本文介绍如何进行容器设置。 在容器设置页面，支持设置“容器调查审计信息保留时间”和“容器调查审计信息保留容量”。 操作步骤 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“容器安全 > 容器设置”，进入容器设置页面。也可以在容器实时检测页面，单击右上角的“设置”按钮，进入容器设置页面。 3. 设置“容器调查审计信息保留时间”和“容器调查审计信息保留容量”。 参数 说明 历史容器保留时间 默认为7，不支持修改。 存在报警的历史容器保留时间 默认为7，不支持修改。 容器调查审计信息保留时间 最大值为“1095天”。 容器审计信息会记录大量事件，占用较大的磁盘空间，请根据磁盘剩余空间大小酌情配置保存天数。 容器调查审计信息保留容量 最大值为“65535G”。 容器审计信息会记录大量事件，占用较大的磁盘空间，请根据磁盘剩余空间大小酌情配置保存容量。 说明 “容器调查审计信息保留时间”和“容器调查审计信息保留容量”两个参数值均为0时，代表关闭审计功能。

本文对删除镜像会话的操作步骤进行说明。 使用场景 当您不需要镜像业务时，您可以删除镜像会话，删除镜像会话之前，请先保证会话处于停止状态。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成镜像会话的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“流量镜像镜像会话”选项。 5. 在镜像会话页面，找到需要删除的镜像会话，然后在操作列单击“删除”按钮。 6. 处于运行中的会话请先点击停止会话，在弹出的对话框，单击“确定”按钮。

使用备份恢复云主机或镜像创建云主机后，密码被随机如何处理？ 请参考弹性云主机帮助中心，常见问题，密码类，密码重置章节完成对应操作系统密码重置。 通过备份恢复服务器，会对原备份做哪些修改？ 对于Linux操作系统： 检查pvdriver相关驱动是否存在，如果存在，将删除相关驱动。 修改grub和syslinux配置文件，增加内核启动参数，并将磁盘分区名改成“UUID磁盘分区的UUID”。 检查“/etc/fstab”文件中的磁盘分区名并修改成“UUID磁盘分区的UUID”。 删除VMware tools对应的服务。 Linux操作系统会拷贝自带的virtio前端驱动到initrd或initramfs中去。 对于Windows操作系统： 离线注入virtio驱动，解决在没有安装UVP VMTools情况下系统无法正常启动的问题。 如何将原云主机数据恢复至新创建的云主机？ 要将云主机恢复到另一个云主机上，可以使用云主机备份创建镜像后，再创建一台新的云主机。相关操作请参考使用备份创建镜像。 若已经创建新的云主机，可以使用云硬盘备份备份每个磁盘，再用每个磁盘创建新的磁盘再挂载至新的云主机中。但数据可能无法保证一致性。 如何将数据盘备份恢复至系统盘？ 您可以先使用备份创建新的云硬盘，并将云硬盘挂载至云主机中。再通过拷贝的方式，将此数据盘的数据恢复至系统盘中。

参数 参数类型 说明 示例 下级对象 imageOid String 镜像ID imageName String 镜像名称 osName String 操作系统名称 osType String 操作系统类型（Windows;Linux） platform String 操作系统平台（Windows;Centos;Ubuntu;UOS;Kylin银河麒麟;NeoKylin中标麒麟） gpuType Integer GPU类型[0:非GPU，1:GPU类型] mirrorType String 镜像类型[PUBLIC：公共镜像，PRIVATE：自定义镜像，SHARED：共享镜像] osBits String 操作系统位数 （32，64） sysDisk Object 系统盘相关信息 sysDisk

本章节介绍如何在服务网格中使用本地限流 前提条件 1. 已开通云容器引擎，至少有一个云容器引擎集群实例。产品入口：云容器引擎。 2. 开通天翼云服务网格实例。 操作步骤 我们以bookinfo应用为例演示本地限流能力，首先在default命名空间部署bookinfo应用。 然后在default命名空间部署针对productpage服务的限流策略，token数量最大为5，每2秒重新填充5个token： apiVersion: istio.ctyun.cn/v1beta1 kind: LocalRateLimiter metadata: name: productpagelimit spec: workloadSelector: 匹配工作负载 labels: app: productpage context: SIDECARINBOUND statPrefix: httplocalratelimiter configs: name: productpage routeConfig: vhost: name: 'inboundhttp9080' rateLimitConfig: tokenBucket: maxTokens: 5 tokensPerFill: 5 fillInterval: 2s filterEnabled: runtimeKey: localratelimitenabled defaultValue: numerator: 100 denominator: HUNDRED filterEnforced: runtimeKey: localratelimitenforced defaultValue: numerator: 100 denominator: HUNDRED responseHeadersToAdd: appendAction: OVERWRITEIFEXISTSORADD header: key: xlocalratelimit value: 'true' 我们使用gostresstesting工具验证效果，如下图所示，结果状态码中有200和429（请求被限流）；200的个数每2秒增加5个，符合我们设定的2秒重新填充5个token的设定；429状态码在持续增加。 单独请求productpage服务可以看到请求被限流的情况：

