参数 类型 是否必传 名称 描述 starttime int 是 开始时间戳 起始时间，时间戳(秒)。 endtime int 是 结束时间戳 结束时间，时间戳(秒)。 interval string 否 时间粒度 时间粒度，目前支持1m，5m，1h和24h，默认5m。 producttype List<string> 否 产品类型列表 产品类型列表，不传默认名下所有产品，可多个产品类型，作为统计筛选项。支持：“001”(静态加速)，“003”(下载加速),“004”(视频点播加速),“008”(CDN加速),“014”(下载加速闲时),“007”(安全加速),“005”(直播加速),“006”(全站加速),“009”(应用加速),“010”(web应用防火墙（边缘云版）),“011”(高防DDoS（边缘云版）) domain list<string> 否 域名列表 域名，不传默认名下所有域名，可多个域名，作为统计筛选项。 province list<int> 否 省编码列表 省编码，不传默认所有省份，可多个省编码，作为统计筛选项， isp list<string> 否 运营商编码列表 运营商编码，不传默认所有运营商，可多个运营商编码，作为统计筛选项， networklayerprotocol string 否 网络层协议 网络层协议，不传默认所有网络层协议，支持作为统计筛选项，可以为ipv4、ipv6，other。 applicationlayerprotocol string 否 应用层协议 应用层协议，不传默认所有络层协议，支持作为统计筛选项，可以为http，https，rtmp，quic，other。 groupby list<string> 否 结果聚合维度 指标在计算结果的聚合维度，不传或为空默认按照时间粒度聚合，可多个统计维度，可以为producttype，domain，province，isp，networklayerprotocol，applicationlayerprotocol。

参数 类型 是否必传 名称 描述 starttime int 是 开始时间戳 起始时间，时间戳(秒)。 endtime int 是 结束时间戳 结束时间，时间戳(秒)。 interval string 否 时间粒度 时间粒度，目前支持1m，5m，1h和24h，默认5m。 producttype List 否 产品类型列表 产品类型列表，不传默认名下所有产品，可多个产品类型，作为统计筛选项。支持：“001”(静态加速)，“003”(下载加速),“004”(视频点播加速),“008”(CDN加速),“014”(下载加速闲时),“007”(安全加速),“005”(直播加速),“006”(全站加速),“009”(应用加速),“010”(web应用防火墙（边缘云版）),“011”(高防DDoS（边缘云版）) domain list 否 域名列表 域名，不传默认名下所有域名，可多个域名，作为统计筛选项。 province list 否 省编码列表 省编码，不传默认所有省份，可多个省编码，作为统计筛选项， isp list 否 运营商编码列表 运营商编码，不传默认所有运营商，可多个运营商编码，作为统计筛选项， networklayerprotocol string 否 网络层协议 网络层协议，不传默认所有网络层协议，支持作为统计筛选项，可以为ipv4、ipv6，other。 applicationlayerprotocol string 否 应用层协议 应用层协议，不传默认所有络层协议，支持作为统计筛选项，可以为http，https，rtmp，quic，other。 groupby list 否 结果聚合维度 指标在计算结果的聚合维度，不传或为空默认按照时间粒度聚合，可多个统计维度，可以为producttype，domain，province，isp，networklayerprotocol，applicationlayerprotocol。

本文介绍全站加速支持的防盗链以及是否支持自助配置。 天翼云全站加速目前支持的防盗链有：referer防盗链、IP黑/白名单、UA黑/白名单、URI黑/白名单、URL鉴权等。其中，referer防盗链、IP黑白名单、UA黑/白名单、URL鉴权支持控制台自助配置，其他防盗链需求，请提交工单。 Referer防盗链 通过设置HTTP请求头中Referer字段的黑白名单来实现访问控制策略，从而可以对用户的身份进行识别和筛选，防止网站资源被盗用。配置Referer防盗链功能后，全站加速边缘节点会根据Referer黑/白名单中的内容，允许合法访问、拒绝非法请求。拒绝访问时，全站加速节点会返回403状态码。详见：Referer防盗链。 IP黑白名单 通过配置IP黑/白名单，全站加速边缘节点可以识别客户端IP，拒绝黑名单中IP的访问，或者放行白名单中IP的访问，可以解决恶意IP攻击等问题。详见：IP黑白名单。 UA黑白名单 UserAgent（简称UA）是HTTP请求头的组成部分之一，包含访客使用的浏览器类型及版本、操作系统及版本等信息，因此UserAgent是访客身份的象征，标志访客访问时所使用的工具，通过识别HTTP请求中的UserAgent字段中包含的部分信息，可以规范访客的行为，拦截或允许某一类访客的访问，实现防盗链、防盗刷、防攻击的目的。详见：UA黑白名单。 UserAgent白名单：用于配置允许用户使用的访问工具，UA白名单之外的访问工具全部拒绝访问（节点响应403），UA白名单之内的访问工具全部允许访问。 UserAgent黑名单：用于配置禁止用户使用的访问工具，UA黑名单之外的访问工具全部允许访问，UA黑名单之内的访问工具全部拒绝访问（节点响应403）。

