云应用引擎深度集成了MSE服务的微服务治理功能，通过此功能，可以更高效的管理您的应用。 条件说明 本功能仅适用于Java应用。 需要开通天翼云MSE微服务治理产品。 功能入口 1. 在云应用引擎控制台左侧导航栏选择应用管理 > 应用列表。 2. 在应用列表页面，单击目标应用名称，进入应用基础信息页。 3. 在左侧导航栏中展开微服务治理。 4. 在微服务治理区域，打开微服务治理功能。 注意 1. 微服务治理功能开启后，系统会自动向应用中的每个实例中注入一个内置的Agent，此Agent大约占用0.2 Core和200MB的资源，请您提前做好资源规划。 2. 如果是应用运行过程中开启微服务治理，会引起应用容器重启，请您在业务低峰期时进行操作

云应用引擎深度集成了MSE服务的微服务治理功能，通过此功能，可以更高效的管理您的应用。 条件说明 本功能仅适用于Java应用。 需要开通天翼云MSE微服务治理产品。 功能入口 1. 在云应用引擎控制台左侧导航栏选择应用管理 > 应用列表。 2. 在应用列表页面，单击目标应用名称，进入应用基础信息页。 3. 在左侧导航栏中展开微服务治理。 4. 在微服务治理区域，打开微服务治理功能。 注意 1. 微服务治理功能开启后，系统会自动向应用中的每个实例中注入一个内置的Agent，此Agent大约占用0.2 Core和200MB的资源，请您提前做好资源规划。 2. 如果是应用运行过程中开启微服务治理，会引起应用容器重启，请您在业务低峰期时进行操作

本节为您介绍如何通过控制中心操作界面的远程登录功能（即VNC方式）登录到Windows 操作系统的GPU云主机上。 约束与限制 当前提供的远程登录功能是通过系统配置的自定义端口进行访问的，所以在使用远程登录功能时，请确保需要使用的端口未被防火墙屏蔽。例如：远程登录的链接为“xxx:8002”，则需要确保端口8002没有被防火墙屏蔽。 如果客户端操作系统使用了本地代理，且用户无法配置该本地代理的防火墙端口，请关闭代理模式后再使用远程登录功能。 GPU实例中，部分实例不支持控制中心操作界面的远程登录功能，需要自行安装VNC Server进行登录。推荐使用MSTSC方式登录GPU云主机。 登录Windows GPU云主机 1. 登录控制中心。 2. 选择“计算 > 弹性云主机”。 3. 获取GPU云主机密码。VNC方式登录GPU云主机时，需已知其密码，然后再采用VNC方式登录。 当您的弹性云主机是采用密码方式鉴权时，请直接使用创建云主机时设置的密码进行登录。 当您的弹性云主机是采用密钥方式鉴权时，请提前准备好Windows登录密钥。 4. 选择要登录的GPU云主机，单击“操作”列下的“远程登录”。 5. 在弹出的“登录Windows弹性云主机”窗口中，选择“其他方式”下的VNC方式，单击“立即登录”。 6. （可选）如果界面提示“按 Ctrl+Alt+DEL解锁”，请单击远程登录操作面板右上方的“Send CtrlAltDel”按钮进行登录。 7. （可选）如果远程登录界面上无法显示鼠标，查看面板上方是否有“Local Cursor”按钮，单击“Local Cursor”按钮，鼠标就可以正常显示了。 8. 根据界面提示，输入GPU云主机密码完成登录。

errorCode 描述 Scaling.Group.NotFound 未找到弹性伸缩组信息 Scaling.Group.ProtectStatusNotSupported 不支持该实例保护模式 Scaling.Group.IdListIsNone 云主机列表为空 Scaling.Group.IdListTypeError 云主机列表类型错误 Scaling.Group.IdListNotExit 云主机列表不存在

步骤三：本地验证 1. 启动docker容器 docker run u 1003:1003 p 8000:8000 customcontainerhttpexample:latest 2. 打开一个新的命令行窗口，向开放的8000端口发送消息，访问模板代码中指定的/invoke路径 curl XPOST H 'ContentType: application/json' d '{"message":"HelloWorld"}' localhost:8000/helloworld 按照模块代码中返回 Hello FunctionGraph, method POST 3. 在容器启动端口可以看到 receive {"message":"HelloWorld"} 或者使用docker logs命令获取容器的日志 步骤四：上传镜像 1. 登录容器镜像服务控制台，在左侧导航栏选择“我的镜像”。 2. 单击右上角的“客户端上传”或“页面上传”。 3. 根据指示上传镜像。 4. 上传成功后，在“我的镜像”界面可查看。 步骤五：创建函数 1. 登录函数工作流控制台，在左侧的导航栏选择“函数 > 函数列表”。 2. 单击右上方的“创建函数”，进入“创建函数”页面，使用容器镜像部署函数。 3. 填写基本信息。 1. 函数类型：选择“HTTP函数” 2. 函数名称：输入“customcontainerhttp” 3. 容器镜像：选择上一步上传到SWR的镜像。 4. 现有委托：使用包含SWR Admin权限的委托。 4. 完成后单击“创建函数”。

