低门槛容器化，全套微服务治理 CAE 让您免运维 K8s 基础设施，秒级完成从代码包、Docker 镜像部署任意语言的在线应用（如微服务、Web 服务），并自动弹性伸缩按量计费。平台内置免费 Nacos 注册中心，支持 Spring Cloud 无侵入迁移，开箱即用服务注册发现、限流降级、无损上下线及全链路灰度等全套微服务治理能力，极简助力业务容器化转型。 开放标准，自主无忧 基于标准容器与Kubernetes生态构建，避免厂商锁定。您的应用可平滑迁移至任意兼容K8s的平台，保障业务长期发展的灵活性与自主权。 安全可靠，专注业务 底层采用安全容器技术，网络层通过VPC实现租户级强隔离，为您的应用与数据提供从基础设施到网络的双重安全保障，让您安心专注于业务创新。 生态集成，开箱即用 深度集成天翼云负载均衡（ELB）、文件存储（SFS）、对象存储（ZOS）等IaaS服务，以及微服务引擎（MSE）、应用监控（ARMS）等PaaS生态，提供一站式、高内聚的完整解决方案，大幅提升开发和运维效率。

本节介绍智算套件概述。 前提条件 已创建云容器引擎智算版集群。 套件介绍 套件名称 版本 套件说明 驱动管理 1.0.2 为GPU云主机或物理机的算力调度提供硬件驱动。 模型预热 1.8.0 将模型从对象存储预热到本地盘，大幅提升模型部署效率。 智算套件控制面引擎 1.0.5 提供高可用控制面，管理智算套件控制台正常运行。 故障诊断 1.0.3 为集群提供集群巡检、故障诊断等能力。 网络 1.0.3 为集群容器提供使用RDMA网络的能力，包括IB和RoCE。 弹性数据集 1.0.0 支持数据集版本管理，提供弹性加载能力。 弹性训练 1.0.5 为集群提供AI任务接入，兼容主流AI框架和工具，包括TensorFlow、PyTorch、Horovod、Spark等。 GPU安全容器 1.0.0 支持Kata安全容器运行时，满足业务高安全需求。 智能调度 1.0.9 为集群提供智能任务调度策略，可支持Gang、Capacity、Binpack/Spread和Queue等智能调度。 监控 1.0.7 为集群提供硬件监控能力，可采集GPU/NPU，显存等，支持可视化查看GPU的分配、使用和健康状态。

存储配置 ： 配置节云主机上的存储资源，方便节点上的容器软件与容器应用使用。请根据实际场景设置磁盘大小。 表 存储配置参数 参数 参数说明 系统盘 节点云主机使用的系统盘，供操作系统使用。 您可以设置系统盘的规格为40GB1024GB之间的数值，缺省值为50GB。 加密：数据盘加密功能可为您的数据提供强大的安全防护，加密磁盘生成的快照及通过这些快照创建的磁盘将自动继承加密功能。 目前仅在部分Region显示此选项，具体以界面为准。 默认不加密。 点选“加密”后，可在弹出的“加密设置”对话框中，选择已有的密钥，若没有可选的密钥，请单击后方的链接创建新密钥，完成创建后单击刷新按钮。 数据盘 节点云主机使用的数据盘，供容器运行时和Kubelet组件使用。 您可以设置数据盘的规格为100GB32768GB之间的数值，缺省值为100GB。 至少需要一块数据盘 ，供容器运行时和Kubelet组件使用，该数据盘不能被删除卸载，否则会导致节点不可用。 单击后方的“展开高级设置”可进行如下设置： 自定义空间分配：勾选后可定义容器运行时在数据盘上占用的空间比例，容器运行时的空间用于存放容器运行时工作目录、容器镜像数据以及镜像元数据。数据盘空间分配详细说明请参见数据盘空间分配说明。 加密：数据盘加密功能可为您的数据提供强大的安全防护，加密磁盘生成的快照及通过这些快照创建的磁盘将自动继承加密功能。目前仅在部分Region显示此选项，具体以界面为准。 − 默认不加密。 − 点选“加密”后，可在弹出的“加密设置”对话框中，选择已有的密钥，若没有可选的密钥，请单击后方的链接创建新密钥，完成创建后单击刷新按钮。 添加多个数据盘 最多可以添加4个，默认情况直接创建为裸盘，不做任何处理。您也可以展开高级配置，选择如下配置。 默认：默认情况直接创建为裸盘，不做任何处理。 挂载到指定目录：将数据盘挂载到指定目录。 作为持久存储卷：适用于对PV有性能要求的场景。持久存储卷的节点会添加上node.kubernetes.io/localstoragepersistent标签，取值为linear或striped。 作为临时存储卷：适用于对EmptyDir有性能要求的场景。说明持久存储卷和临时存储卷仅在集群版本 > v1.21.2r0 时支持创建，且临时存储卷需要Everest插件版本>1.2.29，持久存储卷需要Everest插件版本>1.2.31。持久存储卷和临时存储卷支持如下两种写入模式。 线性（linear）：线性逻辑卷是将一个或多个物理卷整合为一个逻辑卷，实际写入数据时会先往一个基本物理卷上写入，当存储空间占满时再往另一个基本物理卷写入。 条带化（striped）：创建逻辑卷时指定条带化，当实际写入数据时会将连续数据分成大小相同的块，然后依次存储在多个物理卷上，实现数据的并发读写从而提高读写性能。条带化模式的存储池不支持扩容。多块存储卷才能选择条带化。 本地盘说明 节点规格为“磁盘增强型”或“超高I/O型”时，有一块数据盘可以是本地盘。本地磁盘实例有宕机风险，不保证数据可靠性，建议您使用云硬盘存储您的业务数据。

