2 、创建持久卷声明（ PVC ） 使用kubectl连接集群，创建示例yaml文件pvcexample.yaml： plaintext apiVersion: v1 kind: PersistentVolumeClaim metadata: name: cstorpvczos spec: accessModes: ReadWriteOnce resources: requests: storage: 10Gi storageClassName: cstorcsizosstandardsc 执行以下命令，创建PVC plaintext kubectl apply f pvcexample.yaml 查看创建的PVC： 登录“云容器引擎”管理控制台； 在集群列表页点击进入指定集群； 进入主菜单“存储”——“持久卷声明”，在列表查看。 3 、创建工作负载 使用kubectl连接集群，创建示例yaml文件stsexample.yaml： plaintext apiVersion: "apps/v1" kind: "StatefulSet" metadata: name: "zostest" namespace: "default" spec: podManagementPolicy: "OrderedReady" replicas: 1 revisionHistoryLimit: 10 template: spec: containers: image: "nginx:1.25alpine" imagePullPolicy: "IfNotPresent" name: "container1" resources: limits: cpu: "100m" memory: "256Mi" requests: cpu: "100m" memory: "256Mi" terminationMessagePath: "/dev/terminationlog" terminationMessagePolicy: "File" volumeMounts: mountPath: "/ccetmp" name: "volume1" subPath: "ccsetest" dnsPolicy: "ClusterFirst" restartPolicy: "Always" schedulerName: "defaultscheduler" securityContext: {} terminationGracePeriodSeconds: 30 volumes: name: "volume1" persistentVolumeClaim: claimName: "cstorpvczos" updateStrategy: rollingUpdate: partition: 0 type: "RollingUpdate" 执行以下命令，创建StatefulSet plaintext kubectl apply f stsexample.yaml 查看创建的有状态负载： 登录“云容器引擎”管理控制台； 在集群列表页点击进入指定集群； 进入主菜单“工作负载”——“有状态”，在列表查看。

本节介绍了子账号授权的用户指南。 本节介绍了子账号授权的用户指南，包括授权概述、IAM授权指引、RBAC授权指引。 授权概述 云容器引擎的授权体系包括管控基础云资源和OpenAPI接口的IAM权限体系以及管控K8s资源的RBAC权限体系，可以根据子账号需要访问的资源类型进行授权。 IAM权限控制 IAM权限控制：用户是否可以操作云资源以及OpenAPI接口的权限，具体场景包括： 控制台操作：访问云容器引擎控制台，通过控制台菜单和按钮操作集群。 OpenAPI操作：通过云容器引擎提供的OpenAPI接口（OpenAPI使用可参考 API参考 章节）操作集群。 RBAC权限控制 RBAC权限控制用户是否可以操作K8s集群中的某类资源（如节点、命名空间、工作负载、服务、路由等），具体场景包括： 通过云容器引擎控制台操作K8s资源（如新增或删除一个工作负载、查看节点情况等）。 使用kubeconfig连接到集群，通过kubectl操作K8s资源。 一般来说，通过云容器引擎控制台或OpenAPI操作集群会同时受到IAM权限及RBAC权限的管控，因此需要为子账号同时授予IAM权限及RBAC权限；而通过kubeconfig方式操作集群只会受到RBAC权限的管控，因此只需为子账号授予RBAC权限；需要注意的是，有部分控制台操作不会涉及到集群资源的操作（如查看监控、日志等），那么就只需为子账号授予IAM权限。 IAM授权指引

本节介绍网络的用户指南:服务发现DNS概述。 创建集群时会自动安装CoreDNS插件，用来提供集群内部域名解析。在kubesystem命名空间下，可以查看到CoreDNS相关Pod： kubectl nkubesystem get po l k8sappkubedns NAME READY STATUS RESTARTS AGE coredns84f6584c855rmgq 1/1 Running 0 41h coredns84f6584c85rs4n6 1/1 Running 0 41h 作为集群内部DNS服务器，CoreDNS会将Service域名与Service的IP记录起来，Pod可以向CoreDNS查询Service域名获取对应IP地址。Pod访问的Service域名格式为..svc.，其中为Service名称，为命名空间名称，为集群内部域名，默认为cluster.local。若客户端和服务端在同一个命名空间下，可通过直接访问。建议在集群内部使用Service域名访问Pod，无需感知具体Service地址。 默认情况下，会将Coredns Service的地址作为域名解析服务地址写在Pod的/etc/resolv.conf kubectl nkubesystem get svc kubedns NAME TYPE CLUSTERIP EXTERNALIP PORT(S) AGE kubedns ClusterIP 10.96.0.10 53/UDP,53/TCP,9153/TCP 9d kubectl exec it nginxdemo748fb499d78f2t5 cat /etc/resolv.conf search default.svc.cluster.local svc.cluster.local cluster.local nameserver 10.96.0.10 options ndots:5 Pod内通过Service域名访问后端Pod的DNS解析过程，如下图所示：

