容器配置 Pod中可以配置多个容器，您可以单击右侧“添加容器”为Pod配置多个容器。 容器名称：为容器命名。 镜像更新策略：选择是否总是拉取镜像。 镜像名称：选择容器使用的镜像，支持多种镜像来源。 镜像版本：选择需要部署的镜像版本。 资源配额：配置 CPU 和内存的申请值和限制值。 初始化容器：选择是否作为初始化容器。 生命周期：设置容器生命周期 环境变量：设置容器运行环境的变量。 镜像访问凭证：选择访问镜像仓库的凭证。 高级配置 设置任务参数，设置标签与注解、网络配置等。 任务设置参数 并发策略：支持如下三种模式。 允许Allow（默认）：CronJob 允许并发 Job 执行。 禁止Forbid：CronJob 不允许并发执行；如果新 Job 的执行时间到了而老 Job 没有执行完，CronJob 会忽略新 Job 的执行。 另请注意，当老 Job 执行完成时，仍然会考虑 .spec.startingDeadlineSeconds，可能会导致新的 Job 执行。 Replace：如果新 Job 的执行时间到了而老 Job 没有执行完，CronJob 会用新 Job 替换当前正在运行的 Job。 执行策略：选择CronJob的执行周期，即每隔这个时间周期CronJob就会执行一次。 单击右下角“创建工作负载”完成创建。

本文介绍如何从容器镜像服务CRS拉取镜像创建实例。 默认情况下，ECI支持通过内部网络从天翼云容器镜像服务CRS拉取镜像用于实例创建。 使用限制 容器镜像服务CRS实例需要与ECI实例属于同一地域。 操作说明 下文介绍从容器镜像服务CRS拉取镜像（以nginx镜像为例）创建ECI实例的主要步骤： 1. 打开弹性容器实例产品订购页。 2. 进入容器设置，支持手动输入容器镜像地址，同时也支持从CRS选择镜像，例如点击“选择镜像”，选择nginx镜像并点击“确认”。如下图所示： 3. 点击“选择镜像版本”或者手动输入镜像版本，最后镜像拉取策略选择“总是拉取”，如下图所示： 4. 点击下一步，进入其他设置。 5. 在“镜像仓库访问凭证”处，手动输入镜像仓库地址，用户名，密码等信息后，点击“+添加参数”。当“已添加”后面看到配置的镜像访问凭证即可。 6. 点击“提交订单”，进入ECI控制台等待实例创建并Running。 7. 进入实例详情页面，查看容器镜像及容器状态。

本文介绍AOne在金融行业的最佳实践。 背景信息 数字化发展使得金融机构的业务更加依赖于信息技术和网络通信。用户期望能够在任何时间、任何地点通过互联网进行交易，并且希望能够获得流畅、高效的体验。这也意味着大量敏感数据（如个人身份信息、账户信息等）通过互联网传输和处理。随着数字化交易的增加，网络犯罪活动也在不断演进，金融机构必须采取强大的安全措施来防止数据泄露、欺诈行为和黑客攻击。 天翼云边缘安全加速平台AOne基于CDN动静态加速、WAF、DDoS防护能力，帮助保护客户数据和防范网络攻击，满足监管要求，并确保业务连续性；同时，加速服务优化网络性能，提供快速、流畅的用户体验，增强金融机构的竞争力和客户信任。 技术架构 应用场景 网络安全防护场景 业务挑战：金融机构面临各种网络安全威胁，如DDoS攻击、Web应用攻击、数据泄露等，这可能导致网络中断、敏感数据泄露和业务损失。 方案优势：AOne提供强大的边缘安全防护，通过全球部署的边缘节点，及时检测和缓解DDoS攻击，使用WAF技术监控和过滤恶意请求，实现数据加密和安全访问控制，保护网络和应用程序免受攻击。

