本文介绍函数运行时的Web Crypto的定义与用法。 Web Crypto API为常见的加解密任务提供了一组基础函数，可通过全局crypto.subtle接口访问。 支持的算法 边缘函数计划支持Web Crypto标准的所有操作，如下表所示： Algorithm digest() generateKey() （即将支持） importKey() exportKey() （即将支持） sign() verify() encrypt() decrypt() （即将支持） wrapKey() unwrapKey() （即将支持） deriveBits() deriveKey() （即将支持） ::::::::::::::: MD5 √ SHA1 √ SHA256 √ SHA384 √ SHA512 √ HMAC √ √ √ AESCTR √ √ √ √ AESCBC √ √ √ √ AESGCM √ √ √ √ AESKW √ √ √ RSASSAPKCS1 v1.5 √ √ √ RSA PSS √ √ √ RSA OAEP √ √ √ ECDH √ √ √ ECDSA √ √ √ HKDF √ √ PBKDF2 √ √ 备注：MD5不是Web Crypto标准的一部分，但支持与需要MD5的旧系统交互。MD5被认为是一种弱算法。不要依赖MD5来保证安全。

步骤二：挂载弹性文件服务 1.以root用户登录弹性云主机，登录方式参考登录Linux弹性云主机。 2.执行以下命令安装NFS客户端。 yum y install nfsutils 3.执行如下命令创建本地路径“/nextcloud”。 mkdir /nextcloud 4.执行如下命令挂载文件系统。挂载地址可在文件系统详情页获取，参考查看文件系统。本地挂载路径为云主机上用于挂载文件系统的本地路径，本文采用上一步创建的“/nextcloud”。 mount t nfs o vers3,async,nolock,noatime,nodiratime,wsize1048576,rsize1048576,timeo600 挂载地址 本地挂载路径 5.挂载完成后使用 mount grep nextcloud查看挂载情况。 步骤三：安装Nextcloud服务 1.执行如下命令安装Docker。 curl fsSL bash s docker 2.执行如下命令启动Docker。 systemctl start docker 3.依次执行如下命令关闭防火墙。 systemctl stop firewalld.service 停止firewall systemctl disable firewalld.service 禁止firewall开机启动 4.执行 vi /etc/selinux/config打开config文件，将以下两条命令注释掉， SELINUXenforcing SELINUXTYPEtargeted 增加以下命令，关闭SELINUX： SELINUXdisabled 单击ECS退出编辑，输入"wq!"，保存退出config文件。在命令行执行以下命令，使配置生效： setenforce 0 6.执行如下命令拉取Nextcloud镜像。 docker pull nextcloud 7.执行如下命令创建Nextcloud容器并运行，Nextcloud参数说明见下表。 docker run p 7080:80 d v /nextcloud/:/var/www/html nextcloud 参数 说明 nextcloud 容器名称 /nextcloud/:/var/www/html 目录映射，/nextcloud/为数据文件存储的目录，此项配置可将网盘数据写入弹性文件系统中 p 7080:80 端口映射，本次使用7080端口 8. 执行如下命令，检查Nextcloud容器。可以查看Nextcloud的ContanerID 及端口情况，状态为'up'，说明Nextcloud容器运行中。 docker ps

本节介绍裸金属带宽的简介及查看方式。 概述 裸金属实例支持通过公网IP进行网络访问，同一集群内的裸金属通过不同VLAN进行网络隔离。 裸金属公网IP可以绑定独享带宽，也可以绑定共享带宽。当使用共享带宽时，各个裸金属绑定IP产生的公网流量使用共享带宽实例作为计费锚点。 独享带宽/共享带宽、带宽大小、计费方式在开通裸金属服务器时进行配置。 用户可以在【带宽列表】页面可以查看完整的裸金属服务器IP。 查看裸金属带宽 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘裸金属>带宽列表】。 3. 查看已创建的带宽列表。

本节介绍网络的用户指南： 网络策略。 背景信息 Kubernetes网络策略（NetworkPolicy）是一种用于控制容器网络访问的资源对象。它基于标签（Label）选择器定义允许的网络流量白名单，控制Pod 之间的通信、Pod与外部服务的连接行为。通过网络策略可以实现细粒度的网络隔离，提升集群的安全性。Cubecni容器网络插件的策略路由模式和IPVLAN模式支持网络策略，独占ENI模式不支持网络策略。 开启网络策略 Cubecni网络插件，若开启网络策略，会额外消耗一部分系统资源，默认不开启网络策略。可在订购集群时开启网络策略，或集群创建后再开启网络策略。 订购集群 订购集群，若使用Cubecni插件，可选择开启网络策略。 已有集群 Cubecni若不低于v1.1.1版本，可参考如下操作步骤开启网络策略： a. 登录云容器引擎控制台，左侧导航栏选择集群； b. 在集群列表页面，单击目标集群名称，进入集群管理页面； c. 左侧导航栏，选择工作负载 > 守护进程； d. 命名空间 选择kubesystem ，找到cubecni 服务，点击右侧的更多>查看YAML； e. 点击编辑，将环境变量CHAININGRUNMODE的值改为on，点击保存； f. 等待Cubecni服务重启，待运行/期望Pod数量相等，说明重启完成。 备注：如下所示，cubecnidaemon镜像版本不低于v1.1.1，则支持手动开启网络策略。

