导出漏洞报告 进入目标漏洞页签页面，在漏洞列表的右上角，单击导出漏洞报告。 导出漏洞报告 说明 应用漏洞单次导出最大数量为5000条。 主机安全服务每日凌晨会自动进行一次全面的扫描检测，扫描结束后可下载漏洞报告，若有特殊需求，也可通过手动扫描漏洞导出实时报告，操作详情请参见漏洞检测（手动）。 漏洞修复与验证 Linux软件漏洞和Windows系统漏洞： 您可以使用“一键修复”功能进行修复，也可以根据界面提供的修复建议进行手动修复。 修复完成后，可通过“验证”功能，快速验证漏洞是否修复成功。 说明 Windows漏洞修复需要公网访问权限。 WebCMS漏洞： 请根据界面提供的修复建议进行手动修复。 应用漏洞： 请根据界面提供的修复建议进行手动修复。 约束限制 未开启防护不支持漏洞相关操作。 目标服务器“Agent状态”为“在线”，“服务器状态”为“运行中”，“防护状态”为“防护中”。 基础版不支持。 HCE 2.0当前暂不支持漏洞检测和配置检测功能，将会根据后续版本迭代上线。 操作风险 执行主机漏洞修复可能存在漏洞修复失败导致业务中断，或者中间件及上层应用出现不兼容等风险，并且无法进行回滚。为了防止出现不可预料的严重后果，建议您通过云服务器备份（CSBS）为ECS创建备份。然后，使用空闲主机搭建环境充分测试，确认不影响业务正常运行后，再对主机执行漏洞修复。 在线修复主机漏洞时，需要连接Internet，通过外部镜像源提供漏洞修复服务。但是，如果主机无法访问Internet，或者外部镜像源提供的服务不稳定时，可以使用提供的镜像源进行漏洞修复。 为了保证漏洞修复成功，请在执行在线升级漏洞前，确认主机中已配置对应操作系统的镜像源。 修复紧急度 高危：您必须立即修复的漏洞，攻击者利用该类型的漏洞会对主机造成较大的破坏。 中危：您需要修复的漏洞，为提高您主机的安全能力，建议您修复该类型的漏洞。 低危：该类型的漏洞对主机安全的威胁较小，您可以选择修复或忽略。 漏洞显示时长 漏洞状态为“修复失败”或者“未处理”的漏洞会一直显示在漏洞列表中。 漏洞状态为“修复成功”的漏洞，修复成功后，30天后才不会在漏洞列表中显示。

导出漏洞报告 进入目标漏洞页签页面，在漏洞列表的右上角，单击导出漏洞报告。 导出漏洞报告 说明 应用漏洞单次导出最大数量为5000条。 主机安全服务每日凌晨会自动进行一次全面的扫描检测，扫描结束后可下载漏洞报告，若有特殊需求，也可通过手动扫描漏洞导出实时报告，操作详情请参见漏洞检测（手动）。 漏洞修复与验证 Linux软件漏洞和Windows系统漏洞： 您可以使用“一键修复”功能进行修复，也可以根据界面提供的修复建议进行手动修复。 修复完成后，可通过“验证”功能，快速验证漏洞是否修复成功。 说明 Windows漏洞修复需要公网访问权限。 WebCMS漏洞： 请根据界面提供的修复建议进行手动修复。 应用漏洞： 请根据界面提供的修复建议进行手动修复。 约束限制 未开启防护不支持漏洞相关操作。 目标服务器“Agent状态”为“在线”，“服务器状态”为“运行中”，“防护状态”为“防护中”。 基础版不支持。 HCE 2.0当前暂不支持漏洞检测和配置检测功能，将会根据后续版本迭代上线。 操作风险 执行主机漏洞修复可能存在漏洞修复失败导致业务中断，或者中间件及上层应用出现不兼容等风险，并且无法进行回滚。为了防止出现不可预料的严重后果，建议您通过云服务器备份（CSBS）为ECS创建备份。然后，使用空闲主机搭建环境充分测试，确认不影响业务正常运行后，再对主机执行漏洞修复。 在线修复主机漏洞时，需要连接Internet，通过外部镜像源提供漏洞修复服务。但是，如果主机无法访问Internet，或者外部镜像源提供的服务不稳定时，可以使用提供的镜像源进行漏洞修复。 为了保证漏洞修复成功，请在执行在线升级漏洞前，确认主机中已配置对应操作系统的镜像源。 修复紧急度 高危：您必须立即修复的漏洞，攻击者利用该类型的漏洞会对主机造成较大的破坏。 中危：您需要修复的漏洞，为提高您主机的安全能力，建议您修复该类型的漏洞。 低危：该类型的漏洞对主机安全的威胁较小，您可以选择修复或忽略。 漏洞显示时长 漏洞状态为“修复失败”或者“未处理”的漏洞会一直显示在漏洞列表中。 漏洞状态为“修复成功”的漏洞，修复成功后，30天后才不会在漏洞列表中显示。

