标准资费 根据开通实例时选购的版本、节点数量、购买时长生成预付费账单。 说明 如下费用仅为WAF独享版实例的费用。 在“二类节点”区域（WAF独享版支持的区域请参见支持的区域）购买WAF独享版实例时，还需要同时购买实例所依赖的基础资源（包括弹性云主机、弹性IP等），基础资源与实例一起计费，统一下单。相关基础资源的价格请以对应产品的实际定价为准，详细说明请参见云主机计费说明、弹性IP计费说明。 计费项 标准资费 计费单位 独享模式单机版（200M） 2837 元/月 独享模式集群版（1G） 11348 元/月 独享模式集群版扩展节点 2837 元/节点/月 独享模式带宽扩展包 500 元/50M/月 独享模式域名扩展包 500 元/个/月 关于不同版本的规格参数，请参见产品规格。 资源扩展包规格说明 扩展包 规格 数量限制 域名扩展包 1个域名扩展包支持10个域名或IP。 最大支持1000个域名扩展包。 带宽扩展包 1个带宽扩展包包含1000QPS业务请求峰值、50Mbps业务带宽。 单机版：最多支持16个带宽扩展包。 集群版：带宽扩展包的数量上限与节点数量相关联，每增加一个节点，带宽扩展包的上限数量增加20个。 例如，当集群包含4个节点时，最多支持配置20个带宽扩展包；而节点数量最多12个，则最多支持配置180个带宽扩展包。

适用场景 纯缓存类场景 可将频繁访问的热点数据存储在Redis集群内存中，以加快数据读取速度。但由于每个数据分片均为单节点的部署架构，当节点故障业务自动切换完成后，数据将会丢失，不具备数据可靠性。若对数据可靠性有较高要求，建议采用集群版主备。 吞吐密集型应用场景 针对吞吐密集型的场景，Redis集群通过分布式架构、水平扩展、并行处理等特性，能够满足吞吐密集型应用场景对高性能和高并发的需求。 QPS压力较大的场景 Redis集群版采用多节点部署，突破Redis单线程的性能瓶颈，可较好支撑QPS较大的场景。 对Redis协议不敏感的应用场景 由于集群版架构引入了多个组件，相比标准版实例，对Redis协议的支持上有一定限制，因此不适用于对Redis协议兼容性要求较高的场景。

本文介绍在源站IP暴露的情况下,如何设置保护源站。 适用场景 场景1：如果您的源站服务器部署了防火墙，并且部署了访问控制策略，您必须在源站访问控制策略里为Aone安全与加速边缘云节点添加白名单，放行边缘云节点IP，避免由边缘安全加速平台安全与加速服务转发回源的请求被误拦截，影响网站正常访问。 场景2：为了防止攻击者获取您的源站IP直接攻击源站，您可以设置源站服务器的访问控制策略，只放行边缘云节点回源IP段的入方向流量。 前提条件 已经订购边缘安全加速平台安全与加速服务基础版及以上套餐版本，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 配置回源IP方案 1.登录边缘安全加速平台控制台。 2.在工具回源IP管理中，单击【配置回源IP方案】，完成配置后，可在控制台查看回源IP段。 注意 1、如果您首次配置，请先到通知渠道页面编辑通知方式，然后再点击【配置回源IP方案】按钮。如果您有特殊的需求，可 2、创建时每个域名的任务会单独发送一次通知；后续回源IP列表更新时，所有启用的域名任务会合并结果后发送通知。 提示：控制台的回源ip管理配置不会覆盖后台客服人员配置的任务，如果您发现收到重复的通知，可提交工单联系我们进行确认。

本节介绍了通过自定义域名访问集群的用户指南。 前提条件 已经创建了一个天翼云账号，并且有一个已经创建好的云容器引擎集群。 集群中已经部署了应用服务，并且可以通过Cluster IP或NodePort进行访问。 已经拥有一个域名，并可以对其进行DNS配置。 创建Ingress Controller 登录云容器引擎控制台，单击集群名称进入集群。 在左侧导航栏中找到网络，下拉找到路由，点击路由，点击左上角创建路由。 创建Ingress Controller。 安装完成后，可以使用kubectl命令查看Ingress Controller的服务： plaintext kubectl get services n ingressnginx 确保ingressnginxcontroller服务已经创建并在运行。 创建Ingress资源 编写Ingress资源配置文件 创建一个新的YAML文件，例如myingress.yaml，内容如下： plaintext apiVersion: networking.k8s.io/v1 kind: Ingress metadata: name: myingress namespace: default spec: rules: host: http: paths: path: / pathType: Prefix backend: service: name: port: number: 替换 为您的自定义域名， 为您的Kubernetes服务名称， 为服务的端口号。 应用Ingress资源 使用kubectl应用刚才创建的Ingress资源文件： plaintext kubectl apply f myingress.yaml 验证Ingress资源是否已创建： plaintext kubectl get ingress 配置自定义域名的DNS记录 获取Ingress Controller的外部IP 使用以下命令获取Ingress Controller的外部IP： plaintext kubectl get services n ingressnginx 记录ingressnginxcontroller服务的EXTERNALIP。

网络管理 集群安全组规则配置 如何修复出现故障的容器网卡？ 为什么容器无法连接互联网？

本文介绍云容器引擎的续订处理。 续订支持以月为单位续订，也支持以年为单位续订，用户最多可续订11个月或1年的集群。 操作步骤 1.点击导航栏【资源管理】>【集群管理】，进入集群管理列表界面； 2.找到想要退订的集群列，点击【更多】>【续订】，进入集群续订界面； 3.依照页面提示，选择续订时长，并支付订单，实现集群续订。

