使用限制 Cubecni IPVLAN模式下，基于eBPF实现NetworkPolicy，有如下限制： 1. IP Blocks即使包含Pod地址，这些Pod地址也不会加入白名单，需通过PodSelector或NamespeceSelector选择Pod； 2. IP Blocks的except支持不佳，不建议使用except关键字； 3. 若配置egress规则，会限制Pod访问所在节点以及其上HostNetwork类型Pod，即使白名单配置了所在Host地址也无效。 使用示例 网络策略详细使用方式可参考Kubernetes社区文档，下文以Nginx应用为例，介绍使用方式。 准备示例应用 使用YAMl方式创建示例应用，YAML定义如下： a. 登录云容器引擎控制台，左侧导航栏选择集群； b. 在集群列表页面，单击目标集群名称，进入集群管理页面； c. 左侧导航栏，选择工作负载 > 无状态； d. 选择default命名空间，点击新增YAML ，默认为一Nginx示例，将image字段替换为{镜像拉取地址}/opensource/nginx:1.26alpineslim，点击保存； e. 等待服务启动完成。 示例一：限制服务只能被带有特定标签的应用访问 通过控制台操作如下： 1. 登录云容器引擎控制台，左侧导航栏选择集群； 2. 在集群列表页面，单击目标集群名称，进入集群管理页面； 3. 左侧导航栏，选择网络 > 网络策略 ，选择default命名空间，点击创建网络策略； 创建面板配置说明如下： 配置名 说明 示例 名称 网络策略的名称。 example1 Pod选择器 单击+ 选择工作负载添加标签，设置使用网络策略的Pod。 若不配置Pod选择器，则对命名空间下所有Pod生效。 示例设置如下： 设置工作类型为：Deployment 设置工作负载为：nginxdeployment 设置标签为：appnginx 来源 配置入站规则（igress）列表，用于声明谁可以访问目标Pod。每个列表项包含规则和端口。 每个规则表示一组允许的来源，若配置多个规则，则满足任一规则即允许访问。 规则： 1. podSelector：此选择器将在与NetworkPolicy相同的名字空间中选择特定的Pod，将其允许作为入站流量来源； 2. namespaceSelector：此选择器将选择特定的名字空间，将所有Pod用作其入站流量来源； 3. ipBlock：此选择器将选择特定的IP CIDR范围用作入站流量来源。 端口：支持TCP和UDP协议。 本示例不添加任何来源规则。 去向 配置出站规则（egress）列表，用于声明目标Pod可以访问哪些地址。每个列表项包含规则和端口。 每个规则表示一组允许的去向，若配置多个规则，则满足任一规则即允许访问。 规则： 1. podSelector：此选择器将在与NetworkPolicy相同的名字空间中选择特定的Pod，将其允许作为出站流量目的地； 2. namespaceSelector：此选择器将选择特定的名字空间，将所有Pod用作其出站流量目的地； 3. ipBlock：此选择器将选择特定的IP CIDR范围用作出站流量目的地。 端口：支持TCP和UDP协议。 本示例不添加任何去向规则。 4. 点击下一步 ，点击确认； 5. 在另一个命名空间（例如demo）部署demo服务（可使用Nginx镜像），登陆容器，测试与示例Nginx的通信。可见，网络策略没有允许demo服务访问，导致访问会超时： 6. 修改网络策略为允许demo服务访问，点击编辑，在来源右侧，单击+添加，规则设置如下： 配置名 示例值 选择器 namespaceSelector 命名空间 demo 标签 kubernetes.io/metadata.name: demo 点击下一步 ，点击确认； 7. 登陆容器，测试与示例Nginx的通信。可见，网络策略允许demo服务访问，访问正常：

