 dashboard_id 是 String 监控看板id，以db开头，包含22个字母和数字例：db16564943172807wjOmoLyn' 数组长度：24 - 24 正则匹配：^db([a-z]|[A-Z]|[0-9]){22}$

请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 Content-Type 是 String 发送的实体的MIME类型。推荐用户默认使用application/json 缺省值：application/json;charset=UTF-8 最小长度：1 最大长度：64 X-Auth-Token 是 String 用户Token。用户Token也就是调用获取用户Token接口的响应值，该接口是唯一不需要认证的接口。请求响应成功后在响应消息头中包含的“X-Subject-Token”的值即为Token值。 最小长度：1 最大长度：16000 表3 请求Body参数 参数 是否必选 参数类型 描述 dashboard_name 否 String 自定义监控看板名称 最小长度：1 最大长度：128 正则匹配：^([\u4E00-\u9FFF]|[a-z]|[A-Z]|[0-9]|_|-)+$ is_favorite 否 Boolean 监控看板是否标记收藏, true: 收藏, false: 未收藏 row_widget_num 是 Integer 监控视图展示模式，0表示自定义坐标，1代表每行一个 最小值：0 最大值：3 缺省值：3

方案架构 该解决方案在华为云弹性云服务器 ECS上基于JumpServer一键部署快速搭建远程安全运维环境。该解决方案部署架构如下图所示： 图1 方案架构 部署该方案中需要使用的资源： 创建一台Linux弹性云服务器 ECS，用于安装JumpServer搭建远程安全运维环境 创建一个弹性公网IP EIP并绑定到弹性云服务器 ECS，用于提供访问公网和被公网访问能力。 创建安全组，通过配置安全组规则，为弹性云服务器提供安全防护。 此外您可以使用 云监控服务 CES 来监测弹性云服务器运行状态；通过购买云备份 CBR，对弹性云服务器进行数据备份。

方案优势 安全性高 采用多层安全防护机制，包括基于角色的访问控制、审计日志、多因素认证等，可以有效防止恶意攻击和内部人员的不当操作，保障系统的安全性。 管理性强 提供了丰富的管理功能，包括用户管理、资产管理、账号管理、权限管理等，可以方便地对用户进行管理和监控，保证系统的稳定性和可靠性。 一键部署 一键轻松部署，即可实现弹性云服务器 ECS，弹性公网IP EIP 创建及JumpServer 云堡垒机 系统的安装。

约束与限制 该解决方案部署前，需 注册华为账号 并开通华为云，完成实名认证，且账号不能处于欠费或冻结状态。如果计费模式选择“包年包月”，请确保账户余额充足以便一键部署资源的时候可以自动支付；或者在一键部署的过程进入费用中心，找到“待支付订单”并手动完成支付。 如果选用IAM委托权限部署资源，请确保使用的华为账号有IAM的足够权限，具体请参考创建rf_admin_trust委托（可选）；如果使用华为主账号或admin用户组下的IAM子账户可不选委托，将采用当前登录用户的权限进行部署。

