本节介绍如何对上传的文件进行IaC扫描。 前提条件 已上传需要检测的K8S manifests、dockerfile、Configmap文件。 操作步骤 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“IaC安全 > IaC检查”，进入IaC检查页面。 3. 选择检查的文件类型。 4. 单击检查列表操作列的“扫描”按钮或者列表右上角的“开始扫描”，可对已上传的文件进行检测。 5. 扫描后，到“任务中心 > 扫描任务队列 > IaC安全扫描队列”中查看扫描状态及生成扫描结果。

本文介绍如何对集群节点进行扫描。 扫描节点 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“节点安全”，进入节点安全页面。 3. 单击节点列表右上方的“开始扫描”，可选择扫描全部节点或者仅扫描列表中勾选的节点。 4. 单击“确定”，立即开始扫描，扫描状态变为“扫描中”。 重新扫描 扫描完成后，可以单击操作列的“重新扫描”，重新对节点进行扫描。

本节主要介绍与其它服务的关系 应用服务网格与周边服务的依赖关系如下图所示。 应用服务网格与其他云服务关系 云容器引擎 CCE 云容器引擎（Cloud Container Engine）提供高可靠高性能的企业级容器应用管理服务，支持Kubernetes社区原生应用和工具，简化云上自动化容器运行环境搭建。 您可以通过ASM部署运行在云容器引擎上。 弹性负载均衡 ELB 弹性负载均衡（ Elastic Load Balance，ELB）将访问流量自动分发到多台云服务器，扩展应用系统对外的服务能力，实现更高水平的应用容错。 您可通过弹性负载均衡从外部访问ASM。 应用运维管理 AOM 应用运维管理AOM为您提供一站式立体运维平台，实时监控应用、资源运行状态，通过数十种指标、告警与日志关联分析，快速锁定问题根源，保障业务顺畅运行。 您可使用应用运维管理，对ASM中的服务和资源进行实时监控，对指标、告警和日志进行关联分析。 应用性能管理 APM（待上线） 应用性能管理服务（Application Performance Management，简称APM）是实时监控并管理云应用性能和故障的云服务，提供专业的分布式应用性能分析能力，可以帮助运维人员快速解决应用在分布式架构下的问题定位和性能瓶颈等难题，为用户体验保驾护航。 您可使用应用性能管理，对ASM中运行的服务进行全链路拓扑管理和分布式调用链追踪，方便您快速进行故障定位和根因分析。

本节主要介绍产品优势 快速接入 客户应用的快速接入。可以选择使用容器、虚机等方式部署应用，快速实现分布式微服务应用的细粒度治理和高可用保障。 开源开放 多种微服务开发框架支持。支持SpringCloud、ServiceComb等主流微服务框架，支持使用service mesh接入客户的既有应用。 稳定可靠 帮助用户实现云原生化改造。提供业务的微服务基础支撑底座，满足云原生用户严苛的性能、可用性和安全合规要求。 多语言 兼容客户的异构遗留系统。提供Java、Go、.NET、Node.js、PHP等多语言微服务解决方案。

本章节介绍如何使用云容器引擎快速接入云原生网关 概述 云原生网关体验流程如下： 创建网关实例 > 绑定ELB > 添加服务来源 > 添加服务 > 配置路由规则 > 测试验证 > 查看监控 前置条件 1. 已创建云原生网关实例； 2. 已创建ELB实例； 3. 已开通天翼云日志服务（LTS）和应用性能监控服务（APM），网关实例开启了指标监控、链路追踪和日志服务； 绑定ELB 实例开通成功后，需要绑定到ELB提供外部访问；当前支持私网ELB和公网ELB；可以到ELB开通页面在网关同VPC下创建ELB实例； 从网关列表页选择指定网关进入网关详情页，在基础信息页可以看到网关入口选项，选择绑定ELB，在下拉列表中选择已经开通的公网或者私网ELB实例及端口，绑定即可。 绑定完成后可以看到当前绑定的ELB列表及访问地址。 添加服务来源 通过网关列表页面选择网关实例进入对应实例的详情页，在服务来源子菜单下可以添加云原生网关的服务来源，当前支持将与网关同vpc下的nacos实例和云容器引擎集群作为服务来源 添加服务 在网关实例服务列表菜单下可以创建服务，当前支持从容器、Nacos服务来源创建服务，或者创建固定地址的服务； 选择从容器创建服务时需要指定： （1）服务所在的命名空间； （2）在服务列表栏可以看到选择的命名空间下的服务信息（K8s Service），每个服务可能有多个端口，在云原生网关中，每个端口都可以创建为一个服务； （3）根据需求可以配置后端服务的请求协议（HTTP、HTTPS、GRPC、GRPCS）、websocket选项、MTLS选项等；

对象名称 对象介绍 委托 在安装智算套件时，会创建isuitedelegate委托。 对象存储 在安装智算套件时，会在当前地域/当前可用区下创建存储桶。 isuitecrs<regionAlias><region+租户ID的哈希值> isuitezos<regionAlias><region+租户ID的哈希值>：用于下方的容器镜像服务实例。 容器镜像服务 在安装智算套件时，会在当前地域创建一个容器镜像服务实例。 isuite<region+租户ID的哈希值>

对象名称 对象介绍 委托 在安装智算套件时，会创建isuitedelegate委托。 对象存储 在安装智算套件时，会在当前地域/当前可用区下创建存储桶。 isuitecrs<regionAlias><region+租户ID的哈希值> isuitezos<regionAlias><region+租户ID的哈希值>：用于下方的容器镜像服务实例。 容器镜像服务 在安装智算套件时，会在当前地域创建一个容器镜像服务实例。 isuite<region+租户ID的哈希值>

