本文介绍弹性容器实例ECI支持的其他云服务，包括容器、网络、存储等。 概述 使用ECI的同时，您可以使用天翼云容器引擎、网络、计算、存储、日志、监控等服务。ECI与其他云服务的关系如下： 容器 服务 说明 相关文档 云容器引擎 云容器引擎提供高度可扩展的、高性能的Kubernetes集群、一站式容器服务；获得信通院可信云《全栈容器云解决方案》认证，兼容主流国产化服务器和操作系统，取得全栈国产化适配认证证书。其整合了镜像、监控、日志、负载均衡、灰度/蓝绿、多种弹性策略、高效调度、集群插件、模板市场等基础能力，帮助企业快速构建和运行可弹性扩展的应用，实现业务的快速交付与持续创新 []( 容器镜像服务 容器镜像服务是一种支持容器镜像生命周期管理的服务， 提供简单易用、安全可靠的镜像管理功能，帮助用户快速部署容器化服务 容器镜像服务产品定义

本节介绍了云容器引擎的计费类常见问题。 容器计费项和计费方式是什么？ 支持包年包月和按需计费2种方式，详情可查：点这里 容器如何定价？ 收费项包括：集群管理费、IaaS资源费等, 详情可查：点这里 容器创建的节点是否支持按需转包周期？ 目前不支持按需与包周期互转。 如何为购买的容器实例续费？ 为防止资源到期或者浪费，已经购买包月实例的用户，可执行续费操作，延长容器实例的有效期，也可以设置到期自动续费的相关操作。 开通的容器实例资源何时生效？ 天翼云容器资源在客户支付成功之后，系统经过初始化完成后即可生效使用。 包周期集群到期可以直接删除吗？ 按天翼云规则，到期实例有15天冻结期，期间用户可以发起续订，集群实例会恢复。超过15天冻结期，实例会注销。 如何退订我的容器集群？ 进入控制台，从集群管理列表，可以发起退订。详细可查看：删除集群

本小节介绍开启容器安全防护。 您可以为已购买的服务器开启容器版安全防护，开启后按照容器版所提供的能力对服务器进行安全防护。 开启容器节点防护时，您需为指定的节点（主机）分配一个配额，关闭容器安全防护或删除节点（主机）后，该配额可分配给其他的节点（主机）使用。 检测周期 企业主机安全每日凌晨进行全量检测。 若您在检测周期前开启防护，您需要等到次日凌晨检测后才能看到检测结果。 前提条件 “资产管理 > 容器管理”页面“容器节点管理”中目标服务器“Agent状态”为“在线”。 已在云容器引擎成功创建节点。 节点的“容器防护状态”为“未防护”。 操作步骤 1、登录管理控制台。 2、在弹窗界面单击“体验新版”，切换至企业主机安全页面。 注意 切换至新版后，在总览页左上角单击“返回旧版”，可切换至企业主机安全（旧版）。 3、 在左侧导航树中，选择“资产管理 > 容器管理”，进入“容器节点管理”页面。 4、 根据需求可选择批量开启防护和单服务器开启防护。 单服务器开启防护 a.在“节点列表”中目标服务器的“操作”列单击“开启防护”，为需要开启防护的节点开启防护。 b.在弹窗中确认信息。 注意 开启包年/包月模式若提示配额不足，您需购买主机安全防护配额后才可以开启包年/包月的容器版防护，按需可直接开启，无需购买。 一个容器安全配额防护一个集群节点。 确认开启集群防护 c.确认选择信息无误，阅读《容器安全服务免责声明》并勾选“我已阅读《容器安全服务免责声明》”，单击确认，返回页面查看“容器防护状态”为“防护中”表示容器版安全防护已开启。 批量开启防护 a.在“节点列表”中勾选多个目标服务器前的选框，单击上方“开启防护”。 b.在弹窗中确认信息及选择计费模式。 注意 开启包年/包月模式若提示配额不足，您需购买主机安全防护配额后才可以开启包年/包月的容器版防护，按需可直接开启，无需购买。 一个容器安全配额防护一个集群节点。 c.确认选择信息无误，阅读《容器安全服务免责声明》并勾选“我已阅读《容器安全服务免责声明》”，单击确认，返回页面查看“容器防护状态”为“防护中”表示容器版安全防护已开启。

本文介绍如何使用策略模板。 功能介绍 使用自定义策略模板可以为域名快速完成一次性的安全配置，后续域名的配置不再关联模板，可在安全能力对应页面进一步个性化配置。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 开通套餐为免费版及以上版本。 新建自定义策略模板 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全策略模板】菜单，点击新建模板。 3. 配置说明如下： 配置说明 配置项 说明 新增域名默认配置开关 模块列表中只能选中一个，选中后，新增域名中，标记对应模板为默认配置。 模板名称 自定义策略模板的名称。 模板描述 输入模板的备注信息。 Web应用防火墙 点击“已配置N项”，跳转至Web应用防火墙的模板页面，进行对应安全能力的查看和管理。 访问控制/限流 点击“已配置N项”，跳转至访问控制/限流的模板页面，进行对应安全能力的查看和管理。 复制模板 点击按钮，在列表顶部出现⼀条新模版，名称显示为“副本原始模版名称”，策略继承原有模版。 更多 点击更多，进行修改模板或删除模板。 注意 模板列表中，除了自定义新建的策略模板，还有边缘安全加速平台提供的预定义策略模板。自定义策略模板、预定义策略模板均可以被域名引用。

