事件来源 资源类型 操作事件 事件级别 操作字段 容器服务 弹性容器实例ECI 订购弹性容器实例ECI 普通 ECIScheduling 容器服务 弹性容器实例ECI 更新弹性容器实例ECI 普通 ECIUpdating 容器服务 弹性容器实例ECI 重启弹性容器实例ECI 普通 ECIRestarting 容器服务 弹性容器实例ECI 退订弹性容器实例ECI 告警 ECITerminating

拓展业务功能 介绍 配置方式 、 示例 手机号和手机验证码登录服务 使用手机号加上手机验证码的方式来登录 默认关闭，开启和关闭方式为：登录边缘安全加速平台零信任服务控制台，选择账户安全后开启/关闭短信验证码登录 邮箱和邮箱验证码登录服务 使用邮箱加上邮箱验证码的方式来登录 默认关闭，开启和关闭方式为：登录边缘安全加速平台零信任服务控制台，选择账户安全后开启/关闭邮箱验证码登录

日志下载步骤 1. 登录边缘安全加速控制台，选择【边缘接入】控制台。 2. 进入【运营管理】【日志服务】【离线日志】页面。 3. 筛选对应域名/实例，选择时间后，单击下载对应域名/实例的日志。默认支持近30天的日志下载，同时支持单个日志下载和批量下载。 单日志下载：选中单个域名后面的文件下载键进行单个日志文件下载。 批量下载：第一列选中多个域名，并点击【批量下载】可进行批量日志下载。

本节介绍镜像的查看和管理。 查看镜像列表 1. 登录ECX控制台。 2. 单击左侧【边缘虚拟机>镜像】导航栏。 3. 点击【公有镜像】、【自定义镜像】、【共享镜像】和【镜像市场】可分别查看不同类型的镜像。 使用镜像 1. 登录ECX控制台。 2. 单击左侧【边缘虚拟机>实例】导航栏，点击【新建实例】。 3. 在虚拟机配置页面，在“镜像配置“中根据需要选择对应的操作系统，目前支持公有镜像、自定义镜像、共享镜像及镜像市场镜像，虚机开通完成后，将使用该镜像进行操作系统的初始化。

本文介绍如何查看防御容器的运行状态，及如何下载防御容器日志。 查看防御容器列表 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“安装配置 > 运行状态”，进入运行状态页面。 3. 该页面显示平台内所有防御容器的运行状态。平台容器列表内，支持按照“防御容器名称”、“防御容器IP”、“集群名称”、“节点名称”、“健康状态”、“降级状态”进行筛选查询。 参数 说明 防御容器名称 容器的名称。 所在集群 容器所属集群。 所在节点 容器运行所在节点。 节点IP 容器运行所在节点的IP地址。 CPU CPU占用内核数量，单位M：代表“千分之一核心”。例如，50M的含义是指50/1000核心，即5%。 Memory 防御容器占用的存储空间。 健康状态 健康状态分为“在线”状态和“离线”状态。 降级状态 降级状态分为已降级、未降级。 用户可查看防御容器降级状态，并且通过操作来恢复已降级的防御容器。 说明 未降级或已离线的防御容器不支持恢复。 更新时间 容器状态更新的时间。

本节介绍边缘裸金属自定义镜像制作。 自定义镜像制作 1. 登录ECX控制台。 2. 单击导航栏【边缘裸金属>镜像服务>镜像列表】。 3. 进入【自定义镜像】管理页面。 4. 单击【+上传自定义镜像】，填写相关信息并上传自定义镜像。 注意 目前裸金属自定义镜像仅支持iso格式。 请根据《创建自定义镜像指引》生成满足规范的镜像，否则资源可能无法正常启动和管理。

本文介绍边缘接入服务里的DDoS与安全与加速服务里的DDoS高防的区别。 边缘接入服务中的DDoS防护，是通过四层接入，因此DDoS防护支持TCP、UDP、ICMP网络协议防护，如SYN Flood、ACK Flood、空连接等；但不提供七层防护能力，如CC防护。 而安全与加速服务中的DDoS防护，是通过七层接入，因此DDoS防护支持L37层防护能力。

前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见WAF接入 开通套餐为体验版及以上版本，支持使用规则防护引擎功能 操作步骤 1. 登录Web应用防火墙（边缘云版）控制台 2. 在左侧导航栏中选择【域名管理】—【域名列表】，选择您要防护的域名，单击操作列【安全防护】 3. 进入【域名规则】页面 配置说明 开启或者关闭单条规则 1、登录web应用防火墙（边缘云版）控制台，在左侧导航栏中选择【域名管理】—【域名列表】，单击域名列表操作【安全防护】进入域名规则配置页面； 2、在“域名规则”页签内，可基于域名实现对单条规则的开启与关闭； 相关文档 添加服务域名 安全基础配置

自定义Pod容器空间大小 自定义Pod容器空间（basesize）设置与节点操作系统和容器存储Rootfs相关（容器存储Rootfs可登录到节点通过docker info命令查看）： Device Mapper模式下支持自定义Pod容器空间（basesize）配置，默认值为10G。 OverlayFS模式默认不限制Pod容器空间大小。 配置Pod容器空间（basesize）时，需要同时考虑节点的最大实例数配置。理想情况下，容器引擎空间需要大于容器使用的磁盘总空间，即：容器引擎和容器镜像空间（默认占90%） > 容器数量 Pod容器空间（basesize） 。否则，可能会引起节点分配的容器引擎空间不足，从而导致容器启动失败。 对于支持配置basesize的节点，尽管可以限制单个容器的主目录大小（开启时默认为10GB），但节点上的所有容器还是共用节点的thinpool磁盘空间，并不是完全隔离，当一些容器使用大量thinpool空间且总和达到节点thinpool空间上限时，也会影响其他容器正常运行。 另外，在容器的主目录中创删文件后，其占用的thinpool空间不会立即释放，因此即使basesize已经配置为10GB，而容器中不断创删文件时，占用的thinpool空间会不断增加一直到10GB为止，后续才会复用这10GB空间。如果节点上的容器数量basesize > 节点thinpool空间大小，理论上有概率出现节点thinpool空间耗尽的场景。

