天翼云VPN连接(Virtual Private Network)是一款基于Internet的网络连接服务,通过互联网加密通道的方式实现企业数据中心、企业办公网络、客户终端与客户云上专有网络建立安全可靠的连接。

天翼云VPN连接(Virtual Private Network)是一款基于Internet的网络连接服务,通过互联网加密通道的方式实现企业数据中心、企业办公网络、客户终端与客户云上专有网络建立安全可靠的连接。

本节介绍了本地盘的简介、创建本地盘、删除本地盘等。 简介 本地盘是虚拟机实例、容器实例或函数服务所在物理机上的本地硬盘设备。本地硬盘能够为实例提供本地存储访问能力，具有低时延、高随机IOPS、高吞吐量和高性价比的优势。 本地盘是将一个或多个硬盘的分区在逻辑上集合，相当于一个大硬盘来使用，当硬盘的空间不够使用的时候，可以继续将其它的硬盘的分区加入其中，这样可以实现磁盘空间的动态管理，相对于普通的磁盘分区有很大的灵活性。同样具备较高的IO性能，同时支持RAID方式提供更高系统可靠性。用户可以按需选择容量规格购买使用本地盘。本地盘目前提供SATA HDD、SATA SSD、NVMe SSD三种类型的介质。本地盘支持提供给虚拟机实例作为系统盘或数据盘，作为系统盘时，开放购买的规格支持为20GB～2048GB，作为数据盘时，开放购买的规格支持为10GB～6144GB。 注意 本地盘不支持快照，云硬盘支持快照，高可用方面也不如云盘。 由于本地盘是随着单台物理机，一旦物理机故障将有丢失数据风险，数据可靠性较低，因此，重要数据建议使用云硬盘。 创建本地硬盘 1. 登录ECX控制台。 2. 单击左侧导航栏【边缘存储>本地盘】进入本地盘列表，单击【购买本地盘】。 3. 【基础配置>计费模式】选择【包年包月】或者【按需计费】。 4. 选择【地域】跟【可用区】，本地盘需要与虚拟机在同一个可用区。 5. 点击【增加一块数据盘】，选择本地盘的类型、大小以及驱动，一次最多可以选择3块磁盘。 6. 本地盘只能选择立即挂载，点击下拉列表【请选择挂载虚机】，列表中显示当前集群运行中和已关机的虚机，点击【选择】需要挂载的虚机。 7. 单击【下单购买】完成支付，即创建成功。 注意 实际可购买的地域和可用区以库存展示为准

本章节介绍云原生网关管理类常见问题 云原生网关支持哪些服务来源？ 云原生网关当前支持从天翼云Nacos注册中心或者云容器引擎集群发现服务；添加完服务来源之后，可以从Nacos或者云容器引擎指定命名空间中发现服务，配置为网关代理转发的目标服务；网关通过监听指定namespace下的服务，实时动态感知服务节点列表变化，实现网关的动态路由转发能力。 为什么添加服务来源的时候只能看到部分Nacos或者云容器引擎实例？ 云原生网关属于某一个指定的vpc网络，选择Nacos或者云容器引擎作为服务来源时会过滤集群列表，只能选择和当前网关同一vpc下的集群作为服务发现来源。 云原生网关如何支持https访问？ 通过域名管理功能可以配置访问域名，对于有https访问需求的场景，可以配置域名的https证书；通过网关节点的27154端口或者外部ELB的https端口（需要配置转发规则转发到网关的27154端口）访问，实现https加密通信。 路由配置支持哪些匹配规则？ 当前路由支持根据请求的域名、路径、HTTP方法、header、query匹配；路径匹配支持精确匹配和前缀匹配，对于前缀匹配/abc可以匹配请求/abc，/abcd/ef，/abc/def/cc。 一个请求同时匹配到多个路由时，最终会使用哪条路由规则？ uri精确匹配优先级最高；对于多个uri前缀匹配同时命中的情况，匹配深度较高的优先；相同uri的路由，如果存在其他匹配条件，则优先按其他条件匹配；其他条件也都同时匹配的情况下，优先级数字较大的路由优先匹配。

本节主要介绍服务器列表信息。 点击导航栏中的“系统”>“服务器”，进入“服务器管理”。在“服务器管理”页面，可以查看服务器相关信息。可以通过“服务器名称”或“服务器状态”（已连接、未连接、移除中）查找对应的服务器。 图1 服务器列表（单机版） 图2 服务器列表（集群版） 项目 描述 服务器ID 服务器ID。 服务器ID后带（M）表示为主服务器。 服务器ID后带（）表示为基础节点服务器。 如果只有服务器ID，则属于非基础节点服务器。 服务器名称 服务器名称。 节点名称 节点在集群中的全路径名称（仅集群版支持），从根节点开始，使用name:name:name格式来唯一标识该节点的名称。 父节点名称 该服务器的父节点名称（仅集群版支持）。 状态 服务器状态： 已连接。 未连接。 移除中。 数据目录容量 数据目录已用容量以及总容量。 业务IP:端口 业务网的IP和端口号。 集群IP 集群网的IP。 服务启动时间 HBlock服务在该节点上最近一次成功启动的时间。 ：表示HBlock服务处于停止状态。