本节介绍了监控节点的用户指南。 监控节点 云容器引擎集群集成了Prometheus监控服务，可查看对应节点实例的基本监控信息。本文介绍如何查看Kubernetes集群下节点的监控信息。 操作步骤 登录云容器引擎控制台在左侧导航栏选择 集群 。 在集群列表 页面，单击目标集群名称，然后在左侧导航栏，选择 节点管理 > 节点 。 在节点 页面，单击目标节点右侧左操作 列的 监控 。

本节介绍了配置项的用户指南。 操作场景 配置项（ConfigMap ）是一种 API 对象，用来将非机密性的数据保存到键值对中。使用时， Pods 可以将其用作环境变量、命令行参数或者存储卷中的配置文件。 配置项允许您将环境配置信息和容器镜像解耦，便于应用配置的修改。 前提条件 已创建云容器引擎集群，具体操作请详见：订购集群 若已有云容器引擎集群，无需重复操作。 操作步骤 创建配置项： 方式1：通过界面创建配置项。 1、登陆云容器引擎控制台， 点击左侧导航栏中的集群，进入集群列表页。 2、在集群列表中点击需要创建配置项的集群，进入集群管理页面。 3、在集群管理页面导航栏中选择配置管理 > 配置项，进入配置项信息页面。 4、点击新建，进入新建配置项页面。 5、根据实际需求，设置参数。参数说明可参考下表 参数 参数说明 名称 新建的配置名称，同一个命名空间里命名必须唯一。 标签 标签（Labels）是附加到 Kubernetes 对象（比如 Pod、Service、ConfigMap等）上的键值对。标签定义了这些对象的可识别属性，用来对它们进行管理和选择。 1. 点击标签添加一个标签。 2. 输入标签名（key）和标签值（value）。 注解 注解（Annotation）是附加到Kubernetes 对象（比如 Pod、Service、ConfigMap等）上的键值对注解定义对象的非标识属性。 1. 点击注解添加一个注解。 2. 输入注解名（key）和注解值（value）。 内容 配置项定义的配置数据，可以挂在到容器中使用，或用来存储配置数据 。 1. 输入变量名和变量值。 2. 也可以导入文件作为配置项（文件名即变量名，文件内容即变量值）。 6、点击提交，完成创建。 方式2：使用Yaml创建配置项。 1、登陆云容器引擎控制台， 点击左侧导航栏中的集群，进入集群列表页。 2、在集群列表中点击需要创建配置项的集群，进入集群管理页面。 3、在集群管理页面导航栏中选择配置管理 > 配置项，进入配置项信息页面。 4、点击新建YAML，进入配置项/新增Yaml页面。 5、Yaml编辑窗口提供一个默认的配置项Yaml模板，可参考模板创建需要的配置项。

本文介绍如何创建服务来源。 概述 支持添加云容器引擎和注册配置中心作为服务来源，通过服务发现模块监听服务来源，动态感知后端服务。 创建云容器引擎服务来源 1. 打开AI网关控制台实例页面，在顶部菜单栏选择目标实例所在地域，并单击目标实例ID。 2. 在左侧导航栏，单击服务，然后单击服务来源。 3. 单击创建来源，在创建来源面板中，配置以下参数： ● 来源类型：选择容器服务，通过K8s Server发现后端服务。 ● 容器集群：选择后端服务所在的集群。 注意：只能添加同VPC内的容器集群，不支持跨VPC的服务来源。 创建注册配置中心服务来源 1. 打开AI网关控制台实例页面，在顶部菜单栏选择目标实例所在地域，并单击目标实例ID。 2. 在左侧导航栏，单击服务，然后单击服务来源。 3. 单击创建来源，在创建来源面板中，配置以下参数： ● 来源类型：选择MSE Nacos，通过 MSE Nacos 注册中心发现后端服务。 ● 集群名称：选择后端服务所在的MSE Nacos集群。 注意：只能添加同VPC内的MSE Nacos集群，不支持跨VPC的服务来源。 ● 拉取间隔：网关节点定时从来源实例同步服务注册信息的间隔，取值范围为15s~60s。 删除服务来源 1. 打开AI网关控制台实例页面，在顶部菜单栏选择目标实例所在地域，并单击目标实例ID。 2. 在左侧导航栏，单击服务，随后单击服务来源。 3. 单击需要变更的服务来源对应的删除。 4. 在删除服务面板，单击确定，完成删除服务来源。

本章节介绍应用服务网格CSM应用场景 应用服务网格CSM主要适用于微服务架构下的流量治理、安全治理和可观测场景，常用场景如下： 多语言微服务统一治理 应用服务网格（CSM）采用无侵入式的sidecar模式，提供了与语言无关的服务治理能力，无需修改业务代码即可实现对多语言应用的灰度发布、熔断限流、标签路由、全链路灰度等治理能力。 解决问题： 服务治理能力与业务代码耦合问题，业务无需关注非业务的技术问题，提高业务迭代效率。 企业内部多语言业务互通问题，服务网格通过sidecar和统一控制面，屏蔽了语言和框架的差异，使得多语言框架应用之间的通信就像语言框架内部的通信一样简单。 多集群统一服务治理 应用服务网格（CSM）采用主从集群模式，主集群（云容器引擎）作为控制面部署集群，支持对多个从集群（云容器引擎）实行统一纳管，对多个云容器引擎集群上的服务进行统一治理。 解决问题： 服务扩展问题：随着业务的发展，业务通过单个容器集群难以支撑时，CSM服务网格可以在一个网格实例下实现对多个容器集群的统一治理。 容灾问题：基于多集群和服务标签，通过服务网格的路由能力可以实现业务的多活容灾。

