本节介绍了POD联网使用案例的用户指南。 本文介绍如何在容器集群创建的pod中，实现访问公网。 准备工作 已创建云服务引擎集群； 已在容器集群中创建pod，该pod需要进行公网访问。 操作步骤 步骤一：确定要访问公网的pod ip，确定其所属vpc的子网网段； 步骤二：购买弹性IP; 步骤三：购买NAT网关及配置路由； 步骤四：配置SNAT规则； 步骤五：pod内测试连通性。 步骤一：确定要访问公网的pod ip，确定其所属vpc的子网网段 1、首先确定容器集群部署所用网络插件类型，步骤如下 登录天翼云“云容器引擎”管理控制台； 选择指定资源池，进去集群列表； 点击进入指定集群； 在“集群信息”“基本信息”中查看网络插件； 2、确定访问公网的pod所属vpc子网网段 以无状态部署为例： “工作负载”“无状态”，选择命名空间，进入指定deployment； 进入deployment实例详情，查看pod列表； 如果网络插件是calico，那么记录实例所在节点ip： 如果网络插件是cubecni，那么记录pod ip： 在“虚拟私有云”“子网” 中，查看上述记录ip所属ip网段；

本文介绍DDoS高防（边缘云版）到期和欠费如何处理。 到期 客户购买的服务到期当天，天翼云会以短信的方式通知客户，并将冻结服务。冻结的服务允许续费、释放或删除，如客户需继续使用，则可联系客户经理执行续订操作或自行在“控制中心费用中心”进行续订； 若到期7天之后，天翼云会以短信的方式通知客户，客户未续订，资源将被释放。 产品/服务冻结时：资源将被限制访问和使用，会导致您的业务中断。 产品/服务解冻时：资源将被解除限制，但是需要您自行检查并恢复业务。 产品/服务释放时：资源将被释放，存储在资源中的数据将被删除，数据无法找回。 欠费 在天翼云账户中没有费用并欠款的情况下，天翼云会以短信的方式通知客户充值；如果客户在48小时内未付清所欠金额，并将关停客户的DDoS高防（边缘云版）服务。

操作系统与容器运行时的对应关系 节点类型 操作系统 内核版本 容器运行时 容器存储Rootfs OCI 运行时 弹性云主机 CTyunOS 23.01 5.10 Containerd OverlayFS runC 弹性云主机 CentOS 7.9 5.4 Containerd OverlayFS runC 弹性裸金属 CTyunOS 23.01 5.10 Containerd OverlayFS runC 弹性裸金属 CentOS 7.9 5.4 Containerd OverlayFS runC 集群版本与容器运行时对应关系 集群版本 容器运行时 运行时版本 v1.23.3 containerd 1.6.23 v1.23.3 docker 20.10.12 v1.25.6 containerd 1.6.23 v1.25.6 docker 20.10.12 v1.27.8 containerd 1.6.23 v1.27.8 docker 20.10.12 v1.29.3 containerd 1.6.23 v1.29.3 docker 20.10.12

本节介绍了容器镜像服务的应用场景。 容器镜像管理 用户需要自建本地镜像仓库，但涉及到组件安装、权限配置、集群整合等复杂的搭建流程；且后期管理存在大量麻烦、耗时的后台操作，同时需要长期的对本地仓库进行维护，运维成本高；用户需要快速完成仓库搭建，提升镜像管理效率，降低成本。 通过使用容器镜像服务产品，支持可视化界面操作，无需用户具备专业运维知识即可快速完成镜像仓库搭建，基于镜像服务全生命周期的管理能力，满足用户普遍使用需求。 容器化一键部署 用户上云过程中，若本地进行镜像上传进行业务容器化操作，当集群节点数多，单个节点涉及业务种类多，且业务更新频繁时，后台镜像操作将变得繁琐费时，业务容器化效率低下。需要简化操作，提升业务部署效率。 联合云容器引擎，使用容器镜像服务CRS中的容器镜像，快速实现业务容器化部署。

功能 说明 开启HTTPS协议主要涉及两个步骤：一是打开“Https开关”，二是Https证书上传。第二步客户可参考新增证书的指引完成证书上传。 客户完成证书新增后，可通过DDoS高防（边缘云版）控制台界面查看已添加的证书及其详细信息，包括：证书备注名、证书通用名称、证书品牌、到期时间、创建时间。 当证书过期或者不再使用时，可通过DDoS高防（边缘云版）控制台删除证书。 当您需要更新证书时，如果涉及到大量域名需要绑定证书，可以通过批量绑定域名进行快捷操作。

分布式容器云平台 CCE One 是面向多云、多集群等场景推出的企业级容器云平台,实现对集群、应用、数据、服务与策略的统一管控。

本节介绍了: Pod内DNS解析异常的诊断流程、排查思路、常见解决方案和排查方法。 诊断流程的基本概念 集群内部域名：CoreDNS会将集群中的服务暴露为集群内部域名，默认以.cluster.local结尾，这类域名的解析通过CoreDNS内部缓存完成，不会从上游DNS服务器查询。 VPC、地域内部域名：在VPC、地域内DNS服务器中注册的天翼云各产品内部服务域名，默认以.cnspinternal.ctyun.cn结尾，这类域名通常与地域、VPC相关，由CoreDNS的上游DNS服务器负责解析，CoreDNS仅做解析请求转发。 公网域名：在第三方DNS服务商、天翼云DNS云解析等产品注册的权威解析，这类域名由CoreDNS的上游DNS服务器负责解析，CoreDNS仅做解析请求转发。 业务Pod：部署在Kubernetes集群中的容器Pod，特指非Kubernetes自身系统组件的容器。 使用CoreDNS的业务Pod：容器内DNS服务器地址为CoreDNS的Service IP（查看容器/etc/resolv.conf文件得到的DNS服务器地址与CoreDNS的Service IP相同）。 使用NodeLocal DNSCache的业务Pod：集群中安装了NodeLocal DNSCache插件后，通过自动或手动方式注入DNSConfig的业务Pod。这类Pod在解析域名时，会优先访问本地缓存组件。在访问本地缓存组件不通或无DNS缓存记录时，会再次访问CoreDNS提供的kubedns服务。 异常诊断流程

