本文介绍了如何配置对WebSocket应用进行加速。 功能介绍 天翼云边缘安全加速平台安全与加速服务支持对WebSockett协议和http/https协议同时加速，即同一个域名可以既有http/https协议，又有WebSocket加速，您无需拆分域名，使用天翼云边缘安全加速平台安全与加速服务就可以实现对域名下http/https协议的应用和WebSocket协议的应用同时加速。全站加速节点会自动识别客户端与边缘节点通信使用的协议，自动切换协议。通常情况下，WebSocket协议的应用多为动态业务，对实时性要求很高，天翼云边缘安全加速平台安全与加速服务的动态探测选路能力可以为WebSocket应用选择最快的回源路径，提升WebSocket业务的访问效果。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 开通基础版以及以上版本。 配置说明 1.登录边缘安全加速平台控制台。 2.在【域名】【基础配置】页面，点击目标域名。 3.进入WebSocket页面，单击“编辑配置”。 4.开启WebSocket功能开关，开启后默认连接超时时间5秒、请求超时时间15秒。 配置页面 参数名 说明 WebSocket回源连接超时时间 WebSocket回源连接超时时间的配置范围支持1~300秒。

本文主要介绍 示例：某部门权限设计及配置示例：某部门权限设计及配置。 概述 随着容器技术的快速发展，原有的分布式任务调度模式正在被基于Kubernetes的技术架构所取代。云容器引擎（Cloud Container Engine，简称CCE）是高度可扩展的、高性能的企业级Kubernetes集群，支持社区原生应用和工具。借助云容器引擎，您可以在云上轻松部署、管理和扩展容器化应用程序，快速高效的将微服务部署在云端。 为方便企业中的管理人员对集群中的资源权限进行管理，CCE后台提供了多种维度的细粒度权限策略和管理方式。CCE的权限管理包括“集群权限”和“命名空间权限”两种能力，分别从集群和命名空间两个层面对用户组或用户进行细粒度授权，具体解释如下： 集群权限： 是基于IAM系统策略的授权，可以让用户组拥有“集群管理”、“节点管理”、“节点池管理”、“模板市场”、“插件管理”权限。 命名空间权限： 是基于Kubernetes RBAC能力的授权，可以让用户或用户组拥有Kubernetes资源的权限，如“工作负载”、“网络管理”、“存储管理”、“命名空间”等的权限。 基于IAM系统策略的“集群权限”与基于Kubernetes RBAC能力的“命名空间权限”，两者是完全独立的，互不影响，但要配合使用。同时，为用户组设置的权限将作用于用户组下的全部用户。当给用户或用户组添加多个权限时，多个权限会同时生效（取并集）。

介绍分布式消息服务Kafka认证与访问控制方式 分布式消息服务Kafka支持CTIAM身份认证和多种访问控制，多维度保障您数据的安全。 身份认证 CTIAM 统一身份认证（Identity and Access Management， 简称：CTIAM）是提供用户进行权限管理的基础服务，可以帮助您安全的控制天翼云服务和资源的访问及操作权限，包括：用户身份认证、权限分配、访问控制等功能。具体介绍请参考统一身份认证产品介绍。 您可以创建IAM用户，并为其设置关联分布式消息服务Kafka实例权限，该用户就可以通过用户名和密码访问授权的实例资源。具体请参见统一身份认证快速入门创建IAM用户。 访问控制 权限控制 购买分布式消息服务Kafka实例之后，您可以使用CTIAM为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，通过CTIAM进行精细的权限管理。 VPC和子网 虚拟私有云（Virtual Private Cloud，VPC）为分布式消息服务Kafka构建隔离、私密的虚拟网络环境，提升数据库的安全性，并简化用户的网络部署。您可以完全掌控自己的专有网络，VPC丰富的功能帮助您灵活管理云上网络，包括创建子网、设置安全组和网络ACL、管理路由表、申请弹性公网IP和带宽等。通过子网与其他网络隔离，独享网络资源，提高网络安全性。具体内容请参见虚拟私有云用户指南创建虚拟私有云和子网 。 安全组 安全组是一个逻辑上的分组，可以为同一个虚拟私有云内具有相同安全保护需求并相互信任的Kafka实例提供相同的访问策略。您可以通过为数据库实例设置安全组，开通需访问Kafka实例的IP地址和端口，来保证保障其运行环境的安全性和稳定性。具体请参见配置安全组

本文介绍了边缘安全加速平台安全与加速服务API防护模块下接口滥用拦截的使用方法。 功能介绍 攻击者常通过脚本、工具频繁调用某个接口完成账号暴力破解、批量注册等恶意行为。 高频的请求不仅不符合用户正常的操作行为，并且也容易导致接口高负载出现不稳定。 接口滥用拦截可识别客户端的异常高频的API请求，并进行实时拦截，防止接口被恶意滥用。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 注意 未订购“API安全”扩展能力，接口滥用拦截功能设置“关闭”、“告警”动作，无法设置“拦截”动作。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【API安全】菜单，并在左侧域名列表选择您要防护的域名。 3. 进入安全防护【接口滥用拦截】详细设置页。 配置说明

名称 描述 是否必须 CompleteMultipartUpload 请求的容器。 类型：容器。 子节点：1个或多个Part元素。 是 Part 一个片段的容器。 类型：容器。 父节点：CompleteMultipartUpload。 子节点：PartNumber、Etag。 是 PartNumber 标识片段的分片号。 类型：Integer。 父节点：Part。 是 ETag 片段上传完成时返回的Etag内容。 类型：字符串。 父节点：Part。 是

DCS在使用时与其他服务配合使用，本节简单介绍虚拟私有云、弹性云主机、统一身份认证服务、云监控服务、云审计服务以及对象存储服务。 DCS缓存服务与其他服务的关系 虚拟私有云 虚拟私有云（Virtual Private Cloud，简称VPC）是用户在云上申请的隔离的、私密的虚拟网络环境。用户可以自由配置VPC内的IP地址段、子网、安全组等子服务。 分布式缓存服务运行于虚拟私有云，由虚拟私有云协助管理IP和带宽。虚拟私有云还具备安全组访问控制功能，通过绑定安全组并设置访问规则，可以增强访问分布式缓存服务的安全性。 弹性云主机 弹性云主机（Elastic Cloud Server，简称ECS）是一种可随时自助获取、可弹性伸缩的云服务器，帮助用户打造可靠、安全、灵活、高效的应用环境。 成功申请分布式缓存服务后，您可以通过弹性云主机创建的弹性云主机，连接和使用分布式缓存实例。 统一身份认证服务 统一身份认证（Identity and Access Management，简称IAM）是系统的身份管理服务，包括用户身份认证、权限分配、访问控制等功能。 通过统一身份认证服务，实现对分布式缓存服务的访问控制。 云监控服务 云监控服务（Cloud Eye）是云上提供的安全、可扩展的统一监控方案，通过云监控服务集中监控DCS的各种指标，基于云监控服务实现告警和事件通知。

