通过本地磁盘存储将容器所在宿主机的文件目录挂载到容器的指定路径中，也可以不填写源路径。 本地磁盘使用场景 使用本地硬盘有四种形式： 主机路径挂载：将容器所在宿主机的文件目录挂载到容器指定的挂载点中，如容器需要访问/etc/hosts则可以使用HostPath映射/etc/hosts等场景。 临时路径挂载：用于临时存储，生命周期与容器实例相同。容器实例消亡时，EmptyDir会被删除，数据会永久丢失。 配置项挂载：将ConfigMap配置项中的key映射到容器中，可以用于挂载配置文件到指定容器目录。ConfigMap的创建请参见创建配置项，具体使用请参见使用配置项。 密钥挂载：将密钥中的数据挂载到容器的某一路径中。密钥是一种用于存储工作负载所需要认证信息、密钥的敏感信息等的资源类型，内容由用户决定。Secret的创建请参见创建密钥，具体使用请参见使用密钥。 下面分别介绍如何通过这四种形式进行挂载。 主机路径(HostPath)挂载 主机路径(HostPath)挂载表示将主机上的路径挂载到指定的容器路径。通常用于：“容器工作负载程序生成的日志文件需要永久保存”或者“需要访问宿主机上Docker引擎内部数据结构的容器工作负载”。 步骤 1 参照创建无状态负载(Deployment)、创建有状态负载(StatefulSet)或创建守护进程集(DaemonSet)，在“容器设置”步骤中，展开“数据存储”，单击“添加本地磁盘”。 步骤 2 设置添加本地磁盘参数，如下表。 表卷类型选择主机路径挂载 参数 参数说明 存储类型 主机路径(HostPath)。 主机路径 输入主机路径，如/etc/hosts。 说明 请注意“主机路径”不能设置为根目录“/”，否则将导致挂载失败。挂载路径一般设置为： /opt/xxxx（但不能为/opt/cloud） /mnt/xxxx（但不能为/mnt/paas） /tmp/xxx /var/xxx （但不能为/var/lib、/var/script、/var/paas等关键目录） /xxxx（但不能和系统目录冲突，例如bin、lib、home、root、boot、dev、etc、lost+found、mnt、proc、sbin、srv、tmp、var、media、opt、selinux、sys、usr等） 注意不能设置为/home/paas、/var/paas、/var/lib、/var/script、/mnt/paas、/opt/cloud，否则会导致系统或节点安装失败。 添加容器挂载 配置如下参数： 1. 子路径：请输入子路径，如：tmp。 使用子路径挂载本地磁盘，实现在单一Pod中重复使用同一个Volume。不填写时默认为根。 2. 挂载路径：请输入挂载路径，如：/tmp。 数据存储挂载到容器上的路径。请不要挂载在系统目录下，如“/ ”、“/var/run ”等，会导致容器异常。建议挂载在空目录下，若目录不为空，请确保目录下无影响容器启动的文件，否则文件会被替换，导致容器启动异常，工作负载创建失败。 须知： 挂载高危目录的情况下 ，建议使用低权限帐号启动，否则可能会造成宿主机高危文件被破坏。 3. 权限： 只读：只能读容器路径中的数据卷。 读写：可修改容器路径中的数据卷，容器迁移时新写入的数据不会随之迁移，会造成数据丢失。 单击“添加容器挂载”可增加多条设置，单击“确定”完成配置。 临时路径(EmptyDir)挂载 临时路径(EmptyDir)挂载适用于临时存储、灾难恢复、共享运行时数据等场景，工作负载实例的删除或者迁移会导致临时路径被删除。 步骤 1 参照创建无状态负载(Deployment)、创建有状态负载(StatefulSet)或创建守护进程集(DaemonSet)，在添加容器后，展开“数据存储”，单击“添加本地磁盘”。 步骤 2 选择本地磁盘类型为“临时路径挂载”，设置添加本地磁盘参数，如下表。 表卷类型选择临时路径挂载 参数 参数说明 存储类型 临时路径(EmptyDir)。 磁盘介质 若勾选“内存”，可以提高运行速度，但存储容量受内存大小限制。适用于数据量少，读写效率要求高的场景。 说明： Memory的EmptyDir使用的是内存，注意内存大小，用超过了容易oom。 Memory的EmptyDir的大小为实例规格的50%，暂时无法更改。 不使用Memory的EmptyDir不会占用系统内存。 若不勾选“内存”，即存储在硬盘上，适用于数据量大，读写效率要求低的场景。 添加容器挂载 配置如下参数： 1. 子路径：请输入子路径，如：tmp。 使用子路径挂载本地磁盘，实现在单一Pod中重复使用同一个Volume。不填写时默认为根。 2. 挂载路径：请输入挂载路径，如：/tmp。 数据存储挂载到容器上的路径。请不要挂载在系统目录下，如“/ ”、“/var/run ”等，会导致容器异常。建议挂载在空目录下，若目录不为空，请确保目录下无影响容器启动的文件，否则文件会被替换，导致容器启动异常，工作负载创建失败。 须知： 挂载高危目录的情况下 ，建议使用低权限帐号启动，否则可能会造成宿主机高危文件被破坏。 3. 权限： 只读：只能读容器路径中的数据卷。 读写：可修改容器路径中的数据卷，容器迁移时新写入的数据不会随之迁移，会造成数据丢失。 单击“添加容器挂载”可增加多条设置，单击“确定”完成配置。 配置项(ConfigMap)挂载 配置项(ConfigMap)挂载是将配置项中的数据挂载到指定的容器路径。平台提供工作负载代码和配置文件的分离，“配置项挂载”用于处理工作负载配置参数。用户需要提前创建工作负载配置，操作步骤请参见创建配置项。 步骤 1 参照创建无状态负载(Deployment)、创建有状态负载(StatefulSet)或创建守护进程集(DaemonSet)，在添加容器后，展开“数据存储”，单击“添加本地磁盘”。 步骤 2 选择本地磁盘类型为“配置项挂载”，设置添加本地磁盘参数，如下表。 表卷类型选择配置项挂载 参数 参数说明 存储类型 配置项(ConfigMap)。 配置项 选择对应的配置项名称。 配置项需要提前创建，具体请参见“创建配置项”。 添加容器挂载 配置如下参数： 1. 子路径：请输入子路径，如：tmp。 使用子路径挂载本地磁盘，实现在单一Pod中重复使用同一个Volume。不填写时默认为根。 2. 挂载路径：请输入挂载路径，如：/tmp。 数据存储挂载到容器上的路径。请不要挂载在系统目录下，如“/ ”、“/var/run ”等，会导致容器异常。建议挂载在空目录下，若目录不为空，请确保目录下无影响容器启动的文件，否则文件会被替换，导致容器启动异常，工作负载创建失败。 须知： 挂载高危目录的情况下 ，建议使用低权限帐号启动，否则可能会造成宿主机高危文件被破坏。 3. 设置权限：只读。只能读容器路径中的数据卷。 单击“添加容器挂载”可增加多条设置，单击“确定”完成配置。 密钥(Secret)挂载 密钥(Secret)挂载将密钥中的数据挂载到指定的容器路径，密钥内容由用户决定。用户需要提前创建密钥，操作步骤请参见创建密钥。 步骤 1 参照创建无状态负载(Deployment)、创建有状态负载(StatefulSet)或创建守护进程集(DaemonSet)，在添加容器后，展开“数据存储”，单击“添加本地磁盘”。 步骤 2 选择本地磁盘类型为“密钥挂载”，设置添加本地磁盘参数，如下表。 卷类型选择密钥挂载 参数 参数说明 存储类型 密钥(Secret)。 密钥 选择对应的密钥名称。 密钥需要提前创建，具体请参见“创建密钥”。 添加容器挂载 配置如下参数： 1. 子路径：请输入子路径，如：tmp。 使用子路径挂载本地磁盘，实现在单一Pod中重复使用同一个Volume。不填写时默认为根。 2. 挂载路径：请输入挂载路径，如：/tmp。 数据存储挂载到容器上的路径。请不要挂载在系统目录下，如“/ ”、“/var/run ”等，会导致容器异常。建议挂载在空目录下，若目录不为空，请确保目录下无影响容器启动的文件，否则文件会被替换，导致容器启动异常，工作负载创建失败。 须知 挂载高危目录的情况下 ，建议使用低权限帐号启动，否则可能会造成宿主机高危文件被破坏。 3. 设置权限：只读。只能读容器路径中的数据卷。 单击“添加容器挂载”可增加多条设置，单击“确定”完成配置。

