本小节介绍镜像漏洞。 本章节指导用户查看私有镜像上存在的漏洞，并判断是否需要“忽略”漏洞。 前提条件 已开启容器节点防护。 检测方式 用户开启容器节点防护后，容器安全服务自动执行对Linux镜像的安全扫描。 约束限制 仅支持查看Linux镜像存在的漏洞。 查看私有镜像仓库漏洞 1、登录管理控制台，进入企业主机安全页面。 2、在左侧导航树中，选择“风险预防 > 容器镜像安全”，选择“容器镜像漏洞 > 私有镜像仓库漏洞”页签，查看私有镜像窗口漏洞。 说明 单击风险镜像名称，可查看该风险镜像的漏洞概况，包括漏洞名称、修复紧急度、受影响镜像个数、漏洞描述等信息。 漏洞参数说明 参数名称 说明 操作 漏洞名称 单击，查看漏洞详情，包括漏洞ID、漏洞分值、漏洞披露时间和漏洞描述。 单击漏洞名称，查看该漏洞的基本信息以及受该漏洞影响的镜像列表，具体请参见步骤3。 修复紧急度 提示您是否需要立刻处理该漏洞。 受影响镜像数（个） 显示受该漏洞影响的镜像个数。 解决方案 针对该漏洞给出的解决方案。 单击“解决方案”列的链接，查看修复意见。 3、 单击漏洞名称，查看该漏洞的基本信息及受该漏洞影响的镜像列表。

云产品名称 开通类型 产品说明 云容器引擎 必选项 弹性负载均衡ELB 必选项（开通服务网格时自动开通）

本节介绍了云容器引擎安全责任共担模型。 在云容器引擎 CCE 中，安全合规遵循责任共担原则。具体而言，云容器引擎 CCE 承担着集群控制面组件（涵盖 Kubernetes 控制平面组件与 etcd）及集群服务相关天翼云基础设施的默认安全保障责任。本文将详细阐述天翼云云容器引擎 CCE 的安全责任共担模型。 天翼云负责 在管控面侧，天翼云凭借完善的平台安全能力，负责保障管控面侧基础设施（涵盖计算、存储、网络等各类云服务资源）的安全。针对集群节点操作系统或 K8s 组件层面出现的安全漏洞，天翼云会及时发布相关公告，并提供对应的漏洞补丁或版本更新支持。天翼云还会围绕企业云原生应用生命周期中安全防护的典型场景，提供必要的安全防护功能及最佳实践指导。 客户负责 客户方安全管理与运维人员需承担部署于云上的业务应用安全防护责任，以及云上资源的安全配置与更新工作，具体包括以下内容： 依据天翼云发布的公告，采用其提供的补丁或版本升级方式，及时对操作系统、集群侧系统组件、运行时等存在的漏洞进行修复和版本更新 遵循安全原则对 CCE 集群、节点池及网络等进行参数配置，防止因参数或权限设置不当而给攻击者留下可乘之机 根据实际使用需求，按照权限最小化原则，完成账号、角色的授权，做好凭据管理，部署实施相关安全策略，并保障应用自身参数配置的安全性 负责应用制品的供应链安全 保障应用敏感数据及应用运行时的安全 CCE采用双层的权限体系，即IAM+RBAC。当删除 IAM 用户或 IAM 角色时，并不会同步移除该用户或角色所拥有的集群 KubeConfig 中的 RBAC 权限。因此，在删除离职员工或非受信人员的 IAM 用户或 IAM 角色前，需先吊销其 KubeConfig 权限。

为减少安全隐患和稳定性风险，云容器引擎建议用户及时升级kubernetes版本。用户使用云容器引擎控制台升级集群的Kubernetes版本，本文介绍集群升级前后的注意事项、升级流程、操作步骤等。 升级集群的好处 云容器引擎使用kubernetes的原生v . . 版本语义，目前尚只支持4个次要版本，分别为v1.23.3, v1.25.6, v1.27.8, v1.29.3版本。云容器引擎会定期发布支持的Kubernetes版本并逐步停止对过期版本的技术支持。建议使用v1.23.3版本的用户建议尽快升级到更高版本kubernetes，已获得更好的使用体验。 主动升级集群有以下好处： 降低安全和稳定性风险：随着Kubernetes版本迭代，会不断优化及修复发现的安全及稳定性漏洞，长久使用过期版本集群会给业务带来安全和稳定性风险。 享受更好的维护支持：对于过期Kubernetes版本，云容器引擎不再提供安全补丁和问题修复，也无法保证过期版本的技术支持质量。使用新版本能够让您享受更好的技术支持和答疑服务。 使用新版本的新功能：随着社区Kubernetes版本的演进，新版本包含新的功能和改进，云容器引擎也将适配新版本，为您带来更好的开发和运维体验。

名称 描述 AccessControlPolicy 响应的容器。 类型：容器。 子节点：Owner、AccessControlList。 Owner 存储Bucket所属账户信息的容器。 类型：容器。 父节点：AccessControlPolicy。 子节点：ID、DisplayName。 ID Bucket所属账户的ID信息。 类型：字符串。 父节点：Owner。 AccessControlList 存储ACL信息的容器。 类型：容器。 父节点：AccessControlPolicy。 子节点：Grant。 Grant 存储Permission和Grantee的容器。 类型：容器。 父节点：AccessControlList。 子节点：Grantee。 Grantee 用来存储Display和拥有ID的用户被承认的许可的容器。 Permission 对一个Bucket认可的许可信息。 类型：字符串。 父节点：Grant。 有效值：READ（公共读）、FULLCONTROL（公共读写）、空（私有）。

本文介绍如何部署智算容器实例。 前提条件 请确保您已完成以下准备工作： 1. 已开通弹性容器实例服务。 2. 已在开通地域创建虚拟私有云、子网、安全组等。 操作步骤 下文开始介绍创建智算容器组的主要步骤： 1. 在弹性容器实例控制台左侧导航栏中选择“智算容器组算力市场”，进入算力市场页。 2. 按需选择模板，可以点击“选择模板”指定某个官方模版或私有模版。 3. 按需选择GPU规格，点击“部署”按钮。 4. 确认部署信息，包括虚拟私有云、子网、安全组等，然后点击“确定”按钮进行部署。 部署后即可在实例列表中查看。

