本章节概括介绍了边缘重保服务整体服务框架及其主要应用场景。 边缘重保服务可针对各类推广活动、重要会议、赛事、晚会等业务场景中的突发性流量压力及潜在的安全隐患，为客户核心业务提供全生命周期的保障。通过“事前全面分析和准备事中严格护航值守事后复盘优化”的三级保障体系，从底层资源入手，以业务功能可用性和应用服务的安全性为要义，为企业的核心业务提供多重保险，助力企业在流量洪峰中构建高可靠数字防线。 边缘重保服务以资深重保专家团队和成熟的边缘云系列产品为核心能力基础，辅以自研及第三方权威机构的各类工具，从前期的组织规划到过程中的作战保障及事后的复盘分析，构建核心业务加固、周期监控巡检、故障应急响应三位一体多重护甲的保障体系，为业务保驾护航，让您全程无忧！ 整体服务框架 应用场景 营销推广： 618购物节、双十一购物狂欢节、双十二购物狂欢节、年货节等电商促销活动；品牌发布会、产品发布会等受公众瞩目的各类发布会。 晚会与庆典：春节联欢晚会、跨年晚会、中秋晚会、地方春晚等晚会型活动；国庆阅兵、国家级大型庆典类活动。 教育活动：中高考查分、高考志愿填报、中小学生开学第一课、各类职业资格或技能考试认证等大规模教育类活动。 重要赛事：奥运会、冬奥会、世界杯、欧洲杯、亚运会、大运会、热门联赛等重要竞技赛事。 大型会晤：两会、金砖会晤、经济贸易峰会、各类大型论坛等会晤型活动。 票务活动：春运车票、演唱会门票、热门景点门票、消费券发放、纪念币发行等限量抢购类活动。 其他：攻防演练、热门游戏发布、热门应用大版本更新、企业核心业务割接及其他需要保障支持类的场景。

本节介绍了DDoS高防（边缘云版）概览页功能。 使用场景 概览页集成了DDoS高防（边缘云版）服务的重要指标和核心功能的入口，帮助您快速了解业务数据以及遭受的DDoS攻击详情。 前提条件 已开通DDoS高防（边缘云版）。 使用说明 1. 登录DDoS高防（边缘云版）控制台。 2. 进入【概览】页面，您即可使用如下功能，您可以指定时间查询。 功能 功能子项 说明 查询时间 提供快捷时间选项（昨日，今日，7天，30天）及自定义时间选择功能。指定时间后，卡片栏，业务带宽，CC攻击区域分布会展示对应时间的数据。 卡片栏展示 业务带宽峰值 防护业务的正常业务流量，等于源站上行流量与下行流量之和。 卡片栏展示 攻击事件数 DDoS网络层攻击事件数及CC攻击事件数之和。 卡片栏展示 DDoS防护带宽峰值 清洗前入向攻击流量的带宽峰值。 卡片栏展示 CC攻击峰值 经过网络层攻击过滤之后，应用层攻击QPS峰值。 业务带宽 展示业务带宽的趋势图，单位Mbps。鼠标移入可展示具体时间点的具体流量大小。支持移动时间轴将业务带宽趋势图进行放大及缩小，便于查看。 CC攻击区域分布 展示CC攻击事件中，攻击源IP的地区分布。不同颜色代表不同地区请求次数的范围。 基础信息 展示了服务接入的基本信息，包括接入的网站数，端口数量，上传的证书数量，以及即将过期的证书数量。点击可跳转到具体的列表进行查看。 计费详情 展示了服务开通的基本信息，包括套餐支持的业务带宽峰值，防护带宽峰值及CC防护峰值。点击“更多详情”可跳转计费详情页面。 应用漏洞 展示最新披露的CVE漏洞信息。

本节介绍了Web应用防火墙（边缘云版）的告警管理功能。 功能介绍 域名接入天翼云Web应用防火墙（边缘云版）（下文简称WAF）后，您可以通过设置告警，使WAF在网站请求流量中检测到攻击事件、异常流量时向您发送告警通知，帮助您及时掌握业务的安全状态。本文介绍如何设置告警和查看告警 前提条件 1、已开通Web应用防火墙（边缘云版） 2、新增域名并接入域名成功，具体可见WAF接入 说明 默认脱敏显示您的联系方式等敏感信息，点击明文显示时，请您注意保护数据安全！ 使用说明 1.登录Web应用防火墙（边缘云版）控制台。 2.进入【告警管理】页面。 设置告警策略 1、在左侧导航栏中选择【告警管理】—【告警配置】页面。 2、单击【新增】按钮，可以根据需要配置适合的告警，支持配置的告警类型有WAF攻击和CC攻击； 配置项 说明 告警名称 自定义告警名称 告警状态 您可以选择开启或者关闭告警 域名 您可以选择需要配置告警的域名，支持选择多个 告警类型 支持选择WAF告警、CC告警 攻击类型 告警类型选择WAF告警，则支持选择WAF相关的攻击类型，能够以单个或多个攻击类型的粒度配置告警条件 告警通知间隔时间 若不希望某段时间内由于攻击频繁导致触发多次告警通知，可配置通知间隔时间 告警条件 当您告警类型选择WAF告警，在单位时间内，攻击请求数达到您设定的阈值就会告警 当您告警类型选择CC告警， 支持勾选多条告警条件，当满足任一条件均会产生告警 勿扰时间 当配置时间内，不产生告警 告警邮箱 支持设置接收告警的邮箱或者手机号