3、创建工作负载 使用kubectl连接集群，创建示例yaml文件stsexample.yaml： plaintext apiVersion: "apps/v1" kind: "StatefulSet" metadata: name: "oceanfstest" namespace: "default" spec: podManagementPolicy: "OrderedReady" replicas: 1 revisionHistoryLimit: 10 template: spec: containers: image: "nginx:1.25alpine" imagePullPolicy: "IfNotPresent" name: "container1" resources: limits: cpu: "100m" memory: "256Mi" requests: cpu: "100m" memory: "256Mi" terminationMessagePath: "/dev/terminationlog" terminationMessagePolicy: "File" volumeMounts: mountPath: "/ccetmp" name: "volume1" dnsPolicy: "ClusterFirst" restartPolicy: "Always" schedulerName: "defaultscheduler" securityContext: {} terminationGracePeriodSeconds: 30 volumes: name: "volume1" persistentVolumeClaim: claimName: "cstorpvcoceanfssharepath" updateStrategy: rollingUpdate: partition: 0 type: "RollingUpdate" 执行以下命令，创建StatefulSet plaintext kubectl apply f stsexample.yaml 查看创建的有状态负载： 登录“云容器引擎”管理控制台，在集群列表页点击进入指定集群。进入主菜单“工作负载”——“有状态”，在列表查看。 验证数据持久化 登录“云容器引擎”管理控制台。 在集群列表页点击进入指定集群。 进入主菜单“工作负载”——“有状态”，进入负载详情。 在Pod列表页，选择“远程登录”，进入到容器内执行以下命令： 1、向/ccetmp 目录下写一个文件，执行 plaintext echo "Hello World" > /ccetmp/test.log 2、查看/ccetmp目录下文件，执行ls /ccetmp，预期结果如下: plaintext test.log 退出“远程登录”，对上一步中的Pod执行“销毁重建”，等待Pod重新运行正常； 对新建Pod，继续执行“远程登录”，进入到容器内查看数据。执行cat /ccetmp/test.log，预期结果如下： plaintext Hello World 以上步骤说明，pod删除重建后，重新挂载存储卷，数据仍然存在，说明海量文件服务中的数据可持久化保存。

本节介绍了: Pod内DNS解析异常的诊断流程、排查思路、常见解决方案和排查方法。 诊断流程的基本概念 集群内部域名：CoreDNS会将集群中的服务暴露为集群内部域名，默认以.cluster.local结尾，这类域名的解析通过CoreDNS内部缓存完成，不会从上游DNS服务器查询。 VPC、地域内部域名：在VPC、地域内DNS服务器中注册的天翼云各产品内部服务域名，默认以.cnspinternal.ctyun.cn结尾，这类域名通常与地域、VPC相关，由CoreDNS的上游DNS服务器负责解析，CoreDNS仅做解析请求转发。 公网域名：在第三方DNS服务商、天翼云DNS云解析等产品注册的权威解析，这类域名由CoreDNS的上游DNS服务器负责解析，CoreDNS仅做解析请求转发。 业务Pod：部署在Kubernetes集群中的容器Pod，特指非Kubernetes自身系统组件的容器。 使用CoreDNS的业务Pod：容器内DNS服务器地址为CoreDNS的Service IP（查看容器/etc/resolv.conf文件得到的DNS服务器地址与CoreDNS的Service IP相同）。 使用NodeLocal DNSCache的业务Pod：集群中安装了NodeLocal DNSCache插件后，通过自动或手动方式注入DNSConfig的业务Pod。这类Pod在解析域名时，会优先访问本地缓存组件。在访问本地缓存组件不通或无DNS缓存记录时，会再次访问CoreDNS提供的kubedns服务。 异常诊断流程

3、创建工作负载 使用kubectl连接集群，创建示例yaml文件stsexample.yaml： plaintext apiVersion: "apps/v1" kind: "StatefulSet" metadata: name: "oceanfsstest" namespace: "default" spec: podManagementPolicy: "OrderedReady" replicas: 1 revisionHistoryLimit: 10 serviceName: "" template: spec: containers: image: "nginx:1.25alpine" imagePullPolicy: "IfNotPresent" name: "container1" resources: limits: cpu: "100m" memory: "256Mi" requests: cpu: "100m" memory: "256Mi" terminationMessagePath: "/dev/terminationlog" terminationMessagePolicy: "File" volumeMounts: mountPath: "/ccetmp" name: "volume1" dnsPolicy: "ClusterFirst" restartPolicy: "Always" schedulerName: "defaultscheduler" securityContext: {} terminationGracePeriodSeconds: 30 volumes: name: "volume1" persistentVolumeClaim: claimName: {YOURPVCNAME} 替换为步骤2中的PVC名称 updateStrategy: rollingUpdate: partition: 0 type: "RollingUpdate" 执行以下命令，创建StatefulSet kubectl apply f stsexample.yaml 查看创建的有状态负载： 登录“云容器引擎”管理控制台，在集群列表页点击进入指定集群。进入主菜单“工作负载”——“有状态”，在列表查看。 验证数据持久化 登录“云容器引擎”管理控制台； 在集群列表页点击进入指定集群； 进入主菜单“工作负载”——“有状态”，进入负载详情； 在Pod列表页，选择“远程登录”，进入到容器内执行以下命令： 1、向/ccetmp 目录下写一个文件，执行echo "Hello World" > /ccetmp/test.log 2、查看/ccetmp目录下文件，执行ls /ccetmp，预期结果如下: plaintext test.log 退出“远程登录”，对上一步中的Pod执行“销毁重建”，等待Pod重新运行正常； 对新建Pod，继续执行“远程登录”，进入到容器内查看数据。执行cat /ccetmp/test.log，预期结果如下： plaintext Hello World 以上步骤说明，pod删除重建后，重新挂载存储卷，数据仍然存在， 说明数据可持久化保存。