快速部署 本章节主要帮助用户快速部署该解决方案。 表1 参数填写说明 参数名称 类型 是否必填 参数解释 默认值 vpc_name String 必填 虚拟私有云名称，该模板使用新建VPC，不允许重名。取值范围：1-54个字符，支持中文、英文字母、数字、_（下划线）、-（中划线）、.（点）。 remote-OM-environment-with-jumpserver-demo secgroup_name String 必填 安全组名称，该模板新建安全组，安全组规则请参考安全组规则修改（可选）进行配置。取值范围：1-64个字符，支持数字、字母、中文、_(下划线)、-（中划线）、.（点）。 remote-OM-environment-with-jumpserver-demo ecs_name String 必填 弹性云服务器名称，不支持重名。取值范围：1-60个字符，支持中文、英文字母、数字、_（下划线）、-（中划线）、.（点）。 remote-OM-environment-with-jumpserver-demo ecs_flavor String 必填 弹性云服务器规格名称，具体请参考官网弹性云服务器规格清单。 s6.xlarge.2 ecs_password String 必填 弹性云服务器初始化密码。取值范围：长度为8-26个字符，密码至少包含大写字母、小写字母、数字和特殊字符（!@$%^-_=+[{()}]:,./?~#*）中的三种，Windows系统密码不能包含用户名或用户名的逆序，不能包含用户名中超过两个连续字符的部分。管理员账户默认root。 空 ecs_disk_size Number 必填 弹性云服务器系统盘大小，磁盘类型默认高IO，单位：GB，取值范围为40-1,024，不支持缩盘。 100 bandwidth_size Number 必填 弹性公网带宽大小，该模板计费方式为按流量计费。单位：Mbit/s，取值范围：1-300 。 300 charging_mode String 必填 计费模式，默认自动扣费，取值为prePaid（包年包月）或postPaid（按需计费）， postPaid charging_unit String 必填 弹性 云服务器ECS 订购周期类型，仅当charging_mode为prePaid（包年/包月）生效，此时该参数为必填参数。取值范围：month（月），year（年）。 month charging_period Number 必填 弹性云服务器ECS订购周期，仅当charging_mode为prePaid（包年/包月）生效，此时该参数为必填参数。取值范围：charging_unit=month（周期类型为月）时，取值为1-9；charging_unit=year（周期类型为年）时，取值为1-3。默认订购1月。 1 登录华为云解决方案实践，选择“基于JumpServer快速搭建远程安全运维环境”解决方案。单击“一键部署”，跳转至解决方案创建堆栈界面。 图1 解决方案实施库 在选择模板界面中，单击“下一步”。 图2 选择模板 在配置参数界面中，参考表1完成自定义参数填写，单击“下一步”。 图3 配置参数 （可选，如果使用华为账号或admin用户组下的IAM子账户可不选委托）在资源设置界面中，在权限委托下拉框中选择“rf_admin_trust”委托，单击“下一步”。 图4 资源栈设置 在配置确认页面中，单击“创建执行计划”。 图5 配置确认 在弹出的创建执行计划框中，自定义填写执行计划名称，单击“确定”。 图6 创建执行计划 待执行计划状态为“创建成功，待部署”后，单击“部署”，并且在弹出的执行计划确认框中单击“执行”。 图7 执行计划 图8 执行计划确认 （可选）如果计费模式选择“包年包月”，在余额不充足的情况下（所需总费用请参考表1）请及时登录费用中心，手动完成待支付订单的费用支付。 等待解决方案自动部署。部署成功后，单击“事件”，回显结果如下: 图9 资源创建成功 刷新页面，在“输出”中查看JumpServer访问说明。 图10 说明 父主题： 实施步骤

资源和成本规划 该解决方案主要部署如下资源，不同产品的花费仅供参考，实际以收费账单为准，具体请参考华为云官网价格： 表1 资源和成本规划（包年包月） 华为云服务 配置示例 每月预估花费 弹性云服务器 ECS 区域：华北-北京四 计费模式：包年包月 规格：X86计算 | ECS | s6.xlarge.2 | 4vCPUs | 8GiB 镜像：CentOS 7.9 64bit 系统盘：高IO | 100GB 购买量：1 339.30元 弹性公网IP EIP 区域：华北-北京四 计费模式：按需计费 线路：动态BGP 公网带宽：按流量计费 带宽大小：300Mbit/s 购买量：1 0.82元/GB 合计 339.30元 + 弹性公网IP EIP费用 表2 资源和成本规划（按需计费） 华为云服务 配置示例 每月预估花费 弹性云服务器 ECS 按需计费：0.78元/小时 区域：华北-北京四 计费模式：包年包月 规格：X86计算 | ECS | s6.xlarge.2 | 4vCPUs | 8GiB 镜像：CentOS 7.9 64bit 系统盘：高IO | 100GB 购买量：1 561.60元 弹性公网IP EIP 区域：华北-北京四 计费模式：按需计费 线路：动态BGP 公网带宽：按流量计费 带宽大小：300Mbit/s 购买量：1 0.82元/GB 合计 561.60元 + 弹性公网IP EIP费用

