参数 参数说明 工作负载名称 新建工作负载的名称，命名必须唯一。 请输入4到63个字符的字符串，可以包含小写英文字母、数字和中划线（），并以小写英文字母开头，小写英文字母或数字结尾。 集群名称 新建工作负载所在的集群。 命名空间 在单集群中，不同命名空间中的数据彼此隔离。使应用可以共享同个集群的服务，也能够互不干扰。若您不设置命名空间，系统会默认使用default命名空间。 时区同步 单击 开启后，容器将和节点使用相同时区。 须知 时区同步功能开启后，在“数据存储 > 本地磁盘”中，将会自动添加HostPath类型的磁盘，请勿修改删除该磁盘。 工作负载描述 工作负载描述信息。

容器服务 1. 打开AI网关控制台实例页面，在顶部菜单栏选择目标实例所在地域，并单击目标实例ID。 2. 在左侧导航栏，单击服务，然后单击服务来源。 3. 单击创建来源，在创建来源面板中，配置以下参数： ● 来源类型：选择容器服务，通过K8s Server发现后端服务。 ● 容器集群：选择后端服务所在的集群。 注意：只能添加同VPC内的容器集群，不支持跨VPC的服务来源。 4. 配置完成后单击确定，完成服务来源创建。 5. 单击服务管理页签，然后单击创建服务，配置以下参数： ● 服务来源：选择容器服务。 ● 命名空间：选择服务所在的命名空间。 ● 服务列表：命名空间下的服务列表。 6. 配置完成后单击确定，完成服务创建。 MSE Nacos 1. 打开AI网关控制台实例页面，在顶部菜单栏选择目标实例所在地域，并单击目标实例ID。 2. 在左侧导航栏，单击服务，然后单击服务来源。 3. 单击创建来源，在创建来源面板中，配置以下参数： ● 来源类型：选择MSE Nacos，通过 MSE Nacos 注册中心发现后端服务。 ● 集群名称：选择后端服务所在的MSE Nacos集群。 注意：只能添加同VPC内的MSE Nacos集群，不支持跨VPC的服务来源。 ● 拉取间隔：网关节点定时从来源实例同步服务注册信息的间隔，取值范围为15s~60s。 4. 配置完成后单击确定，完成服务来源创建。 5. 单击服务管理页签，然后单击创建服务，配置以下参数： ● 服务来源：选择MSE Nacos集群。 ● 命名空间：选择服务所在的命名空间。 ● 服务列表：命名空间下的服务列表。 6. 配置完成后单击确定，完成服务创建。

本文介绍了事件通知的用户指南。 概述 事件通知功能支持当镜像加签、镜像扫描和实例同步状态发生变更时，发送通知消息到用户指定的HTTP或HTTPS地址。 前置条件 已开通容器镜像服务企业版实例 创建事件通知规则 1. 进入容器镜像服务控制台。 2. 点击已开通的企业版实例名称。 3. 左侧导航栏点击 "分发交付" "事件通知"，在事件规则标签页点击创建规则按钮。 4. 在创建页面填写规则相关的参数进行创建。 参数 说明 规则名称 事件规则的名称。 事件类型 触发事件通知的事件类型，包括：1. 镜像加签 2. 镜像扫描 3. 实例同步 生效范围 事件通知生效的范围，包括： 1. 实例：在当前实例下，满足Tag匹配条件时触发事件通知。 2. 命名空间：在指定命名空间下，满足Tag匹配条件时触发事件通知。 3. 仓库：在指定仓库下，满足Tag匹配条件时触发事件通知。 Tag匹配条件 通过正则表达式设置规则匹配的镜像版本。使用方式示例如下： 匹配全部: . 匹配多个版本: v1v2v3 匹配前缀: v1. 通知URL 用户用于接收事件通知的URL地址，以 通知参数 事件通知包含的通知参数。 不同事件类型对应的通知参数示例如下： 镜像加签 plaintext { "EventType": "SigningCompleted", // 事件类型 "Region": "b342b77ef26b11ecb0ac0242ac110002", // 资源池编码 "InstanceId": "b030a75ec73649b8b81a4d979ee522ba", // 实例ID "NamespaceId": "5a10444724ef4b498653075ac3578416", // 命名空间ID "NamespaceName": "orastest", // 命名空间名称 "RepositoryId": "75263a80e98048668b7bb56f60564129", // 仓库ID "RepositoryName": "oras", // 仓库名称 "Tag": "v1", // 镜像版本 "Time": "20250103 16:47:19", // 加签时间 "Result": "Success" // 加签结果 } 镜像扫描 plaintext { "EventType": "ScanCompleted", // 事件类型 "Region": "b342b77ef26b11ecb0ac0242ac110002", // 资源池编码 "InstanceId": "b030a75ec73649b8b81a4d979ee522ba", // 实例ID "NamespaceId": "5a10444724ef4b498653075ac3578416", // 命名空间ID "NamespaceName": "test", // 命名空间名称 "RepositoryId": "75263a80e98048668b7bb56f60564129", // 仓库ID "RepositoryName": "mysql", // 仓库名称 "Tag": "latest", // 镜像版本 "CriticalSeverity": 1, // 严重漏洞数 "HighSeverity": 3, // 高危漏洞数 "MediumSeverity": 10, // 中危漏洞数 "LowSeverity": 3, // 低危漏洞数 "UnknownSeverity": 1, // 未知等级漏洞数 "TotalSeverity": 18, // 总漏洞数 "Result": "Success", // 扫描结果 "EndTime": "20240808 17:53:51", // 开始时间 "StartTime": "20240808 17:53:41" // 结束时间 } 实例同步 plaintext { "EventType": "SynchronizationCompleted", // 事件类型 "SourceRegion": "b342b77ef26b11ecb0ac0242ac110002", // 源资源池编码 "SourceInstanceId": "b030a75ec73649b8b81a4d979ee522ba", // 源实例ID "SourceNamespaceId": "5a10444724ef4b498653075ac3578416", // 源命名空间ID "SourceNamespaceName": "test", // 源命名空间名称 "SourceRepositoryId": "75263a80e98048668b7bb56f60564129", // 源仓库ID "SourceRepositoryName": "nginx", // 源仓库名称 "SourceTag": "v0.2", // 源镜像版本 "DestinationRegion": "b342b77ef26b11ecb0ac0242ac110002", // 目标资源池编码 "DestinationInstanceId": "b030a75ec73649b8b81a4d979ee522ba", // 目标实例ID "DestinationNamespaceId": "5a10444724ef4b498653075ac3578416", // 目标命名空间ID "DestinationNamespaceName": "sync", // 目标命名空间名称 "DestinationRepositoryId": "75263a80e98048668b7bb56f60564129", // 目标仓库ID "DestinationRepositoryName": "nginx", // 目标仓库名称 "DestinationTag": "v0.2", // 目标镜像版本 "Result": "Success", // 同步结果 "StartTime": "20240320 11:25:10", // 开始时间 "EndTime": "20240320 11:25:06" // 结束时间 } 5. 创建完成后，可在列表页面查看创建的事件通知规则。 6. 操作栏的编辑按钮可以修改事件通知规则。禁用/启用按钮可以修改事件通知规则的启用状态。删除按钮可以删除事件通知规则。