Node节点 Node节点是集群的计算节点，即运行容器化应用的节点。 kubelet：kubelet主要负责同Container Runtime打交道，并与API Server交互，管理节点上的容器。 kubeproxy：应用组件间的访问代理，解决节点上应用的访问问题。 Container Runtime：容器运行时，如Docker，最主要的功能是下载镜像和运行容器。 Master节点数量与集群规模 在CCE中创建集群，Master节点可以是1个或3个，3个Master节点会按高可用部署，确保集群的可靠性。 Master节点的规格决定集群管理Node节点的规模，创建集群时可以选择集群管理规模，这个规模就是指的集群可以有多少个Node节点，例如50节点、200节点等。 集群的网络 从网络的角度看，集群的节点都位于VPC之内，节点上又运行着容器，每个容器都需要访问，节点与节点、节点与容器、容器与容器都需要访问。 集群的网络可以分成三个网络来看。 节点网络：为集群内节点分配IP地址。 容器网络：为集群内容器分配IP地址，负责容器的通信，当前支持多种容器网络模型，不同模型有不同的工作机制。 服务网络：服务（Service）是用来解决访问容器的Kubernetes对象，每个Service都有一个固定的IP地址。 在创建集群时，您需要为各个网络选择合适的网段，确保各网段之间不存在冲突，每个网段下有足够的IP地址可用。 集群创建后不支持修改容器网络模型 ，您需要在创建前做好规划和选择。 强烈建议您在创建集群前详细了解集群的网络以及容器网络模型，具体请参见容器网络模型。

纳管资源 环境创建成功后，需要把相同VPC下的计算资源类型（如云容器引擎CCE）、网络资源类型（如弹性负载均衡ELB、弹性公网EIP等）和中间件资源类型（如分布式缓存DCS、微服务引擎CSE等）纳管到环境下，组合为一个环境。 操作步骤 1、登录ServcieStage控制台，进入“环境管理”，单击待操作环境名称。 2、在“资源配置”下左侧列表，选择“计算”、“网络”或“中间件”资源类型下的资源名称，单击“纳管资源”。 3、在弹出的对话框中，勾选需要纳管的资源，单击“确定”。 说明 “Kubernetes”类型的环境，如果选择的VPC开启了IPv6且纳管了CCE集群资源时，需选择开启了IPv6开关的CCE集群资源。 否则，会导致在该VPC下的开启了安全认证的微服务引擎专享版上注册的Java Chassis微服务在使用IPv6服务注册发现地址时，注册失败。 处理方法，请参考如何处理开启了安全认证的微服务引擎专享版开启IPv6后服务注册失败？。 移除已纳管资源 已纳管到环境下的资源，如果不再使用，可以将其移除。 操作步骤 1、登录ServcieStage控制台，进入“环境管理”，单击待操作环境名称。 2、在“资源配置”下左侧列表，选择“计算”、“网络”或“中间件”资源类型下的资源名称。 3、在右侧已纳管的资源列表中： 批量移除资源：勾选待移除的资源，单击“移除资源”。 移除单个资源：选择待移除的资源，在“操作”列单击“移除”。

前提条件：已申请并开通专属云服务、专属云容器引擎服务 操作步骤： 1、登录天翼云控制中心，选择已开通的专属云节点； 2、单击控制台上方右侧资源节点下拉列表，查看您已开通的专属云情况；如下图所示，目前在贵州节点下已开通一个名为“Dec001”的专属云； 3、单击“Dec001”节点，进入专属云控制台； 4、单击云容器引擎CCE，进入专属云容器引擎控制台； 5、在专属云中的云容器引擎控制台，您可以开通集群、节点、部署应用等，功能与公有云中的云容器引擎一致，具体操作指导请参考云容器引擎

安装后校验 1. 检查容器状态：docker ps grep E 'dmsdas' 2. 检查启动日志：docker logs f 卸载服务 1. 查看容器ID，docker ps grep E 'dmsdas' 2. 停止容器：docker stop 3. 移除容器：docker rm 4. 查看镜像ID：docker images grep E 'dmsdas' 5. 移除镜像：docker rmi

本节介绍了模板市场的用户指南。 模板市场是云容器引擎基于Kubernetes Helm提供的应用模板管理和应用发布的能力，您可以将模板（Chart）上传到模板市场，然后利用模板市场实现模板的快速部署与后期管理，大幅简化Kubernetes资源的配置部署过程。 操作场景 上传模板和发布模板均使用到“模板市场”。上传模板需将模板上到“模板市场”容器镜像服务（CRS）实例命名空间中。发布模板则使用已经上传的模板部署工作负载。 前提条件 上传模板前，您需要存在一个可用集群。 发布模板前，您需要先上传模板。 操作步骤 上传模板： 步骤 1，登录云容器引擎控制台，在左侧导航栏中选择“模板市场”。 步骤 2，在左侧二级导航栏中选择“模板市场”，点击“上传模板”按钮。 步骤 3，在上传界面中，选择“镜像服务实例”，如需新增实例请到容器镜像服务控制台。 步骤 4，在上传界面中，选择“命名空间”，如需新增实例请到容器镜像服务控制台。 步骤 5，上传模板包（chart），完成后使用helm package 命令打包。 步骤 6，点击“提交”按钮，完成上传。 发布模板： 步骤 1，登录云容器引擎控制台，在左侧导航栏中选择“模板市场”。 步骤 2，在左侧二级导航栏中选择“模板市场”，选择具体的模板包。 步骤 3，在模板版本列表中选择具体的模板包版本。 步骤 4，在模板包版本中点击“发布”按钮。 步骤 5，在右侧的弹窗中填写“实例名称”，选择待发布的“集群名称”和“命名空间”，按需编辑“values”，点击“确认”完成发布。