本章节介绍云容器集群节点CPU高负载故障演练。 背景介绍 在云容器引擎（CCE）环境中，节点（Node）的 CPU 资源是所有运行其上的 Pod 的共享基础。当计算密集型应用、资源限制配置不当、或异常进程（如死循环）消耗大量 CPU 时，会导致节点 CPU 使用率持续处于高位。本演练模拟节点 CPU 资源被持续占用的高压场景，帮助您主动评估业务 Pod 在资源争抢下的表现、检验 HPA（水平Pod自动伸缩）的有效性，并为优化资源配置和应急预案提供数据支持。 基本原理 启动自定义程序，空跑for循环来消耗CPU时间片。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的节点列表。 5. 在弹出的对话框中，单击添加节点。 6. 勾选您希望进行故障演练的一个或多个节点 ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。

可视化大屏服务为客户提供网站整体安全状况的可视化大屏分析，实时展示网站安全运营情况。 glmoscodeexplain 如何开通可视化大屏服务？ 当前仅支持通过单击变更访问链接，进入变更访问链接后，单击【实例】，可按需在【全部产品】下拉框中过滤出【Web应用防火墙(边缘云版)】。 如果使用可视化大屏服务？ 客户如果购买了态势感知大屏服务，可以在控制台查看实时的安全态势感知服务。安全态势感知服务根据客户维度，实时展示客户业务整体的攻击情况，主要包括：攻击来源IP、攻击 TOP URL、攻击域名TOP排行、攻击类型分布、攻击类型趋势、攻击来源TOP排行、攻击趋势和滚动式的安全威胁信息等。具体功能介绍详见：态势感知 注意 暂时不支持单独退订可视化大屏服务，如果需要单独退订，请

本章节为您介绍如何快速使用综合安全网关服务。 步骤一：新增网关服务证书 说明 一个综合安全网关实例仅支持创建一个网关服务证书，若您的服务已创建证书则无法再新增。 1. 登录综合安全网关实例。 2. 在左侧导航栏选择“SSL网关服务 > 网关服务证书”，单击页面左上角的“新增证书”按钮。 3. 在弹出的“新增网关服务证书”对话框中，选择需要新增的证书规格。 4. 选择完成后，单击“确定”完成证书新增。 步骤二：生成证书CSR 1. 登录综合安全网关实例。 2. 在左侧导航栏选择“SSL网关服务 > 网关服务证书”。 3. 选择需要生成CSR的证书，单击“操作”列的“CSR请求”按钮。 4. 在弹出的对话框中配置CSR相关内容。 5. 配置完成后，单击“生成证书请求”，会在“证书请求”栏中生成CSR。 6. 根据您业务自身需求选择复制保存或者下载文件保存。 步骤三：新增网关服务并配置 1. 登录综合安全网关实例。 2. 在左侧导航栏选择“SSL网关服务 > 网关服务管理”，在页面左上角单击“开通网关服务”。 3. 在弹出的“新增网关服务”的对话框中配置网关服务参数。 4. 确认填写的内容后，单击“确定”完成新增网关服务。 5. 配置完成后返回到“网关服务管理”页面，单击“操作”列的“配置”按钮开始配置网关。 6. 在弹出的“配置网关服务”对话框中，配置相关参数。

使用主机迁移服务时，需要注意本章介绍的约束与限制。 使用主机迁移服务时，对于源端服务器的约束与限制请参见下表。 表 源端服务器的约束和限制 项目 约束和限制 服务器规格 迁移Windows服务器要求源端和目的端规格大于1U1G。 迁移Linux服务器要求源端和目的端规格大于等于1U1G。 源端服务器数量 单个用户源端服务器限制1000台，如果有超过1000台的情况，请在服务器列表页面删除已完成迁移的服务器。 操作系统 支持迁移的Windows操作系统参见Windows兼容性列表。 支持迁移的Linux操作系统参见Linux兼容性列表。 不支持迁移多操作系统。 磁盘可用空间大小 Windows：当分区大于等于600MB，该分区的可用空间小于320MB时不能迁移；当分区小于600MB，该分区的空间小于40MB时不能迁移。 Linux：根分区可用空间小于200MB时不能迁移。 文件系统 Windows：只支持NTFS类型文件系统。 Linux：只支持ext2、ext3、ext4、vfat、xfs、btrfs文件系统。 共享文件系统 只支持迁移本地磁盘上的文件，不支持迁移共享文件系统。 例如：NFS（Network File System）、Common Internet File System、NAS（Network Attached Storage）等中的文件。 服务器外挂存储 不支持迁移服务器挂载的外部存储。 加密文件 不支持含有受保护文件夹、加密卷的系统。 多节点数据库和活动目录域（AD DS）服务器 主机迁移服务不支持AD和多节点数据库的服务器迁移。 数据库应用数据和域控制器应用数据 主机迁移服务只用于系统迁移，不支持数据库、域控制器等应用数据迁移。 应用与硬件绑定 不支持含有与硬件绑定的应用的系统。 动态磁盘 在Windows系统中，动态磁盘会当做基本磁盘来迁移，迁移完成后，目的端服务器不会有动态磁盘。 加入域的主机 迁移加入域主机时，在迁移完成后，目的端服务器需要重新加入域。 系统卷不在第一块磁盘的服务器 不支持迁移系统卷不在第一块磁盘上的服务器。 LVM精简卷（LV带pool标签） 不支持迁移服务器中的LVM精简卷（LV带pool标签）。 磁盘列阵（RAID） 不支持迁移磁盘列阵（RAID）场景。 大数据集群、容器集群 主机迁移服务只适用于系统迁移，不适用于包括但不限于容器集群、大数据集群等集群迁移。

