本文介绍如何镜像仓库管理。 用户可以对镜像仓库、镜像、及镜像标签进行管理，也可进行仓库公私有属性的设置，以下将对部分常用管理操作进行说明。 仓库、镜像删除 操作步骤 1.登录云容器引擎控制台，单击左侧导航栏的【镜像仓库】，进入仓库管理界面，用户可在操作列表执行仓库【删除】操作，但需注意删除镜像仓库前，必须先删除容器镜像仓库中所包含的镜像； 2.单击待删除的镜像仓库名称，进入仓库中的镜像列表页，用户可进行镜像删除操作，这里将删除包括所有标签的镜像； 3.点击需要删除的镜像，将进入镜像详情列表，在此可点击【删除】以删除不同标签的镜像，进行镜像的标签管理。

日志下载步骤 1. 登录边缘安全加速控制台。 2. 左侧导航栏选择【运营管理】【日志服务】【域名离线日志】。 3. 筛选产品服务为：安全与加速，筛选对应域名和时间后，单击下载对应域名的日志。 注意 已生效域名提供节点访问日志数据下载，默认支持近30天内的日志下载。 若有长时间导出日志需求，请

section76dd8f54e91f7f05)。 直通网卡修改IP 1. 登录ECX控制台。 2. 单击左侧【边缘虚拟机>实例】导航栏，点击列表上方的地域可以切换不同地域，选择需要操作的实例，单击实例名称。 3. 进入虚拟机详情页，单击【网卡】页签，点击桥接网卡右侧的【修改IP】。 4. 在修改IP弹窗页选择已购买的空闲公网IP，点击【确认】提交。 5. 操作成功后，需在虚拟机内执行cloudinit clean，并在控制台重启虚拟机生效。 6. 查看公网IPv4地址已变更。

参数名 描述 AM最多占有资源（%） 表示当前队列内所有Application Master所占的最大资源百分比。 每个YARN容器最多分配核数 表示当前队列内单个YARN容器可分配的最多核数，默认为1，表示取值范围内不限制。 每个YARN容器最大分配内存（MB） 表示当前队列内单个YARN容器可分配的最大内存，默认为1，表示取值范围内不限制。 最多运行任务数 表示当前队列最多同时可执行任务的数目，默认为1，表示取值范围内不限制（为空意义相同），为0表示不可执行任务。取值范围为1～2147483647。 每个用户最多运行任务数 表示每个用户在当前队列中最多同时可执行任务的数目，默认为1，表示取值范围内不限制（为空意义相同），为0表示不可执行任务。取值范围为1～2147483647。 最多挂起任务数 表示当前队列最多同时可挂起任务的数目，默认为1，表示取值范围内不限制（为空意义相同），为0表示不可挂起任务。取值范围为1～2147483647。 资源分配规则 表示单个用户任务间的资源分配规则，包括FIFO和FAIR。 一个用户若在当前队列上提交了多个任务，FIFO规则代表一个任务完成后再执行其他任务，按顺序执行。FAIR规则代表各个任务同时获取到资源并平均分配资源。 默认资源标签 表示在指定资源标签（Label）的节点上执行任务。 说明 如果需要使用新的资源池，需要修改默认标签为新的资源池标签。 Active状态 ACTIVE表示当前队列可接受并执行任务。 INACTIVE表示当前队列可接受但不执行任务，若提交任务，任务将处于挂起状态。 Open状态 OPEN表示当前队列处于打开状态。 CLOSED表示当前队列处于关闭状态，若提交任务，任务直接会被拒绝。

本文为您介绍如何使用ECI实例访问弹性文件数据。 背景信息 天翼云弹性文件服务（CTSFS，Scalable File Service）提供按需扩展的高性能文件存储，可以为ECI提供共享访问，具备高可用性和高数据持久性，为海量的小文件、低延迟高IOPS型应用提供有力支持。 前期准备 已开通天翼云弹性容器实例服务。 已创建至少一个弹性文件实例，且要求与待创建ECI实例归属同一VPC。 弹性文件需要满足按量计费模式，仅支持NFS协议。 操作步骤 天翼云弹性容器实例ECI支持用户通过控制台和OpenAPI等多种方式创建挂载弹性文件作为数据卷的ECI实例。下面将介绍在ECI实例中如何访问云硬盘中数据： 1. 打开ECI控制台页面。 2. 点击实例ID进入实例详情页面。 3. 点击“远程连接”，建立一个访问容器的通道。 4. 用户可以通过df h命令查看已挂载的文件系统及挂载目录。如下图所示，我们为ECI实例挂载了一块500G大小的弹性文件，挂载目录为/nastest。 5. 让我们尝试在/nastest目录下创建名为helloworld.txt的文件。 6. 让我们尝试读取/nastest目录下名为helloworld.txt的文件。

名称 描述 ContentLength 响应体的长度。只有客户端携带Expect: 102processing请求头，才会返回该响应头。 CopyObjectResult 包含所有返回元素的容器。 类型：容器。 子节点：LastModified、Etag。 LastModified 返回文件最后一次修改的日期。 类型：字符串。 父节点：CopyObjectResult。 ETag 返回新文件的ETag。ETag只反映文件内容发生了改变，元数据未改变。 类型：字符串。 父节点：CopyObjectResult。

