参数 说明 < host > 目标实例的弹性公网IP。 目标实例的数据库端口。 < userName > 用户名，即关系型数据库帐号（默认管理员帐号为root）。

本章节会介绍如何通过图形化界面连接MySQL实例 在Windows操作系统中，您可以使用任何通用的数据库客户端连接到RDS实例且连接方法类似。 本章节以MySQLFront为例，介绍通过图形化界面连接RDS for MySQL实例。 使用MySQLFront连接实例 1、启动MySQLFront客户端。 2、在连接管理对话框中，单击“新建”。 图1 连接管理 3、输入需要连接的关系型数据库实例信息，然后单击“确定”。 图2 添加信息 表1 参数说明 参数 说明 名称 连接数据库的任务名称。若不填写，系统默认与Host一致。 主机 目标实例的内网地址。查看目标实例的内网地址及端口信息的步骤如下： 登录关系型数据库的管理控制台。 选择目标实例所在区域。 单击目标实例名称，进入“基本信息”页面。 在“连接信息”模块，可查看“内网地址”信息。如果通过公网连接，主机IP为目标实例的弹性IP。 端口 输入RDS实例的内网端口。 用户 需要访问RDS实例的帐号名称。默认root。 密码 要访问关系型数据库实例的帐号所对应的密码。 4、在“连接管理”窗口，选中刚刚创建的连接，单击“打开”，如下图所示。若连接信息无误，即会成功连接实例。 图3 打开登录信息

本节介绍iVPN app产品简介。 功能介绍 iVPN app产品与AI云电脑客户端集成，提供一键加密接入AI云电脑的能力，适合小微用户入云、居家办公、移动办公等场景，支持Windows和Linux系统，可用于瘦终端、PC等。 使用限制 适用于Windows2.4和Linux2.5及以上版本AI云电脑客户端（暂不支持Windows32位）。 iVPN app入云场景说明 客户办公区AI云电脑客户端通过iVPN app实例实现加密接入资源池A VPC下的AI云电脑。 iVPN app开通使用步骤 （1）创建iVPN app实例 （2）设置iVPN app实例带宽 （3）AI云电脑客户端通过iVPN app接入AI云电脑 详细步骤请参考下面对应的小节。

本节介绍云专线绑跨域互联产品简介。 功能介绍 云专线绑定跨域互联主要为云专线用户提供与跨资源池VPC互访能力。 使用限制 云专线配置客户侧网段如果为全0网段，云专线绑定跨域互联远端VPC后，远端VPC的所有流量都会引流到客户本地（包括上网流量），导致远端VPC内的云服务（如 AI云电脑）无法经云内带宽上网，此时需要客户本地放通远端VPC子网网段经客户本地上网。 云专线绑跨域互联场景说明 如上图，客户可利资源池A的云专线与跨域互联远端资源池B的VPC绑定，实现客户本地与资源池B的VPC的双向互通。

本文介绍为何恢复某些备份集时没有库可以选择。 可恢复库列表说明 恢复某些备份集时，没有库可以选择进行恢复，说明该备份仅有系统数据库，没有用户自定义数据库，即用户此前未创建库，系统提供的可选列表会自动屏蔽系统数据库。 您可以创建数据库后，系统会自动备份或者您可以手动创建备份。

本文介绍如何清理备份空间。 清理备份空间 系统内部有自动备份清理机制，用于清理超过保留天数的自动备份，用于减少备份空间占用，具体请参考备份清理。 您可以主动删除手动备份，用于减少备份空间占用，具体请参考删除手动备份。

