存储挂载 1. 可将科研文件目录挂载至 Docker 容器，实现开发机与容器双向读写。例如docker run v /home/datasetassist0/:/data 镜像名称 端口暴露 1. 您可使用docker run p 开发机端口:容器端口，将容器端口暴露到开发机上，方便多个容器、开发机间网络通信。 2. 您可使用docker run p 8000:容器端口并开启开发机的对外端口功能，将容器中的服务暴露到互联网上定向访问。 Tips 1. 启用docker后开发机将自动提供docker和dockercompose命令，无需手动安装docker。 2. Docker数据存储在本地盘中，若创建本地盘时开启本地盘持久化，开发机重启docker数据不会丢失，可直接docker start原有容器。 3. 若需使用dockercompose，建议将项目（dockercompose.yml所在目录）存放在科研文件中，否则dockercompose up时容器无法读取项目中指定路径的文件。 常见问题 1. 提示Cannot connect to the Docker daemon at unix:///var/run/docker.sock. Is the docker daemon running? 您使用sudo或root用户执行docker会缺失环境变量，可使用默认用户batchcom的bash执行docker命令即可正常使用。 您也可以手动配置环境变量修复，可在正常使用的环境下执行printenv grep i DOCKER，查看所要配置的环境变量。 2. 启动容器后输入nvidiasmi提示无命令 （1）确保启动开发机时有将GPU卡分配给docker。 （2）请先确认docker run时是否配置了—gpus参数，例如 gpus '"device'"$DOCKERNVIDIAVISIBLEDEVICES"'"' 或 –gpus all （3）若您的可用区是南京或中卫 ，可尝试将启动命令改为docker run runtimenvidia e "NVIDIAVISIBLEDEVICES${DockerGPUIDX}" 镜像名称 3. 提示Error response from daemon: authorization denied by plugin ehub.ctcdn.cn/bcops/opadockerauthzv2:0.1: request rejected by administrative policy 原因：由于安全管控，非白名单操作无法执行。若为启动容器时提示，请调整启动参数，去除需要系统高级权限相关的参数。

为减少安全隐患和稳定性风险，云容器引擎建议用户及时升级kubernetes版本。用户使用云容器引擎控制台升级集群的Kubernetes版本，本文介绍集群升级前后的注意事项、升级流程、操作步骤等。 升级集群的好处 云容器引擎使用kubernetes的原生v . . 版本语义，目前尚只支持4个次要版本，分别为v1.23.3, v1.25.6, v1.27.8, v1.29.3版本。云容器引擎会定期发布支持的Kubernetes版本并逐步停止对过期版本的技术支持。建议使用v1.23.3版本的用户建议尽快升级到更高版本kubernetes，已获得更好的使用体验。 主动升级集群有以下好处： 降低安全和稳定性风险：随着Kubernetes版本迭代，会不断优化及修复发现的安全及稳定性漏洞，长久使用过期版本集群会给业务带来安全和稳定性风险。 享受更好的维护支持：对于过期Kubernetes版本，云容器引擎不再提供安全补丁和问题修复，也无法保证过期版本的技术支持质量。使用新版本能够让您享受更好的技术支持和答疑服务。 使用新版本的新功能：随着社区Kubernetes版本的演进，新版本包含新的功能和改进，云容器引擎也将适配新版本，为您带来更好的开发和运维体验。

ECI已自动接入APM应用性能监控，本文介绍如何查看监控数据。 背景信息 应用性能监控（Application Performance Monitoring，APM）是天翼云可观测体系中的一款产品，帮助您进行应用性能管理。 ECI实例默认接入APM应用性能监控，自动上报ECI实例的监控指标（通过系统账号，非用户账号，无需用户承担APM应用性能监控费用），包括cAdvisor容器指标、运行时指标丰富指标。 查看监控数据 通过ECI控制台查看 1. 在弹性容器实例控制台左侧导航栏中选择“容器组”，进入容器组列表页。 2. 在容器组列表中找到该实例，点击实例名称进入实例详情页面。 3. 在实例详情页面点击监控页签即可查看该实例的监控信息。参考如下图： 通过ECI OpenAPI查看 获取ECI实例监控数据，详情请参考++查询ECI监控指标++。

本文介绍零信任服务能力。 什么是零信任远程办公 边缘安全加速平台提供零信任远程办公服务，帮助企业快速构建比传统VPN更安全、更便捷的零信任办公安全体系。企业在边缘安全加速平台完成配置和操作后，能够实现员工远程零信任办公、上网行为流量管控和终端基线安全准入等场景效果。本文主要介绍零信任远程办公能力情况，帮助您更好的的理解。 注意事项 目前零信任远程办公服务整体能力基于购买边缘安全加速平台零信任远程办公服务后提供该能力。 服务能力 为便于理解产品、快速进行相关接入，可点击零信任远程办公快速接入了解。 功能 描述 身份管理 用于管理企业员工信息、组织关系、用户组等，企业员工在登录零信任客户端时需要进行身份认证，以及如何管控账户安全。 应用管理 应用资源主要指您需要通过零信任访问的地址，一般是企业内网应用系统。零信任网络支持TCP四层所有协议，包括SSH、RDP等协议，以及UDP等相关协议应用。目前对比传统VPN，除了提供IP接入外，还提供域名接入管理，可以更精细化管理权限，并且避免业务IP频繁变更的问题。 网络管理 网络管理的核心是通过连接器实现企业网络的高效整合。在部署连接器之后，您能够实现： 企业内部系统资源到零信任服务边缘节点网络连通性，从而支持客户端访问； 企业数据双向传输（暂不支持官网自助，如有需要可联系我们）； 连接器使企业网络分布管理更灵活，尤其是解决多数据中心、混合云的企业场景。 安全策略 主要是指丰富的零信任安全管控策略，来提高企业安全性，目前仅开放部分安全能力自助，如有企业办公安全需求，可联系我们。 终端管理 终端管理主要针对用户登录的终端设备进行相关管控，包含终端相关策略。 终端资产 企业员工使用的资产情况，设备情况、设备策略等。 日志分析 提供丰富的日志进行相关分析。 待办事项 针对权限申请、问题反馈等流程进行相关处理。 零信任设置概述 提供企业账户的相关设置，包含企业认证标识、限速、保留网段等能力。

