本文介绍如何从容器镜像服务CRS拉取镜像创建实例。 默认情况下，ECI支持通过内部网络从天翼云容器镜像服务CRS拉取镜像用于实例创建。 使用限制 容器镜像服务CRS实例需要与ECI实例属于同一地域。 操作说明 下文介绍从容器镜像服务CRS拉取镜像（以nginx镜像为例）创建ECI实例的主要步骤： 1. 打开弹性容器实例产品订购页。 2. 进入容器设置，支持手动输入容器镜像地址，同时也支持从CRS选择镜像，例如点击“选择镜像”，选择nginx镜像并点击“确认”。如下图所示： 3. 点击“选择镜像版本”或者手动输入镜像版本，最后镜像拉取策略选择“总是拉取”，如下图所示： 4. 点击下一步，进入其他设置。 5. 在“镜像仓库访问凭证”处，手动输入镜像仓库地址，用户名，密码等信息后，点击“+添加参数”。当“已添加”后面看到配置的镜像访问凭证即可。 6. 点击“提交订单”，进入ECI控制台等待实例创建并Running。 7. 进入实例详情页面，查看容器镜像及容器状态。

本章节介绍云容器集群Pod DNS篡改故障演练。 背景介绍 DNS 篡改会使域名解析到错误的 IP，从而在 CCE 环境中造成流量劫持、访问异常或数据泄露等风险。本演练模拟 DNS 篡改场景，用于检验 Pod 的安全防护与监控告警有效性，并评估业务在解析被劫持时的表现。 基本原理 通过修改本地DNS解析文件实现。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的pod列表。 5. 在弹出的对话框中，单击添加pod。 6. 勾选您希望进行故障演练的一个或多个Pod ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎Pod。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎Pod实例。 添加故障动作 ：单击立即添加 ，在列表中选择DNS篡改动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 域名：待篡改的目标域名。 映射IP：将目标域名解析到的IP地址。 容器选择模式：选择攻击pod中容器，可以“按资源定义的首个容器”，也可以“指定容器名称”，当选择指定容器名称时，需要输入容器的名称。 容器名称：填写攻击目标的容器名称

本文为您介绍开启IPv6访问功能的前提条件以及操作步骤。 功能介绍 支持网站IPv6访问功能，开启功能开关后，将为您提供IPv4/IPv6双栈服务。 Web应用防火墙（边缘云版）支持全站外链替换功能，能够有效提高网站链接的IPv6支持度。如果您需要解决IPv6天窗问题（提升二、三级链接IPv6支持度），请通过提交工单给天翼云客服，由其人工操作开启。 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见WAF接入 开通基础版及以上版本支持使用IPv6访问功能 操作步骤 1. 登录Web应用防火墙（边缘云版）控制台 2. 在左侧导航栏中选择【域名管理】—【域名列表】，选择您要开启IPv6访问的域名，开启IPv6开关

修改共享带宽带宽值 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>公网访问>共享带宽】，选择对应的地域。 3. 在【共享带宽列表】，选择需要操作的共享带宽实例，单击【更多>修改带宽】按钮，即可修改带宽值，最大带宽值支持1000Mbps，如果需要更大的带宽值，请联系您的客户经理、线上咨询或拨打客服热线电话寻求帮助，热线电话：4008109889转1。 查看共享带宽监控 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>公网访问>共享带宽】，选择对应的地域。 3. 选择需要操作的共享带宽实例，单击【更多>监控】按钮，查看带宽自定义时间段的出/入网带宽、出/入网流量。 删除共享带宽 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>公网访问>共享带宽】，选择对应的地域。 3. 在【共享带宽列表】选择需要删除的共享带宽，单击【操作>删除】，弹出确认删除共享带宽提示，如需继续删除单击【删除】即可。只有没有添加公网IP的共享带宽可以删除。

本节介绍了容器镜像服务:容器镜像服务企业版使用Helm Chart发布工作负载到容器集群。 操作场景 将应用打包成Helm Chart，推送到容器镜像服务仓库后，发布到容器集群。 前提条件 已开通容器镜像服务企业版实例 已开通云容器引擎集群 操作步骤 准备Helm Chart 用户可以根据自身的业务需求，将涉及的Deployment、ConfigMap、Secret、Service等打包成一个Helm Chart。 使用一个nginx的helm chart作为示例。 plaintext nginxchartdemo ├── Chart.yaml ├── templates │ ├── deployment.yaml │ └── service.yaml └── values.yaml 创建Helm Chart命名空间 登录容器镜像服务控制台，选择企业版实例进入，左侧菜单Helm Chart 命名空间 ，点击创建命名空间按钮。 推送Helm Chart到容器镜像仓库。 plaintext 登录容器镜像服务 helm registry login myinstanceregistryhuabei2.crs.ctyun.cn 推送Chart helm push nginxchartdemo0.1.0.tgz oci://myinstanceregistryhuabei2.crs.ctyun.cn/mychartns 推送成功后，可以在容器镜像服务控制台查看到Chart。 在云容器引擎部署Helm Chart 登录云容器引擎控制台，点击菜单模板市场我的模板，选择容器镜像服务实例和命名空间，可以看到上一步骤上传的Helm Chart。 选择Chart指定版本后，点击发布，选择容器集群和集群的命名空间，即可把Chart部署到云容器引擎集群中。 发布后可以在模板市场模板实例看到发布后的Chart实例。