智慧园区 适用场景 智慧园区中存在大量AI、视频渲染等对延时要求较高的需求，采用低延时的本地网络和一体机边缘算力，即可提供本地即得的算力保障。 方案优势 预配置天翼云平台，提供计算、存储、网络、安全、运维等服务，规模灵活、弹性扩展。 本地数据处理，减少带宽资源消耗，节省成本，且有效降低延时。 拥有完善的监控告警平台和售后服务体系，可提供724小时在线运维服务。 高速公路 适用场景 在高速公路场景中，收费站分布广、IT资产部署零散、无专职IT管理人员，无法实现资源快速、灵活部署，故障恢复时间比较久，亟需简单易运维、高可靠的边缘解决方案。 方案优势 预防停机的容错系统设计，故障时业务0中断，数据0丢失。支持在线不停机坏件更换，提升可用性。 管理平台简单易用，拥有完善的监控告警平台和售后服务体系，可提供724小时在线运维服务；线下多分支网点，可为客户提供个性化现场服务。 分支医疗 适用场景 分支医疗机构IT人员缺乏、设备繁多、运维管理成本过高，并且分支机构数据需要与区域医疗中心互联互通，需要可靠低成本的算力和网络解决方案。 方案优势 简化分支医疗机构的IT基础架构，便于快速部署和上线，满足规模扩张时，预安装极速开通的需求，同时便于管理维护。 采用物联网卡优化，实现分支医疗机构和区域医疗中心的互联互通，有利于形成和利用区域的医疗优势。

本节介绍网络的用户指南: 网络策略。 背景信息 Kubernetes网络策略（NetworkPolicy）是一种用于控制容器网络访问的资源对象。它基于标签（Label）选择器定义允许的网络流量白名单，控制Pod 之间的通信、Pod与外部服务的连接行为。通过网络策略可以实现细粒度的网络隔离，提升集群的安全性。Cubecni容器网络插件的策略路由模式和IPVLAN模式支持网络策略，独占ENI模式不支持网络策略。 开启网络策略 Cubecni网络插件，若开启网络策略，会额外消耗一部分系统资源，默认不开启网络策略。可在订购集群时开启网络策略，或集群创建后再开启网络策略。 订购集群 订购集群，若使用Cubecni插件，可选择开启网络策略。 已有集群 Cubecni若不低于v1.1.1版本，可参考如下操作步骤开启网络策略： a. 登录云容器引擎控制台，左侧导航栏选择集群； b. 在集群列表页面，单击目标集群名称，进入集群管理页面； c. 左侧导航栏，选择工作负载 > 守护进程； d. 命名空间 选择kubesystem ，找到cubecni 服务，点击右侧的更多>查看YAML； e. 点击编辑，将环境变量CHAININGRUNMODE的值改为on，点击保存； f. 等待Cubecni服务重启，待运行/期望Pod数量相等，说明重启完成。 备注：如下所示，cubecnidaemon镜像版本不低于v1.1.1，则支持手动开启网络策略。

本文介绍CCE容器集群拉取本地私有仓库镜像权限不足问题。 问题背景 用户自己搭建了一套harbor镜像仓库，并购买了天翼云的容器引擎产品。用户需要cce集群能够使用用户本地搭建的harbor镜像仓库中的镜像。 操作前提 保证该harbor仓库所在网络与cce容器引擎集群的网络是联通的 解决方案 准备好仓库的ca.crt文件 在初期进行harbor私有仓库搭建的时候，为了保证对于harbor的安全使用，对harbor的https访问进行配置，为了能够使cce集群拉取harbor的镜像，我们需要搭建harbor仓库时所使用的CA证书。证书通常存放在Harbor主机上的docker 证书目录：/etc/docker/certs.d/harbor域名/中，在/etc/docker/certs.d/harbor域名/ 中存放着我们所需要的文件：ca.crt 在cce集群上创建存放证书的文件夹 执行以下命令，创建文件夹，用于存放证书文件： mkdir p /etc/docker/certs.d/harbor域名/ 拷贝证书文件到指定文件夹 登陆本地harbor主机，将CA文件拷贝到集群主机指定文件夹下，执行以下命令： scp r /etc/docker/certs.d/harbor域名/ca.crt root@集群主机IP:/etc/docker/certs.d/harbor域名/ 验证 登陆集群节点，再集群节点上进行操作。 方法一：重新部署相关服务，验证是否能够正常拉取镜像。 方法二：通过登陆harbor仓库，执行拉取镜像操作： docker login harbor域名 docker pull 仓库名/镜像名:镜像tag

本文介绍如何创建实例并挂载公网IP。 默认情况下，系统只为ECI实例分配一个私网IP，如果ECI实例想要访问公网资源，可以为其绑定EIP，使得ECI实例与公网互通。 背景信息 为ECI实例配置公网连接时，支持以下方式： 配置方式 说明 适用场景 绑定EIP EIP是独立购买的可单独持有的公网IP地址，可以为绑定的ECI实例提供公网服务 您有一个ECI实例用于部署自研的服务，在创建实例时，您需要为该实例绑定EIP。而自研服务您打好镜像上传到自己的Docker Hub镜像仓库中，购买公网IP挂载到ECI实例中，您就能够通过公网的方式从您的Docker Hub中拉取自研容器镜像 配置说明 创建ECI实例时，支持为其绑定已有的EIP，或者自动创建EIP。在弹性容器实例订购页面的其他设置中，按需选择配置EIP的方式。 当选择“使用已有”时，通过下拉列表选择待绑定的EIP。如果您没有已创建的EIP，平台也支持跳转到EIP控制台页面进行创建，待EIP创建完毕后，点击刷新按钮，即可选择新创建的EIP资源。 当选择“自动创建”时，您按需选择EIP带宽峰值，平台在创建容器实例的同时自动创建EIP并绑定。