本章节介绍如何基于消息队列RocketMQ实现全链路灰度 概述 本文介绍在使用消息队列（RocketMQ）这种异步场景下，可以在不修改业务代码的情况下，实现异步场景的灰度，从而实现全链路灰度。本文介绍基于消息队列RocketMQ实现全链路灰度。 背景介绍 在大多数业务场景中对于消息的灰度并没有RPC调用那么严格，但是当全链路灰度调用中涉及到消息消费时，如果消息消费没有按照全链路流量规则路由，则会导致通过消息产生的流量逃逸，从而破坏全链路规则，导致出现一些不符合预期的情况。 如下图所示，本文分别部署网关、appa、appagray、appb、appbgray、appc、appcgray以及RocketMQ，模拟一个真实的全链路灰度场景。 通过网关调用appa应用的接口，当满足路由规则后，灰度流量会被路由到appagray，appagray又会调用appbgray，随后由appbgray发送灰度消息，appcgray将会收到灰度消息，而appc不会收到灰度消息。 前提条件 1. 用户已开通微服务治理中心企业版。 2. 用户已开通云容器引擎。 3. 用户已部署RocketMQ，且RocketMQ版本在4.5.0以上，broker.conf中已配置enablePropertyFiltertrue。 部署Demo应用 准备自建入口网关msgczuul，准备应用msgcappa，msgcappb和msgcappc。调用过程是msgcappa –> msgcappb > msgcappc。 步骤1：在云容器引擎中安装微服务治理插件： 1. 登录“云容器引擎”控制台。 2. 在左侧菜单栏选择“集群”，点击目标集群。 3. 在集群管理页面点击“插件”“插件市场”，选择“cubems”插件安装。 步骤2：为应用开启微服务治理能力： 1. 登录“云容器引擎”控制台。 2. 左侧菜单栏选择“集群”，点击目标集群。 3. 在集群管理页面点击“工作负载”“无状态”，选择目标命名空间。 4. 在Deployment列表页选择指定Deployment，并点击“全量替换”，进入Deployment编辑页。 5. 在Deployment编辑页点击“显示高级设置”，新增“Pod标签”: mseCubeMsAutoEnable:on。 6. 在发布应用时，配置指定环境变量，可指定注入微服务治理中心的应用名、命名空间和标签等信息。 环境变量配置如下： 环境变量名 环境变量值 MSEAPPNAME 接入到微服务治理中心的应用名。 MSESERVICETAG 应用标签信息，如灰度应用可配置gray。 MSENAMESPACE（选填） 接入到微服务治理中心的命名空间，默认为：default。 7. 完成编辑后点击“提交”，重新发布容器即可接入。 appa应用的配置 基线： apiVersion: "apps/v1" kind: "Deployment" metadata: name: "appa" namespace: "default" spec: progressDeadlineSeconds: 600 replicas: 1 revisionHistoryLimit: 10 selector: matchLabels: name: "appa" template: metadata: labels: mseCubeMsAutoEnable: "on" name: "appa" spec: containers: env: name: "MSEAPPNAME" value: "appa" image: "镜像仓库域名/xxx/appa:latest" imagePullPolicy: "Always" name: "appa" ports: containerPort: 26160 livenessProbe: tcpSocket: port: 26160 initialDelaySeconds: 10 periodSeconds: 30 resources: limits: cpu: "1" memory: "1Gi" requests: cpu: "1" memory: "1Gi" 灰度： apiVersion: "apps/v1" kind: "Deployment" metadata: name: "appa" namespace: "default" spec: progressDeadlineSeconds: 600 replicas: 1 revisionHistoryLimit: 10 selector: matchLabels: name: "appa" template: metadata: labels: mseCubeMsAutoEnable: "on" name: "appa" spec: containers: env: name: "MSEAPPNAME" value: "appa" name: "MSESERVICETAG" value: "gray" image: "镜像仓库域名/xxx/appa:latest" imagePullPolicy: "Always" name: "appa" ports: containerPort: 26160 livenessProbe: tcpSocket: port: 26160 initialDelaySeconds: 10 periodSeconds: 30 resources: limits: cpu: "1" memory: "1Gi" requests: cpu: "1" memory: "1Gi" appb应用的配置 基线： apiVersion: "apps/v1" kind: "Deployment" metadata: name: "appb" namespace: "default" spec: progressDeadlineSeconds: 600 replicas: 1 revisionHistoryLimit: 10 selector: matchLabels: name: "appb" template: metadata: labels: mseCubeMsAutoEnable: "on" name: "appb" spec: containers: env: name: "MSEAPPNAME" value: "appb" image: "镜像仓库域名/xxx/appb:latest" imagePullPolicy: "Always" name: "appb" ports: containerPort: 26160 livenessProbe: tcpSocket: port: 26160 initialDelaySeconds: 10 periodSeconds: 30 resources: limits: cpu: "1" memory: "1Gi" requests: cpu: "1" memory: "1Gi" 灰度： apiVersion: "apps/v1" kind: "Deployment" metadata: name: "appb" namespace: "default" spec: progressDeadlineSeconds: 600 replicas: 1 revisionHistoryLimit: 10 selector: matchLabels: name: "appb" template: metadata: labels: mseCubeMsAutoEnable: "on" name: "appb" spec: containers: env: name: "MSEAPPNAME" value: "appb" name: "MSESERVICETAG" value: "gray" image: "镜像仓库域名/xxx/appb:latest" imagePullPolicy: "Always" name: "appb" ports: containerPort: 26160 livenessProbe: tcpSocket: port: 26160 initialDelaySeconds: 10 periodSeconds: 30 resources: limits: cpu: "1" memory: "1Gi" requests: cpu: "1" memory: "1Gi" appc应用的配置 基线： apiVersion: "apps/v1" kind: "Deployment" metadata: name: "appc" namespace: "default" spec: progressDeadlineSeconds: 600 replicas: 1 revisionHistoryLimit: 10 selector: matchLabels: name: "appc" template: metadata: labels: mseCubeMsAutoEnable: "on" name: "appc" spec: containers: env: name: "MSEAPPNAME" value: "appc" image: "镜像仓库域名/xxx/appc:latest" imagePullPolicy: "Always" name: "appc" ports: containerPort: 26160 livenessProbe: tcpSocket: port: 26160 initialDelaySeconds: 10 periodSeconds: 30 resources: limits: cpu: "1" memory: "1Gi" requests: cpu: "1" memory: "1Gi" 灰度： apiVersion: "apps/v1" kind: "Deployment" metadata: name: "appc" namespace: "default" spec: progressDeadlineSeconds: 600 replicas: 1 revisionHistoryLimit: 10 selector: matchLabels: name: "appc" template: metadata: labels: mseCubeMsAutoEnable: "on" name: "appc" spec: containers: env: name: "MSEAPPNAME" value: "appc" name: "MSESERVICETAG" value: "gray" image: "镜像仓库域名/xxx/appc:latest" imagePullPolicy: "Always" name: "appc" ports: containerPort: 26160 livenessProbe: tcpSocket: port: 26160 initialDelaySeconds: 10 periodSeconds: 30 resources: limits: cpu: "1" memory: "1Gi" requests: cpu: "1" memory: "1Gi" zuul应用的配置： apiVersion: "apps/v1" kind: "Deployment" metadata: name: "zuul" namespace: "default" spec: progressDeadlineSeconds: 600 replicas: 1 revisionHistoryLimit: 10 selector: matchLabels: name: "zuul" template: metadata: labels: mseCubeMsAutoEnable: "on" name: "zuul" spec: containers: env: name: "MSEAPPNAME" value: "zuul" image: "镜像仓库域名/xxx/zuul:latest" imagePullPolicy: "Always" name: "zuul" ports: containerPort: 26160 livenessProbe: tcpSocket: port: 26160 initialDelaySeconds: 10 periodSeconds: 30 resources: limits: cpu: "1" memory: "1Gi" requests: cpu: "1" memory: "1Gi"

本文主要介绍创建定时任务(CronJob) 。 操作场景 定时任务是按照指定时间周期运行的短任务。使用场景为在某个固定时间点，为所有运行中的节点做时间同步。 定时任务是基于时间的Job，就类似于Linux系统的crontab，在指定的时间周期运行指定的Job，即： 在给定时间点只运行一次。 在给定时间点周期性地运行。 CronJob的典型用法如下所示： 在给定的时间点调度Job运行。 创建周期性运行的Job，例如数据库备份、发送邮件。 前提条件 已创建资源，具体操作请参见创建节点。 通过控制台创建 步骤 1 登录CCE控制台。 步骤 2 单击集群名称进入集群，在左侧选择“工作负载”，在右上角单击“创建负载”。 步骤 3 配置工作负载的信息。 基本信息 负载类型：选择定时任务CronJob。工作负载类型的介绍请参见工作负载概述。 负载名称：填写工作负载的名称。 命名空间：选择工作负载的命名空间，默认为default。您可以单击后面的“创建命名空间”，命名空间的详细介绍请参见创建命名空间。 容器运行时：CCE集群默认使用普通运行时。 容器配置 容器信息 Pod中可以配置多个容器，您可以单击右侧“添加容器”为Pod配置多个容器。 基本信息：容器基本信息 生命周期：设置容器生命周期 环境变量：设置环境变量 容器日志：使用ICAgent采集容器日志 镜像访问凭证：用于访问镜像仓库的凭证，默认取值为defaultsecret，使用defaultsecret可访问SWR镜像仓库的镜像。defaultsecret详细说明请参见defaultsecret。 GPU显卡：默认为不限制。当集群中存在GPU节点时，工作负载实例可以调度到指定GPU显卡类型的节点上。