类别 监控项 指标Key 指标含义 取值范围 资源监控 实例CPU使用率 CPURATE 实例的CPU使用率（含操作系统占用） 0～100% 资源监控 磁盘使用率 DISKRATE 磁盘已使用容量/磁盘总容量 0～100% 资源监控 内存使用率 MEMORYRATE 实例的内存使用率 0～100% 资源监控 磁盘读IOPS DISKIOREAD 每秒从磁盘读取操作次数 ≥0 counts/s 资源监控 磁盘写IOPS DISKIOWRITE 每秒从磁盘写入操作的次数 ≥0 counts/s 资源监控 磁盘队列长度 DISKREQUESTSQUEUED 磁盘请求队列的平均长度 ≥0 资源监控 磁盘读吞吐量 DISKREADTHROUGHPUT 每秒从磁盘读取的字节数 ≥0 byte/s 资源监控 磁盘写吞吐量 DISKWRITETHROUGHPUT 每秒写入磁盘的字节数 ≥0 byte/s 资源监控 磁盘总量 DISKSIZEBYTES 磁盘总字节数 说明 此项仅支持通过API接口查询，控制台可在实例详情页查看存储空间大小。 ≥0 byte 资源监控 磁盘使用量 DISKUSEBYTES 磁盘使用字节数 ≥ 0 byte 资源监控 实例平均每秒钟的流入流量/流出流量 mssqlwriteseconds/mssqlreadseconds 实每秒钟的输入流量/输出流量 ≥0 kb/s 资源监控 当前总连接数 mssqlconnections 实例当前总连接数 ≥0 counts 引擎监控 平均每秒事务数 mssqltransactions 统计每秒钟事务处理数 ≥0 counts/s 引擎监控 平均每秒SQL语句执行次数 mssqlbatchrequests 统计每秒钟SQL语句执行次数缓存池的读命中率 ≥0 counts/s 引擎监控 缓存命中率 mssqlbufferhitratio 统计缓存池的读命中率 0～100% 引擎监控 每秒写入page数 mssqlpagecheckpointseconds 统计检查点写入的速度 ≥0 counts/s 引擎监控 每秒登录次数 mssqlloginseconds 统计每秒登录次数 ≥0 counts/s 引擎监控 平均每秒全表扫描次数 mssqlfullscanseconds 统计平均每秒全表扫描次数 ≥0 counts/s 引擎监控 每秒SQL编译 mssqlsqlcompilationseconds 统计每秒SQL编译次数 ≥0 counts/s 引擎监控 每秒锁超时次数 mssqllocktimeoutseconds 统计每秒锁超时次数 ≥0 counts/s 引擎监控 每秒死锁次数 mssqldeadlockseconds 统计每秒死锁次数 ≥0 counts/s 引擎监控 每秒锁等待次数 mssqllockwaitseconds 统计每秒锁等待次数 ≥0 counts/s 引擎监控 工作线程使用率 mssqlworkerthreadsusagerate 当前活跃线程数与maxworkerscount的比值 0～100% 引擎监控 数据同步延迟 mssqlreplicationdelay 主备实例复制延迟，由于SQL Server实例复制延迟都是库级别，每个库各自都在做同步，所以实例级别复制延迟为复制延迟最大的库的值，单机不涉及 ≥0 s 引擎监控 平均每秒batch数 mssqlbatchpersec 统计每秒收到的TransactSQL命令批次 ≥0 counts/s 引擎监控 每秒登出次数 mssqllogoutspersec 统计每秒启动的注销操作总数 ≥0 counts/s 引擎监控 平均每秒SQL重编译数 mssqlrecompilationspersec 统计每秒重新编译的次数 ≥0 counts/s 引擎监控 每秒用户错误数 mssqlusererrorspersec 统计每秒用户错误数 ≥0 counts/s 引擎监控 每秒闩锁等待数 mssqllatchwaitspersec 统计每秒未能立即授予的闩锁请求数 ≥0 counts/s 引擎监控 每秒锁请求次数 mssqllockrequestspersec 统计锁管理每秒请求的新锁和锁转换次数 ≥0 counts/s 引擎监控 平均锁等待延迟 mssqlavglockwaittime 统计每个导致等待的锁请求的平均等待时间（毫秒） ≥0 ms 引擎监控 待内存授权进程数 mssqlmemorygrantspending 统计等待接受内存授权的进程总数，指示内存压力 ≥0 counts 引擎监控 每秒惰性写入缓存数 mssqllazywritespersec 统计每秒被惰性编辑器（Lazy writes）写入的缓冲数 ≥0 counts/s 引擎监控 无引用页缓冲池停留时间 mssqlpagelifeexpectancy 统计页面不被引用后，在缓冲池中停留的秒数 ≥0 s 引擎监控 每秒页读取次数 mssqlpagereadspersec 统计每秒读取页的个数 ≥0 counts/s 引擎监控 临时表空间大小 mssqltempdbdisksize 当前临时表空间占用磁盘大小 ≥0 MB

本文介绍总体备份方案。 备份类型 全量（数据）备份 ： 对所有目标数据进行备份。全量备份总是备份所有选择的目标，即使从上次备份后数据没有变化。可能得触发方式包括自动备份、手动备份。 增量（数据）备份 ： 即差异备份。针对上一次全量备份后更新的数据进行差异备份。可能得触发方式包括自动备份、手动备份。 日志备份 ： 即事务日志备份。系统自动每30分钟对上一次全量备份或增量备份后更新的数据进行事务日志备份。可能得触发方式包括自动备份。日志备份可以用来将数据恢复到指定时间点。 备份方式 全量备份、增量备份、日志备份均是物理备份。备份文件压缩存储在备份空间中。备份的耗时取决于实例的数据量大小。 备份方案 自动备份 开通SQL Server实例后，系统会设置默认自动备份策略。系统根据您指定的备份保留期保存数据库实例的自动备份。 默认自动备份策略为：备份周期为星期一至星期日（即每天），备份保留天数为7天，默认不开启增量备份。如果实例开通时间点在当前时段的前45分钟内，则备份时间为当前时间段，否则为当前时段的下一个时段，比如开通时间为14:30:00，则备份时段为14:0015:00，如果开通时间为15:46:00，则备份时段为16：0017:00。您可以设置自动备份策略。 自动备份不可以关闭。 若开启增量备份，自动备份以全量备份增量备份增量备份...为周期循环。例如：备份周期已设置为星期一、星期三、星期五，则星期一为全量备份，星期三和星期五为增量备份，依次循环。 若不开启增量备份，自动备份以全量备份全量备份全量备份...为周期循环。例如：备份周期已设置为星期一、星期三、星期五，则星期一、星期三和星期五都是全量备份，依次循环。 增量备份默认不开启，您可以自行设置打开增量备份。 系统自动生成日志备份，每30分钟一次。不可以关闭。 用户在实例中创建新的库后，系统会自动为该新建的库创建一个单库全量备份，在数据备份列表中显示为“fullagentxxx”的备份即为单库全量备份。

本文介绍SQL Server实例删除后备份是否会保留。 保留备份 SQL Server实例退订，实例会有一定时间的保留天数，保留期内备份数据不会删除。 SQL Server实例退订超过保留天数后，实例会被真正删除，，此时数据备份和日志备份均会删除，包括手动备份与自动备份，均不会保留。