卸载探针 1. 登录应用高可用服务控制台。 2. 在左侧导航栏中，定位到故障演练 菜单，选择要操作的目标应用 ，单击其下的探针管理选项。 3. 在探针管理 页面，选择云容器引擎页签。 4. 在列表中找到目标主机，单击操作列的卸载按钮。 5. 在弹出的对话框中单击确定 ，系统将发起探针卸载流程。 6. 单击操作列的执行记录，可查看探针的操作历史记录。 7. 卸载结束后，列表中的探针安装状态 更新为未安装。 注意 探针列表中的连接状态表示目标资源探针与故障演练服务控制面的连通状态，此状态有一定延迟。 云容器引擎探针通过插件形式安装在容器集群中，可登录云容器引擎控制台查看相关插件实例（ctgchaosinjectoragent 、ctgchaosbladeoperator）。

卸载探针 1. 登录应用高可用服务控制台。 2. 在左侧导航栏中，定位到故障演练 菜单，选择要操作的目标应用 ，单击其下的探针管理选项。 3. 在探针管理 页面，选择云容器引擎页签。 4. 在列表中找到目标主机，单击操作列的卸载按钮。 5. 在弹出的对话框中单击确定 ，系统将发起探针卸载流程。 6. 单击操作列的执行记录，可查看探针的操作历史记录。 7. 卸载结束后，列表中的探针安装状态 更新为未安装。 注意 探针列表中的连接状态表示目标资源探针与故障演练服务控制面的连通状态，此状态有一定延迟。 云容器引擎探针通过插件形式安装在容器集群中，可登录云容器引擎控制台查看相关插件实例（ctgchaosinjectoragent 、ctgchaosbladeoperator）。

本文介绍如何基于Serverless集群快速部署FastChat应用。 在这篇文章中，我们将介绍如何在Serverless集群上快速部署FastChat应用。您可以选择使用控制台或kubectl来完成应用部署，随后即可通过外部端点访问FastChat。 前提条件 已开通Serverless集群，并且能通过公网访问集群。 背景信息 Serverless集群兼容原生Kubernetes语义和API，您可以在Serverless集群中轻松创建Deployment、StatefulSet、Service、Ingress、PersistentVolume、ConfigMap或CRD等资源。此外，您也可以使用Helm部部署和管理复杂的Kubernetes应用程序的生命周期。 FastChat介绍 FastChat是一个用于训练、部署和评估基于大型语言模型的聊天机器人的开放平台。其核心功能包括：最先进模型的权重、训练代码和评估代码（例如Vicuna、FastChatT5）；基于分布式多模型的服务系统，具有Web界面和与OpenAI兼容的RESTful API。 注意 天翼云不对第三方模型“FastChat”的合法性、安全性、准确性进行任何保证，天翼云不对由此引发的任何损害承担责任。 您应自觉遵守第三方模型“FastChat”的用户协议、使用规范和相关法律法规，并就使用第三方模型的合法性、合规性自行承担相关责任。 操作步骤 创建FastChat应用 您可以通过控制台部署FastChat应用，也可以通过kubectl工具连接Serverless集群来创建FastChat应用。 1. 登录管理控制台，在左侧菜单栏选择“集群”。 2. 在集群列表页面，选择目标集群名称，然后在左侧菜单栏，选择“工作负载 ”下的“无状态”，选择“创建Deployment”。 3. 在创建Deployment页面，填写负载类型、负载名称、命名空间、实例数量等。 4. 在容器配置的基本信息中填写容器名称、镜像、镜像版本、CPU/内存配额限制等。 注意 FastChat镜像要提前上传到容器镜像服务的镜像仓库中，点击选择镜像选择FastChat镜像即可。 5. 在容器配置的生命周期中点击“启动命令”，添加启动执行命令。 6. 在容器配置的健康检查中点击“就绪探针”并开启，按需进行相应配置。 7. 在访问设置项，点击“开启Service”，设置服务相关参数，通过该服务公开FastChat应用。 注意 需要提前手工创建ELB。 8. 点击“提交”，返回到如下页面表示创建成功，等待Deployment的副本Pod运行起来即可。

本节介绍了访问凭证(个人版)的用户指南。 概述 在拉取私有镜像或者上传镜像前，需要docker login输入您的用户名/密码作为访问凭证，容器镜像服务支持重置访问凭证的密码。 登录实例 1. 进入容器镜像服务控制台。 2. 点击已开通的个人版实例。 3. 左侧导航栏点击"访问凭证"，进入访问凭证页面。 4. 根据当前界面给出的操作指引，登录实例。 重置密码 1. 进入容器镜像服务控制台。 2. 点击已开通的个人版实例。 3. 左侧导航栏点击"访问凭证"，进入访问凭证页面。 4. 点击页面中的重置密码按钮。 5. 输入新密码并点击设置即可完成重置密码。

本节介绍了访问凭证(企业版)的用户指南。 概述 在拉取私有镜像或者上传镜像前，需要docker login输入您的用户名/密码作为访问凭证，容器镜像服务支持重置访问凭证的密码。 登录实例 1. 进入容器镜像服务控制台. 2. 点击已开通的企业版实例名称。 3. 左侧导航栏点击"访问控制" "访问凭证"，进入访问凭证页面。 4. 根据当前界面给出的操作指引，登录实例。 重置密码 1. 进入容器镜像服务控制台。 2. 点击已开通的企业版实例名称。 3. 左侧导航栏点击"访问控制" "访问凭证"，进入访问凭证页面。 4. 点击页面中的重置密码按钮。 5. 输入新密码并点击设置即可完成重置密码。