智算容器：云容器引擎与DeepSeek融合实践

智算容器：云容器引擎与DeepSeek融合实践

说明：本章节会介绍天翼云关系型数据库如何设置安全组规则 操作场景 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，并相互信任的弹性云服务器和关系型数据库实例提供访问策略。 为了保障数据库的安全性和稳定性，在使用关系型数据库实例之前，您需要设置安全组，开通需访问数据库的IP地址和端口。 内网连接RDS实例时，设置安全组分为以下两种情况： ECS与RDS实例在相同安全组时，默认ECS与RDS实例互通，无需设置安全组规则，执行步骤三：通过内网连接MySQL实例。 ECS与RDS实例在不同安全组时，需要为RDS和ECS分别设置安全组规则。 设置RDS安全组规则：为RDS所在安全组配置相应的入方向规则。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通 时，需要为ECS所在安全组配置相应的出方向规则。 注意事项 因为安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云服务器和关系型数据库实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当关系型数据库实例加入该安全组后，即受到这些访问规则的保护。 默认情况下，一个租户可以创建500条安全组规则。 为一个安全组设置过多的安全组规则会增加首包延时，因此，建议一个安全组内的安全组规则不超过50条。 当需要从安全组外访问安全组内的关系型数据库实例时，需要为安全组添加相应的入方向规则。 源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的关系型数据库实例。 操作步骤 步骤 1 登录管理控制台。 步骤 2 在系统首页，单击“网络 > 虚拟私有云”。 步骤 3 在左侧导航树选择“访问控制 > 安全组”。 步骤 4 在安全组界面，单击操作列的“配置规则”，进入安全组详情界面。 步骤 5 在安全组详情界面，单击“添加规则”，弹出添加规则窗口。 步骤 6 根据界面提示配置安全组规则。 步骤 7 单击“确定”。