本文主要介绍 容器如何访问VPC内部网络。 前面章节介绍了使用Service和Ingress访问容器，本节将介绍如何从容器访问内部网络（ VPC内集群外 ），包括VPC内访问和跨VPC访问。 VPC内访问 根据集群容器网络模型不同，从容器访问内部网络有不同表现。 容器隧道网络 容器隧道网络在节点网络基础上通过隧道封装网络数据包，容器访问同VPC下其他资源时，只要节点能访问通，容器就能访问通。如果访问不通，需要确认对端资源的安全组配置是否能够允许容器所在节点访问。 VPC网络 VPC网络使用了VPC路由功能来转发容器的流量，容器网段与节点VPC不在同一个网段，容器访问同VPC下其他资源时， 需要对端资源的安全组能够允许容器网段访问 。 例如集群节点所在网段为192.168.10.0/24，容器网段为172.16.0.0/16。 VPC下（集群外）有一个地址为192.168.10.52的ECS，其安全组规则仅允许集群节点的IP网段访问。 此时如果从容器中ping 192.168.10.52，会发现无法ping通。 kubectl exec test016cbbf97b78krj6h it /bin/sh / ping 192.168.10.25 PING 192.168.10.25 (192.168.10.25): 56 data bytes ^C 192.168.10.25 ping statistics 104 packets transmitted, 0 packets received, 100% packet loss 在安全组放通容器网段172.16.0.0/16访问。 此时再从容器中ping 192.168.10.52，会发现可以ping通。 $ kubectl exec test016cbbf97b78krj6h it /bin/sh /

本文通过图文说明新增证书的操作步骤。 功能介绍 Web应用防火墙（边缘云版）基于边缘云底座，HTTPS为边缘云网络内容传输提供了更好的保障，客户端在极速访问内容的同时，可以更安全有效地浏览网站内容。本文主要指导客户如何新增证书。 配置说明 新增证书时，客户需要填写证书备注名、证书公钥以及证书私钥。其中公钥和私钥支持PEM格式。具体操作步骤如下： 1. 登录Web应用防火墙（边缘云版）控制台。 2. 在【证书管理】页面，找到右上角的添加证书按键。 3. 单击【添加证书】。 4. 输入证书备注名、证书公钥和证书私钥。 您需要提前准备好域名的证书文件和私钥文件。 需要准备的证书相关内容如下（上传时请确保证书有完整的证书链）： .crt（公钥文件）或.pem（证书文件） .key（私钥文件） 备注： 证书备注名，是指在添加自有证书时，为了方便识别和记忆，可以支持客户自定义所上传证书的名称，方便在域名配置关联证书选择时，选定正确的证书与域名进行关联。 注意事项 请确保上传的证书还在有效期范围内。 目前只支持PEM格式，如果是其他格式，请自行转换为正确格式。

操作步骤及说明 步骤 1 登录云容器引擎控制台。 步骤 2 单击集群名称进入集群，在左侧选择“工作负载”，选择“有状态”，在右上角单击“创建StatefulSet”。 步骤 3 配置工作负载的信息。 基本信息 负载类型：选择有状态工作负载StatefulSet。工作负载类型的介绍请参见工作负载概述。 负载名称：填写工作负载的名称。 命名空间：选择工作负载的命名空间，默认为当前进入的命名空间。您可以单击后面的“创建命名空间”，命名空间的详细介绍请参见创建命名空间。 实例数量：填写实例的数量，也就是Pod的数量。 时区同步：选择是否开启时区同步。开启后容器与节点使用相同时区（时区同步功能依赖容器中挂载的本地磁盘，请勿修改删除），时区同步详细介绍请参见时区同步。 容器配置 容器信息Pod中可以配置多个容器，您可以单击右侧“添加容器”为Pod配置多个容器。 容器名称：为容器命名。 镜像更新策略：选择是否总是拉取镜像。 镜像名称：选择容器使用的镜像，支持多种镜像来源。 镜像版本：选择需要部署的镜像版本。 资源配额：配置 CPU 和内存的申请值和限制值。 初始化容器：选择是否作为初始化容器。 生命周期：配置容器生命周期的特定操作。 健康检查：设置存活探针、就绪探针及启动探针。 环境变量：设置容器运行环境的变量。 数据存储：挂载本地存储或云存储。 安全设置：对容器权限进行设置，保护系统和其他容器不受其影响。请输入用户ID，容器将以当前用户权限运行。 特权容器：选择是否启用特权容器。 镜像访问凭证：选择访问镜像仓库的凭证。 说明 有状态负载支持“动态挂载”云硬盘。动态挂载通过[[volumeClaimTemplates]](

