【TICS动态】可信智能计算服务TICS HCS 8.2.0版本正式发布可信智能计算服务TICS 配套HCS 8.2.0版本正式发布，将联合伙伴打造端到端的数据可信流通解决方案。产品功能动态联盟管理动态构建可信计算联盟，实现联盟内严格可控的数据使用和监管。邀请云租户作为数据方，动态构建可信计算联盟，实现联盟内严格可控的数据使用和监管。联盟是联邦计算的载体，合作方只有加入联盟才能参与联邦计算。安全的作业管理作业时，数据使用的过程可审计、可追溯。TICS数据集成支持联邦数据分析、联邦机器学习和联邦预测作业等作业方式。联邦数据分析联邦数据分析是可信智能计算提供的关系型数据安全共享和分析功能。您可以创建联邦数据分析作业，根据合作方已提供的数据，编写相关sql作业并获取您所需要的分析结果，同时能够在作业运行保护数据使用方的数据查询和搜索条件，避免因查询和搜索请求造成的数据泄露。联邦机器学习联邦机器学习是可信智能计算服务提供的在保障用户数据安全的前提下，利用多方数据实现的联合建模。联邦预测作业联邦预测作业在保障用户数据安全的前提下，利用多方数据和模型实现样本联合预测。可信智能计算节点数据参与方使用数据源计算节点模块实现自主可控的数据源注册、隐私策略（脱敏、加密、水印）的设定、元数据的发布等，为数据源计算节点提供全生命周期的可靠性监控、运维管理。多方融合分析对接多种主流数据存储系统，为数据消费者实现多方数据的融合分析，参与方敏感数据能够在具有TEE安全支撑的聚合计算节点中实现安全计算。多方联邦训练对接主流深度学习框架实现横向和纵向联邦建模，支持基于TEE和SMPC(如不经意传输、同态加密等)的多方样本对齐和训练模型保护。云端容器化部署参与方数据源计算节点云原生容器部署，聚合计算节点动态扩容，支持云、边缘、HCSO多种部署模式。可视化数据监管为数据参与方提供可视化的数据使用流图，提供插件化的区块链对接存储，实现使用过程的可审计、可追溯。应用场景政企信用联合风控金融机构对于中小微企业的信用数据通常不足，央行征信数据覆盖率有限，不良企业多家骗贷事件屡有发生。金融机构与政府部门，如税务部门、市场监管部门、水电公司等在保护各方原始数据隐私的前提下，通过多方联合建模，金融机构补充了风控模型特征维度，提升模型准确率。优势：提升模型准确率多方机构实现算法层面联合建模，提升了需求方模型的预测效果。数据隐私保护强多方采用隐私集合求交PSI对齐样本数据，本地数据或模型加密后在安全环境可信执行环境ArmTrustZone中运算，实现数据可用不可得。精细化的数据隐私保护策略，确保分析结果中强制执行隐私数据的脱敏。图1 政企信用联合风控政府数据融合共治由于数据安全以及隐私保护问题，政府各委办局数据尚未充分共享。多委办厅局数据的融合碰撞对于政府业务共治起到关键作用，例如本次疫情联防联控、综合治税等业务场景。共治场景均要实现在保护数据隐私的前提下，通过多个局委办数据的融合分析，得到数据碰撞结果，提升政府业务的治理效能。优势：政府多委办局之间密文数据融合计算，实现多方数据的融合分析。基于隐私集合求交实现多方安全SQL JOIN分析， 原始数据保存在各个用户本地，统计分析算子下推到本地数据域执行。多方分析JOIN算子通过可信执行环境ArmTrustZone进行数据隐私保护，计算过程将多方加密后数据提交到可信执行环境ArmTrustZone中完成计算，计算结果加密返回给数据使用方。支持自定义脱敏保护策略，设定SQL语句安全等级检查，防止非法SQL执行。图1-1 政府数据融合共治金融联合营销传统金融企业联合营销模式中，金融企业往往需要将双方的数据集中到一个安全实验室中进行标签融合，模型训练，但常面临数据泄露和隐私等挑战。联邦建模采用分布式架构进行部署和建模，参与联合营销的企业原始和明细数据不出库的前提下进行跨域数据建模，实现精准营销，同时保障企业数据安全与个人隐私。优势：原始数据不出企业安全域、不出库，实现“数据不动、算法动”，数据使用自主可控。联合多方正样本的效果，丰富模型的特征，提高模型的泛化能力。计算全程保障企业数据安全与个人隐私。图1 金融联合营销使能数据交易传统数据交易方式，交易的是数据所有权，交易完成后，数据被无限制的拷贝和复制。采用可信交易方式，交易的不是数据，而是数据的使用权，卖家卖的是对某个数据的用法用量，不用担心数据被拷贝和复制。优势：数据不离开卖家，更放心。卖家控制“隐私规则”，控制“用法和用量”。支持三层异构，跨组织、跨地域、跨数据源。低成本部署，支持边缘模式单节点部署。图1 使能数据交易