本节介绍了DDoS高防（边缘云版）的各个计费项的详细规格及说明。 天翼云DDoS 高防（边缘云版）提供三个计费项可供选择：套餐、扩展服务、弹性防护。其中，套餐计费的保底防护带宽、CC防护能力、业务带宽和接入域名数为包年包月预付费，在套餐的基础上可以叠加购买扩展服务，和套餐一样，扩展服务也是包年包月预付费；弹性防护带宽为按需后付费，按天结算。 计费项 描述 说明 :: 套餐 按照购买的套餐进行计费 套餐为预付费，套餐为基础费用，套餐失效则扩展服务均失效 扩展服务 根据购买的扩展功能进行计费，包含域名数、端口数、业务带宽、缓存功能 扩展服务为预付费，套餐失效则扩展服务均失效 弹性防护 按照业务需求购买弹性防护峰值，包含防护带宽、CC防护 按需后付费，根据超出保底带宽的部分产生后按照超出部分所属阶梯价格付费（按天收费），防护超过选定的最高防护带宽，则通过解析回源，2小时后自动解封 套餐含安全保底业务带宽、接入域名数等，按月付费。如果保底业务带宽不能满足需求，可以购扩展带宽，当带宽超出购买套餐+扩展带宽时，会进行域名限速。 建议您根据业务系统可能会遭受的攻击量级或者历史被攻击情况的数据等因素，进行DDoS高防（边缘云版）的选配。

步骤三：模拟测试源站是否正常 以如下具体加速场景为例： CDN加速域名：ctyun.cn。 回源域名：ctyun.cn1，解析出来的结果例如为1.1.1.1。 CDN加速域名访问端口：80。 回源域名访问端口：8080。 当我们访问防护域名得到异常响应时，例如403。 用户请求 方式1：修改Host文件（通常位于C:windowssystem32driversetc），绑定源站测试 浏览器开启无痕模式，输入 方式2：使用Curl命令工具进行验证 curl工具较为灵活，能测试多种情况，且无需频繁修改HOST文件，更为方便。 例如，本次的问题可以使用：curl vo /dev/null ' x 1.1.1.1:8080 测试源站。 当curl绑定源站结果与绑定边缘节点结果一致时，较大可能是源站出现了异常，边缘节点回源透传了源站的结果。 如果上述windows或curl工具测试均显示源站正常，这时可通过提交工单给天翼云客服，由天翼云技术团队为您进一步排查问题。

本文将向您介绍如何配置Web规则白名单。 功能介绍 若您希望请求针对域名防护规则集中的某条规则加白，可以配置规则白名单。 背景信息 您的域名接入边缘云WAF后，配置防护策略将默认作用于所有符合策略的请求，若您希望某类请求不经过某个防护策略，可以分别配置对应的白名单功能。 若您希望请求针对任意防护策略加白，可以配置网站白名单，配置详情可见设置网站白名单； 若防护规则集中的某条规则出现误报情况，可以配置规则白名单，配置详情可见下文； 若您希望请求针对Bot防护策略加白，可以配置Bot策略白名单，配置详情可见Bot策略白名单 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见WAF接入 开通体验版级以上版本，支持配置规则白名单功能 操作步骤 1、登录Web应用防火墙（边缘云版）控制台，在左侧导航栏中选择【日志管理】—【WAF攻击日志】 2、识别出现误报的攻击，找到其攻击日志，并查看详情 3、点击添加白名单，将自动跳转至【域名规则】【规则白名单】【新增白名单】页面 4、边缘云WAF将自动识别您需要加白所在域名以及规则ID，您只需要配置白名单的生效范围即可。粒度支持配置URI、IP、IPS、PATH、BODY等，支持配置多个生效条件。

项目影响 交投集团现已在全市建设“交投能源”充电站数十个，充电车位400多个。市民通过小程序接入充电，平台访问快速，用户感知良好。 项目平台采用云原生架构，使用了天翼云众多高阶产品，包括云容器引擎、消息队列、云数据库等，为新能源充电桩上云场景树立了一个标杆。 云容器引擎整体方案介绍 业务痛点 客户期望使用xc架构主机构建容器集群，基于天翼云海光、鲲鹏主机开通容器。 业务缺乏云原生架构弹性扩展和智能运维能力。 小程序访问具有明显波峰波谷特征，需实现应用弹性扩展，又能节省不必要的成本。 技术方案 云容器引擎产品的架构图如下： 提升业务稳定性：选择天翼云容器引擎部署业务应用，经过电信上云容器大规模场景实践验及证优化，业务无需过多改造，只需注册到容器集群，不仅提升了稳定性，还节省了大量运维人力成本。 快速弹性应对突发流量：容器可以快速弹性扩展，一次性扩容多台云主机，业务负载能水平、定时伸缩。 简化用云体验：容器整合了天翼云IaaS和PaaS多种能力，如集成了应用性能监控、云日志服务，可以快速定位性能问题，更好地保证业务的连续性

本节介绍了用户指南;存储基础知识。 数据卷（Volume） Container 中的文件在磁盘上采用临时存储机制，这给 Container 中运行的重要应用程序带来以下影响： 容器崩溃时文件丢失： kubelet 虽然会重新启动容器，但容器会以干净的状态重启，原有文件数据不可恢复。 多容器文件共享困难：在同一 Pod 中运行多个容器并需要共享文件时，临时存储无法提供稳定的的共享存储空间。 Kubernetes 卷（Volume）能够有效解决上述问题： 卷提供持久化存储：卷通过将容器文件挂载到持久化存储介质（如网络存储或本地磁盘），确保容器重启后数据仍然保留。 多容器共享相同的卷：同一 Pod 中的多个容器可挂载相同的卷，实现高效的文件共享与通信，避免数据复制和同步的开销。 数据卷（Volume）是 Pod 与外部存储设备之间的数据传输通道，同时也是 Pod 内部容器之间、Pod 之间以及 Pod 与外部环境实现数据共享的机制。 Kubernetes 支持多种类型的 Volume。通常，与 Kubernetes 代码一同发布和迭代的内置存储卷插件属于 InTree 类型；而由存储服务商基于 CSI 或 FlexVolume 接口扩展的、独立于 Kubernetes 代码的存储卷插件则称为 OutOfTree 类型。目前，CSI 是更受推荐的扩展接口。

