华为云用户手册

常见问题 Domain not registered或Service not registered 领域或微服务没有进行注册，请根据STS 2.0业务接入指南的指导自行注册领域或微服务。 connect timed out或read timed out 它有两种原因，connect timed out或read timed out: 可以在sts.properties中添加超时配置，单位为毫秒： sts.connect.timeout=10000 //遇到 connect timed outsts.socket.timeout=10000 //遇到 read timed out Illegal key size 需要安装相应JDK版本对应的两个policy文件。最新的Huawei JDK在 jre/lib/security/policy/unlimited下自带了该policy文件，因此可以直接切换到Huawei JDK来启动应用。 自动部署时，请选择安装最新版本的jdk，如1.8.0_252，因为新版本是Huawei JDK，已经自带了policy文件 如果不能修改JDK版本，则替换JRE_HOME/lib/security目录下的US_export_policy.jar和local_policy.jar。 Encrypt Permission Denied 这是因为管理台上注册微服务时，默认将微服务注册成了NORMAL。只有角色为PLATFORM的微服务才有权限调用加密接口。 fail to init session key fail to init session key fail to get master key from sts 这是因为集成了STS 1.0，也就是集成了sts-cse-sdk，从STS 1.0的服务器获取master key失败。因为STS 1.0的服务器需要业务自己去搭建，在没有搭建的情况下，当然会获取失败。 如果已经搭建，检查业务的yaml文件中配置的environment参数和STS 1.0微服务中的environment是否一致，如果不一致则修改成一致。 mac check in GCM failed 这个错误的原因就是密钥和密文不匹配导致无法解密。需要确认业务配置文件中的密文是从哪里来的？ 通过IaC由配置中心下发： 检查IaC代码中配置的敏感配置项ID中的服务或微服务名是否属于该运行的微服务。 服务级：Service/{ServiceName}/{SensitiveName}/{tag} 微服务级：MicroService/{ServiceName}/{MicroServiceName}/{SensitiveName}/{tag} 通过StsAgent加密后，手工配置： 检查加密的时候使用的服务级别servicekek还是微服务级别kek，和密文中的级别是否一致，服务名和微服务名是否和该运行的微服务一致？加密得到密文的STS环境和运行的STS环境是否一致？例如测试环境加密的密文是不能在生产环境解密。 # 使用微服务kek加密 # /opt/huawei/apps/wisesecurity/stsagent/stsagent encrypt -s ServiceName -m MicroServiceName -x -h 10.33.102.162:8080 # 使用服务servicekek加密 # /opt/huawei/apps/wisesecurity/stsagent/stsagent encrypt -s ServiceName -m MicroServiceName -ts ServiceName -x -h 10.33.102.162:8080 中间件的口令解密 业务集成了Cloud Map对接中间件，业务不用关心口令解密的问题。 业务使用sts agent加密明文口令后配置到相应管理台。参考2，看加密用的密钥和代码中解密的密钥是否对应（服务级还是微服务级kek），以及加密时使用的微服务名和服务名是否一致。 不同微服务的证书不可混用，业务使用自己微服务的证书及配置文件进行SDK的初始化，解密自己微服务的配置。 Undefined provider local 当创建AESCryptor时，如果不用@指定KeyProvider，那么它会默认调用local KeyProvider。在使用kek或servicekek时，要指定KeyProvider为@sts。 //错误 AESCryptor cryptor = new AESCryptor.Builder().withKey("kek").withAlg(CryptoAlg.AES_GCM).build(); //正确 AESCryptor cryptor = new AESCryptor.Builder().withKey("kek@sts").withAlg(CryptoAlg.AES_GCM).build(); 申请证书时Make sure haveged is running步骤或try active service步骤报错。 这是因为机器上没有启动haveged服务。haveged是一个随机数的熵的提供方，它可以解决在某些情况下，系统熵过低的问题。 规避办法：在部署步骤前面加上sudo步骤；或者，到机器上，手动执行service haveged start命令，启动haveged服务。 解决方案：在申请证书步骤前添加sudo和shell-exec步骤，确保haveged服务为启动状态。 sudo systemctl enable haveged.service && sudo systemctl start haveged.service非EulerOS可以使用sudo service haveged start命令。 service ini config file not exists 这是因为STS在初始化时，找不到初始化配置文件（ini 文件）或者微服务名称.sts.p12证书文件不存在。该文件是部署微服务是通过stsagent申请证书时生成的，默认路径在/opt/huawei/certs/{serviceName}/{microServiceName}，业务也可以通过相应参数来修改。 解决办法： 首先确认配置的STS参数： 通过配置文件配置的，查看sts/sts.properties 文件，检查sts.config.path配置的文件是否存在。 通过NUWA配置文件，检查microservice.yaml文件中nuwa.security.sts.configPath配置的文件是否存在。 nuwa:security:sts:serverDomain: 10.33.102.109:8080configPath: /opt/huawei/certs/{ServiceName}/{MicroServiceName}/{MicroServiceName}.ini 通过Java Bean方式配置的，也就是通过类似以下代码初始化，检查sts.config.path配置的文件是否存在 Properties properties = new Properties();properties.setProperty("sts.server.domain", "10.33.102.162:8080");properties.setProperty("sts.config.path", "D:/Test/ConsumerService/ConsumerMicroService1/ConsumerMicroService1.ini");StsKeyApi.initWith(properties); 如果配置的是相对路径，则必须是相对于resource目录的路径。如果是在IDEA中运行使用，则检查target下是否有该文件，如果没有则重新compiler，IDEA最终是从target下获取resource文件。 另外，请确认部署过程中证书申请的步骤在业务安装和启动流程之前，如果业务先启动，之后才进行证书的申请，配置文件还未生成，也会出现找不到配置文件的问题。 若不存在，则要参考STS 2.0业务接入指南申请证书。如果配置的文件路径不是stsagent生成的默认路径，则需要手工将** /opt/huawei/certs/{ServiceName}/{MicroServiceName}/**拷贝到相应的路径下。 Fail to derive key with master key 这是因为STS没有初始化，就去调用了获取认证凭据的接口。 解决办法：检查是否调用了StsKeyApi.init()或StsKeyApi.initWith(properties)。 如何解密微服务证书的口令 微服务证书的口令使用本地随机的根密钥和工作密钥加密，口令明文使用StsKeyStoreUtil.getKeyStoreValue()进行解密。 Access Permission Denied 微服务集成STS SDK，获取相应微服务的Credentials时报如下错误Reqeust sts server fail, Request Token form xxxx&yyyy failed， Access Permission Denied。 这是由于provider没有该微服务配置相应的ACL（Access Control List），导致没有权限获取访问该provider的credentials。 Invalid api name STS Agent执行的时候报Invalid api name，这是由于 IaC 中使用了STS Agent高版本能力，但主机上STS Agent版本过低并且IaC中没有强制升级STS Agent导致的。通过IaC或手动更新STS Agent，使用1.1.5.100及之前的部署包时请打开force_install开关。 微服务有测试，镜像，海外，灰度等不同的环境，STS管理台如何管理这些敏感配置项？ STS管理台在不同站点是分开部署。同一站点下假如想区分不同的场景，例如生产和灰度，开发，测试和镜像，则可以使用敏感配置项标签区分。 STS管理台敏感配置项最大长度是多少？ 5000个字符。 本地缓存的STS KEK，ServiceKEK以及认证凭据是如何保护？ key.json由本地随机生成的rootkey和workkey加密保护，kek.json由STS KEK保护。 加密算法采用AES GCM。 部署过程report certificate to cms报错，提示"An unknown error occurred when report certificates!"。 首先检查/opt/huawei/certs/{service}/{microservice}下stscerttool.log中是否有错误信息。 若日志中出现异常提示[Errno -2] Name or service not known，请使用以下命令确认系统版本是否为欧拉OS 2.9 [EulerOS release 2.0 (SP9)]： lsb_release -a 检查主机hostname是否超过64个字符，如果是的话，修改主机名。 主机存在无法解析出主机IP的问题，参考如下步骤检查： 检查/etc/nsswitch.conf中是否包含hosts项，且对应配置包含files或myhostname。 若添加配置files，检查/etc/hosts，添加当前主机的IP映射[host_ip] [hostname]，例如：10.33.100.100 host-10-33-100-100。 若添加配置myhostname，通常无需进行其他修改。 运行以下命令检查是否有其他异常。 hostname -i python -c "import socket; print(socket.gethostbyname(socket.getfqdn(socket.gethostname())))" 如何手工注册微服务 使用IaC部署在WiseDBA上创建数据库实例，报没有注册STS的错误，如果业务还没有接入STS，可以在STS管理台进行手工注册该微服务。 如何将服务器上生成的STS微服务证书信息迁移到window机器上调试。 将服务器上/opt/huawei/certs/{serviceName}/{microServiceName}目录下的所有问题打包下载到本机。修改{microServiceName}.ini 文件中 a_file，b_file ，c_file，d_file 的路径，该路径支持绝对路径或相对路径（相对于ini文件的路径，一般为{microServiceName}/apple/a）。修改sts.properties中 sts.config.path为实际的ini文件的路径。 