创建rf_admin_trust委托（可选） 进入华为云官网，打开控制台管理界面，鼠标移动至个人账号处，打开“ 统一身份认证 ”菜单。 图1 控制台管理界面 图2 统一身份认证菜单 进入“委托”菜单，搜索“rf_admin_trust”委托。 图3 委托列表 如果委托存在，则不用执行接下来的创建委托的步 如果委托不存在时执行接下来的步骤创建委托 单击步骤2界面中的“创建委托”按钮，在委托名称中输入“rf_admin_trust”，委托类型选择“云服务”，选择“ RFS ”，单击“下一步”。 图4 创建委托 在搜索框中输入“Tenant Administrator”权限，并勾选搜索结果。 图5 选择策略 选择“所有资源”，并单击下一步完成配置。 图6 设置授权范围 “委托”列表中出现“rf_admin_trust”委托则创建成功。 图7 委托列表

安全组规则修改（可选） 安全组实际是网络流量访问策略，包括网络流量入方向规则和出方向规则，通过这些规则为安全组内具有相同保护需求并且相互信任的云服务器、云容器、云数据库等实例提供安全保护。 如果您的实例关联的安全组策略无法满足使用需求，比如需要添加、修改、删除某个TCP端口，请参考以下内容进行修改。 添加安全组规则：根据业务使用需求需要开放某个TCP端口，请参考添加安全组规则添加入方向规则，打开指定的TCP端口。 修改安全组规则：安全组规则设置不当会造成严重的安全隐患。您可以参考修改安全组规则，来修改安全组中不合理的规则，保证云服务器等实例的网络安全。 删除安全组规则：当安全组规则入方向、出方向源地址/目的地址有变化时，或者不需要开放某个端口时，您可以参考删除安全组规则进行安全组规则删除。 按默认参数本方案初始化的部署时间约为10分钟，受弹性云服务器 ECS规格 及弹性公网IP EIP带宽大小等因素影响会有波动。 登录JumpServer界面。打开浏览器，输入3.2 快速部署 步骤9中的访问网址，即可进入JumpServer登录界面，输入用户名和密码单击“登录”（初始用户名：admin，初始密码：admin） 图1 登录界面 重置密码，进入管理界面。按照提示，输入新密码，重新输入确认密码，单击“设置”重新使用新密码登录后，即可进入JumpServer控制台界面 图2 重置密码 图3 JumpServer控制台界面 进入JumpServer文档界面。鼠标悬停在右上角如图所示位置，单击“文档”进入JumpServer文档界面，了解更多JumpServer信息。 图4 查看文档 图5 JumpServer 文档界面

创建rf_admin_trust委托 进入华为云官网，打开控制台管理界面，鼠标移动至个人账号处，打开“统一身份认证”菜单。 图1 控制台管理界面 图2 统一身份认证菜单 进入“委托”菜单，搜索“rf_admin_trust”委托。 图3 委托列表 如果委托存在，则不用执行接下来的创建委托的步骤 如果委托不存在时执行接下来的步骤创建委托 单击步骤2界面中的“创建委托”按钮，在委托名称中输入“rf_admin_trust”，委托类型选择“云服务”，选择“RFS”，单击“下一步”。 图4 创建委托 在搜索框中输入“Tenant Administrator”权限，并勾选搜索结果。 图5 选择策略 选择“所有资源”，并单击下一步完成配置。 图6 设置授权范围 “委托”列表中出现“rf_admin_trust”委托则创建成功。 图7 委托列表

给rf_admin_trust委托添加IAM Agency Management FullAcces策略 打开“统一身份认证”菜单 图12 统一身份认证菜单 进入“委托”菜单，选择rf_admin_trust委托 图13 委托列表 进入“授权记录”菜单，单击“授权”按钮 图14 授权记录 在搜索框输入IAM Agency Management FullAcces，勾选过滤出来的记录，单击下一步，并确认完成权限的配置 图15 配置IAM Agency Management FullAcces策略 配置好后的情况：rf_admin_trust委托拥有Tenant Administrator和IAM Agency Management FullAccess权限 图16 授权记录列表

