本文主要介绍集群权限（IAM授权）。 CCE集群权限是基于IAM系统策略 和自定义策略的授权，可以通过用户组功能实现IAM用户的授权。 注意 集群权限仅针对与集群相关的资源（如集群、节点等）有效，您必须确保同时配置了 前提条件 给用户组授权之前，请您了解用户组可以添加的CCE系统策略，并结合实际需求进行选择，CCE支持的系统策略及策略间的对比。 拥有Security Administrator（IAM除切换角色外所有权限）权限的用户（如账号默认拥有此权限），才能看见CCE控制台权限管理页面当前用户组及用户组所拥有的权限。 配置说明 CCE控制台“权限管理 > 集群权限”页面中创建用户组和具体权限设置均是跳转到IAM控制台进行具体操作，设置完后在集群权限页面能看到用户组所拥有的权限。本章节描述操作直接以IAM中操作为主，不重复介绍在CCE控制台如何跳转。 示例流程 图 给用户授予CCE权限流程 1. 创建用户组并授权。 在IAM控制台创建用户组，并授予CCE权限，例如CCEReadOnlyAccess。 说明 CCE服务按区域部署，在IAM控制台授予CCE权限时请选择“区域级项目”。 2. 创建用户并加入用户组。 在IAM控制台创建用户，并将其加入1中创建的用户组。 3. 用户登录并验证权限。 新创建的用户登录控制台，切换至授权区域，验证权限： 在“服务列表”中选择云容器引擎，进入CCE主界面尝试购买集群，如果无法无法成功操作（假设当前权限仅包含CCEReadOnlyAccess），表示“CCEReadOnlyAccess”已生效。 在“服务列表”中选择除云容器引擎外（假设当前策略仅包含CCEReadOnlyAccess）的任一服务，若提示权限不足，表示“CCEReadOnlyAccess”已生效。

插件简介 storagedriver插件是用于对接块存储、极速文件存储等Iaas存储服务的FlexVolume驱动。 storagedriver是一款云存储驱动插件，北向遵循标准容器平台存储驱动接口。实现Kubernetes Flex Volume标准接口，提供容器使用云硬盘、极速文件存储等IAAS存储的能力。通过安装升级云存储插件可以实现云存储功能的快速安装和更新升级。 该插件为系统资源插件，kubernetes 1.13 及以下版本的集群在创建时默认安装。 说明： v1.15.11r1是Flexvolume fuxi（即storagedriver）和CSI（即Everest（系统资源插件，必装）插件）兼容接管的过渡版本，在v1.17集群中已经去除了对Flexvolume fuxi的支持，请您将Flexvolume fuxi的使用切换CSI Everest上。 CSI Everest兼容接管Flexvolume fuxi后，原有功能保持不变，但请注意不要新建fuxi Flexvolume的存储，否则将导致部分存储功能异常。 当存储功能有升级或者BUG修复时，用户无需升级集群或新建集群来升级存储功能，仅需安装或升级storagedriver插件。 约束与限制 本插件仅支持在v1.13 及以下版本的集群中安装，v1.15及以上版本集群创建时默认必装Everest（系统资源插件，必装）插件。 安装插件 本插件为系统默认安装，若因特殊情况卸载后，可参照如下步骤重新安装。 在云容器引擎CCE中，kubernetes 1.11及以上版本的新建集群，将会默认安装storagedriver插件。 未安装storagedriver插件的集群，可参考如下步骤进行安装： 步骤 1 登录CCE控制台，在左侧导航栏中选择“插件管理”，在“插件市场”页签下，单击storagedriver插件下的“安装插件”。 步骤 2 在安装插件页面，选择安装的集群和插件版本，单击“下一步：规格配置”。 步骤 3 云存储插件暂未开放可配置参数，直接单击“安装”。 待插件安装完成后，单击“返回”，在“插件实例”页签下，选择对应的集群，可查看到运行中的实例，这表明该插件已在当前集群的各节点中安装。 升级插件 步骤 1 登录CCE控制台，在左侧导航栏中选择“插件管理”，在“插件实例”页签下，选择对应的集群，单击storagedriver下的“升级”。 说明： 如果升级按钮处于冻结状态，则说明当前插件版本是最新的版本，不需要进行升级操作。 升级storagedriver插件时，会替换原先节点上的旧版本的storagedriver插件，安装最新版本的storagedriver插件以实现功能的快速升级。 步骤 2 在基本信息页面选择插件版本，单击“下一步”。 步骤 3 云存储插件暂未开放可配置参数，直接单击“升级”即可升级storagedriver插件。 卸载插件 步骤 1 登录CCE控制台，在左侧导航栏中选择“插件管理”，在“插件实例”页签下，选择对应的集群，单击storagedriver下的“卸载”。 步骤 2 在弹出的窗口中，单击“是”，可卸载该插件。

本文介绍日志采集器的使用限制。 运行环境 限制项 限制说明 体系结构 Linux lmtagent版本支持x8664和arm64。 Windows lmtagent版本支持x8664。 计算资源 CPU： 主机场景最少预留0.1 Core，默认总 CPU 资源的 50%； 容器场景默认上限为1 Core，lmtagent v2.1及以上版本默认上限为2 Core。 内存： 主机场景默认384 MB； 容器场景默认1 Gi。 实际使用量与采集速率、监控目录和文件数量、发送阻塞程度有关，请保证实际使用率 < 限制80%。 系统环境 参见下面表格 支持操作系统 和 支持CPU架构 存储介质 不建议使用共享网络存储介质，如NAS、OSS，否则可能导致数据截断、内容不一致或采集停止。 支持操作系统 操作系统 发行版 架构 Linux RedHat Enterprise 6、7、8 x8664 Linux CentOS 6、7、8 x8664 Linux CentOS Stream 8 x8664 Linux Debian 8、9、10、11 x8664 Linux Ubuntu 14.04、16.04、18.04、20.04 x8664 Linux SUSE Linux Enterprise Server 11、12、15 x8664 Linux OpenSUSE 15.1、15.2、42.3 x8664 Linux 其他基于glibc 2.5及以上版本的Linux操作系统 x8664 Linux CTyunOS 2.0.1 64位 ARM版 ARM Linux KylinOS V10 SP1、SP2、SP3 64位 ARM版 ARM Linux openEuler 22.03 SP2 64位 ARM版 ARM Linux UOSV201050u1eaarch64 ARM

