本文向您介绍训推智算服务平台操作类常见问题。 平台已预置的模型有哪些？ 进入模型服务模块，选择在线服务，点击【预置服务】，可以看到平台预置的模型，平台预置了多款等基础大模型，包括通义千问、Llama、ChatGLM 等系列，可以直接使用。不同的基础模型的参数和能力不同，我们将持续推出不同能力方向的模型。 平台提供的开发工具有哪些？ JupyterLab和Visual Studio Code (VSCode)。 GPU模型脚本如何迁移到昇腾NPU上？ 新建脚本train.py，写入以下原GPU脚本代码。 添加以下库代码。 plaintext import time import torch ...... import torchnpu from torchnpu.npu import amp 导入AMP模块 from torchnpu.contrib import transfertonpu 使能自动迁移 IDE无法打开图片或预览MD文件，该怎么办？ 无法在IDE打开图片或预览MD文件，这是由于浏览器设置问题，需要开启Chrome浏览器 的 unsafelytreatinsecureoriginassecure 功能。 进入Chrome Flag管理界面配置： chrome://flags/ unsafelytreatinsecureoriginassecure。 训推智算服务平台预置的镜像有哪些？ 进入智算资产模块，选择我的镜像，点击【系统内置镜像】，可以看到平台内置的镜像，包括PyTorch、TensorFlow等。 如果在自定义镜像列表看不到容器镜像服务分享过来的镜像，怎么办？ 请进行以下检查： 容器镜像服务所选区域与平台是不是同资源池。 截止时间是不是大于等于当前时间，超出截止时间后共享失效。 共享镜像状态是不是启用。

问题描述 已配置公网NAT网关，存量Pod能访问公网，但部分新创建的Pod（Pod IP属于新子网）无法访问公网。 问题原因 新增的Pod子网未加入到NAT网关的SNAT规则。 解决办法 请配置NAT网关SNAT规则，加入新配置的子网。 双栈环境下部分Pod解析集群外域名失败，如何处理？ 问题描述 云主机所在子网开启了IPv6，部分Pod解析外部域名正常，部分Pod持续解析外部域名异常。 问题原因 该域名有A记录，没有AAAA记录，异常容器使用musllibc解析域名。当域名解析收到A NoError和AAAA NxDomain组合时，会认为解析失败。 解决办法 1. 容器镜像使用glibc替代musllibc； 2. 或业务不使用libc解析域名，例如Golang服务使用PureGo Resolver解析名称。

本文主要介绍CCE容器弹性引擎。 CCE容器弹性引擎（ccehpacontroller）插件是一款CCE自研的插件，能够基于CPU利用率、内存利用率等指标，对无状态工作负载进行弹性扩缩容。 安装本插件后，可在“弹性伸缩”页面的“工作负载伸缩”页签下，创建CustomedHPA策略，具体请参见创建工作负载弹性伸缩（CustomedHPA）。 主要功能 支持按照当前实例数的百分比进行扩缩容。 支持设置一次扩缩容的最小步长。 支持按照实际指标值执行不同的扩缩容动作。 约束与限制 仅支持在v1.15及以上版本的CCE集群中安装本插件。 若ccehpacontroller版本低于1.2.11，则必须安装prometheus插件，若版本大于或等于1.2.11，则需要安装能够提供Metrics API的插件，如metricsserver和Prometheus。若使用Prometheus，需要将Prometheus注册为Metrics API的服务，详见提供资源指标。 安装插件 步骤 1 登录CCE控制台，单击集群名称进入集群，单击左侧导航栏的“插件管理”，在右侧找到 ccehpacontroller ，单击“安装”。 步骤 2 该插件可配置“单实例”或“自定义”规格，选择后单击“安装”。 说明 单实例仅用于验证场景，商用场景请根据集群规格使用"自定义"资源配置，ccehpacontroller插件的规格大小主要受集群中总容器数量和伸缩策略数量影响，通常场景下建议每5000容器配置CPU 500m, 内存1000Mi资源，每1000伸缩策略CPU 100m，内存500Mi。

使用nerdctl推送和拉取容器镜像 1. 登录容器镜像服务实例 plaintext nerdctl login usernametester testregistryhuadong1.crs.ctyun.cn 2. 拉取镜像 plaintext nerdctl pull testregistryhuadong1.crs.ctyun.cn/nstest/repotest: 3. 推送镜像 plaintext nerdctl tag testregistryhuadong1.crs.ctyun.cn/nstest/repotest: nerdctl push testregistryhuadong1.crs.ctyun.cn/nstest/repotest: 4. 示例 使用nerdctl images命令查看本地镜像 plaintext nerdctl images REPOSITORY TAG IMAGE ID CREATED PLATFORM SIZE BLOB SIZE busybox latest 3fbc63216742 11 hours ago linux/amd64 4.2 MiB 2.1 MiB 使用nerdctl tag命令重命名镜像 plaintext nerdctl tag 3fbc63216742 testregistryhuadong1.crs.ctyun.cn/nstest/repotest:v1 使用nerdctl push命令推送镜像 plaintext nerdctl push testregistryhuadong1.crs.ctyun.cn/nstest/repotest:v1

本文介绍如何通过命令行管理应用。 前提条件 在本地使用命令之前，需要先通过kubectl连接Kubernetes集群。 通过命令创建应用 可以通过以下命令直接运行一个简单的Nginx容器。 PowerShell kubectl run nginxpod imagenginx 如果需要在集群内部暴露相关服务，可以通过以下命令进行操作： PowerShell kubectl expose pod nginxpod namenginxservice port8080 targetport80 typeClusterIP 通过命令查看容器 以下命令用于获取Kubernetes集群中所有运行的Pod对象的状态信息。 PowerShell kubectl get pods 预期输出为： PowerShell NAME READY STATUS RESTARTS AGE nginxpod 1/1 Running 1 9h 以下命令用于获取Kubernetes集群中所有Service对象的状态信息。 PowerShell kubectl get svc 预期输出为： PowerShell NAME TYPE CLUSTERIP EXTERNALIP PORT(S) AGE nginxservice ClusterIP 10.233.10.115 8080/TCP 9h