本文介绍ECI实例如何设置探针进行健康检查。 ECI实例支持为容器配置多种类型的探针，对容器进行健康检查。不同类型的探针如下： 应用存活探针：检查容器是否正常运行。如果检查成功，则表示容器正常运行。如果检查失败，系统会根据配置的容器重启策略进行相应的处理。如果未配置该探针，则默认容器一直正常运行。 应用业务探针：检查容器是否已经就绪，可以为请求提供服务。如果检查成功，则表示容器已经准备就绪，可以接收业务请求。如果检查失败，则表示容器没有准备就绪，系统将停止向该容器发送任何请求，直至重新检查成功。 配置说明 1.在弹性容器实例控制台左侧导航栏中选择“容器组”，进入容器组列表页。 2.点击“创建弹性容器组”，进入弹性容器实例订购页。 3.在容器设置的高级设置中为每个容器设置探针。支持在容器启动后特定时间开始探测，支持设定探测超时的时间。检查方式支持命令行、Http请求、TCPSocket等多种探测手段。

本文主要介绍容器基本信息。 工作负载是Kubernetes对一组Pod的抽象模型，用于描述业务的运行载体，一个Pod可以封装1个或多个容器，您可以单击右上方的“添加容器”，添加多个容器镜像并分别进行设置。 表 镜像参数说明 参数 说明 容器名称 为容器命名。 镜像名称 单击后方“选择镜像”，选择容器使用的镜像。如果需要使用第三方镜像，请参见如何使用第三方镜像。 镜像版本 选择需要部署的镜像版本。 更新策略 镜像更新/拉取策略。可以勾选“总是拉取镜像”，表示每次都从镜像仓库拉取镜像；如不勾选则优使用节点已有的镜像，如果没有这个镜像再从镜像仓库拉取。 CPU配额 申请：容器需要使用的最小CPU值，默认0.25Core。 限制：允许容器使用的CPU最大值。建议设容器配额的最高限额，避免容器资源超额导致系统故障。 内存配额 申请：容器需要使用的内存最小值，默认512MiB。 限制：允许容器使用的内存最大值。如果超过，容器会被终止。申请和限制的具体请参见设置容器规格。 GPU配额 当集群中包含GPU节点时，才能设置GPU，无GPU节点不显示此选项。 不限制：表示不使用GPU。 独享：单个容器独享GPU。 共享：容器需要使用的GPU百分比，例如设置为10%，表示该容器需使用GPU资源的10%。 NPU配额 使用NPU芯片（昇腾D310）的数量，必须为整数。必须安装NPU插件后才能使用。 特权容器 特权容器是指容器里面的程序具有一定的特权。若选中，容器将获得超级权限，例如可以操作宿主机上面的网络设备、修改内核参数等。 初始化容器 选择容器是否作为初始化容器。Init 容器是一种特殊容器，在 Pod 内的应用容器启动之前运行。详细说明请参见Init 容器。

ECI实例通过容器镜像中的预设参数来启动容器。通过设置容器启动命令和参数，可以定义容器的启动行为和初始化过程，保证容器能够正确运行并提供所需服务。本文介绍如何为容器设置启动命令和参数。 ECI实例中支持多种方式启动容器，包括以下几种方式： 默认方式：使用容器镜像中的ENTRYPOINT或CMD参数启动。 自定义：通过控制台或者OpenAPI订购ECI实例时，手动指定启动命令和参数。 功能说明 工作目录：在容器镜像的构建过程中，可以通过WORKDIR指定容器的工作目录。当用户创建ECI实例时，支持用户自定义工作目录，该目录将覆盖镜像中定义的目录。如果用户未定义工作目录，镜像中也未指定WORKDIR，则默认工作目录将是根目录。 启动命令和参数：在容器镜像的构建过程中，可以通过ENTRYPOINT或CMD指定容器的启动命令和参数。当用户创建ECI实例时，支持用户自定义容器的启动命令和参数。如果用户未定义容器的启动命令和参数，则将以容器镜像中指定的ENTRYPOINT或CMD启动。 配置说明 1.在弹性容器实例控制台左侧导航栏中选择“容器组”，进入容器组列表页。 2.点击“创建弹性容器组”，进入弹性容器实例订购页。 3.在容器设置中为每个容器指定各自的启动命令和参数，输入参数后点击【+添加参数】即可。

本节介绍如何查看容器信息。 您可以在容器管理页面查看容器信息，了解容器状态、所属集群以及安全风险情况等。本章节介绍如何查看容器信息。 约束限制 仅支持对Linux镜像执行安全扫描。 仅HSS容器版支持该功能。 仅支持Docker引擎的本地镜像上报到企业主机安全控制台。 操作步骤 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在左侧导航树选择“资产管理 > 容器管理” ，进入“容器管理”页面。 说明 如果您的服务器已通过企业项目的模式进行管理，您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。 4、选择“容器”，进入容器页签。 5、查看容器信息和安全状态。 您可以在容器列表查看容器名称、状态、是否有安全风险，重启次数、所属POD、所属集群等相关信息。 查看容器详细信息。 单击目标容器名称，进入容器详情页面查看容器镜像、进程、端口、数据挂载等相关信息。 查看容器安全风险分布。 鼠标滑动至有风险的目标容器所在行的安全风险列，查看容器存在低危、中危、高危、致命风险的数量。

本文介绍如何更新容器列表。 容器运行时安全是容器安全管控的重中之重。目前传统的入侵检测方式主要针对于主机或者网络层面，现有防护手段无法发现针对容器层面的攻击行为。容器安全防护平台支持对容器内行为进行检测。当发现容器逃逸行为、反弹shell、端口扫描、启动挖矿程序、启动远程木马程序时，根据预设策略对存在异常的容器进行报警或暂停，并支持对容器所在的Pod进行隔离或重启。 操作步骤 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“容器安全 > 实时检测”，进入容器实时检测页面。 3. 在该页面单击容器列表右侧的“更新列表”，实时获取集群内的容器信息。