本节主要介绍与其它服务的关系 应用服务网格与周边服务的依赖关系如下图所示。 应用服务网格与其他云服务关系 云容器引擎 CCE 云容器引擎（Cloud Container Engine）提供高可靠高性能的企业级容器应用管理服务，支持Kubernetes社区原生应用和工具，简化云上自动化容器运行环境搭建。 您可以通过ASM部署运行在云容器引擎上。 弹性负载均衡 ELB 弹性负载均衡（ Elastic Load Balance，ELB）将访问流量自动分发到多台云服务器，扩展应用系统对外的服务能力，实现更高水平的应用容错。 您可通过弹性负载均衡从外部访问ASM。 应用运维管理 AOM 应用运维管理AOM为您提供一站式立体运维平台，实时监控应用、资源运行状态，通过数十种指标、告警与日志关联分析，快速锁定问题根源，保障业务顺畅运行。 您可使用应用运维管理，对ASM中的服务和资源进行实时监控，对指标、告警和日志进行关联分析。 应用性能管理 APM（待上线） 应用性能管理服务（Application Performance Management，简称APM）是实时监控并管理云应用性能和故障的云服务，提供专业的分布式应用性能分析能力，可以帮助运维人员快速解决应用在分布式架构下的问题定位和性能瓶颈等难题，为用户体验保驾护航。 您可使用应用性能管理，对ASM中运行的服务进行全链路拓扑管理和分布式调用链追踪，方便您快速进行故障定位和根因分析。

本节介绍了:创建一个无状态工作负载——查看容器实例监控的用户指引。 在工作负载实例详情的界面中，选择监控，按需安装CCSE监控插件。 插件安装完成后即可查看工作负载及容器的监控数据。

本章节主要介绍高频问题 新创建应用、服务等资源后，AOM界面为何不实时显示监控数据？ 当您新创建了主机、应用、组件、进程等资源后，ICAgent会以10分钟为周期进行周期性监控数据上报，AOM界面需要等待一个上报周期后方可展示相关监控数据。 删除主机、工作负载等资源后，AOM界面为何仍然显示资源状态为正常？ 当您在CCE集群中删除了主机或工作负载等资源后，在AOM“主机监控”或“容器监控”界面显示资源状态仍为正常。此为正常现象，这是由于AOM“主机监控”或“容器监控”界面不会立即将资源状态置为已删除，而是会等待30分钟后将已删除的资源状态置为已删除。 如果界面上点击升级操作失败，该怎么办？ 自定义集群场景下，如果界面上点击升级操作失败，您可以登录到vm节点上，直接执行安装命令再次安装即可。 ICAgent的安装是覆盖式安装，无需先卸载，直接安装即可。 采集的日志文件是什么类型的？ 在配置日志采集路径时，若日志采集路径配置的是目录，则默认采集目录下的日志（只采集.log、 .trace和 .out类型的文本日志文件）；若配置的为具体某个文件，则直接采集对应文件。指定文件必须为文本文件，不支持其他类型（例如二进制日志文件）的日志文件。 采集器ICAgent对资源的占用大吗？例如内存、CPU。 AOM对基础指标的采集，包含VM、容器、进程的CPU、内存等基础指标。 资源消耗：对此类指标采集时，采集器ICAgent对资源的消耗和容器、进程个数相关。 正常业务量情况下，采集器ICAgent消耗内存约30M、单核CPU约3%。 使用限制：单节点上运行容器个数小于1000个。 保护机制： 采集器ICAgent对CPU资源的消耗最大不超过2核。 当采集器ICAgent对内存的消耗超过min{4G，节点物理内存/2}时，AOM将启动采集器重启保护。

参数 是否必填 参数类型 说明 示例 下级对象 Deleted 是 Array of Objects 保存被成功删除的对象的容器 Key Error 是 Array of Objects 保存被删除失败的对象的容器 Code,Key,Message

参数 是否必填 参数类型 说明 示例 下级对象 Deleted 是 Array of Objects 保存被成功删除的对象的容器。 Key Error 是 Array of Objects 保存被删除失败的对象的容器。 Code,Key,Message

云产品 日志类型 备注 文本日志 文本日志 容器标准输出 容器文件日志 容器标准输出 容器文件日志 容器实例日志 数据库慢日志、错误日志 当前白名单试用中，如有需求请提交工单反馈。 数据库慢日志、错误日志 当前白名单试用中，如有需求请提交工单反馈。 数据库慢日志、错误日志 当前白名单试用中，如有需求请提交工单反馈。 数据库慢日志、错误日志 当前白名单试用中，如有需求请提交工单反馈。 数据库慢日志、错误日志 当前白名单试用中，如有需求请提交工单反馈。 访问日志 命令审计日志 <分布式消息服务Kafka> 重平衡日志 控制面（control plane）、数据面（sidecar）日志以及应用服务网格网关日志 函数调用日志 云服务操作日志 访问日志 会话日志 Elasticsearch、OpenSearch、Logstash实例日志，包括运行日志（含错误日志）、GC日志、慢索引日志、慢查询日志、Logstash运行日志 集群组件日志 微服务引擎云原生网关 网关访问日志 虚拟私有云VPC 流日志 当前白名单试用中，如有需求请提交工单反馈。 内网DNS DNS解析日志 SDWAN 流日志 当前白名单试用中，如有需求请提交工单反馈。 云安全中心 云堡垒机操作日志； 云防火墙威胁日志； 服务器安全卫士漏洞信息、弱口令、告警日志； 数据库审计日志； Web应用防火墙告警日志； 云等保专区V1.0日志 服务器安全卫士 告警日志 网页防篡改 告警日志