名词解释 基本概念、云服务简介、专有名词解释： 对象存储服务 OBS：对象存储服务（Object Storage Service，OBS）是一个基于对象的海量存储服务，为客户提供海量、安全、高可靠、低成本的数据存储能力。 函数工作流 FunctionGraph：是一项基于事件驱动的函数托管计算服务。通过函数工作流，只需编写业务函数代码并设置运行的条件，无需配置和管理服务器等基础设施，函数以弹性、免运维、高可靠的方式运行。此外，按函数实际执行资源计费，不执行不产生费用。 统一身份认证服务 IAM：是华为云提供权限管理、访问控制和身份认证的基础服务，您可以使用IAM创建和管理用户、用户组，通过授权来允许或拒绝对云服务和资源的访问，通过设置安全策略提高账号和资源的安全性，同时IAM为您提供多种安全的访问凭证。

方案架构 该解决方案基于华为云函数工作流 FunctionGraph，来帮用户实现对OBS桶上传视频文件做转码的处理。方案部署架构如下图所示： 图1 方案架构 该解决方案会部署如下资源： 在对象存储服务 OBS上创建两个桶，分别是原视频文件桶和视频转码存储桶。 在统一身份认证服务 IAM上创建一个委托，用于授权函数工作流(FunctionGraph)访问用户在OBS桶下载上传视频文件。 在函数工作流服务 FunctionGraph上创建一个视频转码函数和OBS触发器，实现OBS桶上传视频自动转码。

资源和成本规划 该解决方案主要部署如下资源，不同产品的花费仅供参考，实际以收费账单为准，具体请参考华为云官网价格： 表1 资源和成本规划(包年包月) 华为云服务 配置示例 每月预估花费 云桌面 Workspace 区域：华北-北京四 计费模式：包年包月 规格：X86桌面 | 尊享版 | 2vCPUs | 4GiB 系统盘：高IO | 100GB 购买量：1 213.00元 弹性公网IP EIP 区域：华北-北京四 计费模式：包年包月 线路：动态BGP 计费方式：按带宽计费 带宽大小：5Mbit/s 购买时长：1个月 购买量：1 115.00元 公网NAT网关 区域：华北-北京四 规格：小型 购买时长：1个月 购买量：1 306.00元 合计 634.00元 表2 资源和成本规划(按需计费) 华为云服务 配置示例 每月预估花费 云桌面 Workspace 区域：华北-北京四 计费模式：按需计费 规格：X86桌面 | 尊享版 | 2vCPUs | 4GiB 系统盘：高IO | 100GB 购买量：1 0.68 * 24 * 30 = 489.60元 弹性公网IP EIP 区域：华北-北京四 计费模式：按需计费 线路：动态BGP 计费方式：按带宽计费 带宽大小：5Mbit/s 购买时长：1个月 购买量：1 0.34 * 24 * 30 = 244.80元 公网NAT网关 区域：华北-北京四 规格：小型 购买时长：1天 购买量：1 12*30=360元 合计 1094.40元