专属云容器引擎采用独享的容器资源，为用户提供高可靠高性能的企业级容器应用管理服务，支持Kubernetes社区原生应用和工具，简化云上自动化容器运行环境搭建。 资源独享 专属资源与公有云资源物理隔离，配套云服务部署在专属资源池，租户独享 灵活组合 专属云服务和天翼云基础云服务灵活搭配，满足行业安全合规要求，优化成本结构 安全合规 隔离且专属的物理资源，满足行业、组织对安全合规性的要求 简单易用 一键创建容器集群，一站式部署和运维容器应用，无需再自行搭建容器运行环境，真正实现开箱即用

维度 子维度 CCE Turbo集群 CCE集群 集群 定位 面向云原生2.0的新一代容器集群产品，计算、网络、调度全面加速 标准版本集群，提供商用级的容器集群服务 集群 节点形态 支持虚拟机和物理机混合 支持虚拟机和物理机混合 网络 网络模型 云原生网络2.0 ：面向大规模和高性能的场景。 组网规模最大支持2000节点 云原生网络1.0 ：面向性能和规模要求不高的场景。 容器隧道网络模式 VPC网络模式 网络 网络性能 VPC网络和容器网络融合，性能无损耗 VPC网络叠加容器网络，性能有一定损耗 网络 容器网络隔离 Pod可直接关联安全组，基于安全组的隔离策略，支持集群内外部统一的安全隔离。 隧道网络模式：集群内部网络隔离策略，支持Networkpolicy。 VPC网络模式：不支持 安全 隔离性 物理机：安全容器，支持虚机级别的隔离 虚拟机：普通容器 普通容器，Cgroups隔离

本文介绍购买容器安全卫士的详细步骤。 容器安全卫士支持包年/包月计费模式，您可以根据业务规模选择容器安全卫士规格。 前提条件 已注册天翼云账号并完成实名认证。 约束限制 同一账号在同一个区域只能开通一个容器安全卫士实例，对应一个服务版本。 说明 原则上，在任何一个区域购买的容器安全卫士实例支持防护所有区域的业务，但为了防护及转发效率，建议在购买容器安全卫士实例时，根据防护业务所在区域就近选择购买容器安全卫士实例区域。 开通容器安全卫士实例，必须购买主套餐，可以在主套餐基础上叠加购买节点。 容器安全卫士实例生效期间，支持升级购买的服务版本以及扩增节点数量，但不支持降级。扩容节点与主套餐绑定，到期时间与主套餐一致，不支持单独续订、退订。 适用场景 用户业务服务器部署在天翼云上、非天翼云或线下，防护对象为节点、容器、镜像。 各服务版本推荐适用的场景说明如下： 标准版：适用云原生应用基本安全防护需求。 高级版：适用云原生应用高级安全防护需求。

本章节介绍在云原生API网关中通过HTTP API访问容器服务中的应用 概述 当您的容器服务中的应用需要通过外部访问时，可以通过创建HTTP API并配置路由，实现应用的互联网访问。本文以容器服务CCE为例，介绍如何通过云原生API网关实现微服务的外部访问。 前提条件 1. 已具备云容器引擎CCE实例，参见创建一个CCE应用集群。 2. 部署微服务demo到云容器引擎CCE实例，参见创建工作负载及服务或者使用容器镜像服务发布容器应用。 方案概览 通过创建云原生API网关实例，将云原生API网关与需要暴露的容器服务进行关联，在网关中设置API的路由规则，确保请求能够正确地路由到对应的容器服务，配置完成后，客户端即可通过API网关访问容器中的应用。 1. 新建云原生API网关实例：根据已有微服务环境，创建云原生API网关实例。 2. 创建服务来源：在云原生API网关中添加服务来源，根据实际情况选择云容器引擎CCE。 3. 添加服务：云原生API网关能够根据云容器引擎CCE来源获取服务的命名空间，将已有的服务添加到云原生API网关，作为备选服务。 4. 创建HTTP API：为网关实例创建HTTP API。 5. 创建路由：为该服务添加路由策略并发布。 6. 路由调试：测试微服务路由功能。