边缘安全加速节点资源丰富，在中国内地覆盖多运营商和31个省份区域，大量节点位于省会及一二线主要城市，海外出口覆盖各大洲。 节点具体分布如下： 区域 节点覆盖 中国内地 东北地区：黑龙江 华北地区：北京、天津、河北、河南、山东、内蒙古 华东地区：上海、浙江、江西、江苏、安徽 华中地区：湖南、湖北 华南地区：福建、海南、广西 西南地区：四川、云南、贵州、重庆、西藏 西北地区：陕西、甘肃、宁夏、新疆 全球（非中国内地） 亚洲：香港、日本、新加坡、菲律宾、马来西亚、泰国、印度、印度尼西亚、阿联酋 北美洲：美国 南美洲：巴西 大洋洲：澳大利亚 欧洲：英国、德国、法国、荷兰 非洲：埃及、南非

本节介绍节点池管理用户指南。 前提条件 创建分布式容器云平台的注册集群，并将自建Kubernetes集群以内网方式接入注册集群。 自建Kubernetes集群的网络与云上注册集群使用的VPC网络互通。 集群容器网络互通，搭建混合云网络，云上容器网络与云下容器网络互通。 创建节点池 创建流程 需要根据用户的环境和上图的判断条件，最终确定使用提前预装软件包的自定义OS镜像，或是根据实例脚本构建节点部署脚本，完成节点池创建。 部署脚本构建 步骤一：创建节点部署脚本 1. 获取集群信息。 shell 获取k8s集群版本号，后续设置到示例脚本环境变量KUBEVERSION中 kubectl get no $(kubectl get nodes l noderole.kubernetes.io/controlplane o json jq r '.items[0].metadata.name') o json jq r '.status.nodeInfo.kubeletVersion' 输出示例 v1.31.6 获取运行时及版本号，后续设置到示例脚本环境变量RUNTIMEVERSION中 kubectl get no $(kubectl get nodes l noderole.kubernetes.io/controlplane o json jq r '.items[0].metadata.name') o json jq r '.status.nodeInfo.containerRuntimeVersion' 输出示例 containerd://1.6.28 获取kubeadm添加节点命令。需要设置为永不过期，避免节点池弹性伸缩失效。添加到部署脚本环境变量KUBEADMJOINCMD kubeadm token create ttl 0 printjoincommand

本节介绍了: cstorcsi插件的用户指南。 云容器引擎服务提供cstorcsi插件，基于Kubernetes容器存储接口（CSI），深度融合天翼云存储服务云硬盘、弹性文件存储、对象存储、并行文件和海量文件等，并完全兼容Kubernetes原生的存储服务。 插件介绍 cstorcsi插件包括cstorcsiprovisioner和cstorcsinodeplugin两部分。 cstorcsiprovisioner以无状态负载形态部署，通过将云存储服务的功能与 Kubernetes 的存储框架无缝集成，使用户能够通过 Kubernetes API 动态创建和删除存储卷，而无需直接与云存储服务进行交互； cstorcsinodeplugin以守护进程形态部署在所有节点，将存储卷与节点上的容器运行时进行集成，并提供对存储卷的挂载、卸载和快照等操作的支持，以使容器可以方便地使用存储卷提供的持久性存储功能。 版本推荐 目前CSI版本中，4.0及以上版本为新版插件，4.0以下版本为旧版插件。两版插件的实现逻辑存在差异，建议优先采用新版插件。 新版插件完全兼容旧版插件的所有功能，不存在兼容性问题。 插件安装 前提条件 大部分资源池插件安装无需配置用户AK和SK，仅少部分资源池在安装前需要配置。如需配置AK和SK，请先到天翼云门户“用户”“安全设置”“用户AccessKey”中获取AK和SK。 预付费账号请检查天翼云账户余额是否在100元以上，cstorcsi插件开通的存储为按需付费方式，需要账户余额在100元以上才可正常开通。 强烈建议使用CStorCSI的最新版本，至少选择4.0及其以上版本，越高的版本具备更多特性，更好的性能，更好的兼容性。最新CSI版本兼容之前的CSI版本。

查看告警详情 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“告警响应 > IaC告警”，进入IaC告警页面。 3. 点击告警列表“报警名称”，可查看报警详情。 4. 在报警详情页面，可查看该告警的基本信息、告警命中规则、处置建议等信息。 处理告警 处理单个告警 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“告警响应 > IaC告警”，进入IaC告警页面。 3. 单击告警列表操作列的“处理”，或单击报警名称进入告警详情页面后，单击“立即处理”按钮。 4. 进入处理告警页面，对本条告警进行处理。 若您已手动处理该告警，或判断当前报警为误报，可以将其“标记为已处理”。 5. 选择处理方式后单击“确认”，即可完成告警处理。 批量处理告警 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“告警响应 > IaC告警”，进入IaC告警页面。 3. 筛选告警，并勾选需要标记为已处理的告警，单击列表页右上方的“标记已处理”按钮。 4. 在“标记为已处理”窗口，选择标记范围。 5. 选择标记范围后，单击“确认”。 导出告警 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“告警响应 > IaC告警”，进入IaC告警页面。 3. 筛选告警，并勾选需要导出的告警，单击列表页右上方的“生成报告”按钮。 4. 在“导出”窗口，选择导出范围。 5. 选择导出范围后，单击“确认”。