介绍如何设置ICAgent日志采集开关。 在“ICAgent采集开关”页签，支持设置ICAgent采集开关（控制ICAgent是否对日志数据进行采集）、采集Syslog日志到AOM、采集容器标准输出到AOM。 设置采集开关 1、登录管理控制台，选择“管理与部署 > 云日志服务 LTS”，进入“日志管理”页面。 2、左侧导航选择“配置中心”，单击“ICAgent采集开关”。 3、ICAgent采集开关是用来控制ICAgent是否对日志数据进行采集。 “ICAgent采集开关”默认打开，当您不需要采集日志时，通过关闭“ICAgent采集开关”停止日志采集，以减少资源占用。 “ICAgent采集开关”关闭后，ICAgent会停止采集日志，且在应用运维管理AOM控制台的“日志采集开关”也会同步关闭。 4、采集Syslog日志到AOM用来控制ICAgent是否采集Syslog日志到AOM1.0。开关关闭后，ICAgent将不会采集Syslog日志到AOM1.0，此功能仅支持5.12.182以上版本的ICAgent。 5、采集容器标准输出到AOM。选择CCE集群，开启或关闭应用到该集群。开关关闭后，ICAgent将不会采集标准输出日志到AOM，此功能仅支持5.12.133以上版本的ICAgent。建议使用云容器引擎CCE应用日志接入LTS直接采集容器标准输出到LTS，不推荐采集到AOM。

本节介绍使用在离线混部插件安装与卸载的用户指南 通过安装或卸载在离线应用混部插件，您可以顺利开启或关闭混部能力。 适用场景 首次安装混部插件，启用混部能力。 需要卸载混部插件，关闭混部相关功能。 安装插件步骤 1. 登录云容器引擎控制台，选择指定集群后，在左侧菜单栏选择“混合部署混部插件维护”，点击“安装”按钮进行安装混部插件。 2. 系统将自动开始部署混部插件，过程通常需要数分钟。 3. 部署完成后，页面状态会自动刷新为“已部署”。 卸载插件步骤 1. 登录云容器引擎控制台，选择指定集群后，在左侧菜单栏选择“混合部署混部插件维护”，点击“卸载”按钮进行卸载混部插件。 2. 系统将自动移除混部插件。 3. 卸载完成后，页面状态会变为“未安装”。

Web应用防火墙（边缘云版）适用于天翼云以及天翼云外所有用户，包含但不限于网站类业务广泛应用于政府门户、金融证券、电子商务、新闻媒体、游戏、教育等行业的Web应用类安全防护。 应用场景 业务特点 Web应用防火墙（边缘云版）可解决的业务痛点 政企网站 作为政府、企业的互联网信息服务的重要渠道，保障网站的稳定运行是服务提供的关键。 集成各类业务平台，业务接口多。 信息数据量大，用户信息价值高。 对Web类攻击进行多维度识别和防御，防止网站被挂马、篡改影响网站声誉。 智能AI与大数据协同，在现有的防护体系上扩充防护规则，提高防护效果。 降低硬件防护压力，利用边缘云安全、算力优势，减少硬件维护成本。 0day虚拟补丁第一时间生成防护策略，避免漏洞被利用带来负面影响。 金融行业 网站上存在大量的用户敏感信息，非法者利用刷库、撞库等手段获取用户账号信息。 常收到境外攻击团队勒索邮件，遭受攻击较多。 受行业监管要求，金融机构每年定期组织安全演练。 信用卡中心的各种推广活动，引来“羊毛党”通过恶意程序、软件等工具进行营销欺诈。 “云端+本地”双重保障，对攻击进行层层识别和防御，避免数据泄漏造成负面影响。 行业情报共享，不断优化安全防护模板。 爬虫防护，精准的人机识别，在拦截爬虫的同时，保障业务的正常进行。 新闻媒体 对外服务站点多，暴露面广，容易成为黑客突破口。 站点脆弱性未知，存在大量的漏洞未修复。 舆论、监管压力大，受主管、监管单位严格监管。 爬虫、钓鱼重灾区，竞争对手恶意竞争。 CNAME接入防御，自助配置，隐藏并保护源站，保障网站内容不被黑客入侵篡改。 通过业务分析及攻击分析定制防护策略，有效提升防护的精准度。 情报共享，全网攻击数据分析入库，反哺优化护网期间的攻击策略。 提供爬虫和 IP 情报特征，快速识别恶意爬虫行为。 教育行业 大量用户集中访问，高并发易卡顿。 跨区域运营商访问慢。 站点脆弱性未知，漏洞利用风险高。 挂马、数据篡改等事件高发时段。 域名CNAME接入，不改变源站架构，快速接入防护策略。 智能选路，分布式部署，资源弹性扩容，从容应对高并发。 0day漏洞快速修复，避免漏洞被利用带来负面影响。 支持防篡改，以及网站安全监测，提前预警防患于未然。

本节主要介绍与其它服务的关系。 云容器引擎需要与其他云服务协同工作，云容器引擎需要获取如下云服务资源的权限。 云主机 ECS 在云容器引擎中具有多个云硬盘的一台云主机就是一个节点，您可以在创建节点时指定云主机的规格。 虚拟私有云 VPC 在云容器引擎中创建的集群需要运行在虚拟私有云中，您创建命名空间时，需要创建或关联VPC，创建在命名空间的容器都运行在VPC之内，从而保障网络安全。 弹性负载均衡 ELB 云容器引擎支持将创建的应用对接到弹性负载均衡，从而提高应用系统对外的服务能力，提高应用程序容错能力。 您可以通过弹性负载均衡，从外部网络访问容器负载。 NAT网关 您可以通过NAT网关设置SNAT规则，使得容器能够访问Internet。 容器镜像服务 SWR 容器镜像服务是一种支持容器镜像全生命周期管理的服务， 提供简单易用、安全可靠的镜像管理功能，帮助用户快速部署容器化服务。 容器镜像服务提供的镜像仓库是用于存储、管理docker容器镜像的场所，可以让使用人员轻松存储、管理、部署docker容器镜像。 您可以使用容器镜像服务中的镜像创建负载。 云硬盘 EVS 在云容器引擎中一个节点就是具有多个云硬盘的一台云主机，您可以在创建节点时指定云硬盘的大小。