missed = in sensitive string value / missed value in sensitive string 解密敏感配置项的时候报missed = in sensitive string value错误，这是由于敏感配置密文格式不正确。敏感配置项密文格式如下： kek加密密文格式： ENC(key=kek, value=xxxx) servicekek加密密文格式： ENC(key=servicekek, value=xxxx) Unable to execute refresh credentials function 微服务日志STS SDK抛出如下异常，这是由于对端开启了STS的微服务认证，MapConnectCoreService&MapConnectCoCreateService未给该微服务配置ACL。 解决方案：让对端给该微服务配置ACL。 com.huawei.wisesecurity.sts.sdk.exception.StsException: Unable to execute refresh credentials function for service.identity=MapConnectCoreService&MapConnectCoCreateService STS对JDK/JRE有什么要求？ STS的kek/servicekek使用了256位密钥，该长度加密算法受到美国出口限制，需要安装相应JDK版本对应的两个policy文件（US_export_policy.jar 和 local_policy.jar ）。 最新的Huawei JDK/JRE(1.8.0_252)在jre/lib/security/policy/unlimited下自带了该policy文件，因此可以直接切换到Huawei JDK来启动应用。 如果不能修改JDK/JRE版本，可以用Huawei JDK/JRE jre/lib/security/policy/unlimited下的policy文件（US_export_policy.jar和 local_policy.jar）替换到相应JDK/JRE的jre/lib/security目录下。 invalid common name STS SDK抛出如下异常： InvocationException: code=403;msg=errorCode=1002;errorMessage=invalid common name: AppGalleryPromotionUserService 这是由于 CS E的yaml文件中配置的微服务名和使用的STS微服务证书中的微服务名不一致导致的，使用部署时采用STSAgent自动签发的证书，里面是标准的PBI服务名和微服务名。 STS管理台敏感配置修改后如何刷新到微服务的配置文件中？ 敏感配置项是通过配置服务发布到微服务配置文件中。在STS管理台修改后，需要在部署服务上重新发布修改的配置项。 在配置中心找到该配置项 重新发布该配置项： fail to parser work key json file 检查work_key.json格式是否正确，文件中的description，mac字段需要删除。 Odd number of characters 业务加载工作密钥文件的时候报Odd number of characters异常，这是由于在STS管理台配置的hex编码的密钥明文的少或多了一个char。Hex编码字符串必须是偶数个字符。 fail to get master key from sts 业务集成了STS 1.0的认证能力，需要从STS 1.0 Server上获取主密钥失败。STS 1.0 Server是部署在业务集群中，注册到业务同一个注册中心： 在相应注册中心上检查WiseSecurity：SecurityTokenService微服务是否存在，如果不存在，则找到相应部署机器启动该微服务。 检查业务的yaml文件中配置的environment参数和STS 1.0微服务中的environment是否一致，如果不一致则修改成一致。 missed header x-sts-token / x-sts-session provider通过STS SDK认证请求时，从http消息中无法获取到相应的STS认证header信息。 直接用postman访问，会缺少相应的认证凭据而失败。因此如果测试需要，可以将微服务的STS认证放通开关打开。放通开关配置在sts.properties配置文件中的sts.bypass.enable参数：true表示放通，false表示不放通，默认是不放通。 consumer侧开启了放通，但provider侧没有放通。 sts.properties文件中未配置sts.config.path指定STS微服务证书加载路径（如果是IDEA中执行的，检查一下target下是否存在sts.properties）。STS SDK默认加载sts/sts.properties，业务也可以通过jvm启动参数sts.properties修改该文件的路径。 如果是通过NUWA初始化STS的，检查yaml文件中是否有配置nuwa.security.sts.configPath。 nuwa: security: sts: serverDomain: 10.33.102.109:8080 configPath: /opt/huawei/certs/{ServiceName}/{MicroServiceName}/{MicroServiceName}.ini 如果通过Java Bean方式初始化，检查是否有设置sts.config.path配置项。 Properties properties = new Properties(); properties.setProperty("sts.server.domain", "10.33.102.162:8080"); properties.setProperty("sts.config.path", "D:/Test/ConsumerService/ConsumerMicroService1/ConsumerMicroService1.ini"); StsKeyApi.initWith(properties); STS管理台录入敏感配置项使用什么加密算法加密。 敏感配置项采用STS给业务分配的KeK/ServiceKek（256位）使用AES/GCM加密。 Unable to resolve non-exist credentials StsCseClientFilter中发送请求时报如下异常和错误，这是由于无法获取到访问该微服务凭据抛出异常。检查服务初始化STS SDK时是否有异常（查看 logback或log4j中配置的com.huawei.wisesecurity.sts包路径的日志文件）。 invalid certificate 回答：确认服务名和证书名是一致的，证书是重新下发的，再判断业务连接的STS server1.0上的证书是否有修改。 注意：需要确定当前环境连接的STS服务器是正确的，可以看性能环境对应的注册中心是哪个，然后再这个注册中心上portal上看STS 1.0是那台服务器注册上去的。 get sts token --Timestamp out of range/Timestamp is more earlier or later 这是由于STS开启防重放攻击（和STS服务器之间时间差小于5分钟），检查业务服务器的时间是否正确。 configId can not be blank 部署服务或者NUWARutime获取敏感配置项时，请求要获取的敏感配置项的列表中有值为空。 管理台上服务下无法选到相应的微服务。 在安全管理台上配置敏感配置项、证书时，服务下只显示已经在相应环境下在STS上注册过的微服务。需要让站点的业务SRE在运维管理台上进行微服务注册。 KeyStoreException: empty private key or certificate 出现该提示，是因为主机上STS实例证书（位于/opt/huawei/certs/{服务}/{微服务}/下）并不完整，很可能是由于前一次部署过程中出错导致，请检查该证书是否有效，可使用以下命令对证书进行检查。 /opt/huawei/apps/wisesecurity/stsagent/stsagent check -s {服务} -m {微服务} 如果提示校验错误信息，请重新执行stsagent-install部署步骤进行证书的重新申请。 Unable to find SecretKey version=0 业务代码中使用STS密钥解密非STS加密的数据导致的错误。 Micro service xxx&yyy not registered 微服务没有在STS管理台进行注册。 Fail to read service info from keystore STS SDK初始化是需要从STS的身份证书jks文件中读取服务和微服务信息，加载jks文件的时候异常了。一般是该jks文件有异常。 SDK会根据service ini文件中的subject的CN项作为微服务名读取证书文件 {微服务名}.sts.p12 [cert] subject = C=CN,O=Huawei,OU=Huawei CBG Cloud MicroService,CN=SecurityTokenServiceDemoSelfConsumer ip = 127.0.0.1 invalid timestamp 检查业务主机的时间和标准时间差异是否超过5分钟。 timeout awaiting response headers sts-go-sdk内的 ResponseHeaderTimeout参数值设置过小，目前默认为100，在初始化时传入参数“sts.responseHeader.timeout”修改该值大小。 not an SSL/TLS record client和server两边SSL不一致：client通过HTTP访问，但Server是提供的HTTPS的服务。 如果是 tomcat + NUWA/CSE，tomcat最终对外提供是http还是https是由tomcat的配置文件决定的，NUWA/CSE的yaml文件中定义的只是注册到注册中心告诉对端提供的是 http还是https。 Some config items not found iac provider在plan阶段会去校验敏感配置项是否存在于STS管理台，如果没有录入敏感配置项，或者敏感配置项的坐标不正确，则报此错，需要业务自己检查坐标是否正确。 fail to get provider ** credentials consumer集成sts-go-sdk在获取provider端访问凭据的时候失败，需要在provider端配置ACL，管理台录入ACL后，需等十分钟才生效。 启动时如果发现类似错误： either 'jasypt.encryptor.password', one of ['jasypt.encryptor.private-key-string', 'jasypt.encryptor.private-key-location'] for asymmetric encryption, or one of ['jasypt.encryptor.gcm-secret-key-string', 'jasypt.encryptor.gcm-secret-key-location', 'jasypt.encryptor.gcm-secret-key-password'] for AES/GCM encryption must be provided for Password-based or Asymmetric encryption 那么可以按两个方向排查： 检查启动类是否添加@EnableStsEncryptableProperties ，需要添加该注解，才能初始化StsStringEncryptor对象。 如果已经添加，那可能是触发自动解密的地方距离启动太早，导致 spring context 初始化还未完成，不能获取到StsStringEncryptor对象。例如，Eureka应用的bootstrap.yml中如果包含敏感配置项，就会报这个错，需要将敏感配置项移到其他配置文件中，即可解决。 Unable to refresh credentials for service SecurityTokenService&SecurityTokenMicroService 该问题是STS初始化的时候，从kek.json或者keys.json获取本地密钥失败，导致无法从STS-Server获取凭据。 解决方法：找到密钥的缓存地址，/${HOME}/.sts/服务名/微服务名/kek.json，删除kek.json和keys.json文件，重新启动即可。 父主题： STS SDK