本节介绍了云容器引擎概览的入门指引。 操作场景 概览用于查看用户整体的集群和节点情况。集群部分展示资源使用情况、组件状态、节点状态、资源对象数量和异常Pod。 前提条件 登录云容器引擎控制台。你需要开通集群后才能在概览界面看到相应的数据。若没有集群，请参考：订购集群 进行创建。 集群的CPU使用率、内存使用率、磁盘使用率、Pod使用率需安装监控插件才能呈现。若要安装监控插件，请参考：插件市场 安装插件的内容进行安装，也可以在概览界面上进行快捷安装。 操作步骤 通过切换集群可以展示不同集群的资源使用情况、组件状态、节点状态、资源对象数量和异常Pod。

本节介绍如何发布网络策略并查看发布记录。 在预发布策略确认无误后，可以选择正式发布策略。 发布策略 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“网络安全 > 策略管理”，进入策略管理页面。 3. 单击策略列表操作列内的“发布”按钮，可以将预发布的策略改为正式发布。 4. 修改后，发布状态将改变为“已发布”状态。 若要修改已经发布的策略，需要先单击策略列表操作列内的“撤销”按钮撤回已发布的策略，撤回后才支持进行编辑操作。 查看发布记录 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“网络安全 > 策略管理”，进入策略管理页面。 3. 单击策略列表右上方的“发布记录”按钮，即可查看策略发布记录。

本节主要介绍导入和导出安全组规则。 使用说明 在需要快速恢复或者创建安全组规则时，可以通过导入安全组规则的功能将导出的安全组规则文件导入到安全组中。 在需要对已有安全规则进行备份时，可以通过导出安全组规则的功能将对应安全组下的规则导出EXCEL或者JSON文件。 默认的安全组不支持导出安全组规则的操作。 在使用导入安全组规则时会创建一个新的安全组。 导出安全组规则 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>访问控制>安全组】，查看当前用户已有安全组。 3. 选中所要导出安全组规则的安全组，在操作栏中单击【导出】，在弹出栏中选择导出的文件格式“EXCEL格式”或者“JSON格式”，单击对应的格式即可完成导出安全组规则，导出文件会自动下载到本地电脑。 导入安全组规则 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>访问控制>安全组】，单击【导入安全组】，在弹出栏中选择导入的安全组规则的格式“EXCEL格式”或者“JSON格式”。 3. 在弹出框中填入对应的参数和上传对应的安全组规则文件，单击【点击上传】把对应的安全组规则文件进行上传。 导入安全组规则参数说明： 参数 说明 安全组名称 自定义导入的安全组规则所对应的安全组名称。 配置文件 安全组规则的配置文件，若选择EXCEL格式则上传EXCEL格式的文件，若选择JSON格式则上传JSON格式的文件。 描述 可选项，对当前导入安全组规则对应的安全组的描述信息。 4. 配置相关的参数后，单击【确认】执行导入。 注意 如选择EXCEL格式上传，请先下载EXCEL上传模板，严格按照模板填写要求填写出入方向安全规则，否则会导入失败，填写完后再点击上传导入。

本节介绍边缘虚拟机支持的装机镜像类型及操作系统。 简介 镜像是一个包含了软件及必要配置的虚拟机模板，至少包含操作系统，还可以包含应用软件（例如：数据库软件）和私有软件。您可以使用镜像创建虚拟机。 镜像分为公共镜像和自定义镜像，公共镜像为系统默认提供的镜像，自定义镜像为用户自己创建的镜像。 用户可以灵活便捷的使用公共镜像或者自定义镜像申请虚拟机。同时，用户还能通过已有的虚拟机创建私有镜像，这样能快速轻松地启动能满足您一切需求的新虚拟机。例如，如果您的应用程序是网站或Web服务，您的自定义镜像可能会包含Web服务器、相关静态内容和动态页面代码，您通过这个镜像创建虚拟机之后，您的Web服务器将启动。 镜像类型 公有镜像：常见的标准操作系统镜像，所有用户可见，包括操作系统以及预装的公共应用。公共镜像具有高度稳定性，皆为正版授权，请放心使用，用户也可以根据实际需求自助配置应用环境或相关软件。目前ECX公有镜像也支持不同的国产化镜像，部分常见操作系统及支持的版本等信息见下表，具体清单可登录边缘虚拟机控制台，进入【镜像>公有镜像】进行查看。 操作系统 系统位数 版本 CentOS 64 8.2 CentOS 64 8.1 CentOS 64 7.9 CentOS 64 7.8 CentOS 64 7.7 CentOS 64 7.6 CentOS 64 7.4 CentOS 64 6.5 Ubuntu 64 22.04 Ubuntu 64 20.04 Windows Server 64 2019 Datacenter Windows Server 64 2016 Datacenter Windows Server 64 2016 Standard Windows Server 64 2012 R2 Datacenter Debian 64 10.12 Debian 64 10.9 Debian 64 9.13 KylinServer 64 10 CTyunOS 64 3.0 x86 CTyunOS 64 3.0 ARM UOSServer 64 20 自定义镜像：包含操作系统或业务数据、预装的公共应用以及用户的私有应用的镜像，仅用户个人可见。

在边缘函数内使用fetch接口，发起网络请求获取响应。 示例代码 javascript async function handleRequest(request) { // 获取网络资源 const url " const response await fetch(url); return response; } addEventListener('fetch', event > { return event.respondWith(handleRequest(event.request)); }); 示例预览 在浏览器地址栏中输入匹配到HTTP路由的URL，即可预览示例效果。 相关参考 运行时API：addEventListener 运行时API：FetchEvent 运行时API：Web Standards 运行时API：Fetch 运行时API：Response