本章节介绍如何访问服务网格CRD资源 服务网格通过K8s CRD（Custom Resource Definition）实现网格治理规则配置能力，当前服务网格的治理规则CRD全部配置在控制面所在的集群，您可以通过是要kubectl命令行工具操作控制面集群实现CRD配置。 步骤 1. 选择一台可以连接到服务网格控制面部署所在的容器集群API Server的机器，比如跟控制面集群在同VPC下的虚拟机，如果您的API Server通过公网ELB暴露了地址，您也可以通过其他可以通过公网连到控制面集群的机器访问API Server 2. 到K8s官网下载和安装kubectl命令行工具，具体根据所选择的连接API Server的客户端机器的系统以及目标集群的版本下载对应版本的kubectl 3. 登录云容器引擎控制台，选择要连接的集群，查看连接信息，可以看到对应集群的KubeConfig配置，选择公网或者私网的KubeConfig，按照提示保存到本地 4. 执行命令验证 plaintext kubectl get vs A NAMESPACE NAME GATEWAYS HOSTS AGE istiosystem istiodvs ["istiodgateway"] [""] 25d

此小节介绍企业主机安全文件完整性管理。 查看文件完整性管理 约束限制 未开启旗舰版、网页防篡改版、容器版防护不支持文件完整性相关操作。 操作步骤 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、选择“主动防御 > 文件完整性管理”，进入文件管理界面，选择“云服务器”和“变更文件”页签可查看对应的变更详情。 进入文件管理 查看云服务器变更详情 约束限制 未开启旗舰版、网页防篡改版、容器版防护不支持文件完整性相关操作。 操作步骤 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、左侧选择“主动防御 > 文件完整性管理 > 云服务器”，进入服务器页面。 进入云服务器 5 单击服务器名称进入服务器变更详情页。 变更参数说明 参数名称 参数说明 取值样例 文件 发现变更的文件名称。 du 路径 发现变更文件所在的路径。 变更内容 变更的情况描述。 鼠标放置变更内容可查看详情。 将SHA2560ba0c4b5e48e55a6改为4f6079f5b37d1513 变更类型 变更的文件类型。 文件 变更类别 变更文件的类别。 新增 、 修改 、 删除 修改 变更时间 目标文件发生变更的时间。

本节介绍了云容器引擎的高危操作及解决方案。 用户在使用容器集群进行业务的部署过程中，可能会执行一些潜在风险较高的操作，触发不同程度的业务故障。为更好地帮助用户预估和避免潜在的操作风险，本文从集群节点层面展示一些高危操作可能导致的后果，并提供相应的解决方案，以防止误操作。 节点类型 高危操作 后果 解决方案 master节点 节点到期或销毁 该master节点不可用若只有一个master节点，则集群不可用 不可恢复 master节点 自行改动master或etcd版本 可能引发集群不可用 master或etcd恢复原始版本 master节点 删除或者格式化/etc/kubernetes或/data/containerd等核心数据目录 该master节点不可用若只有一个master节点，则集群不可用 不可恢复 master节点 重装操作系统 master组件被删除，不可用若只有一个master节点，则集群不可用 不可恢复 master节点 删除或者卸载关键内核模块或内核文件 该master节点不可用若只有一个master节点，则集群不可用 不可恢复 master节点 修改操作系统配置 可能导致该master节点不可用若只有一个master节点，则集群不可用 请自行还原配置 master节点 自行修改核心组件参数 可能导致该master节点不可用 核心组件参数恢复配置 master节点 自行修改/etc/resolv.conf等配置文件原始内容 可能引发网络不通或拉取镜像失败 请自行还原配置文件原始内容 master节点 自行更换master或者etcd证书 可能引发集群不可用 不可恢复 master节点 更改节点IP master节点不可用 修改回原IP master节点 业务应用占用资源过高 核心组件或者主机节点不可用 请自行进行资源清理并进行合理资源配额限制 master节点 修改节点的主机名称 master节点不可用 修改回原主机名称 node节点 节点删除或到期 该节点不可用 不可恢复 node节点 重装操作系统 该节点不可用 不可恢复 node节点 删除或者卸载关键内核模块或内核文件 该节点不可用 不可恢复 node节点 修改操作系统配置 可能导致该节点不可用 尝试还原配置 node节点 自行修改核心组件参数 可能导致该节点不可用 核心组件参数恢复配置 node节点 删除或修改关键数据目录、删除数据盘 该节点不可用 不可恢复 node节点 修改节点内目录权限或者容器目录权限 权限异常 不建议修改，请自行恢复 node节点 更改节点IP 该节点不可用 修改回原IP node节点 业务应用占用资源过高 核心组件或者主机节点不可用 请自行进行资源清理并进行合理资源配额限制 node节点 修改节点的主机名称 该节点不可用 修改回原主机名称 容器集群开通节点时会创建以下互通的不可见安全组规则，请勿轻易更改安全组。 入方向/出方向规则 授权策略 IP版本 优先级 协议 网段 端口范围 解决方案 入方向 允许 IPV4 99 Any vpc网段 全部端口 不能更改该安全组规则 入方向 允许 IPV6 99 Any vpc网段 全部端口 不能更改该安全组规则 入方向 允许 IPV6 99 Any 100::/16 全部端口 不能更改该安全组规则 出方向 允许 IPV4 99 Any 所有网段 0.0.0.0/0 全部端口 不能更改该安全组规则 出方向 允许 IPV6 99 Any 所有网段 0:0:0:0:0:0:0:0/0 全部端口 不能更改该安全组规则