故障诊断和调试命令 describe describe类似于get，同样用于获取resource的相关信息。不同的是，get获得的是更详细的resource个性的详细信息，describe获得的是resource集群相关的信息。describe命令同get类似，但是describe不支持o选项，对于同一类型resource，describe输出的信息格式，内容域相同。 说明：如果发现是查询某个resource的信息，使用get命令能够获取更加详尽的信息。但是如果想要查询某个resource的状态，如某个pod并不是在running状态，这时需要获取更详尽的状态信息时，就应该使用describe命令。 kubectl describe po logs logs命令用于显示pod运行中，容器内程序输出到标准输出的内容。如果要获得tail f的方式，需使用f选项。 kubectl logs f podname exec 与docker的exec用法相似，如果一个pod中，有多个容器，需要使用c选项指定容器。 kubectl exec it podname bash kubectl exec it podname c containername bash portforward 转发一个或多个本地端口至一个pod。 例如： 转发pod中的6000端口到本地的5000端口： kubectl port forward podname 5000:6000 proxy 运行一个proxy到kubernetes api server。 例如： 控制节点开启HTTP Rest接口： kubectl proxy accepthosts’.’ port8001 address’0.0.0.0’ cp 拷贝文件或目录到容器： cp filename newfilename auth 检查授权。 attach attach命令效果类似于logs f，退出查看使用ctrlc。如果一个pod中有多个容器，要查看具体的某个容器的输出，需要在pod名后使用c containername指定运行的容器。 kubectl attach podname c containername

ECI能为Kubernetes提供基础的容器Pod运行环境，每个ECI实例相当于一个Pod。本文介绍ECI Pod的配置和创建方式。 基本配置 基于Kubernetes社区的Virtual Kubelet技术，ECI支持以虚拟节点（VK）的形式接入到Kubernetes集群中。一个ECI实例相当于一个Pod，包含以下几部分配置： 实例规格 一个ECI实例主要包括vCPU和内存规格。创建实例时，可以指定ECI规格（直接指定vCPU和内存），也可以指定ECS规格来满足GPU、增强网络能力等特殊需求。 容器镜像 一个ECI实例由一个或者多个容器组成，部署容器应用时，需要准备好容器镜像。容器镜像包含容器应用运行所需的程序、库文件、配置等。拉取镜像时，需要保证网络畅通，推荐您使用镜像缓存功能来节约实例的启动耗时。 网络 一个ECI实例将占用所属VPC下的子网的一个弹性网卡资源，默认具备一个内网IP地址。如果需要连接公网，例如需要拉取公网镜像。则需要为ECI实例绑定EIP，或者为所属VPC绑定NAT网关。 存储 一个ECI实例默认有40 GiB的临时存储空间，您可以根据需要增加临时存储空间。如果想要保留存储的文件，建议使用外挂数据卷，支持挂载云盘、弹性文件和对象存储等天翼云存储数据卷。 创建方式 根据业务场景和使用场景，ECI支持两种实例的定义方式： 1. 指定vCPU和内存：您创建ECI实例时可以按需指定vCPU和内存。 2. 指定ECS规格：您创建ECI实例时可以按需指定ECI实例底层使用ECS规格族，来获取相应规格族的指定能力。

本文主要介绍快速创建Kubernetes集群。 创建集群 步骤 1 登录CCE控制台。 如果您的帐号还未创建过集群，会看见一个引导页面，请在CCE集群下单击“创建”。 如果您的帐号已经创建过集群，请在左侧菜单栏选择集群管理，在右侧页面CCE集群下单击“购买”。 步骤 2 在购买CCE集群页面的“服务选型”步骤中配置集群参数： 本例中大多数配置保留默认值，仅解释必要参数，参照下表设置服务选型参数。 表 创建集群参数配置 参数 参数说明 集群名称 新建集群的名称。集群名称长度范围为4128个字符，以小写字母开头，由小写字母、数字、中划线（）组成，且不能以中划线（）结尾。 企业项目 该参数仅对开通企业项目的企业客户帐号显示，不显示时请忽略。 集群版本 建议选择最新的版本。 集群规模 当前集群可以管理的最大Node节点规模。若选择50节点，表示当前集群最多可管理50个Node节点。 高可用 默认选择“是”。 网络模型 默认即可。 虚拟私有云 新建集群所在的虚拟私有云。若没有可选虚拟私有云，单击“新建虚拟私有云”进行创建，完成创建后单击刷新按钮。 控制节点子网 集群Master节点所在的子网。 容器网段 按默认配置即可。 IPv4 服务网段 同一集群下容器互相访问时使用的Service资源的网段。决定了Service资源的上限。 创建后不可修改。 步骤 3 单击“下一步：插件配置”，配置默认插件即可。 步骤 4 单击“下一步：规格确认”，显示集群资源清单，确认无误后，勾选“我已阅读并知晓上述使用说明”，单击“提交”。 等待集群创建成功，创建集群预计需要610分钟左右，请耐心等待。 创建成功后在集群管理下会显示一个运行中的集群，且集群节点数量为0。

本节主要介绍分布式缓存服务Redis版认证与访问控制方式 分布式缓存服务Redis版支持CTIAM身份认证和多种访问控制，多维度保障您数据的安全。 身份认证 CTIAM 统一身份认证（Identity and Access Management， 简称：CTIAM）是提供用户进行权限管理的基础服务，可以帮助您安全的控制天翼云服务和资源的访问及操作权限，包括：用户身份认证、权限分配、访问控制等功能。具体介绍请参考统一身份认证产品介绍。 您可以创建IAM用户，并为其设置关分布式缓存服务Redis版实例权限，该用户就可以通过用户名和密码访问授权的实例资源。具体请参见统一身份认证快速入门创建IAM用户。 访问控制 权限控制 购买分布式缓存服务Redis版实例之后，您可以使用CTIAM为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，通过CTIAM进行精细的权限管理。 VPC和子网 虚拟私有云（Virtual Private Cloud，VPC）为分布式缓存服务Redis版构建隔离、私密的虚拟网络环境，提升数据库的安全性，并简化用户的网络部署。您可以完全掌控自己的专有网络，VPC丰富的功能帮助您灵活管理云上网络，包括创建子网、设置安全组和网络ACL、管理路由表、申请弹性公网IP和带宽等。通过子网与其他网络隔离，独享网络资源，提高网络安全性。具体内容请参见虚拟私有云用户指南创建虚拟私有云和子网 。 安全组 安全组是一个逻辑上的分组，可以为同一个虚拟私有云内具有相同安全保护需求并相互信任的Redis实例提供相同的访问策略。您可以通过为数据库实例设置安全组，开通需访问Redis实例的IP地址和端口，来保证保障其运行环境的安全性和稳定性。具体请参见修改实例安全组

