本文介绍如何清理备份空间。 清理备份空间 系统内部有自动备份清理机制，用于清理超过保留天数的自动备份，用于减少备份空间占用，具体请参考备份清理。 您可以主动删除手动备份，用于减少备份空间占用，具体请参考删除手动备份。

本文介绍总体备份方案。 备份类型 全量（数据）备份 ： 对所有目标数据进行备份。全量备份总是备份所有选择的目标，即使从上次备份后数据没有变化。可能得触发方式包括自动备份、手动备份。 增量（数据）备份 ： 即差异备份。针对上一次全量备份后更新的数据进行差异备份。可能得触发方式包括自动备份、手动备份。 日志备份 ： 即事务日志备份。系统自动每30分钟对上一次全量备份或增量备份后更新的数据进行事务日志备份。可能得触发方式包括自动备份。日志备份可以用来将数据恢复到指定时间点。 备份方式 全量备份、增量备份、日志备份均是物理备份。备份文件压缩存储在备份空间中。备份的耗时取决于实例的数据量大小。 备份方案 自动备份 开通SQL Server实例后，系统会设置默认自动备份策略。系统根据您指定的备份保留期保存数据库实例的自动备份。 默认自动备份策略为：备份周期为星期一至星期日（即每天），备份保留天数为7天，默认不开启增量备份。如果实例开通时间点在当前时段的前45分钟内，则备份时间为当前时间段，否则为当前时段的下一个时段，比如开通时间为14:30:00，则备份时段为14:0015:00，如果开通时间为15:46:00，则备份时段为16：0017:00。您可以设置自动备份策略。 自动备份不可以关闭。 若开启增量备份，自动备份以全量备份增量备份增量备份...为周期循环。例如：备份周期已设置为星期一、星期三、星期五，则星期一为全量备份，星期三和星期五为增量备份，依次循环。 若不开启增量备份，自动备份以全量备份全量备份全量备份...为周期循环。例如：备份周期已设置为星期一、星期三、星期五，则星期一、星期三和星期五都是全量备份，依次循环。 增量备份默认不开启，您可以自行设置打开增量备份。 系统自动生成日志备份，每30分钟一次。不可以关闭。 用户在实例中创建新的库后，系统会自动为该新建的库创建一个单库全量备份，在数据备份列表中显示为“fullagentxxx”的备份即为单库全量备份。

本文介绍SQL Server实例删除后备份是否会保留。 保留备份 SQL Server实例退订，实例会有一定时间的保留天数，保留期内备份数据不会删除。 SQL Server实例退订超过保留天数后，实例会被真正删除，，此时数据备份和日志备份均会删除，包括手动备份与自动备份，均不会保留。

本文介绍如何处理超出备份空间免费额度的问题。 备份空间免费额度为订购新实例时所选择的存储空间大小，比如，订购SQL Server实例时，存储空间选择了100GB，则赠送100G的备份空间用于存储备份数据。当备份文件大小超出备份空间免费额度时，可以增加备份存储空间或减少备份空间的使用量。 增加备份存储空间（推荐） 通过扩容备份空间，来增加备份存储空间。操作步骤如下： 1. 进入天翼云SQL Server控制台页面，点击【实例管理】，选择需要扩容的实例，点击【更多】菜单，点击【备份空间扩容】，进入扩容页面。 2. 在备份空间扩容页面，选择扩容空间大小，点击确认并支付。 3. 等待一段时间后，通过实例基本信息页面确认备份空间是否已扩容至已订购的大小。 减少备份空间的使用量 减少备份保留天数，系统会自动删除保留天数之前的备份集以减少空间占用。操作步骤如下： 1. 进入天翼云SQL Server控制台页面，点击【实例列表】，选择实例，点击实例ID进入实例基本信息页面，点击【备份恢复】，进入备份恢复子页面。 2. 点击备【份策略】，修改备份保留天数。 减少备份周期，可以设置一周2~3次备份，为了您的数据安全，数据备份不可关闭且一周至少需要2次备份。操作步骤如下： 1. 进入天翼云SQL Server控制台页面，点击实例列表，选择实例，点击实例ID进入实例详情页面，点击备份恢复，进入备份恢复子页面。 2. 点击备份策略，修改备份周期。 删除手动备份，可以删除保留天数之前的手动备份。操作步骤如下： 1. 进入天翼云SQL Server控制台页面，点击【实例列表】，选择实例，点击实例ID进入实例详情页面，点击备份恢复，进入备份恢复子页面。 2. 点击数据备份，选择需要删除的手动备份，点击删除。注意，并非所有保留天数之前的手动备份都可以删除，必须保证该手动备份不被后续的备份所依赖。