配置项 说明 名称 StorageClass的名称。 存储类型 当前支持云盘、弹性文件、对象存储、并行文件和海量文件，这里选择弹性文件。 具体创建页中展示的存储类型由当前资源池支持情况决定。 存储驱动 采用默认CSI驱动。 计费模式 可以选择按需计费或者包年包月。 回收策略 回收策略，默认为Deleted。 Retained（保留）：用户可以手动回收资源。当 PVC对象被删除时，PV 卷仍然存在，对应的数据卷被视为"已释放（released）"。 Deleted（删除）：对于支持 Delete 回收策略的卷插件，删除动作会将 PV对象从 Kubernetes 中移除，同时也会从外部基础设施中移除所关联的存储资产。 如果对数据安全性要求高，推荐使用Retain方式，以免误删数据。 绑定策略 绑定策略，默认为Immediate。 Immediate 模式：表示一旦创建了 PVC，也就完成了卷绑定和动态供应。 对于由于拓扑限制而非集群所有节点可达的存储后端，PV会在不知道 Pod 调度要求的情况下绑定或者制备。 WaitForFirstConsumer模式： 该模式将延迟 PV的绑定和制备，直到使用该 PVC的 Pod 被创建。 PV会根据 Pod 调度约束指定的拓扑来选择或供应。 支持扩容 默认该开关是打开的，一般也建议打开。 如果关闭该开关，则使用该存储类的pvc，无法被扩容。 挂载选项 挂载参数，提供了一些建议参数，用户可根据自己的情况实际定制相关参数。 比如设置挂载参数为： vers：表示指定 NFS 协议的版本 wsize：表示指定了 NFS 协议中用于写入的数据块大小（以字节为单位），设置较大的写入块大小可以提高写入性能 rsize：类似于 wsize，但用于读取的数据块大小 注意 请务必在挂载时使用noresvport参数，该参数可以在网络故障时自动切换端口，保障网络连接，防止文件系统卡住。挂载参数的说明参见 参数 弹性文件存储类型：参数键为type，支持参数值如下： capacity：SFS Turbo标准型 performance：SFS Turbo性能型 可用区：选择随机，或者指定具体的某个可用区。建议与存储产品确认，哪些可用区有并行文件，再进行选择。 存储加密：选择加密后，需要选择具体的秘钥。用户需要提前创建好秘钥，供ccse控制台调用，当前仅支持默认秘钥和按需秘钥。

本节介绍了存储的用户指南:使用ZOS静态存储卷。 使用对象存储静态存储卷时，需预先在对象存储控制台创建Bucket，并通过手动创建PV指定已有Bucket。创建PVC时关联该PV，即可实现容器内挂载对象存储。 此模式需要您先创建Bucket及PV资源，操作和管理相对复杂，通常推荐使用动态创建存储的方式。 前提条件 已创建容器集群。 已在插件市场安装存储插件cstorcsi，且插件正常运行。（建议使用>4.0的CSI版本） 容器集群所在资源池已开通对象存储服务。 已在对象存储控制台创建Bucket。 使用限制 参见“对象存储概述”——“使用限制” 通过控制台使用对象存储静态存储卷 1、创建保密字典 进入天翼云对象存储控制台，进入Access Key管理； 查看对象存储密钥，并记录； 登录“云容器引擎”管理控制台； 在集群列表页点击进入指定集群； 进入主菜单“配置管理”——“保密字典”，选择命名空间，单击左上角“创建”。 输入名称、内容，内容项变量名分别是AK、SK（变量名大写），变量值分别对象上一步中获取到的密钥，点击提交。

本节介绍了:集群概览。 操作场景 查看集群的参数配置以及基础的监控信息。 前提条件 ● 在查看集群信息前，您需要存在⼀个可用集群。若没有可⽤集群，请参照订购集群 内容进行创建。 ● 如果需要查看集群监控信息，您需要确保已经安装监控插件。若没有安装监控插件，请参考插件市场 内容进行创建。 说明 字段 描述 使用率 实际使⽤的物理资源⽐例 使用量 实际使⽤的物理资源 总量 总的物理资源 分配率 当前request的使⽤率 分配量 当前request的使⽤量

本节介绍智算容器价格。 价格 集群规模 计费方式 价格（元/月） 价格（元/年） 管理10节点 包年/包月 10060 120720 管理30节点 包年/包月 29260 351120 管理50节点 包年/包月 48460 581520 管理100节点 包年/包月 96460 1157520 管理200节点 包年/包月 192460 2309520 管理300节点 包年/包月 288460 3461520 管理500节点 包年/包月 480460 5765520 管理1000节点 包年/包月 960460 11525520 管理2000节点 包年/包月 1920460 23045520

image: {imagerepo}/icce/kubeflowexamplespytorchdistmnist:gpucuda12.1 imagePullPolicy: IfNotPresent command: "python3" "/opt/mnist/src/mnist.py" "epochs10" "backendnccl" env: name: PROTOCOLBUFFERSPYTHONIMPLEMENTATION value: python resources: limits: nvidia.com/gpu: 1 Worker: replicas: 1 restartPolicy: OnFailure template: spec: containers: name: pytorch image: {imagerepo}/icce/kubeflowexamplespytorchdistmnist:multi imagePullPolicy: IfNotPresent command: "python3" "/opt/mnist/src/mnist.py" "epochs10" "backendnccl" env: name: PROTOCOLBUFFERSPYTHONIMPLEMENTATION value: python resources: limits: nvidia.com/gpu: 1 NPU模板 xml apiVersion: "kubeflow.org/v1" kind: PyTorchJob metadata: name: pytorchsamplenpu01 namespace: default spec: pytorchReplicaSpecs: Master: replicas: 1 restartPolicy: OnFailure template: spec: containers: name: pytorch image: {imagerepo}/icce/kubeflowexamplespytorchdistmnist:multi imagePullPolicy: IfNotPresent command: "bash" "c" args: ["source /usr/local/Ascend/ascendtoolkit/setenv.sh && python3 /opt/mnist/src/mnist.py epochs10 backendhccl"] env: name: PROTOCOLBUFFERSPYTHONIMPLEMENTATION value: python resources: limits: huawei.com/Ascend910: 1 requests: huawei.com/Ascend910: 1 Worker: replicas: 1 restartPolicy: OnFailure template: spec: containers: name: pytorch image: {imagerepo}/icce/kubeflowexamplespytorchdistmnist:multi imagePullPolicy: IfNotPresent command: "bash" "c" args: ["source /usr/local/Ascend/ascendtoolkit/setenv.sh && python3 /opt/mnist/src/mnist.py epochs10 backendhccl"] env: name: PROTOCOLBUFFERSPYTHONIMPLEMENTATION value: python resources: limits: huawei.com/Ascend910: 1 requests: huawei.com/Ascend910: 1 查看运行状态：点击左侧【工作负载】>【容器组】，找到任务名为前缀的容器，点击名称，查看日志/监控等信息是否符合预期。

