本文主要介绍通过控制台使用Nginx Ingress。 前提条件 Ingress为后端工作负载提供网络访问，因此集群中需提前部署可用的工作负载。若您无可用工作负载，可参考创建无状态负载(Deployment)、创建有状态负载(StatefulSet)或创建守护进程集(DaemonSet)部署工作负载。 添加Nginx Ingress时，需在集群中提前安装nginxingress插件。 注意事项 不建议在ELB服务页面修改ELB实例的任何配置，否则将导致服务异常。 如果您已经误操作，请卸载Nginx Ingress插件后重装。 Ingress转发策略中注册的URL需与后端应用暴露的URL一致，否则将返回404错误。 负载均衡实例需与当前集群处于相同VPC 且为相同公网或私网类型。 负载均衡实例需要拥有至少两个监听器配额，且端口80和443没有被监听器占用。 添加Nginx Ingress 本节以Nginx作为工作负载并添加Nginx Ingress为例进行说明。 步骤 1 登录CCE控制台，单击集群名称进入集群。 步骤 2 选择左侧导航栏的“服务发现”，在右侧选择“路由”页签，单击右上角“创建路由”。 步骤 3 设置Ingress参数。 名称： 自定义Ingress名称，例如nginxingressdemo。 命名空间： 选择需要添加Ingress的命名空间。 对接Nginx： 集群中已安装nginxingress插件后显示此选项，未安装nginxingress模板时本选项不显示。 单击开启后将对接nginxingress提供7层访问，可配置如下参数。 TLS配置 ：nginxingress支持HTTP和HTTPS，安装nginxingress时预留的监听端口，默认HTTP为80，HTTPS为443。使用HTTPS需要配置相关证书。 服务器证书：创建HTTPS协议监听时需要绑定IngressTLS类型的密钥证书，以支持HTTPS数据传输加密认证，创建密钥的方法请参见创建密钥。 SNI：SNI（Server Name Indication）是TLS的扩展协议，在该协议下允许同一个IP地址和端口号下对外提供多个基于TLS的访问域名，且不同的域名可以使用不同的安全证书。开启SNI后，允许客户端在发起TLS握手请求时就提交请求的域名信息。负载均衡收到TLS请求后，会根据请求的域名去查找证书：若找到域名对应的证书，则返回该证书认证鉴权；否则，返回缺省证书（服务器证书）认证鉴权。 转发策略配置： 请求的访问地址与转发规则匹配时（转发规则由域名、URL组成），此请求将被转发到对应的目标Service处理。单击“添加转发策略”按钮可添加多条转发策略。 域名：实际访问的域名地址。请确保所填写的域名已注册并备案，在Ingress创建完成后，将域名与自动创建的负载均衡实例的IP（即Ingress访问地址的IP部分）绑定。一旦配置了域名规则，则必须使用域名访问。 URL：需要注册的访问路径，例如：/healthz。社区v1.2.0版本（对应CCE nginxingress插件2.1.0版本）后修复CVE202125745( 目标服务名称：请选择已有Service或新建Service。页面列表中的查询结果已自动过滤不符合要求的Service。 目标服务访问端口：可选择目标Service的访问端口。 操作：可单击“删除”按钮删除该配置。 说明 Nginx Ingress的URL匹配规则是基于“/”符号分隔的路径前缀匹配，并区分大小写。只要访问路径以“/”符号分隔后的子路径匹配此前缀，均可正常访问，但如果该前缀仅是子路径中的部分字符串，则不会匹配。例如URL设置为/healthz，则匹配/healthz/v1，但不匹配/healthzv1。 注解 ：以“key: value”形式设置，可通过Annotations查询nginxingress支持的配置。社区v1.2.0版本（对应CCE nginxingress插件2.1.0版本）后修复CVE202125746( 步骤 4 配置完成后，单击“创建”。 创建完成后，在Ingress列表可查看到已添加的Ingress。