原因 解决办法 未选择正确的资源池 需要切换至正确的资源池。 实例未完成开通 极端情况下会存在着底层资源不足、开通缓慢的情况，此时需要您耐心等待即可。

本文提供SQL Server买错实例退款的说明。 如果您买错了实例，是可以进行实例退订的操作。 详情请参见退订SQL Server实例

参数 介绍 ALL 向所有值应用此聚合函数。 ALL 为默认参数。 DISTINCT 指定 CHECKSUMAGG 返回唯一值的校验和。 expression 整数表达式。

本文介绍SQL Server与其他服务的关系。 虚拟私有云（VPC） VPC是基于天翼云创建的自定义私有网络，为SQL Server提供一个逻辑上完全隔离的专有网络。使用VPC中的安全组、IP地址段、带宽等网络特性，可增强SQL Server服务的安全性。 弹性云主机（ECS） SQL Server配合弹性云主机一起使用，通过内网连接SQL Server可以有效地降低应用响应时间、节省公网流量费用。 弹性IP（EIP） SQL Server配合弹性IP一起使用，为您的实例提供公网访问方式。

本文介绍SQL Server的恢复方案概览。 场景 功能 相关操作 恢复数据 按备份集恢复数据 按备份集恢复数据 恢复数据 将数据恢复至指定时间点 将数据恢复至指定时间点 恢复数据 ZOS备份数据上云 ZOS备份数据上云 恢复数据 跨域恢复 跨域恢复

对已有子账户授权并使用 如果您已提前创建好子账户，希望通过子账户创建开通实例并进行账户的权限控制，可按照如下步骤进行： 操作步骤 1. 进入天翼云官网，通过主账号登录，登入后，右上角选择【我的】，点击【账号中心】，进入个人中心界面。 2. 在左侧导航栏点击【统一身份认证】，进入统一认证服务IAM。 3. 在左侧导航栏点击【用户】页签，在用户列表中找到目标子用户，点击操作列的【查看】按钮。 4. 点击【所属用户组】页签，可查看当前子用户所属用户组。 5. 点击【添加到用户组】按钮，在列表中找到目标用户组，点击【添加】按钮，可在【已选用户组】中看到选择的用户组，点击【移除】按钮可进行移除。点击【确定】按钮，完成添加到用户组操作。 6. 将子用户添加到用户组之后，同样需要将用户组添加到企业项目中，并对用户组设置策略。参考上文中步骤7步骤11。 注意 新建子用户后，需要将子用户添加至用户组，并将用户组添加至企业项目中，对企业项目中用户组设置策略，才可进行权限控制与使用。 SQL Server管理员策略和SQL Server只读策略不能同时赋予，否则会出现权限冲突，导致只有只读权限。

运行状态 可执行操作 创建中 正在创建实例，不支持对实例执行任何操作。 运行中 实例正常可用，可以执行所有操作。 重启中 实例重启中支持查看实例管理和监控页面，以及退订实例，不支持执行其他操作。 退订中 正在退订实例，不支持对实例执行任何操作。 升配中 正在对实例进行升配，不支持对实例执行任何操作。 已暂停 支持续订和查看实例监控。 异常 支持查看实例监控。

本文主要介绍SQL Server实例的自动续费功能。 您可在订购实例时选择自动续费功能。 在受理页的自动续订一项，选择启用自动续订，即可开通自动续订。 说明 按月购买：自动续订周期为1个月，按年购买：自动续订周期为1年。 包年/包月的计费模式支持自动续订，按需计费模式在账户余额充足情况下，会默认自动续订，无需勾选【启用自动续订】。