支持根据自身的业务防护场景配置告警策略，并支持查看告警记录与发送告警信息。 功能介绍 网站接入后，您可以通过设置告警策略，当网站请求流量到达边缘节点时，若检测到攻击事件、异常流量并触发告警策略时，将向您发送告警通知，帮助您及时掌握业务的安全状态。本文介绍如何设置告警策略和查看告警记录。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 配置了对应的安全防护策略，才会生成告警，您可以按需配置防护策略，请参见网站防护配置概述。 说明 默认脱敏显示您的联系方式等敏感信息，点击明文显示时，请您注意保护数据安全！ 设置告警策略 1. 登录边缘安全加速控制台，在左侧导航栏中进入【运营管理】—【告警管理】—【告警策略】页面； 2. 单击【新增】按钮，可以根据需要配置适合的告警，支持配置的告警类型有Web防护告警、CC防护告警、DDoS防护告警、BOT防护告警、访问控制告警。 告警配置新增页面

本文介绍了边缘安全加速平台域名管理操作基础配置的使用方法。 使用场景 边缘安全加速控制台域名列表中提供域名的快捷跳转配置功能，可直接在域名列表中选择对应域名、对应配置模块跳转进行配置查看及编辑。 使用说明 1.登录边缘安全加速控制台。 2.进入安全与加速工作台域名域名管理页面，选择在目标域名，点击操作栏【基础配置】。 3.点击需要配置的模块，跳转至对应配置页面。 功能模块 说明 回源配置 包括源站配置、回源协议、回源端口、回源HOST、回源URL改写配置项。 请求协议 包括请求协议、证书、强制跳转配置项。 HTTPS配置 包括HTTP2.0配置项。 头部修改 包括HTTP响应头、回源HTTP请求头配置项。 文件处理 包括文件压缩等配置项 IPv6外链改造 包括IPv6外链改造、网站首页IPv6标识。 Websocket 包括Websocket开关。

本节介绍了如何在控制台停用域名。 使用场景 如果您需要停止针对某个域名的防护，您可以在控制台进行停用操作。对域名进行停用操作后，控制台上域名状态将变更为“已停止”。天翼云CDN会将加速域名的CNAME立即解析至不可用地址。 注意：对域名进行停用操作后，边缘节点会立即删除配置，但仍会在系统数据库中保留原来的配置记录，可再次对域名进行"启用"操作 前提条件 已开通DDoS高防（边缘云版）。 域名状态为“已启用”。 停用域名前，为了避免停用导致业务中断，客户需要确保已将域名DNS解析记录由原来CNAME至天翼云，调整为解析至其他CNAME或A记录 使用说明 1.登录DDoS高防（边缘云版）控制台。 2.进入【业务接入】【域名接入】页面。 3.选择需要停用的域名，在操作栏点击【停用】按钮后，会进行弹窗提示，再次确认后，域名会进入停用流程，域名状态变成“配置中”。 4.进入后台自动化配置流程（正常情况15分钟以内），流程结束后会自动变成“已停止”状态。若“配置中”状态持续时间过长，可创建工单获取支持。

本节介绍了虚拟机标签管理及其使用指引。 概述 为虚拟机添加标签，可以方便用户识别和管理其拥有的虚拟机资源。 标签由两部分组成：“标签键”和“标签值”。一个标签键可对应多个标签值，用户创建自定义标签时，若一个标签键有多个标签值，可通过/分隔开。 创建标签 方法一：创建虚拟机时新建标签。 方法二：登录ECX控制台，单击左侧导航栏的【边缘虚拟机>标签管理】，进入标签列表，点击右上角按钮【+新建标签】，即可添加新标签。 删除标签 1. 登录ECX控制台，单击左侧导航栏的【边缘虚拟机>标签管理】，进入标签列表。 2. 用户可以针对具体标签，在操作列点击【删除】按钮进行删除，也可以批量选中多个标签，点击【批量删除】删除多个标签。 注意 删除标签后，若有实例使用该标签，删除时会做提示，若用户强制删除，原先实例与该标签的关联关系将被解除，但实例本身并不受影响。 编辑标签 1. 登录ECX控制台，单击左侧导航栏的【边缘虚拟机>标签管理】，进入标签列表。 2. 用户可针对具体标签，在操作列点击【编辑】按钮更新标签键值。 3. 更新后的标签键值将立即生效，若已有实例使用了对应标签，其标签信息也会立即更新。