本文主要介绍 磁盘模式及使用方法 什么是磁盘模式 根据是否支持高级的SCSI命令来划分磁盘模式，分为VBD(虚拟块存储设备 , Virtual Block Device)类型和SCSI (小型计算机系统接口, Small Computer System Interface) 类型。 VBD类型：磁盘模式默认为VBD类型。VBD类型的磁盘只支持简单的SCSI读写命令。 SCSI类型：SCSI类型的磁盘支持SCSI指令透传，允许云主机操作系统直接访问底层存储介质。除了简单的SCSI读写命令，SCSI类型的磁盘还可以支持更高级的SCSI命令。 磁盘模式在购买磁盘时配置，购买完成后无法修改。 SCSI磁盘的常见使用场景和建议 SCSI磁盘：物理机仅支持使用SCSI磁盘，用作系统盘和数据盘。 SCSI共享盘：当您使用共享盘时，需要结合分布式文件系统或者集群软件使用。由于多数常见集群需要使用SCSI锁，例如Windows MSCS集群、Veritas VCS集群和CFS集群，因此建议您结合SCSI使用共享盘。 如果将SCSI共享盘挂载至ECS时，需要结合云主机组的反亲和性一同使用，SCSI锁才会生效，关于更多共享盘的内容，请参见共享磁盘及使用方法。 使用SCSI类型磁盘需要安装驱动吗 使用SCSI的磁盘时，需要为某些云主机操作系统安装驱动，具体如下： DPS（物理机） 物理机的Windows和Linux镜像操作系统中已经预安装了使用SCSI磁盘所需的驱动，即SDI卡驱动，因此无需再安装。 KVM ECS 当您使用SCSI磁盘时，推荐您配合虚拟化类型为KVM的ECS一同使用。因为KVM ECS的Linux操作系统内核中已经包含了驱动，Windows操作系统中也包含了驱动，无需您再额外安装驱动，使用便捷。 说明 ECS的虚拟化类型分为KVM和XEN，想了解您所使用的ECS虚拟化类型，请参见“弹性云主机用户指南 > 产品介绍 > 实例规格（X86）”。 XEN ECS 由于驱动和操作系统支持的限制，不建议您一同使用SCSI磁盘与虚拟化类型为XEN的ECS。 然而，当前有一部分Windows和Linux操作系统支持SCSI磁盘，详情请参见下表。 说明 当XEN ECS的操作系统已满足SCSI磁盘的要求时，需要根据以下情况判断是否安装SCSI驱动。 Windows公共镜像的操作系统中已经预安装Paravirtual SCSI (PVSCSI) 驱动，无需再安装。 Windows私有镜像的操作系统中未安装PVSCSI驱动，请您自行下载并安装驱动。 具体方法请参见“镜像服务用户指南”中的“快速入门优化私有镜像（Windows）”小节。 Linux操作系统中未安装PVSCSI驱动，请在 表 SCSI磁盘支持的操作系统 虚拟机化类型 操作系统 XEN Windows 请参见“公共镜像”中的Window操作系统。 查看方法：登录管理控制台，选择“镜像服务 > 公共镜像 > ECS镜像 > Windows”，即可查看操作系统列表。 XEN Linux SUSE Linux Enterprise Server 11 SP4 64bit (内核版本号为3.0.10168default or 3.0.10180default) SUSE Linux Enterprise Server 12 64bit (内核版本号为3.12.5152.31default) SUSE Linux Enterprise Server 12 SP1 64bit (内核版本号为3.12.6760.64.24default) SUSE Linux Enterprise Server 12 SP2 64bit (内核版本号为4.4.7492.35.1default)

依赖服务的权限设置 如果IAM用户需要在SMS Console控制台拥有相应功能的查看或使用权限，请确认已经对该用户所在的用户组设置了SMS FullAccess或SMS ReadOnlyAccess策略的集群权限，再按如下下表增加依赖服务的角色或策略。 表 SMS Console依赖服务的角色或策略 控制台功能 依赖服务 需配置角色/策略 创建迁移任务 弹性云主机ECS 弹性IP 虚拟私有云VPC 镜像服务IMS 云硬盘EVS IAM用户设置了SMS FullAccess权限后，需要增加ECS FullAccess、VPC FullAccess、IMS FullAccess、EVS FullAccess、EIP FullAccess权限后才能创建迁移任务。 查看迁移进度 无需其他依赖权限。SMS ReadOnlyAccess权限即可查看迁移任务进度。 创建迁移参数模板 无需其他依赖权限。SMS FullAccess权限后即可创建迁移参数模板。 创建虚拟机配置模板 虚拟私有云VPC 云硬盘EVS 弹性云主机ECS IAM用户设置了SMS FullAccess权限后，需要增加ECSReadOnlyAccess、VPC ReadOnlyAccess、EVS ReadOnlyAccess权限后才能创建虚拟机配置模板。 迁移代理配置 弹性云主机ECS 弹性IP 虚拟私有云VPC 镜像服务IMS 云硬盘EVS IAM用户设置了SMS FullAccess权限后，需要增加ECS FullAccess、VPC FullAccess、IMS FullAccess、EVS FullAccess、EIP FullAccess权限后才能进行迁移代理配置。

本节介绍了通过API无法创建ZVHD2格式的镜像怎么办的问题解决办法。 问题描述 用户使用API创建ZVHD2格式镜像时，得到的镜像格式为ZVHD。 处理方法 查看用户使用的token是否带有“opgatedlld”角色（“opgatedlld”为公测标识，在“获取用户Token”API响应消息的body体中查看），ZVHD2格式镜像具备延迟加载特性，如果当前环境不支持延迟加载特性，或者处于公测阶段，则创建ZVHD2格式镜像不成功。 请先联系客服，确保当前环境已支持延迟加载特性后，重新获取token，再使用新的token制作镜像。

添加该配置，改为true } ] } 3. 重建Cubecni Pods使得配置生效。 plaintext 滚动重建Pod kubectl nkubesystem rollout restart ds/cubecni 等待Pod重建完成 kubectl nkubesystem get po l appcubecni owide w IPv6支持 IPv6处于内测阶段，当开启IPv6后，有如下限制： 暂不支持使用多个Pod子网； 单个节点可申请50个IPv6地址，故单节点最多创建50个使用容器网络的Pod。 低网络时延 Pod直接访问Pod场景，时延对比如下图所示。可见cubecni IPVLAN模式时延接近主机网络。独占ENI模式时延有时约略优于主机网络，理想情况下相比于calico IPIP模式提升约30%： 图示中，host表示主机网络时延，集群停止k8s服务后，节点运行sockperf客户端访问另一节点sockperf服务端的时延； cubecni IPVLAN模式时延接近baseline，该场景流量不经主机网络栈处理，不会因此额外引入时延； cubecni 独占ENI模式，Pod独占弹性网卡，时延无限接近主机网络； cubecni PolicyRoute模式，流量经主机网络栈处理，故时延较高； calico IPIP模式，流量均经过主机网络栈处理，且有IPIP解封包开销，iptables更为复杂，故时延较高。 当集群部署监控和日志等消耗带宽的插件后，容器网络整体时延均会增加，calico IPIP模式时延增加幅度大于cubecni。