操作步骤 1.登录边缘安全加速控制台，进入对应服务； 2.左侧导航栏选择 日志>内网日志下载； 3.筛选对应访问时间，单击下载对应的日志文件。

本文介绍如何设置应用访问策略。 在实际环境中，对服务的访问会有两种来源：集群内部的程序、集群外部。云容器引擎提供ClusterIP和Nodeport两种访问方式。 操作步骤 1.进入应用创建流程中的【添加服务】步骤>点击【添加服务】，填写相应的配置参数，配置服务参数说明如下： 参数 参数说明 服务名称 新建服务的名称 服务协议簇 分为IPv4与IPv6两种类型的服务协议簇 访问方式 “集群内访问 ( ClusterIP )”、“节点访问（Nodeport）” 协议 TCP/UDP 容器端口 容器中应用启动监听的端口 访问端口 映射到容器的应用端口 NodePort 节点上 2.单击【确认】，完成服务的创建。

内置保留字段 数据格式 说明 tagtopic 字符串 采集配置名称 tagfileName 字符串 采集路径与文件名称 tagpodIp 字符串 云容器引擎接入场景下，pod的IP地址 tagpodName 字符串 云容器引擎接入场景下，pod的名称 tagappName 字符串 工作负载名称 tagcontainerName 字符串 容器名称 taghostIp 字符串 云容器引擎宿主机IP tagnamespace 字符串 工作负载所在命名空间 taghostName 字符串 云容器引擎宿主机名称 ts 整型，Unix时间戳（毫秒） 日志采集时间 message 字符串 日志原文

介绍HBlock Container Storage Interface(CSI)插件。 Kubernetes和CSI插件 Kubernetes是一个开源的容器集群管理系统，可以实现容器集群的自动化部署、自动扩缩容、维护等功能。通过Kubernetes可以快速部署应用，快速扩展应用，无缝对接新的应用功能，节省资源，优化硬件资源的使用。 在Kubernetes集群中运行工作负载时，有应用数据持久化存储、配置数据存储、存储资源动态供应等存储需求。Kubernetes集群基于CSI插件实现了容器存储功能，借助存储资源盘活系统提供并管理静态或动态存储卷资源。容器存储接口（CSI）插件是当前Kubernetes社区推荐的插件实现方案。 企业在使用Kubernetes部署容器时，通常需要使用持久化存储。持久卷（Persistent Volume）是独立于Pod的存储资源，它的生命周期与Pod无关，在存储节点中创建持久卷后，即可将其提供给计算节点中的Pod使用，实现了计算资源和存储资源的解耦。Kubernetes CSI 插件可以为有状态应用提供持久化存储能力。Kubernetes集群中的计算节点挂载持久卷作为磁盘，供节点上运行在Pod内的数据库等应用使用。容器中使用的数据库或有状态应用程序，需要依赖于高稳定性、高性能的存储系统，数据需要在硬件或软件重启后仍能继续保留。Kubernetes通过PV、PVC、Storageclass提供了一种强大的基于插件的存储管理机制，并且引入了容器存储接口Container Storage Interface（CSI）机制，用于在Kubernetes和外部存储系统之间建立一套标准的存储管理接口，通过该接口可以为容器提供存储服务。存储提供方只需要基于标准接口进行存储插件的实现，就能使用Kubernetes的原生存储机制为容器提供存储服务。

本文介绍视频直播相关的基本概念。 边缘节点 边缘节点是离终端用户最近的一个节点，经过视频直播加速的客户，其用户访问无论推流还是拉流均经过边缘节点接入。 源站 源站指客户的直播源，通常由客户运营维护，为视频直播加速提供原始内容。 DNS DNS，即Domain Name System，指域名解析服务。它的作用是把域名转换成网络可以识别的IP地址。人们习惯记忆域名，但机器间互相只认IP地址，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，整个过程是自动进行的。比如：上网时输入的www.baidu.com会自动转换成220.181.112.143。常见的DNS解析服务商有：阿里云解析，万网解析，DNSPod，新网解析，Route53（AWS），Dyn，Cloudflare等。 CNAME域名 客户接入直播时，在天翼云直播控制台完成加速域名添加后，系统会为您分配一个天翼云的CNAME域名，例如 .ctadns.cn，您需要在您的DNS解析服务商添加CNAME记录，将自己的加速域名指向 .ctadns.cn的CNAME域名，这样该域名所有的请求才会转向天翼云直播的节点，实现加速的目的。 CNAME记录 CNAME记录是指域名解析中的别名记录（Canonical Name），用来把一个域名解析到另一个域名（CNAME域名），再由CNAME域名来解析到需要访问的服务器IP地址。 DNS解析时间 DNS解析时间是指通过域名解析服务（DNS），将指定的域名解析成IP地址的消耗时间。