本文介绍了事件通知的用户指南。 概述 事件通知功能支持当镜像加签、镜像扫描和实例同步状态发生变更时，发送通知消息到用户指定的HTTP或HTTPS地址。 前置条件 已开通容器镜像服务企业版实例 创建事件通知规则 1. 进入容器镜像服务控制台。 2. 点击已开通的企业版实例名称。 3. 左侧导航栏点击 "分发交付" "事件通知"，在事件规则标签页点击创建规则按钮。 4. 在创建页面填写规则相关的参数进行创建。 参数 说明 规则名称 事件规则的名称。 事件类型 触发事件通知的事件类型，包括：1. 镜像加签 2. 镜像扫描 3. 实例同步 生效范围 事件通知生效的范围，包括： 1. 实例：在当前实例下，满足Tag匹配条件时触发事件通知。 2. 命名空间：在指定命名空间下，满足Tag匹配条件时触发事件通知。 3. 仓库：在指定仓库下，满足Tag匹配条件时触发事件通知。 Tag匹配条件 通过正则表达式设置规则匹配的镜像版本。使用方式示例如下： 匹配全部: . 匹配多个版本: v1v2v3 匹配前缀: v1. 通知URL 用户用于接收事件通知的URL地址，以 通知参数 事件通知包含的通知参数。 不同事件类型对应的通知参数示例如下： 镜像加签 plaintext { "EventType": "SigningCompleted", // 事件类型 "Region": "b342b77ef26b11ecb0ac0242ac110002", // 资源池编码 "InstanceId": "b030a75ec73649b8b81a4d979ee522ba", // 实例ID "NamespaceId": "5a10444724ef4b498653075ac3578416", // 命名空间ID "NamespaceName": "orastest", // 命名空间名称 "RepositoryId": "75263a80e98048668b7bb56f60564129", // 仓库ID "RepositoryName": "oras", // 仓库名称 "Tag": "v1", // 镜像版本 "Time": "20250103 16:47:19", // 加签时间 "Result": "Success" // 加签结果 } 镜像扫描 plaintext { "EventType": "ScanCompleted", // 事件类型 "Region": "b342b77ef26b11ecb0ac0242ac110002", // 资源池编码 "InstanceId": "b030a75ec73649b8b81a4d979ee522ba", // 实例ID "NamespaceId": "5a10444724ef4b498653075ac3578416", // 命名空间ID "NamespaceName": "test", // 命名空间名称 "RepositoryId": "75263a80e98048668b7bb56f60564129", // 仓库ID "RepositoryName": "mysql", // 仓库名称 "Tag": "latest", // 镜像版本 "CriticalSeverity": 1, // 严重漏洞数 "HighSeverity": 3, // 高危漏洞数 "MediumSeverity": 10, // 中危漏洞数 "LowSeverity": 3, // 低危漏洞数 "UnknownSeverity": 1, // 未知等级漏洞数 "TotalSeverity": 18, // 总漏洞数 "Result": "Success", // 扫描结果 "EndTime": "20240808 17:53:51", // 开始时间 "StartTime": "20240808 17:53:41" // 结束时间 } 实例同步 plaintext { "EventType": "SynchronizationCompleted", // 事件类型 "SourceRegion": "b342b77ef26b11ecb0ac0242ac110002", // 源资源池编码 "SourceInstanceId": "b030a75ec73649b8b81a4d979ee522ba", // 源实例ID "SourceNamespaceId": "5a10444724ef4b498653075ac3578416", // 源命名空间ID "SourceNamespaceName": "test", // 源命名空间名称 "SourceRepositoryId": "75263a80e98048668b7bb56f60564129", // 源仓库ID "SourceRepositoryName": "nginx", // 源仓库名称 "SourceTag": "v0.2", // 源镜像版本 "DestinationRegion": "b342b77ef26b11ecb0ac0242ac110002", // 目标资源池编码 "DestinationInstanceId": "b030a75ec73649b8b81a4d979ee522ba", // 目标实例ID "DestinationNamespaceId": "5a10444724ef4b498653075ac3578416", // 目标命名空间ID "DestinationNamespaceName": "sync", // 目标命名空间名称 "DestinationRepositoryId": "75263a80e98048668b7bb56f60564129", // 目标仓库ID "DestinationRepositoryName": "nginx", // 目标仓库名称 "DestinationTag": "v0.2", // 目标镜像版本 "Result": "Success", // 同步结果 "StartTime": "20240320 11:25:10", // 开始时间 "EndTime": "20240320 11:25:06" // 结束时间 } 5. 创建完成后，可在列表页面查看创建的事件通知规则。 6. 操作栏的编辑按钮可以修改事件通知规则。禁用/启用按钮可以修改事件通知规则的启用状态。删除按钮可以删除事件通知规则。

本文介绍如何在科研助手项目空间内进行用户管理。 操作步骤 1. 点击项目空间列表页“详情”按钮，进入空间详情页。 2. 点击详情信息右侧“用户组管理”. 3. 如您账户之前未创建相关用户及用户组，可以点击上方“前往 IAM控制台”，新增“用户”或“用户组””。具体如何在IAM控制台上操作，可参考++《适用于科研教育的主子账号及预警配额设置》++。 4. 当您在IAM控制台上创建了用户组之后，可以在用户组下拉列表中选择相应用户组，用户信息将用户栏里展示。 您可以点击“添加用户”来纳管更多用户。也可以点击列表右侧“移除”按钮移除用户。

介绍通过控制台自助创建块空间具体步骤。 功能说明 媒体存储控制台提供新建块空间操作，用户可通过控制台便捷地完成操作。 前提条件 已注册天翼云账号。 已订购媒体存储块存储。 已登录媒体存储控制台。 使用说明 目前媒体存储中的块存储暂不支持自助订购，如需使用，可联系您的客户经理支持。 操作步骤 1. 登录媒体存储控制台，进入【块空间】菜单，单击【新建块】。 2. 需要按照要求录入"名称"、"数量"、"初始容量"、"存储区域"、"接入网络"、"CHAP iqn"、"CHAP用户"和"CHAP密钥"等，点击【保存】。 3. 块空间创建后，便能够在资源列表中查看到新建的块空间信息，等待激活成功即可连接使用。 配置参数说明 参数 填写说明 名称 长度为450个字符，只能含小写字母、数字和短横线（），不能以短横线开头或结尾 数量 数量须在100以内，大于1时自动在名称后加后缀，如name01，name02 初始容量 1GB32TB，仅限整数输入 存储类型 选择需要创建的存储类型 存储区域 选择创建资源所在的资源池 接入网络 选择能支持的接入网络 CHAP iqn 长度为432个字符，只能含小写字母、数字和短横线（），不能以短横线开头或结尾 CHAP用户 长度为832个字符，只能含小写字母、数字和短横线（），不能以短横线开头或结尾 CHAP密钥 长度为1216个字符，只能含小写字母、数字和短横线（），不能以短横线开头或结尾

本节介绍集群定时备份用户指南。 前提条件 1. 已完成集群注册，具体操作请参见 本地注册集群 / 三方云注册集群。 2. 集群已安装ccsebackup插件，具体操作请参考 插件。 操作步骤 下发备份任务 1. 登陆分布式容器云平台，在左侧导航栏中选择集群资源 > 集群管理，进入注册集群列表页。 2. 在注册集群列表中点击需要备份的集群，进入单集群管理页面。 3. 在单集群管理页面导航栏中选择运维管理 > 集群定时备份 > 创建备份 ，进入集群定时备份配置页面。 4. 填写配置项后，点击“确定”下发备份任务。 备份配置项说明： 配置项名称 说明 名称 必填，备份任务的名称，名称限制为由小写字母开头，只允许小写字母，数字和‘’组成，且备份任务是当前集群中唯一。 命名空间 非必填，选择备份资源的命名空间，可多选。 资源 非必填，选择所备份资源的类型，可多选，也可以手动输入。 持久卷 选择是否备份pod所使用的持久卷，备份内容中有pod资源，此项才生效。不能备份临时卷及hostPath。 保留天数 必填，定时备份后产生的备份包所保留的天数，超过保留天数的备份包则会被自动清理。 时间点 必填，定时备份时执行的时间点，为整点。 重复周期 必填，定时备份任务重复在一周内哪几天触发执行。 说明 1. 此处建议保留天数要大于两个定时备份任务执行的间隔天数，否则会导致任务执行完毕后，还没等到下个任务开始，就被清理。 2. 备份任务下发后，在备份列表中可查看定时备份任务的各项配置。 备份列表的操作列还包含以下三个操作： 编辑：弹出定时任务编辑框修改定时任务信息。 立即执行：马上触发备份任务执行。 删除：删除当前定时备份任务。

