本节介绍某公司权限设计及配置最佳实践。 概述 为方便企业中的管理人员对集群中的资源权限进行管理，分布式容器云平台提供了多种维度的细粒度权限策略和管理方式。分布式容器云平台的权限管理包括「统一身份认证服务（IAM）授权」和「Kubernetes RBAC授权」两种能力。IAM授权与Kubernetes RBAC授权，两者是完全独立的，互不影响，但要配合使用。具体解释如下： 统一身份认证服务（IAM）授权：是基于IAM策略的授权，可以让用户拥有集群管理、联邦管理、舰队管理等操作权限。 Kubernetes RBAC授权：集群中Kubernetes资源权限是基于Kubernetes RBAC能力的授权，通过权限设置可以让不同的用户或用户组拥有操作不同Kubernetes资源的权限。 假设A公司在分布式容器云平台管理多集群，公司中有多个职能团队，分别负责权限分配、资源管理、创建应用、流量分发、监控运维等。结合使用统一身份认证服务（IAM）与Kubernetes RBAC授权的权限管理，可以实现精细化授权的目标。 权限设计 下面我们以一个公司为例进行介绍。通常一个公司中有多个部门或项目，每个部门又有多个成员，所以在配置权限前需要先进行详细设计，并在设置权限之前提前为每个成员创建用户名，便于后续对用户进行用户组归属和权限设置。 下图为某公司某部门的结构示意图，我们将按照该设计对每个角色的权限设置进行演示。

本章节介绍使用云原生API网关实现后端双向TLS认证 概述 云原生API网关作为代理服务接收下游服务（DownStream）请求，并转发到上游服务（Upstream）；对于上游服务来说，云原生API网关收敛了外部的请求，统一经过网关转发到上游。从安全角度考虑，上游服务可以添加认证鉴权规则实现对网关的身份认证和访问鉴权，确保上游服务安全性；其中一种实现方式就是在上游服务配置TLS策略，要求网关转发请求时提供客户端证书，实现对网关的身份认证，具体流程如下： 云原生API网关支持配置证书，用于实现请求后端服务时服务端对网关的证书认证，本文说明具体配置流程。 前提条件 1. 部署后端HTTPS服务，并配置要求请求客户端提供证书。 2. 已开通云原生API网关实例。 部署后端服务 我们采用云容器引擎部署后端服务，镜像采用我们的demo应用（已配置证书，并要求客户端请求时提供证书），部署完成后在云容器引擎控制台可以看到容器启动： 还需要部署关联到工作负载的Service，用于暴露工作负载，如下

查看日志 1. 在容器应用详情左边导航栏中选择“应用监控“ 2. 在顶部菜单栏中选择“调用链查询” 3. 在应用列表中选择您想查看的应用，点击应用名称打开新的应用详情链接 4. 点击TraceID，打开Trace详情弹窗 5. 右侧点击“查看日志”，跳转到“云日志服务”界面查看日志详情 监控概览 以应用为维度，统计整个应用的关键指标，帮助您快速掌握应用的整体状况。 1. 在容器应用详情左边导航栏中选择“应用监控“ 2. 在顶部菜单栏中选择“监控概览”查看相应信息 具体使用说明可参考应用性能监控>用户指南>监控概览 应用拓扑 以应用为维度，进行可视化拓扑展示。 1. 在Ecs应用详情左边导航栏中选择“应用监控“ 2. 在顶部菜单栏中选择“应用拓扑”查看相应信息 具体使用说明可参考应用性能监控>用户指南>应用拓扑 接口监控 1. 在容器应用详情左边导航栏中选择“应用监控“ 2. 在顶部菜单栏中选择“接口监控”查看相应信息 具体使用说明可参考应用性能监控>用户指南>接口监控

名称 描述 CORSConfiguration 最多包含100个CORSRules元素的容器。 类型：容器 CORSRule 用户允许跨域的源和方法。 类型：容器。 子节点: AllowedOrigin、 AllowedMethod、MaxAgeSeconds、ExposeHeader、ID。 父节点: CORSConfiguration。 ID 规则的唯一标示。最长255个字符。 类型：字符串。 父节点: CORSRule。 AllowedMethod 用户允许跨域的HTTP方法。每个CORSRule应至少包含一个源和一个方法。 类型: 枚举。 取值：GET、PUT、HEAD、POST、DELETE。 父节点：CORSRule。 AllowedOrigin 用户允许跨域的源。最多包含一个 通配符。比如： 用户也可以只指定 表示允许所有源跨域访问。 类型：字符串。 父节点: CORSRule。 AllowedHeader 通过AccessControlRequestHeaders请求头，指定预检OPTIONS请求中允许的请求头。AccessControlRequestHeaders中的每个请求头名称，必须在规则中有匹配的相应条目。OOS将仅发送允许的响应头。规则中的每个 AllowedHeader 字符串可以最多包含一个 通配符字符。例如：xamz。 类型：字符串。 父节点：CORSRule。 MaxAgeSeconds 指定浏览器为预检请求缓存响应的时间 (以秒为单位)。 一个CORSRule最多包含一个MaxAgeSeconds元素。 类型：整型。 父节点：CORSRule。 ExposeHeader 指定客户应用程序 (例如，JavaScript XMLHttpRequest文件) 能够访问的响应头。 类型：字符串。 父节点: CORSRule。