SDK功能介绍 表1 STS SDK功能矩阵 功能 Java 读取微服务身份证书 √ 连接STS-Server获取密钥、认证凭据等 √ 连接STS-Server获取敏感配置 √ 解密敏感数据 √ 微服务间通信认证 √ 微服务间通信敏感 数据加密 √ 表2 Cloud Map SDK功能矩阵 功能 Java 微服务注册发现 √ 中间件注册发现 √ URL注册发现 √ 支持CSE平滑切换到Cloud Map，支持cse访问不同clusterName的微服务 √ 支持URL AZ内就近访问，指定灰度、Tag访问 √ 支持获取所有的服务实例以及实例变更通知 √ 提供restful调用的API √ Cloud Map支持Spring Cloud √ 支持多个ELB/SLB，避免单点故障 √ 表3 Gray SDK功能矩阵 功能 Java 高性能灰度规则执行 √ 兼容CSE的灰度规则能力 √ 支持订阅多个微服务灰度配置和执行 √ 支持多阶段灰度发布 √ 支持灰度生命周期管理 √ 支持灰度规则执行异常检测 √ 表4 Rainbow SDK功能矩阵 功能 Java 支持MySQL/Cassandra/ GaussDB /DRDS √ 数据库主备动态切换 √ 读节点发生故障，单线程读重试 √ 基于集中式数据源信息管理和动态变更 √ 基于JDBC规范，很容易扩展支持实现JDBC规范的数据源 √ 应用直连数据库，无代理 √ 平滑加减数据库节点 √ 提供hint方式或者是编码式强制某条SQL读取从库或者主库等 √

配置Rainbow 修改Rainbow SDK配置，切换SDK数据源，新增Cloud Map配置、STS配置，配置如下： nuwa: sts: serverDomain: 10.33.102.162:8080 configPath: certs/WiseCloudNuwaService/WiseCloudNuwaCloudMapAdminService/WiseCloudNuwaCloudMapAdminService.ini enable: true cloudmap: serverAddr: http://10.33.113.125:8080 namespaceName: cn_dev_default rainbow: db0: datasource: beanName: rainbowDs dataSourceName: xxxx //与运维中心WiseDBA服务SDK配置界面的值保持一致 appName: xxx //业务的服务名 dbGroupKey: xxx //实例名称 dbName: xxxxx //Schema名称 connectionProperties: characterEncoding=utf8;connectTimeout=10000;socketTimeout=10000;autoReconnect=true;useUnicode=true;serverTimezone=Asia/Shanghai useSts: true mybatis: base-package: com.huawei.nuwa.map.demo.consumer.middleware.dao mapper-locations: classpath:mapper/rainbow/*.xml

初始化Cloud Map 在启动类中增加@EnableDiscoveryClient注解，同时在启动类中完成将RestTemplate放到spring容器中，后续微服务间调用就使用注册到spring容器中的RestTemplate，代码如下： package com.huawei.demo.servicea; import org.springframework.boot.SpringApplication; import org.springframework.boot.autoconfigure.SpringBootApplication; import org.springframework.cloud.client.discovery.EnableDiscoveryClient; import org.springframework.cloud.client.loadbalancer.LoadBalanced; import org.springframework.context.annotation.Bean; import org.springframework.web.client.RestTemplate; import com.huawei.wisesecurity.sts.springboot.security.annotation.EnableStsAutoInitialization; @SpringBootApplication @EnableStsAutoInitialization(value = "application.properties") @EnableDiscoveryClient public class ServiceASpringbootApplication { public static void main(String[] args) { SpringApplication.run(ServiceASpringbootApplication.class, args); } @Bean @LoadBalanced public RestTemplate restTemplate() { return new RestTemplate(); } }

配置Cloud Map 在微服务的application.yaml配置文件中添加以下配置项： nuwa: cloudmap: read: cloudmap #使用Cloud Map方式进行微服务间通信 clusterName: clusterName-example #微服务注册到Cloud Map的集群 provider: cluster: clusterName-example #提供服务的其他同样被注册到Cloud Map的微服务集群名 serverAddr: http://10.34.32.243:80 #Cloud Map访问地址 version: 1.0.0.100 #微服务版本号 namespaceName: cn_dev_default #Cloud Map访问命名空间

