您可以通过网络隔离开关，设置命名空间层面的网络策略。 例如命名空间default，网络隔离的默认状态为“隔离状态未开启”，表示“当前集群下的所有工作负载”都可以访问“命名空间default下的工作负载”。 若您需要设置其它工作负载不可以访问“命名空间default下的工作负载”，请参照以下步骤设置： 须知： 网络模型为“VPC网络”时不支持命名空间（namespace）的网络隔离，仅在“容器隧道网络”模式下支持。 前提条件 您已成功创建一个Kubernetes集群，参见购买混合集群。 您已成功创建一个命名空间，参见创建命名空间。 操作步骤 步骤 1 登录为CCE控制台，在左侧导航栏中选择“资源管理 > 命名空间”。 步骤 2 在“集群”下拉框中，选择命名空间所在的集群。 步骤 3 在待设置命名空间（例如default）后，将网络隔离一栏的“隔离状态未开启”改为“隔离状态已开启”，开启后，当前集群内的其他工作负载都不能访问此命名空间下的工作负载。 设置完成后，当前集群内其它命名空间下的工作负载都不能访问default下的工作负载。

针对DDoS高防（边缘云版）续费情况，为您进行说明，请在续费前务必阅读以下内容。 规则说明 1. 只有通过实名认证的客户，才可以执行续订操作。 2. 未完成订单中的资源不允许续订，如开通中的资源、规格变更中的资源、退订中的资源。 3. 已退订或释放的资源不可续费。 4. 若资源到期后续费，续费周期自资源续订解冻开始，计算新的服务有效期，按照新的服务有效期计算费用。例如，客户资源2020年9月30号到期，10月11号续订1个月，那么资源新的服务开始时间为10月11号，到期时间为11月10号。相关费用自10月11号开始计算。 5. 成套订购的套餐类组合产品，需整体续订，非成套订购单具有挂载关系的资源可以对单资源进行续订。

当前选择的弹性防护带宽是100 Gbps，发现不够用，支持改成200 Gbps吗？ 支持升级。您可以在官网右上角点击“我的产品视图”，在“产品视图云产品”中找到您的DDoS高防（边缘云版）订单，操作栏中找到“升级”按钮，即可升级到更高的防护能力。 一天内被攻击多次，弹性费用如何计算？ 以当天（00:00~24:00）攻击的峰值为准，只产生一次弹性后付费账单。 例如，客户套餐内的防护峰值为10Gbps，一天内分别遭到10 Gbps、50 Gbps、100 Gbps共三次攻击，则当天的弹性防护付费账单按照90Gbps（100 Gbps10Gbps）弹性计费标准收取。 如果已开启弹性防护能力，是否支持关闭？ 如果已经开通弹性防护，暂不支持关闭。 如果需要关闭DDoS弹性防护能力，需要先退订主套餐，再重新订购主套餐。

采集Pod所有labels和annotations 步骤 1 登录CCE控制台，单击集群名称进入集群。 步骤 2 在左侧导航栏中选择“工作负载”，并切换至“monitoring”命名空间，在“无状态负载”页签单击进入kubestatemetrics负载，选择“容器管理”页签，在右侧单击“编辑”按钮，进入“升级工作负载”页面。 步骤 3 在容器配置的“生命周期”中，编辑启动命令。 采集labels时，在原有的kubestatemetrics的启动参数最后添加： metriclabelsallowlistpods[],nodes[node,failuredomain.beta.kubernetes.io/zone,topology.kubernetes.io/zone] 如需采集annotations时，则在启动参数中以相同方法添加参数： metricannotationsallowlistpods[],nodes[node,failuredomain.beta.kubernetes.io/zone,topology.kubernetes.io/zone] 编辑启动命令时，请勿修改其他原有的启动参数，否则可能导致组件异常。 步骤 4 kubestatemetrics将开始采集Pod和node的labels/annotations指标，查询kubepodlabels/kubepodannotations是否在普罗的采集任务中。 kubectl get servicemonitor kubestatemetrics nmonitoring oyaml grep kubepodlabels 更多kubestatemetrics的启动参数请参见kubestatemetrics/cliarguments。

本文介绍如何进行文件系统的权限组管理。 权限组概述 权限组是一种白名单机制，用户可以通过添加权限组规则授予指定的源IP地址访问文件系统的权限，即管理来访客户端的访问权限。 使用限制 默认单用户单地域可以添加20个权限组，每个权限组可添加400个权限组规则。 弹性文件服务存在一个默认权限组，默认权限组不能编辑、不能删除；默认权限组中的权限规则默认为全部放通，不能新增、编辑、删除。默认权限组将占用一个权限组配额。新建的文件系统自动关联默认权限组。 支持的权限组管理功能的资源池请参见产品能力地图。 注意 当客户端从“读写”权限改为“只读”权限再改回“读写”权限时，需要重新挂载客户端。 创建权限组 1. 登录天翼云控制中心，在控制台左上角选择地域。 2. 选择 “存储>弹性文件服务SFS Turbo”，进入SFS Turbo文件系统列表页面。 3. 在控制台左侧点击“权限组”标签页，进入权限组管理页面 4. 点击“创建权限组”，在弹窗中设置名称、网络类型（默认专有网络）和描述内容。各参数说明如下： 参数 说明 名称 权限组名称，只能由数字、字母、“”组成，不能以数字和“”开头、且不能以“”结尾，2~63字符。 网络类型 默认专有网络。 描述内容 权限管理描述内容，长度为0128字符。 5. 完成后点击“确定”，等待数秒后，权限组页面会自动刷新，若列表中有新创建的权限组则表示创建成功。 6. 在权限组列表右侧操作列下单击“修改”，可修改权限组描述内容。

本文介绍SQL Server与其他服务的关系。 虚拟私有云（VPC） VPC是基于天翼云创建的自定义私有网络，为SQL Server提供一个逻辑上完全隔离的专有网络。使用VPC中的安全组、IP地址段、带宽等网络特性，可增强SQL Server服务的安全性。 弹性云主机（ECS） SQL Server配合弹性云主机一起使用，通过内网连接SQL Server可以有效地降低应用响应时间、节省公网流量费用。 弹性IP（EIP） SQL Server配合弹性IP一起使用，为您的实例提供公网访问方式。