添加该配置，改为true } ] } 3. 重建Cubecni Pods使得配置生效。 plaintext 滚动重建Pod kubectl nkubesystem rollout restart ds/cubecni 等待Pod重建完成 kubectl nkubesystem get po l appcubecni owide w IPv6支持 IPv6处于内测阶段，当开启IPv6后，有如下限制： 暂不支持使用多个Pod子网； 单个节点可申请50个IPv6地址，故单节点最多创建50个使用容器网络的Pod。 低网络时延 Pod直接访问Pod场景，时延对比如下图所示。可见cubecni IPVLAN模式时延接近主机网络。独占ENI模式时延有时约略优于主机网络，理想情况下相比于calico IPIP模式提升约30%： 图示中，host表示主机网络时延，集群停止k8s服务后，节点运行sockperf客户端访问另一节点sockperf服务端的时延； cubecni IPVLAN模式时延接近baseline，该场景流量不经主机网络栈处理，不会因此额外引入时延； cubecni 独占ENI模式，Pod独占弹性网卡，时延无限接近主机网络； cubecni PolicyRoute模式，流量经主机网络栈处理，故时延较高； calico IPIP模式，流量均经过主机网络栈处理，且有IPIP解封包开销，iptables更为复杂，故时延较高。 当集群部署监控和日志等消耗带宽的插件后，容器网络整体时延均会增加，calico IPIP模式时延增加幅度大于cubecni。

本节介绍集群联邦概述。 集群联邦 集群联邦基于多云容器编排能力，旨在管理跨云、跨地域场景下的多集群应用，为您提供多集群统一管理、应用部署、服务发现、弹性伸缩、故障迁移等能力。 功能优势 完全兼容Kubernetes原生API，支持从单集群到多集群零改造升级，无缝集成现有Kubernetes工具链生态。 丰富的多集群调度策略：集群亲和性调度、多集群拆分/再平衡调度，多维度的高可用部署，包括多Region、多AZ、多集群、多云供应商 。提供自动化的多集群故障优雅迁移能力，对故障集群实例进行集中式或分散式的迁移，保证服务实例不跌零 多集群流量分发：多集群Service实现跨集群的服务发现和访问。多集群Ingress提供跨集群的负载均衡和流量路由机制，支持自动切流，可自动摘除故障集群上的流量，保障服务的可用性 。 多集群弹性伸缩：基于工作负载的系统指标变动、自定义指标变动或固定的时间周期，实行多集群统一的负载伸缩策略，提升工作负载的可用性和稳定性 。 全域容器智能分析：实时监控应用及资源，采集各项指标及事件等数据以分析应用健康状态，提供多集群统一的全栈监控视图，对业务提供端到端追踪和可视化，提供集群健康诊断能力，缩短问题分析定位时间 。

背景信息 使用公共镜像创建的云主机实例，默认预装了云助手Agent。 2024年6月30日以后使用公共镜像创建的物理机服务器已默认预装云助手Agent。如果您的实例是2024年6月30日之前购买的或使用自行上传的自定义镜像创建的物理机实例，若需要使用云助手相关功能，请参考本文自行安装云助手Agent。 操作场景 本文为您介绍如何在弹性云主机、物理机服务器实例上安装云助手客户端。 如何查看云助手客户端状态？ Linux云主机： 查看是否安装了QGA：执行 ps ef grep qemuga 查看进程是否存在，或者 systemctl status qemuguestagent 服务为 active 。 Windows云主机： 查看是否安装了QGA：打开任务管理器，选择服务，查看 QEMU Guest Agent服务是否正在运行。 Linux物理机： 查看是否安装了caagent：执行 ps ef grep caagent 查看进程是否存在，或者 systemctl status caagent 服务为 active 。 在弹性云主机实例上安装云助手Agent Linux云主机安装QGA，详情请参见： 安装QEMUGuestAgent 。 Windows云主机安装QGA，详情请参见： 安装QEMUGuestAgent 。 在物理机器实例上安装云助手Agent 目前仅支持Linux系统的物理机服务器安装云助手Agent，并提供相应的安装脚本供用户安装使用。 Linux系统的物理机实例安装云助手Agent 1. 以管理员身份登录Linux物理机服务器。 2. 下载云助手Agent安装包：caagentinstall.tar.gz 。 curl o caagentinstall.tar.gz 3. 解压缩安装包，该压缩包内包含安装脚本 installlinux.sh、最新版云助手caagent以及云助手服务相关配置文件 。 tar zxvf caagentinstall.tar.gz cd caagentinstall;bash x installlinux.sh 4. 执行命令，查看caagent服务状态为active 。 systemctl status caagent.service

本文介绍如何查看防御容器的运行状态，及如何下载防御容器日志。 查看防御容器列表 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“安装配置 > 运行状态”，进入运行状态页面。 3. 该页面显示平台内所有防御容器的运行状态。平台容器列表内，支持按照“防御容器名称”、“防御容器IP”、“集群名称”、“节点名称”、“健康状态”、“降级状态”进行筛选查询。 参数 说明 防御容器名称 容器的名称。 所在集群 容器所属集群。 所在节点 容器运行所在节点。 节点IP 容器运行所在节点的IP地址。 CPU CPU占用内核数量，单位M：代表“千分之一核心”。例如，50M的含义是指50/1000核心，即5%。 Memory 防御容器占用的存储空间。 健康状态 健康状态分为“在线”状态和“离线”状态。 降级状态 降级状态分为已降级、未降级。 用户可查看防御容器降级状态，并且通过操作来恢复已降级的防御容器。 说明 未降级或已离线的防御容器不支持恢复。 更新时间 容器状态更新的时间。

