3、创建工作负载 使用kubectl连接集群，创建示例yaml文件stsexample.yaml： plaintext apiVersion: "apps/v1" kind: "StatefulSet" metadata: name: "oceanfstest" namespace: "default" spec: podManagementPolicy: "OrderedReady" replicas: 1 revisionHistoryLimit: 10 template: spec: containers: image: "nginx:1.25alpine" imagePullPolicy: "IfNotPresent" name: "container1" resources: limits: cpu: "100m" memory: "256Mi" requests: cpu: "100m" memory: "256Mi" terminationMessagePath: "/dev/terminationlog" terminationMessagePolicy: "File" volumeMounts: mountPath: "/ccetmp" name: "volume1" dnsPolicy: "ClusterFirst" restartPolicy: "Always" schedulerName: "defaultscheduler" securityContext: {} terminationGracePeriodSeconds: 30 volumes: name: "volume1" persistentVolumeClaim: claimName: "cstorpvcoceanfssharepath" updateStrategy: rollingUpdate: partition: 0 type: "RollingUpdate" 执行以下命令，创建StatefulSet plaintext kubectl apply f stsexample.yaml 查看创建的有状态负载： 登录“云容器引擎”管理控制台，在集群列表页点击进入指定集群。进入主菜单“工作负载”——“有状态”，在列表查看。 验证数据持久化 登录“云容器引擎”管理控制台。 在集群列表页点击进入指定集群。 进入主菜单“工作负载”——“有状态”，进入负载详情。 在Pod列表页，选择“远程登录”，进入到容器内执行以下命令： 1、向/ccsetmp 目录下写一个文件，执行 plaintext echo "Hello World" > /ccetmp/test.log 2、查看/ccetmp目录下文件，执行ls /ccetmp，预期结果如下: plaintext test.log 退出“远程登录”，对上一步中的Pod执行“销毁重建”，等待Pod重新运行正常； 对新建Pod，继续执行“远程登录”，进入到容器内查看数据。执行cat /ccetmp/test.log，预期结果如下： plaintext Hello World 以上步骤说明，pod删除重建后，重新挂载存储卷，数据仍然存在，说明海量文件服务中的数据可持久化保存。

3 、创建工作负载 使用kubectl连接集群，创建示例yaml文件stsexample.yaml： plaintext apiVersion: "apps/v1" kind: "StatefulSet" metadata: name: "nastest" namespace: "default" spec: podManagementPolicy: "OrderedReady" replicas: 1 revisionHistoryLimit: 10 template: spec: containers: image: "nginx:1.25alpine" imagePullPolicy: "IfNotPresent" name: "container1" resources: limits: cpu: "100m" memory: "256Mi" requests: cpu: "100m" memory: "256Mi" terminationMessagePath: "/dev/terminationlog" terminationMessagePolicy: "File" volumeMounts: mountPath: "/tmp" name: "volume1" subPath: "ccetest" dnsPolicy: "ClusterFirst" restartPolicy: "Always" schedulerName: "defaultscheduler" securityContext: {} terminationGracePeriodSeconds: 30 volumes: name: "volume1" persistentVolumeClaim: claimName: "cstorpvcnas" updateStrategy: rollingUpdate: partition: 0 type: "RollingUpdate" 执行以下命令，创建StatefulSet plaintext kubectl apply f stsexample.yaml 查看创建的有状态负载： 登录“云容器引擎”管理控制台； 在集群列表页点击进入指定集群； 进入主菜单“工作负载”——“有状态”，在列表查看。 验证数据持久化 登录“云容器引擎”管理控制台； 在集群列表页点击进入指定集群； 进入主菜单“工作负载”——“有状态”，进入负载详情； 在Pod列表页，选择“远程登录”，进入到容器内执行以下命令： 1、向/ccetmp 目录下写一个文件，执行echo "Hello World" > /ccetmp/test.log 2、查看/ccetmp目录下文件，执行ls /ccetmp，预期结果如下: plaintext test.log 退出“远程登录”，对上一步中的Pod执行“销毁重建”，等待Pod重新运行正常； 对新建Pod，继续执行“远程登录”，进入到容器内查看数据。执行cat /ccetmp/test.log，预期结果如下： plaintext Hello World 以上步骤说明，pod删除重建后，重新挂载存储卷，数据仍然存在，说明弹性文件中的数据可持久化保存。

3、创建工作负载 使用kubectl连接集群，创建示例yaml文件stsexample.yaml： plaintext apiVersion: "apps/v1" kind: "StatefulSet" metadata: name: "oceanfsstest" namespace: "default" spec: podManagementPolicy: "OrderedReady" replicas: 1 revisionHistoryLimit: 10 serviceName: "" template: spec: containers: image: "nginx:1.25alpine" imagePullPolicy: "IfNotPresent" name: "container1" resources: limits: cpu: "100m" memory: "256Mi" requests: cpu: "100m" memory: "256Mi" terminationMessagePath: "/dev/terminationlog" terminationMessagePolicy: "File" volumeMounts: mountPath: "/ccetmp" name: "volume1" dnsPolicy: "ClusterFirst" restartPolicy: "Always" schedulerName: "defaultscheduler" securityContext: {} terminationGracePeriodSeconds: 30 volumes: name: "volume1" persistentVolumeClaim: claimName: {YOURPVCNAME} 替换为步骤2中的PVC名称 updateStrategy: rollingUpdate: partition: 0 type: "RollingUpdate" 执行以下命令，创建StatefulSet kubectl apply f stsexample.yaml 查看创建的有状态负载： 登录“云容器引擎”管理控制台，在集群列表页点击进入指定集群。进入主菜单“工作负载”——“有状态”，在列表查看。 验证数据持久化 登录“云容器引擎”管理控制台； 在集群列表页点击进入指定集群； 进入主菜单“工作负载”——“有状态”，进入负载详情； 在Pod列表页，选择“远程登录”，进入到容器内执行以下命令： 1、向/ccetmp 目录下写一个文件，执行echo "Hello World" > /ccetmp/test.log 2、查看/ccetmp目录下文件，执行ls /ccetmp，预期结果如下: plaintext test.log 退出“远程登录”，对上一步中的Pod执行“销毁重建”，等待Pod重新运行正常； 对新建Pod，继续执行“远程登录”，进入到容器内查看数据。执行cat /ccsetmp/test.log，预期结果如下： plaintext Hello World 以上步骤说明，pod删除重建后，重新挂载存储卷，数据仍然存在， 说明数据可持久化保存。