您可以使用 CAE 提供的多语言Demo镜像，或者配置 Docker Hub、Harbor、GitHub Container Registry（GHCR）等常见的镜像地址，来自定义镜像，最后将其部署到 CAE。 功能入口 创建应用 1. 在应用基础信息页面中，应用部署方式选择镜像部署 ，点击选择镜像。 2. 在弹出的设置镜像窗口，选择应用所属的技术栈语言 ，并根据需要选择示例镜像 或者自定义镜像。 3. 当选择自定义镜像时，您需要填写镜像仓库地址 以及配置用户名密码（可选）。 注意 1. 当选择镜像网络为公网时，需要完成应用访问公网设置，确保应用可以访问公网 2. 当选择镜像网络为私网时，需要保证应用所在VPC网络与私有镜像仓库网络打通 创建有状态应用 创建有状态应用与创建无状态应用的操作基本一致，只需在应用基本信息页面中，应用类型选择有状态应用。 1. 在应用基础信息页面中，应用类型选择有状态应用。 2. 应用部署方式选择镜像部署 ，点击选择镜像。 3. 在弹出的设置镜像窗口，选择应用所属的技术栈语言 ，并根据需要选择示例镜像 或者自定义镜像。 4. 当选择自定义镜像时，您需要填写镜像仓库地址 以及配置用户名密码（可选）。

高集成 与天翼云云原生产品体系无缝对接，实现服务的可见、可管、可控，提供一站式的微服务解决方案。 无侵入 即买即用，无需修改任何业务代码、配置、镜像即可接入微服务引擎，提供丰富的微服务治理能力。

服务阶段 实施内容 购买阶段 请您根据实际需求及服务团队沟通建议购买全流量分析服务，购买指引请参见 准备阶段 明确需创建的虚拟机规格，是否需要对接终端引流插件。 部署阶段 上传私有镜像、创建全流量虚拟机、完成授权，全流量对接及外发策略配置。

本文主要介绍如何复制伸缩配置。 操作场景： 在原有伸缩配置基础上，复制一条伸缩配置。 复制伸缩配置时，用户可在原有伸缩配置基础上，通过更改伸缩配置名称、云主机规格和镜像等参数，快速创建一个新的伸缩配置。 操作步骤： 1. 登录管理控制台。 2. 选择“计算 > 弹性伸缩服务”。 3. 选择“伸缩配置”页签，在需要复制的伸缩配置所在行的“操作”列下，单击“复制”。 4. 在弹出的“复制伸缩配置”界面，修改伸缩配置名称、云主机规格和镜像等参数，并设置弹性云主机的登录方式等。 5. 单击“确定”，完成复制伸缩配置操作。

本文主要介绍流量镜像匹配规则。 根据流量镜像的匹配规则，当同一个镜像源的同一个报文同时符合多个筛选条件规则时，该报文也仅会被匹配一次，匹配原则详细说明如下： 匹配原则 说明 顺序匹配 根据优先级从高到低按顺序进行匹配。优先级的数字越小，优先级越高，比如1的优先级高于2。 镜像会话优先级：同一个镜像源可同时被关联至多个镜像会话，此时根据镜像会话的优先级，按照从高到低的顺序匹配。 筛选条件规则优先级：一个镜像会话只可以关联一个筛选条件，一个筛选条件中可以包含多个规则，此时根据规则的优先级，按照从高到低的顺序匹配。筛选条件规则分为入方向规则和出方向规则，包含优先级、流量采集策略以及匹配条件。 唯一匹配 报文只要与一个筛选条件规则匹配，就不会再去尝试匹配其他规则。 镜像会话的匹配规则如下图所示。当一个镜像源同时被多个镜像会话关联时，以入方向的报文为例，报文根据镜像会话的优先级，按照从高到低的顺序匹配。 当报文匹配上某个镜像会话中的筛选条件入方向规则，则执行以下操作： 如果该规则的策略是采集，则镜像该报文。 如果该规则的策略是不采集，则不会镜像该报文。 当遍历了所有镜像会话中的筛选条件入方向规则，报文均没有匹配上，则不会镜像该报文，结束。 示例：某个镜像源同时被镜像会话A和镜像会话B关联，镜像会话A的优先级是1，镜像会话B的优先级是2。当镜像源入方向的某个报文同时符合镜像会话A和镜像会话B里的筛选条件规则，此时根据镜像会话优先级，该报文优先匹配镜像会话A中的筛选条件规则，并执行该规则的采集策略，结束后，该报文不会继续匹配镜像会话B。 筛选条件的匹配规则如下图所示。当一个镜像源只被一个镜像会话关联时，以入方向的报文为例，报文根据入方向规则的优先级，按照从高到低的顺序匹配： 当报文匹配上筛选条件的某个入方向规则，则执行以下操作： 如果该规则的策略是采集，则镜像该报文。 如果该规则的策略是不采集，则不会镜像该报文。 当遍历了筛选条件中的所有入方向规则，报文均没有匹配上，则不会镜像该报文，结束。 示例：当某个镜像源被镜像会话A关联，在镜像会话A的筛选条件中，入方向规则A和规则B的流量匹配条件相同，但优先级和流量采集策略不同。规则A的优先级为1，策略为不采集。规则B的优先级为2，策略为采集。当镜像源入方向的某个报文同时符合规则A和规则B的流量匹配条件时，此时根据规则优先级，该报文优先匹规则A，并执行不采集策略，即不镜像该报文，结束后，该报文不会继续匹配规则B。