本文主要介绍节点池概述。 简介 为帮助您更好地管理Kubernetes集群内的节点，云容器引擎CCE引入节点池概念。节点池是集群中具有相同配置的一组节点，一个节点池包含一个节点或多个节点。 您可以在CCE控制台创建新的自定义节点池，借助节点池基本功能方便快捷地创建、管理和销毁节点，而不会影响整个集群。新节点池中所有节点的参数和类型都彼此相同，您无法在节点池中配置单个节点，任何配置更改都会影响节点池中的所有节点。 通过节点池功能您还可以实现节点的动态扩缩容（仅按需计费的节点池支持）： 当集群中出现因资源不足而无法调度的实例（Pod）时，自动触发扩容，为您减少人力成本。 当满足节点空闲等缩容条件时，自动触发缩容，为您节约资源成本。 本章节介绍节点池在云容器引擎（CCE）中的工作原理，以及如何创建和管理节点池。 节点池架构 图 节点池整体架构图 通常情况下，节点池内的节点均具有如下相同属性： 节点操作系统。 节点规格。 节点登录方式。 节点容器运行时。 节点Kubernetes组件启动参数。 节点自定义启动脚本。 节点“K8S标签”及“Taints”设置。 此外，CCE将同时围绕节点池扩展以下属性： 节点池级别操作系统。 节点池级别每节点的Pod数上限。

本节介绍了云容器引擎概览的入门指引。 操作场景 概览用于查看用户整体的集群和节点情况。集群部分展示资源使用情况、组件状态、节点状态、资源对象数量和异常Pod。 前提条件 登录云容器引擎控制台。你需要开通集群后才能在概览界面看到相应的数据。若没有集群，请参考：订购集群 进行创建。 集群的CPU使用率、内存使用率、磁盘使用率、Pod使用率需安装监控插件才能呈现。若要安装监控插件，请参考：插件市场 安装插件的内容进行安装，也可以在概览界面上进行快捷安装。 操作步骤 通过切换集群可以展示不同集群的资源使用情况、组件状态、节点状态、资源对象数量和异常Pod。

图解：DeepSeek与公有云深度融合 从基础设施到智能中枢：DeepSeek如何重塑公有云服务价值链 高性能GPU云主机助力DeepSeek深度应用 天翼云SDWAN与DeepSeek超强联动，开启云上高效互联新时代 实践指南：DeepSeek驱动高效能云生态 GPU云主机/弹性云主机：零基础搭建DeepSeek云端环境指南 GPU物理机：物理机搭建DeepSeek指南 SDWAN跨境：SDWAN助力DeepSeek模型定向加速 智算容器：云容器引擎与DeepSeek融合实践 函数计算：天翼云函数计算与DeepSeek大模型 Q&A：典型问题解析与策略应对 常见问题解答

本节介绍如何发布网络策略并查看发布记录。 在预发布策略确认无误后，可以选择正式发布策略。 发布策略 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“网络安全 > 策略管理”，进入策略管理页面。 3. 单击策略列表操作列内的“发布”按钮，可以将预发布的策略改为正式发布。 4. 修改后，发布状态将改变为“已发布”状态。 若要修改已经发布的策略，需要先单击策略列表操作列内的“撤销”按钮撤回已发布的策略，撤回后才支持进行编辑操作。 查看发布记录 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“网络安全 > 策略管理”，进入策略管理页面。 3. 单击策略列表右上方的“发布记录”按钮，即可查看策略发布记录。

