钉钉开发文档

接入前必读

更新时间: 2019-4-3

解决问题流程

点击对应名词链接可了解更详细信息
* 确认已入驻“应用服务商

  • 入驻后会有商务同学对接(如未主动联系,可提交钉钉工单沟通找到对接商务同学)
  • 确认已入驻钉钉云
  • 解决问题最快反馈的方法是查看或搜索钉钉文档,本文档已列出钉钉云高频问题和对应文档索引
  • 提交工单,当日会有值班同学处理
  • 紧急问题可在商务同学组建沟通群中沟通解决(商务沟通群名类似"编号-群名"形式例:微应用049-钉投票,ISV078-订票通)

产品使用,入驻问题解决方法

  1. 云产品(ECS,RDS,SLB等)使用问题首先可搜索阿里云文档解决,如无法得到解决可到钉钉云(阿里云)管理控制台,右上角“工单”->“提交工单” ,提供单咨询
  2. 钉钉云开发者后台,钉钉云E应用解决方案相关问题可按上文流程提问解决

钉钉云是什么以及和阿里云的区别

钉钉云基于阿里云基础设施,所有云产品使用和阿里云一致
区别:

  1. 每个ISV拥有一个账号,与钉钉组织对应,但主账号禁用(钉钉方也无法解禁),分配账号为权限受限子账号
  2. 钉钉云默认不开放对外网的访问,访问外网服务方法见《钉钉云的安全限制》《钉钉云安全组白名单申请》原因见下文
  3. 钉钉云提供了钉钉相关的附加功能例如《钉钉云推送》E应用解决方案购买

为什么要上钉钉云

  1. 钉钉要保证用户数据安全,因此要保证ISV通过《钉钉云推送》等途径获取到的用户通讯录,审批等数据不能出钉钉云,“钉钉云推送”也只能推送到钉钉云账号默认VPC中RDS中(MySql)
  2. 为了防止用户使用服务异常终止,合作终止等情况发生,钉钉要保证在用户合约期内能继续使用服务,要求用户在ISV应用内产生的数据要在钉钉云内有留存,保证ISV停止提供服务后钉钉能接管服务,钉钉用户能按合约正常使用服务到期为止。
  3. 早期入驻ISV技术水平参差不齐,出现了数起稳定性安全问题,**因此推出了推荐技术架构先从技术架构上保证服务稳定性(每一项推荐产品都是从之前ISV出现事故总结而来,是推荐架构的最低要求),例如:

禁止单点服务,推荐SLB + 至少2个ECS
禁止自建数据库,推荐高可用RDS
禁止用户文件存储在ecs,建议用OSS
钉钉云E应用解决方案即是推荐技术架构的最低要求,因此ISV应用在购买钉钉云E应用解决方案基础只能增加**服务器配置和服务器(ECS,RDS)数量。
是否必须使用钉钉云E应用解决方案参见 必须使用钉钉云的情形

是否可以不购买“E应用解决方案”,及费用,合同,发票问题

参考必须使用钉钉云的情形,这些情况是必须部署在E应用解决方案中,并且如上文,解决方案中只能增加,提高配置不能减少。
如果企业使用非MYSQL数据库,而解决方案中只包含MYSQL的RDS数据库。则需要在解决方案基础上添加购买自己需要的数据库(例如mongodb等)
由于钉钉云推送使用的是解决方案中RDS,因此不能释放。免登推送,通讯录推送都是需要解决方案中的RDS。

  • 付款不收取费用,**基础设施,云产品由阿里云直接提供,在管理控制台直接操作即可,方式流程和阿里云一致详见“财务相关文档
  • 合同申请 同阿里云流程,直接在“管理控制台”右上角“费用中心”,“合同管理”申请,文档见“合同管理文档
  • 发票申请 同样在费用中心中申请发票,发票信息为钉钉开发者后台高级认证时提供公司信息,文档见“财务相关文档

哪些数据要在钉钉云内

  1. 钉钉用户的数据(通讯录,审批,特殊接口获取数据)只能获取并存放在钉钉云内,不可以传出钉钉云,数据库也不可以开放对公网访问地址
  2. 钉钉用户在ISV应用中产生的数据要在钉钉云内有留存
  3. 钉钉云内服务产生的日志信息不能出钉钉云,分析处理要在钉钉云内进行。
  4. OSS,RDS等数据相关产品需要用内网地址访问,并在开发者后台申请安全组白名单
  5. 由于上述各原则钉钉业务相关服务要迁移到钉钉云内,规模和风险较大的情况需短期上线要承诺完整迁移时间点并按上述原则有限开放访问权限