快速部署 本章节主要帮助用户快速部署该解决方案。 表1 参数填写说明（本地连接） 参数名称 类型 是否必填 参数解释 默认值 vpc_name String 必填 虚拟私有云名称，该模板新建VPC，不允许重名。取值范围：1～54个字符，支持数字、字母、中文、_(下划线)、-（中划线）、.（点）。 enterprise-cloud-based-office-desktop-demo secgroup_name String 必填 安全组名称，该模板新建安全组，安全组规则请参考部署指南进行配置。取值范围：1～64个字符，支持数字、字母、中文、_(下划线)、-（中划线）、.（点）。 enterprise-cloud-based-office-desktop-demo user_name String 必填 云桌面所属的用户名。取值范围：1～20个字符，支持字母、数字、_(下划线)、-（中划线），必须以字母开头。 desktop-user-demo image_type String 必填 云桌面镜像类型，有效值：market（市场镜像）、gold（公有镜像）、private（私有镜像）。 market flavor_id String 必填 云桌面 flavor id 请调用 API Explorer 镜像API 获取。填写接口响应结果中 product_id 对应的值。 workspace.x86.ultimate.large2 image_id String 必填 云桌面 image id 请调用 API Explorer 镜像API 获取。 空 user_group String 必填 云桌面所属的用户组，有效值：sudo（Linux 管理员组）、default（Linux 默认用户组）、administrators（Windows 管理员组）、users（Windows 标准用户组）。 administrators user_email String 必填 邮箱地址，用于注册云桌面用户。 空 charging_mode String 必填 计费模式，默认自动扣费，取值为prePaid（包年包月）或postPaid（按需计费），默认postPaid。 postPaid charging_unit String 必填 有效值为“year”或“month”。当charging_mode（计费模式）为prePaid时，此选项为必填项。 month charging_period number 必填 包年包月时长，当charging_unit取值为“year”,取值范围为1～3；当charging_unit取值为“month”,取值范围为1～9。当charging_mode（计费模式）为prePaid时，此选项为必填项。 1 eip_bandwidth_size number 必填 弹性公网IP带宽大小，取值范围为1-2000Mbit/s。 5 access_mode String 必填 云桌面的访问方式，有效值：INTERNET（互联网接入）、DEDICATED（专线接入）、BOTH（支持互联网访问和专用访问）。 INTERNET 表2 参数填写说明（AD域连接） 参数名称 类型 是否必填 参数解释 默认值 vpc_id String 必填 虚拟私有云ID，该模板使用已有VPC，请选择AD域服务器所在 虚拟私有云VPC ，查询VPC请参考3.1获取VPC、子网、安全组ID步骤1。 空 subnet_id String 必填 子网ID，该模板使用已有子网，请选择AD域服务器相同虚拟私有云VPC下子网，查询并获取子网ID请参考3.1获取VPC、子网、安全组ID步骤2。 空 user_name String 必填 云桌面所属的用户名。取值范围：1～20个字符，支持字母、数字、_(下划线)、-（中划线），必须以字母开头。 desktop-user-demo image_type String 必填 云桌面镜像类型，有效值：market（市场镜像）、gold（公有镜像）、private（私有镜像）。 market flavor_id String 必填 云桌面 flavor id 请调用 API Explorer 镜像API 获取。填写接口响应结果中 product_id 对应的值。 workspace.x86.ultimate.large2 image_id String 必填 云桌面 image id 请调用 API Explorer 镜像API 获取。 空 user_group String 必填 云桌面所属的用户组，有效值：sudo（Linux 管理员组）、default（Linux 默认用户组）、administrators（Windows 管理员组）、users（Windows 标准用户组）。 administrators user_email String 必填 邮箱地址，用于注册云桌面用户。 空 access_mode String 必填 云桌面的访问方式，有效值：INTERNET（互联网接入）、DEDICATED（专线接入）、BOTH（支持互联网访问和专用访问）。 INTERNET ad_domain_name String 必填 Windows AD域名，取值范围：域名用字母（A-Z，a-z，大小写等价）、数字（0-9）和连接符（-）组成，各级域名之间用实点（.）连接，国际域名75个字符。注意连接符（-）不能作为域名的开头或结尾字符。示例：download.game-apk1.com。 vdesktop.huawei.com ad_server_admin_account String 必填 域管理员账户。它必须是 AD 服务器上的现有域管理员账户。 JRS0001 ad_server_admin_password String 必填 域管理员账户密码。它必须是 AD 服务器上的现有域管理员账户密码。 空 ad_master_domain_ip String 必填 AD服务器私有IP地址，请参考获取服务器私有IP地址获取。 空 active_domain_name String 必填 域控制器名称，由AD服务的主机名加上域名表示。 fa-2016ad-1.vdesktop.huawei.com charging_mode String 必填 弹性公网IP计费模式，默认自动扣费，取值为prePaid（包年包月）或postPaid（按需计费），默认postPaid。 postPaid charging_unit String 必填 弹性公网IP计费周期，有效值为“year”或“month”。当charging_mode（计费模式）为prePaid时，此选项为必填项。 month charging_period number 必填 弹性公网IP包年包月时长，当charging_unit取值为“year”,取值范围为1～3；当charging_unit取值为“month”,取值范围为1～9。当charging_mode（计费模式）为prePaid时，此选项为必填项。 1 eip_bandwidth_size number 必填 弹性公网IP带宽大小，以Mbit/s为单位，取值范围为1～2000。 5 登录华为云解决方案实践，选择"企业云上办公桌面解决方案"，单击“一键部署”，跳转至解决方案创建资源栈界面。 图1 解决方案实施库 在选择模板界面中，单击“下一步”。 图2 选择模板 在配置参数界面中，参考表1 参数填写说明（本地连接）或表2完成自定义参数填写，单击“下一步”。 图3 配置参数 在资源设置界面中，在权限委托下拉框中选择“rf_admin_trust”委托，单击“下一步”。 图4 资源栈设置 在配置确认界面中，单击“创建执行计划”。 图5 配置确认 在弹出的创建执行计划框中，自定义填写执行计划名称，单击“确定”。 图6 创建执行计划 单击“部署”，并且在弹出的执行计划确认框中单击“执行”。 图7 执行计划 图8 执行计划确认 （可选）如果计费模式选择“包年包月”，在余额不充足的情况下（所需总费用请参考表1）请及时登录费用中心，手动完成待支付订单的费用支付。 待“事件”中出现“Apply required resource success”，表示该解决方案已经部署完成。 图9 部署完成 父主题： 实施步骤