适用场景 纯缓存类场景 可将频繁访问的热点数据存储在Redis集群内存中，以加快数据读取速度。但由于每个数据分片均为单节点的部署架构，当节点故障业务自动切换完成后，数据将会丢失，不具备数据可靠性。若对数据可靠性有较高要求，建议采用集群版主备。 吞吐密集型应用场景 针对吞吐密集型的场景，Redis集群通过分布式架构、水平扩展、并行处理等特性，能够满足吞吐密集型应用场景对高性能和高并发的需求。 QPS压力较大的场景 Redis集群版采用多节点部署，突破Redis单线程的性能瓶颈，可较好支撑QPS较大的场景。 对Redis协议不敏感的应用场景 由于集群版架构引入了多个组件，相比标准版实例，对Redis协议的支持上有一定限制，因此不适用于对Redis协议兼容性要求较高的场景。

操作场景 云容器引擎与监控服务（Cloud Eye）无缝集成，您可以实时查看每个集群控制节点的资源使用情况，了解CCE集群控制节点的监控指标，及时收到异常告警并做出反应，保证业务顺畅运行。 操作步骤 步骤 1 登录CCE控制台，在左侧导航栏中选择“资源管理 > 集群管理”。 步骤 2 单击待监控的集群名称，进入集群详情。 步骤 3 单击“更多”右侧的 图标，可以查看集群资源监控详情。 步骤 4 单击控制节点右侧的“监控”链接，可进入应用运维管理控制台，在“主机监控”中查看对应控制节点的基本监控信息，包括CPU使用率、物理内存使用率、磁盘使用率等指标。

购买边缘虚拟机实例时可以添加多少块数据盘？ 可以添加3块数据盘，每块容量范围：100～6144GB，实际可购买的数据盘容量还受资源池资源限制。 可以单独购买公网IP不买带宽实例吗？ 不支持。购买公网IP时会默认生成一个独享带宽实例，公网IP产生的流量会统计到独享带宽实例内。当公网IP加入到共享带宽后，公网IP绑定的带宽实例会变成共享带宽实例，公网IP产生的流量会自动统计到共享带宽实例内。 购买公网IP时，可以加入共享带宽吗？ 不支持，可以先购买按需付费独享带宽，然后再加入共享带宽，加入成功后，公网IP产生的流量会自动统计到共享带宽实例内。 如果线上没有想部署的区域，能申请其他集群吗？ 您可以联系您的客户经理、线上咨询或拨打客服热线电话寻求帮助，热线电话：4008109889转1；亦或在ECX实例列表页，点击集群展示页右下角的【提交新集群需求】，跳转到天翼云工单系统中提交工单。您可尽量详细描述您对节点的位置、规模、设备配置、网络等需求，我们会与您取得联系。 购买虚拟机实例时，可以先选择不购买公网IP，后面再按需购买吗？ 可以，后续可以在边缘网络控制台，购买公网IP，将对应的公网IP绑定到虚拟机实例即可。

本文为您介绍容器安全卫士的产品优势。 容器安全卫士对云原生应用进行多维度检测和防护，产品优势如下： 一键管理便捷 贴合云原生特点，全组件采用容器化部署，实现客户端一键部署、一键卸载。安全能力随业务集群变动自动跟随防御，无需人工干预。 全面完整专业 集成国际、国内、官方等多种漏洞源，基于ClamAV、自研等多种病毒引擎，为您提供专业的安全风险检测。 动静结合智能 采用静态动态双结合的检测方式，自动形成业务行为基线，基于学习引擎，实时发现未知安全风险，实现智能化防护。 全链加密安全 容器安全卫士各个组件交互过程中，全链采用加密传输，敏感数据加密存储，客户端不暴漏任何端口，保护您的同时也注重自身安全。

本文主要介绍如何创建配置项。 操作场景 配置项（ConfigMap）是一种用于存储工作负载所需配置信息的资源类型，内容由用户决定。配置项创建完成后，可在容器工作负载中作为文件或者环境变量使用。 配置项允许您将配置文件从容器镜像中解耦，从而增强容器工作负载的可移植性。 配置项价值如下： 使用配置项功能可以帮您管理不同环境、不同业务的配置。 方便您部署相同工作负载的不同环境，配置文件支持多版本，方便您进行更新和回滚工作负载。 方便您快速将您的配置以文件的形式导入到容器中。 操作步骤 步骤 1 登录CCE控制台，单击集群名称进入集群。 步骤 2 在左侧导航栏中选择“配置项与密钥”，在右上角单击“创建配置项”。 步骤 3 填写参数。 表 新建配置参数说明 参数 参数说明 名称 新建的配置项名称，同一个命名空间里命名必须唯一。 命名空间 新建配置项所在的命名空间。若不选择，默认为default。 描述 配置项的描述信息。 配置数据 配置项的数据。键值对形式，单击添加。其中值支持String、JSON和YAML格式。 标签 配置项的标签。键值对形式，输入键值对后单击“添加”。 步骤 4 配置完成后，单击“确定”。 工作负载配置列表中会出现新创建的工作负载配置。