本文主要介绍DNS概述。 CoreDNS介绍 创建集群时会安装CoreDNS插件，CoreDNS是用来做集群内部域名解析。 在kubesystem命名空间下可以查看到CoreDNS的Pod。 $ kubectl get po namespacekubesystem NAME READY STATUS RESTARTS AGE coredns7689f8bdf295rk 1/1 Running 0 9m11s coredns7689f8bdfh7n68 1/1 Running 0 11m CoreDNS安装成功后会成为DNS服务器，当创建Service后，CoreDNS会将Service的名称与IP记录起来，这样Pod就可以通过向CoreDNS查询Service的名称获得Service的IP地址。 访问时通过nginx..svc.cluster.local访问，其中nginx为Service的名称，为命名空间名称，svc.cluster.local为域名后缀，在实际使用中，在同一个命名空间下可以省略.svc.cluster.local，直接使用ServiceName即可。 使用ServiceName的方式有个主要的优点就是可以在开发应用程序时可以将ServiceName写在程序中，这样无需感知具体Service的IP地址。 CoreDNS插件安装后也有一个Service，在kubesystem命名空间下，如下所示。 $ kubectl get svc n kubesystem NAME TYPE CLUSTERIP EXTERNALIP PORT(S) AGE coredns ClusterIP 10.247.3.10 ​ 默认情况下，其他Pod创建后，会将coredns Service的地址作为域名解析服务器的地址写在Pod的 /etc/resolv.conf 文件中，创建一个Pod，查看/etc/resolv.conf文件，如下所示。 $ kubectl exec test016cbbf97b78krj6h it /bin/sh / cat /etc/resolv.conf nameserver 10.247.3.10 search default.svc.cluster.local svc.cluster.local cluster.local options ndots:5 timeout singlerequestreopen 集群内域名解析示例图

本文主要介绍模版管理概述。 CCE提供了管理Helm Chart（模板）的控制台，能够帮助您方便的使用模板部署应用，并在控制台上管理应用。CCE使用的Helm版本为v3.8.2，支持上传Helm v3语法的模板包，具体请参见通过模板部署应用。 您也可以直接使用Helm客户端直接部署应用，使用Helm客户端部署应用不受版本控制，可以使用Helm v2或v3，具体请参见通过Helm v2客户端部署应用及通过Helm v3客户端部署应用。 Helm Helm是Kubernetes的包管理器，主要用来管理Charts。Helm Chart是用来封装Kubernetes原生应用程序的一系列YAML文件。可以在您部署应用的时候自定义应用程序的一些Metadata，以便于应用程序的分发。对于应用发布者而言，可以通过Helm打包应用、管理应用依赖关系、管理应用版本并发布应用到软件仓库。对于使用者而言，使用Helm后不用需要编写复杂的应用部署文件，可以以简单的方式在Kubernetes上查找、安装、升级、回滚、卸载应用程序。 Helm和Kubernetes之间的关系可以如下类比： Helm Kubernetes Apt Ubuntu Yum CentOS Pip Python Helm的整体架构如下图： Kubernetes的应用编排存在着一些问题，Helm可以用来解决这些问题，如下： 管理、编辑与更新大量的Kubernetes配置文件。 部署一个含有大量配置文件的复杂Kubernetes应用。 分享和复用Kubernetes配置和应用。 参数化配置模板支持多个环境。 管理应用的发布：回滚、diff和查看发布历史。 控制一个部署周期中的某一些环节。 发布后的测试验证。

