本文介绍ECI实例如何设置探针进行健康检查。 ECI实例支持为容器配置多种类型的探针，对容器进行健康检查。不同类型的探针如下： 应用存活探针：检查容器是否正常运行。如果检查成功，则表示容器正常运行。如果检查失败，系统会根据配置的容器重启策略进行相应的处理。如果未配置该探针，则默认容器一直正常运行。 应用业务探针：检查容器是否已经就绪，可以为请求提供服务。如果检查成功，则表示容器已经准备就绪，可以接收业务请求。如果检查失败，则表示容器没有准备就绪，系统将停止向该容器发送任何请求，直至重新检查成功。 配置说明 1.在弹性容器实例控制台左侧导航栏中选择“容器组”，进入容器组列表页。 2.点击“创建弹性容器组”，进入弹性容器实例订购页。 3.在容器设置的高级设置中为每个容器设置探针。支持在容器启动后特定时间开始探测，支持设定探测超时的时间。检查方式支持命令行、Http请求、TCPSocket等多种探测手段。

本文介绍如何查看ECI实例日志、监控信息。 前提条件 部署ECI实例后，您可以通过弹性容器实例控制台查看该ECI实例的日志信息和监控信息。 操作步骤 查看日志信息 1. 在弹性容器实例控制台左侧导航栏中选择“容器组”，进入容器组列表页。 2. 在容器组列表中找到该实例，点击实例名称进入实例详情页面。参考如下图： 3. 在实例详情页面点击日志页签查看该实例的日志信息。参考如下图： 查看监控信息 1. 在弹性容器实例控制台左侧导航栏中选择“容器组”，进入容器组列表页。 2. 在容器组列表中找到该实例，点击实例名称进入实例详情页面。参考如下图： 3. 在实例详情页面点击监控页签查看该实例的监控信息。参考如下图：

复制策略 通过复制策略，可以快速添加一个和已有策略类似的策略。 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“容器安全 > 容器策略”，进入容器策略页面。 3. 在“入侵检测策略”页签，在已有策略的操作列单击“复制策略”，进入复制策略页面。 4. 策略配置的详细说明请参考添加策略。 编辑策略 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“容器安全 > 容器策略”，进入容器策略页面。 3. 在“入侵检测策略”页签，在已有策略的操作列单击“编辑”，进入编辑策略页面。 4. 在策略编辑界面，可以修改策略名称、策略应用的对象、检测规则配置对应的处理方式。策略配置的详细说明请参考添加策略。 批量管理策略 支持批量对策略进行管理，包括启用、禁用、删除。 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“容器安全 > 容器策略”，进入容器策略页面。 3. 在“入侵检测策略”页签，勾选入侵行为名称前的复选框，选择要操作的策略。 4. 单击选择列表上方的“批量”按钮，展开批量操作。 5. 根据需要选择执行的操作，支持批量启用、禁用、删除。

本节介绍了如何在控制台批量新增端口接入规则。 使用场景 如果您需要为多个非网站类业务提供DDoS高防（边缘云版）服务。您可以在DDoS高防（边缘云版）控制台进行批量端口转发规则新增。 注意 相同域名，无法同时进行域名接入（HTTP/HTTPS）和端口接入(TCP/UDP)。 前提条件 已开通DDoS高防（边缘云版）。 不支持80、8080、443、8443端口接入配置，关于上述接口的防护，建议您使用域名接入。 使用说明 1.登录DDoS高防（边缘云版）控制台。 2.进入【业务接入】【端口接入】页面。 3.点击右上角【新增规则】按钮。 批量新增配置说明： 方法 配置项 说明 方法一 复制配置规则到文本框 1.每行对应一条规则，多条规则进行换行。 2.每行包含四个字段，从左到右依次时协议、转发端口、源站端口、源站、字段之间以空格分隔。 3.转发端口唯一值，源站端口、源站可多个，用; 号隔开。 方法二 导入TXT文件 按照上述规则，将内容保存为TXT文件，进行导入。 4.配置完成后，点击【确认】按钮，新增规则将变成“配置中”状态。 5.进入后台自动化配置流程（正常情况15分钟以内），流程结束后会自动变成“配置完成”状态。若“配置中”状态持续时间过长，可创建工单获取支持。

本文主要介绍参考知识类问题。 一、 如何使容器重启后所在容器IP仍保持不变？ 单节点场景 如果集群下仅有1个节点时，要使容器重启后所在容器IP保持不变，需在工作负载中配置主机网络，在工作负载的yaml中的spec.spec.下加入hostNetwork: true字段。 多节点场景 如果集群下有多个节点时，除进行以上操作外，还需要设置节点的亲和策略，但工作负载创建后实例运行数不得超过亲和的节点数。 完成效果 进行如上设置并在工作负载运行后，工作负载实例ip与节点ip将保持一致，重启工作负载后ip也将保持不变。 二、云容器引擎CCE和微服务引擎的区别是什么？ 对于使用者而言，云容器引擎关注的重点是pod的部署，微服务引擎关注的是服务的使用。 对于技术实现来看，微服务引擎是对云容器引擎的再一次封装。 基础概念 云容器引擎（CCE） 云容器引擎（Cloud Container Engine，简称CCE）提供高度可扩展的、高性能的企业级Kubernetes集群，支持运行Docker容器，提供了Kubernetes集群管理、容器应用全生命周期管理、应用服务网格、Helm应用模板、插件管理、应用调度、监控与运维等容器全栈能力，为您提供一站式容器平台服务。借助云容器引擎，您可以在天翼云上轻松部署、管理和扩展容器化应用程序。 应用管理与运维平台（ServiceStage） ServiceStage应用管理与运维平台是一个应用托管和微服务管理平台，可以帮助企业简化部署、监控、运维和治理等应用生命周期管理工作。ServiceStage面向企业提供微服务、移动和Web类应用开发的全栈解决方案，帮助您的各类应用轻松上云，聚焦业务创新，帮助企业数字化快速转型

本节介绍了:使用容器镜像服务发布容器应用。 操作场景 在云容器引擎中使用容器镜像服务中的容器镜像，发布一个容器应用。 前提条件 已开通容器镜像服务实例，如没有容器镜像实例，可参考创建容器镜像服务进行创建。 已开通容器集群，如没有容器集群，可参考创建容器集群进行创建。 操作步骤 准备容器镜像 用户可以根据自身的业务需求，通过Dockerfile构建镜像或者使用其它已经构建好的镜像。本文使用hub上的nginx官方镜像为例。执行以下命令拉取镜像： docker pull nginx:stablealpine 将容器镜像推送到容器镜像服务实例 在容器镜像服务中创建命名空间（可选：也可以直接使用已经创建好的命名空间） 1、登录容器镜像服务控制台。 2、左侧导航栏点击【容器镜像>命名空间】。 3、在命名空间页面点击创建命名空间按钮，创建一个名称为 mydemons 的命名空间。 在容器镜像服务中创建镜像仓库（可选：当命名空间设置为允许自动创建仓库时，可以直接通过推送镜像来创建镜像仓库） 1、登录容器镜像服务控制台。 2、左侧导航栏点击【容器镜像>镜像仓库】。 3、在镜像仓库页面点击创建仓库按钮，创建一个名称为 nginx 的私有镜像仓库。