本节介绍了Pod诊断对应的检查项以及修复方案。 Pod诊断主要包括Pod检查、ClusterComponent检查、Node检查、NodeComponent检查等检查项。 注意 使用故障诊断功能时，系统将在您的集群节点上执行数据采集程序并收集检查结果。采集的信息包括系统版本，负载、Docker、Kubelet等运行状态及系统日志中关键错误信息。数据采集程序不会采集您的业务信息及敏感数据。 Pod诊断对应的检查项 根据集群配置，具体检查项可能稍有不同。实际结果请以诊断页面结果为准。 诊断项分组 说明 Pod检查 检查Pod常见问题，检查项包括Pod状态、镜像拉取、网络连通性等。 ClusterComponent检查 检查集群常见问题，检查项包括APIServer可用性、DNS可用性、集群插件版本是否最新等。 Node检查 检查节点实例常见问题，检查项包括节点状态、网络状态、内核日志、核心进程和服务可用性等。 NodeComponent检查 检查节点核心组件状态，检查项包括网络和存储插件。 Pod检查 检查项名称 说明 修复方案 检查Pod是否存在 检查集群中是否存在该Pod。 请检查Pod在集群中对应命名空间下是否存在。 Pod容器重启次数统计 统计Pod中容器重启次数。 请检查Pod状态及日志。更多信息，请参见Pod异常问题排查。 检查Pod容器是否存在镜像下载阻塞情况 检查Pod容器对应的镜像下载被阻塞。 请检查Pod状态及日志。更多信息，请参见Pod异常问题排查。 检查Pod容器镜像Secrets是否有效 检查Pod拉取镜像的Secrets是否有效。 请检查Pod状态及日志。更多信息，请参见Pod异常问题排查。 检查Pod是否初始化成功 检查Pod是否正常初始化。 请检查Pod状态及日志。更多信息，请参见Pod异常问题排查。 检查Pod是否处于调度中状态 检查Pod是否正常调度。 请检查Pod状态及日志。更多信息，请参见Pod异常问题排查。

随着业务逻辑的复杂化，越来越多的应用需要大量模块之间的网络调用。传统的单一外部防火墙，或依照应用分层的防火墙已渐渐无法满足需求。在一个大的集群里面，各模块、业务逻辑层，或各职能团队之间的网络策略需求越来越强。 CCE基于Kubernetes的网络策略功能进行了加强，通过配置网络策略，允许在同个集群内实现网络的隔离，也就是可以在某些实例（Pod）之间架起防火墙。 使用场景例如：某个用户有支付系统，且严格要求只能某几个组件能访问该支付系统，否则有被攻破的安全风险，通过配置网络策略可免除该风险。 约束与限制 VPC网络模型暂不支持网络策略（NetworkPolicy）。 网络策略（NetworkPolicy）暂不支持设置egress路由规则。 使用说明 若工作负载（例如名称为workload1）未配置网络策略，那“当前集群内的其它工作负载”都可以访问“名为workload1的工作负载”。 设置网络策略 步骤 1 登录CCE控制台，在左侧导航栏中选择“资源管理 > 网络管理”。在NetworkPolicy页签，单击“添加NetworkPolicy”。 NetworkPolicy名称：自定义输入NetworkPolicy名称。 集群名称：选择网络策略所在集群。 命名空间：选择网络策略所在命名空间。 关联工作负载： 单击“选择工作负载”，选择“需要设置网络策略的工作负载”，例如工作负载名称为workload1，单击“确定”。 规则：单击“添加规则”，参数设置请参见下表 表NetworkPolicy添加规则 参数 参数说明 方向 当前仅支持入方向。即“其它工作负载”访问“当前的工作负载（即当前案例中的workload1）”。 协议 请选择对应的协议类型，目前支持TCP和UDP协议，不支持ICMP协议。 目的容器端口 容器镜像中应用程序实际监听端口，需用户确定。nginx程序实际监听的端口为80。 若不填写容器端口，默认所有端口都可被访问。 远端 选择可访问“当前工作负载”的“其它工作负载”。通过目的容器端口来访问。 命名空间： 若选择某个命名空间，则该命名空间下的所有工作负载都会加入白名单，即都可访问workload1。 工作负载： 若选择某个工作负载，即该工作负载可以访问workload1 。仅支持选择与workload1同个命名空间下的“其它工作负载”。 步骤 2 设置完成后，单击“创建”。 步骤 3 若需要为当前工作负载添加更多网络策略，例如其它端口需要被某个工作负载访问，可单击“添加NetworkPolicy”，继续添加更多策略。 创建成功后，“仅远端中配置好的命名空间或工作负载”可以访问“当前工作负载”。

在使用云应用引擎 CAE（Cloud App Engine）前，需了解该产品所涉及的概念。本文介绍与 CAE 产品相关的专有名词与基本概念。 基本概念总览 分类 资源 概念 命名空间 微服务应用 分布式配置管理、应用实例、应用健康检查、启动命令 命名空间 任务 任务实例、任务模板、任务记录、启动命令 基础信息 容器、容器镜像 命名空间 逻辑隔离的运行环境。 包含 K8s 的命名空间和微服务的命名空间两层含义。从应用的服务调用的视角隔离不同的运行环境。例如开发环境、测试环境、生产环境。 应用 应用是 CAE 管理的基本单位。 一个应用内通常包含一个或多个实例。CAE 提供了完整的应用生命周期管理机制，可以完成应用从发布到运行过程的全面管理，包括应用创建、部署、启动、回滚、扩缩容等操作。 应用实例 应用运行的最小单位。 应用通常在一个或多个实例上运行，应用可以拥有多个部署版本，不同实例上运行着不同版本的应用程序。 微服务应用 提供服务注册发现和服务治理的能力，例如使用 Spring Cloud以及 K8s Service 框架来开发和通信的应用。 任务 短时任务（Job）。 具备单机、广播、并行计算、分片运行、定时、失败自动重试、事件触发等特性。

在使用云应用引擎 CAE（Cloud App Engine）前，需了解该产品所涉及的概念。本文介绍与 CAE 产品相关的专有名词与基本概念。 基本概念总览 分类 资源 概念 命名空间 微服务应用 分布式配置管理、应用实例、应用健康检查、启动命令 命名空间 任务 任务实例、任务模板、任务记录、启动命令 基础信息 容器、容器镜像 命名空间 逻辑隔离的运行环境。 包含 K8s 的命名空间和微服务的命名空间两层含义。从应用的服务调用的视角隔离不同的运行环境。例如开发环境、测试环境、生产环境。 应用 应用是 CAE 管理的基本单位。 一个应用内通常包含一个或多个实例。CAE 提供了完整的应用生命周期管理机制，可以完成应用从发布到运行过程的全面管理，包括应用创建、部署、启动、回滚、扩缩容等操作。 应用实例 应用运行的最小单位。 应用通常在一个或多个实例上运行，应用可以拥有多个部署版本，不同实例上运行着不同版本的应用程序。 微服务应用 提供服务注册发现和服务治理的能力，例如使用 Spring Cloud以及 K8s Service 框架来开发和通信的应用。 任务 短时任务（Job）。 具备单机、广播、并行计算、分片运行、定时、失败自动重试、事件触发等特性。

一站式整合天翼云云产品 无缝集成云容器引擎，微服务引擎、应用性能监控和云日志服务等云产品能力，轻松一站式管理业务应用，提供更好用的工具链，应用异常采集，关联调用链和日志，帮助快速定位应用故障。