SQL Server Management Studio (SSMS) 是一种集成环境，汇集了许多图形工具和丰富的脚本编辑器，本章节主要说明如何通过SSMS访问购买的SQL Server实例。 前提条件 已创建SQL Server数据库实例； 已创建登录账号并分配相关数据库权限； 操作步骤 1. 打开SQL Server Management Studio (SSMS) 客户端； 2. 首次运行 SSMS 时，系统将打开连接到服务器 窗口。 如未打开，可以选择对象资源管理器 > 连接 > 数据库引擎，将其手动打开； 3. 此时在连接到服务器对话框中填入以下参数： 参数 说明 服务器类型 选择数据库引擎（通常的默认选项）。 服务器名称 SQLServer实例的连接地址及端口号，连接地址与端口号间用半角逗号（,）隔开。获取公网连接地址可以参考申请或释放外网地址。 身份验证 选择登录的身份验证类型，选择SQL Server身份验证。 登录名 登录账号名。 密码 登录账户密码。 4. 完成所有字段后，单击连接按钮。

本文主要介绍SQL Server实例存储服务的价格。 天翼云SQL Server提供了存储服务，其价格如下表： 产品规格 存储类型 标准价格(元/G/月） 标准价格(元/G/小时） : 单机实例/只读实例 高IO 0.4000 0.0009 单机实例/只读实例 超高IO 1.2000 0.0017 单机实例/只读实例 极速型SSD 2.0000 0.0042 主备实例 高IO 0.7000 0.0015 主备实例 超高IO 2.0000 0.0028 主备实例 极速型SSD 3.2000 0.0068 注意 包年预付费优惠政策：1年85折，2年7折，3年、4年、5年均享受5折优惠。

本文提供SQL Server退订产品的相关说明。 如果您有退订SQL Server产品的需求，可以进行登录天翼云管理中心或SQL Server产品控制台进行退订操作。天翼云目前支持7天无理由全额退订和非七天无理由退订以及其他退订，详细规则请参考 退订规则说明 。 通过订单管理退订 1、登录天翼云官网，进入【费用中心】>【订单管理】>【退订管理】 页面。 2、选择要退订的资源，点击退订，进入退订详情页面。天翼云目前支持单个退订和批量退订。 3、退订前仔细阅读退订须知，然后确认退订资源信息，包括产品名称、资源ID、规格、时间及可退订金额。 4、信息确认无误后勾选协议，点击退订并再次确认，确认后即刻完成退订。退订后资金退回账户余额。 通过产品控制台退订 您可通过SQL Server产品控制台退订， 1. 进入【实例管理】页面，在目标实例的【操作】列，选择【更多 > 退订】。 2. 在退订页面，单击【提交】进行退订操作

计费项 计费项说明 适用的计费模式 计费公式 实例规格 计费项：CPU、内存、实例类型、数据库引擎版本，不同规格的实例类型提供不同的计算、存储、高可用能力。 包年/包月、按需计费 实例规格单价 x 购买时长 存储空间 计费项：存储空间，按统一标准进行计费。 包年/包月、按需计费 存储空间单价 x 存储容量 x 购买时长 备份空间 计费项：备份空间，按统一标准进行计费。 对象存储：按需计费 云硬盘：包年/包月、按需计费 备份空间单价 x 备份收费容量 x 计费时长 说明 备份收费容量：对象存储的备份空间，开通时，赠送与存储空间同等大小的免费额度，超过免费额度外的备份将进行收费。 跨区域备份（可选） 计费项：跨区域备份存储空间，按统一标准进行计费。 按需计费 存储空间单价 x 存储容量 x 购买时长 对象存储流量 计费项：公网流出流量、跨区域备份流量，按统一标准进行计费。 按需计费 对象存储流量单价 x 对象存储流量的收费流量