本文介绍云容器引擎Serverless版的使用限制。 使用Serverless容器前，需要注意以下使用限制： 不支持DaemonSet型的工作负载，如果想要使用，您可以通过将DaemonSet重新配置为Pod的Sidecar容器来运行。 不支持在Pod的manifest中指定HostPath和HostNetwork。 不支持Privileged权限容器，您可使用Security Context为Pod添加Capability。 不支持NodePort类型的Service。

本文主要介绍创建私有资源组 操作步骤 1、登录性能测试控制台，在左侧导航栏中选择“测试资源”，单击“云容器CCE资源准备”。 2、（可选）首次使用时，请根据提示信息，授权性能测试创建私有资源组。 3、进入创建资源组页面后，如果是首次使用没有云容器引擎服务CCE集群，需要先执行步骤4创建集群然后再创建资源组。如果已有可用的云容器引擎服务CCE集群，直接执行步骤5创建资源组。 4、创建集群。 单击页面上方的“创建集群”，进入购买CCE集群页面。 说明 集群管理规模选择与执行节点个数相关，例如，需要20个执行节点，那么集群调试节点规模选择50节点即可满足业务需求。 CCE集群的网络模型建议选择“容器隧道网络”，容器网段和服务网段需要与被测对象保持一致。 单击“下一步：创建节点”，设置节点参数。 说明 节点规格至少为vCPU为4核，内存8GB。 操作系统需选择欧拉EulerOS。 创建的节点数量至少需要2台（1台调试节点、1台执行节点），具体数量由压测对象要求规格决定。例如，压测10万并发用户数，vCPU为4核，内存8GB的资源需要21个执行节点（1个调试节点，20个执行节点）。 当CCE集群节点与被测应用不在同一VPC网络时，建议CCE集群节点绑定弹性IP。可使用已有的弹性IP，如果没有弹性IP也可以选择自动创建，选中后将根据您的配置创建弹性IP，并自动为每个节点进行分配。当创建的弹性IP数量小于节点个数时，会将弹性IP随机绑定到节点上。 单击“下一步：安装插件”，默认选择即可。 单击“下一步：配置确认”，请检查配置，检查无误后，勾选“我已知晓上述限制”，单击“提交”等待集群创建，集群创建预计需要610分钟。创建成功后，返回性能测试控制台。 5、创建资源组。 在左侧导航栏中选择“测试资源”，单击“云容器CCE资源准备”。 参照下表设置基本信息。 创建私有资源组 参数 参数说明 资源组名称 新建私有资源组的名称，可自定义。 节点集群 在下拉框选择已创建的CCE集群。 调试节点 执行压测的调试机。调试节点在资源组创建成功后不可修改。 执行节点 执行压测的执行机，即在压测过程中能够提供自身性能数据的施压目标机器。 单击“创建”。

使用示例 pod中直接使用HostPath 使用kubectl连接集群，创建示例yaml文件hostpathpodexample.yaml： apiVersion: v1 kind: Pod metadata: name: testpd spec: containers: image: registry.k8s.io/testwebserver name: testcontainer volumeMounts: mountPath: /testpd name: testvolume volumes: name: testvolume hostPath: 主机节点上目录位置 path: /data 此字段为可选 type: Directory 执行以下命令，创建Pod kubectl apply f hostpathpodexample.yaml 查看创建的Pod： 登录“云容器引擎”管理控制台； 在集群列表页点击进入指定集群； 进入主菜单“工作负载”——“容器组”，在列表查看。 PV和PVC方式定义HostPath 使用kubectl连接集群，创建示例yaml文件hostpathpvexample.yaml: apiVersion: v1 kind: PersistentVolume metadata: name: hostpathpv labels: type: local spec: capacity: storage: 1Gi accessModes: ReadWriteOnce hostPath: path: "/data" apiVersion: v1 kind: PersistentVolumeClaim metadata: name: hostpathpvc spec: accessModes: ReadWriteOnce resources: requests: storage: 1Gi volumeName: "hostpathpv" 执行以下命令，创建PV、PVC kubectl apply f hostpathpvexample.yaml 查看创建的PV、PVC： 登录“云容器引擎”管理控制台； 在集群列表页点击进入指定集群； 进入主菜单“存储”，在持久卷和持久卷声明列表查看。

本章节介绍云容器集群Pod Java方法抛自定义异常。 背景介绍 在 CCE 环境中，业务系统多以 Java 应用运行在资源 Pod 中。本演练通过在 Pod 内注入 Java 方法自定义异常，模拟生产中的调用异常故障。 基本原理 通过Java Agent拦截指定JVM进程内方法，增加thow操作模拟抛出异常。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的pod列表。 5. 在弹出的对话框中，单击添加pod。 6. 勾选您希望进行故障演练的一个或多个Pod ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎Pod。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎Pod实例。 添加故障动作 ：单击立即添加 ，在列表中选择JAVA类方法抛自定义异常动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 进程关键词：java进程的关键词。 类名：注入延迟的类名，带全包名。 方法名：注入延迟的方法名。 延迟时间：注入的延迟时间，单位是毫秒。 容器名称：java进程所在容器名称。

本文主要介绍 示例：某部门权限设计及配置示例：某部门权限设计及配置。 概述 随着容器技术的快速发展，原有的分布式任务调度模式正在被基于Kubernetes的技术架构所取代。云容器引擎（Cloud Container Engine，简称CCE）是高度可扩展的、高性能的企业级Kubernetes集群，支持社区原生应用和工具。借助云容器引擎，您可以在云上轻松部署、管理和扩展容器化应用程序，快速高效的将微服务部署在云端。 为方便企业中的管理人员对集群中的资源权限进行管理，CCE后台提供了多种维度的细粒度权限策略和管理方式。CCE的权限管理包括“集群权限”和“命名空间权限”两种能力，分别从集群和命名空间两个层面对用户组或用户进行细粒度授权，具体解释如下： 集群权限： 是基于IAM系统策略的授权，可以让用户组拥有“集群管理”、“节点管理”、“节点池管理”、“模板市场”、“插件管理”权限。 命名空间权限： 是基于Kubernetes RBAC能力的授权，可以让用户或用户组拥有Kubernetes资源的权限，如“工作负载”、“网络管理”、“存储管理”、“命名空间”等的权限。 基于IAM系统策略的“集群权限”与基于Kubernetes RBAC能力的“命名空间权限”，两者是完全独立的，互不影响，但要配合使用。同时，为用户组设置的权限将作用于用户组下的全部用户。当给用户或用户组添加多个权限时，多个权限会同时生效（取并集）。