本节介绍了容器镜像服务的产品介绍。 容器镜像服务是一种支持容器镜像全生命周期管理的服务，提供简单易用、安全可靠的镜像管理功能，帮助用户快速部署容器化服务。容器镜像服务与云容器引擎无缝集成，帮助企业降低交付复杂度，打造云原生应用一站式解决方案。 个人版功能 功能项 说明 镜像仓库管理 支持Linux、ARM等多架构的容器镜像管理，支持设置容器镜像的公开/私有权限 命名空间管理 通过命名空间组织、管理镜像仓库 镜像安全扫描 支持对容器镜像进行安全扫描，展示漏洞编号、漏洞位置、漏洞等级等详细信息 企业版功能（包含个人版的所有功能） 功能项 说明 存储隔离 每个用户的容器镜像、Helm Chart等存放于用户的对象存储中，实现存储隔离 Helm Chart管理 支持Helm Chart的管理、分发 镜像加速 支持加速镜像转换，部署业务工作负载时使用加速镜像，实现镜像数据免全量下载和在线解压，大幅度提升应用分发效率，缩短容器启动时间 镜像同步 支持跨资源池同步镜像 版本不可变 支持配置镜像版本不可变，保证相同版本的镜像仅被成功推送一次，可有效避免因误操作引起的版本覆盖问题 版本保留 支持配置版本保留规则，让用户自定义需要保留的镜像版本，实现镜像版本清理 镜像分享 支持将私有镜像分享给指定用户 操作审计 支持记录用户在容器镜像服务控制台内所进行的操作，为行为分析、安全分析等提供依据 访问控制 支持配置公网白名单

容器入侵检测 支持对Docker、Containerd容器引擎进行入侵行为检测，实时监控容器节点运行状态，发现挖矿、勒索等恶意程序，发现违反容器安全策略的进程运行和文件修改，以及容器逃逸等行为并给出解决方案。 表115 容器入侵检测功能介绍 功能名称 功能概述 基础版 专业版 企业版 旗舰版 网页防篡改版 容器版 支持的操作系统 检测周期 未分类恶意软件 对容器中运行的程序进行检测，识别出其中的后门、木马、挖矿软件、蠕虫和病毒等恶意程序。 × × × × × √ Linux 实时检测 勒索软件 检测容器场景下勒索软件，并进行告警上报。 × × × × × √ Linux 实时检测 Webshell 检测容器中Web目录中的文件，判断是否为Webshell木马文件，支持检测常见的PHP、JSP等后门文件类型。 × × × × × √ Linux 实时检测 漏洞逃逸攻击 监控到容器内进程行为符合已知漏洞的行为特征时，触发逃逸漏洞攻击告警。 × × × × × √ Linux 实时检测 文件逃逸攻击 监控发现容器进程访问了宿主机系统的关键文件目录（例如：“/etc/shadow”、“/etc/crontab”），则认为容器内发生了逃逸文件访问，触发告警。即使该目录符合容器配置的目录映射规则，仍然会触发告警。 × × × × × √ Linux 实时检测 反弹Shell 实时监控用户的进程行为，及时发现进程的非法Shell连接操作产生的反弹Shell行为。支持对TCP、UDP、ICMP等协议的检测。 × × × × × √ Linux 实时检测 进程提权 检测以下进程提权操作：利用SUID程序漏洞进行root提权。利用内核漏洞进行root提权。 × × × × × √ Linux 实时检测 高危命令执行 实时检测容器场景系统中执行的高危命令，当发生高危命令执行时触发告警。 × × × × × √ Linux 实时检测 容器进程异常 容器恶意程序监控容器内启动的容器进程的行为特征和进程文件指纹，如果特征与已定义的恶意程序吻合则触发容器恶意程序告警。 容器异常进程对于已关联的容器镜像启动的容器，只允许白名单进程启动，如果容器内存在非白名单进程，触发容器异常程序告警。 × × × × × √ Linux 实时检测 容器异常启动 监控新启动的容器，对容器启动配置选项进行检测，当发现容器权限过高存在风险时触发告警。支持以下容器环境检测： 禁止启动特权容器(privileged:true)l 需要限制容器能力集（capabilities:[xxx]） 建议启用seccomp（seccompunconfined） 限制容器获取新的权限(nonewprivileges:false)l 危险目录映射(mounts:[...]) × × × × × √ Linux 实时检测 高危系统调用 Linux系统调用是用户进程进入内核执行任务的请求通道，容器安全监控容器进程，如果发现进程使用了危险系统调用，触发高危系统调用告警。 × × × × × √ Linux 实时检测 容器镜像阻断 在Docker环境中容器启动前，告警并阻断镜像异常行为策略中指定的不安全容器镜像运行。 × × × × × √ Linux 实时检测 敏感文件访问 监控容器内已配置文件保护策略的容器镜像文件状态。如果发生文件修改事件则触发文件异常告警。 × × × × × √ Linux 实时检测 暴力破解 检测容器场景下“尝试暴力破解”和“暴力破解成功”等暴破异常行为，发现暴破行为时触发告警。支持检测容器场景下SSH、Web和Enumdb暴破行为。说明目前暂仅支持Docker容器运行时的暴力破解检测告警。 × × × × × √ Linux 实时检测 非法系统用户账号 检测容器场景系统中的账号，列出当前系统中的可疑账号信息并告警上报，帮助用户及时发现非法账号。 × × × × × √ Linux 实时检测