本节介绍企业主机安全应用进程控制功能。 应用进程控制概述 应用进程控制功能支持管控应用进程运行，通过学习服务器中运行的应用进程特征，将应用进程划分为可信进程、恶意进程和可疑进程，允许可疑、可信进程正常运行，对恶意进程运行进行告警，帮助用户构建安全的应用进程运行环境，避免服务器遭受不受信或恶意应用进程的破坏。 使用约束 使用应用进程控制功能须满足以下条件： 服务器已开启HSS旗舰版、网页防篡改版或容器版防护。 服务器已安装Agent的版本为以下版本，升级Agent的操作，请参见升级Agent章节。 − Linux：3.2.7及以上版本。 − Windows：4.0.19及以上版本。 应用进程控制使用流程 创建白名单策略 在开启应用进程控制防护前，您需要为服务器创建白名单策略，设置HSS学习服务器应用进程特征的学习天数、学习结果确认方式和对可疑或恶意进程的防护动作等；HSS后续将根据策略设置为服务器提供相应的应用进程控制防护能力。 操作步骤 1、登录管理控制台。 2、在左侧导航栏，选择“主动防御 > 应用进程控制”，进入“应用进程控制”界面。 3、选择“白名单策略”页签，单击“创建策略”。 4、在“创建策略”弹窗中，设置策略参数，相关参数说明请参见下表。 参数名称 参数说明 策略模式 应用进程控制防护策略模式。 默认配置下日常运营模式允许可信、可疑进程运行，仅对恶意进程进行告警。 白名单策略名称 系统默认会生成白名单策略名称，建议您自定义修改，后续方便区分和管理。 智能学习天数 企业主机安全学习服务器应用进程的天数。学习天数越多，学习结果越准确。 学习结果确认方式 当企业主机安全学习完策略关联的服务器后，对于特征不明显可疑进程的确认方式。 自动确认可疑进程：HSS根据应用进程特征库，自动确认并标记特征不明显的可疑应用进程。 手动确认可疑进程：您在“应用进程控制 > 白名单策略”页面，单击策略名称，进入策略详情页，选择“进程文件”页签，筛选“待确认状态”的进程，根据实际业务情况确认并手动标记特征不明显的可疑进程。 策略生效方式 当企业主机安全学习完策略关联的服务器后，开启应用进程控制的方式。 学习完成后自动开启：系统自动开启策略关联的服务器的应用进程控制。 学习完成后手动开启：您根据业务情况手动开启应用进程控制。 防护动作 当发现恶意进程后的防护动作。对恶意进程进行告警。 选择服务器 选择需要防护的服务器。当服务器的防护状态为“防护中”时，才会在列表中呈现。 5、单击“确认”，完成创建。 您策略列表中可以查看已创建的策略及策略当前状态。 说明 创建白名单策略完成后，HSS会自动开始对策略关联的服务器进行学习，学习服务器中的应用进程特征。待策略状态变更为“学习完成，未生效”表示学习完成。

自定义Pod容器空间大小 自定义Pod容器空间（basesize）设置与节点操作系统和容器存储Rootfs相关（容器存储Rootfs可登录到节点通过docker info命令查看）： Device Mapper模式下支持自定义Pod容器空间（basesize）配置，默认值为10G。 OverlayFS模式默认不限制Pod容器空间大小。 配置Pod容器空间（basesize）时，需要同时考虑节点的最大实例数配置。理想情况下，容器引擎空间需要大于容器使用的磁盘总空间，即：容器引擎和容器镜像空间（默认占90%） > 容器数量 Pod容器空间（basesize） 。否则，可能会引起节点分配的容器引擎空间不足，从而导致容器启动失败。 对于支持配置basesize的节点，尽管可以限制单个容器的主目录大小（开启时默认为10GB），但节点上的所有容器还是共用节点的thinpool磁盘空间，并不是完全隔离，当一些容器使用大量thinpool空间且总和达到节点thinpool空间上限时，也会影响其他容器正常运行。 另外，在容器的主目录中创删文件后，其占用的thinpool空间不会立即释放，因此即使basesize已经配置为10GB，而容器中不断创删文件时，占用的thinpool空间会不断增加一直到10GB为止，后续才会复用这10GB空间。如果节点上的容器数量basesize > 节点thinpool空间大小，理论上有概率出现节点thinpool空间耗尽的场景。

标签名 标签值 MSEAPPNAME 接入到微服务治理中心的应用名。 MSENAMESPACE（选填） 接入到微服务治理中心的命名空间，默认为：default。如需环境规划可在微服务治理中心控制台>应用治理>应用接入>云容器引擎>环境规划页面获取。 MSGCPROJECT（选填） 接入到微服务治理中心的项目，默认为：default。如需环境规划可在微服务治理中心控制台>应用治理>应用接入>云容器引擎>环境规划页面获取。 MSGCGROUP（选填） 接入到微服务治理中心的分组，默认为：default。如需环境规划可在微服务治理中心控制台>应用治理>应用接入>云容器引擎>环境规划页面获取。

功能 功能描述 创建函数 当前支持三种函数的创建： 1. 标准运行时函数：按照函数计算内置的标准运行时及内置定义的接口，编写程序来处理事件请求或HTTP请求 2. 自定义运行时函数：迁移框架应用或基于各种流行框架如 Flask、Express、SpringBoot 等编写程序 3. 容器函数：迁移容器应用或 GPU应用，使用容器镜像方式部署函数 版本管理 函数具有版本快照的属性，不同的版本可以有不同的业务逻辑或者实现方式，用于函数功能迭代的一种重要管理手段。 别名管理 可以为函数创建别名，它是一个指向特定版本的指针，用于简化发布、回滚和灰度发布过程。别名解析至其指向的版本，使得调用方无需关心具体版本。可以通过别名实现灰度发布。通过线上新旧版本共存的方式，可以先小范围验证新版本，再逐步切换流量至新版本，实现平滑过渡。 配置环境变量 环境变量可以作为一类特殊的配置，配置环境变量支持在不修改代码的情况下，实现配置的变更，从而支持业务新特性或者新逻辑。 配置网络 默认情况下，函数可以通过公网调用或者访问公网。若需访问VPC资源或允许VPC调用函数，可以通过配置网络来实现。 配置日志 配置日志项目和库，并授权函数访问日志服务。函数日志可以配置存储到日志服务中，便于分析和排查问题，或者用于统计或审计的需要。 配置存储 可为函数配置NAS或ZOS挂载，使得函数能像使用本地文件系统一样访问这些存储服务。 管理函数层 层提供公共依赖库、运行时环境和函数扩展，减少函数部署或更新时的代码包体积，节省存储，提高函数构建部署速度。 配置权限 可以给函数授权角色和角色策略，决策策略定义了函数能访问哪些资源。

本小节介绍微隔离防火墙业务拓扑使用说明。 工作组 拓扑中每个椭圆形标识代表一个工作组，类似于传统安全中的安全域、业务组等概念。 每个工作组有13个标签，分为位置标签、应用标签、环境标签，可以通过这三个标签来标识一个工作组，例如：“北京电商生产”、“天翼云web测试”等。 单击工作组，可查看该组的基本信息。基本信息页面可以修改该工作组的标签及策略状态。 注意 标签的修改会导致策略的变化，在防护状态下，谨慎修改。 针对工作组修改策略状态时，会改变改组内所有工作负载的策略状态。 点击详细信息，可进入工作组的详细页面。 双击工作组，可展开此工作组，并查看其中工作负载。 工作负载 工作组中每个小方块代表一个工作负载（工作负载可以是物理服务器、虚拟机或容器）。 单击工作负载，可查看该工作负载的基本信息，拓扑中也会高亮显示与此工作负载有访问关系的其他工作负载。 在工作负载基本信息框中可快速修改该工作负载角色及策略状态。重新统计按钮可清空所有针对此工作负载的访问连接记录。 支持在基本信息框中直接新建角色。