背景 当下的云原生时代，容器逐渐成为软件部署的标准。为了提升开发效率，函数计算提供容器镜像函数，开发者可以把自己的容器镜像作为函数的运行内容。容器镜像函数具备以下优点： 低成本迁移，保持环境一致。简化分发和部署的步骤。 容器镜像具备分层缓存能力，提高镜像上传拉取效率。 基本原理 函数计算平台在创建容器镜像函数时，选择自己的CRS仓库镜像，并需要输入用户名和密码，启动实例会拉取您选择的镜像，拉取成功后，根据指定的启动命令启动您的镜像。 容器镜像需要有HTTP Server。函数计算通过配置的端口监听容器内的HTTP Server，此HTTP Server将接管函数计算的所有请求，包括通过API调用和通过HTTP调用的请求。您在开发函数具体的交互逻辑之前，一般需要确认开发的是通过API调用函数还是通过HTTP请求调用函数，原理如下所示： 使用限制 镜像大小限制 最大支持10 GB（普通实例）的未解压镜像。 镜像仓库 支持拉取天翼云容器镜像服务的镜像。 镜像访问 仅支持同账号同地域下私有镜像仓库读取。 容器内文件读写权限 容器UID默认是Root用户ID，即 UID0。如果您在Dockerfile中指定了具体的使用者，则会以指定的使用者运行该容器镜像。

本文介绍如何更新容器列表。 容器运行时安全是容器安全管控的重中之重。目前传统的入侵检测方式主要针对于主机或者网络层面，现有防护手段无法发现针对容器层面的攻击行为。容器安全防护平台支持对容器内行为进行检测。当发现容器逃逸行为、反弹shell、端口扫描、启动挖矿程序、启动远程木马程序时，根据预设策略对存在异常的容器进行报警或暂停，并支持对容器所在的Pod进行隔离或重启。 操作步骤 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“容器安全 > 实时检测”，进入容器实时检测页面。 3. 在该页面单击容器列表右侧的“更新列表”，实时获取集群内的容器信息。

本章节介绍云容器集群Pod进程停止故障演练。 背景介绍 在 CCE 中，Pod 容器内进程若意外终止，可能导致业务中断和 Pod 重建。本演练模拟进程终止，评估系统容错及自愈与告警能力。 基本原理 通过kill 9停止节点上的指定进程。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的pod列表。 5. 在弹出的对话框中，单击添加pod。 6. 勾选您希望进行故障演练的一个或多个pod ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎Pod。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎Pod实例。 添加故障动作 ：单击立即添加 ，在列表中选择进程停止动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 进程关键词：例如nginx。 停止进程的方式：强制结束表示使用 SIGKILL (信号9)，优雅结束表示使用 SIGTERM (信号15) 容器选择模式：选择攻击pod中容器，可以“按资源定义的首个容器”，也可以“指定容器名称”，当选择指定容器名称时，需要输入容器的名称。 容器名称：填写攻击目标的容器名

尊敬的天翼云用户： 您好！ 天翼云于2025年12月26日更新《天翼云边缘安全加速平台服务等级协议》，新版协议将于2026年1月10日正式生效。请您尽快阅读更新后的协议内容：《天翼云边缘安全加速平台服务等级协议》，此次更新内容主要包括：安全与加速第二条服务承诺2.2.3条和边缘接入服务第二条服务承诺2.2.3条，您可以点击协议链接访问最新协议。 您在本次更新生效后继续使用服务将被视为您接受修改后的条款。如您不同意遵守新服务等级协议，您可在2026年1月10日前退订并停止使用天翼云产品及服务。 感谢您对天翼云一直以来的支持，如有任何问题可随时通过服务热线（4008109889）与我们联系，给您带来不便，敬请谅解。 天翼云服务团队

本文介绍了边缘安全加速平台如何启用域名。 使用场景 如果您需要启用针对某个域名的防护，您可以在控制台进行启用操作。域名启用后，请求流量将会解析到边缘节点进行攻击防御，并进行相关费用统计。 前提条件 域名状态为“已停止”。 若服务区域选择“中国内地”或者“全球”，域名需要完成ICP备案，才能启用。 使用说明 1.登录边缘安全加速控制台。 2.进入安全与加速工作台域名域名管理页面。 3.选择需要启用的域名，在操作栏点击【启用】按钮后，会进行弹窗提示，再次确认后，域名会进入启用流程，域名状态变成“配置中”。 4.进入后台自动化配置流程（正常情况15分钟以内），流程结束后会自动变成“已启用”状态。若“配置中”状态持续时间过长，可创建工单获取支持。

本文介绍连接器集群相关配置,以便您可以快速接入服务。 功能介绍 远程办公场景：在您访问您的企业内部系统之前，您需要通过安装连接器，实现企业员工要访问的内部应用系统资源和AOne边缘节点的网络连通。连接器是使用反向连接技术，将您的内网应用资源和天翼云零信任安全网关进行网络连通，避免业务系统暴露于互联网上。远程零信任办公服务通过连接器可实现统一连通企业多云、混合云、云上VPC、本地机房等跨数据中心网络，有效解决企业数字化转型过程中遇到的混合部署模式下统一接入难题，实现企业内网的统一和可信延伸。 办公组网场景：您需要在进行互联互通的分支网络中部署连接器，连接器可与天翼云边缘节点建立安全隧道或直接与对端连接器打通，通过统一的管理平面，控制不同分支机构的互联互访。 全球加速：您需要在需要进行加速访问的网络中，部署连接器，连接器遵循白名单原则，对需要加速访问的应用进行引流，它将作为“高速公路”入口，与天翼云边缘节点进行网络打通。 使用说明 您需要准备服务器用于安装连接器，可选择云上服务器（云主机）、虚拟机或是物理服务器等进行部署安装，该服务器需要由客户自行购买。 使用该能力需要购买零信任服务、网络服务或全球加速服务，针对不同场景进行选择配置。

本文介绍在游戏加速及大流量攻击防护场景下的产品价值。 行业痛点 新游发布或游戏旺季时经常受到 DDoS 攻击，勒索频发，往往导致游戏不可用，影响游戏口碑和收益。 同时，游戏服务商需要保障全球数百万游戏玩家具有流畅的游戏体验，网络时延要求较高。 解决方案 通过 AOne 能够实时检测并阻止各种类型的 DDoS 攻击，确保游戏服务器始终保持在线，保证游戏用户稳定进行。 同时，AOne 边缘接入服务将游戏连接请求就近接入边缘节点，通过 AOne 的高速网络到达游戏服务器，极大地缩短了公网传输时延，有效提升游戏服务体验。