本节主要介绍计费模式 容器镜像服务目前商用免费。

删除应用 前提条件 若应用下还存在关联的应用实例，则无法删除。 在“应用详情“页面，单击右上角的“删除应用“，在弹出的对话框中单击 “确认”。 收藏应用 1. 登录微服务云应用控制台，选择“应用管理 > 应用列表”。 2. 点击项目名，在应用管理右侧选择应用分组，选择应用分组下的某个应用，单击应用名右侧的“收藏应用”。 取消收藏 1. 登录微服务云应用控制台，选择“应用管理 > 应用列表”。 2. 选择“收藏应用”，选择某个应用，单击应用名右侧的“取消收藏”。 应用详情 应用详情分为三块内容：部署信息、基本信息、发布记录。 部署信息 概述 查看应用的部署情况，根据不同的应用发布方式，分为容器应用实例、ECS应用实例。选择相应的页签去查看应用的部署详情。该应用所属的项目关联的环境下的应用实例数，根据不同环境展示不同环境下的应用实例部署信息。 1. 登录微服务云应用控制台，选择“应用管理 > 应用列表”。 2. 点击项目名，在应用管理下选择应用分组下的某个应用，单击应用名，单击右侧的“部署信息”。 环境：应用所属项目下关联的所有环境以及环境下已发布的应用实例数，勾选展示。 容器应用实例：容器部署方式下不同环境的应用实例列表信息。 ECS应用实例：Ecs部署方式下不同环境的应用实例列表信息。 应用实例列表基本信息：包含应用实例名称、运行实例数/期望实例数、实例总数、所属项目、所属分组、应用名称、部署单元、技术栈版本、标签、工作负载类型（容器应用实例）、发布时间、发布状态、实例来源、操作。

本文介绍客户控制台概览页相关模块的用途。 天翼云客户控制台可以帮助您新增加速域名，完成域名配置等基本操作，同时提供了统计分析和日志下载等服务，您可以了解自身业务的基本流量趋势。 客户控制台功能界面介绍： 1. 导航栏： 控制台左侧菜单栏主要功能为概览、域名管理、证书管理、数据分析、刷新预取、日志下载、计费详情、API文档。 概览：可展示今日或本月的流量/带宽、近七天流量/带宽趋势、证书统计、域名统计、产品计费、信息中心。 域名管理：支持添加加速域名、管理、删除已有加速域名，并可以对加速域名基本信息和配置信息进行更改，支持对域名配置变更生成的域名操作工单进行状态跟踪和闭环以及历史工单溯源查询。支持标签管理功能方便客户做域名分类管理。 证书管理：可供客户自助添加、删除https证书，查看证书详情。 数据分析：数据分析模块支持客户自助查询，主要包含：用量分析、热门分析、用户分析。 刷新预取：您可以选择URL刷新、目录刷新、正则刷新和URL预取。 日志下载：可通过搜索域名、选择时间，下载该域名在该时间段的日志。 诊断工具：可通过该诊断工具查询指定IP是否为天翼云CDN节点IP以及对应归属地。 边缘函数：可创建边缘函数、查看已创建边缘函数的使用情况。 计费详情：可查看或变更各产品的计费方式、查看资源包的用量、历史操作记录。 API文档：可查看平台已支持客户调用的API功能及相关语法说明。 2. 流量/带宽： 展示客户所有域名的今日或者本月的总流量、峰值带宽。 3. 近七天趋势： 展示客户所有域名的近七天总流量趋势和带宽趋势图。 4. 证书统计： 统计客户证书总数和即将过期的证书数量。 5. 域名统计： 分别统计全部产品的额度、已配域名、授权域名和各个产品的额度、已配域名、授权域名。并且可以管理、添加域名，进入刷新预取的页面。 6. 产品计费： 展示客户使用的每个产品的计费方式，并且可以快捷进入订购全站加速资源包页面。 7. 信息中心： 该区域分为公告、域名信息、常见问题、使用手册四部分。 公告：显示更新说明、版本发布、相关动态等信息。 域名信息：显示域名的操作信息。 常见问题：介绍在使用天翼云全站加速中所遇到的常见问题的解决方案。 使用手册：介绍客户如何使用控制台的操作手册。 8. 语言切换： 支持客户通过语言切换按键，使用简体中文或English访问客户控制台页面，当切换到【English】后，控制台界面将切换为全英文展示。

本节介绍裸金属带宽的简介及查看方式。 概述 裸金属实例支持通过公网IP进行网络访问，同一集群内的裸金属通过不同VLAN进行网络隔离。 裸金属公网IP可以绑定独享带宽，也可以绑定共享带宽。当使用共享带宽时，各个裸金属绑定IP产生的公网流量使用共享带宽实例作为计费锚点。 独享带宽/共享带宽、带宽大小、计费方式在开通裸金属服务器时进行配置。 用户可以在【带宽列表】页面可以查看完整的裸金属服务器IP。 查看裸金属带宽 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘裸金属>带宽列表】。 3. 查看已创建的带宽列表。

本页主要介绍云容器引擎产品的API使用说明。 OpenAPI门户提供了产品的API 文档、API调试、SDK中心等。 关于用户如何使用云容器引擎产品API的详细介绍，请参见使用API。您可以在OpenAPI门户了解到具体的调用前必知、API概览、如何调用API以及具体的API的接口详细说明。 Java SDK：ccesdkjavav2.0.5.tar.gz Go SDK：ccesdkgov2.0.3.tar.gz