本节主要介绍如何已处理的任务列表。 已处理列表呈现当前您已处理的任务。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“态势感知 > 任务中心”，进入任务中心后，选择“我已处理”页签，进入已处理任务页面。 5. 在已处理任务列表中查看已处理任务详情。 参数名称 参数说明 任务名称 该条任务的名称。 业务类型 任务属于的类型。 流程发布 剧本发布 剧本节点审核 关联对象 对应的剧本/流程名称。 创建人 创建任务的用户。 备注 该条任务的备注信息。 审核人 该剧本/流程的审核人员。 审核意见 该条任务的审核意见。 描述 该条任务的描述信息。 创建时间 该剧本/流程的创建时间。 更新时间 该剧本/流程的最近一次更新时间。

本节介绍了容器镜像服务的使用企业版实例推送和拉取镜像。 前提条件 已开通企业版实例 已安装Docker或者其它容器运行时客户端 获取登录实例命令 1、进入容器镜像服务控制台 。 2、点击已开通的实例名称，左侧导航栏点击【实例管理 >访问凭证】，进入访问凭证页面。页面中可查看登录实例的命令。 3、登录用户名、密码是开通企业版实例时所填写的用户名、密码。如果忘记密码，可以点击页面中重置密码按钮来设置新密码。 创建命名空间 1、进入容器镜像服务控制台 。 2、点击已开通实例名称。左侧导航栏点击【容器镜像>命名空间】。点击页面的创建命名空间按钮。 3、填写命名空间名称，点击创建 。 创建镜像仓库 1、进入容器镜像服务控制台。 2、点击已开通实例名称，左侧导航栏点击【容器镜像>镜像仓库】 ，点击创建仓库按钮。 3、选择镜像仓库所属的命名空间，填写镜像仓库的名称，点击创建。 注意 仓库类型设置为公开，会使镜像能够被匿名拉取，请谨慎设置。

本页介绍了关系数据库MySQL版存储相关问题和解决方法。 MySQL实例支持哪些存储引擎 推荐您使用InnoDB引擎。关系数据库MySQL版只有InnoDB引擎支持完整的备份、恢复等服务。 您也可以登录数据库然后执行 show engines;命令查看数据库支持的存储引擎或参考下图选择。 为什么MySQL实例不支持MyISAM引擎? 1. MyISAM引擎表不支持事务，读写操作会相互冲突，仅支持表级别锁。 2. MyISAM引擎对数据完整性的保护存在缺陷，且这些缺陷会导致数据库数据的损坏甚至丢失。这种设计带来的缺陷，目前没有比较好的解决方案。 3. MyISAM引擎在出现数据损害情况下，多数都需要人为介入进行修复，无法通过产品控制台提供的恢复功能自动进行恢复。 4. MyISAM引擎向InnoDB的迁移代价低，大多数基本不需要改动建表的语句。 5. MyISAM引擎在I/O操作上的性能相对于InnoDB的引擎优势不大。 MySQL实例使用的什么存储 关系数据库MySQL版本备份数据存储有两种方式，一种是采用云硬盘的方式，另一种是采用对象存储服务的方式。两种方式存储备份数据均不占用用户的数据库空间。 关系数据库MySQL版存储采用云硬盘。关于云硬盘的信息请参考云硬盘。 关于对象存储服务的信息请参考对象存储。

恢复到指定的时间点是指将数据库恢复到过去某一个特定的时间点上的状态。具体实现方式是在备份时记录每个事务变化的时间点（也称为 LSN），在恢复时指定需要恢复到的 LSN，然后进行还原，本文为您介绍详细的操作步骤。 操作场景 关系数据库MySQL版支持使用已有的自动备份，恢复实例数据到指定时间点。实例恢复到指定时间点，会从备份空间中选择一个该时间点最近的全量备份下载到实例上进行全量恢复，再重放增量备份到指定时间点，恢复时长和实例的数据量有关，恢复速率根据磁盘类型不同有所差异。 注意 由于恢复到时间点功能需要依赖最近的一个全量备份和Binlog日志文件，如若最近的全备失败或者Binlog日志备份关闭，可能会影响恢复时间点功能，导致有一段时间恢复不到。 约束限制 请勿在实例的生命周期内执行reset master命令，以免造成恢复到指定时间点功能异常。 目前该功能仅Ⅱ类型资源池支持恢复到新实例，新实例将作为用户新开通的实例收费。 如备份类型选择了云硬盘，目标实例的VPC和数据库版本需与原实例相同，否则会导致恢复失败。如备份类型选择对象存储，VPC可以不同。 目标实例与原实例在表名大小写的区分上需相同，否则会导致恢复失败。 目标实例的存储空间需大于原实例的存储空间，否则会导致恢复失败。建议新实例的存储空间在原实例存储空间基础上增加30%以上。

参数 参数说明 方向 当前仅支持入方向。即“其它工作负载”访问“当前的工作负载（即当前案例中的workload1）”。 协议 请选择对应的协议类型，目前支持TCP和UDP协议，不支持ICMP协议。 目的容器端口 容器镜像中应用程序实际监听端口，需用户确定。nginx程序实际监听的端口为80。 若不填写容器端口，默认所有端口都可被访问。 远端 选择可访问“当前工作负载”的“其它工作负载”。通过目的容器端口来访问。 命名空间： 若选择某个命名空间，则该命名空间下的所有工作负载都会加入白名单，即都可访问 workload1 。 工作负载： 若选择某个工作负载，即该工作负载可以访问 workload1 。仅支持选择与 workload1 同个命名空间下的“其它工作负载”。

本文介绍如何创建私密凭据。 操作步骤 1.单击左侧导航栏的【配置中心】>【私密凭据】，单击【创建私密凭据】； 2.参照下表设置新增私密凭证参数，其中带“”标志的参数为必填参数。其中类型参数为单选参数，共三个选项，涉及后续填写项有所区别，首次进入默认为Opaque，参数如下表。输入完成后，单击【创建】。 参数 参数含义 集群 访问凭据所在集群。若没有可选集群，单击“创建集群”进行创建，操作步骤请参见集群创建 命名空间 访问凭据所在命名空间。若没有可选命名空间，单击“创建命名空间”进行创建，操作步骤请参见创建命名空间 名称 新建访问凭据的名称，同一个命名空间里命名必须唯一 类型 . Opaque：一般密钥类型。 . Credentials：存放拉取私有仓库镜像所需的认证信息。 . Dockercfg：存放拉取私有仓库镜像所需的配置文件。 . IngressTLS：存放Ingress服务所需的证书 类型为： Opaque 添加项 增加一对键、配置项内容 键 配置项的键值。键值只能由字母、数字、句点、连字符和下划线组成 配置项内容 配置项的内容 类型为： Credentials 镜像仓库地址 输入镜像仓库的地址 用户名 该镜像仓库的用户名称 密码 用户名称所对应的的密码 邮箱 该用户的邮箱地址，必须为user@domain格式 Dockerconfigjson 添加项 增加一对键、配置项内容 键 配置项的键值。键值只能由字母、数字、句点、连字符和下划线组成 配置文件 配置项的内容，可上传文件，上传拉取私有仓库镜像所需的配置文件 IngressTLS 添加项 增加一对键、配置项内容 键 配置项的键值。键值只能由字母、数字、句点、连字符和下划线组成 证书文件 存放Ingress服务所需的证书文件 秘钥文件 存放Ingress服务所