本文介绍函数运行时中WebCrypto的定义与用法。 Web Crypto API为常见的加解密任务提供了一组基础函数，可通过全局crypto.subtle接口访问。 支持的算法 边缘函数计划支持Web Crypto标准的所有操作，如下表所示： Algorithm digest() generateKey() （即将支持） importKey() exportKey() （即将支持） sign() verify() encrypt() decrypt() （即将支持） wrapKey() unwrapKey() （即将支持） deriveBits() deriveKey() （即将支持） ::::::::::::::: MD5 √ SHA1 √ SHA256 √ SHA384 √ SHA512 √ HMAC √ √ √ AESCTR √ √ √ √ AESCBC √ √ √ √ AESGCM √ √ √ √ AESKW √ √ √ RSASSAPKCS1 v1.5 √ √ √ RSA PSS √ √ √ RSA OAEP √ √ √ ECDH √ √ √ ECDSA √ √ √ HKDF √ √ PBKDF2 √ √ 备注：MD5不是WebCrypto标准的一部分，但支持与需要MD5的旧系统交互。MD5被认为是一种弱算法。不要依赖MD5来保证安全。

本文介绍函数运行时的Web Crypto的定义与用法。 Web Crypto API为常见的加解密任务提供了一组基础函数，可通过全局crypto.subtle接口访问。 支持的算法 边缘函数计划支持Web Crypto标准的所有操作，如下表所示： Algorithm digest() generateKey() （即将支持） importKey() exportKey() （即将支持） sign() verify() encrypt() decrypt() （即将支持） wrapKey() unwrapKey() （即将支持） deriveBits() deriveKey() （即将支持） ::::::::::::::: MD5 √ SHA1 √ SHA256 √ SHA384 √ SHA512 √ HMAC √ √ √ AESCTR √ √ √ √ AESCBC √ √ √ √ AESGCM √ √ √ √ AESKW √ √ √ RSASSAPKCS1 v1.5 √ √ √ RSA PSS √ √ √ RSA OAEP √ √ √ ECDH √ √ √ ECDSA √ √ √ HKDF √ √ PBKDF2 √ √ 备注：MD5不是Web Crypto标准的一部分，但支持与需要MD5的旧系统交互。MD5被认为是一种弱算法。不要依赖MD5来保证安全。

在边缘函数内使用fetch接口，发起网络请求获取响应。 示例代码 javascript async function handleRequest(request) { // 获取网络资源 const url " const response await fetch(url); return response; } addEventListener('fetch', event > { return event.respondWith(handleRequest(event.request)); }); 示例预览 在浏览器地址栏中输入匹配到HTTP路由的URL，即可预览示例效果。 相关参考 运行时API：addEventListener 运行时API：FetchEvent 运行时API：Web Standards 运行时API：Response 运行时API：Fetch

本文介绍多种场景下,会将客户域名回源2小时,2小时后自动解封。 开通边缘接入服务后，若DDoS攻击超过购买的攻击峰值，会将客户域名回源2小时，2小时后自动解封。 补充信息：除此以外，以下场景也会将客户域名回源2小时，2小时后自动解封。 未订购DDoS防护带宽、攻击峰值超过套餐内的攻击峰值或者套餐内DDoS防护次数不足。 订购DDoS防护带宽，未开启DDoS弹性防护，攻击峰值超过DDoS防护带宽同时超过套餐内的DDoS防护规格。 订购DDoS防护带宽，且开启DDoS弹性防护，DDoS攻击峰值超过弹性防护带宽，同时超过套餐内的DDoS防护规格。

步骤二：挂载弹性文件服务 1.以root用户登录弹性云主机，登录方式参考登录Linux弹性云主机。 2.执行以下命令安装NFS客户端。 yum y install nfsutils 3.执行如下命令创建本地路径“/nextcloud”。 mkdir /nextcloud 4.执行如下命令挂载文件系统。挂载地址可在文件系统详情页获取，参考查看文件系统。本地挂载路径为云主机上用于挂载文件系统的本地路径，本文采用上一步创建的“/nextcloud”。 mount t nfs o vers3,async,nolock,noatime,nodiratime,wsize1048576,rsize1048576,timeo600 挂载地址 本地挂载路径 5.挂载完成后使用 mount grep nextcloud查看挂载情况。 步骤三：安装Nextcloud服务 1.执行如下命令安装Docker。 curl fsSL bash s docker 2.执行如下命令启动Docker。 systemctl start docker 3.依次执行如下命令关闭防火墙。 systemctl stop firewalld.service 停止firewall systemctl disable firewalld.service 禁止firewall开机启动 4.执行 vi /etc/selinux/config打开config文件，将以下两条命令注释掉， SELINUXenforcing SELINUXTYPEtargeted 增加以下命令，关闭SELINUX： SELINUXdisabled 单击ECS退出编辑，输入"wq!"，保存退出config文件。在命令行执行以下命令，使配置生效： setenforce 0 6.执行如下命令拉取Nextcloud镜像。 docker pull nextcloud 7.执行如下命令创建Nextcloud容器并运行，Nextcloud参数说明见下表。 docker run p 7080:80 d v /nextcloud/:/var/www/html nextcloud 参数 说明 nextcloud 容器名称 /nextcloud/:/var/www/html 目录映射，/nextcloud/为数据文件存储的目录，此项配置可将网盘数据写入弹性文件系统中 p 7080:80 端口映射，本次使用7080端口 8. 执行如下命令，检查Nextcloud容器。可以查看Nextcloud的ContanerID 及端口情况，状态为'up'，说明Nextcloud容器运行中。 docker ps