本文将为您介绍边缘云WAF提供的人机识别策略，精准命中爬虫流量，拦截各类恶意爬虫，守护网站业务安全。 功能介绍 边缘云WAF提供的人机识别支持Cookie挑战、跳转挑战、人机挑战等一系列反爬能力，帮助客户及时且精准地识别并拦截虚假流量，保障网站不受恶意爬虫攻击。 注意 目前控制台尚未开放人机识别功能，如有防护需求请通过 前提条件 已开通Web应用防火墙（边缘云版）。 已新增域名并成功接入WAF，具体操作请见WAF接入。 开通Web应用防火墙（边缘云版）扩展服务Bot管理，支持使用Bot防护策略，具体请见Bot管理计费。 人机识别功能说明 Cookie基础检测 注意 客户端标识检测：客户端标识检测是人机识别第一检测策略，将先一步校验Cookie挑战、人机挑战以及跳转挑战下发的cookie个数和完整性。无客户端标识、客户端标识缺失、客户端标识解析失败三种情况都需要配置。 无客户端标识。即针对请求没有cookie的情况进行处理 处理动作：拦截/告警/跳转/放行 拦截：拦截请求 告警：仅记录请求 跳转：GET请求启动302跳转策略，POST请求启动307跳转策略 放行：不对该异常做处理，另外不会再校验其他的BOT防护规则 统计粒度：静态cookie/IP+UA/IP 触发条件：达到触发条件的请求将对其执行处理动作，并支持配置处理动作持续时长（触发规则后的惩罚时间） 客户端标识缺失。即针对请求带回cookie个数小于下发的个数（最多会下发四个）进行处理 客户端标识解析失败。即针对失败解析cookie的情况下进行处理 其他字段： 客户端标识过期时间：默认15天,单位天,最大值365天 白名单：即例外条件，符合条件的请求不进行功能检测

本章节介绍云容器集群Pod磁盘填充故障演练。 背景介绍 在云原生环境中，Pod 依赖持久卷（如云盘、PVC、emptyDir）存储日志、缓存和业务数据。磁盘空间耗尽常由日志无限增长、缓存未清理或异常写入引起，一旦发生，可能导致文件写入失败、配置无法更新、数据库无法落盘、服务崩溃或系统重启。通过模拟磁盘耗尽演练，可提升对资源耗尽问题的预警、防护和恢复能力，增强业务系统弹性。 基本原理 通过dd命令将数据写入文件。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的pod列表。 5. 在弹出的对话框中，单击添加pod。 6. 勾选您希望进行故障演练的一个或多个pod ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。

本章节介绍云容器集群Pod磁盘填充故障演练。 背景介绍 在云原生环境中，Pod 依赖持久卷（如云盘、PVC、emptyDir）存储日志、缓存和业务数据。磁盘空间耗尽常由日志无限增长、缓存未清理或异常写入引起，一旦发生，可能导致文件写入失败、配置无法更新、数据库无法落盘、服务崩溃或系统重启。通过模拟磁盘耗尽演练，可提升对资源耗尽问题的预警、防护和恢复能力，增强业务系统弹性。 基本原理 通过dd命令将数据写入文件。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的pod列表。 5. 在弹出的对话框中，单击添加pod。 6. 勾选您希望进行故障演练的一个或多个pod ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。

本文主要介绍入门指引。 本文旨在帮助您了解云容器引擎（Cloud Container Engine，简称CCE）的基本使用流程以及相关的常见问题，帮助您快速上手容器服务。 使用步骤 完整的云容器引擎使用流程包含以下步骤： 图 CCE使用流程 步骤 1 注册帐号，并授予IAM用户相应的权限。 帐号无需授权即可拥有所有权限，由帐号创建的IAM子用户需要授予相应的权限才能使用CCE。 步骤 2 创建集群。 如果您需要创建普通Kubernetes集群，请参见 集群。 步骤 3 通过镜像或编排模板创建工作负载（应用）。 步骤 4 查看部署后工作负载的状态和日志信息，对工作负载进行相应的升级、伸缩和监控等。 常见问题 1. 我不懂kubernetes，是否可以使用CCE？ 可以使用，CCE管理控制台操作简单，并提供新手入门指导文档，您可以快速了解并使用CCE。 2. 我不会制作镜像，是否可以使用CCE？ CCE除了提供“我的镜像”功能用于存储您自行创建的镜像外，您还可以基于开源镜像创建容器应用。 3. 如何使用CCE创建工作负载？ 创建工作负载非常简单，您只需要先创建一个集群，再创建工作负载即可。详细步骤请参考 ）。 4. 如何创建一个可以在公网访问的工作负载？ 云容器引擎为满足多种复杂场景下工作负载间的互相访问，提供了不同的访问方式，从而满足不同场景提供不同访问通道。 5. 我有多个工作负载（在同个集群中），它们之间需要互相访问，应该怎么办？ 集群内访问表示工作负载暴露给同一集群内其他工作负载访问的方式，可以通过“集群内部域名”访问。 集群内部域名格式为“ . .svc.cluster.local: ”，例如“nginx.default.svc.cluster.local:80”。

本章节介绍如何管理服务来源 概述 云原生网关无缝对接天翼云注册配置中心和云容器引擎，通过服务发现模块监听服务来源，动态感知后端服务。整体架构如下： 创建云容器引擎服务来源 云原生网关支持云容器引擎作为服务来源，本文介绍添加云容器引擎作为服务来源。 1. 进入微服务引擎MSE控制台 2. 在顶部菜单栏选择资源池 3. 单击左侧导航栏云原生网关 > 网关列表 4. 您可以在网关列表页单击需要查看的网关实例ID或者 实例名称 ，也可以单击操作列中的管理按钮 5. 单击左侧导航栏 服务来源 6. 单击左上角按钮 创建来源 7. 在弹出的页面中，来源类型选择容器服务；在容器集群下拉列表中选择要添加的集群（当前仅支持添加与网关实例同VPC内的容器集群） 8. 根据需要勾选是否监听K8s Ingress选项并配置监听命名空间的标签，详细参考Ingress管理章节 创建注册配置中心服务来源 云原生网关支持MSE注册配置中心作为服务来源，本文介绍添加注册配置中心作为服务来源。 1. 进入微服务引擎MSE控制台 2. 在顶部菜单栏选择资源池 3. 单击左侧导航栏云原生网关 > 网关列表 4. 您可以在网关列表页单击需要查看的网关实例ID或者 实例名称 ，也可以单击操作列中的管理按钮 5. 单击左侧导航栏 服务来源 6. 单击左上角按钮 创建来源 7. 在弹出的页面中，来源类型选择MSE Nacos（当前仅支持Nacos引擎）；在集群下拉列表中选择要添加的集群（当前仅支持添加与网关实例同VPC内的集群）