缓存已接入云审计服务。通过云审计服务，您可以查询缓存实例相关的操作事件，便于日后的查询、审计和回溯。 前提条件 1. 开通天翼云对应资源池的云审计服务。 操作步骤 1. 您可通过云审计控制台查看云搜索服务近7天的相关操作。具体查看方法参见查看审计事件。 当前已纳入云审计的关键操作列表 操作事件 字段 资源类型 SSL加密设置 modifyInstanceSSL 分布式缓存服务Redis 下载Redis历史慢日志 downloadHistorySlowLog 分布式缓存服务Redis 下载Redis慢日志 downloadSlowLog 分布式缓存服务Redis 下载Redis运行日志 downloadRedisRunLog 分布式缓存服务Redis 下载SSL证书 downloadSslCert 分布式缓存服务Redis 下载access节点信息 downloadAccessNodeDetails 分布式缓存服务Redis 下载redis节点信息 downloadRedisNodeDetails 分布式缓存服务Redis 下载redis运行日志 downloadRunLog 分布式缓存服务Redis 下载命中率分析信息 downloadKeyMisslog 分布式缓存服务Redis 下载大key、热key信息 downloadTopkeysInfo 分布式缓存服务Redis 下载大key、热key历史报告 downloadTopkeysHistoryInfo 分布式缓存服务Redis 下载实例列表 exportInstances 分布式缓存服务Redis 下载实例配置 downloadRedisConfigs 分布式缓存服务Redis 下载客户端会话列表信息 downloadClientIPinfo 分布式缓存服务Redis 下载证书 downloadCert 分布式缓存服务Redis 为Redis实例创建数据备份 createBackup 分布式缓存服务Redis 为Redis实例删除数据备份 deleteBackup 分布式缓存服务Redis 主从切换 switchInstanceHA 分布式缓存服务Redis 交换IP exchangeIp 分布式缓存服务Redis 从对象存储导入数据 importZosData 分布式缓存服务Redis 修复Aof文件格式 repaireAof 分布式缓存服务Redis 修改Redis实例的自动备份策略 modifyBackupPolicy 分布式缓存服务Redis 修改proxy集群的连接信息 editProxyConnectConfig 分布式缓存服务Redis 修改redis集群中checkBeforeSwitch配置 updateCheckBeforeSwitch 分布式缓存服务Redis 修改top key自动扫描开关 topKeySwitch 分布式缓存服务Redis 修改内网域名 changeRecordName 分布式缓存服务Redis 修改可维护时间段 modifyInstanceMaintainTime 分布式缓存服务Redis 修改实例IP白名单分组 modifySecurityIps 分布式缓存服务Redis 修改实例名 changeInstanceName 分布式缓存服务Redis 修改实例密码 modifyInstancePassword 分布式缓存服务Redis 修改实例的淘汰策略 modifyInstanceStrategy 分布式缓存服务Redis 修改实例账号 changeAccount 分布式缓存服务Redis 修改实例账号密码 modifyAccountPassword 分布式缓存服务Redis 修改实例账号描述 modifyAccountDescription 分布式缓存服务Redis 修改实例账号权限 grantAccountPrivilege 分布式缓存服务Redis 修改实例退订保护开关 changeInstanceProtectionStatus 分布式缓存服务Redis 修改实例部分信息 modifyInstanceAttribute 分布式缓存服务Redis 修改接入机配置 batchEditAccessConfig 分布式缓存服务Redis 修改数据备份磁盘类型 changeBackupDisktype 分布式缓存服务Redis 修改数据闪回开关 dataflashBackSwitch 分布式缓存服务Redis 修改自定义参数模板 editRedisTemplate 分布式缓存服务Redis 修改配置参数 modifyInstanceConf 分布式缓存服务Redis 修改配置参数 modifyInstanceConfig 分布式缓存服务Redis 修改配置参数 ModifyInstanceConfig 分布式缓存服务Redis 停止Redis节点 stopRedisNode 分布式缓存服务Redis 停止redis实例 stopRedis 分布式缓存服务Redis 停止对象存储导入任务 stopImportZosDataTask 分布式缓存服务Redis 停止数据迁移任务 stopTransferTask 分布式缓存服务Redis 关闭危险命令重命名 disableRenameCommand 分布式缓存服务Redis 关闭定时扫描过期key任务 closeScanJob 分布式缓存服务Redis 关闭定时扫描过期key任务 closeScanExpiredKeysJob 分布式缓存服务Redis 关闭弹性伸缩 closeAutoScale 分布式缓存服务Redis 创建实例 createInstance 分布式缓存服务Redis 创建实例账号 createAccount 分布式缓存服务Redis 创建数据传输任务 createOpenApiTransferTask 分布式缓存服务Redis 创建数据迁移任务 createTransferTask 分布式缓存服务Redis 创建自定义参数模板 createRedisTemplate 分布式缓存服务Redis 删除任务中心记录 delTasks 分布式缓存服务Redis 删除公共对象存储配置 delCommonS3Info 分布式缓存服务Redis 删除内网域名 deleteDnsRecord 分布式缓存服务Redis 删除分组 removeGroup 分布式缓存服务Redis 删除分组 deleteDbGroup 分布式缓存服务Redis 删除分组数据 removeGroupData 分布式缓存服务Redis 删除实例账号 deleteAccount 分布式缓存服务Redis 删除对象存储导入任务 delImportZosDataTask 分布式缓存服务Redis 删除指定会话 killSelectedClient 分布式缓存服务Redis 删除数据迁移任务 deleteTransferTask 分布式缓存服务Redis 删除白名单 deleteWhiteListItem 分布式缓存服务Redis 删除自定义参数模板 deleteRedisTemplate 分布式缓存服务Redis 包周期转按需付费 transToPrePaid 分布式缓存服务Redis 升级实例代理版本 upgradeInstanceProxyMinorVersion 分布式缓存服务Redis 升级引擎大版本 modifyInstanceMajorVersion 分布式缓存服务Redis 升级引擎小版本 upgradeInstanceMinorVersion 分布式缓存服务Redis 变更公共对象存储配置 updateCommonS3Info 分布式缓存服务Redis 变更实例AZ modifyInstanceAz 分布式缓存服务Redis 变更实例的规格 modifyInstanceSpec 分布式缓存服务Redis 同步redis主从实例数据 syncInstanceData 分布式缓存服务Redis 启动redis实例 startRedis 分布式缓存服务Redis 命令窗口批量执行命令 executeCommands 分布式缓存服务Redis 实例克隆 cloneInstance 分布式缓存服务Redis 实例开启IPV6 enableInstanceIpv6 分布式缓存服务Redis 实例续费 renewInstance 分布式缓存服务Redis 实例过期key扫描配置 autoScanExpiredKeys 分布式缓存服务Redis 实例重启 restartInstance 分布式缓存服务Redis 对实例的扩容/缩容/类型变更操作进行限制或者解限 modifyInstanceFeature 分布式缓存服务Redis 导入实例元数据 metaDataImport 分布式缓存服务Redis 导出实例节点信息 downloadInstanceNodesInfo 分布式缓存服务Redis 导出操作审计事件 exportAuditEvent 分布式缓存服务Redis 将备份文件中的数据恢复到当前Redis实例中 restoreInstance 分布式缓存服务Redis 应用参数模板到对应实例 applyTemplateToInstance 分布式缓存服务Redis 应用数据管理删除key deleteKey 分布式缓存服务Redis 应用数据管理删除value接口，针对List，Hash，Set，Sorted Set等集合类型。 deleteValue 分布式缓存服务Redis 应用数据管理更新key接口，针对Hash集合类型。 updateKey 分布式缓存服务Redis 应用数据管理更新value接口，针对List，Hash，Set，Sorted Set等集合类型。 updateValue 分布式缓存服务Redis 应用数据管理添加value接口，针对List，Hash，Set，Sorted Set等集合类型。 addValue 分布式缓存服务Redis 开启redis模块 redisModulesSwitch 分布式缓存服务Redis 开启内网域名 enableDnsRecord 分布式缓存服务Redis 开启危险命令重命名 enableRenameCommand 分布式缓存服务Redis 开启弹性伸缩 openAutoScale 分布式缓存服务Redis 开启或关闭rdb加密 rdbEncryptSwitch 分布式缓存服务Redis 异步导出实例列表 asyncExportInstances 分布式缓存服务Redis 手动主从切换 manualInstanceSwitch 分布式缓存服务Redis 手动更新Dns manualUpdateDnsForExpansion 分布式缓存服务Redis 执行redis命令 executeCommand 分布式缓存服务Redis 批量主从切换 batchMasterSlaveSwitch 分布式缓存服务Redis 批量执行命令不保存历史 executeCommandsWithoutHistory 分布式缓存服务Redis 批量退订实例 deleteInstances 分布式缓存服务Redis 按需转包周期付费 transChargeType 分布式缓存服务Redis 操作数据迁移任务 operateTransferTask 分布式缓存服务Redis 数据闪回 doDataflashBack 分布式缓存服务Redis 新增分组 addGroup 分布式缓存服务Redis 新增分组 createDbGroup 分布式缓存服务Redis 更改实例端口 modifyCachePort 分布式缓存服务Redis 更新证书 updateCertValidity 分布式缓存服务Redis 更新防火墙 updateFirewalld 分布式缓存服务Redis 添加白名单 appendWhiteList 分布式缓存服务Redis 清空实例数据 flushData 分布式缓存服务Redis 清空节点数据 delInstanceData 分布式缓存服务Redis 清空过期key flushExpireKeys 分布式缓存服务Redis 清除分组(db)数据 flushDbGroupData 分布式缓存服务Redis 清除慢日志 slowLogReset 分布式缓存服务Redis 满意度评价 satisfaction 分布式缓存服务Redis 立即扫描过期key scanExpiredKeysImmediately 分布式缓存服务Redis 绑定弹性IP bindElasticIP 分布式缓存服务Redis 节点恢复 batchRestartNode 分布式缓存服务Redis 获取备份文件的下载url getRdbDownloadUrl 分布式缓存服务Redis 覆盖原白名单分组 coverWhiteList 分布式缓存服务Redis 解绑弹性IP unBindElasticIP 分布式缓存服务Redis 设置副本优先级 updateSlavePriority 分布式缓存服务Redis 设置实例自动续费 changeAutoRenewStatus 分布式缓存服务Redis 设置读写分离开关 enableRWSep 分布式缓存服务Redis 设置读写分离的读策略 setReadPolicy 分布式缓存服务Redis 退订实例 deleteInstance 分布式缓存服务Redis 配置自动重试类型 configAutoRetryType 分布式缓存服务Redis 重启Redis节点 restartRedisNode 分布式缓存服务Redis 重启access节点 restartAccessNode 分布式缓存服务Redis 重启数据迁移任务 restartTransferTask 分布式缓存服务Redis 重新执行数据迁移任务 retryTransferTask 分布式缓存服务Redis 重置redis密码 resetRedisPwd 分布式缓存服务Redis 重置实例密码 resetInstancePassword 分布式缓存服务Redis 重置实例账号密码 resetAccountPassword 分布式缓存服务Redis