本节介绍了云容器引擎的最佳实践:使用容器镜像服务发布应用。 云容器引擎产品使用容器镜像服务CRS中的容器镜像，发布一个容器应用。 前提条件：已开通容器镜像服务CRS实例，已开通容器集群。 准备容器镜像 用户可以根据自身的业务需求，通过dockerfile构建镜像或者使用其它已经构建好的镜像。 本文使用 docker pull nginx:stablealpine 将容器镜像推送到容器服务实例 1、在容器镜像服务中创建命名空间（可选：也可以直接使用已经创建好的命名空间）。 a.登录镜像服务控制台 b.点击 命名空间 – 创建命名空间 创建一个名称为 mydemons 的命名空间。 2、在容器镜像服务中创建镜像仓库（可选：当命名空间设置为允许自动创建仓库时，可以直接通过推送镜像来创建镜像仓库） a.登录镜像服务控制台 b.点击 镜像仓库 – 创建镜像仓库 创建一个名称为 nginx 的私有镜像仓库。 3、执行docker tag并推送镜像 docker tag nginx:stablealpine /mydemons/nginx:stablealpine docker login docker push /mydemons/nginx:stablealpine 推送成功后，可以在控制台看到镜像的版本。 云容器引擎中创建镜像拉取凭证（可选） 如果上一步骤推送的镜像仓库属性为公共的，则不需要进行此操作，否则需要按以下步骤创建镜像拉取凭证： 1、登录云容器引擎控制台。 2、选择集群。 3、点击命名空间 创建命名空间 mydemo（可选：也可以直接使用已经创建好的命名空间） 4、点击 配置管理 – 镜像拉取凭证 – 新增，填写用户名、密码等信息。

本文介绍如何为应用挂载数据卷。 Docker镜像是由多个文件系统叠加而成，当启动一个容器的时候，Docker会加载只读镜像层并在上面添加一个读写层。当删除Docker容器并通过该镜像重新启动时，之前的更改将会丢失。为了能够保存数据以及共享容器间的数据，Docker提出了数据卷的概念。简单来说，数据卷就是目录或者文件，它可以绕过默认的联合文件系统，以正常的文件或者目录的形式存在于主机上。 在Docker中，数据卷只是磁盘或另一容器中的目录。其生命周期不受管理，且Docker现在提供的卷驱动程序功能非常有限。容器引擎CCE采用的是Kubernetes的数据卷的概念，Kubernetes数据卷具有完善的生命周期管理，支持多种类型的数据卷，同时实例可以使用任意数量的数据卷。 云容器引擎支持四类本地磁盘挂载类型：支持hostPath、emptyDir、configMap、secret。各类型说明如下： hostPath：指定主机中的文件或目录挂载到容器的某一路径中； EmptyDir：用于临时存储，生命周期与容器实例相同。容器实例消亡时，EmptyDir会被删除， 数据会永久丢失； ConfigMap：将配置文件中的key映射到容器中，可以用于挂载配置文件到指定容器目录； Secret：将密钥中的数据挂载到指定的容器路径。 操作步骤 1.在创建应用或升级应用流程中，进去容器设置步骤，点击【数据存储】，点击【添加本地磁盘】，进入本地磁盘添加页面； 1）卷类型选择hostPath，表示在容器上挂载宿主机上的文件或目录。通常用于“容器应用程序生成的日志文件需要永久保存”或者“需要访问宿主机上Docker引擎内部数据结构的容器应用”，具体参数说明如下所示： 参数 参数说明 存储类型 选择主机路径 主机路径 输入主机路径，如/tmp 挂载路径 数据卷挂载到容器上的路径 注意： 请不要挂载在系统目录下，如“/”、“/var/run”等，会导致容器异常。建议挂载在空目录下，若目录不为空，请确保目录下无影响容器启动的文件，否则文件会被替换，导致容器启动异常，应用创建失败 子路径 相对路径 权限 只读：只能读容器路径中的数据卷； 读写：可修改容器路径中的数据卷，容器迁移时新写入的数据不会随之迁移，会造成数据丢失； 2）卷类型选择emptyDir：容器分配到节点时系统将自动创建卷，初始内容为空。在同一个Pod中所有容器可以读写emptyDir中的相同文件。当Pod从节点上移除时，empryDir中的数据也会永久删除。通常用于临时数据的高速存储，具体参数说明如下所示： 参数 参数说明 存储类型 选择临时路径 磁盘介质 不勾选：存储在硬盘上，适用于数据量大，读写效率要求低的场景 勾选：存储在内存中，适用于数据量少，读写效率要求高的场景 挂载路径 数据卷挂载到容器上的路径。 注意： 请不要挂载在系统目录下，如“/”、“/var/run”等，会导致容器异常。建议挂载在空目录下，若目录不为空，请确保目录下无影响容器启动的文件，否则文件会被替换，导致容器启动异常，应用创建失败 权限 只读：只能读容器路径中的数据卷 可写：可修改容器路径中的数据卷，容器迁移时新写入的数据不会随之迁移，会造成数据丢失 3）卷类型选择configMap：平台提供应用代码和配置文件的分离，configMap用于处理应用配置参数。用户需要提前创建应用配置，操作步骤请参见创建配置项，临时数据的高速存储，具体参数说明如下所示： 参数 参数说明 存储类型 选择配置项 配置项 选择已经建立好的配置项 说明： configMap需要提前创建 挂载路径 数据卷挂载到容器上的路径 权限 只读：只能读容器路径中的数据卷 4）卷类型选择secret：用户需要提前创建私密凭据，操作步骤请参见创建私密凭据,临时数据的高速存储，具体参数说明如下所示： 参数 参数说明 存储类型 选择私密凭据 卷类型 选择已经创建好的私密凭据 说明： secret需要提前创建，请参见 创建私密凭据 挂载路径 数据卷挂载到容器上的路径 权限 只读：只能读容器路径中的数据卷 2.点击【添加容器挂载】，可新增挂载项，点击【删除】可删除之前的容器挂载配置； 3.点击【确定】，完成本地磁盘的添加。