IAM授权 租户管理员拥有所有产品权限，负责给各个职能团队进行IAM授权，根据本例子的权限设计，首先创建四个用户组，分别是系统管理人员、运维人员、开发人员、访客人员，方便对员工分组管理。 创建用户组 打开IAM控制台页面，在左边侧边栏选择用户组，跳转到用户组页面，点击创建「创建用户组」按钮进行创建。 例如，为系统管理团队创建「系统管理人员」用户组 访问IAM用户管理页面，点击页面上的授权按钮进行操作，赋予用户组权限。 本例子将赋予「系统管理人员」用户组 ccseoneadmin 权限。 管理人员 管理人员可以搭建基础设施、配置权限策略。操作步骤如下： 1. 创建注册集群、舰队和联邦 在上述步骤中，租户管理员向行政管理人员分配「ccseoneadmin」权限。此权限允许行政管理人员创建注册集群、舰队和联邦等资源，从而利用分布式容器云平台搭建其基础设施。若需批量管理注册集群的权限，可将目标注册集群加入舰队，然后为相应的舰队成员用户赋予权限，实现统一管控。 2. Kubernetes RBAC授权 除了IAM授权，用户需要访问Kubernetes 资源还需要进行Kubernetes RBAC授权。 配置Kubernetes RBAC权限策略 分布式容器云平台提供四种预置权限（管理员、运维人员、开发人员和受限人员），同时支持用户灵活创建自定义权限。创建自定义权限，可访问分布式容器云平台「平台服务」> 「权限管理」页面，进行Kubernetes RBAC权限策略管理。 关联Kubernetes RBAC权限 Kubernetes RBAC 权限策略需完成「关联权限」操作后生效，该操作可在注册集群、舰队或联邦的对应列表页面进行。 为开发团队关联开发人员权限

参数 参数类型 说明 示例 下级对象 balancerStrategy Object 服务负载均衡策略 BalancerStrategy certFileName String 证书文件名 certFileName certKeyFileName String 密钥证书文件名 certFileKeyName createTime String LocalDateTime创建时间 20231010 12:12:21 enableMtls Boolean 是否开启了双向认证 false enableWebsocket Boolean 是否开启了websocket支持 false groupName String 组名 default healthCheckConfig Object 健康检查配置 HealthCheckConfigVO id String ID 878da73f7dba36ff0ae80e004a4f28f9 label Object 标签map labelNames Array of Objects 标签名列表 LabelNameDTO name String 服务名称 test namespace String 命名空间 prod namespaceId String Nacos命名空间ID prod nodes Array of Objects 固定地址节点列表 VipServiceNodeDTO retry Object 重试配置 Retry serviceNameInRegistry String 注册中心服务名 demo serviceProtocol String 服务协议 http sourceType String 服务来源，VIP：固定地址；NACOS：nacos来源；KUBERNETES：云容器引擎来源 NACOS timeout Object 超时时间配置 Timeout type String 类型，取值：control或Ingress control typeDesc String 类型含义，取值：管控或Ingress 管控 updateTime String LocalDateTime更新时间 20231010 13:13:13

参数 参数类型 说明 示例 下级对象 balancerStrategy Object 服务负载均衡策略 BalancerStrategy certFileName String 证书文件名 certFileName certKeyFileName String 密钥证书文件名 certFileKeyName createTime String LocalDateTime创建时间 20231010 12:12:21 enableMtls Boolean 是否开启了双向认证 false enableWebsocket Boolean 是否开启了websocket支持 false groupName String 组名 default healthCheckConfig Object 健康检查配置 HealthCheckConfigVO id String ID 878da73f7dba36ff0ae80e004a4f28f9 label Object 标签map labelNames Array of Objects 标签名列表 LabelNameDTO name String 服务名称 test namespace String 命名空间 prod namespaceId String Nacos命名空间ID prod nodes Array of Objects 固定地址节点列表 VipServiceNodeDTO retry Object 重试配置 Retry serviceNameInRegistry String 注册中心服务名 demo serviceProtocol String 服务协议 http sourceType String 服务来源，VIP：固定地址；NACOS：nacos来源；KUBERNETES：云容器引擎来源 NACOS timeout Object 超时时间配置 Timeout type String 类型，取值：control或Ingress control typeDesc String 类型含义，取值：管控或Ingress 管控 updateTime String LocalDateTime更新时间 20231010 13:13:13

本节介绍日志中心用户指南。 概述 分布式容器云平台提供日志采集和分析能力，包括容器日志、事件日志、控制面组件日志，辅助定位集群中出现的异常问题。 日志维度 说明 容器日志 采集集群中容器应用的标准输出日志。 事件日志 配合cubeevent插件，采集集群中的event信息，并持久化到日志中。 控制面组件日志 采集控制面组件的日志，包括kubeapiserver、kubecontrollermanager、kubescheduler和etcd。 前提条件 1. 已完成集群注册，具体操作请参见 本地注册集群 / 三方云注册集群。 2. 集群已安装ctglogoperator、cubeevent插件，具体操作请参考 插件。 操作步骤 开启日志采集 1. 登陆分布式容器云平台，在左侧导航栏中选择集群资源 > 集群管理，进入注册集群列表页。 2. 在注册集群列表中点击需要配置日志采集的集群，进入单集群管理页面。 3. 在单集群管理页面导航栏中选择运维管理 > 日志中心，进入日志中心页面。 4. 在日志中心页面顶部，可切换容器日志、事件日志、控制面组件日志页签，点击下方“立即开启”按钮，配置容器日志、事件日志和控制面组件日志接入。 配置完成后，在对应页签下即可查看、搜索应用日志。

本文介绍弹性容器实例ECI的计费概述。 使用弹性容器实例ECI时涉及到的计费项如下，如果您在使用过程中关联天翼云其他云产品资源，您需要为您使用的资源付费。 计费项 资源 计费说明 相关文档 ECI实例 支持两种创建方式，您可根据您的实际情况进行选择： 基础模式，即按vCPU和内存 指定实例规格，即按ECS规格 ECI实例计费 镜像缓存 创建镜像缓存：手动创建需支付临时资源费用和快照费用；自动创建无需付费 使用镜像缓存：根据镜像缓存类型和大小，可能需要额外支付云盘费用 镜像缓存计费 临时存储空间 创建ECI的过程中，如果您增加了临时存储空间大小，您需要为其付费 临时存储空间计费 根据业务需要，您可能需要使用天翼云其他云产品资源。相关说明如下： 资源 计费说明 相关文档 网络 如果您的ECI实例需要公网通信，则需要配置弹性IP或NAT网关，支付相应的网络费用 弹性IP计费说明 NAT网关计费说明 存储 如果您的ECI实例需要持久化存储，弹性容器实例支持挂载天翼云云硬盘、对象存储等，根据您使用的存储资源，支付相应的存储费用 云硬盘计费说明 对象存储计费说明 [](