项目 描述 LUN Name 包括卷名称和卷编号。括号内容表示卷编号。卷编号：LUN在target下的编号，由存储系统分配，对应客户端挂载存储设备时设备地址中的LUN ID。如果target下只有一个LUN，LUN的编号一般为0。 Storage Mode 卷的存储类型： Local：本地模式，数据全部保留在本地。 Cache：缓存模式，本地保留部分热数据，全部数据异步存储到对象存储中。 Storage：存储模式，本地保留全部数据，并异步存储到对象存储中。 Capacity 卷容量。 Status 卷的状态： Normal：正常。 Deleting：卷正在删除中。 DeleteFailed：卷删除失败。 Recovering：卷正在还原中。 RecoverFailed：卷还原失败。 Rollbacking：卷正在回滚。 Flattening：与快照的关系链断开过程中，表示克隆卷正在复制源卷的数据，复制完成之后将变成独立卷，不再依赖快照和源卷。 Importing：正在导入备份数据。 Wiping：卷正在清空数据。 WipeFailed：清空数据失败。 Suspended：卷挂起。 Suspending：卷正在挂起。 SuspendFailed：卷挂起失败。 Failed Reason 失败原因：卷还原失败的原因（卷状态为RecoverFailed时显示），卷删除失败的原因（卷状态为DeleteFailed时显示），卷清空失败的原因（卷状态为WipeFailed显示），或者卷挂起失败的原因（卷状态为SuspendFailed显示）。 Auto Failback 针对卷主备状态，当高优先级的服务器恢复正常后，是否自动进行主备状态切换： Enabled：自动进行主备切换。 Disabled：不自动进行主备切换。 iSCSI Target 卷关联的target，包括target IQN、target IP、target端口号、卷对应的target的状态（Active：主target；Standby：热备target；offline：离线target；ColdStandby：冷备target）。 Create Time 卷创建的时间。 Local Storage Class 卷冗余模式（仅集群版支持）： singlecopy：单副本。 2copy：两副本。 3copy：三副本。 EC N+M+分片大小。 Minimum Replicas 最小副本数（仅集群版支持）。 Redundancy Overlap 卷的折叠副本数（仅集群版支持）。 Local Sector Size 扇区大小。 Cache Storage Pool 缓存存储池（仅集群版支持）。 Storage Pool 存储池（仅集群版支持），表示最终存储池，卷数据最终落在该存储池内。 Data Health 卷的数据健康度，包括：正常数据的比例（normal）、降级数据的比例（low redundancy）、错误数据的比例（error）。 如果存在降级状态的数据，会给出数据重建进度（low redundancy reconstruction progress）。 High Availability 卷的高可用类型（仅集群版支持）： ActiveStandby：启用主备，该卷关联对应target下的所有IQN。 Disabled：不启用主备，该卷关联对应target下的1个IQN。 Write Policy 卷的写策: WriteBack：回写，指数据写入到内存后即返回客户端成功，之后再异步写入磁盘。 WriteThrough：透写，指数据同时写入内存和磁盘，并在都写成功后再返回客户端成功。 WriteAround：绕写，指数据直接写到磁盘，不写入内存。 WWID 卷的唯一标识符。 如果客户端连接卷的时候，HBlock端有多个卷，可以通过WWID标识符来确认所要连接的卷。 UUID 卷的唯一识别码。 Path 存储卷数据的数据目录（仅单机版支持）。 Source Snapshot 克隆卷关联的快照（仅克隆卷支持）。 Source LUN 克隆卷的源卷名称（仅克隆卷支持）。 Snapshot Count 卷的快照个数（仅本地卷支持）。 Snapshot Size 卷关联的快照大小的总和（仅本地卷支持），即快照记录的数据量。 注意 卷异常或上游快照删除等因素可能导致快照大小波动。 Object Storage Info 卷上云信息，包括：Provider、Bucket Name、Prefix、Endpoint、Signature Version、Region、Storage Class、Access Key、Object Size、Compression。 Provider 对象存储服务名称： OOS：天翼云对象存储经典版I型。 S3：兼容S3的其他对象存储。 Bucket Name 存储桶名称。 Prefix 卷数据存储在对象存储的前缀名称。 如果未设置，则不显示此项。 Endpoint 对象存储服务的Endpoint。 Signature Version 上云签名认证的类型： v2：V2签名认证。 v4：V4签名认证。 Region 对象存储服务的Endpoint资源池所在区域。如果是V2签名，此处为空。 Storage Class 对象存储服务的的存储类型： STANDARD：标准存储。 STANDARDIA：低频访问存储。 Access Key 对象存储服务的AccessKeyID。 Object Size 数据存储在对象存储中的大小。 Compression 是否压缩数据上传至对象存储： Enabled：压缩数据上传至对象存储。 Disabled：不压缩数据上传至对象存储。

可用区域 可用区（AZ，Availability Zone）：一个AZ是一个或多个物理数据中心的集合，有独立的风火水电，AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连，以满足用户跨AZ构建高可用性系统的需求。 访问密钥AK/SK 访问密钥即AK/SK（Access Key ID/Secret Access Key），是用户通过开发工具访问云资源时的身份凭证。系统通过AK识别访问用户的身份，通过SK进行签名验证，通过加密签名验证可以确保请求的机密性、完整性和请求者身份的正确性。 动态授权 动态授权是授权用户运维操作触发规则集，系统对字符命令或数据库会话操作进行拦截，自动生成授权工单。授权用户若需继续执行操作，需管理员批准工单。 实例审计 云堡垒机实例审计，需开启云审计服务（Cloud Trace Service，简称CTS），实现对CBH实例的操作的记录，CTS管理控制台将保存最近7天的操作记录。 单点登录 单点登录（Single Sign On，SSO）是指在多个独立应用系统环境下，各个应用系统相互信任，在一个应用系统中将用户认证信息映射到其他系统中，多个系统共享用户认证数据。简言之，即用户通过登录一个应用系统，就可以访问其他所有相互信任的应用系统，实现用户单点多系统登录。 安全策略 安全策略是指容器运行时需要遵循的安全规则，如果容器违反了安全策略，系统会在容器运行时通报容器异常。安全策略由用户自定义，包括容器允许运行的进程和容器内只读的文件。

本文面向初次使用SLURM集群的用户,聚焦核心命令与快速上手流程,通过简明易懂的方式讲解日常作业管理的必备技能,帮助您快速掌握集群使用方法,充分发挥天翼云弹性高性能计算的算力优势。 引言 Simple Linux Utility for Resource Management，简称SLURM，是全球最主流的高性能计算集群资源管理与作业调度系统，被90%以上的世界顶级超算中心采用。天翼云弹性高性能计算 (EHPC) 基于SLURM作业调度系统，为用户提供开箱即用的超算级算力服务。 主要覆盖场景： 工业仿真： 完美适配 LSDYNA、STARCCM+、ANSYS、VASP 等主流 CAE/CFD 软件。通过 SLURM 调度器实现跨节点多核并行计算，结合天翼云底层 RDMA 高速网络，大幅缩短复杂流体力学、结构强度及材料科学计算的仿真周期。 生物信息： 针对 AlphaFold 3、GROMACS、Nextflow 、GATK 等批量化任务进行深度优化。支持在高性能容器化环境（如 Apptainer/Singularity）中一键部署复杂的生信流水线，实现海量基因组测序数据的高效并行处理。 芯片制造： 提供满足 EDA (电子设计自动化) 工具所需的超大内存节点与高性能存储支持。在电路仿真、物理验证与寄生参数提取等环节，利用 Slurm 的优先级调度机制，确保关键设计任务在高并发环境下依然稳定运行。 训练推理： 针对 NVIDIA Hopper/Ampere 及华为昇腾 (Ascend) 等异构算力深度适配。兼容vLLM、DeepSpeed、MegatronLM 等主流框架，支持百亿/千亿级参数大模型的分布式训练与高吞吐推理。通过高性能容器部署实现环境解耦，快速部署最新 AI 大模型，实现 Token 自由。

配置项 说明 示例 命名空间名称 为自定义命名空间设置名称，用于区分不同命名空间。在同一资源池内，命名空间名称 不得重复 。 测试 描述 对命名空间进行说明或备注，便于管理 本命名空间用于测试环境 专有网络 VPC 选择已有 VPC进行关联。一个命名空间只能绑定一个 VPC，但一个 VPC可关联多个命名空间。创建后不可切换VPC caeautocreatevpc