高级设置 启停处理 启动执行：用于指定容器在启动时执行的命令和参数。虽然启动执行里有添加命令和添加参数两个按钮，但是我们可以只是用添加命令、或者只使用添加参数、或者两者同时使用，其达到的效果是完全一致的 启动后处理：配置容器在启动完成后执行的命令。用法上和上面的启动执行完全一致 停止前处理：配置容器在停止前执行的命令。用法上和上面的启动执行完全一致 容器健康检查 容器的健康检查支持就绪检查和存活检查两种，建议给容器都配上这两种健康检查方式 就绪检查：会检查容器是否处于ready状态，不就绪则停止转发流量到当前实例 存活检查：检查容器是否正常，不正常则重启实例 三种健康检查方式的公共参数解释： 目前支持三种健康检查方式： Http方式：需要填写端口、协议、请求路径等参数，然后kubelet 会向容器内运行的程序发送一个 HTTP GET 请求来执行探测。如果容器的处理程序返回成功码，则kubelet认为容器是存活/就绪的。如果处理程序返回失败码，则kubelet会杀死这个容器并且重新启动它/认为它没有就绪 Tcp方式：需要填写主机、端口等参数，然后kubelet 会尝试在指定端口和容器建立套接字链接。如果能建立链接，这个容器就被看作是健康的/就绪的，如果不能则这个容器就被看作是有问题的/没有就绪的 命令方式：需要添加命令，然后kubelet 在容器中执行该命令来进行检测。如果命令执行成功并且返回值为0，kubelet会认为这个容器是健康存活的/就绪的。如果这个命令返回非 0 值，kubelet 会杀死这个容器并重新启动它/认为它没有就绪

图说智能边缘云ECX。

本文主要介绍与其他服务的关系 容器镜像服务需要与其他云服务协同工作，容器镜像服务和其他云服务的关系如下图： 云容器引擎 云容器引擎（Cloud Container Engine，简称CCE）提供高可靠高性能的企业级容器应用管理服务，支持Kubernetes社区原生应用和工具，简化云上自动化容器运行环境搭建。 容器镜像服务能无缝对接CCE，您可以将容器镜像服务中的镜像部署到CCE中。 云审计服务 云审计服务（Cloud Trace Service，简称CTS）为您提供云服务资源的操作记录，记录内容包括您从公有云管理控制台或者开放API发起的的云服务资源操作请求以及每次请求的结果，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 通过CTS，您可以记录与容器镜像服务相关的操作事件，便于日后的查询、审计和回溯。