本节介绍了如何配置应用层CC告警策略。 使用场景 业务接入DDoS高防（边缘云版）后，您可以设置告警策略，当攻击事件触发告警策略时，则产生告警记录并发送告警邮件（如配置），帮助您及时掌握业务的安全状态。 前提条件 已开通DDoS高防（边缘云版）。 说明 默认脱敏显示您的联系方式等敏感信息，点击明文显示时，请您注意保护数据安全！ 使用说明 1.登录DDoS高防（边缘云版）控制台。 2.进入【告警管理】【告警策略】页面。 新增告警策略 点击【新增】按钮，在弹框中配置策略内容，完成后点击左下角【新增】。 配置说明： 配置项 说明 告警名称 自定义告警名称 告警类型 选择应用层CC告警 域名 选择应用层CC告警时，需要关联域名。域名为单选。 告警条件 应用层CC告警支持配置： 持续XX分钟，则产生告警 在XX分钟内，产生XX次攻击，则产生告警 攻击峰值QPS超过XX，则产生告警 支持勾选多条告警条件，当满足任一条件均会产生告警。 告警通知间隔 为避免告警策略被频繁触发，可设置告警通知间隔。当告警策略被触发后，在告警通知间隔事件内，若再次被触发，将不会产生告警记录。 勿扰时间 选填，在配置的勿扰事件范围内，将不会产生告警记录。 告警邮箱 接收告警的邮箱，支持配置多个邮箱，以分号隔开。 告警状态 是否启用该告警策略。若关闭，则告警策略不生效。 编辑告警策略 在策略列表操作栏，点击【编辑】按钮，可修改策略配置。 修改告警状态 您有两种方式可以修改告警状态： 1）点击【编辑】按钮，在编辑框中修改告警状态。 2）在策略列表，告警状态栏，直接开启或关闭告警状态。 删除规则 在策略列表操作栏，点击【删除】按钮，可删除策略配置。 注意 若告警策略的状态为开启，需先关闭后才能删除策略。

接口功能介绍 虚机删除 接口约束 注意边缘池id与虚机id需正确。 URI POST /v3/evm/deleteInstance 路径参数 无 Query参数 无 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 nodeCode 是 String 边缘池id，可通过查看区域集群编码列表接口获取。 ynlincang1 id 是 String 虚拟机id。 evmxxxxxx refundOrderType 否 Integer 选择退订方式，0退订正常状态资源，退订后冻结；1强制删除冻结状态资源；2退订并销毁正常状态资源，默认值是0。 0 reservedIP 否 Boolean 退订后是否保留IP，false不保留，true暂时保留，过期后仍会释放，默认false。 false 响应参数 参数 参数类型 说明 示例 下级对象 statusCode Integer 状态码 200 message String 状态描述 Success returnObj Object 返回数据 returnObj error String 错误码，执行成功时，不返回该字段 ECX0001 表 returnObj 参数 参数类型 说明 示例 下级对象 id String 虚拟机id evmxxxxx 枚举参数 无

本文介绍零信任服务态势大屏。 背景说明 零信任态势大屏功能可协助企业快速查看对应的办公态势，内容包括企业终端安全、风险设备数、软件运行情况、设备资产、内网应用访问情况、内网安全防护、用户分布。 操作步骤 1. 登录边缘安全加速平台控制台，进入【零信任】控制台。 2. 在左侧导航栏，单击【态势大屏】。 功能说明 注意 零信任态势大屏功能需零信任服务套餐版本为企业版，详细版本差异可查看 基本设置 管理员可选择统计周期，刷新间隔，支持切换到边缘安全加速平台其他产品的态势大屏。 终端安全 统计企业终端设备的安全情况，展示合规检测、待处理病毒个数。 风险设备数 软件运行情况

注意事项 如果同时配置回源参数改写规则和忽略回源参数，忽略回源参数的优先级更高，回源参数规则全部失效，即最终生效的是忽略所有参数。 如果同时配置多条追加和覆盖，按照优先级从低到高依次执行，同等优先级配置下发先后顺序依次执行： 不同优先级：例如配置增加参数a1，优先级为10，同时又配置删除参数a，优先级为11，则先执行增加参数，再在增加的基础上执行删除参数，最终回源不携带a参数。 相同优先级：例如先配置添加参数a1，再配置删除参数a，则最终参数a添加无效；如先配置删除参数a，再添加参数a1，则最终参数a1添加生效。 回源参数改写功能实际配置下发在边缘节点，即边缘回中间层，以及中间层回源全链路都会受影响。 回源参数改写功能不影响缓存key，缓存key可单独设置。