本文主要介绍海量文件服务OceanFS的产品概述和产品架构。 产品概述 海量文件服务OceanFS是天翼云推出的全托管、可扩展海量文件系统，满足海量数据、高带宽型应用场景的需求。OceanFS能够弹性扩展至PB规模，具备高可用性和持久性，适用于多种应用场景，包括HPC、媒体处理、文件共享、内容管理和Web服务等。 产品架构 如何访问海量文件服务 文件系统不可独立使用，也不可通过URL访问，须要挂载云主机、容器、弹性裸金属、物理机等计算服务上才可进行读写。文件系统挂载之后可以作为一个普通的磁盘来使用。 如何管理海量文件服务 天翼云提供如下方式进行海量文件服务的配置和管理： 控制台：天翼云提供Web化的服务管理平台，即控制台。 OpenAPI：天翼云提供基于HTTPS请求的API（Application programming interface）管理方式，具体参考API概览。

监控 您可以通过CCE控制台查看工作负载和容器组的CPU和内存占用情况，以确定需要的资源规格。本文以无状态工作负载为例说明如何使用监控功能。 步骤 1 登录CCE控制台，进入一个已有的集群，在左侧导航栏中选择“工作负载”。 步骤 2 选择“无状态负载”页签，单击已创建工作负载后的“监控”。在监控页面，可查看工作负载的CPU利用率和物理内存使用率。 图 查看无状态工作负载监控 步骤 3 单击工作负载名称，可在“实例列表”中单击某个实例的“监控”按钮，查看相应实例的CPU使用率、内存使用率。 日志 您可以通过“日志”功能查看无状态工作负载、有状态工作负载、守护进程集、普通任务的日志信息。本文以无状态工作负载为例说明如何查看日志。 步骤 1 登录CCE控制台，进入一个已有的集群，在左侧导航栏中选择“工作负载”。 步骤 2 选择“无状态负载”页签，单击工作负载后的“日志”。 在弹出的“日志”窗口中可以根据时间查看日志信息。 图 查看无状态工作负载日志 说明 云容器引擎服务对接了应用运维管理服务AOM提供日志查看、检索功能，默认存储时长为7天。目前AOM每月赠送500M免费日志采集额度，超过免费额度部分将产生费用。

准备工作 准备一个算力密集型的应用，当用户请求时，需要先计算出结果后才返回给用户结果，如下示例，这是一个PHP页面，代码将保存在index.php文件中，用户请求时先循环开方1000000次，然后再返回“OK!”。 编写Dockerfile制作容器镜像。 FROM php:5apache COPY index.php /var/www/html/index.php RUN chmod a+rx index.php 执行如下命令构建镜像，镜像名称为busyphp。 docker build t busyphp:latest . 构建完成后上传到目标资源池的SWR镜像仓库，上传容器镜像的步骤请参见“容器镜像服务 > 客户端上传镜像”。 创建有1个工作节点的CCE集群，工作节点规格2U4G，节点需要带弹性公网IP，以便访问公网。 在CCE控制台“插件管理”中，如未安装请首先给集群安装好以下插件： •autoscaler：CA插件。 •metricsserver：是Kubernetes集群范围资源使用数据的聚合器，能够收集包括了Pod、Node、容器、Service等主要Kubernetes核心资源的度量数据。 创建节点池和CA策略 在CCE控制台中，创建一个节点池，添加一个2U4G的节点，并打开节点池的弹性扩缩容开关，如下图所示。 修改autoscaler插件配置，将自动缩容开关打开，并配置缩容相关参数，例如节点资源使用率小于50%时进行缩容扫描，启动缩容。插件规格建议至少选择“高可用50”，即保证运行不少于2个autoscaler实例。 上面配置的节点池弹性伸缩，会根据Pod的Pending状态进行扩容，根据节点的资源使用率进行缩容。 CCE同时支持创建CA策略，这里的CA策略可以根据CPU/内存分配率扩容、还可以按照时间定期扩容。CA策略可以与autoscaler默认的根据Pod的Pending状态进行扩容共同作用。 如下图所示，在CCE控制台 > 弹性伸缩 > > > 节点伸缩中创建一个“节点伸缩策略”，配置当集群CPU分配率大于70%时，增加一个节点。CA策略需要关联节点池，可以关联多个节点池，当需要对节点扩缩容时，在节点池中根据最小浪费规则挑选合适规格的节点扩缩容。

本章节主要介绍天翼云大数据平台 翼MapReduce产品的安全增强特性。 天翼云大数据平台 翼MapReduce支持海量数据存储、海量数据分析、实时处理等行业应用，平台具备高安全性。该产品主要从以下几个方面保障用户可以安全地存储、使用数据以及运行业务。 网络隔离 系统部署在用户在公有云上专享的虚拟私有云中，提供安全隔离的网络环境，保证用户大数据集群的业务、管理的安全性。通过结合虚拟私有云的子网划分、路由控制、安全组等功能，可以为用户提供高安全、高可靠的网络隔离环境。 资源隔离 翼MR服务目前支持用户在天翼云4.0资源池内专属化部署，服务使用到的云主机在IaaS层保证资源隔离，资源组合上确保专属计算资源+专属存储资源。 主机安全 翼MR支持与天翼云官网安全服务集成，支持漏洞扫描、安全防护、应用防火墙、云堡垒机、网页防篡改等。针对云主机，提供如下安全措施： 操作系统内核安全加固 更新操作系统最新补丁 操作系统权限控制 操作系统端口管理 操作系统协议与端口防攻击 云主机监控 防DDoS攻击 定期备份数据 增加登录密码强度 应用安全 通过如下措施保证大数据业务正常运行： 身份鉴别与认证 Web应用安全 访问控制 审计安全 密码安全