本章节主要介绍将节点容器引擎从Docker迁移到Containerd。 背景介绍 Kubernetes在1.24版本中移除了Dockershim，并从此不再默认支持Docker容器引擎。CCE 1.25集群中仍将继续维护Docker容器引擎，并计划在1.27版本中移除对Docker容器引擎的支持。如果您需要将容器引擎为Docker的节点迁移至Containerd节点，请参考本文。 前提条件 已创建至少一个集群，并且该集群支持Containerd节点，详情请参见节点操作系统与容器引擎对应关系。 您的集群中存在容器引擎为Docker的节点或节点池。 注意事项 理论上节点容器运行时的迁移会导致业务短暂中断，因此强烈建议您迁移的业务保证多实例高可用部署，并且建议先在测试环境试验迁移的影响，以最大限度避免可能存在的风险。 Containerd不具备镜像构建功能，请勿在Containerd节点上使用Docker Build功能构建镜像。Docker和Containerd其他差异请参考容器引擎。 节点迁移步骤 步骤 1 登录CCE控制台，单击集群名称进入集群。 步骤 2 在左侧选择“节点管理”，并在节点列表中选择一个或多个需要重置的节点，单击“更多 > 重置节点”。 步骤 3 在容器引擎中选择Containerd，其余参数可根据需要进行调整，也可以和创建时保持一致。 步骤 4 当节点状态显示为安装中时，即表示正在重置节点。 待节点状态显示为运行中时，您即可检查节点容器运行时是否切换成功，页面中可以看到节点运行时版本已经切换为Containerd，并且登录节点可以执行crictl等Containerd相关命令查看节点上运行的容器信息。

本节介绍启动模板的创建和删除操作指导。 创建启动模板 1. 登录ECX控制台。 2. 单击左侧【边缘虚拟机>启动模板】导航栏，点击右上角【+创建模板】。 3. 填写模板名称，设置模板初始化的相关参数信息，具体可参考指定区域开通。 4. 填写完检查无误，点击【确认】创建虚机启动模板。 删除启动模板 1. 登录ECX控制台。 2. 单击左侧【边缘虚拟机>启动模板】导航栏。 3. 用户可以在具体启动模板操作列点击【删除】删除指定启动模板，也可以批量选中多个启动模板进行批量删除。 4. 启动模板删除后，用户将无法通过该模板快速创建虚拟机，但并不影响原先通过该启动模板创建的虚拟机。

本文介绍如何采集指定虚拟节点的Metrics。 本文介绍如何通过修改Prometheus监控配置来采集虚拟节点的Metrics。 背景信息 在天翼云Serverless集群虚拟节点的架构设计下，同一Serverless集群内的多个虚拟节点会共享同一个Node IP。由于Prometheus常通过Kubelet Service采集所有节点的Metrics，采集单个虚拟节点的数据会返回所有虚拟节点的全量数据，因此会出现Metrics重复的现象。为了解决这个问题，Serverless集群提供了采集指定虚拟节点的Metrics数据的能力，不但保留了原有的采集端点 :10250/metrics/cadvisor，并且会过滤指定nodeName的数据，避免重复采集数据。 前提条件 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群。 修改Prometheus监控配置 您可以通过修改监控配置来采集指定虚拟节点的Metrics。Serverless集群支持ccsemonitor插件以及开源Prometheus场景下的配置方式。 Serverless集群安装ccsemonitor插件后配置默认支持采集虚拟节点的Metrics，无需额外操作。开源Promethues配置参考如下： shell scrapeconfigs: ... jobname: cadvisor honortimestamps: true scrapeinterval: 40s scrapetimeout: 10s metricspath: /metrics scheme: https kubernetessdconfigs: role: node bearertokenfile: /var/run/secrets/kubernetes.io/serviceaccount/token tlsconfig: cafile: /var/run/secrets/kubernetes.io/serviceaccount/ca.crt insecureskipverify: false relabelconfigs: sourcelabels: [ metakubernetesnodelabelkubernetesposeidonctyuncncollectorscrape ] regex: true action: keep

名称 描述 AccessControlPolicy 响应的容器。 类型：容器。 子节点：Owner、AccessControlList。 Owner 存储Bucket所属账户信息的容器。 类型：容器。 父节点：AccessControlPolicy。 子节点：ID、DisplayName。 ID Bucket所属账户的ID信息。 类型：字符串。 父节点：Owner。 AccessControlList 存储ACL信息的容器。 类型：容器。 父节点：AccessControlPolicy。 子节点：Grant。 Grant 存储Permission和Grantee的容器。 类型：容器。 父节点：AccessControlList。 子节点：Grantee。 Grantee 用来存储Display和拥有ID的用户被承认的许可的容器。 Permission 对一个Bucket认可的许可信息。 类型：字符串。 父节点：Grant。 有效值：READ（公共读）、FULLCONTROL（公共读写）、空（私有）。

本文介绍IP应用加速是否支持海外加速。 天翼云边缘接入IP应用加速支持海外加速。依托遍布全球的CDN优质节点及线路，通过智能调度及传输优化等核心自研技术，为企业跨国、跨境访问提供一站式全球加速服务。满足出海企业本地化节点覆盖当地用户的迫切需求，保障跨国网络访问的高速、稳定和安全，助力企业拓展全球化业务。 需要注意的是，开启海外加速需要额外付费，详见：边缘接入套餐资费。