本文介绍如何处理超出备份空间免费额度的问题。 备份空间免费额度为订购新实例时所选择的存储空间大小，比如，订购SQL Server实例时，存储空间选择了100GB，则赠送100G的备份空间用于存储备份数据。当备份文件大小超出备份空间免费额度时，可以增加备份存储空间或减少备份空间的使用量。 增加备份存储空间（推荐） 通过扩容备份空间，来增加备份存储空间。操作步骤如下： 1. 进入天翼云SQL Server控制台页面，点击【实例管理】，选择需要扩容的实例，点击【更多】菜单，点击【备份空间扩容】，进入扩容页面。 2. 在备份空间扩容页面，选择扩容空间大小，点击确认并支付。 3. 等待一段时间后，通过实例基本信息页面确认备份空间是否已扩容至已订购的大小。 减少备份空间的使用量 减少备份保留天数，系统会自动删除保留天数之前的备份集以减少空间占用。操作步骤如下： 1. 进入天翼云SQL Server控制台页面，点击【实例列表】，选择实例，点击实例ID进入实例基本信息页面，点击【备份恢复】，进入备份恢复子页面。 2. 点击备【份策略】，修改备份保留天数。 减少备份周期，可以设置一周2~3次备份，为了您的数据安全，数据备份不可关闭且一周至少需要2次备份。操作步骤如下： 1. 进入天翼云SQL Server控制台页面，点击实例列表，选择实例，点击实例ID进入实例详情页面，点击备份恢复，进入备份恢复子页面。 2. 点击备份策略，修改备份周期。 删除手动备份，可以删除保留天数之前的手动备份。操作步骤如下： 1. 进入天翼云SQL Server控制台页面，点击【实例列表】，选择实例，点击实例ID进入实例详情页面，点击备份恢复，进入备份恢复子页面。 2. 点击数据备份，选择需要删除的手动备份，点击删除。注意，并非所有保留天数之前的手动备份都可以删除，必须保证该手动备份不被后续的备份所依赖。

原因 解决办法 未选择正确的资源池 需要切换至正确的资源池。 实例未完成开通 极端情况下会存在着底层资源不足、开通缓慢的情况，此时需要您耐心等待即可。

本文提供SQL Server买错实例退款的说明。 如果您买错了实例，是可以进行实例退订的操作。 详情请参见退订SQL Server实例

本文介绍SQL Server的恢复方案概览。 场景 功能 相关操作 恢复数据 按备份集恢复数据 按备份集恢复数据 恢复数据 将数据恢复至指定时间点 将数据恢复至指定时间点 恢复数据 ZOS备份数据上云 ZOS备份数据上云 恢复数据 跨域恢复 跨域恢复

对已有子账户授权并使用 如果您已提前创建好子账户，希望通过子账户创建开通实例并进行账户的权限控制，可按照如下步骤进行： 操作步骤 1. 进入天翼云官网，通过主账号登录，登入后，右上角选择【我的】，点击【账号中心】，进入个人中心界面。 2. 在左侧导航栏点击【统一身份认证】，进入统一认证服务IAM。 3. 在左侧导航栏点击【用户】页签，在用户列表中找到目标子用户，点击操作列的【查看】按钮。 4. 点击【所属用户组】页签，可查看当前子用户所属用户组。 5. 点击【添加到用户组】按钮，在列表中找到目标用户组，点击【添加】按钮，可在【已选用户组】中看到选择的用户组，点击【移除】按钮可进行移除。点击【确定】按钮，完成添加到用户组操作。 6. 将子用户添加到用户组之后，同样需要将用户组添加到企业项目中，并对用户组设置策略。参考上文中步骤7步骤11。 注意 新建子用户后，需要将子用户添加至用户组，并将用户组添加至企业项目中，对企业项目中用户组设置策略，才可进行权限控制与使用。 SQL Server管理员策略和SQL Server只读策略不能同时赋予，否则会出现权限冲突，导致只有只读权限。

运行状态 可执行操作 创建中 正在创建实例，不支持对实例执行任何操作。 运行中 实例正常可用，可以执行所有操作。 重启中 实例重启中支持查看实例管理和监控页面，以及退订实例，不支持执行其他操作。 退订中 正在退订实例，不支持对实例执行任何操作。 升配中 正在对实例进行升配，不支持对实例执行任何操作。 已暂停 支持续订和查看实例监控。 异常 支持查看实例监控。

本文主要介绍SQL Server实例的自动续费功能。 您可在订购实例时选择自动续费功能。 在受理页的自动续订一项，选择启用自动续订，即可开通自动续订。 说明 按月购买：自动续订周期为1个月，按年购买：自动续订周期为1年。 包年/包月的计费模式支持自动续订，按需计费模式在账户余额充足情况下，会默认自动续订，无需勾选【启用自动续订】。

