本节介绍了：DNS FAQ的用户指南。 如何进入CoreDNS Pod执行命令？ 问题现象 使用 kubectl n kubesystem exec it {coredns pod} bash及类似命令发现无法进入到CoreDNS Pod中执行或者查看相关信息。 问题原因 CoreDNS所使用的容器镜像是基于Scratch构建，不具备Shell执行环境，所以无法使用bash命令进入。 解决方案 可以使用nsenter的方式访问CoreDNS Pod所处的容器网络环境。 kubernetes中的服务的域名不能通过coredns正确解析 问题现象 kubernetes中的服务建立成功后，无法通过域名访问。 问题原因 kubernetes中的服务的域名的格式不对。 解决方案 使用完整的域名格式进行解析，servicename.nsname.svc.cluster.local。

参数 说明 输入框 输入开发机名称关键字 搜索框 单击【🔍】搜索，根据输入的开发机关键字查询开发机并显示列表中。 名称 开发机名称，点击名称可查看开发机详情。 状态 开发机状态。包含的状态有： 待创建。 启动中。包括资源调度，拉取镜像，启动容器流程等流程。 运行中。在线IDE实例正常运行中，可以进行“打开”和“停止”。 停止。在线IDE实例处于不可用状态，可点击“启动”重新开启在线IDE。 运行失败。在线IDE因某种因素而启动不成功。 运行结束。在线IDE实例在自动停止时长到期后自动停止，并处于不可用状态，也不可启动。 如果是运行中，将放置在绿色小圆点上可以查看自动停止的剩余时长，未设置自动停止，将不会显示自动停止时长。 框架版本 开发机框架版本。显示开发机类型，AI开发框架类型和版本，CUDA版本。例如：“pytorchjupyter:cuda11.1torch1.8.1”，“pytorch”表示AI开发框架，“jupyter”表示开发机类型，”cuda11.1”表示cuda版本，“torch1.8.1”表示AI开发框架版本。 规格 计算资源规格。· 通用计算型。包括CPU（核），内存(GB)。· GPU加速型。包括CPU（核），内存(GB)，显卡数量（块）。 已运行时长 开发机已运行的时间，以分钟计算。 剩余运行时长 开发机剩余运行时间，以分钟计算。 类型 资源配置类型，如GPU加速型、通用计算型、NPU加速型。 操作列表 打开：打开开发机，将会跳转到一个新窗口，显示对应开发机的界面，用户可在新界面内进行代码开发和调试。该功能只有在开发机运行中状态下才能点击。 启动：启动开发机。该功能只有在开发机是暂停的状态下才能点击。点击“启动”后，开发机的状态将变成启动中。 停止：停止开发机。停止开发机将使开发机变成不可用的状态。 保存镜像：保存开发机机镜像。 变更规格：变更计算资源规格，可自由选择GPU加速型和通用计算型，再选择符合需求的计算资源即可。 变更镜像：变更开发机目前镜像。 删除：删除开发机。查询

本文为您介绍轻量型云主机的套餐规格。 轻量型云主机服务套餐 主机套餐是您在创建轻量型云主机时选择的云资源配置，它包括 CPU、内存、云硬盘（系统盘）和公网带宽。主机套餐分为两大类： 固定套餐： 这些套餐具有固定的 CPU、内存、系统盘和公网带宽大小。它们适用于用户对资源需求有明确要求的场景，不需要太多的灵活性。 随心购套餐： 这些套餐具有固定的 CPU 和内存的比例，但允许您根据需要自由选择系统盘和公网带宽的大小。这种套餐灵活性更高，可以满足不同应用程序需求的场景, 适合具有更高资源规格要求的用户。 主机实例 主机实例是指在宿主机上创建和运行的虚拟机实例。它们是物理服务器的虚拟化副本，为用户提供了灵活、可扩展和按需使用的计算资源。您可以选择适合您需求的主机套餐来创建主机实例，从而获得所需的计算能力和存储空间。 带宽 轻量型云主机的带宽是指与弹性 IP 地址关联的带宽。带宽决定了数据传输速度，较高的带宽意味着更快的数据传输。每个套餐内的带宽都是独享的，您不必与其他用户共享带宽资源，确保了网络性能的稳定性。 轻量型云主机的套餐规格 套餐类型 vCPU（核） 内存(GB ） 系统盘 带宽 固定套餐 基础型 2 4 40GB 2Mbits 固定套餐 进阶型 2 8 60GB 5Mbits 搭配套餐 随心购 4 8 40GB 60GB 80GB 1Mbits 2Mbits 5Mbits 10Mbits 15Mbits 搭配套餐 随心购 4 16 40GB 60GB 80GB 1Mbits 2Mbits 5Mbits 10Mbits 15Mbits 搭配套餐 随心购 8 16 40GB 60GB 80GB 1Mbits 2Mbits 5Mbits 10Mbits 15Mbits 搭配套餐 随心购 8 32 40GB 60GB 80GB 1Mbits 2Mbits 5Mbits 10Mbits 15Mbits

参数名 描述 AM最多占有资源（%） 表示当前队列内所有Application Master所占的最大资源百分比。 每个YARN容器最多分配核数 表示当前队列内单个YARN容器可分配的最多核数，默认为1，表示取值范围内不限制。 每个YARN容器最大分配内存（MB） 表示当前队列内单个YARN容器可分配的最大内存，默认为1，表示取值范围内不限制。 最多运行任务数 表示当前队列最多同时可执行任务的数目，默认为1，表示取值范围内不限制（为空意义相同），为0表示不可执行任务。取值范围为1～2147483647。 每个用户最多运行任务数 表示每个用户在当前队列中最多同时可执行任务的数目，默认为1，表示取值范围内不限制（为空意义相同），为0表示不可执行任务。取值范围为1～2147483647。 最多挂起任务数 表示当前队列最多同时可挂起任务的数目，默认为1，表示取值范围内不限制（为空意义相同），为0表示不可挂起任务。取值范围为1～2147483647。 资源分配规则 表示单个用户任务间的资源分配规则，包括FIFO和FAIR。 一个用户若在当前队列上提交了多个任务，FIFO规则代表一个任务完成后再执行其他任务，按顺序执行。FAIR规则代表各个任务同时获取到资源并平均分配资源。 默认资源标签 表示在指定资源标签（Label）的节点上执行任务。 说明 如果需要使用新的资源池，需要修改默认标签为新的资源池标签。 Active状态 ACTIVE表示当前队列可接受并执行任务。 INACTIVE表示当前队列可接受但不执行任务，若提交任务，任务将处于挂起状态。 Open状态 OPEN表示当前队列处于打开状态。 CLOSED表示当前队列处于关闭状态，若提交任务，任务直接会被拒绝。