SDK列表 表1 SDK列表 SDK分类 说明 编程语言 下载地址 参考文档 ACMS的SDK：STS SDK STS SDK（Security Token Service，简称STS）服务软件开发工具包是对访问凭据管理服务（ACMS）提供的REST API进行的封装，以简化用户的开发工作。用户直接调用SecurityTokenService SDK提供的接口函数即可实现使用ACMS业务能力的目的。 使用STS SDK即可使用运维中心ACMS的敏感配置项托管和微服务之间请求认证功能。 Java nuwa-open-sdk-1.1.0-20240204093135.zip 完整性校验nuwa-open-sdk-1.1.0-20240204093135.zip.sha256 下载包nuwa-open-sdk-1.1.0-20240204093135.zip中的文件介绍请参见表2。 STS SDK Cloud Map的SDK：Cloud Map SDK Cloud Map SDK服务软件开发工具包是对服务发现（Cloud Map）服务提供的REST API进行的封装，以简化用户的开发工作。用户直接调用Cloud Map SDK提供的接口函数即可实现使用Cloud Map服务业务能力的目的。 Java Cloud Map SDK SLB的SDK：Gray SDK Gray SDK负责业务的负载均衡，Nginx组件通过反向代理实现了业务的负载均衡，通过丰富的扩展功能，可以对HTTP消息定制丰富的控制策略。 使用Gray SDK即可使用运维中心负载均衡（SLB）的灰度管理功能。 Java Gray SDK WiseDBA的SDK：Rainbow SDK Rainbow SDK构建云原生DevOps全流程可信build-in的数据库治理解决方案。使用Rainbow SDK即可使用运维中心的数据库治理（WiseDBA）功能。 提供MySQL/Cassandra/GaussDB/DRDS全流程设计、开发、发布、运维（管理、治理、诊断）方案。 可信build-in：过程可信，结果可信，接入安全（无人工接入密码），操作（资源高危操作）安全。 Java Rainbow SDK 表2 SDK jar包介绍 文件夹 SDK分类 对应的jar包 nuwa-cse-sdk：适用于基于NUWA框架且不使用spring boot的项目 STS SDK sts-key-sdk-1.1.17.109.jar sts-sdk-base-1.1.17.109.jar cloudsoa-security-1.1.13.100.jar Cloud Map SDK nuwa-cloudmap-config-servicecomb-1.0.12.100.jar nuwa-cloudmap-core-1.0.12.100.jar nuwa-cloudmap-registry-cse3-1.0.12.100.jar nuwa-cloudmap-registry-servicecomb-common-1.0.12.100.jar Gray SDK graysdk-core-1.4.14.500.jar graysdk-cse3-1.4.14.500.jar nuwa-apaas-graysdk-3.1.5.100.jar Rainbow SDK rainbow-proxy-1.2.18.102.jar gpaas-middleware-common-2.2.6.100.jar NUWA基础SDK nuwa-boot-container-3.1.5.100.jar nuwa-core-3.1.5.100.jar nuwa-cse-foundation-3.1.5.100.jar nuwa-share-libs-3.1.5.100.jar nuwa-tenant-sdk-3.1.5.100.jar spring-cloud-sdk：适用于基于Spring Cloud框架的项目 STS SDK sts-key-sdk-1.1.19.100.jar sts-sdk-base-1.1.19.100.jar sts-spring-boot-1.1.19.100.jar cloudsoa-security-1.1.14.101.jar Cloud Map SDK nuwa-cloudmap-core-1.0.12.100.jar nuwa-cloudmap-spring-boot-starter-1.0.12.100.jar spring-cloud-starter-cloudmap-discovery-1.0.12.100.jar Gray SDK 不支持 Rainbow SDK gpaas-jetcd-api-2.0.0.106.jar gpaas-jetcd-v2-2.0.0.106.jar gpaas-middleware-common-2.2.6.100.jar nuwa-gpaas-rainbowproxy-3.2.2.100.jar nuwa-rainbowproxy-spring-boot-starter-3.2.2.100.jar rainbow-api-1.2.18.201.jar rainbow-core-1.2.18.201.jar rainbow-core-drds-1.2.18.201.jar rainbow-core-gaussdb-1.2.18.201.jar rainbow-proxy-1.2.18.201.jar NUWA基础SDK nuwa-boot-container-3.2.2.100.jar nuwa-core-3.2.2.100.jar nuwa-core-spring-boot-starter-3.2.2.100.jar spring-cse-sdk：适用于基于NUWA框架且使用spring boot的项目 STS SDK sts-key-sdk-1.1.19.100.jar sts-sdk-base-1.1.19.100.jar sts-spring-boot-1.1.19.100.jar cloudsoa-security-1.1.14.101.jar Cloud Map SDK nuwa-cloudmap-config-servicecomb-1.0.12.100.jar nuwa-cloudmap-core-1.0.12.100.jar nuwa-cloudmap-registry-cse3-1.0.12.100.jar nuwa-cloudmap-registry-servicecomb-common-1.0.12.100.jar nuwa-cloudmap-spring-boot-starter-3.2.2.100.jar nuwa-gpaas-cloudmap-3.2.2.100.jar Gray SDK graysdk-core-1.4.14.500.jar graysdk-cse3-1.4.14.500.jar nuwa-apaas-graysdk-3.2.2.100.jar nuwa-graysdk-spring-boot-starter-3.2.2.100.jar Rainbow SDK nuwa-gpaas-rainbowproxy-3.2.2.100.jar nuwa-rainbowproxy-spring-boot-starter-3.2.2.100.jar rainbow-proxy-1.2.18.102.jar gpaas-middleware-common-2.2.6.100.jar NUWA基础SDK nuwa-boot-container-3.2.2.100.jar nuwa-core-3.2.2.100.jar nuwa-core-spring-boot-starter-3.2.2.100.jar nuwa-cse-foundation-3.2.2.100.jar nuwa-cse-foundation-spring-boot-starter-3.2.2.100.jar nuwa-tenant-sdk-3.2.2.100.jar tools：configparser为自定义参数解析工具，通过NUWA部署时，解析参数模板，将模板中的参数变量，替换为实际的配置项值，具体使用方式请参见使用configparser工具优化代码。 -

一个主体最多可以备案几个网站 一个华为云账号只能备案一个主体（公司或个人）信息，但是一个主体下可以备案多个网站。 网站备案的域名个数限制优先以管局规定为准，部分管局（如：上海、广东和陕西等）要求域名超过一定数量时需要到管局现场核验或邮寄域名证书等。 具体需要以当地管局要求为准，您也可咨询备案热线4000955988转5。 若为企业备案，建议您一个备案订单提交3-5个域名/网站。（部分管局要求每次只能备案1个网站/域名（如湖南、湖北），需要等该域名备案通过后，可继续提交其他域名的备案申请。） 若为个人备案，一个备案订单提交1个域名/网站。 更多备案限制条件请参见：备案限制。 父主题： 备案基础

电子版证件问题 通常是提供的证件不符合规范要求；如：证件内容不清晰、边角不完整、失真或造假、过期等，电子版证件具体要求如下： 拍照/彩色扫描证件原件，不可为复印件或打印件。 证件不可隔屏拍摄，拍照/扫描的证件需边角完整，内容清晰（国徽不得遮挡）。 色调背景一致，证件内容无反光 可以添加一行描述准确的水印，但需文字简洁且不遮挡证件上的重要信息。 系统支持上传的电子版格式有：jpg、png。 以下场景不符合电子版证件资料要求，无法通过备案申请： 使用图像处理软件对证件扫描件编辑、修改。 隔屏拍摄的证件。 电子营业执照，如图1所示。 图1 电子营业执照 父主题： 管局退回

电子版证件资料要求 ICP备案不收证件原件，只需上传证件原件的彩色扫描件或者原件拍照电子版。电子版证件要求如下： 拍照/彩色扫描证件原件，不可为复印件或打印件。 证件不可隔屏拍摄，拍照/扫描的证件需边角完整，内容清晰（国徽不得遮挡）。 色调背景一致，证件内容无反光 可以添加一行描述准确的水印，但需文字简洁且不遮挡证件上的重要信息。 系统支持上传的电子版格式有：jpg、png。 以下场景不符合电子版证件资料要求，无法通过备案申请： 使用图像处理软件对证件扫描件编辑、修改。 隔屏拍摄的证件。 电子营业执照，如图1所示。 图1 电子营业执照 父主题： 上传资料与真实性核验

常见问题 问：一台弹性云服务器已经享受过“备案多久送多久”奖励，使用该服务器再次提交备案时，还能再次享受吗？ 答：不能，同一台弹性云服务器只能享受一次赠送时长，不能重复享受。 问：在备案成功前，弹性云服务器已到期，备案成功后还能享受“备案多久送多久”吗？ 答：弹性云服务器到期，您将无法享受赠送时长，请及时续费，确保您的服务器在有效期内。 问：若备案过程中退订更换了新的弹性云服务器，还能享受“备案多久送多久”吗？ 答：不能，退订属于办理备案的弹性云服务器服务提前终止，不能享受赠送时长。 问：享受了备案赠送时长的弹性云服务器，申请退订，赠送时长是否能折抵费用退到华为云账户？ 答：不能，赠送时长是华为云为您备案成功的弹性云服务器免费延长的服务时长，不能折抵服务费用。 关于备案多久送多久奖励规则，如有疑问请提交备案类工单咨询，我们将竭诚为您服务。

奖励对象 您办理备案的须为包年/包月计费的华为云弹性云服务器，且每台弹性云服务器仅限享受本规则规定的赠送时长一次。 您提交备案的资源须通过管局审核备案完成，并且是该弹性云服务器提供服务的第一个通过管局审核的资源，备案类型须为新增备案、新增互联网信息服务和新增接入。 资源不备案、中途放弃备案等未备案完成的不能参与该备案奖励。 在备案过程中，您的弹性云服务器如服务提前终止（包括但不限于提前退订服务等），或服务期届满到期不续费，无法享受该备案奖励。 云市场产品、含有云市场产品或非自营产品的任何套餐、免费领取服务器、按需计费的云服务器、软件开发套餐产品、专属云等，均不参与该备案奖励。 存在违法违规行为，或违反《华为云用户协议》、《可接受的使用政策》等的华为云账号或服务器，无法享受该备案奖励。

奖励规则 使用包年包月弹性云服务器的客户，华为云将根据客户提交ICP备案初审的时间至网站或APP通过管局审核备案完成的时间，相应的免费延长对应相同时长的用于办理备案的弹性云服务器的服务期限（延长的该服务期限，以下简称“赠送时长”），该赠送时长不能转移给其他弹性云服务器。 赠送时长不超过 30 天。 在任何情况下，赠送时长不能折抵服务费用。 备案成功后系统自动延长对应弹性云服务器的赠送时长（不包含云服务器绑定的云硬盘、带宽、弹性公网IP等资源）。