本节介绍了RBAC授权的用户指南。 操作场景 角色绑定（Role Binding）是将角色中定义的权限赋予一个或者一组用户。它包含若干主体（用户、组或服务账户）的列表和对这些主体所获得的角色的引用。 RoleBinding 在指定的名字空间中执行授权，而 ClusterRoleBinding 在集群范围执行授权。一个 RoleBinding 可以引用同一的名字空间中的任何 Role。 或者，一个 RoleBinding 可以引用某ClusterRole 并将该 ClusterRole 绑定到RoleBinding 所在的名字空间。如果你希望将某 ClusterRole 绑定到集群中所有名字空间，你要使⽤ClusterRoleBinding。 前提条件 已创建云容器引擎集群，具体操作请参见创建⼀个集群。若已有容器集群，⽆需重复操作。 操作步骤 注意 子账号来自于天翼云的 ，请提前创建好子用户，并需子用户登陆天翼云后才可以同步到云容器引擎控制台。 为⼦账号授权或调整子账号权限： 1、登陆云容器引擎控制台， 点击左侧导航栏中的集群，进入集群列表页。 2、在集群列表中点击需要授权的集群，进入集群管理页面。 3、在集群管理页面导航栏中选择安全管理 > 授权，进入角色授权页面。 4、点击管理权限操作单个子账号权限，或选择多个子账号后点击添加权限为多个子账号批量授权，点击后进入集群RBAC配置页面。 5、在集群RBAC配置页面中，可以对子账号已有的用户权限进行调整或为子账号新增权限，权限可以限定单个命名空间或不限制命名空间（集群权限），⽤户可设置的权限有内置权限（管理员、运维人员、开发人员、受限人员）和自定义权限，选择自定义权限可选择集群中创建的任意Cluster Role进行授权。 6、点击下⼀步完成授权。

本节主要介绍使用限制。 集群和节点 云容器引擎对单个用户的资源数量和容量限定了配额，默认情况下，您最多可以创建50个集群（每个Region下），每个集群中可以选择50节点、200节点、1000节点、2000节点几种规格。 非高可用模式的集群在控制节点故障后将不可用，影响业务功能，不适用于商用场景，建议您选择“高可用”模式。 集群创建时将默认创建名称带有“cce”标识的安全组规则，删除或修改后可能导致集群无法正常使用。 集群名称、集群规模、高可用开关、网络模型、网段配置、服务转发模式在集群创建后将无法修改，请谨慎选择。 CCE集群默认安装采集探针，方便您在Web界面查看集群资源的日志和监控信息。 集群一旦创建以后，不支持变更以下项： 变更集群的控制节点数量，例如非高可用集群（控制节点数量为1）变更为高可用集群（控制节点数量为3）。 变更控制节点可用区。 变更集群的网络配置，如所在的虚拟私有云VPC、子网、容器网段、服务网段、IPv6、kubeproxy代理（转发）模式。 变更网络模型，例如“容器隧道网络”更换为“VPC网络”。 CCE创建的ECS实例（节点）目前支持“按需计费”和“包年/包月”，其他资源（例如负载均衡）为按需计费。如果资源所属的服务支持将按需计费实例转换成包年/包月实例，您可以通过对应的控制台进行操作。 集群中纳管计费模式为“包年包月”的节点时，无法在CCE控制台为其续费，用户需前往ECS控制台单独续费。 由于ECS（节点）等CCE依赖的底层资源存在产品配额及库存限制，创建集群、扩容集群或者自动弹性扩容时，可能只有部分节点创建成功。 ECS（节点）规格要求：CPU ≥ 2核且内存 ≥ 4GB。 通过搭建VPN方式访问CCE集群，需要注意VPN网络和集群所在的VPC网段、容器使用网段不能冲突

本文向您介绍,如何自定义安全能力响应的拦截页面。 功能介绍 目前触发安全能力中拦截策略会给请求响应默认的拦截页面。若用户有自定义拦截页面的需求，可以通过本节功能进行配置。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 购买高级版及以上版本，请参见安全与加速服务版本差异比对。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【访问控制/限流】【Web应用防火墙】【Bot防护】菜单，并在左侧域名列表选择您要配置拦截页面的域名。 3. 点击右上角【自定义拦截页面】，即可进行配置。 注意 配置中或已停用的域名不支持变更配置。 配置说明 添加自定义拦截页面 每个域名最多支持设置5条自定义拦截页面。 配置项 配置项说明 功能开关 自定义拦截页面的功能开关。开启后当前域名将按照您配置的拦截页面做响应，若关闭则响应默认的拦截页面。 页面名称 配置拦截页面的名称，相同域名下的拦截页面名称不可重复。 关联防护功能 即自定义拦截页面需要与哪些防护功能进行关联。 请求命中所选的防护功能时，将返回自定义拦截页面。目前仅部分防护策略支持配置自定义拦截页面，详见控制台。 响应码 支持自定义响应码，响应码支持填写200600之间的正整数。 页面类型 支持HTML、JSON与自定义 contenttype头部值 当页面类型选择【自定义】时，需要自定义填写contenttype头部值 页面响应内容 配置页面响应内容，您可以参考页面提供的示例进行配置。 目前有9类标签暂时限制输入，分别如下： a href、img src、script、iframe、frameset、embed、object、applet、layer

对比项 一体机 公有云 自建IT设施/传统私有云 主要行业 教育、医疗、政府、金融、军工等 通用、互联网 政府、金融 主打场景 本地化、数据安全、企业边缘 弹性、稳定 本地化 核心价值 快速交付、安全可控、低时延 高弹性 安全可控 标准化交付 √ √ × 敏捷扩容 √ √ × 运维托管 √ √ × 低起建门槛 √ √ × 低时延 √ × √ 数据本地化 √ × √ 数据就近处理 √ × √ 物理强隔离 √ × √