操作场景 节点访问 ( NodePort )是指在每个节点的IP上开放一个静态端口，通过静态端口对外暴露服务。节点访问 ( NodePort )会路由到ClusterIP服务，这个ClusterIP服务会自动创建。通过请求 : ，可以从集群的外部访问一个NodePort服务。 约束与限制 “节点访问 ( NodePort )”默认为VPC内网访问，如果需要使用弹性IP通过公网访问该服务，请提前在集群的节点上绑定弹性IP。 创建service后，如果服务亲和从集群级别切换为节点级别，连接跟踪表将不会被清理，建议用户创建service后不要修改服务亲和属性，如需修改请重新创建servcie。 同一个节点内的容器不支持访问externalTrafficPolicy为local的service。 工作负载创建时设置 您可以在创建工作负载时通过控制台设置Service访问方式，本节以nginx为例进行说明。 步骤 1 参考创建无状态负载(Deployment)、创建有状态负载(StatefulSet)或创建守护进程集(DaemonSet)，在“工作负载访问设置”步骤，单击“添加服务”。 访问类型：选择“节点访问 ( NodePort )”。 说明： 如果需要使用弹性IP通过公网访问该服务，请提前在集群的节点上绑定弹性IP。 Service 名称：自定义服务名称，可与工作负载名称保持一致。 服务亲和： − 集群级别：集群下所有节点的IP+访问端口均可以访问到此服务关联的负载，服务访问会因路由跳转导致一定性能损失，且无法获取到客户端源IP。 − 节点级别：只有通过负载所在节点的IP+访问端口才可以访问此服务关联的负载，服务访问没有因路由跳转导致的性能损失，且可以获取到客户端源IP。 端口配置： − 协议：请根据业务的协议类型选择。 − 容器端口：容器镜像中工作负载实际监听的端口，取值范围为165535。 − 访问端口：容器端口映射到节点私有IP上的端口，建议选择“自动生成”。 自动生成：系统会自动分配端口号。 指定端口：指定固定的节点端口，默认取值范围为3000032767。若指定端口时，请确保同个集群内的端口唯一性。 步骤 2 完成配置后，单击“确定”。 步骤 3 单击“下一步：高级设置”进入高级设置页面，直接单击“创建”。 步骤 4 单击“查看工作负载详情”，在访问方式页签下获取访问地址，例如“192.168.0.160:30358”。 工作负载创建完成后设置 您可以在工作负载创建完成后对Service进行配置，此配置对工作负载状态无影响，且实时生效。具体操作如下： 步骤 1 登录CCE控制台，在左侧导航栏中选择“工作负载 > 无状态负载 Deployment”，在工作负载列表页单击要设置Service的工作负载名称。 说明： 如果当前Service被关联到Ingress，则更新Service的端口信息后Ingress将不可用，需要删除重建。 步骤 2 在“Service”页签，单击“添加Service”。 步骤 3 在“添加Service”页面，访问类型选择“节点访问 ( NodePort )”。 说明： 如果需要使用弹性IP通过公网访问该服务，请提前在集群的节点上绑定弹性IP。 步骤 4 设置节点访问参数： Service 名称：自定义服务名称，可与工作负载名称保持一致。 集群名称：工作负载所在集群的名称，此处不可修改。 命名空间：工作负载所在命名空间，此处不可修改。 关联工作 负载：要添加Service的工作负载，此处不可修改。 服务亲和： − 集群级别：集群下所有节点的IP+访问端口均可以访问到此服务关联的负载，服务访问会因路由跳转导致一定性能损失，且无法获取到客户端源IP。 − 节点级别：只有通过负载所在节点的IP+访问端口才可以访问此服务关联的负载，服务访问没有因路由跳转导致的性能损失，且可以获取到客户端源IP。 端口配置： − 协议：请根据业务的协议类型选择。 − 容器端口：容器镜像中工作负载程序实际监听的端口，需用户确定。nginx程序实际监听的端口为80。 − 访问端口：容器端口映射到节点私有IP上的端口，建议选择“自动生成”。 自动生成：系统会自动分配端口号。 指定端口：指定固定的节点端口，默认取值范围为3000032767。若指定端口时，请确保同个集群内的端口唯一性。 步骤 5 单击“创建”。工作负载已添加“节点访问 ( NodePort )”的服务。 验证访问方式 步骤 1 在管理控制台首页，单击“计算 > 弹性云主机”。 步骤 2 在弹性云主机页面，找到同一VPC内任意一台云服务器，并确认连接到访问地址中IP与端口的安全组是开放的。 步骤 3 单击“远程登录”，弹出登录页面，输入用户密码登录。 步骤 4 使用curl命令访问工作负载验证工作负载是否可以正常访问。 说明： 节点访问(NodePort)会在集群内节点上分配一个虚拟IP，即可以在集群内部通过虚拟IP的验证方式验证。其中，虚拟IP访问端口默认与容器端口一致。 如果需要使用弹性IP通过公网访问该服务，请提前在集群的节点上绑定弹性IP。 curl 192.168.0.160:30358 其中“192.168.0.160:30358”为步骤4中获取到的访问地址，即节点虚拟IP+访问端口。 回显如下表示访问成功。 Welcome to nginx! body { width: 35em; margin: 0 auto; fontfamily: Tahoma, Verdana, Arial, sansserif; } Welcome to nginx! If you see this page, the nginx web server is successfully installed and working. Further configuration is required. For online documentation and support please refer to Thank you for using nginx. 更新Service 您可以在添加完Service后，更新此Service的端口配置，操作步骤如下： 步骤 1 登录CCE控制台，在左侧导航栏中选择“资源管理 > 网络管理”，在Service页签下，选择对应的集群和命名空间，单击需要更新端口配置的Service后的“更新”。 步骤 2 在更新Service页面，访问类型选择“节点访问 ( NodePort )”。 步骤 3 更新节点访问参数： Service 名称：您创建的Service名称，此处不可修改。 集群名称：工作负载所在集群的名称，此处不可修改。 命名空间：工作负载所在命名空间，此处不可修改。 关联工作负载：要添加Service的工作负载，此处不可修改。 服务亲和： − 集群级别：集群下所有节点的IP+访问端口均可以访问到此服务关联的负载，服务访问会因路由跳转导致一定性能损失，且无法获取到客户端源IP。 − 节点级别：只有通过负载所在节点的IP+访问端口才可以访问此服务关联的负载，服务访问没有因路由跳转导致的性能损失，且可以获取到客户端源IP。 端口配置： − 协议：请根据业务的协议类型选择。 − 容器端口：容器镜像中工作负载程序实际监听的端口，需用户确定。nginx程序实际监听的端口为80。 − 访问端口：容器端口映射到节点私有IP上的端口，建议选择“自动生成”。 自动生成：系统会自动分配端口号。 指定端口：指定固定的节点端口，默认取值范围为3000032767。若指定端口时，请确保同个集群内的端口唯一性。 步骤 4 单击“更新”。工作负载已更新Service。

极速文件存储（SFS Turbo）具有按需申请，快速供给，弹性扩展，方便灵活等特点，适用于多种使用场景，主要面向DevOps、容器微服务、企业办公等场景。 图CCE挂载极速文件存储卷 极速文件存储说明 符合标准文件协议：用户可以将文件系统挂载给服务器，像使用本地文件目录一样。 数据共享：多台服务器可挂载相同的文件系统，数据可以共享操作和访问。 私有网络：数据访问必须在数据中心内部网络中。 直接使用云上现有IAAS服务构建独享的云文件存储，为租户提供数据隔离保护和IOPS性能保障，主要面向DevOps、容器微服务、企业办公等场景。 适用于多读多写（ReadWriteMany）场景下的各种工作负载（Deployment/StatefulSet）和普通任务（Job）使用。

名称 描述 CORSConfiguration 最多包含100个CORSRules元素的容器。 类型：容器 CORSRule 用户允许跨域的源和方法。 类型：容器。 子节点: AllowedOrigin、 AllowedMethod、MaxAgeSeconds、ExposeHeader、ID。 父节点: CORSConfiguration。 ID 规则的唯一标示。最长255个字符。 类型：字符串。 父节点: CORSRule。 AllowedMethod 用户允许跨域的HTTP方法。每个CORSRule应至少包含一个源和一个方法。 类型: 枚举。 取值：GET、PUT、HEAD、POST、DELETE。 父节点：CORSRule。 AllowedOrigin 用户允许跨域的源。最多包含一个 通配符。比如： 用户也可以只指定 表示允许所有源跨域访问。 类型：字符串。 父节点: CORSRule。 AllowedHeader 通过AccessControlRequestHeaders请求头，指定预检OPTIONS请求中允许的请求头。AccessControlRequestHeaders中的每个请求头名称，必须在规则中有匹配的相应条目。OOS将仅发送允许的响应头。规则中的每个 AllowedHeader 字符串可以最多包含一个 通配符字符。例如：xamz。 类型：字符串。 父节点：CORSRule。 MaxAgeSeconds 指定浏览器为预检请求缓存响应的时间 (以秒为单位)。 一个CORSRule最多包含一个MaxAgeSeconds元素。 类型：整型。 父节点：CORSRule。 ExposeHeader 指定客户应用程序 (例如，JavaScript XMLHttpRequest文件) 能够访问的响应头。 类型：字符串。 父节点: CORSRule。

