日志采集器在机器上的安装位置？ 云主机：登录云主机执行以下命令，在进程信息中可查看采集器安装路径。 systemctl status lmtagent 云容器引擎：执行以下命令，在进程信息中可查看采集器安装路径。 ps efgrep lmtagent 如何在容器集群中部署日志采集插件？ 需要再容器集群中安装ctglogoperator插件，安装步骤详情请查看云容器引擎用户指南插件市场。 使用采集器过程中，CPU占用较高怎么处理？ 若在使用采集器过程中，服务器的CPU占用较高，请确认您在云日志服务控制台中配置的日志采集路径下是否有大量的日志文件，若存在大量文件，建议定时清理，以减少采集器在收集日志过程中带来的系统资源占用。 针对云容器引擎场景，如果要采集的日志量很大或者有突发流量，v2.0.0及以下版本，会有资源超限保护策略，会触发采集pod重启，如果采集日志量超过2M/s，强烈建议调整默认资源限制到2C2G或者更高，调整入口：云容器引擎控制台 【选择对应集群】 插件 插件实例 找到 ctglogoperator，点击右侧更新，修改如下配置部分后，点击确定保存即可。 将以下配置部分： resources: limit: cpu: "1000m" memory: "1024Mi" request: cpu: "10m" memory: "200Mi" selfMonitor: cpuUsageLimit: 10 memUsageLimit: 1000 修改为： 改成 resources: limit: cpu: "2000m" memory: "2048Mi" request: cpu: "10m" memory: "200Mi" selfMonitor: cpuUsageLimit: 10 memUsageLimit: 2000

本小节介绍企业主机安全的计费模式。 计费模式概述 主机安全服务提供包年/包月、按需计费两种计费模式，以满足不同场景下的用户需求。 包年/包月：一种预付费模式，即先付费再使用，按照订单的购买周期进行结算。购买周期越长，享受的折扣越大。 按需计费：一种后付费模式，即先使用再付费，按照主机安全服务实际使用时长计费，秒级计费，按小时结算。按需计费模式允许您根据实际业务需求灵活地调整资源使用，无需提前预置资源，从而降低预置过多或不足的风险。 计费模式 包年/包月 按需计费 ::: 付费方式 预付费按照订单的购买周期结算。 后付费按照主机安全服务实际使用时长计费。 计费周期 按订单的购买周期计费。 秒级计费，按小时结算。 适用计费项 配额版本：基础版、专业版、企业版、旗舰版、网页防篡改版和容器版。 配额版本：企业版、容器版。 关闭防护计费 按订单的购买周期计费。主机、容器关闭防护对包年/包月计费无影响。 关闭防护后不计费。 升级规格 基础版、专业版、企业版支持升级规格。 不支持升级规格。 适用场景 适用于可预估资源使用周期的场景，价格比按需计费模式更优惠。对于长期使用者，推荐该方式。 适用于主机、容器防护需求波动的场景，可以随时开通，随时删除。

本节介绍该产品服务协议。 产品服务协议，详情参见天翼云云容器引擎服务协议。

本章节介绍云容器ETCD节点宕机故障演练。 背景介绍 云容器引擎（CCE）中，Etcd 节点是集群的分布式数据存储核心。硬件故障、系统内核异常、软件组件崩溃、网络中断及数据同步异常等因素，均可能导致 Etcd 节点故障。Etcd 节点故障会造成集群配置读写失败、状态同步异常，进而导致 Master 节点管控功能受限，Pod 调度、扩缩容等操作失效，影响上层业务稳定性，本演练可测试系统应对 Etcd 节点故障的恢复能力。 基本原理 通过停止Etcd 节点上的服务，模拟Etcd 节点故障。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎实例。 添加故障动作 ：单击立即添加 ，在列表中选择Etcd节点故障动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 故障节点：故障动作的目标节点。