本文为您介绍如何使用ECI快速部署Tensorflow。 前提条件 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群 。 已开通天翼云弹性文件或对象存储服务，用于存储tensorflow训练结果。 背景信息 TensorFlow是一个开源的机器学习框架，由Google开发和维护。它提供了一个灵活的编程环境，可以用于构建和训练各种机器学习模型，包括神经网络。TensorFlow使用图形计算的方式来表示计算任务，并通过优化技术来实现高效的计算。它支持多种编程语言，包括Python和C++，并且可以在各种硬件平台上运行，包括CPU、GPU和TPU。TensorFlow已经成为机器学习和深度学习领域最受欢迎的框架之一，被广泛应用于各种领域，如图像识别、自然语言处理、推荐系统等。 准备工作 1. 准备训练数据和容器镜像。 1. 训练数据：本文以Github的一个TensorFlow训练任务为例。 2. 容器镜像：在最佳实践中，已准备好适用的示例镜像，示例镜像已上传到天翼云容器镜像仓库中。 2. 创建镜像缓存。在ECI控制台的镜像缓存页面手动创建镜像缓存，如下图所示： 创建镜像缓存时需拉取镜像，受镜像大小和网络的影响，需要一定时间。可通过镜像缓存列表页或者镜像缓存详情页查看进度。镜像缓存状态显示ready时，表示镜像缓存已经创建成功。 3. 创建NAS文件系统。在文件存储控制台创建文件系统。NAS文件系统需和ACK Serverless集群处于同一VPC。

接口功能介绍 虚机删除 接口约束 注意边缘池id与虚机id需正确。 URI POST /v3/evm/deleteInstance 路径参数 无 Query参数 无 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 nodeCode 是 String 边缘池id，可通过查看区域集群编码列表接口获取。 ynlincang1 id 是 String 虚拟机id。 evmxxxxxx refundOrderType 否 Integer 选择退订方式，0退订正常状态资源，退订后冻结；1强制删除冻结状态资源；2退订并销毁正常状态资源，默认值是0。 0 reservedIP 否 Boolean 退订后是否保留IP，false不保留，true暂时保留，过期后仍会释放，默认false。 false 响应参数 参数 参数类型 说明 示例 下级对象 statusCode Integer 状态码 200 message String 状态描述 Success returnObj Object 返回数据 returnObj error String 错误码，执行成功时，不返回该字段 ECX0001 表 returnObj 参数 参数类型 说明 示例 下级对象 id String 虚拟机id evmxxxxx 枚举参数 无

更换节点池操作系统 登录“云容器引擎”管理控制台； 在集群列表页点击进入指定集群； 进入主菜单“节点管理”——“节点池”； 选择指定节点池，在操作“更多”列选择“升级”； 在升级界面勾选更换操作系统选项（可选择同类型更高版本号操作系统也可选择其他类型系统，如无同类型更高版本号操作系统则当前操作系统已是最新版本），选择目标升级版本，点击“开始升级”。

本节介绍了DDoS高防（边缘云版）如何使用网站配置功能。 使用场景 针对已成功接入DDoS高防（边缘云版）的域名，当您需要调整网站的回源配置、请求协议、回源HTTP请求头时，您可在【网站配置】页面进行配置。 前提条件 已开通DDoS高防（边缘云版）。 域名状态为“已启用”。 使用说明 1.登录DDoS高防（边缘云版）控制台。 2.进入【业务接入】【域名接入】页面。 3.选择需要配置的域名，在操作栏点击【网站配置】按钮。 4.您可在基本信息栏中查看域名、CNAME、域名状态、创建时间信息。 5.您可在回源配置栏中进行回源配置的调整。 配置项 说明 源站 源站指的是节点转发回源时的地址： 1、源站地址需要为公网可达的IP，支持IPv4和IPv6，暂不支持只配置IPv6。 2、支持配置多个 源站，相同层级源站会按照权重轮询。 3、源站支持配置域名形式，且域名需支持可解析为具体源站IP，回源时将按照解析域名得到的地址回源。 4、同时配置IPv4和IPv6时，如勾选跟随协议，则来自IPv6的地址将总是转发到IPv6的源站，来自IPv4的地址将总是转发到IPv4的源站。 5、如不勾选跟随协议，则不做区分，混合回源（即IPv4有可能回源到IPv4和IPv6，IPv6同理）。 6、只配置IPv4时，IPv4和IPv6请求都将通过IPv4回源。 回源HOST 回源HOST决定了回源请求访问到源站的哪个站点，未填写时默认为加速域名。自定义配置时，请确保您的源站有配置相应的HOST。 回源协议 回源协议指节点请求您源站资源时使用的应用层协议，根据源站支持情况进行选择： HTTP回源：HTTP / HTTPS 访问均使用 HTTP 回源。 HTTPS回源：HTTP / HTTPS 访问均使用 HTTPS 回源，可以避免您的回源数据被窃取或者篡改，会少量消耗您源站的处理器资源（源站需要支持 HTTPS 访问）。 跟随协议：HTTP 访问使用 HTTP 回源，HTTPS 访问使用 HTTPS 回源。如果您仅需对部分关键的敏感数据采用 HTTPS 协议传输，其他业务采用 HTTP 协议传输，建议您选择“跟随协议”（源站需要支持 HTTPS 访问）。 回源端口 回源端口是节点请求您源站资源时使用的端口，可以根据源站支持情况进行配置： 默认HTTP回源采用80端口，支持自定义修改，仅允许配置1个。 默认HTTPS回源采用443端口 ，暂不支持自定义修改，如有需求，可联系技术支持处理。 6.您可在请求协议栏中进行请求协议配置的调整。 配置项 说明 请求协议 请求协议是指客户端请求时使用的协议类型，默认选择HTTP协议的80端口，若请求包含HTTPS协议的网站，则勾选“HTTPS”。 服务端口 服务端口是客户端请求时使用的端口，默认HTTP开放80端口，HTTPS开放443 ，如需开放特殊非标端口，可联系技术支持处理。 证书 HTTPS提供对网络服务器的身份认证，保护交换数据的隐私和完整性。 证书来源天翼云证书管理平台，可进行下拉选择证书备注名，若未找到证书可直接点击上传。 HTTP2 若您的请求协议中勾选了HTTPS，且您的业务需支持HTTP2协议，请开启HTTP2开关。 强制跳转 开启强制跳转将请求的HTTP强制302跳转至HTTPS进行请求，需保障请求协议HTTPS已开启。 7.您可在回源HTTP请求头栏中自定义配置转发回源时的请求头部，支持配置多条，支持对已配置的参数进行编辑和删除。 说明 自定义配置转发回源时的请求头部： 1、若设置的头部不存在，则会增加该头部。 2、若回源请求头部参数已存在，则设置的请求头会覆盖原有头部。 8.完成配置编辑后，点击右上角【保存】按钮即可。