创建桶 Bucket是用于存储对象（Object）的容器，所有的对象都必须隶属于某个Bucket。本文介绍如何创建桶（Bucket）。 接口定义 plaintext (void)listBuckets:(AWSRequest )request completionHandler:(void (^)(AWSS3ListBucketsOutput response, NSError error))completionHandler 参数说明 参数名 类型 说明 bucket NSString bucket名称 createBucketConfiguration AWSS3CreateBucketConfiguration 如果非NULL，则是用于授权签名的AWS区域 ACL AWSS3BucketCannedACL 设定的权限 代码示例 plaintext (void) createBucketWithName:(NSString) bucketName { AWSS3CreateBucketRequest request [[AWSS3CreateBucketRequest alloc] init]; request.bucket bucketName; [self.s3 createBucket:request completionHandler:^(AWSS3CreateBucketOutput Nullable response, NSError Nullable error) { if (error ! nil) { NSLog(@"error: %@", error); return; } }]; } 删除桶 Bucket是用于存储对象（Object）的容器，所有的对象都必须隶属于某个Bucket。本文介绍如何删除桶（Bucket）。 注意：待删除的bucket必须是空的，否则会报错。 接口定义 plaintext (void)deleteBucket:(AWSS3DeleteBucketRequest )request completionHandler:(void (^)(NSError error))completionHandler 参数说明 参数名 类型 说明 bucket NSString 要删除的bucket名 代码示例 plaintext (void) deleteBucketWithName:(NSString) bucketName { AWSS3DeleteBucketRequest request [[AWSS3DeleteBucketRequest alloc] init]; request.bucket bucketName; [self.s3 deleteBucket:request completionHandler:^(NSError Nullable error) { if (error ! nil) { NSLog(@"error: %@", error); return; } }]; } 判断桶是否存在 Bucket是用于存储对象（Object）的容器，所有的对象都必须隶属于某个Bucket。本文介绍如何判断桶（Bucket）是否存在。

创建桶 Bucket是用于存储对象（Object）的容器，所有的对象都必须隶属于某个Bucket。本章节介绍如何创建桶（Bucket）。 接口定义 plaintext // 简化接口 public Bucket createBucket(String bucketName) // 完整接口 public Bucket createBucket(CreateBucketRequest createBucketRequest) 参数说明 参数名 类型 说明 bucketName String bucket名称 region String 如果非NULL，则是用于授权签名的AWS区域 cannedAcl CannedAccessControlList 设定的权限 代码示例 plaintext public void CreateBuckets(String bucketName, OnS3ResponseListener listener) { GlobalThreadPool.getInstance().execute(() > { try { Bucket bucket sS3Client.createBucket(bucketName); ​ Handler mainHandler new Handler(Looper.getMainLooper()); mainHandler.post(() > listener.onResponse(bucket)); } catch (Exception e) { Handler mainHandler new Handler(Looper.getMainLooper()); mainHandler.post(() > listener.onError()); } }); } 获取桶列表 Bucket是用于存储对象（Object）的容器，所有的对象都必须隶属于某个Bucket。本章节介绍如何获取桶（Bucket）列表。 接口定义 plaintext public List listBuckets() 代码示例 plaintext public void ListBuckets(OnS3ResponseListener > listener){ GlobalThreadPool.getInstance().execute(() > { try { List list sS3Client.listBuckets(); ​ Handler mainHandler new Handler(Looper.getMainLooper()); mainHandler.post(() > listener.onResponse(list)); } catch (Exception e) { Handler mainHandler new Handler(Looper.getMainLooper()); mainHandler.post(() > listener.onError()); } }); } 判断桶是否存在 Bucket是用于存储对象（Object）的容器，所有的对象都必须隶属于某个Bucket。本章节介绍如何判断桶（Bucket）是否存在。

性能增强，可靠性增强 控制面和数据面在社区版本基础上进行可靠性加固和性能优化。 多基础设施 提供免运维的托管控制面，提供全局统一的服务治理，灰度、安全和服务运行监控能力，并支持对支持容器和VM等多种基础设施的统一服务发现和管理。 协议扩展 社区通用的HTTP、gRPC、TCP、TLS外扩展对Dubbo协议的支持。 传统SDK集成 提供Spring Cloud、Dubbo等传统微服务SDK的集成解决方案，传统的微服务SDK开发的业务代码无需大的代码修改即可迁移到云原生的容器和网格运行环境上来。

在云应用引擎中，应用配置可以通过 ConfigMap 和 Secret 管理，实现配置与容器镜像的分离。ConfigMap 适用于存储普通配置，如配置文件内容或命令行参数，更新配置无需重建镜像。 Secret 用于存储敏感信息，如密码、证书或密钥，数据在内存中安全处理并加密存储。两者都可通过文件挂载或环境变量注入容器。 资源类型 数据类型 注入方式 安全性 适用场景 ConfigMap 非敏感配置 文件挂载 / 环境变量 / 命令行参数 普通 配置频繁变动或公开数据 Secret 敏感信息 文件挂载 / 环境变量 高（加密存储） 密码、证书、密钥等机密数据 通过合理使用 ConfigMap 与 Secret，您可以实现 配置与应用解耦，提升应用管理的灵活性和安全性。