本章节将介绍CCE权限管理机制及其涉及到的基本概念。 CCE权限管理是在统一身份认证服务（IAM）与Kubernetes的角色访问控制（RBAC）的能力基础上，打造的细粒度权限管理功能，支持基于IAM的细粒度权限控制和IAM Token认证，支持集群级别、命名空间级别的权限控制，帮助用户便捷灵活的对租户下的IAM用户、用户组设定不同的操作权限。 如果您需要对CCE集群及相关资源进行精细的权限管理，例如限制不同部门的员工拥有部门内资源的细粒度权限，您可以使用CCE权限管理提供的增强能力进行多维度的权限管理。 本章节将介绍CCE权限管理机制及其涉及到的基本概念。如果当前帐号已经能满足您的要求，您可以跳过本章节，不影响您使用CCE服务的其它功能。 CCE支持的权限管理能力 CCE的权限管理包括“集群权限”和“命名空间权限”两种能力，能够从集群和命名空间层面对用户组或用户进行细粒度授权，具体解释如下： 集群权限： 是基于IAM系统策略的授权，可以通过用户组功能实现IAM用户的授权。用户组是用户的集合，通过集群权限设置可以让某些用户组操作集群（如创建/删除集群、节点、节点池、模板、插件等），而让某些用户组仅能查看集群。 集群权限涉及CCE非Kubernetes API，支持IAM细粒度策略、企业项目管理相关能力。 命名空间权限： 是基于Kubernetes RBAC（RoleBased Access Control，基于角色的访问控制）能力的授权，通过权限设置可以让不同的用户或用户组拥有操作不同Kubernetes资源的权限。同时CCE基于开源能力进行了增强，可以支持基于IAM用户或用户组粒度进行RBAC授权、IAM token直接访问API进行RBAC认证鉴权。 命名空间权限涉及CCE Kubernetes API，基于Kubernetes RBAC能力进行增强，支持对接IAM用户/用户组进行授权和认证鉴权，但与IAM细粒度策略独立。 CCE从v1.11.7r2版本起的集群支持配置命名空间权限，1.11.7r2之前的版本默认拥有全部命名空间权限。 CCE的权限可以从使用的阶段分为两个阶段来看，第一个阶段是创建和管理集群的权限，也就是拥有创建/删除集群、节点等资源的权限。第二个阶段是使用集群Kubernetes资源（如工作负载、Service等）的权限。 图 权限示例图 清楚了集群权限和命名空间权限后，您就可以通过这两步授权，做到精细化的权限控制。

在云容器引擎中安装Ingress APISIX 自主安装apisix、apisixingresscontroller和Dashboard组件。具体安装步骤可参考：Apache APISIX Helm Chart 参考安装。 对appa进行网络配置 针对入口应用appa，分别为基线版本和灰度版本配置两个K8s Service，用于Ingress APISIX转发流量。 1. 登录云容器引擎，选择左侧菜单“集群”，再点进目标集群。 2. 在集群管理页面，点击网络>服务。 3. 选择命名空间，点击“新增YAML”，依次创建下面两个YAML资源。 appabaseservice对应appa应用的基线版本： apiVersion: "v1" kind: "Service" metadata: name: "appabaseservice" namespace: "default" spec: ports: name: "http" port: 26160 protocol: "TCP" targetPort: 26160 selector: name: "appa" appabaseservice对应appa应用的基线版本： apiVersion: "v1" kind: "Service" metadata: name: "appagrayservice" namespace: "default" spec: ports: name: "http" port: 26160 protocol: "TCP" targetPort: 26160 selector: name: "appagray" 4. 登录APISIX控制台，点击“上游”，在上游管理页面中点击创建，分别为appa和appagray配置上游服务，配置详情如下： appa： appagray：

本节介绍了集群定时备份的用户指南。 操作场景：为增强集群容灾能力，提高集群可靠性。可对集群进行定时备份。 前提条件：用户需要在所操作的集群的插件市场中安装备份还原插件“ccsebackup”。 创建任务 定时备份提供按指定时间执行备份还原任务，配置操作大体与集群备份的相似。 在云容器引擎控制台菜单中按照以下路径进入界面【集群】{选定的集群}【备份】 【集群定时备份】,点击【创建备份】，弹出创建备份对话框。 名称、命名空间、资源和持久卷的配置与集群备份余下字段则与定时执行相关。 名称 说明 保留天数 必填，定时备份后产生的备份包所保留的天数，超过保留天数的备份包则会被自动清理 时间点 必填，定时备份时执行的时间点，为整点 重复周期 必填，定时备份任务重复在一周内哪几天触发执行 说明 此处建议保留天数要大于两个定时备份任务执行的间隔天数，否则会导致任务执行完毕后，还没等到下个任务开始，就被清理 点击“创建后”完成定时任务创建。 新建的定时备份任务会被展示在列表中，列表末端的操作列包含三个按钮： 编辑：弹出定时任务编辑框修改定时任务信息。 立即执行：马上触发备份任务执行。 删除：删除当前定时备份任务。 任务详情 在定时任务列表中点击任务名称，进入定时任务详情页。在详情页面可以看到定时任务的名称、所备份的命名空间、资源类型、是否包含持久卷、任务创建时间、备份包的保留天数和备份任务的重复周期这些信息。此外在“相关备份任务”中展示了每次执行的任务信息。 任务信息包括了任务名称、大小，任务执行的状态，任务的执行时间等。 另外列表中还包含了一个操作列，操作包括还原、下载和删除，功能与集群备份的列表的一致。

介绍APM监控详情里JVM监控中的内存相关指标的名称、含义等信息。 内存指标说明表 指标类别 指标 指标说明 数据类型 JVM内存使用量 PS Old Gen 老年代大小 Long JVM内存使用量 Code Cache 代码缓存区大小 Long JVM内存使用量 PS Eden Space 伊甸区大小 Long JVM内存使用量 PS Survivor Space servivor区大小 Long JVM内存使用量 Metaspace 元空间大小 Long JVM内存使用量 Compressed Class Space 类压缩空间大小 Long JVM最大可用内存量 PS Old Gen 老年代大小 Long JVM最大可用内存量 Code Cache 代码缓存区大小 Long JVM最大可用内存量 PS Eden Space 伊甸区大小 Long JVM最大可用内存量 PS Survivor Space servivor区大小 Long JVM最大可用内存量 Metaspace 元空间大小 Long JVM最大可用内存量 Compressed Class Space 类压缩空间大小 Long 非堆内存使用量 jvm.nonheap.used 非堆内存使用量 Long 非堆内存最大容量 jvm.nonheap.max 非堆内存最大容量 Long JVM映射池大小 used 已使用内存 Long JVM映射池大小 count 总量 Long JVM映射池大小 capacity 初始化值 Long 堆内存最大值 jvm.heap.max 堆内存最大值 Long 堆内存已使用量 jvm.heap.used 堆内存已使用量 Long JVM内存提交量 PS Old Gen 老年代大小 Long JVM内存提交量 Code Cache 代码缓存区大小 Long JVM内存提交量 PS Eden Space 伊甸区大小 Long JVM内存提交量 PS Survivor Space servivor区大小 Long JVM内存提交量 Metaspace 元空间大小 Long JVM内存提交量 Compressed Class Space 类压缩空间大小 long JVM非堆内存初始化大小 jvm.nonheap.init jvm非堆内存初始化大小 Long 堆内存提交数 jvm.heap.committed 堆内存提交数 Long 非堆内存提交数 jvm.nonheap.committed, 非堆内存提交数 Long 堆内存初始化大小 jvm.heap.init 堆内存初始化大小 Long 整体内存初始化大小 PS Old Gen 老年代大小 Long 整体内存初始化大小 Code Cache 代码缓存区大小 Long 整体内存初始化大小 PS Eden Space 伊甸区大小 Long 整体内存初始化大小 PS Survivor Space servivor区大小 Long 整体内存初始化大小 Metaspace 元空间大小 Long 整体内存初始化大小 Compressed Class Space 类压缩空间大小 Long