2.1 服务配置 2.1.1 核心参数设置 根据具体使用的模型，修改node.sh 中的内容： plaintext export MODELDIR/mnt/nvme1n1/model/DeepSeekR1DistillLlama70B export MINDIEIMGmindie2.0.T6.B023800IA2py3.11openeuler24.03ltsaarch64.sif 其中: MODELDIR 为模型本地盘中的具体路径 MINDIEIMG为使用的mindie容器 设定服务启动主节点，修改config.json的内容： plaintext ... "ServerConfig" : { "ipAddress" : "192.168.0.3", "managementIpAddress" : "192.168.0.3", ... 将这里192.168.0.3 改为本机IP地址。 2.2 DeepSeek服务启动 仅需如下3条命令，即可启动服务（根据模型大小，启动服务需等待530分钟不等） plaintext cd /mnt/nvme0n1/deepseek sh run.sh INFO: instance started successfully 查看logds目录下的out文件，当出现如下信息时，表示服务启动成功： plaintext tail f logds/webui20250320160926.out Daemon start success! 2.3 查看DeepSeek状态 查看容器实例作业运行信息命令 plaintext apptainer instance list 2.4 DeepSeek服务停止 停止DeepSeek服务命令 plaintext apptainer instance stop appmindie 三、运维验证 plaintext 检查项 验证命令 预期结果 NPU设备状态 watch n 1 npusmi info 显示所有NPU状态为OK 容器运行状态 apptainer instance list appmindie状态为running 服务端口监听 netstat tunlpgrep xxx xxx端口处于LISTEN状态

可信云服务可以通过IAM委托的方式访问其他云服务的资源。可信实体为天翼云服务的IAM委托，包括普通云服务委托和云服务关联委托。本文介绍函数计算的服务内联委托。 什么是服务内联委托 在某些场景下，函数计算为了完成自身的某个功能，需要获取其他云服务的访问权限，因此，函数计算创建了与云服务内联委托，即服务内联委托CtyunServiceDelegateRoleForFC。函数计算支持CtyunServiceDelegateRoleForFC和FaaS函数的绑定，实现最小授权范围内授予函数访问其他云服务的权限。 使用函数计算时，系统提供的服务内联委托及其包含的系统权限策略如下： 服务内联委托：CtyunServiceDelegateRoleForFC 系统权限策略：CtyunServiceInlineDelegateRolePolicyForFC CtyunServiceDelegateRoleForFC 服务内联委托CtyunServiceDelegateRoleForFC可以获取访函数列表、函数详情、创建函数、删除函数、更新函数以及调用函数的权限。 服务内联委托CtyunServiceDelegateRoleForFC被授予权限策略CtyunServiceInlineDelegateRolePolicyForFC，该权限策略的内容如下。 json { "Version": "1", "Statement": [ { "Action": [ "cf:inst:CreateFunction", "cf:inst:UpdateFunction", "cf:inst:ListFunction", "cf:inst:GetFunction", "cf:inst:InvokeFunction", "cf:inst:DeleteFunction" ], "Resource": "", "Effect": "Allow" } ] } 以下是使用函数计算时，需要创建和使用服务内联委托的场景： 为函数计算配置专有网络VPC、交换机或弹性网卡等，提升数据安全性，实现VPC内的网络互通。 访问容器镜像仓库拉取镜像创建容器镜像函数，能够利用容器镜像资源灵活部署函数。 配置消息队列或事件总线等消息服务的访问权限，使用函数计算监听消息源的事件。当有新的消息或事件产生时，可以直接触发函数执行，实现事件驱动的计算模型。 配置日志服务相关权限，允许自动收集函数执行日志，便于日志的搜索、分析和可视化展示，帮助用户快速定位问题。