操作步骤 1.检查待纳管的云主机是否具备独立数据盘，且首块数据盘未被分区或格式化。独立数据盘非强制要求，但若缺失，容器数据将默认存储于系统盘。 2.若首块数据盘已被分区或格式化，可先备份数据，再使用以下命令擦除磁盘： plaintext wipefs a 3.登录云容器引擎控制台，进入要纳管节点的集。 4.在集群控制台左侧导航栏中选择“节点 ”，切换至“节点”页签并点击“纳管节点”。 5.点击选择“已有的服务器 ”，选择待纳管的云服务器，点击"确定"。 6. 选择“操作系统 ”，填写“登录密码 ”以及“确认密码 ”，再根据需要填写高级配置：节点标签 、节点污点 、部署前/后执行脚本. 7. 单击“下一步 ”，并单击“提交”。 重复纳管 出于数据安全考虑，节点纳管时会跳过已格式化或分区的磁盘。当对主机执行"纳管移除再次纳管"操作时，容器数据将直接存储于系统盘，而非数据盘。 可通过以下步骤使容器数据落于数据盘。 1.登录云主机控制台访问云主机。 2.定位云容器引擎使用的数据盘： 若主机仅有一块数据盘，直接执行步骤3。 若有多块磁盘，容器引擎一般会选择位于系统盘之上（即倒数第二块）的磁盘作为容器数据盘，或通过磁盘类型、容量信息定位磁盘的盘符。 云盘列表中显示的是云盘的名称和id，云盘挂载到os时会自动分配磁盘设备名称，可以使用云盘id前缀查找到云盘的设备名称。 登录到操作系统，可通过如下指令查到云盘在os中的设备名称。 3.检查云盘是否已经被格式化。 可以使用步骤2找到的磁盘设备名称，使用blkid指令检查结果。 plaintext blkid grep nvme1n1 若发现磁盘已经被格式化，则执行wipefs a指令擦除。 4.在云容器引擎控制台执行节点纳管操作。

本节介绍该产品服务等级协议。 产品服务等级协议，详情参见《天翼云云容器引擎服务等级协议》。

Entries added by HostAliases. 127.0.. foo.local bar.local 10.1.. foo.remote bar.remote DNS解析请求流程 若未配置存根域，没有匹配集群域名后缀的任何请求，将转发到节点的上游域名服务器。 若已配置存根域和上游DNS服务器，DNS查询将基于下面的流程进行路由： 查询coredns中的DNS缓存层； 在缓存层，检查请求后缀，根据下面情况转发到对应DNS： 带有集群后缀的域名，例如.cluster.local，请求被发送到Coredns； 带有存根域后缀的域名，例如.test.local，请求被转发到配置的自定义DNS解析器； 其它域名解析请求则被转发到上游DNS。 如下图所示：

通过kubectl命令行使用海量文件静态存储卷 注意 1. 以下配置仅支持CSI版本4.0及其以上，您可以先在插件市场对CSI插件升级，再按照以下配置编写yaml。 2. 以下参数为建议配置，您可在存储产品的支持范围内，根据自身实际情况进行调整。 3. 部分参数由于不常用，示例中以 开头，未放开该参数，如有需求，请您根据实际需求使用。 4. 部分 开头的中文内容为内容解释，并非参数。 1、创建持久卷（PV） 使用kubectl连接集群，创建示例yaml文件pvexample.yaml： plaintext apiVersion: v1 kind: PersistentVolume metadata: name: pvcoceanfstest01 pv的名字，以“pvc”开头，然后记下后缀名，也就是oceanfstest01。 spec: accessModes: ReadWriteOnce capacity: storage: 11Gi 填写存储大小，按照。单位有Mi、Gi、Ti、Pi csi: driver: oceanfs.csi.cstor.com fsType: ext4 volumeAttributes: ccse.ctyun.cn/subPath: /opq/ 子目录，必须以/开头，必须填写子目录的路径 driverType: oceanfs.csi.cstor.com mode: subPath oceanfsUUID: 8c200b3d52f151e9ab409d6bb3e7b65f 填写从存储控制台上取得的海量文件ID protocol: nfs recyclePolicy: DeleteSubPath sharePath: 100.123.136.193:/mnt/sfsmass/dbb34d3272a808e47705f6e16d471949myuk8pv6kkm1pefa/opq/