约束与限制 暂不支持直接创建极速文件存储卷，您可以参照界面要求前往SFS Turbo控制台创建后，再使用极速文件存储服务。 导入极速文件存储卷 CCE支持导入已有的极速文件存储。 步骤 1 登录CCE控制台，单击左侧导航栏的“资源管理 > 存储管理”，在“极速文件存储卷”页签下，单击“导入”。 步骤 2 从列表里选择要导入的极速文件存储。 步骤 3 选择需要导入极速文件存储的集群名称和命名空间名称。 步骤 4 单击“确定”。导入成功后，存储管理列表中会出现已导入的存储，待PVC状态为“正常”，表示存储已导入成功。 添加极速文件存储卷 步骤 1 参照创建无状态负载(Deployment)、创建有状态负载(StatefulSet)、创建守护进程集(DaemonSet)或创建普通任务(Job)创建工作负载或普通任务，在添加容器后，展开“数据存储”，在“云存储”页签，单击“添加云存储”。 步骤 2 选择存储类型为“极速文件存储”。 极速文件存储参数说明 参数 参数说明 云存储类型 极速文件存储：适用于多种使用场景，主要面向DevOps、容器微服务、企业办公等场景。 分配方式 使用已有存储 云存储名称：选择已创建的存储。 添加容器挂载 配置如下参数： 1. 子路径：输入文件存储的子路径，如：tmp。 Kubernetes中数据卷挂载的subpath，指引用卷内的子路径而不是其根，不填写时默认为根。现只支持文件存储，必须是相对路径，且不能以“/”或“../”开头。 2. 挂载路径：输入挂载路径，如：/tmp。 数据存储挂载到容器上的路径，请不要挂载在系统目录下，如“/ ”、“/var/run ”等，会导致容器异常。建议挂载在空目录下，若目录不为空，请确保目录下无影响容器启动的文件，否则文件会被替换，导致容器启动异常，工作负载创建失败。 须知： 挂载高危目录的情况下 ，建议使用低权限帐号启动，否则可能会造成宿主机高危文件被破坏。 3. 设置权限。 只读：只能读容器路径中的数据卷。 读写：可修改容器路径中的数据卷，容器迁移时新写入的数据不会随之迁移，会造成数据丢失。 单击“添加容器挂载”可增加多条设置，单击“确定”完成配置。 步骤 3 单击“确定”。 解关联极速文件存储卷 导入极速文件存储卷成功后，极速文件存储卷会自动和当前集群绑定，其它集群也可以导入该存储。解关联后，将和此集群解绑，其它集群仍然可以导入使用该文件存储卷。 若极速文件存储卷已被工作负载挂载，将无法和集群解关联。 步骤 1 登录CCE控制台，单击左侧导航栏的“资源管理 > 存储管理”，在极速文件存储卷列表中，单击极速文件存储卷后的“解关联”。 步骤 2 查看系统提示，单击“确定”。

本节介绍了云容器引擎的最佳实践：存储卷。 存储基础知识 云容器引擎使用Kubernetes编排系统作为集群、应用、存储、网络等模块的管理平台。本文为您介绍容器存储相关的基础知识，以便在使用容器服务的存储能力时，了解相应模块的基础知识和使用原则。 数据卷（Volume） 因为容器中的文件在磁盘上是临时存放的，所以Kubernetes定义了数据卷（Volume）以解决容器中的文件因容器重启而丢失的问题。数据卷（Volume）是Pod与外部存储设备进行数据传递的通道，也是Pod内部容器间、Pod与Pod间、Pod与外部环境进行数据共享的方式。数据卷（Volume）定义了外置存储的细节，并内嵌到Pod中作为Pod的一部分。实质是外置存储在Kubernetes系统的一个资源映射，当负载需要使用外置存储的时候，可以从数据卷（Volume）中查到相关信息并进行存储挂载操作。 数据卷（Volume）分类 描述 本地存储 适用于本地存储的数据卷，例如HostPath、emptyDir等。本地存储卷的特点是数据保存在集群的特定节点上，并且不能随着应用漂移，节点停机时数据即不再可用。 网络存储 适用于网络存储的数据卷，例如Ceph、GlusterFS、NFS、iSCSI等。网络存储卷的特点是数据不在集群的某个节点上，而是在远端的存储服务上，使用存储卷时需要将存储服务挂载到本地使用。 Secret和ConfigMap Secret和ConfigMap是特殊的数据卷，其数据是集群的一些对象信息，该对象数据以卷的形式被挂载到节点上供应用使用。 PVC 一种数据卷定义方式，将数据卷抽象成一个独立于Pod的对象，这个对象定义（关联）的存储信息即存储卷对应的真正存储信息，供Kubernetes负载挂载使用。 数据卷（Volume）使用原则：一个Pod可以挂载多个数据卷（Volume）。一个Pod可以挂载多种类型的数据卷（Volume）。每个被Pod挂载的Volume卷，可以在不同的容器间共享。Kubernetes环境推荐使用PVC和PV方式挂载数据卷（Volume）。虽然单Pod可以挂载多个数据卷（Volume），但是并不建议给一个Pod挂载过多数据卷。