术语 说明 cURL cURL是一个利用URL语法在命令行下工作的文件传输工具，可用于检测系统是否可以访问目标站点。 Dig Dig是一个在类Unix命令行模式下查询DNS信息（包括NS记录、A记录、MX记录等）的工具。 基线核查 基线核查是指对主机操作系统、数据库、软件和容器的配置进行安全检测，并提供检测结果说明和加固建议。 基线核查可以帮您进行系统安全加固，降低入侵风险并满足安全合规要求。 漏洞扫描 漏洞扫描是指基于漏洞数据库，通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测，发现可利用漏洞的一种安全检测（渗透攻击）行为。 引擎 本文的“引擎”为扫描核心技术，即最终进行漏洞扫描工作的服务。 资产 即扫描器所扫描的主机、数据库、网站等。 DDoS 分布式拒绝服务攻击（Distributed Denial of Service Attack，DDoS）是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击，或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。由于攻击的发出点是分布在不同地方的，这类攻击称为分布式拒绝服务攻击，其中的攻击者可以有多个。 EDR 端点检测与响应（Endpoint Detection & Response，EDR）是一种主动的安全方法，可以实时监控端点，并搜索渗透到防御系统中的威胁。EDR是一种新兴的技术，可以更好地了解端点上发生的事情，提供关于攻击的上下文和详细信息。 认证 是一种信用保证形式。按照国际标准化组织（ISO）和国际电工委员会（IEC）的定义，由国家认可的认证机构证明一个组织的产品、服务、管理体系符合相关标准、技术规范（TS）或其强制性要求的合格评定活动。 虚拟机 虚拟机（Virtual Machine）指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。 在实体计算机中能够完成的工作在虚拟机中都能够实现。 在计算机中创建虚拟机时，需要将实体机的部分硬盘和内存容量作为虚拟机的硬盘和内存容量。每个虚拟机都有独立的CMOS、硬盘和操作系统，可以像使用实体机一样对虚拟机进行操作。 AES 密码学中的高级加密标准（Advanced Encryption Standard，AES），又称Rijndael加密法，是美国联邦政府采用的一种区块加密标准。这个标准用来替代原先的DES（Data Encryption Standard），已经被多方分析且广为全世界所使用。 Apache Apache是一款Web服务器软件。它可以运行在几乎所有广泛使用的计算机上，由于其跨平台和安全性被广泛使用，是最流行的Web服务器端软件之一。 CC攻击 CC攻击（Challenge Collapsar Attack，挑战黑洞攻击）是DDoS攻击的一种类型，使用代理服务器向受害服务器发送大量假冒合法的请求，造成被攻击服务器资源耗尽，一直到宕机崩溃。 DES DES（Data Encryption Standard，数据加密标准）是一种使用密钥加密的块算法，1977年被美国联邦政府的国家标准局确定为联邦资料处理标准（FIPS），并授权在非密级政府通信中使用，随后该算法在国际上广泛流传开来。 HA 高可靠性（High Availability，简称HA）能够在通信线路或设备发生故障时提供备用方案，防止由于单个产品故障或链路故障导致网络中断，保证网络服务的连续性。 LACP LACP（Link Aggregation Control Protocol，链路聚合控制协议）是一种基于IEEE802.3ad标准的协议。 LACP协议通过LACPDU（Link Aggregation Control Protocol Data Unit，链路聚合控制协议数据单元）与对端交互信息。链路聚合往往用在两个重要节点或繁忙节点之间，既能增加互联带宽，又提供了连接的可靠性。 LDAP LDAP（Lightweight Directory Access Protocol，是轻量目录访问协议）是互联网上目录服务的通用访问协议。 LDAP服务可以有效解决众多网络服务的用户账户问题，LDAP服务器是用于查询和更新LDAP目录的服务器，包括用户账号目录。 MTU 最大传输单元（Maximum Transmission Unit，MTU）用来通知对方所能接受服务单元的最大尺寸，说明发送方能够接受的有效荷载大小。 SSL SSL（Secure Sockets Layer，安全套接字协议）及TLS（Transport Layer Security，继任者传输层安全）是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层与应用层之间对网络连接进行加密。 VRRP 虚拟路由冗余协议（Virtual Router Redundancy Protocol，简称VRRP）是由IETF提出的解决局域网中配置静态网关出现单点失效现象的路由协议，它是一种路由容错协议，也可以叫做备份路由协议。 WebShell Webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境，也可以将其称为一种网页后门。 黑客在入侵了一个网站后，通常会将asp或php后门文件与网站服务器Web目录下正常的网页文件混在一起，然后就可以使用浏览器来访问asp或者php后门，得到一个命令执行环境，以达到控制网站服务器的目的。 Kafka Kafka是一种高吞吐量的分布式发布订阅消息系统，可以处理消费者规模的网站中所有动作流数据。这些数据通常由于吞吐量要求而通过处理日志和日志聚合来解决。 SNMP SNMP（Simple Network Management Protocol，简单网络管理协议）是标准IP网络管理协议，支持目前主流的网络管理系统。 SQL SQL（Structured Query Language，结构化查询语言）是一种数据库查询和程序设计语言，用于存取数据以及查询、更新和管理关系数据库系统；同时也是数据库脚本文件的扩展名。 Syslog Syslog是一种行业标准的协议，可用来记录设备的日志。 Syslog日志消息既可以记录在本地文件中，也可以通过网络发送到接收Syslog的服务器。服务器可以对多个设备的Syslog消息进行统一的存储，或者解析其中的内容做相应的处理。常见的应用场景是网络管理工具、安全管理系统、日志审计系统。

切换到执行脚本所在目录。python /run.py 执行启动脚本。） 资源配额 选择目标资源配额，展示当前总资源及使用情况。 资源规格 选择当前任务所需要的资源规格。 实例数量 输入当前部署实例的数量。 服务授权 必填，选择调用服务时使用的服务授权。 模板部署：平台预置了分布式部署模型模板，平台预置模板经过优化测试，部署后服务稳定性高。当前的模板配置功能只支持在昇腾集群上使用，无法调整模板内置参数。如果想快速体验可以选择”预置模型”。 参数名 说明 服务名称 必填，在线服务名称。 部署模板 选择当前服务部署目标模型及部署模板。 模型选择 选择模型管理中的“我的模型”或者“预置模型”文件，挂载到容器内路径。 模型文件 选择模板配置所需要的模型文件。 资源配额 选择目标资源配额，展示当前总资源及使用情况。 资源规格 选择当前任务所需要的资源规格。 实例数量 输入当前部署实例的数量。 服务授权 必填，选择调用服务时使用的服务授权。 预置模型：部署的模型来自于平台的“预置模型”，无需用户自主训练模型，操作简单。预置模型通常是通用性模型，用户无法根据自身业务需求进行优化调整，如果需要针对垂直领域进行优化调整，请选择“自定义配置”。 参数名 说明 服务名称 必填，在线服务名称。 模型选择 选择模型管理中的“预置模型”文件，挂载到容器内路径。 训练框架 根据用户选择的模型文件，会自动带出训练所用框架。 资源规格 选择当前任务所需要的资源规格。 实例数量 输入当前部署实例的数量。 服务授权 必填，选择调用服务时使用的服务授权。 在列表可查看模型是否部署成功，在操作列可进行模型查看、更新、停止、重启、修改、上下线、删除等操作。停止服务后计费也会停止，再次启动服务即可开通计费。 操作列点击【查看】可进入该服务的详情页，查看部署的模型列表、服务监控、配置历史、运行记录、事件日志、服务日志。