创建桶 Bucket是用于存储对象（Object）的容器，所有的对象都必须隶属于某个Bucket。本文介绍如何创建桶（Bucket）。 接口定义 plaintext (void)listBuckets:(AWSRequest )request completionHandler:(void (^)(AWSS3ListBucketsOutput response, NSError error))completionHandler 参数说明 参数名 类型 说明 bucket NSString bucket名称 createBucketConfiguration AWSS3CreateBucketConfiguration 如果非NULL，则是用于授权签名的AWS区域 ACL AWSS3BucketCannedACL 设定的权限 代码示例 plaintext (void) createBucketWithName:(NSString) bucketName { AWSS3CreateBucketRequest request [[AWSS3CreateBucketRequest alloc] init]; request.bucket bucketName; [self.s3 createBucket:request completionHandler:^(AWSS3CreateBucketOutput Nullable response, NSError Nullable error) { if (error ! nil) { NSLog(@"error: %@", error); return; } }]; } 删除桶 Bucket是用于存储对象（Object）的容器，所有的对象都必须隶属于某个Bucket。本文介绍如何删除桶（Bucket）。 注意：待删除的bucket必须是空的，否则会报错。 接口定义 plaintext (void)deleteBucket:(AWSS3DeleteBucketRequest )request completionHandler:(void (^)(NSError error))completionHandler 参数说明 参数名 类型 说明 bucket NSString 要删除的bucket名 代码示例 plaintext (void) deleteBucketWithName:(NSString) bucketName { AWSS3DeleteBucketRequest request [[AWSS3DeleteBucketRequest alloc] init]; request.bucket bucketName; [self.s3 deleteBucket:request completionHandler:^(NSError Nullable error) { if (error ! nil) { NSLog(@"error: %@", error); return; } }]; } 判断桶是否存在 Bucket是用于存储对象（Object）的容器，所有的对象都必须隶属于某个Bucket。本文介绍如何判断桶（Bucket）是否存在。

创建桶 Bucket是用于存储对象（Object）的容器，所有的对象都必须隶属于某个Bucket。本章节介绍如何创建桶（Bucket）。 接口定义 plaintext // 简化接口 public Bucket createBucket(String bucketName) // 完整接口 public Bucket createBucket(CreateBucketRequest createBucketRequest) 参数说明 参数名 类型 说明 bucketName String bucket名称 region String 如果非NULL，则是用于授权签名的AWS区域 cannedAcl CannedAccessControlList 设定的权限 代码示例 plaintext public void CreateBuckets(String bucketName, OnS3ResponseListener listener) { GlobalThreadPool.getInstance().execute(() > { try { Bucket bucket sS3Client.createBucket(bucketName); ​ Handler mainHandler new Handler(Looper.getMainLooper()); mainHandler.post(() > listener.onResponse(bucket)); } catch (Exception e) { Handler mainHandler new Handler(Looper.getMainLooper()); mainHandler.post(() > listener.onError()); } }); } 获取桶列表 Bucket是用于存储对象（Object）的容器，所有的对象都必须隶属于某个Bucket。本章节介绍如何获取桶（Bucket）列表。 接口定义 plaintext public List listBuckets() 代码示例 plaintext public void ListBuckets(OnS3ResponseListener > listener){ GlobalThreadPool.getInstance().execute(() > { try { List list sS3Client.listBuckets(); ​ Handler mainHandler new Handler(Looper.getMainLooper()); mainHandler.post(() > listener.onResponse(list)); } catch (Exception e) { Handler mainHandler new Handler(Looper.getMainLooper()); mainHandler.post(() > listener.onError()); } }); } 判断桶是否存在 Bucket是用于存储对象（Object）的容器，所有的对象都必须隶属于某个Bucket。本章节介绍如何判断桶（Bucket）是否存在。

参数 参数说明 集群名称 新建集群的名称。集群名称长度范围为4128个字符，以小写字母开头，由小写字母、数字、中划线（）组成，且不能以中划线（）结尾。 企业项目 该参数仅对开通企业项目的企业客户帐号显示，不显示时请忽略。 集群版本 建议选择最新的版本。 集群规模 当前集群可以管理的最大 Node节点 规模。若选择50节点，表示当前集群最多可管理50个Node节点。 高可用 默认选择“是”。 网络模型 默认即可。 虚拟私有云 新建集群所在的虚拟私有云。若没有可选虚拟私有云，单击“新建虚拟私有云”进行创建，完成创建后单击刷新按钮。 控制节点子网 集群Master节点所在的子网。 容器网段 按默认配置即可。 IPv4 服务网段 同一集群下容器互相访问时使用的Service资源的网段。决定了Service资源的上限。 创建后不可修改。

当您需要更新证书时,如果涉及到大量域名需要绑定证书,可以通过批量绑定域名进行快捷操作。 配置说明 证书批量绑定域名具体操作步骤如下： 1. 登录边缘安全加速平台控制台。 2. 在【域名】【证书管理】页面，找到您需要操作的证书，通过操作列>单击【绑定域名】按钮。 3. 选择您要绑定该证书的域名，域名将会出现在右侧，每次最多支持绑定100个域名。 4. 选择完毕后，单击【提交绑定】，将提交证书绑定域名的任务。 注意 关联域名后，已选择的域名将自动开启https开关，且绑定该证书。 证书绑定域名生效时间大概需要5~15分钟，您可以稍后在证书详情查看绑定域名情况。