本文为您介绍容器安全卫士的产品优势。 容器安全卫士对云原生应用进行多维度检测和防护，产品优势如下： 一键管理便捷 贴合云原生特点，全组件采用容器化部署，实现客户端一键部署、一键卸载。安全能力随业务集群变动自动跟随防御，无需人工干预。 全面完整专业 集成国际、国内、官方等多种漏洞源，基于ClamAV、自研等多种病毒引擎，为您提供专业的安全风险检测。 动静结合智能 采用静态动态双结合的检测方式，自动形成业务行为基线，基于学习引擎，实时发现未知安全风险，实现智能化防护。 全链加密安全 容器安全卫士各个组件交互过程中，全链采用加密传输，敏感数据加密存储，客户端不暴漏任何端口，保护您的同时也注重自身安全。

本小节介绍Agent。 Agent是企业主机安全（Host Security Service, HSS）提供的Agent，用于执行检测任务，全量扫描主机/容器；实时监测主机/容器的安全状态，并将收集的主机/容器信息上报给云端防护中心。 Agent的作用 每日凌晨定时执行检测任务，全量扫描主机/容器；实时监测主机/容器的安全状态；并将收集的主机/容器信息上报给云端防护中心。 根据您配置的安全策略，阻止攻击者对主机/容器的攻击行为。 说明 如果未安装Agent或Agent状态异常，您将无法使用企业主机安全服务。 网页防篡改与主机安全共用同一个Agent，您只需在同一主机安装一次。 Linux Agent相关进程 Agent进程运行账号：root。 Agent包含以下进程： Agent进程名称 进程功能 进程所在路径 hostguard 该进程用于系统的各项安全检测与防护、Agent进程的守护和监控。 /usr/local/hostguard/bin/hostguard upgrade 该进程用于Agent版本的升级。 /usr/local/hostguard/bin/upgrade Windows Agent相关进程 Agent进程运行账号：system。 Agent包含以下进程： Agent进程名称 进程功能 进程所在路径 HostGuard.exe 该进程用于系统的各项安全检测与防护。 C:Program Files (x86)HostGuardHostGuard.exe HostWatch.exe 该进程用于Agent进程的守护和监控。 C:Program Files (x86)HostGuardHostWatch.exe upgrade.exe 该进程用于Agent升级。 C:Program Files (x86)HostGuardupgrade.exe

配置项 说明 资源池名称 资源池的名称，根据需要自定义。 资源池类型 支持容器、虚拟机和MAC。 容器：执行任务时将拉起一个docker容器，任务在容器中运行。 虚拟机：执行任务时，任务会在虚拟机上运行。 MAC：注册代理的时候需要在MAC主机上执行注册代理命令。 资源池描述 根据需要输入自定义描述。 资源池可以被租户下所有子用户使用 勾选后，此资源池可以被当前租户下所有子用户使用。