存储类型 使用场景 高IO 适用于主流的高性能、高可靠应用场景，例如大型开发测试、Web服务器日志以及企业应用。典型的企业应用有SAP、Microsoft Exchange和Microsoft SharePoint等。 超高IO 适用于超高IOPS、超大带宽需求的读写密集型应用场景，例如高性能计算， NoSQL/关系型数据库。 极速型SSD 适用于需要极低的延迟和高的I/O性能的应用场景，大型OLTP（Online Transaction Processing）数据库等。（极速型SSD云硬盘仅支持挂载至vCPU数量至少为16且为6代以上的计算增强型和内存优化型云主机）

服务阶段 实施任务 实施内容 交付物 购买阶段 购买安全评估服务 请您根据实际需求及服务团队沟通建议购买安全评估服务，购买指引请参见 购买阶段 发起安全评估服务需求 在控制台创建安全评估服务需求，详细操作请参见 准备阶段 确定评估范围、评估人员、评估工具及计划 确定安全评估范围，评估人员及评估工具，制定评估计划，按照计划时间开展评估工作 评估阶段 资产脆弱性扫描 利用用户漏洞扫描产品进行资产扫描，同时整合托管运营平台的脆弱性分析，从主动和被动识别两个维度进行业务资产现存漏洞问题的交叉识别，输出《业务资产安全漏洞清单》，安全服务专家对扫描出来的漏洞进行威胁分析和重要程度排序。漏洞扫描范围包含云主机、Web业务系统、数据库 《业务资产安全漏洞清单》 评估阶段 业务资产脆弱性分析 云端安全专家结合服务资产的业务特征和托管运营平台所采集的流量分析日志，综合分析业务资产存在的弱密码和明文传输等脆弱性问题，并执行脆弱性风险分析，对脆弱性问题进行排序，整合《业务资产安全漏洞清单》输出《业务资产脆弱性问题清单》 《业务资产脆弱性问题清单》 验收阶段 验收 汇总漏洞及业务脆弱性问题，提交安全评估服务报告 《安全评估服务报告》

攻击者画像 应急响应服务团队通过对木马文件、安全日志及攻击痕迹等信息进行分析，对攻击行为信息进行关联分析，对攻击的虚拟身份进行模拟画像，在数据量充足的情况下定位攻击者的真实身份。 安全漏洞复检 基于网络安全事件应急响应资产问题，服务团队提供相应的安全加固建议，在用户对资产完成加固后提供漏洞复检工作，以确认资产漏洞完全修复，避免再次出现相同的安全事件。

应急响应服务接入流程，含购买、准备、应急响应、验收等阶段。 服务阶段 实施任务 实施内容 交付物 购买阶段 购买应急响应服务 按照购买指引，选择自身需要的服务内容及配置，并完成购买支付 购买阶段 发起应急响应服务需求 发起应急响应服务需求，详细操作请参见获取应急响应服务序列号 准备阶段 确定评估范围、小组成员、准备《保密协议、授权书》、漏扫等工具 确定安全评估范围，项目小组成员，准备《保密协议、授权书》、漏扫等工具 《保密协议、授权书》 《服务确认及风险告知书》 应急响应阶段 信息收集 对网络现状进行资产评估，核查现有的资产信息情况 《应急响应报告》 应急响应阶段 攻击路径还原 根据用户提供的信息对服务器日志、攻击者痕迹、安全设备日志及流量的分析，还原攻击者的攻击路径，理清安全事件的真实原因 《应急响应报告》 应急响应阶段 问题文件清理 对用户服务器中可能隐藏的蠕虫病毒、后门程序、Rootkit 等恶意软件提供清理方案，通过上机排查，使用工具和手工对服务器后门进行清除 《应急响应报告》 应急响应阶段 安全漏洞复检 基于网络安全事件应急响应资产问题，服务团队提供相应的安全加固建议，在用户对资产完成加固后提供漏洞复检工作，以确认资产漏洞完全修复，避免再次出现相同的安全事件 《应急响应报告》 应急响应阶段 编制报告 编制应急响应报告 《应急响应报告》 验收阶段 工作总结会议 组织双方人员进行总结汇报 《验收材料汇编》 验收阶段 验收 提交相关技术文档 《验收材料汇编》