分类 云产品 支持审计的关键操作列表 容器与中间件 云容器引擎 容器与中间件 容器镜像服务 容器与中间件 分布式消息服务Kafka 容器与中间件 弹性容器实例

本文简单介绍iBox边缘盒子（城管版）。

本文简单介绍iBox边缘盒子（园区版）。

本文介绍连接器集群相关配置,以便您可以快速接入服务。 功能介绍 远程办公场景：在您访问您的企业内部系统之前，您需要通过安装连接器，实现企业员工要访问的内部应用系统资源和AOne边缘节点的网络连通。连接器是使用反向连接技术，将您的内网应用资源和天翼云零信任安全网关进行网络连通，避免业务系统暴露于互联网上。远程零信任办公服务通过连接器可实现统一连通企业多云、混合云、云上VPC、本地机房等跨数据中心网络，有效解决企业数字化转型过程中遇到的混合部署模式下统一接入难题，实现企业内网的统一和可信延伸。 办公组网场景：您需要在进行互联互通的分支网络中部署连接器，连接器可与天翼云边缘节点建立安全隧道或直接与对端连接器打通，通过统一的管理平面，控制不同分支机构的互联互访。 全球加速：您需要在需要进行加速访问的网络中，部署连接器，连接器遵循白名单原则，对需要加速访问的应用进行引流，它将作为“高速公路”入口，与天翼云边缘节点进行网络打通。 使用说明 您需要准备服务器用于安装连接器，可选择云上服务器（云主机）、虚拟机或是物理服务器等进行部署安装，该服务器需要由客户自行购买。 使用该能力需要购买零信任服务、网络服务或全球加速服务，针对不同场景进行选择配置。

本节介绍了DDoS高防（边缘云版）的各个计费项的详细规格及说明。 天翼云DDoS 高防（边缘云版）提供三个计费项可供选择：套餐、扩展服务、弹性防护。其中，套餐计费的保底防护带宽、CC防护能力、业务带宽和接入域名数为包年包月预付费，在套餐的基础上可以叠加购买扩展服务，和套餐一样，扩展服务也是包年包月预付费；弹性防护带宽为按需后付费，按天结算。 计费项 描述 说明 :: 套餐 按照购买的套餐进行计费 套餐为预付费，套餐为基础费用，套餐失效则扩展服务均失效 扩展服务 根据购买的扩展功能进行计费，包含域名数、端口数、业务带宽、缓存功能 扩展服务为预付费，套餐失效则扩展服务均失效 弹性防护 按照业务需求购买弹性防护峰值，包含防护带宽、CC防护 按需后付费，根据超出保底带宽的部分产生后按照超出部分所属阶梯价格付费（按天收费），防护超过选定的最高防护带宽，则通过解析回源，2小时后自动解封 套餐含安全保底业务带宽、接入域名数等，按月付费。如果保底业务带宽不能满足需求，可以购扩展带宽，当带宽超出购买套餐+扩展带宽时，会进行域名限速。 建议您根据业务系统可能会遭受的攻击量级或者历史被攻击情况的数据等因素，进行DDoS高防（边缘云版）的选配。

2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎Pod。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎Pod实例。 添加故障动作 ：单击立即添加 ，在列表中选择磁盘填充动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 文件大小(MB)：填充的文件大小，取值是整数，例如1024。 磁盘使用率：目标占用率，例如50代表50%的使用率。 保留大小(MB)：保留的磁盘大小，如果文件大小、磁盘使用率、保留大小参数都存在，优先级是磁盘使用率>保留大小>文件大小。 容器选择模式：选择攻击pod中容器，可以“按资源定义的首个容器”，也可以“指定容器名称”，当选择指定容器名称时，需要输入容器的名称。 容器名称：填写攻击目标的容器名称 3、配置全局策略 1. 在全局配置 页面，按需添加保护策略 和监控指标。 2. 配置完成后，单击完成 按钮，创建演练任务。

2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎Pod。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎Pod实例。 添加故障动作 ：单击立即添加 ，在列表中选择磁盘填充动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 文件大小(MB)：填充的文件大小，取值是整数，例如1024。 磁盘使用率：目标占用率，例如50代表50%的使用率。 保留大小(MB)：保留的磁盘大小，如果文件大小、磁盘使用率、保留大小参数都存在，优先级是磁盘使用率>保留大小>文件大小。 容器选择模式：选择攻击pod中容器，可以“按资源定义的首个容器”，也可以“指定容器名称”，当选择指定容器名称时，需要输入容器的名称。 容器名称：填写攻击目标的容器名称 3、配置全局策略 1. 在全局配置 页面，按需添加保护策略 和监控指标。 2. 配置完成后，单击完成 按钮，创建演练任务。