本章节主要介绍虚拟私有云。 使用虚拟私有云（Virtual Private Cloud，VPC），您可以在您自己的逻辑隔离区域中定义虚拟网络，为物理机构建一个逻辑上完全隔离的专有区域。您还可以在VPC中定义安全组、VPN、IP地址段、带宽等网络特性，方便管理、配置物理机的内部网络，进行安全、快捷的网络变更。同时，您可以自定义安全组内与组间的访问规则，加强物理机的安全保护。

创建项目 登录微服务治理中心控制台。 在控制台左侧栏选择应用治理。 在应用治理页面点击左上角“应用接入”标签，进入应用接入导航页。 在应用接入导航的云容器引擎或ECS集群页面点击“新增项目”。 在“新增项目”弹窗填写项目名称、项目代号等信息，点击确定完成创建。 项目参数说明： 参数 说明 项目名称 应用所属项目的名称。 项目代号 应用所属项目的代号。 描述 项目的描述。 创建分组 登录微服务治理中心控制台。 在控制台左侧栏选择应用治理。 在应用治理页面点击左上角“应用接入”标签，进入应用接入导航页。 在应用接入导航的云容器引擎或ECS集群页面，选择指定分组后，再点击“新增分组”。 在“新增分组”弹窗填写分组名称、分组代号和描述，点击确定完成创建。 分组参数描述： 参数 说明 分组名称 应用所属分组的名称。 分组代号 应用所属分组的代号。 描述 分组的描述。

本节介绍如何查看集群审计日志。 查看事件统计 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“集群安全 > 集群审计”，进入集群审计页面。 3. 查看事件统计信息：统计信息分为审计事件总数、操作用户总数、添加事件总数、删除事件总数、更新事件总数、查看事件总数、操作类型分布、资源操作分布、返回状态码、操作用户分布，帮助客户更直观的查看集群内的异常事件分布。 查看日志列表 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“集群安全 > 集群审计”，进入集群审计页面。 3. 查看页面下方的审计日志列表，方便用户溯源事件。 日志列表内，支持按照“安全状态”、“日志级别”、“日志所属阶段”、“操作对象”、“操作类型”、“对应客户端”、“客户端节点IP”、“API响应状态”进行筛选查询。 日志信息参数说明： 参数 说明 日志级别 审计日志根据日志策略可以选择事件保存的等级，根据等级不同，APIServer记录日志的详细程度也不同。 目前支持的日志等级有： None：不记录日志。 Metadata：只记录Request的一些metadata（例如user, timestamp, resource, verb等），但不记录Request或Response的body。 Request：记录Request的metadata和body。 RequestResponse：最全记录方式，会记录所有的metadata、Request和Response的Body。 日志所属阶段 审计日志根据日志策略可以选择在事件执行的某个阶段记录。 目前支持的事件阶段有： RequestReceived：接收到事件且在分配给对应handler前记录。 ResponseStarted：开始响应数据的Header但在响应数据Body发送前记录，这种一般应用在持续很长的操作事件，例如watch操作。 ResponseComplete：事件响应完毕后记录。 Panic：内部出现panic时记录。 操作对象 操作的资源类型。 所在集群 操作对象所属集群。 操作类型 操作类型分为get获取、watch监控、list获取、update更新、create创建、patch修改、delete删除这些类型。 update和patch的区别：update请求需要将整个修改后的对象提交给 k8s；而patch请求只需要将对象中某些字段的修改提交给k8s。 对应客户端 事件服务的客户端名称（在userAgent中定义）。 访问源IPv6/IPv4 事件服务的客户端所在节点的IP地址。 API响应状态 API响应状态码分为以下几类： “1XX”为信息性状态码（informational）。 “2XX”为成功状态码（Success）。 “3XX”为重定向状态码（Redirection）。 “4XX”为客户端错误状态码（Client Error）。 “5XX”为服务端错误状态码。 常用的状态码解释说明如下： 200：OK，请求成功，具体意义根据请求所使用的方法不同而不同。 201：Created，请求成功并创建了资源； 403：Forbidden，表示身份认证通过了，但是对服务器请求资源的访问被拒绝了； 404：Not Found，表示服务器找不到你请求的资源； 409：Conflict，表示请求与服务器当前状态冲突。通常发生在更新资源时，主要是处理并发问题的状态码。 500：Internal Server Error，表示服务器执行请求的时候出错了。 API请求URL API请求URL的地址。 安全状态 安全状态分为正常和异常这两种，异常是指触发了内置策略的事件。 请求时间 事件的请求时间。 4. 单击日志列表内的下拉按钮，可展开查看事件的json格式详情。

操作场景 容器组（Pod）是Kubernetes中最小的可部署单元。一个Pod（容器组）包含了一个应用程序容器（某些情况下是多个容器）、存储资源、一个唯一的网络IP地址、以及一些确定容器该如何运行的选项。Pod容器组代表了Kubernetes中一个独立的应用程序运行实例，该实例可能由单个容器或者几个紧耦合在一起的容器组成。 Kubernetes集群中的Pod存在如下两种使用途径： 一个Pod中只运行一个容器。"onecontainerperpod" 是Kubernetes中最常见的使用方式。此时，您可以认为Pod容器组是该容器的 wrapper，Kubernetes通过Pod管理容器，而不是直接管理容器。 一个Pod中运行多个需要互相协作的容器。您可以将多个紧密耦合、共享资源且始终在一起运行的容器编排在同一个Pod中，可能的情况有： − Content management systems, file and data loaders, local cache managers等 − log and checkpoint backup, compression, rotation, snapshotting等 − data change watchers, log tailers, logging and monitoring adapters, event publishers等 − proxies, bridges, adapters等 − controllers, managers, configurators, and updaters 您可以在云容器引擎CCE中方便的管理容器组（Pod），如编辑YAML、监控、删除等操作。 编辑YAML 可通过在线YAML编辑窗对容器组（Pod）的YAML文件进行修改和下载。 步骤 1 登录CCE控制台，在左侧导航栏中选择“工作负载 > 容器组 Pod”。 步骤 2 单击实例列表中后的“编辑YAML”，在弹出的“编辑YAML”窗中可对当前容器组（Pod）的YAML文件进行修改。 步骤 3 单击“修改”，在弹出的提示框中单击“确定”，完成修改。 说明：如果实例由其他工作负载创建，暂不支持在容器组（Pod）中单独修改。 步骤 4 （可选）在“编辑YAML”窗中，单击“下载”，可下载该YAML文件。 实例监控 您可以通过CCE控制台查看工作负载实例的CPU、内存使用情况以及网络上行和下行速率、磁盘的读写速率，以确定需要的资源规格。 步骤 1 登录CCE控制台，在左侧导航栏中选择“工作负载 > 容器组 Pod”。 步骤 2 单击实例列表中后的“监控”，可查看相应实例的CPU使用率、内存使用率以及网络上行和下行速率、磁盘的读写速率。 说明：实例处于非运行状态时，无法查看实例的监控数据。 删除实例 若实例无需再使用，您可以将其删除。实例删除后，将无法恢复，请谨慎操作。 步骤 1 登录CCE控制台，在左侧导航栏中选择“工作负载 > 容器组 Pod”。 步骤 2 单击待删除实例后的“删除”。 请仔细阅读系统提示，删除操作无法恢复，请谨慎操作。 步骤 3 单击“是”，即可删除该实例。 说明： 若Pod所在节点不可用或者关机，负载无法删除时可以在详情页面实例列表选择强制删除。 请确保要删除的存储没有被其他负载使用，导入和存在快照的存储只做解关联操作。 相关链接 []( " ")The Distributed System Toolkit: Patterns for Composite Containers []( " ")Container Design Patterns