SQL Server Management Studio (SSMS) 是一种集成环境，汇集了许多图形工具和丰富的脚本编辑器，本章节主要说明如何通过SSMS访问购买的SQL Server实例。 前提条件 已创建SQL Server数据库实例； 已创建登录账号并分配相关数据库权限； 操作步骤 1. 打开SQL Server Management Studio (SSMS) 客户端； 2. 首次运行 SSMS 时，系统将打开连接到服务器 窗口。 如未打开，可以选择对象资源管理器 > 连接 > 数据库引擎，将其手动打开； 3. 此时在连接到服务器对话框中填入以下参数： 参数 说明 服务器类型 选择数据库引擎（通常的默认选项）。 服务器名称 SQLServer实例的连接地址及端口号，连接地址与端口号间用半角逗号（,）隔开。获取公网连接地址可以参考申请或释放外网地址。 身份验证 选择登录的身份验证类型，选择SQL Server身份验证。 登录名 登录账号名。 密码 登录账户密码。 4. 完成所有字段后，单击连接按钮。

本文主要介绍SQL Server实例存储服务的价格。 天翼云SQL Server提供了存储服务，其价格如下表： 产品规格 存储类型 标准价格(元/G/月） 标准价格(元/G/小时） : 单机实例/只读实例 高IO 0.4000 0.0009 单机实例/只读实例 超高IO 1.2000 0.0017 单机实例/只读实例 极速型SSD 2.0000 0.0042 主备实例 高IO 0.7000 0.0015 主备实例 超高IO 2.0000 0.0028 主备实例 极速型SSD 3.2000 0.0068 注意 包年预付费优惠政策：1年85折，2年7折，3年、4年、5年均享受5折优惠。

本文提供SQL Server退订产品的相关说明。 如果您有退订SQL Server产品的需求，可以进行登录天翼云管理中心或SQL Server产品控制台进行退订操作。天翼云目前支持7天无理由全额退订和非七天无理由退订以及其他退订，详细规则请参考 退订规则说明 。 通过订单管理退订 1、登录天翼云官网，进入【费用中心】>【订单管理】>【退订管理】 页面。 2、选择要退订的资源，点击退订，进入退订详情页面。天翼云目前支持单个退订和批量退订。 3、退订前仔细阅读退订须知，然后确认退订资源信息，包括产品名称、资源ID、规格、时间及可退订金额。 4、信息确认无误后勾选协议，点击退订并再次确认，确认后即刻完成退订。退订后资金退回账户余额。 通过产品控制台退订 您可通过SQL Server产品控制台退订， 1. 进入【实例管理】页面，在目标实例的【操作】列，选择【更多 > 退订】。 2. 在退订页面，单击【提交】进行退订操作

计费项 计费项说明 适用的计费模式 计费公式 实例规格 计费项：CPU、内存、实例类型、数据库引擎版本，不同规格的实例类型提供不同的计算、存储、高可用能力。 包年/包月、按需计费 实例规格单价 x 购买时长 存储空间 计费项：存储空间，按统一标准进行计费。 包年/包月、按需计费 存储空间单价 x 存储容量 x 购买时长 备份空间 计费项：备份空间，按统一标准进行计费。 对象存储：按需计费 云硬盘：包年/包月、按需计费 备份空间单价 x 备份收费容量 x 计费时长 说明 备份收费容量：对象存储的备份空间，开通时，赠送与存储空间同等大小的免费额度，超过免费额度外的备份将进行收费。 跨区域备份（可选） 计费项：跨区域备份存储空间，按统一标准进行计费。 按需计费 存储空间单价 x 存储容量 x 购买时长 对象存储流量 计费项：公网流出流量、跨区域备份流量，按统一标准进行计费。 按需计费 对象存储流量单价 x 对象存储流量的收费流量

本节介绍了该产品的服务协议。 产品服务协议，详情请参见这里

问题描述 已配置公网NAT网关，存量Pod能访问公网，但部分新创建的Pod（Pod IP属于新子网）无法访问公网。 问题原因 新增的Pod子网未加入到NAT网关的SNAT规则。 解决办法 请配置NAT网关SNAT规则，加入新配置的子网。 双栈环境下部分Pod解析集群外域名失败，如何处理？ 问题描述 云主机所在子网开启了IPv6，部分Pod解析外部域名正常，部分Pod持续解析外部域名异常。 问题原因 该域名有A记录，没有AAAA记录，异常容器使用musllibc解析域名。当域名解析收到A NoError和AAAA NxDomain组合时，会认为解析失败。 解决办法 1. 容器镜像使用glibc替代musllibc； 2. 或业务不使用libc解析域名，例如Golang服务使用PureGo Resolver解析名称。