由于应用服务网格CSM格控制面部署在租户的云容器引擎集群上，开通过程中会主集群安装CRD，部署相关控制面服务等，如果您在自己的云容器引擎集群上已经安装了相同的资源，可能导致资源冲突，需要您确认是否可以删除当前云容器引擎集群上的冲突资源是否可以删除，确认删除冲突资源后再重新开通服务网格。 服务网格CSM安装过程中需要新增的CRD如下： authorizationpolicies.security.istio.io customproxyconfigs.networking.istio.io destinationrules.networking.istio.io envoyfilters.networking.istio.io gateways.networking.istio.io istiooperators.install.istio.io localratelimiters.networking.istio.io peerauthentications.security.istio.io proxyconfigs.networking.istio.io requestauthentications.security.istio.io serviceentries.networking.istio.io sidecars.networking.istio.io telemetries.telemetry.istio.io trafficlabels.networking.istio.io virtualservices.networking.istio.io wasmplugins.extensions.istio.io workloadentries.networking.istio.io workloadgroups.networking.istio.io 新增资源部署如下： apiVersion Kind Namespace Name apps/v1 Deployment istiosystem istioeastwestgateway networking.istio.io/v1alpha3 Gateway istiosystem istiodgateway networking.istio.io/v1alpha3 VirtualService istiosystem istiodvs rbac.authorization.k8s.io/v1 ClusterRole istiosystem istioeastwestgatewaysds rbac.authorization.k8s.io/v1 ClusterRoleBinding istiosystem istioeastwestgatewaysds v1 Service istiosystem istioeastwestgateway v1 ServiceAccount istiosystem istioeastwestgatewayserviceaccount rbac.authorization.k8s.io/v1 ClusterRole istiosystem istiooperator rbac.authorization.k8s.io/v1 ClusterRoleBinding istiosystem istiooperator install.istio.io/v1alpha1 IstioOperator istiosystem istiocontrolplane apps/v1 Deployment istiosystem istiooperator v1 Service istiosystem istiooperator v1 ServiceAccount istiosystem istiooperator v1 Endpoints opaistio admissioncontroller v1 Service opaistio admissioncontroller admissionregistration.k8s.io/v1 MutatingWebhookConfiguration 无 opaistioadmissioncontroller

本节介绍了云容器引擎的最佳实践：如何将Ingress服务暴露到公网。 如果你是通过Ingress访问你的服务，并且想通过公网访问，可为集群Ingress服务配置天翼云ELB。 具体配置步骤如下： 1、登录到控制台，进入服务所在的集群，选择菜单“网络“>”服务“，命名空间选择“kubesystem”，点击”创建服务“按钮。 2、其中负载均衡一栏，选择公网访问，从列表中选择一个要绑定的负载均衡（如果列表为空，请确认你是否有可用的负载均衡，没有的话，请先到ELB控制台创建）。 端口映射一栏，填写好容器端口和服务端口（该端口是负载均衡的监听端口）。如下所示： 注意 nginxingresscontroller pod 默认的http端口是10080，默认的https端口是10443。 如需修改，可以到nginxingresscontroller插件yaml修改端口号。 3、工作负载绑定一栏，类型选择Deployment，名称选择nginxingresscontrollernginxingresscontroller，然后点击提交。 注意 选择工作负载前请先确认nginxingresscontroller插件的版本，如果版本小于1.3.5，这里工作负载类型应选择DaemonSet 4、待ELB绑定后，即可通过服务列表中“集群外访问”中的外网地址访问服务了。

卸载探针 1. 登录应用高可用服务控制台。 2. 在左侧导航栏中，定位到故障演练 菜单，选择要操作的目标应用 ，单击其下的探针管理选项。 3. 在探针管理 页面，选择云容器引擎页签。 4. 在列表中找到目标主机，单击操作列的卸载按钮。 5. 在弹出的对话框中单击确定 ，系统将发起探针卸载流程。 6. 单击操作列的执行记录，可查看探针的操作历史记录。 7. 卸载结束后，列表中的探针安装状态 更新为未安装。 注意 探针列表中的连接状态表示目标资源探针与故障演练服务控制面的连通状态，此状态有一定延迟。 云容器引擎探针通过插件形式安装在容器集群中，可登录云容器引擎控制台查看相关插件实例（ctgchaosinjectoragent 、ctgchaosbladeoperator）。

卸载探针 1. 登录应用高可用服务控制台。 2. 在左侧导航栏中，定位到故障演练 菜单，选择要操作的目标应用 ，单击其下的探针管理选项。 3. 在探针管理 页面，选择云容器引擎页签。 4. 在列表中找到目标主机，单击操作列的卸载按钮。 5. 在弹出的对话框中单击确定 ，系统将发起探针卸载流程。 6. 单击操作列的执行记录，可查看探针的操作历史记录。 7. 卸载结束后，列表中的探针安装状态 更新为未安装。 注意 探针列表中的连接状态表示目标资源探针与故障演练服务控制面的连通状态，此状态有一定延迟。 云容器引擎探针通过插件形式安装在容器集群中，可登录云容器引擎控制台查看相关插件实例（ctgchaosinjectoragent 、ctgchaosbladeoperator）。

本文主要介绍 Pod互访QoS限速。 操作场景 部署在同一节点上的不同业务容器之间存在带宽抢占，容易造成业务抖动。您可以通过对Pod间互访进行QoS限速来解决这个问题。 约束与限制 Pod间互访设置QoS限速支持容器隧道网络模型、VPC网络模型，其中VPC网络模型在使用Pod网络限速时需遵循以下约束： 仅支持1.19.10以上的集群版本。 仅支持普通容器（容器运行时为runc），不支持安全容器（容器运行时为kata）。 仅支持限制Pod访问Pod的场景限速，不对访问节点，对外访问产生影响。 带宽限速上限值为机型带宽上限和4.3G两者之间的最小值。 目前仅支持兆（M）级别以上的限速。 操作步骤 您可以通过对Pod添加annotations指定Pod出口带宽和入口带宽，如下所示。 apiVersion: v1 kind: Pod metadata: annotations: kubernetes.io/ingressbandwidth: 100M kubernetes.io/egressbandwidth: 100M ... kubernetes.io/ingressbandwidth：Pod的入口带宽 kubernetes.io/egressbandwidth：Pod的出口带宽 如果不设置这两个参数，则表示不限制带宽。