安全告警 安全告警展示了告警的总体情况，包括告警总次数、受影响资产、攻击IP。支持查看最近一天、最近三天、最近七天的统计数据。 告警总次数：展示了近期资产触发的告警的总次数。 受影响资产：统计存在告警的资产数量。同一资产不重复统计，当同一资产有多个告警时，仅统计一次。 攻击IP：展示了攻击IP的数量。同一IP不重复统计。 点击数字时会跳转至“安全告警”界面。 实例状态 展示实例的版本，互联网边界防火墙实例、VPC边界防火墙实例的规格和配额。 单击“配额管理”，进入配额管理页面查看更多配额信息。 资产防护监控 资产防护监控展示了防护总体情况，包括已开启和未开启防护的资产数量。鼠标悬浮在弹性IP、弹性负载均衡对应数字上，会展示对应的IPv4和IPv6资产数量。 绿色图标表示已开启防护的资产总数量。 红色图标表示未开启防护的资产总数量。 防护配置 展示入侵防护策略的配置情况，包括防护模式、虚拟补丁、病毒防御、DDoS防护。 访问控制策略 展示访问控制策略的配置情况，包括白名单规则数、黑名单规则数、VPC边界规则数、入向规则数、出向规则数的配置情况及周同比百分比。 白名单规则数：分别展示互联网边界和VPC边界添加的白名单规则数量，点击数字时会跳转至“访问控制”对应页面。 黑名单规则数：分别展示互联网边界和VPC边界添加的黑名单规则数量，点击数字时会跳转至“访问控制”对应页面。 VPC边界规则数：展示添加的VPC边界规则数量，点击数字时会跳转至“访问控制 > VPC边界规则 > 内网互访规则”页面。 入向规则数：展示入向规则数量，点击数字时会跳转至“访问控制 > 互联网边界规则 > 入向规则”页面。 出向规则数：展示出向规则数量，点击数字时会跳转至“访问控制 > 互联网边界规则 > 出向规则”页面。

模板市场是云容器引擎基于Kubernetes Helm标准的模板提供统一的资源管理与调度，高效地实现了模板的快速部署与后期管理，大幅简化了Kubernetes资源的安装管理过程。 说明：Helm是管理Kubernetes应用程序的打包工具。更多详情请查看[]( " ")Helm官网文档。 我的模板是通过自定义Helm模板来简化工作负载部署的服务。 本章节指导您如何通过自定义模板创建工作负载，通过CCE控制台，您可通过多种方式创建编排模板。 约束与限制 单个用户可以上传模板的个数有限制，请以各个资源池控制台界面中提示的实际值为准。 模板若存在多个版本，则消耗对应数量的模板配额。 由于模板的操作权限同时具有较高的集群操作权限，因此租户应当谨慎授予用户对于模板生命周期管理的权限，包括上传模板的权限，以及创建、删除和更新模板实例的权限。

3、配置全局策略 1. 在全局配置 页面，按需添加保护策略 和监控指标。 2. 配置完成后，单击完成 按钮，创建演练任务。 4、发起故障注入 1. 发起演练 ：在演练管理 列表找到对应演练任务，单击操作列的执行演练， 在新页面中点击发起新演练。 2. 进入实验 ：系统将自动跳转到本次演练的运行详情 页，或在演练执行记录 列表点击对应执行实例的详情进入。 3. 注入故障 ：在动作组 中，找到CPU高负载 动作卡片，单击执行。 4. 查看日志 ：单击动作卡片本身，在右侧弹出的侧边栏中查看执行详情。 效果验证 在故障注入期间，您可以通过以下方式验证演练效果： 1、观测实例指标： 登录弹性云主机 控制台，进入目标实例的监控指标页，观测CPU使用率指标。 2、业务应用验证： 观察业务应用是否出现响应变慢、处理失败率升高等现象。

本文带您了解什么是弹性负载均衡产品,弹性负载均衡产品的架构,工作原理及其访问方式。 弹性负载均衡（CTELB ，Elastic Load Balancing）是一种分发控制网络流量的服务，通过预先设定的算法将访问流量自动分发到多台云主机，扩展应用系统对外的服务能力，实现更高水平的应用系统容错性能。 产品架构 弹性负载均衡的产品架构主要包含以下组件： 负载均衡器：即负载均衡实例，可以接收来自客户端的请求流量，并经流量分配到一个或多个可用的后端主机。 监听器：监听器是弹性负载均衡的核心组件，监听器指定要监听的协议和端口号，并根据配置的负载均衡算法将请求转发到后端主机。监听器也会对后端主机进行健康检查。 后端主机组：每个监听器关联一个后端主机组，后端主机组包含多个后端主机。当监听器接收到客户端请求时，它将请求转发给后端主机组中的一个或多个后端主机。后端主机组负责将请求传递给相应的后端主机，实现负载均衡和高可用性。 转发策略：转发策略定义了负载均衡器将流量请求转发给后端主机的方式。 访问策略组：访问策略组可帮助您控制访问权限，确保负载均衡器只接收来自指定网络范围的请求，从而提高应用程序的安全性。 证书管理：用户将证书上传到负载均衡中，在创建HTTPS协议监听的时候需绑定证书，提供HTTPS服务。 天翼云弹性负载均衡AZ级容灾高可用架构具有如下特点： 网元跨AZ多活，单AZ故障，其它AZ承载全部流量 集群模式，任意节点故障业务流量自动切换到其它可用节点 四七层网元分离，分布式处理，服务可用性更高 后端主机支持跨AZ，业务可跨AZ负载 支持与弹性伸缩联动，后端主机组根据业务负载自动弹缩主机数量 监听器支持转发策略，灵活匹配业务域名、URL转发流量到特定后端主机