本节介绍了如何通过工单提交您的增值/定制需求。当您在服务使用过程中，有增值/定制需求，您可以联系客户经理或在官网以工单的形式提交您的需求。 第一步，登陆天翼云官网，点击用户菜单下的“工单管理“。 第二步，进入“新建工单”页面，选择DDoS高防（边缘云版）产品。 第三步，根据您的需求，选择“问题分类”。 第四步，描述您的具体需求，点击确定提交。提交后您可在【我的工单】或天翼云APP中查看工单处理进度。

本文介绍边缘函数请求过程中产生的错误码，方便问题排查。 终端用户请求错误 分类 定义 状态码 错误详情 :::: 函数错误 脚本异常：用户函数抛出JavaScript异常 500 Error Code: 1111 Function threw exception 函数错误 禁止访问网络 500 Error Code: 1113 Prohibit access to the intranet 函数错误 超出6个子请求限制 500 Error Code: 1115 Too many subrequests 函数错误 函数没有返回 response 500 Error Code: 1117 Illegal response 资源限制 用户函数超出运行时资源限制： CPU执行时长≤配置的函数规格（10ms） 内存≤128M 响应时长≤30s 500 Error Code: 1201 Exceeded resource limits 内部错误 内部错误 500 Error Code: 1301 Internal Error 函数错误 函数被禁用 500 Error Code: 1407 Function Forbidden

本文将向您介绍如何通过边缘安全加速平台安全与加速服务提供的访问控制功能。 功能介绍 通过访问控制功能，您可以设置根据请求中不同字段内容进行匹配，对满足匹配条件的请求进行拦截、重定向等动作。 如您可以拦截来自指定IP、指定IP段与指定地域的IP地址请求。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 开通免费版及以上版本，支持使用访问控制功能，不同版本限制规则数不同，具体请见安全与加速服务版本差异对比。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【访问控制/限流】菜单，并在左侧域名列表选择您要防护的域名。 3. 进入防护能力高级安全防护【访问控制】详细设置。 配置说明 配置项 说明 优先级 配置访问控制策略的优先级，数字越小，优先级越高。 开关 访问控制策略的开关，支持开启或关闭。 处理动作 告警：对命中该规则的请求仅告警不阻断，记录攻击日志。 加白：对命中该规则的请求放行，不记录攻击日志。当防护粒度选择响应头、状态码时，不适用于"加白"动作。 攻击标记：命中该规则的请求将继续匹配后续防护策略。若命中，则产生对应类型的攻击日志，但不会阻断请求。当防护粒度选择响应头、状态码时，对响应报文进行攻击检测。 拦截：对命中该规则的请求进行拦截，并返回响应页面。当防护粒度选择响应头、状态码时，不适用于"拦截"动作。选择拦截动作，可设置自定义拦截页面。 丢弃：对命中该规则的请求拦截但不会响应页面，减少带宽。当防护粒度选择响应头、状态码时，不适用于"丢弃"动作。 重定向：对命中该规则的请求302重定向到指定的页面。仅适用于静态类请求。当防护粒度选择响应头、状态码时，不适用于"重定向"动作。 JavaScript挑战：对命中该规则的请求进行JavaScript挑战验证。仅适用于GET请求的HTML静态页面。当防护粒度选择响应头、状态码时，不适用于"JavaScript挑战"动作。 图片验证码：对命中该规则的请求响应图片验证码进行人机校验。仅适用于GET请求的HTML静态页面。当防护粒度选择响应头、状态码时，不适用于"图片验证码"动作。 规则名称 访问控制策略的规则名称。 规则描述 访问控制策略的规则描述。 防护范围 支持配置多个防护粒度，多个防护粒度为且关系，满足所有条件时，才触发处理动作。 防护粒度：支持选择IP、IPS、地理位置、URI、PATH等十几种粒度。具体粒度介绍见下方【防护粒度说明】。 关系：等于/不等于。 匹配内容：不同的粒度支持输入不同的匹配内容。一般支持输入多条，多条内容用英文符号;分隔。 防护周期 若您希望访问控制策略只在某个周期生效，可以配置防护周期，并支持且条件。防护周期支持配置每日、每周、每月。 配置示例： 1. 每周一至周二：周期包含12。 2. 每周日至周一的7点至9点：周期包含每周 71 且 周期包含每天07:0009:00。 3. 每月19号的23点到次日1点：周期包含每月 1919 且 周期包含每天23:0001:00。 4. 每周二或每周四的7点至9点：周期包含每周 22;44 且 周期包含每天07:0009:00。

本节介绍该产品服务等级协议。 产品服务等级协议，详情参见《天翼云云容器引擎服务等级协议》。

使用云应用引擎部署应用后，可以查看应用的实例列表，观察实例和容器的启动状态。 功能入口 查看所有实例列表 1. 登录 CAE 控制台。 2. 在 CAE 控制台左侧导航栏选择应用管理 > 实例列表。 3. 可以筛选特定命名空间下的实例列表。 查看目标应用的实例列表 1. 在 CAE 控制台左侧导航栏选择应用管理 > 应用列表。 2. 在应用列表页面，单击目标应用名称，进入应用基础信息页。 3. 在应用基础信息 页中选择实例列表页签。 查看实例容器列表 1. 进入实例列表页面。 2. 单击目标实例的名称。