本节介绍了该产品的服务协议。 产品服务协议，详情请参见这里

问题描述 已配置公网NAT网关，存量Pod能访问公网，但部分新创建的Pod（Pod IP属于新子网）无法访问公网。 问题原因 新增的Pod子网未加入到NAT网关的SNAT规则。 解决办法 请配置NAT网关SNAT规则，加入新配置的子网。 双栈环境下部分Pod解析集群外域名失败，如何处理？ 问题描述 云主机所在子网开启了IPv6，部分Pod解析外部域名正常，部分Pod持续解析外部域名异常。 问题原因 该域名有A记录，没有AAAA记录，异常容器使用musllibc解析域名。当域名解析收到A NoError和AAAA NxDomain组合时，会认为解析失败。 解决办法 1. 容器镜像使用glibc替代musllibc； 2. 或业务不使用libc解析域名，例如Golang服务使用PureGo Resolver解析名称。

本节介绍了云容器引擎的Service类常见问题。 Kubernetes集群中访问LoadBalancer类型Service的ELB地址不通? 对于LoadBalancer类型Service，KubeProxy会将Service的ELB地址绑定到节点的kubeipvs0网卡上，或配置到iptables转发中，当在Kubernetes集群中访问该ELB地址时，请求不会转发到ELB实例，而是被ipvs/iptables转发到对应的后端Pod。如果Service设置了“externalTrafficPolicy:Local”，这时如果节点上没有对应的后端Pod，就会出现网络访问不通的问题。 可以参考以下解决方法处理： 访问集群内的Service服务时，使用服务的ClusterIP或服务名称进行访问 将Service的外部流量策略externalTrafficPolicy改为Cluster，这样请求就能被转发到所有节点的Pod Kubernetes集群内无法访问该集群LoadBalancer类型Service对应ELB的其他端口？ 问题描述 在Kubernetes集群中，如果KubeProxy采用ipvs转发，则LoadBalancer类型Service的ELB地址会被绑定到节点的kubeipvs0网卡上，导致流量不会被转发到ELB实例，IPVS会根据请求地址和端口转发到Service对应的后端Pod。如果其他Kubernetes集群或其他外部服务复用了该集群LoadBalancer类型Service对应的ELB，在该集群内就会出现无法访问这些服务的情况。 处理建议 如果存在LoadBalancer类型Service对应ELB被其他Kubernetes集群或外部服务复用时，建议服务部署在KubeProxy使用iptables模式的集群，iptables匹配不到请求地址及端口，流量会被网络路由到ELB实例 如果KubeProxy都是使用ipvs模式，建议不同Kubernetes集群间暴露LoadBalancer类型Service使用不同的ELB实例 Service使用的ELB在什么情况下会被自动删除？ 只有CCM（Cloud Controller Manager）自动创建的ELB，在以下几种情况，才会被自动删除： 1. 删除Service时，CCM创建的ELB会被自动删除。 2. Service类型由LoadBalancer改为其他类型（如NodePort）时，CCM创建的ELB会被删除。 3. 退订集群时，选择同步删除弹性负载均衡的资源。 4. 通过Service注解（service.beta.kubernetes.io/ctyunloadbalancerreserved: "false"）指定强制删除ELB。 LoadBalancer类型Service未自动新建ELB实例

本文介绍如果不配置集群管理权限，是否可以使用kubectl命令。 如果不配置集群管理权限，是否可以使用kubectl命令呢？ 使用kubectl命令无需经过IAM认证，因此理论上不配置集群管理（IAM）权限是可以使用kubectl命令的。但前提是需要获取具有命名空间权限的kubectl配置文件（kubeconfig），以下场景认证文件传递过程中均存在安全泄露风险，应在实际使用中注意。 场景一：如果某IAM子用户先配置了集群管理权限和命名空间权限，然后在界面下载kubeconfig认证文件。后面再删除集群管理权限（保留命名空间权限），依然可以使用kubectl来操作Kubernetes集群。因此如需彻底删除用户权限，必须同时吊销该子用户的kubeconfig文件。 场景二：如果某IAM用户拥有一定范围的集群管理权限和命名空间权限，然后在界面下载kubeconfig认证文件。此时云容器引擎根据用户信息的权限判断用户对应kubeconfig文件，相当于kubeconfig中就拥有这个用户的认证信息，若其他人获取了这个kubeconfig，则可以通过这个kubeconfig文件访问集群。