本节介绍NFS协议的文件存储如何挂载到Linux系统的边缘虚拟机上。 操作场景 当创建文件存储后，您需要使用边缘虚拟机来挂载该文件存储，以实现多个边缘虚拟机共享使用文件存储的目的。 同一文件存储不能同时支持 NFS 协议和 SMB 协议。 边缘裸金属服务器操作与边缘虚拟机一致，但裸金属服务器使用的是 underlay 的 VPC 网络挂载文件存储。 前提条件 在需要操作的地域创建虚拟私有云 VPC。 已创建该 VPC 下的边缘虚拟机，并根据操作系统类型，安装相应的 NFS 客户端。 已创建该 VPC 下的文件存储，协议类型为 NFS，并获取到文件存储的挂载点名称。 如果需要跨 VPC 访问文件存储，需要配置对等连接以确保 VPC 网络互通。 操作步骤 1. 以 root 用户登录弹性边缘虚拟机。 2. 安装 NFS 客户端。 查看系统是否安装 NFS 软件包。 说明 CentOS、Red Hat、Oracle Enterprise Linux、SUSE、Euler OS、Fedora或OpenSUSE系统下，执行如下命令： rpm qagrep nfs Debian或Ubuntu系统下，执行如下命令： dpkg l nfscommon 不同操作系统回显会有所不同，如果回显如下类似信息，说明已经成功安装 NFS 软件包。 说明 CentOS、Red Hat、Euler OS、Fedora 或 Oracle Enterprise Linux 系统下，回显如下类似信息： libnfsidmap nfsutils SUSE 或 OpenSUSE 系统下，回显如下类似信息： nfsidmap nfsclient Debian 或 Ubuntu 系统下，回显如下类似信息： nfscommon 如果查看到未安装，根据不同的操作系统，执行不同命令。 注意 执行以下命令前要求边缘虚拟机已连接到互联网，否则安装 NFS 客户端失败。 说明 CentOS、Red Hat、Euler OS、Fedora 或 Oracle Enterprise Linux 系统下，执行如下命令： sudo yum y install nfsutils Debian 或 Ubuntu 系统下，执行如下命令： sudo aptget install nfscommon SUSE 或 OpenSUSE 系统下，执行如下命令： zypper install nfsclient 3. 执行如下命令，创建用于挂载文件存储的本地路径。 mkdir 本地路径 说明 如果本地路径已挂载其他磁盘等资源，为被占用状态时，需要新建其它目录进行挂载（nfs 客户端不会对重复挂载进行拦截，当重复挂载时会表现为最后一次成功挂载的信息）。 4. 执行如下命令，将文件存储挂载到与文件存储所属 VPC 相同的边缘虚拟机上。 mount t nfs o vers3,timeo600,noresvport,nolock 挂载地址 本地路径 参数说明 参数 说明 :: vers 文件存储版本，支持 NFSv3 和 NFSv4。如果您的业务场景不包含多台实例同时编辑同一个文件，建议您选择 NFSv3，达到最优性能。 timeo NFS 客户端重传请求前的等待时间（单位为 0.1 秒）。建议值：600。 noresvport 指定 NFS 客户端向 NFS 服务端重新发起建立连接时使用新的 TCP 端口。强烈建议使用 noresvport 参数，这可以保障网络发生故障恢复事件后文件存储服务不会中断。 lock/nolock 选择是否使用 NLM 协议在服务器上锁文件。当选择 nolock 选项时，锁对于同一主机的应用有效，对不同主机不受锁的影响。建议值：nolock。如不加此参数，则默认为 lock，就会发生其他服务器无法对此文件存储写入的情况。ECX文件存储暂不支持非本地锁操作，需要显式添加 nolock 参数防止客户端调用非本地锁而导致抢锁失败的写入慢问题。 proto NFS 客户端向服务器发起传输请求使用的协议，可以为 UDP 或者 TCP。 挂载地址 文件存储的格式为：文件存储 ip:/ 路径，例如：192.168.0.10:/var/ecx/filenvmecv4lq0bkrj0lnj8u23n0。 本地路径 边缘虚拟机上用于挂载文件存储的本地路径，例如 “/localpath”。 注意 请将上述命令中的 “挂载地址” 替换为实际的文件存储 IP 地址及路径，将 “本地路径” 替换为在边缘虚拟机上创建的具体本地路径。 挂载文件存储时，更多性能调优的挂载参数，可参考更多参数配置，各参数之间以逗号进行分隔。例如： mount t nfs o vers3,timeo600,nolock,rsize1048576,wsize1048576,hard,retrans3,tcp,noresvport,ro,async,noatime,nodiratime 挂载地址 本地路径 更多参数 参数 说明 :: rsize 每次向服务器读取文件的最大字节数。实际数据小于或等于此值。rsize 必须是 1024 倍数的正整数，小于 1024 时自动设为 4096，大于 1048576 时自动设为 1048576。默认时，服务器和客户端进行协商后设置。建议设置为最大值 1048576。 wsize 每次向服务器写入文件的最大字节数。实际数据小于或等于此值。wsize 必须是 1024 倍数的正整数，小于 1024 时自动设为 4096，大于 1048576 时自动设为 1048576。默认时，服务器和客户端进行协商后设置。建议设置为最大值 1048576。 soft/hard 取值为 soft，即软挂载方式挂载系统，如果 NFS 请求超时，则客户端向调用程序返回错误；取值为 hard，即使用硬连接方式，如果 NFS 请求超时，则客户端一直重新请求直至成功。默认为 hard。 retrans 客户端返回错误前的重传次数。建议值：1。 tcp/udp 不指定 mountproto 时，客户端默认先尝试使用 udp 协议挂载，如果 udp 网络不通则会在卡顿几秒后再尝试 tcp 协议挂载。当前默认没有放通安全组入方向 mount 协议的 udp 端口号，需要将 mount 挂载协议设置为 TCP 传输协议，即 mountprototcp。 ro/rw ro：表示采用只读的方式挂载。rw：表示采用读写的方式挂载。默认为 rw。未写明 ro/rw 时，则默认为采用 rw 读写的方式挂载。 noresvport 指定 NFS 客户端向 NFS 服务端重新发起建立连接时使用新的 TCP 端口。强烈建议使用 noresvport 参数，这可以保障网络发生故障恢复事件后文件存储服务不会中断。 sync/async sync 为同步写入，表示将写入文件的数据立即写入服务端；async 为异步写入，表示将数据先写入缓存，再写入服务端。同步写入要求 NFS 服务器必须将每个数据都刷入服务端后，才可以返回成功，时延较高。建议设置为 async。 noatime 如果不需要记录文件的访问时间，可以设置该参数。避免频繁访问时，修改访问时间带来的开销。 nodiratime 如果不需要记录目录的访问时间，可以设置该参数。避免频繁访问时，修改访问时间带来的开销。 说明 没有 “使用建议” 的参数推荐使用默认参数。 5. 挂载完成后，执行如下命令，查看已挂载的文件存储。 mount l 如果回显包含如下类似信息，说明挂载成功。 挂载地址 on /localpath type nfs (rw,vers3,timeo600,nolock,addr) 6. 挂载成功后，用户可以在边缘虚拟机上访问文件存储，执行读取或写入操作。