本节介绍了用户数据注入的使用场景、使用限制、使用方法、关于Linux云主机的用户数据脚本、关于Windows弹性云主机的用户数据脚本等内容。 使用场景 当您有如下需求时，可以考虑使用用户数据注入功能来配置弹性云主机： 需要通过脚本简化弹性云主机配置 通过脚本初始化系统 已有脚本，在创建弹性云主机的时候一并上传到服务器 其他可以使用脚本完成的功能 使用限制 Linux： 用于创建弹性云主机的镜像安装了Cloudinit组件。 用户数据大小限制：小于等于32KB。 如果通过文本方式上传用户数据，数据只能包含ASCII码字符；如果通过文件方式上传用户数据，可以包含任意字符，同时，要求文件大小小于等于32KB。 必须是公共镜像，或继承于公共镜像的私有镜像，或自行安装了Cloudinit组件的私有镜像。 必须满足相应Linux弹性云主机自定义脚本类型的格式要求。 使用的VPC网络必须开启DHCP，安全组出方向规则保证80端口开放。 选择“密码”登录方式时，不支持用户数据注入功能。 Windows 用于创建弹性云主机的镜像安装了Cloudbaseinit组件。 用户数据大小限制：小于等于32KB。 如果通过文本方式上传用户数据，数据只能包含ASCII码字符；如果通过文件方式上传用户数据，可以包含任意字符，同时，要求文件大小小于等于32KB。 必须是公共镜像，或继承于公共镜像的私有镜像，或自行安装了Cloudbaseinit组件的私有镜像。 使用 VPC网络必须开启DHCP，安全组出方向规则保证80端口开放。

3.1 升级系统 升级系统，确保软件包更新到最新，减少安全风险。下面的命令升级除内核相关之外的包，其中包含bug修复相关的包。 plaintext dnf y x 'kernel' update bugfix 3.2 配置ssh服务器 下面是对ssh服务器的一些配置。 plaintext sed e "s/^ ?PubkeyAuthentication./PubkeyAuthentication yes/g" e "s/^ ?PasswordAuthentication./PasswordAuthentication yes/g" e "s/^ ?PermitRootLogin./PermitRootLogin yes/g" e "s/^ ?UseDNS./UseDNS no/g" e "s/^ ?GSSAPIAuthentication./GSSAPIAuthentication no/g" i.bak /etc/ssh/sshdconfig 说明： PubkeyAuthentication yes：允许公钥认证访问。使用公钥认证访问通常更为安全。 PasswordAuthentication yes：允许使用密码认证访问。密码认证访问不如公钥认证访问安全。但默认镜像中没有公钥（在镜像中捆绑固定的公钥可能有安全隐患），需要使用密码认证访问。您可以在装机登录后配置好ssh公钥，然后禁用密码认证访问。 PermitRootLogin yes：允许root用户登录。允许root用户登录可能不够安全。但默认镜像中不创建其他普通用户。在镜像中创建普通用户并为其捆绑固定的密码可能有安全隐患。物理机装机时只会为root用户设置密码。您可以在装机登录后创建其他用户，然后禁用root用户登录。 UseDNS no：禁用反向DNS解析。未连通公网的机器上DNS不可用，会导致ssh连接缓慢或失败。 GSSAPIAuthentication no：禁用GSSAPI认证访问。GSSAPI认证需要自行配置才能使用。开启可能会导致ssh连接缓慢或失败。 注意 请不要在镜像中留ssh公钥或新建非root用户，可能有安全隐患。若相应的ssh私钥或用户密码泄露，继续使用该镜像会扩大受影响范围。

本文介绍如何创建边缘虚拟机自定义镜像。 通过已有实例创建自定义镜像 1. 登录ECX控制台。 2. 单击左侧【边缘虚拟机>实例】导航栏。 3. 选择构建目标镜像的虚拟机，在操作列点击【导出镜像】。 4. 镜像文件导出后，可在自定义镜像列表查看，作为自定义镜像使用。 注意 仅关机状态支持导出镜像。 通过导入镜像文件创建自定义镜像 1. 登录ECX控制台。 2. 单击左侧【边缘虚拟机>镜像】导航栏。 3. 选择【自定义镜像】，点击【+导入自定义镜像】。 4. 根据《创建自定义镜像指引》生成满足规范的镜像，配置操作系统、系统版本、系统位数、CPU架构、适配芯片等信息，上传镜像文件生成自定义镜像。 5. 注意目前只支持qcow2格式的镜像。 6. 目前ECX提供了镜像扫描功能，刚上传的自定义镜像自动置为“待扫描“状态，系统会自动进行合规扫描，扫描过程中置为“合规扫描中”，若扫描不通过，则会提示相关整改项，未完成扫描或扫描不通过不影响用户装机使用，但会在用户装机时进行二次确认提示。 7. 自定义镜像上传成功后，可在开通/创建虚拟机时选择该自定义镜像，具体参考使用镜像。

参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String 类型 application/json regionId 是 String 资源池编码（资源池ID，您可以查看 bb9fdb42056f11eda1610242ac110002