本节介绍了容器镜像收藏的用户指南。 概述 镜像收藏功能旨在帮助用户管理和快速使用常用的容器镜像仓库。通过该功能，您可以将常用的镜像仓库添加到收藏列表。收藏后的镜像仓库将会在镜像收藏页面集中展示，并且在您使用云容器引擎发布负载时，能够快速从中选取所需的镜像，提升操作效率。 操作说明 您可以通过以下两种方式收藏镜像仓库： 收藏实例内的镜像仓库： 您可以收藏拥有的容器镜像服务实例下的任何镜像仓库。 收藏开源镜像中心的镜像： 您可以收藏来自开源镜像中心的任何公共镜像仓库。 收藏后的镜像仓库，都可以在镜像收藏页面进行管理和查看。 收藏/取消收藏镜像仓库 1. 登录容器镜像服务控制台。 2. 在实例列表中，选择您要操作的实例，并进入实例详情页面。 3. 导航至"容器镜像" "镜像仓库" 页面。 4. 在镜像仓库列表中，找到您想要收藏或取消收藏的仓库，点击操作列的收藏按钮。 1. 点击 "收藏" 按钮，即可将该镜像仓库添加到您的收藏列表。 2. 若该镜像仓库已收藏，点击即可将其从收藏列表中移除。 收藏/取消收藏开源镜像仓库 1. 登录容器镜像服务控制台。 2. 导航至"开源镜像中心"页面。 3. 在开源镜像列表中，找到您想要收藏或取消收藏的镜像仓库，点击操作列的 "收藏" 按钮。 1. 操作方式与收藏实例内镜像仓库相同。

云日志服务支持对分布式容器云平台CCEONE提供日志采集和分析能力，包括容器日志、事件日志、控制面组件日志，辅助定位集群中出现的异常问题。接入操作需要在CCEONE控制台中进行，操作说明请见下文。 日志维度 说明 容器日志 采集集群中容器应用的标准输出日志。 事件日志 配合cubeevent插件，采集集群中的event信息，并持久化到日志中。 控制面组件日志 采集控制面组件的日志，包括kubeapiserver、kubecontrollermanager、kubescheduler和etcd。 前提条件 1. 已完成集群注册，具体操作请参见 本地注册集群 / 三方云注册集群。 2. 集群已安装ctglogoperator、cubeevent插件，具体操作请参考 插件。 操作步骤 开启日志采集 1. 登陆分布式容器云平台控制台，在左侧导航栏中选择集群资源 > 集群管理，进入注册集群列表页。 2. 在注册集群列表中点击需要配置日志采集的集群，进入单集群管理页面。 3. 在单集群管理页面导航栏中选择运维管理 > 日志中心，进入日志中心页面。 4. 在日志中心页面顶部，可切换容器日志、事件日志、控制面组件日志页签，点击下方“立即开启”按钮，配置容器日志、事件日志和控制面组件日志接入。 配置完成后，在对应页签下即可查看、搜索应用日志。同时您也可以登录云日志服务控制台中进行相应的日志查询与分析。

ECI实例是否支持修改安全组？ ECI实例不支持修改安全组，如果您想要变更安全组，需要重新创建ECI实例。 如何从外网访问容器组？ 如果您的ECI实例需要访问外网，或者被外网访问，您需要为ECI实例绑定EIP，或者为实例所属的VPC绑定NAT网关。 是否支持端口映射？ ECI实例不支持端口映射。 在同一个VPC网络中，您可以直接通过ECI实例的IP+Port进行访问（默认会将容器的端口开放）。 如果需要支持外网访问，您可以为ECI实例绑定EIP，或者为实例所属的VPC绑定NAT网关。 是否支持数据持久化？ 支持数据持久化。针对一些在ECI实例运行期间对磁盘有较高的IO要求、同时有大量的临时数据需要存放的业务，建议采用外置的数据卷来外挂存储。您可以根据业务需求的场景来选择创建ECI实例外挂的存储，支持云盘、弹性文件和对象存储。详情请参见数据卷概述。 如何获取容器组ID？ ECI实例创建完成后，在弹性容器实例控制台左侧导航栏中选择“容器组”，进入容器组列表页。在列表中即可查看容器组ID，按需复制即可。 是否支持拉取Docker Hub官方仓库镜像创建实例？ 支持，ECI默认不提供公网资源的访问，因此ECI默认是不能拉取Docker Hub的镜像，如果您需要从Docker Hub等公网镜像仓库拉取镜像来创建ECI实例，则需要该实例具备公网访问的能力。详情请参考拉取Docker Hub官方仓库镜像。