参数 示例值 描述 ccse.ctyun.cn/eniinstanceid portxxx ECI容器实例的网卡ID k8s.ctyun.cn/eciinstanceid ecixxxxx ECI容器实例的ID k8s.ctyun.cn/eciinstancecpu "1.0" ECI容器实例CPU大小 k8s.ctyun.cn/eciinstancemem "1.0" ECI容器实例Memory大小 k8s.ctyun.cn/eciinstancezone cnxxxxxxxxpublicctcloud ECI容器实例所在可用区名称 k8s.ctyun.cn/ecivpc vpcxxxxxx ECI容器实例所属VpcId k8s.ctyun.cn/ecisubnet subnetxxxxxx ECI容器实例所属子网ID k8s.ctyun.cn/ecisecuritygroup sgxxxxxx ECI容器实例所在的安全组ID k8s.ctyun.cn/ecirequestid 80e90ccca5b54034acae7c0c8eeb376f 请求ID k8s.ctyun.cn/k8sversion v1.25.6 集群版本 k8s.ctyun.cn/clusterdns 10.96.0.10 集群DNS服务器的IP地址 k8s.ctyun.cn/clusterdomain cluster.local 集群本地域名 k8s.ctyun.cn/vkversion v1.2.020240829 cubevk版本

容器IP地址管理 云原生网络2.0下的BMS节点和ECS节点分别使用的是弹性网卡和辅助弹性网卡： Pod的IP地址从配置给容器网络的VPC子网上直接分配，无需为节点分配一个单独的小网段。 ECS节点添加到集群中，先绑定用于承载辅助弹性网卡的弹性网卡，待弹性网卡绑定完成后，即可绑定辅助弹性网卡。 ECS节点上绑定的弹性网卡数： 该节点最多可绑定的辅助弹性网卡数/64 ，向上取整。 ECS节点上绑定的总网卡数： 用于承载辅助弹性网卡的弹性网卡数+当前Pod使用的辅助弹性网卡数+预热的辅助弹性网卡数 。 BMS节点上绑定的网卡数： 当前Pod使用的弹性网卡数+预热的弹性网卡数 。 Pod创建时，优先从节点的预热网卡池中随机分配一个可用的网卡。 Pod删除时，网卡释放回节点的预热网卡池。 节点删除时，将释放节点上所有已绑定的网卡（弹性网卡释放回集群预申请的网卡池，辅助弹性网卡直接删除）。 云原生2.0网络目前支持两种网卡预热策略：节点容器网卡动态预热策略 和 节点绑定容器网卡数总量高低水位策略（废弃中） 。使用场景如下表所示： 表 容器网卡预热策略对比表 容器网卡预热策略 节点容器网卡动态预热策略（默认策略） 节点绑定容器网卡数总量高低水位策略（废弃中） 管理策略 节点最少绑定容器网卡数（nicminimumtarget）：保障节点最少有多少张容器网卡绑定在节点上（未被Pod使用+已被Pod使用） 节点预热容器网卡上限检查值（nicmaximumtarget）：当节点绑定的容器网卡数超过该值，不再主动预热容器网卡 节点动态预热容器网卡数：当Pod使用完节点最少绑定容器网卡数（nicminimumtarget）后，会始终额外预热多少张容器网卡 节点预热容器网卡回收阈值(nicmaxabovewarmtarget)：只有当 节点上空闲的容器网卡数 节点动态预热容器网卡数(nicwarmtarget) 大于此阈值时，才会触发预热容器网卡的解绑回收 节点绑定容器网卡数低水位：保障节点至少会绑定多少张网卡（未被Pod使用+已被Pod使用） 节点绑定容器网卡数高水位：保障节点至多会绑定多少张网卡，超过该值会尝试解绑未被使用的空闲网卡 适用场景 在尽可能提高IP资源利用率的前提下，尽可能加快Pod的启动速度，适用于容器网段IP地址数紧张的场景 通过合理配置上述四个参数，可适用于各种业务场景。 适用于容器网段IP地址数充足，且节点上Pod数变化剧烈，但固定在某个范围的场景 说明 1.19.16r2、1.21.5r0、1.23.3r0到1.19.16r4、1.21.7r0、1.23.5r0之间的集群版本只支持nicminimumtarget和nicwarmtarget两个容器网卡动态预热参数配置，绑定网卡数总量高低水位配置优先级高于容器网卡动态预热配置。 1.19.16r4、1.21.7r0、1.23.5r0、1.25.1r0及以上集群版本支持全部四个容器网卡动态预热参数配置，容器网卡动态预热配置优先级高于绑定网卡数总量高低水位配置。 图节点容器网卡动态预热策略 针对节点容器网卡动态预热策略，CCE提供了四个参数配置，您可以根据业务规划，集群规模以及节点上可绑定的网卡数，合理设置这四个参数。 表容器网卡动态预热参数 容器网卡动态预热参数 默认值 参数说明 配置建议 节点最少绑定容器网卡数(nicminimumtarget) 10 保障节点最少有多少张容器网卡绑定在节点上，支持数值跟百分比两种配置方式。 数值配置：参数值需为正整数。例如10，表示节点最少有10张容器网卡绑定在节点上。当超过节点的容器网卡配额时，后台取值为节点的容器网卡配额。 百分比配置：参数值范围为1%100%。例如10%，如果节点容器网卡配额128，表示节点最少有12张（向下取整）容器网卡绑定在节点上。