本文主要介绍Helm v2与Helm v3的差异及适配方案。 随着Helm v2 发布最终版本Helm 2.17.0，Helm v3 现在已是 Helm 开发者社区支持的唯一标准。为便于管理，建议用户尽快将模板切换至Helm v3格式。 当前社区从Helm v2演进到Helm v3，主要有以下变化： 1. 移除tiller Helm v3 使用更加简单和灵活的架构，移除了 tiller，直接通过kubeconfig连接apiserver，简化安全模块，降低了用户的使用壁垒。 2. 改进了升级策略，采用三路策略合并补丁 Helm v2 使用双路策略合并补丁。在升级过程中，会对比最近一次发布的chart manifest和本次发布的chart manifest的差异，来决定哪些更改会应用到Kubernetes资源中。如果更改是集群外带的（比如通过kubectl edit），则修改不会被Helm识别和考虑。结果就是资源不会回滚到之前的状态。 Helm v3 使用三路策略来合并补丁，Helm在生成一个补丁时，会考虑之前老的manifest的活动状态。因此，Helm在使用老的chart manifest生成新补丁时会考虑当前活动状态，并将其与之前老的 manifest 进行比对，并再比对新的 manifest 是否有改动，并进行自动补全，以此来生成最终的更新补丁。 详情及示例请见Helm官方文档： 3. 默认存储驱动程序更改为secrets Helm v2 默认情况下使用 ConfigMaps 存储发行信息，而在 Helm v3 中默认使用 Secrets。 4. 发布名称限制在namespace范围内 Helm v2 只使用tiller 的namespace 作为release信息的存储，这样全集群的release名字都不能重复。Helm v3只会在release安装的所在namespace记录对应的信息，这样release名称可在不同命名空间重用。应用和release命名空间一致。 5. 校验方式改变 Helm v3 对模板格式的校验更加严格，如Helm v3 将chart.yaml的apiVersion从v1切换到v2，针对Helm v2的chart.yaml，强要求指定apiVersion为v1。可安装Helm v3客户端后，通过执行helm lint命令校验模板格式是否符合v3规范。 适配方案 ：根据Helm官方文档 v3模板，apiVersion字段必填。 6. 废弃crdinstall Helm v3删除了crdinstall hook， 并用chart中的crds目录替换。需要注意的是，crds目录中的资源只有在release安装时会部署，升级时不会更新，删除时不会卸载crds目录中的资源。若crd已存在，则重复安装不会报错。 适配方案 ：根据Helm官方文档 当前可使用crds目录或者将crd定义单独放入chart。考虑到目前不支持使用Helm升级或删除CRD，推荐分隔chart，将CRD定义放入chart中，然后将所有使用该CRD的资源放到另一个 chart中进行管理。 7. 未通过helm创建的资源不强制update，releaes默认不强制升级 Helm v3强制升级逻辑变化，不再是升级失败后走删除重建，而是直接走put更新逻辑。因此当前CCE release升级默认使用非强制更新逻辑，无法通过Patch更新的资源将导致release升级失败。若环境存在同名资源且无Helm V3的归属标记app.kubernetes.io/managedby: Helm，则会提示资源冲突。 适配方案 ：删除相关资源，并通过Helm创建。 8. Release history数量限制更新 为避免release 历史版本无限增加，当前release升级默认只保留最近10个历史版本。 更多变化和详细说明请参见Helm官方文档 Helm v2与Helm v3的区别： Helm v2如何迁移到Helm v3：

本文主要介绍管理节点伸缩策略。 操作场景 节点伸缩策略创建完成后，可对创建的策略进行删除、编辑、停用、启用、克隆等操作。 查看节点伸缩策略 您可以查看节点伸缩策略的关联节点池、执行规则和伸缩历史，参照界面中的提示有针对性的解决异常问题。 步骤 1 在CCE控制台，单击集群名称进入集群。 步骤 2 单击左侧导航栏的“节点伸缩”，单击要查看的策略前方的。 步骤 3 在展开的区域中，可以看到该策略的关联节点池、执行规则和伸缩历史页签，若策略异常，请参照界面中的报错提示进行定位处理。 说明 您还可以在节点池管理中关闭或开启弹性扩缩容，登录CCE控制台，在左侧导航栏中单击“资源管理 > 节点池管理”，单击要操作的节点池右上角的“编辑”，在弹出的“编辑节点池”窗口中的可以看到“弹性扩缩容”按钮，并可设置节点数上下限和弹性缩容冷却时间。 删除节点伸缩策略 步骤 1 在CCE控制台，单击集群名称进入集群。 步骤 2 单击左侧导航栏的“节点伸缩”，单击要删除的策略后方的“更多 > 删除”。 步骤 3 在弹出的“删除节点伸缩策略”窗口中，确认是否删除。 步骤 4 单击“是”按钮即完成删除操作。