亲和性配置说明 云容器引擎在创建节点时，会自动给节点打上kubenetes.io/arch的标签，表示节点架构，如下所示。 kubernetes.io/archamd64 取值amd64表示是x86架构，arm64表示是ARM架构。 在创建工作负载时，可以通过配置节点亲和性，将Pod调度到对应架构的节点上，示例如下： apiVersion: v1 kind: Deployment metadata: name: test spec: selector: matchLabels: app: test template: metadata: labels: app: test spec: containers: name: container0 image: registrycrshuadong1.ctyun.cn/library/nginx:1.5amd64 affinity: nodeAffinity: requiredDuringSchedulingIgnoredDuringExecution: nodeSelectorTerms: matchExpressions: key: kubernetes.io/arch operator: In values: amd64 nodeSelector配置说明 也可以使用nodeSelector实现相同的效果，示例如下： apiVersion: apps/v1 kind: Deployment metadata: name: test spec: selector: matchLabels: app: test template: metadata: labels: app: test spec: nodeSelector: kubernetes.io/arch: amd64 containers: name: container0 image: registrycrshuadong1.ctyun.cn/library/nginx:1.5amd64 resources: limits: cpu: 250m memory: 512Mi requests: cpu: 250m memory: 512Mi imagePullSecrets: name: defaultsecret 使用双架构镜像 双架构镜像实际上就是对已有的两个不同架构的镜像做一个类似超链接的操作，能够实现在不同的操作系统拉取不同架构的镜像，构建上传步骤如下： 给原始镜像增加tag，方便标识具体区别 docker tag nginx:1.5amd64 registrycrshuadong1.ctyun.cn/library/nginx:1.5amd64 docker tag nginx:1.5arm64 registrycrshuadong1.ctyun.cn/library/nginx:1.5arm64

本节介绍了云容器引擎的最佳实践;Service实现灰度发布和蓝绿发布 实现云容器引擎的灰度发布，常规做法需要在集群中部署如Nginx Ingress或Traefik这样的开源工具，或者依赖服务网格的功能。这些方案在操作上可能较为复杂，对于只需简单灰度发布且不希望引入过多额外插件或复杂流程的用户来说，可以考虑利用Kubernetes自带的特性来达成目标。这样，我们不仅能实现简单的灰度发布和蓝绿发布，还能保持系统的简洁和高效。 原理介绍 用户在进行业务部署时，通常会选择利用Kubernetes中的无状态负载Deployment和有状态负载StatefulSet等对象，这些对象各自负责管理一组Pod。以Deployment为例，示意图如下： 在Kubernetes中，为了使得工作负载能够被外部访问，用户通常会为每个工作负载创建一个对应的Service。这个Service通过selector机制来匹配后端Pod，从而建立起访问路径。无论是集群内部的其他服务还是集群外部的客户端，只需访问这个Service，就能间接访问到后端Pod所提供的服务。若希望将服务对外暴露，用户只需将Service的类型设置为LoadBalancer，此时，一个弹性负载均衡器（ELB）将作为流量入口，负责将外部请求转发到后端Pod。 灰度发布原理 以Deployment为例，按照上述的方式每个Deployment创建一个Service，Service通过selector匹配后端Pod，通过Service最终访问到业务Pod。使不同Deployment的Pod被同一Service的selector选中，即表示同一Service可以访问不同Deployement的Pod。调整不同版本Deployment的副本数，即可调整路由到不同版本负载的流量比例，实现灰度发布。示意图如下：

问题现象 解决方案 安装模板报错：IngressClass.networking.k8s.io "nginxingressxxx" is invalid: spec.controller: Invalid value: "nginxingressxxx": must be a domainprefixed path (such as "acme.io/foo")。 YAML配置中填写的controller.ingressClassResource.controllerValue不对，值需要以域名为前缀，如k8s.io/ingressnginxdemo。 创建Ingress路由后，Ingress同时被模板部署的Nginx Ingress Controller和集群插件Nginx Ingress Controller识别并生效。 检查安装模板后生成的IngressClass资源，确认spec.controller的值是否为k8s.io/ingressnginx，如果是，需重装模板实例，为controller.ingressClassResource.controllerValue指定不同于“k8s.io/ingressnginx”的值。