应用场景 Calico IPIP隧道容器网络适用如下场景： 1. 性能要求不高：由于引入了额外的IPIP隧道封包解包，相对于cubecni容器网络存在大约5%15%性能损失，适用于对性能要求不是特别高的业务场景，例如访问量不大的管理后台服务等； 2. 大规模组网：由于构建的覆盖（overlay）容器网络不占用任何VPC资源，所以在容器网络层面，集群节点数不受VPC资源限制；BGP Peer默认使用全互联模式，为减少节点数上升对BGP连接数的指数级消耗，当节点数大于100时，可使用路由反射模式，引入中心化的路由反射节点，将BGP连接数增长降为O(N)增长，最大可支持1000节点规模。 容器IP地址段分配 订购使用Calico容器网络插件的集群时，由于pod网段限制了节点和pod规模，建议选择使用一个大网段。如下所示，把172.16.0.0/12作为Pod网段： 集群创建时，云容器引擎使用该网段作为Calico的私有IP地址池，如下所示： 节点网段由kubecontrollermanager分配，默认每个节点会分配到一个掩码为24的地址段，可分配网段数直接决定集群节点规模上限，例如pod网段为172.16.0.0/18，则支持添加256个节点。若不考虑其它资源限制，单个节点理论上最多可创建256个Pod。 可以通过以下方式查看节点分配的pod网段： [root@CCSEAGENTvmAggbkVfL paasdp]

本文主要介绍环境 测试资源组的说明与使用约束 测试资源组包含共享资源组和私有资源组两种类型，共享资源组为系统默认提供，私有资源组需要自行创建。 共享资源组的执行节点已绑定弹性IP，当被测应用有网络访问限制时，建议创建私有资源组。 当并发大于10000或者40000QPS或者总带宽大于100Mb时，建议创建私有资源组。 JMeter测试任务只可以使用私有资源组。 创建私有资源组 1、登录性能测试控制台，在左侧导航栏中选择“测试资源”，单击“云容器CCE资源准备”。 2、（可选）首次使用时，请根据提示信息，授权性能测试创建私有资源组。 3、进入创建资源组页面后，如果是首次使用没有云容器引擎服务CCE集群，需要先执行步骤4创建集群然后再创建资源组。如果已有可用的云容器引擎服务CCE集群，直接执行步骤5创建资源组。 4、创建集群（使用IPv4场景）。 单击页面上方的“创建集群”，进入购买CCE集群页面。 说明 集群管理规模选择与执行节点个数相关，例如，需要20个执行节点，那么集群调试节点规模选择50节点即可满足业务需求。 CCE集群的网络模型建议选择“容器隧道网络”，容器网段和服务网段需要与被测对象保持一致。 单击“下一步：创建节点”，设置节点参数。 说明 节点规格至少为vCPU为4核，内存8GB。 操作系统需选择欧拉EulerOS。 创建的节点数量至少需要2台（1台调试节点、1台执行节点），具体数量由压测对象要求规格决定。例如，压测10万并发用户数，vCPU为4核，内存8GB的资源需要21个执行节点（1个调试节点，20个执行节点）。 当CCE集群节点与被测应用不在同一VPC网络时，建议CCE集群节点绑定弹性IP。可使用已有的弹性IP，如果没有弹性IP也可以选择自动创建，选中后将根据您的配置创建弹性IP，并自动为每个节点进行分配。当创建的弹性IP数量小于节点个数时，会将弹性IP随机绑定到节点上。 单击“下一步：安装插件”，默认选择即可。 单击“下一步：配置确认”，请检查配置，检查无误后，勾选“我已知晓上述限制”，单击“提交”等待集群创建，集群创建预计需要610分钟。创建成功后，返回性能测试控制台。 5、创建集群（使用IPv6场景）。 单击页面上方的“创建集群”，进入购买CCE集群页面。创建集群操作请参考“帮助中心 > 云容器引擎> 用户指南 > 集群管理 > 购买集群”，设置集群参数。 说明 集群管理规模选择与执行节点个数相关，请根据需要压测的并发用户数，创建对应规格的节点。例如，需要20个执行节点，那么创建集群时集群规模选择50节点即可满足业务需求。 CCE集群的网络模型建议选择“容器隧道网络”，容器网段和服务网段需要与被测对象保持一致。 如果使用IPv6功能，创建虚拟私有云时，默认子网需勾选“开启IPv6”。虚拟私有云开启IPv6功能后，将自动为子网分配IPv6网段，暂不支持自定义设置IPv6网段。该功能一旦开启，将不能关闭。 单击“下一步：创建节点”，选择“稍后添加”。 说明 使用IPv6功能时，不能在云容器引擎服务里直接创建节点，需要在弹性云主机服务里创建支持IPv6的节点后，再到云容器引擎服务里纳管节点。 单击“下一步：安装插件”，默认选择即可。 单击“下一步：配置确认”，请检查配置，检查无误后，勾选“我已知晓上述限制”，单击“提交”等待集群创建，集群创建预计需要610分钟。 6、创建节点（使用IPv6场景）。 单击页面左上角服务列表，搜索并进入“弹性云主机”页面，单击“创建弹性云主机”创建支持IPv6的节点，支持IPv6的节点规格请咨询弹性云主机服务技术支持，节点规格选择示例如下图。创建弹性云主机参数配置请参考“帮助中心 > 弹性云主机 > 快速入门 > 创建弹性云主机”。 说明 节点规格至少为vCPU为4核，内存8GB。 创建的节点数量至少需要2台（1台调试节点、1台执行节点），具体数量由压测对象要求规格决定。例如，压测10万并发用户数，vCPU为4核，内存8GB的资源需要21个执行节点（1个调试节点，20个执行节点）。 当CCE集群节点与被测应用不在同一VPC网络时，建议CCE集群节点绑定弹性IP。可使用已有的弹性IP，如果没有弹性IP也可以选择自动创建。自动创建弹性IP时，带宽设置尽可能选择较大值，否则可能影响压测效果。系统根据您的配置创建弹性IP，并自动为每个节点进行分配。当创建的弹性IP数量小于节点个数时，会将弹性IP随机绑定到节点上。 网络配置需选择“自动分配IPv6地址”。 节点创建成功后，单击页面左上角服务列表，搜索并进入“云容器引擎”页面，选择“资源管理 > 节点管理”，单击“纳管节点”，纳管已创建成功的节点。完成纳管节点后，返回性能测试服务控制台。 7、创建资源组。 在左侧导航栏中选择“测试资源”，单击“云容器CCE资源准备”。 参照下表设置基本信息。 创建私有资源组 参数 参数说明 资源组名称 新建私有资源组的名称，例如：Webtestdemo。 节点集群 在下拉框选择已创建的CCE集群。 调试节点 执行压测的调试机。调试节点在资源组创建成功后不可修改。 执行节点 执行压测的执行机，即在压测过程中能够提供自身性能数据的施压目标机器。 单击“创建”。