此小节介绍企业主机安全告警类问题 收到HSS的告警通知，如何查找到相关信息并处理？ 如何查看 主机安全告警查看操作详情请参见查看主机安全告警，容器安全告警查看操作详情请参见查看容器安全告警事件。 如何处理 企业主机安全提供漏洞修复方法、入侵事件排查/处理方法、风险配置修复建议，操作详情请参见处理主机告警事件。 容器安全提供对告警的处理，操作详情请参见处理容器告警事件。 主机被挖矿攻击，怎么办？ 黑客入侵主机后植入挖矿程序，挖矿程序会占用CPU进行超高运算，导致CPU严重损耗，并且影响主机上其他应用的运行。当您的主机被挖矿程序入侵，挖矿程序可能进行内网渗透，并在被入侵的主机上持久化驻留，从而获取最大收益。 当主机提示有挖矿行为时，请确定并清除挖矿程序，并及时对主机进行安全加固。 排查操作步骤: 1、登录管理控制台。 2、在页面左上角单击，选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 说明 切换至新版后，在总览页左上角单击“返回旧版”，可切换至主机安全（旧版）。 4、排查进程异常行为，若出现主机挖矿行为，会触发HSS发送“进程异常行为”告警。 5、选择“入侵检测 > 安全告警事件 > 主机安全告警”，选择“系统异常行为 > 进程异常行为”，查看并处理发生的异常进程行为告警。您可以单击“处理”，对挖矿程序进行隔离查杀。 6、排查其他自启动项，有的挖矿进程为了实现长期驻留，会向系统中添加自启动项来确保系统重启后仍然能重新启动，因此，需要及时清除可疑的自启动项。 7、选择“资产管理 > 资产指纹”，单击“自启动项”，选择“历史变动记录”，查看历史变动情况。

本文主要介绍 节点访问(NodePort)。 操作场景 节点访问( NodePort )是指在每个节点的IP上开放一个静态端口，通过静态端口对外暴露服务。节点访问 ( NodePort )会路由到ClusterIP服务，这个ClusterIP服务会自动创建。通过请求 :，可以从集群的外部访问一个NodePort服务。 图 NodePort访问 约束与限制 “节点访问 ( NodePort )”默认为VPC内网访问，如果需要使用弹性IP通过公网访问该服务，请提前在集群的节点上绑定弹性IP。 创建service后，如果服务亲和从集群级别切换为节点级别，连接跟踪表将不会被清理，建议用户创建service后不要修改服务亲和属性，如需修改请重新创建service。 VPC网络模式下，当某容器A通过NodePort类型服务发布时，且服务亲和设置为节点级别（即externalTrafficPolicy为local），部署在同节点的容器B将无法通过节点IP+NodePort访问容器A。 创建NodePort类型Service 步骤 1 登录CCE控制台，单击集群名称进入集群。 步骤 2 在左侧导航栏中选择“服务发现”，在右上角单击“创建服务”。 步骤 3 设置集群内访问参数。 Service名称： 自定义服务名称，可与工作负载名称保持一致。 访问类型 ：选择“节点访问 NodePort”。 命名空间：工作负载所在命名空间。 服务亲和： 详情请参见externalTrafficPolicy（服务亲和）。 集群级别：集群下所有节点的IP+访问端口均可以访问到此服务关联的负载，服务访问会因路由跳转导致一定性能损失，且无法获取到客户端源IP。 节点级别：只有通过负载所在节点的IP+访问端口才可以访问此服务关联的负载，服务访问没有因路由跳转导致的性能损失，且可以获取到客户端源IP。 选择器： 添加标签，Service根据标签选择Pod，填写后单击“添加”。也可以引用已有工作负载的标签，单击“引用负载标签”，在弹出的窗口中选择负载，然后单击“确定”。 IPv6： 默认不开启，开启后服务的集群内IP地址（ClusterIP）变为IPv6地址。该功能仅在1.15及以上版本的集群创建时开启了IPv6功能才会显示。 端口配置： 协议：请根据业务的协议类型选择。 服务端口：Service使用的端口，端口范围为165535。 容器端口：工作负载程序实际监听的端口，需用户确定。例如nginx默认使用80端口。 节点端口：即NodePort，建议选择“自动生成”；也可以指定端口，默认范围为3000032767。 步骤 4 单击“确定”，创建Service。

本文主要介绍节点池概述。 简介 为帮助您更好地管理Kubernetes集群内的节点，云容器引擎CCE引入节点池概念。节点池是集群中具有相同配置的一组节点，一个节点池包含一个节点或多个节点。 您可以在CCE控制台创建新的自定义节点池，借助节点池基本功能方便快捷地创建、管理和销毁节点，而不会影响整个集群。新节点池中所有节点的参数和类型都彼此相同，您无法在节点池中配置单个节点，任何配置更改都会影响节点池中的所有节点。 通过节点池功能您还可以实现节点的动态扩缩容（仅按需计费的节点池支持）： 当集群中出现因资源不足而无法调度的实例（Pod）时，自动触发扩容，为您减少人力成本。 当满足节点空闲等缩容条件时，自动触发缩容，为您节约资源成本。 本章节介绍节点池在云容器引擎（CCE）中的工作原理，以及如何创建和管理节点池。 节点池架构 图 节点池整体架构图 通常情况下，节点池内的节点均具有如下相同属性： 节点操作系统。 节点规格。 节点登录方式。 节点容器运行时。 节点Kubernetes组件启动参数。 节点自定义启动脚本。 节点“K8S标签”及“Taints”设置。 此外，CCE将同时围绕节点池扩展以下属性： 节点池级别操作系统。 节点池级别每节点的Pod数上限。