端口 协议 源地址 说明 全部 TCP 198.19.128.0/20 VPCE内网地址段，控制台通过VPCE访问APIServer

应用场景 节点弹性伸缩基于社区的clusterautoscaler实现，仅支持pod pending等有限的场景。为应对更加复杂的伸缩场景，支持监控、告警、定时。

阶段四：Pod运行问题 OOM 当集群中的容器使用超过其限制的内存，容器可能会被终止，触发OOM（Out Of Memory）事件，导致容器异常退出。 OOM可能原因 说明 推荐的解决方案 系统内存不足 查看Pod所在节点的内核日志/var/log/messages，日志中存在Killed Process，但不存在kubepods相关日志；且主机内存使用量较高，表明是主机操作系统内存不足。 可能是系统全局内存不足、内存碎片化严重、内存泄露等。可提单排查。 Pod内存不足 查看Pod所在节点的内核日志/var/log/messages，日志中存在类似Task in /kubepods.slice/xxxxx killed as a result of limit of /kubepods.slice/xxxx的报错信息，且主机内存使用量不高或Pod的资源Limit值设置得较小，表明OOM为cgroup级别。 根据业务实际运行需要，适当增大Pod的内存Limit。 Terminating 可能原因 说明 推荐的解决方案 节点存在异常，处于NotReady状态。 节点存在异常，处于NotReady状态。 处于NotReady状态的节点恢复正常后会被自动删除。 Pod配置了Finalizers。 如果Pod配置了Finalizers，Kubernetes会在删除Pod之前执行Finalizers指定的清理操作。如果相关的清理操作没有正常响应，Pod将保持在Terminating状态。 通过kubectl get pod n o yaml查看Pod是否配置了Finalizers，进一步排查异常原因。 Pod的preStop配置异常。 如果Pod配置了preStop，Kubernetes会在c。Pod正处于终止流程的preStop阶段时，Pod将处于Terminating状态。 通过kubectl get pod n o yaml查看Pod的preStop配置，进一步排查异常原因。 Pod配置了优雅退出时间。 如果Pod配置了优雅退出时间（terminationGracePeriodSeconds），Pod收到终止命令后（例如kubectl delete pod 命令）会进入Terminating状态。等待terminationGracePeriodSeconds设定的时间后，或容器提前退出后，Kubernetes才认为Pod已经成功关闭。 等待容器优雅退出后，Kubernetes将自动删除Pod。 容器无响应。 发起停止或删除Pod的请求后，Kubernetes会向Pod内的容器发送SIGTERM信号。如果容器在终止过程中没有正确响应SIGTERM信号，Pod可能会停留在Terminating状态。 使用kubectl delete pod graceperiod0 force强制删除，释放Pod资源。 检查Pod所在节点的containerd或Docker日志，进一步进行排查。 Evicted 可能原因 说明 推荐的解决方案 节点存在资源压力，包括内存不足、磁盘空间不足等，引发kubelet主动驱逐节点上的一个或者多个Pod，以回收节点资源。 可能存在内存压力、磁盘压力、Pid压力等。可以通过kubectl describe node grep Taints命令查询。 内存压力：带有污点node.kubernetes.io/memorypressure。 磁盘压力：带有污点node.kubernetes.io/diskpressure。 Pid压力：带有污点node.kubernetes.io/pidpressure。 内存压力： 根据自身业务情况，调整Pod的资源配置。 磁盘压力： 定时清理节点上的业务Pod日志，防止磁盘空间被耗尽。 为节点进行磁盘扩容。 Pid压力：根据自身业务情况，调整Pod的资源配置。 发生了非预期的驱逐行为。 待运行Pod的节点被手动打上了NoExecute的污点，导致出现非预期的驱逐行为。 通过kubectl describe node grep Taints命令检查节点是否被打上了NoExecute污点。如是，请删除。 未按照预期流程执行驱逐。 podevictiontimeout：当节点宕机时间超过设置时间后，开始驱逐宕机节点上的Pod，默认为5min。 nodeevictionrate：每秒从节点上驱逐的Pod数量。默认为0.1，即每10s至多从一个节点上驱逐Pod。 secondarynodeevictionrate：第二档的节点驱逐速率。当集群中宕机节点过多时，节点驱逐速率会降低至第二档，默认值为0.01。 unhealthyzonethreshold：可用区的不健康阈值，默认为0.55，即当宕机的节点数量超过总节点数的55%时，该可用区被判定为不健康。 largeclustersizethreshold：集群的大规模阈值，默认为50，即当集群节点数量超过50时判定集群为大规模集群。 在小规格的集群（集群节点数小于等于50个节点）中，如果故障的节点大于总节点数的55%，实例的驱逐会被停止。 在大规模集群中（集群节点数大于50），如果集群中不健康的节点数量占总节点数的比例超过了预设的阈值unhealthyzonethreshold（默认为0.55），驱逐速率由secondarynodeevictionrate控制（代表每分钟驱逐节点上Pod的最大比例），默认值为0.01。 容器被驱逐后仍然频繁调度到原节点。 节点驱逐容器时会根据节点的资源使用率进行判断，而容器的调度规则是根据节点上的“资源分配量”进行判断，被驱逐的Pod有可能被再次调度到这个节点，从而出现频繁调度到原节点的现象。 根据集群节点的可分配资源检查Pod的资源Request请求配置是否合理。 Completed Completed状态下，Pod中容器的启动命令已执行完毕，容器中的所有进程均已成功退出。Completed状态通常适用于Job、Init容器等，该状态是正常状态。