参数 示例值 描述 ccse.ctyun.cn/eniinstanceid portxxx ECI容器实例的网卡ID k8s.ctyun.cn/eciinstanceid ecixxxxx ECI容器实例的ID k8s.ctyun.cn/eciinstancecpu "1.0" ECI容器实例CPU大小 k8s.ctyun.cn/eciinstancemem "1.0" ECI容器实例Memory大小 k8s.ctyun.cn/eciinstancezone cnxxxxxxxxpublicctcloud ECI容器实例所在可用区名称 k8s.ctyun.cn/ecivpc vpcxxxxxx ECI容器实例所属VpcId k8s.ctyun.cn/ecisubnet subnetxxxxxx ECI容器实例所属子网ID k8s.ctyun.cn/ecisecuritygroup sgxxxxxx ECI容器实例所在的安全组ID k8s.ctyun.cn/ecirequestid 80e90ccca5b54034acae7c0c8eeb376f 请求ID k8s.ctyun.cn/k8sversion v1.25.6 集群版本 k8s.ctyun.cn/clusterdns 10.96.0.10 集群DNS服务器的IP地址 k8s.ctyun.cn/clusterdomain cluster.local 集群本地域名 k8s.ctyun.cn/vkversion v1.2.020240829 cubevk版本

当前开通应用服务网格CSM需要您先开通云容器引擎实例，开通服务网格时需要您先选择已经开通的云容器引擎集群，用于部署服务网格控制面。应用服务网格CSM架构图如下： 当前应用服务网格CSM支持多集群模式，主集群（Primary）用于部署网格控制面，通过ELB向其他从集群（Remote）暴露控制面服务（包括xDS、webhook等接口）。