参数 参数类型 说明 示例 ID String 终端节点服务ID endpser4bz2ogmq11 name String 终端节点服务名称 szyy2 vpcID String 所属的专有网络id vpcsrsiebllhc description String 描述 type String 接口还是反向，interface:接口，reverse:反向 interface autoConnection Boolean 是否自动连接 true rules Array of Objects 接口规则数据 见下表 backends Array of Objects 后端数据 见下表 createdAt String 创建时间 20221024T01:20:06Z updatedAt String 更新时间 20221024T01:20:06Z

本章节介绍如何基于消息队列RocketMQ实现全链路灰度 概述 本文介绍在使用消息队列（RocketMQ）这种异步场景下，可以在不修改业务代码的情况下，实现异步场景的灰度，从而实现全链路灰度。本文介绍基于消息队列RocketMQ实现全链路灰度。 背景介绍 在大多数业务场景中对于消息的灰度并没有RPC调用那么严格，但是当全链路灰度调用中涉及到消息消费时，如果消息消费没有按照全链路流量规则路由，则会导致通过消息产生的流量逃逸，从而破坏全链路规则，导致出现一些不符合预期的情况。 如下图所示，本文分别部署网关、appa、appagray、appb、appbgray、appc、appcgray以及RocketMQ，模拟一个真实的全链路灰度场景。 通过网关调用appa应用的接口，当满足路由规则后，灰度流量会被路由到appagray，appagray又会调用appbgray，随后由appbgray发送灰度消息，appcgray将会收到灰度消息，而appc不会收到灰度消息。 前提条件 1. 用户已开通微服务治理中心企业版。 2. 用户已开通云容器引擎。 3. 用户已部署RocketMQ，且RocketMQ版本在4.5.0以上，broker.conf中已配置enablePropertyFiltertrue。 部署Demo应用 准备自建入口网关msgczuul，准备应用msgcappa，msgcappb和msgcappc。调用过程是msgcappa –> msgcappb > msgcappc。 步骤1：在云容器引擎中安装微服务治理插件： 1. 登录“云容器引擎”控制台。 2. 在左侧菜单栏选择“集群”，点击目标集群。 3. 在集群管理页面点击“插件”“插件市场”，选择“cubems”插件安装。 步骤2：为应用开启微服务治理能力： 1. 登录“云容器引擎”控制台。 2. 左侧菜单栏选择“集群”，点击目标集群。 3. 在集群管理页面点击“工作负载”“无状态”，选择目标命名空间。 4. 在Deployment列表页选择指定Deployment，并点击“全量替换”，进入Deployment编辑页。 5. 在Deployment编辑页点击“显示高级设置”，新增“Pod标签”: mseCubeMsAutoEnable:on。 6. 在发布应用时，配置指定环境变量，可指定注入微服务治理中心的应用名、命名空间和标签等信息。 环境变量配置如下： 环境变量名 环境变量值 MSEAPPNAME 接入到微服务治理中心的应用名。 MSESERVICETAG 应用标签信息，如灰度应用可配置gray。 MSENAMESPACE（选填） 接入到微服务治理中心的命名空间，默认为：default。 7. 完成编辑后点击“提交”，重新发布容器即可接入。 appa应用的配置 基线： apiVersion: "apps/v1" kind: "Deployment" metadata: name: "appa" namespace: "default" spec: progressDeadlineSeconds: 600 replicas: 1 revisionHistoryLimit: 10 selector: matchLabels: name: "appa" template: metadata: labels: mseCubeMsAutoEnable: "on" name: "appa" spec: containers: env: name: "MSEAPPNAME" value: "appa" image: "镜像仓库域名/xxx/appa:latest" imagePullPolicy: "Always" name: "appa" ports: containerPort: 26160 livenessProbe: tcpSocket: port: 26160 initialDelaySeconds: 10 periodSeconds: 30 resources: limits: cpu: "1" memory: "1Gi" requests: cpu: "1" memory: "1Gi" 灰度： apiVersion: "apps/v1" kind: "Deployment" metadata: name: "appa" namespace: "default" spec: progressDeadlineSeconds: 600 replicas: 1 revisionHistoryLimit: 10 selector: matchLabels: name: "appa" template: metadata: labels: mseCubeMsAutoEnable: "on" name: "appa" spec: containers: env: name: "MSEAPPNAME" value: "appa" name: "MSESERVICETAG" value: "gray" image: "镜像仓库域名/xxx/appa:latest" imagePullPolicy: "Always" name: "appa" ports: containerPort: 26160 livenessProbe: tcpSocket: port: 26160 initialDelaySeconds: 10 periodSeconds: 30 resources: limits: cpu: "1" memory: "1Gi" requests: cpu: "1" memory: "1Gi" appb应用的配置 基线： apiVersion: "apps/v1" kind: "Deployment" metadata: name: "appb" namespace: "default" spec: progressDeadlineSeconds: 600 replicas: 1 revisionHistoryLimit: 10 selector: matchLabels: name: "appb" template: metadata: labels: mseCubeMsAutoEnable: "on" name: "appb" spec: containers: env: name: "MSEAPPNAME" value: "appb" image: "镜像仓库域名/xxx/appb:latest" imagePullPolicy: "Always" name: "appb" ports: containerPort: 26160 livenessProbe: tcpSocket: port: 26160 initialDelaySeconds: 10 periodSeconds: 30 resources: limits: cpu: "1" memory: "1Gi" requests: cpu: "1" memory: "1Gi" 灰度： apiVersion: "apps/v1" kind: "Deployment" metadata: name: "appb" namespace: "default" spec: progressDeadlineSeconds: 600 replicas: 1 revisionHistoryLimit: 10 selector: matchLabels: name: "appb" template: metadata: labels: mseCubeMsAutoEnable: "on" name: "appb" spec: containers: env: name: "MSEAPPNAME" value: "appb" name: "MSESERVICETAG" value: "gray" image: "镜像仓库域名/xxx/appb:latest" imagePullPolicy: "Always" name: "appb" ports: containerPort: 26160 livenessProbe: tcpSocket: port: 26160 initialDelaySeconds: 10 periodSeconds: 30 resources: limits: cpu: "1" memory: "1Gi" requests: cpu: "1" memory: "1Gi" appc应用的配置 基线： apiVersion: "apps/v1" kind: "Deployment" metadata: name: "appc" namespace: "default" spec: progressDeadlineSeconds: 600 replicas: 1 revisionHistoryLimit: 10 selector: matchLabels: name: "appc" template: metadata: labels: mseCubeMsAutoEnable: "on" name: "appc" spec: containers: env: name: "MSEAPPNAME" value: "appc" image: "镜像仓库域名/xxx/appc:latest" imagePullPolicy: "Always" name: "appc" ports: containerPort: 26160 livenessProbe: tcpSocket: port: 26160 initialDelaySeconds: 10 periodSeconds: 30 resources: limits: cpu: "1" memory: "1Gi" requests: cpu: "1" memory: "1Gi" 灰度： apiVersion: "apps/v1" kind: "Deployment" metadata: name: "appc" namespace: "default" spec: progressDeadlineSeconds: 600 replicas: 1 revisionHistoryLimit: 10 selector: matchLabels: name: "appc" template: metadata: labels: mseCubeMsAutoEnable: "on" name: "appc" spec: containers: env: name: "MSEAPPNAME" value: "appc" name: "MSESERVICETAG" value: "gray" image: "镜像仓库域名/xxx/appc:latest" imagePullPolicy: "Always" name: "appc" ports: containerPort: 26160 livenessProbe: tcpSocket: port: 26160 initialDelaySeconds: 10 periodSeconds: 30 resources: limits: cpu: "1" memory: "1Gi" requests: cpu: "1" memory: "1Gi" zuul应用的配置： apiVersion: "apps/v1" kind: "Deployment" metadata: name: "zuul" namespace: "default" spec: progressDeadlineSeconds: 600 replicas: 1 revisionHistoryLimit: 10 selector: matchLabels: name: "zuul" template: metadata: labels: mseCubeMsAutoEnable: "on" name: "zuul" spec: containers: env: name: "MSEAPPNAME" value: "zuul" image: "镜像仓库域名/xxx/zuul:latest" imagePullPolicy: "Always" name: "zuul" ports: containerPort: 26160 livenessProbe: tcpSocket: port: 26160 initialDelaySeconds: 10 periodSeconds: 30 resources: limits: cpu: "1" memory: "1Gi" requests: cpu: "1" memory: "1Gi"