产品无法使用或权限不足如何解决

由于钉钉云内权限限制,产品开通可在开发者后台中开通(可翻页),操作文档见《云产品开通》

  1. RAM权限已禁止开放,防止授权开通外网访问
  2. VPC操作权限已禁止开放,防止授权开通外网访问
  3. RDS释放权限为防止ISV误操作,需要在ISV商务沟通群中确认后释放(doublecheck保证数据安全)
  4. 由于3中原因,解决方案释放也需要在ISV沟通群中和管理员确认后,管理员协助释放
  5. RDS公网地址禁止开放(迁移期间可临时开放便于DTS迁移,原因见“哪些数据要在钉钉云内”)
  6. DTS禁止开通(迁移期间报备后可临时开放)

如何访问外网服务和外网访问申请原则

外网访问原则是,钉钉用户数据不能出钉钉云,一切可能造成钉钉用户数据泄漏的外网访问端口都不予开放

  1. 由于“哪些数据要在钉钉云内用户数据导出钉钉云的一切接口、服务不允许开通访问**(作为用户企业,一定不希望自己的组织架构,人员信息,内部流程暴露到公网,因此这些数据不能出钉钉云)
  2. “商务合作规定”限制使用和钉钉有利益冲突的服务商提供的服务(例如其他服务商提供的企业效能工具,沟通工具等),以免造成数据泄漏
  3. 对外部数据库访问的安全组规则不批准开放,同样外网访问钉钉云数据库端口,rds的接口也不批准开放
  4. 申请过程中
  • 二方服务是指阿里集团产品直接提供的服务,通常可以审批通过或自动审批。ISV或三方租用阿里云服务器,部署在阿里云公有云的业务或OSS存储之类不算阿里2方服务。
  • 三方服务通常指第三方机构例如讯飞语音服务,三方短信服务,国家征信查询接口等由可靠公共第三方服务商提供的服务,如有阿里云可替代服务,应选用阿里云服务,如无法迁移需提供详细充分理由,否则系统会自动审批拒绝
  • ISV自建服务

服务商自家架设服务,申请时需详细列出出网访问接口文档和充分申请理由并满足1,2,3原则,否则直接拒绝不予通过
详细文档见《钉钉云的安全限制》《钉钉云安全组白名单申请》

部署ECS登陆相关问题

ECS默认无公网IP不可直接连接SSH进行部署
推荐方案

  1. 通过ECS提供的WebShell或远程桌面工具进行登陆部署,部署期间,申请通讯录权限前,可申请安全组白名单临时开放完成部署,部署后恢复安全组限制
  2. 开通堡垒机,通过堡垒机实现登陆ECS完成部署

不推荐方案:

  1. 购买EIP绑定ECS 直接通过EIP访问ECS
  2. SLB绑定22端口转发到ECS

此两种方案非常容易被黑客利用,造成严重损失。此前已有ISV因长期绑定EIP到ECS方便连接部署而被黑客利用并造成损失。

原有服务迁移到钉钉云

阿里云迁移到钉钉云

钉钉云基础设施由阿里云提供,因此云产品和阿里云使用保持一致
因此迁移到钉钉云过程中,只需要将数据利用阿里云迁移工具(例如DTS等,详见下文)迁移到钉钉云,按同样方式将服务重新部署在钉钉云内即可完成迁移

自建机房迁移到钉钉云

自建机房迁移到钉钉云需先了解阿里云公有云产品
然后对应ECS类比为服务器,RDS为数据库产品等在钉钉云上进行公有云部署

聚石塔迁移到钉钉云

参考下文流程文档
其他迁移参见“自建机房”

数据迁移参考范例文档

(由于版本变更可能会有少量出入以阿里云文档为准)
OSS迁移 · 语雀.pdf
RDS迁移 · 语雀.pdf
NAS存储迁移 · 语雀.pdf
聚石塔到钉钉云迁移流程 · 语雀.pdf
聚石塔RDS数据迁移 · 语雀.pdf

更多问题见钉钉云文档钉钉云FAQ钉钉云数据推送FAQ

以上内容是否对您有帮助:
在文档使用中是否遇到以下问题(多选):
  • 内容错误
  • 更新不及时
  • 链接错误
  • 缺少代码/图片示例
  • 太简单/步骤待完善
手机号
更多建议
提交成功,感谢您的反馈!