参数 是否必填 参数类型 说明 示例 下级对象 concurrency 否 Integer IstioProxy线程数 2 enableCoreDump 否 Boolean 核心转存 false enableDnsCapture 否 Boolean 是否开启istio内置dns false enableElegantTermination 否 Boolean 是否开启优雅终止 false excludeIPRanges 否 String 不拦截对外访问的地址范围 127.0.0.1 excludeInboundPorts 否 String 设置端口使入口流量免于经过Sidecar代理 80,8080 excludeOutboundPorts 否 String 设置端口使出口流量免于经过Sidecar代理 80,8080 holdApplicationUntilProxyStarts 否 Boolean 生命周期管理 true includeIPRanges 否 String 拦截对外访问的地址范围 192.168.0.0/16 includeInboundPorts 否 String 设置端口使入口流量经过Sidecar代理 443 includeOutboundPorts 否 String 设置端口使出口流量经过Sidecar代理 443 interceptionMode 否 String Sidecar对入向流量的拦截策略，REDIRECT：默认的拦截策略，Sidecar将使用重定向方式拦截入向流量。TPROXY：透明代理拦截策略，Sidecar将以透明代理的方式拦截入向流量。NONE:不拦截流量 REDIRECT lifecycleStr 否 String Sidecar代理生命周期JSON字符串 logLevel 否 String 日志等级，如果不设置则为warning info outboundTrafficPolicy 否 String 出向流量策略。取值：ALLOWANY：允许访问所有外部服务。REGISTRYONLY：只能访问注册到网格内的服务。 ALLOWANY proxyMetadata 否 Map of String 环境变量 proxyStatsMatcher 否 Object 统计相关指标 CustomProxyConfigProxyStatsMatcher selector 否 Map of String workload的标签选择器 sidecarProxyInitResourceLimit 否 Object Sidecar代理初始化容器资源限制 ResourcesLimitReq sidecarProxyInitResourceRequest 否 Object Sidecar代理初始化容器资源最低申请额度 ResourcesRequestReq sidecarProxyResourceLimit 否 Object Sidecar代理容器资源限制 ResourcesLimitReq sidecarProxyResourceRequest 否 Object Sidecar代理容器资源最低申请额度 ResourcesRequestReq terminationDrainDuration 否 String Istio Proxy终止等待时长 5s

接口功能介绍 创建镜像版本保留规则 接口约束 仅限企业版实例使用 URI POST /v2/createRetentionPolicy 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String 类型 application/json regionId 是 String 资源池编码（资源池ID，您可以查看容器镜像服务资源池获取） bb9fdb42056f11eda1610242ac110002 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 instanceId 是 String 实例ID f04e47d9b48747958c9f4516cf1a8d82 namespaceName 是 String 命名空间名称 myns cronExpression 是 String cron定时表达式，若传空字符串表示不设置（由6个字段组成，分别表示秒、分、小时、日期、月份和星期几。每个字段都可以设置一个数字、一组数字（用逗号分隔）、一段数字范围（用短横线分隔）、通配符（表示任意值）或者特定的字符（如星期几的英文缩写）） 0 0 rules 是 Object 规则列表 rules 表 rules 参数 是否必填 参数类型 说明 示例 下级对象 scopePattern 是 String 仓库的匹配模式（key： 精确匹配名称为key的仓库；key: 匹配前缀为key的仓库；：表示匹配所有仓库；如果有多个，使用逗号分隔并用大括号包裹，如 {key1,key2,key3}） repo scopeOperator 是 String 仓库筛选器模式（匹配模式：matches；排除模式：excludes） matches tagPattern 是 String 版本的匹配模式（key： 精确匹配名称为key的仓库；key: 匹配前缀为key的仓库；：表示匹配所有仓库；如果有多个，使用逗号分隔并用大括号包裹，如 {key1,key2,key3}） v1 tagOperator 是 String Tag筛选器模式（匹配模式：matches；排除模式：excludes） matches params 是 Object 保留策略 params disabled 否 Boolean 是否禁用保留策略（默认为false） true 表 params 参数 是否必填 参数类型 说明 示例 下级对象 latestPulledN 是 Integer 版本保留策略（latestPulledN：保留最近拉取N个；latestPushedK：保留最近推送N个；nDaysSinceLastPull：保留最近D天拉取；nDaysSinceLastPush：保留最近D天推送） 8

负载均衡支持设置删除保护,本节主要介绍负载均衡器删除保护的功能。 操作场景 当负载均衡器承载重要业务时，为了避免误操作删除实例，可以将负载均衡器开启删除保护状态，在删除保护状态下，负载均衡器不能进行删除操作。 如果要将一个删除保护状态下的负载均衡器删除，需要先关闭该负载均衡器的删除保护状态再进行删除。 开启删除保护 当需要对负载均衡器开启删除保护时，可在控制台进行配置，具体操作步骤如下： 1. 登录公共算力服务控制台。 2. 选择“网络>弹性负载均衡>负载均衡”。 3. 在“负载均衡器”列表页面，点击“更多>开启删除保护”。 4. 点击负载均衡器的名称，进入负载均衡器详情页面，删除保护状态已为”已开启”状态。 关闭删除保护 当需要对负载均衡器关闭删除保护时，可在控制台进行配置，具体操作步骤如下： 1. 登录公共算力服务控制台。 2. 选择“网络>弹性负载均衡>负载均衡”。 3. 在“负载均衡器”列表页面，点击“更多>关闭删除保护”。 4. 点击负载均衡器的名称，进入负载均衡器详情页面，删除保护状态已为”未开启”状态。

本文主要介绍弹性负载均衡健康检查常见问题。 健康检查为什么会导致负载均衡器会频繁向后端云主机发送探测请求？ ELB是高可用集群部署的，集群内的所有的转发节点会同时向后端云主机发送探测请求，检查间隔用户可配，健康检查会根据检查间隔一直探测，所以每隔几秒会有访问。您可以通过修改健康检查配置的周期来控制访问后端云主机的频率。 健康检查什么时候启动？ 后端云主机新加入后，在第一个周期内随机一个时间开始检测，后续按照“检查间隔”启动。 “最大重试次数”是否包括健康检查失败的场景？ 是，最大重试次数既是健康最大重试次数，也是不健康最大重试次数。 如何处理健康检查导致的大量日志？ 可以增加健康检查间隔时间，但延长健康检查的间隔时间后，后端云主机出现故障时，负载均衡发现故障云主机的时间也会增长。 可以关闭健康检查，但关闭健康检查后，负载均衡不再检查后端云主机，一旦某台后端云主机发生故障，则无法实现访问流量自动切换至其它正常的后端云主机。 切换健康检查协议，配置方法： 进入控制台，选择弹性负载均衡，选择需要配置的实例，选择后端云主机，点击配置健康检查配置，切换健康检查协议。 但负载均衡将只检查监听端口状态，不检查HTTP状态，会导致负载均衡无法实时获知HTTP应用是否出现问题。