本章介绍网页防篡改、容器安全与主机安全共用Agent。 是的。同一服务器安装一次Agent即可满足网页防篡改、容器安全与主机安全所有版本的使用，无需多次安装。

本节介绍了容器镜像服务:个人版迁移至企业版。 操作场景 容器镜像服务目前同时提供个人版和企业版服务。企业版服务在个人版的基础之上提供了更加完善、安全和高效的镜像托管和分发服务。对于已使用个人版服务的用户可以参照本章节迁移至企业版服务。 前提条件 已开通并使用容器镜像服务个人版实例 已开通容器镜像服务企业版实例 操作步骤 创建个人版镜像导入规则 1. 进入容器镜像服务控制台 。 2. 点击已开通的企业版实例名称。 3. 左侧导航栏点击【实例管理>镜像导入】 ，并点击页面中的创建导入规则按钮。 4. 根据下表填写导入规则名称、规则描述并选择源实例为个人版镜像仓库并选择导入内容、源命名空间、源资源池、目标命名空间并点击确定。 创建个人版镜像导入任务 1. 进入容器镜像服务控制台 。 2. 点击已开通的企业版实例名称。 3. 左侧导航栏点击【实例管理>镜像导入】 ，选择镜像导入规则并点击立即执行按钮。 查看个人版镜像导入任务进度 1. 进入容器镜像服务控制台 。 2. 点击已开通的企业版实例名称。 3. 左侧导航栏点击【实例管理>镜像导入】 ，并点击页面中的导入任务。

本文为您介绍如何使用Nginx镜像创建ECI实例。 前提条件 请确保您已完成以下准备工作： 已开通弹性容器实例服务。 已在开通地域创建虚拟私有云、创建子网、创建安全组等。 操作步骤 下文开始介绍创建ECI实例的主要步骤： 1. 在弹性容器实例控制台左侧导航栏中选择“容器组”，进入容器组列表页。 2. 点击“创建弹性容器组”，进入弹性容器实例订购页。 3. 设置容器实例信息。 1. 配置实例名称，当打开订购页面时系统会随机生成一个以“eci”开头的名称，您也可按需自定义实例名称。名称由数字、小写字母、和''组成。 2. 计费模式仅支持“按需计费”。 3. 选择虚拟私有云、实例所在子网、安全组。如果当前地域未创建相关资源，支持跳转到对应产品控制台完成创建。 4. 配置容器组。 1. 支持基础模式和指定规格两种创建方式。选择具体创建模式后，首先您需要选择部署模式，并选择对应的可用区。接下来需要为容器组设置CPU和内存大小，重启策略，以及购买数量。最后，容器组支持多项高级设置，包括存储(配置项、临时目录、云硬盘、弹性文件、对象存储)，临时存储，镜像缓存，及日志服务等。 5. 配置容器。 1. 容器组支持配置多个容器，点击“+添加容器”可以新增配置。 2. 配置容器名称。 3. 配置容器镜像。如果没有镜像，支持跳转到容器镜像实例CRS创建镜像仓库，用于私有镜像管理。 4. 配置容器镜像版本。 5. 配置镜像拉取策略。支持“总是拉取”和“按需拉取”两种方式。 6. 配置启动命令。 7. 配置容器工作目录。 8. 支持开启高级设置。您可按需配置容器CPU、内存，环境变量，端口和协议，存储，健康检查，生命周期等信息。 说明 容器组内所有容器的CPU总和不得超过为容器组设置的CPU，容器组内所有容器组的内存总和不得超过为容器组设置的内存。 6. 点击“下一步”进入其他设置(选填)。 1. 配置EIP，按需选择自动创建还是使用已有。 2. 配置镜像访问凭证，若您容器里选的镜像是私有的（非天翼云容器镜像服务的镜像），请输入所选镜像的仓库地址、用户名、密码，以便ECI用来拉取镜像，支持添加多个凭证。 3. 标签，标签由区分大小写的键值对组成。例如，用户可以添加一个键为“Group”且值为“Web”的标签，最多可添加20个标签。 7. 点击“确认订单”，进入订单确认页面。勾选“我已阅读、理解并接受《天翼云弹性容器实例服务协议》《天翼云弹性容器实例服务等级协议》”，点击“提交订单”完成订购。 8. 进入弹性容器实例控制台容器组列表页，即可查看创建的ECI实例。

本文介绍如何使用Nginx镜像创建实例。 前提条件 请确保您已完成以下准备工作： 已开通弹性容器实例服务。 已在开通地域创建虚拟私有云、创建子网、创建安全组等。 操作步骤 下文开始介绍创建ECI实例的主要步骤： 1. 在弹性容器实例控制台左侧导航栏中选择“容器组”，进入容器组列表页。 2. 点击“创建弹性容器组”，进入弹性容器实例订购页。 3. 设置容器实例信息。 1. 配置实例名称，当打开订购页面时系统会随机生成一个以“eci”开头的名称，您也可按需自定义实例名称。名称由数字、小写字母、和''组成。 2. 计费模式仅支持“按需计费”。 3. 选择虚拟私有云、实例所在子网、安全组。如果当前地域未创建相关资源，支持跳转到对应产品控制台完成创建。 4. 配置容器组。 1. 支持基础模式和指定规格两种创建方式。选择具体创建模式后，首先您需要选择部署模式，并选择对应的可用区。接下来需要为容器组设置CPU和内存大小，重启策略，以及购买数量。最后，容器组支持多项高级设置，包括存储(配置项、临时目录、云硬盘、弹性文件、对象存储)，临时存储，镜像缓存，及日志服务等。 5. 配置容器。 1. 容器组支持配置多个容器，点击“+添加容器”可以新增配置。 2. 配置容器名称。 3. 配置容器镜像。如果没有镜像，支持跳转到容器镜像实例CRS创建镜像仓库，用于私有镜像管理。 4. 配置容器镜像版本。 5. 配置镜像拉取策略。支持“总是拉取”和“按需拉取”两种方式。 6. 配置启动命令。 7. 配置容器工作目录。 8. 支持开启高级设置。您可按需配置容器CPU、内存，环境变量，端口和协议，存储，健康检查，生命周期等信息。 说明 容器组内所有容器的CPU总和不得超过为容器组设置的CPU，容器组内所有容器组的内存总和不得超过为容器组设置的内存。 6. 点击“下一步”进入其他设置(选填)。 1. 配置EIP，按需选择自动创建还是使用已有。 2. 配置镜像访问凭证，若您容器里选的镜像是私有的（非天翼云容器镜像服务的镜像），请输入所选镜像的仓库地址、用户名、密码，以便ECI用来拉取镜像，支持添加多个凭证。 3. 标签，标签由区分大小写的键值对组成。例如，用户可以添加一个键为“Group”且值为“Web”的标签，最多可添加20个标签。 7. 点击“确认订单”，进入订单确认页面。勾选“我已阅读、理解并接受《天翼云弹性容器实例服务协议》《天翼云弹性容器实例服务等级协议》”，点击“提交订单”完成订购。 8. 进入弹性容器实例控制台容器组列表页，即可查看创建的ECI实例。