本文将介绍如何在Pod中使用配置项。 背景信息 在Pod中使用配置项是一种实现配置管理的常用方式，它可以应用于多种场景，主要包括以下几个方面： 应用程序配置：配置项可以存储应用程序所需的所有配置信息，例如数据库连接信息、密钥、证书等。这可以使得应用程序在部署时更加简单和灵活，开发人员可以使用配置项来控制应用程序的行为。 环境变量：通过配置项创建的环境变量可以直接注入到容器中，例如在容器中设置数据库的连接信息等环境变量。 命令行参数：通过配置项定义命令行参数可以使得容器镜像更加通用，可以使用不同的参数启动不同的容器实例。 挂载文件：配置项还可以将配置文件存储在其中，并将其挂载到容器内部。这使得容器可以在运行时动态加载配置文件，以更好地适应不同的部署场景。 使用限制 当您在Pod中使用配置项时，为了确保配置项在Pod内正确加载和使用，需要将它们部署到相同的命名空间中。 创建配置项 本次示例配置项configmapdemo包含DATABASEURL和LOGLEVEL两个键值对。具体的YAML示例模板如下所示： YAML apiVersion: v1 kind: ConfigMap metadata: name: configmapdemo namespace: default data: DATABASEURL: mysql://user:password@hostname/dbname APISECRET: bigsecretkey LOGLEVEL: debug 使用配置项定义Pod环境变量 1. 使用配置项的数据定义Pod环境变量。 1. 登录云容器引擎控制台。 2. 在控制台的左侧导航栏中点击“集群”。 3. 在集群列表页面中，点击目标集群的名称进入集群详情页面。 4. 点击左侧导航栏中的“工作负载 ”，并选择“无状态” 。 5. 在无状态页面中，单击左上角的“新增YAML”。 6. 填写无状态应用对应的YAML配置内容，并使用valueFrom引用配置项中的Value值，从而定义Pod的环境变量。 下面是一个编排示例： YAML apiVersion: apps/v1 kind: Deployment metadata: name: nginxdeployment labels: app: nginx spec: replicas: 1 selector: matchLabels: app: nginx template: metadata: labels: app: nginx spec: containers: name: nginx image: registryhuadong1.crsinternal.ctyun.cn/opensource/nginx:1.26alpineslim ports: containerPort: 80 env: name: DATABASEURL valueFrom: configMapKeyRef: name: configmapdemo key: DATABASEURL name: LOGLEVEL valueFrom: configMapKeyRef: name: configmapdemo key: LOGLEVEL 2. 将配置项的所有Key/Values配置为Pod的环境变量。 1. 登录云容器引擎控制台。 2. 在控制台的左侧导航栏中点击“集群 ”。 3. 在集群列表页面中，点击目标集群的名称进入集群详情页面。 4. 点击左侧导航栏中的“工作负载” ，并选择“无状态”。 5. 在无状态页面中，单击左上角的“新增YAML” 。 6. 填写无状态应用相应的YAML配置内容，并使用envFrom将配置项的所有Key/Values键值对配置为Pod的环境变量。 下面是一个编排示例： YAML apiVersion: apps/v1 kind: Deployment metadata: name: nginxdeployment labels: app: nginx spec: replicas: 1 selector: matchLabels: app: nginx template: metadata: labels: app: nginx spec: containers: name: nginx image: registryhuadong1.crsinternal.ctyun.cn/opensource/nginx:1.26alpineslim envFrom: configMapRef: name: configmapdemo 3. 通过配置项设置命令行参数。 1. 登录云容器引擎控制台。 2. 在控制台的左侧导航栏中点击“集群 ”。 3. 在集群列表页面中，点击目标集群的名称进入集群详情页面。 4. 点击左侧导航栏中的“工作负载” ，并选择“无状态”。 5. 在无状态页面中，单击左上角的“新增YAML” 。 6. 填写无状态应用相应的YAML配置内容，您可以使用环境变量替换语法 $(VARNAME)，将配置项设置为容器中的命令或参数值。 下面是一个编排示例： YAML apiVersion: apps/v1 kind: Deployment metadata: name: nginxdeployment labels: app: nginx spec: replicas: 1 selector: matchLabels: app: nginx template: metadata: labels: app: nginx spec: containers: name: nginx image: registryhuadong1.crsinternal.ctyun.cn/opensource/nginx:1.26alpineslim command: [ "/bin/sh", "c", "echo $(DATABASEURL) $(LOGLEVEL)" ] envFrom: configMapRef: name: configmapdemo

本文主要介绍容器镜像迁移。 应用现状 随着容器化技术的发展，越来越多的企业使用容器代替了虚拟机完成应用的运行部署。目前许多企业选择自建Kubernetes集群，但是自建集群往往有着沉重的运维负担，需要运维人员自己配置管理系统和监控解决方案。企业自运维大批镜像资源，意味着要付出高昂的运维、人力、管理成本，且效率不高。 容器镜像服务支持Linux等多架构容器镜像托管。企业可以将镜像仓库迁移到容器镜像服务，节省运维成本。 如何把已有的镜像仓库平滑地迁移到容器镜像服务？这里将介绍2种常见的方案，用户可以根据自己的实际使用场景来选择。 迁移方案 随着 方案类型 适用场景 注意事项 使用docker命令迁移镜像至SWR 待迁移的镜像数量较少 依赖磁盘存储，需要及时进行本地镜像的清理，而且落盘形成多余的时间开销，难以胜任生产场景中大量镜像的迁移。 依赖docker 程序，docker daemon 对 pull/push 的并发数进行了严格的限制，没法进行高并发同步 一些功能只能经过HTTP api 进行操作，单纯使用 docker cli 没法做到，使脚本变得复杂 使用imagesyncer迁移镜像至SWR 待迁移的镜像数量庞大 支持多对多镜像仓库同步 支持基于Docker Registry V2 搭建的 docker 镜像仓库服务 (如 Docker Hub、 Quay、 Harbor等) 同步只通过内存和网络，不依赖磁盘存储，同步速度快 增量同步, 经过对同步过的镜像 blob 信息落盘，不重复同步已同步的镜像 并发同步，能够经过配置文件调整并发数Ÿ 自动重试失败的同步任务，能够解决大部分镜像同步中的网络抖动问题 不依赖docker 以及其余程序

本节介绍了容器镜像版本不可变的用户指南。 概述 容器镜像服务支持开启镜像版本不可变功能，保证相同版本的镜像仅被成功推送一次，可有效避免因误操作引起的版本覆盖问题。现支持命名空间级别的配置，并可自定义需要开启镜像版本不可变功能的镜像仓库和版本。 操作步骤 创建版本不可变规则 1. 进入容器镜像服务控制台。 2. 点击已开通实例名称，左侧导航栏点击"容器镜像" "版本不可变" ，点击页面中的添加规则按钮。 3. 填写规则生效的仓库和Tag，以及需要保留最近推送的Tag数目。仓库和Tag的匹配规则如下： 参数 说明 key 精确匹配名称为key的仓库或Tag key 匹配前缀为key的仓库或Tag 匹配所有仓库或Tag {key1,key2,key3} 匹配多个仓库或Tag 管理版本不可变规则 1. 进入容器镜像服务控制台 。 2. 点击已开通实例名称，左侧导航栏点击"容器镜像" "版本不可变" ，可查看已有的版本不可变规则列表。 3. 点击编辑按钮可以调整已有的版本不可变规则内容。 4. 点击禁用按钮可以禁用已有的版本不可变规则。 5. 点击删除按钮可以删除已有的版本不可变规则。