本文为您介绍如何将Ingress服务暴露到公网。 背景信息 Ingress基于 Nginx 服务器实现了负载均衡、SSL 终止和路由功能。如果您的服务是通过Ingress进行访问的，并且需要通过公网访问，Ingress作为集群流量接入层，可为集群Ingress服务配置天翼云ELB。 前提条件 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群。 确保kubectl工具已经连接目标集群。 确保已经开通天翼云ELB服务，并且已创建一个外网可用的ELB（在ELB控制台创建）。 操作步骤 1. 登录容器服务控制台，在左侧菜单栏选择“集群”。 2. 在集群列表页面，选择目标集群名称，然后在左侧菜单栏选择“网络” 下的“服务”，命名空间选择“kubesystem”，点击”创建服务“按钮，对以下信息进行配置： 1. 填写service相关信息，其中负载均衡一栏，选择公网访问，从列表中选择一个要绑定的ELB（如果列表为空，请确认您是否有可用的ELB，没有的话，请先到ELB控制台创建）。 2. 在端口映射一栏，填写好容器端口和要映射的服务端口（该端口也是负载均衡的监听端口）。 3. 在工作负载绑定一栏，类型选择Deployment，名称选择nginxingresscontrollernginxingresscontroller，然后点击提交。 3. 待ELB绑定后，即可通过服务列表中“集群外访问”中的外网地址访问服务了。

本节介绍如何开启集群审计。 集群审计可以帮助集群管理人员记录或追溯用户的日常操作，通过查看、分析审计日志，可以了解集群状态的变更和集群运行状况，排查异常，进而发现集群潜在的安全、性能风险等，及时采取安全防范措施，更好地为集群安全保驾护航。 操作步骤 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“集群安全 > 集群策略”，进入集群策略页面。 3. 单击“开启集群审计”，查看具体的配置方法。 4. 选择配置方式，单击对应方式的“查看配置说明”，根据配置说明开启集群审计功能。

本文为您介绍如何Serverless集群中运行Job任务。 背景信息 在Serverless集群中，您可以按需按量创建Pod。当Pod结束后停止收费，无需为Job任务预留计算资源，从而摆脱集群计算力不足和扩容的烦扰，同时结合抢占式实例可以降低Job任务的计算成本。本文主要为您介绍如何通过SCE按需创建Job任务，来对圆周率Pi进行小数位的计算。 前提条件 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群 。 确保kubectl工具已经连接目标集群。 操作步骤 登录控制台创建Job 1. 登录云容器引擎控制台。 2. 在控制台的左侧导航栏中点击“集群”。 3. 在集群列表页面中，单击目标集群的名称进入集群详情界面。 4. 在集群管理页面的左侧导航栏中，选择“工作负载” ，然后单击“任务”。 5. 点击创建任务。 6. 点击创建工作负载后，可在Job列表查看Job。 使用命令行创建Job 1. 创建job.yaml文件，内容如下： shell apiVersion: batch/v1 kind: Job metadata: name: pi spec: template: spec: containers: name: pi image: user1registryhuadong1.crsinternal.ctyun.cn/library/perl command: ["perl", "Mbignumbpi", "wle", "print bpi(10)"] restartPolicy: Never backoffLimit: 4 2. 执行命令创建该任务。 plaintext kubectl apply f job.yaml 3. 查看Job与Pod的运行状态，可以看到已经运算成功。 shell kubectl get job pi NAME COMPLETIONS DURATION AGE pi 1/1 2m23s 9m21s kubectl get pod NAME READY STATUS RESTARTS AGE pib89fv 0/1 Completed 0 9m37s 4. 查看运算结果。 登录到弹性容器实例的控制台，进入到上面Pod对应的ECI实例中，查看日志，可以看到对圆周率的小数点后9位的运算结果。

操作场景 通过控制台获取集群证书，使用该证书可以访问Kubernetes。 操作步骤 步骤 1 登录CCE控制台，在左侧导航栏中选择“资源管理 > 集群管理”。 步骤 2 在集群列表页面中，单击对应集群后的“更多 > 证书获取”。 步骤 3 在弹出的“证书获取”窗口中，根据系统提示下载集群X509证书。后期访问Kubernetes时需要加载此证书。 须知 下载的证书包含client.key、client.crt、ca.crt三个文件，请妥善保管您的证书，不要泄露。 集群中容器之间互访不需要证书。

本节介绍了容器镜像服务的基本概念。 容器镜像 容器镜像是一种容器化标准交付物，用于打包应用程序及其依赖的环境。可以基于Dockerfile文件将应用构建为容器镜像并上传到容器镜像仓库中，然后您可以在测试或者生产环境中拉取容器镜像并启动容器。 容器镜像服务实例 当您需要获取您自己的私有镜像时，首先需要创建容器镜像服务实例，然后在实例中创建具体镜像仓库。使用过程中需要登录容器镜像仓库，才可以管理镜像。在您修改镜像完成后，您可以再次将镜像推送到容器镜像仓库。或者在本地使用镜像构建功能生成镜像，再推送到容器镜像仓库中。 Dockerfile Dockerfile是一个用来构建镜像的文本文件，文本内容包含了构建镜像所需的指令和说明。Docker等工具可以通过读取Dockerfile中的指令自动构建生成容器镜像。 Helm Chart Helm是一个包管理工具，用于管理Chart，以及其运行态Release。 Chart是一系列Kubernetes集群内资源描述文件的组合，包含了运行一个应用所需要的镜像、依赖和资源定义等。