本节介绍了用户指南： 对象存储概述。 云容器引擎支持使用天翼云对象存储作为存储卷。当前cstorcsi插件支持使用对象存储动态存储卷和静态存储卷，通过将对象存储挂载到容器指定目录下，以实现数据持久化需求。 天翼云对象存储为客户提供海量、弹性、高可靠、高性价比的存储产品，是专门针对云计算、大数据和非结构化数据的海量存储形态，通过S3协议和标准的服务接口，提供非结构化数据（图片、音视频、文本等格式文件）的无限存储服务。 使用限制 服务开通 使用前请在云容器引擎集群所在资源池，相应开通对象存储服务，参照指引：点这里 开通地域选择参见：点这里 存储类型 当前cstorcsi仅支持标准、低频两种存储类型 数据加密 暂不支持加密 其他 对象存储产品本身使用限制参见：点这里 产品规格 cstorcsi支持标准存储、低频存储 两种存储类型，这些存储类型具有不同的特点和适用场景，详见：对象存储性能说明 注意 当CSI版本为4.0.0及其以上版本时，删除不为空的对象存储pvc时，将保留对象存储bucket但删除对应的pvc和pv，您可以通过对象存储控制台删除对应的bucket。

注意事项 如果仅授予子账户系统策略 CRS admin ，可能存在订购企业版实例后无法支付和查询订单的情况，需要配置订单相关系统策略： mktadmin（优惠券相关权限）、bss admin（订单相关权限）、acctadmin（账单相关权限）。详情参考相关文档：子用户如何查看账单管理界面和子用户如何创建和下单一类节点资源。 系统策略说明 CRS默认设置三种系统策略，您可以直接使用系统权限策略为子账号授权，提供的三种系统策略如下： CRS admin：容器镜像服务CRS管理员权限策略，拥有CRS所有资源的读写权限。 CRS user：容器镜像服务CRS普通用户权限策略，拥有除了订单相关操作之外的所有读写权限。 CRS viewer：容器镜像服务CRS只读用户权限策略，拥有CRS所有资源的只读权限。 子账户授权系统权限 以授权子账户管理员权限策略为例说明： 1. 使用天翼云账号登入IAM控制台。 2. 在左侧导航栏，选择"用户"授权子账户。 3. 选择"操作" "查看"，进入用户界面，选择"权限管理"标签页，选择 "个人权限" "新增权限"。 4. 搜索框输入CRS，搜索CRS系统权限策略，勾选CRS admin系统策略。 5. 点击下一步，由于CRS系统权限为全局服务资源，无需设置资源池。 6. 点击确定按钮，即可完成为子账户授权。

本文介绍如何查看容器列表及列表参数说明。 在容器安全的实时监测页面，支持按“节点”和“命名空间”进行分类查看集群中的容器信息。 操作步骤 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“容器安全 > 实时检测”，进入容器实时检测页面。 3. 分类查看容器信息：选择“节点”和“命名空间”页签，可以更直观地分类查看集群中各个节点和各个命名空间上的容器信息。 4. 查看汇总统计信息：容器列表上方汇总展示了当前节点或命名空间中各类型的容器数量，包括运行中容器、特权容器、节点启动容器、有漏洞的容器和有异常行为的容器等，单击想要查看的容器类型，下方容器列表会根据单击选择的条件进行筛选。 5. 随着在左侧树形结构中的选择改动，右侧统计结果将响应式动态变化。 6. 查看容器列表：容器列表内，支持按照“容器名称”、“镜像名称”、“Pod名称”、“容器标签”、“容器IP”、“容器类型”、“运行状态”、“安全状态”等进行筛选查询。 容器列表内各参数说明如下： 参数 说明 容器名称 容器的名称。 容器类型 容器类型分为集群启动容器、节点启动容器和特权容器。 Pod名称 容器所属Pod的名称。 应用 容器所提供的应用服务，如kubernetes、apache、nginx等。 镜像名称 关联镜像是指该容器基于哪个镜像构建的。 运行状态 运行状态分为运行中、停止运行、已暂停、已删除。 安全状态 安全状分为“有异常”和“无异常”，有异常是指触发了安全策略产生告警的容器。 7. 查看图标说明：在容器列表左下角，可查看容器列表中图标的说明信息，前三个图标（节点启动容器、集群启动容器、特权容器）表示的是容器类型，其余图标表示的是容器列表中的应用。