本节介绍了云容器引擎的Service类常见问题。 Kubernetes集群中访问LoadBalancer类型Service的ELB地址不通? 对于LoadBalancer类型Service，KubeProxy会将Service的ELB地址绑定到节点的kubeipvs0网卡上，或配置到iptables转发中，当在Kubernetes集群中访问该ELB地址时，请求不会转发到ELB实例，而是被ipvs/iptables转发到对应的后端Pod。如果Service设置了“externalTrafficPolicy:Local”，这时如果节点上没有对应的后端Pod，就会出现网络访问不通的问题。 可以参考以下解决方法处理： 访问集群内的Service服务时，使用服务的ClusterIP或服务名称进行访问 将Service的外部流量策略externalTrafficPolicy改为Cluster，这样请求就能被转发到所有节点的Pod Kubernetes集群内无法访问该集群LoadBalancer类型Service对应ELB的其他端口？ 问题描述 在Kubernetes集群中，如果KubeProxy采用ipvs转发，则LoadBalancer类型Service的ELB地址会被绑定到节点的kubeipvs0网卡上，导致流量不会被转发到ELB实例，IPVS会根据请求地址和端口转发到Service对应的后端Pod。如果其他Kubernetes集群或其他外部服务复用了该集群LoadBalancer类型Service对应的ELB，在该集群内就会出现无法访问这些服务的情况。 处理建议 如果存在LoadBalancer类型Service对应ELB被其他Kubernetes集群或外部服务复用时，建议服务部署在KubeProxy使用iptables模式的集群，iptables匹配不到请求地址及端口，流量会被网络路由到ELB实例 如果KubeProxy都是使用ipvs模式，建议不同Kubernetes集群间暴露LoadBalancer类型Service使用不同的ELB实例 Service使用的ELB在什么情况下会被自动删除？ 只有CCM（Cloud Controller Manager）自动创建的ELB，在以下几种情况，才会被自动删除： 1. 删除Service时，CCM创建的ELB会被自动删除。 2. Service类型由LoadBalancer改为其他类型（如NodePort）时，CCM创建的ELB会被删除。 3. 退订集群时，选择同步删除弹性负载均衡的资源。 4. 通过Service注解（service.beta.kubernetes.io/ctyunloadbalancerreserved: "false"）指定强制删除ELB。 LoadBalancer类型Service未自动新建ELB实例

本文介绍如果不配置集群管理权限，是否可以使用kubectl命令。 如果不配置集群管理权限，是否可以使用kubectl命令呢？ 使用kubectl命令无需经过IAM认证，因此理论上不配置集群管理（IAM）权限是可以使用kubectl命令的。但前提是需要获取具有命名空间权限的kubectl配置文件（kubeconfig），以下场景认证文件传递过程中均存在安全泄露风险，应在实际使用中注意。 场景一：如果某IAM子用户先配置了集群管理权限和命名空间权限，然后在界面下载kubeconfig认证文件。后面再删除集群管理权限（保留命名空间权限），依然可以使用kubectl来操作Kubernetes集群。因此如需彻底删除用户权限，必须同时吊销该子用户的kubeconfig文件。 场景二：如果某IAM用户拥有一定范围的集群管理权限和命名空间权限，然后在界面下载kubeconfig认证文件。此时云容器引擎根据用户信息的权限判断用户对应kubeconfig文件，相当于kubeconfig中就拥有这个用户的认证信息，若其他人获取了这个kubeconfig，则可以通过这个kubeconfig文件访问集群。

本节介绍了云容器引擎的最佳实践;Service实现灰度发布和蓝绿发布 实现云容器引擎的灰度发布，常规做法需要在集群中部署如Nginx Ingress或Traefik这样的开源工具，或者依赖服务网格的功能。这些方案在操作上可能较为复杂，对于只需简单灰度发布且不希望引入过多额外插件或复杂流程的用户来说，可以考虑利用Kubernetes自带的特性来达成目标。这样，我们不仅能实现简单的灰度发布和蓝绿发布，还能保持系统的简洁和高效。 原理介绍 用户在进行业务部署时，通常会选择利用Kubernetes中的无状态负载Deployment和有状态负载StatefulSet等对象，这些对象各自负责管理一组Pod。以Deployment为例，示意图如下： 在Kubernetes中，为了使得工作负载能够被外部访问，用户通常会为每个工作负载创建一个对应的Service。这个Service通过selector机制来匹配后端Pod，从而建立起访问路径。无论是集群内部的其他服务还是集群外部的客户端，只需访问这个Service，就能间接访问到后端Pod所提供的服务。若希望将服务对外暴露，用户只需将Service的类型设置为LoadBalancer，此时，一个弹性负载均衡器（ELB）将作为流量入口，负责将外部请求转发到后端Pod。 灰度发布原理 以Deployment为例，按照上述的方式每个Deployment创建一个Service，Service通过selector匹配后端Pod，通过Service最终访问到业务Pod。使不同Deployment的Pod被同一Service的selector选中，即表示同一Service可以访问不同Deployement的Pod。调整不同版本Deployment的副本数，即可调整路由到不同版本负载的流量比例，实现灰度发布。示意图如下：