本文介绍CCE容器集群拉取本地私有仓库镜像权限不足问题。 问题背景 用户自己搭建了一套harbor镜像仓库，并购买了天翼云的容器引擎产品。用户需要cce集群能够使用用户本地搭建的harbor镜像仓库中的镜像。 操作前提 保证该harbor仓库所在网络与cce容器引擎集群的网络是联通的 解决方案 准备好仓库的ca.crt文件 在初期进行harbor私有仓库搭建的时候，为了保证对于harbor的安全使用，对harbor的https访问进行配置，为了能够使cce集群拉取harbor的镜像，我们需要搭建harbor仓库时所使用的CA证书。证书通常存放在Harbor主机上的docker 证书目录：/etc/docker/certs.d/harbor域名/中，在/etc/docker/certs.d/harbor域名/ 中存放着我们所需要的文件：ca.crt 在cce集群上创建存放证书的文件夹 执行以下命令，创建文件夹，用于存放证书文件： mkdir p /etc/docker/certs.d/harbor域名/ 拷贝证书文件到指定文件夹 登陆本地harbor主机，将CA文件拷贝到集群主机指定文件夹下，执行以下命令： scp r /etc/docker/certs.d/harbor域名/ca.crt root@集群主机IP:/etc/docker/certs.d/harbor域名/ 验证 登陆集群节点，再集群节点上进行操作。 方法一：重新部署相关服务，验证是否能够正常拉取镜像。 方法二：通过登陆harbor仓库，执行拉取镜像操作： docker login harbor域名 docker pull 仓库名/镜像名:镜像tag

常见的计费类问题Q&A。 ECX的带宽支持什么计费方式？ ECX支持按流量计费、固定带宽计费、带宽月95峰值计费、带宽月均日95峰值计费。95峰值计费方式仅对大客户开放，您可以向您的客户经理申请开通。 ECX的独享带宽和共享带宽资费区别是什么？ ECX的独享带宽与共享带宽使用相同的资费标准。独享带宽和共享带宽只收取带宽或流量费用，具体资费请参考网络资源价格。 虚拟机关机后是否会继续计费？ 如果用户采用按需计费购买，虚拟机关机后相应的CPU、内存、GPU资源会被临时释放，这部分资源将不会被计费，但虚拟机占用的系统盘、数据盘资源仍然会被计费。如果您关机的时间太长，您的虚拟机资源可能会因为边缘集群资源不足而重启失败，您可以稍后重试。 欠费冻结后如何计费？ 用户欠费后，ECX实例占用的计算资源将进入1小时的保留期，1小时内若用户未充值则会进入冻结期。进入保留期时，资源可以正常使用并正常计费。 进入冻结期时： 虚拟机将不能使用，虚拟机的CPU、内存、GPU资源将会被释放，但系统盘和挂载的数据盘将会保留并按原价继续收费。 裸金属将不能使用，裸金属实例将会保留并按原价继续收费。 边缘存储实例将不能使用，实例资源及数据将会保留并按原价继续收费。 网络将无法访问。 冻结期内，若用户仍未充值，冻结期结束时系统会释放虚拟机、裸金属、边缘存储实例、弹性IP、NAT网关、负载均衡等资源，VPC、专线、路由表、SSL证书等资源会被保留。

概述 应用运维管理服务（AOM）可以监控和查看ServiceStage服务的运行状态、各个指标的使用情况，并对监控项创建告警规则。 当您使用ServiceStage服务部署组件后，AOM服务能关联通过在ServiceStage部署组件的监控指标，帮助您实时掌握组件的各项性能指标，精确掌握组件运行情况。 设置监控及告警 ServiceStage支持容器和虚机两种组件部署方式。 设置容器部署组件监控及告警 CCE会配合AOM对集群进行全方位的监控，在创建节点时会默认安装AOM的ICAgent（在集群kubesystem命名空间下名为icagent的DaemonSet），ICAgent默认采集集群底层资源以及运行在集群上负载的监控数据并上传到AOM。另外，设置应用组件自定义指标监控后，ICAgent还能采集负载的自定义指标监控数据并上传到AOM。 参考设置资源监控告警阈值，完成阈值告警规则设置后，组件运行过程中产生的各种告警会上传到AOM。 支持的监控指标 指标是对资源性能的数据描述或状态描述。 容器部署组件支持的监控指标 容器部署组件的资源基础监控包含CPU、内存、磁盘等，具体请参考下表。 表 资源监控指标 监控指标 指标含义 取值范围 单位 CPU内核总量(cpuCoreLimit) 该指标用于统计测量对象申请的CPU核总量。 ≥1 核（Core） CPU内核占用(cpuCoreUsed) 该指标用于统计测量对象已经使用的CPU核个数。 ≥0 核（Core） CPU使用率(cpuUsage) 该指标用于统计测量对象的CPU使用率。服务实际使用的与申请的CPU核数量比率。 0～100% 百分比（Percent） 物理内存总量(memCapacity) 该指标用于统计测量对象申请的物理内存总量。 ≥0 兆字节（Megabytes） 物理内存使用率(memUsage) 该指标用于统计测量对象已使用内存占申请物理内存总量的百分比。 0～100% 百分比（Percent） 物理内存使用量(memUsed) 该指标用于统计测量对象实际已经使用的物理内存（Resident Set Size）。 ≥0 兆字节（Megabytes） 磁盘读取速率(diskReadRate) 该指标用于统计每秒从磁盘读出的数据量。 ≥0 千字节/秒（Kilobytes/Second） 磁盘写入速率(diskWriteRate) 该指标用于统计每秒写入磁盘的数据量。 ≥0 千字节/秒（Kilobytes/Second） 下行Pps(recvPackRate) 每秒网卡接收的数据包个数。 ≥0 个/秒（Packets/Second） 文件系统容量(filesystemCapacity) 该指标用于统计测量对象文件系统的容量。 仅支持1.11及其更高版本的kubernetes集群中驱动模式为devicemapper的容器。 ≥0 兆字节（Megabytes） 下行Bps(recvBytesRate) 该指标用于统计测试对象的入方向网络流速。 ≥0 字节/秒（Bytes/Second） 下行包错率(recvErrPackRate) 每秒网卡接收的错误包个数。 ≥0 个/秒（Packets/Second） 上行Pps(sendPackRate) 该指标用于统计测试对象的出方向网络流速。 ≥0 字节/秒（Bytes/Second） 上行包错率(sendErrPackRate) 每秒网卡发送的错误包个数。 ≥0 个/秒（Packets/Second） 上行Bps(sendBytesRate) 该指标用于统计测试对象的出方向网络流速。 ≥0 字节/秒（Bytes/Second） 容器错包个数(rxPackErrors) 该指标用于统计测量对象收到错误包的数量。 ≥0 个（Packets） 线程数(threadsCount) 该指标用于统计主机中当前创建的线程数量。 ≥0 无 文件系统可用(filesystemAvailable) 该指标用于统计测量对象文件系统的可用大小。 仅支持1.11及其更高版本的Kubernetes集群中驱动模式为devicemapper的容器。 ≥0 兆字节（Megabytes） 文件系统使用率(filesystemUsage) 该指标用于统计测量对象文件系统使用率。实际使用量与文件系统容量的百分比。 仅支持1.11及其更高版本的Kubernetes集群中驱动模式为devicemapper的容器。 ≥0 百分比（Percent） 句柄数(handleCount) 该指标用于统计测量对象使用的句柄数。 ≥0 无 组件状态(status) 该指标用于统计应用组状态是否正常。 l 0：表示正常l 1：表示异常 无 虚拟内存总量（virMemCapacity） 该指标用于统计测量对象申请的虚拟内存总量。 ≥0 兆字节（Megabytes）