随着业务逻辑的复杂化，越来越多的应用需要大量模块之间的网络调用。传统的单一外部防火墙，或依照应用分层的防火墙已渐渐无法满足需求。在一个大的集群里面，各模块、业务逻辑层，或各职能团队之间的网络策略需求越来越强。 CCE基于Kubernetes的网络策略功能进行了加强，通过配置网络策略，允许在同个集群内实现网络的隔离，也就是可以在某些实例（Pod）之间架起防火墙。 使用场景例如：某个用户有支付系统，且严格要求只能某几个组件能访问该支付系统，否则有被攻破的安全风险，通过配置网络策略可免除该风险。 约束与限制 VPC网络模型暂不支持网络策略（NetworkPolicy）。 网络策略（NetworkPolicy）暂不支持设置egress路由规则。 使用说明 若工作负载（例如名称为workload1）未配置网络策略，那“当前集群内的其它工作负载”都可以访问“名为workload1的工作负载”。 设置网络策略 步骤 1 登录CCE控制台，在左侧导航栏中选择“资源管理 > 网络管理”。在NetworkPolicy页签，单击“添加NetworkPolicy”。 NetworkPolicy名称：自定义输入NetworkPolicy名称。 集群名称：选择网络策略所在集群。 命名空间：选择网络策略所在命名空间。 关联工作负载： 单击“选择工作负载”，选择“需要设置网络策略的工作负载”，例如工作负载名称为workload1，单击“确定”。 规则：单击“添加规则”，参数设置请参见下表 表NetworkPolicy添加规则 参数 参数说明 方向 当前仅支持入方向。即“其它工作负载”访问“当前的工作负载（即当前案例中的workload1）”。 协议 请选择对应的协议类型，目前支持TCP和UDP协议，不支持ICMP协议。 目的容器端口 容器镜像中应用程序实际监听端口，需用户确定。nginx程序实际监听的端口为80。 若不填写容器端口，默认所有端口都可被访问。 远端 选择可访问“当前工作负载”的“其它工作负载”。通过目的容器端口来访问。 命名空间： 若选择某个命名空间，则该命名空间下的所有工作负载都会加入白名单，即都可访问workload1。 工作负载： 若选择某个工作负载，即该工作负载可以访问workload1 。仅支持选择与workload1同个命名空间下的“其它工作负载”。 步骤 2 设置完成后，单击“创建”。 步骤 3 若需要为当前工作负载添加更多网络策略，例如其它端口需要被某个工作负载访问，可单击“添加NetworkPolicy”，继续添加更多策略。 创建成功后，“仅远端中配置好的命名空间或工作负载”可以访问“当前工作负载”。

介绍动态PV的使用方式。 动态PV是通过PVC创建的PV，用户不需要提前创建PV，只要通过StorageClass把存储资源定义好，Kubernetes就会根据PVC动态创建PV，自动触发HBlock CSI插件动态创建HBlock的卷。动态PV适用于存储卷较多，但存储卷的类型都相同的场景。 使用动态PV的主要流程如下： 创建StorageClass 新建StorageClass的YAML配置文件 卷模式为filesystem，创建StorageClass csistorsclocalstor1lun08的YAML配置文件csistorageclasslocalstor1lun08.yaml。可以参考examplesfilesystemvolumesdynamicpvlocalcsistorageclasslocal.yaml中的示例。 plaintext apiVersion: storage.k8s.io/v1 kind: StorageClass metadata: Set to the actual driver name name: csistorsclocalstor1lun08 StorageClass名称 Set to the actual driver name provisioner: stor.csi.k8s.io HBlock CSI安装时的驱动名称。 parameters: storageMode: Local HBlock 卷的存储类型 fsType: xfs 卷被挂载到容器的文件系统类型，支持xfs，ext4 readOnly: "false" 是否以只读方式挂载卷 sectorSize: "4096" HBlock 中卷的扇区大小，支持512,4096，单位是bytes localStorageClass: "EC 2+1" HBlock卷冗余模式 minReplica: "2" 最小副本数（仅HBlock集群版支持）。 highAvailability: "ActiveStandby" HBlock卷高可用模式。 writePolicy: "WriteBack"

本文介绍了集群安全组规划配置的用户指南。 云容器引擎作为通用的容器平台，需配置适用于 Kubernetes 集群的安全组。创建集群时，支持选择默认新增和使用已有安全组。 选择默认新增会为 Master 节点和 Worker 节点共同创建一个安全组，安全组名称是：securitygroup{vpcID}。用户可以根据安全要求，登录天翼云控制台，点击产品 > 网络 > 虚拟私有云，在控制台左侧点击访问控制 > 安全组，根据名称找到对应安全组规则进行修改。 选择使用已有安全组，请参考集群自动创建的默认安全组规则放通指定端口，以确保集群中的正常网络通信。 安全组规则说明 方向 端口 协议 默认源/目的地址 说明 优先级（取值越小优先级越高） 是否支持修改 入方向规则 全部 TCP + UDP 198.19.128.0/20 VPCE内网地址段 99 不可修改 入方向规则 全部 TCP + UDP 100.64.0.0/10 内网DNS、云存储等云产品网段 99 不可修改 入方向规则 全部 TCP + UDP VPC网段 节点之间互访 99 不可修改 入方向规则 全部 TCP + UDP VPC IPv6网段 节点之间IPv6互访 99 不可修改 入方向规则 全部 TCP + UDP 100::/16 云产品IPv6网段 99 不可修改 出方向规则 全部 TCP 169.254.169.254/32 主机元数据服务地址 99 不可修改 出方向规则 全部 TCP + UDP 100.64.0.0/10 内网DNS、云存储等云产品网段 99 不可修改 出方向规则 全部 TCP + UDP VPC网段 节点之间互访 99 不可修改 出方向规则 全部 TCP + UDP VPC IPv6网段 节点之间IPv6互访 99 不可修改 出方向规则 全部 TCP + UDP 100::/16 云产品IPv6网段 99 不可修改 出方向规则 全部 TCP + UDP 0.0.0.0/0 默认全部放通，不建议修改 100 可修改 出方向规则 全部 TCP + UDP 0:0:0:0:0:0:0:0/0 默认全部放通，不建议修改 100 可修改