操作步骤 在APP端登录华为云备案小程序。 下载华为云APP。 您可在各大应用市场或扫描下方二维码下载华为云APP，如果已下载华为云APP请将APP升级至最新版本。 图1 下载华为云APP 登录华为云APP，在“控制台”中或者在搜索“ICP备案”，单击“ICP备案”，进入备案操作入口。 图2 登录控制台 填写ICP备案申请。 打开“ICP备案”，在“备案主体信息”页签，单击“变更备案”。 如果未找到“变更备案”按钮，请检查当前账号下是否有正在备案中的订单。如果有，请先完成正在备案中的订单或者放弃正在备案中的订单，系统将自动显示“变更备案”按钮。 图3 变更备案 修改主体信息中需变更的项，然后单击“保存”。 不需变更的项请不要修改。例如：您要变更实际通信地址或主体负责人联系电话，只需在系统对应项修改变更后的信息，其他项无需做任何改动。 表2 主体信息参数说明 类别 参数 要求 主办单位信息 单位名称：个人备案请填写个人身份有效证件上的姓名。 即主体信息，备案的主体信息应与域名持有者信息保持一致。 个人备案：备案负责人信息与域名注册人实名认证信息需保持一致，包括姓名、证件类型、证件号码。 单位备案：备案主体信息（主办单位名称或主体负责人）与域名注册人（域名持有者）实名认证信息需保持一致，包括主办单位名称、证件类型、证件号码。 说明： 如果域名注册人（域名持有者）实名认证信息与备案主体信息（主办单位名称或主体负责人）不一致时，即域名注册者为公司股东、单位主要负责人或高级管理人员，可提供相关证明材料上传至备案系统。 相关链接： 个人备案与单位备案FAQ 修改域名所有者 域名已备案，证件未备案 证件住址：个人备案请填写个人身份有效证件上的地址。 通讯地址：请按实际的办公地址填写，该地址需要与证件签发地、备案地所属同一地域。 主办单位负责人信息 证件类型：请选择主体负责人个人有效证件。 选择对应的证件上传彩色扫描件，扫描件要求请参见电子版证件资料要求。 即主体负责人信息，一般情况下必须填写法定代表人。 同一个法定代表人有多家公司需要备案时，法定代表人的联系方式需保持一致。 部分省市的管局要求，主体负责人的手机号码归属地需要与备案选择的地域保持一致。如果不一致，请更换其他号码使用，并确保：手机号码真实、有效，为本人所有；手机号码的归属地可查询。 相关链接： 主体负责人必须为法人吗？ 办公电话问题 备案联系方式填写要求 负责人姓名：请填写个人身份有效证件上的姓名。 证件号码：系统会根据上传的证件自动识别证件号码，请检查号码的正确性。 证件是否长期有效：请按实际情况选择。 证件有效期起始日期：如果证件类型选择身份证，请填写主体负责人的个人身份证上的起始日期。 手机号：请填写真实联系电话，并确保电话畅通。主体负责人手机号码将用于接收工信部备案结果的通知，请准确填写。 应急电话：必须真实、有效，且是备案主体长期使用的号码，不能填写其他公司的电话。 请确保填写的应急电话唯一，没有重复给其他单位备案使用过。 电子邮件地址：请填写主体负责人真实、有效的邮箱地址。主体负责人邮箱将用于接收工信部备案结果的通知以及备案密码的发放，请准确填写。 请确保填写的邮箱地址唯一，没有重复给其他单位备案使用过。 图4 变更主体信息 变更互联网信息：根据实际情况选择对应网站或APP，单击“编辑”，修改变更项，然后单击“保存”。 不需变更的项请不要修改。例如：您需要修改网站名称，只需在“网站名称”栏录入新名称，其他无变动的信息不做任何修改。 网站信息 网站名称：个人网站、企业网站名称的具体要求，请参见网站名称要求。 网站IP：备案服务器的公网IP地址。 您可以登录华为云控制台，查询备案资源的公网IP地址。如果是使用备案授权码备案，需填写生成备案授权码的弹性云服务器公网IP地址。 如果只有一个IP地址，请参见单个IP怎么填写IP地址段起始。 网站服务内容：网站内容必须与主办单位性质相符。 服务类型：默认展示“网站”。 网站语言：指网站内容使用的主要语言。请根据实际情况进行选择，不建议多选。 示例：网站内容的主要语言为中文，部分插件为英文，此时“语言”选择“中文”。 前置审批内容：若包含“前置或专项审批内容类型”中的项目，请上传相关许可证件或咨询备案所在省主管部门。若不包含相关类型内容，前置审批项不填。 备注：请填写备案审核通过后，网站实际开办的内容。 网站负责人信息：指备案系统网站信息中的负责人，也是网站的主要负责人，单位备案必须为单位内员工，可填法定代表人或单位内其他网站建设管理者；个人备案必须为备案主体本人。 如果网站负责人和主体负责人是同一个人，请勾选“复用**信息”。反之，请勾选“填写新负责人”，并填写网站负责人信息，此时网站负责人和主体负责人的电话、邮箱不能相同。详情请参见备案联系方式填写要求。 网站负责人可以不是公司法定代表人。具体请参见网站负责人必须为法人吗？ 如需添加多个网站，在一个网站信息填写完后，单击“继续添加网站”。更多请参见多域名如何提交备案。 APP信息 APP名称：同一主体下APP名称唯一（同一主体下不同APP名称不可重复），即要求APP备案名称为下载安装APP后显示在图标下面的名称。不同主体下的APP名称可以相同。不同运行平台下的同一款APP名称应保持一致。 首页地址：指APP首页地址，非必填项。 APP服务内容：选择APP实际服务内容，APP内容必须与主办单位性质相符。APP服务内容分类具体请参考APP服务内容分类目录。 服务类型：默认展示“APP应用”。 语言：指APP内容使用的主要语言。请根据实际情况进行选择，不建议多选。 示例：APP内容的主要语言为中文，部分插件为英文，此时“语言”选择“中文”。 前置审批内容：若包含“前置或专项审批内容类型”中的项目，请上传相关许可证件或咨询备案所在省主管部门。若不包含相关类型内容，前置审批项不填。 备注：请填写备案审核通过后，APP实际开办的内容。 APP特征信息 APP图标文件：上传APP图标，支持png、jpg、jpeg。图标大小推荐在100K以内。 是否提供和应用SDK服务：如果使用SDK服务，需要填写SDK服务厂商和类型等。可以添加多个SDK服务信息。 接入及平台信息填写方式 导入方式：选择手动输入或批量导入。域名最大导入数量为20个。批量导入模板请下载APP备案批量导入数据表模板。 域名信息 ：域名不能为空，可以添加 多个域名 。 APP支持二到四级域名备案，可填写二级域名（即主域名，如huaweicloud.com）、三级域名（如a.huaweicloud.com）、四级域名（如b.a.huaweicloud.com）。域名实名认证信息必须与备案主体一致。 IP和和域名信息：填写域名解析到服务器上的所有IP地址。 支持填写ipv4、ipv6。 ipv4格式：XXX.XXX.XXX.XXX ipv6格式：XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX 如果使用IP段，按照分配IP段填写“起始IP-终止IP”。 平台信息 选择平台：请按照实际APP上架平台选择平台类型。 域名：根据APP在平台上运行时访问后台服务器使用的域名进行选择。 APP包名、公钥、MD5签名值：填写每个运行平台的APP包名、公钥、MD5签名值。APP包名、公钥、MD5签名值具体请参考APP特征信息及其获取方式。 负责人信息：指备案系统APP信息中的负责人，也是APP的主要负责人，单位备案必须为单位内员工，可填法定代表人或单位内其他APP建设管理者；个人备案必须为备案主体本人。 如果APP负责人和主体负责人是同一个人，请勾选“选择**负责人”。反之，请勾选“填写新负责人”，并填写负责人信息，具体请参考表 主体信息参数说明填写。此时APP负责人和主体负责人的电话、邮箱不能相同。详情请参见备案联系方式填写要求。 如需添加多个APP，在一个APP信息填写完后，单击“继续添加互联网信息”。 上传资料。 根据页面提示上传证件照片或证件彩色扫描件。 主体信息资料、互联网信息资料的详细介绍，请参见准备备案材料。 前置审批文件：需要提供前置审批文件的行业，请参见前置审批。 域名实名认证截图：请参见域名实名认证的信息如何获取。 域名证书：请参见域名证书如何获取。 APP涉诈风险自评估报告：部分省份管局要求，APP备案需上传APP涉诈风险自评估报告。 广东管局《互联网信息服务备案承诺书》：根据广东省通信管理局要求，自2021年6月21日起，所有提交至广东省管局的ICP备案申请（非经营性互联网信息服务备案），均需要签署《互联网信息服务备案承诺书》。详情请参见互联网信息服务备案承诺书。 其他证件：指专项审批类的资料或批文。如金融类企业的金融业务许可证、保险业务许可证，医药类企业的医药备案文件等。请根据企业经营范围判断网站是否涉及其他证件的上传，如不涉及，不需要上传。 图5 上传资料 更多关于上传资料的常见问题，请参见上传资料与真实性核验。 真实性核验。 单击“去核验”，网站或APP负责人根据APP页面提示完成 人脸识别 。其中： 背景必须为白色背景，面部无遮挡，请确保网站或APP负责人本人操作。 如核验后页面提示“您的真实性核验未通过”需要单击页面下方“重新核验”按钮重新进行视频核验。 如核验后页面提示“恭喜您已通过真实性核验”单击页面下方“确认使用该核验照”后继续提交初审即可。 更多关于真实性核验的常见问题，请参见上传资料与真实性核验。 自2021年6月1日起，在江苏省进行ICP备案（非经营性互联网信息服务备案）的客户，需按照“江苏省ICP备案真实性核验工作新要求”进行真实性核验。 图6 真实性核验 提交接入商初审。 确保填写信息准确无误，且真实性核验通过后，勾选“我已阅读并同意《信息安全承诺书》、《协助修改备案在线服务条款》和《互联网信息服务备案承诺书》”，单击“提交初审”。 备案信息提交后，备案专员将在1-2个工作日内进行初审，并以短信及邮件形式通知审核结果。 审核期间我们会拨打您备案信息中的联系电话进行沟通，请保持电话畅通。 如涉及备案信息修改，系统将以邮件形式发送至您在备案系统注册的邮箱，邮件内容可能包含：问题点修改建议、备案申请期间注意事项，以及需要补充哪些资料等重要信息，请注意查收并按指导安排处理。 初审通过后，华为云备案审核专员会将备案申请转交至对应管局处做最终的管局审核。 备案进度查询，请参见怎么了解备案进度。 图7 提交接入商初审 ICP备案密码：2020年8月17日起，用户新增接入不再要求输入备案密码。管局备案成功后，工信部也不再发送备案密码。 审核结果包括：通过、驳回、待完善资料。 表3 初审结果说明 审核结果 对应的订单状态 状态说明 需要执行的操作 通过 待提交管局 表示您提交的备案订单已通过初审，等待华为云备案专员提交备案资料至当地管局进行审核，如图8所示。 - 驳回 初审驳回 表示华为云备案专员已审核订单，发现提交的备案申请信息不正确（如真实性核验不通过、网站内容存在违规），不满足网站备案相关要求，如图9所示。 请单击“审核历史”栏的“审核意见”，查看初审不通过的原因，并单击右下角的“继续备案”修改备案申请，然后重新提交初审。 初审驳回的常见原因与解决方法：请参见初审驳回。 待完善资料 接入商审核为待修改 表示华为云备案专员已审核订单，发现提交的备案申请缺失材料、或填写的信息不完整，不完全满足网站备案相关要求。如图 接入商审核为待修改所示。 请单击“审核历史”栏的“审核意见”，查看具体审核意见，并单击右下角的“去修改”进一步完善备案申请，然后重新提交接入商审核。 提交后，订单状态更新为“已修改待审核”。 图8 待提交管局 图9 初审驳回 图10 接入商审核为待修改 短信核验：2020年8月17日起，所有省份的用户在提交备案申请（“取消接入”备案类型除外）后，还需要完成工信部短信核验，备案申请才能进入管局审核。 如果仅变更主体，验证码将发送至备案信息中填写的主体负责人手机号码。请在24小时内完成主体负责人手机号码的短信核验，避免备案申请被工信部系统自动退回。 如果仅变更互联网信息，验证码将发送至备案信息中填写的网站或APP负责人手机号码。请在24小时内完成网站或APP负责人手机号码的短信核验，避免备案申请被工信部系统自动退回。 如果主体和互联网信息均变更，验证码将发送至备案信息中填写的主体负责人、网站或APP负责人手机号码。请在24小时内完成这两个手机号码的短信核验，避免备案申请被工信部系统自动退回。 具体短信核验操作请参见备案短信核验。 管局审核。 备案申请提交管局后，管局审核时间为3-20个工作日，请耐心等待管局审核结果。 备案短信核验通过后，备案申请进入管局审核。审核通过后您的备案即已完成，审核结果会发送至您的短信、邮箱。 2020年8月17日起，管局备案成功后，工信部不再发送备案密码。