本节介绍了通过自定义域名访问集群的用户指南。 前提条件 已经创建了一个天翼云账号，并且有一个已经创建好的云容器引擎集群。 集群中已经部署了应用服务，并且可以通过Cluster IP或NodePort进行访问。 已经拥有一个域名，并可以对其进行DNS配置。 创建Ingress Controller 登录云容器引擎控制台，单击集群名称进入集群。 在左侧导航栏中找到网络，下拉找到路由，点击路由，点击左上角创建路由。 创建Ingress Controller。 安装完成后，可以使用kubectl命令查看Ingress Controller的服务： plaintext kubectl get services n ingressnginx 确保ingressnginxcontroller服务已经创建并在运行。 创建Ingress资源 编写Ingress资源配置文件 创建一个新的YAML文件，例如myingress.yaml，内容如下： plaintext apiVersion: networking.k8s.io/v1 kind: Ingress metadata: name: myingress namespace: default spec: rules: host: http: paths: path: / pathType: Prefix backend: service: name: port: number: 替换 为您的自定义域名， 为您的Kubernetes服务名称， 为服务的端口号。 应用Ingress资源 使用kubectl应用刚才创建的Ingress资源文件： plaintext kubectl apply f myingress.yaml 验证Ingress资源是否已创建： plaintext kubectl get ingress 配置自定义域名的DNS记录 获取Ingress Controller的外部IP 使用以下命令获取Ingress Controller的外部IP： plaintext kubectl get services n ingressnginx 记录ingressnginxcontroller服务的EXTERNALIP。

3、创建工作负载 使用kubectl连接集群，创建示例yaml文件stsexample.yaml： plaintext apiVersion: "apps/v1" kind: "StatefulSet" metadata: name: "oceanfstest" namespace: "default" spec: podManagementPolicy: "OrderedReady" replicas: 1 revisionHistoryLimit: 10 template: spec: containers: image: "nginx:1.25alpine" imagePullPolicy: "IfNotPresent" name: "container1" resources: limits: cpu: "100m" memory: "256Mi" requests: cpu: "100m" memory: "256Mi" terminationMessagePath: "/dev/terminationlog" terminationMessagePolicy: "File" volumeMounts: mountPath: "/ccetmp" name: "volume1" dnsPolicy: "ClusterFirst" restartPolicy: "Always" schedulerName: "defaultscheduler" securityContext: {} terminationGracePeriodSeconds: 30 volumes: name: "volume1" persistentVolumeClaim: claimName: "cstorpvcoceanfssharepath" updateStrategy: rollingUpdate: partition: 0 type: "RollingUpdate" 执行以下命令，创建StatefulSet plaintext kubectl apply f stsexample.yaml 查看创建的有状态负载： 登录“云容器引擎”管理控制台，在集群列表页点击进入指定集群。进入主菜单“工作负载”——“有状态”，在列表查看。 验证数据持久化 登录“云容器引擎”管理控制台。 在集群列表页点击进入指定集群。 进入主菜单“工作负载”——“有状态”，进入负载详情。 在Pod列表页，选择“远程登录”，进入到容器内执行以下命令： 1、向/ccsetmp 目录下写一个文件，执行 plaintext echo "Hello World" > /ccetmp/test.log 2、查看/ccetmp目录下文件，执行ls /ccetmp，预期结果如下: plaintext test.log 退出“远程登录”，对上一步中的Pod执行“销毁重建”，等待Pod重新运行正常； 对新建Pod，继续执行“远程登录”，进入到容器内查看数据。执行cat /ccetmp/test.log，预期结果如下： plaintext Hello World 以上步骤说明，pod删除重建后，重新挂载存储卷，数据仍然存在，说明海量文件服务中的数据可持久化保存。

本节介绍了云审计的用户指南。 操作场景 本服务现已对接天翼云++云审计++，云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。 云审计可提供的功能服务具体如下： ● 记录审计日志：支持用户通过管理控制台或API接口发起的操作，以及各服务内部自触发的操作。 ● 审计日志查询：支持在管理控制台对7天内操作记录按照事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等多个维度进行组合查询。 使用限制 ● 云审计服务本身免费，包括时间记录以及7天内时间的存储和检索。 ● 用户通过云审计能查询到多久前的操作事件：7天。 ● 用户操作后多久可以通过云审计查询到数据：5分钟。 ● 其它限制请参考++使用限制云审计++。 操作步骤 1. 开通云审计服务。 参见++开通云审计服务云审计++。 2. 查看云审计事件。 参见++查看审计事件云审计++。 3. 在事件列表中，选择事件来源为“容器”，资源类型选择“云容器引擎”，上方时间选择需要筛选的时间段。点击查询即可。 4. 在审计事件右侧点击详情，可以看到更详细的事件信息。 更多云审计相关使用说明和常见问题请参考++用户指南、++++常见问题++。

查看API Server审计日志 通过云容器引擎管理控制台查看集群API Server审计日志。 通过日志服务控制台查看集群API Server审计日志。

参数 是否必填 参数类型 说明 示例 下级对象 ServerSideEncryptionConfiguration 是 Container 服务器端加密规则的容器 Rule Rule 是 Container 设置加密规则的容器 ApplyServerSideEncryptionByDefault ApplyServerSideEncryptionByDefault 是 Container 设置服务端默认加密规则的容器 SSEAlgorithm SSEAlgorithm 是 String 设置加密算法，支持AES256算法机密 AES256

本文为您介绍创建Linux操作系统的GPU计算加速型云主机时，自动安装GPU驱动的详细操作指导。 准备工作 创建账号，以及完善账号信息。本教程创建的是按量付费实例。开通按量付费GPU云主机资源时，您的天翼云账户余额（即现金余额）不得小于100.00元人民币。充值方式请参见费用中心>账户充值。 可选：在创建弹性云主机时，如果您的账号在本地域没有创建VPC，天翼云会提供一个默认的VPC，如果您不想使用默认VPC，可以在本地域创建VPC。具体操作，请参见虚拟私有云>创建VPC、子网搭建私有网络。 操作步骤 步骤1：进入创建云主机页面 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 ![image[4].png]( 2. 单击“服务列表>弹性云主机”。 ![image[1].png]( 3. 单击“创建云主机”，系统进入创建页。 步骤2：基础配置 1. 选择“计费模式”。 包年包月：一种预付费模式，即先付费再使用。一般适用于固定业务应用，例如网站服务。需要先支付包年包月资源账单，才能开始使用包年包月资源。 按量付费：一种后付费模式，即先使用再付费。一般适用于有业务变化的应用，例如临时扩展、临时测试。可以先开通并使用按量付费资源，系统在每个结算周期生成账单并从账户中扣除相应费用。 2. 选择“地域和可用区”。 3. 设置“实例名称”，长度为 2~63个字符。 4. 设置“主机名称”，长度为 2～15 个字符，允许使用大小写字母、数字或连字符（）。不能以连字符（）开头或结尾，不能连续使用连字符（），也不能仅使用数字。 5. 选择“CPU架构”。 6. 设置“规格”，选择“分类”为“GPU加速/AI加速型”。 7. 通过如下两种方式选择镜像： 1. 直接选择预装驱动的公共镜像，如CTyunOS 2.0.1 64 位 预装NVIDIA Tesla 550.90.07驱动(40GB)、Ubuntu Server 22.04 64 位预装 NVIDIA Tesla 550.90.07 驱动(40GB)等名称中有“预装NVIDIA Tesla 550.90.07驱动”字样的镜像。 2. 选择目标的Linux的公共镜像，勾选“安装GPU驱动”，选择对应的CUDA、Driver、CUDNN版本。 注意 目前仅部分资源池支持勾选“安装GPU驱动”，若目标资源池不支持该功能，且提供的预装驱动镜像无法满足您的要求，请您 参见安装Tesla驱动，手动安装GPU驱动。 8. 设置“存储”。 磁盘包括系统盘和数据盘。您可以为云主机添加多块数据盘，系统盘大小目前默认为40GB。