本节主要介绍服务器列表信息。 点击导航栏中的“系统”>“服务器”，进入“服务器管理”。在“服务器管理”页面，可以查看服务器相关信息。可以通过“服务器名称”或“服务器状态”（已连接、未连接、移除中）查找对应的服务器。 图1 服务器列表（单机版） 图2 服务器列表（集群版） 项目 描述 服务器ID 服务器ID。 服务器ID后带（M）表示为主服务器。 服务器ID后带（）表示为基础节点服务器。 如果只有服务器ID，则属于非基础节点服务器。 服务器名称 服务器名称。 节点名称 节点在集群中的全路径名称（仅集群版支持），从根节点开始，使用name:name:name格式来唯一标识该节点的名称。 父节点名称 该服务器的父节点名称（仅集群版支持）。 状态 服务器状态： 已连接。 未连接。 移除中。 数据目录容量 数据目录已用容量以及总容量。 业务IP:端口 业务网的IP和端口号。 集群IP 集群网的IP。 服务启动时间 HBlock服务在该节点上最近一次成功启动的时间。 ：表示HBlock服务处于停止状态。

本章节主要介绍Redis Proxy集群实例。 DCS Redis的集群实例有两种版本可供选择，一种是基于LVS+Proxy的高可用集群版本（以下简称为Proxy版Redis集群），另一种是原生Cluster的集群版本。Proxy版集群兼容开源Redis 3.0，Cluster版本兼容开源Redis的4.0和5.0。 Redis3.0 Proxy集群实例 DCS Redis3.0 Proxy集群实例基于开源Redis 3.0版本构建，提供64G~1024G多种大容量规格版本，用于满足百万级以上并发 与大容量数据缓存的需要。Redis集群的数据分布式存储和读取，由DCS内部实现，用户无需投入开发与运维成本。 Redis集群实例由“负载均衡器”、“Proxy服务器”、“集群配置管理器”、“集群分片”共4个部分组成。 Redis3.0集群实例规格和Proxy数、分片数的对应关系 集群版规格 Proxy节点数 分片数（Shard） 64G 3 8 128G 6 16 256G 8 32 512G 16 64 1024G 32 128 Redis Proxy集群实例示意图 示意图说明： VPC 虚拟私有云。集群实例的内部所有服务器节点，都运行在相同VPC中。 说明 VPC内访问，客户端需要与Proxy集群实例处于相同VPC，并且配置安全组访问规则。 客户应用程序 客户应用程序，即Redis集群客户端。 Redis可直接使用开源客户端进行连接，关于客户端连接示例，请参考连接实例。 LBM/LBS 负载均衡服务器，采用主备高可用方式。Redis集群实例提供访问的IP地址，即为负载均衡服务器地址。 Proxy Redis集群代理服务器。用于实现Redis集群内部的高可用，以及承接客户端的高并发请求。 支持使用Proxy节点的IP连接集群实例。 Redis shard Redis集群的分片。 每个分片也是一个Redis主备实例，分片上的主实例故障时，系统会自动进行主备切换，集群正常提供服务。 某个分片的主备实例都故障，集群可正常提供服务，但该分片上的数据不能读取。 Cluster manager 集群配置管理器，用于存储集群的配置信息与分区策略。用户不能修改配置管理器的信息。

本节主要介绍准备工作。 在使用云容器引擎前，您需要完成本文中的准备工作。 创建IAM用户 获取资源权限 （可选）创建虚拟私有云 （可选）创建密钥对 创建IAM用户 如果您需要多用户协同操作管理您帐号下的资源，为了避免共享您的密码/访问密钥，您可以通过IAM创建用户，并授予用户对应权限。这些用户可以使用特别的登录链接和自己单独的用户帐号访问，帮助您高效的管理资源，您还可以设置帐号安全策略确保这些帐号的安全，从而降低您的企业信息安全风险。 注册帐号无需授权，由帐号创建的IAM用户需要授予相应的权限才能使用CCE。 获取资源权限 由于CCE在运行中对计算、存储、网络以及监控等各类云服务资源都存在依赖关系，因此当您首次登录CCE控制台时，CCE将自动请求获取当前区域下的云资源权限，从而更好地为您提供服务。服务权限包括： 计算类服务 CCE集群创建节点时会关联创建云主机，因此需要获取访问云主机、物理机服务器的权限。 存储类服务 CCE支持为集群下节点和容器挂载存储，因此需要获取访问云硬盘、弹性文件、对象存储等服务的权限。 网络类服务 CCE支持集群下容器发布为对外访问的服务，因此需要获取访问虚拟私有云、弹性负载均衡等服务的权限。 容器与监控类服务 CCE集群下容器支持镜像拉取、监控和日志分析等功能，需要获取访问容器镜像、应用管理等服务的权限。 当您同意授权后，CCE将在IAM中创建名为“cceadmintrust”委托，统一使用系统帐号“opsvccce”对您的其他云服务资源进行操作，并且授予其Tenant Administrator权限。Tenant Administrator拥有除IAM管理外的全部云服务管理员权限，用于对CCE所依赖的其他云服务资源进行调用，且该授权仅在当前区域生效。 如果您在多个区域中使用CCE服务，则需在每个区域中分别申请云资源权限。您可前往“IAM控制台 > 委托”页签，单击“cceadmintrust”查看各区域的授权记录。 说明 由于CCE对其他云服务有许多依赖，如果没有Tenant Administrator权限，可能会因为某个服务权限不足而影响CCE功能的正常使用。因此在使用CCE服务期间，请不要自行删除或者修改“cceadmintrust”委托。