本文将向您介绍如何使用边缘安全加速平台安全与加速服务提供的Cookie防护功能。 功能介绍 采用Cookie加密、Cookie签名等方式对Cookie字段的字进行加密或签名，防止敏感信息泄露以及防护一些使用Cookie中的弱key进行权限绕过的漏洞利用，也能在一定程度上限制基于Cookie修改的爬虫。 注意 通过浏览器本地设置的Cookie，不适用该防护方式。边缘安全加速平台安全与加速服务防护的Cookie经过代理服务器设置修改，无法对浏览器通过js设置修改的Cookie操作。 背景信息 一些利用Cookie的攻击行为 Cookie盗用攻击 黑客等待合法用户登录系统之后，从合法用户浏览器中拿到名字为JSESSIONID的Cookie，将其放入黑客自己的浏览器的Cookie中，当黑客带着盗窃来的JSESSIONID访问系统时，后端系统会根据JSESSIONID找到对应的session，将该次请求当成是认证通过的用户发送的请求，如此黑客便可以客户的身份完成一系列敏感操作。 Cookie篡改攻击 当Cookie内容明文存储时，Cookie信息存在泄露风险。例如：Cookie内明文存储用户权限，当黑客篡改权限值，且服务端未重新校验Cookie当中的用户权限是否合法时，黑客将获得一系列提权操作。 Cookie信息泄露 Cookies内容存储含有用户密码，手机号，地址等信息时，Cookie一旦泄露，黑客将获取到客户敏感身份信息。 Cookie防护工作原理 Cookie加密 Cookie加密：针对Cookie信息当中存在明文数据或可修改内容进行加密，通过反向代理服务器将Cookie值进行替换，客户端获取到的将为加密数据信息，无法进行修改。客户请求经过代理服务器时，对应Cookie值会进行解密，明文传输给源站，保证源站无切换感知。 注意：Cookie内容通过浏览器解析后需要展示在客户端时，请勿使用Cookie加密和HTTP Only选项，会导致浏览器无法识别原始Cookie内容、js服务读取Cookie值。

本节主要介绍如何创建边缘虚拟机实例。 指定区域开通 1. 登录ECX控制台。 2. 单击左侧【边缘虚拟机>实例】导航栏。 3. 对于普通线上用户，点击【新建实例】；对于线下用户，点击【新建实例>指定区域开通】。 4. 选择【计费模式】，支持包年包月及按需计费。 5. 选择【地域】跟【可用区】，用户可根据其业务场景的需求选择就近节点接入。 6. 选择【CPU架构】，目前支持x86计算及ARM计算。 7. 根据选择的【CPU架构】选择【处理器型号】，其中x86架构已适配Intel、Hygon及AMD芯片，ARM架构已适配鲲鹏芯片。 8. 选择【实例规格】，选择不同地域可用区、CPU架构及处理器，实例规格库存不同。 9. 选择【镜像配置】，可按需选择公有镜像、自定义镜像、其他租户分享的共享镜像或镜像市场镜像。 10. 配置虚拟机存储，包括系统盘及数据盘。 11. 配置虚拟机网络，默认支持设置1张VPC网卡，选择该集群下已经创建的VPC及子网，也可通过点击下方的【VPC和子网】前往新建或调整VPC及子网，支持指定内网带宽上限，若不需访问公网，公网IP可选择暂不购买；对于线下用户，支持配置多张网卡。 12. 设置虚拟机【安全组】，支持打开新页面创建及管理安全组。 13. 配置虚拟机名称及登录凭证，目前支持自定义密码或自定义密钥。 14. 在【高级选项】配置实例的标签及高可用策略等。 15. 页面底部可设置实例数量及购买时长，鼠标停留在【配置费用】和【带宽费用】可显示具体费用明细。 16. 点击【下一步：确认购买】，若无问题则【提交购买】，跳转到订单中心，支付完成即可创建虚拟机。 注意 实际可购买的地域和可用区以库存展示为准。 实际可购买的实例规格以库存展示为准。 目前仅线下用户支持开通直通网卡，且最高绑定3张VPC网卡及5张直通网卡，若有相关需求，请联系您的客户经理开通权限。

本文主要介绍CCE AI套件（NVIDIA GPU）。 插件简介 CCE AI套件（NVIDIA GPU）是支持在容器中使用GPU显卡的设备管理插件，集群中使用GPU节点时必须安装此插件。 约束与限制 下载的驱动必须是后缀为“.run”的文件。 仅支持Nvidia Tesla驱动，不支持GRID驱动。 安装或重装插件时，需要保证驱动下载链接正确且可正常访问，插件对链接有效性不做额外校验。 gpubeta插件仅提供驱动的下载及安装脚本执行功能，插件的状态仅代表插件本身功能正常，与驱动是否安装成功无关。 安装插件 步骤 1 登录CCE控制台，单击集群名称进入集群，在左侧导航栏中选择“插件管理”，在右侧找到 gpubeta ，单击“安装”。 步骤 2 配置驱动链接地址。 注意 如果下载链接为公网地址，如nvidia官网地址 若下载链接为OBS上的链接，无需绑定EIP 。获取驱动链接方法请参考获取驱动链接OBS地址。 请确保Nvidia驱动版本与GPU节点适配。 更改驱动版本后，需要重启节点才能生效。 步骤 3 单击“安装”，安装gpubeta插件的任务即可提交成功。 验证插件 插件安装完成后，在GPU节点及调度了GPU资源的容器中执行nvidiasmi命令，验证GPU设备及驱动的可用性。 GPU节点 cd /opt/cloud/cce/nvidia/bin && ./nvidiasmi 容器 cd /usr/local/nvidia/bin && ./nvidiasmi 能正常返回GPU信息，说明设备可用，插件安装成功。