建议nicminimumtarget与nicmaximumtarget为同类型的配置方式（同采用数值配置或同采用百分比配置）。 建议配置为大部分节点平时日常运行的Pod数。 节点预热容器网卡上限检查值(nicmaximumtarget) 0 当节点绑定的容器网卡数超过节点预热容器网卡上限检查值(nicmaximumtarget)，不再主动预热容器网卡。 当该参数大于等于节点最少绑定容器网卡数(nicminimumtarget)时，则开启预热容器网卡上限值检查；反之，则关闭预热容器网卡上限值检查。支持数值跟百分比两种配置方式。 数值配置：参数值需为正整数。例如0，表示关闭预热容器网卡上限值检查。当超过节点的容器网卡配额时，后台取值为节点的容器网卡配额。 百分比配置：参数值范围为1%100%。例如50%，如果节点容器网卡配额128，表示节点预热容器网卡上限检查值64（向下取整）。 建议nicminimumtarget与nicmaximumtarget为同类型的配置方式（同采用数值配置或同采用百分比配置）。 建议配置为大部分节点平时最多运行的Pod数。 节点动态预热容器网卡数(nicwarmtarget) 2 当Pod使用完节点最少绑定容器网卡数(nicminimumtarget)后，会始终额外预热多少张容器网卡，只支持数值配置。 当节点动态预热容器网卡数(nicwarmtarget) + 节点当前绑定的容器网卡数 大于 节点预热容器网卡上限检查值(nicmaximumtarget) 时，只会预热nicmaximumtarget与节点当前绑定的容器网卡数的差值。 建议配置为大部分节点日常10s内会瞬时弹性扩容的Pod数。 节点预热容器网卡回收阈值(nicmaxabovewarmtarget) 2 只有当节点上空闲的容器网卡数 节点动态预热容器网卡数(nicwarmtarget) 大于此阈值 时，才会触发预热容器网卡的解绑回收。只支持数值配置。 调大此值会减慢空闲容器网卡的回收，加快Pod的启动速度，但会降低IP地址的利用率，特别是在IP地址紧张的场景，请谨慎调大 。 调小此值会加快空闲容器网卡的回收，提高IP地址的利用率，但在瞬时大量Pod激增的场景，部分Pod启动会稍微变慢。 建议配置为大部分节点日常在分钟级时间范围内会频繁弹性扩容缩容的Pod数 大部分节点日常10s内会瞬时弹性扩容的Pod数。 说明 上述容器网卡动态预热参数支持集群级别的全局配置和节点池级别的差异化配置，其中节点池级别的容器网卡动态预热配置优先级高于集群级别的容器网卡动态预热配置。 容器网络组件会为每个节点维护一个可弹性伸缩的预热容器网卡池，定时（约10s一次）检测并计算需要绑定的预热容器网卡数 或需要解绑的空闲容器网卡数 : 需要绑定的预热容器网卡数 min(nicmaximumtarget 当前绑定的容器网卡总数，max(nicminimumtarget 当前绑定的容器网卡总数，nicwarmtarget 当前空闲的容器网卡数)) 需要解绑的空闲容器网卡数 min(当前空闲的容器网卡数 nicwarmtarget nicmaxabovewarmtarget，当前绑定的容器网卡总数 nicminimumtarget) 节点上当前预热的容器网卡数稳态后会维持在以下区间内： 当前预热的容器网卡数区间最小值 min(max(nicminimumtarget 当前绑定的容器网卡总数，nicwarmtarget), nicmaximumtarget 当前绑定的容器网卡总数) 当前预热的容器网卡数区间最大值 max(nicwarmtarget+ nicmaxabovewarmtarget, 当前绑定的容器网卡总数 nicminimumtarget) Pod创建时，优先从节点的预热容器网卡池中顺序分配（最早未被使用的）一张空闲的容器网卡，如没有可用的空闲网卡，会新创建一张网卡（辅助弹性网卡）或 新绑定一张网卡（弹性网卡）以分配给该Pod。 Pod删除时，对应的容器网卡先释放回节点的预热容器网卡池，2分钟冷却时间内可供下一个Pod循环使用，超过2分钟冷却时间后且节点预热容器网卡池计算出需要释放该容器网卡，才会释放该容器网卡。 图节点绑定容器网卡数总量高低水位策略 针对总量高低水位算法，CCE提供了一个配置参数，您可以根据业务规划，集群规模以及节点上可绑定的网卡数，合理设置这个参数： 节点绑定容器网卡数低水位：默认为0，保障节点至少会绑定多少张网卡（未被Pod使用+已被Pod使用）。ECS节点预绑定低水位网卡数节点绑定网卡数低水位节点总辅助弹性网卡数；BMS节点预绑定低水位网卡数节点绑定网卡数低水位节点总弹性网卡数。 节点绑定容器网卡数高水位：默认为0，保障节点至多会绑定多少张网卡，超过该值会尝试解绑未被使用的空闲网卡。ECS节点预绑定高水位网卡数节点绑定网卡数高水位节点总辅助弹性网卡数；BMS节点预绑定高水位网卡数节点绑定网卡数高水位节点总弹性网卡数。 容器网络组件会为每个节点维护一个可弹性伸缩的容器网卡池： 当已绑定容器网卡数量（Pod使用的容器网卡数+预绑定的容器网卡数） 预绑定高水位容器网卡数 ，且 节点预绑定的容器网卡数>0 时，会定时释放预绑定的容器网卡（超过2分钟未被使用的空闲网卡），直到 Pod使用的容器网卡数+预绑定的容器网卡数节点预绑定高水位容器网卡数 或Pod使用的容器网卡数 > 节点预绑定高水位容器网卡数 且 节点预绑定的容器网卡数0。