参数 参数说明 策略名称 新建策略的名称，请自定义。 命名空间 请选择工作负载所在的命名空间。 关联工作负载 请选择要设置HPA策略的工作负载。 实例范围 请输入最小实例数和最大实例数。策略触发时，工作负载实例将在此范围内伸缩。 冷却时间 请输入缩容和扩容的冷却时间，单位为分钟， 缩容扩容冷却时间不能小于1分钟 。 该设置仅在1.15及以上版本的集群中显示，1.13版本的集群不支持该设置。 策略成功触发后，在此缩容/扩容冷却时间内，不会再次触发缩容/扩容，目的是等待伸缩动作完成后在系统稳定且集群正常的情况下进行下一次策略匹配。 策略规则 策略规则可基于系统指标或自定义指标。 指标：可选择“CPU利用率”或“内存利用率”。 说明 利用率 工作负载Pod的实际使用量 / 申请量。 期望值：请输入期望资源平均利用率。期望值表示所选指标的期望值，通过向上取整(当前指标值 / 期望值 × 当前实例数)来计算需要伸缩的实例数。阈值：请输入缩容和扩容阈值。当指标值大于缩容阈值且小于扩容阈值时，不会触发扩容或缩容。 阈值仅在1.15及以上版本的集群中支持 。 自定义策略（仅在1.15及以上版本的集群中支持） 自定义指标名称：自定义指标的名称，输入时可根据联想值进行选择。 指标来源：在下拉框中选择对象类型，可选择“Pod”。 期望值：Pod支持指标为平均值。br伸缩范围：当指标值处于伸缩范围中时才会触发伸缩 说明 HPA在计算扩容、缩容实例数时，会选择最近5分钟内实例数的最大值。

本文主要介绍 Master节点SSH联通性检查。 检查项内容 检查当前CCE是否能连接至您的Master节点。 解决方案 请通过工单方式，联系技术支持人员排查。

本文主要介绍实例缩容优先级说明。 缩容优先级 Pod在缩容时，会按照如下优先级缩容： 1. 未被调度的Pod 2. Pod Pending < Pod Unknown < Pod Running 3. Not ready < ready 4. 带有特定标签的Pod，cce.io/priordeletion 5. Doubled up < not doubled up 优先缩容Pod多的节点 6. 缩容Ready时间较长的Pod 7. 重启次数多的Pod 8. createtimestamp较前的Pod 优先缩容老实例生效说明 优先缩容老实例 不生效 ： 按照上述优先级，如果节点数为2（同规格），Deployment实例数为5时（可以是任意奇数个），此时A节点分布3个Pod，B节点分布2个Pod；如果此时将实例数缩容至3个，上述步骤中会先执行5，此时根据Pod判断，会确定缩容的节点为A；再执行6，缩容一个老实例后发现目前已无老实例，且限定了缩容节点为A，此时会缩容一个新实例。 优先缩容老实例 生效 ：如果节点数为2（同规格），Deployment实例数为6时（可以是任意偶数个），此时A、B节点均分布3个Pod；如果此时将实例数缩容至4个，此时代码会判定不符合5的条件，此时根据Pod判断，会确定缩容的节点为A、B；再执行6，回去将两个节点上的实例排序，成功缩容两个老的实例。

本文主要介绍健康检查UDP协议安全组规则说明。 操作场景 当负载均衡协议为UDP时，健康检查也采用的UDP协议，您需要打开其后端服务器的ICMP协议安全组规则。 操作步骤 步骤 1 登录弹性云主机控制台，找到集群中的节点对应的节点，单击云主机名称，进入详情页面，记录安全组名称。 步骤 2 登录虚拟私有云控制台，在左侧导航栏单击“访问控制 > 安全组”，在界面右侧的安全组列表中单击步骤1获取的安全组名称。 步骤 3 在打开的页面中单击“入方向规则”页签，单击“添加规则”，为云主机添加入方向规则，详细配置请参见下图，单击“确定”。 说明 您只需为工作负载所在集群下的任意一个节点更改安全组规则，请添加规则即可，不要修改原有的安全组规则。 安全组需放通网段100.125.0.0/16流量。 图 添加安全组规则