参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String 类型 application/json regionId 是 String 资源池编码（资源池ID，您可以查看 bb9fdb42056f11eda1610242ac110002

参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String 类型 application/json regionId 是 String 资源池编码（资源池ID，您可以查看 bb9fdb42056f11eda1610242ac110002

参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String 类型 application/json regionId 是 String 资源池编码（资源池ID，您可以查看 bb9fdb42056f11eda1610242ac110002

命名空间保密字典用于存储应用运行所需的各种配置信息。通过配置项，用户可以灵活管理应用在容器中的运行环境，支持多种注入方式： 环境变量：配置项可在容器中作为环境变量使用，方便在应用部署后随时调整配置。 命令行参数：可通过启动命令将配置项传入应用，实现即时配置。 挂载配置文件 ：配置项可写入文件并挂载到容器中，便于集中管理和动态更新配置。 本章节将详细说明如何在 云应用引擎控制台中创建命名空间的配置项，并展示如何在应用中使用这些配置，实现高效的配置管理与灵活部署。 创建保密字典功能入口 1. 登录 CAE 控制台。 2. 在左侧导航栏选择配置管理 > 保密字典，进入保密字典管理页面。 3. 单击创建 ，在弹出的创建保密字典 面板，根据需求选择不同的保密字典类型，并根据下表说明完成参数配置 ，然后单击确认。 说明 在创建保密字典时，您可以根据需要存放的信息选择不同的类型： Opaque类型：Opaque 是默认的 Secret 类型，适用于存储各类没有特定格式的敏感信息，如密码或API密钥。当您需要存储一些自定义格式的敏感信息时，Opaque 类型提供了灵活性，让您可以以键值对的形式自由地保存所需的数据。 TLS证书类型：这种类型专门用于存储 TLS 证书相关的数据，当您的服务需要启用 HTTPS 访问时，可以使用这种类型的 Secret 来保存和管理 TLS 证书，以确保在 CAE 环境中的 Pod 中使用，确保数据传输的安全性。 私有镜像仓库登录密钥类型：这种类型适用于存储访问私有容器镜像仓库的凭证，使得 Kubernetes 在拉取私有镜像时能够进行身份验证。如果您的应用使用的容器镜像存储在私有仓库中，您需要提供凭证才能访问这些镜像。在这种情况下，该类型的 Secret 用于存储仓库用户名和密码或访问令牌，确保 CAE 在部署应用时能够拉取到私有镜像。

资产分类 资产子类 集群资产 集群、命名空间、工作负载、Pod、容器 镜像资产 仓库、仓库镜像、节点镜像、软件包 节点资产 节点、进程、端口 应用服务 Ingress、Service、Endpoint、运行应用、软件框架、Web站点、Routes 配置相关 Secret、ConfigMap、PV、PVC、标签、Service Account、Role、Role binding

本章节主要介绍分布式消息服务RabbitMQ的仲裁队列特性。 使用场景 仲裁队列（Quorum Queues）提供队列复制的能力，保障数据的高可用和安全性。使用仲裁队列可以在RabbitMQ节点间进行队列数据的复制，在一个节点宕机时，队列依旧可以正常运行。 仲裁队列适用于队列长时间存在，对队列容错和数据安全要求高，对延迟和队列特性要求相对低的场景。在可能出现消息大量堆积的场景，不推荐使用仲裁队列，因为仲裁队列的写入放大会造成成倍的磁盘占用。 仲裁队列的消息会优先保存在内存中，使用仲裁队列时，建议定义队列最大长度和最大内存占用，在消息堆积超过阈值时从内存转移到磁盘，以免造成内存高水位。 更多关于仲裁队列的说明，请参考Quorum Queues。 说明 分布式消息服务RabbitMQ3.8.35版本才提供仲裁队列特性。 仲裁队列与镜像队列的差异 仲裁队列是RabbitMQ 3.8版本引入的队列类型，它与镜像队列拥有类似的功能，为RabbitMQ提供高可用的队列。镜像队列有一些设计上的缺陷，这也是RabbitMQ提供仲裁队列的原因。 镜像队列主要的缺陷在于消息同步的性能低。 镜像队列包含一个主队列和多个从队列，当生产者向主队列发送一条消息，主队列会将消息同步给从队列，所有的从队列都保存消息后，主队列才会向生产者发送确认。 RabbitMQ使用集群部署时，如果其中一个节点故障下线，待它消除故障重新上线后，它保存的所有从队列的数据都会丢失。此时运维人员需要选择是否同步主队列的数据到从队列中，如果不同步数据，会增加消息丢失的风险。如果同步数据，同步时队列是阻塞的，无法对其进行操作。当队列中存在大量堆积消息时，同步会导致队列几分钟、几小时或者更长时间不可用。 仲裁队列解决了镜像队列的性能和同步问题。 仲裁队列的算法是基于Raft共识算法的一个变种，提供更好的消息吞吐量。仲裁队列包含一个主副本和多个从副本，当生产者向主副本发送一条消息，主副本会将消息同步给从副本，超过半数的副本保存消息后，主副本才会向生产者发送确认。这意味着少部分比较慢的从副本不会影响整个队列的性能。同样地，主副本的选举也需要超过半数的副本同意，这会避免出现网络分区时，队列存在2个主副本。由此可见，仲裁队列相对于可用性更看重一致性。 RabbitMQ使用集群部署时，如果其中一个节点故障下线，待它消除故障重新上线后，它保存的数据不会丢失，主副本会直接从从副本中断的地方开始复制消息。复制的过程是非阻塞的，整个队列不会因为新的副本加入而受到影响。 仲裁队列相比镜像队列，缺少了一些特性，如表1所示，且消耗更多的内存和磁盘。 表1 特性列表 特性 镜像队列 仲裁队列 非持久化队列 支持 不支持 排他队列 支持 不支持 每条消息的持久化 每条消息 永远 队列重平衡 自动 手动 消息超时时间 支持 不支持 队列超时时间 支持 支持 队列长度限制 支持 支持（除xoverflow: rejectpublishdlx） 惰性队列 支持 限制队列长度后支持 消息优先级 支持 不支持 消费优先级 支持 支持 死信交换器 支持 支持 动态Policy 支持 支持 毒药消息（让消费者无限循环消费）处理 不支持 支持 全局消息预取（Qos） 支持 不支持