本章节主要介绍物理机实例概述。 实例概述 物理机实例即您创建的一台物理机服务器。不同实例类型提供不同的计算能力、存储空间、网络性能，您可以基于业务需求选择不同类型的实例。当天翼云向您交付一个实例时，您将获得这台服务器完整的控制权限，包括开机、关机、带内管理等。 实例类型 目前天翼云提供的物理机CPU，均为x86架构，根据业务需求选购不同配置的物理机服务器。 x86 V4实例（CPU采用Intel Broadwell架构） x86 V5实例（CPU采用Intel Skylake架构） x86 V6实例（CPU采用Intel Cascade Lake架构） 其他说明 基于本地盘的物理机服务器，系统盘默认RAID 1，数据盘默认直通盘。如果需要更改数据盘RAID配置，可以联系管理员变更。系统盘RAID不支持变配。 常用的RAID级别 RAID 0 RAID 0又称为条带化（Stripe）或分条（Striping），代表了所有RAID级别中最高的存储性能。RAID 0提高存储性能的原理是把连续的数据分散到多个硬盘上存取。这样，当系统有数据请求时就可以在多个硬盘上并行执行，每个硬盘执行属于它自己的那部分数据请求。这种数据上的并行操作可以充分利用总线的带宽，显著提高硬盘整体读写性能。但由于其没有数据冗余，无法保护数据的安全性，只能适用于I/O要求高，但数据安全性要求低的场合。 图1 RAID 0数据存储原理 RAID 1 RAID 1又称镜像（Mirror或Mirroring），即每个工作盘都有一个镜像盘，每次写数据时必须同时写入镜像盘，读数据时同时从工作盘和镜像盘读出。当更换故障盘后，数据可以重构，恢复工作盘正确数据。RAID 1可靠性高，但其有效容量减小到总容量一半以下，因此常用于对容错要求较高的应用场合，如财政、金融等领域。 图2 RAID 1数据存储原理 RAID 5 RAID 5是一种存储性能、数据安全和存储成本兼顾的存储解决方案。为保障存储数据的可靠性，采用循环冗余校验方式，并将校验数据分散存储在RAID的各成员盘上。当RAID的某个成员盘出现故障时，通过其他成员盘上的数据可以重新构建故障硬盘上的数据。RAID 5既适用于大数据量的操作，也适用于各种小数据的事务处理，是一种快速、大容量和容错分布合理的磁盘阵列。 图3 RAID 5数据存储原理 其中，PA为A0、A1和A2的奇偶校验信息，PB为B0、B1和B2的奇偶校验信息，以此类推。 RAID 6 在RAID 5的基础上，RAID 6增加了第二个独立的奇偶校验信息块。两个独立的奇偶系统使用不同的算法，数据的可靠性非常高，即使两块磁盘同时失效也不会影响数据的使用。但RAID 6需要分配给奇偶校验信息更大的磁盘空间，相对于RAID 5有更大的“写损失”，因此“写性能”较差。 图4 RAID 6数据存储原理 其中，PA为A0、A1和A2的第一个校验信息块，QA为第二个校验信息块；PB为B0、B1和B2的第一个校验信息块，QB为第二个校验信息块，以此类推。 RAID 10 RAID 10是将镜像和条带进行两级组合的RAID级别，即RAID 0＋RAID 1的组合形式，第一级是RAID 1，第二级是RAID 0。RAID 10是存储性能和数据安全兼顾的方案。它在提供与RAID 1一样的数据安全保障的同时，也提供了与RAID 0近似的存储性能。 图5 RAID 10数据存储原理 RAID 50 RAID 50被称为镜像阵列条带，即RAID 5 + RAID 0的组合形式。像RAID 0一样，数据被分区成条带，在同一时间内向多块磁盘写入；像RAID 5一样，也是以数据的校验位来保证数据的安全，且校验条带均匀分布在各个磁盘上。 图6 RAID 50数据存储原理 其中，PA为A0、A1和A2的奇偶校验信息，PB为B0、B1和B2的奇偶校验信息，以此类推。 RAID 60 RAID 60同RAID 50类似，数据采用镜像阵列条带分布方式，即RAID 6 + RAID 0的组合形式。像RAID 0一样，数据被分区成条带，在同一时间内向多块磁盘写入；像RAID 6一样，以两个数据校验模块来保证数据的安全，且校验条带均匀分布在各个磁盘上。 图7 RAID 60数据存储原理 其中，PA为A0、A1和A2的第一个校验信息块，QA为第二个校验信息块；PB为B0、B1和B2的第一个校验信息块，QB为第二个校验信息块，以此类推。

[ d /sys/firmware/efi ] && echo UEFI echo BIOS 若输出为bios，则是以bios方式启动；若输出为uefi，则是以uefi方式启动。 2. 执行如下命令，检查 /usr/lib/grub/目录下是否有i386pc文件夹。 [ d /sys/firmware/efi ] && echo UEFI echo BIOS 如没有i386pc文件夹，请执行步骤3；如有i386pc文件夹，执行命令 ls /usr/lib/grub/i386pc，检查i386pc文件夹是否为空。 3. 在源端云平台或天翼云平台，使用公共镜像，创建一台与源端服务器操作系统、系统版本相同的临时服务器。 4. 登录临时服务器，将临时服务器 /usr/lib/grub/ 目录下的整个i386pc文件夹 ，传输到源端服务器的 /usr/lib/grub/ 目录下（如源端服务器存在空的i386pc文件夹，请直接覆盖）。您可以使用 SCP，Rsync等方式进行传输。SCP传输示例： scp r /usr/lib/grub/i386pc username@xx.xx.xx.xx:/usr/lib/grub/ 5. 登录源端服务器，确认 /usr/lib/grub/ 目录下，已存在传输过来的i386pc文件夹，重新启动迁移Agent。 Linux操作系统，启动Agent时，提示：SMS.6563：File initrd or initramfs of the xxxx version not found under /boot directory. For solution, see SMS API Reference. Linux系统，启动迁移Agent时，出现提示：SMS.6563：File initrd or initramfs of the xxxx version not found under /boot directory. For solution, see SMS API Reference。出现该提示说明源端服务器缺少initrd或initramfs镜像文件。因部分云服务平台的服务器系统使用了定制内核，启动时使用了特定机制，不需要initrd或initramfs镜像文件也能正常启动。但天翼云平台服务器，缺少initrd或initramfs镜像文件，会导致启动失败。Initrd和Initramfs镜像文件作用基本相同，都是为系统提供内核启动需要的驱动。不同操作系统，使用的镜像文件不同，例如：Ubuntu操作系统使用的是Initrd镜像文件，格式为initrd.imgxxx，而部分Centos操作系统使用的是Initramfs镜像文件，格式为initramfsxxx.img。请在源端安装更新相应的镜像文件，重新启动迁移agent。