本章节介绍云容器集群节点磁盘填充故障演练。 背景介绍 失控的日志文件、未经清理的临时数据或异常进程持续写入，都可能导致云容器引擎（CCE）节点的磁盘空间被耗尽。这种情况会直接导致Pod无法写入新数据、服务功能异常，甚至因 ephemeralstorage 压力过大而被kubelet驱逐。本演练模拟磁盘空间被占满的场景，帮助您检验系统的磁盘空间监控告警、日志轮转机制以及应用在无可用存储空间时的处理逻辑。 基本原理 通过dd命令将数据写入文件。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的节点列表。 5. 在弹出的对话框中，单击添加节点。 6. 勾选您希望进行故障演练的一个或多个节点 ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。

本节介绍了云容器引擎订购类常见问题。 支持Docker容器运行时吗? 目前只有Kubernetes 1.23版本支持Docker容器运行时，其他高版本只支持Containerd。如需订购集群选择Docker运行时请提工单申请。 集群订购会配置特殊安全组规则吗？ 因为集群订购涉及开通云主机等iaaS资源，系统默认为您的集群内置一条优先级为99的不可见安全组，以确保节点之间能正常通信。您可等集群开通成功后，为安全组设置更高级别的安全组规则，突破此互通安全组的限制。 VPC所在子网与Pod子网有什么区别? Cubecni网络插件件使用VPC资源构建underlay容器网络，为Pod创建一个单独的子网，一般建议选择网段掩码不大于19的子网。详细可查看：Cubecni网络插件介绍 集群订购是否必须配置Snat，由容器购买Nat网关？ 非必须，用户如有集群访问公网诉求，可后续直接订购Nat网关，详细可查看：Pod联网案例 集群订购是否必须购买eip，用于通过公网访问apiserver? 非必须，用户如有公网访问apiserver诉求，可后续直接订购eip。如果由容器代客户购买，默认下单5m带宽的弹性ip，由弹性ip产品按量收费。

名称 描述 BucketLoggingStatus 响应的容器。 类型：容器。 子节点：LoggingEnabled。 LoggingEnabled 日志信息的容器，当启动日志时，包含这个元素；否则此元素及其子元素都不显示。 类型：容器。 父节点：BucketLoggingStatus。 子节点：TargetBucket、TargetPrefix。 TargetBucket 保存log的bucket，OOS会向此Bucket存储日志。 类型：字符串。 父节点：LoggingEnabled。 TargetPrefix 生成的log文件将以此为前缀命名。 类型：字符串。 父节点：LoggingEnabled。

本文介绍容器安全卫士退订说明及退订步骤。 退订说明 容器安全卫士支持退订，可通过容器安全卫士控制台界面、天翼云费用中心发起并完成退订操作。 容器安全卫士实例退订后，主套餐及扩容节点将一同退订；扩容节点不支持单独退订。 成功发起退订后，实例资源将转入冻结状态，冻结期15天。冻结期间，用户配置数据会保留15天， 仍可以进行时安全防护，同时保留用户的配置数据，15天后资源被释放，释放后无法恢复。 更多详情请参见退订规则说明。 退订步骤 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“订单中心”，进入订单信息页面。 3. 单击“立即退订”，进入退订申请页面。 4. 确认退订信息，信息确认无误后选择退订原因，勾选“我已确认本次退订金额和相关费用”后，单击“退订”后即可进行退订。

本文介绍云容器引擎的应用场景。 互联网应用上云场景 互联网应用上云已成为大部分企业及用户的需求，上云过程中计算、存储、网络等资源的分配及集群等组件的部署搭建，无疑提升了企业的信息化建设成本，耗时费力。用户需要在控制成本的前提下，实现互联网应用的快速上云，并保证业务可用性。天翼云云容器引擎为用户提供了健全的Iaas层能力，省去底层设施规划设计的烦恼，并提供了一键式快速部署业务的能力，容器镜像贯穿从开发到运维各环节，统一环境配置，用户可按需部署，提升了业务交付速率，降低业务部署运维成本。 应用 政务、教育、金融、电子商务、视频网站等互联网业务 场景特点 公司自行进行云上平台搭建，过程复杂，需要从零做起，自行维护搭建集群，难以满足未来业务的延展性，有较高的运维成本，并且时间周期长，效率低下。 使用场景 政务、教育、金融、电子商务、视频网站等互联网上云业务：云容器引擎平台提供一键化集群创建、应用部署功能。支持多资源多策略的管理和配置，简化了用户的上云操作，提升了用户业务上云的部署效率。 企业架构转型场景 伴随着互联网技术的不断发展，各大企业的系统越来越复杂，传统的系统架构越来越不能满足业务的需求，且结构复杂，业务间耦合度程度高。取而代之的是微服务架构，微服务是将复杂的应用切分为若干服务，每个服务均可以独立开发、部署和伸缩；微服务和容器组合使用，可进一步简化微服务的交付，提升应用的可靠性和可伸缩性。云容器引擎服务帮助用户实现将单一的业务架构解耦拆分为多个容器服务的微服务架构，每个应用可以独立部署、伸缩和更新，通过微服务和容器结合使用，进一步简化微服务的交付，使系统更灵活，轻松应对市场变化。