本章节介绍云容器集群Pod DNS篡改故障演练。 背景介绍 DNS 篡改会使域名解析到错误的 IP，从而在 CCE 环境中造成流量劫持、访问异常或数据泄露等风险。本演练模拟 DNS 篡改场景，用于检验 Pod 的安全防护与监控告警有效性，并评估业务在解析被劫持时的表现。 基本原理 通过修改本地DNS解析文件实现。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的pod列表。 5. 在弹出的对话框中，单击添加pod。 6. 勾选您希望进行故障演练的一个或多个Pod ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎Pod。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎Pod实例。 添加故障动作 ：单击立即添加 ，在列表中选择DNS篡改动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 域名：待篡改的目标域名。 映射IP：将目标域名解析到的IP地址。 容器选择模式：选择攻击pod中容器，可以“按资源定义的首个容器”，也可以“指定容器名称”，当选择指定容器名称时，需要输入容器的名称。 容器名称：填写攻击目标的容器名称

本章节介绍云容器集群Pod DNS篡改故障演练。 背景介绍 DNS 篡改会使域名解析到错误的 IP，从而在 CCE 环境中造成流量劫持、访问异常或数据泄露等风险。本演练模拟 DNS 篡改场景，用于检验 Pod 的安全防护与监控告警有效性，并评估业务在解析被劫持时的表现。 基本原理 通过修改本地DNS解析文件实现。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的pod列表。 5. 在弹出的对话框中，单击添加pod。 6. 勾选您希望进行故障演练的一个或多个Pod ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎Pod。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎Pod实例。 添加故障动作 ：单击立即添加 ，在列表中选择DNS篡改动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 域名：待篡改的目标域名。 映射IP：将目标域名解析到的IP地址。 容器选择模式：选择攻击pod中容器，可以“按资源定义的首个容器”，也可以“指定容器名称”，当选择指定容器名称时，需要输入容器的名称。 容器名称：填写攻击目标的容器名称

专属云容器引擎采用独享的容器资源，为用户提供高可靠高性能的企业级容器应用管理服务，支持Kubernetes社区原生应用和工具，简化云上自动化容器运行环境搭建。 资源独享 专属资源与公有云资源物理隔离，配套云服务部署在专属资源池，租户独享 灵活组合 专属云服务和天翼云基础云服务灵活搭配，满足行业安全合规要求，优化成本结构 安全合规 隔离且专属的物理资源，满足行业、组织对安全合规性的要求 简单易用 一键创建容器集群，一站式部署和运维容器应用，无需再自行搭建容器运行环境，真正实现开箱即用

维度 子维度 CCE Turbo集群 CCE集群 集群 定位 面向云原生2.0的新一代容器集群产品，计算、网络、调度全面加速 标准版本集群，提供商用级的容器集群服务 集群 节点形态 支持虚拟机和物理机混合 支持虚拟机和物理机混合 网络 网络模型 云原生网络2.0 ：面向大规模和高性能的场景。 组网规模最大支持2000节点 云原生网络1.0 ：面向性能和规模要求不高的场景。 容器隧道网络模式 VPC网络模式 网络 网络性能 VPC网络和容器网络融合，性能无损耗 VPC网络叠加容器网络，性能有一定损耗 网络 容器网络隔离 Pod可直接关联安全组，基于安全组的隔离策略，支持集群内外部统一的安全隔离。 隧道网络模式：集群内部网络隔离策略，支持Networkpolicy。 VPC网络模式：不支持 安全 隔离性 物理机：安全容器，支持虚机级别的隔离 虚拟机：普通容器 普通容器，Cgroups隔离