本文介绍如何收集Serverless集群控制平面组件日志。 基于Serverless 集群的运维需求，Serverless容器引擎为您提供了便捷的控制平面日志收集能力。通过此功能，您可以轻松地将集群控制面产生的日志汇集到您账号下的云日志服务中，以便进行集中化的管理和分析。 前提条件 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群。 采集的日志将以日志流的形式发送到您账号下指定的云日志服务的日志项目中，且云日志服务使用统一的按量付费方式计费。 操作步骤 安装ctglogoperator日志插件 收集控制平面组件日志需要先安装日志插件。 1. 登录云容器引擎管理控制台，在左侧导航栏选择“集群列表”。 2. 在集群列表页面，单击目标集群名称，然后在左侧导航栏，选择“插件” > “插件市场”。 3. 在插件市场页面，在插件列表中选择要安装的ctglogoperator插件，点击“安装”按钮。 也可以通过在左侧导航栏，选择运维管理下的日志中心，点击“安装插件”。 等待ctglogoperator插件安装完成。 4. 在左侧导航栏，选择运维管理下的日志中心。 5. 在日志中心页面，单击“控制平面组件日志”页签，然后单击“立即开启”。 6. 选择创建或使用已有日志项目，修改日志存储时间，点击“确定”。 说明 Serverless集群支持kubeapiserver，kubecontrollermanager和kubescheduler三种控制平面组件日志查询方式。

本文主要介绍容器镜像迁移。 应用现状 随着容器化技术的发展，越来越多的企业使用容器代替了虚拟机完成应用的运行部署。目前许多企业选择自建Kubernetes集群，但是自建集群往往有着沉重的运维负担，需要运维人员自己配置管理系统和监控解决方案。企业自运维大批镜像资源，意味着要付出高昂的运维、人力、管理成本，且效率不高。 容器镜像服务支持Linux等多架构容器镜像托管。企业可以将镜像仓库迁移到容器镜像服务，节省运维成本。 如何把已有的镜像仓库平滑地迁移到容器镜像服务？这里将介绍2种常见的方案，用户可以根据自己的实际使用场景来选择。 迁移方案 随着 方案类型 适用场景 注意事项 使用docker命令迁移镜像至SWR 待迁移的镜像数量较少 依赖磁盘存储，需要及时进行本地镜像的清理，而且落盘形成多余的时间开销，难以胜任生产场景中大量镜像的迁移。 依赖docker 程序，docker daemon 对 pull/push 的并发数进行了严格的限制，没法进行高并发同步 一些功能只能经过HTTP api 进行操作，单纯使用 docker cli 没法做到，使脚本变得复杂 使用imagesyncer迁移镜像至SWR 待迁移的镜像数量庞大 支持多对多镜像仓库同步 支持基于Docker Registry V2 搭建的 docker 镜像仓库服务 (如 Docker Hub、 Quay、 Harbor等) 同步只通过内存和网络，不依赖磁盘存储，同步速度快 增量同步, 经过对同步过的镜像 blob 信息落盘，不重复同步已同步的镜像 并发同步，能够经过配置文件调整并发数Ÿ 自动重试失败的同步任务，能够解决大部分镜像同步中的网络抖动问题 不依赖docker 以及其余程序

验证 1. 在从集群中重新部署sleep容器； 2. 在通过sleep容器发送请求，结果如下： plaintext HTTP/1.1 200 OK contenttype: text/html; charsetutf8 contentlength: 1683 server: envoy date: Fri, 12 Dec 2025 10:23:41 GMT xenvoyupstreamservicetime: 4

本文介绍对象存储存储卷概述。 Serverless集群支持使用天翼云对象存储作为存储卷。当前cstorcsi插件支持使用对象存储静态存储卷，通过将对象存储挂载到容器指定目录下，以实现数据持久化需求。 天翼云对象存储为客户提供海量、弹性、高可靠、高性价比的存储产品，是专门针对云计算、大数据和非结构化数据的海量存储形态，通过S3协议和标准的服务接口，提供非结构化数据（图片、音视频、文本等格式文件）的无限存储服务。 使用限制 服务开通 使用前请在云容器引擎Serverless版所在资源池，相应开通对象存储服务，参照指引：点这里。开通地域选择参见：点这里。 存储类型 当前cstorcsi仅支持标准、低频两种存储类型。 数据加密 当前cstorcsi不支持上传对象以加密的方式存储在ZOS中。 其他 对象存储产品本身使用限制参见：点这里。 产品规格 cstorcsi支持标准存储、低频存储两种存储类型，这些存储类型具有不同的特点和适用场景，详见：对象存储性能说明。 使用场景 根据业务需求，对象存储类型的存储卷常见以下使用场景： 1. 使用对象存储动态存储卷（暂不支持）：即用户无需预先创建bucket，只需创建PVC时指定存储类（StorageClass），存储插件cstorcsi就会自动创建bucket及对应PV资源。 2. 使用对象存储静态存储卷：即用户预先创建bucket，并创建对应的PV资源。之后在创建PVC时选择已有PV进行挂载。适用于已有可用的底层存储或底层存储需要包周期的场景。 3. 有状态负载挂载对象存储：支持有状态负载通过PVC模版的方式，实现为每一个Pod关联一个独有的PVC及PV，当Pod被重新调度后，仍然能够根据该PVC名称挂载原有的数据。