极速文件存储（SFS Turbo）具有按需申请，快速供给，弹性扩展，方便灵活等特点，适用于多种使用场景，主要面向DevOps、容器微服务、企业办公等场景。 图CCE挂载极速文件存储卷 极速文件存储说明 符合标准文件协议：用户可以将文件系统挂载给服务器，像使用本地文件目录一样。 数据共享：多台服务器可挂载相同的文件系统，数据可以共享操作和访问。 私有网络：数据访问必须在数据中心内部网络中。 直接使用云上现有IAAS服务构建独享的云文件存储，为租户提供数据隔离保护和IOPS性能保障，主要面向DevOps、容器微服务、企业办公等场景。 适用于多读多写（ReadWriteMany）场景下的各种工作负载（Deployment/StatefulSet）和普通任务（Job）使用。

本节介绍了自动变更集群规格的用户指南。 操作场景 容器集群规模是集群支持管理的最大节点数量，当集群规模不满足您的诉求或控制面组件负载达到阈值时，可以通过开启“自动变更规格”功能自动扩大集群控制面规模。该功能默认关闭，需手动开启。 约束限制 1. 自动变更规格功能仅适用于托管版容器集群。 2. 自动变更规格对特定客户开放，如需使用，请联系客户经理或通过工单申请。 3. 自动变更规格涉及自动支付，自动支付暂不支持代金券支付，对于预付费账号，请确保余额充足，以便顺利完成支付和规格变更。 4. 自动变更规格过程中，容器集群组件会进行滚动更新，可能导致短暂的服务中断，建议避免在此过程中执行创建负载等核心操作。 5. 控制面组件负载触发依赖于cubeprometheus插件采集控制面组件指标数据，请先安装cubeprometheus插件，再安装masterautoscaler插件。 6. 若卸载了cubeprometheus插件，会导致masterautoscaler无法采集控制面组件指标，无法触发自动变更。 7. 若卸载重装了cubeprometheus插件，masterautoscaler插件也需要先卸载再安装。 收费策略 集群变更规格（升配或降配）会直接影响集群管理费用的计算。变更完成后，新规格立即生效并按新规格计费。 费用计算规则 1. “按需计费”集群：升配和降配生效后，按照变更后规格的费用按需计费。 2. “包年包月”集群： 升配：新规格价格高于老规格价格，客户需要支付新老规格的差价，在升配期间自动扣除费用。 降配：新规格价格低于老规格价格，天翼云会将新老规格的差价退给客户，在降配期间自动返还费用。

本文介绍了:云容器引擎发布Kubernetes 1.31版本说明。 社区 Kubernetes 版本主要变更 Kubernetes 1.31 版本Changelog 1. StatefulSet 起始序号（GA），允许用户自定义 Pod 的起始序号（默认从 0 开始），例如设置为 100，适用于需要固定编号或特定顺序的应用场景（如分布式数据库）。 2. 弹性索引 Job（GA），支持在索引 Job 创建后动态调整 .spec.completions 和 .spec.parallelism 字段，实现任务弹性伸缩，无需重新创建 Job。 3. Pod 失效策略（GA），可根据 Pod 失效原因（如被抢占、节点删除、kubelet 终止等）分别配置处理逻辑（重试或忽略），避免不必要的 Pod 重启，降低运行成本。 4. Pod 干扰状况（GA），在 Pod 的 Condition 中新增 DisruptionTarget 类型，明确标记 Pod 失效原因（如被高优先级 Pod 抢占），结合 Job 的失效策略实现更精细的任务管理。 5. Job成功策略（Beta），JobSuccessPolicy特性进阶至Beta。该特性允许用户基于成功的Pod个数为Job配置成功策略。 6. 持久卷回收策略（Beta），确保 PV 的回收策略（如 Delete）在 PVC 删除后仍被强制执行，通过添加 Finalizer 防止存储资源泄漏，即使 PV 和 PVC 的删除顺序混乱也能保证一致性。 7. ServiceAccountTokenNodeBinding（Beta），创建绑定到特定节点的 Token，包含节点信息声明，并在 Token 使用时验证节点存在性。若节点被删除，Token 自动失效，降低凭证泄露风险。 8. 容器重启优化，当 Pod 配置变更但镜像未更新时，kubelet 不再强制重启容器，避免因非关键配置更新导致的不必要中断。 9. OCI 镜像卷（Alpha），允许将 OCI 镜像直接挂载为卷，简化 AI/ML 工作负载中模型和数据的访问，例如通过更换镜像快速更新模型权重。 更多信息请参考：Kubernetes 1.31 Changelog