操作场景 依据《非经营性互联网信息服务备案管理办法》第十四条、第二十三条规定，如备案信息不真实，将关闭网站或APP并注销备案。若您的备案信息发生变更，请您提前三十日申请变更备案。 对于已备案网站仅对应一个域名的场景，变更备案期间，已备案的域名可继续访问，不影响网站的正常使用。 对于已备案网站对应多个域名的场景，如需通过变更备案删除指定域名，则变更删除的域名待管局审核通过后将变成未备案域名，不可继续访问；其他域名可正常访问。

变更备案类型 表1 变更备案类型说明 变更备案类型 说明 变更主体 变更主体中的信息，如修改公司通信地址、变更主体负责人信息等。 变更互联网信息服务 变更网站或APP中的信息，如变更网站名称、修改网站或APP负责人、变更IP等。 变更备案 同时变更主体信息、互联网信息。 湖南、贵州管局要求，主体负责人变更时（即法定代表人变更），需要提交“变更备案”，不能选择“变更主体”，且提供新的网站或APP负责人授权书。 对于个人备案，如果联系方式（包括紧急联系人、邮箱、固定电话等）变更，需要提交“变更备案”，不能单独选择“变更主体”或“变更互联网信息服务”。 对于主体负责人和网站或APP负责人是同一责任人的企业备案，如果联系方式（包括紧急联系人、邮箱、固定电话等）变更，需要提交“变更备案”，不能单独选择“变更主体”或“变更互联网信息服务”。

操作步骤 注册账号。 一个华为账号只能备案一个主体（公司或个人）信息，但是一个主体下可以备案多个网站或APP。如需为多个主体备案，需要注册新的华为账号并开通华为云。 打开华为云网站：https://www.huaweicloud.com/。 单击右上角“控制台”，登录控制台。 单击“免费注册”，根据提示信息完成注册。 注册成功后，系统会自动跳转至您的个人信息界面。 实名认证。 个人或企业账号实名认证请参考：个人实名认证或企业实名认证。 华为账号的实名认证信息与备案主体信息可以不一致。更多信息，请参见备案账号问题。

步骤四 （可选）经营性备案 国家对经营性互联网信息服务实行许可制度，对非经营性互联网信息服务实行备案制度。未取得许可或者未履行备案手续的，不得从事互联网信息服务。 如果您备案的网站或APP提供经营性互联网信息服务，应在获取ICP备案号后申请经营性ICP许可证。 经营性ICP许可证需要用户自行到归属管局部门进行办理，具体办理要求请登录当地管局官网或联系管局。 如果您备案的网站或APP提供非经营性互联网信息服务，无需执行该操作，取得ICP备案号即可。