本节介绍了容器镜像服务:容器集群使用容器镜像服务发布应用。 操作场景 在云容器引擎中使用容器镜像服务中的容器镜像，发布一个容器应用。 前提条件 已开通容器镜像服务实例 已开通容器集群 操作步骤 准备容器镜像 用户可以根据自身的业务需求，通过Dockerfile构建镜像或者使用其它已经构建好的镜像。本文使用hub上的nginx官方镜像为例。执行以下命令拉取镜像： docker pull nginx:stablealpine 将容器镜像推送到容器镜像服务实例 在容器镜像服务中创建命名空间（可选：也可以直接使用已经创建好的命名空间） 1、登录容器镜像服务控制台。 2、左侧导航栏点击【容器镜像>命名空间】。 3、在命名空间页面点击创建命名空间按钮，创建一个名称为 mydemons 的命名空间。 在容器镜像服务中创建镜像仓库（可选：当命名空间设置为允许自动创建仓库时，可以直接通过推送镜像来创建镜像仓库） 1、登录容器镜像服务控制台。 2、左侧导航栏点击【容器镜像>镜像仓库】。 3、在镜像仓库页面点击创建仓库按钮，创建一个名称为 nginx 的私有镜像仓库。

本文介绍ECI实例如何设置容器生命周期回调。 ECI实例支持为容器配置生命周期回调，主要包括容器类应用的生命周期事件应采取的动作，分为以下两类： 启动后处理（PostStart）：在容器被创建之后，此回调会被调用。但是不能保证回调会在容器入口点（ENTRYPOINT）之前执行。 停止前处理（PreStop）：在容器被终止之前，此回调会被调用。 如果容器已经处于Terminated或者Finished状态，则对 preStop 回调的调用将失败。在用来停止容器的 TERM 信号被发出之前，回调必须执行结束。容器组的终止宽限周期在 PreStop 回调被执行之前即开始计数， 所以无论回调函数的执行结果如何，容器最终都会在终止宽限期内被终止。 配置说明 1.在弹性容器实例控制台左侧导航栏中选择“容器组”，进入容器组列表页。 2.点击“创建弹性容器组”，进入弹性容器实例订购页。 3.在容器设置的高级设置中设置生命周期回调。其中包括“启动后处理”和“停止前处理”回调，设定当容器被创建后将执行的命令，以及容器被终止之前将执行的命令。

参数 示例值 描述 ccse.ctyun.cn/eniinstanceid portxxx ECI容器实例的网卡ID k8s.ctyun.cn/eciinstanceid ecixxxxx ECI容器实例的ID k8s.ctyun.cn/eciinstancecpu "1.0" ECI容器实例CPU大小 k8s.ctyun.cn/eciinstancemem "1.0" ECI容器实例Memory大小 k8s.ctyun.cn/eciinstancezone cnxxxxxxxxpublicctcloud ECI容器实例所在可用区名称 k8s.ctyun.cn/ecivpc vpcxxxxxx ECI容器实例所属VpcId k8s.ctyun.cn/ecisubnet subnetxxxxxx ECI容器实例所属子网ID k8s.ctyun.cn/ecisecuritygroup sgxxxxxx ECI容器实例所在的安全组ID k8s.ctyun.cn/ecirequestid 80e90ccca5b54034acae7c0c8eeb376f 请求ID k8s.ctyun.cn/k8sversion v1.25.6 集群版本 k8s.ctyun.cn/clusterdns 10.96.0.10 集群DNS服务器的IP地址 k8s.ctyun.cn/clusterdomain cluster.local 集群本地域名 k8s.ctyun.cn/vkversion v1.2.020240829 cubevk版本

参数 示例值 描述 ccse.ctyun.cn/eniinstanceid portxxx ECI容器实例的网卡ID k8s.ctyun.cn/eciinstanceid ecixxxxx ECI容器实例的ID k8s.ctyun.cn/eciinstancecpu "1.0" ECI容器实例CPU大小 k8s.ctyun.cn/eciinstancemem "1.0" ECI容器实例Memory大小 k8s.ctyun.cn/eciinstancezone cnxxxxxxxxpublicctcloud ECI容器实例所在可用区名称 k8s.ctyun.cn/ecivpc vpcxxxxxx ECI容器实例所属VpcId k8s.ctyun.cn/ecisubnet subnetxxxxxx ECI容器实例所属子网ID k8s.ctyun.cn/ecisecuritygroup sgxxxxxx ECI容器实例所在的安全组ID k8s.ctyun.cn/ecirequestid 80e90ccca5b54034acae7c0c8eeb376f 请求ID k8s.ctyun.cn/k8sversion v1.25.6 集群版本 k8s.ctyun.cn/clusterdns 10.96.0.10 集群DNS服务器的IP地址 k8s.ctyun.cn/clusterdomain cluster.local 集群本地域名 k8s.ctyun.cn/vkversion v1.2.020240829 cubevk版本

本文介绍如何查看容器详情，及容器详情页面的详细说明信息。 进入容器详情页面 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“容器安全 > 实时检测”，进入容器实时检测页面。 3. 单击容器列表中的容器名称，可以查看容器的基本信息、进程、端口、数据挂载、软件、配置等信息。 查看容器基本信息 容器信息页面展示了容器的基本信息、运行情况、安全状态等信息。 查看容器审计 容器审计页面统计展示了正常事件和异常事件的数量随时间变化的折线图。 查看容器进程信息 进程信息页面展示了容器内的进程名称、父进程ID、进程ID、启动用户、运行时间、更新时间等信息。 查看容器端口信息 端口页面展示了容器的端口信息，包括容器端口、进程、节点端口、IPv4、IPv6、绑定IP、协议信息。 查看数据挂载 数据挂载页面展示了容器的数据挂载信息，包括数据卷名、源路径、目标路径、数据挂载方式、数据加载方式。

本文将介绍如何设置客户端IP访问域名首页次数限制。 功能介绍 频率控制：通过配置IP,URL,ARGS,HEADER,COOKIE,UA,CI等粒度，进行访问次数限制，防止客户资源被过度消耗。 通过配置频率控制能够实现客户端IP访问域名首页次数限制。 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见WAF接入 开通体验版及以上版本支持配置客户端IP访问域名首页次数限制 操作步骤 登录Web应用防火墙（边缘云版）控制台 登录web应用防火墙（边缘云版）控制台，在左侧导航栏中选择【域名管理】—【域名列表】，单击域名列表操作【安全防护】 进入【访问控制】页面，【频率控制】模块 设置客户端IP访问域名首页次数限制 在新增页面，输入规则名称（如单IP访问首页次数限制），选择统计粒度（如IP），在触发条件中设置触发条件（如在59秒内，低5个请求开始执行处理动作），选择处理动作（如拦截），填写完成后，单击确定，保存规则。