操作场景 容器组（Pod）是Kubernetes中最小的可部署单元。一个Pod（容器组）包含了一个应用程序容器（某些情况下是多个容器）、存储资源、一个唯一的网络IP地址、以及一些确定容器该如何运行的选项。Pod容器组代表了Kubernetes中一个独立的应用程序运行实例，该实例可能由单个容器或者几个紧耦合在一起的容器组成。 Kubernetes集群中的Pod存在如下两种使用途径： 一个Pod中只运行一个容器。"onecontainerperpod" 是Kubernetes中最常见的使用方式。此时，您可以认为Pod容器组是该容器的 wrapper，Kubernetes通过Pod管理容器，而不是直接管理容器。 一个Pod中运行多个需要互相协作的容器。您可以将多个紧密耦合、共享资源且始终在一起运行的容器编排在同一个Pod中，可能的情况有： − Content management systems, file and data loaders, local cache managers等 − log and checkpoint backup, compression, rotation, snapshotting等 − data change watchers, log tailers, logging and monitoring adapters, event publishers等 − proxies, bridges, adapters等 − controllers, managers, configurators, and updaters 您可以在云容器引擎CCE中方便的管理容器组（Pod），如编辑YAML、监控、删除等操作。 编辑YAML 可通过在线YAML编辑窗对容器组（Pod）的YAML文件进行修改和下载。 步骤 1 登录CCE控制台，在左侧导航栏中选择“工作负载 > 容器组 Pod”。 步骤 2 单击实例列表中后的“编辑YAML”，在弹出的“编辑YAML”窗中可对当前容器组（Pod）的YAML文件进行修改。 步骤 3 单击“修改”，在弹出的提示框中单击“确定”，完成修改。 说明：如果实例由其他工作负载创建，暂不支持在容器组（Pod）中单独修改。 步骤 4 （可选）在“编辑YAML”窗中，单击“下载”，可下载该YAML文件。 实例监控 您可以通过CCE控制台查看工作负载实例的CPU、内存使用情况以及网络上行和下行速率、磁盘的读写速率，以确定需要的资源规格。 步骤 1 登录CCE控制台，在左侧导航栏中选择“工作负载 > 容器组 Pod”。 步骤 2 单击实例列表中后的“监控”，可查看相应实例的CPU使用率、内存使用率以及网络上行和下行速率、磁盘的读写速率。 说明：实例处于非运行状态时，无法查看实例的监控数据。 删除实例 若实例无需再使用，您可以将其删除。实例删除后，将无法恢复，请谨慎操作。 步骤 1 登录CCE控制台，在左侧导航栏中选择“工作负载 > 容器组 Pod”。 步骤 2 单击待删除实例后的“删除”。 请仔细阅读系统提示，删除操作无法恢复，请谨慎操作。 步骤 3 单击“是”，即可删除该实例。 说明： 若Pod所在节点不可用或者关机，负载无法删除时可以在详情页面实例列表选择强制删除。 请确保要删除的存储没有被其他负载使用，导入和存在快照的存储只做解关联操作。 相关链接 []( " ")The Distributed System Toolkit: Patterns for Composite Containers []( " ")Container Design Patterns

存储类型 计费说明 对象存储 使用天翼云对象存储服务，存储数据和模型，会产生相应的费用，具体费用可参见 文件存储 使用天翼云智能边缘云文件存储服务，存储数据和模型，会产生相应的费用，具体费用可参见

本文主要介绍工作负载概述。 工作负载是在Kubernetes上运行的应用程序。无论您的工作负载是单个组件还是协同工作的多个组件，您都可以在Kubernetes上的一组Pod中运行它。在Kubernetes中，工作负载是对一组Pod的抽象模型，用于描述业务的运行载体，包括Deployment、Statefulset、Daemonset、Job、CronJob等多种类型。 云容器引擎CCE提供基于Kubernetes原生类型的容器部署和管理能力，支持容器工作负载部署、配置、监控、扩容、升级、卸载、服务发现及负载均衡等生命周期管理。 Pod Pod是Kubernetes创建或部署的最小单位。一个Pod封装一个或多个容器（container）、存储资源（volume）、一个独立的网络IP以及管理控制容器运行方式的策略选项。 Pod使用主要分为两种方式： Pod中运行一个容器。这是Kubernetes最常见的用法，您可以将Pod视为单个封装的容器，但是Kubernetes是直接管理Pod而不是容器。 Pod中运行多个需要耦合在一起工作、需要共享资源的容器。通常这种场景下应用包含一个主容器和几个辅助容器（SideCar Container），例如主容器为一个web服务器，从一个固定目录下对外提供文件服务，而辅助容器周期性的从外部下载文件存到这个固定目录下。 图 Pod 实际使用中很少直接创建Pod，而是使用Kubernetes中称为Controller的抽象层来管理Pod实例，例如Deployment和Job。Controller可以创建和管理多个Pod，提供副本管理、滚动升级和自愈能力。通常，Controller会使用Pod Template来创建相应的Pod。

本文主要介绍 本地磁盘存储。 通过本地磁盘存储将容器所在宿主机的文件目录挂载到容器的指定路径中（对应Kubernetes的HostPath），也可以不填写源路径（对应Kubernetes的EmptyDir），不填写时将分配主机的临时目录挂载到容器的挂载点，指定源路径的本地硬盘数据卷适用于将数据持久化存储到容器所在宿主机，EmptyDir（不填写源路径）适用于容器的临时存储。 本地磁盘使用场景 您可以通过如下四种形式使用本地磁盘存储： 主机路径挂载：将容器所在宿主机的文件目录挂载到容器指定的挂载点中，如容器需要访问/etc/hosts则可以使用HostPath映射/etc/hosts等场景。 临时路径挂载：用于临时存储，生命周期与容器实例相同。容器实例消亡时，EmptyDir会被删除，数据会永久丢失。 配置项挂载：将ConfigMap配置项中的key映射到容器中，可以用于挂载配置文件到指定容器目录。配置项（ConfigMap）是一种用于存储工作负载所需配置信息的资源类型，内容由用户决定。ConfigMap的创建请参见创建配置项，具体使用请参见使用配置项。 密钥挂载 ： 将密钥中的数据挂载到容器的某一路径中。密钥是一种用于存储工作负载所需要认证信息、密钥的敏感信息等的资源类型，内容由用户决定。Secret的创建请参见创建密钥，具体使用请参见使用密钥。 下面分别介绍如何通过这四种形式进行挂载。