2、创建持久卷声明（PVC） 进入主菜单“存储”——“持久卷声明”，单击左上角“创建持久卷声明”； 在创建对话框，配置持久卷声明PVC的相关参数。配置项说明如下： 配置项 说明 名称 PVC的名称。 存储声明类型 当前支持云盘、弹性文件、对象存储、并行文件和海量文件，这里选择云盘。 具体创建页中展示的存储类型由当前资源池支持情况决定。 是否指定存储类 在动态创建的场景下，需要指定存储类，并且选择上一步创建的存储类。 是否指定存储卷 在动态创建的场景下，无需指定存储卷。 容量 最小容量10GB，最大容量为32TB。 卷模式 文件系统（Filesystem）：默认方式，该类型卷会被 Pod 挂载（Mount） 到某个目录。 如果卷的存储来自某块设备而该设备目前为空，Kuberneretes 会在第一次挂载卷之前在设备上创建文件系统。 块设备（Block）： 这类卷以块设备的方式交给 Pod 使用，其上没有任何文件系统。 这种模式对于为 Pod 提供一种使用最快可能方式来访问卷而言很有帮助， Pod 和卷之间不存在文件系统层。 说明：如果使用共享盘存储，卷模式仅支持块设备（Block）。 访问模式 单机读写（ReadWriteOnce）：卷可以被一个节点以读写方式挂载。 多机只读（ReadOnlyMany）：卷可以被多个节点以只读方式挂载。 多机读写（ReadWriteMany）：卷可以被多个节点以读写方式挂载。 说明：如果使用非共享盘存储，访问模式不能为ReadWriteMany或者ReadOnlyMany。仅卷模式为块设备（Block）时，才可以使用共享盘，访问模式才可以为ReadWriteMany或者ReadOnlyMany。 高级选项 可用区：可以根据需要手动选择PVC对应存储的可用区。该操作即在PVC上打上标签如下：topology.kubernetes.io/zone: xxxx。 参数配置完成后，点击“确定”。创建成功后，可以在持久卷声明列表查看。 进入持久卷声明列表页，等待PVC状态为“已绑定” 。此时，进入主菜单“存储”——“持久卷“，可以看到对应的PV创建 。 如果PVC一直未绑定，可以查看进入对应PVC详情页查看事件，或者查看cstorcsi日志进行定位。

通过kubectl命令行使用海量文件动态存储卷 注意 1. 以下配置仅支持CSI版本4.0及其以上，您可以先在插件市场对CSI插件升级，再按照以下配置编写yaml。 2. 以下参数为建议配置，您可在存储产品的支持范围内，根据自身实际情况进行调整。 3. 部分参数由于不常用，示例中以 开头，未放开该参数，如有需求，请您根据实际需求使用。 4. 部分 开头的中文内容为内容解释，并非参数。 1、创建存储类（StorageClass） 使用kubectl连接集群，创建示例yaml文件scexample.yaml： plaintext apiVersion: storage.k8s.io/v1 kind: StorageClass metadata: name: cstorcsioceanfsmassivescsharepath provisioner: oceanfs.csi.cstor.com parameters: type: massive mode: sharePath 协议类型，当前仅支持nfs protocol: nfs 是否创建使用VPCE网络的文件系统，不写该字段默认为false，表示不创建 isVpce: "false" 包年包月的类型，当为year表示以年为单位，为month表示以月为单位，只能填写year或者month 如果没有这个字段，则默认为按需计费 cycleType: year 包年包月的周期数，例如当cycleType为year，那么cycleCount为2则表示2年，只能填写正整数 当配置了cycleType，那么cycleCount才会生效 cycleCount: "2" 选择拓扑区域，如果是天翼云iaas的存储产品，就是对应选择可用区，value填写存储openapi里的可用区的azName 当storageClass配置了volumeBindingMode: WaitForFirstConsume或者配置了allowedTopologies时，

本页主要介绍云容器引擎产品的API使用说明。 OpenAPI门户提供了产品的API 文档、API调试、SDK中心等。 关于用户如何使用云容器引擎产品API的详细介绍，请参见使用API。您可以在OpenAPI门户了解到具体的调用前必知、API概览、如何调用API以及具体的API的接口详细说明。 Java SDK：ccesdkjavav2.0.5.tar.gz Go SDK：ccesdkgov2.0.3.tar.gz

本节介绍了存储的用户指南:使用SFS静态存储卷。 使用弹性文件静态存储卷时，需预先在弹性文件控制台创建文件系统，并通过手动创建PV指定已有文件系统。创建PVC时关联该PV，即可实现容器内挂载弹性文件。 此模式要求您自行创建文件系统及PV资源，操作和管理相对复杂，通常推荐使用动态创建存储的方式。 前提条件 已创建容器集群 已在插件市场安装存储插件cstorcsi，且插件正常运行。（建议使用>4.0的CSI版本） 已在弹性文件控制台创建文件系统 已建文件系统VPC需要包括容器集群所属VPC，如没有，在存储控制台文件系统列表页，针对指定实例点击“添加VPC” 使用限制 参见 弹性文件使用限制 通过控制台使用弹性文件静态存储卷 1、创建持久卷（PV） 登录“云容器引擎”管理控制台； 在集群列表页点击进入指定集群； 进入主菜单“存储”——“持久卷”，单击左上角“创建持久卷”； 在创建对话框，配置持久卷PV的相关参数。配置项说明如下： 配置项 说明 标签 用于对 PV 对象进行标记和分类的元数据属性，可以赋予 PV 以自定义的属性或标识。 持久卷类型 当前支持云盘、弹性文件、对象存储、并行文件和海量文件，这里选择弹性文件。 具体创建页中展示的存储类型由当前资源池支持情况决定。 存储驱动 采用默认CSI驱动。 弹性文件名称 选择已创建文件系统。 访问模式 单机读写（ReadWriteOnce）：卷可以被一个节点以读写方式挂载。 多机只读（ReadOnlyMany）：卷可以被多个节点以只读方式挂载。 多机读写（ReadWriteMany）：卷可以被多个节点以读写方式挂载。 挂载选项 挂载参数，用户可根据自己的情况实际定制相关参数。 注意 请务必在挂载时使用noresvport参数，该参数可以在网络故障时自动切换端口，保障网络连接，防止文件系统卡住。挂载参数的说明参见 查看这里 名称 PV的名称，以pvc开头。 已有存储类 选择存储类功能在静态存储卷场景下较少使用。 仅当已存在带有存储类声明的持久卷申明（PVC）时，才需在此处配置匹配的存储类以实现绑定。 说明 静态导入场景下，回收策略均为默认Retain，cstorcsi不会删除数据。 参数配置完成后，点击“确定”。创建成功后，可以在持久卷列表查看，此时PV状态为“可用”。