步骤二 提交备案申请 备案是在服务器提供商处提交申请，用户使用华为云大陆节点服务器提供互联网信息服务，则需要在华为云提交备案申请。 图2 备案流程 下载并登录华为云APP备案系统。 您可在各大应用市场或扫描下方二维码下载华为云APP，如果已下载华为云APP请将APP升级至最新版本。 图3 下载APP 常见问题： 打开华为云APP网站备案，界面白屏 提示“小程序未安装”怎么办 填写并上传备案资料。 验证备案类型：根据您填写的主体信息，系统会自动验证备案类型。 常见问题： 如何选择备案填写信息中的“地域” 个人备案与单位备案FAQ 提示“注册商不存在该域名注册人信息”或“域名不存在” “验证备案类型”注意事项 域名xxx可以用于备案吗 产品验证：选择云服务类型。 常见问题： 怎样选择“云服务类型” 如何获取及使用“备案授权码” 为什么提示“备案授权码无效” 什么是“用于备案的资源” 提示“用于备案的资源已达最大使用次数”怎么办 根据界面提示填写主体信息、网站信息。 常见问题： 怎样选择“服务类型” “主体负责人”/“网站负责人”必须为法定代表人吗 多域名如何提交备案 “网站名称”要求 “网站内容”要求 单个IP怎么填写IP地址段起始 “备案联系方式”填写要求 根据界面提示上传资料，如身份证彩色扫描件。 常见问题： 必须在APP端上传资料&真实性核验吗 法人授权书在哪下载 电子版证件资料要求 域名证书 域名实名认证截图 真实性核验 常见问题： 为什么要进行视频核验 真实性核验必须是法定代表人吗 真实性核验不通过，为什么 备案信息上传真实性核实视频要求：网站或者APP负责人需着装整齐拍摄，背景为纯白色没有任何杂物（白墙），两肩露出上方留白进行清晰拍摄。 提交初审。 表2 初审结果说明 审核结果 对应的订单状态 状态说明 需要执行的操作 通过 待提交管局 表示您提交的备案订单已通过初审，等待华为云备案专员提交备案资料至当地管局进行审核。 - 驳回 初审驳回 表示华为云备案专员已审核订单，发现提交的备案申请信息不正确（如真实性核验不通过、网站内容存在违规），不满足ICP备案相关要求。 请登录备案平台或查看邮件通知，根据初审驳回意见修改订单，然后重新提交初审。 常见问题：请参见初审驳回。 待完善资料 接入商审核为待修改 表示华为云备案专员已审核订单，发现提交的备案申请缺失材料、或填写的信息不完整，不完全满足ICP备案相关要求。 请登录备案平台或查看邮件通知，根据审核意见进一步完善备案订单，然后重新提交接入商审核。 提交后，订单状态变化为“已修改待审核”。 提交管局。 常见问题： 初审通过后还需做什么 怎样了解备案进度 备案审核需要多长时间 首次备案提交了，审核期间还能新增备案吗 “撤销备案”与“放弃备案” 短信审核。 用户在华为云提交备案申请后，还需完成手机号码短信核验，备案申请才能进入管局审核。 常见问题：请参见备案短信核验FAQ。 管局审核。 审核通过，备案完成。 审核未通过，根据驳回意见重新执行2。 常见问题：请参见管局驳回。

步骤一 备案前准备 为顺利完成备案申请，登录华为云APP备案系统前，请按图1做好准备工作。 图1 备案前准备 表1 备案前准备说明 任务 说明 注册账号 华为云提供免费的ICP备案服务，如需通过华为云备案，需要先 注册华为账号 并开通华为云，进行实名认证，便于后续管理、维护您的备案信息使用。详情请参见注册账号与实名认证。 准备域名 准备可用于备案的域名，该域名需满足工信部核验系统的规则。如未通过核验，系统将自动退回您的备案申请。详情请参见准备待备案域名。 准备服务器 可用于备案的 华为云产品 有：弹性 云服务器ECS 、备案授权码、建站市场、专属云。请根据实际选购合适的备案服务器，详情请参见准备可备案服务器。 前置审批 拟从事新闻、出版、教育、医疗保健、药品和医疗器械、文化、广播电影电视节目等互联网服务，根据法律、行政法规以及国家有关规定，应经有关主管部门审核同意的，在履行备案手续时，还应向其住所所在省通信管局提交相关主管部门审核同意的文件。详情请参见前置审批。 了解管局政策要求 各地区通信管理局对备案信息的填写要求、备案规则等存在差异，请根据您的备案地区了解相关政策要求。详情请参见各地区管局备案要求。 准备备案材料 备案申请时，需在上传相关资料，如主体负责人证件、网站或APP负责人证件、主办单位证件等。为顺利完成ICP备案，请提前做好准备。需要准备哪些材料，请参见准备备案材料。

新增备案 新增备案，即新增网站或者APP备案。 新增互联网信息服务（原备案在华为云）：主体已在华为云办理过备案，且已经备案成功，现要新增互联网信息服务，则需进行新增互联网信息服务（原备案在华为云）操作。 新增互联网信息服务（原备案不在华为云）：主体没有在华为云办理过备案，而是在其他接入商办理的备案，且已经备案成功。现需要在华为云办理新增互联网信息服务，则需要进行新增互联网信息服务（原备案不在华为云）操作。

备案权限 默认情况下，管理员创建的 IAM 用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 备案不区分物理区域，为全局级服务。授权时，在全局级服务中设置权限，访问备案时，不需要切换区域。 如表1所示，包括了备案的所有系统角色。 表1 备案系统角色 角色名称 描述 依赖关系 Beian Administrator 备案服务管理员 N/A 表2列出了备案操作与系统权限的授权关系。 表2 备案操作与系统权限的关系 操作 Beian Administrator 履行备案手续 √

收集范围 备案系统收集及产生的个人数据如表1所示。 表1 个人数据范围列表 类型 收集方式及目的 是否可以修改 是否必须 生命周期 单位名称 用户填写，提交管局。 是 是 用户注销备案或注销华为账号后按照工信部要求留存5年后清理。 单位性质 用户填写，提交管局。 是 是 用户注销备案或注销华为账号后按照工信部要求留存5年后清理。 单位证件类型 用户填写，提交管局。 是 是 用户注销备案或注销华为账号后按照工信部要求留存5年后清理。 单位证件号码 用户填写，提交管局。 是 是 用户注销备案或注销华为账号后按照工信部要求留存5年后清理。 证件住址 用户填写，提交管局。 是 是 用户注销备案或注销华为账号后按照工信部要求留存5年后清理 通讯地址 用户填写，提交管局。 是 是 用户注销备案或注销华为账号后按照工信部要求留存5年后清理。 网站或APP名称 用户填写，提交管局。 是 是 用户注销备案或注销华为账号后按照工信部要求留存5年后清理。 域名 用户填写，提交管局。 是 是 用户注销备案或注销华为账号后按照工信部要求留存5年后清理。 网站或APP类型 用户填写，提交管局。 是 是 用户注销备案或注销华为账号后按照工信部要求留存5年后清理。 网站或APP服务内容 用户填写，提交管局。 是 是 用户注销备案或注销华为账号后按照工信部要求留存5年后清理。 网站或APP语言 用户填写，提交管局。 是 是 用户注销备案或注销华为账号后按照工信部要求留存5年后清理。 前置审批内容 用户填写，提交管局。 是 是 用户注销备案或注销华为账号后按照工信部要求留存5年后清理。 网站IP地址 用户填写，提交管局。 是 是 用户注销备案或注销华为账号后按照工信部要求留存5年后清理。 负责人姓名 用户填写，提交管局。 是 是 用户注销备案或注销华为账号后按照工信部要求留存5年后清理。 负责人证件类型 用户填写，提交管局。 是 是 用户注销备案或注销华为账号后按照工信部要求留存5年后清理。 负责人证件号码 用户填写，提交管局。 是 是 用户注销备案或注销华为账号后按照工信部要求留存5年后清理。 手机号码 用户填写，提交管局。 是 是 用户注销备案或注销华为账号后按照工信部要求留存5年后清理。 邮箱 用户填写，提交管局。 是 是 用户注销备案或注销华为账号后按照工信部要求留存5年后清理。 单位证件照片 用户填写，提交管局。 是 是 用户注销备案或注销华为账号后按照工信部要求留存5年后清理。 负责人证件照片 用户填写，提交管局。 是 是 用户注销备案或注销华为账号后按照工信部要求留存5年后清理。 负责人人脸检测照片及视频 用户填写，提交管局。 是 是 用户注销备案或注销华为账号后按照工信部要求留存5年后清理。