本文主要介绍登录容器。 操作场景 如果在使用容器的过程中遇到非预期的问题，您可登录容器进行调试。 使用kubectl命令登录容器 步骤 1 使用kubectl连接集群，详情请参见通过kubectl连接集群。 步骤 2 执行以下命令，查看已创建的Pod。 kubectl get pod 示例输出如下： NAME READY STATUS RESTARTS AGE nginx59d89cb66fmhljr 1/1 Running 0 11m 步骤 3 查询该Pod中的容器名称。 kubectl get po nginx59d89cb66fmhljr o jsonpath'{range .spec.containers[]}{.name}{end}{"n"}' 示例输出如下： container1 步骤 4 执行以下命令，登录到nginx59d89cb66fmhljr这个Pod中名为container1的容器。 kubectl exec it nginx59d89cb66fmhljr c container1 /bin/sh 步骤 5 如需退出容器，可执行exit命令。

本节介绍了容器镜像服务:容器镜像服务企业版使用Helm Chart发布工作负载到容器集群。 操作场景 将应用打包成Helm Chart，推送到容器镜像服务仓库后，发布到容器集群。 前提条件 已开通容器镜像服务企业版实例 已开通云容器引擎集群 操作步骤 准备Helm Chart 用户可以根据自身的业务需求，将涉及的Deployment、ConfigMap、Secret、Service等打包成一个Helm Chart。 使用一个nginx的helm chart作为示例。 plaintext nginxchartdemo ├── Chart.yaml ├── templates │ ├── deployment.yaml │ └── service.yaml └── values.yaml 创建Helm Chart命名空间 登录容器镜像服务控制台，选择企业版实例进入，左侧菜单Helm Chart 命名空间 ，点击创建命名空间按钮。 推送Helm Chart到容器镜像仓库。 plaintext 登录容器镜像服务 helm registry login myinstanceregistryhuabei2.crs.ctyun.cn 推送Chart helm push nginxchartdemo0.1.0.tgz oci://myinstanceregistryhuabei2.crs.ctyun.cn/mychartns 推送成功后，可以在容器镜像服务控制台查看到Chart。 在云容器引擎部署Helm Chart 登录云容器引擎控制台，点击菜单模板市场我的模板，选择容器镜像服务实例和命名空间，可以看到上一步骤上传的Helm Chart。 选择Chart指定版本后，点击发布，选择容器集群和集群的命名空间，即可把Chart部署到云容器引擎集群中。 发布后可以在模板市场模板实例看到发布后的Chart实例。

本节主要介绍应用场景。 场景一：企业架构转型 场景特点： 传统应用架构复杂，牵一发而动全身。企业用云化、容器化应用替代传统应用，实现单一架构解耦拆分为多个容器服务，系统更灵活，轻松应对市场变化。 推荐使用多控制节点云容器引擎，搭配云容器镜像服务，实现容器化微服务的独立部署、独立扩展。同时体验云的弹性伸缩和自动化。 场景优势： 松耦合 将单体式应用从不同纬度拆分成多个微服务，每个微服务的内容使用一个容器镜像管理 易维护 在功能不变的情况，应用拆分成多个可管理的服务，每个单体服务容易理解、开发和维护，充分体现云的弹性伸缩和自动化 场景二：互联网应用快速上线 场景特点： 适用对于互联网应用所需敏捷快速上线的场景，实现容器镜像贯穿从开发到运维各环节，统一环境配置，业务快速上线。 推荐使用多控制节点云容器引擎，搭配云容器镜像服务，实现应用构建在云上，使平均负载维持较高水平，提升资源利用率，每分钱都真正支持企业发展。

本节介绍云容器引擎的最佳实践:获取容器Core Dump。 应用场景 Core Dump是指当一个程序发生严重错误导致异常终止时，操作系统将该程序当前的内存状态以及其他相关信息保存到一个特殊的文件中，这个文件通常称为 core 文件或核心转储文件。core文件包含了程序在崩溃时的内存映像、CPU 寄存器状态、堆栈信息等，可以用于分析程序异常终止的原因。 在容器环境中，Core Dump的处理与传统的物理机环境略有不同，因为容器本身是在宿主机上运行的，因此需要一些特殊的配置才能捕获容器内发生的核心转储。本节介绍容器中core文件的一般处理流程和相关概念。 将Core Dump文件输出到主机目录 开启节点Core Dump 设置Core Dump文件的输出路径 echo "/tmp/cores/core.%t.%e.%p" > /proc/sys/kernel/corepattern 上述文件路径中： %t：表示coredump的时间。 %e：表示程序文件名。 %p：表示进程ID。 将Core Dump的输出路径修改为/tmp/cores，后续容器中的应用程序Core Dump文件也将输出到容器的/tmp/cores文件，因为在容器中读取的 /proc/sys/kernel/corepattern文件实质上就是主机的 /proc/sys/kernel/corepattern文件。 配置容器Core Dump和验证 通过kubectl或者控制台完成如下配置： apiVersion: v1 kind: Pod metadata: name: corevolume spec: volumes: name: coredumppath hostPath: 通过hostPath将容器Core Dump持久化在主机 path: /home/coredump containers: name: ubuntu image: ubuntu:12.04 command: ["/bin/sleep","3600"] volumeMounts: mountPath: /tmp/cores name: coredumppath 用上述方式创建Pod并进入，触发当前shell终端的段错误。 $ kubectl get pod NAME READY STATUS RESTARTS AGE corevolume 1/1 Running 0 55s $ kubectl exec it corevolume /bin/bash root@corevolume:/ kill s SIGSEGV $$ 在容器实际运行的主机上查看/home/coredump目录会生成core文件。 ls /home/coredump core.1738160312.corevolume.15

本文介绍如何设置容器启动命令和参数。 功能说明 在容器镜像的构建过程中，可以通过ENTRYPOINT或CMD指定容器的启动命令和参数。当用户创建ECI Pod时，支持用户自定义容器的启动命令和参数。如果用户未定义容器的启动命令和参数，则将以容器镜像中指定的ENTRYPOINT或CMD启动。 配置示例 可以通过容器的 command和args字段来设置启动命令和参数，配置参考如下： shell apiVersion: apps/v1 kind: Deployment metadata: name: nginxdeployment labels: app: nginx spec: replicas: 1 selector: matchLabels: app: nginx template: metadata: labels: app: nginx spec: containers: name: nginx image: registryhuadong1.crsinternal.ctyun.cn/opensource/nginx:1.25alpine ports: containerPort: 80 command: ["sleep"] args: ["3600"] nodeName: vndu53cymkxxxxcnhuadong1jsnj1apublicctcloud