本章节介绍天翼云边缘重保服务的常见计费类问题。 边缘重保服务如何计费？ 边缘重保服务按“次”计费，每次提供1个自然日内不超出12小时（体验版为10小时）核心时段的保障服务，若需要保障的活动跨多天，或需要多人驻场支持，则需根据实际情况订购多次。详细说明见计费标准说明与示例内容。 边缘重保服务是否支持退订？ 暂不支持退订，请确认具有保障需求后，仔细对照服务版本差异一览表，选择合适的服务版本。 边缘重保服务是否支持升降配？ 暂不支持升降配，下单前请仔细对照服务版本差异一览表，选择合适的服务版本。

本文将介绍广告防护的背景信息、使用前提、操作步骤、配置说明，帮助您更好地理解广告防护功能。 功能介绍 边缘云WAF能解析源站响应页面代码，在body中插入广告检测js代码，实现广告防护和监测功能。 背景信息 恶意广告 网站中出现未将网站所有者允许的广告内容，并通过非法形式进行传播，对网站所有者造成负面影响。 攻击方式：流量劫持 代理流量劫持是指在正常网站流量当中嵌入广告，达到强制推广目的，造成用户体验差，客户网站访问量降低。劫持的手段为在代理服务器上，针对网站页面进行恶意广告代码嵌入。 常见劫持方式： 源站：源站被攻破，网站页面遭到修改，或者正常网页被替换成攻击者的网页，造成用户访问的页面含有违法信息广告或盈利广告推广。 客户端：浏览器网页劫持，浏览器在获取到正常网页数据后，通过在客户网页中加入广告来达到强制推广，增加盈利目的。 广告防护工作原理 通过在反向代理服务器上，解析响应页面代码，在html的body当中插入广告检测js代码，实现广告防护和监测功能。 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见WAF接入 开通旗舰版支持使用广告防护功能

本文主要介绍存量Pod检查 。 检查项内容 检查集群中是否的存在状态非预期的Pod 检查集群中的Pod是否异常重启 检查步骤 请您登陆CCE控制台，在“资源>工作负载>容器组”处选择全部命名空间，点击“状态”，过滤并观察是否存在异常状态的Pod。 查看“重启次数”栏目，观察是否存在异常重启的Pod。 解决方案 若集群升级后您的集群有异常Pod，请联系技术支持人员。

简述天翼云边缘安全加速平台安全与加速服务的HTTPS相关功能及配置方法。 什么是HTTPS？ HTTPS（全称：Hyper Text Transfer Protocol over Secure Socket Layer），是以安全为目标的HTTP通道，简单讲是HTTP的安全版。HTTPS相当于在HTTP下加入SSL层，HTTPS的安全基础是SSL，因此加密的详细内容就需要SSL。它是一个URI scheme（抽象标识符体系），句法类同HTTP体系。用于安全的HTTP数据传输。 HTTPS也叫安全的超文本传输协议，使用TCP端口443，他的数据会用PKI中的公钥进行加密，这样抓包工具捕获到的数据包也没有办法看到包中的内容，安全性大大提高，要解密数据的话就要用到PKI中的私钥。所以一些安全性比较高的网站如：网上银行，电子商务网站都需要用HTTPS访问。 HTTPS配置概述 HTTPS配置模块主要介绍如何配置开启HTTP2.0、OCSP Stapling、HSTS，如何选择TLS协议版本，以及HTTPS Keyless加速方案和边缘安全加速平台支持哪些国密算法。 相关功能 功能 说明 国密HTTPS 简述边缘安全加速支持的国密算法及配置方法。 HTTP2.0配置 简述HTTP2.0的定义和配置方法。 配置OCSP Stapling 简述OCSP Stapling功能的概念、使用前提和配置方法。 配置HSTS 简述HSTS功能和配置方法。 配置TLS协议版本 简述安全与加速服务支持的TLS协议版本和配置方法。 批量HTTPS证书配置 简述批量关联域名启用HTTPS加速服务的配置方法。 强制跳转 简述强制跳转的场景及配置方法。包括HTTP强制跳转HTTPS，HTTPS强制跳转HTTP。 HTTPS无私钥驻留加速方案 简述边缘加速节点无需部署私钥的情况下如何加速HTTPS业务。 支持的SSL/TLS加密套件 天翼云边缘安全加速支持的SSL/TLS加密套件及对应套件支持的最低版本的SSL/TLS协议。

本文主要介绍 Kubernetes Dashboard。 插件简介 Kubernetes Dashboard是一个旨在为Kubernetes世界带来通用监控和操作Web界面的项目，集合了命令行可以操作的所有命令。 使用Kubernetes Dashboard，您可以： 向Kubernetes集群部署容器化应用 诊断容器化应用的问题 管理集群的资源 查看集群上所运行的应用程序 创建、修改Kubernetes上的资源（例如Deployment、Job、DaemonSet等） 展示集群上发生的错误 例如：您可以伸缩一个Deployment、执行滚动更新、重启一个Pod或部署一个新的应用程序。 开源社区地址： 安装步骤 步骤 1 登录CCE控制台，单击集群名称进入集群，单击左侧导航栏的“插件管理”，在右侧找到 dashboard ，单击“安装”。 步骤 2 在规格配置页面，配置以下参数。 证书配置：dashboard服务端使用的证书。使用自定义证书。 证书文件：单击查看证书文件样例参考。 证书私钥：单击查看证书私钥样例参考。 使用默认证书。 说明 dashboard默认生成的证书不合法，将影响浏览器正常访问，建议您选择手动上传合法证书，以便通过浏览器校验，保证连接的安全性。 步骤 3 单击“安装”。 访问dashboard 步骤 1 登录CCE控制台，单击集群名称进入集群，单击左侧导航栏的“插件管理”，确认dashboard插件状态为“运行中”后，单击“访问”。 步骤 2 在CCE控制台弹出的窗口中复制token。 步骤 3 在登录页面中选择“令牌”的登录方式，粘贴输入复制的token，单击“登录”按钮。 说明 本插件默认不支持使用证书认证的kubeconfig进行登录，推荐使用令牌方式登录。详细信息请参考：