本节主要介绍计费模式。 云容器引擎（CCE）支持“按需计费”、“包年/包月”两种计费方式，供您灵活选择。

分类 对象 使用限制 仪表盘 仪表盘 1个区域中最多可创建50个仪表盘。 仪表盘 仪表盘中的图表 1个仪表盘中最多可添加20个图表。 仪表盘 仪表盘中图表可选资源、阈值规则、组件或主机的个数 1个曲线图中最多可添加100个资源，且资源可跨集群选择。 1个数字图只能添加1个资源。 1个阈值状态图表最多可添加10个阈值规则。 1个主机状态图表最多可添加10个主机。 1个组件状态图表最多可添加10个组件。 指标 指标数据 基础规格：指标数据最多保存7天。 指标 指标项 资源（例如，集群、组件、主机等）被删除后，其关联的指标项在数据库中最多保存30天。 指标 维度 每个指标的维度最多为20个。 指标 指标查询接口 单次最大可同时查询20个指标。 指标 统计周期 最大统计周期为1小时。 指标 单次查询返回指标数据 单个指标单次查询最大返回1440个数据点。 指标 上报自定义指标 单次请求数据最大不能超过40KB。 指标 应用指标 JOB指标 每个主机的容器个数超过1000个时，ICAgent将停止采集该主机应用指标，并发送“ICAgent停止采集应用指标”告警（告警ID：34105）。 每个主机的容器个数缩减到1000个以内时，ICAgent将恢复该主机应用指标采集，并清除“ICAgent停止采集应用指标”告警 。 由于JOB在完成任务之后，会自动退出。如果您需要监控JOB指标，要保证存活时间大于90秒才能采集到指标数据。 指标 采集器资源消耗 采集器在采集基础指标时的资源消耗情况和容器、进程数等因素有关，在未运行任何业务的VM上，采集器将消耗30M内存、1% CPU。为保证采集可靠性，单节点上运行的容器个数应小于1000。 阈值规则 阈值规则 一个项目下最多可创建1000个阈值规则。 阈值规则 发送通知可选择主题数 每个阈值规则最多可选择5个主题。 日志 单条日志大小 每条日志最大10KB，超出后ICAgent将不会采集该条日志，即该条日志会被丢弃 日志 日志流量 每个租户在每个Region的日志流量不能超过10MB/s。如果超过10MB/s，则可能导致日志丢失。 日志 历史日志 历史日志存储空间免费额度为500MB 日志 日志文件 只支持采集文本类型日志文件，不支持采集其他类型日志文件（例如二进制文件）。 日志 每个通过卷挂载日志的路径下，ICAgent最多采集20个日志文件。 日志 每个ICAgent最多采集1000个容器标准输出日志文件，容器标准输出日志只支持jsonfile类型。 日志 采集日志文件的资源消耗 日志文件采集采集时消耗的资源和日志量、文件个数及网络带宽、backend服务处理能力等多种因素强相关。 日志 日志丢失 采集器使用多种机制保证日志采集的可靠性，尽可能保证数据不丢失，但在如下场景可能导致日志丢失。 日志文件未使用CCE提供的logPolicy轮转策略。 日志文件轮转速度过快，如1秒轮转一次。 系统安全设置或syslog自身原因导致无法转发日志。 容器运行时间过短，例如小于30s。 单节点总日志产生速度过快，超过了单节点网络发送带宽或日志采集速度，建议单节点总日志产生速度<5M/s。 日志 日志丢弃 当单行日志长度超过10240字节时，此行会被丢弃。 日志 日志重复 当采集器被重启后，重启时间点附近可能会产生一定的数据重复。 日志 统计规则 一个日志桶下最多可创建5条统计规则。 告警中心 告警 您最多可查询最近30天的告警。 告警中心 事件 您最多可查询最近30天的事件。

本节介绍了容器镜像服务的产品规格。 规格说明：

本文介绍边缘函数请求过程中产生的错误码,方便问题排查。 终端用户请求错误 分类 定义 状态码 错误详情 :::: 函数错误 脚本异常：用户函数抛出JavaScript异常 500 Error Code: 1111 Function threw exception 函数错误 禁止访问网络 500 Error Code: 1113 Prohibit access to the intranet 函数错误 超出6个子请求限制 500 Error Code: 1115 Too many subrequests 函数错误 函数没有返回 response 500 Error Code: 1117 Illegal response 资源限制 用户函数超出运行时资源限制： CPU执行时长≤配置的函数规格（10ms） 内存≤128M 响应时长≤30s 500 Error Code: 1201 Exceeded resource limits 内部错误 内部错误 500 Error Code: 1301 Internal Error 函数错误 函数被禁用 500 Error Code: 1407 Function Forbidden

本文介绍修改默认网卡操作。 应用场景 业务变更、虚拟机网卡用途变更等场景。 使用说明 虚拟机存在多张网卡情况下，默认网卡为VPC网卡，且未绑定弹性公网IP，如需公网访问，需将已绑定公网IP的网卡设置为默认网卡。 前提条件 虚拟机存在多张网卡。 虚拟机已关机。 操作步骤 1. 登录ECX控制台。 2. 单击左侧【边缘虚拟机>实例】导航栏，点击列表上方的地域可以切换不同地域，选择需要操作的实例，单击实例名称。 3. 进入虚拟机详情页，单击【网卡】页签，找到需要设置为默认网卡的网卡所在位置，单击右侧的【设为默认网卡】，点击【是】提交后，重启虚拟机后生效。 4. 在默认网卡右侧可查看到默认网卡字样。