本文介绍如何创建容器镜像仓库。 用户如果需要使用私有镜像进行应用部署，或存放并管理自己需要的镜像时，需要先将镜像上传到镜像仓库中进行保存。 操作步骤 1.登录云容器引擎控制台，单击左侧导航栏的【镜像仓库】，进入镜像仓库管理页面； 2.单击【创建仓库】，进入仓库创建页面； 3.参照下表完成镜像仓库信息的填写，并进行仓库属性设置，其中带“”标志的参数为必填参数： 参数 参数说明 仓库名称 输入容器镜像仓库名称，例如：nginx （仓库）属性 容器镜像仓库类型： . 公有：任何租户、用户均可以下载 . 私有：仅当前租户或租户下的用户可用 4.填写完成后，单击【创建】，创建成功后将会自动跳转到镜像列表界面。

专属云容器引擎中购买的云硬盘、公网IP和带宽是否收费？ 收费，按照公有云中的计费方式和价格进行计费。 专属云容器引擎中购买的工作节点是否收费？ 购买节点时，因使用用户已开通的专属云计算资源，因此节点本身的资源使用不会再额外收取，但由于专属云云容器引擎的计费模式为按照集群所有节点的总核数，因此会根据节点的核数增加相应的集群使用费用。 专属云容器引擎中购买的工作节点的数据盘是否收费？ 需根据用户选择的节点数据盘开通方式，如使用专属存储则无额外费用，如使用云硬盘则按照天翼云云硬盘标准资费收取费用。

对象存储 1、部署应用组件时，在“组件配置”界面，展开“高级设置 > 部署配置”。 2、选择“数据存储 > 云存储 > 添加云存储。 表 对象存储 参数 说明 :: 云存储类型 选择“对象存储”。 对象存储有标准存储和低频访问存储两个存储类型，主要适用于大数据分析、原生云应用程序数据、静态网站托管、备份/活跃归档等场景。 分配方式 使用已有存储选择已创建的存储。 自动分配存储 选择存储子类型。 对象存储子类型为标准存储、低频访问存储。 添加容器挂载 设置“挂载路径”：输入数据卷挂载到应用上的路径。 3、单击“确定”。 主机路径挂载 表示在应用组件上挂载宿主机上的文件或目录。 1、部署应用组件时，在“组件配置”界面，展开“高级设置 > 部署配置”。 2、选择“数据存储 > 本地磁盘 > 挂载本地磁盘”。 表 主机路径挂载 参数 说明 :: 本地存储类型 选择“主机路径挂载”。 主机路径 输入主机路径，如/etc/hosts。 容器挂载 设置“挂载路径”：输入数据卷挂载到应用上的路径。 3、单击“确定”。 临时路径挂载 适用于临时存储、灾难恢复、共享运行时数据等场景，应用组件实例的删除或者迁移会导致临时路径被删除。 1、部署应用组件时，在“组件配置”界面，展开“高级设置 > 部署配置”。 2、选择“数据存储 > 本地磁盘 > 挂载本地磁盘”。 表 临时路径挂载 参数 说明 :: 本地存储类型 选择“临时路径挂载”。 磁盘介质 若勾选“内存”，可以提高运行速度，但存储容量受内存大小限制。适用于数据量少，读写效率要求高的场景。 若不勾选“内存”，即存储在硬盘上，适用于数据量大，读写效率要求低的场景。 容器挂载 设置“挂载路径”：输入数据卷挂载到应用上的路径。 须知 请不要挂载在系统目录下，如“/”、“/var/run”等，会导致应用异常。建议挂载在空目录下，若目录不为空，请确保目录下无影响应用启动的文件，否则文件会被替换，导致应用启动异常，应用创建失败。 挂载高危目录的情况下 ，建议使用低权限帐号启动，否则可能会造成宿主机高危文件被破坏。 设置“权限”。 只读：只能读应用路径中的数据卷。 读写：可修改应用路径中的数据卷，应用迁移时新写入的数据不会随之迁移，会造成数据丢失。 3、单击“确定”。

参数 参数类型 说明 示例 下级对象 ServerSideEncryptionConfiguration Container 服务器端加密规则的容器 Rule Rule Container 设置加密规则的容器 ApplyServerSideEncryptionByDefault ApplyServerSideEncryptionByDefault Container 设置服务端默认加密规则的容器 SSEAlgorithm SSEAlgorithm String 设置加密算法，支持AES256算法机密 AES256

本文介绍弹性云主机实例出现了异地登录怎么办 如果出现异地登录，解决办法如下： 1. 确认异地登录的时间点，是否是自己或者其他管理员登录。 2. 如果不是合法管理员登录，可执行以下操作： 立即重置密码。 排查是否被病毒攻击。 使用安全组功能设置只允许特定的 IP 登录。

网络与负载均衡 高危操作 导致后果 误操作后解决方案 ::: 修改内核参数net.ipv4.ipforward0 网络不通 修改内核参数为 net.ipv4.ipforward1 修改内核参数net.ipv4.tcptwrecycle1 导致nat异常 修改内核参数 net.ipv4.tcptwrecycle0 节点安全组配置未放通容器CIDR的53端口udp 集群内DNS无法正常工作 参照购买混合集群，对安全组进行修复，放通安全组。 通过ELB的控制台在CCE管理的ELB创建自定义的监听器 所做修改被CCE侧重置或Ingress故障 通过service的yaml来自动创建监听器。 通过ELB的控制台在CCE管理的ELB绑定自定义的后端 所做修改被CCE侧重置或Ingress故障 禁止手动绑定后端。 通过ELB的控制台修改CCE管理的ELB的证书 所做修改被CCE侧重置或Ingress故障 通过ingress的yaml来自动管理证书。 通过ELB的控制台修改CCE管理的ELB监听器名称 所做修改被CCE侧重置或Ingress故障 禁止修改CCE管理的ELB监听器名称。 通过ELB的控制台修改CCE管理的ELB实例、监听器、转发策略的描述 所做修改被CCE侧重置或Ingress故障 禁止修改CCE管理的ELB实例、监听器、转发策略的描述。