本文主要介绍节点关机。 操作场景 集群中的节点关机后，该节点以及节点内的业务将停止运行，节点关机前，请先确认您的正常业务运行将不受影响，请谨慎操作。 大部分节点关机后不再收费，特殊实例（包含本地硬盘，如磁盘增强型，超高I/O型等）关机后仍然正常收费，具体请参见ECS计费模式。 约束与限制 节点关机会涉及Pod迁移，可能会影响业务，请在业务低峰期操作。 操作过程中可能存在非预期风险，请提前做好相关的数据备份。 操作过程中，后台会把当前节点设置为不可调度状态。 节点关机仅能对工作节点关机，不会对控制节点关机。 操作方法 步骤 1 登录CCE控制台，单击集群名称进入集群。 步骤 2 在左侧导航栏选择“节点管理”，在右侧单击待关机节点的名称。 步骤 3 页面跳转至弹性云主机详情页中，单击右上角的“更多 > 实例状态 > 关机”，在弹出的关机窗口中单击“是”，即可完成关机操作。 图 弹性云主机详情页

本文主要介绍同步云服务器。 操作场景 集群中的每一个节点对应一台云主机，集群节点创建成功后，您仍可以根据需求，修改云服务器的名称或变更规格。 CCE节点的部分信息是独立于弹性云主机ECS维护的，当您在ECS控制台修改云主机的名称、弹性公网IP，以及变更计费方式或变更规格后，需要通过“同步节点信息”功能将信息同步到CCE控制台相应节点中，同步后信息将保持一致。 ECS常见信息修改如下： 修改节点名称请参见修改云主机名称。 当您购买的节点规格无法满足业务需要时，可变更节点规格，升级vCPU、内存。 约束与限制 当用户节点指定了云主机名称作为K8s节点名称时，该云主机名称的修改将无法同步到CCE控制台。 操作步骤 步骤 1 登录CCE控制台。 步骤 2 单击集群名称进入集群，在左侧选择“节点管理”。 步骤 3 单击节点后的“更多 > 同步云主机”。 图 同步节点信息 同步完成后，页面右上角将会提示“同步云主机任务下发成功”。

本文主要介绍 续费集群（包年/包月）。 客户购买包周期集群后，支持续费包周期资源。 操作步骤 本节以计费模式为“包年/包月”的CCE集群为例，介绍如何为购买的集群续费。 步骤 1 登录CCE控制台，在左侧导航栏中选择“集群管理”。 步骤 2 单击待续费集群后的。 图 续费集群 步骤 3 在弹出的“续费”页面中，根据系统提示进行续费操作。 说明 您已选择操作的资源（高亮显示）和其他资源有关联关系，请确认是否同时操作。 步骤 4 单击“去支付”，在打开的支付页面中核对订单金额，并选择支付方式后单击“确认付款”。 步骤 5 完成付款后，可单击“返回我的订单”或“返回续费管理”页面查看和管理订单信息。

本文主要介绍 存量节点标签与污点检查。 检查项内容 检查标签是否丢失 检查是否有异常新增的污点 检查步骤 请登录CCE控制台，前往“资源>节点管理>节点”，勾选所有节点后，单击“标签与污点管理”，查看目前节点的标签与污点。 解决方案 集群升级过程中不改变用户的标签，若您发现标签丢失或异常新增，请联系技术支持人员。 若您发现节点新增污点（node.kubernetes.io/upgrade），该节点可能为升级过程中跳过的节点，请参照重置跳过节点检查处理。 若您发现节点新增其他污点，请联系技术人员支持。

本文主要介绍业务验证。 检查项内容 集群升级完毕，由用户验证当前集群正在运行的业务是否正常。 检查步骤 业务不同，验证的方式也有所不同，建议您在升级前确认适合您业务的验证方式，并在升级前后均执行一遍。 常见的业务确认方式有： 业务界面可用 监控平台无异常告警与事件 关键应用进程无错误日志 API拨测正常等 解决方案 若集群升级后您的在线业务有异常，请联系技术支持人员。