3、创建工作负载 使用kubectl连接集群，创建示例yaml文件stsexample.yaml： plaintext apiVersion: "apps/v1" kind: "StatefulSet" metadata: name: "hpfstest" namespace: "default" spec: podManagementPolicy: "OrderedReady" replicas: 1 revisionHistoryLimit: 10 serviceName: "" template: spec: containers: image: "nginx:1.25alpine" imagePullPolicy: "IfNotPresent" name: "container1" resources: limits: cpu: "100m" memory: "256Mi" requests: cpu: "100m" memory: "256Mi" terminationMessagePath: "/dev/terminationlog" terminationMessagePolicy: "File" volumeMounts: mountPath: "/ccetmp" name: "volume1" dnsPolicy: "ClusterFirst" restartPolicy: "Always" schedulerName: "defaultscheduler" securityContext: {} terminationGracePeriodSeconds: 30 volumes: name: "volume1" persistentVolumeClaim: claimName: {YOURPVCNAME} 替换为步骤2中的PVC名称 updateStrategy: rollingUpdate: partition: 0 type: "RollingUpdate" 执行以下命令，创建StatefulSet plaintext kubectl apply f stsexample.yaml 查看创建的有状态负载：登录“云容器引擎”管理控制台；在集群列表页点击进入指定集群；进入主菜单“工作负载”——“有状态”，在列表查看。 验证数据持久化 登录“云容器引擎”管理控制台； 在集群列表页点击进入指定集群； 进入主菜单“工作负载”——“有状态”，进入负载详情； 在Pod列表页，选择“远程登录”，进入到容器内执行以下命令： 1、向/ccetmp 目录下写一个文件，执行echo "Hello World" > /ccetmp/test.log 2、查看/ccetmp目录下文件，执行ls /ccetmp，预期结果如下: plaintext test.log 退出“远程登录”，对上一步中的Pod执行“销毁重建”，等待Pod重新运行正常； 对新建Pod，继续执行“远程登录”，进入到容器内查看数据。执行cat /ccetmp/test.log，预期结果如下： plaintext Hello World 以上步骤说明，pod删除重建后，重新挂载存储卷，数据仍然存在， 说明数据可持久化保存。

参数 类型 描述 是否必须 mdm Array of mdm 元数据管理服务（仅集群版支持），详见“ 表4 请求参数mdm说明（仅集群版支持） ”。 否 ls Array of ls 日志服务（仅集群版支持），详见“ 表5 请求参数ls说明（仅集群版支持） ”。 否 cs Array of cs 协调服务（仅集群版支持），详见“ 表6 请求参数cs说明（仅集群版支持） ”。 否

本文主要介绍创建定时任务(CronJob) 。 操作场景 定时任务是按照指定时间周期运行的短任务。使用场景为在某个固定时间点，为所有运行中的节点做时间同步。 定时任务是基于时间的Job，就类似于Linux系统的crontab，在指定的时间周期运行指定的Job，即： 在给定时间点只运行一次。 在给定时间点周期性地运行。 CronJob的典型用法如下所示： 在给定的时间点调度Job运行。 创建周期性运行的Job，例如数据库备份、发送邮件。 前提条件 已创建资源，具体操作请参见创建节点。 通过控制台创建 步骤 1 登录CCE控制台。 步骤 2 单击集群名称进入集群，在左侧选择“工作负载”，在右上角单击“创建负载”。 步骤 3 配置工作负载的信息。 基本信息 负载类型：选择定时任务CronJob。工作负载类型的介绍请参见工作负载概述。 负载名称：填写工作负载的名称。 命名空间：选择工作负载的命名空间，默认为default。您可以单击后面的“创建命名空间”，命名空间的详细介绍请参见创建命名空间。 容器运行时：CCE集群默认使用普通运行时。 容器配置 容器信息 Pod中可以配置多个容器，您可以单击右侧“添加容器”为Pod配置多个容器。 基本信息：容器基本信息 生命周期：设置容器生命周期 环境变量：设置环境变量 容器日志：使用ICAgent采集容器日志 镜像访问凭证：用于访问镜像仓库的凭证，默认取值为defaultsecret，使用defaultsecret可访问SWR镜像仓库的镜像。defaultsecret详细说明请参见defaultsecret。 GPU显卡：默认为不限制。当集群中存在GPU节点时，工作负载实例可以调度到指定GPU显卡类型的节点上。

本章节介绍云容器集群节点网络包乱序故障演练。 背景介绍 在云容器引擎（CCE）集群中，由于多路径传输、网络插件策略或底层网络设备的差异，数据包可能不会按照其发送顺序到达目标节点。虽然 TCP 协议设计了重排序机制来处理这种情况，但严重的乱序仍然会增加接收端节点的CPU开销、导致有效吞吐量下降和应用层延时增加。本演练模拟节点级别的网络包乱序场景，帮助您评估应用协议的健壮性和系统在非理想网络条件下的性能表现。 基本原理 通过增加TC和Netem规则模拟Node内网络包乱序。 注意 只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的节点列表。 5. 在弹出的对话框中，单击添加节点。 6. 勾选您希望进行故障演练的一个或多个节点 ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。

本章节介绍云容器集群节点网络丢包故障演练。 背景介绍 网络拥塞、物理链路故障、设备缓冲区溢出或配置错误，都可能导致数据包在云容器引擎（CCE）集群的节点间或节点与外部服务间被丢弃。对于 TCP 连接，丢包会触发超时重传机制，导致通信延迟增加和有效吞吐量下降；对于 UDP 连接，丢包则意味着数据的永久丢失。本演练模拟节点级别的网络丢包场景，帮助您评估应用的容错能力、检验超时和重传策略的有效性，并验证监控告警的灵敏度。 基本原理 通过增加TC和Netem规则模拟Node内网络丢包。 注意 只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的节点列表。 5. 在弹出的对话框中，单击添加节点。 6. 勾选您希望进行故障演练的一个或多个节点 ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。

本章节介绍云容器集群节点网络包重复故障演练。 背景介绍 在云容器引擎（CCE）集群中，因配置错误、网络插件异常或协议缺陷，可能导致数据包被复制并多次送达目标节点。虽然 TCP 协议能够识别并丢弃重复的数据包，但这个过程会消耗额外的网络带宽和CPU资源。更严重的是，对于应用层协议，如果缺乏幂等性设计，重复的请求可能导致业务逻辑被错误地执行多次（如重复下单、重复扣款）。本演练模拟此场景，帮助您检验系统的处理能力和业务逻辑的幂等性。 基本原理 通过增加TC和Netem规则模拟Node内网络包重复。 注意 只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的节点列表。 5. 在弹出的对话框中，单击添加节点。 6. 勾选您希望进行故障演练的一个或多个节点 ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。