本文介绍了边缘安全加速平台如何删除域名。 使用场景 如果您需在平台中删除某个域名的配置，您可以在控制台进行删除操作。删除按钮只能在域名状态为“已停止”时可见。 前提条件 域名状态为“已停止”。 使用说明 1.登录边缘安全加速控制台。 2.进入安全与加速工作台域名域名管理页面。 3.选择需要删除的域名，在操作栏点击【删除】按钮后，会进行弹窗提示，需手动输出要删除的域名，以免误操作，确定后域名列表无法查询该域名，配置也无法进行恢复。

本文通过图文说明证书删除的操作步骤。 功能介绍 当证书过期或者不再使用时，可通过DDoS高防（边缘云版）控制台删除证书。 注意事项 证书删除的前提是未绑定域名，因此在删除证书前，需要先解除证书与域名的绑定关系。 操作步骤 1、登录DDoS高防（边缘云版）控制台。 2、在【证书管理】页面，选定目标证书，在操作列单击【删除】。 3、控制台会弹窗（如下图），客户进行二次确认后，单击【确定】即可删除。

本文通过图文说明证书查看路径和证书详情。 功能介绍 客户完成证书新增后，可通过Web应用防火墙（边缘云版）控制台界面查看已添加的证书及其详细信息，包括：证书备注名、证书通用名称、证书品牌、到期时间、创建时间、已绑定域名等。 操作步骤 1、登录Web应用防火墙（边缘云版）控制台。 2、在【证书管理】页面，可以看到证书列表，含历史添加过的所有证书。 3、选定目标证书，在操作列单击【详情】，即可查看证书详情信息。

本节介绍如何处置风险容器。 操作场景 企业主机安全支持检测容器安全风险，并将容器安全风险分为以下几类： 致命：恶意程序等 高危：勒索攻击、恶意程序、反弹shell、逃逸攻击、危险命令等 中危：Webshell、异常启动、进程异常、敏感文件访问等 低危：暴力破解等 为避免有中危及以上安全风险容器影响其他容器的正常运行和使用，您可以通过隔离、暂停或杀容器的方式处置风险容器。 约束限制 仅HSS容器版支持该功能。 仅支持Linux容器。 仅有中危及以上安全风险的容器支持处置操作。 操作步骤 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在左侧导航树选择“资产管理 > 容器管理” ，进入“容器管理”页面。 说明 如果您的服务器已通过企业项目的模式进行管理，您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。 4、选择“容器”，进入容器页签。 5、在容器列表上方搜索框中输入“有风险”并单击搜索按钮 ，筛选有安全风险的容器。 6、在目标风险容器所在行的“操作”列，选择需要执行的处置操作。 对于集群容器支持杀容器操作，对于单机容器支持隔离、暂停、杀容器操作。 说明 仅有中危及以上风险的容器支持处置操作，您可以将鼠标滑动至目标风险容器所在行的安全风险列，查看安全风险分布。 隔离容器：容器被隔离后，在容器运行时，您将无法访问容器，且容器也无法访问主机的挂载目录以及容器自身的根系统文件。 1. 单击“隔离”。 2. 在弹出的对话框中确认信息无误后，单击“确认”。 暂停容器：冻结容器中运行的进程。 1. 单击“暂停”。 2. 在弹出的对话框中确认信息无误后，单击“确认”。 杀容器：终止运行中的容器进程，使容器处于终止状态，如果容器配置了AutoRemove，将无法恢复运行。 1. 单击“杀容器”。 2. 在弹出的对话框中确认信息无误后，单击“确认”。

本文介绍域名接入边缘安全加速平台后,如何为域名配置合适的防护策略。 当您首次将域名接入边缘安全加速平台之后，面对各种安全防护配置项，您可能不知道如何进行配置。本文将引导您从不同角色的视角、场景快速熟悉边缘安全加速平台的防护模块和防护规则配置，让您从最紧急、最关注的防护内容入手，了解如何使用安全与加速服务保护您的网站。 操作前提 已经在边缘安全加速平台控制台完成接入域名，并且域名已处于已启用的状态。 操作内容须知 本文描述都是建立在您已经完成域名新增，并且域名状态处于已启用的前提下进行操作，您可以参考功能的描述文档开启并设置相对应的功能。 1. 登录边缘安全加速控制台。 2. 在左侧导航栏，选择域名>域名管理。 本文会根据不同的角色或者业务视角来给您提供网站防护策略的配置建议。您可以根据您的实际需求和您对网站的熟悉程度来了解相关的网站防护配置。 没有安全经验的使用者要如何配置防护策略 您可能出于等保要求或者为了预防Web攻击而购买安全与加速服务，但您之前从未了解过网站安全相关知识或者未使用过安全产品，这种情况可以参考本章内容进行域名的防护配置修改。在根据域名接入指引成功添加域名后（域名状态由配置中 变更为 已启用 ），在“Web防护 > 域名规则”中将域名规则开关置为拦截模式，完成这几部操作后防护引擎就可以帮助您自动识别、拦截绝大部分的Web攻击请求。 同时您也需要多关注概览、安全报表、攻击日志等数据统计分析页面，了解业务流量、数据情况和攻击威胁情况。查看相关数据报表可以让您对域名信息有更详细的了解，同时可以根据这些数据特征，联系天翼云安全专家沟通具体的解决方案，在天翼云安全专家的指导下进一步配置域名防护内容，对域名安全进一步加固。 当您在攻击日志中发现正常的业务请求被误拦截，而您又不会根据误拦截内容进行防护配置变更时，您可以联系天翼云安全专家沟通具体的解决方案，联系方式见服务保障。