本文帮助您快速熟悉负载均衡服务HTTPS监听器的添加。 添加HTTPS监听器 操作场景 HTTPS协议适用于需要加密传输的应用。 前提条件 您已经创建了弹性负载均衡实例。具体操作详见创建负载均衡器。 操作步骤 步骤一：创建监听器 1. 登录弹性负载均衡控制台。 2. 在顶部右侧选择弹性负载均衡所属区域，本文选择华东华东1。 3. 选择以下一种方法打开监听器配置向导。 在实例列表页面，找到目标实例，在操作列单击“监听器配置向导”。 在ip类型/监听器端口/健康检查/服务器组列下方单击“开始配置”。 在实例列表页面，找到目标实例，单击“实例名称”进入实例详情页，单击“添加监听器”。 4. 在协议&监听配置向导依据HTTPS监听器配置说明完成以下配置，然后点击“下一步”。 HTTPS监听器配置说明 监听配置 说明 名称 设置监听器的名称，名称应为232位，英文开头，支持大小写英文和数字。 负载均衡器协议/端口 下拉列表选择HTTPS协议，输入监听端口，取值范围1~65535。 描述 可选，填写监听器描述。 高级配置 监听器的特定参数配置：HTTP2.0 HTTP2.0 选择是否开启HTTP2.0 功能，开启后，可提升客户端与负载均衡间的访问性能，负载均衡与后端云主机仍采用HTTP1.X协议。 NAT64 支持将v6地址的请求转发到v4后端主机。集群模式支持，主备、集群模式资源池列表见产品简介​>产品类型和规格​>按资源池区分, 实际情况以控制台展现为准。 请求超时时间 输入范围1~300s, 缺省60s。集群资源池支持设置HTTP请求超时时间，在请求超时时间内接收请求的后端主机无响应，负载均衡会向所有其它后端主机重试请求。如果重试所有后端主机一直没有响应，则负载均衡会给客户端返回HTTP 504错误码。主备、集群模式资源池列表见产品简介​>产品类型和规格​>按资源池区分,实际情况以控制台展现为准。 空闲超时时间 输入范围1~300s, 缺省15s；集群模式资源池支持设置HTTP连接的空闲超时时间。在空闲超时时间后仍没有访问请求，负载均衡会中断当前连接。主备、集群模式资源池列表见产品简介​>产品类型和规格​>按资源池区分, 实际情况以控制台展现为准。 附加HTTP头字段 通过XForwardedFor获取客户端IP：开启获取客户端IP，将通过XForwardedFor头字段携带客户端源真实IP。 通过XForwardedProto获取监听协议：集群模式资源池支持XForwardedProto来获取客户端与负载均衡监听连接时所用的协议（HTTP/HTTPS）。 通过XForwardedPort获取监听端口：支持XForwardedPort获取客户端与负载均衡监听连接时所用的端口。 主备、集群模式资源池列表见产品简介​>产品类型和规格​>按资源池区分, 实际情况以控制台展现为准。 访问控制 选择是否开启访问控制。开启访问控制后，选择一种访问控制方式：黑名单、白名单。并设置访问策略组作为该监听器的白名单或黑名单。 白名单：允许特定IP访问负载均衡，仅转发来自所选访问策略组中设置的IP地址或地址段的请求，白名单适用于只允许特定IP访问的场景。 黑名单：禁止特定IP访问负载均衡，不转发来自所选访问策略组中的IP或地址段，黑名单适用于只限制特定IP访问的场景。 双向认证 选择是否开启双向认证，支持CA证书。双向认证指的是客户端需要认证主机端真实性，同时主机端也需要认证客户端的真实性，具体可参考证书管理。 QPS限速 开启每秒查询次数QPS限速，可设置此监听服务的QPS上限，减轻高访问量服务切换过程中后端服务器压力。输入范围1~200000，单位qps(Query Per Second)，缺省 10000。集群模式资源池支持设置QPS，主备、集群模式资源池列表见产品简介​>产品类型和规格​>按资源池区分, 实际情况以控制台展现为准。 WebSocket支持 当选择HTTPS监听时，默认支持加密版本的WebSocket协议（WSS协议）。仅集群模式资源池支持，主备、集群模式资源池列表见产品简介​>产品类型和规格​>按资源池区分, 实际情况以控制台展现为准。 Session Ticket Session Ticket 是TLS协议中用于会话恢复的一种机制。启用该机制，在TLS握手过程中，负载均衡器会生成一个包含会话状态的Session Ticket，并将其加密后发送给客户端。客户端在后续的连接中可以使用这个Session Ticket来快速恢复之前的会话状态，而无需再次执行完整的TLS握手过程，可以提高连接效率。目前TLS>1.1支持该功能。该功能当前处于试用阶段，如需使用请申请。仅集群模式资源池支持，主备、集群模式资源池列表见产品简介​>产品类型和规格​>按资源池区分, 实际情况以控制台展现为准。

本节介绍了集群巡检的用户指南。 前提条件 1、已创建容器集群，具体操作请参见创建集群 。 2、集群已安装cubeeye插件，具体操作请参考安装插件 。 操作步骤 配置集群巡检 1、登陆云容器引擎控制台， 点击左侧导航栏中的集群，进入集群列表页。 2、在集群列表中点击需要配置巡检的集群，进入集群管理页面。 3、在集群管理页面导航栏中选择运维管理 > 集群巡检 > 添加 ，进入集群巡检配置页面。 4、在集群巡检配置页面，设置定时规则 ，阅读注意事项后选择我已知晓并同意 ，然后点击确定。 查看巡检结果 1、登陆云容器引擎控制台， 点击左侧导航栏中的集群，进入集群列表页。 2、在集群列表中点击需要查看巡检结果的集群，进入集群管理页。 3、在集群管理页面导航栏中选择运维管理 > 集群巡检 ，选择需要查看的报告，点击查看详情。 4、报告详情页会展示集群的风险项，可以对风险项的级别、风险类型、命名空间进行筛选，每个风险项都会给出异常影响及解决方案。