本节介绍插件市场用户指南。 概述 分布式容器云平台提供了多种类型的插件，方便用户安装使用，满足集群特定的功能需求，类型包括：核心组件、存储、网络、应用管理、监控、安全等。 插件介绍 插件名称 插件类型 插件简介 cubeschedulerplugins 核心组件 自定义调度插件 cubenodelocaldns 网络 DNS缓存和加速DNS解析 nginxingresscontroller 网络 Ingress控制器 multus 网络 Pod多网卡CNI whereabouts 网络 为Pod分配IP地址 cstorcsi 存储 支持天翼云存储的CSI（容器存储接口） cubemetricsserver 监控 基础资源指标 cubemetricsadapter 监控 自定义指标 cubecronhpa 应用管理 定时伸缩 cubeverticalpodautoscaler 应用管理 Pod垂直伸缩 cubevolcano 应用管理 批处理调度 cubeopenkruis 应用管理 提供工作负载的增强功能 argoworkflow 应用管理 工作流 cubesecurity 安全 安全管理策略 certmanager 安全 k8s服务域证书管理 nodeproblemdetector 其它 节点问题检测 cubelxcfsplugin 其它 提供容器的资源相关信息

本文主要介绍云服务备份的安全。 责任共担 安全性是天翼云与您的共同责任： 天翼云 ：负责云服务自身的安全，提供安全的云。 租户 ：负责云服务内部的安全，安全地使用云。 身份认证与访问控制 用户访问CBR的方式有多种，包括CBR console控制台、API，无论访问方式封装成何种形式，其本质都是通过CBR提供的REST风格的API接口进行请求。 CBR的接口只支持认证请求，需要用户通过天翼云正确的鉴权信息才能访问成功。 数据保护技术 CBR通过多种数据保护手段和特性，保障备份数据安全可靠。 表 CBR的数据保护手段和特性 数据保护手段 简要说明 传输加密（HTTPS） 为保证数据传输的安全性，备份数据存储到OBS桶时采用HTTPS协议。 备份数据加密 当备份的目标磁盘为加密磁盘时，如果磁盘启用备份加密，则备份数据会在加密存储。当用户执行备份恢复时，存储的加密数据会先解密之后再恢复到目标磁盘。 审计与日志 审计 云审计服务（Cloud Trace Service，CTS），是天翼云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 用户开通云审计服务并创建和配置追踪器后，CTS可记录CBR的管理事件和数据事件用于审计。 CTS的详细介绍和开通配置方法，请参见CTS快速入门。 CTS支持追踪的CBR管理事件和数据事件列表，请参见审计。

态势感知SA与企业主机安全HSS服务的区别。 服务含义区别 态势感知（Situation Awareness，SA）是可视化威胁检测和分析的安全管理平台 。着重呈现全局安全威胁攻击态势，统筹分析多服务威胁数据和云上安全威胁，帮助企业构建全局安全体系，呈现全局安全攻击态势。 主机安全服务（Host Security Service，HSS）是以工作负载为中心的安全产品，集成了主机 安全、容器 安全和 网页防篡改 ，旨在解决混合云、多云数据中心基础架构中服务器工作负载的独特保护要求。 简而言之，SA是呈现全局 安全态势的服务，HSS是提升主机 和容器安全性的服务。 服务功能区别 SA通过采集 全网安全数据 （包括HSS、WAF、AntiDDoS等安全服务检测数据），使用大数据AI、机器学习等分析技术，从资产安全、威胁告警、基线检查维度，分类呈现资产安全状况。 HSS通过在主机中安装Agent，使用AI、机器学习和深度算法等技术分析主机中风险，并从HSS云端防护中心下发检测和防护任务，全方位保障主机安全。同时可从可视化控制台，管理主机Agent上报的安全信息。 SA与HSS主要功能区别： 功能项 子功能项 共同点 不同点 资产安全 主机资产 呈现主机资产的整体安全状态。 SA：仅支持同步HSS主机资产风险信息，列表呈现各主机资产的整体安全状况。 HSS：不仅支持呈现主机的安全状况，还支持深度扫描主机中的帐号、端口、进程、Web目录、软件信息和自启动任务。 资产安全 网站资产 SA：支持检查和扫描网站安全状态，列表呈现各网站资产的整体安全状况。 HSS：不支持该功能。 基线检查 云服务基线 SA：针对云服务关键配置项，从“安全上云合规检查1.0”、“护网检查”风险类别，了解云服务风险配置的所在范围和风险配置数目。 HSS：不支持该功能。 基线检查 主机基线 SA：不支持该功能。 HSS：针对主机，提供基线检查功能，包括检测复杂策略、弱口令及配置详情，包括对主机配置基线通过率、主机配置风险TOP5、主机弱口令检测、主机弱口令风险TOP5的统计。

持久化存储卷 云容器引擎除支持本地磁盘存储外，还支持将工作负载数据存储在云存储上，当前支持的云存储包括：云硬盘存储卷、文件存储卷（SFS）、对象存储卷（OBS）和极速文件存储卷（SFS Turbo）。 插件扩展 CCE提供了多种类型的系统插件，用于管理集群的扩展功能，以支持选择性扩展满足特性需求的功能。 支持开源生态 提供OpenAPI和社区原生API。 提供Kubectl插件和社区原生Kubectl工具。 模板工具 云容器引擎集成了Helm标准模板。CCE基于Kubernetes Helm标准的模板提供统一的资源管理与调度，高效地实现了模板的快速部署与后期管理，大幅简化了Kubernetes资源的安装管理过程。 弹性伸缩 CCE支持集群节点、工作负载的弹性伸缩，支持手动伸缩和自动弹性伸缩，并可以自由组合多种弹性策略以应对业务高峰期的突发流量浪涌。 权限管理 云容器引擎的权限管理是在统一身份认证服务（IAM）与Kubernetes的角色访问控制（RBAC）的能力基础上，打造的细粒度权限管理功能，支持基于IAM的细粒度权限控制，支持集群级别、命名空间级别的权限控制，帮助用户便捷灵活的对租户下的IAM用户、用户组设定不同的操作权限。