本节介绍了节点诊断对应的检查项以及修复方案。 节点诊断主要包括ClusterComponent检查、Node检查、NodeComponent检查等检查项。 注意 使用故障诊断功能时，系统将在您的集群节点上执行数据采集程序并收集检查结果。采集的信息包括系统版本，负载、Docker、Kubelet等运行状态及系统日志中关键错误信息。数据采集程序不会采集您的业务信息及敏感数据。 根据集群配置，具体检查项可能稍有不同。实际结果请以诊断页面结果为准。 诊断项分组 说明 ClusterComponent 检查集群常见问题，检查项包括APIServer可用性、DNS可用性、集群插件版本是否最新等。 Node 检查节点实例常见问题，检查项包括节点状态、网络状态、内核日志、核心进程和服务可用性等。 NodeComponent 检查节点核心组件状态，检查项包括集群网络插件和集群存储插件。 ClusterComponent检查 检查项名称 说明 修复方案 集群Kubernetes版本过低 检查集群Kubernetes版本是否为云容器引擎当前支持的最新版本。 请通过控制台集群升级功能更新集群kubernetes版本。 集群DNS服务ClusterIP 检查集群DNS服务的Cluster IP是否正常分配，集群DNS服务异常会造成集群功能异常，影响业务。 请检查CoreDNS Pod运行状态和运行日志。更多信息，请参见DNS解析异常问题排查。 集群DNS服务后端端点数 检查集群DNS服务Endpoints数，数量过少时影响CoreDNS的高可用性。 请检查CoreDNS Pod运行状态和运行日志。更多信息，请参见DNS解析异常问题排查。 检查CoreDNS是否部署到不同节点上 检查CoreDNS是否配置了Pod反亲和，调度到不同的节点上，避免单一节点故障，提高可用性。 请检查集群CoreDNS是否配置了Pod反亲和。 检查NodeLocalDNS是否启用并给命名空间配置了自动注入 检查NodeLocalDNS插件是否安装，并给命名空间配置了自动注入，便于该命名空间下的Pod快速解析DNS。 请检查集群中是否安装了NodeLocalDNS插件并给命名空间配置了自动注入。 检查CoreDNS是否调度在Master节点上 Master节点尽量避免业务Pod调度在其上，检查CoreDNS是否配置了nodeAffinity或nodeSelector导致调度到master节点上。 请检查CoreDNS是否配置了nodeAffinity或nodeSelector导致调度到master节点上。 检查集群APISever是否可用 检查节点能否正常连接集群API Server，访问集群中其他K8s资源。 请检查集群相关配置。检查Master组件Pod是否异常。API Server使用的负载均衡ELB是否异常。 检查集群免密插件版本是否最新 检查集群免密插件版本是否为为云容器引擎当前支持的最新版本。 集群免密插件版本检查过低，请尽快升级版本。

runningacommandinashell " ")。 容器的生命周期与启动命令的生命周期一致，即启动命令执行完成后容器的生命周期结束。 下面将以启动一个nginx 为例，介绍容器启动命令典型的三个使用场景： 示例代码如下： nginx c nginx.conf 场景一：容器的“运行命令”和“运行参数”均作设置，界面截图如下： 运行命令和运行参数均设置 所生成的YAML样例如下： command: nginx args: 'c' nginx.conf 场景二：仅设置容器的“运行命令”，界面截图如下： 仅设置运行命令 说明： 运行命令中前后要加英文双引号""，若不加则会按照空格将命令拆分成多条执行。 所生成的YAML样例如下： command: nginx c nginx.conf args: 场景三：仅设置容器的“运行参数”，界面截图如下： 仅设置运行参数 说明： 如果运行命令没有添加到系统路径中，可以使用/bin/sh来执行命令，命令需要加英文双引号""。 所生成的YAML样例如下： command: /bin/sh args: 'c' '"nginx c nginx.conf"' 步骤 3 您可以通过如下方式检查或修改YAML： 创建工作负载时，在“高级设置”步骤中，单击右侧的“YAML创建”。 工作负载创建完成后，在工作负载列表中，单击工作负载名称后的“更多 > 编辑YAML”。 工作负载创建完成后，进入工作负载详情页面，单击右上角的“编辑YAML”。 设置容器启动命令YAML样例 本节以nginx为例，说明通过kubectl设置容器启动命令的方法。 前提条件 请参见通过kubectl操作CCE集群配置kubectl命令，使弹性云主机连接集群。 操作步骤 参见通过kubectl命令行创建无状态工作负载或通过kubectl命令行创建有状态工作负载时，容器启动命令的参数设置如下所示，详细请参见kubernetes官方文档。 apiVersion: extensions/v1beta1 kind: Deployment metadata: name: nginx spec: replicas: 1 selector: matchLabels: app: nginx strategy: type: RollingUpdate template: metadata: labels: app: nginx spec: containers: image: nginx command: sleep '3600'