本文介绍购买容器安全卫士的详细步骤。 容器安全卫士支持包年/包月计费模式，您可以根据业务规模选择容器安全卫士规格。 前提条件 已注册天翼云账号并完成实名认证。 约束限制 同一账号在同一个区域只能开通一个容器安全卫士实例，对应一个服务版本。 说明 原则上，在任何一个区域购买的容器安全卫士实例支持防护所有区域的业务，但为了防护及转发效率，建议在购买容器安全卫士实例时，根据防护业务所在区域就近选择购买容器安全卫士实例区域。 开通容器安全卫士实例，必须购买主套餐，可以在主套餐基础上叠加购买节点。 容器安全卫士实例生效期间，支持升级购买的服务版本以及扩增节点数量，但不支持降级。扩容节点与主套餐绑定，到期时间与主套餐一致，不支持单独续订、退订。 适用场景 用户业务服务器部署在天翼云上、非天翼云或线下，防护对象为节点、容器、镜像。 各服务版本推荐适用的场景说明如下： 标准版：适用云原生应用基本安全防护需求。 高级版：适用云原生应用高级安全防护需求。

本节介绍了容器镜像服务的产品介绍。 容器镜像服务是一种支持容器镜像全生命周期管理的服务，提供简单易用、安全可靠的镜像管理功能，帮助用户快速部署容器化服务。容器镜像服务与云容器引擎无缝集成，帮助企业降低交付复杂度，打造云原生应用一站式解决方案。 个人版功能 功能项 说明 镜像仓库管理 支持Linux、ARM等多架构的容器镜像管理，支持设置容器镜像的公开/私有权限 命名空间管理 通过命名空间组织、管理镜像仓库 镜像安全扫描 支持对容器镜像进行安全扫描，展示漏洞编号、漏洞位置、漏洞等级等详细信息 企业版功能（包含个人版的所有功能） 功能项 说明 存储隔离 每个用户的容器镜像、Helm Chart等存放于用户的对象存储中，实现存储隔离 Helm Chart管理 支持Helm Chart的管理、分发 镜像加速 支持加速镜像转换，部署业务工作负载时使用加速镜像，实现镜像数据免全量下载和在线解压，大幅度提升应用分发效率，缩短容器启动时间 镜像同步 支持跨资源池同步镜像 版本不可变 支持配置镜像版本不可变，保证相同版本的镜像仅被成功推送一次，可有效避免因误操作引起的版本覆盖问题 版本保留 支持配置版本保留规则，让用户自定义需要保留的镜像版本，实现镜像版本清理 镜像分享 支持将私有镜像分享给指定用户 操作审计 支持记录用户在容器镜像服务控制台内所进行的操作，为行为分析、安全分析等提供依据 访问控制 支持配置公网白名单

参数 说明 CPU申请 容器使用的最小CPU需求，作为容器调度时资源分配的判断依赖。 只有当节点上可分配CPU总量 ≥ 容器CPU申请数时，才允许将容器调度到该节点。 CPU限制 容器能使用的CPU最大值。

本文介绍如何为容器集群安装Sever/Agent。 需要为容器集群安装Sever/Agent，将容器集群纳管到容器安全卫士控制台后，才能对容器集群进行安全防护。 前提条件 已购买容器安全卫士实例。 安装Sever/Agent 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“安装配置 > 组件安装”。 3. 单击“集群组件部署”，进入集群组件部署页面，获取集群组件部署脚本，并按页面提示进行集群组件的安装。 4. 在左侧导航栏选择“安装配置 > 运行状态”，更新并查看节点防护状态。

本文简单介绍iBox边缘盒子的产品定义。

本文介绍ECI实例如何挂载弹性文件数据卷。 弹性文件服务（CTSFS，Scalable File Service）提供按需扩展的高性能文件存储，可以为ECI提供共享访问，具备高可用性和高数据持久性，为海量的小文件、低延迟高IOPS型应用提供有力支持。 使用限制 待挂载弹性文件必须是按量付费类型。 待挂载弹性文件必须与ECI实例处于同一VPC。 配置说明 1.在弹性容器实例控制台左侧导航栏中选择“容器组”，进入容器组列表页。 2.点击“创建弹性容器组”，进入弹性容器实例订购页。 3.在容器组配置中打开“高级设置”，添加弹性文件。 4. 在容器配置中打开“高级设置”，添加弹性文件存储卷并指定容器内的挂载路径，以及是否只读挂载等，最后点击“+添加存储”为容器配置存储卷。