本文介绍了DDoS防护开关的配置。 功能介绍 DDoS防护可有效防御畸形报文攻击、SYN Flood、ACK Flood、UDP Flood、ICMP Flood等网络层攻击以及SSL、DNS等应用层攻击。 背景信息 边缘安全加速平台安全与加速服务中的DDoS防护能力（中国内地区域）将默认开启，若站点受到DDoS攻击将为您提供防护并消耗DDoS防护次数。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 操作步骤 1. 登录边缘安全加速平台控制台，进入【安全与加速】工作台。 2. 在左侧导航栏中选择【安全能力】，进入【DDoS防护】菜单，并在左侧域名列表选择您要防护的域名。 防护域名 为您展示接入安全与加速服务的域名，并支持查看域名的DDoS防护状态以及域名配置状态。点击防护域名数统计区域，可筛选域名列表已防护或未防护的域名，您也可以通过下方查询框对域名进行其他条件的筛选。 点击右上角【新增域名】可进入域名新增页面，点击支持收起域名列表。 注意 当域名为配置中、已停用状态，不支持编辑防护配置。

工作负载的DNS配置介绍 Kubernetes集群内置DNS插件KubeDNS/CoreDNS，为集群内的工作负载提供域名解析服务。业务在高并发调用场景下，如果使用到域名解析服务，可能会触及到KubeDNS/CoreDNS的性能瓶颈，导致DNS请求概率失败，影响用户业务正常运行。在Kubernetes使用的过程中，在有些场景下工作负载的域名解析存在冗余的DNS查询，使得高并发场景更容易触及DNS的性能瓶颈。根据业务使用场景，对工作负载的DNS配置进行优化，能够在一定程度上减少DNS请求概率失败的问题。 更多DNS相关信息请参见CoreDNS（系统资源插件，必装）或通过kubectl配置kubedns/CoreDNS高可用。 Linux 系统域名解析文件配置项的介绍 在Linux系统的节点或者容器里执行cat /etc/resolv.conf命令，能够查看到DNS配置，以Kubernetes集群的容器DNS配置为例： nameserver 10.247.x.x search default.svc.cluster.local svc.cluster.local cluster.local options ndots:5 配置项说明： nameserver：容器解析域名时查询的DNS服务器的IP地址列表。如果设置为10.247.x.x说明DNS对接到KubeDNS/CoreDNS，如果是其他IP地址，则表示采用DNS或者用户自建的DNS。 search：定义域名的搜索域列表，当访问的域名不能被DNS解析时，会把该域名与搜索域列表中的域依次进行组合，并重新向DNS发起请求，直到域名被正确解析或者尝试完搜索域列表为止。对于CCE集群来说，容器的搜索域列表配置3个域，当解析一个不存在的域名时，会产生8次DNS查询，因为对于每个域名需要查询两次，分别是IPv4和IPv6。 options：定义域名解析配置文件的其他选项，常见的有timeout、attempts和ndots等等。Kubernetes集群容器的域名解析文件设置为options ndots:5，该参数的含义是当域名的“.”个数小于ndots的值，会先把域名与search搜索域列表进行组合后进行DNS查询，如果均没有被正确解析，再以域名本身去进行DNS查询。当域名的“.”个数大于或者等于ndots的值，会先对域名本身进行DNS查询，如果没有被正确解析，再把域名与search搜索域列表依次进行组合后进行DNS查询。如查询www.ctyun.cn域名时，由于该域名的“.”个数为2，小于ndots的值，所以DNS查询请求的顺序依次为：www.ctyun.cn.default.svc.cluster.local、www.ctyun.cn.svc.cluster.local、 www.ctyun.cn.cluster.local和www.ctyun.cn，需要发起至少7次DNS查询请求才能解析出该域名的IP。可以看出，这种配置在访问外部域名时，存在大量冗余的DNS查询，存在优化点。 说明：完整的Linux域名解析文件配置项说明可以参考文档： Kubernetes 集群应用的DNS 相关配置项介绍 前面已经分析过，应用在某些场景下会出现冗余的DNS查询。Kubernetes为应用提供了与DNS相关的配置选项，通过对应用进行DNS配置，能够在某些场景下有效地减少冗余的DNS查询，提升业务并发量。目前应用配置中与DNS相关的字段有dnsPolicy 和dnsConfig。 dnsPolicy 字段说明： dnsPolicy字段是应用设置的DNS策略，默认值为“ClusterFirst”。基于dnsPolicy策略生成的域名解析文件会与dnsConfig设置的DNS参数进行合并，合并规则将在“dnsConfig字段说明”中说明，dnsPolicy当前支持四种参数值： − ClusterFirst：应用对接KubeDNS/CoreDNS（CCE集群的KubeDNS/CoreDNS默认级联DNS）。这种场景下，容器既能够解析service注册的集群内部域名，也能够解析发布到互联网上的外部域名。由于该配置下，域名解析文件设置了search搜索域列表和ndots: 5，因此当访问外部域名和集群内部长域名（如kubernetes.default.svc.cluster.local）时，大部分域名都会优先遍历search搜索域列表，导致至少有6次无效的DNS查询，只有访问集群内部短域名（如kubernetes）时，才不存在无效的DNS查询。 − ClusterFirstWithHostNet：对于配置主机网络的应用，默认配置kubelet的“resolvconf”参数指向的域名解析文件（CCE集群在该配置下对接DNS）。当dnsPolicy设置为“ClusterFirstWithHostNet”时，应用对接KubeDNS/CoreDNS。该配置下，容器的域名解析文件与“ClusterFirst”一致，也存在无效的DNS查询。 − Default：容器的域名解析文件使用kubelet的“resolvconf”参数指向的域名解析文件（CCE集群在该配置下对接DNS），没有配置search搜索域列表和options。该配置只能解析注册到互联网上的外部域名，无法解析集群内部域名，且不存在无效的DNS查询。 − None：Kubernetes v1.9（Beta in v1.10）中引入的新选项值。设置为None之后，必须设置dnsConfig，此时容器的域名解析文件将完全通过dnsConfig的配置来生成。 dnsConfig 字段说明： dnsConfig为应用设置DNS参数，设置的参数将合并到基于dnsPolicy策略生成的域名解析文件中。当dnsPolicy为“None”，应用的域名解析文件完全由dnsConfig指定；当dnsPolicy不为“None”时，会在基于dnsPolicy生成的域名解析文件的基础上，追加dnsConfig中配置的dns参数。 − nameservers：DNS的IP地址列表。当应用的dnsPolicy设置为“None”时，列表必须至少包含一个IP地址，否则此属性是可选的。列出的DNS的IP列表将合并到基于dnsPolicy生成的域名解析文件的nameserver字段中，并删除重复的地址。 − searches：域名查询时的DNS搜索域列表，此属性是可选的。指定后，提供的搜索域列表将合并到基于dnsPolicy生成的域名解析文件的search字段中，并删除重复的域名。Kubernetes最多允许6个搜索域。 − options：DNS的配置选项，其中每个对象可以具有name属性（必需）和value属性（可选）。该字段中的内容将合并到基于dnsPolicy生成的域名解析文件的options字段中，dnsConfig的options的某些选项如果与基于dnsPolicy生成的域名解析文件的选项冲突，则会被dnsConfig所覆盖。 工作负载的DNS配置实践 前面介绍了Linux系统域名解析文件以及Kubernetes为应用提供的DNS相关配置项，下面将举例介绍应用如何进行DNS配置。 场景1 对接kubernetes 内置的KubeDNS/CoreDNS 场景说明： 这种方式适用于应用中的域名解析只涉及集群内部域名，或者集群内部域名+外部域名两种方式，应用默认采用这种配置。 示例： apiVersion: v1 kind: Pod metadata: namespace: default name: dnsexample spec: containers: name: test image: nginx dnsPolicy: ClusterFirst 该配置下容器的域名解析文件将如下所示： nameserver 10.247.3.10 search default.svc.cluster.local svc.cluster.local cluster.local options ndots:5 场景2 直接对接DNS 场景说明： 这种方式适用于应用只访问注册到互联网的外部域名，该场景不能解析集群内部域名。 示例： apiVersion: v1 kind: Pod metadata: namespace: default name: dnsexample spec: containers: name: test image: nginx dnsPolicy: Default //使用kubelet的“resolvconf”参数指向的域名解析文件（CCE集群在该配置下对接DNS） 该配置下容器的域名解析文件将如下所示： nameserver 10.125.x.x 场景3 主机网络模式的应用对接KubeDNS/CoreDNS 场景说明： 对于配置主机网络模式的应用，默认对接DNS，如果应用需要对接KubeDNS/CoreDNS，需将dnsPolicy设置为“ClusterFirstWithHostNet”。 示例： apiVersion: extensions/v1beta1 kind: Deployment metadata: name: nginx spec: template: metadata: labels: app: nginx spec: hostNetwork: true dnsPolicy: ClusterFirstWithHostNet containers: name: nginx image: nginx:1.7.9 ports: containerPort: 80 该配置下容器的域名解析文件将如下所示： nameserver 10.247.3.10 search default.svc.cluster.local svc.cluster.local cluster.local options ndots:5 场景4 自定义应用的域名配置 场景说明： 用户可以完全自定义配置应用的域名解析文件，这种方式非常灵活，dnsPolicy和dnsConfig配合使用，几乎能够满足所有使用场景，如对接用户自建DNS的场景、串联多个DNS的场景以及优化DNS配置选项的场景等等。 示例1 ：对接用户自建DNS 该配置下，dnsPolicy为“None”，应用的域名解析文件完全根据dnsConfig配置生成。 apiVersion: v1 kind: Pod metadata: namespace: default name: dnsexample spec: containers: name: test image: nginx dnsPolicy: "None" dnsConfig: nameservers: 10.2.3.4 //用户自建DNS 的IP 地址 searches: ns1.svc.cluster.local my.dns.search.suffix options: name: ndots value: "2" name: timeout value: "3" 该配置下容器的域名解析文件将如下所示： nameserver 10.2.3.4 search ns1.svc.cluster.local my.dns.search.suffix options timeout:3 ndots:2 示例2 ：修改域名解析文件的ndots 选项，减少无效的DNS 查询 该配置下，dnsPolicy不为“None”，会在基于dnsPolicy生成的域名解析文件的基础上，追加dnsConfig中配置的dns参数。 apiVersion: v1 kind: Pod metadata: namespace: default name: dnsexample spec: containers: name: test image: nginx dnsPolicy: "ClusterFirst" dnsConfig: options: name: ndots value: "2" //该配置会将基于ClusterFirst 策略生成的域名解析文件的ndots:5 参数改写为ndots:2 该配置下容器的域名解析文件将如下所示： nameserver 10.247.3.10 search default.svc.cluster.local svc.cluster.local cluster.local options ndots:2