GPU物理机：物理机搭建DeepSeek指南

本节介绍了云容器引擎的最佳实践:如何将Ingress服务暴露到公网。 如果你是通过Ingress访问你的服务，并且想通过公网访问，可为集群Ingress服务配置天翼云ELB。 具体配置步骤如下： 1、登录到控制台，进入服务所在的集群，选择菜单“网络“>”服务“，命名空间选择“kubesystem”，点击”创建服务“按钮。 2、其中负载均衡一栏，选择公网访问，从列表中选择一个要绑定的负载均衡（如果列表为空，请确认你是否有可用的负载均衡，没有的话，请先到ELB控制台创建）。 端口映射一栏，填写好容器端口和服务端口（该端口是负载均衡的监听端口）。如下所示： 注意 nginxingresscontroller pod 默认的http端口是10080，默认的https端口是10443。 如需修改，可以到nginxingresscontroller插件yaml修改端口号。 3、工作负载绑定一栏，类型选择Deployment，名称选择nginxingresscontrollernginxingresscontroller，然后点击提交。 注意 选择工作负载前请先确认nginxingresscontroller插件的版本，如果版本小于1.3.5，这里工作负载类型应选择DaemonSet 4、待ELB绑定后，即可通过服务列表中“集群外访问”中的外网地址访问服务了。

本节介绍了ETCD备份保存到对象存储的用户指南。 进入云容器引擎的集群，在左侧菜单点击“插件”>“插件市场”，搜索“ccsebackup”插件，点击“安装”。 在弹出界面的参数设置部分，有以下这样的一段配置 本插件支持将备份包保存到对象存储或本地。默认地会使用本地存储，且将保存到“/home/docker/backup”目录下，如需要更替备份目录，可直接修改该字段的内容。 另外如果想把备份包存储到对象存储，则将上述配置修改，oss.provider需要改成 s3，另外OSS相关参数也需要填上，类似下面形式： oss: provider: "s3" accesskeyId: "yourossak" accesskeySecret: "yourosssk" bucket: "yourossbucket" endpoint: "yourossendpoint" local: path: "" 配置完成后，点击“安装”，界面会自动切换到“插件实例”，稍等片刻后，待插件安装完毕，即可开始使用。

操作系统 最新内核信息 支持 x86主机 支持 ARM 主机 支持GPU主机 集群版本 CubeCNI PolicyRoute （默认） CubeCNI IPVlan （订购时选择） CTyunOS 23.01 5.10.0136.12.0.88.5.ctl3.x8664 √ × × v1.31 √ √ CTyunOS 23.01 5.10.0136.12.0.88.5.ctl3.x8664 √ × × v1.29 √ √ CTyunOS 23.01 5.10.0136.12.0.88.5.ctl3.x8664 √ × × v1.27 √ √ CTyunOS 23.01 5.10.0136.12.0.88.5.ctl3.x8664 √ × × v1.25 √ √ CTyunOS 23.01 5.10.0136.12.0.88.5.ctl3.x8664 √ × × v1.23 √ √ CTyunOS 2.0.1 4.19.902102.2.0.0062.ctl2.x8664 √ × × v1.31 √ × CTyunOS 2.0.1 4.19.902102.2.0.0062.ctl2.x8664 √ × × v1.29 √ × CTyunOS 2.0.1 4.19.902102.2.0.0062.ctl2.x8664 √ × × v1.27 √ × CTyunOS 2.0.1 4.19.902102.2.0.0062.ctl2.x8664 √ × × v1.25 √ × CTyunOS 2.0.1 4.19.902102.2.0.0062.ctl2.x8664 √ × × v1.23 √ × CentOS 7.9 3.10.01160.el7.x8664 √ × × v1.31 √ × CentOS 7.9 3.10.01160.el7.x8664 √ × × v1.29 √ × CentOS 7.9 3.10.01160.el7.x8664 √ × × v1.27 √ × CentOS 7.9 3.10.01160.el7.x8664 √ × × v1.25 √ × CentOS 7.9 3.10.01160.el7.x8664 √ × × v1.23 √ ×