本文主要介绍 新建Pod检查。 检查内容 检查集群升级后，存量节点是否能新建Pod。 检查集群升级后，新建节点是否能新建Pod。 检查步骤 基于新建节点检查创建了新节点后，通过创建daemonset类型工作负载，在每个节点上创建Pod。 请登录CCE控制台，前往“资源>工作负载>守护进程集”，单击右上角“创建负载”或“YAML创建”。 建议您使用日常测试的镜像作为基础镜像。您可参照如下yaml部署最小应用Pod。 说明 该测试YAML将DaemonSet部署在default命名空间下，使用ngxin:perl为基础镜像，申请10m CPU，10Mi内存，限制100m CPU 50Mi内存。 apiVersion: apps/v1 kind: DaemonSet metadata: name: postupgradecheck namespace: default spec: selector: matchLabels: app: postupgradecheck version: v1 template: metadata: labels: app: postupgradecheck version: v1 spec: containers: name: container1 image: nginx:perl imagePullPolicy: IfNotPresent resources: requests: cpu: 10m memory: 10Mi limits: cpu: 100m memory: 50Mi 负载创建完毕后请检查该工作负载的Pod状态是否正常。 检查完毕后请登录CCE控制台，前往“资源>工作负载>守护进程集”，选择“postupgradecheck”工作负载并单击“更多>删除”删除该测试用工作负载。

本文主要介绍内部错误。 检查项内容 在升级前检查流程中是否出现内部错误。 解决方案 如遇该检查任务执行失败，请联系技术支持人员。

本文主要介绍 everest插件版本限制检查。 检查项内容 检查集群当前Everest插件版本是否存在兼容性限制。 受限的Everest插件版本 插件名称 涉及版本 Everest v1.0.2v1.0.7v1.1.1v1.1.5 解决方案 检测到当前Everest版本存在兼容性限制，无法随集群升级流程升级，请联系技术支持人员。

本文主要介绍 节点journald检查。 检查项内容 检查节点上的journald状态是否正常。 解决方案 请登陆该节点，执行systemctl isactive systemdjournald 命令查询journald服务运行状态。若回显状态异常，请执行systemctl restart systemdjournald命令后重新查询状态。 以下为正常回显： 若重启journald服务无法解决该问题，请联系技术支持人员。

本文主要介绍 节点关键目录文件权限检查. 检查项内容 检查关键目录/var/paas下是否有异常属主和属组的文件。 解决方案 CCE使用/var/paas目录进行基本的节点管理活动并存储属主和属组均为paas的文件数据。 当前集群升级流程会将/var/paas路径下的文件的属主和属组均重置为paas。 请您排查当前业务Pod中是否将文件数据存储在/var/paas路径下，修改避免使用该路径，并移除该路径下的异常文件后重试检查，否则禁止升级。

本文主要介绍节点内存检查。 检查项内容 检查节点内存使用情况，是否超过90%。 解决方案 请在业务低峰时进行集群升级。 请检查该节点的Pod部署数量是否过多，适当驱逐该节点上Pod到其他空闲节点。

本文主要介绍节点OS检查。 检查项内容 检查节点操作系统内核版本为CCE支持的版本，未进行过内核升级。 解决方案 CCE节点运行依赖创建时的初始标准内核版本，CCE基于该内核版本做了全面的兼容性测试，非标准的内核版本可能在节点运行或升级中发生意外的兼容性问题，因此CCE将内核升级视为高危操作，详情请参见高危操作及解决方案。 当前CCE禁止该类节点进行升级，建议您在升级前重置节点至标准内核版本。

本文主要介绍CRD检查。 检查项内容 当前检查项包括以下内容： 检查集群关键CRD "packageversions.version.cce.io"是否被删除。 检查集群关键CRD "networkattachmentdefinitions.k8s.cni.cncf.io"是否被删除。 解决方案 如出现该检查项异常，请联系技术支持人员。

本文主要介绍安全组检查。 检查项内容 检查当前用户节点安全组是否允许Master节点使用ICMP协议访问节点。 解决方案 请登录VPC控制台，前往“访问控制>安全组”，在搜索框内输入集群名称，此时预期过滤出两个安全组： 安全组名称为“集群名称nodexxx”，此安全组关联CCE用户节点。 安全组名称为“集群名称controlxxx”，此安全组关联CCE控制节点。 单击node用户节点安全组，确保含有如下规则允许Master节点使用ICMP协议访问节点。 若不含有该规则请为node安全组添加该放通规则，源地址选择control安全组，描述信息为"Created by CCE,please don't modify! Used by the master node to access the worker node."。