本节介绍该产品服务协议。 产品服务协议，详情参见《天翼云云容器引擎服务协议》。

本节介绍了云容器引擎的最佳实践:使用存储子目录为工作负载提供存储。 当需要将存储的特定子目录直接挂载至工作负载以实现高效数据存储时，云容器引擎提供了多种实现方式以支持该能力。 需求场景 当用户创建大容量文件存储时，为充分利用现有资源，可将不同子目录分配给多个工作负载使用。 若需实现数据层面的权限控制，可限制容器仅访问指定子目录。 对于习惯开源NFS使用方式的用户，可在已有文件存储基础上，通过为不同子目录创建独立的PVC并分配给对应工作负载，实现资源隔离。 每个工作负载拥有不同的子目录的方式便于管理，且可通过Pod名称区分子目录，提升运维效率。 方案选择 有以下两种方案： （1）复用现有存储：用户已有的存储对应一个PVC，无需额外创建PVC，可将同一PVC下的不同子目录分配给多个工作负载使用。 （2）动态分配子目录：用户使用海量文件存储时，每次可为不同工作负载动态分配一个子目录作为独立PVC。（注：此功能仅海量文件存储支持，其他存储产品不适用于子目录挂载场景。） 方案一：子目录挂载（多个子目录共享同一PVC） 在工作负载的数据存储配置界面，设置挂载路径为 /test，即存储卷将挂载至容器内的 /test 目录。子路径可选择 subPath 或 subPathExpr 模式。 subPath：简单直接，工作负载的所有副本均使用存储卷的同一子目录。 subPathExpr：支持通过环境变量动态调整子目录路径，实现同一工作负载中不同副本使用独立子目录。 若选择 subPath，直接填写子目录名称即可；若目录不存在，K8S会自动创建。若选择 subPathExpr，需按以下方式配置： 在第二个绿色箭头所指的框中，根据实际需求填写路径表达式。例如可使用 $(PODNAMESPACE)/$(PODNAME) 或 $(PODNAME)，也支持自定义格式。此处以 $(PODNAMESPACE)/$(PODNAME) 为例，需确保相关变量已在环境变量中预先定义。 根据以上示例，红框处需正确填写变量名，绿框处需选择变量值的来源。即从Pod的metadata.name字段获取PODNAME变量值，从metadata.namespace字段获取PODNAMESPACE变量值，并组合为存储的子目录路径。 例如：一个两副本的无状态工作负载位于命名空间cstor下，Pod名称分别为podA和podB。按此配置后，一个副本会将PVC对应存储下的cstor/podA子目录挂载至容器内的/test路径，另一副本则挂载cstor/podB子目录至相同路径。 若通过工作负载的YAML文件实现，相关字段配置如下： plaintext volumeMounts: name: workdir1 mountPath: /logs subPathExpr: $(PODNAMESPACE)/$(PODNAME) yaml的env的设置如下： plaintext spec: containers: name: container1 env: name: PODNAME valueFrom: fieldRef: apiVersion: v1 fieldPath: metadata.name name: PODNAMESPACE valueFrom: fieldRef: apiVersion: v1 fieldPath: metadata.namespace