本文将介绍如何设置高频爬虫限制功能。 功能介绍 以 Cookie 为粒度进行统计，防止攻击者盗用合法 Cookie 进行大量请求，通过限制不同统计粒度下访问次数防护爬虫。 注意 注意：目前控制台尚未开放高频爬虫限制功能，如有防护需求请通过 前提条件 已开通Web应用防火墙（边缘云版）。 已新增域名并成功接入WAF，具体操作请见WAF接入。 开通Web应用防火墙（边缘云版）扩展服务Bot管理，支持使用Bot防护策略，具体请见套餐和版本说明。 配置说明 支持配置多个防护条件，最多支持配置5条，多个条件为或关系。 配置项 说明 Bot标识 即爬虫情报库中的IP标识，例如百度爬虫、谷歌爬虫等 情报类型 目前支持收录已知恶意Bot、搜索引擎、IDC机房三类情报 执行动作 支持对某一类的爬虫情报及爬虫标识一键加白、拦截、监控 加白：加白后，访问将不经过Bot防护策略 拦截：对IP访问请求进行拦截处理 监控：不对请求拦截，但是会生成攻击日志

本节介绍了容器云服务引擎CCSE的最佳实践，以弹性伸缩举例。 容器水平伸缩 容器云服务引擎CCSE支持在控制台界面上快速创建支持HPA的应用，实现容器资源的弹性伸缩。您也可通过定义HPA（Horizontal Pod Autoscaling）的YAML来进行配置。 背景信息 从v1.18开始，K8s v2beta2 API允许通过HPA的behavior字段配置扩缩行为。 在behavior字段中的scaleUp和scaleDown分别指定扩容和缩容行为。当您在使用HPA时，希望只进行扩容或者只进行缩容的Pod伸缩，则可以通过开启指标伸缩，单击禁止缩容或者禁止扩容来实现。默认值：均不禁止。禁止扩容：selectPolicy的值Disabled会关闭给定方向的扩容。因此使用以下策略，将会阻止扩容。 behavior: scaleUp: selectPolicy:Disabled 禁用缩容：selectPolicy的值Disabled会关闭给定方向的缩容。因此使用以下策略，将会阻止缩容。 behavior: scaleDown: selectPolicy:Disabled 通过容器服务控制台创建HPA应用 天翼云容器云服务引擎已经集成了HPA，您可以简便地通过容器服务控制台进行创建。您可以在创建应用的时候创建HPA，也可以在已有应用的基础上开启HPA。 方式一：在创建应用过程中，开启HPA 登录容器云服务引擎CCSE管理控制台。 在控制台左侧导航栏中，单击集群。 在集群列表页面中，单击目标集群名称。 在集群管理页左侧导航栏中，选择工作负载 > 无状态。 点击左上角的新增按钮。 填写基本信息，在实例数量中选择自动伸缩，设置伸缩的条件和配置。 Resource规则，支持CPU和内存，支持百分比和平均值等计值方式。 Pod规则，支持Pod指标对象，支持平均值的计值方式，支持指定指标。 Object规则，支持Service指标对象，支持阈值的计值方式，支持指定指标。 单击左下角的提交，一个支持HPA的Deployment就已经创建完毕。 结果验证：单击工作负载 > 无状态中单击应用名称，您可在部署的详情中查看伸缩组信息。在实际使用环境中，应用会根据CPU负载进行伸缩。您也可在测试环境中验证弹性伸缩，通过给Pod进行CPU压测，可以发现Pod即可完成水平的扩展。

本章节主要介绍创建专享版集群。 须知 如果需要创建、删除专享版集群或修改API配额，则需具备以下权限之一的账号才能进行操作： DAYU Administrator并且拥有VPCEndpoint Administrator权限。 Tenant Administrator并且拥有VPCEndpoint Administrator权限。 网络环境准备 如下图所示，专享版集群创建后，资源位于资源租户区，由ELB统一对集群节点进行负载均衡。 用户可以通过两种途径访问集群： 内网地址：内网地址为用户VPC内的终端节点IP地址。 外网地址（可选）：外网地址为绑定在ELB上的EIP地址。EIP仅在创建数据服务集群时，勾选开启公网入口，才会具备。 专享版集群网络架构说明 因此，为了保证创建的专享版集群能够被用户访问，创建中需要注意如下网络配置： VPC 虚拟私有云。专享版实例需要配置虚拟私有云（VPC），在同一VPC中的资源（如ECS），可以使用专享版实例的私有地址调用API。 在创建时专享版实例时，建议配置和您其他关联业务相同VPC，确保网络安全的同时，方便网络配置。 弹性公网IP 专享版实例的API如果要允许外部调用，则需要购买一个弹性公网IP，并在购买时绑定给实例，作为实例的公网入口。 安全组 安全组类似防火墙，控制谁能访问实例的指定端口，以及控制实例的通信数据流向指定的目的地址。安全组入方向规则建议按需开放地址与端口，这样可以最大程度保护实例的网络安全。 专享版实例绑定的安全组有如下要求： 1. 入方向：如果需要从公网调用API，或从其他安全组内资源调用API，则需要为专享版实例绑定的安全组的入方向放开80（HTTP）、443（HTTPS）两个端口 2. 出方向：如果后端服务部署在公网，或者其他安全组内，则需要为专享版实例绑定的安全组的出方向放开后端服务地址与API调用监听端口。 3. 如果API的前后端服务与专享版实例绑定了相同的安全组、相同的虚拟私有云，则无需专门为专享版实例开放上述端口。 路由配置 在物理机纳管场景下，如果物理机纳管网段与集群网段不一致，需要配置路由。 进入集群“基本信息”页面，可以增加或删除路由，如下图所示。 说明 如果数据服务集群无路由配置功能，可联系相关支撑人员修改配置项dlm.instance.route.action.support启用此功能。

本章节介绍云容器集群Pod网络延迟故障演练。 背景介绍 网络延迟是 CCE 集群常见故障，可能影响响应并引发雪崩效应。本演练模拟延迟，验证超时、熔断及性能瓶颈。 基本原理 通过增加TC和Netem规则模拟Pod内网络延迟。 注意 只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败。 风险告知 此演练具有高度破坏性，请务必在充分了解其风险后，谨慎操作，强烈建议通过动作参数，控制网络故障注入的影响范围。 通信中断 ：网络包乱序影响探针程序与控制面的通信，此时该演练任务的状态极有可能显示为执行失败或恢复，但这恰恰是故障注入成功的表现。 无法自愈 ：超时机制可能失效，因为执行恢复动作同样需要通过网络通讯。 恢复方式 ：最可靠的恢复方法是通过云容器引擎 控制台，对目标实例节点执行强制重启操作。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的pod列表。 5. 在弹出的对话框中，单击添加pod。 6. 勾选您希望进行故障演练的一个或多个pod ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。