本节介绍了如何在控制台修改端口接入规则。 使用场景 您可以在控制台修改已接入端口的转发配置。 前提条件 已开通DDoS高防（边缘云版）。 端口状态为”配置完成“。 使用说明 1.登录DDoS高防（边缘云版）控制台。 2.进入【业务接入】【端口接入】页面。 3.选择要修改的端口，在操作栏点击【修改】按钮。 4.您可以修改源站端口及源站配置；协议类型和转发端口不允许修改。 5.完成配置后，点击【确定】按钮，端口状态将进入”配置中“。 6.进入后台自动化配置流程（正常情况15分钟以内），流程结束后会自动变成“配置完成”状态。若“配置中”状态持续时间过长，可创建工单获取支持。

通过本地磁盘存储将容器所在宿主机的文件目录挂载到容器的指定路径中，也可以不填写源路径。 本地磁盘使用场景 使用本地硬盘有四种形式： 主机路径挂载：将容器所在宿主机的文件目录挂载到容器指定的挂载点中，如容器需要访问/etc/hosts则可以使用HostPath映射/etc/hosts等场景。 临时路径挂载：用于临时存储，生命周期与容器实例相同。容器实例消亡时，EmptyDir会被删除，数据会永久丢失。 配置项挂载：将ConfigMap配置项中的key映射到容器中，可以用于挂载配置文件到指定容器目录。ConfigMap的创建请参见创建配置项，具体使用请参见使用配置项。 密钥挂载：将密钥中的数据挂载到容器的某一路径中。密钥是一种用于存储工作负载所需要认证信息、密钥的敏感信息等的资源类型，内容由用户决定。Secret的创建请参见创建密钥，具体使用请参见使用密钥。 下面分别介绍如何通过这四种形式进行挂载。 主机路径(HostPath)挂载 主机路径(HostPath)挂载表示将主机上的路径挂载到指定的容器路径。通常用于：“容器工作负载程序生成的日志文件需要永久保存”或者“需要访问宿主机上Docker引擎内部数据结构的容器工作负载”。 步骤 1 参照创建无状态负载(Deployment)、创建有状态负载(StatefulSet)或创建守护进程集(DaemonSet)，在“容器设置”步骤中，展开“数据存储”，单击“添加本地磁盘”。 步骤 2 设置添加本地磁盘参数，如下表。 表卷类型选择主机路径挂载 参数 参数说明 存储类型 主机路径(HostPath)。 主机路径 输入主机路径，如/etc/hosts。 说明 请注意“主机路径”不能设置为根目录“/”，否则将导致挂载失败。挂载路径一般设置为： /opt/xxxx（但不能为/opt/cloud） /mnt/xxxx（但不能为/mnt/paas） /tmp/xxx /var/xxx （但不能为/var/lib、/var/script、/var/paas等关键目录） /xxxx（但不能和系统目录冲突，例如bin、lib、home、root、boot、dev、etc、lost+found、mnt、proc、sbin、srv、tmp、var、media、opt、selinux、sys、usr等） 注意不能设置为/home/paas、/var/paas、/var/lib、/var/script、/mnt/paas、/opt/cloud，否则会导致系统或节点安装失败。 添加容器挂载 配置如下参数： 1. 子路径：请输入子路径，如：tmp。 使用子路径挂载本地磁盘，实现在单一Pod中重复使用同一个Volume。不填写时默认为根。 2. 挂载路径：请输入挂载路径，如：/tmp。 数据存储挂载到容器上的路径。请不要挂载在系统目录下，如“/ ”、“/var/run ”等，会导致容器异常。建议挂载在空目录下，若目录不为空，请确保目录下无影响容器启动的文件，否则文件会被替换，导致容器启动异常，工作负载创建失败。 须知： 挂载高危目录的情况下 ，建议使用低权限帐号启动，否则可能会造成宿主机高危文件被破坏。 3. 权限： 只读：只能读容器路径中的数据卷。 读写：可修改容器路径中的数据卷，容器迁移时新写入的数据不会随之迁移，会造成数据丢失。 单击“添加容器挂载”可增加多条设置，单击“确定”完成配置。 临时路径(EmptyDir)挂载 临时路径(EmptyDir)挂载适用于临时存储、灾难恢复、共享运行时数据等场景，工作负载实例的删除或者迁移会导致临时路径被删除。 步骤 1 参照创建无状态负载(Deployment)、创建有状态负载(StatefulSet)或创建守护进程集(DaemonSet)，在添加容器后，展开“数据存储”，单击“添加本地磁盘”。 步骤 2 选择本地磁盘类型为“临时路径挂载”，设置添加本地磁盘参数，如下表。 表卷类型选择临时路径挂载 参数 参数说明 存储类型 临时路径(EmptyDir)。 磁盘介质 若勾选“内存”，可以提高运行速度，但存储容量受内存大小限制。适用于数据量少，读写效率要求高的场景。 说明： Memory的EmptyDir使用的是内存，注意内存大小，用超过了容易oom。 Memory的EmptyDir的大小为实例规格的50%，暂时无法更改。 不使用Memory的EmptyDir不会占用系统内存。 若不勾选“内存”，即存储在硬盘上，适用于数据量大，读写效率要求低的场景。 添加容器挂载 配置如下参数： 1. 子路径：请输入子路径，如：tmp。 使用子路径挂载本地磁盘，实现在单一Pod中重复使用同一个Volume。不填写时默认为根。 2. 挂载路径：请输入挂载路径，如：/tmp。 数据存储挂载到容器上的路径。请不要挂载在系统目录下，如“/ ”、“/var/run ”等，会导致容器异常。建议挂载在空目录下，若目录不为空，请确保目录下无影响容器启动的文件，否则文件会被替换，导致容器启动异常，工作负载创建失败。 须知： 挂载高危目录的情况下 ，建议使用低权限帐号启动，否则可能会造成宿主机高危文件被破坏。 3. 权限： 只读：只能读容器路径中的数据卷。 读写：可修改容器路径中的数据卷，容器迁移时新写入的数据不会随之迁移，会造成数据丢失。 单击“添加容器挂载”可增加多条设置，单击“确定”完成配置。 配置项(ConfigMap)挂载 配置项(ConfigMap)挂载是将配置项中的数据挂载到指定的容器路径。平台提供工作负载代码和配置文件的分离，“配置项挂载”用于处理工作负载配置参数。用户需要提前创建工作负载配置，操作步骤请参见创建配置项。 步骤 1 参照创建无状态负载(Deployment)、创建有状态负载(StatefulSet)或创建守护进程集(DaemonSet)，在添加容器后，展开“数据存储”，单击“添加本地磁盘”。 步骤 2 选择本地磁盘类型为“配置项挂载”，设置添加本地磁盘参数，如下表。 表卷类型选择配置项挂载 参数 参数说明 存储类型 配置项(ConfigMap)。 配置项 选择对应的配置项名称。 配置项需要提前创建，具体请参见“创建配置项”。 添加容器挂载 配置如下参数： 1. 子路径：请输入子路径，如：tmp。 使用子路径挂载本地磁盘，实现在单一Pod中重复使用同一个Volume。不填写时默认为根。 2. 挂载路径：请输入挂载路径，如：/tmp。 数据存储挂载到容器上的路径。请不要挂载在系统目录下，如“/ ”、“/var/run ”等，会导致容器异常。建议挂载在空目录下，若目录不为空，请确保目录下无影响容器启动的文件，否则文件会被替换，导致容器启动异常，工作负载创建失败。 须知： 挂载高危目录的情况下 ，建议使用低权限帐号启动，否则可能会造成宿主机高危文件被破坏。 3. 设置权限：只读。只能读容器路径中的数据卷。 单击“添加容器挂载”可增加多条设置，单击“确定”完成配置。 密钥(Secret)挂载 密钥(Secret)挂载将密钥中的数据挂载到指定的容器路径，密钥内容由用户决定。用户需要提前创建密钥，操作步骤请参见创建密钥。 步骤 1 参照创建无状态负载(Deployment)、创建有状态负载(StatefulSet)或创建守护进程集(DaemonSet)，在添加容器后，展开“数据存储”，单击“添加本地磁盘”。 步骤 2 选择本地磁盘类型为“密钥挂载”，设置添加本地磁盘参数，如下表。 卷类型选择密钥挂载 参数 参数说明 存储类型 密钥(Secret)。 密钥 选择对应的密钥名称。 密钥需要提前创建，具体请参见“创建密钥”。 添加容器挂载 配置如下参数： 1. 子路径：请输入子路径，如：tmp。 使用子路径挂载本地磁盘，实现在单一Pod中重复使用同一个Volume。不填写时默认为根。 2. 挂载路径：请输入挂载路径，如：/tmp。 数据存储挂载到容器上的路径。请不要挂载在系统目录下，如“/ ”、“/var/run ”等，会导致容器异常。建议挂载在空目录下，若目录不为空，请确保目录下无影响容器启动的文件，否则文件会被替换，导致容器启动异常，工作负载创建失败。 须知 挂载高危目录的情况下 ，建议使用低权限帐号启动，否则可能会造成宿主机高危文件被破坏。 3. 设置权限：只读。只能读容器路径中的数据卷。 单击“添加容器挂载”可增加多条设置，单击“确定”完成配置。