本节主要介绍基本概念。 Kubernetes是业界主流的开源容器编排平台。为了让用户可以方便地在云上使用Kubernetes管理容器应用，推出了基于原生Kubernetes的云容器引擎服务。 云容器引擎（Cloud Container Engine，简称CCE）提供高度可扩展的、高性能的企业级Kubernetes集群，支持运行Docker容器。借助云容器引擎，您可以在云上轻松部署、管理和扩展容器化应用程序。 云容器引擎整合了天翼云的计算、网络、存储等服务，支持多可用区（Available zone，简称AZ）容灾等技术构建高可用Kubernetes集群，并提供高性能可伸缩的容器应用管理能力，简化集群的搭建和扩容等工作，让您专注于容器化应用的开发与管理。 名词解释 使用云容器引擎服务，会涉及到以下基本概念： 集群：是指容器运行所需云资源的集合，包含了若干台云服务器、负载均衡器等云资源。 实例（Pod）：由相关的一个或多个容器构成一个实例，这些容器共享相同的存储和网络空间。 工作负载：Kubernetes资源对象，用于管理Pod副本的创建、调度以及整个生命周期的自动控制。 Service：由多个相同配置的实例（Pod）和访问这些实例（Pod）的规则组成的微服务。 Ingress：Ingress是用于将外部HTTP（S）流量路由到服务（Service）的规则集合。 Helm应用：Helm是管理Kubernetes应用程序的打包工具，提供了Helm Chart在指定集群内图形化的增删改查。 镜像仓库：用于存放Docker镜像，Docker镜像用于部署容器服务。 您在使用前可以了解更多Kubernetes相关知识，具体请参见

本文主要介绍通用类 问题 什么是容器镜像服务 容器镜像服务（SoftWare Repository for Container，简称SWR）是一种支持容器镜像全生命周期管理的服务，提供简单易用、安全可靠的镜像管理功能，帮助用户快速部署容器化服务。 什么是组织？ 组织用于隔离镜像仓库，每个组织可对应一个公司或部门，将其拥有的镜像集中在该组织下。 同一用户可属于不同的组织。容器镜像服务支持为组织中不同用户分配相应的访问权限（读取、编辑、管理）。 容器镜像服务是否收费？ 容器镜像服务暂不收费，目前可免费使用。 SWR最多能存储多少个镜像？ SWR目前对上传的镜像数量没有限制，您可以根据需要上传镜像。 容器镜像服务的带宽多大？ 容器镜像服务的带宽会根据用户使用情况动态变化。 容器镜像服务的配额是多少？ 容器镜像服务对镜像数量没有配额限制，您可以根据需要上传镜像。 容器镜像服务对单个用户的组织数量限定了配额。如您需要添加更多的组织，请提交工单申请。 表 容器镜像服务配额 资源类型 配额 组织 5 长期有效的登录指令与临时登录指令的区别是什么？ 临时的登录指令代指6个小时后会过期失效，不能再被使用的登录指令。可应用在临时使用，对外单次授权等场景中，对安全性要求较高的生产集群也可通过定时刷新的方式进行使用。 长期有效的登录指令有效期为永久。可应用在前期测试、CICD流水线及容器集群拉取镜像等场景中。 获取了长期有效的登录指令后，在有效期内的临时登录指令仍然可以使用。 长期有效的登录指令与临时登录指令均不受限制，可以多台机器多人同时登录。

本节介绍了容器镜像服务:使用触发器自动更新集群工作负载。 操作场景 通过容器镜像服务的触发器功能，实现推送镜像后自动更新集群工作负载的镜像。 前提条件 已开通云容器引擎集群 已开通容器镜像服务企业版实例 操作步骤 创建触发器 1. 进入容器镜像服务控制台。 2. 点击已开通的企业版实例名称。 3. 左侧导航栏点击容器镜像 镜像仓库，选择需要创建触发器的镜像仓库。 4. 在触发器 标签页点击创建触发器按钮。 5. 在创建页面填写触发器相关的参数进行创建。 参数 说明 触发器名称 触发器的名称。 Tag匹配条件 通过正则表达式设置规则匹配的镜像版本。使用方式示例如下：匹配全部: . 匹配多个版本: v1v2v3 匹配前缀: v1. 集群 触发器关联的云容器引擎集群。 命名空间 触发器关联的命名空间。 工作负载类型 触发器关联的工作负载类型，包括：无状态，有状态，守护进程和定时任务。 工作负载 触发器关联的工作负载。 容器 触发器关联的容器。 镜像更新方式 触发器更新容器镜像的方式，包括通过Tag更新和通过Digest更新。当容器的镜像拉取策略为 IfNotPresent 时，由于云容器引擎节点本地存在镜像缓存，此时推送相同Tag的镜像将无法通过Tag触发容器拉取新镜像，因此推荐通过Digest更新。 当容器的镜像拉取策略为 Always 时，推荐通过Tag更新。

容器镜像服务（Software Repository for Container）是一种支持容器镜像全生命周期管理的服务， 提供简单易用、安全可靠的镜像管理功能，帮助用户快速部署容器化服务。 您可以使用控制台或CLI上传、下载和管理容器镜像，并对接云容器引擎完成容器应用部署。