本章节主要介绍翼MapReduce的配置队列操作。 操作场景 根据业务需求，管理员可以在FusionInsight Manager修改指定租户的队列配置。 前提条件 已添加使用Superior调度器的租户。 操作步骤 1. 在FusionInsight Manager，单击“租户资源”。 2. 单击“动态资源计划”页签。 3. 单击“队列配置”页签。 4. “集群”参数选择待操作的集群名称，然后指定租户资源名的“操作”列，单击“修改”。 说明 l 在“租户资源管理”页签左侧租户列表，单击目标的租户，切换到“资源”页签，单击“队列配置（队列名）”后面的也能打开修改队列配置页面。 l 一个队列只能绑定一个非default资源池。 l 对于“每个YARN容器最多分配核数”、“每个YARN容器最大分配内存（MB）”、“最多运行任务数”、“每个用户最多运行任务数”和“最多挂起任务数”等参数，为便于操作，当子租户值为1时，父租户值可以设置为具体限制值；当父租户设置为具体限制值时，子租户可以设置为1。 l “每个YARN容器最多分配核数”和“每个YARN容器最大分配内存（MB）”需要同时修改为非1的值才会生效。 队列配置参数 参数名 描述 AM最多占有资源（%） 表示当前队列内所有Application Master所占的最大资源百分比。 每个YARN容器最多分配核数 表示当前队列内单个YARN容器可分配的最多核数，默认为1，表示取值范围内不限制。 每个YARN容器最大分配内存（MB） 表示当前队列内单个YARN容器可分配的最大内存，默认为1，表示取值范围内不限制。 最多运行任务数 表示当前队列最多同时可执行任务的数目，默认为1，表示取值范围内不限制（为空意义相同），为0表示不可执行任务。取值范围为1～2147483647。 每个用户最多运行任务数 表示每个用户在当前队列中最多同时可执行任务的数目，默认为1，表示取值范围内不限制（为空意义相同），为0表示不可执行任务。取值范围为1～2147483647。 最多挂起任务数 表示当前队列最多同时可挂起任务的数目，默认为1，表示取值范围内不限制（为空意义相同），为0表示不可挂起任务。取值范围为1～2147483647。 资源分配规则 表示单个用户任务间的资源分配规则，包括FIFO和FAIR。一个用户若在当前队列上提交了多个任务，FIFO规则代表一个任务完成后再执行其他任务，按顺序执行。FAIR规则代表各个任务同时获取到资源并平均分配资源。 默认资源标签 表示在指定资源标签（Label）的节点上执行任务。 Active状态 ACTIVE表示当前队列可接受并执行任务。 INACTIVE表示当前队列可接受但不执行任务，若提交任务，任务将处于挂起状态。 Open状态 OPEN表示当前队列处于打开状态。 CLOSED表示当前队列处于关闭状态，若提交任务，任务直接会被拒绝。 故障时是否队列迁移 集群开启单集群跨AZ高可用时，如果AZ故障后，需要当该租户正在运行的队列重新提交至其他AZ，可设置“故障时是否队列迁移”参数为“是”。 5. 单击“确定”完成配置。

插件使用 1. 登录分布式容器云平台控制台，在集群管理页面，选择一个可用的注册集群，点击进入集群详情页。 2. 在左侧导航栏中选择 插件 > 插件市场，选择需要安装的插件，并点击 安装，选择对应的插件版本和超时时间；若有需要修改插件内容，可修改插件参数后再安装。 3. 安装成功之后，可以在左侧导航栏选择 插件 > 插件实例，查看实例状态为 运行中，即可开始使用插件功能。 4. 若需卸载插件，请在 插件实例 或 插件市场，选中插件，点击卸载按钮进行卸载。

本章节主要介绍通过X509证书连接集群。 操作场景 通过控制台获取集群证书，使用该证书可以访问Kubernetes集群。 操作步骤 步骤 1 登录CCE控制台，单击集群名称进入集群。 步骤 2 在左侧导航栏中选择“集群信息”，在右边“连接信息”下证书认证一栏，单击“下载”。 步骤 3 在弹出的“证书获取”窗口中，根据系统提示选择证书的过期时间并下载集群X509证书。 注意 下载的证书包含client.key、client.crt、ca.crt三个文件，请妥善保管您的证书，不要泄露。 集群中容器之间互访不需要证书。 步骤 4 使用集群证书调用Kubernetes原生API。 例如使用curl命令调用接口查看Pod信息，如下所示，其中192.168.0.18:5443为集群API Server地址。 curl cert ./client.crt key ./client.key 更多集群接口请参见Kubernetes API。

本小节介绍关闭容器安全防护。 您可以为已开启容器版防护的服务器关闭安全防护，关闭后可释放配额，可供其他服务器防护使用。 操作须知 关闭防护对业务不会产生影响，但关闭后服务器被入侵的风险会急剧上升，建议保持开启防护的状态。 操作步骤 1、 登录管理控制台。 2、在弹窗界面单击“体验新版”，切换至企业主机安全页面。 注意 切换至新版后，在总览页左上角单击“返回旧版”，可切换至企业主机安全（旧版）。 3、 在左侧导航树中，选择“资产管理 > 容器管理”，进入“容器节点管理”页面。 4、根据需求可选择批量关闭防护和单服务器关闭防护。 单服务器关闭防护 a.在“节点列表”中目标服务器的“操作”列单击“关闭防护”。 b.在弹窗中确认关闭服务器的信息，确认无误，单击“确认”，防护关闭。 c.关闭后在“资产管理 > 容器管理 > 节点列表”页面查看目标服务器的“容器防护状态”为“未防护”，关闭成功。 说明 关闭防护对业务不会产生影响，但关闭后服务器被入侵的风险会急剧上升，建议保持开启防护的状态。 批量关闭防护 a.在“节点列表”中勾选多个目标服务器前的选框，单击上方“关闭防护”。 b.在弹窗中确认关闭服务器的信息，确认无误，单击“确认”，防护关闭。 c.关闭后在“资产管理 > 容器管理 > 节点列表”页面查看目标服务器的“容器防护状态”为“未防护”，关闭成功。 注意 关闭防护对业务不会产生影响，但关闭后服务器被入侵的风险会急剧上升，建议保持开启防护的状态。

专属云中的云容器引擎 场景特点：专属云容器引擎在天翼公有云中为企业用户提供物理隔离的资源和服务专属云空间。租户独占计算资源和存储资源，并使用天翼云高可靠的云网络，满足租户应用系统的高可靠、高性能和高安全等要求，支撑企业关键应用，减轻企业运维负担 场景优势： 专属隔离 租户在专属云中独享计算资源、存储资源和容器集群，与公有云其它租户的资源物理隔离，满足特殊行业核心数据隔离合规等要求 安全可靠 资源独占零抖动，服务专享高安全，可支持云上云下双中心、多点容灾备份 灵活组合 专属云中的云容器引擎支持与数据库、应用平台等服务实例对接，可灵活搭配公有云服务，实现资源弹性扩容

参数 说明 实例名称 系统默认以“资源池名称+VPC名称+实例内网IP”自动生成实例名称。用户可在实例详情页面对其进行修改。 修改实例名称： 1. 在实例详情页面，单击实例名称右侧的 图标。 2. 修改实例名称后，单击“保存”，完成修改。 实例ID 实例的ID。 节点个数 当前实例的节点个数。 运行状态 当前实例的运行状态，包括正常、异常、离线。 WAF防护开关 可对实例的防护状态进行开启或关闭，关闭后，该实例下所有防护对象都将不受防护。 资源池 当前实例所属资源池。 VPC名称 当前实例所属VPC。 子网名称 当前实例所属子网。 防护对象 接入防护对象的个数。在实例详情页点击数字可跳转至对应防护对象列表页。 产品版本 实例的规格，单机版或集群版。 实例IPv4 单机版：显示单机节点本身内网IPv4地址。 集群版：显示集群VIP的IPv4地址。 单击“新增辅助网卡”，可以为实例新增网卡，详细操作请参见 实例IPv6 单机版：显示单机节点本身内网IPv6地址。 集群版：显示集群VIP的IPv6地址。 公网代理IPv4 绑定在实例上的IPv4公网地址，用于互联网IPv4通信。 公网代理IPv6 绑定在实例上的IPV6公网地址，用于互联网IPV6通信。