判断URL是否命中缓存 通过响应头，确认该次访问命中情况： 1. 在Chrome浏览器上，按F12。 2. 选择“Network”。 3. 查看指定URL的响应头，查看CtlCacheStatus头部： CtlCacheStatus: HIT from province1city1ca1, HIT from province2city2ca2 表示边缘节点命中。 CtlCacheStatus: HIT from province1city1ca1, MISS from province2city2ca2 表示边缘节点未命中，但是内容中心节点命中，实际未产生回源。 CtlCacheStatus: MISS from province1city1ca1, MISS from province2city2ca2 表示边缘节点和内容中心节点均未命中，产生回源。 说明 CDN节点默认添加该响应头，若客户不希望响应该头部，可

分类 云产品 支持审计的关键操作列表 容器与中间件 云容器引擎 容器与中间件 容器镜像服务 容器与中间件 分布式消息服务Kafka 容器与中间件 分布式消息服务RabbitMQ 容器与中间件 弹性容器实例 容器与中间件 云日志服务

如果您精通K8s，且需要在应用容器启动前或者关闭前执行相关操作，例如运行前部署资源或者停止前优雅下线应用，可以设置应用生命周期管理。本文主要介绍如何在CAE应用中配置PostStart、PreStop和TerminationGracePeriodSeconds。 功能介绍 Pod hook（容器钩子）是由Kubernetes管理的kubelet组件发起的机制，用于在容器的生命周期的关键阶段执行自定义任务。这些阶段包括容器进程启动前（preStart）和终止前（preStop）。钩子的引入使Kubernetes能够更加灵活和精细地管理容器的生命周期。 启动后处理（PostStart设置）：是容器生命周期中的一种钩子，该钩子在容器被创建后立刻触发，通知容器它已经被创建。该钩子不需要向其所对应的hook handler传入任何参数。如果该钩子对应的hook handler执行失败，则该容器会被关闭，并根据该容器的重启策略决定是否重启该容器。 停止前处理（PreStop设置）：是容器生命周期中的一种钩子，该钩子在容器终止前触发，通常用于执行清理操作或优雅地关闭服务。其对应的hook handler必须在Kubernetes向容器发送终止信号（如 SIGTERM）之前完成。无论hook handler的执行结果如何，一旦其完成，Kubernetes将向容器发送SIGTERM信号以终止容器，并根据配置等待一段时间后强制删除容器。 优雅下线超时设置（TerminationGracePeriodSeconds）：其主要作用是为容器的优雅终止提供时间保障，确保应用能够在被强制停止之前完成必要的清理和关闭操作。这不仅有助于提升系统的稳定性和可靠性，还能避免因强制终止导致的数据丢失、请求失败和服务不可用等问题。结合 PreStop钩子可以实现完整的优雅下线流程。

参数 说明 CPU申请 容器使用的最小CPU需求，作为容器调度时资源分配的判断依赖。 只有当节点上可分配CPU总量 ≥ 容器CPU申请数时，才允许将容器调度到该节点。 CPU限制 容器能使用的CPU最大值。

本文介绍如何通过边缘函数返回HTML页面。 直接响应边缘函数代码中的HTML页面。 示例代码 javascript const html Hello World This example was generated by Chinatelecom Cloud AccessOne BosonFaaS. ; async function handleRequest(request) { return new Response(html, { headers: { 'contenttype': 'text/html; charsetUTF8', }, }); } addEventListener('fetch', event > { event.respondWith(handleRequest(event.request)); }); 示例预览 在浏览器地址栏中输入匹配到HTTP路由的URL，即可预览示例效果。 相关参考 运行时API：addEventListener 运行时API：Response 运行时API：FetchEvent

本文介绍如何通过边缘函数返回HTML页面。 直接响应边缘函数代码中的HTML页面。 示例代码 javascript const html Hello World This example was generated by Chinatelecom Cloud AccessOne BosonFaaS. ; async function handleRequest(request) { return new Response(html, { headers: { 'contenttype': 'text/html; charsetUTF8', }, }); } addEventListener('fetch', event > { event.respondWith(handleRequest(event.request)); }); 示例预览 在浏览器地址栏中输入匹配到HTTP路由的URL，即可预览示例效果。 相关参考 运行时API：addEventListener 运行时API：Response 运行时API：FetchEvent