安全组规则修改 安全组实际是网络流量访问策略，包括网络流量入方向规则和出方向规则，通过这些规则为安全组内具有相同保护需求并且相互信任的云服务器、云容器、云数据库等实例提供安全保护。 如果您的实例关联的安全组策略无法满足使用需求，比如需要添加、修改、删除某个TCP端口，请参考以下内容进行修改。 添加安全组规则：根据业务使用需求需要开放某个TCP端口，请参考添加安全组规则添加入方向规则，打开指定的TCP端口。 修改安全组规则：安全组规则设置不当会造成严重的安全隐患。您可以参考修改安全组规则，来修改安全组中不合理的规则，保证云服务器等实例的网络安全。 删除安全组规则：当安全组规则入方向、出方向源地址/目的地址有变化时，或者不需要开放某个端口时，您可以参考删除安全组规则进行安全组规则删除。

配置Windows AD域（可选，如果部署模板为AD域连接，则需执行以下步骤） 本章节用于指导用户部署配置Windows AD服务器，用户OU及用户。如果已有，请忽略本章节配置。 登录弹性云服务器，在左下角的任务栏，右键单击 ，在“运行”对话框中，输入“sysdm.cpl”，按“Enter”。打开“系统属性”窗口。 单击“更改”，在“计算机名”中填入规划的计算机名；单击“确定”，如下图所示。 图14 修改计算机名 根据界面提示完成配置，重新启动计算机后使用Administrator账号登录。 配置Windows AD域 请参考如何部署AD服务器。 AD服务器上创建用户OU 请参考如何在AD服务器上创建用户OU。 AD服务器上创建AD域管理员账户 请参考如何在AD服务器上创建用户。 AD服务器上创建云桌面用户 请参考如何在AD服务器上创建用户（注意：云桌面用户不能和管理员账户相同，请修改文档中登录用户名，部署模板默认为“users_0001”）。

创建rf_amdin_trust委托 进入华为云官网，打开控制台管理界面，鼠标移动至个人账号处，打开“统一身份认证”菜单。 图1 控制台管理界面 图2 统一身份认证菜单 进入“委托”菜单，搜索“rf_admin_trust”委托。 图3 委托列表 如果委托存在，则不用执行接下来的创建委托的步骤 如果委托不存在时执行接下来的步骤创建委托 单击步骤2界面中的“创建委托”按钮，在委托名称中输入“rf_admin_trust”，选择“普通账号”，委托的账号，输入“op_svc_IAC”，单击“下一步”。 图4 创建委托 在搜索框中输入“Tenant Administrator”权限，并勾选搜索结果。 图5 选择策略 选择“所有资源”，并单击下一步完成配置。 图6 设置授权范围 “委托”列表中出现“rf_admin_trust”委托则创建成功。 图7 委托列表