本节主要介绍弹性文件服务的应用场景。 SFS容量型文件系统为用户提供一个完全托管的共享文件存储，能够弹性伸缩至PB规模，具备高可用性和持久性，为海量数据、高带宽型应用提供有力支持。适用于多种应用场景，包括HPC、媒体处理、文件共享、内容管理和Web服务等。 SFS Turbo文件系统为用户提供一个完全托管的共享文件存储，能够弹性伸缩至320TB规模，具备高可用性和持久性，为海量的小文件、低延迟高IOPS型应用提供有力支持。适用于高性能网站、日志存储、压缩解压、DevOps、企业办公、容器应用等场景。为多个业务节点提供共享的日志输出目录，方便分布式应用的日志收集和管理。

产品规格、计费单位、价格及应用场景说明，帮助您快速了解产品总体计费模式。 本产品按照服务的类型、人员数、服务周期及服务资产数进行收费。 注意 购买基础版、企业版前，应至少已订购主机安全、WAF、云防火墙安全产品。 服务项 细分项 资产数 单位 价格 应用场景 备注 基础版 基础版接入服务 元/年 40800 基础费用，包含服务接入、资源配置等 基础版 基础版资产 1 元/台/年 720 单个资产托管费用 企业版 托管基础服务 元/年 60000 基础费用，包含服务接入、资源配置等 企业版包含托管资产的应急响应服务，新购一年赠送一次资产威胁分析服务。 企业版 托管资产 1 元/台/年 1800 单个资产托管费用 企业版包含托管资产的应急响应服务，新购一年赠送一次资产威胁分析服务。 护航版 前期评估 150 元/天 10000 对资产、网络、应用进行重保前的整体安全评估，协助用户完成安全加固 最低5天 护航版 重保服务 150 元/天 12000 提供724小时不间断人工重保服务，持续进行安全监控及应急响应 护航版 防护资产扩展包 50 元/天/个 8000 扩展重保服务监控资产数量 每新增1个资产扩展包，安全检查最低天数增加1天 护航版 蓝军攻击服务（3人5天） 元/次 450000 提供3人5天的蓝军攻击服务，提供攻击报告 应急响应服务 应急响应服务 120 元/次 35000 提供远程应急响应服务，受影响范围为120个资产 应急响应服务 应急响应服务 21100 元/次 36000 提供远程应急响应服务，受影响范围为21100个资产 应急响应服务 应急响应服务 101200 元/次 39600 提供远程应急响应服务，受影响范围为101200个资产 应急响应服务 应急响应服务 201500 元/次 52000 提供远程应急响应服务，受影响范围为201500个资产 安全评估 安全评估服务 元/次 30000 对云上资产、应用、网络进行整体安全评估，提供评估报告，提供加固建议 全流量分析服务 元/月 3500 单个规格支持网络层吞吐量500Mbps，应用层吞吐量≤250Mbps，可按需叠加。 全流量分析服务 元/年 35000 单个规格支持网络层吞吐量500Mbps，应用层吞吐量≤250Mbps，可按需叠加。