产品简介 极速缓存（HPKV，High Performance KVCache）是天翼云自主研发的模型推理多级 KV Cache 缓存服务，扩展了受显存容量限制的 Prefix Cache 能力，将 KV Cache 跨请求复用能力进一步扩展到 CPU 内存（分布式内存池）和高性能存储（SSD、HPFS）。 云容器引擎提供高度可扩展的、高性能的Kubernetes集群、一站式容器服务；兼容主流国产化服务器和操作系统，取得全栈国产化适配认证证书。其整合了镜像、监控、日志、负载均衡、灰度/蓝绿、多种弹性策略、高效调度、集群插件、模板市场等基础能力，帮助企业快速构建和运行可弹性扩展的应用，实现业务的快速交付与持续创新。 模板市场是云容器引擎基于 Kubernetes Helm 提供的应用模板管理与发布能力。您可以将 HPKV 模板（Chart）上传至模板市场，实现快速部署与后期管理，大幅简化 Kubernetes 资源的配置部署过程。 并行文件服务 HPFS 作为极速缓存 HPKV 的多级存储层，承担模型文件、缓存数据的持久化与高并发读写任务。HPFS 让缓存存储从 GB 级显存扩展至 PB 级，通过全链路 RDMA 与 IB/RoCE 高速网络协议提供千万级 IOPS 与 TBps 级吞吐，同时保证亚毫秒级延迟，达成最佳成本效益。

本节介绍云容器引擎的最佳实践:密钥Secret的安全使用。 在Kubernetes中，您可以使用Secret对象来存储敏感信息，例如密码、OAuth令牌和ssh密钥等。但Secret在etcd中以base64编码格式存储，base64编码不等于加密。因此建议用如下方式使用Secret。 严格限制Secret权限 通过文件挂载的方式使用Secret时，容器内映射的文件权限默认为0644，建议为其配置更严格的权限，例如： apiversion: v1 kind: Pod metadata: name: podauth spec: containers: name: mypod image: nginx volumeMounts: name: example mountPath: "/etc/example" volumes: name: example secret: secretName: mysecret defaultMode: 256 其中“defaultMode： 256”，256为10进制，对应八进制的0400权限。 “隐藏”Secret文件 使用文件挂载的方式时，通过配置Secret的文件名实现文件在容器中“隐藏”的效果： apiVersion: v1 kind: Secret metadata: name: mysecretfile data: .mysecretfile: dmFsdWUtMg0KDQo apiVersion: v1 kind: Pod metadata: name: mysecretfilepod spec: volumes: name: myvolume secret: secretName: mysecretfile containers: name: secretcontainer image: nginx command: ls "1" "/etc/volume" volumeMounts: name: myvolume readOnly: true mountPath: "/etc/volume" 这样.mysecretfile目录在/etc/volume/路径下通过“ls l”查看不到，但可以通过“ls al”查看到。 加密Secret文件内容 用户应在创建Secret前自行加密敏感信息，使用时再解密。

本节介绍了安全管理角色的用户指南。 操作场景 基于角色（Role）的访问控制（RBAC）是一种基于组织中用户的角色来调节控制对计算机或网络资源的访问的方法。 RBAC 的 Role 或 ClusterRole 中包含一组代表相关权限的规则。 这些权限是纯粹累加的（不存在拒绝某操作的规则）。 Role 总是用来在某个名字空间内设置访问权限； 在你创建 Role 时，你必须指定该 Role 所属的名字空间。与之相对，ClusterRole 则是一个集群作用域的资源。这两种资源的名字不同（Role 和 ClusterRole）是因为 Kubernetes 对象要么是名字空间作用域的，要么是集群作用域的，不可两者兼具。 前提条件 已创建云容器引擎集群，具体操作请参见创建一个集群。若已有容器集群，无需重复操作。 操作步骤 创建Role或Cluster Role 1. 登陆云容器引擎控制台， 点击左侧导航栏中的集群，进入集群列表页。 2. 在集群列表中点击需要创建Role的集群，进入集群管理页面。 3. 在集群管理页面导航栏中选择安全管理 > 角色，进入角色信息页面。 4. 在上⽅选项卡中选择Role或Cluster Role创建对应的角色，本文以Cluster Role为例。 5. 点击创建进入创建YAML页面，Yaml编辑窗口提供⼀个默认的Cluster Role Yaml模板，可参考模板创建需要的Cluster Role。

本节介绍了:指标告警的用户指南。 应用场景 在云容器引擎服务中，资源监控已经对接了云监控服务，并能够使用云监控提供的指标告警能力。 前提条件 已创建集群，具体操作请参见 用户指南 > 集群 > 新建集群 章节。若已有集群，无需重复操作。 集群已安装ccsemonitor插件，可参考 用户指南 > 插件 章节 创建通知组 登陆云容器引擎控制台， 点击左侧导航栏中的集群，进入集群列表页面。 在集群列表中点击需要配置告警的集群，进入集群管理页面. 左侧菜单栏选择 运维管理 > 指标告警 > 通知组 进入通知组配置页面。 通知组支持联系人、翼连、WebHook集成三种通知对象，其中联系人支持手机号（短信）和邮箱（邮件）、翼连支持发送到翼连群、WebHook支持发送到用户指定的WebHook后端。 创建基础策略 登陆云容器引擎控制台， 点击左侧导航栏中的集群，进入集群列表页。 在集群列表中点击需要配置告警的集群，进入集群管理页面。 左侧菜单栏选择 运维管理 > 指标告警 > 告警策略 进入通知策略配置页面，点击按钮创建通知策略 创建通知策略。 通知策略可以配置通知对象、通知模板、渲染API地址、通知时段，其中通知对象为用户在通知组设置的对象，邮件、短信、翼连三种告警方式支持分别独立配置模板，一般没有特殊需求使用默认模板即可。