本文主要介绍CCE容器存储（everest）插件。 插件简介 CCE容器存储（everest）是一个云原生容器存储系统，基于CSI（即Container Storage Interface）为Kubernetes v1.15.6及以上版本集群对接云存储服务的能力。 该插件为系统资源插件，kubernetes 1.15及以上版本的集群在创建时默认安装。 约束与限制 集群版本由v1.13升级到v1.15后，v1.13版本集群中的Flexvolume容器存储插件（storagedriver）能力将由v1.15的CSI插件（Everest，插件版本v1.1.6及以上）接管，接管后原有功能保持不变。 插件版本为1.2.0的Everest优化了使用OBS存储时的 密钥认证功能 ，低于该版本的Everest插件在升级完成后，需要重启集群中使用OBS存储的全部工作负载，否则工作负载使用存储的能力将受影响！ v1.15及以上版本的集群默认安装本插件，v1.13及以下版本集群创建时默认安装storagedriver插件。 安装插件 本插件为系统默认安装，若因特殊情况卸载后，可参照如下步骤重新安装。 步骤 1 登录CCE控制台，单击集群名称进入集群，单击左侧导航栏的“插件管理”，在右侧找到 everest ，单击“安装”。 步骤 2 该插件可配置“单实例”、“高可用”或自定义规格。 Everest插件包含以下容器，您可根据需求自定义调整规格： everestcsicontroller：由Deployment形式部署，Pod中含有一个everestcsicontroller容器，此容器负责存储卷的创建、删除、快照、扩容、attach/detach等功能。若集群版本大于等于1.19，everestcsidriver组件的Pod还会默认带有一个everestlocalvolumemanager容器，此容器负责管理节点上的lvm存储池及localpv的创建。 说明 选择自定义规格时，everestcsicontroller内存配置推荐如下。 Pod和PVC的数量均小于2000时，everestcsicontroller的内存上限推荐配置为600Mi。 Pod和PVC的数量均小于5000时，everestcsicontroller的内存上限推荐配置为1Gi。 everestcsidriver：由DaemonSet形式部署，Pod中含有一个基本容器everestcsidriver容器，负责PV的挂载、卸载、文件系统resize等功能。若集群所在区域支持nodeattacher，everestcsidriver组件的Pod还会带有一个everestnodeattacher的容器，此容器负责分布式attach EVS，该配置项在部分Region开放。 说明 选择自定义规格时，everestcsidriver内存限制推荐配置不低于300Mi。若该值太小可能导致插件实例容器启动异常，从而导致插件不可用的情况。 步骤 3 参数配置。 everest 1.2.26以上版本针对大批量挂EVS卷的性能做了优化，提供了如下3个参数供用户配置。 csiattacherworkerthreads：everest插件中同时处理挂EVS卷的worker数，默认值为“60”。 csiattacherdetachworkerthreads：everest插件中同时处理卸载EVS卷的worker数，默认值均为“60”。 volumeattachingflowctrl：everest插件在1分钟内可以挂载EVS卷的最大数量，此参数的默认值“0”表示everest插件不做挂卷限制，此时挂卷性能由底层存储资源决定。 上述三个参数由于存在关联性且与集群所在局点的底层存储资源限制有关，当您对大批量挂卷的性能有要求（大于500EVS卷/分钟）时，请联系后台工程师，在指导下进行配置，否则可能会因为参数配置不合理导致出现everest插件运行不正常的情况。 步骤 4 单击“安装”。 版本记录 CCE插件版本记录 插件版本 支持的集群版本 :: 1.3.28 /v1.(192123)./ 1.3.22 /v1.(192123)./ 1.3.20 /v1.(192123)./ 1.3.17 /v1.(192123)./ 1.3.8 /v1.23./ 1.3.6 /v1.23./ 1.2.55 /v1.(15171921)./ 1.2.53 /v1.(15171921)./ 1.2.51 /v1.(15171921)./ 1.2.44 /v1.(15171921)./ 1.2.42 /v1.(15171921)./ 1.2.30 /v1.(15171921)./ 1.2.28 /v1.(15171921)./ 1.2.27 /v1.(15171921)./ 1.2.13 /v1.(151719)./ 1.2.9 /v1.(151719)./ 1.2.5 /v1.(151719)./ 1.1.12 /v1.(1517)./ 1.1.11 /v1.(1517)./ 1.1.8 /v1.(1517)./ 1.1.7 /v1.(1517)./

本章节介绍MSAP操作类常见问题 已经订购了云容器引擎，新增环境选择不到云容器引擎？ 选择不到云容器引擎可能有如下两种情况： 1、云容器引擎正在开通中或者开通失败了，需要到开通界面或云容器引擎控制台检查容器状态是否是已开通或运行中。 2、新增环境时选择的VPC和云容器引擎所属VPC不一致，需要到云容器引擎控制台，找到对应集群，进入集群信息界面查看集群所属VPC。再到新增环境界面选择和集群所属VPC一致的VPC。 删除环境不成功，提示：环境下存在部署单元，请先删除部署单元？ 此提示说明要删除的环境下有应用实例、部署单元、导入资源，需要该环境的对应实例、部署单元和导入资源清理之后才能删除环境。 1. 登录微服务云应用控制台，左侧菜单栏选择“环境规划>环境管理”，点击要删除的环境，进入到环境详情。 2. 选择“资源列表”，依次切换该环境下的资源，如果存在该资源，则点击该资源复选框，点击移除，删除资源。 3. 选择“部署单元>编辑单元”，点击对应部署单元删除。 4. 最后回到“环境管理”，选择对应环境，点击右侧删除。

进入控制台，远程登陆即将安装AnythingLLM的云主机。 二、AnythingLLM 服务部署（ docker 方式） 1. 获取 AnythingLLM docker image 文件。 由于国内无法访问 docker hub 网站，您需要修改 docker 的服务配置文件，添加国内可访问的源，以便能够顺利拉取 AnythingLLM docker image 文件。操作步骤如下： 向 docker 配置文件中添加国内可访问的 docker 镜像源 重启 docker 服务 拉取 AnythingLLM docker image plaintext Docker 守护进程（ daemon ）的配置文件。添加国内可访问镜像源。 sudo vi /etc/docker/daemon.json 重启 docker 服务 sudo systemctl restart docker 确认 docker 服务正常 sudo systemctl status docker 拉取 anythingllm 镜像 docker pull mintplexlabs/anythingllm daemon.json 文件添加的内容为： plaintext { "registrymirrors": [" " " } daemon.json 文件如下，仅供参考： 2. 启动 AnythingLLM 服务。 首先查看下载的 AnythingLLM 容器镜像的 tag 启动 AnythingLLM 服务 查看 AnythingLLM 服务状态 plaintext 查看当前的容器镜像列表 docker image list 启动 AnythingLLM 服务，下述 PROT 参数需要与第一部分开放的端口相对应 docker run d e PORT3001 e OLLAMABASEURL e ENABLESIGNUPtrue e ENABLEOPENAIAPIFalse addhosthost.docker.internal:hostgateway nethost v anythingLLM:/app/backend/data name anythingLLM restart always mintplexlabs/anythingllm:latest 查看 AnythingLLM 服务状态 docker ps a