参数 是否必填 参数类型 说明 示例 下级对象 imageOid 是 String 镜像ID milm91642m8ukk1r7a6h7l5

本节介绍了推送和拉取Helm Chart的用户指南。 概述 本文介绍使用helm推送和拉取Chart的方法。 使用helm推送和拉取Chart 1. 需要使用Helm 3.7及以上客户端版本推送和拉取Chart。对于Helm 3.7版本，需要在环境变量中设置HELMEXPERIMENTALOCI以启用OCI试验性支持: plaintext export HELMEXPERIMENTALOCI1 对于Helm 3.8及以上版本无需进行此设置 2. 登录容器镜像服务实例 plaintext helm registry login u tester testregistryhuadong1.crs.ctyun.cn 登录的用户名和密码为开通实例时设置的用户名和密码，如果忘记密码，可以在访问凭证页面重置密码。 3. 创建Chart并制作压缩包 plaintext helm create test tar zcvf test.tgz test 4. 推送 Chart plaintext helm push test.tgz oci://testregistryhuadong1.crs.ctyun.cn/testChart 5. 拉取Chart plaintext helm pull oci://testregistryhuadong1.crs.ctyun.cn/testChart/test version 6.解压压缩包 plaintext tar xzvf test .tgz

本节介绍了查看云主机启动模板。 操作场景 在您创建云主机启动模板后，通过控制台进入云主机启动模板列表页与详情页，可以查看云主机启动模板的列表与详细信息。 操作步骤 1. 登录控制中心。 2. 单击控制中心顶部的，选择“地域”。 3. 单击左侧导航栏“产品服务列表”，选择“计算 >弹性云主机 > 云主机启动模板”，进入云主机启动模板控制列表页。您可以查看启动模板名称、管理的镜像、规格等基本信息。 4. 在云主机启动模板列表页，点击目标模板名称，即可跳转至该启动模板的详情页，可以进一步查看模板中配置的详细信息。 5. 部分情况下，实例模板中的配置可能被删除或已不可用，此时在实例模板详情页中将进行相关提醒。 提示语 出现的原因 资源已被删除 当前模板中选中的资源已被删除 资源不可用 当前资源已经停止服务 当前资源无权限访问 IAM侧用户的权限被调整，当前用户无权限使用此资源

服务端的服务异常，重启后，需要多久重新检查服务？ 在系统配置管理后台下对系统异常服务重启之后，等待23分钟后再点击“重新检查”按钮。 资产清点能对系统的账号梳理到什么程度？ 在梳理范围上，系统可以清点所有账号，包括隐藏、禁用的账号，同时支持账号变化的监控，可以查询在安装Agent后，新增、修改、删除的账号数据。 在梳理的内容上，系统可清点每个账号的如下关键信息：账号状态，gid,uid，账号shell，Home目录，登录相关信息（账号最后登录时间，终端，来源IP等），sudo权限信息，key登录相关信息，密码相关信息（密码期限，密码修改天数，密码告警，可修改天数）等各类账号信息。 数据更新什么频率？通过什么方法更新？ 资产的信息是一天更新一次，只做增量的更新。漏洞库等的更新基本上是每个月或者半个月更新一次，遇到重大的漏洞会在24小时内做POC验证，然后推给客户，可以在线更新或者客户离线手动导入。 风险发现下安全补丁和漏洞支持一键修复吗？ 安全补丁和漏洞修复要遵循科学的风险运营周期方法论，从发现安全补丁和漏洞，要进行POC测试验证，验证修复对系统和业务的影响，确保万无一失后，再进行灰度上线。同时，考虑到一键修复和批量修复过程中对于系统和业务影响属于已知的未知风险，除非有备份的系统或镜像可以恢复，即可降低风险发生造成的损失，因此不支持一键修复。

本章节介绍如何使用云服务备份完成ECS的整机备份和恢复。 场景描述 如果您的业务数据同时保存在数据盘和系统盘中，当ECS整机发生系统故障或者错误操作时，您可以通过云服务备份的备份和恢复功能，实现业务应用版本回退。本文详细介绍整机恢复场景的相关内容。 方案优势 · 当发生病毒入侵、人为误删除、软硬件故障等事件，支持将数据恢复到任意备份点，使系统正常运行。 · 备份的同一个ECS主机下的所有磁盘数据具有一致性，即同时对所有云硬盘进行备份，不存在因备份创建时间差带来的数据不一致问题。 前提条件 在进行本文操作之前，您需要完成以下准备工作： · 请确保弹性云主机在备份前已完成如下操作： Linux弹性云主机优化并安装Cloudinit工具 Windows弹性云主机优化并安装Cloudbaseinit工具 · 创建镜像前备份的状态必须为“可用”，或者状态为“创建中”并在备份状态列显示“可用于创建镜像”时，才允许执行创建镜像操作。 · 用于数据恢复的备份必须包含系统盘的备份。 解决方案 步骤1：创建云主机备份 1、参照云服务备份操作指导章节，完成存储库的创建，用于创建云主机备份。 2、假设云主机A的数据盘中存放了数据：datadisk.txt，系统盘中存放了数据：systemdisk.txt，如下图所示 3、将需要迁移的云主机A绑定至存储库，参照云主机备份创建指导完成该云主机的全量备份。 4、执行备份成功后，在“备份副本”页签，查看产生的备份状态为“可用”，表示当前备份任务执行成功。 步骤2：删除/新增数据，模拟灾难场景 1、登录天翼云管理控制台。远程登陆云主机，或者使用远程桌面访问对应云主机。 2、删除系统盘和数据盘中准备的数据，新增文件和数据如下图所示： 步骤3：整机恢复 1、登录天翼云管理控制台。选择“存储 > 云服务备份”。进入云主机备份页面。 2、在“备份副本”页签下，选中创建成功的备份副本，单击操作列“恢复数据”，进入恢复云主机的向导页面，按需选择对应选项，点击确定。 3、在备份控制台的“任务”页签下，查看恢复任务状态，状态成功后即恢复完成。 步骤4：数据验证 1.登录天翼云管理控制台。远程登陆云主机，或者使用远程桌面访问对应云主机。查看对应数据，如下图所示，已恢复至对应时间点数据状态：

本文主要介绍分布式消息服务RabbitMQ的约束与限制。 分布式消息服务RabbitMQ在某些功能存在一些约束和限制，详细如表1所示。 表1 RabbitMQ使用约束和限制 限制项 约束和限制 描述 版本 当前服务端版本为3.8.35。 兼容AMQP 091协议的客户端版本。 连接数 RabbitMQ单机和集群实例，不同实例规格的连接数上限不一致，具体限制，请参考产品规格。 通道数 5GB 磁盘剩余空间低于5GB会触发磁盘高水位，生产者流程被阻塞。 clusterpartitionhandling pauseminority 当集群发生网络分区时，代理会检查自己是否处于“少数派”（存储分区的代理数小于等于总代理数的一半称为少数派）。少数派中的代理将会自动关闭服务并定期检测网络状态，待分区恢复之后重新启动服务。如果未开启镜像队列，发生分区时少数派上的队列将无法生产消费。此策略相当于放弃了可用性而选择了数据一致性。 rabbitmqdelayedmessageexchange 插件延迟时间存在1%左右的误差，可能提前或者推迟发送消息给消费者。 实例是否开启消息延迟功能。 RabbitMQ插件 RabbitMQ插件功能可用于测试和迁移业务等场景，不建议用于生产业务。 RabbitMQ实例主要提供AMQP 091业务消息的功能，兼容相关协议的Vhost、Exchange等组件。插件相关内容为非核心功能，不建议用于生产业务。