本节介绍了集群定时备份的用户指南。 操作场景：为增强集群容灾能力，提高集群可靠性。可对集群进行定时备份。 前提条件：用户需要在所操作的集群的插件市场中安装备份还原插件“ccsebackup”。 创建任务 定时备份提供按指定时间执行备份还原任务，配置操作大体与集群备份的相似。 在云容器引擎控制台菜单中按照以下路径进入界面【集群】{选定的集群}【备份】 【集群定时备份】,点击【创建备份】，弹出创建备份对话框。 名称、命名空间、资源和持久卷的配置与集群备份余下字段则与定时执行相关。 名称 说明 保留天数 必填，定时备份后产生的备份包所保留的天数，超过保留天数的备份包则会被自动清理 时间点 必填，定时备份时执行的时间点，为整点 重复周期 必填，定时备份任务重复在一周内哪几天触发执行 说明 此处建议保留天数要大于两个定时备份任务执行的间隔天数，否则会导致任务执行完毕后，还没等到下个任务开始，就被清理 点击“创建后”完成定时任务创建。 新建的定时备份任务会被展示在列表中，列表末端的操作列包含三个按钮： 编辑：弹出定时任务编辑框修改定时任务信息。 立即执行：马上触发备份任务执行。 删除：删除当前定时备份任务。 任务详情 在定时任务列表中点击任务名称，进入定时任务详情页。在详情页面可以看到定时任务的名称、所备份的命名空间、资源类型、是否包含持久卷、任务创建时间、备份包的保留天数和备份任务的重复周期这些信息。此外在“相关备份任务”中展示了每次执行的任务信息。 任务信息包括了任务名称、大小，任务执行的状态，任务的执行时间等。 另外列表中还包含了一个操作列，操作包括还原、下载和删除，功能与集群备份的列表的一致。

使用场景 根据业务需求，对象存储类型的存储卷常见以下使用场景： 使用对象存储动态存储卷：即用户无需预先创建bucket，只需创建PVC时指定存储类（StorageClass），存储插件cstorcsi就会自动创建bucket及对应PV资源，推荐使用。 使用对象存储静态存储卷：即用户预先创建bucket，并创建对应的PV资源。之后在创建PVC时选择已有PV进行挂载。适用于已有可用的底层存储或底层存储需要包周期的场景。 有状态负载挂载对象存储：支持有状态负载通过PVC模版的方式，实现为每一个Pod关联一个独有的PVC及PV，当Pod被重新调度后，仍然能够根据该PVC名称挂载原有的数据。 说明 通过存储插件动态创建的bucket，默认计费模式为按需订购。关于对象存储按需计费详情，请参见点这里。

本节介绍了镜像拉取凭证的用户指南。 创建镜像拉取凭证 方式1：通过界面创建镜像拉取凭证 1、登陆云容器引擎控制台， 点击左侧导航栏中的集群，进入集群列表页。 2、在集群列表中点击需要创建拉取的集群，进入集群管理页面。 3、在集群管理页面导航栏中选择配置管理 > 保密字典，进入保密字典信息页面。 4、点击新建，进入新建保密字典页面，类型选择镜像拉取凭证。 5、根据实际需求，设置参数。参数说明可参考下表： 参数 参数说明 名称 新建的镜像拉取凭证名称，同⼀个命名空间里命名必须唯⼀ 仓库域名 需要使用凭证认证的仓库域名 用户名 仓库认证用户名 密码 仓库认证密码 serviceAccount 在指定serviceAccount中加入该镜像拉取凭证 6、点击提交，完成创建。 ServiceAccount的作用 当ServiceAccount中指定镜像拉取凭证时，可以实现自动为Pod注入镜像拉取凭证。具体如下： 如果Pod没有显示指定镜像拉取凭证，但Pod使用的ServiceAccount中指定了镜像拉取凭证，则Kubernetes会自动将该镜像拉取凭证注入Pod的spec中，使得Pod可以拉取私有镜像。 方式2：使用Yaml创建镜像拉取凭证 1、登陆云容器引擎控制台， 点击左侧导航栏中的集群，进入集群列表页。 2、在集群列表中点击需要创建镜像拉取凭证的集群，进入集群管理页面。 3、在集群管理页面导航栏中选择配置管理 > 保密字典，进入保密字典信息页面。 4、点击新建YAML，进⼊新增Yaml页面。 5、Yaml编辑窗口提供⼀个默认的Secret Yaml模板，可参考模板中kubernetes.io/dockerconfigjson类型的Secret创建需要的镜像拉取凭证。

本节介绍了守护进程的用户指南。 基本概念 创建守护进程集：即kubernetes中的“DaemonSet”，守护进程集确保全部（或者某些）节点都运行一个Pod实例，支持实例动态添加到新节点，适用于实例在每个节点上都需要运行的场景，如ceph、fluentd、Prometheus Node Exporter等。 操作场景 守护进程集（DaemonSet）可以确保全部（或者某些）节点上仅运行一个Pod实例，当有节点加入集群时，也会为他们新增一个 Pod。当有节点从集群移除时，这些Pod也会被回收。删除 DaemonSet 将会删除它创建的所有Pod。 使用DaemonSet的一些典型用法： 运行集群存储daemon，例如在每个节点上运行glusterd、ceph。 在每个节点上运行日志收集daemon，例如fluentd、logstash。 在每个节点上运行监控daemon，例如Prometheus Node Exporter、collectd、Datadog代理、New Relic代理，或Ganglia gmond。 一种简单的用法是为每种类型的守护进程在所有的节点上都启动一个DaemonSet。一个稍微复杂的用法是为同一种守护进程部署多个DaemonSet；每个具有不同的标志， 并且对不同硬件类型具有不同的内存、CPU要求。 前提条件 在创建守护进程集前，您需要存在一个可用集群。若没有可用集群，请参照集群开通中内容创建。 操作步骤及说明 创建DaemonSet与创建Deployment的过程类似，仅升级方式有差异，需要注意： 删除升级（不推荐这种升级方式）：如果设置DaemonSet的升级方式为删除升级，那么我们全量替换升级DaemonSet时，全量替换更新的内容在我们重新部署Pods前是不会生效的。 滚动升级：如果设置DaemonSet的升级方式为滚动升级，那么我们全量替换升级DaemonSet时，k8s会自动帮我们删除重建DaemonSet的每一个Pod，此时有一个可选的参数MaxUnavailable。MaxUnavailable：设置升级过程中最多有多少个Pod处于不可用状态，默认值为1。