一、VDC模型介绍VDC（Virtual Data Center）是ManageOne运营面进行资源分配的单位，适用于分级运营的场景。例如，对于跨国运营商或跨省公司，包含多个省公司或子公司（一级VDC），省公司或子公司又包含多个下级部门（下级VDC）。在进行资源分配时，每个省公司或子公司使用的所有虚拟资源划分为一个一级VDC进行统一管理，每个下级部门使用的资源可以划分为一个下级VDC。每个VDC可以包含多个下级VDC。目前支持最多划分五级VDC。如果不需要分级运营，则只需创建一个一级VDC，将一级VDC管理员作为全局管理员。VDC租户模型如下图所示功能描述租户匹配企业或子公司，独立使用云平台资源的边界，不同租户间的数据，操作，网络完全隔离。VDC匹配企业或子公司的部门，最多支持五级满足企业的组织结构。企业项目匹配企业中的项目，云资源配额的载体，具有时效性。资源集云平台管理资源的最小单位，通过资源集可以隔离资源、解决用户授权等复杂性问题。配额可使用云资源的最大限额，支持限制和不限两种方式，当配额不限时可使用云平台或所属VDC的所有资源。用户组具有相同权限的一组用户集合，通过将用户加入用户组，用户组和资源集授权的方式，提高授权便捷性。VDC租户模型描述：1）多级VDC多级VDC组成一个VDC树。VDC是由一个一级VDC为根节点和多个下级VDC组成的具有层次关系的集合；一个VDC中最多可包含五级VDC。一级VDC由运营管理员管理，二级及二级以下VDC由上级VDC管理；二级及二级以下VDC中每一级可以有多个VDC。图中用户1——用户n可以是VDC管理员、VDC业务员或自定义角色的用户。运营管理员可以创建多个VDC，一个VDC中可以包含多个下级VDC、Project、VDC管理员、VDC业务员。每一级VDC中的用户角色除了VDC管理员和VDC业务员，还可以有多个由用户自定的角色。支持代维管理员跨一级VDC代维，便于委托第三方管理运营，代维帐号可以进入被代维的一个或多个一级VDC进行代维。跨一级VDC代维，支持创建、删除、修改代维管理员。代维管理员可以进入被代维的多个一级VDC，代替VDC管理员进行VDC、用户及资源等的管理。代维管理说明如下。代维管理员根据企业组织结构设置各部门，设置各部门资源配额。代维营管理员通过部门切换，为各部门申请资源，并通过线下方式将资源信息通知最终使用者。资源最终使用者并不登录云管平台。代维管理员代维申请的资源，占用申请部门的配额。说明：在ManageOne中，每个租户下有且只有一个一级VDC，可将一级VDC与租户等同看待；VDC是ManageOne运营面进行资源分配的单位，是虚拟的概念，主要作用是在分级运营的场景下，起到控制配额、用户权限的作用；VDC下包含project和用户，project与OpenStack中的project相对应，是资源实体，用户在申请使用各种云资源时，均需要指定到具体的project而非VDC2）企业项目（8.0.3版本新特性）企业项目，云资源配额的载体，具有时效性。提供统一的云资源管理单位，以及企业项目内的配额管理。通过企业项目，可以查看项目概览、管理配额、查看已申请资源、管理授权资源集、查看资源计量信息。创建租户或VDC时默认创建与租户或VDC同名的企业项目。租户或VDC下创建的资源集自动关联默认创建的企业项目。一个企业项目可以关联多个资源集。企业项目共享所属VDC配额。3）资源集（Project/8.0.2及之前版本的项目）Project是对所使用资源的分组，相当于实际中的项目组，各个Project之间资源相互隔离，同一Project中资源共享。一个VDC可以包含多个Project，一个Project只能属于一个VDC。用户在申请资源时，在界面左上角切换到与其关联的某个Project，则用户申请的资源就属于该Project，从而实现资源分组。用户只有和Project关联了同一个用户组，才可以申请或管理对应Project的资源，其中用户申请的资源就属于该Project，从而实现资源分组。例如，用户VDCuser1，在界面左上角切换到与其关联的Project1，并申请ECS1；用户VDCuser2，在界面左上角切换到与其关联的Project2，并申请ECS2；ECS1和ECS2分别属于不同的Project，从而实现了资源的分组。4）配额管理VDC和企业项目的配额均支持限制和不限两种设置方式，配额不限时可使用所属VDC的所有可用配额。属于同一VDC下的企业项目与下级VDC共享此VDC的配额。注：8.0.3版本不支持VDC配额，只支持企业项目配额。8.1.0版本支持通过页面配置VDC配额，但不支持通过API配置。8.0.2及之前版本与8.1.1及之后版本支持通过API配置VDC配额。5）用户组（8.0.3版本新特性）ManageOne通过用户组实现权限管理和授权。基于用户组管理用户权限。提供系统预置用户组和用户自定义用户组的能力。支持以服务为粒度，提供服务相关的角色用于授权。支持基于策略授权，包括系统策略和用户自定义策略。对于VDC管理员，加入用户组后，在该VDC管理员所在的VDC和下级VDC，仍然具备VDC管理权限。系统包含三种预置用户组，分别为：“VDC管理员”、“VDC业务员”、“VDC只读管理员”用户组。但会在每个VDC中预置“VDC管理员”用户组，预置VDC业务员用户组和预置VDC只读管理员用户组需用户手动创建。系统涉及的4种类型用户组权限如下表所示。用户组权限VDC管理员具有所属VDC及下级VDC的管理权限，以及对所有资源具有管理权限。VDC业务员VDC业务员在其关联的资源集内，对所有资源具有管理权限。VDC只读管理员VDC只读管理员对本VDC及其下级VDC中资源、用户、自运维等具有查看权限。自定义权限用户组在自定义时为该用户组赋予相应的操作权限。说明：预置用户组权限不能修改。运营管理员和代维管理员无需关联用户组，创建好即具有相应权限，具体权限如下：运营管理员，具有运营管理类的所有权限。代维管理员，代理一级VDC管理员对本级VDC及下级VDC的管理权限，以及对所有资源具有管理权限。在创建用户时，根据需要选择相应的用户组。运营管理员可以管理所有用户组，VDC管理员或代维管理员只能管理本级和下级VDC的用户组。6）模型实例以XX公司为例，按照VDC租户模型，说明该公司各组织对应的配额、用户组以及资源集情况，如下图所示。​案例描述： - 运营管理侧创建了两个企业（租户）分别为成都公司和深圳公司，并为成都公司创建了一级VDC（A产品部）和管理员（VDC_admin_A），为深圳公司创建了一级VDC（B产品部）和管理员（VDC_admin_B）。 - 分配给成都公司A产品部的资源配额为100个CPU和50G内存，为深圳公司B产品部分配的资源配额为200个CPU和100G内存。 - 深圳公司B产品部下设两个部门分别是服务部（二级VDC）和市场部（二级VDC），深圳公司的管理员（VDC_admin_B）为服务部的资源配额为100个CPU和50G内存，同时分配的员工有员工1、员工2和员工3，分配的版本项目有维护项目1和维护项目2，分别关联资源集1和资源集2，用户组为操作员组1；为市场部的资源配额为100CPU和50G内存，同时分配的员工有员工4、员工5和员工6，分配的版本项目有创新项目1和创新项目2，分别关联资源集3和资源集4，用户组为操作员组2。 - 深圳公司B产品部的管理员（VDC_admin_B）可以为各部门的各用户和资源集进行授权。 7）基线规格ManageOne的租户模型存在基线规格限制，如果客户的组织架构规模较大，对接时需考虑横向扩展。序号指标（私有云）数值（个）1最大租户数量10002单租户下VDC的总数量503单租户下用户的数量10004单租户下project的数量10005单租户下的企业项目的数量10006单租户下用户组的数量1507用户组关联的project的数量208用户组关联的用户数100二、资源池模型资源池模型如下如所示：基本概念：基本概念说明云一种通过Internet以服务的方式提供动态可伸缩的虚拟化的资源的计算模式。区域从物理位置的维度划分资源池。例如：华南Region、华东Region等。资源池指云计算数据中心中所涉及到的各种硬件和软件的集合，根据底层虚拟化技术或者业务使用场景划分资源的集合。ManageOne支持的资源池类型如下，不同使用场景下由于接入资源池的要求和能力不同，将涉及一个或多个不同资源池。私有云：FusionSphere OpenStack资源池、IaaS OpenStack资源池、FusionCompute资源池、FusionManager资源池、VMware资源池、Hyper-V资源池、PowerVM资源池、FusionInsight资源池。说明：FusionSphere OpenStack资源池特指华为云Stack场景下的OpenStack资源池，IaaS OpenStack资源池特指HCS Online场景下的OpenStack资源池。公有云：华为云资源池、华为云Stack Online资源池（云联邦）。两级云：两级云资源池。可用分区不同的可用分区具有独立的风火水电，物理隔离，是最终租户可见的资源池划分，包含可用的计算资源和存储资源。一个可用分区可包含一个或多个主机组。通常可用分区按照计算资源架构划分，如：X86分区、ARM分区、裸金属分区等。主机组（集群）对计算节点进行的逻辑上的划分，是管理员用来根据硬件资源的某一属性来对硬件进行划分的功能。三、常见问题1. 一级VDC与租户的关系在ManageOne的租户模型中，单租户下可划分五级VDC，其中，一级VDC与租户是1对1关系。但需要注意的是，一级VDC并不完全等同于租户，在《ManageOne 运营面API参考.docx》文档中，vdc通常表示为vdc或tenant，而租户表示为domain。2. 接口参数的tenantId表示什么在《ManageOne 运营面API参考.docx》文档中，tenantId表示VDC id。在《ManageOne 云服务Params参数说明.docx》和《华为云Stack API接口参考.chm》文档中，tenantId表示project id（project为Openstack中的租户，这种表示是为了与开源社区保持一致，在8.1.0及以上版本，云服务文档已统一表示为project id）。3. VDC、project、资源池的关联关系VDC与资源池的关系：在创建一级VDC或子级VDC时，会要求选择该VDC可用的区域、资源池和可用分区。因此，VDC与区域、资源池和可用分区是多对多关系，VDC可关联个区域，区域也可关联多个VDC。VDC与project的关系：1个VDC下可以创建多个project，但1个project只能属于1个VDC，因此是一对多关系。project与资源池的关系：同VDC与资源池的关系类似，project可在创建时选择关联的区域(但不能再选择资源池、可用分区，默认全部选择)。因此，project与区域、资源池和可用分区是多对多关系，project可关联个区域，区域也可关联多个project。