本文介绍如何将网站域名接入边缘安全加速平台的安全与加速服务，保障您网站的安全性和可用性。 通过网站业务梳理、域名接入配置、运营管理三个方面进行管理您的网站。 网站业务梳理 在将网站接入边缘安全加速平台前，建议您先梳理网站的业务信息以及历史受攻击的情况，便于使用安全与加速服务制定合适的防护策略。 梳理网站的基础信息 梳理网站的基础信息，有利于您在域名接入安全与加速服务时，填写正确的域名配置。 网站支持哪些访问协议，如果需要支持HTTPS，那需要提前准备对应的HTTPS证书。 网站有使用了哪些业务端口，判断WAF是否能支持该网站的所有业务端口。 源站的IP有哪些，源站是否有iptables之类的访问限制，如果有需要加白AccessOne防护集群的回源IP。 梳理网站的业务情况 了解自身网站业务有利于安全与加速服务防护策略的配置，也有助于在订购安全与加速服务套餐时能选择合适的套餐规格属性。 网站当前的业务流量情况，包括流量峰值的Mbps、QPS情况。 网站访问者的主要来源，访问者的客户端环境有哪些，是否有APP客户端 网站有多少用户活跃度，主要的用户群体有哪些，有助于分析访问行为特征并制定防护策略。

本章节介绍微服务引擎的使用限制 微服务引擎产品实例使用限制 注册配置中心 限制项 限制值 Nacos单实例命名空间数量上限。 50个 Nacos单实例配置文件数量上限。 10000个 Nacos单个配置文件大小上限。 100 KB ZooKeeper单个Session所创建的临时节点（ephemeral）类型上限。 2000个 ZooKeeper数据管理数据导入文件大小限制。 200M Eureka单节点服务实例注册数量上限。 1000个 云原生网关 限制功能 说明 IP黑白名单 当前基于请求云原生网关的网络层IP进行黑白名单管控，对于使用ELB的场景，网关看到的网络层IP是ELB的出口IP。后续会优化该功能，支持基于XForwardedFor中的IP进行管控的能力。 微服务治理中心 概述 在使用微服务治理中心之前时，您需要通过本文提前了解微服务治理中心的使用限制。 版本限制 模块 限制 说明 微服务框架Spring Cloud Spring Cloud Edgware及以上版本。 客户端：Feign、RestTemplate。 微服务框架Dubbo Dubbo 2.5.3及以上版本。 无 接入方式 支持ECS、云容器引擎应用接入。 如果使用ECS接入，需要在ECS的/etc/resolv.conf文件首行添加nameserver 100.95.0.1。 注册中心 支持应用使用Nacos、Eureka和Zookeeper三种引擎。 无 JDK版本 支持JDK1.8+版本应用接入。 无 VPC 应用所在的VPC需手动接入微服务治理中心。 接入方法，见文档ECS微服务应用接入MSE治理中心。 当您的应用满足上述限制后，通过ECS或云容器引擎接入微服务治理中心，可以使用微服务治理中心相关功能。 微服务引擎配额资源使用限制

本文介绍如何退订智算容器实例。 1. 在弹性容器实例控制台左侧导航栏中选择“智算容器组实例管理”。 2. 选择需要退订的实例，点击退订操作。 3. 当出现弹窗，点击“确认”即可。

本文介绍如何设置应用生命周期。 在创建应用或升级应用的过程中，容器引擎为您提供了设置应用生命周期的功能。本功能提供了回调函数，在容器的生命周期的特定阶段执行调用，比如容器在停止前希望执行某项操作，就可以注册相应的钩子函数。目前提供的生命周期回调函数如下所示： 启动命令：输入容器启动命令，容器启动后立即执行； 启动后处理：应用启动后触发； 停止前处理：应用停止前触发。 操作步骤 1.启动命令； 1）在创建应用或升级应用流程中，进去容器设置步骤，在创建应用配置生命周期环节，选择【启动命令】页签； 2）输入启动命令：当前启动命令以字符串数组形式提供，对应于 docker 的 ENTRYPOINT启动命令，格式为：["executable", "param1", "param2",..]。 命令方式 操作步骤 可执行程序方式 在启动命令填框中输入可执行的程序，例如/run/server 在启动命令填框中输入启动参数，例如port8080 2.启动后处理； 1）在创建应用或升级应用操作中，在创建应用配置生命周期环节，选择【启动后处理】页签； 2）设置启动后处理的参数，具体参数如下表所示。 命令方式 操作步骤 可执行程序方式 在容器中执行指定的命令，配置为需要执行的命令。命令的格式为Command Args[1] Args[2]…（Command为系统命令或者用户自定义可执行程序，如果未指定路径则在默认路径下需找可执行程序），如果需要执行多条命令，建议采用将命令写入脚本执行的方式 HttpGet请求方式 发起一个HTTP调用请求。配置参数如下： 路径：请求的URL路径，可选项 端口：请求的端口，必选项 主机地址：请求的IP地址，可选项，默认是容器所在的节点IP 3.停止前处理； 1）在创建应用或升级应用操作中，配置生命周期环节，选择【停止前处理】页签； 2）设置停止前处理的参数： 命令方式 操作步骤 可执行程序方式 在容器中执行指定的命令，配置为需要执行的命令。命令的格式为Command Args[1] Args[2]…（Command为系统命令或者用户自定义可执行程序，如果未指定路径则在默认路径下需找可执行程序），如果需要执行多条命令，建议采用将命令写入脚本执行的方式 HttpGet请求方式 发起一个HTTP调用请求。配置参数如下： 路径：请求的URL路径，可选项 端口：请求的端口，必选项 主机地址：请求的IP地址，可选项，默认是容器所在的节点IP

配置参数 默认端口 端口说明 port 9092 Broker提供数据接收、获取服务。 ssl.port 9093 Broker提供数据接收、获取服务的SSL端口。 sasl.port 21007 Broker提供SASL安全认证端口，提供安全Kafka服务。 saslssl.port 21009 Broker提供SASL安全认证和SSL通信的端口，提供安全认证及通信加密服务。