分类 对象 使用限制 仪表盘 仪表盘 1个区域中最多可创建50个仪表盘。 仪表盘 仪表盘中的图表 1个仪表盘中最多可添加20个图表。 仪表盘 仪表盘中图表可选资源、阈值规则、组件或主机的个数 1个曲线图中最多可添加100个资源，且资源可跨集群选择。 1个数字图只能添加1个资源。 1个阈值状态图表最多可添加10个阈值规则。 1个主机状态图表最多可添加10个主机。 1个组件状态图表最多可添加10个组件。 指标 指标数据 基础规格：指标数据最多保存7天。 指标 指标项 资源（例如，集群、组件、主机等）被删除后，其关联的指标项在数据库中最多保存30天。 指标 维度 每个指标的维度最多为20个。 指标 指标查询接口 单次最大可同时查询20个指标。 指标 统计周期 最大统计周期为1小时。 指标 单次查询返回指标数据 单个指标单次查询最大返回1440个数据点。 指标 上报自定义指标 单次请求数据最大不能超过40KB。 指标 应用指标 JOB指标 每个主机的容器个数超过1000个时，ICAgent将停止采集该主机应用指标，并发送“ICAgent停止采集应用指标”告警（告警ID：34105）。 每个主机的容器个数缩减到1000个以内时，ICAgent将恢复该主机应用指标采集，并清除“ICAgent停止采集应用指标”告警 。 由于JOB在完成任务之后，会自动退出。如果您需要监控JOB指标，要保证存活时间大于90秒才能采集到指标数据。 指标 采集器资源消耗 采集器在采集基础指标时的资源消耗情况和容器、进程数等因素有关，在未运行任何业务的VM上，采集器将消耗30M内存、1% CPU。为保证采集可靠性，单节点上运行的容器个数应小于1000。 阈值规则 阈值规则 一个项目下最多可创建1000个阈值规则。 阈值规则 发送通知可选择主题数 每个阈值规则最多可选择5个主题。 日志 单条日志大小 每条日志最大10KB，超出后ICAgent将不会采集该条日志，即该条日志会被丢弃 日志 日志流量 每个租户在每个Region的日志流量不能超过10MB/s。如果超过10MB/s，则可能导致日志丢失。 日志 历史日志 历史日志存储空间免费额度为500MB 日志 日志文件 只支持采集文本类型日志文件，不支持采集其他类型日志文件（例如二进制文件）。 日志 每个通过卷挂载日志的路径下，ICAgent最多采集20个日志文件。 日志 每个ICAgent最多采集1000个容器标准输出日志文件，容器标准输出日志只支持jsonfile类型。 日志 采集日志文件的资源消耗 日志文件采集采集时消耗的资源和日志量、文件个数及网络带宽、backend服务处理能力等多种因素强相关。 日志 日志丢失 采集器使用多种机制保证日志采集的可靠性，尽可能保证数据不丢失，但在如下场景可能导致日志丢失。 日志文件未使用CCE提供的logPolicy轮转策略。 日志文件轮转速度过快，如1秒轮转一次。 系统安全设置或syslog自身原因导致无法转发日志。 容器运行时间过短，例如小于30s。 单节点总日志产生速度过快，超过了单节点网络发送带宽或日志采集速度，建议单节点总日志产生速度<5M/s。 日志 日志丢弃 当单行日志长度超过10240字节时，此行会被丢弃。 日志 日志重复 当采集器被重启后，重启时间点附近可能会产生一定的数据重复。 日志 统计规则 一个日志桶下最多可创建5条统计规则。 告警中心 告警 您最多可查询最近30天的告警。 告警中心 事件 您最多可查询最近30天的事件。

本节介绍了该产品的服务协议。 弹性容器实例产品服务协议，详情请参见这里。

边缘重保服务产品将于2025年6月10日00时正式开始收费，本章节介绍了边缘重保服务商用的计费标准，并提供了详细示例予以说明。 产品版本 体验版 基础护航服务 尊享护航服务 基础安全护航服务 尊享安全护航服务 价格（元/次） 0 20000 30000 30000 45000 重保方式 远程护航 远程护航 驻场值守 远程护航 驻场值守 服务人员 高级技术支持工程师 高级技术支持专家 资深技术支持专家 高级安全专家 资深安全专家 说明 1. 每订购1次，可提供1个自然日内不超出12小时（体验版为10小时）核心时段的保障服务。 2. 若活动在单个自然日内涉及多个场次，则按1次计服务次数；若活动多个场次分布在不同自然日，则按实际涉及的自然日天数计算服务次数。 3. 体验版限时开放，自上线起截止至2025年12月31日，单账号可订购上限为2次。 4. 尊享护航服务、尊享安全护航服务默认仅提供1名专家到场进行保障，若需要多名专家驻场，则需要根据驻场专家数量×驻场天数计算服务次数。 示例 【示例一】 某天翼云客户计划在5月20日分三次进行优惠券发放活动，发放时间分别在9:00、12:00、18:00，希望通过基础安全护航服务为本次活动进行保障，则仅需订购1次基础安全护航服务即可。 【示例二】 某天翼云客户计划在5月20日5月25日之间，转播五场国际型赛事，赛程安排依次为5月20日 9:0012:00、5月22日 14:0018:00、5月24日 14:0018:00、5月25日 9:0012:00、14:0018:00，希望通过基础护航服务为本次活动进行保障，则需要订购4次基础护航服务。 【示例三】 某天翼云客户计划在10月1日10月3日期间开展某项重大活动，需要两名专家驻场进行重点保障，则需要根据客户使用的具体产品，订购 2名驻场专家×3天 6次 尊享护航服务 或 尊享安全护航服务。

在云应用引擎中，应用配置可以通过 ConfigMap 和 Secret 管理，实现配置与容器镜像的分离。ConfigMap 适用于存储普通配置，如配置文件内容或命令行参数，更新配置无需重建镜像。 Secret 用于存储敏感信息，如密码、证书或密钥，数据在内存中安全处理并加密存储。两者都可通过文件挂载或环境变量注入容器。 资源类型 数据类型 注入方式 安全性 适用场景 ConfigMap 非敏感配置 文件挂载 / 环境变量 / 命令行参数 普通 配置频繁变动或公开数据 Secret 敏感信息 文件挂载 / 环境变量 高（加密存储） 密码、证书、密钥等机密数据 通过合理使用 ConfigMap 与 Secret，您可以实现 配置与应用解耦，提升应用管理的灵活性和安全性。

混合云一体机（以下简称一体机）是天翼云基于多年研发积累和大规模业务实践验证，结合对市场用户云业务需求深入洞察，推出的软硬一体产品。其中硬件部分采用通用x86或国产服务器，软件集成天翼云平台，提供计算、存储、网络、监控、管理等全栈云服务，帮助企业从零构建云底座。 一体机是标准化交付产品，到货后110个工作日即可完成交付，无需经过冗长的项目沟通及采购流程。同时用户可自行指定一体机部署位置，安全可控，满足低延时、低成本的需求，非常适合承载边缘、灵活上云需求。