本文介绍如何设置容器启动命令和参数。 功能说明 在容器镜像的构建过程中，可以通过ENTRYPOINT或CMD指定容器的启动命令和参数。当用户创建ECI Pod时，支持用户自定义容器的启动命令和参数。如果用户未定义容器的启动命令和参数，则将以容器镜像中指定的ENTRYPOINT或CMD启动。 配置示例 可以通过容器的 command和args字段来设置启动命令和参数，配置参考如下： plaintext apiVersion: apps/v1 kind: Deployment metadata: name: nginxdeployment labels: app: nginx spec: replicas: 1 selector: matchLabels: app: nginx template: metadata: labels: app: nginx spec: containers: name: nginx image: registryhuadong1.crsinternal.ctyun.cn/opensource/nginx:1.25alpine ports: containerPort: 80 command: ["sleep"] args: ["3600"] nodeName: vndu53cymkxxxxcnhuadong1jsnj1apublicctcloud

本文主要介绍什么是日志管理。 CCE支持配置工作负载日志策略，便于日志的统一收集、管理和分析，以及按周期防爆处理。 ICAgent日志采集： 默认情况下，ICAgent会采集容器的标准输出，您无需做任何设置。 您还可以在创建工作负载的时候设置容器日志存储路径，ICAgent会采集该路径下日志。 容器日志可以选择主机路径和容器路径两种模式。 主机路径：HostPath模式，将主机路径挂载到指定的容器路径（挂载路径）。用户可以在节点的主机路径中查看到容器输出在挂载路径中的日志信息。 容器路径：EmptyDir模式，将节点的临时路径挂载到指定的路径（挂载路径）。临时路径中存在的但暂未被采集器上报到AOM的日志数据在Pod实例删除后会消失。

本小节介绍查看容器防护配额列表。 节点列表展示了云容器引擎服务（CCE）中集群节点的防护状态、节点状态和Agent状态，帮助您实时了解节点的安全状态。 约束限制 仅支持Linux系统。 未开启企业版、旗舰版、网页防篡改版、容器版防护不支持容器相关操作。 查看节点列表 1、登录管理控制台。 2、在弹窗界面单击“体验新版”，切换至企业主机安全页面。 注意 切换至新版后，在总览页左上角单击“返回旧版”，可切换至企业主机安全（旧版）。 3、在左侧导航栏中，选择“资产管理 > 容器管理”，单击“容器节点管理”。 4、选择“节点列表”页签，查看节点防护状态。节点列表参数说明如表所示。 节点列表参数 参数名称 说明 服务器名称 目标服务器名称。 容器防护状态 节点的防护状态，包括： 未防护 防护中 服务器状态 运行中 不可用 正常 Agent状态 在线 离线 未安装 查看防护配额 在“容器节点管理”界面，选择“防护配额”页签，查看防护配额详细信息。 配额信息 参数名称 参数说明 配额版本 容器安全企业版。 配额状态 正常：配额状态。 已过期：配额已到期，在此期间您仍然可以正常使用配额。 已冻结：冻结期间，HSS将不再防护您的容器；冻结期满，该配额将被彻底删除。 使用状态 使用中：该配额已被使用，下方显示“使用该配额的服务器名称”。 空闲：该配额未被使用。

本文介绍如何配置边缘接入服务IP应用加速的CNAME。 成功添加边缘接入IP应用加速域名后，系统会为您分配一个CNAME。您需要将您的应用的DNS解析记录指向该CNAME，访问请求才能转发到IP应用加速节点上，实现IP应用加速。本文介绍如何配置CNAME。 1. 登录边缘安全加速控制台，进入边缘接入控制台的【域名】【IP应用加速接入】的页面列表中复制域名/实例对应的CNAME。 2. 前往您的域名解析(DNS)服务商(如万网、阿里云解析、DNSPod、新网、腾讯云解析、route 53、godaddy等)，添加该CNAME记录。配置CNAME完毕，CNAME配置生效后，IP应用加速服务也会立即生效。 注意 CNAME配置生效时间：新增CNAME记录会实时生效，而修改CNAME记录生效时间取决于客户设置的TTL时间。 3. 添加时如遇添加冲突，可考虑换一个加速域名，或参考以下“解析记录互斥规则” 调整记录。 在提示冲突的时候，说明已经有对应的记录，不允许重复添加或者说不能添加对应的记录，说明如下。 在RR值相同的情况下，同一条线路下，在几种不同类型的解析中不能共存(X为不允许)： X：在相同的RR值情况下，同一条线路下，不同类型的解析记录不允许共存。如：已经设置了www.ctyun.cn的A记录，则不允许再设置 www.ctyun.cn的CNAME记录。 无限制： 在相同的RR值情况下，同一条线路下，不同类型的解析记录可以共存。如：已经设置了www.ctyun.cn的A记录，则还可以再设置 www.ctyun.cn的MX记录。 可重复： 指在同一类型下，同一条线路下，可设置相同的多条RR值。如：已经设置了www.ctyun.cn的A记录，还可以再设置 www.ctyun.cn的A记录。 4. 验证边缘接入服务IP应用加速服务是否生效。 配置CNAME后，不同的服务商CNAME生效的时间也不同，一般新增的CNAME记录会立即生效，修改的CNAME记录生效时间取决于客户设置的TTL时间。 您可以ping或dig您所添加的加速域名，验证IP应用加速是否生效。