本小节介绍容器安全告警事件概述。 开启节点防护后，部署在每个容器宿主机上的Agent会对容器运行状态进行实时监控，支持逃逸检测、高危系统调用、异常进程检测、文件异常检测、容器环境等检测。用户可通过容器安全告警全面了解告警事件类型，及时发现资产中的安全威胁、实时掌握资产的安全状态。 告警事件列表说明 事件类型 告警事件 原理说明 恶意软件 未分类恶意软件 通过程序特征、行为检测，结合AI图像指纹算法以及云查杀，有效识别后门、木马、挖矿软件、蠕虫和病毒等恶意程序，也可检测出容器中未知的恶意程序和病毒变种。 恶意软件 勒索软件 检测来自网页、软件、邮件、存储介质等介质捆绑、植入的勒索软件。 勒索软件用于锁定、控制您的文档、邮件、数据库、源代码、图片、压缩文件等多种数据资产，并以此作为向您勒索钱财的筹码。 恶意软件 Webshell 检测容器中Web目录中的文件，判断是否为Webshell木马文件，支持检测常见的PHP、JSP等后门文件类型。 恶意软件 黑客工具 检测利用漏洞或者黑客工具的恶意行为，一旦发现进行告警上报。 漏洞利用 漏洞逃逸攻击 HSS监控到容器内进程行为符合已知漏洞的行为特征时（例如：“脏牛”、“bruteforce”、“runc”、“shocker”等），触发逃逸漏洞攻击告警。 漏洞利用 文件逃逸攻击 HSS监控发现容器进程访问了宿主机系统的关键文件目录（例如：“/etc/shadow”、“/etc/crontab”），则认为容器内发生了逃逸文件访问，触发告警。即使该目录符合容器配置的目录映射规则，HSS仍然会触发告警。 系统异常行为 反弹Shell 支持对TCP、UDP、ICMP等协议的检测。 您可以在“策略管理”的“恶意文件检测”策略中配置反弹Shell检测，HSS会实时检测执行的可疑指令、主机被远程控制执行任意命令等。 系统异常行为 文件提权 检测利用SUID、SGID程序漏洞进行root提权的行为，一旦发现进行告警上报。 系统异常行为 进程提权 当黑客成功入侵容器后，会尝试利用漏洞进行root提权或者文件提权，从而达到非法创建和修改系统账号的权限或者篡改文件的目的。 HSS支持检测以下异常提权操作： 利用SUID程序漏洞进行root提权。 利用内核漏洞进行root提权。 对文件的提权。 系统异常行为 关键文件变更 实时监控系统关键文件（例如：ls、ps、login、top等），对修改文件内容的操作进行告警，提醒用户关键文件可能被篡改。 对于关键文件变更，HSS只检测文件内容是否被修改，不关注是人为还是进程进行的修改。 系统异常行为 进程异常行为 检测各个主机的进程信息，包括进程ID、命令行、进程路径、行为等。 对于进程的非法行为、黑客入侵过程进行告警。 进程异常行为可以监控以下异常行为： 监控进程CPU使用异常。 检测进程对恶意IP的访问。 检测进程并发连接数异常等。 系统异常行为 高危系统调用 Linux系统调用是用户进程进入内核执行任务的请求通道。CGS监控容器进程，如果发现进程使用了危险系统调用（例如：“openbyhandleat”、“ptrace”、“setns”、“reboot”等），触发高危系统调用告警。 系统异常行为 高危命令执行 实时检测容器系统中执行的高危命令，当发生高危命令执行时触发告警。 系统异常行为 容器进程异常 容器恶意程序 HSS监控容器内启动的容器进程的行为特征和进程文件指纹，如果特征与已定义的恶意程序吻合则触发容器恶意程序告警。 容器异常进程 容器业务通常比较单一。如果您能够确定容器内只会运行某些特定进程，可以在“策略管理”设置“容器进程白名单”并将策略关联容器镜像。 对于已关联的容器镜像启动的容器，HSS只允许白名单进程启动，如果容器内存在非白名单进程，触发容器异常程序告警。 系统异常行为 敏感文件访问 HSS监控容器内已配置文件保护策略的容器镜像文件状态。如果发生文件修改事件则触发文件异常告警。 系统异常行为 容器异常启动 HSS监控新启动的容器，对容器启动配置选项进行检测，当发现容器权限过高存在风险时触发告警。容器环境检测触发的告警只是提醒容器启动风险，并不是发生实际攻击。如果黑客利用容器配置风险执行了真实攻击，仍然会触发HSS容器安全的其他检测告警。 HSS支持以下容器环境检测： 禁止启动特权容器(privileged:true) 特权容器是指容器以最大权限启动，类似与操作系统的root权限，拥有最大能力。docker run启动容器时携带“–privilegedtrue”参数，或者kubernates POD配置中容器的“securityContext”配置了“privileged:true”，此时容器会以特权容器方式启动。 告警内容中提示：“privileged:true”，表示该容器以特权容器模式启动。 需要限制容器能力集（capabilities:[xxx]） Linux系统将系统权限做了分类，通过授予特定的权限集合，能控制容器进程的操作范围，避免出现严重问题。容器启动时默认开启了一些常用能力，通过修改启动配置可以放开所有系统权限。 告警内容中提示：“capabilities:[xxx]”，表示该容器启动时拥有所有能力集过大，存在风险。 建议启用seccomp（seccompunconfined） Seccomp(secure computing mode)是Linux的一种内核特性，用于限制进程能够调用的系统调用，减少内核的攻击面。如果容器启动时设置“seccompunconfined”，将不会对容器内的系统调用执行限制。 告警内容中提示：“seccompunconfined”，表示该容器启动时没有启动seccomp，存在风险。 说明 启用seccomp后，由于每次系统调用Linux内核都需要执行权限校验，如果容器业务场景会频繁使用系统调用，开启seccomp对性能会有一定影响。具体影响建议在实际业务场景测试分析。 限制容器获取新的权限(nonewprivileges:false) 进程可以通过程序的suid位或者sgid位获取附加权限，通过sudo提权执行更高权限的操作。容器默认配置限制不允许进行权限提升。 如果容器启动时指定了“–nonewprivilegesfalse”，则该容器拥有权限提升的能力。 告警内容中提示：“nonewprivileges:false”，表示该容器关闭了提权限制，存在风险。 危险目录映射(mounts:[...]) 容器启动时可以将宿主机目录映射到容器内，方便容器内业务直接读写宿主机上的资源。这是一种存在风险的使用方式，如果容器启动时映射了宿主机操作系统关键目录，容易造成从容器内破坏宿主机系统的事件。 HSS监控到容器启动时mount了宿主机危险路径时触发告警，定义的宿主机危险目录包括：“/boot”，“/dev”，“/etc”，“/sys”，“/var/run”等。 告警内容中提示：“mounts:[{"source":"xxx","destination":"yyy"...]”，表示该容器映射的文件路径存在风险。 说明 对于docker容器常用的需要访问的宿主文件如“/etc/hosts”、“/etc/resolv.conf”不会触发告警。 禁止启动命名空间为host的容器 容器的命名空间需要与主机隔离开，如果容器配置了与主机相同的命名空间，则该容器可以访问并修改主机上的内容，易造成容器逃逸的安全事件，存在安全风险。因此HSS会检测容器的pid，network，ipc命名空间是否为host。 告警名称为“容器命名空间”，告警内容中提示“容器pid命名空间模式”、“容器ipc命名空间模式”、“容器网络命名空间模式”，表示启动了命名空间为host的容器，需要按照告警中的提示排查容器的启动选项，如果存在业务需要，可以将该告警事件忽略。 容器镜像阻断 在Docker环境中容器启动前，HSS检测到中指定的不安全容器镜像运行时触发告警。 说明 需安装Docker插件。 用户异常行为 非法系统账号 黑客可能通过风险账号入侵容器，以达到控制容器的目的，需要您及时排查系统中的账户。 HSS检查系统中存在的可疑隐藏账号、克隆账号；如果存在可疑账号、克隆账号等，则触发告警。 用户异常行为 暴力破解 检测容器场景下“尝试暴力破解”和“暴力破解成功”等暴破异常行为，发现暴破行为时触发告警。 支持检测容器场景下SSH、Web和Enumdb暴破行为。 说明 目前暂仅支持Docker容器运行时的暴力破解检测告警。 用户异常行为 用户密码窃取 检测到通过非法手段获取用户密钥行为，一旦发现进行告警上报。 网络异常访问 异常外联行为 检测到服务器存在异常外联可疑IP的行为，一旦发现进行告警上报。 网络异常访问 端口转发检测 检测到利用可疑工具进行端口转发行为，一旦发现进行告警上报。