基础配置 集群名称。 企业项目： 该参数仅对开通企业项目的企业客户帐号显示。 选择某企业项目（如：default）后，集群、集群下节点、集群安全组、节点安全组和自动创建的节点EIP（弹性公网IP）将创建到所选企业项目下。为方便管理资源，在集群创建成功后，建议不要修改集群下节点、集群安全组、节点安全组的企业项目。 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。了解更多企业项目相关信息，请查看企业管理。 集群版本：选择集群使用的Kubernetes版本。 集群规模：集群支持管理的最大节点数量，请根据业务场景选择。创建完成后支持扩容，不支持缩容。 高可用：控制节点分布方式，默认随机分配，控制节点尽可能随机分布在不同可用区以提高容灾能力。您还可以展开高级配置自定义控制节点分布方式，支持如下2种方式。 随机分配：通过把控制节点随机创建在不同的可用区中实现容灾。 自定义：自定义选择每台控制节点的位置。 主机：通过把控制节点创建在相同可用区下的不同主机中实现容灾。 自定义：用户自行决定每台控制节点所在的位置。 网络配置 集群网络涉及节点、容器和服务，强烈建议您详细了解集群的网络以及容器网络模型，具体请参见网络概述。 网络模型：CCE集群支持“VPC网络”和“容器隧道网络”，详细介绍请参见VPC网络和 容器隧道网络。CCE Turbo集群支持“云原生网络2.0”。 虚拟私有云：选择集群所在的虚拟私有云VPC，如没有可选项可以单击右侧“新建虚拟私有云”创建。创建后不可修改。 说明 1.15及以上版本容器隧道网络的CCE集群支持开启IPv4/IPv6双栈。 v1.23.8r0及以上版本的CCE Turbo集群支持开启IPv4/IPv6双栈。 控制节点子网：选择控制节点（即集群Master节点）所在子网，如没有可选项可以单击右侧“新建子网”创建。创建后控制节点子网不可修改。 容器网段：设置容器使用的网段。VPC网络模型支持添加多个容器网段，且支持集群创建后添加容器网段。 默认容器子网（CCE Turbo集群设置）：选择容器所在子网，如没有可选项可以单击右侧“新建子网”创建。容器子网决定了集群下容器的数量上限，创建后支持新增子网。 服务网段：同一集群下容器互相访问时使用的Service资源的网段。决定了Service资源的上限。 创建后不可修改。

此小节介绍主机风险总览。 企业主机安全在控制台提供总览页面，实时展示您所有资产的安全评分、安全风险、防护地图等，帮助您了解主机和容器的安全状态以及存在的安全风险。 查看总览 1、登录管理控制台。 2、在左侧导航树选择“总览”，进入总览页查看资产安全信息。 说明 如果您的服务器已通过企业项目的模式进行管理，您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。 区域 说明 配额数量及待升级Agent数 展示当前您已购买的各版本HSS防护配额总数和使用情况，以及待升级Agent数量。 单击对应防护配额的总数值，可跳转到防护配额界面查看防护配额列表。 单击待升级Agent数值，可跳转到Agent管理界面查看并升级Agent。 说明：企业主机安全会持续优化提升服务能力，包括但不限于新增功能、优化缺陷，因此会定期迭代版本。请及时将主机上的Agent升级为最新版，以便您可以享受到更好的企业主机安全。 安全评分 安全风险评分范围为0~100分，无风险资产默认为100分，HSS会根据资产中存在的基线风险、漏洞风险、入侵风险和资产风险等执行扣分，评分越低表示资产中存在的安全风险越多。 为了保护的您资产安全，建议您及时处理安全风险，提高安全评分： 1、在“安全评分”模块，单击“立即处理”。 2、在“安全风险处理”弹窗中，查看扣分项，单击下箭头展开扣分明细。 3、单击扣分项右侧的“前往处理”，可跳转至对应的风险列表，您可以根据风险详情和修复建议进行修复。 4、修复风险后，单击“重新体检”，刷新评分。 热点资讯 展示最新的热点漏洞信息。 安全风险 展示HSS检测到您资产中存在的安全风险。 主机风险： 需紧急处理告警/总数：处理优先级为紧急的告警数量和告警总数。 紧急优先级修复漏洞/总数：修复优先级为紧急的漏洞数量和漏洞总数。 基线风险：待处理的基线风险总数。 待处理可疑进程：待处理的可疑进程事件总数。 容器风险： 高优先级修复漏洞/总数：修复紧急度为高危的漏洞数量和漏洞总数。 安全风险趋势 展示资产最近七天的安全风险趋势图。 防护地图 展示资产开启安全防护的情况。 资产总数：当前区域下的资产总数。 未防护/主机总数：未防护主机数量和主机总数。 未防护/容器总数：未防护容器数量和容器总数。 安全防护功能开启情况：对应防护功能的开启数量和防护功能累计扫描/检测项数量。