根据业务需求创建伸缩策略（告警策略） 为已创建好的伸缩组设置伸缩策略，来满足突发的业务流量变化，确保业务的稳定运行。 1. 登录控制中心。 2. 单击控制中心左上角的，选择弹性伸缩组所在地域。 3. 单击“计算>弹性伸缩服务”，进入弹性伸缩管理控制台。 4. 点击步骤二创建好的伸缩组名称，进入到伸缩组详情页面。 5. 在详情页面的下方，单击“伸缩策略”进入伸缩策略页签，单击“创建策略”按钮，进入到“创建伸缩策略”页面。 6. 在“创建伸缩策略”页面中完成策略的配置，在本实践中需要添加两个告警策略，一个扩容策略，一个缩容策略。具体操作步骤可参见创建伸缩策略。以下为本实践中扩容策略专有的属性值设置说明： 策略类型选择告警策略。 告警规则选择现在创建。 触发条件设置为CPU使用率平均值≥80%。 监控周期设置为1分钟。 连续出现次数设置为3次。 冷却时间设置为300秒。 执行动作设置为增加2个实例。 7. 完成以上配置之后单击“确认”，即可成功创建扩容策略。 8. 继续创建缩容策略，以下为本实践中缩容策略专有的属性值设置说明： 策略类型选择告警策略。 告警规则选择现在创建。 触发条件设置为CPU使用率平均值≤30%。 监控周期设置为1分钟。 连续出现次数设置为3次。 冷却时间设置为300秒。 执行动作设置为减少1个实例。 9. 完成以上配置之后单击“确认”，即可成功创建缩容策略。

此小节介绍企业主机安全创建策略组。 您可根据自己服务器不同使用情况创建对应的策略组，创建后可对目标服务器进行更有力的扫描检测。 约束限制 需开启高级版、企业版、旗舰版、网页防篡改版、容器版中任一版本。 前提条件 已购买旗舰版。 注意 目前仅支持对旗舰版的策略组进行自定义创建，若没有开启旗舰版防护的主机，创建后不会生效。 创建策略组 以下以旗舰版的Linux策略为例。 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、在左侧导航栏，选择“安全运营 > 策略管理”，进入“策略管理”界面，查看显示的策略组，字段说明如表所示。 说明 tenantlinuxcontainerdefaultpolicygroup：容器版linux系统预置策略，仅可被查看，不可复制和删除。 tenantlinuxenterprisedefaultpolicygroup：企业版linux系统预置策略，仅可被查看，不可被复制和删除。 tenantwindowsenterprisedefaultpolicygroup：企业版windows系统预置策略，仅可被查看，不可被复制和删除。 tenantlinuxpremiumdefaultpolicygroup：旗舰版linux系统预置策略，可通过复制该策略组来创建新的策略组。 tenantwindowspremiumdefaultpolicygroup：旗舰版windows系统预置策略，可通过复制该策略组来创建新的策略组。 可在列表右上角单击 ，手动刷新当前列表。 可单击关联服务器数的数量，查看策略组关联的服务器。 策略组列表字段说明 字段 说明 策略组名称 策略组的名称。 ID 策略组的ID号，对策略组的唯一标识。 描述 对策略组的描述。 支持的版本 策略组支持的主机安全的版本。 5、选择tenantlinuxpremiumdefaultpolicygroup或tenantwindowspremiumdefaultpolicygroup策略组，单击该策略组“操作”列的“复制”。以下以Linux策略组为例。 复制策略组 6、在弹出的对话框中，输入“策略组名称”和“描述”。 策略组的名称不能重复，如果尝试通过复制来创建一个同名的策略组，将会失败。 “策略组名称”和“描述”只能包含中文、字母、数字、下划线、中划线、空格，并且首尾不能为空格。 创建策略组 7、单击“确认”，将会创建一个新的策略组。 8、单击已创建的策略组名称，进入策略组的策略页面。 Linux策略组详情 9、单击策略名称，修改具体的策略内容，详细信息请参见8.1.3 编辑策略内容。 10、策略内容修改完成后，单击策略所在行的“开启”或者“关闭”，开启或者关闭对应的策略。

本文介绍实时云渲染的产品定义。 天翼云实时云渲染平台，基于智能边缘云的GPU算力提供视频实时渲染计算并串流同步输出到终端设备的PaaS服务。通过分布式GPU集群，提供弹性云端渲染算力、音视频串流、应用云化服务，用户按需扩容、按需付费使用，解决软硬件对用户的使用限制、降低成本、方便使用。 通过“上传应用、实时渲染、应用发布”三步实现应用包的渲染和发布、交互。

本节介绍云容器引擎的最佳实践: 应用高可用部署推荐。 基本原则 可参考如下几点，实现容器应用高可用部署： 1. 集群控制节点高可用，控制节点数大于等于3； 2. 集群需有多个属于不同可用区的节点，业务根据自身需求合理配置调度策略，以实现多可用区部署及资源均匀分配； 3. 创建多个在不同可用区的节点池，通过节点池做节点伸缩； 4. 工作负载实例数需大于等于2； 5. 配置工作负载的亲和性规则，让Pod尽量分布在不同可用区、不同节点上。 操作步骤 假设集群3个控制节点和3个工作节点，工作节点可用区分布如下所示： $ kubectl get node L topology.kubernetes.io/zone grep v master NAME STATUS ROLES AGE VERSION ZONE ccseagent1b54ffbc17 Ready 40m v1.25.6 cnxinan11A ccseagent59ab9e7689 Ready 38m v1.25.6 cnxinan12A ccseagenta7527e3e80 Ready 36m v1.25.6 cnxinan13A 创建工作负载，如下所示，定义两条podAntiAffinity反亲和性规则： 工作负载多实例配置可用区反亲和，参数设置如下： 权重weight：权重值越高会被优先调度，本示例设置为50； 拓扑域topologyKey：为节点标签，用于指定调度时的作用域，下述示例为topology.kubernetes.io/zone，该标签用于识别节点在哪个可用区。 标签选择labelSelector：选择Pod的标签，与工作负载本身反亲和。 工作负载多实例配置节点反亲和，参数设置如下： 权重weight：设置为50； 拓扑域topologyKey：为标签kubernetes.io/hostname，该标签值为节点名； 标签选择labelSelector：即工作负载多个实例Pod的标签，实例间反亲和。 kind: Deployment apiVersion: apps/v1 metadata: name: demo namespace: default spec: replicas: 2 selector: matchLabels: app: demo template: metadata: labels: app: demo spec: containers: name: container0 image: nginx:latest resources: limits: cpu: 300m memory: 512Mi requests: cpu: 400m memory: 512Mi affinity: podAntiAffinity: preferredDuringSchedulingIgnoredDuringExecution: weight: 50 podAffinityTerm: labelSelector:

本文介绍文档数据库集群架构的组成。 每个集群即一个独立运行的文档数据库，分片集群架构由路由（mongos）、配置（config）和分片（shard）组成。 数据读写请求经mongos分发，通过查询config信息，并行分配到相应shard，可轻松应对高并发场景，且config和shard均采用三副本架构，保证高可用，集群架构如下图所示。 图 集群架构 lmongos为单节点配置，用户可以通过多个mongos实现负载均衡及故障转移，单个集群实例可支持2～16个mongos节点。 lshard节点是分片服务器，当前架构是三节点副本集。单个集群版实例可支持2~16个shard节点。 lconfig为集群必备组件，负责存储实例的配置信息，由1个副本集构成。 支持通过控制台新增mongos和shard节点，不支持通过原生命令新增节点。 用户不可以直接连接访问config和shard节点，所有数据操作均需要连接mongos进行下发。 目前不支持将现有三节点副本集直接升级到集群模式。

容器存储是为容器工作负载提供存储的组件，支持多种类型的存储，同一个工作负载（pod)可以使用任意数量的存储。 说明： Kubernetes1.13版本之前的CCE集群不支持端到端容器存储扩容功能，PVC容量与存储容量不一致。 存储类型选择 创建工作负载时，可以使用以下类型的存储。建议将工作负载pod数据存储在云存储上。若存储在本地磁盘上，节点异常无法恢复时，本地磁盘中的数据也将无法恢复。 本地硬盘：将容器所在宿主机的文件目录挂载到容器的指定路径中（对应Kubernetes的HostPath），也可以不填写源路径（对应Kubernetes的EmptyDir），不填写时将分配主机的临时目录挂载到容器的挂载点，指定源路径的本地硬盘数据卷适用于将数据持久化存储到容器所在宿主机，EmptyDir（不填写源路径）适用于容器的临时存储。配置项（ConfigMap）是一种用于存储工作负载所需配置信息的资源类型，内容由用户决定。密钥（Secret）是一种用于存储工作负载所需要认证信息、密钥的敏感信息等的资源类型，内容由用户决定。详情参见本地磁盘存储。 云硬盘存储卷：CCE支持将云硬盘创建的硬盘挂载到容器的某一路径下。当容器迁移时，挂载的云硬盘将一同迁移。这种存储方式适用于需要永久化保存的数据。详情参见云硬盘存储卷。 文件存储卷：CCE支持创建SFS存储卷并挂载到容器的某一路径下，也可以使用底层SFS服务创建的文件存储卷，SFS存储卷适用于多读多写的持久化存储，适用于多种工作负载场景，包括媒体处理、内容管理、大数据分析和分析工作负载程序等场景。详情参见文件存储卷。 极速文件存储卷：CCE支持创建SFS Turbo极速文件存储卷并挂载到容器的某一路径下，极速文件存储具有按需申请，快速供给，弹性扩展，方便灵活等特点，适用于DevOps、容器微服务、企业办公等应用场景。详情参见极速文件存储卷。 快照与备份：CCE通过云硬盘为您提供快照功能，云硬盘快照指的是云硬盘数据在某个时刻的完整拷贝或镜像，是一种重要的数据容灾手段，当数据丢失时，可通过快照将数据完整的恢复到快照时间点。详情参见快照与备份。

本节介绍了DDoS高防（边缘云版）的主要产品功能。 DDoS高防（边缘云版）的功能说明如下，适用于所有套餐。 功能分类 功能项 功能描述 防护功能 DDoS网络层防护 支持TCP、UDP、ICMP网络协议防护，如SYN Flood ，ACK Flood，空连接等。 防护功能 畸形报文防护 支持对Ping of Death、Tear Drop、LAND、Fraggle等畸形报文进行过滤，判断报文合法性，丢弃异常请求。 防护功能 CC防护 CC防护根据访问者的URL，频率，行为等访问特征，智能识别CC攻击，避免源站资源耗尽，保证企业网站的正常访问。 防护功能 访问控制 可针对IP，IP段，IP端口，URI，METHOD，请求地区，请求参数，请求头部，请求协议等维度进行组合，设置白名单和黑名单，对请求进行拦截和放行，保证客户网站不受未知访问。 防护功能 频率控制 支持针对特定报文（十余种粒度组合），选择URL、ARGS、Header、Cookie、UA、IP其中一个或两个粒度进行频率统计，并设置对应的处理动作，以对高频请求进行控制。 告警策略 应用层CC告警 支持自定义CC攻击告警策略，对持续时长、QPS峰值、攻击次数进行监控和告警。 告警策略 网络层告警 支持自定义网络层攻击告警策略，对持续时长、pps峰值、bps峰值进行监控和告警。 告警策略 告警勿扰时间 支持设置勿扰时间，在特定时间内不进行告警。 业务接入 域名接入 支持HTTP、HTTPS、HTTP2协议的域名进行自助接入配置。 支持自定义回源HTTP请求头。 支持多个源站或域名回源，并对源站设置层级和权重。 支持指定回源协议或配置跟随协议。 支持请求强制跳转，即将请求的HTTP强制302跳转至HTTPS进行请求。 业务接入 端口接入 支持UDP、TCP协议协议的域名进行自助接入配置。 支持配置转发端口或转发端口段。 支持多个源站或域名回源。 安全分析 安全报表 支持查看CC安全报表、网络层安全报表，通过攻击趋势、攻击源TOP分析、攻击目标TOP分析等，掌握攻击态势。 安全分析 攻击事件 支持查看、导出CC攻击事件、网络层攻击事件。 业务分析 日志下载 支持下载业务请求全量日志，以对业务情况进行深入分析，为攻击排查，业务决策提供输入信息。 业务分析 业务用量 支持查看流量、带宽、请求次数、QPS、连接数、并发连接数、响应状态码的趋势，以掌握业务运行情况。