本文通过图文说明预取功能的操作方法及注意事项。 功能介绍 预取功能是指提交URL预取请求后，边缘安全加速平台—安全与加速将会主动将对应的资源缓存到节点上，当用户首次请求时，就能直接从边缘节点缓存中获取到最新的资源，边缘节点无需再回源站获取。常用于热门文件发布或是大型推广活动前做内容预取，可以降低热点文件发布后源站的回源压力，提升缓存命中率，优化首批访问用户的访问体验。 前提条件 您已经完成添加服务域名，如果您未添加，请参考添加服务域名。 操作步骤 1.登录边缘安全加速控制台，进入【安全与加速工作台】【刷新预取】页面。 2.在【刷新预取】页面，选中【URL预取】单击【创建任务】。 3.按照URL预取下方的提示内容，填写待预取URL。 4.配置完成后，单击【确定】提交。 5.完成预取任务提交后，如要查看任务执行进度和结果，可以选择具体的时间、输入目标域名，或者选择一种特定的任务状态类型查看预取任务的执行情况。

本章节介绍边缘重保服务的服务内容。 业务咨询 天翼云客户可以向客户经理咨询边缘重保服务的服务内容、服务优势、服务案例、计费方式、订购方式等与产品相关的问题。 服务申请 客户明确需要使用边缘重保服务后，提前10个工作日向客户经理提出服务申请，客户经理将协助客户完成服务申请。 可行性评估 天翼云资深专家将针对客户的场景需求，做出初步的服务可行性评估。确认具备保障可行性后，通过服务申请，完成服务受理。 项目启动 天翼云客户经理和资深专家将主动联系客户，迅速拉齐内外部相关方，组建活动重保专项保障群，明确各方相关干系人，并组织召开项目启动会，再次澄清需求背景、重保目标和验收标准。 需求调研 天翼云资深专家会根据客户业务特征、活动特征、系统架构及存量产品配置情况，结合深入访谈等手段，全面剖析业务现状。 专属保障方案定制 天翼云技术专家根据需求调研结果，贴合业务定制重保服务方案，方案通常包括：缓存策略优化、安全策略优化、资源及储备优化、源站压力管理、告警监控定制、巡检机制定制等，实际保障过程中会根据客户所订购的功能型边缘云产品特性进行调整。 经客户评审、确认方案后，天翼云技术专家将在重保前完成所有优化配置、监控告警配置、资源储备等准备工作。

本文为您详细介绍ECX边缘网络的计费方式。 智能边缘云ECX的边缘网络计费项包括带宽和负载均衡实例规格两种。 带宽计费 带宽计费：按集群维度对使用的带宽进行定价，按带宽网络实例维度出账。支持包年包月、按流量计费、按月95峰值计费。 运营商 地区 包年包月 按流量计费 按月95峰值计费 以各集群资源为准 中国内地 支持 支持 请咨询客户经理 包年包月 计费规则： 在选购边缘网络产品时，带宽可选择包年包月计费。设置一个公网带宽值，单位Mbps，以公网带宽值 x 带宽单价 x 订购时长计费。 在使用过程中，不再对产生的公网入方向流量、公网出方向流量计费，实际的入、出网带宽不会高于设置的带宽值。 付费方式：预付费。 计费单位：Mbps。 适用场景：适用于对带宽要求比较稳定的客户。如果服务器的带宽使用率较高，需要长时间使用带宽，建议选择包年包月计费。 按流量计费 计费规则： 每5分钟，统计一次公网入方向流量、公网出方向流量的较大值，作为计费流量值。 付费方式：后付费。 计费单位：GB。 适用场景：适用于对带宽要求较少或带宽变化较大的客户。如果公网带宽利用率不高于10%，日常流量较少，或只在某个高峰期流量波动较大，建议选择使用按流量计费。 为避免产生高额的带宽流量费，可先设置公网带宽上限。

本节介绍了容器镜像服务的应用场景。 容器镜像管理 用户需要自建本地镜像仓库，但涉及到组件安装、权限配置、集群整合等复杂的搭建流程；且后期管理存在大量麻烦、耗时的后台操作，同时需要长期的对本地仓库进行维护，运维成本高；用户需要快速完成仓库搭建，提升镜像管理效率，降低成本。 通过使用容器镜像服务产品，支持可视化界面操作，无需用户具备专业运维知识即可快速完成镜像仓库搭建，基于镜像服务全生命周期的管理能力，满足用户普遍使用需求。 容器化一键部署 用户上云过程中，若本地进行镜像上传进行业务容器化操作，当集群节点数多，单个节点涉及业务种类多，且业务更新频繁时，后台镜像操作将变得繁琐费时，业务容器化效率低下。需要简化操作，提升业务部署效率。 联合云容器引擎，使用容器镜像服务CRS中的容器镜像，快速实现业务容器化部署。