前置路径 参数 描述 metadata name 创建的工作负载名称。 spec.template.spec.containers image 工作负载的镜像。 spec.template.spec.containers.volumeMount mountPath 容器内挂载路径，示例中挂载到“/tmp”路径。 spec serviceName 工作负载对应的服务，服务创建过程请参见6.3 创建有状态负载(StatefulSet)。

弹性云主机(CTECS,Elastic Cloud Server)是一种可随时获取、弹性可扩展的计算服务。云主机由 CPU、内存、镜像、云硬盘组成,同时结合VPC、安全组、数据多副本保存等能力,打造一个既高效又可靠安全的计算环境,确保服务持久稳定运行。

本文介绍如何查看镜像告警信息及如何处置相关告警。 在镜像告警页面，用户可以查看已扫描镜像的告警信息，并对告警进行处理。 查看镜像告警信息 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“告警响应 > 镜像告警”，进入镜像告警页面。 3. 查看镜像告警数据统计：镜像告警支持触发安全策略、非自动推动镜像、运行被阻断的镜像、非信任镜像四种检测类型的检测，显示不同类型报警的数量统计信息。 4. 单击数据统计中某一类型的镜像告警，下方报警列表将根据选择的类型进行筛选。 5. 镜像告警列表内，支持按照“报警级别”、“报警名称”、“镜像名称”、“策略名称”、“集群名称”、“受影响的节点”、“受影响的仓库”、“状态”进行筛选查询。 镜像告警信息参数说明： 参数 说明 报警名称 报警的原因，包括触发安全策略、非自动推动镜像、运行被阻断的镜像和非信任镜像这四种。 报警级别 报警分为紧急、异常、提示这三种类型。 报警类型 镜像安全。 镜像名称 存在告警的镜像名称。 集群名称 存在报警的镜像所属集群的名称。 受影响的节点/仓库 受影响的节点名称或仓库名称（根据镜像所在位置区分）。 首次发现时间 首次发现报警事件的时间。 最近发现时间 最近一次发现报警事件的时间。 状态 状态分为已处理和未处理。

本文介绍弹性伸缩服务的收费情况。 弹性伸缩服务产品免费，不收取任何费用，但弹性伸缩组内的云主机、云硬盘、弹性IP、带宽等云产品需按照相关产品页面公示信息收费。 资源类型 计费项 计费方式 计费规则 云主机实例 通过弹性伸缩自动创建或者手动加入的云主机实例，可能会产生实例规格（计算资源）、镜像、云硬盘、弹性IP等费用。 按需计费 计算资源计费说明 镜像服务计费说明 云硬盘计费说明 弹性IP计费说明 负载均衡 伸缩组关联负载均衡时，您需要提前创建负载均衡实例并支付其费用，可能会产生弹性IP、带宽等费用。 包年包月 负载均衡计费说明 注意 如果您的账号欠费，伸缩组内所有按需计费的云主机实例将被冻结，从而导致弹性伸缩健康检查判定云主机实例状态为不健康，触发移出并释放这些云主机实例的操作。因此为保证您的正常使用，请及时充值。

本文介绍如何将镜像设为基础镜像。 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“镜像安全 > 镜像管理”，进入镜像管理页面。 3. 选择“仓库镜像”页签，进入镜像列表页面。 4. 单击镜像列表操作列中的“设为基础镜像”，系统将提示操作成功。 5. 设为基础镜像后，需再次扫描镜像。 6. 扫描完成后，勾选列表上方的“显示基础镜像”，即可查看在当前仓库或项目中设置的所有基础镜像。

本节介绍了云容器引擎的应用场景,便于用户选择业务场景使用。 微服务架构 企业应用通过微服务拆分和容器化改造后，推荐使用云容器引擎+容器镜像服务+微服务云应用平台+注册配置中心的产品组合，实现一站式云原生应用托管，加速企业业务迭代。 持续集成交付 提供从开发到上线一致的运行环境，借助第三方工具进行流水线开发测试，自动完成从代码变更到代码构建、测试、镜像构建和应用部署的DevOps完整流程。进行持续交付，替代传统部署方式，提高交付效率。 弹性伸缩 企业应用按业务流量自动扩缩容，不需要人工干预，预防流量激增时导致的业务不可用风险，并且减少对闲置资源的浪费和费用支出。