本文主要介绍CoreDNS域名解析插件。 插件简介 CoreDNS域名解析插件是一款通过链式插件的方式为Kubernetes提供域名解析服务的DNS服务器。 CoreDNS是由CNCF孵化的开源软件，用于CloudNative环境下的DNS服务器和服务发现解决方案。CoreDNS实现了插件链式架构，能够按需组合插件，运行效率高、配置灵活。在kubernetes集群中使用CoreDNS能够自动发现集群内的服务，并为这些服务提供域名解析。同时，通过级联云上DNS服务器，还能够为集群内的工作负载提供外部域名的解析服务。 该插件为系统资源插件，kubernetes 1.11及以上版本的集群在创建时默认安装。 目前CoreDNS已经成为社区kubernetes 1.11及以上版本集群推荐的DNS服务器解决方案。 CoreDNS官网： 开源社区地址： 说明 DNS详细使用方法请参见 。 约束与限制 CoreDNS正常运行或升级时，请确保集群中的可用节点数大于等于CoreDNS的实例数，且CoreDNS的所有实例都处于运行状态，否则将导致插件异常或升级失败。 安装插件 本插件为系统默认安装，若因特殊情况卸载后，可参照如下步骤重新安装。 步骤 1 登录CCE控制台，单击集群名称进入集群，在左侧导航栏中选择“插件管理”，在右侧找到 coredns ，单击“安装”。 步骤 2 在安装插件页面，选择插件规格，并配置相关参数。 coredns插件参数配置 参数 参数说明 :: 插件规格 并发域名解析能力，请根据业务需求选择插件规格。 如选择“自定义qps”，CoreDNS所能提供的域名解析QPS与CPU消耗成正相关，请根据业务需求，合理调整插件实例数和容器CPU/内存配额。 实例数 选择上方插件规格后，显示插件中的实例数。 容器 选择插件规格后，显示插件容器的CPU和内存配额。 参数配置 parameterSyncStrategy：插件升级时是否配置一致性检查。 ensureConsistent：表示启用配置一致性检查，如果集群中记录的配置和实际生效配置不一致，插件将无法升级。 force：表示升级时忽略配置一致性检查。请您自行确保当前生效配置和原配置一致。插件升级完毕后，需恢复parameterSyncStrategy值为ensureConsistent，重新启用配置一致性检查。 stubdomains：存根域，您可对自定义的域名配置域名服务器，格式为一个键值对，键为DNS后缀域名，值为一个或一组DNS IP地址。 upstreamnameservers：上游域名服务器地址。 servers: coredns 1.23.1插件版本开始开放servers配置，用户可对servers做定制化配置，参见dnscustomnameservers，其中plugins为coredns中各组件配置（参考< $name $parameters { $configBlock } 示例： { "servers": [ { "plugins": [ { "name": "bind", "parameters": "{$PODIP}" }, { "name": "cache", "parameters": 30 }, { "name": "errors" }, { "name": "health", "parameters": "{$PODIP}:8080" }, { "configBlock": "pods insecurenfallthrough inaddr.arpa ip6.arpa", "name": "kubernetes", "parameters": "cluster.local inaddr.arpa ip6.arpa" }, { "name": "loadbalance", "parameters": "roundrobin" }, { "name": "prometheus", "parameters": "{$PODIP}:9153" }, { "configBlock": "policy random", "name": "forward", "parameters": ". /etc/resolv.conf" }, { "name": "reload" }, { "name": "log" } ], "port": 5353, "zones": [ { "zone": "." } ] } ], "stubdomains": { "acme.local": [ "1.2.3.4", "6.7.8.9" ] }, "upstreamnameservers": ["8.8.8.8", "8.8.4.4"] } coredns主zone默认plugin配置说明 plugin名称 描述 bind coredns 侦听的hostIP配置，建议保持当前默认值{$PODIP}。 cache 启用DNS缓存。 errors 错误信息到标准输出。 health coredns健康检查配置，当前侦听{$PODIP}:8080，请保持此默认值，否则导致coredns健康检查失败而不断重启 kubernetes CoreDNS Kubernetes插件，提供集群内服务解析能力。 loadbalance 轮转式DNS 负载均衡器， 在应答中随机分配 A、AAAA 和 MX 记录的顺序。 prometheus CoreDNS自身metrics数据接口, 默认zone侦听{$PODIP}:9153，请保持此默认值，否则普罗无法采集coredns metrics数据。 forward 不在Kubernetes 集群域内的任何查询都将转发到默认的解析器 (/etc/resolv.conf)。 reload 允许自动重新加载已更改的Corefile。 编辑 ConfigMap 配置后，请等待两分钟，以使更改生效。 步骤 3 完成以上配置后，单击“安装”。

本节介绍了容器镜像服务的使用企业版实例推送和拉取镜像。 前提条件 已开通企业版实例 已安装Docker或者其它容器运行时客户端 获取登录实例命令 1、进入容器镜像服务控制台 。 2、点击已开通的实例名称，左侧导航栏点击【实例管理 >访问凭证】，进入访问凭证页面。页面中可查看登录实例的命令。 3、登录用户名、密码是开通企业版实例时所填写的用户名、密码。如果忘记密码，可以点击页面中重置密码按钮来设置新密码。 创建命名空间 1、进入容器镜像服务控制台 。 2、点击已开通实例名称。左侧导航栏点击【容器镜像>命名空间】。点击页面的创建命名空间按钮。 3、填写命名空间名称，点击创建 。 创建镜像仓库 1、进入容器镜像服务控制台。 2、点击已开通实例名称，左侧导航栏点击【容器镜像>镜像仓库】 ，点击创建仓库按钮。 3、选择镜像仓库所属的命名空间，填写镜像仓库的名称，点击创建。 注意 仓库类型设置为公开，会使镜像能够被匿名拉取，请谨慎设置。

本文将向您介绍如何使用边缘安全加速平台安全与加速服务提供的网页防篡改功能。 功能介绍 网页防篡改功能用于保护网站核心静态页面，通过对比源站响应与媒体存储中心缓存的响应，保护网站因为源站页面被恶意篡改带来的负面影响，同时您可以根据需要配置防篡改规则。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 开通套餐为基础版及以上版本，支持网页防篡改相关功能。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【Web应用防火墙】菜单，并在左侧域名列表选择您要防护的域名。 3. 进入防护能力高级安全防护【网页防篡改】详细设置页。 配置说明 配置项 说明 防护开关 可以选择开启或者关闭策略 规则名称 支持设置规则名称 URL 1、填写需要防篡改防护的完整URL地址，例如 2、填写的URL必须是静态页面，即ContentType: text/html、ContentType: text/html; charsetxxx格式。 3、将自动获取的静态资源，目前支持js, css, jpg, jpeg, png, gif, bmp, svg这些后缀文件。 4、支持输入带端口的URL，例如 处理动作 支持拦截/告警/返回WAF缓存页面 拦截：对命中防篡改策略的请求进行拦截 告警：对命中防篡改策略的请求生成攻击日志，并返回被篡改后的页面 返回WAF缓存页面：命中防篡改策略后会返回边缘安全加速平台安全与加速服务缓存的页面，即用户侧展示为被篡改前的页面，并且攻击日志将记录此次命中信息 是否指定回源设置 如果您的站点访问要指定回源设置，需要填写是，将自动为您拉取源站的文件响应页面。需要填写的回源信息有请求协议、源站IP、回源端口、回源HOST。页面自动为您获取在基础配置已编辑的相关信息 文件缓存时间 该页面的静态资源最近缓存时间 注意 填写的URL必须是静态文件，ContentType: text/html、ContentType: text/html; charsetxxx格式。 自动获取的静态资源，目前只有js, css, jpg, jpeg, png, gif, bmp, svg后缀文件。