参数 参数类型 说明 示例 下级对象 localVolumeList Array of Objects 宿主机文件挂载到容器内的配置 localVolumeList emptyDirList Array of Objects 配置K8s emptyDir挂载，支持将emptyDir卷挂载到指定的容器目录 emptyDirList

本节介绍如何扫描基线。 支持扫描全部、部分基线，也支持对基线中的部分检查项进行扫描。 扫描基线 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“安全合规”，进入安全合规页面。 3. 单击列表右上角的“扫描基线”。 4. 在弹出的扫描窗口中设置基线范围和扫描对象。 5. 设置完成后，单击“确认”即可开始扫描。 扫描基线检查项 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“安全合规”，进入安全合规页面。 3. 在安全合规页面单击“基线名称”，进入基线详情页面。 4. 单击列表右上角的“扫描”，即可开始扫描检查相应容器、镜像和节点是否符合该基线的安全规则。

本文解释被恶意攻击或盗刷产生的流量是否计费。 客户流量如果被恶意攻击或恶意盗刷，需要自行承担恶意访问产生的流量费用，因为该过程中确实产生了天翼云CDN加速带宽资源消耗。 如果客户的业务存在潜在的被恶意访问或攻击的风险，建议叠加Web应用防火墙（边缘云版）来应对恶意攻击，详情请见：高额账单风险预警。

云容器引擎 CCE提供高度可扩展的、高性能的Kubernetes集群、一站式容器服务;兼容主流国产化服务器和操作系统,取得全栈国产化适配认证证书。其整合了镜像、监控、日志、负载均衡、灰度/蓝绿、多种弹性策略、高效调度、集群插件、模板市场等基础能力,帮助企业快速构建和运行可弹性扩展的应用,实现业务的快速交付与持续创新。

环境 即我们常说的开发环境、生产环境，是用于应用部署和运行的计算、网络、中间件等资源的集合。 例如可以把同VPC下的云容器引擎、注册中心、数据库等实例组成一个环境。 资源 是支撑应用运行的设施，资源可以导入到环境里供应用使用。例如常用资源包括：云容器引擎、ECS、注册中心、微服务治理中心、应用性能监控、数据库实例等。 项目 用于组织和管理应用，在项目下还可以通过应用分组精细化管理应用。 应用 应用是组成项目的某个业务实现，可独立部署运行，可以简单理解为一份代码程序对应一个应用，例如电商项目里的订单应用。一个应用可以部署到多个环境。 应用实例 微服务云应用平台抽象了ECS应用实例和容器应用实例的概念，应用实例是应用在某个环境的实体，基于应用实例对某个环境的应用进行全生命周期管理，提供部署版本、部署配置、发布升级、回滚、扩缩容和启停删除等可视化管理。 应用实例副本 一个应用实例部署后，可以部署多个副本，例如在容器应用实例场景，应用实例副本指的就是K8s里的Pod，一个Deployment可以包含多个Pod，即多个副本。 应用变更 在微服务云应用平台上进行应用部署、启动、扩容/缩容等生命周期操作时，应用变更记录将整个变更过程中执行的业务逻辑抽象成为一个流程，以可视化的方式展现。

用于查看存储空间的相关信息。 接口功能介绍 用于查看存储空间的相关信息。 接口约束 无 URI GET /{bucket}?bucketInfo 路径参数 参数 是否必填 参数类型 说明 示例 bucket 是 String 桶名称 testBucket Query参数 参数 是否必填 参数类型 说明 示例 下级对象 bucketInfo 是 String 固定参数，可填bucketInfo 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 Authorization 是 String 用于验证请求合法性的认证信息 请求体body参数 无 响应参数 参数 是否必填 参数类型 说明 示例 下级对象 BucketInfo 是 Array of Objects 保存Bucket信息的容器 BucketInfo 表 BucketInfo 参数 是否必填 参数类型 说明 示例 下级对象 Bucket 是 Array of Objects 保存Bucket信息的容器 Bucket 表 Bucket 参数 是否必填 参数类型 说明 示例 下级对象 CreationDate 是 String Bucket的创建时间，格式为UTC时间 20130731T10:56:21.000Z ExtranetEndpoint 是 String Bucket的外网域名 osscnshanghai.ctyun.com Name 是 String Bucket名称 example Owner 是 Array of Objects 存放Bucket拥有者信息的容器 Owner AccessControlList 是 Array of Objects Bucket读写权限（ACL）信息的容器 AccessControlList 表 Owner 参数 是否必填 参数类型 说明 示例 下级对象 ID 是 String Bucket拥有者的用户ID 11111 DisplayName 是 String Bucket拥有者的名称（目前和用户ID一致） username 表 AccessControlList 参数 是否必填 参数类型 说明 示例 下级对象 Grant 是 String Bucket的ACL权限 private