本文为您介绍创建轻量型云主机的相关操作。 前提条件 完成账号注册与实名认证。 操作步骤 1. 登录天翼云官网，进入控制中心。 2. 单击控制中心顶部的，选择资源所在地，此例我们选择华北2。后续您也可以在创建页面对“地域”进行修改。 3. 单击左侧导航栏“产品服务列表”，选择“计算>轻量型云主机”。 4. 进入轻量型云主机界面，单击“创建轻量型云主机”。 5. 选择计费模式，轻量型云主机目前仅支持包年/包月计费模式。 6. 根据业务需求选择“规格套餐”。 套餐类型 说明 基础型 提供合适的云资源能力，适用于小型网站软件及应用，如官网页面、论坛、测试环境等。 进阶型 提供常用的云资源能力，适用于中小型网站，软件、应用及系统，如电商。 随心购 您可以根据业务的实际需要自行搭配各项云资源规格。 关于轻量云主机规格的详细说明，具体可参见实例套餐。 7. 根据业务需求选择“镜像”，天翼云提供包括CentOS、Ubuntu、Windows三种类型的系统镜像。关于各类镜像的详细说明及支持的镜像版本，具体可参见支持的镜像。 8. 您可根据业务需求购买数据盘（可选）。 说明 数据盘非套餐内资源，单独进行收费。 可挂载数量：单台轻量型云主机最多支持5块数据盘。 数据盘类型：普通IO、高IO、通用SSD、超高IO高类型。 云盘容量大小范围为：1032768（GB）。 9. 在“创建密码”单击“立即创建”进行密码设置。您也可以保持默认的“稍后创建”选项，后续再进行“重置密码”操作，重新设置密码。 说明 密码规则：8～30 个字符，必须同时包含三项（大写字母、小写字母、数字、 ()~!@

本节介绍了续订企业版实例的用户指南。 1. 登录容器镜像服务控制台 。 2. 点击企业版实例的续订按钮。 3. 在续订页面选择续订时长。 4. 点击立即订购完成续订。

整机恢复 块级整机恢复 前置条件 1. 整机备份规则已生成备份记录和备份集。 2. 准备恢复目标主机。 使用引导镜像创建恢复目标客户端 1. 镜像制作 1. 进入++镜像服务++页面，按照流程引导开通对象存储并创建桶、上传镜像文件（上传镜像文件该步骤可忽略，MDR侧已提供镜像文件）、导入镜像后，完成镜像制作。其中： 2. 导入镜像：通过镜像文件创建私有镜像。 创建私有镜像时，镜像文件地址如下： 操作系统 华东1 华南2 西南1 西南2 centos、linux 普通压缩。压缩效果：普通压缩>极速压缩。综合考虑时间和效果，推荐使用极速压缩。 传输加密 选择是否启用传输加密。启用传输加密后，工作机在准备发送数据过程时使用加密算法和密钥加密数据，当灾备机收到数据后将执行解密操作再写入灾备机的本地存储。此选项默认不加密。 7. 确认配置后，点击“确认”后完成创建。 上述内容详情可参见多活容灾服务用户帮助手册数据定时灾备。