本章节主要介绍数据治理中心DataArts Studio如何获取认证信息。 DataArts Studio使用过程中，在数据集成创建OBS连接、API调用、使用问题定位时，您可能需要获取访问密钥、项目ID、终端节点等信息，获取方式如下。 获取访问密钥 您可以通过如下方式获取访问密钥。 1. 登录控制台，在用户名下拉列表中选择“我的凭证”。 2. 进入“我的凭证”页面，选择“访问密钥 > 新增访问密钥”，如图1所示。 图1 单击新增访问密钥 3. 单击“确定”，根据浏览器提示，保存密钥文件。密钥文件会直接保存到浏览器默认的下载文件夹中。打开名称为“credentials.csv”的文件，即可查看访问密钥（Access Key Id和Secret Access Key）。 说明 每个用户仅允许新增两个访问密钥。 为保证访问密钥的安全，访问密钥仅在初次生成时自动下载，后续不可再次通过管理控制台界面获取。请在生成后妥善保管。 获取项目ID和帐号ID 项目ID表示租户的资源，帐号ID对应当前帐号。用户可在对应页面下查看不同Region对应的项目ID和帐号ID。 1. 注册并登录管理控制台。 2. 在用户名的下拉列表中单击“我的凭证”。 3. 在“我的凭证”页面，查看帐号名和帐号ID，在项目列表中查看项目ID。 获取DataArts Studio实例ID和工作空间ID DataArts Studio的实例ID和工作空间ID可以从DataArts Studio控制台的URI链接中获取。 1. 在DataArts Studio控制台首页，选择对应工作空间，并点击任一模块，如“管理中心”。 2. 进入管理中心页面后，从浏览器地址栏中获取“instanceId”和“workspace”对应的值，即为DataArts Studio的实例ID和工作空间ID。 如下图所示，实例ID为 6b88 …2688 ，工作空间ID为 1dd3bc …d93f0 。 图2 获取实例ID和工作空间ID

名称 类型 描述 alarmId String 告警ID。 instanceId String 告警实例ID。 instanceSnapshot String 告警实例快照，即告警发生时告警实例的详细信息。 alarmRule String 告警规则。 severity Enum 告警级别： Warning：警告。 Major：重要。 Critical：严重。 alarmStatus Enum 告警状态： Unresolved：告警中。 Resolved：告警已解除。 Expired：告警已失效。 duration Long 告警持续时长。unix时间戳（UTC），精确到毫秒。 alarmTime Long 告警发生时间。unix时间戳（UTC），精确到毫秒。 muteStatus Enum 静默状态： Muted：静默。 Normal：正常。 alarmValue String 告警时数值。仅有数值型指标对应的告警会有返回此项，以下告警规则会涉及数值型指标： AlarmNumberApproachingLimit：告警中的告警条数接近上限，显示告警中数据容量使用率，百分比，单位是%。计算公式：（告警中的告警总条数/告警中条数上限）100%。 ResourceUsageApproachingLimit：资源用量接近使用上限，显示许可证可用容量使用率，百分比，单位是%。计算公式：（本地卷总容量/许可证允许的容量）100%。 CapacityQuotaUsageExceedsThreshold：配额使用率超阈值，显示存储池或数据目录关联磁盘的配额使用率（PathCapQuotaRate），百分数，单位是%。 CapacityQuotaUsageApproachLimit：配额用尽，显示存储池或数据目录关联磁盘的配额使用率（PathCapQuotaRate），百分数，单位是%。 DiskUsageExceedsThreshold：磁盘使用率超阈值，显示存储池或数据目录关联磁盘的使用率（PathRate），百分数，单位是%。 InsufficientSpaceonInstallationPath：安装目录剩余空间不足，显示目录所在磁盘的文件系统剩余空间，单位是GiB。 InsufficientSpaceonMetaDir：基础服务数据目录剩余空间不足，显示目录所在磁盘的文件系统剩余空间，单位是GiB。 currentValue String 当前数值。仅有数值型指标对应的告警会有返回此项,以下告警规则会涉及数值型指标： AlarmNumberApproachingLimit：告警中的告警条数接近上限，显示告警中数据容量使用率，百分比，单位是%。计算公式：（告警中的告警总条数/告警中条数上限）100%。 ResourceUsageApproachingLimit：资源用量接近使用上限，显示许可证可用容量使用率，百分比，单位是%。计算公式：（本地卷总容量/许可证允许的容量）100%。 CapacityQuotaUsageExceedsThreshold：配额使用率超阈值，显示存储池或数据目录关联磁盘的配额使用率（PathCapQuotaRate），百分数，单位是%。 CapacityQuotaUsageApproachLimit：配额用尽，显示存储池或数据目录关联磁盘的配额使用率（PathCapQuotaRate），百分数，单位是%。 DiskUsageExceedsThreshold：磁盘使用率超阈值，显示存储池或数据目录关联磁盘的使用率（PathRate），百分数，单位是%。 InsufficientSpaceonInstallationPath：安装目录剩余空间不足，显示目录所在磁盘的文件系统剩余空间，单位是GiB。 InsufficientSpaceonMetaDir：基础服务数据目录剩余空间不足，显示目录所在磁盘的文件系统剩余空间，单位是GiB。 resolveTime Long 告警解除时间。unix时间戳（UTC），精确到毫秒。 Resolved状态的告警会返回此字段。 resolveValue String 解除告警时的数值。仅有数值型指标对应的告警会有返回此项： AlarmNumberApproachingLimit：告警中的告警条数接近上限，显示告警中数据容量使用率，百分比，单位是%。计算公式：（告警中的告警总条数/告警中条数上限）100%。 ResourceUsageApproachingLimit：资源用量接近使用上限，显示许可证可用容量使用率，百分比，单位是%。计算公式：（本地卷总容量/许可证允许的容量）100%。 CapacityQuotaUsageExceedsThreshold：配额使用率超阈值，显示存储池或数据目录关联磁盘的配额使用率（PathCapQuotaRate），百分数，单位是%。 CapacityQuotaUsageApproachLimit：配额用尽，显示存储池或数据目录关联磁盘的配额使用率（PathCapQuotaRate），百分数，单位是%。 DiskUsageExceedsThreshold：磁盘使用率超阈值，显示存储池或数据目录关联磁盘的使用率（PathRate），百分数，单位是%。 InsufficientSpaceonInstallationPath：安装目录剩余空间不足，显示目录所在磁盘的文件系统剩余空间，单位是GiB。 InsufficientSpaceonMetaDir：基础服务数据目录剩余空间不足，显示目录所在磁盘的文件系统剩余空间，单位是GiB。 resolveType Enum 告警解除方式： Auto：自动解除。 Manual：手动解除。 expireTime Long 告警失效时间。 Expired状态的告警会返回此字段。 reason String 告警解除原因或告警失效原因。 muteDueTime Long 静默截止时间，unix时间戳（UTC），精确到毫秒。 如果多次静默，返回最后一次操作的静默截止时间。 muteOperations Array of muteOperation 静默操作，详见“ 表2 响应参数muteOperation说明 ”。

关联权限 1. 登录分布式容器云平台，在左侧导航栏选择 联邦舰队 > 舰队管理，在舰队管理页签下选择目标舰队栏中单击 关联权限；或者进入舰队详情页，单击 修改权限。 2. 显示目前舰队已关联权限列表，选择 修改舰队权限，修改权限信息： 1. 用户名 2. 命名空间：权限作用的命名空间。 3. 关联权限：关联已有权限；或者自定义权限，在左侧导航栏选择 平台服务 > 权限管理 进行操作，自定义权限内容，选择资源对象和操作类型。 3. 权限关联：舰队权限配置将同步舰队下所有成员集群。若舰队权限未配置，新签发子账号默认拥有只读权限。权限管理基于Kubernetes RABC控制体系的资源权限定义 加入联邦 1. 登录分布式容器云平台，在左侧导航栏选择 联邦舰队 > 舰队管理，在舰队管理页签下选择目标舰队栏中单击 加入联邦。 2. 列表中选择已有集群联邦，若还无可用联邦实例，请先在联邦控制台创建。 移除集群 1. 登录分布式容器云平台，在左侧导航栏选择 联邦舰队 > 舰队管理，在舰队管理页签下选择目标舰队进入舰队详情页。 2. 选择目标集群，单击集群右侧 移出舰队。