注意事项 1. CDN加速产品同时支持批量退订资源，详情请见如下操作步骤。 进入【费用中心】后，勾选要批量退订的资源，单击左上角的【批量退订】，进入退订详情页面。 再次确认已选资源，确认无误后，单击【退订】完成退订操作。 2. 若基础服务只订购了CDN加速按量计费，则退订CDN加速按量计费后，对应的增值服务也将失效，包括CDN内容审核、静态HTTPS和QUIC功能、高性能网络服务、边缘函数。

2.1 服务配置 2.1.1 核心参数设置 根据具体使用的模型，修改node.sh 中的内容： plaintext export MODELDIR/mnt/nvme1n1/model/DeepSeekR1DistillLlama70B export MINDIEIMGmindie2.0.T6.B023800IA2py3.11openeuler24.03ltsaarch64.sif 其中: MODELDIR 为模型本地盘中的具体路径 MINDIEIMG为使用的mindie容器 设定服务启动主节点，修改config.json的内容： plaintext ... "ServerConfig" : { "ipAddress" : "192.168.0.3", "managementIpAddress" : "192.168.0.3", ... 将这里192.168.0.3 改为本机IP地址。 2.2 DeepSeek服务启动 仅需如下3条命令，即可启动服务（根据模型大小，启动服务需等待530分钟不等） plaintext cd /mnt/nvme0n1/deepseek sh run.sh INFO: instance started successfully 查看logds目录下的out文件，当出现如下信息时，表示服务启动成功： plaintext tail f logds/webui20250320160926.out Daemon start success! 2.3 查看DeepSeek状态 查看容器实例作业运行信息命令 plaintext apptainer instance list 2.4 DeepSeek服务停止 停止DeepSeek服务命令 plaintext apptainer instance stop appmindie 三、运维验证 plaintext 检查项 验证命令 预期结果 NPU设备状态 watch n 1 npusmi info 显示所有NPU状态为OK 容器运行状态 apptainer instance list appmindie状态为running 服务端口监听 netstat tunlpgrep xxx xxx端口处于LISTEN状态

本节主要介绍上传镜像 创建完组织后，可以上传镜像到组织中，目前支持“客户端上传”和“页面上传”两种方式： 页面上传：直接通过页面将镜像上传到容器镜像服务。 客户端上传：使用命令将镜像上传到容器镜像服务的镜像仓库。 页面上传镜像 说明 每次最多上传10个文件，单个文件大小（含解压后）不得超过2G。 前提条件 已创建组织，请参见创建组织。 镜像已存为tar或tar.gz文件。 仅支持上传1.11.2及以上Docker客户端版本制作的镜像压缩包。 操作步骤 1、登录ServiceStage控制台，选择“软件中心 > 镜像仓库”。 2、在“我的镜像”页面右上角，单击“页面上传”。 3、在弹出的窗口中选择镜像要上传的“组织”，单击“选择镜像文件”，选择要上传的镜像文件。 说明 多个镜像同时上传时，镜像文件会按照顺序逐个上传，不支持并发上传。 4、在弹出的窗口中单击“开始上传”。 待任务进度显示“上传完成”，表示镜像上传成功。 说明 如果镜像上传失败，可能是以下原因： 网络异常，请检查网络状况。 HTTPS证书问题，可按F12键，将请求失败的URL复制到浏览器地址栏，重新打开并同意继续访问，然后返回上传页面尝试重新上传。 客户端上传镜像 说明 使用客户端上传镜像，镜像的每个layer大小不能超过10G。 前提条件 已创建组织，请参见创建组织。 上传镜像的容器引擎客户端版本必须为1.11.2及以上。

本文为您介绍如何搭建Spark应用。 背景信息 Spark是新一代分布式内存计算框架，Apache开源的顶级项目。相比于Hadoop MapReduce计算框架，Spark将中间计算结果保留在内存中，速度提升10~100倍；同时它还提供更丰富的算子，采用弹性分布式数据集(RDD)实现迭代计算，更好地适用于数据挖掘、机器学习算法，极大提升开发效率。 前提条件 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群。 确保kubectl工具已经连接目标集群。 操作步骤 步骤一：准备镜像和创建命名空间namespace 1. 从dockerHub镜像仓库获取Spark相关镜像。 docker pull index.docker.io/caicloud/spark:1.5.2 docker pull index.docker.io/caicloud/zeppelin:0.5.6 2. 创建命名空间。 namespacesparkcluster.yaml apiVersion: v1 kind: Namespace metadata: name: sparkcluster labels: name: sparkcluster $ kubectl create f namespacesparkcluster.yaml 3. 查看Namespace。 $ kubectl get ns NAME LABELS STATUS default Active sparkcluster namesparkcluster Active 步骤二：启动master服务 1. 创建无状态工作负载，sparkmasterdeployment.yaml可参考如下： sparkmasterdeployment.yaml apiVersion: apps/v1 kind: Deployment metadata: name: sparkmastercontroller namespace: sparkcluster spec: replicas: 1 selector: matchLabels: component: sparkmaster template: metadata: labels: component: sparkmaster spec: containers: name: sparkmaster image: index./spark:1.5.2