阶段四：Pod运行问题 OOM 当集群中的容器使用超过其限制的内存，容器可能会被终止，触发OOM（Out Of Memory）事件，导致容器异常退出。 OOM可能原因 说明 推荐的解决方案 系统内存不足 查看Pod所在节点的内核日志/var/log/messages，日志中存在Killed Process，但不存在kubepods相关日志；且主机内存使用量较高，表明是主机操作系统内存不足。 可能是系统全局内存不足、内存碎片化严重、内存泄露等。可提单排查。 Pod内存不足 查看Pod所在节点的内核日志/var/log/messages，日志中存在类似Task in /kubepods.slice/xxxxx killed as a result of limit of /kubepods.slice/xxxx的报错信息，且主机内存使用量不高或Pod的资源Limit值设置得较小，表明OOM为cgroup级别。 根据业务实际运行需要，适当增大Pod的内存Limit。 Terminating 可能原因 说明 推荐的解决方案 节点存在异常，处于NotReady状态。 节点存在异常，处于NotReady状态。 处于NotReady状态的节点恢复正常后会被自动删除。 Pod配置了Finalizers。 如果Pod配置了Finalizers，Kubernetes会在删除Pod之前执行Finalizers指定的清理操作。如果相关的清理操作没有正常响应，Pod将保持在Terminating状态。 通过kubectl get pod n o yaml查看Pod是否配置了Finalizers，进一步排查异常原因。 Pod的preStop配置异常。 如果Pod配置了preStop，Kubernetes会在c。Pod正处于终止流程的preStop阶段时，Pod将处于Terminating状态。 通过kubectl get pod n o yaml查看Pod的preStop配置，进一步排查异常原因。 Pod配置了优雅退出时间。 如果Pod配置了优雅退出时间（terminationGracePeriodSeconds），Pod收到终止命令后（例如kubectl delete pod 命令）会进入Terminating状态。等待terminationGracePeriodSeconds设定的时间后，或容器提前退出后，Kubernetes才认为Pod已经成功关闭。 等待容器优雅退出后，Kubernetes将自动删除Pod。 容器无响应。 发起停止或删除Pod的请求后，Kubernetes会向Pod内的容器发送SIGTERM信号。如果容器在终止过程中没有正确响应SIGTERM信号，Pod可能会停留在Terminating状态。 使用kubectl delete pod graceperiod0 force强制删除，释放Pod资源。 检查Pod所在节点的containerd或Docker日志，进一步进行排查。 Evicted 可能原因 说明 推荐的解决方案 节点存在资源压力，包括内存不足、磁盘空间不足等，引发kubelet主动驱逐节点上的一个或者多个Pod，以回收节点资源。 可能存在内存压力、磁盘压力、Pid压力等。可以通过kubectl describe node grep Taints命令查询。 内存压力：带有污点node.kubernetes.io/memorypressure。 磁盘压力：带有污点node.kubernetes.io/diskpressure。 Pid压力：带有污点node.kubernetes.io/pidpressure。 内存压力： 根据自身业务情况，调整Pod的资源配置。 磁盘压力： 定时清理节点上的业务Pod日志，防止磁盘空间被耗尽。 为节点进行磁盘扩容。 Pid压力：根据自身业务情况，调整Pod的资源配置。 发生了非预期的驱逐行为。 待运行Pod的节点被手动打上了NoExecute的污点，导致出现非预期的驱逐行为。 通过kubectl describe node grep Taints命令检查节点是否被打上了NoExecute污点。如是，请删除。 未按照预期流程执行驱逐。 podevictiontimeout：当节点宕机时间超过设置时间后，开始驱逐宕机节点上的Pod，默认为5min。 nodeevictionrate：每秒从节点上驱逐的Pod数量。默认为0.1，即每10s至多从一个节点上驱逐Pod。 secondarynodeevictionrate：第二档的节点驱逐速率。当集群中宕机节点过多时，节点驱逐速率会降低至第二档，默认值为0.01。 unhealthyzonethreshold：可用区的不健康阈值，默认为0.55，即当宕机的节点数量超过总节点数的55%时，该可用区被判定为不健康。 largeclustersizethreshold：集群的大规模阈值，默认为50，即当集群节点数量超过50时判定集群为大规模集群。 在小规格的集群（集群节点数小于等于50个节点）中，如果故障的节点大于总节点数的55%，实例的驱逐会被停止。 在大规模集群中（集群节点数大于50），如果集群中不健康的节点数量占总节点数的比例超过了预设的阈值unhealthyzonethreshold（默认为0.55），驱逐速率由secondarynodeevictionrate控制（代表每分钟驱逐节点上Pod的最大比例），默认值为0.01。 容器被驱逐后仍然频繁调度到原节点。 节点驱逐容器时会根据节点的资源使用率进行判断，而容器的调度规则是根据节点上的“资源分配量”进行判断，被驱逐的Pod有可能被再次调度到这个节点，从而出现频繁调度到原节点的现象。 根据集群节点的可分配资源检查Pod的资源Request请求配置是否合理。 Completed Completed状态下，Pod中容器的启动命令已执行完毕，容器中的所有进程均已成功退出。Completed状态通常适用于Job、Init容器等，该状态是正常状态。

本节介绍了云容器引擎节点类常见问题。 容器集群新增节点时的问题与排查方法？ 若是通过集群节点扩容，可在集群节点列表中查看新增的节点概况； 若是通过节点池新增节点，可在节点池详情的伸缩活动中看操作记录。 如何重置容器集群中节点的密码？ 可在集群节点详情页面有重置密码按钮，需两次输入密码校验正确后才生效。 注意 节点重置密码等同于云主机重置密码，请务必保存好密码。 节点重置密码后如何登陆云主机？ 需购买并绑定同一VPC内的弹性IP后，可SSH登陆云主机操作。 容器集群节点中安装kubelet的端口主要有哪些？ 容器集群节点中安装kubelet的端口主要有如下几个： 10250 –port：kubelet服务监听的端口，api会检测他是否存活。 10248 –healthzport：健康检查服务的端口。 10255 –readonlyport：只读端口，可以不用验证和授权机制，直接访问。 4194 –cadvisorport：当前节点cadvisor运行的端口。 容器集群的节点可以更改IP吗？ 不支持修改私网IP：当前容器的集群中把节点私网IP作为kubernetes node名称，kubernetes node名称不支持修改，修改后会导致节点不可用及容器网络异常等故障，所以不支持更换节点私网IP。 支持修改公网IP：节点上的公网IP可以在云主机控制台更换。 如何更改节点Pod数量？ 不同集群单节点支持的最大Pod数是有限制的，默认为110。 登陆到节点上，修改/var/lib/kubelet/config.yaml中配置。 修改参数maxPods为指定的值。 执行systemctl restart kubelet，重启kubelet。