本文介绍边缘安全加速平台学术加速版本的情况。 产品介绍 边缘安全加速平台学术加速是天翼云旗下一款提供海外教育资源加速服务的应用软件，基于天翼云优质的边缘网络资源与加速技术，有效解决高校访问海外教育资源时的访问体验差、合规性无保障等问题，满足高校师生访问跨境学术资源、海外线上学术会议、跨境教育SaaS应用等场景的加速需求，帮助学生拓展学习视野，获得最佳的学术体验。 套餐和版本概述 天翼云边缘安全加速平台学术加速支持包年包月套餐和固定资源包计费模式。目前学术加速版本主要是分为：个人版、企业版。 版本功能列表 下表描述了主要功能模块在不同版本中的支持情况。 √：表示在当前版本中支持。 ×：表示在当前版本中不支持。 分类 功能 描述 个人版 企业版 国外学术资源加速 一键加速 提供国外学术加速开关，可以进行海外saas应用加速。 √ √ 国外学术资源加速 桌面终端 提供PC端的客户端程序，支持Windows，MacOs系统。 √ √ 国外学术资源加速 移动终端 提供移动端的APP程序，支持IOS、安卓系统手机。 √ √ 国外学术资源加速 身份权限管控 支持按身份，角色，用户组，组织架构等进行授权和管控。 × √ 国外学术资源加速 认证管理 支持添加自定义认证源，添加企微等第三方认证源，统一企业接入零信任服务的登录认证管理。 × √ 终端管理 终端列表 终端资产进行盘点、展示，用于分析。 × √ 产品服务 日志审计 提供日志审计功能，进行访问行为审计。 × √ 客户端功能 一键加速 学术加速开关，可以进行海外saas应用加速。 √ √ 客户端功能 我的收藏 用于管理用户收藏学术网站。 √ √ 客户端功能 教育加速资源 提供学术加速资源列表，可直接点击访问。 √ √ 客户端功能 最近访问 提供最近访问记录。 √ √ 客户端功能 常用服务 支持快捷诊断和应用诊断。 √ √ 客户端功能 用量统计 提供加速流量统计。 √ √ 客户端功能 修改个人信息 密码、手机号等。 √ √ 客户端功能 我的订购 展示用户购买资源包和使用情况查看。 √ × 客户端功能 问题反馈 可点击上报问题反馈。 √ √ 客户端功能 公告 提供系统公告展示。 √ √ 客户端功能 版本更新 提供版本更新检测和客户端下载。 √ √

本章节介绍云容器集群Pod内存高负载故障演练。 背景介绍 在 CCE 环境中，Pod 运行在共享资源的节点上。内存高负载常因泄漏、数据膨胀或缓存失控引起，可能触发 Kubernetes 的 OOM 机制，导致 Pod 重启、请求失败，甚至影响同节点其他服务。 基本原理 启动自定义程序不断申请内存，模拟Pod内存负载升高。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的pod列表。 5. 在弹出的对话框中，单击添加pod。 6. 勾选您希望进行故障演练的一个或多个pod ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎Pod。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎Pod实例。 添加故障动作 ：单击立即添加 ，在列表中选择内存高负载动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 内存占用率：目标占用率（取值 0100）。 容器选择模式：选择攻击pod中容器，可以“按资源定义的首个容器”，也可以“指定容器名称”，当选择指定容器名称时，需要输入容器的名称。 容器名称：填写攻击目标的容器名称

本小节介绍开启容器防护。 开启容器节点防护时，您需为指定的节点（主机）分配一个配额，关闭容器安全防护或删除节点（主机）后，该配额可分配给其他的节点（主机）使用。 检测周期 企业主机安全每日凌晨进行全量检测。 若您在检测周期前开启防护，您需要等到次日凌晨检测后才能看到检测结果。 前提条件 “企业主机安全 > 资产管理 > 容器管理”页面“容器节点管理”中“Agent状态”为“在线”。 已在云容器引擎成功创建节点。 节点的“防护状态”为“未防护”。 操作步骤 1、登录管理控制台。 2、 在弹窗界面单击“体验新版”，切换至企业主机安全页面。 注意 切换至新版后，在总览页左上角单击“返回旧版”，可切换至企业主机安全（旧版）。 3、 在左侧导航树中，选择“资产管理 > 容器管理”，进入“容器节点管理”页面。 容器节点管理 4、在“节点列表”中单击目标服务器“操作”列的“开启防护”，为需要开启防护的节点开启防护。 5、您可以根据自己的实际场景选择“包年/包月”或者“按需计费”，开启节点防护。 包年/ 包月 在“您确定要对以下集群开启防护吗？”对话框中，“计费模式”选择“包年/包月”，阅读并确认“《容器安全服务免责声明》”。 “防护配额”分配方式： 随机分配：下拉框选择“随机选择配额”，系统优先为主机分发服务剩余时间较长的配额。 指定分配：下拉框选择具体配额ID，您可以为主机分配指定的配额。 按需计费 在“您确定要对以下集群开启防护吗？”对话框中，“计费模式”选择“按需计费”，阅读并确认“《容器安全服务免责声明》”。 6、在弹出的提示框中，阅读“《容器安全服务免责声明》”后，并勾选“我已阅读并同意《容器安全服务免责声明》”。 7、单击“确定”，开启节点防护，目标服务器“容器防护状态”变更为“防护中”，说明该节点已开启防护。 注意 一个容器安全配额防护一个集群节点。

本节介绍了：创建一个无状态工作负载——创建工作负载及服务的用户指引。 进入云容器引擎控制台，在集群选项卡中选择一个集群进入集群详情界面。选择工作负载 > 无状态 > 新增 选择命名空间，创建一个Deployment 配置项说明 配置项 说明 Deployment名称 工作负载的名称 数据卷（选填） 为容器提供存储，目前支持临时路径、主机路径、配置文件、本地卷（Local PV）、NFS、Ceph，还需挂载到容器的指定路径中。 实例数量 工作负载的副本数，可选择手动设置或自动伸缩。 实例内容器 工作负载中的容器实例配置，可配置一个或多个。 容器名称 容器实例的名称 镜像及镜像版本 支持选择容器镜像服务企业版、容器镜像服务个人版的镜像。 CPU/内存限制 Request用于预分配资源，当集群中的节点没有request所要求的资源数量时，容器会创建失败。Limit用于设置容器使用资源的最大上限，避免异常情况下节点资源消耗过多。 环境变量（选填） 支持配置容器的环境变量。 启动执行（选填） 启动执行命令：对应镜像的ENTRYPOINT命令，将会覆盖镜像的ENTRYPOINT命令；每个输入框仅输入一个命令或参数。 启动执行参数：对应镜像的CMD命令，将会覆盖镜像的CMD命令；每个输入框仅输入一个命令或参数。 启动后处理 容器启动后执行，注意由于是异步执行，无法保证一定在ENTRYPOINT之后运行；每个输入框仅输入一个命令或参数。 停止前处理 容器停止前执行，常用于资源清理；每个输入框仅输入一个命令或参数。 容器健康检查 存活检查：检查容器是否正常，不正常则重启实例。 就绪检查：检查容器是否就绪，不就绪则停止转发流量到当前实例。 特权级容器 容器开启特权级，将拥有宿主机的root权限。 Container安全上下文 为Container设置安全上下文，仅适用于该Container：若Pod、Container层面都设置了用户、用户组、Selinux上下文，Container的设置会覆盖Pod的设置。 访问设置 配置Service访问负载