配置项 描述 名称 根据业务需求填写实例的名称。 地域 选择目标地域。 绑定裸金属 可以选择IP需要绑定的裸金属，非必填。 网络资源 选择想要订购的弹性IP规格。 带宽大小 填写订购带宽资源的大小。 IP数量 默认一次只能订购一个IP。 购买时长 填写购买的时长。 备注 如果有其他需求，可通过备注来写明。

本文介绍容器安全卫士扩容规则及操作步骤。 扩容说明 扩容节点不支持独立购买，必须在购买主套餐的基础上进行叠加购买；扩容的节点与主套餐绑定，资源到期时间与主套餐一致，不支持单独退订或单独续订。 扩容步骤 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“订单中心”，进入订单信息页面。 3. 单击“立即扩容”，进入扩容页面。 4. 选择扩容的防护节点数。到期时间为主套餐到期时间，扩容时不能更改。 5. 阅读《天翼云容器安全卫士服务协议》后，勾选“我已阅读理解并同意《天翼云容器安全卫士服务协议》”，单击“立即购买”。 6. 进入付款页面，完成付款。

差异项 差异化配置说明 镜像差异化(imageOverrider) 指定容器镜像参数差异化配置 命令差异化(commandOverrider) 指定容器运行命令的差异化配置 参数差异化(argsOverrider) 指定容器运行参数的差异化配置，与commandOverrider类似 标签差异化(labelsOverrider) 指标资源标签的差异化配置 注解差异化(annotationsOverrider) 指定资源注解的差异化配置 字段差异化(fieldOverrider) 支持内置yaml、json的差异化 文本差异化(plaintext) 泛指任意资源，与kubectl patch方式类似

3、创建工作负载 1. 登录“云容器引擎”管理控制台； 2. 在集群列表页点击进入指定集群； 3. 进入主菜单“工作负载”——“有状态”，单击左上角“创建SatefulSet”； 4. 在创建对话框，数据存储栏中，选择添加存储卷，卷类型选择“已有存储卷申明（PVC）”，操作栏选择“选择已有存储申明”；根据自己需要设置挂载路径、子路径和权限， 参数说明： 挂载路径：存储挂载到容器后，容器内部显示的路径地址。不建议使用类似于/usr或者/tmp类似的已有的容器目录路径，可能会造成目录相互遮蔽。 子路径：需要挂载的存储源地址的子目录 权限：读写/只读 示例：将PVC“local”对应存储的subpath指向的子目录（subpath为空表示使用根目录）挂载到容器里的/test路径上。 5. 所有的信息都配置完成后，单击“提交”，创建成功后，您可以正常使用数据卷。 通过kubectl命令行使用LocalPV动态存储卷 1、创建存储类（StorageClass） 使用kubectl连接集群，创建示例yaml文件scexample.yaml： plaintext apiVersion: "storage.k8s.io/v1" kind: "StorageClass" metadata: name: "testlocalpv" allowVolumeExpansion: true parameters: 基础存储路径 baseStor: "/mnt" type: "localpv" provisioner: "local.csi.cstor.com" reclaimPolicy: "Delete" volumeBindingMode: "Immediate" 执行以下命令，创建StorageClass plaintext kubectl apply f scexample.yaml 查看创建的StorageClass： 登录“云容器引擎”管理控制台； 在集群列表页点击进入指定集群； 进入主菜单“存储”——“存储类”，在存储类列表查看。

查看镜像详情 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“镜像安全 > 镜像管理”，进入镜像管理页面。 3. 选择“仓库镜像”或“节点镜像”页签，进入对应镜像列表页面。 4. 单击镜像列表中的“镜像名称”，进入镜像详情页面查看镜像的基本信息、关联信息、漏洞、软件、文件、环境变量、安全溯源等相关信息。 查看镜像安全概览 镜像安全概览页面可以查看镜像的基本信息、风险分数、安全问题、镜像命中的安全策略、安全建议等信息。 查看镜像关联容器 在“关联容器”页面，可查看与镜像相关联的容器的信息，包括容器名称、容器所在Pod名称、所属集群名称、运行所在节点的名称。 查看镜像漏洞详情 在“漏洞”页面，可查看该镜像中各个危险级别的漏洞统计情况，单击漏洞列表中的“漏洞编号”，可以查看漏洞的详细信息，包括漏洞介绍、漏洞评分、来源信息等。 单击漏洞详情中的“命中安全策略”，可以查看漏洞命中的安全策略。 单击漏洞详情操作列的“加入白名单”可忽略此漏洞。添加完成后，扫描该镜像将不再展示已加入白名单的漏洞。