本章节介绍微服务云应用平台产品优势 企业级元数据管理 支持企业级大规模分布式系统的研发运维，提供灵活的项目、应用分组、应用和可扩展技术栈等元数据管理。 多种语言支持 支持JAVA/GO/Python等多种语言应用托管，支持从制品（JAR/WAR）部署，支持自定义容器镜像部署。 多种底层服务器选择 无缝集成了ECS云服务器和云容器引擎，支持应用托管到ECS集群、K8s集群。并基于应用视角，提供基于虚机模式或容器模式发布运维管控。 应用监控告警 无侵入提供强大的应用级监控能力，灵活配置应用多指标诊断报警。 全面拥抱开源 拥抱开源生态，无侵入支持主流开源框架 Spring Cloud 和 Dubbo 近五年内的版本。 全面服务治理能力 零代码侵入实现Dubbo和SpringCloud微服务治理，支持灰度发布，服务降级，环境隔离等多种高级特性。 深度整合天翼云产品 无缝集成云容器引擎，微服务引擎、应用性能监控和云日志服务等云产品能力，轻松一站式管理业务应用。

本文介绍如何创建虚拟节点。 1. 在弹性容器实例控制台左侧导航栏中选择“虚拟节点”，进入虚拟节点列表页。 2. 点击“创建虚拟节点”，进入虚拟节点订购页。 3. 完成相关参数配置，单击确定。 参数 描述 虚拟私有云、子网、安全组 VNode所属的虚拟私有云、子网、安全组 可用区 VNode所属的可用区 KubeConfig VNode要连接的Kubernetes集群的kubeconfig 标签 VNode绑定的标签信息 污点 VNode绑定的污点信息

本文介绍如何查看防御容器的运行状态，及如何下载防御容器日志。 查看防御容器列表 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“安装配置 > 运行状态”，进入运行状态页面。 3. 该页面显示平台内所有防御容器的运行状态。平台容器列表内，支持按照“防御容器名称”、“防御容器IP”、“集群名称”、“节点名称”、“健康状态”、“降级状态”进行筛选查询。 参数 说明 防御容器名称 容器的名称。 所在集群 容器所属集群。 所在节点 容器运行所在节点。 节点IP 容器运行所在节点的IP地址。 CPU CPU占用内核数量，单位M：代表“千分之一核心”。例如，50M的含义是指50/1000核心，即5%。 Memory 防御容器占用的存储空间。 健康状态 健康状态分为“在线”状态和“离线”状态。 降级状态 降级状态分为已降级、未降级。 用户可查看防御容器降级状态，并且通过操作来恢复已降级的防御容器。 说明 未降级或已离线的防御容器不支持恢复。 更新时间 容器状态更新的时间。

本文介绍如何设置容器健康检查探针。 功能说明 ECI Pod支持为容器配置多种类型的探针，对容器进行健康检查。不同类型的探针如下： 1. 应用存活探针：检查容器是否正常运行。如果检查成功，则表示容器正常运行。如果检查失败，系统会根据配置的容器重启策略进行相应的处理。如果未配置该探针，则默认容器一直正常运行。 2. 应用业务探针：检查容器是否已经就绪，可以为请求提供服务。如果检查成功，则表示容器已经准备就绪，可以接收业务请求。如果检查失败，则表示容器没有准备就绪，系统将停止向该容器发送任何请求，直至重新检查成功。 配置示例 可以通过容器的readinessProbe 和 readinessProbe字段配置应用存活探针和应用业务探针，配置参考如下： shell apiVersion: apps/v1 kind: Deployment metadata: name: nginxdeployment labels: app: nginx spec: replicas: 1 selector: matchLabels: app: nginx template: metadata: labels: app: nginx spec: containers: name: nginx image: registryhuadong1.crsinternal.ctyun.cn/opensource/nginx:1.25alpine ports: containerPort: 80 设置Liveness Probe livenessProbe: exec: command: cat /test/livenessProbe initialDelaySeconds: 5 periodSeconds: 5 设置readinessProbe readinessProbe: exec: command: cat /test/livenessProbe initialDelaySeconds: 5 periodSeconds: 5 nodeName: vndu53cymkxxxxcnhuadong1jsnj1apublicctcloud

本文介绍如何设置容器健康检查探针。 功能说明 ECI Pod支持为容器配置多种类型的探针，对容器进行健康检查。不同类型的探针如下： 1. 应用存活探针：检查容器是否正常运行。如果检查成功，则表示容器正常运行。如果检查失败，系统会根据配置的容器重启策略进行相应的处理。如果未配置该探针，则默认容器一直正常运行。 2. 应用业务探针：检查容器是否已经就绪，可以为请求提供服务。如果检查成功，则表示容器已经准备就绪，可以接收业务请求。如果检查失败，则表示容器没有准备就绪，系统将停止向该容器发送任何请求，直至重新检查成功。 配置示例 可以通过容器的readinessProbe 和 readinessProbe字段配置应用存活探针和应用业务探针，配置参考如下： shell apiVersion: apps/v1 kind: Deployment metadata: name: nginxdeployment labels: app: nginx spec: replicas: 1 selector: matchLabels: app: nginx template: metadata: labels: app: nginx spec: containers: name: nginx image: registryhuadong1.crsinternal.ctyun.cn/opensource/nginx:1.25alpine ports: containerPort: 80 设置Liveness Probe livenessProbe: exec: command: cat /test/livenessProbe initialDelaySeconds: 5 periodSeconds: 5 设置readinessProbe readinessProbe: exec: command: cat /test/livenessProbe initialDelaySeconds: 5 periodSeconds: 5 nodeName: vndu53cymkxxxxcnhuadong1jsnj1apublicctcloud