约束与限制 安全容器不支持使用对象存储卷。 OBS限制单用户创建100个桶，但是CCE使用OBS桶为单个工作负载挂载一个桶，当工作负载数量较多时，容易导致桶数量超过限制，OBS桶无法创建。建议此种场景下直接通过OBS的API或SDK使用OBS，不在工作负载中挂载OBS桶。 1.19.10以下版本的集群中，如果使用HPA策略对挂载了EVS卷的负载进行扩容，当新Pod被调度到另一个节点时，会导致之前Pod不能正常读写。 1.19.10及以上版本集群中，如果使用HPA策略对挂载了EVS卷的负载进行扩容，新Pod会因为无法挂载云硬盘导致无法成功启动。 1.19及以下版本的集群在卸载subpath时会遍历subpath下所有文件夹，若文件夹数量较多的情况下，遍历时间较长，卸卷时间对应较长。建议在subpath下不要建立太多文件夹，否则可能会出现Pod删除卸卷时间较长的情况。 CCE集群下挂载的OBS中单个文件大小限制远小于obsfs限制。 插件使用推荐 使用CSI插件（Everest）要求Kubernetes版本需为 1.15及以上 ，v1.15及以上版本的集群在创建时将默认安装本插件，v1.13及以下版本集群创建时默认安装Flexvolume插件（storagedriver）。 集群版本由v1.13升级到v1.15后，v1.13版本集群中的Flexvolume容器存储插件（storagedriver）能力将由v1.15的CSI插件（Everest，插件版本v1.1.6及以上）接管，接管后原有功能保持不变。 插件版本为1.2.0的Everest优化了使用OBS存储时的 密钥认证功能 ，低于该版本的Everest插件在升级完成后，需要重启集群中使用OBS存储的全部工作负载，否则工作负载使用存储的能力将受影响。

此小节介绍企业主机安全策略管理。 企业主机安全旗舰版提供灵活的策略管理能力，用户可以根据需要自定义安全检测规则，并可以为不同的主机组或主机应用不同的策略，以满足不同应用场景的主机安全需求。 约束限制 需开启高级版、企业版、旗舰版、网页防篡改版、容器版中任一版本。 操作须知 开启企业版主机防护时，默认绑定“租户侧企业版策略组”（包含“弱口令检测”和“网站后门检测”策略），应用于全部的云服务器，不需要单独部署策略。 购买“旗舰版”或者“网页防篡改赠送旗舰版”后，开启旗舰版/网页防篡改版防护时，默认绑定了“租户侧旗舰版策略组”。 用户也可以通过复制“租户侧旗舰版策略组”的方式，创建自定义策略组，将“租户侧旗舰版策略组”替换为用户的自定义策略组，更加灵活的应用于不同的云服务器或者云服务器组。 策略列表 策略名称 策略说明 支持的操作系统 企业版 旗舰版 网页防篡改版 容器安全 资产发现 检测系统中的软件信息，包含软件名称、软件路径、主要应用等，帮助用户识别异常资产。 Linux × √ √ √ 弱口令检测 检测系统帐户口令是否属于常用的弱口令，针对弱口令提示用户修改。 Linux √ （只支持自定义弱口令） √ √ √ 配置检测 对常见的Tomcat配置、Nginx配置、SSH登录配置进行检查，帮助用户识别不安全的配置项。 Linux × √ √ √ containerescape 对容器到宿主机的逃逸进行检测，避免出现漏洞风险。 Linux × × × √ Webshell检测 检测云服务器上Web目录中的文件，判断是否为Webshell木马文件。 Linux √ （只支持配置检测路径） √ √ √ 容器文件监控 检测违反安全策略的文件异常访问，安全运维人员可用于判断是否有黑客入侵并篡改敏感文件。 Linux × × × √ 容器进程白名单 检测违反安全策略的进程启动。 Linux × × × √ 文件保护 检测操作系统、应用程序软件和其他组件的文件，确定文件是否发生了可能遭受攻击的更改。 Linux × √ √ √ 登录安全检测 检测SSH、FTP、MySQL等帐户遭受的口令破解攻击。 如果30秒内，帐户暴力破解次数（连续输入错误密码）达到5次及以上，HSS就会拦截该源IP，禁止其再次登录，防止主机因帐户破解被入侵。 SSH类型攻击默认拦截12小时，其他类型攻击默认拦截24小时。根据帐户暴力破解告警详情，如“攻击源IP”、“攻击类型”和“拦截次数”，您能够快速识别出该源IP是否为可信IP，如果为可信IP，您可以通过手动解除拦截的方式，解除拦截的可信IP。 Linux × √ √ √ 恶意文件检测 反弹shell：实时监控用户的进程行为，及时发现进程的非法Shell连接操作产生的反弹Shell行为。 异常shell：检测系统中异常Shell的获取行为，包括对Shell文件的修改、删除、移动、复制、硬链接、访问权限变化。 Linux × √ √ √ 进程异常行为 通过对运行进程的管控，全局检测各个主机的运行信息，保障云主机的安全性。您可以建立自己的进程白名单，对于进程的非法行为、黑客入侵过程进行告警。 Linux × √ √ √ root提权 检测当前系统文件路径的root提权行为。 Linux × √ √ √ 实时进程 检测进程中高危命令的执行行为，发生高危命令执行时，触发告警。 Linux，Windows × √ √ √ 查看策略组列表 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、在左侧导航栏，选择“安全运营 > 策略管理”，进入“策略管理”界面，查看显示的策略组，字段说明如表所示。 说明 tenantlinuxcontainerdefaultpolicygroup：容器版linux系统预置策略，仅可被查看，不可复制和删除。 tenantlinuxenterprisedefaultpolicygroup：企业版linux系统预置策略，仅可被查看，不可被复制和删除。 tenantwindowsenterprisedefaultpolicygroup：企业版windows系统预置策略，仅可被查看，不可被复制和删除。 tenantlinuxpremiumdefaultpolicygroup：旗舰版linux系统预置策略，可通过复制该策略组来创建新的策略组。 tenantwindowspremiumdefaultpolicygroup：旗舰版windows系统预置策略，可通过复制该策略组来创建新的策略组。 可在列表右上角单击 ，手动刷新当前列表。 可单击关联服务器数的数量，查看策略组关联的服务器。 策略组列表字段说明 字段 说明 策略组名称 策略组的名称。 ID 策略组的ID号，对策略组的唯一标识。 描述 对策略组的描述。 支持的版本 策略组支持的主机安全的版本。 5、单击策略组名称，进入查看策略组详情界面，可以查看该策略组的策略列表，包括策略名称、状态、功能类别和支持的操作系统。 “租户侧企业版策略组”和“租户侧旗舰版策略组”中的所有策略默均为“已启用”状态。 若您不需要执行其中一项策略的检测，您可以在策略所在行的“操作”列单击“关闭”，关闭该策略项的检测。请根据您的需要“开启”或者“关闭”策略的检测。 Linux策略组详情 6、单击策略名称，可以查看策略的详情。 若需要修改或配置策略，请参见编辑策略内容。 示例弱口令策略详情