本文将向您介绍如何使用边缘安全加速平台安全与加速服务提供的CC防护功能。 功能介绍 CC防护根据访问者的URL，频率、行为等访问特征，智能识别CC攻击，迅速识别CC攻击并进行拦截，在大规模CC攻击时可以避免源站资源耗尽，保证企业网站的正常访问。 什么是CC攻击？ CC攻击是一种恶意网络攻击，旨在通过向目标服务器发送大量的请求，超过其处理能力，从而使其无法正常工作或服务受到严重影响。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 开通免费版或基础版，支持使用CC防护默认策略；开通高级版及以上版本，支持使用自定义CC防护策略。 操作步骤 1. 登录边缘安全加速平台控制台，进入【安全与加速】工作台。 2. 在左侧导航栏中选择【安全能力】，进入【访问控制/限流】菜单，并在左侧域名列表选择您要防护的域名。 3. 进入防护能力高级安全防护【CC防护】详细设置。 配置说明 基础设置 配置项 说明 CC防护开关 CC防护的功能开关 CC防护模式 【CC防护模式】设置为阈值，则域名访问达到防护条件时进行防护 【CC防护模式】设置为长久，则域名的每次访问都进行防护校验，适合有长期防护的需求场景 阈值 即触发防护动作的阈值，当统计频率内达到设定的阈值，将触发防护 周期 即设定时长内达到防护阈值，将触发防护。新的时间周期将重新开始计算统计频率 防护时长 即触发防护后的持续防护时间 跨域请求防护 支持开启或关闭跨域请求防护功能。若您所防护的域名存在跨域访问场景（即被其他域名网站引用访问），建议关闭跨域请求防护，以免被CC防护算法拦截 注意 当CC防护模式选择阈值，为避免单位时间内阈值配置过低，导致频繁触发CC攻击，限制阈值与周期的比值不得小于100。

此小节介绍企业主机安全文件完整性管理。 查看文件完整性管理 约束限制 未开启旗舰版、网页防篡改版、容器版防护不支持文件完整性相关操作。 操作步骤 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、选择“主动防御 > 文件完整性管理”，进入文件管理界面，选择“云服务器”和“变更文件”页签可查看对应的变更详情。 进入文件管理 查看云服务器变更详情 约束限制 未开启旗舰版、网页防篡改版、容器版防护不支持文件完整性相关操作。 操作步骤 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、左侧选择“主动防御 > 文件完整性管理 > 云服务器”，进入服务器页面。 进入云服务器 5 单击服务器名称进入服务器变更详情页。 变更参数说明 参数名称 参数说明 取值样例 文件 发现变更的文件名称。 du 路径 发现变更文件所在的路径。 变更内容 变更的情况描述。 鼠标放置变更内容可查看详情。 将SHA2560ba0c4b5e48e55a6改为4f6079f5b37d1513 变更类型 变更的文件类型。 文件 变更类别 变更文件的类别。 新增 、 修改 、 删除 修改 变更时间 目标文件发生变更的时间。

支持配置撞库防护策略防范攻击者通过撞库盗取用户的信息。 功能介绍 支持配置撞库防护策略，防范攻击者通过撞库盗取用户的信息。 撞库是什么？ 撞库是恶意攻击者通过收集互联网已泄露或者暗网黑客交易的用户和密码信息，生成对应的字典表，尝试批量登陆其他网站后，得到一系列可以登录的用户。很多用户在不同网站使用的是相同的帐号密码，因此黑客可以通过获取用户在A网站的账户密码从而尝试登录B网址，这就可以理解为撞库攻击。撞库还可以从弱密码的角度出发，通过碰撞用户名得到账号密码信息。 撞库的防护原理 边缘云WAF针对撞库的防护方式主要是以下三种： 频率限速：由于猜解需要不断访问登录接口，因此可以通过异常速率来限制撞库； 用户登录信息与泄露信息库比对：将用户信息与实时更新的泄露信息库做相关数据对比，查看用户是否正在使用已暴露的密码，根据结果采取对应措施； 用户敏感信息脆弱性分析：通过脆弱性算法分析当前密码的暴露风险层级与易猜解程度，对暴露较多区块的密码以及极易猜解的密码引导到客户配置的处理方式上。 前提条件 已开通Web应用防火墙（边缘云版）。 已新增域名并成功接入WAF，具体操作请见WAF接入。 开通套餐为基础版及以上版本，支持撞库防护相关功能。