支持普通集成的天翼云服务列表 天翼云工作流支持通过OpenAPI集成多个服务，涵盖以下产品分类： 产品分类 产品名称 存储 混合存储网关、云硬盘、弹性文件服务、媒体存储、云备份、云硬盘备份、对象存储、云主机备份、海量文件服务 OceanFS、云容灾、对象存储（经典版）I型、并行文件 网络与CDN 弹性IP、天翼云SDWAN、NAT网关、VPN连接、云间高速、虚拟私有云、弹性负载均衡、共享流量包、智能边缘云、云专线CDA、应用加速、边缘安全加速平台、CDN加速、智能DNS、VPC终端节点、全站加速、科研助手 计算 弹性云主机、天翼云电脑（政企版）、函数计算、弹性高性能计算、镜像服务、弹性伸缩服务、物理机、云骁智算平台、数据加密 数据库 关系数据库SQL Server版、关系数据库PostgreSQL版、分布式关系型数据库、关系数据库MySQL版、数据传输服务、文档数据库服务、数据管理服务、分布式缓存服务Redis版、时序数据库Influx版、分布式融合数据库HTAP、云数据库ClickHouse 监控与管理 云日志服务、应用性能监控 应用服务 API网关、EasyCoding敏捷开发平台、软件开发生产线CodeArts 数据库 关系型数据库MySQL版（CTRDS）、关系型数据库PostgreSQL版、关系型数据库SQL Server版、云数据库GaussDB、分布式关系型数据库、分布式融合数据库HTAP、文档数据库服务、时序数据库Influx版、分布式缓存服务Redis版 人工智能 AI能力开放平台、慧聚一站式智算服务平台 大数据 云搜索服务、大数据管理平台 DataWings、翼MapReduce 容器与中间件 应用服务网格、弹性容器实例、分布式容器云平台、容器镜像服务、分布式消息服务RabbitMQ、分布式消息服务RocketMQ、微服务应用平台MSAP、云容器引擎、分布式消息服务Kafka、微服务引擎注册配置中心、微服务引擎MSE、应用性能监控apm、分布式容器云平台CCSE ONE 安全及管理 云防火墙（原生版）、统一身份认证、密钥管理、服务器安全卫士（原生版）、云监控、Web应用防火墙（原生版）、证书管理服务、DDoS高防（边缘云版）、云堡垒机、Web应用防火墙（边缘云版）、云审计 企业应用 云通信短信 视频 视频直播、智能视图服务、云点播 专属云 专属云（计算独享型） 价格 账务 其他 数据库审计、云日志服务、轻量型云主机、云原生网关、API网关 说明 ：具体支持的服务和API请参考天翼云OpenAPI文档。

本小节介绍SWR企业版镜像管理。 SWR企业版镜像源于容器镜像服务(SWR)的企业版镜像，企业主机安全支持对这些企业版镜像手动执行漏洞、恶意文件、软件信息、文件信息、基线检查、敏感信息、软件合规和基础镜像信息的扫描并提供扫描报告。本章节介绍如何对SWR企业版镜像进行安全扫描和如何查看安全扫描报告。 约束限制 仅HSS容器版支持该功能。 仅支持对Linux镜像执行安全扫描。 查看SWR企业版镜像 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在左侧导航栏选择“资产管理 > 容器管理”，进入容器管理界面。 说明 如果您的服务器已通过企业项目的模式进行管理，您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。 4、选择“容器镜像 > 企业版镜像（SWR）”，查看企业版镜像信息。 您可以查看企业版镜像的版本、大小、所属组织、安全风险、拥有者等相关信息。 更新企业版镜像：单击“从SWR更新企业版镜像”，更新企业版镜像列表信息。 筛选最新版本的镜像：勾选“仅关注最新版本的镜像”，可筛选所有不同镜像的最新版本镜像。 SWR企业版镜像安全扫描 您可以手动执行全量、批量或单镜像的安全扫描。安全扫描的时长主要取决于镜像的大小。一般情况下扫描一个镜像可以在三分钟之内完成，扫描完成后，单击“安全报告”查看安全报告。 SWR企业版镜像支持的安全扫描项如下： 扫描项 说明 漏洞 检测镜像中存在系统漏洞、应用漏洞。 恶意文件 检测镜像中存在的恶意文件。 软件信息 统计镜像中的软件信息。 文件信息 统计镜像中的文件信息。 基线检查 配置检查：检测CentOS 7、Debian 10、EulerOS和Ubuntu16镜像的系统配置项、检测SSH应用配置项。 弱口令检查：检测镜像中存在的弱口令。 口令复杂度检查：检测镜像中不安全的口令复杂度策略。 敏感信息 检测镜像中含有敏感信息的文件。 默认不检测的路径如下： /usr/ /lib/ /lib32/ /bin/ /sbin/ /var/lib/ /var/log/ 任意路径/nodemodules/ 任意路径/任意名称.md 任意路径/nodemodules/ 任意路径/test/任意路径 /service/iam/examplestest.go 任意路径/grafana/public/build/任意名称.js 说明 任意路径：指当前路径为自定义值，可以是系统中任意名称的路径。 任意名称：指当前路径的文件名称为自定义值，可以是系统中以.md或.js后缀结束的任意名称。 可在安全报告 > 敏感信息页面，单击“敏感文件过滤路径管理”，设置不需要检测的Linux路径，最多可添加20个路径。 不检测的场景如下： 文件大于20MB。 文件类型为二进制、常用进程和自动生成类型。 软件合规 检测不允许使用的软件和工具。 基础镜像信息 检测未使用基础镜像构建的业务镜像。 1、登录管理控制台，进入企业主机安全页面。 2、在左侧导航栏选择“资产管理 > 容器管理”，进入容器管理界面。 3、选择“容器镜像 > 企业版镜像（SWR）”。 4、为单个镜像或多个镜像执行安全扫描。 说明 多架构镜像不支持批量扫描、全量扫描操作。 全量扫描时间较长，且开始全量扫描后无法中断扫描，请谨慎操作！ 单个镜像安全扫描：在目标镜像所在行的“操作”列，单击“安全扫描”，为单个目标镜像执行安全扫描。 批量镜像安全扫描：勾选所有目标镜像并单击镜像列表上方的“批量扫描”，为多个目标镜像执行安全扫描。 全量镜像安全扫描：单击镜像列表上方的全量扫描，为所有镜像执行安全扫描。 5、在弹出的提示框中，单击“确定”，启动扫描任务。 全量扫描任务启动后，您可将鼠标悬停在置灰的全量扫描按钮上查看扫描进度。 6、当镜像“扫描状态”更新为“扫描完成”，且“最近一次扫描完成时间”更新为最近任务执行时间，表示镜像安全扫描完成。