支持在线镜像制作和镜像共享。 预置镜像 训推服务预置了一些常用镜像，可以在创建任务时直接使用 自定义镜像 训推服务允许通过开发机和使用天翼云容器镜像服务来制作镜像，具体步骤如下： 使用开发机制作镜像 1. 启动在线制作环境：进入模型定制模块，选择模型开发，点击【JupyterLab】>【创建JupyterLab】或【VSCode】>【创建VSCode】，选择一个系统内置镜像，选择运行环境，提交后操作列点击启动 2. 镜像制作：等待启动成功，当创建的JupyterLab或VSCode的状态显示【运行中】后即可点击操作列【打开】，在开发环境中安装自己需要的软件和环境，退出，选中创建的JupyterLab或VSCode，操作列点【更多】>【制作镜像】，即可将容器中的操作环境打包成新的镜像，并出现在自定义镜像列表中，可参见模型开发制作镜像模块内容 从容器镜像服务导入 1. 登录天翼云容器镜像服务，在【同资源池】下，按需创建【个人版】或【企业版】，进入实例详情创建属于您自己的命名空间和镜像仓库。 2. 有了镜像仓库后，根据实例详情访问凭证中的指引通过公网地址将您的镜像上传至仓库中。 3. 进入训推服务平台镜像管理自定义镜像tab下，点击【从容器镜像导入】按钮，将您希望使用的镜像共享至训推服务平台，导入后您就可以在训推服务平台的自定义镜像中看到此镜像，在任务创建页面选择镜像时就可以使用该镜像。