如果您精通K8s，且需要在应用容器启动前或者关闭前执行相关操作，例如运行前部署资源或者停止前优雅下线应用，可以设置应用生命周期管理。本文主要介绍如何在CAE应用中配置PostStart、PreStop和TerminationGracePeriodSeconds。 功能介绍 Pod hook（容器钩子）是由Kubernetes管理的kubelet组件发起的机制，用于在容器的生命周期的关键阶段执行自定义任务。这些阶段包括容器进程启动前（preStart）和终止前（preStop）。钩子的引入使Kubernetes能够更加灵活和精细地管理容器的生命周期。 启动后处理（PostStart设置）：是容器生命周期中的一种钩子，该钩子在容器被创建后立刻触发，通知容器它已经被创建。该钩子不需要向其所对应的hook handler传入任何参数。如果该钩子对应的hook handler执行失败，则该容器会被关闭，并根据该容器的重启策略决定是否重启该容器。 停止前处理（PreStop设置）：是容器生命周期中的一种钩子，该钩子在容器终止前触发，通常用于执行清理操作或优雅地关闭服务。其对应的hook handler必须在Kubernetes向容器发送终止信号（如 SIGTERM）之前完成。无论hook handler的执行结果如何，一旦其完成，Kubernetes将向容器发送SIGTERM信号以终止容器，并根据配置等待一段时间后强制删除容器。 优雅下线超时设置（TerminationGracePeriodSeconds）：其主要作用是为容器的优雅终止提供时间保障，确保应用能够在被强制停止之前完成必要的清理和关闭操作。这不仅有助于提升系统的稳定性和可靠性，还能避免因强制终止导致的数据丢失、请求失败和服务不可用等问题。结合 PreStop钩子可以实现完整的优雅下线流程。

如果您精通K8s，且需要在应用容器启动前或者关闭前执行相关操作，例如运行前部署资源或者停止前优雅下线应用，可以设置应用生命周期管理。本文主要介绍如何在CAE应用中配置PostStart、PreStop和TerminationGracePeriodSeconds。 功能介绍 Pod hook（容器钩子）是由Kubernetes管理的kubelet组件发起的机制，用于在容器的生命周期的关键阶段执行自定义任务。这些阶段包括容器进程启动前（preStart）和终止前（preStop）。钩子的引入使Kubernetes能够更加灵活和精细地管理容器的生命周期。 启动后处理（PostStart设置）：是容器生命周期中的一种钩子，该钩子在容器被创建后立刻触发，通知容器它已经被创建。该钩子不需要向其所对应的hook handler传入任何参数。如果该钩子对应的hook handler执行失败，则该容器会被关闭，并根据该容器的重启策略决定是否重启该容器。 停止前处理（PreStop设置）：是容器生命周期中的一种钩子，该钩子在容器终止前触发，通常用于执行清理操作或优雅地关闭服务。其对应的hook handler必须在Kubernetes向容器发送终止信号（如 SIGTERM）之前完成。无论hook handler的执行结果如何，一旦其完成，Kubernetes将向容器发送SIGTERM信号以终止容器，并根据配置等待一段时间后强制删除容器。 优雅下线超时设置（TerminationGracePeriodSeconds）：其主要作用是为容器的优雅终止提供时间保障，确保应用能够在被强制停止之前完成必要的清理和关闭操作。这不仅有助于提升系统的稳定性和可靠性，还能避免因强制终止导致的数据丢失、请求失败和服务不可用等问题。结合 PreStop钩子可以实现完整的优雅下线流程。

本文介绍如何通过边缘函数返回JSON内容。 直接响应边缘函数代码中的JSON内容。 示例代码 javascript async function handler(event) { const data { hello: "BosonFaaS" } const json JSON.stringify(data, null, 2) return new Response(json, { headers: { "contenttype": "application/json;charsetUTF8" } }) } addEventListener('fetch', (event) > { event.respondWith(handler(event)); }); 示例预览 在浏览器地址栏中输入匹配到HTTP路由的URL，即可预览示例效果。 相关参考 运行时API：addEventListener 运行时API：Response 运行时API：FetchEvent