本文主要介绍 节点CPU使用率检查。 检查项内容 检查节点CPU使用情况，是否超过90%。 解决方案 请在业务低峰时进行集群升级。 请检查该节点的Pod部署数量是否过多，适当驱逐该节点上Pod到其他空闲节点。

本文主要介绍通过自定义域名访问集群 操作场景 集群服务端证书中签入的 主题备用名称（Subject Alternative Name，缩写SAN） 。SAN通常在TLS握手阶段被用于客户端校验服务端的合法性：服务端证书是否被客户端信任的CA所签发，且证书中的SAN是否与客户端实际访问的IP地址或DNS域名匹配。 当客户端无法直接访问集群内网私有IP地址或者公网弹性IP地址时，您可以将客户端可直接访问的IP地址或者DNS域名签入集群服务端证书，以支持客户端开启双向认证，提高安全性。典型场景例如DNAT访问、域名访问等特殊场景。 域名访问场景的典型使用方式如下： 客户端配置Host域名指定DNS域名地址，或者客户端主机配置/etc/hosts，添加域名映射。 云上内网使用，云解析服务DNS支持配置集群弹性IP与自定义域名的映射关系。后续更新弹性IP可以继续使用双向认证+自定义域名访问集群，无需重新下载kubeconfig.json配置文件。 自建DNS服务器，自行添加A记录。 约束与限制 仅支持1.19及以上版本集群。 添加自定义SAN 步骤 1 登录CCE控制台。 步骤 2 在集群列表中单击集群，进入集群详情页。 步骤 3 在连接信息的自定义SAN处单击，在弹出的窗口中添加IP地址或域名，然后单击“保存”。 说明 当前操作将会短暂重启kubeapiserver并更新kubeConfig.json文件，请避免在此期间操作集群。 请输入域名或ip，以英文逗号（,）分隔，最多128个。 自定义域名如需绑定弹性公网，请确保已配置公网地址。

本节主要介绍计费模式变更。 计费周期内暂不支持计费模式更改。

本节介绍配置AK/SK。 智算集群订购时需要用户设置您的 AccessKey 和 SecurityKey，用户可以通过“账号中心”>“安全设置”>“用户AccessKey”中查看您的AccessKey、SecurityKey信息。 注意 1. 该AccessKey和SecurityKey用于CSI插件程序自动开通hpfs并行文件存储。 2. 如果AccessKey和SecurityKey输入错误，订购页并不会校验此正确性。后续可参考: 存储FAQCSI排查说明

本文介绍如何绑定安全组。 功能说明 安全组是一种网络安全防护机制，用于防止未经授权的访问和保护计算机网络免受恶意攻击。它是一种虚拟防火墙，用于限制入向和出向网络流量。安全组工作在网络层和传输层，它通过检查数据包的源地址、目标地址、协议类型和端口号等信息来决定是否允许通过。安全组创建后，用户可以在安全组中定义各种访问规则，当ECI实例绑定安全组后，即受到这些访问规则的保护。 自建集群通过对接VNode来使用ECI时，ECI Pod默认采用所属VNode配置的安全组。如果有特殊需求，可以为某些ECI Pod指定其他安全组。 配置示例 可以通过设置 k8s.ctyun.cn/ecisecuritygroup 的Annotation来为ECI Pod指定安全组，配置参考如下： plaintext apiVersion: apps/v1 kind: Deployment metadata: name: nginxdeployment labels: app: nginx spec: replicas: 1 selector: matchLabels: app: nginx template: metadata: annotations: k8s.ctyun.cn/ecisecuritygroup: sgshuhgxxx 指定安全组 labels: app: nginx spec: containers: name: nginx image: registryhuadong1.crsinternal.ctyun.cn/opensource/nginx:1.25alpine ports: containerPort: 80 nodeName: vndu53cymkxxxxcnhuadong1jsnj1apublicctcloud