本文介绍边缘安全加速平台名词术语。 CNAME 记录 CNAME ( Canonical Name )，即别名，用于把一个域名解析到另一个域名，当 DNS 系统在查询 CNAME 左面的名称的时候，都会转向 CNAME 右面的名称再进行查询，一直追踪到最后的 PTR 或 A 名称，成功查询后才会做出回应，否则失败。例如，您有一台服务器，使用 ctyun.cn 访问，您又希望通过 ctyun.cn1 也能访问该服务器，那么就需要在您的 DNS 解析服务商添加一条 CNAME 记录，将 ctyun.cn 指向 ctyun.cn1，添加该条 CNAME 记录后，所有访问 ctyun.cn 的请求都会被转到 ctyun.cn1，获得相同的内容。 DNS DNS 即Domain Name System，是域名解析服务的意思。它在互联网的作用是：把域名转换成为网络可以识别的 IP 地址。人们习惯记忆域名，但机器间互相只认 IP 地址，域名与 IP 地址之间是一一对应的，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，整个过程是自动进行的。比如：上网时输入的 www.ctyun.cn 会自动转换成为220.181.112.143。 常见的DNS解析服务商有：阿里云解析，万网解析，DNSPod，新网解析，Route53（AWS），Dyn，Cloudflare等。 边缘安全节点 边缘安全节点是相对于网络的复杂结构而提出的一个概念，指距离最终用户接入具有较少的中间环节的网络节点，对最终接入用户有较好的响应能力和连接速度。其作用是将访问量较大的网页内容和对象保存在服务器前端的专用 Cache 设备上，以此来提高网站访问的速度和质量。 回源 HOST 回源 host 决定回源请求访问到源站上的具体某个站点。 例1：源站是域名源站为 www.ctyun.cn，回源 host 为 www.ctyun.cn1，那么实际回源是请求到 www.ctyun.cn 解析到的IP，对应的主机上的站点 www.ctyun.cn1。 例2：源站是 IP 源站为1.1.1.1，回源 host 为www.ctyun.cn1，那么实际回源的是1.1.1.1对应的主机上的站点 www.ctyun.cn1。 协议回源 协议回源指回源时使用的协议和客户端访问资源时的协议保持一致，即如果客户端使用 HTTPS 方式请求资源，当 CDN 节点上未缓存该资源时，节点会使用相同的 HTTPS 方式回源获取资源；同理如果客户端使用 HTTP 协议的请求，CDN 节点回源时也使用 HTTP 协议。 过滤参数 过滤参数是指当URL请求中带“？”并携带参数请求到 CDN 节点的时候，CDN 节点在收到该请求后可根据配置决定是否将该带参数的 URL 请求回源站。当开启过滤参数时，该请求到 CDN 节点后会截取到没有参数的 URL 向源站请求。并且 CDN 节点仅保留一份副本。如果关闭该功能，则每个不同的 URL 都缓存不同的副本在 CDN 的节点上。 Web 安全 相关 Web 应用层面的安全问题与事件,包括各种 Web 组件、协议、应用等。 正则防护 经验规则集，自动为网站防御 SQL 注入、XSS 跨站、Webshell 上传、命令注入、后门隔离、非法文件请求、路径穿越、常见应用漏洞攻击等通用的 Web 攻击。 网站白名单 通过设置网站白名单，可以让满足条件的请求不经过任何 Web 应用防火墙防护模块的检测，直接访问源站服务器。 IP 黑名单 支持一键阻断来自指定 IP 地址、IP 地址段以及指定地理区域的 IP 地址的访问请求。 0Day 漏洞 0Day 是指在系统商在知晓并发布相关补丁前就被掌握或者公开的漏洞信息。 CC 安全防护 根据访问者的 URL，频率、行为等访问特征，智能识别 CC 攻击，迅速识别 CC 攻击并进行拦截，在大规模 CC 攻击时可以避免源站资源耗尽，保证企业网站的正常访问。 防敏感信息泄露 帮助网站过滤服务器返回内容（异常页面或关键字）中的敏感信息（例如身份证号、银行卡号、电话号码和敏感词汇），脱敏展示敏感信息或返回默认异常响应页面。 网络爬虫 又称为网页蜘蛛，网络机器人，是一种按照一定的规则，自动地抓取万维网信息的程序或者脚本。 挖矿 借助大量计算能力来计算产生虚拟货币。 多源评估 通过对多种输入信息源数据动态地进行综合分析与评估的能力。 访问主体 能访问客体的主动实体。 访问客体 能与主体建立访问连接的被动实体。 SSL 证书 SSL 证书（Secure Sockets Layer）指一种安全协议，目的是为互联网通信提供安全及数据完整性保障。SSL 证书遵循 SSL 协议，可安装在服务器上，实现数据传输加密。 云工作负载 指云环境中从应用程序层到管理程序或处理的自包含组件（如堆栈中的虚拟机和容器）的整个应用程序堆栈。 访问控制 确保对资产的访问是基于业务和安全要求进行授权和限制的手段。 零信任 一组围绕资源访问控制的安全策略、技术与过程的统称。从对访问主体的不信任开始，通过持续的身份鉴别和监测评估、最小权限原则等，动态调整访问策略和权限，实施精细化的访问控制和安全防护。 策略引擎 负责最终决定是否授予指定访问主体对资源（访问客体）的访问权限。策略引擎使用企业安全策略以及来自外部源的输入作为“信任算法”的输入，以决定授予或拒绝对该资源的访问。 连接器 放置在业务前端的引流设备，用于打通内外网业务，确保终端用户可以安全访问业务数据。 动态授权 基于零信任对访问主体永不信任的原则，根据用户所处的环境动态调整用户拥有的访问权限。 SDP 即软件定义边界，旨在对于网络安全防护中不信任任何设备、人物、身份、系统等相关，每一个步骤都要有所验证，有所根据，让所有安全防护的相关都变为可信安全。 TCP 协议 TCP 协议指传输控制协议（Transmission Control Protocol），是一种面向连接的、可靠的、基于字节流的传输层通信协议，由 IETF 的 RFC 793 定义。TCP 工作在网络 OSI 的七层模型中的第四层（传输层），连接到不同但互连的计算机通信网络的主计算机中的成对 进程之间依靠 TCP 提供可靠的通信服务。 UDP 协议 Internet 协议集支持一个无连接的传输协议，该协议称为用户数据包协议（UDP，User Datagram Protocol）。UDP 为应用程序提供了一种无需建立连接就可以发送封装的 IP 数据包的方法。RFC 768 描述了 UDP。 Internet 的传输层有两个主要协议，互为补充。无连接的是 UDP，它除了给应用程序发送 数据包功能并允许它们在所需的层次上架构自己的协议之外，几乎没有做什么特别的事情。 面向连接的是 TCP，该协议几乎做了所有的事情。 无服务器 Serverless 无服务器是一种云原生开发模型，可使开发人员专注构建和运行应用，而无需管理服务器。无服务器方案中仍然有服务器，但它们已从应用开发中抽离了出来。云提供商负责置备、维护和扩展服务器基础架构等例行工作。开发人员可以简单地将代码打包到容器中进行部署。部署之后，无服务器应用即可响应需求，并根据需要自动扩容。公共云提供商的无服务器产品通常通过一种事件驱动执行模型来按需计量。因此，当无服务器功能闲置时，不会产生费用。 函数即服务 FaaS 函数即服务（FaaS：Function as a service）是一种事件驱动计算执行模型；开发人员编写代码逻辑，部署到完全由平台管理的函数运行时中，然后按需执行。与 BaaS 不同，FaaS 可让开发人员拥有更大的掌控权力，他们可以创建自定义应用，而不依赖于包含预编写服务的库。 代码则部署到边缘安全加速平台管理的容器运行时中。具体而言，这些函数运行时具有以下特点： 无状态 让数据集成变得更加简单。 运行周期短 可以只运行非常短的时间。 事件触发 可在需要时自动运行。 这样，您只用为所需的计算能力付费，而不必管"闲置"的应用和服务器。 使用 FaaS 时，开发人员可以通过触发器调用无服务器应用。 触发器 用户绑定触发器和对应函数，来实现多种调用效果。目前支持定时触发器以及HTTP触发器。 HTTP 路由 用户绑定 HTTP 触发器和对应函数后，访问安全与加速服务中托管域名的特定路由，即可在边缘节点调用起对应函数计算逻辑。 KV 存储 OmniKV 边缘存储提供了 KeyValue 型边缘存储服务，使开发人员能够构建低时延、频繁读取、不频繁写入的数据驱动的边缘无服务器应用程序。借助 OmniKV，无服务器应用程序可以将数据存放在靠近用户的位置，避免从云端或本地解决方案中检索信息的需要，从而实现快速响应。用户快速可以构建高度动态的 API 和网站服务，部署轻量型的 API 网关、BaaS 服务。 运行时 用于在边缘节点运行用户自定义函数的安全隔离环境。函数运行时所支持的编程语言，目前支持 JavaScript。 开发者工具 开发人员使用命令行工具，在本地完成函数编写，构建，灰度上线。