本文介绍批量注册防护功能。 批量注册是什么？ 批量注册是指通过脚本实现原有的正式注册流程，不断重复执行注册的一个过程，可以短时间内得到目标大量的新用户，用作于ddos攻击、业务利用等非法行为。 边缘云WAF实现批量注册防护的原理 注册行为监控。由于批量注册需要不断访问注册接口，因此可以通过一些基本粒度（如ip等）去统计访问行为并设置对应触发值。 注册行为挑战。通过交互方式挑战达到防护纯机器注册的效果（如验证码、行为挑战）。 注意 注意：目前控制台尚未开放批量注册防护的功能，如有防护需求请通过 前提条件 已开通Web应用防火墙（边缘云版）。 已新增域名并成功接入WAF，具体操作请见WAF接入。 开通套餐为基础版及以上版本，支持批量注册防护相关功能。 相关操作 设置撞库防护 设置暴力破解防护

主机类型 版本 支持实例数 X86通用型 单机版2C4G 600 X86通用型 集群版2C4G3节点 6000 X86通用型 集群版4C8G3节点 12000 X86通用型 集群版8C16G3节点 24000 X86通用型 集群版16C32G3节点 48000 X86通用型 企业版2C4G3节点 6000 X86通用型 企业版4C8G3节点 12000 X86通用型 企业版8C16G3节点 24000 X86通用型 企业版16C32G3节点 48000

智能边缘云的 API 使用指南 一、 前置步骤 如何获取 AK/SK Access Key：简写为AK，对http请求进行签名，签名机制是为了访问更加安全, access key为用户独有，并作为身份标识； Secret Key：简写为SK，用户私有的，请勿给他人。 调用智能边缘云 OpenAPI 需要 AK/SK 认证鉴权，下面为 AK/SK 获取方法： AK/SK 从 天翼云 IAM 申请，获取地址： 登录页面中选择【天翼云账号】登录，如下图所示： 登录后，在左侧【个人中心】下，选择【AccessKey管理】，点击【新增】，工作区选择【系统内置工作区】。 创建 AK 后，点击查看，验证后就可以获取到 SK。 充值与集群自助权限申请 调用 OpenAPI 开通资源前，需要确保账户下有集群自助权限，确认地址： ； 账号充值：按需开通资源时，要求可用现金余额最少100元； 如果在租户控制台创建资源时没有集群可选项(下图 ①)，请找售后或运营申请集群自助权限； 如果在租户控制台看到集群下没有配额(下图 ②)，请找售后或运营申请资源配额。

本文主要介绍登录容器。 操作场景 如果在使用容器的过程中遇到非预期的问题，您可登录容器进行调试。 使用kubectl命令登录容器 步骤 1 使用kubectl连接集群，详情请参见通过kubectl连接集群。 步骤 2 执行以下命令，查看已创建的Pod。 kubectl get pod 示例输出如下： NAME READY STATUS RESTARTS AGE nginx59d89cb66fmhljr 1/1 Running 0 11m 步骤 3 查询该Pod中的容器名称。 kubectl get po nginx59d89cb66fmhljr o jsonpath'{range .spec.containers[]}{.name}{end}{"n"}' 示例输出如下： container1 步骤 4 执行以下命令，登录到nginx59d89cb66fmhljr这个Pod中名为container1的容器。 kubectl exec it nginx59d89cb66fmhljr c container1 /bin/sh 步骤 5 如需退出容器，可执行exit命令。

分布式容器云平台 CCE One 是面向多云、多集群等场景推出的企业级容器云平台,实现对集群、应用、数据、服务与策略的统一管控。

本文介绍分布式容器云平台的使用限制。 使用限制 使用分布式容器云平台之前需要注意以下一些限制： 订购注册集群之前需要实名认证。 订购集群联邦之后才可使用集群联邦功能，对分布式集群进行统一应用分发和流量均衡。 资源池限制 资源池类型 已加载资源池 L1 资源池 华东1、华南2、西南1、华北2

本文为您介绍租户集群为自建集群的集群组件安装步骤。 注意事项 集群组件在运行时会挂载k8s node宿主机的/data（非crio）和/root（crio）目录，请确保目录的权限正常。 请确保您的k8s集群允许出网策略TCP端口：31080、30432、32345。 获取部署脚本 1. 进入容器安全卫士产品控制台。 2. 在左侧导航栏选择“安装配置 > 组件安装”，进入组件安装页面。 3. 单击“集群组件部署”，进入集群组件部署页面。 4. 选择“是否为天翼原生k8s集群”，此处选择“自建集群”；选择集群所在的资源池。 5. 下载镜像。 1. 选择容器运行环境（支持docker、containerd、CRIO）。 2. 选择集群CPU架构（支持X86、ARM架构）。 3. 单击“下载镜像Tar包”下载镜像Tar包到本地，然后加载至您的私有仓库中（请不要修改镜像名称）。 Tar包中包含4个镜像，分别为： library/dosecagent:20241224T19.31.05V5.2.0release298e83b85cc6c5bc,library dosechosttool:alpineV3.8,library dosecscanner:20250106T17.38.12V5.2.0releasebd003dd3e87a1881,library dosecserver:20250107T11.36.00V5.2.1sp891.1release287a57d168109d92 6. 生成部署脚本。 1. 选择集群所在的VPC、VPC子网，输入私有仓库的地址、账号、密码。 2. 单击“生成yaml文件”，并将yaml文件保存到本地。 注意 系统会根据您的输入自动生成yaml。 容器安全卫士不会保存您的私有仓库用户名和密码以保证安全。 下载后的包，内容请勿进行修改。 下载的脚本仅能用于一个k8s集群使用，若在不同集群重复使用可能造成数据异常。

本章节介绍MSAP操作类常见问题 已经订购了云容器引擎，新增环境选择不到云容器引擎？ 选择不到云容器引擎可能有如下两种情况： 1、云容器引擎正在开通中或者开通失败了，需要到开通界面或云容器引擎控制台检查容器状态是否是已开通或运行中。 2、新增环境时选择的VPC和云容器引擎所属VPC不一致，需要到云容器引擎控制台，找到对应集群，进入集群信息界面查看集群所属VPC。再到新增环境界面选择和集群所属VPC一致的VPC。 删除环境不成功，提示：环境下存在部署单元，请先删除部署单元？ 此提示说明要删除的环境下有应用实例、部署单元、导入资源，需要该环境的对应实例、部署单元和导入资源清理之后才能删除环境。 1. 登录微服务云应用控制台，左侧菜单栏选择“环境规划>环境管理”，点击要删除的环境，进入到环境详情。 2. 选择“资源列表”，依次切换该环境下的资源，如果存在该资源，则点击该资源复选框，点击移除，删除资源。 3. 选择“部署单元>编辑单元”，点击对应部署单元删除。 4. 最后回到“环境管理”，选择对应环境，点击右侧删除。