本节介绍了安装一键式重置密码插件(Linux)的操作场景、安装须知、前提条件、操作步骤。 操作场景 为了保证使用私有镜像创建的新云主机可以实现一键式重置密码功能，建议您在创建私有镜像前安装密码重置插件CloudResetPwdAgent。 使用公共镜像创建的云主机，默认已经安装密码重置插件，不需要执行安装操作。 使用外部镜像文件创建的云主机，请按照指导安装密码重置插件。 说明： 可选操作。如需使用控制台提供的一键式重置密码功能，请按照本节指导安装插件。 安装须知 用户自行决定是否安装CloudResetPwdAgent插件，使云主机具备一键式重置密码功能。 支持安装一键式重置密码插件的操作系统版本如下表所示。 支持安装一键式重置密码插件的操作系统版本 操作系统类型 操作系统版本 :: CentOS CentOS 7.3 64bit CentOS 7.2 64bit CentOS 7.0 64bit CentOS 7.1 64bit CentOS 6.9 64bit CentOS 6.8 64bit CentOS 6.8 32bit CentOS 6.6 32bit CentOS 6.6 64bit CentOS 6.5 64bit CentOS 6.4 64bit CentOS 6.3 64bit Debian Debian 9.0 64bit Debian 8.8 64bit Debian 8.2 64bit Debian 7.5 64bit Debian 7.5 32bit openSUSE openSUSE 42.2 64bit openSUSE 13.2 64bit openSUSE Leap 42.2 64bit openSUSE Leap 42.1 64bit SUSE SUSE 12 SP2 64bit SUSE 12 SP1 64bit SUSE 11 SP4 64bit Ubuntu Ubuntu 16.10 32bit Ubuntu 16.04 32bit Ubuntu Server 16.04 64bit Ubuntu Server 14.04 64bit Ubuntu Server 14.04 32bit EulerOS EulerOS 2.2 64bit Fedora Fedora 25 64bit Fedora 24 64bit Oracle Linux Oracle Linux 7.3 64bit Oracle Linux 6.9 64bit Oracle Linux 6.5 64bit

本小节介绍SSL VPN的操作类问题。 SSL VPN是怎么管理配置的？ 怎么申请免费试用的SSL VPN序列号？ SSL VPN常用的端口有哪些？ SSL VPN支持哪些客户端操作系统来拨入SSL VPN隧道？ MacOS接入SSL VPN的注意事项？ 是否可以简单执行ping route等网络命令来测试网络连通性？ SSL VPN镜像的云主机上是否可以再安装其他的业务服务或插件？ Web资源、TCP资源和L3VPN资源的区别？ 配置发布资源后，为什么有些电脑上有获取到虚拟IP地址，有些电脑上获取不到一样可以正常访问到资源？ 配置发布资源后，客户端电脑拨入SSL VPN隧道访问不到发布的业务服务器？ 手机平板接入SSL VPN的注意事项有哪些？ SSL VPN客户端默认的接入端口为何无法访问？ 客户端环境诊断修复工具？ [找回密码功能是否必须启用短信认证？可以支持邮件方式吗？](

参数 参数类型 说明 示例 下级对象 name String 容器名 test image String 容器镜像 nginx:latest imagePullPolicy String 容器镜像拉取策略 Always cpu Float 容器CPU大小 1 memory Float 容器Memory大小 2 gpu Float 容器GPU卡数 1 command Array of Strings 容器启动命令 /bin/sh args Array of Strings 容器启动参数 []string{"c","/app"} ports Array of Objects 容器端口 port environmentVar Array of Objects 容器环境变量 environmentVar livenessProbe Object 容器存活探针 livenessProbe readinessProbe Object 容器就绪探针 readinessProbe lifecycle Array of Objects 生命周期 lifecycle previousState Array of Objects 之前状态 state currentState Array of Objects 当前状态 state 表 port

备份方式 备份对象 备份方式 备份时间 回滚时间 说明 etcd数据备份 etcd数据 升级流程中自动备份 15min 2h 必选备份，升级过程中自动进行，用户无需关注 CBR整机备份 控制节点磁盘，包括组件镜像、配置、日志以及etcd数据 通过页面一键备份（手动触发） 20min2h（受当前区域云备份任务排队情况影响） 20min 该功能逐步由EVS快照备份替代 EVS快照备份 控制节点磁盘，包括组件镜像、配置、日志以及etcd数据 通过页面一键备份（手动触发） 15min 20min 该功能上线中 对于已上线的区域，EVS快照备份将替代CBR整机备份

docker源配置指导请参考：dockerce镜像源配置文档

本文为您介绍如何使用虚拟IP和keepalived搭建主备双机,实现业务高可用。 虚拟IP（VIP）主要用于弹性云服务器的主备切换，达到高可用性的目的。如果主ECS实例发生故障，备用ECS实例会自动调用自身的接管程序，接管主ECS实例的虚拟IP资源及服务，实现业务高可用。 前提准备 实例镜像及vm实例已创建且能登录互通。 配置步骤 本场景整体操作流程如下： 步骤一：创建虚拟IP 虚拟IP是一种可以独立创建和释放的私网IP资源。弹性云服务器绑定虚拟IP后，弹性云服务器可以通过使用ARP协议进行该IP的宣告。 本文以可用区资源池华东1为例： 1、登录管理控制台。 2、选择“服务列表 > 网络 > 虚拟私有云”。 3、在左侧导航栏选择“子网”。 4、在“子网”列表中，单击子网名称。 5、在“虚拟IP”页签中，单击“申请虚拟IP地址”，根据界面提示配置参数。 步骤二：申请所需云资源 1、登录管理控制台。 2、选择“服务列表 > 计算 > 弹性云主机”，购买弹性云服务器。 3、选择“服务列表 > 网络 > 弹性IP”申请EIP（根据是否有访问公网业务需求来购买）。 步骤三：在主备弹性云服务器上安装keepalived 本示例介绍如何部署keepalived 和nginx进程。 1、登录ECS1实例。具体操作，请参见弹性云主机。 2、在portnouqagnspx 所在的实例中启动keepalived服务。 > 2.1 安装keepalived > yum install y keepalived > 2.2 修改配置文件，并启动服务。 > 1. vi /etc/keepalived/keepalived.conf > 2. 清除文件内容 > 3. 每个server填入各自配置 server1： ! Configuration File for keepalived globaldefs { routerid myrouter vrrpgarpinterval 3 vrrpgnainterval 3 } vrrpinstance VI1 {