分类 云产品 支持审计的关键操作列表 容器与中间件 云容器引擎 容器与中间件 容器镜像服务 容器与中间件 分布式消息服务Kafka 容器与中间件 弹性容器实例

本文将介绍针对远程访问场景下产生的防护日志。 AOne边缘网关检测存在安全威胁时将实时进行处置，您可通过对应防护日志进行查询处置情况。 注意事项 需开通零信任/终端管理服务，并产生威胁防护时才可查看到相应防护数据。 仅能查询近6个月数据，若有长时间存储日志需求，可联系我们。 操作步骤 1. 登录边缘安全加速控制台，进入对应服务； 2. 在左侧导航栏，选择日志>内网审计日志； 3. 分为内网访问审计、网关防护日志两个模块，可针对需求进行查询相关日志情况。 内网访问审计日志字段说明 字段 字段说明 用户 访问的用户名称和账号 访问时间 访问请求的开始时间和结束时间 会话持续时间 访问请求的持续时间 客户端地址：端口 发起请求客户端的所在IP地址、地区和端口 目标地址：端口 接收请求的应用所在的IP地址和端口 请求协议 访问请求的协议 应用名称 内网应用名称 状态码 05xx 处理动作 告警：即仅产生告警，不会对访问产生影响 拦截：即将对应请求进行拦截，将无法访问对应目标地址 放行：既正常访问，未被识别异常，无特殊处理动作

本文将向您介绍如何使用边缘安全加速平台安全与加速服务提供的合规检测功能。 功能介绍 支持根据用户实际配置的条件，检查HTTP协议头部，对HTTP请求信息中的方法以及参数长度等信息进行检测，对不符合的请求项进行拦截或告警。 检测范围 请求方法检测：只允许指定请求方法访问网站。 请求协议检测：只允许指定协议版本访问网站。 请求头部缺失检测：请求缺少指定头部禁止访问网站。 数据重复检测：针对头部重复、参数重复进行拦截，禁止访问网站。 请求数据长度限制：针对请求URL、头部参数进行长度限制，禁止访问网站。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 开通套餐为免费版及以上版本，支持合规检测相关功能。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【Web应用防火墙】菜单，并在左侧域名列表选择您要防护的域名。 3. 进入防护能力基础安全防护【合规性检测】详细设置页。 注意 域名新增时，会有一条全站合规检测的默认策略，可以通过【防护开关】来开启或者关闭，您也可以自定义合规检测规则。

本节介绍智能边缘云为客户提供的高可用配置方案，包含反亲和资源调度策略设置、快照。 开通虚拟机时设置反亲和性调度策略 当客户开通边缘虚拟机时，可通过配置反亲和性策略，将多次开通的虚机调度到不同的宿主机上，以降低宿主机故障时对业务的影响，从而提高业务的高可用性。具体步骤如下： 1. 进入边缘虚拟机控制台实例页面。 2. 点击【+新建实例】。 3. 在【高级选项】配置项设置虚机反亲和性策略。 目前反亲和性策略支持两种模式：强反亲和和弱反亲和，其区别如下： 强反亲和：不允许将虚拟机调度到相同的宿主机上，该策略有可能因为宿主机资源不足而导致资源开通失败。 弱反亲和：尽量将虚拟机调度到不同的宿主机上，当宿主机资源不足时，部分资源依然可能调度到相同的宿主机上。 已开通虚拟机设置反亲和性策略 客户也可以选择为已开通虚拟机配置反亲和性策略，将这些虚拟机重新调度到不同的宿主机上，以提高业务的高可用性，后置反亲和性策略仅针对纯云盘的虚拟机可实现。 通过快照实现灾备 客户可为云盘创建快照，再使用快照创建云盘获取基础数据，实现同城容灾或异地容灾。

本节主要介绍备份存储库简介、新建备份存储库、查看备份存储库以及删除备份存储库等操作。 备份存储库简介 备份文件是存储在天翼云对象储存S3集群中，您需要先购买天翼云对象储存，然后将相应的AK、SK等信息添加到此处，后续备份文件将直接备份至您添加的备份存储库上。备份存储库有集群属性，因此您可添加多个备份存储库对应到不同的集群。 新建备份存储库 1. 登录ECX控制台。 2. 点击左侧导航栏【边缘存储>备份】，点击【备份存储库】，进入备份存储库管理页，点击【新建】按钮。 3. 在创建备份存储库的页面中，选择地域和可用区，输入S3地址、AK、SK、备份存储库等信息，点击【创建备份存储库】按钮完成备份存储库创建。 查看备份存储库 1. 登录ECX控制台。 2. 点击左侧导航栏【边缘存储>备份】，点击【备份存储库】，进入备份存储库管理页。 3. 备份存储库列表包括源文件所在集群、S3的地址以及备份存储库等信息。 删除备份存储库 1. 登录ECX控制台。 2. 点击左侧导航栏【边缘存储>备份】，点击【备份存储库】，进入备份存储库管理页。 3. 选择您要删除的备份存储库，点击操作栏的【删除】，弹窗二次确认，点击【确认】完成删除操作。