本文介绍ECI实例如何挂载弹性文件数据卷。 弹性文件服务（CTSFS，Scalable File Service）提供按需扩展的高性能文件存储，可以为ECI提供共享访问，具备高可用性和高数据持久性，为海量的小文件、低延迟高IOPS型应用提供有力支持。 使用限制 待挂载弹性文件必须是按量付费类型。 待挂载弹性文件必须与ECI实例处于同一VPC。 配置说明 1.在弹性容器实例控制台左侧导航栏中选择“容器组”，进入容器组列表页。 2.点击“创建弹性容器组”，进入弹性容器实例订购页。 3.在容器组配置中打开“高级设置”，添加弹性文件。 4. 在容器配置中打开“高级设置”，添加弹性文件存储卷并指定容器内的挂载路径，以及是否只读挂载等，最后点击“+添加存储”为容器配置存储卷。

本文主要介绍 从容器访问公网。 容器访问公网有如下方法可以实现。 给容器所在节点绑定公网IP（容器网络模型为VPC网络或容器隧道网络）。 给Pod IP绑定公网IP。 通过NAT网关配置SNAT规则，通过NAT网关访问公网。 下面将详细讲解通过NAT网关访问公网的方法，NAT网关能够为VPC内的容器实例提供网络地址转换（Network Address Translation）服务，SNAT功能通过绑定弹性公网IP，实现私有IP向公有IP的转换，可实现VPC内的容器实例共享弹性公网IP访问Internet。其原理如下图。通过NAT网关的SNAT功能，即使VPC内的容器实例不配置弹性公网IP也可以直接访问Internet，提供超大并发数的连接服务，适用于请求量大、连接数多的服务。 图 SNAT 您可以通过如下步骤实现容器实例访问Internet。 步骤 1 创建弹性公网IP。 1. 登录管理控制台。 2. 在管理控制台左上角单击，选择区域和项目。 3. 在控制台首页，单击左上角的，在展开的列表中单击“网络 > 弹性公网IP”。 4. 在“弹性公网IP”界面，单击“购买弹性公网IP”。 5. 根据界面提示配置参数。 说明 此处“区域”需选择容器实例所在区域。 步骤 2 创建NAT网关。 1. 登录管理控制台。 2. 在管理控制台左上角单击，选择区域和项目。 3. 在控制台首页，单击左上角的，在展开的列表中单击“网络 > NAT网关”。 4. 在NAT网关页面，单击右上角的“购买公网NAT网关”。 5. 根据界面提示配置参数。 说明 此处需选择集群相同的VPC。 步骤 3 配置SNAT规则，为子网绑定弹性公网IP。 1. 登录管理控制台。 2. 在管理控制台左上角单击，选择区域和项目。 3. 在控制台首页，单击左上角的，在展开的列表中单击“网络 >NAT网关”。 4. 在NAT网关页面，单击需要添加SNAT规则的NAT网关名称。 5. 在SNAT规则页签中，单击“添加SNAT规则”。 6. 根据界面提示配置参数。 说明 SNAT规则是按网段生效，因为不同容器网络模型通信方式不同，此处子网需按如下规则选择。 容器隧道网络、VPC网络：需要选择节点所在子网，即创建节点时选择的子网。 对于存在多个网段的情况，可以创建多个SNAT规则或选择自定义网段，只要网段能包含节点子网（容器隧道网络、VPC网络）即可。 图 配置SNAT规则 SNAT规则配置完成后，您就可以从容器中访问公网了，从容器中能够ping通公网。

本文介绍如何基于Serverless集群快速部署Stable Diffusion应用。 基于 Serverless集群，你可以通过控制台或 kubectl 两种方式快速部署 Stable Diffusion 应用。本指南将带你完成部署，助你轻松通过外部端点访问 Stable Diffusion，开启 AIGC 文生图之旅。 前提条件 确保您已经成功创建了Serverless集群，并且能通过公网访问集群。 确保Serverless集群所在VPC已经开启公网NAT网关，Stable Diffusion 应用能访问公网。 背景信息 Stable Diffusion 是一种强大的、开源的潜在文生图扩散模型 (Latent TexttoImage Diffusion Model)。它由 Stability AI 公司及其合作者于 2022 年发布，并迅速成为人工智能生成内容 (AIGC) 领域中最具代表性的模型之一。其核心功能是根据用户提供的文本描述（Prompt），通过一个复杂的算法过程，生成与之相符的高质量、细节丰富的图像。 注意 天翼云不对第三方模型“Stable Diffusion”的合法性、安全性、准确性进行任何保证，天翼云不对由此引发的任何损害承担责任。 您应自觉遵守第三方模型“Stable Diffusion”的用户协议、使用规范和相关法律法规，并就使用第三方模型的合法性、合规性自行承担相关责任。 操作步骤 步骤一：创建 Stable Diffusion应用 您可以通过控制台部署Stable Diffusion应用，也可以通过kubectl工具连接sce集群来创建Stable Diffusion应用。 1. 登录管理控制台，在左侧菜单栏选择“集群”。 2. 在集群列表页面，选择目标集群名称，然后在左侧菜单栏，选择“工作负载 ”下的“无状态”，选择“创建Deployment”。 3. 在创建Deployment页面，填写Deployment名称、副本数量等。 4. 在实例内容器项填写容器名称、镜像、镜像版本、cpu/内存限制等。 其中Stable Diffusion镜像要提前上传到容器镜像服务实例，点击选择镜像选择Stable Diffusion镜像即可。 5. 开启“容器健康检查”，勾选“就绪检查”。 6. 在服务配置项，创建服务，选择负载均衡类型，公网访问，配置容器端口、服务端口，点击“确定”。 7. 点击创建工作负载，等待Pod状态变为Running，Stable Diffusion应用部署完成。