本文为您介绍如何使用ECI实例访问云硬盘数据。 背景信息 天翼云硬盘（CTEVS，Elastic Volume Service）是一种可弹性扩展的块存储设备，可以为ECI提供高性能、高可靠的块存储服务。天翼云硬盘规格丰富，满足不同场景的业务需求，适用于文件系统、数据库、开发测试等场景。 前期准备 已开通天翼云弹性容器实例服务。 已创建至少一块云硬盘，且要求与待创建ECI实例归属同一可用区。 云硬盘需要满足按量计费模式，VBD模式，非共享，状态未挂载等要求。 操作步骤 天翼云弹性容器实例ECI支持用户通过控制台和OpenAPI等多种方式创建挂载云硬盘作为数据卷的ECI实例。下面将介绍在ECI实例中如何访问云硬盘中数据： 1. 打开ECI控制台页面。 2. 点击实例ID进入实例详情页面。 3. 点击“远程连接”，建立一个访问容器的通道。 4. 可以通过df h命令查看已挂载的文件系统及挂载目录。如下图所示，我们为ECI实例挂载了一块30G大小的云硬盘，挂载目录为/disktest。 5. 让我们尝试向云硬盘中写入文件，执行 echo 'ctyun yyds' > /disktest/evs.txt 命令。这段命令的含义是向云硬盘下的evs.txt文件中写入'ctyun yyds'。 6. 让我们参数从云硬盘中读文件，执行cat /disktest/evs.txt命令。这段命令的含义是读取云硬盘下的evs.txt文件。

概述 应用运维管理服务（AOM）可以监控和查看ServiceStage服务的运行状态、各个指标的使用情况，并对监控项创建告警规则。 当您使用ServiceStage服务部署组件后，AOM服务能关联通过在ServiceStage部署组件的监控指标，帮助您实时掌握组件的各项性能指标，精确掌握组件运行情况。 设置监控及告警 ServiceStage支持容器和虚机两种组件部署方式。 设置容器部署组件监控及告警 CCE会配合AOM对集群进行全方位的监控，在创建节点时会默认安装AOM的ICAgent（在集群kubesystem命名空间下名为icagent的DaemonSet），ICAgent默认采集集群底层资源以及运行在集群上负载的监控数据并上传到AOM。另外，设置应用组件自定义指标监控后，ICAgent还能采集负载的自定义指标监控数据并上传到AOM。 参考设置资源监控告警阈值，完成阈值告警规则设置后，组件运行过程中产生的各种告警会上传到AOM。 支持的监控指标 指标是对资源性能的数据描述或状态描述。 容器部署组件支持的监控指标 容器部署组件的资源基础监控包含CPU、内存、磁盘等，具体请参考下表。 表 资源监控指标 监控指标 指标含义 取值范围 单位 CPU内核总量(cpuCoreLimit) 该指标用于统计测量对象申请的CPU核总量。 ≥1 核（Core） CPU内核占用(cpuCoreUsed) 该指标用于统计测量对象已经使用的CPU核个数。 ≥0 核（Core） CPU使用率(cpuUsage) 该指标用于统计测量对象的CPU使用率。服务实际使用的与申请的CPU核数量比率。 0～100% 百分比（Percent） 物理内存总量(memCapacity) 该指标用于统计测量对象申请的物理内存总量。 ≥0 兆字节（Megabytes） 物理内存使用率(memUsage) 该指标用于统计测量对象已使用内存占申请物理内存总量的百分比。 0～100% 百分比（Percent） 物理内存使用量(memUsed) 该指标用于统计测量对象实际已经使用的物理内存（Resident Set Size）。 ≥0 兆字节（Megabytes） 磁盘读取速率(diskReadRate) 该指标用于统计每秒从磁盘读出的数据量。 ≥0 千字节/秒（Kilobytes/Second） 磁盘写入速率(diskWriteRate) 该指标用于统计每秒写入磁盘的数据量。 ≥0 千字节/秒（Kilobytes/Second） 下行Pps(recvPackRate) 每秒网卡接收的数据包个数。 ≥0 个/秒（Packets/Second） 文件系统容量(filesystemCapacity) 该指标用于统计测量对象文件系统的容量。 仅支持1.11及其更高版本的kubernetes集群中驱动模式为devicemapper的容器。 ≥0 兆字节（Megabytes） 下行Bps(recvBytesRate) 该指标用于统计测试对象的入方向网络流速。 ≥0 字节/秒（Bytes/Second） 下行包错率(recvErrPackRate) 每秒网卡接收的错误包个数。 ≥0 个/秒（Packets/Second） 上行Pps(sendPackRate) 该指标用于统计测试对象的出方向网络流速。 ≥0 字节/秒（Bytes/Second） 上行包错率(sendErrPackRate) 每秒网卡发送的错误包个数。 ≥0 个/秒（Packets/Second） 上行Bps(sendBytesRate) 该指标用于统计测试对象的出方向网络流速。 ≥0 字节/秒（Bytes/Second） 容器错包个数(rxPackErrors) 该指标用于统计测量对象收到错误包的数量。 ≥0 个（Packets） 线程数(threadsCount) 该指标用于统计主机中当前创建的线程数量。 ≥0 无 文件系统可用(filesystemAvailable) 该指标用于统计测量对象文件系统的可用大小。 仅支持1.11及其更高版本的Kubernetes集群中驱动模式为devicemapper的容器。 ≥0 兆字节（Megabytes） 文件系统使用率(filesystemUsage) 该指标用于统计测量对象文件系统使用率。实际使用量与文件系统容量的百分比。 仅支持1.11及其更高版本的Kubernetes集群中驱动模式为devicemapper的容器。 ≥0 百分比（Percent） 句柄数(handleCount) 该指标用于统计测量对象使用的句柄数。 ≥0 无 组件状态(status) 该指标用于统计应用组状态是否正常。 l 0：表示正常l 1：表示异常 无 虚拟内存总量（virMemCapacity） 该指标用于统计测量对象申请的虚拟内存总量。 ≥0 兆字节（Megabytes）