本文帮助您快速熟悉添加安全组规则的操作场景和操作流程。 操作场景 安全组创建成功后，当您的云服务器需要与外部网络通讯时，您可根据业务需求自定义添加新的出方向、入方向安全组规则，这可以帮助保护服务器免受未经授权的访问。 入方向：指从外部访问安全组规则下的弹性云主机。 出方向：指安全组规则下的弹性云主机访问安全组外的实例。 安全组规则有数量限制，您应尽量保持规则的精简。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成安全组的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“访问控制安全组”选项。 5. 在安全组列表页面，找到您需要添加规则的安全组名称，点击安全组名称，进入安全组详情页。 6. 点击“添加规则”，根据界面提示配置安全组规则，确定授权策略、优先级、协议类型、端口范围、源/目的地址等信息。 具体参数配置信息如下表： 参数 说明 取值样例 IP版本 IPv4、IPv6 IPv4 授权策略 允许、拒绝 允许 优先级 安全组规则优先级可选范围为1100，默认值为1，即最高优先级。优先级数字越小，级别越高。优先级相同的情况下，拒绝策略优先于允许策略。 1 协议 网络协议，取值范围为：TCP，UDP，ICMP，Any。 TCP 端口范围 安全组规则的端口范围，取值范围为：1～65535。支持同时输入多个端口，以英文逗号分隔。多个端口值按照多条规则分别下发，占用多个配额。 22或2230 授权对象 授权对象支持类型：IP地址、安全组、前缀列表。支持同时输入多个IP地址/安全组/前缀列表，按照多条规则分别下发，占用多个配额。 1、IP地址：支持IP地址，地址格式：0.0.0.0/0（任意IPv4地址）、::/0（任意IPv6地址）。 2、安全组：表示源地址/目的地址选择当前帐号下同一个区域内的安全组。部分资源池支持选择安全组，实际情况以控制台展现为准。 当安全组A内有实例a，安全组B内有实例b，在安全组A设置入方向规则时，“策略”为允许，源地址选择安全组B，则表示来自实例b的内网访问请求被允许进入实例a。 同一安全组内云服务器实例内网互访默认是隔离状态，如您有同一安全组内的云服务器之间互通的需求，您可以在添加安全组规则时配置一条引用本安全组的规则，实现组内互通。 3、前缀列表：表示源地址/目的地址选择当前帐号下同一区域内的前缀列表。部分可用区资源池支持选择前缀列表，实际情况以控制台展现为准。 当源地址/目的地址为前缀列表时，前缀列表所占用的安全组规则数等于前缀列表的最大条目数 。 如果跨地域克隆安全组时，引用前缀列表的安全组规则不支持克隆到目标区域新的安全组中 。 0.0.0.0/0 描述 安全组规则的描述信息，非必填项。支持拉丁字母、中文、数字,特殊字符 : ~^@

本章介绍开启防护时没有显示配额的原因。 未购买配额 请先在服务器所在区域购买充足的配额。 区域不正确 购买配额后，请切换到配额所在区域对服务器开启防护。 位置不正确 若您购买的是基础版/企业版/旗舰版，请在“企业主机安全 > 主机管理 > 云服务器”页面开启防护。 若您购买的是网页防篡改版，请在“网页防篡改 > 防护列表”页面开启防护。 若您购买的是容器版，请在“企业主机安全 > 容器管理 > 节点列表”页面开启防护。