Web应用防火墙（边缘云版） 支持包年包月付费模式。本文介绍包年包月付费模式具体计费项、计费周期、价格以及计费规则等，帮助您了解本产品的计费相关信息。 包年包月的计费方式也称“包周期”计费方式，是需要预付费后才能开通服务，主要是适用于客户的业务场景比较稳定，可预估资源的使用周期，如果需要长时间的使用资源通过包周期产品的年折扣优惠，价格会更便宜。 备注：带宽扩展包不享受包年折扣。 计费项构成 计费模式 计费项 订购方式 计费周期 计费说明 包年包月（预付费） 套餐服务 官网 包年包月，以年、月为单位的计费周期，均指自然年、自然月 套餐服务（必选）：开通包年包月套餐版本。 体验版、基础版、标准版、专业版、旗舰版。 包年包月（预付费） 扩展服务 官网 如果扩展服务与套餐订购时间一致，到期时间与套餐一致；如果扩展服务订购时间晚于套餐服务，开始计费时间为扩展服务订购日期，到期时间与套餐一致。 扩展服务（可选，单独计费）； 您可以按需选择，扩展服务有效期与套餐服务有效期一致，套餐服务失效，扩展服务自动关停。

本文介绍日志采集器的使用限制。 运行环境 限制项 限制说明 体系结构 Linux lmtagent版本支持x8664和arm64。 Windows lmtagent版本支持x8664。 计算资源 CPU： 主机场景最少预留0.1 Core，默认总 CPU 资源的 50%； 容器场景默认上限为1 Core，lmtagent v2.1及以上版本默认上限为2 Core。 内存： 主机场景默认384 MB； 容器场景默认1 Gi。 实际使用量与采集速率、监控目录和文件数量、发送阻塞程度有关，请保证实际使用率 < 限制80%。 系统环境 参见下面表格 支持操作系统 和 支持CPU架构 存储介质 不建议使用共享网络存储介质，如NAS、OSS，否则可能导致数据截断、内容不一致或采集停止。 支持操作系统 操作系统 发行版 架构 Linux RedHat Enterprise 6、7、8 x8664 Linux CentOS 6、7、8 x8664 Linux CentOS Stream 8 x8664 Linux Debian 8、9、10、11 x8664 Linux Ubuntu 14.04、16.04、18.04、20.04 x8664 Linux SUSE Linux Enterprise Server 11、12、15 x8664 Linux OpenSUSE 15.1、15.2、42.3 x8664 Linux 其他基于glibc 2.5及以上版本的Linux操作系统 x8664 Linux CTyunOS 2.0.1 64位 ARM版 ARM Linux KylinOS V10 SP1、SP2、SP3 64位 ARM版 ARM Linux openEuler 22.03 SP2 64位 ARM版 ARM Linux UOSV201050u1eaarch64 ARM

多区系统调度 1. 登录ECX控制台。 2. 单击左侧【边缘虚拟机>实例】导航栏，点击【新建实例>多区系统调度】。 3. 【区域选择】指定需要开通的区域，支持输入多个区域。 4. 【实例规格】选择需要批量多区域开通的实例规格，目前支持计算型及通用型虚拟机。 5. 【存储】设置系统盘大小，系统会根据最终开通集群所拥有的存储库存自动分配对应规格的系统盘。 6. 【开通数量】输入需要开通的总数量。 7. 【操作系统】选择用于创建虚拟机的镜像。 8. 【账号密码】设置虚拟机操作系统的登录用户及其密码。 9. 【安全组】制定虚拟机使用的安全组策略。 10. 系统会根据设置的区域、实例规格、系统盘容量及区域集群的实际库存，自动将实例尽可能分散开通在不同区域的不同集群上。 11. 目前多区系统调度开通仅支持按需计费模式。 注意 仅线下用户支持多区系统调度。

本章节主要介绍Redis Proxy集群实例。 DCS Redis的集群实例有两种版本可供选择，一种是基于LVS+Proxy的高可用集群版本（以下简称为Proxy版Redis集群），另一种是原生Cluster的集群版本。Proxy版集群兼容开源Redis 3.0，Cluster版本兼容开源Redis的4.0和5.0。 Redis3.0 Proxy集群实例 DCS Redis3.0 Proxy集群实例基于开源Redis 3.0版本构建，提供64G~1024G多种大容量规格版本，用于满足百万级以上并发 与大容量数据缓存的需要。Redis集群的数据分布式存储和读取，由DCS内部实现，用户无需投入开发与运维成本。 Redis集群实例由“负载均衡器”、“Proxy服务器”、“集群配置管理器”、“集群分片”共4个部分组成。 Redis3.0集群实例规格和Proxy数、分片数的对应关系 集群版规格 Proxy节点数 分片数（Shard） 64G 3 8 128G 6 16 256G 8 32 512G 16 64 1024G 32 128 Redis Proxy集群实例示意图 示意图说明： VPC 虚拟私有云。集群实例的内部所有服务器节点，都运行在相同VPC中。 说明 VPC内访问，客户端需要与Proxy集群实例处于相同VPC，并且配置安全组访问规则。 客户应用程序 客户应用程序，即Redis集群客户端。 Redis可直接使用开源客户端进行连接，关于客户端连接示例，请参考连接实例。 LBM/LBS 负载均衡服务器，采用主备高可用方式。Redis集群实例提供访问的IP地址，即为负载均衡服务器地址。 Proxy Redis集群代理服务器。用于实现Redis集群内部的高可用，以及承接客户端的高并发请求。 支持使用Proxy节点的IP连接集群实例。 Redis shard Redis集群的分片。 每个分片也是一个Redis主备实例，分片上的主实例故障时，系统会自动进行主备切换，集群正常提供服务。 某个分片的主备实例都故障，集群可正常提供服务，但该分片上的数据不能读取。 Cluster manager 集群配置管理器，用于存储集群的配置信息与分区策略。用户不能修改配置管理器的信息。