配置项 说明 是否必填 示例值 metadata.name 应用名称 是 myapp metadata.namespace 应用所在的命名空间。为空时自动取 default，也就是默认命名空间。 否 default cae.ctyun.cn/vpcid 应用关联的 VPC ID。为空时自动取命名空间绑定的 VPC。 否 vpcabcasd cae.ctyun.cn/subnetid 应用关联的子网 ID。为空时自动取VPC下的默认子网，或可用子网。 否 subnetabcasd cae.ctyun.cn/securitygroupid 应用关联的安全组 ID。为空时自动取VPC下的默认安全组，或可用安全组。 否 sgabcasd cae.ctyun.cn/language 应用语言。为空时默认 Java。支持 Java、Golang、Python、PHP 等，不区分大小写。 否 Java spec.replicas 容器实例数。 是 spec.template.metadata.labels 应用标签 否 spec.template.spec.container[i].env 环境变量 否 spec.template.spec.container[i].envFrom 配置方式是从已有的 ConfigMap 中引用键值对 否 spec.template.spec.containers[i].volumeMounts spec.template.spec.volumes 将 ConfigMap 配置项作为文件挂载到容器中。 否 spec.template.spec.container[i].name 使用固定值 main，创建时必须指定此配置项。 是 spec.template.spec.container[i].image 镜像地址。 是 spec.template.spec.container[i].resources.limits.cpu 单个容器实例的 CPU 规格。 是 spec.template.spec.container[i].resources.limits.memory 单个容器实例的内存规格。 是

本节介绍了保密字典的用户指南。 操作场景 保密字典（Secret） 是⼀种包含少量敏感信息例如密码、令牌或密钥的对象。这样的信息可能会被放在 Pod 规约中或者镜像中。 使用 保密字典 意味着你不需要在应用程序代码中包含机密数据。保密字典类似于配置项但专门用于保存机密数据。 前提条件 已创建容器集群，具体操作请详见：订购集群。若已有容器集群，无需重复操作。 操作步骤 创建保密字典 方式1：通过界面创建保密字典 1、登陆云容器引擎控制台， 点击左侧导航栏中的集群，进入集群列表页。 2、在集群列表中点击需要创建保密字典的集群，进⼊集群管理页面。 3、在集群管理页面导航栏中选择配置管理 > 保密字典，进入保密字典信息页面。 4、点击新建，进入新建保密字典页面。 5、根据实际需求，设置参数。参数说明可参考下表： 参数 参数说明 名称 新建的保密字典名称，同⼀个命名空间⾥命名必须唯⼀ 类型 包含Opaque、镜像拉取凭证、TLS证书以及其他 标签 标签（Labels）是附加到Kubernetes对象（比如Pod、Service、ConfigMap等）上的键值对。 标签定义了这些对象的可识别属性，用来对它们进行管理和选择 1. 点击标签添加⼀个标签 2. 输⼊标签名（key）和标签值（value） 注解 注解（Annotation）是附加到Kubernetes对象（比如Pod、Service、ConfigMap等）上的键值对 注解定义对象的非标识属性 1. 点击注解添加⼀个注解 2. 输入注解名（key）和注解值（value） 内容 保密字典定义的配置数据，可以挂在到容器中使用，或用来存储配置数据 1. 输入变量名和变量值 2. 也可以导入文件作为保密字典（文件名即变量名，文件内容即变量值） 6、点击提交，完成创建。 方式2：使⽤Yaml创建配置项 1、登陆云容器引擎控制台， 点击左侧导航栏中的集群，进⼊集群列表页。 2、在集群列表中点击需要创建保密字典的集群，进⼊集群管理页面。 3、在集群管理页面导航栏中选择配置管理 > 保密字典，进⼊保密字典信息页面。 4、点击新建YAML，进⼊保密字典/新增Yaml页面。 5、Yaml编辑窗口提供⼀个默认的保密字典Yaml模板，可参考模板创建需要的保密字典。

本节主要介绍导入和导出安全组规则。 使用说明 在需要快速恢复或者创建安全组规则时，可以通过导入安全组规则的功能将导出的安全组规则文件导入到安全组中。 在需要对已有安全规则进行备份时，可以通过导出安全组规则的功能将对应安全组下的规则导出EXCEL或者JSON文件。 默认的安全组不支持导出安全组规则的操作。 在使用导入安全组规则时会创建一个新的安全组。 导出安全组规则 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>访问控制>安全组】，查看当前用户已有安全组。 3. 选中所要导出安全组规则的安全组，在操作栏中单击【导出】，在弹出栏中选择导出的文件格式“EXCEL格式”或者“JSON格式”，单击对应的格式即可完成导出安全组规则，导出文件会自动下载到本地电脑。 导入安全组规则 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>访问控制>安全组】，单击【导入安全组】，在弹出栏中选择导入的安全组规则的格式“EXCEL格式”或者“JSON格式”。 3. 在弹出框中填入对应的参数和上传对应的安全组规则文件，单击【点击上传】把对应的安全组规则文件进行上传。 导入安全组规则参数说明： 参数 说明 安全组名称 自定义导入的安全组规则所对应的安全组名称。 配置文件 安全组规则的配置文件，若选择EXCEL格式则上传EXCEL格式的文件，若选择JSON格式则上传JSON格式的文件。 描述 可选项，对当前导入安全组规则对应的安全组的描述信息。 4. 配置相关的参数后，单击【确认】执行导入。 注意 如选择EXCEL格式上传，请先下载EXCEL上传模板，严格按照模板填写要求填写出入方向安全规则，否则会导入失败，填写完后再点击上传导入。