本节介绍了容器镜像服务:容器集群使用容器镜像服务发布应用。 操作场景 在云容器引擎中使用容器镜像服务中的容器镜像，发布一个容器应用。 前提条件 已开通容器镜像服务实例 已开通容器集群 操作步骤 准备容器镜像 用户可以根据自身的业务需求，通过Dockerfile构建镜像或者使用其它已经构建好的镜像。本文使用hub上的nginx官方镜像为例。执行以下命令拉取镜像： docker pull nginx:stablealpine 将容器镜像推送到容器镜像服务实例 在容器镜像服务中创建命名空间（可选：也可以直接使用已经创建好的命名空间） 1、登录容器镜像服务控制台。 2、左侧导航栏点击【容器镜像>命名空间】。 3、在命名空间页面点击创建命名空间按钮，创建一个名称为 mydemons 的命名空间。 在容器镜像服务中创建镜像仓库（可选：当命名空间设置为允许自动创建仓库时，可以直接通过推送镜像来创建镜像仓库） 1、登录容器镜像服务控制台。 2、左侧导航栏点击【容器镜像>镜像仓库】。 3、在镜像仓库页面点击创建仓库按钮，创建一个名称为 nginx 的私有镜像仓库。

本文介绍ECI实例如何设置容器生命周期回调。 ECI实例支持为容器配置生命周期回调，主要包括容器类应用的生命周期事件应采取的动作，分为以下两类： 启动后处理（PostStart）：在容器被创建之后，此回调会被调用。但是不能保证回调会在容器入口点（ENTRYPOINT）之前执行。 停止前处理（PreStop）：在容器被终止之前，此回调会被调用。 如果容器已经处于Terminated或者Finished状态，则对 preStop 回调的调用将失败。在用来停止容器的 TERM 信号被发出之前，回调必须执行结束。容器组的终止宽限周期在 PreStop 回调被执行之前即开始计数， 所以无论回调函数的执行结果如何，容器最终都会在终止宽限期内被终止。 配置说明 1.在弹性容器实例控制台左侧导航栏中选择“容器组”，进入容器组列表页。 2.点击“创建弹性容器组”，进入弹性容器实例订购页。 3.在容器设置的高级设置中设置生命周期回调。其中包括“启动后处理”和“停止前处理”回调，设定当容器被创建后将执行的命令，以及容器被终止之前将执行的命令。

本节介绍了容器镜像服务: 在其他云产品中使用容器镜像部署应用。 场景：在云容器引擎集群中使用容器镜像服务。 1、已创建企业版实例，具体操作：开通企业版实例 2、已推送镜像到企业版实例，具体操作：使用企业版实例推送和拉取镜像 3、容器集群使用镜像创建应用，具体操作：容器集群使用容器镜像服务发布应用