本节主要介绍弹性文件服务的定义和产品架构。 弹性文件服务（CTSFS，Scalable File Service）为您提供安全、可靠、可扩展、高性能的文件存储（NAS），可为云上多个弹性云主机（ECS），云容器引擎（CCE）、物理机（BMS）提供共享访问。分为SFS容量型和SFS Turbo两类文件系统。

本文介绍如何更新容器列表。 容器运行时安全是容器安全管控的重中之重。目前传统的入侵检测方式主要针对于主机或者网络层面，现有防护手段无法发现针对容器层面的攻击行为。容器安全防护平台支持对容器内行为进行检测。当发现容器逃逸行为、反弹shell、端口扫描、启动挖矿程序、启动远程木马程序时，根据预设策略对存在异常的容器进行报警或暂停，并支持对容器所在的Pod进行隔离或重启。 操作步骤 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“容器安全 > 实时检测”，进入容器实时检测页面。 3. 在该页面单击容器列表右侧的“更新列表”，实时获取集群内的容器信息。

本节介绍了镜像共享类的相关问题。 每个镜像最多可以共享给多少个租户？ 系统盘镜像和数据盘镜像为128个；整机镜像为10个。 我最多可以获得多少个共享镜像？ 没有限制。 使用共享镜像是否占用我的私有镜像配额？ 不占用。 共享镜像给一个账号，而这个账号没有接受或者拒绝，消耗共享配额吗？ 不消耗。 我能把别人共享给我的镜像再共享给其他人吗？ 不能。 我把镜像共享给其他人，还能使用该镜像创建云主机吗？ 可以。您将镜像共享给其他账号后，还可以用该镜像创建云主机，在该云主机的基础上也可以继续创建私有镜像。 拒绝后的共享镜像如何使用？ 用户B拒绝了用户A的共享镜像的情况下，如果需要使用该共享镜像，需要告知用户A按照以下步骤完成操作。 方法一 用户A重新将用户B添加为镜像的共享租户。请参考添加镜像的共享租户。 方法二 用户B重新接受已拒绝的共享镜像。请参考接受已经拒绝的共享镜像。

弹性云主机(CTECS,Elastic Cloud Server)属于天翼云弹性计算服务,由CPU、内存、镜像、云硬盘组成,是一种可随时获取、即开即用、可弹性扩展的计算服务器。帮助您搭建安全稳定环境及应用,并根据需求动态弹性扩展资源,使您简单上云,更专注于自身业务发展。

本节主要介绍微服务构建 业务场景 ServiceStage提供一键式应用交付流水线的能力，并支持灵活定制，您可以基于源码、 软件包的方式进行打包构建，使用流水线工程实现“源码拉取>编译>打包>归档> 部署”的全流程自动化。在实际的场景中，能够帮助您缩短企业业务上线周期，快速 占领市场高地。 ServiceStage提供对接GitHub源码仓库拉取源码。 在本实践中，用户可以基于源码的方式在ServiceStage上创建一个构建任务拉取 GitHub上的weathermap源码，编译打包成镜像后归档到镜像仓库中。 在构建之前，您需要： 1. 登录GitHub并fork weathermap源码。 2. 创建一个组织用于归档镜像。 Fork源码 登录您的个人GitHub帐号，并fork天气预报源码。源码地址: 构建”，单击“基于源码构建”。 2、在新页面填写参数。 1. “名称”：设置为“weathermap”。 2. “企业项目”：使用默认。 3. “代码源来源”：选择“GitHub”。 4. “授权信息”：设置授权信息。 5. “用户名/组织”：选择您的GitHub帐号。 6. “仓库名称”：选择“weathermap”。 7. “分支”：选择“master”。 8. “构建集群”：选择资源准备创建的CCE集群用于构建。 3、发的单击“下一步”，构建模板选择“自定义”。 4、单击“高级配置”，并在环境设置页面进行以下设置。 1. 在“编译”栏中，单击“添加插件”，选择“命令行构建”，“语言” 选择“Java”，版本选择“Java8” 2. 在“编译”栏中，单击“添加插件”，选择“Docker”，分别添加四条构建任务，关键参数设置如下： Dockerfile路径 镜像名称 :: ./weather/ weather ./weatherbeta/ weatherbeta ./forecast/ forecast ./fusionweather/ fusionweather 3. 在“归档”栏中，单击“添加插件”，选择“归档至SWR镜像仓库”，“归档镜像”选择构建任务中的镜像名称，“仓库组织”选择创建组织创建的组织名称。 其他参数无需修改。该任务成功后，镜像包会自动归档到镜像仓库，供后续步骤使用。 5、单击“构建”，启动构建任务。