本节介绍边缘虚拟机支持的装机镜像类型及操作系统。 简介 镜像是一个包含了软件及必要配置的虚拟机模板，至少包含操作系统，还可以包含应用软件（例如：数据库软件）和私有软件。您可以使用镜像创建虚拟机。 镜像分为公共镜像和自定义镜像，公共镜像为系统默认提供的镜像，自定义镜像为用户自己创建的镜像。 用户可以灵活便捷的使用公共镜像或者自定义镜像申请虚拟机。同时，用户还能通过已有的虚拟机创建私有镜像，这样能快速轻松地启动能满足您一切需求的新虚拟机。例如，如果您的应用程序是网站或Web服务，您的自定义镜像可能会包含Web服务器、相关静态内容和动态页面代码，您通过这个镜像创建虚拟机之后，您的Web服务器将启动。 镜像类型 公有镜像：常见的标准操作系统镜像，所有用户可见，包括操作系统以及预装的公共应用。公共镜像具有高度稳定性，皆为正版授权，请放心使用，用户也可以根据实际需求自助配置应用环境或相关软件。目前ECX公有镜像也支持不同的国产化镜像，部分常见操作系统及支持的版本等信息见下表，具体清单可登录边缘虚拟机控制台，进入【镜像>公有镜像】进行查看。 操作系统 系统位数 版本 CentOS 64 8.2 CentOS 64 8.1 CentOS 64 7.9 CentOS 64 7.8 CentOS 64 7.7 CentOS 64 7.6 CentOS 64 7.4 CentOS 64 6.5 Ubuntu 64 22.04 Ubuntu 64 20.04 Windows Server 64 2019 Datacenter Windows Server 64 2016 Datacenter Windows Server 64 2016 Standard Windows Server 64 2012 R2 Datacenter Debian 64 10.12 Debian 64 10.9 Debian 64 9.13 KylinServer 64 10 CTyunOS 64 3.0 x86 CTyunOS 64 3.0 ARM UOSServer 64 20 自定义镜像：包含操作系统或业务数据、预装的公共应用以及用户的私有应用的镜像，仅用户个人可见。

通用型 提供均衡的计算、存储以及网络配置，支持挂载可弹性扩展的云硬盘，满足资源专享、网络隔离、性能有基本要求的业务场景：如数据库、企业ERP系统、容器、大数据计算等。 规格名称 业务场景 CPU 内存 本地磁盘 扩展配置 physical.c6s.xlarge 数据库、大数据、容器 52cores Intel(R) Xeon(R) Gold 6278 （226 core CPU,2.6 GHz） 192GiB 无 SDI3.0 physical.c6s.3xlarge 数据库、大数据、容器 52cores Intel(R) Xeon(R) Gold 6278 （226 core CPU,2.6 GHz） 384GiB 无 SDI3.0 physical.c6sd.3xlarge 大数据存算分离 52cores Intel(R) Xeon(R) Gold 6278 （226 core CPU,3.0 GHz） 384GiB 43.2T NVMe SDI3.0（225GE） physical.s6.xlarge 数据库 24cores Intel Cascade Lake 2288X V5 （212 core CPU,2.2 GHz） 192GiB 无 SDI3.0（225GE） physical.s6.3xlarge 数据库 24cores Intel Cascade Lake 2288X V5 （212 core CPU,2.2 GHz） 384GiB 无 SDI3.0（225GE） 本地存储型 系统盘和数据盘均使用本地磁盘，针对数据量大，对计算性能、稳定性、实时性等要求很高的业务场景：如大数据、分布式缓存等。 规格名称 业务场景 CPU 内存 本地磁盘 扩展配置 physical.d6.xlarge 数据库、大数据、容器 24cores Intel Cascade Lake 2288X V5 （212 core CPU,2.2 GHz） 192GiB 1210TB SATA HDD SDI3.0（225GE） physical.d6.3xlarge 数据库、大数据、容器 24cores Intel Cascade Lake 2288X V5 （212 core CPU,2.2 GHz） 384GiB 1210TB SATA HDD SDI3.0（225GE）

插件名称 插件简介 CoreDNS（系统资源插件，必装） CoreDNS插件是一款通过链式插件的方式为Kubernetes提供域名解析服务的DNS服务器。 Everest（系统资源插件，必装） Everest是一个云原生容器存储系统，基于CSI为Kubernetes v1.15.6及以上版本集群对接云硬盘服务、极速文件存储 SFS Turbo等存储服务的能力。 storagedriver（系统资源插件，必装） storagedriver插件是用于对接块存储、文件存储等Iaas存储服务的FlexVolume驱动。 autoscaler 集群自动扩缩容插件autoscaler，是根据pod调度状态及资源使用情况对集群的工作节点进行自动扩容缩容的插件。 metricsserver MetricsServer是集群核心资源监控数据的聚合器。 ccehpacontroller ccehpacontroller插件是一款CCE自研的插件，能够基于CPU利用率、内存利用率等指标，对无状态工作负载进行弹性扩缩容。 prometheus Prometheus是一套开源的系统监控报警框架。在云容器引擎CCE中，支持以插件的方式快捷安装Prometheus。 gpubeta gpubeta插件是支持在容器中使用GPU显卡的设备管理插件，仅支持Nvidia驱动。