本节为您介绍云迁移服务CMS服务韧性相关内容。 CMS架构设计采用多组件服务保障及分层架构提供高可用服务。 CMS服务负载使用容器化部署，可灵活调整pod数快速扩缩容；工作负载进行pod级容灾，在部分pod损坏情况下保持服务正常运行。 Redis工作负载对迁移任务的数据进行缓存交互与读写，并对负载进行集群部署提供冗余，应对迁移任务压力峰值波动。 MySQL工作负载采用主备架构，在主服务器宕机或损坏时，保证迁移数据不丢失。 CMS支持断点续传，在迁移过程中出现断网或者迁移出错等故障，故障修复后可支持在之前的进度上继续迁移、同步。

本文向您介绍新建息壤智算集群,帮助您了解息壤智算集群的基本情况。 息壤智算集群是用户账号在公共算力服务创建的用户专属集群，包含托管的k8s容器集群控制面和息壤上层平台所需的业务组件。 集群创建后，无需自行连接或登录控制面，以及自行修改或安装组件，而是通过息壤上层平台来使用。 当在上层平台运行业务时，可以选择共享集群或专属集群进行使用。 此功能目前只在部分资源池提供，具体资源池信息请询问客户经理 使用前提 当前用户是主账号。 操作步骤 1. 登录公共算力服务控制台，单击左侧导航栏中的【息壤智算集群】，进入集群列表页。 2. 单击列表页上方的【创建集群】，进入创建页面。 3. 填写相应信息 1）输入集群名称、可用区、网络等基本信息。 字段名称 类型 是否必填 说明 集群名称 输入框 是 支持中英文、数字、下划线（），220个字符，不能以下划线开头。集群名称不能重复。 可用区 单选 是 根据各资源池的可用区显示。 业务节点类型 单选 是 当前仅支持裸金属，且默认选中；后续可能包括裸金属和云主机两类。 卡类型 单选 是 当节点为裸金属是：包括英伟达和昇腾两个类型，默认选中英伟达。 虚拟私有云 下拉单选 是 点击可刷新VPC列表，点击【创建VPC】新打开页面跳转至创建虚拟私有云页面。 子网 下拉单选 是 子网下的普通子网类型，点击选择VPC子网，点击【创建子网】跳转至所选VPC的添加子网页面。 安全组 显示 是 默认查询是否有对应的安全组，如有则展示，如无则需要点击自动创建按钮进行创建，管理节点的安全组名称带系统前缀，用以区分用户自用的安全组：例如cpsxxxx。可点击自动创建按钮。可点击“配置策略规则”连接，查看具体安全组策略。 调度策略 多选项 否 支持DRF，Binpack ,Gang三种调度策略，可以多选。 描述 输入框 否 2）点击 【下一步：集群控制面配置】，进入下一步配置，输入相关信息。 字段名称 类型 是否必填 说明 集群规模 单选 是 包括4种，1100节点，101300节点，301500节点，5001500节点，默认选择 1100节点。 计费模式 单选 是 目前支持包年包月计费方式。 时长 选择 是 目前支持包年包月支持选择111月，默认1个月。 续订方式 选项 是 包括自动续订，手动续订。 规格 单选 是 选择资源池可选的规格。 系统镜像 单选 是 选择管理节点的操作系统。 系统盘 单选 是 仅支持超高IO类型，最小40G，系统盘规格范围402048G。 数据盘 单选 是 选择一块数据盘，仅支超高IO类型，最小500G，数据盘规格范围50032768G。 节点数量 输入框 是 根据集群规模自动匹配。 API Server 选择 是 选择标准I型，增强I型，高阶I型，默认标准I型。可通过“了解ELB” 查看ELB文档。 3）点击【下一步，确认信息】，进行开通信息确认，勾选协议，点击【立即创建】跳转官网支付，支付完成后即完成集群的创建，后续集群管理员便可在息壤智算集群列表/详情页中对集群进行管理。

前提条件 支持纳管符合如下条件的云主机： 待纳管节点必须状态为“运行中”，未被其他集群所使用，且不携带 CCE 专属节点标签CCEDynamicProvisioningNode。 待纳管节点需与集群在同一虚拟私有云内（若集群版本低于1.13.10，纳管节点还需要与CCE集群在同一子网内）。 待纳管节点需挂载数据盘，数据盘需满足至少有1块，容量不少于100GB。关于节点挂载数据盘的操作说明，请参考新增磁盘。 待纳管节点规格要求：CPU必须2核及以上，内存必须4GB及以上，网卡有且仅能有一个。 如果使用了企业项目，则待纳管节点需要和集群在同一企业项目下，不然在纳管时会识别不到资源，导致无法纳管。 批量纳管仅支持添加相同规格、相同可用区、相同数据盘配置的云主机。 操作步骤 步骤 1 登录CCE控制台，进入要纳管节点的集群。 步骤 2 在左侧列表中选择节点管理，单击右上角纳管节点。 步骤 3 配置节点参数。 计算配置 表 计算配置参数 参数 参数说明 节点规格 单击添加已有云主机，选择要纳管的服务器。 可以选择多台云主机批量纳管，但批量纳管仅支持添加相同规格、相同可用区、相同数据盘配置的云主机。 如果云主机有多块数据盘，需要选择其中一块作为供容器运行时和Kubelet组件使用。 容器引擎 CCE集群支持Docker。 操作系统 公共镜像：请选择节点对应的操作系统。 登录方式 密码 用户名默认为“root”，请输入登录节点的密码，并确认密码。登录节点时需要使用该密码，请妥善管理密码，系统无法获取您设置的密码内容。 密钥对选择用于登录本节点的密钥对，支持选择共享密钥。密钥对用于远程登录节点时的身份认证。若没有密钥对，可单击选项框右侧的“创建密钥对”来新建。 存储配置 配置节点云主机上的存储资源，方便节点上的容器软件与容器应用使用。 表 存储配置参数 参数 参数说明 系统盘 直接使用云主机的系统盘。 数据盘 至少需要一块数据盘 ，供容器运行时和Kubelet组件使用，该数据盘不能被删除卸载，否则会导致节点不可用。 单击后方的“展开高级设置”可设置自定义空间分配：勾选后可定义容器运行时在数据盘上占用的空间比例，容器运行时的空间用于存放容器运行时工作目录、容器镜像数据以及镜像元数据。数据盘空间分配详细说明请参见数据盘空间分配说明。 其他数据盘默认情况直接创建为裸盘，不做任何处理。您也可以展开高级配置，将磁盘挂载到指定目录。另外还可以作为持久存储卷或临时存储卷，具体使用请参见本地持久存储卷和临时存储卷。 高级配置 表 高级配置参数 参数 参数说明 K8S标签 单击“添加标签”可以设置附加到Kubernetes 对象（比如Pods）上的键值对，最多可以添加10条标签使用该标签可区分不同节点， 可结合工作负载的亲和能力实现容器Pod调度到指定节点的功能。 详细请参见Labels and Selectors。 资源标签 通过为资源添加标签，可以对资源进行自定义标记，实现资源的分类。 CCE服务会自动帮您创建CCEDynamicProvisioningNode节点id的标签。 污点(Taints) 默认为空。 支持给节点加Taints来设置反亲和性，每个节点最多配置10条Taints，每条Taints包含以下3个参数： Key：必须以字母或数字开头，可以包含字母、数字、连字符、下划线和点，最长63个字符；另外可以使用DNS子域作为前缀。 Value：必须以字符或数字开头，可以包含字母、数字、连字符、下划线和点，最长63个字符。 Effect：只可选NoSchedule，PreferNoSchedule或NoExecute。须知l Taints配置时需要配合Pod的toleration使用，否则可能导致扩容失败或者Pod无法调度到扩容节点。 节点池创建后可单击列表项的“编辑”修改配置，修改后将同步到节点池下的已有节点。 最大实例数 节点最大可以正常运行的实例数(Pod)，该数量包含系统默认实例，取值范围为16~256。 该设置的目的为防止节点因管理过多实例而负载过重，请根据您的业务需要进行设置。 安装前执行脚本 请输入脚本命令，大小限制为0~1000字符。 脚本将在Kubernetes软件安装前执行，可能导致Kubernetes软件无法正常安装，需谨慎使用。 安装后执行脚本 请输入脚本命令，大小限制为0~1000字符。 脚本将在Kubernetes软件安装后执行，不影响Kubernetes软件安装。 步骤 4 单击“下一步：规格确认”，确认已阅读并知晓服务协议，并单击“提交”。