本文介绍连接器集群相关配置,以便您可以快速接入服务。 功能介绍 远程办公场景：在您访问您的企业内部系统之前，您需要通过安装连接器，实现企业员工要访问的内部应用系统资源和AOne边缘节点的网络连通。连接器是使用反向连接技术，将您的内网应用资源和天翼云零信任安全网关进行网络连通，避免业务系统暴露于互联网上。远程零信任办公服务通过连接器可实现统一连通企业多云、混合云、云上VPC、本地机房等跨数据中心网络，有效解决企业数字化转型过程中遇到的混合部署模式下统一接入难题，实现企业内网的统一和可信延伸。 办公组网场景：您需要在进行互联互通的分支网络中部署连接器，连接器可与天翼云边缘节点建立安全隧道或直接与对端连接器打通，通过统一的管理平面，控制不同分支机构的互联互访。 全球加速：您需要在需要进行加速访问的网络中，部署连接器，连接器遵循白名单原则，对需要加速访问的应用进行引流，它将作为“高速公路”入口，与天翼云边缘节点进行网络打通。 使用说明 您需要准备服务器用于安装连接器，可选择云上服务器（云主机）、虚拟机或是物理服务器等进行部署安装，该服务器需要由客户自行购买。 使用该能力需要购买零信任服务、网络服务或全球加速服务，针对不同场景进行选择配置。

本文为您介绍基于DNS的服务发现。 本文主要介绍Kubernetes集群中DNS域名解析原理和在Serverless集群中安装DNS服务器CoreDNS。 背景信息 DNS为Kubernetes集群内的工作负载提供域名解析服务。CoreDNS是Kubernetes集群中负责DNS解析的组件，能够支持解析集群内部自定义服务域名和集群外部域名。CoreDNS具备丰富的插件集，在集群层面支持自建DNS、自定义hosts、CNAME、rewrite等需求。与Kubernetes一样，CoreDNS项目由 CNCF托管，关于CoreDNS的更多信息，可浏览CoreDNS的官网。Serverless集群使用CoreDNS负责集群的服务发现，您可以根据不同使用场景配置CoreDNS及使用CoreDNS提升集群DNS QPS性能。 前提条件 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群。 确保kubectl工具已经连接目标集群。 操作步骤 步骤一：安装CoreDNS插件 1. 登录容器服务控制台，在左侧菜单栏选择“集群”。 2. 在集群列表页面，选择目标集群名称，然后在左侧菜单栏选择“插件”下的“插件市场”，安装CoreDNS插件。 3. 提交“安装插件”，稍后会在集群中创建2个coredns pod，集群会根据Pod内的配置，将域名请求发往集群DNS服务器获取结果。 4. 查看coredns是否正常运行。 步骤二：创建Nginx工作负载，以及service 1. 创建无状态工作负载，参考如下： apiVersion: "apps/v1" kind: "Deployment" metadata: name: "nginxdeploy" namespace: "default" spec: replicas: 2 selector: matchLabels: name: "nginxdeploy" template: metadata: labels: name: "nginxdeploy" source:"CCSE" spec: containers: image: "registryvpccrshuadong1.ctyun.cn/opensource/nginx:1.25alpineamd64" imagePullPolicy: "IfNotPresent" name: "nginx" 2. 查看nginx pod是否正常运行，从eci控制台进入pod容器内部。 kubectl get po ndefault grep nginx 查看Pod内的DNS域名解析配置文件为/etc/resolv.conf，文件内容如下： nameserver 10.96.0.10 search kubesystem.svc.cluster.local svc.cluster.local cluster.local options ndots:5 3. 创建service，参考如下： apiVersion: v1 kind: Service metadata: name: nginxdeploy namespace: default spec: ports: name: tcp80 port: 30002 protocol: TCP targetPort: 80 selector: name: nginxdeploy type: ClusterIP

本文介绍如何创建配置项。 配置项是一种用于存储应用所需配置信息的资源类型，内容由用户决定。资源创建完成后，可在容器应用中加载使用。例如，在“数据卷”中加载资源文件，使其成为容器中的文件，或者在“环境变量”中加载，使其成为容器中的环境变量。 操作步骤 1.单击左侧导航栏的【配置中心】>【配置项】，单击【创建配置项】； 2.参照下表设置新增配置参数，其中带“”标志的参数为必填参数。输入完成后，单击【创建】； 参数 参数说明 集群 配置项所在集群 命名空间 配置项所在命名空间[]( 名称 新建配置项的名称，同一个命名空间里命名必须唯一 添加项/删除项 增加/删除一对键、配置项内容 键 配置项的键值。键值只能由字母、数字、句点、连字符和下划线组成 配置项内容 配置项的内容，通过上传文件/直接输入来表示 3.单击【创建】，等待创建成功，创建成功后，服务列表中会出现已创建的配置项，后续可进行编辑配置项、编辑YAML、删除配置项等操作。

本文介绍如果不配置集群管理权限，是否可以使用kubectl命令。 如果不配置集群管理权限，是否可以使用kubectl命令呢？ 使用kubectl命令无需经过IAM认证，因此理论上不配置集群管理（IAM）权限是可以使用kubectl命令的。但前提是需要获取具有命名空间权限的kubectl配置文件（kubeconfig），以下场景认证文件传递过程中均存在安全泄露风险，应在实际使用中注意。 场景一：如果某IAM子用户先配置了集群管理权限和命名空间权限，然后在界面下载kubeconfig认证文件。后面再删除集群管理权限（保留命名空间权限），依然可以使用kubectl来操作Kubernetes集群。因此如需彻底删除用户权限，必须同时吊销该子用户的kubeconfig文件。 场景二：如果某IAM用户拥有一定范围的集群管理权限和命名空间权限，然后在界面下载kubeconfig认证文件。此时云容器引擎根据用户信息的权限判断用户对应kubeconfig文件，相当于kubeconfig中就拥有这个用户的认证信息，若其他人获取了这个kubeconfig，则可以通过这个kubeconfig文件访问集群。