本节介绍资源委托协议。 使用 CCE One 服务需要授予访问以下云资源的权限： 访问计算类服务 注册集群按需弹性云上资源时会关联创建云服务器，需要获取访问弹性云服务器、弹性裸金属服务器的权限。 访问存储类服务 为注册集群关联云上节点和容器挂载存储，需要获取访问云硬盘、弹性文件、对象存储等服务的权限。 访问网络类服务 为注册集群及联邦提供网络代理及服务对外暴露，需要获取访问虚拟私有云、弹性负载均衡、弹性IP、NAT网关等服务的权限。 访问容器与监控类服务 为三方注册集群下容器提供镜像拉取、监控和日志分析等功能，需要获取访问容器镜像、应用运维管理等服务的权限同意授权后，CCE One 将在统一身份认证服务为您创建名为 CtyunAssumeRoleForCCEONE 的 委托，为保证服务正常使用，在使用 CCE One 服务期间请不要删除或修改 CtyunAssumeRoleForCCEONE 委托。

本文主要介绍环境 测试资源组的说明与使用约束 测试资源组包含共享资源组和私有资源组两种类型，共享资源组为系统默认提供，私有资源组需要自行创建。 共享资源组的执行节点已绑定弹性IP，当被测应用有网络访问限制时，建议创建私有资源组。 当并发大于10000或者40000QPS或者总带宽大于100Mb时，建议创建私有资源组。 JMeter测试任务只可以使用私有资源组。 创建私有资源组 1、登录性能测试控制台，在左侧导航栏中选择“测试资源”，单击“云容器CCE资源准备”。 2、（可选）首次使用时，请根据提示信息，授权性能测试创建私有资源组。 3、进入创建资源组页面后，如果是首次使用没有云容器引擎服务CCE集群，需要先执行步骤4创建集群然后再创建资源组。如果已有可用的云容器引擎服务CCE集群，直接执行步骤5创建资源组。 4、创建集群（使用IPv4场景）。 单击页面上方的“创建集群”，进入购买CCE集群页面。 说明 集群管理规模选择与执行节点个数相关，例如，需要20个执行节点，那么集群调试节点规模选择50节点即可满足业务需求。 CCE集群的网络模型建议选择“容器隧道网络”，容器网段和服务网段需要与被测对象保持一致。 单击“下一步：创建节点”，设置节点参数。 说明 节点规格至少为vCPU为4核，内存8GB。 操作系统需选择欧拉EulerOS。 创建的节点数量至少需要2台（1台调试节点、1台执行节点），具体数量由压测对象要求规格决定。例如，压测10万并发用户数，vCPU为4核，内存8GB的资源需要21个执行节点（1个调试节点，20个执行节点）。 当CCE集群节点与被测应用不在同一VPC网络时，建议CCE集群节点绑定弹性IP。可使用已有的弹性IP，如果没有弹性IP也可以选择自动创建，选中后将根据您的配置创建弹性IP，并自动为每个节点进行分配。当创建的弹性IP数量小于节点个数时，会将弹性IP随机绑定到节点上。 单击“下一步：安装插件”，默认选择即可。 单击“下一步：配置确认”，请检查配置，检查无误后，勾选“我已知晓上述限制”，单击“提交”等待集群创建，集群创建预计需要610分钟。创建成功后，返回性能测试控制台。 5、创建集群（使用IPv6场景）。 单击页面上方的“创建集群”，进入购买CCE集群页面。创建集群操作请参考“帮助中心 > 云容器引擎> 用户指南 > 集群管理 > 购买集群”，设置集群参数。 说明 集群管理规模选择与执行节点个数相关，请根据需要压测的并发用户数，创建对应规格的节点。例如，需要20个执行节点，那么创建集群时集群规模选择50节点即可满足业务需求。 CCE集群的网络模型建议选择“容器隧道网络”，容器网段和服务网段需要与被测对象保持一致。 如果使用IPv6功能，创建虚拟私有云时，默认子网需勾选“开启IPv6”。虚拟私有云开启IPv6功能后，将自动为子网分配IPv6网段，暂不支持自定义设置IPv6网段。该功能一旦开启，将不能关闭。 单击“下一步：创建节点”，选择“稍后添加”。 说明 使用IPv6功能时，不能在云容器引擎服务里直接创建节点，需要在弹性云主机服务里创建支持IPv6的节点后，再到云容器引擎服务里纳管节点。 单击“下一步：安装插件”，默认选择即可。 单击“下一步：配置确认”，请检查配置，检查无误后，勾选“我已知晓上述限制”，单击“提交”等待集群创建，集群创建预计需要610分钟。 6、创建节点（使用IPv6场景）。 单击页面左上角服务列表，搜索并进入“弹性云主机”页面，单击“创建弹性云主机”创建支持IPv6的节点，支持IPv6的节点规格请咨询弹性云主机服务技术支持，节点规格选择示例如下图。创建弹性云主机参数配置请参考“帮助中心 > 弹性云主机 > 快速入门 > 创建弹性云主机”。 说明 节点规格至少为vCPU为4核，内存8GB。 创建的节点数量至少需要2台（1台调试节点、1台执行节点），具体数量由压测对象要求规格决定。例如，压测10万并发用户数，vCPU为4核，内存8GB的资源需要21个执行节点（1个调试节点，20个执行节点）。 当CCE集群节点与被测应用不在同一VPC网络时，建议CCE集群节点绑定弹性IP。可使用已有的弹性IP，如果没有弹性IP也可以选择自动创建。自动创建弹性IP时，带宽设置尽可能选择较大值，否则可能影响压测效果。系统根据您的配置创建弹性IP，并自动为每个节点进行分配。当创建的弹性IP数量小于节点个数时，会将弹性IP随机绑定到节点上。 网络配置需选择“自动分配IPv6地址”。 节点创建成功后，单击页面左上角服务列表，搜索并进入“云容器引擎”页面，选择“资源管理 > 节点管理”，单击“纳管节点”，纳管已创建成功的节点。完成纳管节点后，返回性能测试服务控制台。 7、创建资源组。 在左侧导航栏中选择“测试资源”，单击“云容器CCE资源准备”。 参照下表设置基本信息。 创建私有资源组 参数 参数说明 资源组名称 新建私有资源组的名称，例如：Webtestdemo。 节点集群 在下拉框选择已创建的CCE集群。 调试节点 执行压测的调试机。调试节点在资源组创建成功后不可修改。 执行节点 执行压测的执行机，即在压测过程中能够提供自身性能数据的施压目标机器。 单击“创建”。