本章节介绍云容器集群节点网络丢包故障演练。 背景介绍 网络拥塞、物理链路故障、设备缓冲区溢出或配置错误，都可能导致数据包在云容器引擎（CCE）集群的节点间或节点与外部服务间被丢弃。对于 TCP 连接，丢包会触发超时重传机制，导致通信延迟增加和有效吞吐量下降；对于 UDP 连接，丢包则意味着数据的永久丢失。本演练模拟节点级别的网络丢包场景，帮助您评估应用的容错能力、检验超时和重传策略的有效性，并验证监控告警的灵敏度。 基本原理 通过增加TC和Netem规则模拟Node内网络丢包。 注意 只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的节点列表。 5. 在弹出的对话框中，单击添加节点。 6. 勾选您希望进行故障演练的一个或多个节点 ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。

应用防护管理 前提条件 已购买主机安全版本为旗舰版、网页防篡改版或容器版。 约束限制 当前只支持操作系统为Linux的服务器。 目前仅支持Java应用接入。 未开启旗舰版、网页防篡改版、容器版防护不支持应用防护相关操作。 查看检测报告 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、选择“主动防御 > 应用防护 > 防护设置”，进入“防护设置”页面。 4、单击目标服务器“操作”列的“查看报告”，查看目标服务器全量检测详情。 5、单击告警名称可查看目标告警的详细信息。 告警详情页可查看目标告警的取证信息（请求信息、攻击源IP等）和扩展信息（检测规则、检测探针等），可根据取证信息和扩展信息来排查问题、添加防护措施。 关闭应用防护 前提条件 已购买主机安全版本为旗舰版、网页防篡改版或容器版。 约束限制 当前只支持操作系统为Linux的服务器。 目前仅支持Java应用接入。 未开启旗舰版、网页防篡改版、容器版防护不支持应用防护相关操作。 操作步骤 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、选择“主动防御 > 应用防护”，进入“应用防护”页面。 4、单击目标服务器“微服务RASP防护”的图标或单击“操作”列的“关闭防护”。 5、在弹窗中确认正在关闭微服务RASP防护的服务器信息，确认无误，单击“确认”，完成防护关闭。 说明 sRASP防护关闭后，目标服务器会在“防护设置”页面进行自动删除，若需为其他服务器开启防护，可按照开启应用防护操作步骤为其他服务器开启防护。

本文介绍弹性容器实例ECI的功能特性。 容器运行服务 弹性容器实例是一种敏捷安全的Serverless容器运行服务。每个ECI实例都对应一个容器组（即一个Pod），其中包含vCPU、内存、操作系统、容器运行时、网络和临时存储等基础组件。 Serverless 使用ECI实例，您只需要提供打包好的镜像，即可运行容器应用，无需关注底层基础架构的管理和运维问题。 自定义规格 ECI实例支持多种类型的计算资源来运行容器，您可以指定实例级别或容器级别的vCPU和内存，以及指定规格满足特殊业务需求。 按量计费 支持一站式管理ECI实例的生命周期，按照实际实例运行时长内消耗的资源计费。 秒级弹性伸缩 ECI实例具备秒级启动的能力，可以快速完成扩缩容操作，满足业务实时响应的需求。 镜像缓存 支持使用镜像缓存功能来加速ECI实例创建，减少实例启动耗时。 兼容Kubernetes 通过 Virtual Kubelet 技术，弹性容器实例ECI 可以接入 Kubernetes 集群的虚拟节点，实现集群的弹性扩容，无需受限于节点的计算容量。在 ECI 接管 Pod 容器底层基础设施管理工作之后，Kubernetes 将不再需要直接管理单个 Pod 的启动、放置等工作，也不再需要关注底层虚拟机的资源情况，相应的资源将由 ECI 确保随时可用。 目前，ECI 已无缝集成到Serverless容器引擎SCE产品中，您可以通过Serverless容器集群快速体验ECI的强大容器运行能力。