基本信息 负载类型：选择守护进程DaemonSet。工作负载类型的介绍请参见工作负载概述。 负载名称：填写工作负载的名称。 命名空间：选择工作负载的命名空间，默认为default。您可以单击后面的“创建命名空间”，命名空间的详细介绍请参见创建命名空间。 容器运行时：CCE集群默认使用普通运行时。 时区同步：选择是否开启时区同步。开启后容器与节点使用相同时区（时区同步功能依赖容器中挂载的本地磁盘，请勿修改删除），时区同步详细介绍请参见时区同步。 容器配置 容器信息 Pod中可以配置多个容器，您可以单击右侧“添加容器”为Pod配置多个容器。 基本信息：容器基本信息 生命周期：设置容器生命周期 健康检查：设置容器健康检查 环境变量：设置环境变量 数据存储：存储概述 安全设置：对容器权限进行设置，保护系统和其他容器不受其影响。请输入用户ID，容器将以当前用户权限运行。 容器日志：使用ICAgent采集容器日志 说明 负载实例数大于1时，不支持挂载云硬盘类型的存储。 镜像访问凭证：用于访问镜像仓库的凭证，默认取值为defaultsecret，使用defaultsecret可访问SWR镜像仓库的镜像。defaultsecret详细说明请参见defaultsecret。 GPU显卡：默认为不限制。当集群中存在GPU节点时，工作负载实例可以调度到指定GPU显卡类型的节点上。

本文介绍Web应用防火墙（边缘云版）到期和欠费如何处理。 到期 Web应用防火墙（边缘云版）为包年包月的销售品，在资源到期前7天、3天、1天会以邮件的方式通知客户资源即将到期；在到期当天会以邮件、站内信和短信的方式通知客户。资源已经到期且如果客户没有续订资源，会在到期日对资源进行冻结；资源冻结后在超期1天、3天、7天邮件短信站内信提醒；资源冻结15天后，会释放资源。在资源冻结期间，如客户需继续使用，则可联系客户经理执行续订操作或自行在“控制中心费用中心”进行续订，如果冻结超期15天，资源会释放。 产品/服务冻结时：资源将被限制访问和使用，会导致您的业务中断。 产品/服务解冻时：资源将被解除限制，但是需要您自行去自助控制台检查并恢复业务。 产品/服务释放时：资源将被释放，存储在资源中的数据将被删除，数据无法找回。 欠费 在天翼云账户中没有费用并欠款的情况下，天翼云会以短信的方式通知客户充值；如果客户在48小时内未付清所欠金额，并将关停客户的Web应用防火墙（边缘云版）服务。

本文介绍如何升级应用。 升级操作可以通过应用管理界面列表操作【升级】进入升级页面，也可以通过点击具体的应用进入详情页点击【升级】页签进入升级页面。 操作步骤 1.登录云容器引擎控制台，在左侧控制台导航栏中选择【工作负载】>【无状态】或【有状态】,进入应用管理界面>单击已创建的某一个应用，进入应用详情页面，选择【升级】页签； 2.请根据业务需求进行应用的升级，该过程与创建应用容器设置步骤相似，升级的参数说明请参见下表： 参数 参数说明 容器配置 选择镜像 在对应的容器下，单击【选择镜像】进行修改 镜像版本 进行镜像版本的更改 容器名称 单击列表框，修改容器名称 容器规格 对容器允许使用的cpu的最小值、最大值，内存的最小值、最大值进行修改 其它设置 生命周期 支持对生命周期进行修改，为应用提供极大的灵活性 生命周期包括：启动命令、启动后处理、停止前处理 健康检查 支持对通过探针监测容器进行修改 环境变量 容器运行环境中设定的一个变量。可以在应用部署后修改，为应用提供极大的灵活性； 在【环境变量】页签，单击【添加环境变量】； 输入变量名称、变量/变量引用。 数据存储 支持对数据存储进行修改，增加本地磁盘 安全设置 支持通过修改用户ID对容器权限进行修改 容器日志 容器设置日志采集策略、配置日志目录。用于收集容器日志以及日志防爆。通过添加日志策略对容器设置进行修改 3.更新完成后，单击【提交】。