本文介绍了API业务监测的相关功能。 功能介绍 API业务监测功能帮助用户实时查看API的业务运行数据包括QPS趋势图、源站状态码响应趋势图、天翼云节点状态码响应趋势图、响应时长趋势图、QPS峰值排行、响应时长排行，同时帮助用户发现和分析业务异常。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【API安全】菜单，并在左侧域名列表选择您要管理的域名。 3. 您可以在资产列表中选择具体一项API资产，在操作栏中点击【业务监测】跳转查看单一API粒度的业务监测数据；也可以在API资产表头右侧点击【业务监测】查看域名粒度业务监测数据。

平安校园 通过iBox接入高清摄像机，结合深度学习技术，提供人员识别、周界入侵、 离岗检测、车牌识别、烟火识别、吸烟识别、人群聚集、区域入侵等智能化算法，有效防范人员安全隐患、预防校园欺凌，提升事件处置效率，切实解决学校安全难题，提升安全保卫工作效能，构建和谐平安校园，实现校园安全管理智能化、流程化、科学化。 智慧城管 重点面向智慧城管建设中的智能视频分析需求，内置街面秩序、市容环境、沿街广告、突发事件、施工管理等场景AI算法，可切实提高城市治理智能化水平。 加油站作业合规 iBox边缘盒子在加油站场景中提供了关键的边缘AI能力，专注于卸油区、桶装加油和罐装加油的合规检测。它能够实时监控并分析操作流程，确保所有活动符合安全和操作规范，从而有效提升加油站的安全性和管理效率。

组件 参数 详情 默认 修改限制 容器引擎Docker配置 nativeumask execopt native.umask normal 不支持修改 dockerbasesize storageopts dm.basesize 0 不支持修改 insecureregistry 不安全的镜像源地址 false 不支持修改 limitcore 核数限制，节点池中创建的节点总核数不能超过该值 5368709120 defaultulimitnofile 容器内句柄数限制 {soft}:{hard} 该值大小不可超过节点内核参数nropen的值，且不能是负数。 节点内核参数nropen可通过以下命令获取：sysctl a grep nropen kubeproxy组件配置 conntrackmin sysctl w net.nfconntrackmax 131072 支持在节点池生命周期中修改 conntracktcptimeoutclosewait sysctl w net.netfilter.nfconntracktcptimeoutclosewait 1h0m0s kubelet组件配置 cpumanagerpolicy cpumanagerpolicy none 支持在节点池生命周期中修改 kubeapiqps 与kubeapiserver通信的qps 100 kubeapiburst 与kubeapiserver通信的burst 100 maxpods kubelet管理的pod上限 4020 podpidslimit k8s 限制进程数 1 withlocaldns 是否使用本地IP作为该节点的ClusterDNS false eventqps 事件创建QPS限制 5 allowedunsafesysctls 允许使用的不安全系统配置。 CCE从 1.17.17 集群版本开始，kubeapiserver开启了pod安全策略， 需要在pod安全策略的allowedUnsafeSysctls中增加相应的配置才能生效（1.17.17以下版本的集群可不配置）。 [] kubereservedmemsystemreservedmem 节点内存预留。 随节点规格变动，具体请参见节点预留资源计算公式 kubereservedmem，systemreservedmem之和小于内存的一半 topologymanagerpolicy 设置拓扑管理策略。合法值包括： restricted：kubelet 仅接受在所请求资源上实现最佳 NUMA对齐的Pod。 besteffort：kubelet会优先选择在 CPU 和设备资源上实现NUMA对齐的Pod。 none（默认）：不启用拓扑管理策略。 singlenumanode：kubelet仅允许在 CPU和设备资源上对齐到同一NUMA节点的Pod。 none 支持在节点池生命周期中修改须知修改topologymanagerpolicy和topologymanagerscope会重启kubelet， 并且以更改后的策略重新计算容器实例的资源分配，这有可能导致已经运行的容器实例重启甚至无法进行资源分配。 topologymanagerscope 设置拓扑管理策略的资源对齐粒度。合法值包括： container （默认)：对齐粒度为容器级 pod：对齐粒度为pod级 container oversubscriptionresource 节点超卖特性。仅 弹性云主机物理机 类型的节点池可见，设置为true表示开启节点超卖特性。 nicminimumtarget 节点池级别的节点最少绑定容器网卡数 默认：10 nicmaximumtarget 节点池级别的节点预热容器网卡上限检查值 默认：0 nicwarmtarget 节点池级别的节点动态预热容器网卡数 默认：2 nicmaxabovewarmtarget 节点池级别的节点预热容器网卡回收阈值 默认：2 容器引擎Containerd配置（仅使用Containerd的节点池可见） devmapperbasesize 单容器可用数据空间 不支持修改 limitcore 核数限制 5368709120 defaultulimitnofile 容器内句柄数限制 1048576 该值大小不可超过节点内核参数nropen的值，且不能是负数。 节点内核参数nropen可通过以下命令获取：sysctl a grep nropen