本节介绍如何查看容器信息。 您可以在容器管理页面查看容器信息，了解容器状态、所属集群以及安全风险情况等。本章节介绍如何查看容器信息。 约束限制 仅支持对Linux镜像执行安全扫描。 仅HSS容器版支持该功能。 仅支持Docker引擎的本地镜像上报到企业主机安全控制台。 操作步骤 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在左侧导航树选择“资产管理 > 容器管理” ，进入“容器管理”页面。 说明 如果您的服务器已通过企业项目的模式进行管理，您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。 4、选择“容器”，进入容器页签。 5、查看容器信息和安全状态。 您可以在容器列表查看容器名称、状态、是否有安全风险，重启次数、所属POD、所属集群等相关信息。 查看容器详细信息。 单击目标容器名称，进入容器详情页面查看容器镜像、进程、端口、数据挂载等相关信息。 查看容器安全风险分布。 鼠标滑动至有风险的目标容器所在行的安全风险列，查看容器存在低危、中危、高危、致命风险的数量。

本小节介绍购买容器安全防护配额。 如果您想在使用镜像前就感知到镜像安全和容器运行时安全状态，您可以购买云企业主机安全提供的容器安全，检测镜像安全以及容器运行时的安全。及时感知安全威胁，保障业务安全。 购买说明 一个配额只能防护一个节点且只能在购买时选择的区域使用。 购买容器安全配额后，请到企业主机安全控制台“容器管理”页面开启容器节点防护。 前途条件 账号具备BSS Administrator、HSS Administrator权限，若没有相应权限请使用主账号购买配额或使用主账号对子账号进行授权后进行购买配额。 操作步骤 1、 登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至企业主机安全页面。 注意 切换至新版后，在总览页左上角单击“返回旧版”，可切换至企业主机安全（旧版） 4、 在左侧导航树中，选择“资产管理 > 容器管理”，进入容器管理页面。 5、 在页面右上角，单击“购买容器安全”，进入“购买主机安全配额”页面。 6、 在购买主机安全配额界面，选择“容器版”，并设置容器版配额的规格。 购买容器版 配额参数说明 参数名称 参数说明 取值样例 计费模式 仅支持包年/包月模式 包年/包月 区域 配额的“区域”建议与主机的“区域”相同。 HSS不支持跨区域使用，如果您购买了与主机不在同一区域的配额，请退订配额后重新购买主机所在区域的配额。 苏州 版本选择 仅支持企业版。若需开启按需计费，你可参照开启容器节点防护直接开启防护即可。 企业版 购买节点数 购买的容器版配额数量。 10 购买时长 根据您的需求选择时长。 为避免因服务到期未及时续费导致您的主机遭受攻击，建议勾选“自动续费”。 勾选“自动续费”后，当购买的企业主机安全到期时，如果账号余额充足，系统将自动为购买的企业主机安全续费，续费周期与购买时长保持一致。 1年 标签 标签用于标识云资源，当您拥有相同类型的许多云资源时，可以使用标签按各种维度（例如用途、所有者或环境）对云资源进行分类。如果需要该功能，您的账号需要具备TMS administrator权限，没有该权限您无法为防护配额添加标签并且界面会有“permission error”的错误提示。 cgsdata 7、 在页面右下角，单击“立即购买”，进入“订单确认”界面。 8、单击“立即支付”，进入付款页面，单击“确认付款”，完成支付，购买成功。