网络模型为集群内Pod分配IP地址并提供网络服务，CCE支持容器隧道网络、VPC网络，你可在创建集群时进行选择。 选择网络模型 下表介绍了CCE所支持的网络模型，您可根据实际业务需求进行选择。 说明： 集群创建成功后，网络模型不可更改，请谨慎选择。 表网络模型对比 对比维度 容器隧道网络 VPC 网络 数据面依赖 OVS IPVlan，VPC路由 适用集群 CCE集群 虚机集群 CCE集群 虚机集群 是否支持网络策略 （networkpolicy） 是 否 IP地址管理 IP地址可迁移 每个节点分配一个小子网。 在VPC Router上添加静态路由，下一跳为节点IP。 网络性能 基于vxlan隧道封装，有性能损耗。 无隧道封装，性能好，媲美主机网络。 跨节点通过VPC Router转发。 组网规模 最大可支持2000节点 受限VPC路由表能力。 外部依赖 无 依赖VPC Router静态路由表能力。 适用场景 一般容器业务场景。 对网络时延、带宽要求不是特别高的场景。 对网络时延、带宽要求高。 容器与虚机IP互通，使用了微服务注册框架的，如Dubbo、CSE等。 说明： VPC网络集群实际支持规模受限于VPC的路由表路由条目配额，创建前请提前评估集群规模。 VPC网络模型默认支持容器与同一VPC的虚拟机直接互访，与其他VPC的主机在配置对等连接策略后可以支持直接互访。此外，云专线/VPN等混合组网场景在合理规划后可以支持对端直接与容器互访。

本文介绍ECI实例如何设置容器生命周期回调。 ECI实例支持为容器配置生命周期回调，主要包括容器类应用的生命周期事件应采取的动作，分为以下两类： 启动后处理（PostStart）：在容器被创建之后，此回调会被调用。但是不能保证回调会在容器入口点（ENTRYPOINT）之前执行。 停止前处理（PreStop）：在容器被终止之前，此回调会被调用。 如果容器已经处于Terminated或者Finished状态，则对 preStop 回调的调用将失败。在用来停止容器的 TERM 信号被发出之前，回调必须执行结束。容器组的终止宽限周期在 PreStop 回调被执行之前即开始计数， 所以无论回调函数的执行结果如何，容器最终都会在终止宽限期内被终止。 配置说明 1.在弹性容器实例控制台左侧导航栏中选择“容器组”，进入容器组列表页。 2.点击“创建弹性容器组”，进入弹性容器实例订购页。 3.在容器设置的高级设置中设置生命周期回调。其中包括“启动后处理”和“停止前处理”回调，设定当容器被创建后将执行的命令，以及容器被终止之前将执行的命令。

本文向您介绍一站式智算服务平台操作类常见问题。 平台已预置的模型有哪些？ 进入模型服务模块，选择在线服务，点击【预置服务】，可以看到平台预置的模型，平台预置了多款等基础大模型，包括通义千问、Llama、ChatGLM 等系列，可以直接使用。不同的基础模型的参数和能力不同，我们将持续推出不同能力方向的模型。 平台提供的开发工具有哪些？ JupyterLab和Visual Studio Code (VSCode)。 GPU模型脚本如何迁移到昇腾NPU上？ 新建脚本train.py，写入以下原GPU脚本代码。 添加以下库代码。 import time import torch ...... import torchnpu from torchnpu.npu import amp 导入AMP模块 from torchnpu.contrib import transfertonpu 使能自动迁移 IDE无法打开图片或预览MD文件，该怎么办？ 无法在IDE打开图片或预览MD文件，这是由于浏览器设置问题，需要开启Chrome浏览器 的 unsafelytreatinsecureoriginassecure 功能。 进入Chrome Flag管理界面配置： chrome://flags/ unsafelytreatinsecureoriginassecure。 一站式服务平台预置的镜像有哪些？ 进入智算资产模块，选择我的镜像，点击【系统内置镜像】，可以看到平台内置的镜像，包括PyTorch、TensorFlow等。 如果在自定义镜像列表看不到容器镜像服务分享过来的镜像，怎么办？ 请进行以下检查： 容器镜像服务所选区域与平台是不是同资源池。 截止时间是不是大于等于当前时间，超出截止时间后共享失效。 共享镜像状态是不是启用。