查看备份 在备份列表中点击备份任务的任务名，可进入备份任务详情页。 备份详情页可查看备份任务名称、创建时间和备份文件列表。 其中备份文件列表是一个以当前备份任务组成的树状图，每一行记录包含了备份文件文件名，文件大小，文件的创建日期和时间。同时附带了两个功能按钮，“下载”和“还原”。 执行还原与下载还原 在备份详情页面的备份文件列表中，包含两个功能按钮： 下载：将备份文件下载到用户本地浏览器所在机器上， 还原：按当前备份包执行还原任务，还原到当前集群中。

本节介绍了云容器引擎概览的入门指引。 操作场景 概览用于查看用户整体的集群和节点情况。集群部分展示资源使用情况、组件状态、节点状态、资源对象数量和异常Pod。 前提条件 登录云容器引擎控制台。你需要开通集群后才能在概览界面看到相应的数据。若没有集群，请参考：订购集群 进行创建。 集群的CPU使用率、内存使用率、磁盘使用率、Pod使用率需安装监控插件才能呈现。若要安装监控插件，请参考：插件市场 安装插件的内容进行安装，也可以在概览界面上进行快捷安装。 操作步骤 通过切换集群可以展示不同集群的资源使用情况、组件状态、节点状态、资源对象数量和异常Pod。

本节介绍了:创建一个无状态工作负载——查看容器实例日志的用户指引。 在工作负载实例详情的界面中，选择日志可以查看容器实例的日志。

避免使用ServcieAccount Secret Token访问集群 Kubernetes 1.21以前版本的集群中，Pod中获取token的形式是通过挂载ServiceAccount的Secret来获取的，这种方式获得的token是永久的，Pod被删除后token仍然存在Secret中，一旦泄露可能导致安全风险。该方式在1.21及以上的版本中不再推荐使用，并且根据社区版本迭代策略，在1.25及以上版本的集群中，ServiceAccount将不会自动创建对应的Secret。 Kubernetes 1.21及以上版本的集群中，直接使用TokenRequest API获得token，并使用投射卷（Projected Volume）挂载到Pod中。使用这种方法获得的token具有固定的生命周期（默认有效期为1小时），在到达有效期之前，Kubelet会刷新该token，保证Pod始终拥有有效的token，并且当挂载的Pod被删除时这些token将自动失效。该方式通过Bound ServiceAccount TokenVolume特性实现，能够提升服务账号（ServiceAccount）token的安全性，Kubernetes 1.21及以上版本的集群中会默认开启。 为了帮助用户平滑过渡，社区默认将Token有效时间延长为1年，1年后token失效，不具备证书reload能力的client将无法访问APIServer，建议使用低版本client的用户尽快升级至高版本，否则业务将存在故障风险。 基于Secret的ServiceAccount Token由于token由于具有上述的安全风险。1.23版本以及以上版本云容器引擎集群推荐使用Bound Servcie Account Token，该方式支持设置过期时间，并且和Pod生命周期一致，可减少凭据泄露风险。例如： apiVersion: apps/v1 kind: Deployment metadata: name: tokenexample namespace: tokenexample spec: replicas: 1 selector: matchLabels: app: tokenexample label: tokenexample template: metadata: labels: app: tokenexample label: tokenexample spec: serviceAccountName: boundsatoken containers: image: nginx imagePullPolicy: Always name: tokenexample volumes: name: testsecurity projected: defaultMode: 420 sources: serviceAccountToken: expirationSeconds: 3600 path: token configMap: items: key: ca.crt path: ca.crt name: kuberootca.crt downwardAPI: items: fieldRef: apiVersion: v1 fieldPath: metadata.namespace path: namespace

扩展配置 针对以下不同场景，可以扩展CoreDNS的配置： 开启日志服务 在corefile里加上log以开启Log插件，打印CoreDNS域名解析日志，示例配置如下： Corefile: .:53 { errors log health { lameduck 15s } ready kubernetes cluster.local inaddr.arpa ip6.arpa { pods insecure fallthrough inaddr.arpa ip6.arpa ttl 30 } prometheus :9153 forward . /etc/resolv.conf { preferudp } cache 30 loop reload loadbalance } 特定域名使用自定义DNS服务器 例如对.example.com类型后缀的域名需要经过自建DNS服务解析，可为域名配置一个单独的服务块，示例配置如下： example.com:53 { errors cache 30 forward . 10.10.0.10 { preferudp } } Corefile: .:53 { errors health { lameduck 15s } ready kubernetes cluster.local inaddr.arpa ip6.arpa { pods insecure fallthrough inaddr.arpa ip6.arpa ttl 30 } prometheus :9153 forward . /etc/resolv.conf { preferudp } cache 30 loop reload loadbalance } example.com:53 { errors cache 30 forward . 10.10.0.10 { preferudp } } 外部域名完全使用自建DNS服务器 可以选择让所有集群外部域名都使用自建DNS服务器，示例配置如下： Corefile: .:53 { errors health { lameduck 15s } ready kubernetes cluster.local inaddr.arpa ip6.arpa { pods insecure fallthrough inaddr.arpa ip6.arpa ttl 30 } prometheus :9153 forward . 10.10.0.10 10.10.0.20 { preferudp } cache 30 loop reload loadbalance }