kdump配置方法 以EulerOS以及CentOS 7/8系列Linux产品为例： 1. 查看是否已安装kexectools。 rpm qa grep kexectools 如果没有安装，执行下面命令安装kexectools。 yum install y kexectools 2. 设置kdump开机启动。 systemctl enable kdump 3. 设置crashkernel参数，设置这个参数的目的是预留内存给捕获内核（capture kernel）。 首先查看该参数是否已经设置。 grep crashkernel /proc/cmdline 如果有显示，则表示已经设置，如果没有显示，则需要重新设置。 编辑/etc/default/grub文件，此文件通常包含如下内容： GRUBTIMEOUT5 GRUBDEFAULTsaved GRUBDISABLESUBMENUtrue GRUBTERMINALOUTPUT"console" GRUBCMDLINELINUX"crashkernelauto rd.lvm.lvrhel00/root rd.lvm.lvrhel00/swap rhgb quiet" GRUBDISABLERECOVERY"true" 在GRUBCMDLINELINUX一行添加crashkernelauto。 4. 更新grub，执行更新grub命令，使配置生效。命令如下。 grub2mkconfig o /boot/grub2/grub.cfg 5. 打开/etc/kdump.conf文件中找到“path”参数，添加以下内容。 path /var/crash 默认是保存在/var/crash目录下，如果要保存到其他目录，则改成对应的目录，例如保存在/home/kdump下，则改成： path /home/kdump 请确保指定的路径有足够的空间保存vmcore，建议剩余空间不小于物理内存（RAM）的大小，也可以保存在SAN，NFS等共享设备上。 6. 设置转存vmcore级别，查看/etc/kdump.conf文件，是否存在以下设置，如果存在则无需添加。 corecollector makedumpfile d 31 c c：表示压缩vmcore文件， d：表示过滤掉部分无效的内存数据，可以根据需要调整，一般31即可，31是由如下的值与计算而成。 zero pages 1 cache pages 2 cache private 4 user pages 8 free pages 16 7. 设置内核参数（可选）。 为了控制在哪些场景下触发kdump，内核提供了一些参数，建议设置以下参数： kernel.hardlockuppanic1 kernel.panic5 kernel.paniconoops1 kernel.softlockuppanic1 kernel.unknownnmipanic1 kernel.nmiwatchdog1 将以上配置参数写入/etc/sysctl.conf文件并保存。另外，可以选择添加如下几个参数到/etc/sysctl.conf文件中。 kernel.paniconionmi1 kernel.paniconwarn1 8. 进入天翼云控制台云主机详情页，对当前云主机进行重启，使以上配置生效。

本文介绍使用 CAE 时，如何排查在控制台找不到应用的情况。 问题现象 应用创建成功后，在 CAE 控制台的概览页可以查询到对应的应用数量，但是无法在具体的应用列表找到该应用。 可能原因 查询的地域、命名空间的范围有误。 解决方案 1. 登录 CAE 控制台。 2. 确认地域是否正确。在顶部菜单栏，选择地域。 3. 确认命名空间是否正确。在应用列表页面，选择命名空间，然后根据已知的应用信息，例如应用名称维度，搜索目标应用。

本文介绍使用 CAE 时，如何排查在控制台找不到应用的情况。 问题现象 应用创建成功后，在 CAE 控制台的概览页可以查询到对应的应用数量，但是无法在具体的应用列表找到该应用。 可能原因 查询的地域、命名空间的范围有误。 解决方案 1. 登录 CAE 控制台。 2. 确认地域是否正确。在顶部菜单栏，选择地域。 3. 确认命名空间是否正确。在应用列表页面，选择命名空间，然后根据已知的应用信息，例如应用名称维度，搜索目标应用。

安全组 安全组可重复使用，您也可以根据实际情况使用不同的安全组，请根据实际需要进行配置。 创建安全组的操作指导，请参考虚拟私有云创建安全组。 若需要为安全组添加规则，请参考虚拟私有云安全组添加安全组规则。 弹性云主机 用户若需要自己客户应用接入RocketMQ发送、消费消息，需先购买弹性云主机并确保和RocketMQ实例在同一VPC下。创建操作说明请参见创建弹性云主机。 订购实例 实例介绍 RocketMQ实例订购支持用户自定义规格和自定义特性，采用物理隔离的方式部署。租户独占RocketMQ实例，可根据业务需要可定制相应规格的RocketMQ实例。在新的资源池节点上，还支持选择主机类型和存储规格等丰富用户选项。 操作步骤 1、在产品详情页点击立即开通按钮，或者进入消息管理控制台创建实例，进入订购分布式消息RocketMQ页面。 2、点击创建实例进入对应页面，左上角选择目标资源池。 1）填写实例名称，系统默认实例名称，用户可直接修改。 2）选择引擎类型，目前默认选择RocketMQ引擎，完全兼容开源客户端的高性能低延时的消息队列。 3）选择计费模式：包年包月/按需计费，两种模式说明参见计费模式。 4）购买时长按照计费模式选择变化： 计费模式为包年包月，可选择购买时长16个月、1年。该模式提供自动续期功能，勾选后可以自动续期购买时长：16个月、1年。 计费模式为按需计费，则该选项隐藏无需选择。 5）部署方式有单可用区和多可用区两个选项，目前仅支持单可用区和3可用区部署，单可用区部署请选中任意一个AZ；多可用区部署请选中3个AZ，系统会自动将Broker节点平均分配至各可用区。 6）设置主备节点对数，可输入1~16。主备节点通常是指主题（Topic）的生产者和消费者之间的角色切换。当主节点发生故障或不可用时，备节点可以自动接管并继续提供服务。这种主备节点的设计可以确保系统的稳定性和可靠性。 7）主机类型为计算增强型。计算增强型云主机独享宿主机的CPU资源，实例间无CPU争抢，并且没有进行资源超配，同时搭载全新网络加速引擎，实现接近物理服务器的强劲稳定性能。 8）选择实例规格，分布式消息服务RocketMQ提供计算增强型2C4G、4C8G等一系列规格，各规格详细说明参见弹性云主机规格。 9）选择存储空间，包括磁盘类型和空间。 磁盘类型提供高IO/超高IO。高IO：适用于主流的高性能、高可靠应用场景。超高IO：适用于超高IOPS、超大带宽需求的读写密集型应用场景。了解更多磁盘类型说明参见云硬盘规格。 磁盘空间以100G起步，可以以100倍数增加磁盘空间。 10）选择已有虚拟私有云，若无虚拟私有云，点击创建跳转到虚拟私有云页面新增，了解更多内容参见虚拟私有云。 11）选择已有子网，若无子网，点击创建跳转到子网页面新增。 12）选择已有安全组，若无安全组，点击创建跳转到安全组页面新增。 13） 填写完上述信息后，单击“下一步”，进入费用确认页面。 14）确认实例信息无误后，提交请求。 15）在实例列表页面，查看RocketMQ实例是否创建成功。创建实例大约需要3到15分钟，此时实例状态为“创建中”。