容器监控 Prometheus监控服务和云容器引擎默认实现了产品能力集成，可将您创建的容器集群无缝接入到Prometheus监控平台中，实现集群及工作负载的一体化监测。 自定义监控 支持添加自定义服务发现集成，实现自定义采集接入，并可查看相关指标、监控大盘及告警信息。同时，提供Remote Write标准接口，允许通过该接口远程接入开源Prometheus的监控数据，从而在Prometheus监控服务上收集和展示这些自定义数据。 服务发现 提供默认服务发现、ServiceMonitor、PodMonitor和自定义服务发现。使用这些服务发现机制，可以优化用户对容器集群的监控范围控制，确保采集到所需的指标数据，以便对不同的服务和Pod进行监控和分析。 聚合实例 聚合实例能够将当前地域内的所有Prometheus实例整合为一个虚拟聚合视图。通过该实例，用户可以集中执行统一的指标查询和告警管理。 告警规则 通过创建Prometheus监控告警规则，用户可以设定针对特定Prometheus实例的告警规则。当告警规则设置的条件满足后，系统会产生对应的告警事件。如果想要收到通知，需要进一步配置对应的通知策略以生成告警并且以短信、邮件、或Webhook等方式发送通知。 告警规则模板 当用户需要为多个Prometheus实例统一配置相同告警规则时，可通过Prometheus告警规则模板功能实现标准化管理。

本文介绍HTTPS定义及配置方法。 功能介绍 HTTP协议以明文方式发送内容，不提供任何方式的数据加密。HTTPS协议是以安全为目标的HTTP通道，简单来说，HTTPS是HTTP的安全版，即将HTTP用SSL/TLS协议进行封装，HTTPS的安全基础是SSL/TLS协议。 在天翼云客户控制台开启HTTPS协议，可实现客户端和天翼云边缘安全加速节点之间数据包的安全加密传输。如果想要实现全链路HTTPS传输，则需要在边缘安全加速节点配置HTTPS协议回源（源站服务器需支持HTTPS协议）。 HTTPS请求的基本流程： 1. 客户端向边缘安全加速节点发起HTTPS请求。 2. 边缘安全加速节点将对应域名的SSL证书公钥发送给客户端。 3. 客户端验证对应证书公钥是否正确，如果正确则随机生成一个密钥A，并使用公钥加密后发送给边缘安全加速节点。 4. 边缘安全加速节点使用SSL证书对应私钥进行解密，得到密钥A。 5. 客户端与边缘安全加速节点在后续通信过程中使用密钥A对传输的数据加密。 6. 客户端与边缘安全加速节点使用密钥A对收到的数据进行解密，获取对应数据。 配置说明 1. 登录边缘安全加速平台控制台。 2. 在域名基础配置页面，点击目标域名。 3. 进入HTTPS配置页面，单击“编辑配置”。 4. 单击右侧【请求协议】，勾选【请求协议】中的【HTTPS】。 5. 单击右侧【HTTPS配置】，选择域名对应的【证书】。如果已经在【证书管理】上传证书，可直接选择对应域名证书。如果还未上传证书，可单击【点击上传】，添加证书。添加完毕后，再选择对应证书，如未找到目标证书，可点击右侧的刷新按钮刷新后再重新选择。 6. 单击【保存】，完成配置。 参数 说明 证书 配置证书前，需先在【请求协议】开启【HTTPS】后进行HTTPS相关配置。 证书，是指在添加自有证书时，为了方便识别和记忆，可以支持客户自定义所上传证书的名称，方便选择时，选定正确的证书与所配置的域名进行关联。 如果已经在【证书管理】上传证书，可直接选择对应域名证书。 如果还未上传证书，可单击【点击上传】，添加自有证书。添加完毕后，再选择对应证书。

经典版集群单机实例规格Redis 2.8/4.0/5.0 实例规格与性能指标如下： 规格名称 内存/单片内存（GB） 最大连接数/单片连接数 最大带宽（单片Gbps） 基准带宽（单片Gbps） DB数 16G集群单机 16 20000 2 0.35 256 32G集群单机 32 20000 2 0.35 256 64G集群单机 64 40000 2 0.35 256 128G集群单机 128 40000 3 0.75 256 256G集群单机 256 40000 6 1.5 256 512G集群单机 512 80000 6 1.5 256 经典版集群主备实例规格Redis 2.8/4.0/5.0 实例规格与性能指标如下： 规格名称 内存/单片内存（GB） 最大连接数/单片连接数 最大带宽（单片Gbps） 基准带宽（单片Gbps） DB数 16G集群主备 16 20000 2 0.35 256 32G集群主备 32 20000 3 0.75 256 64G集群主备 64 40000 3 0.75 256 128G集群主备 128 40000 6 1.5 256 256G集群主备 256 80000 6 1.5 256 512G集群主备 512 160000 6 1.5 256 1T集群主备 1024 320000 6 1.5 256

业务价值 天翼云应用性能监控Prometheus监控已全面对接开源Prometheus生态，将容器服务Kubernetes集群接入天翼云Prometheus监控，通过开箱即用的大盘监控主机和Kubernetes集群的众多性能指标。 低成本接入：提供全托管式服务，无需另购基础设施资源，可降低监控成本与维护成本。 开箱即用：支持一键接入天翼云云容器引擎。提供丰富的仪表大盘与告警模板，帮助业务快速发现和定位问题。 数据规模无上限：基于云上存储能力，数据存储不再受限于本地容量。通过分布式存储可进一步保障数据可靠性。