操作场景 云容器引擎（CCE）提供多种类型的容器部署和管理能力，支持对容器工作负载的部署、配置、监控、扩容、升级、卸载、服务发现及负载均衡等特性。 其中守护进程集（DaemonSet）可以确保全部（或者某些）节点上仅运行一个Pod实例，当有节点加入集群时，也会为他们新增一个 Pod。当有节点从集群移除时，这些Pod也会被回收。删除 DaemonSet 将会删除它创建的所有Pod。 使用DaemonSet的一些典型用法： 运行集群存储daemon，例如在每个节点上运行glusterd、ceph。 在每个节点上运行日志收集daemon，例如fluentd、logstash。 在每个节点上运行监控daemon，例如Prometheus Node Exporter、collectd、Datadog代理、New Relic代理，或Ganglia gmond。 一种简单的用法是为每种类型的守护进程在所有的节点上都启动一个DaemonSet。一个稍微复杂的用法是为同一种守护进程部署多个DaemonSet；每个具有不同的标志， 并且对不同硬件类型具有不同的内存、CPU要求。 前提条件 在创建守护进程集前，您需要存在一个可用集群。若没有可用集群 ，请参照购买混合集群中内容创建。 操作步骤 步骤 1 登录CCE管理控制台。 步骤 2 在左侧导航栏中选择“工作负载 > 守护进程集 DaemonSet”，单击页面右上角的“创建守护进程集”。参照下表设置基本信息，其中带“”标志的参数为必填参数。 工作负载基本信息 参数 参数说明 工作负载名称 新建工作负载的名称，命名必须唯一。 请输入4到63个字符的字符串，可以包含小写英文字母、数字和中划线（），并以小写英文字母开头，小写英文字母或数字结尾。 集群名称 新建工作负载所在的集群。 命名空间 在单集群中，不同命名空间中的数据彼此隔离。使应用可以共享同个集群的服务，也能够互不干扰。若您不设置命名空间，系统会默认使用default命名空间。 时区同步 单击开启后，容器将和节点使用相同时区。 须知 时区同步功能开启后，在“数据存储 > 本地磁盘”中，将会自动添加HostPath类型的磁盘，请勿修改删除该磁盘。 工作负载描述 工作负载描述信息。 步骤 3 单击“下一步：容器设置”，添加容器。 1. 单击“添加容器”，选择需要部署的镜像。 − 我的镜像：展示了您创建的所有镜像仓库。 − 第三方镜像：CCE支持拉取第三方镜像仓库（即镜像仓库之外的镜像仓库）的镜像创建工作负载。使用第三方镜像时，请确保工作负载运行的节点可访问公网。第三方镜像的具体使用方法请参见如何使用第三方镜像。 若您的镜像仓库不需要认证，密钥认证请选择“否”，并输入“镜像名称”，单击“确定”。 若您的镜像仓库都必须经过认证（帐号密码）才能访问，您需要先创建密钥再使用第三方镜像，具体操作请参见如何使用第三方镜像。 − 共享镜像：其它租户通过“容器镜像服务”共享给您的镜像将在此处展示，您可以基于共享镜像创建工作负载。 2. 配置镜像基本信息。 工作负载是Kubernetes对一组Pod的抽象模型，用于描述业务的运行载体，一个Pod可以封装1个或多个容器，您可以单击右上方的“添加容器”，添加多个容器镜像并分别进行设置。 镜像参数说明 参数 说明 镜像名称 导入的镜像，您可单击“更换镜像”进行更换。 镜像版本 选择需要部署的镜像版本。 容器名称 容器的名称，可修改。 特权容器 特权容器是指容器里面的程序具有一定的特权。 若选中，容器将获得超级权限，例如可以操作宿主机上面的网络设备、修改内核参数等。 容器规格 CPU 配额： 申请：容器需要使用的最小CPU值，默认0.25Core。 限制：允许容器使用的CPU最大值。建议设容器配额的最高限额，避免容器资源超额导致系统故障。 内存配额： 申请：容器需要使用的内存最小值，默认512MiB。 限制：允许容器使用的内存最大值。如果超过，容器会被终止。 申请和限制的具体请参见设置容器规格。 GPU 配额：当集群中包含GPU节点时，才能设置GPU，无GPU节点不显示此选项。 容器需要使用的GPU百分比。勾选“使用”并设置百分比，例如设置为10%，表示该容器需使用GPU资源的10%。若不勾选“使用”，或设置为0，则无法使用GPU资源。 GPU 显卡：工作负载实例将被调度到GPU显卡类型为指定显卡的节点上。 若勾选“不限制”，容器将会随机使用节点中的任一显卡。您也可以勾选某个显卡，容器将使用特定显卡。 3. 生命周期： 用于设置容器启动和运行时需要执行的命令。 − 启动命令：设置容器启动时执行的命令，具体请参见设置容器启动命令。 − 启动后处理：设置容器成功运行后执行的命令，详细配置方法请参见设置容器生命周期。 − 停止前处理：设置容器结束前执行的命令，通常用于删除日志/临时文件等，详细配置方法请参见设置容器生命周期。 4. 健康检查：CCE提供了存活与业务两种探针，用于判断容器和用户业务是否正常运行。详细配置方法请参见设置容器健康检查。 − 工作负载存活探针：检查容器是否正常，不正常则重启实例。 − 工作负载业务探针：检查用户业务是否就绪，不就绪则不转发流量到当前实例。 5. 环境变量：在容器中添加环境变量，一般用于通过环境变量设置参数。 在“环境变量”页签，单击“添加环境变量”，当前支持三种类型： − 手动添加：输入变量名称、变量/变量引用。 − 密钥导入：输入变量名称，选择导入的密钥名称和数据。您需要提前创建密钥，具体请参见创建密钥。 − 配置项导入：输入变量名称，选择导入的配置项名称和数据。您需要提前创建配置项，具体请参见创建配置项。 说明： 对于已设置的环境变量，单击环境变量后的“编辑”，可对该环境变量进行编辑。单击环境变量后的“删除”，可删除该环境变量。 6. 数据存储：给容器挂载数据存储，支持本地磁盘和云存储，适用于需持久化存储、高磁盘IO等场景。具体请参见存储管理。 7. 安全设置：对容器权限进行设置，保护系统和其他容器不受其影响。 请输入用户ID，容器将以当前用户权限运行。 8. 容器日志：设置容器日志采集策略、配置日志目录。用于收集容器日志便于统一管理和分析。详细配置请参见采集容器标准输出日志、采集容器内路径日志。 步骤 4 单击“下一步：工作负载访问设置”，单击“添加服务”，设置工作负载访问方式。 若工作负载需要和其它服务互访，或需要被公网访问，您需要添加服务，设置工作负载访问方式。 工作负载访问的方式决定了这个工作负载的网络属性，不同访问方式的工作负载可以提供不同网络能力，具体请参见网络概述。 步骤 5 单击“下一步：高级设置”，配置更多高级策略。 升级策略： − 升级方式：支持“滚动升级”。滚动升级将逐步用新版本的实例替换旧版本的实例，升级的过程中，业务流量会同时负载均衡分布到新老的实例上，因此业务不会中断。 − 最大无效实例数：每次滚动升级允许的最大无效实例数，如果等于实例数有断服风险（最小存活实例数 实例数 最大无效实例数）。 缩容策略： 缩容时间窗：请输入时间。为工作负载删除提供一个时间窗，预留给生命周期中PreStop阶段执行命令。若超过此时间窗，进程仍未停止，该工作负载将被强制删除。 调度策略：您可以根据需要自由组合静态的全局调度策略或动态的运行时调度策略来实现自己的需求。具体请参见调度策略概述。 Pod 高级设置 − Pod标签：内置app标签在工作负载创建时指定，主要用于设置亲和性与反亲和性调度，暂不支持修改。您可以单击下方的“添加标签”增加标签。 客户端DNS 配置：CCE集群内置DNS插件CoreDNS，为集群内的工作负载提供域名解析服务。详细使用方法请参见Kubernetes集群内置DNS配置说明。 − DNS策略： 追加域名解析配置：选择该配置后，将保留默认配置，以下“IP地址”和“搜索域”配置可能不生效。 替换域名解析配置：选择该配置后，将仅使用以下“IP地址”和“搜索域”配置进行域名解析。 继承Pod所在节点域名解析配置：将继承Pod所在节点的域名解析配置。 − IP地址：您可对自定义的域名配置域名服务器，值为一个或一组DNS IP地址，如“1.2.3.4”。 − 搜索域：定义域名的搜索域列表，当访问的域名不能被DNS解析时，会把该域名与搜索域列表中的域依次进行组合，并重新向DNS发起请求，直到域名被正确解析或者尝试完搜索域列表为止。 − 超时时间（s）：查询超时时间，请自定义。 − ndots：表示域名中必须出现的“.”的个数，如果域名中的“.”的个数不小于ndots，则该域名为一个FQDN，操作系统会直接查询；如果域名中的“.”的个数小于ndots，操作系统会在搜索域中进行查询。 自定义指标监控：是指监控系统提供的一种指标收集机制，该机制允许工作负载在部署时自定义需要上报的指标名称以及获取这些指标数据的接入点信息，在应用运行时由监控系统按固定的频率访问接入点进行指标的收集。 性能管理配置：性能管理服务可协助您快速进行工作负载的问题定位与性能瓶颈分析。 步骤 6 配置完成后，单击“创建”，在创建成功页面单击“返回工作负载列表”，查看工作负载状态。 在工作负载列表中，当工作负载状态为“运行中”时，表示工作负载创建成功。工作负载状态不会实时更新，请单击右上角的图标或按F5刷新页面查看。