本节介绍了用户指南: 本地存储概述。 云容器引擎支持使用本地存储卷。当前cstorcsi插件支持通过LVM和LocalPV的方式动态使用容器集群节点上的硬盘或者文件系统。 功能介绍 本地存储卷包含以下几种方式，可以根据业务需求及存储特点进行选择。 类型 存储卷类型 能力供应 特点 LocalPV 动态存储卷 cstorcsi插件 使用节点上已有数据目录，动态创建子路径绑定到PV上，供业务使用。 LocalPV 静态存储卷 Kubernetes原生 通过手动创建PV，指定节点亲和性及本地存储设备的方式使用本地存储。pod无需手动调度指定的节点。 HostPath Kubernetes原生 将主机节点文件系统上指定文件或目录挂载到 Pod 中。 LVM 动态存储卷 cstorcsi插件 基于节点上的数据盘，虚拟化成一个小型存储池，当需要特定份额的存储时，从中划分出对应份额的磁盘跟用户容器使用。 约束与限制 cstorcsi插件本地存储功能需要插件版本>3.3.3； 请勿在节点上手动删除存储池或卸载数据盘，否则会导致数据丢失等异常情况； 请勿对本地存储资源自行执行增删改等操作，否则会导致PVC不可用或者无法达到使用预期。 本地存储资源包括存储池管理的VG，PV，LV，或者基于硬盘构建的文件系统；或者自行申领的文件系统等； 重置或缩容节点会导致与节点关联的本地持久存储卷类型的PVC/PV数据丢失，无法恢复，且PVC/PV无法再正常使用； 本地存储并非高可用存储卷，只适用于一些临时数据的保存及应用自带高可用的场景； LVM本地存储卷，不支持数据的跨节点迁移，不适合在高可用场景中使用。

本文主要介绍授权管理 操作场景 如果您需要对容器镜像服务进行权限管理，您需要使用统一身份认证服务IAM对操作用户配置权限，当您具有SWR Admin或者Tenant Administrator系统权限时，您就拥有了SWR的管理员权限，可以在SWR中为其他IAM用户进行授权。 说明 拥有SWR管理员权限的用户，默认拥有所有组织下的镜像管理权限，即使该用户不在组织的授权用户列表中。 如果您没有SWR的管理员权限，就需要已拥有SWR管理员权限的用户在SWR中进行授权管理，为您添加对某个镜像的权限或对某个组织中所有镜像的权限。 场景示例： 示例一：我是拥有ServiceStage Developer权限（SWR只读权限）的IAM用户，想要下载SWR管理员所创建的“group”组织下的“nginx”镜像。 示例二：我是SWR管理员，需要给公司内部员工授权一个组织的镜像上传权限。 策略：您在组织详情“用户”页签下为该员工授予“编辑”权限。 授权方法 容器镜像服务中给IAM用户添加权限有如下两种方法： 在镜像详情中添加授权： 授权完成后，IAM用户享有读取/编辑/管理该镜像的权限。 在组织中添加授权： 使IAM用户对组织内所有镜像享有读取/编辑/管理的权限。 图 用户权限 容器镜像服务中为用户添加的权限有如下三种类型： 读取：只能下载镜像，不能上传。 编辑：下载镜像、上传镜像、编辑镜像属性以及添加触发器。 管理：下载镜像、上传镜像、删除镜像或版本、编辑镜像属性、添加授权、添加触发器以及共享镜像。 说明 页面上传镜像功能要求具备组织的编辑或管理权限，在镜像详情中添加的编辑或管理权限不支持页面上传镜像。

本节介绍集群元数据备份与恢复。 CCE One 提供备份恢复功能，能对已被分布式容器云平台纳管的集群应用进行备份，并在线上其他 CCE集群恢复，从而快速完成线下应用向线上环境的迁移。本文详细介绍了如何使用备份能力将已接入注册集群的线下自建集群中的应用高效迁移至天翼云容器引擎 CCE集群中来。 前提条件 已开通对象储存（CTZOS）服务，并开通公网访问。具体操作，请参考对象储存。 将自建Kubernetes集群通过注册集群的方式接入分布式容器云平台CCE One。具体操作，请参见将本地Kubernetes接入注册集群。 注意 若源/目标集群无法注册到天翼云CCE One注册集群时（公网/内网均不具备打通条件），可考虑手工向成员集群部署ccsebackup插件以及YAML配置方式进行相关操作，相对前端操作方式会比较繁琐。若有需要，可联系天翼云售前同学咨询。 适用场景 实现业务快速上云，应用备份迁移一体化。 参考指引 本文以nginx应用为例，在线下集群中部署应用后进行备份，然后在线上天翼云注册集群中进行恢复。 步骤一：在自建Kubernetes集群部署应用 执行以下命令，创建对应的nginx deployment： plaintext apiVersion: apps/v1 kind: Deployment metadata: name: nginxdeployment labels: app: nginx spec: replicas: 1 selector: matchLabels: app: nginx template: metadata: labels: app: nginx spec: containers: name: nginx image: nginx:latest imagePullPolicy: IfNotPresent ports: containerPort: 80 apiVersion: v1 kind: Service metadata: name: nginxservice labels: app: nginx spec: selector: app: nginx ports: protocol: TCP port: 80 targetPort: 80 预期结果：