本节介绍了云容器引擎的计费类常见问题。 容器计费项和计费方式是什么？ 支持包年包月和按需计费2种方式，详情可查：点这里 容器如何定价？ 收费项包括：集群管理费、IaaS资源费等, 详情可查：点这里 容器创建的节点是否支持按需转包周期？ 目前不支持按需与包周期互转。 如何为购买的容器实例续费？ 为防止资源到期或者浪费，已经购买包月实例的用户，可执行续费操作，延长容器实例的有效期，也可以设置到期自动续费的相关操作。 开通的容器实例资源何时生效？ 天翼云容器资源在客户支付成功之后，系统经过初始化完成后即可生效使用。 包周期集群到期可以直接删除吗？ 按天翼云规则，到期实例有15天冻结期，期间用户可以发起续订，集群实例会恢复。超过15天冻结期，实例会注销。 如何退订我的容器集群？ 进入控制台，从集群管理列表，可以发起退订。详细可查看：退订集群

本页主要介绍云容器引擎产品的API使用说明。 OpenAPI门户提供了产品的API 文档、API调试、SDK中心等。 关于用户如何使用云容器引擎产品API的详细介绍，请参见使用API。您可以在OpenAPI门户可以了解到具体的调用前必知、API概览、如何调用API以及具体的API的接口详细说明。 Java SDK：ccesdkjavav2.0.5.tar.gz Go SDK：ccesdkgov2.0.3.tar.gz

本节介绍了：CSI的常见问题。 存储FAQCSI 本文主要介绍天翼云存储插件cstorcsi，其安装及使用过程中常见的问题及分析流程。 安装失败 失败原因查看 在“插件”——“插件市场”——选择“cstorcsi”插件安装，完成相关参数配置后点击“安装”；安装详情可以在“插件”——“插件实例”中看到cstorcsi实例，在状态栏查看实例运行状态，如果实例安装失败，可以通过查看状态栏的日志获取部署失败详情。 常见问题 查阅日志报 “no matches for kind “PodSecurityPolicy” in version“policy/v1beta1” 该报错见于在kubernetes v1.25集群上安装cstorcsi v3.1.0版本报错，报错原因是cstorcsi插件安装会部署PodSecurityPolicy资源，但该资源在k8s v1.25中被移除。该问题解决方案为： 1、将cstorcsi升级至3.2.0，按原参数安装即可； 2、如不希望进行组件升级，可以将cstorcsi v3.1.0 value.yaml中，将参数podSecurityPolicy.enabled配置为false，卸载后重新安装即可。 使用cstorcsi创建存储卷错误 通用分析流程 1、在“插件”——“插件实例”查看cstorcsi实例，运行是否异常； 2、进入“工作负载”——“无状态”，切换命名空间为“cstor”，查看名称为“cstorcsiprovisioner”的pod日志，切换容器名称为“csiprovisioner”和“cstorcsiplugin”，查看是否有错误日志输出。 常见问题 1、Can not get AK 该报错是由于cstorcsi安装过程中，未进行AK、SK配置。解决方案为：在”账号中心”——”安全设置”——”用户AccessKey”中查看AK、SK。 卸载cstorcsi后，选择重新安装该插件，在安装配置窗口中根据获得的 AK、SK值，分别填入AuthConfig.AK和AuthConfig.SK字段中，点击安装即可完成插件部署。 2、用户不允许订购按需类订单。 该报错是由于cstorcsi插件开通的云硬盘为按需付费方式，需要账户余额在100元以上才可正常开通。 解决方案：请检查天翼云“账户余额”是否在100元以上。 2、can not support RWX in filesystem mode for disk 当使用cstorcsi安装生成的storageclass，创建持久卷声明（PVC）。正常情况下，创建持久卷声明后，在“存储”——”持久卷”，列表栏会看到相应持久卷（PV）创建，并且状态为“已绑定”。 如果创建持久卷声明后，未发现相应持久卷创建，查看cstorcsiplugin日志输出为 can not support RWX in filesystem mode for disk，表示当前创建的持久卷声明，不支持访问模式为多机读写。 目前，cstorcsi插件安装，默认创建的云硬盘类型的storageclass，其访问模式与是否是共享盘有关，只有在使用共享盘的情况下，支持多机读写，其他情况仅支持单机读写。 解决方案：修改持久卷声明访问模式为“单机读写”。 3、failed to create disk volume, message: disk size should be in range [10G ,32T] 目前，当使用cstorcsi插件安装的storageclass，云硬盘类型要求容量为 [10G ,32T]，文件存储要求容量500G以上。如果创建持久卷声明后，未发现相应持久卷创建，查看cstorcsiplugin日志输出为： failed to create disk volume, message: disk size should be in range [10G ,32T]，表示当前创建的存储卷声明，其容量需要调整为合理范围大小。