本文简述天翼云应用加速产品支持的压缩算法及配置方式。 背景介绍 在一些大文件传输业务场景，尤其在业务高峰期，会占用很多宝贵的带宽资源且增加发送时间，降低加速体验效果。在此背景下，我们提出对上下行传输内容同时进行压缩，提升中间节点传递速度，同时降低带宽成本。 当前CDN厂商常用的压缩方法有Gzip压缩和Brotli压缩算法。 Gzip压缩算法 Gzip基于DEFLATE算法，它是LZ77和霍夫曼编码的组合，最早用于UNIX系统的文件压缩。HTTP协议上的Gzip编码是一种用来增进Web应用程序性能的技术，Web服务器和客户（浏览器）必须共同支持Gzip，当下主流的浏览器都是支持Gzip压缩，包括IE6、IE7、IE8、IE9、FireFox、Google Chrome、Opera 等。 Brotli压缩算法 Brotli通过变种的LZ77算法、Huffman编码以及二阶文本建模等方式进行数据压缩，特别侧重于HTTP压缩，与其他压缩算法相比，通常可以获得更高的压缩效率。 功能介绍 天翼云应用加速产品目前仅支持Gzip压缩功能，开启压缩功能后，可以减少平台中传输的内容，能够带来两个明显的好处，一是降低节点带宽，二是通过网络传输文件时，可以减少传输的时间。 应用加速会对传输在应用加速上行和下行的数据同时进行压缩： 对于上行而言，传输内容在边缘节点压缩后，在回源节点进行解压缩后传给源站。 对于下行而言，回源节点进行压缩，在边缘节点进行解压缩后返回给客户端。 注意 1.常用的视频类型（MP4、WMV、AVI等）和图片类型（JPG、PNG、JPEG等）一般已进行压缩处理，无需再开启Gzip压缩。 2.建议仅针对大文件传输开启压缩功能。

本节介绍操作手册,方便用户更好使用本产品。 分布式容器云平台用户操作手册.pdf

本节介绍操作手册,方便用户更好使用本产品。 分布式容器云平台用户操作手册.pdf

本节介绍了用户指南: 弹性文件概述。 云容器引擎支持挂载天翼云弹性文件存储卷。cstorcsi插件兼容动态和静态两种存储卷类型，通过将弹性文件存储卷挂载至容器指定目录，可满足数据持久化需求。 弹性文件存储提供按需扩展的高性能NAS服务，支持云上多台弹性云主机、容器及物理机等计算资源的大规模并发访问，具备高可用性与数据持久性保障。其提供标准POSIX文件访问接口，可实现现有应用与文件存储的无缝集成。 使用限制 规格类型 当前cstorcsi插件支持SFS Turbo标准型、SFS Turbo性能型 文件协议 当前cstorcsi插件仅支持NFS协议 容量 单个文件系统最小容量为500GB 文件系统加密 暂不支持文件存储加密 性能规格 SFS Turbo标准型、SFS Turbo性能型规格对比：弹性文件性能对比 说明 最大IOPS、最大带宽两个参数的值均为读写总和。比如最大IOPSIOPS读+IOPS写。 最大IOPS大小与容量无关。 时延是指低负载情况下的最低延迟，非稳定时延。 参数 SFS Turbo标准型 SFS Turbo性能型 最大带宽 1.5GB/s 2GB/s 最高IOPS 5000 30000 时延 1~10ms 1ms 最大容量 500GB~32TB 500GB~32TB 优势 大容量、低时延 大容量、高带宽、低成本 应用场景 适用于大容量、低时延的业务，如代码存储、日志存储、Web服务、虚拟桌面等 适用于海量小文件、随机IO密集型以及时延敏感型业务，如高性能计算、文件共享、内容管理等

本节介绍了插件FAQ。 云容器引擎提供了诸多类型的组件，涵盖容器核心组件、应用管理、日志监控、存储等方面，用户可以根据需求进行相应组件的安装、卸载、实例查看等。 本文所涉及组件可以在指定容器集群——“插件”——“插件市场”获取插件列表，主要介绍插件安装及使用过程中常见的问题及分析流程。 安装失败 在“插件”——“插件市场”——选择插件安装，完成相关参数配置后点击“安装”； 安装详情可以在“插件”——“插件实例”中看到相应插件实例，在状态栏查看实例运行状态，如果实例安装失败，可以通过查看状态栏的日志获取部署失败详情。 以下是常见的插件安装失败问题： 1、cstorcsi插件安装报 no matches for kind “PodSecurityPolicy” in version “policy/v1beta1 该报错见于在kubernetes v1.25集群上安装cstorcsi v3.1.0版本报错，报错原因是cstorcsi插件安装会部署PodSecurityPolicy资源，但该资源在k8s v1.25中被移除。 该问题解决方案有以下两种方式： 将cstorcsi升级至3.2.0，按原参数安装即可； 如不希望进行组件升级，可以将cstorcsi v3.1.0 value.yaml中，将参数podSecurityPolicy.enabled配置为false，卸载后重新安装即可。 2、cubenodelocaldns插件安装报 resource mapping not found for name: "ccsenodelocaldnsadmissioncontroller namespace "kubesystem" from "": no matches for kind "Certificate" in version "certmanager.io/v1"” 该报错是由于cubenodelocaldns插件安装依赖certmanager组件，请先在插件市场中安装certmanager，再重新安装cubenodelocaldns即可。