名称 描述 是否必须 BucketName 存储桶名称。 是 CORSConfiguration 最多包含100个CORSRule元素的容器。 类型：容器。 子节点：CORSRule。 是 CORSRule 用户允许跨域的源和方法。 类型：容器。 子节点：AllowedOrigin、AllowedMethod、AllowedHeader、MaxAgeSeconds、ExposeHeader、ID。 父节点：CORSConfiguration。 是 ID 规则的唯一标识。最长255个字符。 类型：字符串。 父节点：CORSRule。 否 AllowedMethod 允许跨域的HTTP方法。每个CORSRule应至少包含一个源和一个方法。 类型: 枚举 (GET, PUT, HEAD, POST, DELETE)。 父节点：CORSRule。 是 AllowedOrigin 允许跨域的源。每个CORSRule应至少包含一个源和一个方法。 可以包含通配符，但最多只能包含一个，比如： 表示允许所有源跨域访问。 类型：字符串。 父节点：CORSRule。 是 AllowedHeader 控制在预检OPTIONS请求中AccessControlRequestHeaders头中指定的header是否允许。AccessControlRequestHeaders 中的每个请求头名称，必须在规则中有匹配的条目。 规则中的每个 AllowedHeader最多可以包含一个 通配符字符。例如，xamz。 类型：字符串。 父节点：CORSRule。 否 MaxAgeSeconds 指定浏览器对特定资源的预检（OPTIONS）请求返回结果的缓存时间，单位为秒。通过缓存响应，在需要重复原始请求时，浏览器无需向 OOS 发送预检请求。 一个CORSRule最多包含一个MaxAgeSeconds元素。 类型：整型。 取值：大于等于1的整数。1表示禁用缓存。 父节点：CORSRule。 否 ExposeHeader 指定客户应用程序(例如，JavaScript XMLHttpRequest文件)能够访问的响应头。 类型：字符串。 父节点: CORSRule。 否

参数 说明 搜索框 输入存储源名称或者关键字，支持输入部分名称和全名称进行检索。 检索 根据输入存储源名称关键字进行检索筛选。 刷新 刷新当前存储源列表展示页面。 名称 存储源的名称。 模式 显示【自建文件存储】、【智能边缘云文件存储】。 协议 NFS。 容量 SFS显示具体容量。 服务器地址 存储源所挂载的服务器地址。 共享目录 存储源挂载的共享目录路径。 创建时间 存储源的创建时间。 操作 删除

本章节介绍如何进行Ingress配置接入 前置条件 1. 开通云容器引擎集群 2. 开通MSE云原生网关实例，绑定公网ELB 3. 需要部署的镜像已经上传到镜像仓库 云原生网关配置 1. 配置云容器引擎服务来源，安装Ingress controller（注意配置我们要监听的命名空间的标签，这里我们只监听带有mseingresswatching的命名空间） 创建完成后可以看到云容器引擎上Ingress controller安装成功 2. 部署应用 给demo应用添加标签mseingresswatching 在demo命名空间下部署我们的测试应用（请确保镜像已经推送到镜像仓库），这里我们使用istio的bookinfo说明，部署完成后demo命名空间下的应用列表如下： 如果需要正常访问bookinfo应用需要配置以下路由规则： 路径精确匹配：/productpage，/login，/logout 路径前缀匹配：/static/，/api/v1/products/ 访问后端productpage服务 其中/productpage 路径是我们应用的访问入口 此时我们访问云原生网关的ELB地址： 由于此时我们还没有创建服务和路由规则，访问会返回404错误

本文为您介绍CTCCLSlowdetect最佳实践。 在4台A8008，每台节点有8张mlx网卡，RoCE组网，部署慢节点工具套件。其中，在4节点上容器化部署模型训练基础环境以及llama27b训练模型，在node1上容器化部署ctccm服务，并在每一台节点上容器化部署ctcclprofiler服务。 在训练任务代码中调用ctcclprofilercomm API： 在训练脚本中配置相关环境变量 启动ctccmslowdetect服务 export PATH"/usr/local/python3/bin:$PATH"（替换为自己的安装路径） && ctccm nnodes 4 port 8002 debug 启动所有节点上的ctcclprofilernet服务 启动分布式训练任务，ctccm会收到任务的逻辑拓扑 ctccm在训练中检测集群中是否存在慢节点，一旦发现慢节点则下发开始收集细粒度的监控信息的控制信号，并做慢节点定位定界。 当计算慢时，ctccm会给出计算慢的TP通信域所包含的rank。 当通信慢时，ctccm会给出慢的QP以及它所对应的网卡对和所在节点。

本节介绍边缘裸金属的镜像定义及分类。 镜像定义 镜像是裸金属服务器运行环境的模板，模板中包含了特定的操作系统和运行环境，有时也额外包括了一些预装的应用软件。 镜像分类 裸金属目前支持公有镜像和自定义镜像。 其中公有镜像是由ECX官方提供的镜像，适配了裸金属服务器品牌并安装了必要的初始化插件，所有用户均可使用。 自定义镜像包含操作系统、预装的公共应用以及用户的私有应用，选择自定义镜像创建裸金属服务器，可以节省用户重复配置裸金属服务器的时间。