本文介绍如何为容器集群安装Sever/Agent。 需要为容器集群安装Sever/Agent，将容器集群纳管到容器安全卫士控制台后，才能对容器集群进行安全防护。 前提条件 已购买容器安全卫士实例。 安装Sever/Agent 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“安装配置 > 组件安装”。 3. 单击“集群组件部署”，进入集群组件部署页面，获取集群组件部署脚本，并按页面提示进行集群组件的安装。 4. 在左侧导航栏选择“安装配置 > 运行状态”，更新并查看节点防护状态。

本节介绍了如何在控制台删除端口接入规则。 使用场景 您可以在控制台删除已接入端口的转发配置。 前提条件 已开通DDoS高防（边缘云版）。 端口状态为”配置完成“。 使用说明 1.登录DDoS高防（边缘云版）控制台。 2.进入【业务接入】【端口接入】页面。 3.选择要删除的端口，在操作栏点击【删除】按钮后，会进行弹窗提示，再次确认后，端口列表无法查询该端口，配置也无法进行恢复。

操作场景 创建工作负载或任务时，通常通过镜像指定容器中运行的进程。 在默认情况下，镜像会运行默认命令，如果想运行特定命令或重写镜像默认值，需要用到以下设置： 工作目录：指定运行命令的工作目录。 若镜像中未指定工作目录，且在界面中也未指定，默认是“/”。 运行命令：控制镜像运行的实际命令。 运行参数：传递给运行命令的参数。 说明： 容器启动后，容器中的内容不应修改。如果修改配置项（例如将容器应用的密码、证书、环境变量配置到容器中），当容器重启（例如节点异常重新调度pod）后，会导致配置丢失，业务异常。 配置信息应通过入参等方式导入容器中，以免重启后配置丢失。 容器如何执行命令和参数 Docker的镜像拥有存储镜像信息的相关元数据，如果不设置生命周期命令和参数，容器运行时会运行镜像制作时提供的默认的命令和参数，Docker原生定义这两个字段为“Entrypoint”和"CMD"。 如果在创建工作负载时填写了容器的运行命令和参数，将会覆盖镜像构建时的默认命令"Entrypoint"、"CMD"，规则如下： 容器执行命令和参数 镜像 Entrypoint 镜像CMD 容器运行命令 容器运行参数 最终执行 [touch] [/root/test] 未设置 未设置 [touch /root/test] [touch] [/root/test] [mkdir] 未设置 [mkdir] [touch] [/root/test] 未设置 [/opt/test] [touch /opt/test] [touch] [/root/test] [mkdir] [/opt/test] [mkdir /opt/test] 设置启动命令 步骤 1 登录CCE控制台，在创建工作负载或任务时，展开“生命周期”。 步骤 2 在启动命令后，输入运行命令和运行参数，如下表。 容器启动命令 命令方式 操作步骤 运行命令 输入可执行的命令，例如“/run/server”。 若运行命令有多个，多个命令之间用空格进行分隔。若命令本身带空格，则需要加引号（""）。 说明 多命令时，运行命令建议用/bin/sh或其他的shell，其他全部命令作为参数来传入。 运行参数 输入控制容器运行命令参数，例如port8080。 若参数有多个，多个参数以换行分隔。 说明： 当前启动命令以字符串数组形式提供，对应于Docker的Entrypoint启动命令，格式为： ["executable", "param1", "param2",..]。Kubernetes的容器启动命令可参见[这里](

高级设置 启停处理 启动执行：用于指定容器在启动时执行的命令和参数。虽然启动执行里有添加命令和添加参数两个按钮，但是我们可以只是用添加命令、或者只使用添加参数、或者两者同时使用，其达到的效果是完全一致的 启动后处理：配置容器在启动完成后执行的命令。用法上和上面的启动执行完全一致 停止前处理：配置容器在停止前执行的命令。用法上和上面的启动执行完全一致 容器健康检查 容器的健康检查支持就绪检查和存活检查两种，建议给容器都配上这两种健康检查方式 就绪检查：会检查容器是否处于ready状态，不就绪则停止转发流量到当前实例 存活检查：检查容器是否正常，不正常则重启实例 三种健康检查方式的公共参数解释： 目前支持三种健康检查方式： Http方式：需要填写端口、协议、请求路径等参数，然后kubelet 会向容器内运行的程序发送一个 HTTP GET 请求来执行探测。如果容器的处理程序返回成功码，则kubelet认为容器是存活/就绪的。如果处理程序返回失败码，则kubelet会杀死这个容器并且重新启动它/认为它没有就绪 Tcp方式：需要填写主机、端口等参数，然后kubelet 会尝试在指定端口和容器建立套接字链接。如果能建立链接，这个容器就被看作是健康的/就绪的，如果不能则这个容器就被看作是有问题的/没有就绪的 命令方式：需要添加命令，然后kubelet 在容器中执行该命令来进行检测。如果命令执行成功并且返回值为0，kubelet会认为这个容器是健康存活的/就绪的。如果这个命令返回非 0 值，kubelet 会杀死这个容器并重新启动它/认为它没有就绪