集群外资源迁移 集群外资源主要包括自建镜像仓库、自建数据库等。这些迁移工作是可选的，可以根据实际需求决定是否进行。 自建镜像仓库迁移请参见：迁移自建Harbor至容器镜像服务企业版 自建数据库如mysql迁移请参见：使用mysqldump迁移MySQL数据 迁移工具安装 Velero作为一款开源的解决方案，专为Kubernetes集群设计，提供了全面的备份与迁移功能。其内建了对Restic工具的支持，以确保对Persistent Volume（PV）数据的安全备份。借助Velero，用户能够系统性地备份原Kubernetes集群中的各类资源实体，包括但不限于Deployments、Jobs、Services、ConfigMaps等，以及与Pod关联的持久卷数据，并将这些备份安全地传输并储存在指定的对象存储服务中。 当面临灾难恢复场景或有计划的集群迁移需求时，目标集群只需运用同样配置的Velero工具，即可从预先设定的对象存储位置检索相应的备份数据，进而按照实际需求逐步恢复集群资源的状态。 前提条件 原始自建集群Kubernetes版本与所选云容器引擎的版本差距尽量小，差距越大，迁移过程中出现不兼容的风险越大 准备存放备份数据的对象存储，可以使用云厂商提供的对象存储，或者自建minio服务，本文使用自建MinIO服务 已开通迁移的目标云容器引擎集群 源集群与目标集群都可以正常访问到对象存储服务

本章节主要介绍天翼云物理机的使用场景。 对安全和监管高要求的场景 金融、证券等行业对业务部署的合规性，以及某些客户对数据安全有苛刻的要求。采用物理机部署，通过网络隔离、专线接入等方式确保独享资源，数据安全隔离，保障用户数据的安全。 核心数据库 泛政务、金融、互联网等行业客户的关键业务系统的核心数据库，其业务压力大、安全隔离要求高，可通过资源专享、网络隔离、性能有保障的物理机承载，满足业务需求。尤其类似Oracle等数据库，其部署复杂，对性能要求高，推荐采用物理机部署。 大数据场景 互联网、汽车、交通、政务等行业的大数据存储、大数据分析等相关业务，客户在云上自建大数据平台，推荐采用性能更强、兼容性更高的物理机服务器承载。同时，天翼云物理机服务器支持结合对象存储服务的存算分离方案。 容器场景 电商平台、游戏、疫情核酸平台等业务弹性要求较高，性能要求更高的场景，可采用物理机容器方案，相比虚机容器，物理机容器提供更高的部署密度、更低的资源开销、更加敏捷的部署效率。基于云原生技术帮助客户实现降低云化成本目标。 高性能计算 科研、基因测序、天气预测、能源勘探、影视渲染、人工智能等高性能计算场景下，对计算能力要求高、处理的任务多、并行数据量大。天翼云物理机采用高规格物理服务与本地SAS存储进行部署，提供强大的计算能力和存储性能。高计算性能、稳定性和实时性，避免虚拟化带来的性能损耗，满足业务对服务器的高计算性能、高稳定性、高实时性的诉求。

容器监控开箱即用 Prometheus监控默认内置了多种容器监控大盘与丰富的告警规则模板，帮助业务快速发现问题。（目前仅华东1资源池支持Prometheus监控能力）

此小节介绍企业主机安全文件完整性管理。 查看文件完整性管理 约束限制 未开启旗舰版、网页防篡改版、容器版防护不支持文件完整性相关操作。 操作步骤 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、选择“主动防御 > 文件完整性管理”，进入文件管理界面，选择“云服务器”和“变更文件”页签可查看对应的变更详情。 进入文件管理 查看云服务器变更详情 约束限制 未开启旗舰版、网页防篡改版、容器版防护不支持文件完整性相关操作。 操作步骤 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、左侧选择“主动防御 > 文件完整性管理 > 云服务器”，进入服务器页面。 进入云服务器 5 单击服务器名称进入服务器变更详情页。 变更参数说明 参数名称 参数说明 取值样例 文件 发现变更的文件名称。 du 路径 发现变更文件所在的路径。 变更内容 变更的情况描述。 鼠标放置变更内容可查看详情。 将SHA2560ba0c4b5e48e55a6改为4f6079f5b37d1513 变更类型 变更的文件类型。 文件 变更类别 变更文件的类别。 新增 、 修改 、 删除 修改 变更时间 目标文件发生变更的时间。

v1283) 创建Service或Ingress支持设置ELB黑/白名单访问控制。 CCE的节点镜像支持安全加固（满足等保三级基线要求）。 修复部分安全问题。 v1.28.1r4 ++v1.28.3++ 修复CVE202421626安全漏洞。 v1.28.1r0 ++v1.28.3++ 首次发布CCE v1.28集群 节点池支持节点的自定义前缀和后缀命名 CCE Turbo集群中，支持创建工作负载类型的容器网络配置，可指定Pod子网。 ELB Ingress支持GRPC协议。 负载均衡类型的服务在通过YAML创建时支持指定ELB私有IP。 优化CCE Turbo集群中大批量创建安全容器的启动速度。 提升CCE Turbo集群中反复创建删除安全容器时的稳定性。 v1.27版本 CCE集群补丁版本号 Kubernetes社区版本 特性更新 优化增强 安全漏洞修复 v1.27.16r0 ++v1.27.16++ ELB Ingress支持根据HTTP请求方法、HTTP请求头、查询字符串、网段、Cookie等请求参数进行转发。 更新节点池时支持修改节点密码。 创建节点时支持只使用系统盘。 更新ELB Ingress时支持修改HTTP重定向到HTTPS的配置。 使用Docker容器引擎的节点池时支持自定义配置默认镜像地址。 修复部分安全问题。 v1.27.8r0 [++v1.27.12++](

边缘安全加速平台—安全与加速服务提供一站式安全与加速服务，支持DDoS防护、WAF、Bot防护、访问控制/限流等。 防护能力概览 下表将为您描述目前边缘安全加速平台安全与加速服务具备的防护能力以及应用场景： 功能模块 功能说明 详情链接 DDoS防护 依托于边缘清洗节点，能够承载T级以上DDoS攻击，百G抗D节点地市级覆盖，全网总防护能力可达10Tbps。 DDoS防护 Web防护 实时检测恶意请求并及时处理，帮助用户提供应对 Web 攻击、入侵、漏洞利用、挂马、篡改、后门、爬虫、域名劫持等网站及 Web 业务安全防护问题，从而保障网站安全。 Web防护 Bot防护 通过cookie挑战、跳转挑战、人机挑战、爬虫阈值限制、爬虫陷阱等防爬策略，精准命中爬虫流量，拦截各类恶意爬虫。 Bot防护 访问控制/限流 []( 访问控制/限流 API安全 支持管理和识别API资产、帮助用户实时查看API的业务运行情况，同时帮助用户发现和分析业务异常。 API安全 漏洞扫描 []( [](