磁盘状态 状态描述 支持的操作 正在使用 磁盘已挂载给云主机，正在使用中。 卸载 备份 说明： 当共享磁盘处于“正在使用”状态时，支持挂载操作。 可用 磁盘创建成功，还未挂载给任何云主机，可以进行挂载。 挂载 扩容 删除 正在创建 磁盘处于正在创建的过程中。 正在挂载 磁盘处于正在从云主机卸载的过程中。 正在卸载 磁盘处于正在从云主机卸载的过程中。 正在删除 磁盘处于正在删除的过程中。 正在扩容 磁盘处于正在扩容的过程中。 正在上传 磁盘数据正在被上传到镜像中。此状态出现在从云主机创建镜像的操作过程中。 正在下载 正在从镜像下载数据到磁盘。此状态出现在创建云主机的操作过程中。 错误 磁盘在创建过程中出现错误。 删除 删除失败 磁盘在删除过程中出现错误。 不能进行任何操作 扩容失败 磁盘在扩容过程中出现错误。 删除

本文为您介绍创建相同配置实例的使用场景和操作流程。 操作场景 对于已购买成功的弹性云主机，如需再次购买相同配置的，建议您基于已创建的云主机，使用“创建相同配置”功能，快速购买同一配置的弹性云主机，即主机规格、磁盘个数和大小、镜像等配置都相同的云主机。 操作步骤 1. 登录控制中心。 2. 单击控制中心顶部的，选择“地域”。 3. 单击左侧导航栏“产品服务列表”，选择“计算 > 弹性云主机”。 4. 选择目标弹性云主机，并单击“操作”列下的“更多 > 创建相同配置”。 5. 在打开的主机订购页面中，会自动按照已选的云主机的参数配置好相同的参数（除公网弹性IP外），您可以直接订购，也可以修改参数。 说明 弹性IP信息需要单独配置。

计算资源规划 表2 计算资源规划表 资源类型 配置项 配置明细 说明 :::: 弹性云主机 计费模式 按需计费 根据计算资源使用规划，合理选择“包年/包月”或“按需计费” 弹性云主机 区域 苏州 本最佳实践全部资源部署在苏州资源池 弹性云主机 可用分区 可用区3 根据资源节点的剩余资源情况，选择不同可用区 弹性云主机 规格 c6.large.2 2vCPUs 4GiB 根据业务使用、未来发展，以及IPv4/IPv6双栈能力需要，可选择不同云主机规格 弹性云主机 镜像 公共镜像 CentOS8.0 根据业务使用、未来发展需要，可选择不同系统镜像类型与版本 弹性云主机 系统盘 普通IO 40GB 根据业务使用、未来发展需要，可选择不同系统盘规格 弹性云主机 网络 VPC：VPCEIP.SBWTEST 子网：SUBNETEIPTEST001 自动分配IP地址 自动分配IPv6地址，IPv6地址带宽选择共享带宽BANDWIDTHEIP.SBWTEST 根据业务需要，分配VPC与子网信息 弹性云主机 安全组 “SGEIP.SBWTEST” 根据网络、业务的访问控制策略与要求，配置相应安全组 弹性云主机 弹性IP 不使用 弹性云主机 云主机名称 云主机弹性IP共享带宽测试实例 根据业务规划创建 弹性云主机 用户名 root 弹性云主机 密码 XXXXXXXX 根据保密需要，自定义密码

数据盘加密场景 数据盘可以跟随弹性云主机一起购买，也可以单独购买。数据盘是否加密主要涉及如下场景： 购买方式 数据源 说明 随弹性云主机一起购买数据盘 不选择数据源 随弹性云主机一起购买的空白数据盘，可以选择加密或不加密。 创建完成后不可更改加密属性。 单独购买数据盘 不选择数据源 创建的空白数据盘，可以选择加密或不加密。 创建完成后不可更改加密属性。 单独购买数据盘 从备份创建（备份源云硬盘加密） 通过加密云硬盘创建的备份属性为加密。 使用加密备份作为数据源创建的云硬盘继承备份的加密属性和加密密钥。 单独购买数据盘 从备份创建 （备份源云硬盘未加密） 通过未加密云硬盘创建的备份为未加密备份。 使用未加密备份作为数据源创建的云硬盘未加密。 单独购买数据盘 从快照创建（快照源云硬盘加密） 通过加密云硬盘创建的快照为加密快照。 使用加密快照作为数据源创建的云硬盘继承快照的加密属性和加密密钥。 单独购买数据盘 从快照创建 （快照源云硬盘未加密） 通过未加密云硬盘创建的快照为未加密快照。 使用未加密快照作为数据源创建的云硬盘未加密。 单独购买数据盘 从镜像创建 （数据盘镜像不支持加密） 仅未加密云硬盘可以创建数据盘镜像。 使用未加密镜像作为数据源创建的云硬盘未加密。

创建CSV云主机 您可以通过控制台或OpenAPI创建具备CSV特性的安全增强计算型云主机hc4t和安全增强内存型云主机hm4t。 通过控制台创建CSV云主机 在控制台创建机密计算云主机的步骤与创建普通云主机一样，但需要注意选择特定规格，即支持海光CSV特性的云主机规格。请参见：++创建弹性云主机弹性云主机快速入门 天翼云++ 1. 登录天翼云，点击页面右上方“控制中心”，进入控制台。 2. 单击管理控制台左上角的，选择区域，此处我们选择华北2。 3. 点击计算弹性云主机进入创建云主机页面。 4. 单击右上角创建云主机进入云主机购买页面，按照以下配置创建云主机。 配置项 说明 实例规格 仅hc4t、hm4t规格支持CSV功能。 镜像 选择CTyunOS V4.0 25.07 64 位(40GB)镜像。 5. 根据界面提示，完成海光CSV云主机创建。 通过OpenAPI创建CSV云主机 您可以调用++创建一台按量付费或包年包月的云主机++创建CSV云主机，需要注意的参数如下表： 参数 说明 示例 flavorName 指定支持CSV功能的实例规格，当前仅 hc4t、hm4t规格支持。 hc4t.large.2 imageID 指定支持CSV的镜像ID，当前仅CTyunOS V4.0 25.07 64 位(40GB)镜像支持。 4636d1df82c24db89fff6a20e0af1c5f

本文主要介绍XEN实例迁移最佳实践。 背景信息 当前天翼云上XEN实例已经停售（详情可见XEN实例停止售卖说明及常见问题），建议还在使用XEN实例的客户迁移至更新的产品系列上，以获取更优的性能，以及更高的可靠性。 迁移准备 如何判断是否在使用XEN实例 可以通过判断当前使用的规格名称，来确定自己是否在使用XEN实例。 当前XEN实例的规格名称包括：C1、C2、S1、M1型弹性云主机。 驱动安装 如果当前XEN实例使用的是Linux镜像，可参考以下方案中的步骤安装驱动。 XEN实例变更为KVM实例（Linux自动配置）中的步骤1~步骤2 XEN实例变更为KVM实例（Linux手动配置）中的步骤1~步骤3 XEN实例变更为KVM实例（Linux批量自动配置）中的步骤1~步骤2 如果当前XEN实例使用的是Windows镜像，可参考以下方案中的步骤安装驱动。 XEN实例变更为KVM实例（Windows）中的步骤1~步骤3 迁移过程 如果当前XEN实例使用的是Linux镜像，请参考XEN实例变更为KVM实例（Linux自动配置）中的步骤3来进行规格变更。 如果当前XEN实例使用的是Windows镜像，请参考XEN实例变更为KVM实例（Windows）中的步骤4来进行规格变更。