使用准备 本指导文档对于RTD基本事件支付事件类型做基本操作处理。 RTD业务功能使用前准备工作如表1所示。 表1 使用前准备 准备事项 说明 RTDPortal地址 可参考访问RTD WebUI界面章节，获取RTD业务管理地址。 账号以及密码 用于登录RTDPortal页面。 API接口信息 可参考对应版本的接口文档。 Postman工具 用户可以通过访问此网址https://www.getpostman.com/获取。 父主题： RTD快速入门

步骤一：购买HBase集群 登录 表格存储服务 控制台。 在控制台左上角选择区域。 单击“集群管理”进入集群管理界面。 单击集群管理界面右上角的“购买集群”，进入购买集群页面配置相关参数（安全组规则配置端口请参见表2）。 单击“立即购买”，进入确认规格页面，确认无误，单击“完成”。 返回集群列表查看创建集群进度，当集群状态为“服务中”时，集群创建成功，详细参见创建HBase集群。 表2 自定义安全规则组 方向 协议 端口/范围 源地址/安全组 用途 出方向 全部 全部 0.0.0.0/0 出方向放行 入方向 TCP 16000 CloudTable HBase集群所在的安全组 HMaster RPC端口 TCP 16020 RegionServer RPC端口 TCP 2181 监听ZooKeeper客户端连接监听端口 TCP 2888 Follower连接监听端口 TCP 3888 ZooKeeper选举端口 TCP 2000 Hagent访问端口

背景信息 假定这是一张记录用户访问某商品页面行为的表信息，使用MySQL客户端实现业务操作： 创建用户信息表example_tbl。 在用户信息中新增访问时间、城市、性别、停留时长、花费。 根据用户user_id查询用户的基本信息。 业务结束后，删除用户信息表。 表1 原始数据 user_id date city age sex last_visit_date cost max_dwell_time min_dwell_time 10000 2017-10-01 A 20 0 2017-10-01 06:00:00 20 10 10 10000 2017-10-01 A 20 0 2017-10-01 07:00:00 15 2 2 10001 2017-10-01 A 30 1 2017-10-01 17:05:45 2 22 22 10002 2017-10-02 B 20 1 2017-10-02 12:59:12 200 5 5 10003 2017-10-02 C 32 0 2017-10-02 11:20:00 30 11 11 10004 2017-10-01 D 35 0 2017-10-01 10:00:15 100 3 3 10004 2017-10-03 D 35 0 2017-10-03 10:20:22 11 6 6 字段含义说明。 表2 参数说明 数据 说明 10000 用户id，每个用户唯一识别id。 2017-10-01 数据入库时间，精确到日期。 A 用户所在城市。 20 用户年龄。 0 性别男（1代表女性）。 2017-10-01 06:00:00 用户本次访问该页面的时间，精确到秒。 20 用户本次访问产生的消费。 10 用户本次访问，驻留该页面的时间。 10 用户本次访问，驻留该页面的时间（冗余）。

背景信息 假定这是一张学生成绩表信息，使用客户端实现业务操作： 创建用户信息表demo_t。 在用户信息中新增访问性别、科目。 根据用户user_id查询用户的基本信息。 业务结束后，删除用户信息表。 表1 成绩表 user_id name sex subject score time 10000 A 1 语文 89 2023-07-01 09:00:00 10001 B 0 数学 132 2023-07-01 09:00:00 10002 C 0 数学 90 2023-07-02 09:00:00 10003 D 0 英语 120 2023-07-01 14:00:00 10004 E 1 语文 101 2023-07-01 09:00:00 10005 F 1 语文 110 2023-07-01 09:00:00 表2 参数说明 参数 说明 10000 用户id，每个用户唯一识别id。 2023-07-01 09:00:00 数据入库时间。 A 学生姓名。 1 性别女（0代表男生）。 语文 代表学科。 89 代表学成绩。

步骤五：插入数据 执行以下命令，使用ClickHouse集群快速创建数据表，并对表数据进行查询。 创建数据库。 create database DB_demo; 使用数据库。 use DB_demo; 创建表。 create table DB_demo_t(user_id Int32,name String,sex Tinyint ,subject String,score Int32,time datetime)engine=TinyLog; 插入数据。 insert into DB_demo_t(user_id,name,sex,subject,score,time) values('10000','A','1','语文','89','2023-07-01 09:00:00'); insert into DB_demo_t(user_id,name,sex,subject,score,time) values('10001','B','0','数学','132','2023-07-01 09:00:00'); insert into DB_demo_t(user_id,name,sex,subject,score,time) values('10002','C','0','数学','90','2023-07-02 09:00:00'); insert into DB_demo_t(user_id,name,sex,subject,score,time) values('10003','D','0','英语','120','2023-07-01 14:00:00'); insert into DB_demo_t(user_id,name,sex,subject,score,time) values('10004','E','1','语文','101','2023-07-01 09:00:00'); insert into DB_demo_t(user_id,name,sex,subject,score,time) values('10005','F','1','语文','110','2023-07-01 09:00:00'); 查询数据。 查询导入的数据。 host-172-16-13-95 :) select * from DB_demo_t; SELECT * FROM DB_demo_t Query id: 4e119f77-0592-4131-bbe2-31f42bc069a1 ┌─user_id─┬─name─┬─sex─┬─subject─┬─score─┬────────────────time─┐ │ 10000 │ A │ 1 │ 语文 │ 89 │ 2023-07-01 09:00:00 │ │ 10001 │ B │ 0 │ 数学 │ 132 │ 2023-07-01 09:00:00 │ │ 10002 │ C │ 0 │ 数学 │ 90 │ 2023-07-02 09:00:00 │ │ 10003 │ D │ 0 │ 英语 │ 120 │ 2023-07-01 14:00:00 │ │ 10004 │ E │ 1 │ 语文 │ 101 │ 2023-07-01 09:00:00 │ │ 10005 │ F │ 1 │ 语文 │ 110 │ 2023-07-01 09:00:00 │ └─────────┴──────┴─────┴────────┴───────┴─────────────────────┘ 6 rows in set. Elapsed: 0.004 sec. 删除数据。 删除表。 drop table DB_demo_t; 删除数据库。 drop database DB_demo;

创建 CDM 迁移作业 登录控制台，选择实例，单击“进入控制台”，单击相应工作空间后的“数据集成”。 在集群管理页面，单击集群操作列“作业管理”，进入“作业管理”页面，如图1所示。 图1 集群管理 在“连接管理”页签中，单击“新建连接”，分别创建Oracle数据连接和 MRS Hive数据连接，详情请参见新建Oracle数据连接和新建MRS Hive数据连接。 在“表/文件迁移”页签中，单击“新建作业”，创建数据迁移作业。 配置Oracle源端参数、MRS hive目的端参数，并配置传递参数，参数形式为 ${varName}，本示例参数为${cur_date}，如图2所示。 图2 配置作业 不能在CDM迁移作业中配置“作业失败重试”参数，如有需要请在数据开发中的CDM节点配置“失败重试”参数。

创建CDM集群并绑定EIP 如果是独立CDM服务，参考创建集群创建CDM集群；如果是作为 DataArts Studio 服务CDM组件使用，参考创建集群创建CDM集群。 关键配置如下： CDM集群的规格，按待迁移的数据量选择，一般选择cdm.medium即可，满足大部分迁移场景。 CDM集群所在VPC、子网、安全组，选择与DWS集群所在的网络一致。 CDM集群创建完成后，选择集群操作列的“绑定弹性IP”，CDM通过EIP访问MySQL。 图1 集群列表 如果用户对本地数据源的访问通道做了SSL加密，则CDM无法通过弹性IP连接数据源。

创建CDM集群并绑定EIP 如果是独立CDM服务，参考创建集群创建CDM集群；如果是作为DataArts Studio服务CDM组件使用，参考创建集群创建CDM集群。 关键配置如下： CDM集群的规格，按待迁移的数据量选择，一般选择cdm.medium即可，满足大部分迁移场景。 CDM集群所在VPC、子网、安全组，选择与DWS集群所在的网络一致。 如果安全控制原因不能使用相同子网和安全组，那么需要确保安全组规则能允许CDM访问 云搜索服务 集群。 CDM集群创建完成后，在集群管理界面选择“绑定弹性IP”，CDM通过EIP访问Oracle数据源。 如果用户对本地数据源的访问通道做了SSL加密，则CDM无法通过弹性IP连接数据源。