本文介绍了该产品的服务等级协议。 产品服务等级协议，详情参见《天翼云分布式容器云平台服务等级协议》。

本节介绍了云容器引擎的最佳实践：使用存储子目录为工作负载提供存储。 当需要将存储的特定子目录直接挂载至工作负载以实现高效数据存储时，云容器引擎提供了多种实现方式以支持该能力。 需求场景 当用户创建大容量文件存储时，为充分利用现有资源，可将不同子目录分配给多个工作负载使用。 若需实现数据层面的权限控制，可限制容器仅访问指定子目录。 对于习惯开源NFS使用方式的用户，可在已有文件存储基础上，通过为不同子目录创建独立的PVC并分配给对应工作负载，实现资源隔离。 每个工作负载拥有不同的子目录的方式便于管理，且可通过Pod名称区分子目录，提升运维效率。 方案选择 有以下两种方案： （1）复用现有存储：用户已有的存储对应一个PVC，无需额外创建PVC，可将同一PVC下的不同子目录分配给多个工作负载使用。 （2）动态分配子目录：用户使用海量文件存储时，每次可为不同工作负载动态分配一个子目录作为独立PVC。（注：此功能仅海量文件存储支持，其他存储产品不适用于子目录挂载场景。） 方案一：子目录挂载（多个子目录共享同一PVC） 在工作负载的数据存储配置界面，设置挂载路径为 /test，即存储卷将挂载至容器内的 /test 目录。子路径可选择 subPath 或 subPathExpr 模式。 subPath：简单直接，工作负载的所有副本均使用存储卷的同一子目录。 subPathExpr：支持通过环境变量动态调整子目录路径，实现同一工作负载中不同副本使用独立子目录。 若选择 subPath，直接填写子目录名称即可；若目录不存在，K8S会自动创建。若选择 subPathExpr，需按以下方式配置： 在第二个绿色箭头所指的框中，根据实际需求填写路径表达式。例如可使用 $(PODNAMESPACE)/$(PODNAME) 或 $(PODNAME)，也支持自定义格式。此处以 $(PODNAMESPACE)/$(PODNAME) 为例，需确保相关变量已在环境变量中预先定义。 根据以上示例，红框处需正确填写变量名，绿框处需选择变量值的来源。即从Pod的metadata.name字段获取PODNAME变量值，从metadata.namespace字段获取PODNAMESPACE变量值，并组合为存储的子目录路径。 例如：一个两副本的无状态工作负载位于命名空间cstor下，Pod名称分别为podA和podB。按此配置后，一个副本会将PVC对应存储下的cstor/podA子目录挂载至容器内的/test路径，另一副本则挂载cstor/podB子目录至相同路径。 若通过工作负载的YAML文件实现，相关字段配置如下： plaintext volumeMounts: name: workdir1 mountPath: /logs subPathExpr: $(PODNAMESPACE)/$(PODNAME) yaml的env的设置如下： plaintext spec: containers: name: container1 env: name: PODNAME valueFrom: fieldRef: apiVersion: v1 fieldPath: metadata.name name: PODNAMESPACE valueFrom: fieldRef: apiVersion: v1 fieldPath: metadata.namespace

本节介绍某公司权限设计及配置最佳实践。 概述 为方便企业中的管理人员对集群中的资源权限进行管理，分布式容器云平台提供了多种维度的细粒度权限策略和管理方式。分布式容器云平台的权限管理包括「统一身份认证服务（IAM）授权」和「Kubernetes RBAC授权」两种能力。IAM授权与Kubernetes RBAC授权，两者是完全独立的，互不影响，但要配合使用。具体解释如下： 统一身份认证服务（IAM）授权：是基于IAM策略的授权，可以让用户拥有集群管理、联邦管理、舰队管理等操作权限。 Kubernetes RBAC授权：集群中Kubernetes资源权限是基于Kubernetes RBAC能力的授权，通过权限设置可以让不同的用户或用户组拥有操作不同Kubernetes资源的权限。 假设A公司在分布式容器云平台管理多集群，公司中有多个职能团队，分别负责权限分配、资源管理、创建应用、流量分发、监控运维等。结合使用统一身份认证服务（IAM）与Kubernetes RBAC授权的权限管理，可以实现精细化授权的目标。 权限设计 下面我们以一个公司为例进行介绍。通常一个公司中有多个部门或项目，每个部门又有多个成员，所以在配置权限前需要先进行详细设计，并在设置权限之前提前为每个成员创建用户名，便于后续对用户进行用户组归属和权限设置。 下图为某公司某部门的结构示意图，我们将按照该设计对每个角色的权限设置进行演示。

本节介绍了插件FAQ。 云容器引擎提供了诸多类型的组件，涵盖容器核心组件、应用管理、日志监控、存储等方面，用户可以根据需求进行相应组件的安装、卸载、实例查看等。 本文所涉及组件可以在指定容器集群——“插件”——“插件市场”获取插件列表，主要介绍插件安装及使用过程中常见的问题及分析流程。 安装失败 在“插件”——“插件市场”——选择插件安装，完成相关参数配置后点击“安装”； 安装详情可以在“插件”——“插件实例”中看到相应插件实例，在状态栏查看实例运行状态，如果实例安装失败，可以通过查看状态栏的日志获取部署失败详情。 以下是常见的插件安装失败问题： 1、cstorcsi插件安装报 no matches for kind “PodSecurityPolicy” in version “policy/v1beta1 该报错见于在kubernetes v1.25集群上安装cstorcsi v3.1.0版本报错，报错原因是cstorcsi插件安装会部署PodSecurityPolicy资源，但该资源在k8s v1.25中被移除。 该问题解决方案有以下两种方式： 将cstorcsi升级至3.2.0，按原参数安装即可； 如不希望进行组件升级，可以将cstorcsi v3.1.0 value.yaml中，将参数podSecurityPolicy.enabled配置为false，卸载后重新安装即可。 2、cubenodelocaldns插件安装报 resource mapping not found for name: "ccsenodelocaldnsadmissioncontroller namespace "kubesystem" from "": no matches for kind "Certificate" in version "certmanager.io/v1"” 该报错是由于cubenodelocaldns插件安装依赖certmanager组件，请先在插件市场中安装certmanager，再重新安装cubenodelocaldns即可。