本文介绍如何通过边缘函数返回JSON内容。 直接响应边缘函数代码中的JSON内容。 示例代码 javascript async function handler(event) { const data { hello: "BosonFaaS" } const json JSON.stringify(data, null, 2) return new Response(json, { headers: { "contenttype": "application/json;charsetUTF8" } }) } addEventListener('fetch', (event) > { event.respondWith(handler(event)); }); 示例预览 在浏览器地址栏中输入匹配到HTTP路由的URL，即可预览示例效果。 相关参考 运行时API：addEventListener 运行时API：Response 运行时API：FetchEvent

本文主要介绍 容器引擎基础知识 容器引擎（Docker）是一个开源的引擎，可以轻松的为任何应用创建一个轻量级、可移植的应用镜像。 安装前的准备工作 在安装容器引擎前，请了解容器引擎的基础知识，具体请参见Docker Documentation。 选择容器引擎的版本 容器引擎几乎支持在所有操作系统上安装，用户可以根据需要选择要安装的容器引擎版本，具体请参见 说明 由于SWR支持容器引擎1.11.2及以上版本上传镜像，建议下载对应版本。 安装容器引擎需要连接互联网，内网服务器需要绑定弹性公网IP后才能访问。 安装容器引擎 你可以根据自己的操作系统选择对应的安装步骤： Linux操作系统下安装 在Linux操作系统下，可以使用如下命令快速安装Docker的最新稳定版本。如果您想安装其他特定版本的Docker，可参考安装Docker。 curl fsSL get.docker.com o getdocker.sh sh getdocker.sh sudo systemctl daemonreload sudo systemctl restart docker EulerOS操作系统下安装 在EulerOS操作系统下，安装容器引擎的方法如下： a. 登录弹性云服务器。 b. 配置yum源。 如果您的机器上还没有配置yum源，首先配置本机的yum。 c. 安装并运行容器引擎。 i. 获取yum源里的dockerengine包。 yum search dockerengine ii. 使用yum install y命令安装上一步获取的dockerengine包，x86架构示例： yum install dockerengine.x8664 y iii. 设置开机启动Docker服务。 systemctl enable docker iv. 启动Docker。 systemctl start docker d. 检查安装结果。 docker version 回显如下类似信息，表示容器引擎安装成功。 Docker version 18.09.0, build 384e3e9

本节介绍了设置容器健康检查的用户指南。 健康检查是一项关键功能，它允许系统根据预设标准定期检查容器的运行状态。若未配置健康检查，即使容器内部的应用程序发生故障，Pod也可能无法察觉，从而导致服务中断，尽管Pod的状态仍显示为正常。 Kubernetes提供了三种类型的健康检查探针，以应对不同的监控需求： 存活探针（livenessProbe）：类似于执行系统级的进程检查（如ps命令），用于确定容器是否仍在正常运行。若存活检查失败，Kubernetes将重启该容器。 就绪探针（readinessProbe）：用于评估容器是否已准备好接收流量。对于启动时间较长或依赖外部服务的容器，此探针尤为重要。若就绪检查失败，Kubernetes将阻止流量流向该容器。 启动探针（startupProbe）：在容器启动阶段使用，以确保在存活和就绪检查之前，应用程序有足够的时间完成初始化。这有助于避免因启动缓慢而导致的误判重启。 检查机制 HTTP请求检查：适用于提供HTTP/HTTPS服务的容器。Kubernetes将定期发送GET请求至指定路径和端口，若响应码在200至399之间，则视为检查成功。 TCP端口检查：针对提供TCP服务的容器，Kubernetes将尝试建立TCP连接。若连接成功，则检查通过。 执行命令检查：用户可指定容器内的命令，Kubernetes将定期执行该命令。若命令返回0，则检查成功。 注意 执行命令时，需确保所需程序已包含在容器镜像中，且对于shell脚本，需指定脚本解析器。 GRPC检查（仅在特定版本及以上支持）：无需暴露HTTP端点或可执行文件，Kubernetes可通过GRPC连接查询应用状态。