操作场景 定时任务是按照指定时间周期运行的短任务。使用场景为在某个固定时间点，为所有运行中的节点做时间同步。 定时任务是基于时间的Job，就类似于Linux系统的crontab，在指定的时间周期运行指定的Job，即： 在给定时间点只运行一次。 在给定时间点周期性地运行。 CronJob的典型用法如下所示： 在给定的时间点调度Job运行。 创建周期性运行的Job，例如数据库备份、发送邮件。 前提条件 已创建资源，具体操作请参见购买节点。若已有集群和节点资源，无需重复操作。 操作步骤 步骤 1 （可选）定时任务需要基于镜像创建，若选择私有镜像，用户首先需要将镜像上传至镜像仓库。 步骤 2 登录CCE控制台，在左侧导航栏中选择“工作负载 > 定时任务 CronJob”，单击“创建定时任务”。 步骤 3 参照下表配置定时任务基本信息，其中带“”标志的参数为必填参数。 参数 参数说明 任务名称 新建任务的名称，命名必须唯一。 请输入4到52个字符的字符串，可以包含小写英文字母、数字和中划线（），并以小写英文字母开头，小写英文字母或数字结尾。 容器集群 新建任务所在的集群。 命名空间 新建任务所在的命名空间。若不选择，默认配置为default。 任务描述 任务描述信息。 步骤 4 配置完成后，单击“下一步：定时规则”。 步骤 5 设置定时规则。 表定时规则参数 参数 参数说明 并发策略 支持如下三种模式： l Forbid：在前一个任务未完成时，不创建新任务。 l Allow：定时任务不断新建Job，会抢占集群资源。 l Replace：已到新任务创建时间点，但前一个任务还未完成，新的任务会取代前一个任务。 定时规则 指定新建定时任务在何时执行。 任务记录 可以设置保留执行成功或执行失败的任务个数，设置为0表示不保留。 步骤 6 单击“下一步：添加容器”，添加容器。 1. 单击“选择镜像”，选择需要部署的镜像。 − 我的镜像：展示了您创建的所有镜像仓库。 − 第三方镜像：CCE支持拉取第三方镜像仓库（即镜像仓库之外的镜像仓库）的镜像创建任务。使用第三方镜像时，请确保任务运行的节点可访问公网。第三方镜像的具体使用方法请参见如何使用第三方镜像。 若您的镜像仓库不需要认证，密钥认证请选择“否”，并输入“镜像地址”，单击“确定”。 若您的镜像仓库都必须经过认证（帐号密码）才能访问，您需要先创建密钥再使用第三方镜像，具体操作请参见如何使用第三方镜像。 − 共享镜像：其它租户通过“容器镜像服务”共享给您的镜像将在此处展示，您可以基于共享镜像创建工作负载。 2. 配置镜像参数。 参数 说明 镜像 导入的镜像，您可单击“更换镜像”进行更换。 镜像版本 选择需要部署的镜像版本。 容器名称 容器的名称，可修改。 容器规格 CPU 配额： 申请：容器需要使用的最小CPU值，默认0.25Core。 限制：允许容器使用的CPU最大值。建议设容器配额的最高限额，避免容器资源超额导致系统故障。 内存配额： 申请：容器需要使用的内存最小值，默认0.5GiB。 限制：允许容器使用的内存最大值。如果超过，容器会被终止。 申请和限制的具体请参见设置容器规格。 GPU 配额：当集群中包含GPU节点时，才能设置GPU，无GPU节点不显示此选项。 容器需要使用的GPU百分比。勾选“使用”并设置百分比，例如设置为10%，表示该容器需使用GPU资源的10%。若不勾选“使用”，或设置为0，则无法使用GPU资源。 GPU 显卡：工作负载实例将被调度到GPU显卡类型为指定显卡的节点上。 若勾选“不限制”，容器将会随机使用节点中的任一显卡。您也可以勾选某个显卡，容器将使用特定显卡。 3. （可选）高级设置。 参数 参数说明 生命周期 生命周期脚本定义，主要针对容器类任务的生命周期事件工作负载采取的动作。 启动命令：输入容器启动命令，容器启动后会立即执行。详细步骤请参见容器设置。 启动后处理：任务启动后触发。详细步骤请参见设置容器生命周期。 停止前处理：任务停止前触发。详细步骤请参见设置容器生命周期。 环境变量 在容器中添加环境变量，一般用于通过环境变量设置参数。在“环境变量”页签，单击“添加环境变量”。当前支持三种类型。 手动添加：输入变量名称、变量/变量引用。 密钥导入：输入变量名称，选择导入的密钥名称和数据。您需要提前创建密钥，具体请参见创建密钥。 配置项导入：输入变量名称，选择导入的配置项名称和数据。您需要提前创建配置项，具体请参见创建配置项。 4. （可选）一个任务实例包含1个或多个相关容器。若您的任务包含多个容器，请单击“添加容器”，再执行添加容器的操作。 步骤 7 设置完成后，单击“创建”。 待状态为“已启动”，定时任务创建成功。 使用kubectl创建CronJob CronJob的配置参数如下所示： .spec.schedule指定任务运行时间与周期，格式与Cron相同，例如“0 ”或“@hourly”。 .spec.jobTemplate指定需要运行的任务，格式与使用kubectl创建Job相同。 .spec.startingDeadlineSeconds指定任务开始的截止期限。 .spec.concurrencyPolicy指定任务的并发策略，支持Allow、Forbid和Replace三个选项。 − Allow（默认）：允许并发运行 Job。 − Forbid：禁止并发运行，如果前一个还没有完成，则直接跳过下一个。 − Replace：取消当前正在运行的Job，用一个新的来替换。 下面是一个CronJob的示例，保存在cronjob.yaml文件中。 apiVersion: batch/v1beta1 kind: CronJob metadata: name: hello spec: schedule: "/1 " jobTemplate: spec: template: spec: containers: name: hello image: busybox args: /bin/sh c date; echo Hello from the Kubernetes cluster restartPolicy: OnFailure 运行该任务，如下： 步骤 1 创建CronJob。 kubectl create f cronjob.yaml 命令行终端显示如下信息： cronjob.batch/hello created 步骤 2 执行如下命令，查看执行情况。 kubectl get cronjob NAME SCHEDULE SUSPEND ACTIVE LAST SCHEDULE AGE hello /1 False 0 9s kubectl get jobs NAME COMPLETIONS DURATION AGE hello1597387980 1/1 27s 45s kubectl get pod NAME READY STATUS RESTARTS AGE hello1597387980tjv8f 0/1 Completed 0 114s hello1597388040lckg9 0/1 Completed 0 39s kubectl logs hello1597387980tjv8f Fri Aug 14 06:56:31 UTC 2020 Hello from the Kubernetes cluster kubectl delete cronjob hello cronjob.batch "hello" deleted 须知： 删除CronJob时，对应的普通任务及相关的Pod都会被删除。 相关操作 定时任务创建完成后，您还可执行下表中的操作。 操作 操作说明 编辑YAML 单击定时任务名称后的“编辑YAML”，可修改当前任务对应的YAML文件。 停止定时任务 1. 选择待停止的任务，单击操作列的“停止”。 2. 单击“确定”。 删除定时任务 1. 选择待删除的任务，单击操作列的“删除”。 2. 单击“确定”。 任务删除后将无法恢复，请谨慎操作。