本节介绍了如何获取服务返回的CNAME，并将域名或者业务的DNS解析指向天翼云提供的CNAME，这样访问的请求才能转发到边缘云节点上，达到安全防护效果。 要启用Web应用防火墙（边缘云）服务，需要您将接入域名的DNS解析指向我们提供的CNAME，这样域名的请求才能转发到天翼云边缘节点上。 操作步骤 1. 在控制台【域名管理】—【域名列表】复制域名对应的CNAME。 2. 前往您的域名解析(DNS)服务商(如万网、阿里云解析、DNSPod、新网、腾讯云解析、route 53、godaddy等)，添加该CNAME记录。以DNSPod操作界面为例，配置如下： 3. 验证服务是否生效。配置CNAME后，不同的服务商CNAME生效的时间也不同，一般新增的CNAME记录会立即生效，修改的CNAME记录会需要较长时间生效；您可以 ping 或 dig 您所添加的加速域名，如果被指向.ctdns.cn，即表示CNAME配置已经生效，功能也已生效。

本文主要介绍安全容器与普通容器。 安全容器和普通容器相比，它最主要的区别是每个容器（准确地说是pod）都运行在一个单独的微型虚拟机中，拥有独立的操作系统内核，以及虚拟化层的安全隔离。因为云容器引擎CCE的容器安全隔离比独立拥有私有Kubernetes集群有更严格的要求。通过安全容器，不同容器之间的内核、计算资源、网络都是隔离开的，保护了Pod的资源和数据不被其他Pod抢占和窃取。 CCE Turbo集群下单节点支持普通容器和安全容器，您可以根据业务需求选择使用，两者的区别如下： 分类 安全容器 Docker普通容器 Containerd普通容器 容器所在节点类型 物理机 虚拟机 虚拟机 容器引擎 Containerd Docker Containerd 容器运行时 Kata runC runC 容器内核 独占内核 与宿主机共享内核 与宿主机共享内核 容器隔离方式 轻量虚拟机 Cgroups和Namespace Cgroups和Namespace 容器引擎存储驱动 Device Mapper OverlayFS2 OverlayFS Pod Overhead 内存：100MiBCPU：0.1CorePod Overhead为安全容器本身资源占用。比如Pod申请的limits.cpu 0.5Core和limits.memory 256MiB，那么该Pod最终会申请0.6Core的CPU和356MiB的内存。 无 无 最小规格 内存：256MiBCPU：0.25Core安全容器的CPU核数（单位为Core）与内存（单位为GiB）配比建议在1:1至1:8之间。例如CPU为0.5Core，则内存范围建议在512MiB4GiB间。 无 无 容器引擎命令行 crictl docker crictl Pod的计算资源 CPU和内存的request和limit必须一致 CPU和内存的request和limit可以不一致 CPU和内存的request和limit可以不一致 hostnetwork 不支持 支持 支持

本文介绍如何设置容器组。 容器组是Kubernetes部署应用或服务的最小的基本单位。一个容器组可以封装多个应用容器(也可以只有一个容器）、存储资源、一个独立的网络IP以及管理控制容器运行方式的策略选项。 用户创建完应用，查看【容器组列表】。 容器组列表页中内容包括：实例名称、状态、实例IP、所在节点、就绪容器（已就绪/全部）、创建时间、操作（编辑YAML、监控、删除）。编辑YAML界面： 点击具体容器组，可进入容器组详情页，在此可查看到容器组详情，且可根据需求，对容器、监控、容器终端、日志、事件进行查看和监控。

本文介绍如何使用ECX部署OpenClaw,配置大模型服务并使用WebUI进行配置管理。 购买边缘云主机 1、登录++智能边缘云控制台++。 2、进入边缘虚拟机实例，创建虚拟机。 点击【新建实例】。 就近选择云主机地域可用区，实例规格选择通用计算型，建议规格至少为s6.large.2（2vCPU，4GB内存）。 镜像选择：镜像市场镜像，大模型，openclaw，勾选镜像协议；系统盘容量不低于100GB。 网络配置选择新购买公网IP，公网带宽上限至少为5Mbps。若无可用VPC，可点击前往VPC和子网自助创建后，点击刷新图标更新信息。 点击安全组管理，新建安全组。 其中入方向放通0.0.0.0/0 22、0.0.0.0/0 18789，出方向全放通。 确认信息无误，勾选协议并提交。 点击立即支付，完成订单支付。 支付成功后，点击控制台，进入边缘虚拟机控制台，刷新页面可看到刚刚创建的虚拟机。 3、当虚拟机运行状态为“运行中”，登录虚拟机，执行如下命令，查看OpenClaw服务运行状态，确认其是否正常启动。 shell systemctl user status openclawgateway.service 若显示服务状态为active（running），证明OpenClaw服务已经正常启动。

参数 说明 镜像名称 导入的镜像，您可单击“更换镜像”进行更换。 镜像版本 选择需要部署的镜像版本。 容器名称 容器的名称，可修改。 特权容器 特权容器是指容器里面的程序具有一定的特权。 若选中，容器将获得超级权限，例如可以操作宿主机上面的网络设备、修改内核参数等。 容器规格 CPU 配额： 申请：容器需要使用的最小CPU值，默认0.25Core。 限制：允许容器使用的CPU最大值。建议设容器配额的最高限额，避免容器资源超额导致系统故障。 内存配额： 申请：容器需要使用的内存最小值，默认512MiB。 限制：允许容器使用的内存最大值。如果超过，容器会被终止。 申请和限制的具体请参见设置容器规格。 GPU 配额： 当集群中包含GPU节点时，才能设置GPU，无GPU节点不显示此选项。 容器需要使用的GPU百分比。勾选“使用”并设置百分比，例如设置为10%，表示该容器需使用GPU资源的10%。若不勾选“使用”，或设置为0，则无法使用GPU资源。 GPU 显卡： 工作负载实例将被调度到GPU显卡类型为指定显卡的节点上。 若勾选“不限制”，容器将会随机使用节点中的任一显卡。您也可以勾选某个显卡，容器将使用特定显卡。