本节介绍容器迁移。 基于 CCE One 容器迁移能力，帮助业务将本地IDC或三方云上的Kubernetes容器集群，迁移到天翼云云容器引擎服务；迁移过程安全、可靠、灵活、高效，无需停机，热迁移、对业务零影响。 工作原理 将应用从一个环境迁移到另一个环境是一项具有挑战性的任务，因此仔细的规划和准备至关重要。天翼云CCE One的容器迁移服务通过以下五个阶段为您提供全流程迁移指导： 1. 集群评估：在此阶段，您需要评估源集群的规模以决定目标集群的类型和资源规模。 2. 依赖数据迁移：在这个阶段，基于天翼云上的云迁移、云备份等标准云产品服务，您将迁移镜像以及依赖服务的相关数据。 3. 元数据迁移：在此阶段，您需要通过容器备份/恢复功能或集群联邦方式，将应用元数据从源集群迁移到目标集群，从而让应用在目标集群中正常运行起来。 4. 应用迁移：在这个阶段，您可以通过特定方式进行流量调度，例如智能DNS+单集群LB或多集群Ingress、多集群Service等，将业务流量逐步从源集群迁移到目标集群。 5. 业务验证：流量迁移过程中及流量迁移完成后，您可以对迁移后业务允许情况进行验证，以确保服务运行符合预期。 通过遵循天翼云CCE One容器迁移服务的全流程迁移指导，您可以更顺利地将应用从一个环境迁移到另一个环境。

本文介绍容器安全卫士仪表盘页面的信息。 购买容器安全卫士后，再次进入容器安全卫士控制台时，默认展示仪表盘页面。 数量统计 仪表盘页面上方展示了镜像、容器、节点、镜像仓库、集群这些重要资产的数量统计信息。 统计项 操作 镜像数量 单击镜像数量，可跳转至“镜像安全 > 镜像管理”页面，查看镜像详情。 容器数量 单击容器数量，可跳转至“容器安全 > 实时检测”页面，查看容器安全检测详情。 节点数量 单击节点数量，可跳转至“节点安全”页面，查看节点安全扫描详情。 仓库数量 单击仓库数量，可跳转至“镜像安全 > 仓库配置”页面，管理配置镜像仓库。 集群数量 单击集群数量，可跳转至“安装配置 > 组件安装”页面，管理部署集群。 近期报警趋势 页面左侧显示近期报警趋势，统计了近10天内的运行态报警和镜像报警趋势，单击图例中的“镜像报警”，将隐藏“镜像报警”的曲线，只展示运行态告警变化趋势。

本节介绍对象存储用户指南。 概述 ​分布式容器云平台提供cstorcsi插件，基于Kubernetes容器存储接口，深度融合天翼云存储服务对象存储，并完全兼容Kubernetes原生的存储服务。 对象存储概述 分布式容器云平台支持使用天翼云对象存储作为存储卷。天翼云对象存储为客户提供海量、弹性、高性价比的存储产品，通过S3协议和标准的服务接口，提供非结构化数据的存储服务。 使用限制 服务开通 使用前请在所在资源池，开通对象存储服务。 存储类型 当前分布式云容器平台非天翼云集群的注册集群仅支持对象存储、本地存储两种类型。 挂载类型 当前分布式容器云平台支持使用对象存储内网、外网地址挂载，请根据注册集群访问网络类型选择对应地址。 前提条件 插件安装需要配置用户AK、SK，安装前请先到天翼云门户 用户 > 查看 > 安全设置 > AccessKey 中获取；首次可通过 创建AccessKey获取。 对象存储默认为按需付费方式，天翼云账户余额需在100元以上。 节点标签：需打上topology.kubernetes.io/zone标签。 节点需安装s3fs工具用于挂载对象存储，建议版本为v1.89。 使用对象存储 插件安装 1. 登录到 分布式容器云平台 ，进入集群管理栏，打开指定注册集群详情页面，点击左侧导航栏，选择 插件市场，找到cstorcsi插件。 2. 在弹出的安装界面，配置用户AK、SK ，填写注册集群的 kubeletDir，点击安装。

本文介绍如何隔离容器。 支持将存在异常的Pod进行隔离，被隔离的Pod将不允许与其他资源进行通信。 注意事项 特权容器、节点启动容器、安全容器、pause应用类型容器暂不支持隔离。 操作步骤 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“容器安全 > 实时检测”，进入容器实时检测页面。 3. 单击容器列表右侧操作列中的“隔离Pod”。 4. 在弹出的对话框中，输入说明信息。 5. 单击“确认”，隔离容器。

本文介绍ECI实例如何绑定安全组。 当用户创建ECI实例时，需要指定待绑定的安全组信息，使得ECI实例的出向和入向流量得到控制。 背景信息 安全组是一种网络安全防护机制，用于防止未经授权的访问和保护计算机网络免受恶意攻击。它是一种虚拟防火墙，用于限制入向和出向网络流量。安全组工作在网络层和传输层，它通过检查数据包的源地址、目标地址、协议类型和端口号等信息来决定是否允许通过。安全组创建后，用户可以在安全组中定义各种访问规则，当ECI实例绑定安全组后，即受到这些访问规则的保护。 配置说明 1. 在弹性容器实例控制台左侧导航栏中选择“容器组”，进入容器组列表页。 2. 点击“创建弹性容器组”，进入弹性容器实例订购页。 3. 当用户打开弹性容器实例的订购页面时，可以通过下拉列表选择待绑定安全组。如果用户未创建过安全组，也可以通过点击跳转链接进行安全组创建，待安全组创建并配置完成后，点击刷新按钮即可重新完成选择。

边缘安全加速平台——安全与加速服务 该产品可有效实现核心业务静态资源的缓存管理，并对动态请求实施优化回源机制。同步启用分布式DDoS防御、境外恶意请求拦截及境内异常攻击防护策略，在显著降低客户机房运行负载的同时，构建云端防护体系与客户本地安全系统的联动联防机制，形成覆盖网络传输层与应用层的立体化纵深防御架构。 服务流程 为有效保障服务的持续稳定与高效运转，由资深技术专家组成的专项团队秉承卓越运维理念，经深入调研行业最佳实践，牵头设计了体系化的服务质量管理规范。团队深谙行业特性及业务痛点，经过多维度评估论证，综合考量业务模式、技术基础设施及潜在风险因素，最终构建出覆盖全流程的标准化服务保障框架，配套涵盖需求调研、服务设计、部署实施、测试优化、保障值守、全面复盘等关键环节的全周期管理机制。 针对本次客户的业务保障需求，严格遵循了内部服务质量管理规范的要求，将执行力落地到流程中的每个细微环节中： 服务效果 为了确保真实报考时业务系统稳定运行，客户组织某地市考生模拟志愿填报，当天QPS峰值达到1.26万，并遭受了CC攻击。因运营专家团队前期做了大量的策略准备工作，本次模拟全程稳定，CC攻击100%拦截。 6月23日6月29日该省全省高考志愿填报期间，峰值带宽达到473 Mbps，请求数峰值达75.99 万次，峰值并发QPS 2533 次，总计请求数 34132.91 万次，安全防护9553 次，全程业务稳定0 故障、0 安全事件，服务得到了客户的高度认可。