本文主要介绍安全容器与普通容器。 安全容器和普通容器相比，它最主要的区别是每个容器（准确地说是pod）都运行在一个单独的微型虚拟机中，拥有独立的操作系统内核，以及虚拟化层的安全隔离。因为云容器引擎CCE的容器安全隔离比独立拥有私有Kubernetes集群有更严格的要求。通过安全容器，不同容器之间的内核、计算资源、网络都是隔离开的，保护了Pod的资源和数据不被其他Pod抢占和窃取。 CCE Turbo集群下单节点支持普通容器和安全容器，您可以根据业务需求选择使用，两者的区别如下： 分类 安全容器 Docker普通容器 Containerd普通容器 容器所在节点类型 物理机 虚拟机 虚拟机 容器引擎 Containerd Docker Containerd 容器运行时 Kata runC runC 容器内核 独占内核 与宿主机共享内核 与宿主机共享内核 容器隔离方式 轻量虚拟机 Cgroups和Namespace Cgroups和Namespace 容器引擎存储驱动 Device Mapper OverlayFS2 OverlayFS Pod Overhead 内存：100MiBCPU：0.1CorePod Overhead为安全容器本身资源占用。比如Pod申请的limits.cpu 0.5Core和limits.memory 256MiB，那么该Pod最终会申请0.6Core的CPU和356MiB的内存。 无 无 最小规格 内存：256MiBCPU：0.25Core安全容器的CPU核数（单位为Core）与内存（单位为GiB）配比建议在1:1至1:8之间。例如CPU为0.5Core，则内存范围建议在512MiB4GiB间。 无 无 容器引擎命令行 crictl docker crictl Pod的计算资源 CPU和内存的request和limit必须一致 CPU和内存的request和limit可以不一致 CPU和内存的request和limit可以不一致 hostnetwork 不支持 支持 支持

操作场景 容器组（Pod）是Kubernetes中最小的可部署单元。一个Pod（容器组）包含了一个应用程序容器（某些情况下是多个容器）、存储资源、一个唯一的网络IP地址、以及一些确定容器该如何运行的选项。Pod容器组代表了Kubernetes中一个独立的应用程序运行实例，该实例可能由单个容器或者几个紧耦合在一起的容器组成。 Kubernetes集群中的Pod存在如下两种使用途径： 一个Pod中只运行一个容器。"onecontainerperpod" 是Kubernetes中最常见的使用方式。此时，您可以认为Pod容器组是该容器的 wrapper，Kubernetes通过Pod管理容器，而不是直接管理容器。 一个Pod中运行多个需要互相协作的容器。您可以将多个紧密耦合、共享资源且始终在一起运行的容器编排在同一个Pod中，可能的情况有： − Content management systems, file and data loaders, local cache managers等 − log and checkpoint backup, compression, rotation, snapshotting等 − data change watchers, log tailers, logging and monitoring adapters, event publishers等 − proxies, bridges, adapters等 − controllers, managers, configurators, and updaters 您可以在云容器引擎CCE中方便的管理容器组（Pod），如编辑YAML、监控、删除等操作。 编辑YAML 可通过在线YAML编辑窗对容器组（Pod）的YAML文件进行修改和下载。 步骤 1 登录CCE控制台，在左侧导航栏中选择“工作负载 > 容器组 Pod”。 步骤 2 单击实例列表中后的“编辑YAML”，在弹出的“编辑YAML”窗中可对当前容器组（Pod）的YAML文件进行修改。 步骤 3 单击“修改”，在弹出的提示框中单击“确定”，完成修改。 说明：如果实例由其他工作负载创建，暂不支持在容器组（Pod）中单独修改。 步骤 4 （可选）在“编辑YAML”窗中，单击“下载”，可下载该YAML文件。 实例监控 您可以通过CCE控制台查看工作负载实例的CPU、内存使用情况以及网络上行和下行速率、磁盘的读写速率，以确定需要的资源规格。 步骤 1 登录CCE控制台，在左侧导航栏中选择“工作负载 > 容器组 Pod”。 步骤 2 单击实例列表中后的“监控”，可查看相应实例的CPU使用率、内存使用率以及网络上行和下行速率、磁盘的读写速率。 说明：实例处于非运行状态时，无法查看实例的监控数据。 删除实例 若实例无需再使用，您可以将其删除。实例删除后，将无法恢复，请谨慎操作。 步骤 1 登录CCE控制台，在左侧导航栏中选择“工作负载 > 容器组 Pod”。 步骤 2 单击待删除实例后的“删除”。 请仔细阅读系统提示，删除操作无法恢复，请谨慎操作。 步骤 3 单击“是”，即可删除该实例。 说明： 若Pod所在节点不可用或者关机，负载无法删除时可以在详情页面实例列表选择强制删除。 请确保要删除的存储没有被其他负载使用，导入和存在快照的存储只做解关联操作。 相关链接 []( " ")The Distributed System Toolkit: Patterns for Composite Containers []( " ")Container Design Patterns

十五、 CCE启动实例失败时的重试机制是怎样的？ CCE是基于原生Kubernetes的云容器引擎服务，完全兼容Kubernetes社区原生版本，与社区最新版本保持紧密同步，完全兼容Kubernetes API和Kubectl。 在Kubernetes中，Pod的spec中包含一个restartPolicy字段，其取值包括：Always、OnFailure和Never，默认值为：Always。 Always：当容器失效时，由kubelet自动重启该容器。 OnFailure：当容器终止运行且退出不为0时（正常退出），由kubelet自动重启该容器。 Never：不论容器运行状态如何，kubelet都不会重启该容器。 restartPolicy适用于Pod中的所有容器。 restartPolicy仅针对同一节点上kubelet的容器重启动作。当Pod中的容器退出时，kubelet 会按指数回退方式计算重启的延迟（10s、20s、40s...），其最长延迟为5分钟。 一旦某容器执行了10分钟并且没有出现问题，kubelet对该容器的重启回退计时器执行重置操作。 每种控制器对Pod的重启策略要求如下： Replication Controller（RC）和DaemonSet：必须设置为Always，需要保证该容器的持续运行。 Job：OnFailure或Never，确保容器执行完成后不再重启。 十六、 CCE集群中工作负载镜像的拉取策略？ 容器在启动运行前，需要镜像。镜像的存储位置可能会在本地，也可能会在远程镜像仓库中。 Kubernetes配置文件中的imagePullPolicy属性是用于描述镜像的拉取策略的，如下： Always：总是拉取镜像。 imagePullPolicy: Always IfNotPresent：本地有则使用本地镜像，不拉取。 imagePullPolicy: IfNotPresent Never：只使用本地镜像，从不拉取，即使本地没有。 imagePullPolicy: Never 说明 1. 如果设置为Always ，则每次容器启动或者重启时，都会从远程仓库拉取镜像。 如果省略imagePullPolicy，策略默认为Always。 2. 如果设置为IfNotPreset，有下面两种情况： 当本地不存在所需的镜像时，会从远程仓库中拉取。 如果我们需要的镜像和本地镜像内容相同，只不过重新打了tag。此tag镜像本地不存在，而远程仓库存在此tag镜像。这种情况下，Kubernetes并不会拉取新的镜像。