本节介绍云容器引擎的最佳实践：CoreDNS配置优化实践。 概述 DNS作为k8s的关键基础服务，在配置不合理，集群规模较大时，DNS容易出现解析超时、解析失败等现象。本文介绍Kubernetes集群中CoreDNS配置优化的最佳实践，帮助您避免此类问题。 前提条件 创建一个云容器引擎集群，具体操作步骤请参见新建云容器引擎集群。 通过kubectl连接集群，详情请参见通过kubectl连接集群。 安装CoreDNS插件（推荐安装CoreDNS最新版本），详情请参见CoreDNS介绍。 实践方案 CoreDNS配置优化方案包含客户端和服务端的实践。 在客户端，您可以通过使用合适的容器镜像，优化域名解析请求，增加节点DNS缓存等方式来降低解析时延和减少解析异常。 优化域名解析请求 选择合适的容器镜像 避免IPVS缺陷导致的DNS概率性解析超时 使用节点DNS缓存（NodeLocal DNSCache） 谨慎调整节点的DNS配置 在服务端，您可以合理的调整CoreDNS部署状态或者调整CoreDNS配置来提升集群CoreDNS的可用性和吞吐量。 监控CoreDNS运行状态 合理调整CoreDNS部署状态 合理配置CoreDNS

本小节介绍配置登录白名单。 通过配置目标服务器IP、登录端IP以及登录端用户名完成登录白名单添加，添加后HSS对白名单内IP、用户名的登录、访问行为进行忽略。 注意 配置的目标服务器IP、登录端IP以及登录端用户名需同时满足白名单配置的信息，检测时才会忽略。 如果将已经产生告警的目标IP通过添加登录告警白名单方式加入白名单，加入白名单之后的检测会对目标IP进行忽略，但已经产生的告警不会自动放行，仍需对告警进行处理，处理详情请参见查看入侵告警事件。 您可以通过以下两种方式添加登录白名单： 处理告警事件时，将“帐户暴力破解”和“帐户异常登录”类型的告警事件加入到登录白名单，详细信息请参见入侵告警事件。 在“登录白名单”页面，添加登录白名单。 约束限制 需开启旗舰版、网页防篡改版、容器版任一防护版本。 添加登录告警白名单 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、选择“入侵检测 > 白名单管理 > 登录白名单”，进入“白名单管理”页面，单击“添加”。 4、在“添加登录安全白名单”对话框中，输入“服务器IP”、“登录IP”和“登录用户名”。 添加登录安全白名单 登录安全白名单参数说明 参数名称 参数说明 取值样例 服务器IP 支持IPv4地址。 支持单个IP、IP范围、IP掩码，以英文逗号分隔。 192.168.1.1 192.168.2.1192.168.6.1 192.168.7.0/24 登录IP 登录用户名 当前登录用户名。 hsstest 5、单击“确认”，完成登录白名单的添加。

操作步骤：为单个子账号授权或调整子账号权限。 1、使用云服务账号登录管理控制台。 2、在顶部导航栏选择 服务列表>管理与部署>统一身份认证服务，进入统一身份认证服务管理控制台。 3、点击 用户 > 查看 > 权限管理 > 新增权限 为用户授予IAM权限。 4、云容器引擎预定义了系统策略，直接选择并点击下一步及确定。 操作步骤：为多个子账号授权或调整子账号权限。 1、使用云服务账号登录管理控制台。 2、在顶部导航栏选择服务列表>管理与部署>统一身份认证服务，进入统一身份认证服务管理控制台。 3、点击 用户组 > 创建用户组 创建用户组。 4、点击 用户组管理 将需要授权的子用户加到用户组。 5、点击 授权 为用户组授予IAM权限。 6、容器引擎预定义了系统策略，直接选择并点击下一步及确定。 RBAC授权指引 前提条件：已创建容器集群，具体操作请参见 用户指南 > 集群管理 > 新建集群 章节。若已有容器集群，无需重复操作。

使配置立即生效 5. 执行如下命令拉取ownCloud镜像： plaintext docker pull owncloud 6. 创建ownCloud容器并运行，ownCloud参数说明如下： 参数 说明 owncloud 容器名称。 /data/owncloud/:/var/www/html 目录映射，/data/owncloud/为数据文件存储的目录，该配置可将数据存储到文件系统中。 p 7070:80 端口映射，本次使用7070端口。 7. 执行如下命令，创建owncloud容器并运行 plaintext docker run p 7070:80 d v /data/owncloud/:/var/www/html owncloud 8. 执行如下命令，检查ownCloud容器 plaintext docker ps 可以查看owncloud的ContanerID及端口情况，状态为up说明运行中。 步骤四：浏览器打开ownCloud 1. 在虚拟机管理界面的安全组选项中，对浏览器所在机器的ip地址和ownCloud所使用的7070方向和入方向进行放开。本文采用的是对全部协议和端口进行放通。 2. 在本地浏览器输入弹性云主机的弹性IP:7070,打开ownCloud登录页面。设定管理员账号和密码，点击“安装完成”。 3. 安装完成后进入网盘页面，可以进行内容上传，新建文件夹，共享内容等。

本节介绍了制品中心的使用指南。 背景 本服务旨在为用户提供常用开源镜像和天翼云官方制品，用户可以根据需求进行拉取使用。无需用户自行拉取所需开源镜像再上传容器镜像服务，为容器镜像服务及其相关产品的用户提供便捷的获取渠道。 使用步骤 1. 登录CRS控制台 制品中心，可以查看已提供的制品列表，可以按镜像名称搜索和相关标签筛选。 2. 选中某个制品，可以看到该制品的详细信息，如提供的版本信息，架构信息，拉取镜像地址等。 3. 在云容器引擎控制台 工作负载 选择镜像时，也可以快速选取制品中心中的制品作为负载镜像。