必须设置，不然HPA无法运行。 cpu: 500m 2、执行以下命令，创建Nginx应用。 kubectl create f nginx.yml 3、创建HPA。通过scaleTargetRef设置当前HPA绑定的对象，在本例中绑定名叫nginx的Deployment。 plaintext apiVersion: autoscaling/v2beta2 kind: HorizontalPodAutoscaler metadata: name: nginxhpa spec: scaleTargetRef: apiVersion: apps/v1 kind: Deployment name: nginx minReplicas: 1 maxReplicas: 10 metrics: type: Resource resource: name: cpu target: type: Utilization averageUtilization: 50 4、创建好HPA后，再次执行 kubectl describe hpa 命令 看到HPA正常运行。

本节介绍了云容器引擎节点类常见问题。 容器集群新增节点时的问题与排查方法？ 若是通过集群节点扩容，可在集群节点列表中查看新增的节点概况； 若是通过节点池新增节点，可在节点池详情的伸缩活动中看操作记录。 如何重置容器集群中节点的密码？ 可在集群节点详情页面有重置密码按钮，需两次输入密码校验正确后才生效。 注意 节点重置密码等同于云主机重置密码，请务必保存好密码。 节点重置密码后如何登陆云主机？ 需购买并绑定同一VPC内的弹性IP后，可SSH登陆云主机操作。 容器集群节点中安装kubelet的端口主要有哪些？ 容器集群节点中安装kubelet的端口主要有如下几个： 10250 –port：kubelet服务监听的端口，api会检测他是否存活。 10248 –healthzport：健康检查服务的端口。 10255 –readonlyport：只读端口，可以不用验证和授权机制，直接访问。 4194 –cadvisorport：当前节点cadvisor运行的端口。 容器集群的节点可以更改IP吗？ 不支持修改私网IP：当前容器的集群中把节点私网IP作为kubernetes node名称，kubernetes node名称不支持修改，修改后会导致节点不可用及容器网络异常等故障，所以不支持更换节点私网IP。 支持修改公网IP：节点上的公网IP可以在云主机控制台更换。 如何更改节点Pod数量？ 不同集群单节点支持的最大Pod数是有限制的，默认为110。 登陆到节点上，修改/var/lib/kubelet/config.yaml中配置。 修改参数maxPods为指定的值。 执行systemctl restart kubelet，重启kubelet。