约束与限制 仅1.19及以上集群支持调小容器运行时和Kubelet组件使用的数据盘容量。 调整数据盘大小功能只支持云硬盘，不支持本地盘（本地盘仅在节点规格为“磁盘增强型”或“超高I/O型”时可选）。 如何选择合适的数据盘 在选择合适的数据盘大小时，需要结合以下考虑综合计算： 在拉取镜像过程中，会先从镜像仓库中下载镜像tar包然后解压，最后删除tar包保留镜像文件。在tar包的解压过程中，tar包和解压出来的镜像文件会同时存在，占用额外的存储空间，需要在计算所需的数据盘大小时额外注意。 在集群创建过程中，节点上可能会部署必装插件（如Everest插件、coredns插件等），这些插件会占用一定的空间，在计算数据盘大小时，需要为其预留大约2G的空间。 在应用运行过程中会产生日志，占用一定的空间，为保证业务正常运行，需要为每个Pod预留大约1G的空间。 OverlayFS类型 OverlayFS类型节点上的容器引擎和容器镜像空间默认占数据盘空间的90%（建议维持此值），这些容量全部用于dockersys分区，计算公式如下： 容器引擎和容器镜像空间：默认占数据盘空间的90%，其空间大小 数据盘空间 90% dockersys分区（/var/lib/docker路径）：容器引擎和容器镜像空间（默认占90%）都在/var/lib/docker目录下，其空间大小 数据盘空间 90% Kubelet组件和EmptyDir临时存储：占数据盘空间的10%，其空间大小 数据盘空间 10% 在OverlayFS类型的节点上，由于拉取镜像时，下载tar包后会存在解压过程，该过程中tar包和解压出来的镜像文件会同时存在于dockersys空间，会占用约2倍的镜像实际容量大小，等待解压完成后tar包会被删除。因此，在实际镜像拉取过程中，除去系统插件镜像占用的空间后，需要保证dockersys分区的剩余空间大于2倍的镜像实际容量。为保证容器能够正常运行，还需要在dockersys分区预留出相应的Pod容器空间，用于存放容器日志等相关文件。 因此在选择合适的数据盘时，需满足以下公式： dockersys分区容量 > 2镜像实际总容量 + 系统插件镜像总容量（约2G） + 容器数量 单个容器空间（每个容器需预留约1G日志空间） 说明 当容器日志选择默认的json.log形式输出时，会占用dockersys分区，若容器日志单独设置持久化存储，则不会占用dockersys空间，请根据实际情况估算单个容器空间。 例如：假设节点的存储类型是OverlayFS，节点数据盘大小为20G。根据上述计算公式，默认的容器引擎和容器镜像空间比例为90%，则dockersys分区盘占用：20G90% 18G，且在创建集群时集群必装插件可能会占用2G左右的空间。倘若此时您需要部署10G的镜像tar包，但是由于解压tar包时大约会占用20G的dockersys空间，再加上必装插件占用的空间，超出了dockersys剩余的空间大小，极有可能导致镜像拉取失败。

本节主要介绍查看/修改服务器相关信息。 在“服务器管理”页面，点击具体的服务器名称，可以查看/修改服务器相关信息。 图1 服务器详细信息（单机版） 图2 服务器详细信息（集群版） 基本信息 项目 描述 编辑 点击“编辑”按钮（仅集群版支持），可以编辑节点名称及节点描述信息。 重映射 点击“重映射”按钮（仅集群版支持），可以变更父节点名称。 服务器ID 服务器ID。 节点名称 节点在集群中的全路径名称（仅集群版支持），从根节点开始，使用name:name:name格式来唯一标识该节点的名称。 父节点名称 该服务器的父节点名称（仅集群版支持）。 业务IP 业务网的IP和端口号。 集群IP 集群网的IP。 描述 节点描述（仅集群版支持）。 基础服务 服务器上的基础服务（仅集群版基础服务器支持），包括基础服务名称、对应的状态和数据目录。 基础服务名称： 元数据管理服务mdm。 日志服务ls。 协调服务cs。 基础服务状态： 可用。 不可用。 正在迁移。 未知。 端口 目前HBlock占用的端口： 端口范围：可以点击“修改”按钮，修改端口的范围。建议指定的端口范围至少包含500个端口。 说明 后续新增的数据服务端口会从修改后的端口范围中选择，已使用的端口值不变。 修改端口范围时，请避免和Linux系统的本地临时端口（iplocalportrange）范围重合，否则可能会导致HBlock服务所用的端口被占用。使用命令行cat /proc/sys/net/ipv4/iplocalportrange可以查看本地临时端口范围。 iSCSI端口。 Web端口。 数据端口（仅集群版支持）。 存储端口（仅集群版支持）。 管理端口。 元数据端口（仅集群版支持）。 软件版本 软件版本号。 状态 服务器状态： 已连接。 未连接。 移除中。

本节介绍了容器镜像服务的应用场景。 容器镜像管理 用户需要自建本地镜像仓库，但涉及到组件安装、权限配置、集群整合等复杂的搭建流程；且后期管理存在大量麻烦、耗时的后台操作，同时需要长期的对本地仓库进行维护，运维成本高；用户需要快速完成仓库搭建，提升镜像管理效率，降低成本。 通过使用容器镜像服务产品，支持可视化界面操作，无需用户具备专业运维知识即可快速完成镜像仓库搭建，基于镜像服务全生命周期的管理能力，满足用户普遍使用需求。 容器化一键部署 用户上云过程中，若本地进行镜像上传进行业务容器化操作，当集群节点数多，单个节点涉及业务种类多，且业务更新频繁时，后台镜像操作将变得繁琐费时，业务容器化效率低下。需要简化操作，提升业务部署效率。 联合云容器引擎，使用容器镜像服务CRS中的容器镜像，快速实现业务容器化部署。