插件简介 storagedriver插件是用于对接块存储、极速文件存储等Iaas存储服务的FlexVolume驱动。 storagedriver是一款云存储驱动插件，北向遵循标准容器平台存储驱动接口。实现Kubernetes Flex Volume标准接口，提供容器使用云硬盘、极速文件存储等IAAS存储的能力。通过安装升级云存储插件可以实现云存储功能的快速安装和更新升级。 该插件为系统资源插件，kubernetes 1.13 及以下版本的集群在创建时默认安装。 说明： v1.15.11r1是Flexvolume fuxi（即storagedriver）和CSI（即Everest（系统资源插件，必装）插件）兼容接管的过渡版本，在v1.17集群中已经去除了对Flexvolume fuxi的支持，请您将Flexvolume fuxi的使用切换CSI Everest上。 CSI Everest兼容接管Flexvolume fuxi后，原有功能保持不变，但请注意不要新建fuxi Flexvolume的存储，否则将导致部分存储功能异常。 当存储功能有升级或者BUG修复时，用户无需升级集群或新建集群来升级存储功能，仅需安装或升级storagedriver插件。 约束与限制 本插件仅支持在v1.13 及以下版本的集群中安装，v1.15及以上版本集群创建时默认必装Everest（系统资源插件，必装）插件。 安装插件 本插件为系统默认安装，若因特殊情况卸载后，可参照如下步骤重新安装。 在云容器引擎CCE中，kubernetes 1.11及以上版本的新建集群，将会默认安装storagedriver插件。 未安装storagedriver插件的集群，可参考如下步骤进行安装： 步骤 1 登录CCE控制台，在左侧导航栏中选择“插件管理”，在“插件市场”页签下，单击storagedriver插件下的“安装插件”。 步骤 2 在安装插件页面，选择安装的集群和插件版本，单击“下一步：规格配置”。 步骤 3 云存储插件暂未开放可配置参数，直接单击“安装”。 待插件安装完成后，单击“返回”，在“插件实例”页签下，选择对应的集群，可查看到运行中的实例，这表明该插件已在当前集群的各节点中安装。 升级插件 步骤 1 登录CCE控制台，在左侧导航栏中选择“插件管理”，在“插件实例”页签下，选择对应的集群，单击storagedriver下的“升级”。 说明： 如果升级按钮处于冻结状态，则说明当前插件版本是最新的版本，不需要进行升级操作。 升级storagedriver插件时，会替换原先节点上的旧版本的storagedriver插件，安装最新版本的storagedriver插件以实现功能的快速升级。 步骤 2 在基本信息页面选择插件版本，单击“下一步”。 步骤 3 云存储插件暂未开放可配置参数，直接单击“升级”即可升级storagedriver插件。 卸载插件 步骤 1 登录CCE控制台，在左侧导航栏中选择“插件管理”，在“插件实例”页签下，选择对应的集群，单击storagedriver下的“卸载”。 步骤 2 在弹出的窗口中，单击“是”，可卸载该插件。

更换节点池操作系统 登录“云容器引擎”管理控制台； 在集群列表页点击进入指定集群； 进入主菜单“节点管理”——“节点池”； 选择指定节点池，在操作“更多”列选择“升级”； 在升级界面勾选更换操作系统选项（可选择同类型更高版本号操作系统也可选择其他类型系统，如无同类型更高版本号操作系统则当前操作系统已是最新版本），选择目标升级版本，点击“开始升级”。

本节介绍使容器网络限速的用户指南。 在离线应用混部中通过使用容器网络限速，帮助用户为不同应用配置网络带宽限制与优先级，提升集群资源隔离与网络体验。 适用场景 需要对容器的入站/出站网络带宽进行限制，防止单一业务占用过多带宽。 希望为延迟敏感或大带宽业务设置网络优先级，实现更优的流量调度。 功能说明 带宽限制 网络优先级控制 配置方法 启用网络优先级能力（可选） 如需使用网络优先级控制，请确保集群已启用 Cubecni 的优先级功能： 1. 编辑 Cubecni 配置： plaintext kubectl n kubesystem edit cm cubecniconfig 2. 在 10cubecni.conflist 下添加/修改 enablenetworkpriority 为 true： plaintext { "cniVersion": "0.3.1", "name": "cubecni", "plugins": [ { "type": "cubecni", "capabilities": {"bandwidth": true}, "enablenetworkpriority": true } ]} 3. 滚动重启 Cubecni Pod： plaintext kubectl n kubesystem rollout restart ds/cubecni kubectl n kubesystem get po l appcubecni owide w 配置带宽与优先级注解 在 Pod/Deployment YAML 的 metadata.annotations 字段中添加带宽和优先级注解。例如： plaintext apiVersion: apps/v1kind: Deploymentmetadata: name: netperfclient8000 namespace: demospec: replicas: 2 template: metadata: annotations: kubernetes.io/egressbandwidth: 10M kubernetes.io/ingressbandwidth: 20M k8s.ctyun.com/networkpriority: guaranteed spec: containers: name: netperf image: ciliumnetperf:2.0