本文主要介绍在连接器异常时如何进行排查。 一、Docker连接器异常 1、建议升级到最新连接器版本 登录边缘安全加速控制台，选择零信任服务工作台，在连接器管理页面，选择连接器实例，点击【待升级】进行升级： ※立即升级：将自动升级，升级时间1分钟左右。 ※命令安装：根据提供的安装步骤，在连接器所在宿主机上执行命令操作。 2、排查容器及宿主机的网络连通性 （1）检查连接器所在宿主机与零信任控制中心网络连通情况：按照下述命令执行，若状态码响应400，则说明连通性正常。否则，请检查宿主机的网络设置情况。 执行以下curl指令或者wget指令： curl vo /dev/null 控制中心域名 wget O /dev/null 控制中心域名 （2）检查连接器所在容器与零信任控制中心网络连通情况：按照下述命令执行，若状态码响应400，则说明连通性正常。否则，请检查宿主机的网络设置情况。 获取连接器所在容器的容器名称： docker ps format "{{.Names}}" grep "secconnector" 如下示例就是容器名称 测试网络连通性，执行curl或者wget命令测试，将 secconnector容器名称替换为如上步骤获取的容器名称： docker exec it secconnector容器名称 curl vo /dev/null 控制中心域名 docker exec it secconnector容器名称 wget O /dev/null 控制中心域名 二、Redhat/Debian连接器异常 注意 以下问题排查方式主要针对redhat连接器1.20、debian连接器1.21及以上版本

本文主要介绍节点须知。 简介 节点是容器集群组成的基本元素。节点取决于业务，既可以是虚拟机，也可以是物理机。每个节点都包含运行Pod所需要的基本组件，包括Kubelet、Kubeproxy 、Container Runtime等。 说明 CCE创建的Kubernetes集群包含master节点和node节点，本章讲述的节点特指 node节点 ，node节点是集群的计算节点，即运行容器化应用的节点。 在云容器引擎CCE中，主要采用高性能的弹性云主机ECS或物理机BMS作为节点来构建高可用的Kubernetes集群。 支持的节点规格 不同区域支持的节点规格（flavor）不同，且节点规格存在新增、售罄下线等情况，建议您在使用前登录CCE控制台，在创建节点界面查看您需要的节点规格是否支持。 Docker容器底层文件存储系统说明 1.15.6及之前集群版本docker底层文件存储系统采用xfs格式。 1.15.11及之后版本集群新建节点或重置后docker底层文件存储系统全部采用ext4格式。 对于之前使用xfs格式容器应用，需要注意底层文件存储格式变动影响（不同文件系统格式文件排序存在差异：如部分java应用引用某个jar包，但目录中存在多个版本该jar包，在不指定版本时实际引用包由系统文件排序决定）。 查看当前节点使用的docker底层存储文件格式可采用docker info grep "Backing Filesystem"确认。 节点paas用户/用户组说明 在CCE集群中创建节点时，默认会在节点上创建paas用户/用户组。节点上的CCE组件和CCE插件在非必要时会以非root用户（paas用户/用户组）运行，以实现运行权限最小化，如果修改paas用户/用户组可能会影响节点上CCE组件和业务Pod正常运行。 注意 CCE组件正常运行依赖paas用户/用户组，您需要注意以下几点要求： 请勿自行修改节点内目录权限、容器目录权限等。 请勿自行修改paas用户/用户组的GID和UID。 请勿在业务中直接使用paas用户/用户组设置业务文件的所属用户和组。

本节介绍智算套件定义。 产品定义 智算套件是利用云原生架构和技术，在云容器引擎上快速定制化构建AI生产系统，帮助用户基于 Kubernetes 充分利用天翼云上弹性算力，支持弹性训练与推理等场景。 产品介绍 套件名称 套件说明 驱动管理 为GPU云主机或物理机的算力调度提供硬件驱动。 模型预热 将模型从对象存储预热到本地盘，大幅提升模型部署效率。 智算套件控制面引擎 提供高可用控制面，管理智算套件控制台正常运行。 故障诊断 为集群提供集群巡检、故障诊断等能力。 网络 为集群容器提供使用RDMA网络的能力，包括IB和RoCE。 弹性数据集 支持数据集版本管理，提供弹性加载能力。 弹性训练 为集群提供AI任务接入，兼容主流AI框架和工具，包括TensorFlow、PyTorch、Horovod、Spark等。 GPU安全容器 支持Kata安全容器运行时，满足业务高安全需求。 智能调度 为集群提供智能任务调度策略，可支持Gang、Capacity、Binpack/Spread和Queue等智能调度。 监控 为集群提供硬件监控能力，可采集GPU/NPU，显存等，支持可视化查看GPU的分配、使用和健康状态。

参数 说明 ClusterFirst（默认值） 应用对接CoreDNS（CCE集群的CoreDNS默认级联云上DNS）。这种场景下，容器既能够解析service注册的集群内部域名，也能够解析发布到互联网上的外部域名。由于该配置下，域名解析文件设置了search搜索域列表和ndots: 5，因此当访问外部域名和集群内部长域名（如kubernetes.default.svc.cluster.local）时，大部分域名都会优先遍历search搜索域列表，导致至少有6次无效的DNS查询，只有访问集群内部短域名（如kubernetes）时，才不存在无效的DNS查询。 ClusterFirstWithHostNet 对于配置主机网络的应用，即设置hostNetwork字段为true时，默认对接kubelet的“resolvconf”参数指向的域名解析文件（CCE集群在该配置下对接云上DNS）。如需对接集群的KubeDNS/CoreDNS，dnsPolicy字段需设置为ClusterFirstWithHostNet，此时容器的域名解析文件配置与“ClusterFirst”一致，也存在无效的DNS查询。 ... spec: containers: image: nginx:latest imagePullPolicy: IfNotPresent name: container1 restartPolicy: Always hostNetwork: true dnsPolicy: ClusterFirstWithHostNet Default 容器的域名解析文件使用kubelet的“resolvconf”参数指向的域名解析文件（CCE集群在该配置下对接云上DNS），没有配置search搜索域列表和options。该配置只能解析注册到互联网上的外部域名，无法解析集群内部域名，且不存在无效的DNS查询。 None 设置为None之后，必须设置dnsConfig字段，此时容器的域名解析文件将完全通过dnsConfig的配置来生成。