本文介绍如何指定ECS规格创建实例。 用户可以根据业务需要指定ECS规格来创建一个ECI Pod，配置参考如下： plaintext apiVersion: apps/v1 kind: Deployment metadata: name: nginxdeployment labels: app: nginx spec: replicas: 1 selector: matchLabels: app: nginx template: metadata: annotations: k8s.ctyun.cn/eciusespecs: s7.xlarge.2 指定ECS规格 labels: app: nginx spec: containers: name: nginx image: registryhuadong1.crsinternal.ctyun.cn/opensource/nginx:1.25alpine ports: containerPort: 80 nodeName: vndu53cymkxxxxcnhuadong1jsnj1apublicctcloud

本文介绍如何调度Pod到虚拟节点。 针对混合使用普通节点和虚拟节点的模式下，可以根据需要将Pod调度到虚拟节点上运行，通过指定nodeName的方式，将Pod调度到某个特定的虚拟节点，以ECI来运行。具体步骤如下： 1. 获取集群中VNode的名称。 plaintext kubectl get nodes 默认情况下，集群VNode名称格式为[VNode ID] + [资源池] ，示例：vndu53cymkxxxxcnhuadong1jsnj1apublicctcloud 2. 参照如下yaml文件配置nodeName。 plaintext apiVersion: apps/v1 kind: Deployment metadata: name: vnodenginxdeployment labels: app: nginx spec: replicas: 3 selector: matchLabels: app: nginx template: metadata: labels: app: nginx spec: containers: name: nginx image: registryhuadong1.crsinternal.ctyun.cn/opensource/nginx:1.25alpine ports: containerPort: 80 nodeName: vndu53cymkxxxxcnhuadong1jsnj1apublicctcloud 配置VNode名称

本文介绍如何为ECI Pod配置公网连接。 默认情况下，系统只为ECI Pod（即ECI实例）分配一个私网IP，如果您的ECI Pod有连接公网的需求，例如需要拉取公网镜像等，您可以为其绑定EIP，以实现ECI Pod与公网互通。 为ECI实例绑定EIP 创建ECI Pod时，您可以在Pod metadata中添加Annotation来绑定已有EIP，或者自动创建并绑定一个EIP。 配置说明 EIP只支持为所绑定的ECI实例提供公网服务，一个EIP只能绑定一个ECI实例。如果您有多个ECI实例需要连接公网，您需要分别为其绑定EIP，或者在所属VPC中创建公网NAT网关。 使用已有公网IP,配置参考如下： shell apiVersion: apps/v1 kind: Deployment metadata: name: nginxdeployment labels: app: nginx spec: replicas: 1 selector: matchLabels: app: nginx template: metadata: annotations: k8s.ctyun.cn/ecieipinstanceid: eipxxxxxxxxxx 指定已有eip labels: app: nginx spec: containers: name: nginx image: registryhuadong1.crsinternal.ctyun.cn/opensource/nginx:1.25alpine ports: containerPort: 80 nodeName: vndu53cymkxxxxcnhuadong1jsnj1apublicctcloud 自动创建公网IP，配置参考如下： shell apiVersion: apps/v1 kind: Deployment metadata: name: nginxdeployment labels: app: nginx spec: replicas: 1 selector: matchLabels: app: nginx template: metadata: annotations: k8s.ctyun.cn/eciwitheip: true 指定需要使用eip k8s.ctyun.cn/eipbandwidth: 5

本文介绍如何多规格创建实例。 背景信息 大规模创建ECI Pod（即ECI实例）时，可能会遇到库存不足的情况，用户可以根据业务需要指定多个ECS 规格来创建一个ECI Pod（不可超过5个）。 配置说明 用户可以在Pod metadata中添加k8s.ctyun.com/eciusespecs的Annotation来指定实例规格。配置参考如下： shell apiVersion: apps/v1 kind: Deployment metadata: name: nginxdeployment labels: app: nginx spec: replicas: 1 selector: matchLabels: app: nginx template: metadata: annotations: k8s.ctyun.cn/eciusespecs: s7.xlarge.2,s8e.xlarge.2 指定多个ECS规格 labels: app: nginx spec: containers: name: nginx image: registryhuadong1.crsinternal.ctyun.cn/opensource/nginx:1.25alpine ports: containerPort: 80 nodeName: vndu53cymkxxxxcnhuadong1jsnj1apublicctcloud