工作负载的DNS配置介绍 Kubernetes集群内置DNS插件KubeDNS/CoreDNS，为集群内的工作负载提供域名解析服务。业务在高并发调用场景下，如果使用到域名解析服务，可能会触及到KubeDNS/CoreDNS的性能瓶颈，导致DNS请求概率失败，影响用户业务正常运行。在Kubernetes使用的过程中，在有些场景下工作负载的域名解析存在冗余的DNS查询，使得高并发场景更容易触及DNS的性能瓶颈。根据业务使用场景，对工作负载的DNS配置进行优化，能够在一定程度上减少DNS请求概率失败的问题。 更多DNS相关信息请参见CoreDNS（系统资源插件，必装）或通过kubectl配置kubedns/CoreDNS高可用。 Linux 系统域名解析文件配置项的介绍 在Linux系统的节点或者容器里执行cat /etc/resolv.conf命令，能够查看到DNS配置，以Kubernetes集群的容器DNS配置为例： nameserver 10.247.x.x search default.svc.cluster.local svc.cluster.local cluster.local options ndots:5 配置项说明： nameserver：容器解析域名时查询的DNS服务器的IP地址列表。如果设置为10.247.x.x说明DNS对接到KubeDNS/CoreDNS，如果是其他IP地址，则表示采用DNS或者用户自建的DNS。 search：定义域名的搜索域列表，当访问的域名不能被DNS解析时，会把该域名与搜索域列表中的域依次进行组合，并重新向DNS发起请求，直到域名被正确解析或者尝试完搜索域列表为止。对于CCE集群来说，容器的搜索域列表配置3个域，当解析一个不存在的域名时，会产生8次DNS查询，因为对于每个域名需要查询两次，分别是IPv4和IPv6。 options：定义域名解析配置文件的其他选项，常见的有timeout、attempts和ndots等等。Kubernetes集群容器的域名解析文件设置为options ndots:5，该参数的含义是当域名的“.”个数小于ndots的值，会先把域名与search搜索域列表进行组合后进行DNS查询，如果均没有被正确解析，再以域名本身去进行DNS查询。当域名的“.”个数大于或者等于ndots的值，会先对域名本身进行DNS查询，如果没有被正确解析，再把域名与search搜索域列表依次进行组合后进行DNS查询。如查询www.ctyun.cn域名时，由于该域名的“.”个数为2，小于ndots的值，所以DNS查询请求的顺序依次为：www.ctyun.cn.default.svc.cluster.local、www.ctyun.cn.svc.cluster.local、 www.ctyun.cn.cluster.local和www.ctyun.cn，需要发起至少7次DNS查询请求才能解析出该域名的IP。可以看出，这种配置在访问外部域名时，存在大量冗余的DNS查询，存在优化点。 说明：完整的Linux域名解析文件配置项说明可以参考文档： Kubernetes 集群应用的DNS 相关配置项介绍 前面已经分析过，应用在某些场景下会出现冗余的DNS查询。Kubernetes为应用提供了与DNS相关的配置选项，通过对应用进行DNS配置，能够在某些场景下有效地减少冗余的DNS查询，提升业务并发量。目前应用配置中与DNS相关的字段有dnsPolicy 和dnsConfig。 dnsPolicy 字段说明： dnsPolicy字段是应用设置的DNS策略，默认值为“ClusterFirst”。基于dnsPolicy策略生成的域名解析文件会与dnsConfig设置的DNS参数进行合并，合并规则将在“dnsConfig字段说明”中说明，dnsPolicy当前支持四种参数值： − ClusterFirst：应用对接KubeDNS/CoreDNS（CCE集群的KubeDNS/CoreDNS默认级联DNS）。这种场景下，容器既能够解析service注册的集群内部域名，也能够解析发布到互联网上的外部域名。由于该配置下，域名解析文件设置了search搜索域列表和ndots: 5，因此当访问外部域名和集群内部长域名（如kubernetes.default.svc.cluster.local）时，大部分域名都会优先遍历search搜索域列表，导致至少有6次无效的DNS查询，只有访问集群内部短域名（如kubernetes）时，才不存在无效的DNS查询。 − ClusterFirstWithHostNet：对于配置主机网络的应用，默认配置kubelet的“resolvconf”参数指向的域名解析文件（CCE集群在该配置下对接DNS）。当dnsPolicy设置为“ClusterFirstWithHostNet”时，应用对接KubeDNS/CoreDNS。该配置下，容器的域名解析文件与“ClusterFirst”一致，也存在无效的DNS查询。 − Default：容器的域名解析文件使用kubelet的“resolvconf”参数指向的域名解析文件（CCE集群在该配置下对接DNS），没有配置search搜索域列表和options。该配置只能解析注册到互联网上的外部域名，无法解析集群内部域名，且不存在无效的DNS查询。 − None：Kubernetes v1.9（Beta in v1.10）中引入的新选项值。设置为None之后，必须设置dnsConfig，此时容器的域名解析文件将完全通过dnsConfig的配置来生成。 dnsConfig 字段说明： dnsConfig为应用设置DNS参数，设置的参数将合并到基于dnsPolicy策略生成的域名解析文件中。当dnsPolicy为“None”，应用的域名解析文件完全由dnsConfig指定；当dnsPolicy不为“None”时，会在基于dnsPolicy生成的域名解析文件的基础上，追加dnsConfig中配置的dns参数。 − nameservers：DNS的IP地址列表。当应用的dnsPolicy设置为“None”时，列表必须至少包含一个IP地址，否则此属性是可选的。列出的DNS的IP列表将合并到基于dnsPolicy生成的域名解析文件的nameserver字段中，并删除重复的地址。 − searches：域名查询时的DNS搜索域列表，此属性是可选的。指定后，提供的搜索域列表将合并到基于dnsPolicy生成的域名解析文件的search字段中，并删除重复的域名。Kubernetes最多允许6个搜索域。 − options：DNS的配置选项，其中每个对象可以具有name属性（必需）和value属性（可选）。该字段中的内容将合并到基于dnsPolicy生成的域名解析文件的options字段中，dnsConfig的options的某些选项如果与基于dnsPolicy生成的域名解析文件的选项冲突，则会被dnsConfig所覆盖。 工作负载的DNS配置实践 前面介绍了Linux系统域名解析文件以及Kubernetes为应用提供的DNS相关配置项，下面将举例介绍应用如何进行DNS配置。 场景1 对接kubernetes 内置的KubeDNS/CoreDNS 场景说明： 这种方式适用于应用中的域名解析只涉及集群内部域名，或者集群内部域名+外部域名两种方式，应用默认采用这种配置。 示例： apiVersion: v1 kind: Pod metadata: namespace: default name: dnsexample spec: containers: name: test image: nginx dnsPolicy: ClusterFirst 该配置下容器的域名解析文件将如下所示： nameserver 10.247.3.10 search default.svc.cluster.local svc.cluster.local cluster.local options ndots:5 场景2 直接对接DNS 场景说明： 这种方式适用于应用只访问注册到互联网的外部域名，该场景不能解析集群内部域名。 示例： apiVersion: v1 kind: Pod metadata: namespace: default name: dnsexample spec: containers: name: test image: nginx dnsPolicy: Default //使用kubelet的“resolvconf”参数指向的域名解析文件（CCE集群在该配置下对接DNS） 该配置下容器的域名解析文件将如下所示： nameserver 10.125.x.x 场景3 主机网络模式的应用对接KubeDNS/CoreDNS 场景说明： 对于配置主机网络模式的应用，默认对接DNS，如果应用需要对接KubeDNS/CoreDNS，需将dnsPolicy设置为“ClusterFirstWithHostNet”。 示例： apiVersion: extensions/v1beta1 kind: Deployment metadata: name: nginx spec: template: metadata: labels: app: nginx spec: hostNetwork: true dnsPolicy: ClusterFirstWithHostNet containers: name: nginx image: nginx:1.7.9 ports: containerPort: 80 该配置下容器的域名解析文件将如下所示： nameserver 10.247.3.10 search default.svc.cluster.local svc.cluster.local cluster.local options ndots:5 场景4 自定义应用的域名配置 场景说明： 用户可以完全自定义配置应用的域名解析文件，这种方式非常灵活，dnsPolicy和dnsConfig配合使用，几乎能够满足所有使用场景，如对接用户自建DNS的场景、串联多个DNS的场景以及优化DNS配置选项的场景等等。 示例1 ：对接用户自建DNS 该配置下，dnsPolicy为“None”，应用的域名解析文件完全根据dnsConfig配置生成。 apiVersion: v1 kind: Pod metadata: namespace: default name: dnsexample spec: containers: name: test image: nginx dnsPolicy: "None" dnsConfig: nameservers: 10.2.3.4 //用户自建DNS 的IP 地址 searches: ns1.svc.cluster.local my.dns.search.suffix options: name: ndots value: "2" name: timeout value: "3" 该配置下容器的域名解析文件将如下所示： nameserver 10.2.3.4 search ns1.svc.cluster.local my.dns.search.suffix options timeout:3 ndots:2 示例2 ：修改域名解析文件的ndots 选项，减少无效的DNS 查询 该配置下，dnsPolicy不为“None”，会在基于dnsPolicy生成的域名解析文件的基础上，追加dnsConfig中配置的dns参数。 apiVersion: v1 kind: Pod metadata: namespace: default name: dnsexample spec: containers: name: test image: nginx dnsPolicy: "ClusterFirst" dnsConfig: options: name: ndots value: "2" //该配置会将基于ClusterFirst 策略生成的域名解析文件的ndots:5 参数改写为ndots:2 该配置下容器的域名解析文件将如下所示： nameserver 10.247.3.10 search default.svc.cluster.local svc.cluster.local cluster.local options ndots:2

本文主要介绍 节点磁盘检查。 检查项内容 当前检查项包括以下内容： 检查节点关键数据盘使用率是否超过95% 检查/tmp目录是否存在500MB可用空间 解决方案 节点升级过程中需要使用磁盘存储升级组件包，使用/tmp目录存储临时文件。 (1) 问题场景一：磁盘使用率超过95% 请执行以下检查命令，检查当前各关键磁盘的空间使用情况，删除整理确保各空间使用率均小于95%后，重试检查。 docker容器运行时磁盘分区 df h /var/lib/docker contianerd容器运行时磁盘分区 df h /var/lib/containerd kubelet磁盘分区 df h /var/lib/docker 系统盘 df h / (2) 问题场景二：/tmp目录空间不足 请执行以下检查命令，检查当前/tmp目录所在文件系统的空间使用情况，删除整理确保空间大于500MB后，重试检查。 df h /tmp

本文介绍容器安全卫士防护配置类常见问题。 标准版支持设置单条防护规则的防护状态吗？ 支持。 标准版提供具体防护规则的防护开关。您可以根据业务需要选择开启或关闭规则的防护。 标准版支持对同一节点下发不同防护策略吗？ 不支持。默认使用“默认策略”进行防护，创建策略时已生成防护策略的节点是不可重复选择的。若想重新配置策略，需要先解绑已有策略，然后再重新绑定。 标准版支持入侵检测规则自定义吗？ 支持。可以在“容器安全 > 策略管理”中进行自定义，包括命令执行、网络活动、读写文件、文件内容。 标准版镜像安全扫描支不支持仓库镜像扫描？ 支持。除了支持天翼云仓库以外，还支持Harbor、JFrog、Huawei、Huawei CCE Agile、AWS、Aliyun、Registry、Microsoft。