容器安全 容器安全是HSS为容器提供的一种防护能力，通过部署在容器宿主机中的Agent，能够扫描镜像中的漏洞与配置信息，帮助企业解决传统安全软件无法感知容器环境的问题；同时容器安全提供容器进程白名单、文件只读保护和容器逃逸检测功能，可以有效防止容器运行时安全风险事件的发生。 网页防篡改 网页防篡改可实时监控网站目录，并通过备份恢复被篡改的文件或目录，保障重要系统的网站信息不被恶意篡改，从而保护网站的网页、电子文档、图片等文件不被黑客篡改和破坏。

本文介绍如何通过ECI控制台查询ECI实例容器日志。 创建ECI实例成功后，您可在ECI控制台查询ECI实例的容器日志信息。 配置说明 1. 在弹性容器实例控制台左侧导航栏中选择“容器组”，进入容器组列表页。 2. 在容器组列表中找到该实例，点击实例名称进入实例详情页面。参考如下图： 3. 在实例详情页面点击日志页签查看该实例的日志信息。参考如下图：

本文主要介绍Serverless集群的天翼云存储插件cstorcsi，其使用过程中常见的问题及分析流程。 通用分析流程 1. 选择“插件”下的“插件实例”，查看cstorcsi实例，运行是否异常。 2. 选择“工作负载”下的“无状态”，切换命名空间为“cstor”，查看名称为“cstorcsiprovisioner”的pod日志，切换容器名称为“csiprovisioner”和“cstorcsiplugin”，查看是否有错误日志输出。 常见问题 1. 用户不允许订购按需类订单。 该报错是由于cstorcsi插件开通的云硬盘为按需付费方式，需要账户余额在100元以上才可正常开通。 解决方案：请检查天翼云“账户余额”是否在100元以上。 2. can not support RWX in filesystem mode for disk。 当使用cstorcsi安装生成的storageclass，创建持久卷声明（PVC）。正常情况下，创建持久卷声明后，在“存储”选择“持久卷”，列表栏会看到相应持久卷（PV）创建，并且状态为“已绑定”。如果创建持久卷声明后，未发现相应持久卷创建，查看cstorcsiplugin日志输出为 can not support RWX in filesystem mode for disk，表示当前创建的持久卷声明，不支持访问模式为多机读写。目前，cstorcsi插件安装，默认创建的云硬盘类型的storageclass，其访问模式与是否是共享盘有关，只有在使用共享盘的情况下，支持多机读写，其他情况仅支持单机读写。 解决方案：修改持久卷声明访问模式为“单机读写”。 3. failed to create disk volume, message: disk size should be in range [10G ,32T]。 目前，当使用cstorcsi插件安装的storageclass，云硬盘类型要求容量为 [10G ,32T]，文件存储要求容量500G以上。如果创建持久卷声明后，未发现相应持久卷创建，查看cstorcsiplugin日志输出为：failed to create disk volume, message: disk size should be in range [10G ,32T]，表示当前创建的存储卷声明，其容量需要调整为合理范围大小。 解决方案：创建存储卷声明时，其容量需要调整为合理范围大小。

高级设置 启停处理 启动执行：用于指定容器在启动时执行的命令和参数。虽然启动执行里有添加命令和添加参数两个按钮，但是我们可以只是用添加命令、或者只使用添加参数、或者两者同时使用，其达到的效果是完全一致的 启动后处理：配置容器在启动完成后执行的命令。用法上和上面的启动执行完全一致 停止前处理：配置容器在停止前执行的命令。用法上和上面的启动执行完全一致 容器健康检查 容器的健康检查支持就绪检查和存活检查两种，建议给容器都配上这两种健康检查方式 就绪检查：会检查容器是否处于ready状态，不就绪则停止转发流量到当前实例 存活检查：检查容器是否正常，不正常则重启实例 三种健康检查方式的公共参数解释： 目前支持三种健康检查方式： Http方式：需要填写端口、协议、请求路径等参数，然后kubelet 会向容器内运行的程序发送一个 HTTP GET 请求来执行探测。如果容器的处理程序返回成功码，则kubelet认为容器是存活/就绪的。如果处理程序返回失败码，则kubelet会杀死这个容器并且重新启动它/认为它没有就绪 Tcp方式：需要填写主机、端口等参数，然后kubelet 会尝试在指定端口和容器建立套接字链接。如果能建立链接，这个容器就被看作是健康的/就绪的，如果不能则这个容器就被看作是有问题的/没有就绪的 命令方式：需要添加命令，然后kubelet 在容器中执行该命令来进行检测。如果命令执行成功并且返回值为0，kubelet会认为这个容器是健康存活的/就绪的。如果这个命令返回非 0 值，kubelet 会杀死这个容器并重新启动它/认为它没有就绪

本文介绍容器安全卫士仪表盘页面的信息。 购买容器安全卫士后，再次进入容器安全卫士控制台时，默认展示仪表盘页面。 数量统计 仪表盘页面上方展示了镜像、容器、节点、镜像仓库、集群这些重要资产的数量统计信息。 统计项 操作 镜像数量 单击镜像数量，可跳转至“镜像安全 > 镜像管理”页面，查看镜像详情。 容器数量 单击容器数量，可跳转至“容器安全 > 实时检测”页面，查看容器安全检测详情。 节点数量 单击节点数量，可跳转至“节点安全”页面，查看节点安全扫描详情。 仓库数量 单击仓库数量，可跳转至“镜像安全 > 仓库配置”页面，管理配置镜像仓库。 集群数量 单击集群数量，可跳转至“安装配置 > 组件安装”页面，管理部署集群。 近期报警趋势 页面左侧显示近期报警趋势，统计了近10天内的运行态报警和镜像报警趋势，单击图例中的“镜像报警”，将隐藏“镜像报警”的曲线，只展示运行态告警变化趋势。