常见的计费类问题Q&A。 ECX的带宽支持什么计费方式？ ECX支持按流量计费、固定带宽计费、带宽月95峰值计费、带宽月均日95峰值计费。95峰值计费方式仅对大客户开放，您可以向您的客户经理申请开通。 ECX的独享带宽和共享带宽资费区别是什么？ ECX的独享带宽与共享带宽使用相同的资费标准。独享带宽和共享带宽只收取带宽或流量费用，具体资费请参考网络资源价格。 虚拟机关机后是否会继续计费？ 如果用户采用按需计费购买，虚拟机关机后相应的CPU、内存、GPU资源会被临时释放，这部分资源将不会被计费，但虚拟机占用的系统盘、数据盘资源仍然会被计费。如果您关机的时间太长，您的虚拟机资源可能会因为边缘集群资源不足而重启失败，您可以稍后重试。 欠费冻结后如何计费？ 用户欠费后，ECX实例占用的计算资源将进入1小时的保留期，1小时内若用户未充值则会进入冻结期。进入保留期时，资源可以正常使用并正常计费。 进入冻结期时： 虚拟机将不能使用，虚拟机的CPU、内存、GPU资源将会被释放，但系统盘和挂载的数据盘将会保留并按原价继续收费。 裸金属将不能使用，裸金属实例将会保留并按原价继续收费。 边缘存储实例将不能使用，实例资源及数据将会保留并按原价继续收费。 网络将无法访问。 冻结期内，若用户仍未充值，冻结期结束时系统会释放虚拟机、裸金属、边缘存储实例、弹性IP、NAT网关、负载均衡等资源，VPC、专线、路由表、SSL证书等资源会被保留。

兼容接口 实例类型 版本 Redis 集群版 同时兼容6.2/5.0/4.0

此小节介绍企业主机安全订阅安全报告。 指导您通过控制台的预设模板快速实现以周为单位或以月为单位的安全报告订阅。如需自定义，操作详情请参见创建安全报告。 约束限制 未开启企业版、旗舰版、网页防篡改版、容器版防护不支持安全报告相关操作。 订阅说明 订阅安全报告均为免费，但报告内容会受防护配额版本支持的功能限制。 操作步骤 1、登录管理控制台。 2、在页面左上角单击选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、左侧选择“安全报告”进入安全报告概览页面。服务预设了按月（default monthly security report）和按周（default weekly security report）统计的两个安全报告模板，可直接使用。 5、单击按月或按周的报告开关状态为 打开，开启安全报告的订阅，如需对报告进行编辑详情请参见编辑安全报告。 开启安全报告

本小节介绍SWR私有镜像管理。 私有镜像仓库中的镜像来源于容器镜像服务(SWR)的自有镜像，企业主机安全支持对这些共享镜像手动执行漏洞、恶意文件、软件信息、文件信息、基线检查、敏感信息的扫描并提供扫描报告。 约束限制 仅HSS容器版支持该功能。 仅支持对Linux镜像执行安全扫描。 查看私有镜像 1、 登录管理控制台。 2、在弹窗界面单击“体验新版”，切换至企业主机安全页面。 注意 切换至新版后，在总览页左上角单击“返回旧版”，可切换至企业主机安全（旧版） 3、 在左侧导航栏中，选择“资产管理 > 容器管理” ，进入容器管理界面，选择“容器镜像 > SWR私有镜像”页签。 4、单击“从SWR更新自有镜像”，可以同步SWR所有自有镜像。 手动扫描私有镜像 您可以手动执行全量、批量或单镜像的安全扫描。安全扫描的时长主要取决于镜像的大小。一般情况下扫描一个镜像可以在三分钟之内完成，扫描完成后，单击“安全报告”查看安全报告。 SWR私有镜像支持的安全扫描项如下： 扫描项 说明 漏洞 检测镜像中存在的漏洞。 恶意文件 检测镜像中存在的恶意文件。 软件信息 统计镜像中的软件信息。 文件信息 统计镜像中的文件信息。 基线检查 配置检查： − 检测CentOS 7、Debian 10、EulerOS和Ubuntu16镜像的系统配置项。 − 检测SSH应用配置项。 弱口令检查：检测镜像中存在的弱口令。 口令复杂度检查：检测镜像中不安全的口令复杂度策略。 敏感信息 检测镜像中含有敏感信息的文件。 默认不检测的路径如下： − /usr/ − /lib/ − /lib32/ − /bin/ − /sbin/ − /var/lib/ − /var/log/ − /nodemodules/ / .md − /nodemodules//test/ − /service/iam/examplestest.go − /grafana/public/build/.js 说明 可在“漏洞报告>敏感信息”页面，单击“敏感文件过滤路径管理”，设置不需要检测的Linux路径，最多可添加20个路径。 不检测的场景如下： − 文件大于20M。 − 文件类型为二进制、常用进程和自动生成类型。 软件合规 检测不允许使用的软件和工具。 基础镜像信息 检测未使用基础镜像构建的业务镜像。 1、登录管理控制台，进入企业主机安全页面。 2、在左侧导航栏中，选择“资产管理 > 容器管理”，进入容器管理界面。 3、选择“容器镜像 > 私有镜像仓库”，展开镜像名称，单击“操作”列的“安全扫描”，扫描单个镜像。 4、 在弹出的提示框中，单击“确定”，启动扫描任务。 5、待目标镜像“扫描状态”列显示为“扫描完成”，即扫描结束。

本文主要介绍原地升级。 操作场景 您可以通过云容器引擎管理控制台升级集群版本，以支持新特性的使用。 升级前，请先了解CCE各集群版本能够升级到的目标版本，以及升级方式和升级影响，详情请参见集群升级概述和升级前须知。 升级说明 集群的升级采用原地升级方式更新节点上的Kubernetes组件，升级后不会改变节点上的OS版本。 数据面节点升级时将采用分批升级的方式，默认会选择根据CPU、内存、PDB（Pod Disruption Budget，即为应用程序设置干扰预算）等设置节点升级的优先级，您也可以根据您的业务需要自行设置优先级。 注意事项 集群升级过程中会自动升级插件到目标集群兼容的版本，升级过程中请不要卸载或者重装插件。 升级之前请确认所有的插件都处于运行状态，如果插件升级失败可以在插件问题修复后，重试升级。 升级时会检查插件运行状态，部分插件（如CoreDNS）需要至少两个节点才能维持正常状态，那此时升级就至少需要两个节点。 若在集群升级过程中出现升级失败的提示，请参照提示信息修复问题后点击重试，若重试后仍未成功升级，请提交工单联系我们协助您进行修复。 更多注意事项请参见升级前须知。

本节介绍智算容器产品功能。 核心功能 功能模块 功能项 功能点 智算版 异构资源管理 异构资源 GPU 支持 异构资源管理 异构资源 NPU 支持 异构资源管理 异构资源 RDMA 支持 异构资源管理 监控 GPU 利用率 支持 异构资源管理 监控 Job 监控 支持 异构资源管理 共享GPU eGPU 支持 AI 任务调度 调度策略 GANG 支持 AI 任务调度 调度策略 FIFO 支持 AI 任务调度 调度策略 Capacity 支持 AI 任务调度 调度策略 Binpack 支持 AI 任务调度 调度策略 Spread 支持 AI 框架 模型训练 PyTorch 支持 AI 框架 模型训练 TensorFlow 支持 AI 框架 模型训练 DeepSpeed 支持