本文主要介绍设置容器生命周期。 操作场景 CCE提供了回调函数，在容器的生命周期的特定阶段执行调用，比如容器在停止前希望执行某项操作，就可以注册相应的钩子函数。 目前提供的生命周期回调函数如下所示： 启动命令： 容器将会以该启动命令启动，请参见启动命令。 启动后处理： 容器启动后触发，请参见启动后处理。 停止前处理： 容器停止前触发。设置停止前处理，确保升级或实例删除时可提前将实例中运行的业务排水。详细请参见停止前处理。 启动命令 在默认情况下，镜像启动时会运行默认命令，如果想运行特定命令或重写镜像默认值，需要进行相应设置。 Docker的镜像拥有存储镜像信息的相关元数据，如果不设置生命周期命令和参数，容器运行时将运行镜像制作时提供的默认的命令和参数，Docker将这两个字段定义为ENTRYPOINT和 CMD。 如果在创建工作负载时填写了容器的运行命令和参数，将会覆盖镜像构建时的默认命令ENTRYPOINT、CMD，规则如下： 表 容器如何执行命令和参数 镜像ENTRYPOINT 镜像CMD 容器运行命令 容器运行参数 最终执行 [touch] [/root/test] 未设置 未设置 [touch /root/test] [touch] [/root/test] [mkdir] 未设置 [mkdir] [touch] [/root/test] 未设置 [/opt/test] [touch /opt/test] [touch] [/root/test] [mkdir] [/opt/test] [mkdir /opt/test] 步骤 1 登录CCE控制台，在创建工作负载时，配置容器信息，选择“生命周期”。 步骤 2 在“启动命令”页签，输入运行命令和运行参数。 表 容器启动命令 命令方式 操作步骤 运行命令 输入可执行的命令，例如“/run/server”。若运行命令有多个，多个命令之间用空格进行分隔。 若命令本身带空格，则需要加引号（""）。 说明多命令时，运行命令建议用/bin/sh或其他的shell，其他全部命令作为参数来传入。 运行参数 输入控制容器运行命令参数，例如port8080。若参数有多个，多个参数以换行分隔。

Node节点 Node节点是集群的计算节点，即运行容器化应用的节点。 kubelet：kubelet主要负责同Container Runtime打交道，并与API Server交互，管理节点上的容器。 kubeproxy：应用组件间的访问代理，解决节点上应用的访问问题。 Container Runtime：容器运行时，如Docker，最主要的功能是下载镜像和运行容器。 Master节点数量与集群规模 在CCE中创建集群，Master节点可以是1个或3个，3个Master节点会按高可用部署，确保集群的可靠性。 Master节点的规格决定集群管理Node节点的规模，创建集群时可以选择集群管理规模，这个规模就是指的集群可以有多少个Node节点，例如50节点、200节点等。 集群的网络 从网络的角度看，集群的节点都位于VPC之内，节点上又运行着容器，每个容器都需要访问，节点与节点、节点与容器、容器与容器都需要访问。 集群的网络可以分成三个网络来看。 节点网络：为集群内节点分配IP地址。 容器网络：为集群内容器分配IP地址，负责容器的通信，当前支持多种容器网络模型，不同模型有不同的工作机制。 服务网络：服务（Service）是用来解决访问容器的Kubernetes对象，每个Service都有一个固定的IP地址。 在创建集群时，您需要为各个网络选择合适的网段，确保各网段之间不存在冲突，每个网段下有足够的IP地址可用。 集群创建后不支持修改容器网络模型 ，您需要在创建前做好规划和选择。 强烈建议您在创建集群前详细了解集群的网络以及容器网络模型，具体请参见容器网络模型。