创建CSV云主机 您可以通过控制台或OpenAPI创建具备CSV特性的安全增强计算型云主机hc4t和安全增强内存型云主机hm4t。 通过控制台创建CSV云主机 在控制台创建机密计算云主机的步骤与创建普通云主机一样，但需要注意选择特定规格，即支持海光CSV特性的云主机规格。请参见：++创建弹性云主机弹性云主机快速入门 天翼云++ 1. 登录天翼云，点击页面右上方“控制中心”，进入控制台。 2. 单击管理控制台左上角的，选择区域，此处我们选择华北2。 3. 点击计算弹性云主机进入创建云主机页面。 4. 单击右上角创建云主机进入云主机购买页面，按照以下配置创建云主机。 配置项 说明 实例规格 仅hc4t、hm4t规格支持CSV功能。 镜像 选择CTyunOS V4.0 25.07 64 位(40GB)镜像。 5. 根据界面提示，完成海光CSV云主机创建。 通过OpenAPI创建CSV云主机 您可以调用++创建一台按量付费或包年包月的云主机++创建CSV云主机，需要注意的参数如下表： 参数 说明 示例 flavorName 指定支持CSV功能的实例规格，当前仅 hc4t、hm4t规格支持。 hc4t.large.2 imageID 指定支持CSV的镜像ID，当前仅CTyunOS V4.0 25.07 64 位(40GB)镜像支持。 4636d1df82c24db89fff6a20e0af1c5f

本文主要介绍集群系统密钥说明。 CCE默认会在每个命名空间下创建如下密钥。 defaultsecret paas.elb defaulttokenxxxxx（xxxxx为随机数） 下面将详细介绍这个几个密钥的用途。 defaultsecret defaultsecret的类型为kubernetes.io/dockerconfigjson，其data内容是登录SWR镜像仓库的凭据，用于从SWR拉取镜像。在CCE中创建工作负载时如果需要从SWR拉取镜像，需要配置imagePullSecrets的取值为defaultsecret，如下所示。 apiVersion: v1 kind: Pod metadata: name: nginx spec: containers: image: nginx:alpine name: container0 resources: limits: cpu: 100m memory: 200Mi requests: cpu: 100m memory: 200Mi imagePullSecrets: name: defaultsecret defaultsecret的data数据会定期更新 ， 且当前的data内容会在一定时间后会过期失效 。您可以使用describe命令在defaultsecret的中查看到具体的过期时间，如下所示 注意 在使用时请直接使用defaultsecret，而不要拷贝secret内容重新创建，因为secret里面的凭据会过期，从而导致无法拉取镜像。 $ kubectl describe secret defaultsecret Name: defaultsecret Namespace: default Labels: secretgeneratedbycce Annotations: temporaryakskexpiresat: 20211126 20:55:31.380909 +0000 UTC Type: kubernetes.io/dockerconfigjson Data .dockerconfigjson: 347 bytes paas.elb paas.elb的data内容是临时AK/SK数据，用于创建Service和Ingress时创建ELB，paas.elb的data数据同样会定期更新，且在一定时间后会过期失效。 实际使用中您不会直接使用paas.elb，但请不要删除paas.elb，否则会导致创建ELB失败。

参数 参数类型 描述 uuid String 弹性云主机的ID。 availabilityzone String 弹性云主机所在可用区。 meta Dict 元数据信息，包括镜像名称、镜像ID、VPC ID等信息。 hostname String 弹性云主机主机名。请参考以下链接为弹性云主机去掉后缀.novalocal:

本文为您介绍Linux系统重启后/etc/hosts自动添加主机名解析的处理方法。 问题描述 重启使用 Linux 系统的云主机后发现 /etc/hosts 文件被全部重写或被添加了主机名和回环地址（例：127.0.0.1、127.0.1.1）的解析，导致域名解析不符合预期或出现问题。 问题原因 云平台 Linux 镜像中的一个核心组件是 cloudinit。作为开源的云初始化程序，cloudinit 主要用于对主机名、初始密码等一些自定义信息进行初始化配置。若 cloudinit 配置中存在对 manageetchosts 的配置，则 cloudinit 会根据具体配置值决定如何调整 /etc/hosts 文件。公共镜像默认不启用 cloudinit 对 /etc/hosts 的修改功能，即 manageetchosts 不做配置或配置为 false（默认值）。若您使用了公共镜像并修改了 cloudinit 配置或使用了私有镜像，则可参考此指导来尝试解决问题。 问题排查思路 /etc/hosts 文件被全部重写可能是因为 cloudinit 配置中将 manageetchosts 配置成了true（若您安装的 cloudinit 版本低于22.3，则还可能是配置成了 template）。此时，cloudinit 会根据/etc/cloud/templates/hosts.tmpl 来重写 /etc/hosts 文件。 而 /etc/hosts 文件被添加主机名解析可能是因为 cloudinit 配置中将 manageetchosts 配置成了 localhost。 解决步骤 1. Cloudinit 配置文件是 /etc/cloud/cloud.cfg，您可能还将自定义配置放于 /etc/cloud/cloud.cfg.d/ 目录下。搜索包含 manageetchosts 配置的文件可使用以下命令： grep rn ‘manageetchosts’ /etc/cloud/ 返回结果示例： 2. 以上述返回结果为例，可以看到在/etc/cloud/cloud.cfg 文件中的第20 行将 manageetchosts 配置成了 localhost，此时您需要修改 cloud.cfg 中的 manageetchosts 配置，即： 原文：manageetchosts: localhost 修改后：

网络配置 可以访问公网，如果存在防火墙且出方向流量存在限制，则需进行放行，允许连接器可以访问公网的TCP 443端口、UDP 53端口和UDP xxx端口，具体端口号请在生成连接器后的页面获取。 其中出方向流量指连接器需对外进行连通，安装连接器后并不会产生公网端口暴露。 为保障访问连接高可用，建议您一个连接器集群安装并启动至少2个服务器或虚拟机。 Docker环境安装指导 零信任连接器当前支持多种部署方式，若您选择Docker方式，且所需部署的服务器没有Docker环境，可以按照如下方式部署Docker环境： 1. 安装必要的一些系统工具： sudo yum install y yumutils devicemapperpersistentdata lvm 2. 添加软件源信息，请选择合适的docker镜像源，以下命令行请补充替换docker源地址后使用： sudo yumconfigmanager addrepo docker源地址 3. 以下命令行请补充替换docker源地址后使用： sudo sed i 's+download.docker.com+docker源地址/dockerce+' /etc/yum.repos.d/dockerce.repo 4. 更新并安装DockerCE： sudo yum makecache fast sudo yum y install dockerce 5. 开启Docker服务 sudo service docker start 6. 开启Docker服务开机自启动 sudo systemctl enable docker