本文主要介绍CCE容器存储（everest）插件。 插件简介 CCE容器存储（everest）是一个云原生容器存储系统，基于CSI（即Container Storage Interface）为Kubernetes v1.15.6及以上版本集群对接云存储服务的能力。 该插件为系统资源插件，kubernetes 1.15及以上版本的集群在创建时默认安装。 约束与限制 集群版本由v1.13升级到v1.15后，v1.13版本集群中的Flexvolume容器存储插件（storagedriver）能力将由v1.15的CSI插件（Everest，插件版本v1.1.6及以上）接管，接管后原有功能保持不变。 插件版本为1.2.0的Everest优化了使用OBS存储时的 密钥认证功能 ，低于该版本的Everest插件在升级完成后，需要重启集群中使用OBS存储的全部工作负载，否则工作负载使用存储的能力将受影响！ v1.15及以上版本的集群默认安装本插件，v1.13及以下版本集群创建时默认安装storagedriver插件。 安装插件 本插件为系统默认安装，若因特殊情况卸载后，可参照如下步骤重新安装。 步骤 1 登录CCE控制台，单击集群名称进入集群，单击左侧导航栏的“插件管理”，在右侧找到 everest ，单击“安装”。 步骤 2 该插件可配置“单实例”、“高可用”或自定义规格。 Everest插件包含以下容器，您可根据需求自定义调整规格： everestcsicontroller：由Deployment形式部署，Pod中含有一个everestcsicontroller容器，此容器负责存储卷的创建、删除、快照、扩容、attach/detach等功能。若集群版本大于等于1.19，everestcsidriver组件的Pod还会默认带有一个everestlocalvolumemanager容器，此容器负责管理节点上的lvm存储池及localpv的创建。 说明 选择自定义规格时，everestcsicontroller内存配置推荐如下。 Pod和PVC的数量均小于2000时，everestcsicontroller的内存上限推荐配置为600Mi。 Pod和PVC的数量均小于5000时，everestcsicontroller的内存上限推荐配置为1Gi。 everestcsidriver：由DaemonSet形式部署，Pod中含有一个基本容器everestcsidriver容器，负责PV的挂载、卸载、文件系统resize等功能。若集群所在区域支持nodeattacher，everestcsidriver组件的Pod还会带有一个everestnodeattacher的容器，此容器负责分布式attach EVS，该配置项在部分Region开放。 说明 选择自定义规格时，everestcsidriver内存限制推荐配置不低于300Mi。若该值太小可能导致插件实例容器启动异常，从而导致插件不可用的情况。 步骤 3 参数配置。 everest 1.2.26以上版本针对大批量挂EVS卷的性能做了优化，提供了如下3个参数供用户配置。 csiattacherworkerthreads：everest插件中同时处理挂EVS卷的worker数，默认值为“60”。 csiattacherdetachworkerthreads：everest插件中同时处理卸载EVS卷的worker数，默认值均为“60”。 volumeattachingflowctrl：everest插件在1分钟内可以挂载EVS卷的最大数量，此参数的默认值“0”表示everest插件不做挂卷限制，此时挂卷性能由底层存储资源决定。 上述三个参数由于存在关联性且与集群所在局点的底层存储资源限制有关，当您对大批量挂卷的性能有要求（大于500EVS卷/分钟）时，请联系后台工程师，在指导下进行配置，否则可能会因为参数配置不合理导致出现everest插件运行不正常的情况。 步骤 4 单击“安装”。 版本记录 CCE插件版本记录 插件版本 支持的集群版本 :: 1.3.28 /v1.(192123)./ 1.3.22 /v1.(192123)./ 1.3.20 /v1.(192123)./ 1.3.17 /v1.(192123)./ 1.3.8 /v1.23./ 1.3.6 /v1.23./ 1.2.55 /v1.(15171921)./ 1.2.53 /v1.(15171921)./ 1.2.51 /v1.(15171921)./ 1.2.44 /v1.(15171921)./ 1.2.42 /v1.(15171921)./ 1.2.30 /v1.(15171921)./ 1.2.28 /v1.(15171921)./ 1.2.27 /v1.(15171921)./ 1.2.13 /v1.(151719)./ 1.2.9 /v1.(151719)./ 1.2.5 /v1.(151719)./ 1.1.12 /v1.(1517)./ 1.1.11 /v1.(1517)./ 1.1.8 /v1.(1517)./ 1.1.7 /v1.(1517)./

本章节介绍如何管理服务来源 概述 云原生网关无缝对接天翼云注册配置中心和云容器引擎，通过服务发现模块监听服务来源，动态感知后端服务。整体架构如下： 创建云容器引擎服务来源 云原生网关支持云容器引擎作为服务来源，本文介绍添加云容器引擎作为服务来源。 1. 进入微服务引擎MSE控制台 2. 在顶部菜单栏选择资源池 3. 单击左侧导航栏云原生网关 > 网关列表 4. 您可以在网关列表页单击需要查看的网关实例ID或者 实例名称 ，也可以单击操作列中的管理按钮 5. 单击左侧导航栏 服务来源 6. 单击左上角按钮 创建来源 7. 在弹出的页面中，来源类型选择容器服务；在容器集群下拉列表中选择要添加的集群（当前仅支持添加与网关实例同VPC内的容器集群） 8. 根据需要勾选是否监听K8s Ingress选项并配置监听命名空间的标签，详细参考Ingress管理章节 创建注册配置中心服务来源 云原生网关支持MSE注册配置中心作为服务来源，本文介绍添加注册配置中心作为服务来源。 1. 进入微服务引擎MSE控制台 2. 在顶部菜单栏选择资源池 3. 单击左侧导航栏云原生网关 > 网关列表 4. 您可以在网关列表页单击需要查看的网关实例ID或者 实例名称 ，也可以单击操作列中的管理按钮 5. 单击左侧导航栏 服务来源 6. 单击左上角按钮 创建来源 7. 在弹出的页面中，来源类型选择MSE Nacos（当前仅支持Nacos引擎）；在集群下拉列表中选择要添加的集群（当前仅支持添加与网关实例同VPC内的集群）