本文介绍容器安全卫士计费购买类常见问题。 同一个账号可以购买多个容器安全卫士实例吗？ 实例到期后，还能防护节点吗？ 容器安全卫士实例可以降低版本和规格吗？ 容器安全卫士是否支持自动续订？ 容器安全卫士是如何计算并限制防护节点个数的？ 若当前版本包含的防护节点个数不够用时，如何处理？ 续费时是否可同时变更容器安全卫士版本或规格？ 防护节点购买上限是什么？ 容器安全卫士是否支持按需计费？ 在使用期间购买了防护节点 ，资源到期时间是何时？ 购买的扩容节点，支持单独退订吗？ 退订重购后，原实例的配置数据可以保留吗？ 同一个账号可以购买多个容器安全卫士实例吗？ 同一个账号在同一个区域只能购买一个实例，对应一个主套餐版本。购买容器安全卫士实例后，您可以升级版本或扩容防护节点数。

云应用引擎支持在应用中添加 Sidecar 容器，以增强主应用容器的功能。Sidecar 容器可以用于实现监控和日志收集等非业务功能的解耦与标准化。通过这种方式，您可以将一些辅助性任务从主应用容器中分离出来，使主应用容器更加专注于其核心业务逻辑。 功能入口 场景不同，操作入口也有所不同。 创建应用 1. 登录 CAE 控制台，在左侧导航栏选择 应用管理 > 应用列表 ，然后单击创建应用 2. 在应用基本信息 向导页面进行配置后，单击下一步：高级设置 对正在运行的应用进行变更 注意 重新部署应用后，该应用将会被重启。为避免业务中断等不可预知的错误，请在业务低峰期执行部署操作。 1. 登录 CAE 控制台，在左侧导航栏选择 应用管理 > 应用列表，然后单击目标应用名称 2. 在目标应用的基础信息 页面，单击部署应用 对已停止的应用进行变更 1. 登录 CAE 控制台，在左侧导航栏选择 应用管理 > 应用列表，然后单击目标应用名称 2. 在目标应用的基础信息 页面，单击修改应用配置 添加Sidecar容器配置指引 展开 Sidecar 容器 区域，单击+添加 按钮，在弹出的 Sidecar 容器 面板，按照以下步骤完成添加： 1. 自定义 Sidecar 容器名称 2. 配置拉取镜像的地址 3. 为 Sidecar 容器 设置 CPU 资源上限 和内存资源上限 说明 Sidecar 容器与主应用容器共享 CPU 和内存资源。为了确保主容器的正常运行，请合理设置 Sidecar 容器的最大可使用资源上限，避免其过度占用资源。 4. （可选） 单击高级设置 ，按需为 Sidecar 容器配置以下参数。 1. 在启动命令区域为 Sidecar 容器配置启动命令。具体操作，请参见设置启动命令。 2. 在环境变量区域为 Sidecar 容器配置容器环境中需要运行的变量。具体操作，请参见设置环境变量。 3. 在配置管理区域通过挂载 ConfigMap 配置文件的方式，向 Sidecar 容器中注入所需的配置信息。具体操作，请参见注入配置信息。 4. 在共享临时存储区域，设置临时存储目录，并将其挂载到主应用容器和 Sidecar 容器中。 说明 临时存储名称只能包含小写字母、数字和短划线（）。

弹性公网IP绑定NAT网关实例 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>公网访问>公网IP】，选择需要绑定公网IP的NAT网关所在地域，地域后面的数字表示该地域EIP的个数，如没有EIP，请参考购买公网IP操作指导。 3. 选择未绑定实例的公网IP，单击【操作>绑定】按钮，弹出公网IP绑定界面，实例类型选择NAT网关实例，选择需要绑定的NAT网关实例，单击【提交】，即可绑定成功。 4. 公网IP绑定实例后，IP列表会显示绑定实例类型及实例名称。 弹性公网IP解绑NAT网关实例 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>公网访问>公网IP】，选择对应的地域。 3. 选择已绑定实例的公网IP，单击【操作>解绑】按钮，弹出公网IP解绑提示，公网IP和NAT网关实例解绑后，会导致与NAT实例对应规则关联的虚拟机实例不能访问公网或者外网无法访问，单击【解绑】，即解绑成功，公网IP绑定实例为未绑定状态，解绑后可再次绑定。 删除NAT网关 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>NAT网关】，选择要删除的NAT网关所在地域，在NAT网关列表，选择要删除的NAT网关，点击对应操作栏的【删除】按钮，确认删除后，即可删除NAT网关。

本节介绍iBox边缘盒子产品在加油站的应用实践。 客户场景 针对加油站，对客户的传统摄像头进行智能化升级。通过设备连接、可视化探索分析、高性能算法推理，可以实时分析视频内容，自动探测异常信息，主动进行风险防控。 iBox边缘盒子快速开通入门 参考iBox边缘盒子（标准版） 卸油作业记录统计 卸油合规算法支持区分每次卸油作业的开始及结束时间，按每次作业分析合规及违规情况，支持统计自定义时间范围内的卸油次数以及合规率。 卸油作业全流程19项合规检测 卸油作业专项抓拍 针对每个检测项实时抓拍违规或合规画面，并标注画面中检测目标。 目标区域绘制，适用更多相机角度 通过绘制目标分析区域，可有效避免各个加油站操作的差异。例如锥桶平时放在画面左侧，卸油时放在画面右侧；通过绘制区域即可避免卸油时检测到左侧锥桶导致误判为合规。