升级备份说明 目前集群升级备份方式如下： 备份方式 备份对象 备份方式 备份时间 回滚时间 说明 etcd数据备份 etcd数据 升级流程中自动备份 15min 2h 必选备份，升级过程中自动进行，用户无需关注 CBR整机备份 控制节点磁盘，包括组件镜像、配置、日志以及etcd数据 通过页面一键备份（手动触发） 20min2h（受当前区域云备份任务排队情况影响） 20min 该功能逐步由EVS快照备份替代 EVS快照备份 控制节点磁盘，包括组件镜像、配置、日志以及etcd数据 通过页面一键备份（手动触发） 15min 20min 该功能上线中 对于已上线的区域，EVS快照备份将替代CBR整机备份

本节主要介绍CSE仪表盘中数据通过ServiceStage对接到AOM 业务场景 部署到微服务引擎的Java Chassis应用，在微服务引擎仪表盘上的实时监控数据默认保留5分钟。如果需要持久化存储历史监控数据用于后续查询分析，可以使用ServiceStage的自定义指标监控功能，将微服务显示到微服务引擎仪表盘中的数据对接到AOM。 本章节以Docker部署应用为例，指导您完成将微服务引擎仪表盘中的数据通过ServiceStage对接到AOM。 操作步骤 1、添加依赖。 在开发环境中，打开需要持久化存储历史监控数据的应用项目，在微服务pom文件中添加如下依赖： org.apache.servicecomb metricscore org.apache.servicecomb metricsprometheus 2、发将添加依赖后的应用项目重新编译打包并上传。 将重新打包制作的容器镜像上传至SWR软件仓库。 3、部署应用组件。 新部署组件，请执行步骤4。 已部署组件，请执行步骤5。 4、在组件部署过程中的“组件配置”界面，选择“高级设置 > 运维监控 > 自定义指标监控”，填写下列参数： 参数名称 参数值 上报路径 /metrics 上报端口 9696 组件部署成功后，执行步骤7。 5、更新已部署组件来源，选择步骤2中打包并上传SWR的容器镜像。 6、对接监控指标到AOM。 1. 登录ServiceStage控制台，选择“应用管理 > 应用列表”。 2. 单击组件所在应用名称，进入应用“概览”页。 3. 在“环境视图”页签，选择部署了组件的“环境”。 4. 单击组件名称，进入组件实例“概览”页。 5. 单击“更新升级”。 6. 选择“高级设置 > 运维监控 > 自定义指标监控”，填写下表参数： 参数名称 参数值 上报路径 /metrics 上报端口 9696 7. 单击“重新部署”，等待组件重新部署成功。 7、在AOM中查看监控指标并导出监控数据。

存储挂载 1. 可将科研文件目录挂载至 Docker 容器，实现开发机与容器双向读写。例如docker run v /home/datasetassist0/:/data 镜像名称 端口暴露 1. 您可使用docker run p 开发机端口:容器端口，将容器端口暴露到开发机上，方便多个容器、开发机间网络通信。 2. 您可使用docker run p 8000:容器端口并开启开发机的对外端口功能，将容器中的服务暴露到互联网上定向访问。 Tips 1. 启用docker后开发机将自动提供docker和dockercompose命令，无需手动安装docker。 2. Docker数据存储在本地盘中，若创建本地盘时开启本地盘持久化，开发机重启docker数据不会丢失，可直接docker start原有容器。 3. 若需使用dockercompose，建议将项目（dockercompose.yml所在目录）存放在科研文件中，否则dockercompose up时容器无法读取项目中指定路径的文件。 常见问题 1. 提示Cannot connect to the Docker daemon at unix:///var/run/docker.sock. Is the docker daemon running? 您使用sudo或root用户执行docker会缺失环境变量，可使用默认用户batchcom的bash执行docker命令即可正常使用。 您也可以手动配置环境变量修复，可在正常使用的环境下执行printenv grep i DOCKER，查看所要配置的环境变量。 2. 启动容器后输入nvidiasmi提示无命令 （1）确保启动开发机时有将GPU卡分配给docker。 （2）请先确认docker run时是否配置了—gpus参数，例如 gpus '"device'"$DOCKERNVIDIAVISIBLEDEVICES"'"' 或 –gpus all （3）若您的可用区是南京或中卫 ，可尝试将启动命令改为docker run runtimenvidia e "NVIDIAVISIBLEDEVICES${DockerGPUIDX}" 镜像名称 3. 提示Error response from daemon: authorization denied by plugin ehub.ctcdn.cn/bcops/opadockerauthzv2:0.1: request rejected by administrative policy 原因：由于安全管控，非白名单操作无法执行。若为启动容器时提示，请调整启动参数，去除需要系统高级权限相关的参数。

注意事项 1、版本升级策略说明 云容器引擎集群使用kubernetes的官方工具kubeadm升级集群，单次升级只能升级一个次要版本。例如，Kubernetes版本为v1.23.3的云容器引擎集群升级到v1.25.6时，需要进行两次集群升级，即先升级到v1.24.17版本，再升级到v1.25.6版本。其中v1.24.17版本为过渡版本，云容器引擎并未提供正式的版本支持，用户需尽快升级至v1.25.6版本。 2、注意事项说明 用户可以登录云容器引擎控制台，在集群页面可查看到已有的集群实例，在集群列表右侧功能区选择更多>升级，进入版本升级操作界面，初次打开实例的集群升级操作界面时会检测集群是否已安装。 cubesystemupgradecontroller和nodeproblemdetector插件，这两个插件需要安装到待升级的集群实例才能使用云容器引擎服务的集群升级功能，检测到未安装时控制台页面会有相关提示，用户点击安装插件按钮即可安装这两个插件。 集群升级是一项有风险的操作，云容器引擎的将集群升级分为集群预检和升级两个步骤，集群预检功能会评估集群健康状态以及升级至下一个版本时存在的API兼容性风险，侦测到风险时会提醒用户存在的风险项，用户可根据页面提示修复风险项后再执行升级操作。 3、使用了自定义配置 如果您对集群曾有自定义配置，请仔细阅读以下说明。 配置项 说明 节点规格 节点资源不足或执行过节点规格缩容操作有可能会影响集群升级。 自定义操作系统镜像 自定义操作系统镜像未经过官方严格验证可能导致集群升级不成功。 手工变更集群配置 如果对集群配置有过修改，例如修改了容器运行时配置、直接手工编辑过kubelet的配置文件，集群升级过程有可能失败或自定义配置有可能丢失。