本文主要介绍 网络概述。. 关于集群的网络，可以从如下两个角度进行了解： 集群网络是什么样的：集群由多个节点构成，集群中又运行着Pod（容器），每个Pod都需要访问，节点与节点、节点与Pod、Pod与Pod都需要访问。那集群中包含有哪些网络，各自的用处是什么，具体请参见集群网络构成。 集群中的Pod是如何访问的：访问Pod就是访问容器，也就是访问用户的业务，Kubernetes提供Service和Ingress来解决Pod的访问问题。本章节根据用户使用场景总结了常见的网络访问场景，让您能够在不同使用场景下选择合适的使用方法。 集群网络构成 集群中节点都位于VPC中，节点使用VPC的网络，容器的网络是使用专门的网络插件来管理。 节点网络 节点网络为集群内主机（节点，图中的Node）分配IP地址，您需要选择VPC中的子网用于CCE集群的节点网络。子网的可用IP数量决定了集群中可以创建节点数量的上限（包括Master节点和Node节点），集群中可创建节点数量还受容器网络的影响，在容器网络模型中会进一步说明。 容器网络 为集群内容器分配IP地址。CCE继承Kubernetes的IPPerPodPerNetwork的容器网络模型，即每个Pod在每个网络平面下都拥有一个独立的IP地址，Pod内所有容器共享同一个网络命名空间，集群内所有Pod都在一个直接连通的扁平网络中，无需NAT可直接通过Pod的IP地址访问。Kubernetes只提供了如何为Pod提供网络的机制，并不直接负责配置Pod网络；Pod网络的具体配置操作交由具体的容器网络插件实现。容器网络插件负责为Pod配置网络并管理容器IP地址。 当前CCE支持如下容器网络模型。 容器隧道网络：容器隧道网络在节点网络基础上通过隧道封装另构建的独立于节点网络平面的容器网络平面，CCE集群容器隧道网络使用的封装协议为VXLAN，后端虚拟交换机采用的是openvswitch，VXLAN是将以太网报文封装成UDP报文进行隧道传输。 VPC网络：VPC网络采用VPC路由方式与底层网络深度整合，适用于高性能场景，节点数量受限于虚拟私有云VPC的路由配额。每个节点将会被分配固定大小的IP地址段。VPC网络由于没有隧道封装的消耗，容器网络性能相对于容器隧道网络有一定优势。VPC网络集群由于VPC路由中配置有容器网段与节点IP的路由，可以支持集群外直接访问容器实例等特殊场景。 不同容器网络模型，容器网络的性能、组网规模、适用场景各不相同，在容器网络模型对比章节，将会详细介绍不同容器网络模型的功能特性，了解这些有助于您选择容器网络模型。 服务网络 服务（Service）是Kubernetes内的概念，每个Service都有一个固定的IP地址，在CCE上创建集群时，可以指定Service的地址段（即服务网段）。服务网段不能和节点网段、容器网段重叠。服务网段只在集群内使用，不能在集群外使用。

本文主要介绍存储概述。. Volume（存储卷） 容器中的文件在磁盘上是临时存放的，当容器重建时，容器中的文件将会丢失，另外当在一个Pod中同时运行多个容器时，常常需要在这些容器之间共享文件，这也是容器不好解决的问题。Kubernetes抽象出了Volume来解决这两个问题，也就是存储卷，Kubernetes的Volume是Pod的一部分，Volume不是单独的对象，不能独立创建，只能在Pod中定义。 Pod中的所有容器都可以访问Volume，但必须要挂载，且可以挂载到容器中任何目录。 实际中使用容器存储如下图所示，将容器的内容挂载到Volume中，通过Volume两个容器间实现了存储共享。 Volume的生命周期与挂载它的Pod相同，但是Volume里面的文件可能在Volume消失后仍然存在，这取决于Volume的类型。 存储卷类型说明 Volume可分为本地磁盘存储和云存储两大类。 本地磁盘存储 本地磁盘存储可以使用如下几种类型，具体使用请参见本地磁盘存储。 emptyDir：一种简单的空目录，主要用于临时存储。 hostPath：将主机（节点）某个目录挂载到容器中，适用于读取主机上的数据。 ConfigMap：特殊类型，将Kubernetes特定的对象类型挂载到容器。 Secret：特殊类型，将Kubernetes特定的对象类型挂载到容器。 LocalPV：本地持久卷，直接使用节点的本地磁盘，持久化存储容器数据。 云存储： CCE支持使用云存储有如下几种。 云硬盘EVS 极速文件存储SFS Turbo 对象存储OBS 弹性文件存储SFS

本文主要介绍设置容器健康检查。 操作场景 健康检查是指容器运行过程中，根据用户需要，定时检查容器健康状况。若不配置健康检查，如果容器内应用程序异常，Pod将无法感知，也不会自动重启去恢复。最终导致虽然Pod状态显示正常，但Pod中的应用程序异常的情况。 Kubernetes提供了三种健康检查的探针： 存活探针： livenessProbe，用于检测容器是否正常，类似于我们执行ps命令检查进程是否存在。如果容器的存活检查失败，集群会对该容器执行重启操作；若容器的存活检查成功则不执行任何操作。 就绪探针： readinessProbe，用于检查用户业务是否就绪，如果未就绪，则不转发流量到当前实例。一些程序的启动时间可能很长，比如要加载磁盘数据或者要依赖外部的某个模块启动完成才能提供服务。这时候程序进程在，但是并不能对外提供服务。这种场景下该检查方式就非常有用。如果容器的就绪检查失败，集群会屏蔽请求访问该容器；若检查成功，则会开放对该容器的访问。 启动探针 ：startupProbe，用于探测应用程序容器什么时候启动了。 如果配置了这类探测器，就可以控制容器在启动成功后再进行存活性和就绪检查， 确保这些存活、就绪探针不会影响应用程序的启动。 这可以用于对启动慢的容器进行存活性检测，避免它们在启动运行之前就被杀掉。