策略名称 策略说明 支持的操作系统 企业版 旗舰版 网页防篡改版 容器安全 资产发现 检测系统中的软件信息，包含软件名称、软件路径、主要应用等，帮助用户识别异常资产。 Linux × √ √ √ 弱口令检测 检测系统帐户口令是否属于常用的弱口令，针对弱口令提示用户修改。 Linux √ （只支持自定义弱口令） √ √ √ 配置检测 对常见的Tomcat配置、Nginx配置、SSH登录配置进行检查，帮助用户识别不安全的配置项。 Linux × √ √ √ containerescape 对容器到宿主机的逃逸进行检测，避免出现漏洞风险。 Linux × × × √ Webshell检测 检测云服务器上Web目录中的文件，判断是否为Webshell木马文件。 Linux √ （只支持配置检测路径） √ √ √ 容器文件监控 检测违反安全策略的文件异常访问，安全运维人员可用于判断是否有黑客入侵并篡改敏感文件。 Linux × × × √ 容器进程白名单 检测违反安全策略的进程启动。 Linux × × × √ 文件保护 检测操作系统、应用程序软件和其他组件的文件，确定文件是否发生了可能遭受攻击的更改。 Linux × √ √ √ 登录安全检测 检测SSH、FTP、MySQL等帐户遭受的口令破解攻击。 如果30秒内，帐户暴力破解次数（连续输入错误密码）达到5次及以上，HSS就会拦截该源IP，禁止其再次登录，防止主机因帐户破解被入侵。 SSH类型攻击默认拦截12小时，其他类型攻击默认拦截24小时。根据帐户暴力破解告警详情，如“攻击源IP”、“攻击类型”和“拦截次数”，您能够快速识别出该源IP是否为可信IP，如果为可信IP，您可以通过手动解除拦截的方式，解除拦截的可信IP。 Linux × √ √ √ 恶意文件检测 反弹shell：实时监控用户的进程行为，及时发现进程的非法Shell连接操作产生的反弹Shell行为。 异常shell：检测系统中异常Shell的获取行为，包括对Shell文件的修改、删除、移动、复制、硬链接、访问权限变化。 Linux × √ √ √ 进程异常行为 通过对运行进程的管控，全局检测各个主机的运行信息，保障云主机的安全性。您可以建立自己的进程白名单，对于进程的非法行为、黑客入侵过程进行告警。 Linux × √ √ √ root提权 检测当前系统文件路径的root提权行为。 Linux × √ √ √ 实时进程 检测进程中高危命令的执行行为，发生高危命令执行时，触发告警。 Linux，Windows × √ √ √

本节介绍使用集群联邦实现应用多活容灾。 CCE One集群联邦支持将工作负载的实例分发至多个集群中，避免单集群故障引发业务中断，保障业务连续性。 前提条件 1. 已创建两个及以上的注册集群，具体操作参见 订购注册集群 章节。若已有集群，无需重复操作。 2. 已开通CCE One集群联邦实例。 环境搭建 1. 登录CCE One控制台，在左侧导航栏选择“集群资源” > “集群管理”，进入集群管理界面，确认待操作集群均处于“运行中”状态。 2. 在CCE One控制台左侧导航栏选择“舰队联邦” > “舰队管理”，新建一个容器舰队，并将待操作集群添加至舰队中。 3. 在CCE One控制台左侧导航栏选择“舰队联邦” > “联邦管理”，选择待操作联邦实例，进入联邦管理界面，查看“成员信息”，确认舰队及其下集群已接入联邦。 4. 在联邦管理界面左侧导航栏选择“工作负载” > “无状态”，创建一个nginx无状态负载。 填写负载名称、命名空间、实例数量、容器镜像等信息后，点击”下一步：调度与差异化“。 调度与差异化配置中，调度方式选择“集群权重”，并将两个集群权重设置为1:1。 注意 1. 如果待操作的多个集群位于不同资源池，建议打开“差异化配置”，按集群所在的资源池配置对应容器镜像，避免镜像拉取失败。 2. 配置完成后，点击“创建工作负载”进行创建，等待工作负载运行。

本文介绍如何指定vCPU和内存创建实例。 大部分场景下，如果没有特殊的规格需求（如GPU、本地盘等），推荐您指定vCPU和内存来创建ECI实例，系统会尝试使用多种ECS规格进行支撑，以提供比ECS单规格更好的弹性和资源供应能力。 规格说明 您可以指定实例或者容器的vCPU和内存来创建ECI实例。如果指定的vCPU和内存不符合要求，系统将自动按照ECI支持的规格进行规整。规整时将向最接近的ECI规格进行规整，同时需满足指定的vCPU和内存≤ECI规格的vCPU和内存。例如：在华东1地域创建ECI实例时，声明了7 vCPU，13 GiB内存，则实际创建的ECI实例为8 vCPU，16 GiB内存。所有ECI支持地域均支持的规格： CPU( 核） 内存（ GB ） 1 2、4 2 4、8、16 4 8、16、32 8 16、32、64 12 24、48 16 32、64 32 64、128 64 128、256 配置说明 指定vCPU和内存创建ECI Pod时，支持以下两种： 1. 指定Pod内容器的vCPU和内存：通过定义Containers的limits或requests来指定。 2. 指定Pod级别的vCPU和内存：通过在Pod metadata中添加k8s.ctyun.cn/eciusespecs的Annotation来指定。 指定ECI Pod内容器的vCPU和内存 每个ECI Pod最多支持20个容器，每个容器的vCPU和内存规格可以自定义配置，但汇总到Pod级别时需满足ECI Pod的vCPU和内存约束。对于不满足的情况，系统会进行自动规整，并按规整后的规格进行计费。