本节介绍了安全管理角色的用户指南。 操作场景 基于角色（Role）的访问控制（RBAC）是一种基于组织中用户的角色来调节控制对计算机或网络资源的访问的方法。 RBAC 的 Role 或 ClusterRole 中包含一组代表相关权限的规则。 这些权限是纯粹累加的（不存在拒绝某操作的规则）。 Role 总是用来在某个名字空间内设置访问权限； 在你创建 Role 时，你必须指定该 Role 所属的名字空间。与之相对，ClusterRole 则是一个集群作用域的资源。这两种资源的名字不同（Role 和 ClusterRole）是因为 Kubernetes 对象要么是名字空间作用域的，要么是集群作用域的，不可两者兼具。 前提条件 已创建云容器引擎集群，具体操作请参见创建一个集群。若已有容器集群，无需重复操作。 操作步骤 创建Role或Cluster Role 1. 登陆云容器引擎控制台， 点击左侧导航栏中的集群，进入集群列表页。 2. 在集群列表中点击需要创建Role的集群，进入集群管理页面。 3. 在集群管理页面导航栏中选择安全管理 > 角色，进入角色信息页面。 4. 在上⽅选项卡中选择Role或Cluster Role创建对应的角色，本文以Cluster Role为例。 5. 点击创建进入创建YAML页面，Yaml编辑窗口提供⼀个默认的Cluster Role Yaml模板，可参考模板创建需要的Cluster Role。

本节介绍资产的类型及如何查看资产列表。 “资产中心”是汇集所有功能模块的入口，旨在提高资源的利用率和管理效率，同时提升用户的使用体验。 资产按照不同板块分了5大类，分别为集群资产、镜像资产、节点资产、应用服务以及配置相关，也可通过搜索资产名称定位到您想要查找的资产。 资产分类 资产子类 集群资产 集群、命名空间、工作负载、Pod、容器 镜像资产 仓库、仓库镜像、节点镜像、软件包 节点资产 节点、进程、端口 应用服务 Ingress、Service、Endpoint、运行应用、软件框架、Web站点、Routes 配置相关 Secret、ConfigMap、PV、PVC、标签、Service Account、Role、Role binding 查看资产列表 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“资产中心”，进入资产中心页面。 3. 单击各资产卡片，可以跳转至对应资产列表页面。

本文主要介绍最佳实践 天翼云容器镜像服务最佳实践.pdf

名称 描述 ListBucketResult 包含响应的容器。 类型：容器。 子节点：Name、Prefix、Marker、MaxKeys、EncodingType、Delimiter、IsTruncated、NextMarker、Contents、CommonPrefixes Name Bucket的名称。 类型：字符串。 父节点：ListBucketResult。 Prefix 关键字以特定的前缀开始。 类型：字符串。 父节点：ListBucketResult。 Marker 标记从哪个位置开始罗列出bucket中的object。 类型：字符串。 父节点：ListBucketResult。 MaxKeys 响应中最多返回的条数。 类型：字符串。 父节点：ListBucketResult。 EncodingType Delimiter、Marker、Prefix、NextMarker、Key的编码类型。 类型：字符串。 父节点：ListBucketResult。 Delimiter 分隔符。 类型：字符串。 父节点：ListBucketResult。 IsTruncated 通过是（true）或否（false）来表示返回的结果是否为所有要求的结果。 类型：Boolean。 父节点：ListBucketResult。 NextMarker 若IsTruncated返回true，用户可以将NextMarker的值设置为下次请求中的marker参数，以便获取后续文件。 类型：字符串。 父节点：ListBucketResult。 Contents 每个Object返回的元数据。 类型：容器。 父节点：ListBucketResult。 子节点：Key，LastModified，Etag，Size，StorageClass。 Key 文件的关键字。 类型：字符串。 父节点：Contents。 LastModified 记录的文件最后一次被修改的日期和时间。 类型：字符串。 父节点：Contents。 ETag 通过MD5的方式计算出标签，ETag主要用来反映文件内容的信息发生了改变，并不反映元数据的变化。 类型：字符串。 父节点：Contents。 Size 记录文件object的大小。 类型：字符串。 父节点：Contents。 StorageClass 存储类型： STANDARD：标准存储。 STANDARDIA：低频访问存储。 类型：字符串。 父节点：Contents。 CommonPrefixes 当定义delimiter之后，返回结果中会包含CommonPrefixes，CommonPrefix中包含以prefix开头，delimiter结束的字符串组合，比如prefix是note/,同时delimiter是斜杠（/），结果中的note/summer/july/lotus.jpg将返回note/summer/，其余结果将按照Maxkeys要求返回。 类型：容器。 父节点：ListBucketResult。 子节点：Prefix。 CommonPrefixes.Prefix 如果请求中不包含Prefix参数，那么这个元素只显示那些在delimiter字符第一次出现之前的key的子字符串，且这些key不在响应的其它位置出现。 如果请求中包含Prefix参数，那么这个元素显示在prefix之后，到第一次出现delimiter之间的子串。 类型：字符串。 父节点：CommonPrefixes。

本节主要介绍上传镜像 创建完组织后，可以上传镜像到组织中，目前支持“客户端上传”和“页面上传”两种方式： 页面上传：直接通过页面将镜像上传到容器镜像服务。 客户端上传：使用命令将镜像上传到容器镜像服务的镜像仓库。 页面上传镜像 说明 每次最多上传10个文件，单个文件大小（含解压后）不得超过2G。 前提条件 已创建组织，请参见创建组织。 镜像已存为tar或tar.gz文件。 仅支持上传1.11.2及以上Docker客户端版本制作的镜像压缩包。 操作步骤 1、登录ServiceStage控制台，选择“软件中心 > 镜像仓库”。 2、在“我的镜像”页面右上角，单击“页面上传”。 3、在弹出的窗口中选择镜像要上传的“组织”，单击“选择镜像文件”，选择要上传的镜像文件。 说明 多个镜像同时上传时，镜像文件会按照顺序逐个上传，不支持并发上传。 4、在弹出的窗口中单击“开始上传”。 待任务进度显示“上传完成”，表示镜像上传成功。 说明 如果镜像上传失败，可能是以下原因： 网络异常，请检查网络状况。 HTTPS证书问题，可按F12键，将请求失败的URL复制到浏览器地址栏，重新打开并同意继续访问，然后返回上传页面尝试重新上传。 客户端上传镜像 说明 使用客户端上传镜像，镜像的每个layer大小不能超过10G。 前提条件 已创建组织，请参见创建组织。 上传镜像的容器引擎客户端版本必须为1.11.2及以上。