服务后缀 服务说明 zos dns msgc crs apm lts faas gts 全局事务：该服务由天翼云全局事务服务提供，全局事务服务是一款专为实现分布式环境下高性能事务一致性而设计的服务工具。它可以与MySQL、PostgreSQL等数据源，以及Spring Cloud、Dubbo等RPC框架和消息队列等中间件产品配合混合使用，以支持用户各种分布式数据库事务、多库事务、消息事务和服务链路级事务的组合需要 prome 应用性能监控：Prometheus监控为云上托管Prometheus服务，可为您的容器集群提供多种开箱即用的预置监控大盘与监控规则，实现免搭建的高效运维场景。 ags Agent沙箱：Agent 沙箱提供安全、弹性、可扩展的云端沙箱运行环境。在使用Agent沙箱产品时，通过连接该终端节点服务，可实现在内网调用沙箱服务。

本文主要介绍 节点磁盘检查。 检查项内容 当前检查项包括以下内容： 检查节点关键数据盘使用率是否超过95% 检查/tmp目录是否存在500MB可用空间 解决方案 节点升级过程中需要使用磁盘存储升级组件包，使用/tmp目录存储临时文件。 (1) 问题场景一：磁盘使用率超过95% 请执行以下检查命令，检查当前各关键磁盘的空间使用情况，删除整理确保各空间使用率均小于95%后，重试检查。 docker容器运行时磁盘分区 df h /var/lib/docker contianerd容器运行时磁盘分区 df h /var/lib/containerd kubelet磁盘分区 df h /var/lib/docker 系统盘 df h / (2) 问题场景二：/tmp目录空间不足 请执行以下检查命令，检查当前/tmp目录所在文件系统的空间使用情况，删除整理确保空间大于500MB后，重试检查。 df h /tmp

本文介绍容器安全卫士防护配置类常见问题。 标准版支持设置单条防护规则的防护状态吗？ 支持。 标准版提供具体防护规则的防护开关。您可以根据业务需要选择开启或关闭规则的防护。 标准版支持对同一节点下发不同防护策略吗？ 不支持。默认使用“默认策略”进行防护，创建策略时已生成防护策略的节点是不可重复选择的。若想重新配置策略，需要先解绑已有策略，然后再重新绑定。 标准版支持入侵检测规则自定义吗？ 支持。可以在“容器安全 > 策略管理”中进行自定义，包括命令执行、网络活动、读写文件、文件内容。 标准版镜像安全扫描支不支持仓库镜像扫描？ 支持。除了支持天翼云仓库以外，还支持Harbor、JFrog、Huawei、Huawei CCE Agile、AWS、Aliyun、Registry、Microsoft。

当前开通应用服务网格CSM需要您先开通云容器引擎实例，开通服务网格时需要您先选择已经开通的云容器引擎集群，用于部署服务网格控制面。应用服务网格CSM架构图如下： 当前应用服务网格CSM支持多集群模式，主集群（Primary）用于部署网格控制面，通过ELB向其他从集群（Remote）暴露控制面服务（包括xDS、webhook等接口）。

此小节介绍主机风险总览。 企业主机安全在控制台提供总览页面，实时展示您所有资产的安全评分、安全风险、防护地图等，帮助您了解主机和容器的安全状态以及存在的安全风险。 查看总览 1、登录管理控制台。 2、在左侧导航树选择“总览”，进入总览页查看资产安全信息。 说明 如果您的服务器已通过企业项目的模式进行管理，您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。 区域 说明 配额数量及待升级Agent数 展示当前您已购买的各版本HSS防护配额总数和使用情况，以及待升级Agent数量。 单击对应防护配额的总数值，可跳转到防护配额界面查看防护配额列表。 单击待升级Agent数值，可跳转到Agent管理界面查看并升级Agent。 说明：企业主机安全会持续优化提升服务能力，包括但不限于新增功能、优化缺陷，因此会定期迭代版本。请及时将主机上的Agent升级为最新版，以便您可以享受到更好的企业主机安全。 安全评分 安全风险评分范围为0~100分，无风险资产默认为100分，HSS会根据资产中存在的基线风险、漏洞风险、入侵风险和资产风险等执行扣分，评分越低表示资产中存在的安全风险越多。 为了保护的您资产安全，建议您及时处理安全风险，提高安全评分： 1、在“安全评分”模块，单击“立即处理”。 2、在“安全风险处理”弹窗中，查看扣分项，单击下箭头展开扣分明细。 3、单击扣分项右侧的“前往处理”，可跳转至对应的风险列表，您可以根据风险详情和修复建议进行修复。 4、修复风险后，单击“重新体检”，刷新评分。 热点资讯 展示最新的热点漏洞信息。 安全风险 展示HSS检测到您资产中存在的安全风险。 主机风险： 需紧急处理告警/总数：处理优先级为紧急的告警数量和告警总数。 紧急优先级修复漏洞/总数：修复优先级为紧急的漏洞数量和漏洞总数。 基线风险：待处理的基线风险总数。 待处理可疑进程：待处理的可疑进程事件总数。 容器风险： 高优先级修复漏洞/总数：修复紧急度为高危的漏洞数量和漏洞总数。 安全风险趋势 展示资产最近七天的安全风险趋势图。 防护地图 展示资产开启安全防护的情况。 资产总数：当前区域下的资产总数。 未防护/主机总数：未防护主机数量和主机总数。 未防护/容器总数：未防护容器数量和容器总数。 安全防护功能开启情况：对应防护功能的开启数量和防护功能累计扫描/检测项数量。