本文介绍如何通过Pod环境变量采集应用日志。 为了简化日志管理流程，天翼云提供一套完整的日志服务解决方案，让您免开发即可实现日志的快速获取、存储、检索和分析。在 Serverless集群中，借助其内置的日志服务托管功能，您可以通过设置相应的环境变量，轻松地将业务容器的标准输出和相关日志文件接入云日志服务。 前提条件 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群。 确保kubectl工具已经连接目标集群。 操作步骤 步骤一：创建应用并配置日志服务 为了给容器指定采集配置，需要使用env来为容器增加采集配置，并根据采集配置，创建对应的volumeMounts和volumes。Pod YAML示例如下： shell apiVersion: v1 kind: Pod metadata: name: busyboxenvs spec: containers: name: busybox image: 'registryhuadong1.crsinternal.ctyun.cn/opensource/busybox:1.36' args: c mkdir p /var/log;while true; do echo hello world; date; echo hello als >> /var/log/test.log; sleep 1;done command: /bin/sh env: 配置环境变量 name: Ctyunlogsecilogstdout value: stdout name: Ctyunlogsecilogvarlog value: /var/log/.log name: Ctyunlogsecilogstdoutproject value: k8slogdemo name: Ctyunlogsecilogvarlogproject value: k8slogdemo name: Ctyunlogsecilogstdoutunit value: logstdout name: Ctyunlogsecilogvarlogunit value: logvarlog

参数 参数说明 任务名称 新建任务的名称，命名必须唯一。 请输入4到63个字符的字符串，可以包含小写英文字母、数字和中划线（），并以小写英文字母开头，小写英文字母或数字结尾。 容器集群 新建任务所在的集群。 命名空间 新建任务所属的命名空间，默认为default。 实例数量 任务的实例数量。任务可以有一个或多个实例，用户可以设置具体实例个数，默认为1。 每个任务实例都由相同的容器部署而成。设置多个实例主要用于实现高可靠性，当某个实例故障时，任务还能正常运行。 任务描述 任务描述信息。

本文介绍了认证与访问控制相关说明。 RDSPostgreSQL支持CTIAM身份认证与多种访问控制，多维度保障您云数据库的安全。 身份认证 CTIAM 统一身份认证（Identity and Access Management， 简称：CTIAM），是提供用户进行权限管理的基础服务，可以帮助您安全的控制天翼云服务和资源的访问及操作权限，包括：用户身份认证、权限分配、访问控制等功能。 您可以创建IAM用户，并为其设置RDSPostgreSQL实例权限，该用户就可以通过用户名和密码访问授权的实例资源。 访问控制 权限控制 购买RDSPostgreSQL实例之后，您可以使用CTIAM为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，通过CTIAM进行精细的权限管理。 VPC和子网 虚拟私有云（Virtual Private Cloud，VPC）为RDSPostgreSQL构建隔离、私密的虚拟网络环境，提升数据库的安全性，并简化用户的网络部署。您可以完全掌控自己的专有网络，VPC丰富的功能帮助您灵活管理云上网络，包括创建子网、设置安全组和网络ACL、管理路由表、申请弹性公网IP和带宽等。 通过子网与其他网络隔离，独享网络资源，提高网络安全性。 具体内容请参见虚拟私有云用户指南创建虚拟私有云和子网。 白名单管理 白名单管理中，用户可对实例设置可访问的IP地址或IP段，控制数据库的安全访问，来保证保障其访问来源的安全性。 具体请参见关系数据库PostgreSQL版用户安全数据安全白名单管理。 安全组 安全组是一个逻辑上的分组，可以为同一个虚拟私有云内具有相同安全保护需求并相互信任的数据库实例提供相同的访问策略。您可以通过为数据库实例设置安全组，开通需访问数据库的IP地址和端口，来保证保障其运行环境的安全性和稳定性。 具体请参见关系数据库PostgreSQL版快速入门步骤二：设置安全组规则。

建议配置方法 ： 节点的实际可用分配CPU量 ≥ 当前实例所有容器CPU限制值之和 ≥ 当前实例所有容器CPU申请值之和，节点的实际可用分配CPU量请在“资源管理 > 节点管理”中对应节点的“可分配资源”列下查看“CPU: Core”。 内存配额： 表 内存配额说明 参数 说明 内存申请 容器使用的最小内存需求，作为容器调度时资源分配的判断依赖。 只有当节点上可分配内存总量 ≥ 容器内存申请数时，才允许将容器调度到该节点。 内存限制 容器能使用的内存最大值。 当内存使用率超出设置的内存限制值时，该实例可能会被重启进而影响工作负载的正常使用。 建议配置方法 ： 节点的实际可用分配内存量≥ 当前节点所有容器内存限制值之和 ≥ 当前节点所有容器内存申请值之和，节点的实际可用分配内存量请在“资源管理 > 节点管理”中对应节点的“可分配资源”列下查看“内存: GiB”。 说明 可分配资源：可分配量按照实例请求值(request)计算，表示实例在该节点上可请求的资源上限，不代表节点实际可用资源。 计算公式为： 可分配CPU CPU总量 所有实例的CPU请求值 其他资源CPU预留值 可分配内存 内存总量 所有实例的内存请求值 其他资源内存预留值 使用示例 以集群包含一个资源为4Core 8GB的节点为例，已经部署一个包含两个实例的工作负载到该集群上，并设置两个实例（实例1，实例2）的资源为{CPU申请，CPU限制，内存申请，内存限制}{1Core，2Core，2GB，2GB}。 那么节点上CPU和内存的资源使用情况如下： 节点CPU可分配量4Core（实例1申请的1Core+实例2申请的1Core）2Core 节点内存可分配量8GB（实例1申请的2GB+实例2申请的2GB）4GB 因此节点还剩余2Core 4GB的资源可供下一个新增的实例使用。