本节介绍如何查看防护容器的下线通知和删除服务通知。 消息中心页面提供防护容器的下线通知和删除服务通知，以便用户及时恢复防护容器。 查看消息 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“消息中心”，进入消息中心页面。 3. 支持查看“服务信息”和“删除服务”类消息。 标记已读 在消息中心页面，阅读消息后，可以勾选多条消息后，单击“标记已读”，在弹出的对话框中，可以选择“全部标记已读”或只对当前选择项标记已读，选择完成后，单击“确认”。

本节介绍了容器镜像服务的产品优势。 简单易用 使用控制台对镜像操作，简单易用，支持镜像的全生命周期管理。 安全保障 支持容器镜像安全扫描，识别镜像中所有已知的漏洞信息。 开放兼容 全面支持社区Registry V2协议，支持使用CLI以及原生API方式管理镜像。 无缝集成 与云容器引擎无缝集成，构建云原生一站式解决方案。

功能名称 功能描述 资产管理 提供对资产运行状态、资产指纹、资产分类情况的查看，同时可按照主机、容器的维度查看或管理目标服务器，实现主机全量资产的统一可视管理。 包含资产概览、资产指纹管理、主机管理、容器管理功能。 漏洞管理 提供检测Linux软件漏洞、Windows系统漏洞和WebCMS漏洞、应用漏洞，帮助用户识别潜在风险。 基线检查 扫描主机系统和关键软件含有风险的配置、弱口令、口令复杂度策略。 支持的检测基线包含云安全实践和等保合规基线，且可自定义选择检测的子基线项。 支持对检测风险的修复和验证。 容器镜像安全 扫描镜像仓库与正在运行的容器镜像，发现镜像中的漏洞、恶意文件等并给出修复建议，帮助用户得到一个安全的镜像。 应用防护 为运行时的应用提供安全防御。您无需修改应用程序文件，只需将探针注入到应用程序，即可为应用提供强大的安全防护能力。 当前只支持操作系统为Linux的服务器，且仅支持Java应用接入。 网页防篡改 实时发现并拦截篡改指定目录下文件的行为，并快速获取备份的合法文件恢复被篡改的文件，从而保护网站的网页、电子文档、图片等文件不被黑客篡改和破坏。 勒索病毒防护 支持已知勒索病毒检测能力，支持自定义勒索备份恢复策略。 文件完整性管理 检查Linux系统、应用程序软件和其他组件的文件，帮助用户及时发现发生了可能遭受攻击的更改。 主机入侵检测 识别并阻止入侵主机的行为，实时检测主机内部的风险异变，检测并查杀主机中的恶意程序，识别主机中的网站后门等。 容器入侵检测 实时监控容器节点运行状态，发现挖矿、勒索等恶意程序，发现违反容器安全策略的进程运行和文件修改，以及容器逃逸等行为并给出解决方案。 白名单管理 可以通过加入告警白名单避免大量告警误报的发生，提升安全事件告警质量。将当前告警事件加入告警白名单后，当再次发生相同的告警时不再进行告警。 策略管理 提供灵活的策略管理能力，可以根据需要自定义安全检测规则，并可以为不同的主机组或主机/容器应用不同的策略，以满足不同应用场景的主机/容器安全需求。 安全配置 提供配置常用登录地、常用登录IP、SSH登录IP白名单，恶意程序自动隔离查杀功能，满足不同应用场景的主机/容器安全需求。

本章节介绍云容器ETCD节点宕机故障演练。 背景介绍 云容器引擎（CCE）中，Etcd 节点是集群的分布式数据存储核心。硬件故障、系统内核异常、软件组件崩溃、网络中断及数据同步异常等因素，均可能导致 Etcd 节点故障。Etcd 节点故障会造成集群配置读写失败、状态同步异常，进而导致 Master 节点管控功能受限，Pod 调度、扩缩容等操作失效，影响上层业务稳定性，本演练可测试系统应对 Etcd 节点故障的恢复能力。 基本原理 通过停止Etcd 节点上的服务，模拟Etcd 节点故障。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎实例。 添加故障动作 ：单击立即添加 ，在列表中选择Etcd节点故障动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 故障节点：故障动作的目标节点。

应用发布成功后，请求对应接口不通？ 1. 登录微服务云应用控制台，这里以容器应用实例为例，左侧菜单栏选择“应用运维>容器应用实例>应用发布>应用实例”，选择对应的应用实例，进入总览页。 2. 在pod列表中查看应用日志，根据日志信息排查问题。 MSAP支持的服务连接管理类型？ 目前仅支持添加容器镜像服务CRS类型如下图所示。后续如有新增支持类型，会在文档中详细阐述。 应用启动报错，为什么pod状态仍然展示运行中？ 用发布到了云容器引擎中后则认为已经发布成功，要是需要应用启动成功才认为是成功可以配置健康检查来解决此问题。 1. 登录微服务云应用控制台，左侧菜单栏选择“应用运维>容器应用实例>应用发布>应用实例”，选择对应的应用实例，进入总览页。 2. 点击“新增版本“，选中“应用生命周期管理”，配置健康检查。 3. 配置应用能访问通的一个地址，配置之后应用能正常对外提供服务，pod状态才会展示运行中。 已发布应用，监控数据都是空的？ 监控数据数据为空或者都展示为0，说明没有请求进入到应用里面，没有监控数据进行上报。可以对应用发起请求再观察监控数据。 1. 登录微服务云应用控制台，这里以容器应用实例为例，左侧菜单栏选择“应用运维>容器应用实例>应用发布>应用实例”，选择对应的应用实例，进入总览页。 2. 在“容器组（Pod）”栏，点击“终端”，在终端中对应用发起请求。