比较项 Redis 3.0 Redis 4.0 & Redis 5.0 Redis 6.0 兼容开源版本 Redis 3.0兼容开源3.0.7版本 Redis 4.0兼容开源4.0.14版本Redis 5.0最新版本兼容开源5.0.14版本。存量用户可以参考 查询Redis原生版本 进行查询。 Redis 6.0兼容开源6.2.7版本 实例部署模式 采用虚机部署 在物理机上容器化部署 在物理机上容器化部署 CPU架构 支持x86和Arm 支持x86和Arm 支持x86 创建实例耗时 315分钟，集群约1030分钟 约8秒 约8秒 QPS 单节点约10万QPS 单节点约10万QPS 单节点约15万QPS 可视化数据管理 不支持 提供Web CLI访问Redis，管理数据 提供Web CLI访问Redis，管理数据 实例类型 支持单机、主备、Proxy集群 支持单机、主备、Proxy集群、Cluster集群、读写分离 支持单机、主备 实例规格 提供2G、4G、8G直至1024G多种规格 提供2G、4G、8G直至1024G多种规格，同时单机主备还支持128MB、256MB、512MB、1GB四种小规格实例 提供4G、8G、16G、32G、64G多种规格，同时单机主备还支持128MB、256MB、512MB、1GB四种小规格实例 扩容/缩容 支持在线扩容和缩容 支持在线扩容和缩容 支持在线扩容和缩容 备份恢复 主备和集群实例支持 主备、读写分离、集群实例支持 主备

项目 描述 请求时间 HBlock接收到事件请求的时间。 事件名称 用户事件名称，详见 模块 用户事件所属模块： 卷。 服务器。 系统。 iSCSI目标。 存储池（仅集群版支持）。 集群拓扑（仅集群版支持）。 快照。 一致性快照。 QoS策略。 请求者IP 发起请求的源IP地址。 状态码 响应状态码。 操作 点击“查看”，可以查看事件的详细信息。

本节主要介绍了云硬盘概述、云硬盘类型及性能等。 云硬盘概述 云硬盘（Edge Cloud Disk，ECD）是一种为边缘虚拟机等边缘计算服务提供持久性块存储的服务，云硬盘是一种基于分布式架构的，可弹性扩展的虚拟块存储设备。通过数据冗余和缓存加速等多项技术，提供高可用性和持久性，以及稳定的低时延性能。用户可以对云硬盘做格式化、创建文件系统等操作，并对数据做持久化存储。数据的安全性高，扩展性好，支持三副本机制，数据可支持热迁移等等。 ECX由于边缘节点容量有限，云硬盘相对于云资源池的云硬盘容量要少得多，由于云硬盘多备份技术数据的可靠性相对本地硬盘更高，但如果您有关键数据需要安全存储请优先云资源池的云硬盘。 云硬盘类型及性能 云硬盘主要有三种类型：高IO、通用型SSD、超高IO，可购买的资源以实际展示的库存为准。详细性能如下： 参数 高IO 通用型SSD 超高IO 单个云硬盘的最大IOPS 5000 20000 35000 单个云硬盘的基线IOPS 1800 1800 1800 单个云硬盘IOPS公式 min (5000, 1800 + 8 × 容量) min(20000, 1800 + 12 × 容量) min (35000, 1800 + 50 × 容量) 最大吞吐量 200MB/s 250MB/s 350MB/s 吞吐量公式 min(200,130+0.1×容量) MB/s min(250, 120 + 0.3 × 容量) MB/s min (350, 120 + 0.5 × 容量) MB/s 最大性能云硬盘大小 max(400, 700) max(683, 433) max(664, 460) 典型应用场景 适用于主流的高性能、高可靠应用场景，例如大型开发测试、Web服务器日志以及企业应用。典型的企业应用有SAP、Microsoft Exchange 和 Microsoft SharePoint等。 各种主流的高性能、低延迟交互应用场景，企业办公，大型开发测试，转码类业务，Web服务器日志，容器等高性能系统盘。 适用于超高IO、超大带宽的读写密集型应用场景，例如高性能计算应用场景、分布式文件系统场景、I/O密集型应用场景、各类 NoSQL和关系型数据库部署等场景。

2. 创建数据集版本 登录云容器引擎管理控制台 在集群列表页点击进入指定集群 进入主菜单 智算套件 > AI应用管理 > 数据集 > 私有数据集，查看指定数据集 查看指定数据集，进入版本页，点击“创建版本” 在创建数据集版本页面，首先完成基础信息配置，参考 创建数据集 进行数据加速配置，具体配置项与 “创建数据集开启加速” 一致 3. 开启加速 由于数据源配置资源及缓存引擎资源是集群级别，即对数据集开启加速时，默认仅在当前创建数据集所在集群开启加速。 同资源池下其他集群如需使用加速功能，需进入指定集群开启加速。 操作步骤如下： 登录云容器引擎管理控制台 在集群列表页点击进入指定集群 进入主菜单 智算套件 > AI应用管理 > 数据集 > 私有数据集 在私有数据集列表页，选择指定数据集，点击 “加速” 按钮 在加速弹窗中，选择数据集版本，进行数据加速配置，具体配置项与 “创建数据集开启加速” 一致。 注意 数据集加速配置弹窗中，数据集版本仅展示可用状态，且未加速的版本。 4. 查看数据集 数据集开启加速后，在数据集详情页，可以查看各版本加速状态。 最初加速状态为加速中，此时后台同步生成数据源配置资源与加速引擎资源，如下图所示： 后台资源就绪约1~2min ，数据集加速状态变为已加速，此时可以根据需要进行缓存预热或直接使用数据集：

参数 说明 配置名称 权限组名称，只能由数字、字母、组成，不能以数字和开头、且不能以结尾。 网络类型 默认专有网络。 描述内容 权限管理描述内容，长度为0128字符。