本文介绍ECI实例如何设置容器生命周期回调。 ECI实例支持为容器配置生命周期回调，主要包括容器类应用的生命周期事件应采取的动作，分为以下两类： 启动后处理（PostStart）：在容器被创建之后，此回调会被调用。但是不能保证回调会在容器入口点（ENTRYPOINT）之前执行。 停止前处理（PreStop）：在容器被终止之前，此回调会被调用。 如果容器已经处于Terminated或者Finished状态，则对 preStop 回调的调用将失败。在用来停止容器的 TERM 信号被发出之前，回调必须执行结束。容器组的终止宽限周期在 PreStop 回调被执行之前即开始计数， 所以无论回调函数的执行结果如何，容器最终都会在终止宽限期内被终止。 配置说明 1.在弹性容器实例控制台左侧导航栏中选择“容器组”，进入容器组列表页。 2.点击“创建弹性容器组”，进入弹性容器实例订购页。 3.在容器设置的高级设置中设置生命周期回调。其中包括“启动后处理”和“停止前处理”回调，设定当容器被创建后将执行的命令，以及容器被终止之前将执行的命令。

2.1.3 打开终端 打开后，进入vscode界面，左侧文件管理器中显示了当前集群的共享存储空间/work/home，用户可在此创建文件夹，确保所有节点对文件的访问。用户还可以在终端中进入共享存储目录，执行命令行操作。 2.1.4 镜像制作 若您使用天翼云算法团队推荐的qwen25vl镜像，则无论是单机训练还是多机训练，您均可跳过镜像制作步骤；若您想自行体验制作镜像，或是发现推荐的镜像内的cann版本与您当前驱动版本不匹配，则您可以在选择使用基础镜像作为开发机，然后重新在开发机内安装软件依赖以及cann包，最后将开发机中的运行环境保存为镜像。通过保存镜像，您不仅能够在日后快速复用该开发环境，还可以将其应用到多节点训练任务中，确保训练环境的一致性与稳定性。这种方式能够避免因环境差异导致的问题，实现从单机开发到多机分布式训练的无缝衔接。同时，镜像化管理还能在团队协作中发挥重要作用，便于其他成员直接使用统一环境，提升整体研发效率。 填写镜像名称与版本号后，点击“确定”按钮。 在左侧“我的镜像”选项卡中可查看镜像制作进度。 镜像制作完成后，下次创建开发机或训练任务时即可选择该自定义镜像。

本文主要介绍 扩容“正在使用”状态的磁盘容量 操作场景 本章节指导用户通过管理控制台扩容状态为“正在使用”的磁盘，该状态表示当前需要扩容的磁盘已经挂载给云主机，并且扩容时不需要卸载。 约束与限制 当前EVS扩容功能支持扩大磁盘容量，不支持缩小磁盘容量。 系统盘支持的最大容量为1 TB，数据盘支持的最大容量为32 TB，最小扩容步长均为 1GB。 对状态为“正在使用”的磁盘进行扩容时，磁盘所挂载的云主机状态必须为“运行中”或者“关机”才支持扩容。 状态为“正在使用”的共享磁盘不支持扩容，扩容前需要先将共享磁盘从所挂载的云主机卸载，待状态变为“可用”后执行扩容操作，扩容方法请参见扩容“可用”状态的磁盘容量。 扩容状态为“正在使用”的磁盘时，对磁盘所挂载的云主机操作系统有要求。若云主机操作系统不满足要求，则需要先卸载磁盘再执行扩容操作，否则扩容后可能需要将云主机关机再开机，磁盘容量才会变大。 请按照如下指导，确认您的云主机操作系统是否满足要求： a.公共镜像支持“正在使用”状态磁盘扩容，和公共镜像相同的私有镜像也支持。 镜像查看方法：登录管理控制台，选择“镜像服务 > 公共镜像”，查看“镜像类型”为“ECS镜像”的公共镜像。 b.如果无法在公共镜像列表中找到您的云主机操作系统，则请查看下表。 如果下表中列出了您的云主机操作系统，则同样支持“正在使用”状态磁盘扩容。否则，请卸载后再扩容，方法请参见扩容“可用”状态的磁盘容量。 表 支持“正在使用”状态磁盘扩容的操作系统列表 操作系统 版本 CentOS 8 8.0 64bit及以上 CentOS 7 7.2 64bit及以上 CentOS 6 6.5 64bit及以上 Debian 8.5.0 64bit及以上 Fedora 24 64 bit及以上 SUSE 12 SUSE Linux Enterprise Server 12 64bit及以上 SUSE 11 SUSE Linux Enterprise Server 11 SP4 64bit OpenSUSE 42.1 64bit及以上 Oracle Linux Server release 7 7.2 64bit及以上 Oracle Linux Server release 6 6.7 64bit及以上 Ubuntu Server 14.04 64bit及以上 Windows 2016 Windows Server 2016 R2 Enterprise 64bit Windows 2012 Windows Server 2012 R2 Standard 64bit Windows 2008 Windows Server 2008 R2 Enterprise 64bit Redhat Linux Enterprise 7 7.3 64bit Redhat Linux Enterprise 6 6.8 64bit EulerOS 2.2 64bit及以上