 1 需求场景客户已有系统，希望能够在ManageOne上新增服务目录链接，点击这个链接后可快速跳转到客户自己的系统，通常还会配合单点登录功能实现免登录跳转；2 约束条件ManageOne 8.1.1 及以上版本3 操作步骤3-1 创建服务链接1.使用“运营管理员”角色用户登录ManageOne运营面，单击顶部“服务”，左侧菜单选择“服务管理”。单击右上角“注册服务”。​2.填写服务的名称、URL，并选择注册的服务目录。单击“下一步”。​3.服务功能选填，若无可直接单击“下一步”。​4.应用场景选填，若无可直接单击“下一步”。5.选择设置发布区域，单击“确认”发布此服务链接。​6.使用VDC账号登录ManageOne运营面，可在“服务列表”中查看到此链接，单击后可跳转至目标页面。​8.3.0之前版本效果如下：​​3-2 修改链接在服务目录中所在的位置链接创建后，会出现在“默认”目录下，若需要调整，需要进行如下操作：使用“运营管理员”账号登录ManageOne运营面，进入“服务->服务目录管理”，然后找到上一步添加的链接，单击其所在行右侧的“修改服务目录”，即可调整链接位置。如果需要新增服务目录，可以单击上方“新增”按钮，添加服务目录。​3-3 删除服务目录链接在“服务管理”页面找到此链接。先单击“下线”，然后单击“取消发布”，然后单击“删除”即可。​