本节主要介绍OBS产品与其它服务的关系。 功能 相关服务 通过IAM服务实现以下功能： 用户身份鉴权 IAM用户权限设置 IAM委托设置 统一身份认证服务（Identity and Access Management，IAM） 标签用于标识OBS中的桶，以实现对OBS中的桶进行分类。 标签管理服务（Tag Management Service，TMS） 通过密钥管理KMS功能对上传到OBS中的文件进行加密。 数据加密服务（Data Encryption Workshop，DEW） OBS可以作为其他云服务的存储资源池，例如关系型数据库（RDS），镜像服务（IMS），云审计服务（CTS）等。

本节介绍密钥管理的功能优势。 服务集成广泛 与对象存储OBS、云硬盘EVS、镜像服务IMS等服务集成，用户可以通过KMS管理这些服务的密钥，还可以通过KMS API完成用户本地数据的加解密。 合规遵循 密钥由经过安全认证的第三方硬件安全模块（HSM）产生，对密钥的所有操作都会进行访问控制及日志跟踪，符合国际法律合规的要求。

服务未启动怎么办? • 检查是否已正确安装CoSpace专属镜像。 • 确认代码框架服务是否成功启动。 • 如问题持续，请联系技术支持或参考官方文档。 远程智控无响应怎么办? • 检查目标云电脑是否处于在线状态。 • 确认网络连接是否正常。 • 尝试重新建立连接或切换设备。

服务未启动怎么办? • 检查是否已正确安装CoSpace专属镜像。 • 确认代码框架服务是否成功启动。 • 如问题持续，请联系技术支持或参考官方文档。 远程智控无响应怎么办? • 检查目标云电脑是否处于在线状态。 • 确认网络连接是否正常。 • 尝试重新建立连接或切换设备。

本节主要介绍网关访问保留源IP 操作场景 服务通过网关访问时，默认情况下，目标容器中看到的不是客户端的源IP，如果需要保留源IP，请参考本节指导操作。 配置方法 请在CCE控制台“服务发现”页面，istiosystem命名空间下，更新服务所关联的网关服务，将服务亲和改成“节点级别”。前提是已开启ELB的获取客户端IP功能（当前为默认开启）。 externalTrafficPolicy：表示此Service是否希望将外部流量路由到节点本地或集群范围的端点。有两个可用选项：Cluster（默认）和Local。Cluster隐藏了客户端IP，可能导致第二跳到另一个节点，但具有良好的整体负载分布。Local保留客户端源IP并避免LoadBalancer和NodePort类型服务的第二跳，但存在潜在的不均衡流量传播风险。 验证方式 结合httpbin镜像在“xforwardfor”字段中可以看到源IP，httpbin是一个HTTP Request & Response Service，可以向他发送请求，他将会按照指定的规则将请求返回。httpbin镜像可在SWR中搜索。使用httpbin镜像进行验证时请确保集群已开通网格。 1. 登录ASM应用服务网格控制台，选择一个可用的测试网格并单击进入。 2. 选择左侧“网格配置”查看其关联的集群。 3. 单击集群名称进入集群详情页，单击对应集群右上角第三个图标“工作负载”进入“工作负载”页签。 4. 配置工作负载的信息。 5. 单击右下角“确定”完成服务创建。 6. 单击右下角“创建工作负载”完成工作负载创建。 7. 在集群详情页选择左侧“服务发现”页签，可在服务列表中查看到所创建的httpbin服务。 8. 返回ASM应用服务网格，选择左侧“服务管理”页签，在服务管理中可查看到httpbin的配置诊断显示为异常。 9. 单击此服务配置诊断中的“处理”按钮，按照弹出“配置诊断”页面对应的修复指导进行修复。 10. 选择左侧“网关管理”页签，单击右上角“添加网关”，在弹出“添加网关”页面输入配置信息。 11. 单击“确定”完成网关添加。 12. 选择左侧“服务管理”页签，可以在“访问地址”查看到所创建路由的外部访问地址。 13. 单击之前添加路由时设置映射的外部访问地址，可以在“xforwardfor”字段中查看网关获取的IP为容器段IP。 14. 返回集群详情页，选择左侧导航栏“服务发现”，更改服务所关联的网关服务的配置。方法如下： 下拉上方“命名空间”列表选择“istiosystem”。 展开服务后方“更多”选项，单击“更新”，在弹出“更新服务”页面将“服务亲和”更改为“节点级别”，单击“确定”。 15. 返回13中访问的外部地址并刷新，若设置之后“xforwardfor”字段中显示的网关获取IP的结果为本机源IP，则完成验证。