本节将接入如何快速为日志设置告警模型。 操作场景 态势感知（专业版）支持将查询分析结果设置告警模型，并在满足条件时触发告警。 前提条件 已完成数据接入，详细操作请参见云服务接入。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“日志审计 > 安全数据”，进入安全分析页面。 5. 在左侧数据空间导航栏中，单击数据空间名称，展开数据管道列后，再单击管道名称，右侧将显示管道数据的检索页面。 6. 输入查询分析语句，设置时间范围，并单击“查询分析”，显示查询分析结果。 更多查询分析详细操作请参见查询与分析日志。 7. 单击页面右上角“添加告警”，进入新建告警模型页面。 8. 配置告警基础信息，参数说明如下表所示。 参数名称 参数说明 管道名称 该告警模型的执行管道，系统默认生成。 模型名称 自定义该条告警模型的名称。 严重程度 设置该告警模型的严重程度。可以设置致命、高危、中危、低危、提示级别。 告警类型 选择该条告警模型触发后，提示的告警类型。 模型类型 默认为规则模型。 描述 填写该告警模型的描述信息。 启用状态 设置该告警模型的启用状态。 此处设置的状态，可在整个告警模型设置成功后进行更改。 9. 设置完成后，单击页面右下角“下一步”，进入设置模型逻辑页面。 10. 设置模型逻辑，参数说明如下表所示。 参数名称 参数说明 查询规则 设置告警的查询规则，设置完成后可以单击“运行”，查看当前运行结果。 说明 如果筛留字段为text类型时，默认会使用MATCHQUERY进行分词查询。 查询计划 设置告警查询计划。 运行查询间隔：xx分钟/小时/天。 当运行查询间隔为分钟时，可设置为559分钟；当运行查询为小时时，可设置为123小时；当运行查询为天时，可设置为114天。 时间窗口：xx分钟/小时/天。 当时间窗口为分钟时，可设置为559分钟；当时间窗口为小时时，可设置为123小时；当时间窗口为天时，可设置为114天。 延迟执行时间：xx分钟，可以设置为05分钟。 告警扩充 自定义信息：自定义告警扩充信息。 单击“添加”，并设置key+value信息，完成新增。 告警详细信息：自定义填写告警名称、描述和处置建议。 触发条件 设置告警触发条件。可设置为：大于/等于/不等于/小于xx时，触发告警。 如有多条触发条件，可以单击“添加”按钮进行添加，最多可添加5个触发条件。 当设置了多个触发条件时，在日志数据扫描检测中，系统将按照从上到下的校验逻辑，如果有满足此处设置的触发条件被检测到时，系统都将展示不同类型的告警。 告警分组 配置将规则查询结果分组到告警的方式。可选择以下方式： 将所有查询结果分组到一个告警中 将每条查询结果独立触发告警 调试模式 设置是否生成调试类告警。 抑制 设置生产告警后是否停止运行查询。 如果设置为抑制，即生成告警后停止运行查询。 如果设置为不抑制，即生成告警后不停止运行查询。 11. 设置完成后，单击页面右下角“下一步”，进入模型详情预览页面。 12. 预览确认无误后，单击页面右下角“确定”。

Pod Security Admission标签 Kubernetes为Pod Security Admission定义了三种标签，您可以在某个命名空间中设置这些标签来定义需要使用的Pod安全性标准级别，但请勿在kubesystem等系统命名空间修改Pod安全性标准级别，否则可能导致系统命名空间下Pod故障。 表 Pod Security Admission标签 隔离模式（mode） 生效对象 描述 enforce Pod 违反指定策略会导致Pod无法创建。 audit 工作负载（例如Deployment、Job等） 违反指定策略会在审计日志（audit log）中添加新的审计事件，Pod可以被创建。 warn 工作负载（例如Deployment、Job等） 违反指定策略会返回用户可见的告警信息，Pod可以被创建。 说明 Pod通常是通过创建Deployment或Job这类工作负载对象来间接创建的。在使用Pod Security Admission时，audit或warn模式的隔离都将在工作负载级别生效，而enforce模式并不会应用到工作负载，仅在Pod上生效。 使用命名空间标签进行Pod Security Admission配置 您可以在不同的隔离模式中应用不同的策略，由于Pod安全性准入能力是在命名空间（Namespace）级别实现的，因此假设某个Namespace配置如下： apiVersion: v1 kind: Namespace metadata: name: mybaselinenamespace labels: podsecurity.kubernetes.io/enforce: privileged podsecurity.kubernetes.io/enforceversion: v1.25 podsecurity.kubernetes.io/audit: baseline podsecurity.kubernetes.io/auditversion: v1.25 podsecurity.kubernetes.io/warn: restricted podsecurity.kubernetes.io/warnversion: v1.25

本节主要描述在使用云容器引擎前,需理解该产品所涉及的概念,以便于您更好地理解容器产品。 关键词 说明 集群 集群指容器运行所需要的云资源组合，关联了若干服务器节点、负载均衡、专有网络等云资源。 专有版集群：需要创建1个Master（非高可用），或者3/5个Master（高可用）节点，以及若干Worker节点，可对集群基础设施进行更细粒度的控制，需要自行规划、维护、升级服务器集群。 托管版集群：只需创建Worker节点，Master节点由CCSE创建并托管，具备操作简单、低成本无需运维等特点。 节点 一台服务器（可以是虚拟机实例或者物理服务器）已经安装了Docker Engine，可以用于部署和管理容器。容器的Agent程序会被安装到节点上并注册到一个集群上。 专有网络VPC 专有网络VPC是您自己独有的云上私有网络。您可以完全掌控自己的专有网络，例如选择IP地址范围、配置路由表和网关等，您可以在自己定义的专有网络中使用天翼云资源如云服务器、云数据库和负载均衡等。 安全组 安全组是一种虚拟防火墙，具备状态检测和数据包过滤能力，用于在云端划分安全域。安全组是一个逻辑上的分组，由同一地域内具有相同安全保护需求并相互信任的实例组成。 应用目录 应用目录功能集成了Helm，提供了Helm的相关功能，并进行了相关功能扩展，例如提供图形化界面。 编排模板 编排模板是一种保存Kubernetes YAML格式编排文件的方式。 Kubernetes Kubernetes是一个开源平台，具有可移植性和可扩展性，用于管理容器化的工作负载和服务，简化了声明式配置和自动化。 容器（Container） 打包应用及其运行依赖环境的技术，一个节点可运行多个容器。 镜像（Image） 容器镜像是容器应用打包的标准格式，封装了应用程序及其所有软件依赖的二进制数据。 镜像仓库（Image Registry） 容器镜像仓库是一种存储库，用于存储Kubernetes和基于容器应用开发的容器镜像。 管理节点（Master Node） 管理节点是Kubernetes集群的管理者，运行着的服务包括kubeapiserver、kubescheduler、kubecontrollermanager、etcd组件，和容器网络相关的组件。 工作节点（Worker Node） 工作节点是Kubernetes集群中承担工作负载的节点，可以是虚拟机也可以是物理机。工作节点承担实际的Pod调度以及与管理节点的通信等。一个工作节点上的服务包括Docker运行时环境、kubelet、KubeProxy以及其它一些可选的组件。 命名空间（Namespace） 命名空间为Kubernetes集群提供虚拟的隔离作用。Kubernetes集群初始有3个命名空间，分别是默认命名空间default、系统命名空间kubesystem和kubepublic，除此以外，管理员可以创建新的命名空间以满足需求。 容器组（Pod） Pod是Kubernetes部署应用或服务的最小的基本单位。一个Pod封装多个应用容器（也可以只有一个容器）、存储资源、一个独立的网络IP以及管理控制容器运行方式的策略选项。 副本控制器（ReplicationController，RC） RC确保任何时候Kubernetes集群中有指定数量的Pod副本在运行。通过监控运行中的Pod来保证集群中运行指定数目的Pod副本。指定的数目可以是多个也可以是1个；少于指定数目，RC就会启动运行新的Pod副本；多于指定数目，RC就会终止多余的Pod副本。 副本集（ReplicaSet，RS） ReplicaSet（RS）是RC的升级版本，唯一区别是对选择器的支持，RS能支持更多种类的匹配模式。副本集对象一般不单独使用，而是作为Deployment的理想状态参数使用。 工作负载（Workload） 工作负载是在Kubernetes上运行的应用程序。 标签（Label） Labels的实质是附着在资源对象上的一系列Key/Value键值对，用于指定对用户有意义的对象的属性，标签对内核系统是没有直接意义的。标签可以在创建一个对象的时候直接赋予，也可以在后期随时修改，每一个对象可以拥有多个标签，但key值必须唯一。 服务（Service） Service是Kubernetes的基本操作单元，是真实应用服务的抽象，每一个服务后面都有很多对应的容器来提供支持，通过KubeProxy的ports和服务selector决定服务请求传递给后端的容器，对外表现为一个单一访问接口。 路由（Ingress） Ingress是授权入站连接到达集群服务的规则集合。您可以通过Ingress配置提供外部可访问的URL、负载均衡、SSL、基于名称的虚拟主机等。通过POST Ingress资源到API Server的方式来请求Ingress。Ingress Controller负责实现Ingress，通常使用负载均衡器，它还可以配置边界路由和其他前端，这有助于以高可用的方式处理流量。 配置项（ConfigMap） 配置项可用于存储细粒度信息如单个属性，或粗粒度信息如整个配置文件或JSON对象。您可以使用配置项保存不需要加密的配置信息和配置文件。 保密字典（Secret） 保密字典用于存储在Kubernetes集群中使用一些敏感的配置，例如密码、证书等信息。 卷（Volume） 和Docker的存储卷有些类似，Docker的存储卷作用范围为一个容器，而Kubernetes的存储卷的生命周期和作用范围是一个Pod。每个Pod中声明的存储卷由Pod中的所有容器共享。 存储卷（Persistent Volume，PV） PV是集群内的存储资源，类似节点是集群资源一样。PV独立于Pod的生命周期，可根据不同的StorageClass类型创建不同类型的PV。 存储卷声明（Persistent VolumeClaim，PVC） PVC是资源的使用者。类似Pod消耗节点资源一样，而PVC消耗PV资源。 存储类（StorageClass） 存储类可以实现动态供应存储卷。通过动态存储卷，Kubernetes将能够按照用户的需要，自动创建其所需的存储。 弹性伸缩（Autoscaling） 弹性伸缩是根据业务需求和策略，经济地自动调整弹性计算资源的管理服务。典型的场景包含在线业务弹性、大规模计算训练、深度学习GPU或共享GPU的训练与推理、定时周期性负载变化等。 可观测性（Observability） Kubernetes可观测性体系包含监控和日志两部分，监控可以帮助开发者查看系统的运行状态，而日志可以协助问题的排查和诊断。 Helm Helm是Kubernetes包管理平台。Helm将一个应用的相关资源组织成为Charts，然后通过Charts管理程序包。 节点亲和性（nodeAffinity） 节点亲和性指通过Worker节点的Label标签控制Pod部署在特定的节点上。 污点（Taints） 污点和节点亲和性相反，它使节点能够排斥一类特定的Pod。 容忍（Tolerations） 应用于Pod上，允许（但并不要求）Pod调度到带有与之匹配的污点的节点上。 应用亲和性（podAffinity） 应用亲和性决定应用Pod可以和特定Pod部署在同一拓扑域。例如，对于相互通信的服务，可通过应用亲和性调度，将其部署到同一拓扑域（例如同一个主机）中，以减少它们之间的网络延迟。 应用反亲和性（podAntiAffinity） 应用反亲和性决定应用Pod不与特性Pod部署在同一拓扑域。例如，将一个服务的Pod分散部署到不同的拓扑域（例如不同主机）中，以提高服务本身的稳定性。 服务网格（Istio） Istio是一个提供连接、保护、控制以及观测服务的开放平台，兼容社区Istio开源服务网格，用于简化服务的治理，包括服务调用之间的流量路由与拆分管理、服务间通信的认证安全以及网格可观测性能力。