本节介绍了容器镜像服务:容器镜像常用操作。 安装容器运行时 常见的容器运行时包括以下3种，可以根据需求选择安装。 Docker Containerd CRIO docker常用操作 1. 登录容器镜像服务实例。 plaintext docker login usernamecrsuser testregistryhuadong1.crs.ctyun.cn 登录的用户名和密码为开通实例时设置的用户名和密码，如果忘记密码，可以在访问凭证页面重置密码。 2. 拉取镜像。 plaintext docker pull testregistryhuadong1.crs.ctyun.cn/nstest/repotest: 3. 推送镜像。 plaintext docker tag testregistryhuadong1.crs.ctyun.cn/nstest/repotest: docker push testregistryhuadong1.crs.ctyun.cn/nstest/repotest: 4. 示例： 使用docker images命令查看本地镜像。 plaintext docker images REPOSITORY TAG IMAGE ID CREATED SIZE busybox latest xxxxxxx 7 weeks ago 4.86MB 使用docker tag命令重命名镜像。 plaintext docker tag b539af69bc01 testregistryhuadong1.crs.ctyun.cn/nstest/repotest:v1 使用docker push命令推送镜像。 plaintext docker push testregistryhuadong1.crs.ctyun.cn/nstest/repotest:v1 ctr常用操作 1. 拉取镜像。 plaintext ctr image pull user tester testregistryhuadong1.crs.ctyun.cn/nstest/repotest: 2. 推送镜像。 plaintext ctr image tag testregistryhuadong1.crs.ctyun.cn/nstest/repotest: ctr image push user tester testregistryhuadong1.crs.ctyun.cn/nstest/repotest: 3. 示例： 使用ctr image ls命令查看本地镜像。 plaintext ctr image ls REF TYPE DIGEST SIZE PLATFORMS LABELS docker.io/library/busybox:latest application/vnd.docker.dist... sha256:3fbc632167424... 2.1 MiB linux/amd6 使用ctr image tag命令重命名镜像。 plaintext ctr image tag docker.io/library/busybox:latest testregistryhuadong1.crs.ctyun.cn/nstest/repotest:v1 使用ctr image push命令推送镜像。 plaintext ctr image push user tester testregistryhuadong1.crs.ctyun.cn/nstest/repotest:v1

本章节介绍云原生API网关的服务来源 概述 云原生API网关无缝对接天翼云注册配置中心（Nacos引擎、Eureka引擎）和云容器引擎，通过服务发现模块监听服务来源，动态感知后端服务。 说明 每种服务来源类型仅支持添加一个实例集群 创建云容器引擎服务来源 1. 进入云原生API网关控制台。 2. 在顶部菜单栏选择资源池。 3. 单击左侧导航栏实例 > 进入实例概览。 4. 单击左侧导航栏服务 > 服务来源标签页。 5. 点击创建来源，在配置页选择容器服务来源类型，在容器集群下拉列表中选择要添加的集群（当前仅支持添加与网关实例同VPC内的容器集群）。 6. 根据需要勾选是否监听K8s Ingress选项并配置监听命名空间的标签。 创建MSE Nacos服务来源 1. 进入云原生API网关控制台。 2. 在顶部菜单栏选择资源池。 3. 单击左侧导航栏实例 > 进入实例概览。 4. 单击左侧导航栏服务 > 服务来源标签页。 5. 点击创建来源，在配置页选择MSE Nacos服务来源类型，在MSE Nacos集群下拉列表中选择要添加的集群（当前仅支持添加与网关实例同VPC内的MSE Nacos集群）。 创建MSE Eureka服务来源 1. 进入云原生API网关控制台。 2. 在顶部菜单栏选择资源池。 3. 单击左侧导航栏实例 > 进入实例概览。 4. 单击左侧导航栏服务 > 服务来源标签页。 5. 点击创建来源，在配置页选择MSE Eureka服务来源类型，在MSE Eureka集群下拉列表中选择要添加的集群（当前仅支持添加与网关实例同VPC内的MSE Eureka集群）。

支持在线镜像制作和镜像共享。 预置镜像 训推服务预置了一些常用镜像，可以在创建任务时直接使用 自定义镜像 训推服务允许通过开发机和使用天翼云容器镜像服务来制作镜像，具体步骤如下： 使用开发机制作镜像 1. 启动在线制作环境：进入模型定制模块，选择模型开发，点击【JupyterLab】>【创建JupyterLab】或【VSCode】>【创建VSCode】，选择一个系统内置镜像，选择运行环境，提交后操作列点击启动 2. 镜像制作：等待启动成功，当创建的JupyterLab或VSCode的状态显示【运行中】后即可点击操作列【打开】，在开发环境中安装自己需要的软件和环境，退出，选中创建的JupyterLab或VSCode，操作列点【更多】>【制作镜像】，即可将容器中的操作环境打包成新的镜像，并出现在自定义镜像列表中，可参见模型开发制作镜像模块内容 从容器镜像服务导入 1. 登录天翼云容器镜像服务，在【同资源池】下，按需创建【个人版】或【企业版】，进入实例详情创建属于您自己的命名空间和镜像仓库。 2. 有了镜像仓库后，根据实例详情访问凭证中的指引通过公网地址将您的镜像上传至仓库中。 3. 进入训推服务平台镜像管理自定义镜像tab下，点击【从容器镜像导入】按钮，将您希望使用的镜像共享至训推服务平台，导入后您就可以在训推服务平台的自定义镜像中看到此镜像，在任务创建页面选择镜像时就可以使用该镜像。