本节介绍了容器组的用户指南。 基本概念 容器组（Pod）是Kubernetes中最小的可部署单元。一个Pod（容器组）包含了一个应用程序容器（某些情况下是多个容器）、存储资源、一个唯一的网络IP地址、以及一些确定容器该如何运行的选项。Pod容器组代表了Kubernetes中一个独立的应用程序运行实例，该实例可能由单个容器或者几个紧耦合在一起的容器组成。 操作场景 Kubernetes集群中的Pod存在如下两种使用途径： 一个Pod中只运行一个容器。"onecontainerperpod" 是Kubernetes中最常见的使用方式。此时，您可以认为Pod容器组是该容器的wrapper，Kubernetes通过Pod管理容器，而不是直接管理容器。 一个Pod中运行多个需要互相协作的容器。您可以将多个紧密耦合、共享资源且始终在一起运行的容器编排在同一个Pod中，可能的情况有： 1、Content management systems,file and data loaders, local cache managers等 2、log and checkpoint backup,compression, rotation, snapshotting等 3、data change watchers, logtailers, logging and monitoring adapters, event publishers等 4、proxies, bridges, adapters等 5、controllers, managers,configurators, and updaters 您可以在云容器引擎中方便的管理容器组（Pod），如查看YAML、远程登录、销毁重建等操作。 前提条件 您需要存在一个可用集群，若没有可用集群，请参照集群开通中内容创建。 操作步骤及说明 1、查看YAML 1)登录云容器引擎控制台，在左侧导航栏中选择“工作负载 > 容器组” 2)单击实例列表中后的“查看YAML” 2、销毁重建 1)登录云容器引擎控制台，在左侧导航栏中选择“工作负载 > 容器组” 2)单击实例列表中后的“销毁重建 请仔细阅读系统提示，删除操作无法恢复，请谨慎操作。 说明 若Pod所在节点不可用或者关机，负载无法删除时可以在详情页面实例列表选择强制删除。请确保要删除的存储没有被其他负载使用，导入和存在快照的存储只做解关联操作。 3、远程登录 1)登录云容器引擎控制台，在左侧导航栏中选择“工作负载 > 容器组” 2)单击实例列表中后的“远程登录” 3)在弹出的对话框中点击“登录”

关联权限 1. 登录分布式容器云平台，在左侧导航栏选择 联邦舰队 > 舰队管理，在舰队管理页签下选择目标舰队栏中单击 关联权限；或者进入舰队详情页，单击 修改权限。 2. 显示目前舰队已关联权限列表，选择 修改舰队权限，修改权限信息： 1. 用户名 2. 命名空间：权限作用的命名空间。 3. 关联权限：关联已有权限；或者自定义权限，在左侧导航栏选择 平台服务 > 权限管理 进行操作，自定义权限内容，选择资源对象和操作类型。 3. 权限关联：舰队权限配置将同步舰队下所有成员集群。若舰队权限未配置，新签发子账号默认拥有只读权限。权限管理基于Kubernetes RABC控制体系的资源权限定义 加入联邦 1. 登录分布式容器云平台，在左侧导航栏选择 联邦舰队 > 舰队管理，在舰队管理页签下选择目标舰队栏中单击 加入联邦。 2. 列表中选择已有集群联邦，若还无可用联邦实例，请先在联邦控制台创建。 移除集群 1. 登录分布式容器云平台，在左侧导航栏选择 联邦舰队 > 舰队管理，在舰队管理页签下选择目标舰队进入舰队详情页。 2. 选择目标集群，单击集群右侧 移出舰队。

本节介绍如何查看IaC检查的文件详情。 前提条件 已上传并扫描需要检查的文件。详细操作请参见上传文件、扫描文件。 操作步骤 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“IaC安全 > IaC检查”，进入IaC检查页面。 3. 选择需要查看详情的文件所属文件类型。 4. 查找目标文件：点击数据统计模块的风险等级数字可以进行快速筛选，或根据列表上方的筛选条件框对文件列表进行精细筛选。 5. 单击“文件名称/路径”链接，可查看当前文件的扫描结果和具体内容。 6. 针对有风险的检查项，单击检查项的“行数”可快速定位到有风险的配置，方便用户查找并修改文件。 说明 当检查项提示缺少某项设定时，没有提供定位所在行功能，用户根据风险提示信息，在文件中添加相关配置即可。

本文介绍ECI实例如何设置容器环境变量。 ECI实例支持为容器配置环境变量信息，可按需在容器运行环境中设定一个变量。 配置说明 1.在弹性容器实例控制台左侧导航栏中选择“容器组”，进入容器组列表页。 2.点击“创建弹性容器组”，进入弹性容器实例订购页。 3.在容器设置的高级设置中设置环境变量。

本文主要介绍云日志服务的日志管理概述。 登录云日志服务控制台，您可在日志管理页查看资源统计、日志应用、日志项目、日志单元等信息。 资源统计 资源统计展示当前账号、当前资源池下，所有日志的标准存储量、读写流量、加工流量与转储流量，以及这些指标的日环比数据。 详细信息，请参考资源统计。 日志应用 当前支持接入云主机应用文本日志与云容器引擎应用日志。详情请见接入云主机文本日志与接入云容器引擎应用日志。 日志项目列表 可查看当前创建的所有日志项目与日志单元，并可进行新建、收藏等操作。详情请见管理日志项目与管理日志单元。

本章节介绍如何使用K8s配置项替换配置文件 概述 当您选择使用Kurbenetes进行容器化部署时，可以使用配置项去保存一些不需要加密的配置信息，如JVM堆内存、JVM属性参数等，在创建或者部署应用时，系统会自动将配置信息直接注入到容器中。 在微服务云应用平台场景下，这种配置管理方式变得更加灵活和强大。微服务云应用平台不仅支持上述的配置注入，还允许您将配置项以文件的形式直接挂载到容器内的指定目录。这意味着，除了能够动态调整应用的运行参数外，您还可以确保这些配置信息以文件的形式存在，这不仅方便了日常的管理和维护工作，也使得在需要时更新配置或进行故障排查变得更为直观和高效，从而显著提升了整体的运维体验和工作效率。 前提条件 1. 您已开通微服务云应用平台 2. 您已订购一个云容器引擎实例 常用使用场景 覆盖目录下已经存在的文件 这里以常用的nginx镜像举例，在官方的nginx镜像中，/etc/nginx目录下的nginx.conf文件是需要配置的，并且在不同的环境下，该文件内容也不相同。此时，可以使用将配置项以文件形式挂载到容器指定目录下，覆盖原文件，来实现不同环境使用不同配置的效果。 首先需要创建K8s配置项，左侧导航栏，选择容器应用实例 > Kubernetes配置，进入到配置列表，点击左上角创建配置项。需要注意的是：配置项下的键值对映射，键是文件名称，值为文件内容。 挂载配置项，左侧导航栏，选择容器应用实例 > 应用发布 > 应用实例。在应用实例列表选择需要覆盖的应用，进入应用详情界面，点击上方新增版本按钮，进入应用配置界面，在配置管理模块下配置文件挂载。 在配置管理中，可以通过挂载文件的方式，向容器中注入配置信息。需要注意的是，在挂载文件路径中，需要填写到文件名称。如下图所示： 参数 描述 配置类型 目前只支持配置项。 挂载类型 挂载到文件。 挂载源 挂载到应用容器文件系统中的配置项的名称。 挂载主目录 设置容器的挂载主目录，必须以斜杠（/）开头。 文件挂载方式 保留原文件：保留原目录下的文件，添加本次挂载文件。注意，相同文件名将保留本次挂载文件，隐藏原目录重名文件。 挂载配置 要挂载的Key：需要挂载到应用容器文件系统中的配置项指定的Key。挂载文件路径：相对挂载主目录的子路径。