前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见WAF接入 开通套餐为体验版及以上版本，支持使用规则防护引擎功能 操作步骤 1. 登录Web应用防火墙（边缘云版）控制台 2. 在左侧导航栏中选择【域名管理】—【域名列表】，选择您要防护的域名，单击操作列【安全防护】 3. 进入【域名规则】页面 配置说明 开启或者关闭单条规则 1、登录web应用防火墙（边缘云版）控制台，在左侧导航栏中选择【域名管理】—【域名列表】，单击域名列表操作【安全防护】进入域名规则配置页面； 2、在“域名规则”页签内，可基于域名实现对单条规则的开启与关闭； 相关文档 添加服务域名 安全基础配置

本文介绍如何设置容器健康检查探针。 功能说明 ECI Pod支持为容器配置多种类型的探针，对容器进行健康检查。不同类型的探针如下： 1. 应用存活探针：检查容器是否正常运行。如果检查成功，则表示容器正常运行。如果检查失败，系统会根据配置的容器重启策略进行相应的处理。如果未配置该探针，则默认容器一直正常运行。 2. 应用业务探针：检查容器是否已经就绪，可以为请求提供服务。如果检查成功，则表示容器已经准备就绪，可以接收业务请求。如果检查失败，则表示容器没有准备就绪，系统将停止向该容器发送任何请求，直至重新检查成功。 配置示例 可以通过容器的readinessProbe 和 readinessProbe字段配置应用存活探针和应用业务探针，配置参考如下： shell apiVersion: apps/v1 kind: Deployment metadata: name: nginxdeployment labels: app: nginx spec: replicas: 1 selector: matchLabels: app: nginx template: metadata: labels: app: nginx spec: containers: name: nginx image: registryhuadong1.crsinternal.ctyun.cn/opensource/nginx:1.25alpine ports: containerPort: 80 设置Liveness Probe livenessProbe: exec: command: cat /test/livenessProbe initialDelaySeconds: 5 periodSeconds: 5 设置readinessProbe readinessProbe: exec: command: cat /test/livenessProbe initialDelaySeconds: 5 periodSeconds: 5 nodeName: vndu53cymkxxxxcnhuadong1jsnj1apublicctcloud

本文介绍如何设置容器健康检查探针。 功能说明 ECI Pod支持为容器配置多种类型的探针，对容器进行健康检查。不同类型的探针如下： 1. 应用存活探针：检查容器是否正常运行。如果检查成功，则表示容器正常运行。如果检查失败，系统会根据配置的容器重启策略进行相应的处理。如果未配置该探针，则默认容器一直正常运行。 2. 应用业务探针：检查容器是否已经就绪，可以为请求提供服务。如果检查成功，则表示容器已经准备就绪，可以接收业务请求。如果检查失败，则表示容器没有准备就绪，系统将停止向该容器发送任何请求，直至重新检查成功。 配置示例 可以通过容器的readinessProbe 和 readinessProbe字段配置应用存活探针和应用业务探针，配置参考如下： shell apiVersion: apps/v1 kind: Deployment metadata: name: nginxdeployment labels: app: nginx spec: replicas: 1 selector: matchLabels: app: nginx template: metadata: labels: app: nginx spec: containers: name: nginx image: registryhuadong1.crsinternal.ctyun.cn/opensource/nginx:1.25alpine ports: containerPort: 80 设置Liveness Probe livenessProbe: exec: command: cat /test/livenessProbe initialDelaySeconds: 5 periodSeconds: 5 设置readinessProbe readinessProbe: exec: command: cat /test/livenessProbe initialDelaySeconds: 5 periodSeconds: 5 nodeName: vndu53cymkxxxxcnhuadong1jsnj1apublicctcloud

本章节介绍云容器集群Pod进程挂起故障演练。 背景介绍 在 CCE 环境中，容器内进程可能因系统调度、资源冻结或异常信号进入挂起状态。此类故障隐蔽且会导致服务中断，同时进程仍占用资源。本演练通过模拟容器内进程挂起，验证业务在此类异常下的表现与容错能力。 基本原理 通过kill STOP挂起节点上的指定进程。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的pod列表。 5. 在弹出的对话框中，单击添加pod。 6. 勾选您希望进行故障演练的一个或多个pod ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎Pod。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎Pod实例。 添加故障动作 ：单击立即添加 ，在列表中选择进程挂起动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 进程名称：例如nginx。 容器选择模式：选择攻击pod中容器，可以“按资源定义的首个容器”，也可以“指定容器名称”，当选择指定容器名称时，需要输入容器的名称。 容器名称：填写攻击目标的容器名称

本章节介绍云容器集群Pod进程挂起故障演练。 背景介绍 在 CCE 环境中，容器内进程可能因系统调度、资源冻结或异常信号进入挂起状态。此类故障隐蔽且会导致服务中断，同时进程仍占用资源。本演练通过模拟容器内进程挂起，验证业务在此类异常下的表现与容错能力。 基本原理 通过kill STOP挂起节点上的指定进程。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的pod列表。 5. 在弹出的对话框中，单击添加pod。 6. 勾选您希望进行故障演练的一个或多个pod ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎Pod。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎Pod实例。 添加故障动作 ：单击立即添加 ，在列表中选择进程挂起动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 进程名称：例如nginx。 容器选择模式：选择攻击pod中容器，可以“按资源定义的首个容器”，也可以“指定容器名称”，当选择指定容器名称时，需要输入容器的名称。 容器名称：填写攻击目标的容器名称