本文介绍如何采集指定虚拟节点的Metrics。 本文介绍如何通过修改Prometheus监控配置来采集虚拟节点的Metrics。 背景信息 在天翼云Serverless集群虚拟节点的架构设计下，同一Serverless集群内的多个虚拟节点会共享同一个Node IP。由于Prometheus常通过Kubelet Service采集所有节点的Metrics，采集单个虚拟节点的数据会返回所有虚拟节点的全量数据，因此会出现Metrics重复的现象。为了解决这个问题，Serverless集群提供了采集指定虚拟节点的Metrics数据的能力，不但保留了原有的采集端点 :10250/metrics/cadvisor，并且会过滤指定nodeName的数据，避免重复采集数据。 前提条件 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群。 修改Prometheus监控配置 您可以通过修改监控配置来采集指定虚拟节点的Metrics。Serverless集群支持ccsemonitor插件以及开源Prometheus场景下的配置方式。 Serverless集群安装ccsemonitor插件后配置默认支持采集虚拟节点的Metrics，无需额外操作。开源Promethues配置参考如下： shell scrapeconfigs: ... jobname: cadvisor honortimestamps: true scrapeinterval: 40s scrapetimeout: 10s metricspath: /metrics scheme: https kubernetessdconfigs: role: node bearertokenfile: /var/run/secrets/kubernetes.io/serviceaccount/token tlsconfig: cafile: /var/run/secrets/kubernetes.io/serviceaccount/ca.crt insecureskipverify: false relabelconfigs: sourcelabels: [ metakubernetesnodelabelkubernetesposeidonctyuncncollectorscrape ] regex: true action: keep

优缺点 Cubecni容器网络优点如下： 同个VPC内，集群外部网络资源可与容器IP互通； 没有解封包和节点路由消耗，容器网络性能优于隧道网络； SLB可直通容器后端，无需经节点NodePort转发，性能更优； 容器访问VPC网络资源，其源IP是容器IP，无需经过节点SNAT，减少节点netfilter连接跟踪表消耗，性能更优且便于审计。 Cubecni容器网络缺点如下： Pod直接使用VPC的IP地址，数量受限于VPC子网的可用IP数，需提前规划。 应用场景 Cubecni容器网络适用如下场景： 适用于需pod能与VPC集群外网络资源互通的场景，如部分业务部署在云主机部分部署在容器的复杂系统，可能需要打通云主机网络和容器网络； 适用于对网络带宽和时延要求高的业务场景，例如游戏、直播类应用； 高性能计算场景，IPVLAN等使用的CPU资源少于隧道网络，为业务本身留出更多计算资源。 容器IP地址段分配 订购使用Cubecni容器网络插件的集群，需为Cubecni选择一个VPC子网。该子网用于为容器提供IP地址，其空闲IP数直接决定可创建pod数上限。建议选择一个大子网给集群使用，如下所示，创建一个掩码为18位的子网，其可用IP为16382个，可为16382个pod分配IP地址： 订购时选择大子网作为pod子网：

优缺点 Cubecni容器网络优点如下： 同个VPC内，集群外部网络资源可与容器IP互通； 没有解封包和节点路由消耗，容器网络性能优于隧道网络； SLB可直通容器后端，无需经节点NodePort转发，性能更优； 容器访问VPC网络资源，其源IP是容器IP，无需经过节点SNAT，减少节点netfilter连接跟踪表消耗，性能更优且便于审计。 Cubecni容器网络缺点如下： Pod直接使用VPC的IP地址，数量受限于VPC子网的可用IP数，需提前规划。 应用场景 Cubecni容器网络适用如下场景： 适用于需pod能与VPC集群外网络资源互通的场景，如部分业务部署在云主机部分部署在容器的复杂系统，可能需要打通云主机网络和容器网络； 适用于对网络带宽和时延要求高的业务场景，例如游戏、直播类应用； 高性能计算场景，IPVLAN等使用的CPU资源少于隧道网络，为业务本身留出更多计算资源。 容器IP地址段分配 订购使用Cubecni容器网络插件的集群，需为Cubecni选择一个VPC子网。该子网用于为容器提供IP地址，其空闲IP数直接决定可创建pod数上限。建议选择一个大子网给集群使用，如下所示，创建一个掩码为18位的子网，其可用IP为16382个，可为16382个pod分配IP地址： 订购时选择大子网作为pod子网：

本节介绍网络的用户指南:集群网络概述。 集群网络分为主机和容器两个维度，主机位于VPC中使用VPC网络，容器网络则使用容器网络插件来管理。 节点网络 VPC为集群内主机分配IP地址，订购集群时选择VPC中的子网用于集群的主机网络，子网可用IP数量直接限制了集群节点规模。 容器网络 约束条件 容器网络CNI插件为Pod分配IP地址，云容器引擎提供的CNI插件均符合kubernetes容器网络模型，具体约束如下： 1.每个Pod都拥有一个独立IP地址，Pod内容器均共享一个网络命名空间； 2.任意Pod之间均可直接通信，无需NAT； 3.任意Pod与节点间均可直接通信，无需NAT。 网络插件 当前云容器引擎提供如下CNI插件： calico容器网络：使用calico IPIP模式。该模式下，calico依旧使用BGP分发节点的容器路由信息，但在节点网络基础上通过IPIP隧道技术构建独立于节点网络平面的容器网络平面，IPIP将发给容器的IP报文封装成发给目的节点的IP报文进行隧道传输； cubecni容器网络：是云原生网络方案，直接基于VPC网络中的弹性网卡和IP资源构建容器网络。Pod通过弹性网卡资源直接分配VPC的子网IP地址，无需额外指定虚拟Pod地址段。 Cubecni和Calico对比如下： 。 对比项 Cubecni Calico隧道模式 容器网络平面 构建Underlay网络，容器和节点均在同个网络平面，支持VPC内多集群Pod直接互通及VPC内直接互通 构建Overlay网络，基于集群节点网络构建 一层覆盖网络，不支持VPC内多集群Pod直接互通及VPC内直接互通 容器网络性能 无解封包开销，整体性能优于Overlay网络，其中Cubecni独占ENI模式性能无限接近主机 有解封包损耗 节点规模 不直接限制节点规模 受限于BGP Peer连接数等限制 网络访问控制 支持网络策略Network Policy，其中Cubecni独占ENi模式支持Pod粒度安全组配置 支持网络策略Network Policy 源地址审计 Pod访问VPC网络资源，源地址是容器IP，不经节点SNAT，便于审计 Pod访问VPC网络资源，需经节点SNAT，不便于审计 地址管理 无需按节点分配地址段，随用随分配，地址无浪费 每个节点提前分配虚拟地址段 ELB 支持ELB直通Pod，性能更优 不支持ELB直通Pod，需通过NodePort转发