容器IP地址管理 云原生网络2.0下的BMS节点和ECS节点分别使用的是弹性网卡和辅助弹性网卡： Pod的IP地址从配置给容器网络的VPC子网上直接分配，无需为节点分配一个单独的小网段。 ECS节点添加到集群中，先绑定用于承载辅助弹性网卡的弹性网卡，待弹性网卡绑定完成后，即可绑定辅助弹性网卡。 ECS节点上绑定的弹性网卡数： 该节点最多可绑定的辅助弹性网卡数/64 ，向上取整。 ECS节点上绑定的总网卡数： 用于承载辅助弹性网卡的弹性网卡数+当前Pod使用的辅助弹性网卡数+预热的辅助弹性网卡数 。 BMS节点上绑定的网卡数： 当前Pod使用的弹性网卡数+预热的弹性网卡数 。 Pod创建时，优先从节点的预热网卡池中随机分配一个可用的网卡。 Pod删除时，网卡释放回节点的预热网卡池。 节点删除时，将释放节点上所有已绑定的网卡（弹性网卡释放回集群预申请的网卡池，辅助弹性网卡直接删除）。 云原生2.0网络目前支持两种网卡预热策略：节点容器网卡动态预热策略 和 节点绑定容器网卡数总量高低水位策略（废弃中） 。使用场景如下表所示： 表 容器网卡预热策略对比表 容器网卡预热策略 节点容器网卡动态预热策略（默认策略） 节点绑定容器网卡数总量高低水位策略（废弃中） 管理策略 节点最少绑定容器网卡数（nicminimumtarget）：保障节点最少有多少张容器网卡绑定在节点上（未被Pod使用+已被Pod使用） 节点预热容器网卡上限检查值（nicmaximumtarget）：当节点绑定的容器网卡数超过该值，不再主动预热容器网卡 节点动态预热容器网卡数：当Pod使用完节点最少绑定容器网卡数（nicminimumtarget）后，会始终额外预热多少张容器网卡 节点预热容器网卡回收阈值(nicmaxabovewarmtarget)：只有当 节点上空闲的容器网卡数 节点动态预热容器网卡数(nicwarmtarget) 大于此阈值时，才会触发预热容器网卡的解绑回收 节点绑定容器网卡数低水位：保障节点至少会绑定多少张网卡（未被Pod使用+已被Pod使用） 节点绑定容器网卡数高水位：保障节点至多会绑定多少张网卡，超过该值会尝试解绑未被使用的空闲网卡 适用场景 在尽可能提高IP资源利用率的前提下，尽可能加快Pod的启动速度，适用于容器网段IP地址数紧张的场景 通过合理配置上述四个参数，可适用于各种业务场景。 适用于容器网段IP地址数充足，且节点上Pod数变化剧烈，但固定在某个范围的场景 说明 1.19.16r2、1.21.5r0、1.23.3r0到1.19.16r4、1.21.7r0、1.23.5r0之间的集群版本只支持nicminimumtarget和nicwarmtarget两个容器网卡动态预热参数配置，绑定网卡数总量高低水位配置优先级高于容器网卡动态预热配置。 1.19.16r4、1.21.7r0、1.23.5r0、1.25.1r0及以上集群版本支持全部四个容器网卡动态预热参数配置，容器网卡动态预热配置优先级高于绑定网卡数总量高低水位配置。 图节点容器网卡动态预热策略 针对节点容器网卡动态预热策略，CCE提供了四个参数配置，您可以根据业务规划，集群规模以及节点上可绑定的网卡数，合理设置这四个参数。 表容器网卡动态预热参数 容器网卡动态预热参数 默认值 参数说明 配置建议 节点最少绑定容器网卡数(nicminimumtarget) 10 保障节点最少有多少张容器网卡绑定在节点上，支持数值跟百分比两种配置方式。 数值配置：参数值需为正整数。例如10，表示节点最少有10张容器网卡绑定在节点上。当超过节点的容器网卡配额时，后台取值为节点的容器网卡配额。 百分比配置：参数值范围为1%100%。例如10%，如果节点容器网卡配额128，表示节点最少有12张（向下取整）容器网卡绑定在节点上。建议nicminimumtarget与nicmaximumtarget为同类型的配置方式（同采用数值配置或同采用百分比配置）。 建议配置为大部分节点平时日常运行的Pod数。 节点预热容器网卡上限检查值(nicmaximumtarget) 0 当节点绑定的容器网卡数超过节点预热容器网卡上限检查值(nicmaximumtarget)，不再主动预热容器网卡。 当该参数大于等于节点最少绑定容器网卡数(nicminimumtarget)时，则开启预热容器网卡上限值检查；反之，则关闭预热容器网卡上限值检查。支持数值跟百分比两种配置方式。 数值配置：参数值需为正整数。例如0，表示关闭预热容器网卡上限值检查。当超过节点的容器网卡配额时，后台取值为节点的容器网卡配额。 百分比配置：参数值范围为1%100%。例如50%，如果节点容器网卡配额128，表示节点预热容器网卡上限检查值64（向下取整）。 建议nicminimumtarget与nicmaximumtarget为同类型的配置方式（同采用数值配置或同采用百分比配置）。 建议配置为大部分节点平时最多运行的Pod数。 节点动态预热容器网卡数(nicwarmtarget) 2 当Pod使用完节点最少绑定容器网卡数(nicminimumtarget)后，会始终额外预热多少张容器网卡，只支持数值配置。 当节点动态预热容器网卡数(nicwarmtarget) + 节点当前绑定的容器网卡数 大于 节点预热容器网卡上限检查值(nicmaximumtarget) 时，只会预热nicmaximumtarget与节点当前绑定的容器网卡数的差值。 建议配置为大部分节点日常10s内会瞬时弹性扩容的Pod数。 节点预热容器网卡回收阈值(nicmaxabovewarmtarget) 2 只有当节点上空闲的容器网卡数 节点动态预热容器网卡数(nicwarmtarget) 大于此阈值 时，才会触发预热容器网卡的解绑回收。只支持数值配置。 调大此值会减慢空闲容器网卡的回收，加快Pod的启动速度，但会降低IP地址的利用率，特别是在IP地址紧张的场景，请谨慎调大 。 调小此值会加快空闲容器网卡的回收，提高IP地址的利用率，但在瞬时大量Pod激增的场景，部分Pod启动会稍微变慢。 建议配置为大部分节点日常在分钟级时间范围内会频繁弹性扩容缩容的Pod数 大部分节点日常10s内会瞬时弹性扩容的Pod数。 说明 上述容器网卡动态预热参数支持集群级别的全局配置和节点池级别的差异化配置，其中节点池级别的容器网卡动态预热配置优先级高于集群级别的容器网卡动态预热配置。 容器网络组件会为每个节点维护一个可弹性伸缩的预热容器网卡池，定时（约10s一次）检测并计算需要绑定的预热容器网卡数 或需要解绑的空闲容器网卡数 : 需要绑定的预热容器网卡数 min(nicmaximumtarget 当前绑定的容器网卡总数，max(nicminimumtarget 当前绑定的容器网卡总数，nicwarmtarget 当前空闲的容器网卡数)) 需要解绑的空闲容器网卡数 min(当前空闲的容器网卡数 nicwarmtarget nicmaxabovewarmtarget，当前绑定的容器网卡总数 nicminimumtarget) 节点上当前预热的容器网卡数稳态后会维持在以下区间内： 当前预热的容器网卡数区间最小值 min(max(nicminimumtarget 当前绑定的容器网卡总数，nicwarmtarget), nicmaximumtarget 当前绑定的容器网卡总数) 当前预热的容器网卡数区间最大值 max(nicwarmtarget+ nicmaxabovewarmtarget, 当前绑定的容器网卡总数 nicminimumtarget) Pod创建时，优先从节点的预热容器网卡池中顺序分配（最早未被使用的）一张空闲的容器网卡，如没有可用的空闲网卡，会新创建一张网卡（辅助弹性网卡）或 新绑定一张网卡（弹性网卡）以分配给该Pod。 Pod删除时，对应的容器网卡先释放回节点的预热容器网卡池，2分钟冷却时间内可供下一个Pod循环使用，超过2分钟冷却时间后且节点预热容器网卡池计算出需要释放该容器网卡，才会释放该容器网卡。 图节点绑定容器网卡数总量高低水位策略 针对总量高低水位算法，CCE提供了一个配置参数，您可以根据业务规划，集群规模以及节点上可绑定的网卡数，合理设置这个参数： 节点绑定容器网卡数低水位：默认为0，保障节点至少会绑定多少张网卡（未被Pod使用+已被Pod使用）。ECS节点预绑定低水位网卡数节点绑定网卡数低水位节点总辅助弹性网卡数；BMS节点预绑定低水位网卡数节点绑定网卡数低水位节点总弹性网卡数。 节点绑定容器网卡数高水位：默认为0，保障节点至多会绑定多少张网卡，超过该值会尝试解绑未被使用的空闲网卡。ECS节点预绑定高水位网卡数节点绑定网卡数高水位节点总辅助弹性网卡数；BMS节点预绑定高水位网卡数节点绑定网卡数高水位节点总弹性网卡数。 容器网络组件会为每个节点维护一个可弹性伸缩的容器网卡池： 当已绑定容器网卡数量（Pod使用的容器网卡数+预绑定的容器网卡数） 预绑定高水位容器网卡数 ，且 节点预绑定的容器网卡数>0 时，会定时释放预绑定的容器网卡（超过2分钟未被使用的空闲网卡），直到 Pod使用的容器网卡数+预绑定的容器网卡数节点预绑定高水位容器网卡数 或Pod使用的容器网卡数 > 节点预绑定高水位容器网卡数 且 节点预绑定的容器网卡数0。