本文介绍如何进行容器设置。 在容器设置页面，支持设置“容器调查审计信息保留时间”和“容器调查审计信息保留容量”。 操作步骤 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“容器安全 > 容器设置”，进入容器设置页面。也可以在容器实时检测页面，单击右上角的“设置”按钮，进入容器设置页面。 3. 设置“容器调查审计信息保留时间”和“容器调查审计信息保留容量”。 参数 说明 历史容器保留时间 默认为7，不支持修改。 存在报警的历史容器保留时间 默认为7，不支持修改。 容器调查审计信息保留时间 最大值为“1095天”。 容器审计信息会记录大量事件，占用较大的磁盘空间，请根据磁盘剩余空间大小酌情配置保存天数。 容器调查审计信息保留容量 最大值为“65535G”。 容器审计信息会记录大量事件，占用较大的磁盘空间，请根据磁盘剩余空间大小酌情配置保存容量。 说明 “容器调查审计信息保留时间”和“容器调查审计信息保留容量”两个参数值均为0时，代表关闭审计功能。

重启策略 说明 Always 当容器失效时，由kubelet自动重启该容器。 OnFailure 当容器终止运行且退出码不为0时，由kubelet自动重启该容器。 Never 不论容器运行状态如何，kubelet都不会重启该容器。

本文主要介绍在云容器引擎CCE集群中，如何接入Prometheus监控以及如何在集群中查看监控大盘与设置告警规则。 前提条件 已开通应用性能监控APM。 已创建云容器引擎集群。 操作指南 步骤一：接入云容器引擎集群 Prometheus监控服务和云容器引擎服务已实现产品能力集成，您可以通过以下方式将Prometheus服务接入容器集群中。 方式1：通过云容器引擎控制台接入 新建集群接入。在创建云容器引擎时，默认会集成Prometheus服务能力，以便给用户提供容器监控能力。 已有集群接入。登录云容器引擎控制台，进入集群列表页面， 点击目标集群名称，在左侧导航栏中选择运维管理 > 监控 。再根据页面指引按步骤完成服务开通与插件安装即可。 方式2：通过Prometheus监控控制台接入 您可以通过Prometheus监控服务控制台接入云容器集群，具体操作如下： 1. 登录Prometheus监控服务控制台，左侧点击接入管理。 2. 在快速接入中，选择“容器集群监控（专有版）”或“容器集群监控（托管版）”。 3. 在配置面板，选择需要接入的集群名称，按照界面指引完成容器集群监控接入。

本文将向您介绍如何将请求设置为Bot防护策略的白名单。 功能介绍 若您希望请求针对Bot防护策略加白，可以配置Bot防护策略白名单。 注意：目前控制台尚未开放Bot防护策略功能，如有防护需求请通过提交工单给天翼云客服，由其人工操作开启。 背景信息 您的域名接入边缘云WAF后，配置防护策略将默认作用于所有符合策略的请求，若您希望某类请求不经过某个防护策略，可以分别配置对应的白名单功能。 若您希望请求针对任意防护策略加白，可以配置网站白名单，配置详情可见设置网站白名单； 若防护规则集中的某条规则出现误报情况，可以配置规则白名单，配置详情可见设置Web规则白名单； 若您希望请求针对Bot防护策略加白，可以配置Bot策略白名单，配置详情可见下文 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见WAF接入 开通Web应用防火墙（边缘云版）扩展服务Bot管理，支持使用Bot防护策略，具体请见Bot管理计费

本文将向您介绍如何使用边缘安全加速平台安全与加速服务提供的高频爬虫限制功能。 功能介绍 以 Cookie 为粒度进行统计，防止攻击者盗用合法 Cookie 进行大量请求，通过限制不同统计粒度下访问次数防护爬虫。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 购买Bot防护扩展服务，支持Bot防护相关功能。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【Bot防护】菜单，并在左侧域名列表选择您要防护的域名。 3. 进入防护能力客户端风险识别【高频爬虫限制】详细设置页。 配置说明 支持配置多个防护条件，最多支持配置5条，多个条件为或关系。 处理动作：支持拦截、告警、关闭。 统计粒度：IP/跳转Cookie/静态Cookie。 触发条件：达到触发条件的请求将对其执行处理动作。在【统计周期】内，请求数超过【N】次，将执行处理动作。 处理时长：支持配置处理动作持续时长（触发规则后的惩罚时间），单位支持天、时、分。

功能 说明 简述边缘安全加速支持的国密算法及配置方法。 简述HTTP2.0的定义和配置方法。 简述OCSP Stapling功能的概念、使用前提和配置方法。 简述HSTS功能和配置方法。 简述安全与加速服务支持的TLS协议版本和配置方法。 简述批量关联域名启用HTTPS加速服务的配置方法。 简述强制跳转的场景及配置方法。包括HTTP强制跳转HTTPS，HTTPS强制跳转HTTP。 简述边缘加速节点无需部署私钥的情况下如何加速HTTPS业务。 天翼云边缘安全加速支持的SSL/TLS加密套件及对应套件支持的最低版本的SSL/TLS协议。