参数 说明 镜像名称 导入的镜像，您可单击“更换镜像”进行更换。 镜像版本 选择需要部署的镜像版本。 容器名称 容器的名称，可修改。 特权容器 特权容器是指容器里面的程序具有一定的特权。 若选中，容器将获得超级权限，例如可以操作宿主机上面的网络设备、修改内核参数等。 容器规格 CPU 配额： 申请：容器需要使用的最小CPU值，默认0.25Core。 限制：允许容器使用的CPU最大值。建议设容器配额的最高限额，避免容器资源超额导致系统故障。 内存配额： 申请：容器需要使用的内存最小值，默认512MiB。 限制：允许容器使用的内存最大值。如果超过，容器会被终止。 申请和限制的具体请参见设置容器规格。 GPU 配额： 当集群中包含GPU节点时，才能设置GPU，无GPU节点不显示此选项。 容器需要使用的GPU百分比。勾选“使用”并设置百分比，例如设置为10%，表示该容器需使用GPU资源的10%。若不勾选“使用”，或设置为0，则无法使用GPU资源。 GPU 显卡： 工作负载实例将被调度到GPU显卡类型为指定显卡的节点上。 若勾选“不限制”，容器将会随机使用节点中的任一显卡。您也可以勾选某个显卡，容器将使用特定显卡。

本文介绍上传加速的应用场景及配置说明等。 什么是上传加速？ 随着自媒体时代的到来，用户上传图片、大文件、短视频的需求日益增长，传统CDN主要针对的是源站向客户端分发内容的加速，而用户上传的内容，往往都是纯动态内容，无法通过缓存的方式进行加速。 天翼云边缘安全加速平台提供了一种上传加速服务，针对用户上行传输数据全程加速。使用本方案后，用户请求自动被调度到最近的节点，节点接收到用户上传的数据后，通过如下技术将用户上传的内容快速上传到源站： 根据您的用户分布，天翼云全站加速产品可在全球各地选择最优的边缘节点供用户接入。 用户上传内容到边缘节点后，全站加速平台通过智能选路选出最优回源路径，快速地将用户上传的内容传输到源站或者云端。 应用场景 上传加速主要应用场景包括：图片上传、音视频上传、新闻素材和稿件上传等场景。 配置说明 1.登录边缘安全加速控制台，进入【安全与加速工作台】【CDN加速配置】，在域名列表中选中需要配置的域名。 2.单击【编辑配置】，找到【上传加速】配置模块。 配置参数说明： 参数名 配置值 说明 上传加速 开启/关闭 开启后将提供上传加速能力 注意 开放试用，开启后上传大小默认限制为: 300M ，建议叠加动态加速配置可使上传加速效果更佳。 配置界面：

本节介绍了如何在控制台新增端口接入规则。 使用场景 如果您需要为非网站类业务提供DDoS高防（边缘云版）服务。您可以在DDoS高防（边缘云版）控制台通过TCP、UDP端口接入配置完成业务接入。 注意 相同域名，无法同时进行域名接入（HTTP/HTTPS）和端口接入(TCP/UDP)。 前提条件 已开通DDoS高防（边缘云版）。 不支持80、8080、443、8443端口接入配置，关于上述接口的防护，建议您使用域名接入。 使用说明 1.登录DDoS高防（边缘云版）控制台。 2.进入【业务接入】【端口接入】页面。 3.点击右上角【新增规则】按钮。 新增规则配置说明： 配置项 说明 协议类型 支持TCP、UDP协议。 转发端口 即为业务端口，支持配置端口、端口段。 若配置多个转发端口，则对应源站端口、源站均为相同。 部分端口不可用（不可用端口会在控制台更新）。 源站端口 选择端口接入，可支持配置多个，用分号隔开。 选择端口段接入，不可配置，源站端口跟随请求端口进行回源。 回源转发模式 默认为轮询模式。 源站 支持配置IPV6、IPV4、域名作为源站。 支持源站配置20个。 4.配置完成后，点击【确认】按钮，新增规则将变成“配置中”状态。 5.进入后台自动化配置流程（正常情况15分钟以内），流程结束后会自动变成“配置完成”状态。若“配置中”状态持续时间过长，可创建工单获取支持。

本节介绍如何管理边缘虚拟机实例，包括实例状态管理、灾备和高可用设置等。 重置密码 1. 登录ECX控制台。 2. 单击左侧【边缘虚拟机>实例】导航栏，选择需要操作的实例。 3. 在操作列点击【重置密码】，可进行虚拟机密码重置。 4. 用户也可以点击实例名称，进入实例详情，点击【重置密码】进行密码重置。 5. 也支持批量选中多个实例，点击【批量操作>实例状态>重置密码】进行批量密码重置。 注意 仅运行中的虚拟机支持密码重置。 密码长度要求8～26位，需包含大小写字母、数字、特殊字符的组合。 若为Windows操作系统，密码中不能包含关键字administrator（不区分大小写）。 开机 1. 登录ECX控制台。 2. 单击左侧【边缘虚拟机>实例】导航栏，选择需要操作的实例。 3. 在操作列点击【更多>实例状态>开机】，可启动关机状态下的虚拟机。 4. 用户也可以点击实例名称，进入实例详情，点击【更多>实例状态>开机】对虚拟机进行开机操作。 5. 也支持批量选中多个实例，点击【批量操作>实例状态>开机】进行批量开机。 关机 1. 登录ECX控制台。 2. 单击左侧【边缘虚拟机>实例】导航栏，选择需要操作的实例。 3. 在操作列点击【更多>实例状态>关机】，可对运行中的虚拟机进行关机操作。 4. 用户也可以点击实例名称，进入实例详情，点击【更多>实例状态>关机】对虚拟机进行关机操作。 5. 也支持批量选中多个实例，点击【批量操作>实例状态>关机】进行批量关机。 注意 若选择强制关机，未保存的数据可能会丢失，请谨慎操作。