       服务构建器8.2.0版本，支持云内外协同（API模板和资源模板混合编排）的同时，支持服务参数（流程表单参数和资源参数）的审批时输入功能，那么如何从完整的走完一个审批输入流程呢？请参考下面的导图，如有任何疑问，可随时联系我。

Day2+hw_008615207112178_01+TeRiTeRi__

video【华为云Stack ManageOne 集成对接】【视频】服务使能-统一门户-整体介绍

通过/rest/product/v3.0/flavor查询规格时回参有一个project_id字段，我理解是规格是一个全局共用的参数，那么每一个规格在所有的porject里面都会有，但是目前用这个接口查询处来，有部分规格并没有关联所有projrect。

video【华为云Stack ManageOne 集成对接】【视频】基础集成-统一认证-服务端认证

video【华为云Stack ManageOne 集成对接】【视频】基础集成-统一认证-客户端认证(IAM)

video【华为云Stack ManageOne 集成对接】【视频】基础集成-统一认证-客户端认证(Auth)

videovideovideovideovideo

video【华为云Stack ManageOne 集成对接】【视频】基础集成-消息推送

video【华为云Stack ManageOne 集成对接】【视频】网管集成-告警上报

video【华为云Stack ManageOne 集成对接】【视频】网管集成-性能上报

video【华为云Stack ManageOne 集成对接】【视频】网管集成-CMDB对接