参数 说明 镜像名称 导入的镜像，您可单击“更换镜像”进行更换。 镜像版本 选择需要部署的镜像版本。 容器名称 容器的名称，可修改。 特权容器 特权容器是指容器里面的程序具有一定的特权。 若选中，容器将获得超级权限，例如可以操作宿主机上面的网络设备、修改内核参数等。 容器规格 CPU 配额： 申请：容器需要使用的最小CPU值，默认0.25Core。 限制：允许容器使用的CPU最大值。建议设容器配额的最高限额，避免容器资源超额导致系统故障。 内存配额： 申请：容器需要使用的内存最小值，默认512MiB。 限制：允许容器使用的内存最大值。如果超过，容器会被终止。 申请和限制的具体请参见设置容器规格。 GPU 配额： 当集群中包含GPU节点时，才能设置GPU，无GPU节点不显示此选项。 容器需要使用的GPU百分比。勾选“使用”并设置百分比，例如设置为10%，表示该容器需使用GPU资源的10%。若不勾选“使用”，或设置为0，则无法使用GPU资源。 GPU 显卡： 工作负载实例将被调度到GPU显卡类型为指定显卡的节点上。 若勾选“不限制”，容器将会随机使用节点中的任一显卡。您也可以勾选某个显卡，容器将使用特定显卡。

参数 说明 镜像名称 导入的镜像，您可单击“更换镜像”进行更换。 镜像版本 选择需要部署的镜像版本。 容器名称 容器的名称，可修改。 特权容器 特权容器是指容器里面的程序具有一定的特权。 若选中，容器将获得超级权限，例如可以操作宿主机上面的网络设备、修改内核参数等。 容器规格 CPU 配额： 申请：容器需要使用的最小CPU值，默认0.25Core。 限制：允许容器使用的CPU最大值。建议设容器配额的最高限额，避免容器资源超额导致系统故障。 内存配额： 申请：容器需要使用的内存最小值，默认512MiB。 限制：允许容器使用的内存最大值。如果超过，容器会被终止。 申请和限制的具体请参见设置容器规格。 GPU 配额： 当集群中包含GPU节点时，才能设置GPU，无GPU节点不显示此选项。 容器需要使用的GPU百分比。勾选“使用”并设置百分比，例如设置为10%，表示该容器需使用GPU资源的10%。若不勾选“使用”，或设置为0，则无法使用GPU资源。 GPU 显卡： 工作负载实例将被调度到GPU显卡类型为指定显卡的节点上。 若勾选“不限制”，容器将会随机使用节点中的任一显卡。您也可以勾选某个显卡，容器将使用特定显卡。

本文将向您介绍如何通过边缘安全加速平台安全与加速服务提供的Bot防护策略功能设置白名单。 功能介绍 若您希望请求针对Bot防护策略加白，可以配置Bot防护策略白名单。 背景信息 您的域名接入边缘安全加速平台安全与加速服务后，配置防护策略将默认作用于所有符合策略的请求，若您希望某类请求不经过某个防护策略，可以分别配置对应的白名单功能。 若您希望请求针对任意防护策略加白，可以配置网站白名单，配置详情可见设置网站白名单。 若防护规则集中的某条规则出现误报情况，可以配置规则白名单，配置详情可见设置Web规则白名单。 若您希望请求针对Bot防护策略加白，可以配置Bot策略白名单，配置详情可见下文。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 购买Bot防护扩展服务，支持设置Bot防护策略白名单功能。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】【Bot防护】，选择您要配置的域名，进入基础配置【Bot策略白名单】详细设置页。

配置步骤 1. 登录DDoS高防（边缘云版）控制台，在左侧导航中，点击【业务接入】【域名接入】。 2. 选择需要防护的域名，在操作栏点击【防护配置】。 3. 进入CC防护配置页面，点击【编辑】。 4. 在编辑页面可进行防护开关、防护模式、防护时长配置。具体说明可参见CC防护配置。 5. 配置完成后，点击保存。该域名会进入“配置中”状态，配置成功后，域名状态会变为“已启用”。 报表分析 DDoS高防（边缘云版）产品提供CC相关的报表数据，能清晰直观地展示您的网站遭受的攻击情况。其中包含 TOP URL、TOP 攻击IP及攻击区域分布信息，您可结合报表数据进一步配置相应的防护规则，更好地保障您的网站服务稳定。更多信息，请参见安全分析。 1. 登录DDoS高防（边缘云版）控制台,在左侧导航中，单击 【安全分析】【安全报表】。 2. 进入【CC安全报表】tab页面，可选择域名及时间维度等过滤条件查看详细攻击情况。 告警监控 针对应用层CC攻击，DDoS高防（边缘云版）提供了相应的告警策略，您可根据实际业务情况结合报表数据配置相应的告警策略。更多信息，请参见告警管理。

本文向您介绍如何查看并导出网站的受攻击日志详情。 功能介绍 边缘云WAF默认提供攻击日志，详细记录攻击产生的时间、攻击源IP、攻击类型及攻击详情等信息，攻击日志仅支持查询6个月内日志，并且支持导出攻击日志。 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见快速接入WAF 域名接入成功后，会自动开启防护规则引擎，您也可以根据防护需求开启其他的防护功能，边缘云WAF检测出攻击行为后会自动生成攻击日志 操作步骤 1. 登录Web应用防火墙（边缘云版）控制台，在左侧导航栏中选择【日志管理】—【WAF攻击日志】页面 2. 通过筛选项进行组合查询攻击日志。筛选项包括域名、攻击类型、处理动作、规则ID、日期选择等组件 日志字段说明： 攻击IP：发起请求的客户端IP 请求方式：客户端的请求方法 URI：请求的URI 攻击类型：详细攻击类型 状态码：响应的状态码 处理动作：请求的处理动作 攻击时间：攻击请求发生的时间 攻击详情：能够查看攻击客户端IP的详细属性，比如地域归属、UA等 单击【导出】按钮，能够导出攻击日志，默认导出10000条攻击日志

本节介绍了如何获取服务返回的CNAME，并将域名或者业务的DNS解析指向我们提供的CNAME，这样访问的请求才能转发到边缘云清洗节点上，达到清洗效果。 操作步骤 要启用DDoS高防（边缘云）服务，需要您将接入域名的DNS解析指向我们提供的CNAME，这样域名的请求才能转发到天翼云边缘节点上。 1. 在控制台【业务接入】的域名列表或者端口列表中复制域名或端口对应的CNAME。 2. 前往您的域名解析(DNS)服务商(如万网、阿里云解析、DNSPod、新网、腾讯云解析、route 53、godaddy等)，添加该CNAME记录。 3. 验证服务是否生效。配置CNAME后，不同的服务商CNAME生效的时间也不同，一般新增的CNAME记录会立即生效，修改的CNAME记录会需要较长时间生效；您可以 ping 或 dig 您所添加的加速域名，如果被指向.ctdns.cn，即表示CNAME配置已经生效，功能也已生效。 注意 1. 配置CNAME完毕，CNAME配置生效后，DDoS高防（边缘云版）服务生效。 2. CNAME配置生效时间：新增CNAME记录会实时生效，而修改CNAME记录需要最多72小时生效时间。