名称 类型 描述 示例值 cpuManagerPolicy String CPU 管理器策略。 none kubeAPIQPS Integer 与 API Server 通信的每秒查询个数。 100 kubeAPIBurst Integer 每秒发送到 API Server 的突发请求数量上限。 100 maxPods Integer 运行的 Pod 个数上限。 110 podPidsLimit Integer Pod 中可使用的 PID 个数上限。 1 eventRecordQPS Integer 每秒可生成的事件数量。 5 eventBurst Integer 事件记录的个数的突发峰值上限。 10 topologyManagerPolicy String 使用的拓扑管理器策略名称。 none topologyManagerScope String 拓扑管理策略的资源对齐粒度 container resolvConf String 容器指定DNS解析配置文件 runtimeRequestTimeout String 除长期运行的请求之外所有运行时请求的超时时长 120s serializeImagePulls Boolean 是否逐一拉取镜像。 FALSE registryPullQPS Integer 镜像仓库的 QPS 上限。 5 registryBurst Integer 突发性镜像拉取的个数上限。 10 containerLogMaxFiles Integer 每个容器可以存在的日志文件个数上限。 20 containerLogMaxSize String 日志文件被轮转之前可以到达的最大大小。 50Mi imageGCHighThresholdPercent Integer 镜像用量超过此阈值，则镜像垃圾回收会持续执行。 80 imageGCLowThresholdPercent Integer 镜像用量低于此阈值时不会执行镜像垃圾回收操作。 70 cpuCFSQuota Boolean CPU CFS 配额约束开关。 FALSE systemReservedMem String 系统内存预留 100Mi kubeReservedMem String Kubernetes组件内存预留 100Mi evictionHard:memory.available String 硬驱动逐配置项：节点可用内存值 100Mi evictionHard:nodefs.available String 硬驱动逐配置项：Kubelet使用的文件系统的可用容量的百分比 10% evictionHard:nodefs.inodesFree String 硬驱动逐配置项：Kubelet使用的文件系统的可用inodes数的百分比 5% evictionHard:imagefs.available String 硬驱动逐配置项：容器运行时存放镜像等资源的文件系统的可用容量的百分比 10% evictionHard:imagefs.inodesFree String 硬驱动逐配置项：容器运行时存放镜像等资源的文件系统的可用inodes数的百分比 10% evictionHard:pid.available String 硬驱动逐配置项：留给分配Pod使用的可用PID数的百分比 10% evictionSoft:memory.available String 软驱逐配置项：节点可用内存值 100Mi evictionSoft:nodefs.available String 软驱逐配置项：Kubelet使用的文件系统的可用容量的百分比 10% evictionSoft:nodefs.inodesFree String 软驱逐配置项：Kubelet使用的文件系统的可用inodes数的百分比 10% evictionSoft:imagefs.available String 软驱逐配置项：容器运行时存放镜像等资源的文件系统的可用容量的百分比 10% evictionSoft:imagefs.inodesFree String 软驱逐配置项：容器运行时存放镜像等资源的文件系统的可用inodes数的百分比 10% evictionSoft:pid.available String 软驱逐配置项：留给分配Pod使用的可用PID数的百分比 10% evictionSoftGracePeriod:memory.available String 驱逐周期 10s evictionSoftGracePeriod:nodefs.available String 驱逐周期 10s evictionSoftGracePeriod:nodefs.inodesFree String 驱逐周期 10s evictionSoftGracePeriod:imagefs.available String 驱逐周期 10s evictionSoftGracePeriod:imagefs.inodesFree String 驱逐周期 10s evictionSoftGracePeriod:pid.available String 驱逐周期 10s

避免使用ServcieAccount Secret Token访问集群 Kubernetes 1.21以前版本的集群中，Pod中获取token的形式是通过挂载ServiceAccount的Secret来获取的，这种方式获得的token是永久的，Pod被删除后token仍然存在Secret中，一旦泄露可能导致安全风险。该方式在1.21及以上的版本中不再推荐使用，并且根据社区版本迭代策略，在1.25及以上版本的集群中，ServiceAccount将不会自动创建对应的Secret。 Kubernetes 1.21及以上版本的集群中，直接使用TokenRequest API获得token，并使用投射卷（Projected Volume）挂载到Pod中。使用这种方法获得的token具有固定的生命周期（默认有效期为1小时），在到达有效期之前，Kubelet会刷新该token，保证Pod始终拥有有效的token，并且当挂载的Pod被删除时这些token将自动失效。该方式通过Bound ServiceAccount TokenVolume特性实现，能够提升服务账号（ServiceAccount）token的安全性，Kubernetes 1.21及以上版本的集群中会默认开启。 为了帮助用户平滑过渡，社区默认将Token有效时间延长为1年，1年后token失效，不具备证书reload能力的client将无法访问APIServer，建议使用低版本client的用户尽快升级至高版本，否则业务将存在故障风险。 基于Secret的ServiceAccount Token由于token由于具有上述的安全风险。1.23版本以及以上版本云容器引擎集群推荐使用Bound Servcie Account Token，该方式支持设置过期时间，并且和Pod生命周期一致，可减少凭据泄露风险。例如： apiVersion: apps/v1 kind: Deployment metadata: name: tokenexample namespace: tokenexample spec: replicas: 1 selector: matchLabels: app: tokenexample label: tokenexample template: metadata: labels: app: tokenexample label: tokenexample spec: serviceAccountName: boundsatoken containers: image: nginx imagePullPolicy: Always name: tokenexample volumes: name: testsecurity projected: defaultMode: 420 sources: serviceAccountToken: expirationSeconds: 3600 path: token configMap: items: key: ca.crt path: ca.crt name: kuberootca.crt downwardAPI: items: fieldRef: apiVersion: v1 fieldPath: metadata.namespace path: namespace