云间高速(标准版)产品为您提供优质的服务体验,本文带您了解云间高速(标准版)的产品优势。 低时延高速率 云间高速（标准版）产品是中国电信基于其优质网络资源提供的一种低延迟、安全、高速、大带宽的网络传输服务。产品利用中国电信的强大网络基础设施，确保数据传输的稳定性和可靠性。 云网紧密融合 充分体现中国电信优质的“云+网”综合资源优势，形成面向客户的一点上云、一线入云、云间互联的新型服务形态。 接入点覆盖广 依托中国电信天翼云“4+4+31+X”资源池发展战略，相较于传统公有云，具有更多的资源池节点，这使得客户的选择更加丰富多样。同时，由于天翼云拥有更多的资源池节点，可以更好地满足用户在实际业务场景中的需求，从而为用户提供更加稳定、高效的云服务。 高安全性 云间高速（标准版）产品基于中国电信CN2DCI网络进行构建，与公众互联网保持物理隔离。客户之间的网络通过VxLAN技术实现逻辑隔离，从而提供更高安全性的私网通信。 弹性扩展 云间高速（标准版）允许接入多数量，多类型的网络实例，灵活配置，以补点方式入网，实现客户全部站点的网络互通，可降低客户的组网成本；跨域带宽包支持弹性伸缩，域间带宽可以灵活调整。

关系数据库MySQL版支持CTIAM身份认证和多种访问控制，多维度保障您云数据库的安全。 身份认证 CTIAM 统一身份认证（Identity and Access Management， 简称：CTIAM），是提供用户进行权限管理的基础服务，可以帮助您安全的控制天翼云服务和资源的访问及操作权限，包括：用户身份认证、权限分配、访问控制等功能。 您可以创建IAM用户，并为其设置关系数据库MySQL版实例权限，该用户即可通过用户名和密码访问已授权的实例资源。 访问控制 权限控制 购买关系数据库MySQL版实例之后，您可以使用CTIAM为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，通过CTIAM进行精细的权限管理。 VPC和子网 虚拟私有云（Virtual Private Cloud，VPC）为关系数据库MySQL版构建隔离、私密的虚拟网络环境，提升数据库的安全性，并简化用户的网络部署。您可以完全掌控自己的专有网络，VPC丰富的功能帮助您灵活管理云上网络，包括创建子网、设置安全组和网络ACL、管理路由表、申请弹性公网IP和带宽等。 通过子网与其他网络隔离，独享网络资源，提高网络安全性。 具体内容，请参见创建虚拟私有云和子网。 安全组 安全组是一个逻辑上的分组，可以为同一个虚拟私有云内具有相同安全保护需求并相互信任的数据库实例提供相同的访问策略。您可以通过为数据库实例设置安全组，开通需访问数据库的IP地址和端口，来保障其运行环境的安全性和稳定性。 具体内容，请参见设置安全组规则。

本节介绍了常见问题:镜像安全相关问题。 如何扫描所有镜像 目前支持扫描单个版本的容器镜像。

本文提供用相关服务条款。 天翼云云容器引擎服务产品服务协议

容量种类 容量说明 申请容量 申请存储池时输入的容量大小。 裸容量 申请存储池的裸容量。申请容量不低于裸容量的85%。 总可用容量 存储池可实际使用的容量。 已分配容量 存储池已分配容量。含虚拟机/物理机/容器等使用的卷的分配容量、RDS等高阶服务占用的存储分配容量、备份创建的快照的分配容量。 已使用容量 存储池已使用的物理容量。含虚拟机/物理机/容器等使用的卷的使用容量、RDS等高阶服务占用的存储使用容量、备份创建的快照的使用容量。

本章节介绍了所依赖的资源及创建指导。 概述 在购买RocketMQ实例前，您需要提前准备相关依赖资源，包括虚拟私有云（Virtual Private Cloud，以下简称VPC）、子网和安全组，并配置安全组策略。每个RocketMQ实例都部署在某个VPC中，并绑定具体的子网和安全组，通过这样的方式为RocketMQ提供一个隔离的、用户自主配置和管理的虚拟网络环境以及安全保护策略，提升实例的安全性。 准备依赖资源 RocketMQ实例所需资源的具体要求和创建指导如表1所示。 表1 RocketMQ实例依赖资源 准备资源 要求 创建指导 VPC和子网 不同的RocketMQ实例可以重复使用相同的VPC和子网，也可以使用不同的VPC和子网，请根据实际需要进行配置。在创建VPC和子网时应注意如下要求：·创建的VPC与使用的分布式消息服务RocketMQ应在相同的区域。·创建VPC和子网时，如无特殊需求，配置参数使用默认配置即可。 创建VPC和子网的操作指导请参考创建虚拟私有云和子网，若需要在已有VPC上创建和使用新的子网，请参考为虚拟私有云创建新的子网。 安全组 不同的RocketMQ实例可以重复使用相同的安全组，也可以使用不同的安全组，请根据实际需要进行配置。在创建安全组时应注意如下要求：·创建安全组时，“模板”选择“自定义”。·创建安全组后，请保留系统默认添加的入方向“允许安全组内的弹性云服务器彼此通信”规则和出方向“放通全部流量”规则。·使用分布式消息服务RocketMQ必须添加表2所示安全组规则，其他规则请根据实际需要添加。 创建安全组的操作指导请参考创建安全组，为安全组添加规则的操作指导请参考添加安全组规则。 表2 安全组规则 方向 协议 端口 源地址 说明 入方向 TCP 8100 0.0.0.0/0 VPC内访问元数据节点的端口 入方向 TCP 8200 0.0.0.0/0 公网访问元数据节点的端口 入方向 TCP 1010010199 0.0.0.0/0 访问业务节点的端口

本章节主要介绍翼MapReduce集群使用规则。 翼MR集群内节点上的/var/log目录中，存放了操作系统的相关操作、安全等关键性日志数据以及翼MR集群各个部署组件实例的应用和审计日志，以方便客户对云主机的系统问题以及翼MR组件集群进行定位和安全审计。 针对上述的系统日志文件，不建议客户进行清理，该操作属于高危操作，易引发弹性云主机的故障不可用问题。 针对上述的翼MR集群应用和审计日志，建议客户基于必要性考虑，确认是否需要清理。如果需要清理，优先考虑将相关历史久远的日志执行删除操作。