云应用引擎支持在应用中添加 Sidecar 容器，以增强主应用容器的功能。Sidecar 容器可以用于实现监控和日志收集等非业务功能的解耦与标准化。通过这种方式，您可以将一些辅助性任务从主应用容器中分离出来，使主应用容器更加专注于其核心业务逻辑。 功能入口 场景不同，操作入口也有所不同。 创建应用 1. 登录 CAE 控制台，在左侧导航栏选择 应用管理 > 应用列表 ，然后单击创建应用 2. 在应用基本信息 向导页面进行配置后，单击下一步：高级设置 对正在运行的应用进行变更 注意 重新部署应用后，该应用将会被重启。为避免业务中断等不可预知的错误，请在业务低峰期执行部署操作。 1. 登录 CAE 控制台，在左侧导航栏选择 应用管理 > 应用列表，然后单击目标应用名称 2. 在目标应用的基础信息 页面，单击部署应用 对已停止的应用进行变更 1. 登录 CAE 控制台，在左侧导航栏选择 应用管理 > 应用列表，然后单击目标应用名称 2. 在目标应用的基础信息 页面，单击修改应用配置 添加Sidecar容器配置指引 展开 Sidecar 容器 区域，单击+添加 按钮，在弹出的 Sidecar 容器 面板，按照以下步骤完成添加： 1. 自定义 Sidecar 容器名称 2. 配置拉取镜像的地址 3. 为 Sidecar 容器 设置 CPU 资源上限 和内存资源上限 说明 Sidecar 容器与主应用容器共享 CPU 和内存资源。为了确保主容器的正常运行，请合理设置 Sidecar 容器的最大可使用资源上限，避免其过度占用资源。 4. （可选） 单击高级设置 ，按需为 Sidecar 容器配置以下参数。 1. 在启动命令区域为 Sidecar 容器配置启动命令。具体操作，请参见设置启动命令。 2. 在环境变量区域为 Sidecar 容器配置容器环境中需要运行的变量。具体操作，请参见设置环境变量。 3. 在配置管理区域通过挂载 ConfigMap 配置文件的方式，向 Sidecar 容器中注入所需的配置信息。具体操作，请参见注入配置信息。 4. 在共享临时存储区域，设置临时存储目录，并将其挂载到主应用容器和 Sidecar 容器中。 说明 临时存储名称只能包含小写字母、数字和短划线（）。

本节介绍如何为虚拟机添加创建好的ssh密钥及管理实例ssh密钥。 使用已有ssh密钥管理虚拟机登录凭证 1. 登录ECX控制台。 2. 单击左侧【边缘虚拟机>实例】导航栏，点击【新建实例】。 3. 【系统配置>登录凭证】中选择【立即关联密钥】，选择已创建好的ssh密钥，即可在创建虚机时指定登录ssh密钥。 注意 目前仅支持创建虚拟机时绑定虚机登录时的ssh密钥。 查看虚拟机实例ssh密钥对 1. 登录ECX控制台。 2. 单击左侧【边缘虚拟机>实例】，选择需要操作的虚拟机，操作列点击【登录】，使用虚拟机开通时绑定的ssh密钥登录实例。 3. 运行以下命令打开文件，即可查看公钥信息： vim .ssh/authorizedkeys 添加或替换密钥对 1. 登录ECX控制台。 2. 单击左侧【边缘虚拟机>实例】，选择需要操作的虚拟机，操作列点击【登录】，使用虚拟机开通时绑定的ssh密钥登录实例。 3. 运行以下命令打开文件： vim .ssh/authorizedkeys 4. 运行以下命令添加公钥信息： sshrsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCys3aOkFm1Xh8iN0lijeQF5mz9Iw/FV/bUUduZjauiJa1KQJSF4+czKtqMAv38QEspiWStkSfpTn1g9qeUhfxxxxxxxxxx+XjPsf22fRem+v7MHMa7KnZWiHJxO62D4Ihvv2hKfskz8K44xxxxxxxxxx+u17IaL2l2ri8q9YdvVHt0Mw5TpCkERWGoBPE1Y8vxFb97TaE5+zc+2+eff6xxxxxxxxxx/feMeCxpx6Lhc2NEpHIPxMpjOv1IytKiDfWcezA2xxxxxxxxxx/YudCmJ8HTCnLId5LpirbNE4X08Bk7tXZAxxxxxxxxxx/FKB1Cxw1TbGMTfWxxxxxxxxxx importedopensshkey sshrsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDdlrdZwV3+GF9q7rhc6vYrExwT4WU4fsaRcVXGV2Mg9RHex21hl1au77GkmnIgukBZjywlQOT4GDdsJy2nBOdJPrCEBIPxxxxxxxxxxx/fctNuKjcmMMOA8YUT+sJKn3l7rCLkesE+S5880yNdRjBiiUy40kyr7Y+fqGVdSOHGMXZQPpkBtojcxxxxxxxxxx/htEqGa/Jq4fH7bR6CYQ2XgH/hCap29Mdi/G5Tx1nbUKuIHdMWOPvjxxxxxxxxxx+lHtTGiAIRG1riyNRVC47ZEVCg9iTWWGrWFvxxxxxxxxxx/9H9mPCO1Xt2fxxxxxxxxBtmR importedopensshkey 5. 运行以下命令替换公钥信息： sshrsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDdlrdZwV3+GF9q7rhc6vYrExwT4WU4fsaRcVXGV2Mg9RHex21hl1au77GkmnIgukBZjywlQOT4GDdsJy2nBOdJPrCEBIP6t0Mk5aPkK/fctNuKjcmMMOA8YUT+sJKn3l7rCLkesE+S5880yNdRjBiiUy40kyr7Y+fqGVdSOHGMXZQPpkBtojcV14uAy0yV6/htEqGa/Jq4fH7bR6CYQ2XgH/hCap29Mdi/G5Tx1nbUKuIHdMWOPvjGACGcXclex+lHtTGiAIRG1riyNRVC47ZEVCg9iTWWGrWFvVlnI0E3Deb/9H9mPCO1Xt2fxxxxxxxxBtmR importedopensshkey 6. 若使用新的密钥可以登录ECX实例，则说明已成功添加或替换密钥对。