容器配置 Pod中可以配置多个容器，您可以单击右侧“添加容器”为Pod配置多个容器。 容器名称：为容器命名。 镜像更新策略：选择是否总是拉取镜像。 镜像名称：选择容器使用的镜像，支持多种镜像来源。 镜像版本：选择需要部署的镜像版本。 资源配额：配置 CPU 和内存的申请值和限制值。 初始化容器：选择是否作为初始化容器。 生命周期：设置容器生命周期 环境变量：设置容器运行环境的变量。 镜像访问凭证：选择访问镜像仓库的凭证。 高级配置 设置任务参数，设置标签与注解、网络配置等。 任务设置参数 并发策略：支持如下三种模式。 允许Allow（默认）：CronJob 允许并发 Job 执行。 禁止Forbid：CronJob 不允许并发执行；如果新 Job 的执行时间到了而老 Job 没有执行完，CronJob 会忽略新 Job 的执行。 另请注意，当老 Job 执行完成时，仍然会考虑 .spec.startingDeadlineSeconds，可能会导致新的 Job 执行。 Replace：如果新 Job 的执行时间到了而老 Job 没有执行完，CronJob 会用新 Job 替换当前正在运行的 Job。 执行策略：选择CronJob的执行周期，即每隔这个时间周期CronJob就会执行一次。 单击右下角“创建工作负载”完成创建。

本文介绍如何从容器镜像服务CRS拉取镜像创建实例。 默认情况下，ECI支持通过内部网络从天翼云容器镜像服务CRS拉取镜像用于实例创建。 使用限制 容器镜像服务CRS实例需要与ECI实例属于同一地域。 操作说明 下文介绍从容器镜像服务CRS拉取镜像（以nginx镜像为例）创建ECI实例的主要步骤： 1. 打开弹性容器实例产品订购页。 2. 进入容器设置，支持手动输入容器镜像地址，同时也支持从CRS选择镜像，例如点击“选择镜像”，选择nginx镜像并点击“确认”。如下图所示： 3. 点击“选择镜像版本”或者手动输入镜像版本，最后镜像拉取策略选择“总是拉取”，如下图所示： 4. 点击下一步，进入其他设置。 5. 在“镜像仓库访问凭证”处，手动输入镜像仓库地址，用户名，密码等信息后，点击“+添加参数”。当“已添加”后面看到配置的镜像访问凭证即可。 6. 点击“提交订单”，进入ECI控制台等待实例创建并Running。 7. 进入实例详情页面，查看容器镜像及容器状态。

专属云容器引擎采用独享的容器资源，为用户提供高可靠高性能的企业级容器应用管理服务，支持Kubernetes社区原生应用和工具，简化云上自动化容器运行环境搭建。 资源独享 专属资源与公有云资源物理隔离，配套云服务部署在专属资源池，租户独享 灵活组合 专属云服务和天翼云基础云服务灵活搭配，满足行业安全合规要求，优化成本结构 安全合规 隔离且专属的物理资源，满足行业、组织对安全合规性的要求 简单易用 一键创建容器集群，一站式部署和运维容器应用，无需再自行搭建容器运行环境，真正实现开箱即用

参数 说明 CPU申请 容器使用的最小CPU需求，作为容器调度时资源分配的判断依赖。 只有当节点上可分配CPU总量 ≥ 容器CPU申请数时，才允许将容器调度到该节点。 CPU限制 容器能使用的CPU最大值。

本文介绍如何通过边缘函数返回HTML页面。 直接响应边缘函数代码中的HTML页面。 示例代码 javascript const html Hello World This example was generated by Chinatelecom Cloud AccessOne BosonFaaS. ; async function handleRequest(request) { return new Response(html, { headers: { 'contenttype': 'text/html; charsetUTF8', }, }); } addEventListener('fetch', event > { event.respondWith(handleRequest(event.request)); }); 示例预览 在浏览器地址栏中输入匹配到HTTP路由的URL，即可预览示例效果。 相关参考 运行时API：addEventListener 运行时API：Response 运行时API：FetchEvent

本文介绍如何通过边缘函数返回HTML页面。 直接响应边缘函数代码中的HTML页面。 示例代码 javascript const html Hello World This example was generated by Chinatelecom Cloud AccessOne BosonFaaS. ; async function handleRequest(request) { return new Response(html, { headers: { 'contenttype': 'text/html; charsetUTF8', }, }); } addEventListener('fetch', event > { event.respondWith(handleRequest(event.request)); }); 示例预览 在浏览器地址栏中输入匹配到HTTP路由的URL，即可预览示例效果。 相关参考 运行时API：addEventListener 运行时API：Response 运行时API：FetchEvent

配置示例 示例一： 参数名 配置示例 头部值 AccessControlAllowOrigin 跨域验证 关闭 取值 结果说明：全站加速响应头部固定响应“AccessControlAllowOrigin:”。 示例二： 参数名 配置示例 头部值 AccessControlAllowOrigin 跨域验证 开启 取值 结果说明： 1.用户请求携带的Origin头是 2.用户请求携带的Origin头是