此小节介绍主机风险总览。 企业主机安全在控制台提供总览页面，实时展示您所有资产的安全评分、安全风险、防护地图等，帮助您了解主机和容器的安全状态以及存在的安全风险。 查看总览 1、登录管理控制台。 2、在左侧导航树选择“总览”，进入总览页查看资产安全信息。 说明 如果您的服务器已通过企业项目的模式进行管理，您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。 区域 说明 配额数量及待升级Agent数 展示当前您已购买的各版本HSS防护配额总数和使用情况，以及待升级Agent数量。 单击对应防护配额的总数值，可跳转到防护配额界面查看防护配额列表。 单击待升级Agent数值，可跳转到Agent管理界面查看并升级Agent。 说明：企业主机安全会持续优化提升服务能力，包括但不限于新增功能、优化缺陷，因此会定期迭代版本。请及时将主机上的Agent升级为最新版，以便您可以享受到更好的企业主机安全。 安全评分 安全风险评分范围为0~100分，无风险资产默认为100分，HSS会根据资产中存在的基线风险、漏洞风险、入侵风险和资产风险等执行扣分，评分越低表示资产中存在的安全风险越多。 为了保护的您资产安全，建议您及时处理安全风险，提高安全评分： 1、在“安全评分”模块，单击“立即处理”。 2、在“安全风险处理”弹窗中，查看扣分项，单击下箭头展开扣分明细。 3、单击扣分项右侧的“前往处理”，可跳转至对应的风险列表，您可以根据风险详情和修复建议进行修复。 4、修复风险后，单击“重新体检”，刷新评分。 热点资讯 展示最新的热点漏洞信息。 安全风险 展示HSS检测到您资产中存在的安全风险。 主机风险： 需紧急处理告警/总数：处理优先级为紧急的告警数量和告警总数。 紧急优先级修复漏洞/总数：修复优先级为紧急的漏洞数量和漏洞总数。 基线风险：待处理的基线风险总数。 待处理可疑进程：待处理的可疑进程事件总数。 容器风险： 高优先级修复漏洞/总数：修复紧急度为高危的漏洞数量和漏洞总数。 安全风险趋势 展示资产最近七天的安全风险趋势图。 防护地图 展示资产开启安全防护的情况。 资产总数：当前区域下的资产总数。 未防护/主机总数：未防护主机数量和主机总数。 未防护/容器总数：未防护容器数量和容器总数。 安全防护功能开启情况：对应防护功能的开启数量和防护功能累计扫描/检测项数量。

本文主要介绍域名DNS类问题。 一、为什么CCE集群的容器无法通过DNS解析？ 问题描述 某客户在DNS服务中做内网解析，将自有的域名绑定到DNS服务中的内网域名中，并绑定到特定的VPC中，发现本VPC内的节点（ECS）可以正常解析内网域名的记录，而VPC内的容器则无法解析。 适用场景 VPC内的容器无法进行正常DNS解析的情况。 解决方案 由于本案例涉及的是内网域名解析，按照内网域名解析的规则，需要确保VPC内的子网DNS设置成的云上DNS，具体以内网DNS服务的控制台界面提示为准。 本案例的子网中已经完成该设置，其中用户可以在该VPC子网内的节点（ECS）进行域名解析，也说明已完成该设置，如下图： 但是在容器内进行解析却提示bad address无法解析域名返回地址，如下图： 登录CCE控制台查看该集群的插件安装情况。 如果已安装插件列表中没有coredns插件，可能是用户卸载了该插件等原因导致。 安装coredns插件，并添加相应的域名及对应的DNS服务地址，即可进行域名解析。 二、如何设置容器内的DNS策略？ CCE支持通过dnsPolicy标记每个Pod配置不同的DNS策略： None： 表示空的DNS设置，这种方式一般用于想要自定义DNS配置的场景，而且，往往需要和dnsConfig配合一起使用达到自定义DNS的目的。 Default： 有人说Default的方式，是使用宿主机的方式，这种说法并不准确。 这种方式其实是让kubelet来决定使用何种DNS策略。而kubelet默认的方式，就是使用宿主机的 /etc/resolv.conf，但是kubelet是可以灵活来配置使用什么文件来进行DNS策略的，我们完全可以使用kubelet的参数：–resolvconf/etc/resolv.conf来决定您的DNS解析文件地址。 ClusterFirst： 这种方式表示Pod内的DNS使用集群中配置的DNS服务，简单来说，就是使用Kubernetes中kubedns或coredns服务进行域名解析。如果解析不成功，才会使用宿主机的DNS配置进行解析。 如果未明确指定dnsPolicy，则默认使用“ClusterFirst”： 如果将dnsPolicy设置为“Default”，则名称解析配置将从运行pod的工作节点继承。 如果将dnsPolicy设置为“ClusterFirst”，则DNS查询将发送到kubedns服务。 对于以配置的集群域后缀为根的域的查询将由kubedns服务应答。所有其他查询（例如，www.kubernetes.io）将被转发到从节点继承的上游名称服务器。在此功能之前，通常通过使用自定义解析程序替换上游DNS来引入存根域。但是，这导致自定义解析程序本身成为DNS解析的关键路径，其中可伸缩性和可用性问题可能导致集群丢失DNS功能。此特性允许用户在不接管整个解析路径的情况下引入自定义解析。 如果某个工作负载不需要使用集群内的coredns，可以使用kubectl命令或API将此策略设置为dnsPolicy: Default。