标签名 标签值 MSEAPPNAME 接入到微服务治理中心的应用名。 MSENAMESPACE（选填） 接入到微服务治理中心的命名空间，默认为：default。如需环境规划可在微服务治理中心控制台>应用治理>应用接入>云容器引擎>环境规划页面获取。 MSGCPROJECT（选填） 接入到微服务治理中心的项目，默认为：default。如需环境规划可在微服务治理中心控制台>应用治理>应用接入>云容器引擎>环境规划页面获取。 MSGCGROUP（选填） 接入到微服务治理中心的分组，默认为：default。如需环境规划可在微服务治理中心控制台>应用治理>应用接入>云容器引擎>环境规划页面获取。

本章节详细说明了云服务备份通用的约束限制，以及不同的备份功能场景下的约束限制，在使用云服务备份CBR之前，建议您了解。 公共 一个存储库只可以绑定一个备份策略。 最多只能创建32个备份策略。 一个存储库最多可以绑定256个资源。 只有“可用”或“锁定”状态的存储库中的备份可以进行数据恢复。 “正在删除”状态的存储库中的备份不能执行删除操作。 使用SDRS部署容灾的云服务器，在开启容灾保护后，容灾站点的云服务器/云硬盘不支持恢复；停止容灾保护后，才能执行恢复操作。 不支持将备份下载至本地或上传至对象存储服务OBS中。 存储库和备份的云主机或磁盘需在同一区域。 暂不支持批量恢复数据操作。 若存储库超出容量后开启自动扩容，自动扩容不生效。 暂不支持oracle rac备份。 云硬盘备份 云硬盘处于“可用”或“正在使用”状态才可进行备份。 云硬盘备份不支持复制至其他区域。 创建的云硬盘容量不能小于备份数据所属原云硬盘容量。 处于“保留期”且为冻结状态的云硬盘不支持备份。 不支持备份和恢复本地盘。 云主机备份 支持备份服务器中的共享云硬盘，且支持备份最多挂载10个共享盘的云主机。 只有“可用”或“锁定”状态的存储库中的云主机备份可以才能创建镜像。 处于“保留期”且为冻结状态的云主机不支持备份。 支持服务器下多个云硬盘数据的崩溃一致性备份和数据库备份。 支持选择服务器中的部分云硬盘进行备份，但必须将备份的云硬盘作为整体进行恢复，且不支持文件或者目录级别的恢复。 如果云主机备份存储库绑定的资源已经超过配额限制，则无法进行备份创建镜像操作。 仅支持使用弹性云主机的备份创建镜像，不支持使用物理机的备份创建镜像，若物理机系统盘、数据盘均为云硬盘则可以备份创建镜像。 不建议对容量超过4TB的云主机进行备份。 使用SDRS部署容灾的云主机，在开启容灾保护后，容灾站点的云主机/云硬盘不支持恢复；停止容灾保护后，才能执行恢复操作。

本文介绍如何查看容器详情，及容器详情页面的详细说明信息。 进入容器详情页面 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“容器安全 > 实时检测”，进入容器实时检测页面。 3. 单击容器列表中的容器名称，可以查看容器的基本信息、进程、端口、数据挂载、软件、配置等信息。 查看容器基本信息 容器信息页面展示了容器的基本信息、运行情况、安全状态等信息。 查看容器审计 容器审计页面统计展示了正常事件和异常事件的数量随时间变化的折线图。 查看容器进程信息 进程信息页面展示了容器内的进程名称、父进程ID、进程ID、启动用户、运行时间、更新时间等信息。 查看容器端口信息 端口页面展示了容器的端口信息，包括容器端口、进程、节点端口、IPv4、IPv6、绑定IP、协议信息。 查看数据挂载 数据挂载页面展示了容器的数据挂载信息，包括数据卷名、源路径、目标路径、数据挂载方式、数据加载方式。

弹性云主机(CTECS,Elastic Cloud Server)是一种可随时获取、弹性可扩展的计算服务。云主机由 CPU、内存、镜像、云硬盘组成,同时结合VPC、安全组、数据多副本保存等能力,打造一个既高效又可靠安全的计算环境,确保服务持久稳定运行。