本文介绍如何设置应用访问策略。 在实际环境中，对服务的访问会有两种来源：集群内部的程序、集群外部。云容器引擎提供ClusterIP和Nodeport两种访问方式。 操作步骤 1.进入应用创建流程中的【添加服务】步骤>点击【添加服务】，填写相应的配置参数，配置服务参数说明如下： 参数 参数说明 服务名称 新建服务的名称 服务协议簇 分为IPv4与IPv6两种类型的服务协议簇 访问方式 “集群内访问 ( ClusterIP )”、“节点访问（Nodeport）” 协议 TCP/UDP 容器端口 容器中应用启动监听的端口 访问端口 映射到容器的应用端口 NodePort 节点上 2.单击【确认】，完成服务的创建。

本章节介绍云容器集群节点进程挂起故障演练。 背景介绍 在云容器引擎（CCE）环境中，有时进程并不会被直接终止，而是因系统调试、资源冻结或异常信号而进入挂起状态。这同样会导致其提供的服务中断，并且比直接终止更隐蔽，因为它不会释放占用的内存等资源。本演练模拟节点上的任意进程被挂起的场景，帮助您检验 Kubernetes 的健康检查能否发现这种假死状态，并评估业务系统对服务无响应的容错能力。 基本原理 通过kill STOP挂起节点上的指定进程。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的节点列表。 5. 在弹出的对话框中，单击添加节点。 6. 勾选您希望进行故障演练的一个或多个节点 ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。

本章节介绍云容器集群节点进程挂起故障演练。 背景介绍 在云容器引擎（CCE）环境中，有时进程并不会被直接终止，而是因系统调试、资源冻结或异常信号而进入挂起状态。这同样会导致其提供的服务中断，并且比直接终止更隐蔽，因为它不会释放占用的内存等资源。本演练模拟节点上的任意进程被挂起的场景，帮助您检验 Kubernetes 的健康检查能否发现这种假死状态，并评估业务系统对服务无响应的容错能力。 基本原理 通过kill STOP挂起节点上的指定进程。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的节点列表。 5. 在弹出的对话框中，单击添加节点。 6. 勾选您希望进行故障演练的一个或多个节点 ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。

本章节介绍应用服务网格CSM应用场景 应用服务网格CSM主要适用于微服务架构下的流量治理、安全治理和可观测场景，常用场景如下： 多语言微服务统一治理 应用服务网格（CSM）采用无侵入式的sidecar模式，提供了与语言无关的服务治理能力，无需修改业务代码即可实现对多语言应用的灰度发布、熔断限流、标签路由、全链路灰度等治理能力。 解决问题： 服务治理能力与业务代码耦合问题，业务无需关注非业务的技术问题，提高业务迭代效率。 企业内部多语言业务互通问题，服务网格通过sidecar和统一控制面，屏蔽了语言和框架的差异，使得多语言框架应用之间的通信就像语言框架内部的通信一样简单。 多集群统一服务治理 应用服务网格（CSM）采用主从集群模式，主集群（云容器引擎）作为控制面部署集群，支持对多个从集群（云容器引擎）实行统一纳管，对多个云容器引擎集群上的服务进行统一治理。 解决问题： 服务扩展问题：随着业务的发展，业务通过单个容器集群难以支撑时，CSM服务网格可以在一个网格实例下实现对多个容器集群的统一治理。 容灾问题：基于多集群和服务标签，通过服务网格的路由能力可以实现业务的多活容灾。

为了更好的采集体验，LTS会不断更新ICAgent版本。当系统提示您有新的ICAgent版本时，您可以按照如下操作步骤进行升级。 云日志服务主机管理界面仅支持升级安装在Linux环境中ICAgent，不支持升级Windows环境中的ICAgent。 操作步骤 1. 在云日志服务管理控制台，单击“主机管理”。 2. 单击“主机”切换至主机页签。 3. 选择“普通主机”，在主机列表中选中一个或多个待升级ICAgent前的复选框，单击“升级ICAgent”。 选择“CCE集群”，在右侧下拉框中，选择待升级ICAgent的集群，单击“升级ICAgent”。 说明 首次创建的CCE集群，默认集群下的主机已安装了ICAgent 且上报日志到AOM，采集容器标准输出到AOM的开关处于开启状态；如需将日志上报至LTS则执行升级ICAgent操作时，关闭采集容器标准输出到AOM的开关。建议使用“接入日志 > 云服务接入 > 云容器引擎CCE”直接采集容器标准输出到LTS，不推荐采集到AOM。 CCE集群ID（ClusterID）： 每个集群为固定的ID。 升级ICAgent时，LTS将为您的CCE集群创建对应的日志组和主机组。且该日志组和主机组的名称为k8slog{ClusterID}。您可以创建接入配置（云服务接入>云容器引擎CCE）将当前CCE集群的日志接入到该日志组。 当集群里的主机未安装ICAgent或ICAgent版本过低时，单击“升级ICAgent”操作，可对该集群里的所有主机安装ICAgent。 4. 在“升级ICAgent”对话框中单击“确定”。 ICAgent开始升级，升级ICAgent预计需要1分钟左右，请耐心等待。待ICAgent的状态由“升级中”变为“运行”时，表示升级成功。 说明 如果升级后，界面显示ICAgent状态异常或者其它升级失败场景，请直接登录节点使用安装命令重新安装ICAgent即可（覆盖式安装，无需卸载操作）。

本节介绍智算资源监控。 GPU 资源监控面板能够帮助您从不同的维度（比如：集群、节点、训练任务等）监控集群的GPU资源使用情况，以及集群的各命名空间下的资源配额使用情况。 前提条件 已开通智算容器集群 监控安装 1. 登录 “云容器引擎” 控制台，在左侧导航栏选择 “集群”。 2. 在“集群”页面显示的集群列表中，单击目标集群名称，然后在左侧导航栏，选择 “智算套件”。 3. 安装监控组件，等待安装完成。 监控面板 从“运维管理” “监控” 可打开监控面板页面，提供了 GPU/NPU 多维监控能力。 GPU监控 NPU监控