本文介绍了认证与访问控制相关说明。 RDSPostgreSQL支持CTIAM身份认证与多种访问控制，多维度保障您云数据库的安全。 身份认证 CTIAM 统一身份认证（Identity and Access Management， 简称：CTIAM），是提供用户进行权限管理的基础服务，可以帮助您安全的控制天翼云服务和资源的访问及操作权限，包括：用户身份认证、权限分配、访问控制等功能。 您可以创建IAM用户，并为其设置RDSPostgreSQL实例权限，该用户就可以通过用户名和密码访问授权的实例资源。 访问控制 权限控制 购买RDSPostgreSQL实例之后，您可以使用CTIAM为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，通过CTIAM进行精细的权限管理。 VPC和子网 虚拟私有云（Virtual Private Cloud，VPC）为RDSPostgreSQL构建隔离、私密的虚拟网络环境，提升数据库的安全性，并简化用户的网络部署。您可以完全掌控自己的专有网络，VPC丰富的功能帮助您灵活管理云上网络，包括创建子网、设置安全组和网络ACL、管理路由表、申请弹性公网IP和带宽等。 通过子网与其他网络隔离，独享网络资源，提高网络安全性。 具体内容请参见虚拟私有云用户指南创建虚拟私有云和子网。 白名单管理 白名单管理中，用户可对实例设置可访问的IP地址或IP段，控制数据库的安全访问，来保证保障其访问来源的安全性。 具体请参见关系数据库PostgreSQL版用户安全数据安全白名单管理。 安全组 安全组是一个逻辑上的分组，可以为同一个虚拟私有云内具有相同安全保护需求并相互信任的数据库实例提供相同的访问策略。您可以通过为数据库实例设置安全组，开通需访问数据库的IP地址和端口，来保证保障其运行环境的安全性和稳定性。 具体请参见关系数据库PostgreSQL版快速入门步骤二：设置安全组规则。

云服务名称 是否支持条件键 云通信短信 否 弹性文件服务 否 分布式消息服务Kafka 否 账务 是 分布式消息服务RabbitMQ 否 分布式消息服务RocketMQ 否 云硬盘 是 天翼云电脑（政企版） 是 内网DNS 否 CRM业务中台 是 分布式缓存服务Redis版 否 弹性云主机 是 弹性负载均衡 否 镜像服务 是 云监控 否 弹性伸缩服务 否 虚拟私有云 是 物理机 否 云硬盘备份 否 云主机备份 否 服务器安全卫士（原生版） 否 密钥管理 否 云间高速 否 统一身份认证 是 客服工单 是 容器云服务引擎CCSE 是 微服务应用平台MSAP 否 活动与券 是 消息管理 是 Web应用防火墙（原生版） 否 云审计 否 企业组织 是 VPC终端节点 否 NAT网关 是

本节主要介绍常见问题。 如何解决新增节点时提示弹性IP不足的问题？ 问题描述 在CCE集群中新增节点时，在“弹性IP”处选择“自动创建”，但创建节点失败，提示弹性IP不足。 解决方法 您可以有两种方法解决弹性IP不足的问题。 方法一：解绑已绑定弹性IP的虚拟机，再重新添加节点。 a. 登录弹性云主机控制台。 b. 在弹性云主机列表中，找到待解绑云服务器，单击云服务器名称。 c. 在打开的弹性云主机详情页中，单击“弹性公网IP”页签，在公网IP列表中单击待解绑IP后的“解绑”，为该云服务器解绑弹性IP，单击“确定”。 d. 返回CCE控制台创建节点页面中，选择“使用已有”重新新增节点的操作。 方法二：提高弹性IP的配额。 天翼云对用户的资源数量和容量做了配额限制。如果资源配额限制满足不了用户的使用需求，可以通过工单系统来提交工单申请，并告知您申请提高配额的理由。 在通过审理之后，我们会更新您的配额并进行通知。 如何快速清理已删除节点上的CCE组件？ 使用场景 若集群中包含纳管节点，删除对应集群和节点不会删除对应的ECS，此时请按照界面提示清理节点上CCE组件。若未按照提示清理节点组件，后续需要清理ECS时，可按照如下操作进行清理。 操作步骤 1登录CCE控制台。 2在左侧导航栏中选择“集群管理 > 节点管理”，在右侧的节点列表中找到要执行操作的纳管节点，在节点的“操作”区域下单击“更多 > 移除”。 3在弹出的“移除纳管节点”对话框中输入"REMOVE"确认移除节点，单击“确认”。 4、认真阅读弹出的“提示”页面内容，按照步骤清理CCE相关资源。 如何加固CCE集群的节点VPC安全组规则？ CCE作为通用的容器平台，安全组规则的设置适用于通用场景。用户可根据安全需求，通过网络控制台的安全组找到CCE集群对应的安全组规则进行安全加固。 安全组查找路径：登录控制台，单击服务列表中的“网络 > 虚拟私有云 VPC”，在网络控制台单击“访问控制 > 安全组”。 其中，控制节点的安全组名称是：{集群名}ccecontrol{随机ID}；用户节点的安全组名称是：{集群名}ccenode{随机ID}。 安全组中必须开启的端口如下： {集群名}ccecontrol{随机ID}： •源地址属于本安全组规则的需全部放通。 •5444、8445、9443、4789端口的规则不能修改。 •5443端口需对VPC网段、容器网段放通。 {集群名}ccenode{随机ID}： •源地址属于本安全组规则的需全部放通。 •4789、10250端口的规则不能修改。 •3000032767端口需对VPC网段、容器网段和ELB的网段放通。

操作场景 密钥（Secret）是一种用于存储工作负载所需要认证信息、密钥的敏感信息等的资源类型，内容由用户决定。资源创建完成后，可在容器工作负载中作为文件或者环境变量使用。 前提条件 已创建集群和节点资源，具体操作请参见购买混合集群。若已有集群和节点资源，无需重复操作。 操作步骤 步骤 1 登录CCE控制台，在左侧导航栏中选择“配置中心 > 密钥（Secret）”，单击“添加密钥”。 步骤 2 您可以直接创建密钥或基于YAML来创建。若希望通过YAML创建，请跳转至步骤4。 步骤 3 方式一：直接创建密钥。 参照下表设置基本信息。 表密钥基本信息说明 参数 参数说明 密钥名称 新建的密钥的名称，同一个命名空间内命名必须唯一。 所属集群 使用新建密钥的集群。 集群命名空间 新建密钥所在的命名空间，默认为default。 描述 密钥的描述信息。 密钥类型 新建的密钥类型。 Opaque：一般密钥类型。 kubernetes.io/dockerconfigjson：存放拉取私有仓库镜像所需的认证信息。 IngressTLS：存放7层负载均衡服务所需的证书。 其他：若需要创建其他类型的密钥，请手动输入密钥类型。 密钥数据 工作负载密钥的数据可以在容器中使用。 当密钥为Opaque类型时。 1. 单击“添加更多密钥数据” 。 2. 输入键、值。其中“值”必须使用Base64编码，Base64编码方法请参见如何进行Base64编码.docx