本文介绍ECI实例概述。 每个ECI实例对应一个容器组，由vCPU、内存、网络等基础组件组成，用于运行一个或多个容器。本文介绍ECI实例的基本配置、创建方式和生命周期等。 说明 弹性容器实例产品具备高弹性、低成本、高并发等特性，适用于在线业务弹性扩容、在线业务托管、AI和大数据处理等业务，有短期创建大量资源、快速使用并释放的场景。 为了避免频繁创建删除操作的消息提示对您造成困扰，弹性容器实例产品将消息提示策略进行优化：除了第一次创建弹性容器实例时，系统会向您发送的邮件、短信、站内信提示，其余创建删除操作，系统将停止发送消息提示，请您随时留意控制台资源情况。 基本配置 ECI实例包含实例规格、容器镜像、网络、存储等基础组件，您可以方便地定制、更改实例的配置。您对该ECI实例拥有完全的控制权，不需要进行底层服务器的管理和配置操作，只需要提供打包好的容器镜像，即可运行容器。 实例规格：一个ECI实例主要包括vCPU和内存规格。创建实例时，可以指定ECI规格（直接指定vCPU和内存），也可以指定ECS规格来满足GPU、增强网络能力等特殊需求。 容器镜像：一个ECI实例由一个或者多个容器组成，部署容器应用时，需要准备好容器镜像。容器镜像包含容器应用运行所需的程序、库文件、配置等。拉取镜像时，需要保证网络畅通，推荐您使用镜像缓存功能来节约实例的启动耗时。 网络：一个ECI实例将占用所属VPC下的子网的一个弹性网卡资源，默认具备一个内网IP地址。如果需要连接公网，例如需要拉取公网镜像。则需要为ECI实例绑定EIP，或者为所属VPC绑定NAT网关。 存储：一个ECI实例默认有40 GiB的临时存储空间，您可以根据需要增加临时存储空间。如果想要保留存储的文件，建议使用外挂数据卷，支持挂载云盘、弹性文件和对象存储等天翼云存储数据卷。

操作场景 创建工作负载或任务时，通常通过镜像指定容器中运行的进程。 在默认情况下，镜像会运行默认命令，如果想运行特定命令或重写镜像默认值，需要用到以下设置： 工作目录：指定运行命令的工作目录。 若镜像中未指定工作目录，且在界面中也未指定，默认是“/”。 运行命令：控制镜像运行的实际命令。 运行参数：传递给运行命令的参数。 说明： 容器启动后，容器中的内容不应修改。如果修改配置项（例如将容器应用的密码、证书、环境变量配置到容器中），当容器重启（例如节点异常重新调度pod）后，会导致配置丢失，业务异常。 配置信息应通过入参等方式导入容器中，以免重启后配置丢失。 容器如何执行命令和参数 Docker的镜像拥有存储镜像信息的相关元数据，如果不设置生命周期命令和参数，容器运行时会运行镜像制作时提供的默认的命令和参数，Docker原生定义这两个字段为“Entrypoint”和"CMD"。 如果在创建工作负载时填写了容器的运行命令和参数，将会覆盖镜像构建时的默认命令"Entrypoint"、"CMD"，规则如下： 容器执行命令和参数 镜像 Entrypoint 镜像CMD 容器运行命令 容器运行参数 最终执行 [touch] [/root/test] 未设置 未设置 [touch /root/test] [touch] [/root/test] [mkdir] 未设置 [mkdir] [touch] [/root/test] 未设置 [/opt/test] [touch /opt/test] [touch] [/root/test] [mkdir] [/opt/test] [mkdir /opt/test] 设置启动命令 步骤 1 登录CCE控制台，在创建工作负载或任务时，展开“生命周期”。 步骤 2 在启动命令后，输入运行命令和运行参数，如下表。 容器启动命令 命令方式 操作步骤 运行命令 输入可执行的命令，例如“/run/server”。 若运行命令有多个，多个命令之间用空格进行分隔。若命令本身带空格，则需要加引号（""）。 说明 多命令时，运行命令建议用/bin/sh或其他的shell，其他全部命令作为参数来传入。 运行参数 输入控制容器运行命令参数，例如port8080。 若参数有多个，多个参数以换行分隔。 说明： 当前启动命令以字符串数组形式提供，对应于Docker的Entrypoint启动命令，格式为： ["executable", "param1", "param2",..]。Kubernetes的容器启动命令可参见[这里](