本节介绍了：指标告警的用户指南。 应用场景 在云容器引擎服务中，资源监控已经对接了云监控服务，并能够使用云监控提供的指标告警能力。 前提条件 已创建集群，具体操作请参见 用户指南 > 集群 > 新建集群 章节。若已有集群，无需重复操作。 集群已安装ccsemonitor插件，可参考 用户指南 > 插件 章节 创建通知组 登陆云容器引擎控制台， 点击左侧导航栏中的集群，进入集群列表页面。 在集群列表中点击需要配置告警的集群，进入集群管理页面. 左侧菜单栏选择 运维管理 > 指标告警 > 通知组 进入通知组配置页面。 通知组支持联系人、翼连、WebHook集成三种通知对象，其中联系人支持手机号（短信）和邮箱（邮件）、翼连支持发送到翼连群、WebHook支持发送到用户指定的WebHook后端。 创建基础策略 登陆云容器引擎控制台， 点击左侧导航栏中的集群，进入集群列表页。 在集群列表中点击需要配置告警的集群，进入集群管理页面。 左侧菜单栏选择 运维管理 > 指标告警 > 告警策略 进入通知策略配置页面，点击按钮创建通知策略 创建通知策略。 通知策略可以配置通知对象、通知模板、渲染API地址、通知时段，其中通知对象为用户在通知组设置的对象，邮件、短信、翼连三种告警方式支持分别独立配置模板，一般没有特殊需求使用默认模板即可。

选择地域时，建议考虑以下几个因素： 1. 地理位置：用户和资源部署地域的距离越近，网络时延越低，访问速度越快。 中国内地：一般情况下建议选择和您目标用户所在地域最为接近的数据中心，可以进一步提升用户访问速度。如果您使用天翼云承载全部业务，电信网络可以保证中国内地地域间的快速访问。 其他国家及地区：其他国家及地区提供的带宽主要面向非中国内地的用户。如果您在中国内地，使用这些地域会有较长的访问延迟，不建议使用。 2. 资源价格及资源覆盖：不同地域的资源价格、产品覆盖可能有差异，请根据您的需求及预算选择合适的地域。 3. 产品之间的关系：如果购买了多款天翼云产品搭配使用，需要注意不同地域的云主机、对象存储、负载均衡等服务内网不互通。 4. 经营性备案：如果使用弹性云主机实例作为Web主机，您需要完成经营性备案，同时需要在指定的地域购买实例。（各省或市通信管理局对经营性备案的审批要求不同，请以当地管理局经营性备案网站公示内容为准。）

本节介绍使容器网络限速的用户指南。 在离线应用混部中通过使用容器网络限速，帮助用户为不同应用配置网络带宽限制与优先级，提升集群资源隔离与网络体验。 适用场景 需要对容器的入站/出站网络带宽进行限制，防止单一业务占用过多带宽。 希望为延迟敏感或大带宽业务设置网络优先级，实现更优的流量调度。 功能说明 带宽限制 网络优先级控制 配置方法 启用网络优先级能力（可选） 如需使用网络优先级控制，请确保集群已启用 Cubecni 的优先级功能： 1. 编辑 Cubecni 配置： plaintext kubectl n kubesystem edit cm cubecniconfig 2. 在 10cubecni.conflist 下添加/修改 enablenetworkpriority 为 true： plaintext { "cniVersion": "0.3.1", "name": "cubecni", "plugins": [ { "type": "cubecni", "capabilities": {"bandwidth": true}, "enablenetworkpriority": true } ]} 3. 滚动重启 Cubecni Pod： plaintext kubectl n kubesystem rollout restart ds/cubecni kubectl n kubesystem get po l appcubecni owide w 配置带宽与优先级注解 在 Pod/Deployment YAML 的 metadata.annotations 字段中添加带宽和优先级注解。例如： plaintext apiVersion: apps/v1kind: Deploymentmetadata: name: netperfclient8000 namespace: demospec: replicas: 2 template: metadata: annotations: kubernetes.io/egressbandwidth: 10M kubernetes.io/ingressbandwidth: 20M k8s.ctyun.com/networkpriority: guaranteed spec: containers: name: netperf image: ciliumnetperf:2.0

本文介绍如何通过命令行管理应用。 前提条件 在本地使用命令之前，需要先通过kubectl连接Kubernetes集群。 通过命令创建应用 可以通过以下命令直接运行一个简单的Nginx容器。 PowerShell kubectl run nginxpod imagenginx 如果需要在集群内部暴露相关服务，可以通过以下命令进行操作： PowerShell kubectl expose pod nginxpod namenginxservice port8080 targetport80 typeClusterIP 通过命令查看容器 以下命令用于获取Kubernetes集群中所有运行的Pod对象的状态信息。 PowerShell kubectl get pods 预期输出为： PowerShell NAME READY STATUS RESTARTS AGE nginxpod 1/1 Running 1 9h 以下命令用于获取Kubernetes集群中所有Service对象的状态信息。 PowerShell kubectl get svc 预期输出为： PowerShell NAME TYPE CLUSTERIP EXTERNALIP PORT(S) AGE nginxservice ClusterIP 10.233.10.115 8080/TCP 9h

天翼云容器镜像服务协议，详情请参见这里。

本节介绍了容器镜像服务: Dockerfile高效编写指引。 概述 Docker依赖Dockerfile来自动构建镜像。Dockerfile的语法虽然简单，但是如何编写Dockerfile来减小镜像大小并加快镜像构建速度却需要实践经验的累积。本节介绍Dockerfile编写的一些最佳实践，以帮助编写出高效的Dockerfile。 通过.dockerignore排除文件 Docker在构建镜像时，会将Dockerfile目录中的所有文件收集到进程中。对于不需要参与构建的文件，可以通过.dockerignore文件来进行排除，从而减小镜像的大小。.dockerignore的语法类似.gitignore，示例如下: plaintext .git/ nodemodules/ 该示例排除了Dockerfile目录中的.git和nodemodules两个文件夹。 容器只运行单个应用 Docker虽然支持运行多个进程，例如将前端、后端和数据库都运行在一个Docker容器中，但这样做会带来一些问题： 构建时间长，修改某个应用导致整体重新构建 镜像体积大 不同应用所需资源不同，扩展时导致资源浪费 因此，最好将服务拆分成不同的应用，对每个应用单独进行镜像构建和部署。例如一个依赖node.js和MySQL的服务的Dockerfile原本需要安装两者的依赖： plaintext RUN aptget install y nodejs mysql 进行拆分之后，node.js和MySQL服务可以单独部署。 node.js服务的Dockerfile包含： plaintext RUN aptget install y nodejs MySQL服务的Dockerfile包含： plaintext RUN aptget install y mysql

本节介绍如何查看基线整体检查通过率和单个基线检查项的通过结果，并支持导出某个基线的检查结果。 查看基线整体检查通过率 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“安全合规”，进入安全合规页面。 3. 查看基线管理列表，包括基线名称、适用版本、基线版本、基线检查项和检测通过率等，可通过检测率的条形图查看检查通过率的百分比。 查看单个检查项通过结果 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“安全合规”，进入安全合规页面。 3. 在安全合规页面单击“基线名称”，进入基线详情页面，可查看单个基线检测项是否通过检查。 导出检查结果 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“安全合规”，进入安全合规页面。 3. 在安全合规页面单击“基线名称”，进入基线详情页面。 4. 点击列表右上方的“导出”按钮，该导出任务会添加至“任务中心 > 下载任务管理”，开始生成Excel格式的基线合规检查结果报表。 5. 在“任务中心 > 下载任务管理”中，找到对应下载任务，待下载文件生成完毕后，单击“下载”按钮即可下载至本地。