本节主要介绍如何提交剧本版本。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“安全编排 > 剧本编排”，默认进入剧本管理页面。 5. 在目标剧本“操作”列，单击“版本管理”，弹出剧本版本管理页面。 6. 在版本管理页面中，单击“版本信息”栏中目标版本所在行“操作”列的“编辑”。 7. 在剧本版本编辑页面，编辑版本信息。 8. 单击“确定”。 9. 在剧本版本管理页面中，单击“版本信息”栏中目标版本所在行“操作”列的“提交”，弹出提交审核确认框。 10. 在确认框中，单击“确认”，提交剧本版本。 说明 剧本版本提交后“版本状态”变为“待审核”。 剧本版本提交后不可以再编辑，如果需要编辑可以新建版本，或者在审核中驳回提交。 后续处理 剧本版本提交后，需要进行审核，详细操作请参见审核剧本版本。

本节介绍手动检查项目执行检查的操作。 操作场景 基线检查的一些检查项目为手动检查项，需要您在线下执行检查后，再在控制台上反馈检查结果，以便计算检查项合格率。 约束与限制 “操作系统配置基线”、“经典弱口令检测”、“口令复杂度策略检测”遵从包不支持在态势感知（专业版）侧执行基线检查，态势感知（专业版）仅支持查看HSS的基线检查结果。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“风险预防 > 基线检查”，，默认进入检查结果页面。 5. 单击待反馈结果检查项目所在行“操作”列的“反馈结果”。 6. 在弹出提示框中，选择反馈结果，并单击“确定”。反馈结果完成后，在“风险预防 > 基线检查”检查结果页面，查看检查项列表各个检查项的检查状态等信息。 说明 反馈结果有效期为7天，7天后请重新手动检查。

配置升级 当master或者core节点ECS实例的规格（vCPU和内存）无法满足您的业务需求时，您可以使用配置升级功能提升ECS实例规格。请参见配置升级说明。 说明 物理机不支持配置升级，请在订购环节规划所需资源。 节点扩容 当master、core或task节点组内的资源无法满足您的业务需求时，您可以使用节点扩容功能增加实例数量。请参见节点扩容说明。 节点缩容 当task节点组内的资源超出您的业务需求时，您可以使用节点缩容功能减少实例数量。请参见节点缩容说明。 新增节点组 当存量core或task节点组的计算或存储资源无法满足您的业务需求时，您可以使用新增节点组功能增加ECS实例。请参见新增节点组说明。 磁盘扩容 当master、core或task节点的数据存储空间无法满足您的业务需求时，您可以使用磁盘扩容功能增加数据盘的空间。请参见磁盘扩容说明。 说明 本地磁盘不支持磁盘扩容功能，仅支持对云硬盘进行扩容。

应用场景 云容器引擎监控体系集成集群拓扑能力，通过安装cubekindling插件可以实现集群中网络的架构感知和流量追踪。通过监控面板可以查看集群拓扑的图表。 前提条件 已创建集群，具体操作请参见 用户指南 > 集群 > 新建集群 章节。若已有集群，无需重复操作。 集群已安装ccsemonitor插件，可参考 用户指南 > 插件 章节。 集群已安装cubekindling插件，可参考 用户指南 > 插件章节 。 节点内核版本为：5.4.2241 。 监控界面查看网络拓扑 登陆CCSE控制台， 点击左侧导航栏中的集群，进入集群列表页。 在集群列表中点击需要接入监控的集群，进入集群管理页面。 选择 运维管理 > 监控 > 网络监控 > Topology 查看集群拓扑面板，通过namespace、workload对命名空间、工作负载进行筛选。

查看备NameNode推送FsImage到主NameNode是否失败 20.以root用户登录备NameNode节点。 21.执行su omm命令切换到omm用户。 22.使用如下命令查看备NameNode是否能将文件推送到主NameNode上。 tmpFile/tmp/tmptest$(date +%s) echo "test" > $tmpFile scp $tmpFile 主NameNode的业务IP : /tmp 是，执行步骤24。 否，执行步骤23。 23.联系系统管理员，处理在omm用户下备NameNode无法推送数据到主NameNode的原因。故障恢复后等待1个NameNode合并元数据的周期时间，查看告警是否清除。 是，处理完毕。 否，执行步骤24。 查看主NameNode数据目录空间是否不足 24.在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 > HDFS > 实例”，单击产生告警的NameService的主NameNode，单击“实例配置”，获取配置项“dfs.namenode.name.dir”的值，该值即为主NameNode的FsImage存储目录。 25.以root或omm用户登录主NameNode节点。 26.进入到FsImage存储目录，查看最近一个的FsImage的大小（单位为MB）。 cd 主NameNode存储目录 /current du m $(ls t grep "fsimage[09]$" head 1) awk '{print $1}' 27.执行如下命令查看主NameNode的磁盘剩余空间（单位为MB）。 df m ./ awk 'END{print $4}' 28.对比FsImage的大小和目录剩余空间大小，看剩余空间是否还能存储一个FsImage文件。 是，执行步骤30。 否，执行步骤29。 29.清理该目录所在磁盘的冗余文件，以便给元数据存放预留足够的空间。空间清理完毕后等待1个NameNode合并元数据的周期时间，查看告警是否清除。 是，处理完毕。 否，执行步骤30。