ECI实例状态 说明 对应Kubernetes Pod状态 创建中（Scheduling） ECI Pod正在创建 Pending 启动中（Pending） ECI Pod中有一个或多个容器还在启动中，并且没有处于运行中的容器 Pending 运行中（Running） ECI Pod中所有容器均已经创建成功，并且至少有一个容器正在运行中，或者正在重启 Running 重启中（Restarting） ECI Pod正在重启 Pending 更新中（Updating） ECI Pod正在更新 Pending 终止中（Terminating） ECI Pod正在终止。对于运行中的实例，如果配置了preStop，则在删除实例时，实例将进入Terminating状态。执行完preStop后，实例将自动删除 Running 运行成功（Succeeded） ECI Pod中所有容器均已运行成功终止，并且不会再重启 Succeeded 运行失败（Failed） ECI Pod中所有容器均已运行终止，并且至少有一个容器是运行失败终止，即容器以非0状态退出或者被系统终止 Failed

参数 说明 触发器名称 触发器的名称。 Tag匹配条件 通过正则表达式设置规则匹配的镜像版本。使用方式示例如下：匹配全部: . 匹配多个版本: v1v2v3 匹配前缀: v1. 集群 触发器关联的云容器引擎集群。 命名空间 触发器关联的命名空间。 工作负载类型 触发器关联的工作负载类型，包括：无状态，有状态，守护进程和定时任务。 工作负载 触发器关联的工作负载。 容器 触发器关联的容器。 镜像更新方式 触发器更新容器镜像的方式，包括通过Tag更新和通过Digest更新。当容器的镜像拉取策略为 IfNotPresent 时，由于云容器引擎节点本地存在镜像缓存，此时推送相同Tag的镜像将无法通过Tag触发容器拉取新镜像，因此推荐通过Digest更新。 当容器的镜像拉取策略为 Always 时，推荐通过Tag更新。

本文介绍如何查看智算容器实例相关信息。 查看容器相关信息 1. 在弹性容器实例控制台左侧导航栏中选择“智算容器组实例管理”。 2. 点击实例名称，查看容器详情。 3. 点击数据卷页签，查看挂载数据卷情况。 4. 点击事件页签，查看事件详情。 5. 点击日志页签，查看容器日志。 6. 点击远程登录页签，进入容器内部。

策略名称 策略描述 分布式容器云平台CCE Oneadmin 分布式容器云平台CCE One默认管理员策略，拥有所有权限（适用于一类节点资源池） 分布式容器云平台CCE Oneuser 分布式容器云平台CCE One默认使用者策略，对应用拥有治理权限（适用于一类节点资源池） 分布式容器云平台CCE Oneviewer 分布式容器云平台CCE One默认查看者策略，对应用仅拥有只读权限（适用于一类节点资源池）

本节主要介绍基本概念。 Kubernetes是业界主流的开源容器编排平台。为了让用户可以方便地在云上使用Kubernetes管理容器应用，推出了基于原生Kubernetes的云容器引擎服务。 云容器引擎（Cloud Container Engine，简称CCE）提供高度可扩展的、高性能的企业级Kubernetes集群，支持运行Docker容器。借助云容器引擎，您可以在云上轻松部署、管理和扩展容器化应用程序。 云容器引擎整合了天翼云的计算、网络、存储等服务，支持多可用区（Available zone，简称AZ）容灾等技术构建高可用Kubernetes集群，并提供高性能可伸缩的容器应用管理能力，简化集群的搭建和扩容等工作，让您专注于容器化应用的开发与管理。 名词解释 使用云容器引擎服务，会涉及到以下基本概念： 集群：是指容器运行所需云资源的集合，包含了若干台云服务器、负载均衡器等云资源。 实例（Pod）：由相关的一个或多个容器构成一个实例，这些容器共享相同的存储和网络空间。 工作负载：Kubernetes资源对象，用于管理Pod副本的创建、调度以及整个生命周期的自动控制。 Service：由多个相同配置的实例（Pod）和访问这些实例（Pod）的规则组成的微服务。 Ingress：Ingress是用于将外部HTTP（S）流量路由到服务（Service）的规则集合。 Helm应用：Helm是管理Kubernetes应用程序的打包工具，提供了Helm Chart在指定集群内图形化的增删改查。 镜像仓库：用于存放Docker镜像，Docker镜像用于部署容器服务。 您在使用前可以了解更多Kubernetes相关知识，具体请参见