功能项 说明 安全隔离 提供虚拟机级别的安全和资源隔离能力，每个容器实例都运行在独占内核中，不与其它负载和Pod共享基础设施资源。同时针对容器运行环境进行了深度优化，具备比虚拟机更快的启动速度和运行效率 CPU/Memory资源或规格配置 ECI Pod默认使用按需计费模式进行费用收取。支持指定CPU和Memory资源或者指定ECS规格创建实例 镜像拉取与缓存 镜像拉取：ECI Pod在每次启动时，会自动从远程仓库获取容器镜像。对于公共镜像的获取，建议配置VPC的NAT网关或为ECI Pod配置弹性公网IP (EIP)。为优化镜像拉取效率，我们推荐您使用天翼云容器镜像服务，加速镜像的下载 镜像缓存：ECI提供镜像缓存功能，镜像缓存是为了加速拉取镜像以减少ECI启动时间而设计的。镜像拉取是容器实例启动的主要耗时，而制作镜像缓存可以通过预先获取、存储和管理已经拉取的镜像，实现对容器实例启动时间的显著减少。考虑到网络和镜像大小等因素的影响，构建镜像缓存可以通过连续使用相同的镜像实现快速部署，从而加速容器实例的启动并提高系统的可用性 存储 支持使用多种存储方式： CSI：CSI插件是目前Kubernetes社区推荐的插件实现方案，Serverless集群所提供的 CSI 存储插件与社区 CSI 特性兼容。该插件由以下两个组件组成：CSIPlugin：提供挂载和卸载数据卷的能力，Serverless集群默认支持云硬盘和弹性文件服务两种存储服务；CSIProvisioner：提供自动挂载数据卷的能力 PV/PVC：PV提供长期存储资源，而PVC允许用户以抽象的方式请求这些存储资源，实现存储的分配和管理 EmptyDir：该数据卷是一种用于容器实例中临时存放数据的目录，以便于容器之间共享数据。但是需要注意的是，当容器实例被删除时，EmptyDir数据卷中的数据也会被清空 网络 ECI Pod默认采用Host网络模式，并会占用交换机vSwitch的一个弹性网卡ENI资源。在Kubernetes集群环境中，ECI Pod与云主机节点上的Pod可以相互访问。具体方法如下： 创建类型为LoadBalancer的Service对象，并与ECI Pod进行关联；也支持Service同时关联ECI Pod和云主机上的Pod 创建类型为ClusterIP的Service对象，ECI Pod可以直接访问集群中的clusterIP地址 配置相应的 NAT 网关或弹性公网 EIP，并为 ECI Pod绑定指定EIP，或者将 NAT 网关绑定到 ECI 实例所属的 VPC 网络中 日志采集 通过安装日志采集服务插件，一般情况无需再额外部署sidecar容器

指定宿主机核容器内服务到的端口映射，可自主选择 capadd SYSADMIN Docker 命令中的一个选项，用于给容器添加额外的 Linux 内核能力 v ${STORAGELOCATION}:/app/server/storage 服务启动数据宿主机目录和容器目录的映射 v ${STORAGELOCATION}/.env:/app/server/.env 服务启动环境变量配置文件，宿主机和容器的映射 e STORAGEDIR"/app/server/storage" 容器内的环境变量，指定服务数据在容器内存放目录 mintplexlabs/anythingllm 4. 登录Anything LLM 接入GPU物理机提供的DS模型 1. 登录Anything LLM，选择设置LLM首选项。 2. 设置“Local AI Base URL"，其中”Local AI Base URL“填充GPU物理机DS地址和端口，然后保存。 Embedding模型 不同的任务需要不同的模型和数据库支持。如信息检索任务，需要 embedding 模型能准确捕捉文本语义信息，向量数据库具备高效的检索功能；对于推荐系统任务，模型要能挖掘用户和物品的潜在特征，数据库要支持快速的相似性计算。 Anything LLM支持多种Embedding模型引擎，包括AnythingLLM Native Embedder (default)、OpenAI、Azure OpenAI、LocalAi (all)、Ollama (all)、LM Studio (all)、Cohere。下面以LocalAi (all)使用BGE M3模型为例说明，其他请参考对应软件官网安装使用。 1. 创建GPU云主机并开放安全组规则。 BGE M3 是一款文本嵌入模型，在部署使用时，云主机配置会受任务类型（如推理、训练）、数据规模、并发请求数量等因素影响。如果是训练任务建议使用1张A100，其他任务可根据实际需求创建规格。创建步骤请参考创建配备GPU驱动的GPU云主机（Linux）GPU云主机用户指南创建GPU云主机 天翼云。 安全组放开Anything LLM云主机弹性IP+端口8000，参考添加安全组规则弹性云主机用户指南安全安全组配置安全组规则 天翼云。 2. 下载模型 2.1.安装依赖包 参考文档在天翼云使用vLLM运行DeepSeek的最佳实践32B等版本自定义部署DeepSeek步骤三：手动部署DeepSeek > 1.安装依赖包。 2.2.下载BGE M3模型 将以下内容保存为 modeldownload.py 文件，参数 cachedir 为模型的下载路径，您可以按需修改，需确保存储空间足够存放模型。 plaintext from modelscope import snapshotdownload modeldir snapshotdownload('BAAI/bgem3', cachedir'/root/modelpath', revision'master') 运行该文件，启动模型下载。 plaintext python modeldownload.py 2.3.运行模型 plaintext vllm serve BAAI/bgem3 servedmodelname bgem3 gpumemoryutilization 0.95 enforce 3. 配置Embedding模型引擎 4. 使用Embedding模型引擎