操作场景 健康检查是指容器运行过程中，根据用户需要，定时检查容器健康状况。若不配置健康检查，如果服务出现业务异常，pod将无法感知，也不会自动重启去恢复业务。最终导致虽然pod状态显示正常，但pod中的业务异常的情况。 CCE提供了两种健康检查的探针： 工作负载存活探针：用于检测容器是否正常，类似于我们执行ps命令检查进程是否存在。如果容器的存活检查失败，集群会对该容器执行重启操作；若容器的存活检查成功则不执行任何操作。 工作负载业务探针：用于检查用户业务是否就绪，不就绪则不转发流量到当前实例。一些程序的启动时间可能很长，比如要加载磁盘数据或者要依赖外部的某个模块启动完成才能提供服务。这时候程序进程在，但是并不能对外提供服务。这种场景下该检查方式就非常有用。如果容器的就绪检查失败，集群会屏蔽请求访问该容器；若检查成功，则会开放对该容器的访问。 检查方式 HTTP 请求检查 HTTP 请求方式针对的是提供HTTP/HTTPS服务的容器，集群周期性地对该容器发起HTTP/HTTPS GET请求，如果HTTP/HTTPS response返回码属于200~399范围，则证明探测成功，否则探测失败。使用HTTP请求探测必须指定容器监听的端口和HTTP/HTTPS的请求路径。 例如：提供HTTP服务的容器，HTTP检查路径为：/healthcheck；端口为：80；主机地址可不填，默认为容器实例IP，此处以172.16.0.186为例。那么集群会周期性地对容器发起如下请求：GET TCP 端口检查 对于提供TCP通信服务的容器，集群周期性地对该容器建立TCP连接，如果连接成功，则证明探测成功，否则探测失败。选择TCP端口探测方式，必须指定容器监听的端口。 例如：我们有一个nginx容器，它的服务端口是80，我们对该容器配置了TCP端口探测，指定探测端口为80，那么集群会周期性地对该容器的80端口发起TCP连接，如果连接成功则证明检查成功，否则检查失败。 执行命令检查 命令检查是一种强大的检查方式，该方式要求用户指定一个容器内的可执行命令，集群会周期性地在容器内执行该命令，如果命令的返回结果是0则检查成功，否则检查失败。 对于上面提到的TCP端口检查和HTTP请求检查，都可以通过执行命令检查的方式来替代： − 对于TCP端口探测，我们可以写一个程序来对容器的端口进行connect，如果connect成功，脚本返回0，否则返回1。 − 对于HTTP请求探测，我们可以写一个脚本来对容器进行wget。 wget 并检查response 的返回码，如果返回码在200~399 的范围，脚本返回0，否则返回1。 须知： 必须把要执行的程序放在容器的镜像里面，否则会因找不到程序而执行失败。 如果执行的命令是一个shell脚本，由于集群在执行容器里的程序时，不在终端环境下，因此不能直接指定脚本为执行命令，需要加上脚本解决器。比如脚本是/data/scripts/healthcheck.sh ，那么我们使用执行命令检查时，指定的程序应该是sh /data/scripts/healthcheck.sh 。究其原因是集群在执行容器里的程序时，不在终端环境下。 表公共参数说明 参数 参数说明 延迟时间 延迟检查时间，单位为秒，此设置与业务程序正常启动时间相关。 例如，设置为30，表明容器启动后30秒才开始健康检查，该时间是预留给业务程序启动的时间。 超时时间 超时时间，单位为秒。 例如，设置为10，表明执行健康检查的超时等待时间为10秒，如果超过这个时间，本次健康检查就被视为失败。若设置为0或不设置，默认超时等待时间为1秒。

本章节介绍云容器集群Pod DNS篡改故障演练。 背景介绍 DNS 篡改会使域名解析到错误的 IP，从而在 CCE 环境中造成流量劫持、访问异常或数据泄露等风险。本演练模拟 DNS 篡改场景，用于检验 Pod 的安全防护与监控告警有效性，并评估业务在解析被劫持时的表现。 基本原理 通过修改本地DNS解析文件实现。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的pod列表。 5. 在弹出的对话框中，单击添加pod。 6. 勾选您希望进行故障演练的一个或多个Pod ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎Pod。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎Pod实例。 添加故障动作 ：单击立即添加 ，在列表中选择DNS篡改动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 域名：待篡改的目标域名。 映射IP：将目标域名解析到的IP地址。 容器选择模式：选择攻击pod中容器，可以“按资源定义的首个容器”，也可以“指定容器名称”，当选择指定容器名称时，需要输入容器的名称。 容器名称：填写攻击目标的容器名称

本章节介绍云容器集群Pod DNS篡改故障演练。 背景介绍 DNS 篡改会使域名解析到错误的 IP，从而在 CCE 环境中造成流量劫持、访问异常或数据泄露等风险。本演练模拟 DNS 篡改场景，用于检验 Pod 的安全防护与监控告警有效性，并评估业务在解析被劫持时的表现。 基本原理 通过修改本地DNS解析文件实现。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的pod列表。 5. 在弹出的对话框中，单击添加pod。 6. 勾选您希望进行故障演练的一个或多个Pod ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎Pod。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎Pod实例。 添加故障动作 ：单击立即添加 ，在列表中选择DNS篡改动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 域名：待篡改的目标域名。 映射IP：将目标域名解析到的IP地址。 容器选择模式：选择攻击pod中容器，可以“按资源定义的首个容器”，也可以“指定容器名称”，当选择指定容器名称时，需要输入容器的名称。 容器名称：填写攻击目标的容器名称

维度 子维度 CCE Turbo集群 CCE集群 集群 定位 面向云原生2.0的新一代容器集群产品，计算、网络、调度全面加速 标准版本集群，提供商用级的容器集群服务 集群 节点形态 支持虚拟机和物理机混合 支持虚拟机和物理机混合 网络 网络模型 云原生网络2.0 ：面向大规模和高性能的场景。 组网规模最大支持2000节点 云原生网络1.0 ：面向性能和规模要求不高的场景。 容器隧道网络模式 VPC网络模式 网络 网络性能 VPC网络和容器网络融合，性能无损耗 VPC网络叠加容器网络，性能有一定损耗 网络 容器网络隔离 Pod可直接关联安全组，基于安全组的隔离策略，支持集群内外部统一的安全隔离。 隧道网络模式：集群内部网络隔离策略，支持Networkpolicy。 VPC网络模式：不支持 安全 隔离性 物理机：安全容器，支持虚机级别的隔离 虚拟机：普通容器 普通容器，Cgroups隔离