本文介绍如何指定vCPU和内存创建实例。 大部分场景下，如果没有特殊的规格需求（如GPU、本地盘等），推荐您指定vCPU和内存来创建ECI实例，系统会尝试使用多种ECS规格进行支撑，以提供比ECS单规格更好的弹性和资源供应能力。 规格说明 您可以指定实例或者容器的vCPU和内存来创建ECI实例。如果指定的vCPU和内存不符合要求，系统将自动按照ECI支持的规格进行规整。规整时将向最接近的ECI规格进行规整，同时需满足指定的vCPU和内存≤ECI规格的vCPU和内存。例如：在华东1地域创建ECI实例时，声明了7 vCPU，13 GiB内存，则实际创建的ECI实例为8 vCPU，16 GiB内存。所有ECI支持地域均支持的规格： CPU( 核） 内存（ GB ） 1 2、4 2 4、8、16 4 8、16、32 8 16、32、64 12 24、48 16 32、64 32 64、128 64 128、256 配置说明 指定vCPU和内存创建ECI Pod时，支持以下两种： 1. 指定Pod内容器的vCPU和内存：通过定义Containers的limits或requests来指定。 2. 指定Pod级别的vCPU和内存：通过在Pod metadata中添加k8s.ctyun.cn/eciusespecs的Annotation来指定。 指定ECI Pod内容器的vCPU和内存 每个ECI Pod最多支持20个容器，每个容器的vCPU和内存规格可以自定义配置，但汇总到Pod级别时需满足ECI Pod的vCPU和内存约束。对于不满足的情况，系统会进行自动规整，并按规整后的规格进行计费。

本节介绍资产的类型及如何查看资产列表。 “资产中心”是汇集所有功能模块的入口，旨在提高资源的利用率和管理效率，同时提升用户的使用体验。 资产按照不同板块分了5大类，分别为集群资产、镜像资产、节点资产、应用服务以及配置相关，也可通过搜索资产名称定位到您想要查找的资产。 资产分类 资产子类 集群资产 集群、命名空间、工作负载、Pod、容器 镜像资产 仓库、仓库镜像、节点镜像、软件包 节点资产 节点、进程、端口 应用服务 Ingress、Service、Endpoint、运行应用、软件框架、Web站点、Routes 配置相关 Secret、ConfigMap、PV、PVC、标签、Service Account、Role、Role binding 查看资产列表 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“资产中心”，进入资产中心页面。 3. 单击各资产卡片，可以跳转至对应资产列表页面。

性能增强，可靠性增强 控制面和数据面在社区版本基础上进行可靠性加固和性能优化。 多基础设施 提供免运维的托管控制面，提供全局统一的服务治理，灰度、安全和服务运行监控能力，并支持对支持容器和VM等多种基础设施的统一服务发现和管理。 协议扩展 社区通用的HTTP、gRPC、TCP、TLS外扩展对Dubbo协议的支持。 传统SDK集成 提供Spring Cloud、Dubbo等传统微服务SDK的集成解决方案，传统的微服务SDK开发的业务代码无需大的代码修改即可迁移到云原生的容器和网格运行环境上来。

本节主要介绍创建虚拟机时选择对应的虚拟私有云及子网,该虚拟机将分配对应的VPC IP地址。 使用说明 在创建虚拟机时，需要选择对应的VPC和子网，以便分配对应VPC IP地址。 在虚拟机删除后，对应的VPC IP地址自动回收。 创建虚拟机时选择虚拟私有云及子网 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘虚拟机>实例】，单击右上角的【新建实例】。 3. 在创建实例页面中，在【实例基础配置>地域】选择对应的地域，在【网络配置>VPC】选择当前地域下已有的VPC和子网，若没有对应的VPC和子网可选，请参考创建虚拟私有云的操作指南进行VPC和子网的创建。

本文从边缘安全加速平台的视角介绍攻防演练最佳实践。 应用场景 快速构建严格的防护模式 重大活动安全保障 安全性评估 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 建议防护配置 1.漏洞扫描 在安全与加速工作台，进入“安全>>安全能力>>网站风险监测>>快速配置监测任务”页面，快速为域名完成一次漏洞体检。 2.防护策略 设置规则引擎防护 规则防护引擎使用基于正则的规则防护引擎和基于机器学习的 AI 防护引擎，进行 Web 漏洞和未知威胁防护。 支持针对网站提供通过内置和定制化的防护策略。防范应用接口面对的 SQL 注入、命令注入、XSS等攻击，利用语义分析能力在一定程度上解决反序列化的已知与未知漏洞攻击行为。 支持规则模板配置（安全基础配置—漏洞防护配置），用户可根据实际业务需要选择适合的模板，同时提供基于指定域名 URL 和规则 ID 白名单处置策略，进行误报处理。 建议配置如下： 1.开启【Web防护开关】 2.进入【防护规则引擎】配置页面，【防护模式】置为拦截，选择【敏感防护规则集】。 敏感防护规则集包括跨站脚本、数据库注入、命令注入、木马文件、框架漏洞等7大类的防护规则。此规则集防护的等级较为严格，容易误报的规则处理动作为告警，其他规则处理动作为拦截，存在一定误报可能性。