本文为您介绍Serverless集群的域名DNS解析异常常见问题。 域名解析失败，如何定位处理？ 问题现象：域名解析失败。 可能原因：域名解析失败可能有如下4种情况：Serverless集群内是否已经安装了coreDNS插件、coreDNS服务是否正常、集群使用的安全组是否已经放开udp规则、pod容器到coreDNS网络是否连通。 解决方法： 1. 判断当前的异常原因。 2. 检查业务Pod的DNS配置，是否已经接入CoreDNS。 3. 检查CoreDNS Pod运行状态进行诊断。 4. 检查CoreDNS运行日志进行诊断。 5. 检查pod是否能访问CoreDNS。 6. 检查安全组是否已经放开UDP协议的53端口。 CoreDNS插件已安装但是在pod内部无法解析 kubernetes等service域名 问题现象：在容器内部是可以ping通coredns pod的ip，查看容器内部的/etc/resolv.conf也是正常的，但是nslookup kubernetes就是不能解析出ip。 可能原因：在nslookup kubernetes的时候，容器先通过/etc/resolv.conf中的nameserver写的coredns的serviceIP找到dns服务器，再通过dns服务器解析内部service域名。首先得确保coredns的service正常工作，使用curl 10.96.0.10:9153测试coredns的service明显不通。 解决方法：需要排查kubeproxy是否正常。 安装CoreDNS插件后并没有修改容器内部的/etc/resolv.conf 问题现象：查看随便一个pod，进入容器内部查看cat /etc/resolv.conf，发现并没有被coredns修改。 可能原因：可能是CoreDNS工作不正常。检查coredns pod是否有事件报错健康检查失败。 解决方法：检查coredns日志是否正常，重启coreDNS。

了解Kubernetes相关的基础知识。 Pod Pod 是Kubernetes中创建和管理的最小单元，是一个或多个容器的组合，Pod中的容器共享存储和网络资源，以及运行容器的规范。 Volume Volume是Pod内部的共享存储资源，生命周期和Pod相同，与容器无关，即使Pod上的容器停止或者重启，Volume也不会受到影响。但如果Pod终止，那么Volume的生命周期也会结束。 Persistent Volume（PV） Volume中的数据无法持久保留，不能满足有状态服务的需求，因此需要Persistent Volume。PV是Kubernetes中的持久存储资源，是一种网络存储，它的生命周期和Pod无关。如果在Kubernetes中运行有状态服务，比如数据库MySQL，MongoDB或者中间件Redis，RabbitMQ等，那么就需要使用PV，这样即使Pod终止也不会丢失数据。 Persistent Volume Claim（PVC） Persistent Volume Claim是PV的声明。在Kubernetes中，直接使用PV作为存储时，需要集群管理员提前创建好PV，使用上不灵活。而PVC可以将Pod和PV解耦，即Pod不直接使用PV，而是通过PVC来使用PV。这样，无需提前创建PV，只要通过StorageClass把存储资源定义好，Kubernetes就会根据使用需要，动态创建PV，这种方式称为动态供应。 StorageClass StorageClass用于描述不同的存储类型。当通过PVC动态创建HBlock 的卷时，需要在StorageClass中配置创建HBlock卷的参数，如卷冗余模式、扇区大小、写策略等信息。 Container Storage Interface（CSI） Container Storage Interface（CSI）是通用存储接口，旨在实现容器编排器和存储提供商之间的互操作。通过CSI，容器编排器能够使用任何存储提供商的存储服务，存储提供商也可以为任何容器编排器提供存储服务。

注解 说明 默认值 kubernetes.AOM.log.stdout 容器标准输出采集参数，不配置默认将全部容器的标准输出上报至AOM，可配置采集指定容器或全部不采集。 示例： 全部不采集kubernetes.AOM.log.stdout: '[]' 采集container1和container2容器。kubernetes.AOM.log.stdout: '["container1","container2"]' metrics.alpha.kubernetes.io/customendpoints AOM监控指标上报参数，可将指定指标上报是AOM服务。 prometheus.io/scrape Prometheus指标上报参数，值为true表示当前负载开启上报。 prometheus.io/path Prometheus采集的url路径。 /metrics prometheus.io/port Prometheus采集的endpoint端口号。 prometheus.io/scheme Prometheus采集协议，值可以填写http或https kubernetes.io/ingressbandwidth Pod的入口带宽 kubernetes.io/egressbandwidth Pod的出口带宽

本文主要介绍时区同步。 创建工作负载时，支持设置容器使用节点相同的时区。您可以在创建工作负载时打开时区同步配置，如下所示。 时区同步功能依赖容器中挂载的本地磁盘（HostPath），如下所示，开启时区同步后，Pod中会通过HostPath方式，将节点的“/etc/localtime”挂载到容器的“/etc/localtime”，从而使得节点和容器使用相同的时区配置文件。 kind: Deployment apiVersion: apps/v1 metadata: name: test namespace: default spec: replicas: 2 selector: matchLabels: app: test template: metadata: labels: app: test spec: volumes: name: vol162979628557461404 hostPath: path: /etc/localtime type: '' containers: name: container0 image: 'nginx:alpine' volumeMounts: name: vol162979628557461404 readOnly: true mountPath: /etc/localtime imagePullPolicy: IfNotPresent imagePullSecrets: name: defaultsecret

参数 参数类型 说明 示例 下级对象 Tagging Container 设置对象TagSet的容器。 TagSet Container 包含一系列对象Tag的容器。 Tag Container 设置对象Tag的容器。 Key String 指定对象Tag的Key。 11 Value String 指定对象Tag的Value。 22