2、创建持久卷声明（PVC） 进入主菜单“存储”——“持久卷声明”，单击左上角“创建持久卷声明”。 在创建对话框，配置持久卷声明PVC的相关参数。配置项说明如下： 配置项 说明 名称 PVC的名称。 存储声明类型 当前支持云盘、弹性文件、对象存储、并行文件、海量文件，这里选择海量文件。 具体创建页中展示的存储类型由当前资源池支持情况决定。 是否指定存储类 选择存储类功能在静态存储卷场景下较少使用。 仅当已存在带有存储类声明的持久卷申明（PVC）时，才需在此处配置匹配的存储类以实现绑定。 是否指定存储卷 在静态创建的场景下，需要指定上一步的存储卷。 持久卷名称 选择上一步创建的PV名称。 参数配置完成后，点击“确定”。创建成功后，可以在持久卷声明列表查看。 进入持久卷声明列表页，等待PVC状态为“已绑定”。 3、创建工作负载 1. 登录“云容器引擎”管理控制台； 2. 在集群列表页点击进入指定集群； 3. 进入主菜单“工作负载”——“有状态”，单击左上角“创建SatefulSet”； 4. 在创建对话框，数据存储栏中，选择添加存储卷，卷类型选择“已有存储卷申明（PVC）”，操作栏选择“选择已有存储申明”；根据自己需要设置挂载路径、子路径和权限， 参数说明： 挂载路径：存储挂载到容器后，容器内部显示的路径地址。不建议使用类似于/usr或者/tmp类似的已有的容器目录路径，可能会造成目录相互遮蔽。 子路径：需要挂载的存储源地址的子目录 权限：读写/只读 示例：将PVC“oceanfs”对应存储的subpath指向的子目录（subpath为空表示使用根目录），挂载到容器里的/test路径上。 5. 所有的信息都配置完成后，单击“提交”，创建成功后，您就可以正常使用数据卷。

函数计算：天翼云函数计算与DeepSeek大模型

名称 类型 描述 示例值 cpuManagerPolicy String CPU 管理器策略。 none kubeAPIQPS Integer 与 API Server 通信的每秒查询个数。 100 kubeAPIBurst Integer 每秒发送到 API Server 的突发请求数量上限。 100 maxPods Integer 运行的 Pod 个数上限。 110 podPidsLimit Integer Pod 中可使用的 PID 个数上限。 1 eventRecordQPS Integer 每秒可生成的事件数量。 5 eventBurst Integer 事件记录的个数的突发峰值上限。 10 topologyManagerPolicy String 使用的拓扑管理器策略名称。 none topologyManagerScope String 拓扑管理策略的资源对齐粒度 container resolvConf String 容器指定DNS解析配置文件 runtimeRequestTimeout String 除长期运行的请求之外所有运行时请求的超时时长 120s serializeImagePulls Boolean 是否逐一拉取镜像。 FALSE registryPullQPS Integer 镜像仓库的 QPS 上限。 5 registryBurst Integer 突发性镜像拉取的个数上限。 10 containerLogMaxFiles Integer 每个容器可以存在的日志文件个数上限。 20 containerLogMaxSize String 日志文件被轮转之前可以到达的最大大小。 50Mi imageGCHighThresholdPercent Integer 镜像用量超过此阈值，则镜像垃圾回收会持续执行。 80 imageGCLowThresholdPercent Integer 镜像用量低于此阈值时不会执行镜像垃圾回收操作。 70 cpuCFSQuota Boolean CPU CFS 配额约束开关。 FALSE systemReservedMem String 系统内存预留 100Mi kubeReservedMem String Kubernetes组件内存预留 100Mi evictionHard:memory.available String 硬驱动逐配置项：节点可用内存值 100Mi evictionHard:nodefs.available String 硬驱动逐配置项：Kubelet使用的文件系统的可用容量的百分比 10% evictionHard:nodefs.inodesFree String 硬驱动逐配置项：Kubelet使用的文件系统的可用inodes数的百分比 5% evictionHard:imagefs.available String 硬驱动逐配置项：容器运行时存放镜像等资源的文件系统的可用容量的百分比 10% evictionHard:imagefs.inodesFree String 硬驱动逐配置项：容器运行时存放镜像等资源的文件系统的可用inodes数的百分比 10% evictionHard:pid.available String 硬驱动逐配置项：留给分配Pod使用的可用PID数的百分比 10% evictionSoft:memory.available String 软驱逐配置项：节点可用内存值 100Mi evictionSoft:nodefs.available String 软驱逐配置项：Kubelet使用的文件系统的可用容量的百分比 10% evictionSoft:nodefs.inodesFree String 软驱逐配置项：Kubelet使用的文件系统的可用inodes数的百分比 10% evictionSoft:imagefs.available String 软驱逐配置项：容器运行时存放镜像等资源的文件系统的可用容量的百分比 10% evictionSoft:imagefs.inodesFree String 软驱逐配置项：容器运行时存放镜像等资源的文件系统的可用inodes数的百分比 10% evictionSoft:pid.available String 软驱逐配置项：留给分配Pod使用的可用PID数的百分比 10% evictionSoftGracePeriod:memory.available String 驱逐周期 10s evictionSoftGracePeriod:nodefs.available String 驱逐周期 10s evictionSoftGracePeriod:nodefs.inodesFree String 驱逐周期 10s evictionSoftGracePeriod:imagefs.available String 驱逐周期 10s evictionSoftGracePeriod:imagefs.inodesFree String 驱逐周期 10s evictionSoftGracePeriod:pid.available String 驱逐周期 10s