参数 示例值 描述 ccse.ctyun.cn/eniinstanceid portxxx ECI容器实例的网卡ID k8s.ctyun.cn/eciinstanceid ecixxxxx ECI容器实例的ID k8s.ctyun.cn/eciinstancecpu "1.0" ECI容器实例CPU大小 k8s.ctyun.cn/eciinstancemem "1.0" ECI容器实例Memory大小 k8s.ctyun.cn/eciinstancezone cnxxxxxxxxpublicctcloud ECI容器实例所在可用区名称 k8s.ctyun.cn/ecivpc vpcxxxxxx ECI容器实例所属VpcId k8s.ctyun.cn/ecisubnet subnetxxxxxx ECI容器实例所属子网ID k8s.ctyun.cn/ecisecuritygroup sgxxxxxx ECI容器实例所在的安全组ID k8s.ctyun.cn/ecirequestid 80e90ccca5b54034acae7c0c8eeb376f 请求ID k8s.ctyun.cn/k8sversion v1.25.6 集群版本 k8s.ctyun.cn/clusterdns 10.96.0.10 集群DNS服务器的IP地址 k8s.ctyun.cn/clusterdomain cluster.local 集群本地域名 k8s.ctyun.cn/vkversion v1.2.020240829 cubevk版本

参数 示例值 描述 ccse.ctyun.cn/eniinstanceid portxxx ECI容器实例的网卡ID k8s.ctyun.cn/eciinstanceid ecixxxxx ECI容器实例的ID k8s.ctyun.cn/eciinstancecpu "1.0" ECI容器实例CPU大小 k8s.ctyun.cn/eciinstancemem "1.0" ECI容器实例Memory大小 k8s.ctyun.cn/eciinstancezone cnxxxxxxxxpublicctcloud ECI容器实例所在可用区名称 k8s.ctyun.cn/ecivpc vpcxxxxxx ECI容器实例所属VpcId k8s.ctyun.cn/ecisubnet subnetxxxxxx ECI容器实例所属子网ID k8s.ctyun.cn/ecisecuritygroup sgxxxxxx ECI容器实例所在的安全组ID k8s.ctyun.cn/ecirequestid 80e90ccca5b54034acae7c0c8eeb376f 请求ID k8s.ctyun.cn/k8sversion v1.25.6 集群版本 k8s.ctyun.cn/clusterdns 10.96.0.10 集群DNS服务器的IP地址 k8s.ctyun.cn/clusterdomain cluster.local 集群本地域名 k8s.ctyun.cn/vkversion v1.2.020240829 cubevk版本

2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎Pod。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎Pod实例。 添加故障动作 ：单击立即添加 ，在列表中选择网络包损坏动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 本地端口：仅对源端口为指定端口的流量生效。例如，可设置为您对外提供服务的端口。可以指定多个，使用逗号分隔或者连接符表示范围，例如 80,80008080。 远程端口：仅对目标端口为指定端口的流量生效。例如，可设置为您的应用访问数据库的端口。可以指定多个，使用逗号分隔或者连接符表示范围，例如 80,80008080。 排除端口：排除指定端口的流量。可以指定多个，使用逗号分隔或者连接符表示范围，例如 22,8000 或者 80008010。 这个参数不能与本地端口或者远程端口参数一起使用。 目标IP： 支持通过子网掩码来指定一个网段的IP地址, 例如 192.168.1.0/24. 则 192.168.1.0~192.168.1.255 都生效。也可以指定固定的 IP，如 192.168.1.1 或者 192.168.1.1/32，还可以通过逗号分隔多个参数，例如 192.168.1.1,192.168.2.1。 网卡设备：指定在哪个网络接口上实施故障，网卡可通过ifconfig命令查询，例如 eth0。 排除IP：排除受影响的 IP，支持通过子网掩码来指定一个网段的IP地址, 例如 192.168.1.0/24. 则 192.168.1.0~192.168.1.255 都生效。也可以指定固定的 IP，如 192.168.1.1 或者 192.168.1.1/32，还可以通过逗号分隔多个参数，例如 192.168.1.1,192.168.2.1。 包损坏百分比：数据包被损坏的概率（取值 0100）。例如，设置为 10 表示每100个包中约有10个会被损坏。 容器选择模式：选择攻击pod中容器，可以“按资源定义的首个容器”，也可以“指定容器名称”，当选择指定容器名称时，需要输入容器的名称。 容器名称：填写攻击目标的容器名

本章节介绍通过调用链和日志排查异常的方法 概述 在微服务架构中，上层服务收到请求后，往往会拆分成多个子请求，最后将这些子请求的处理结果进行汇总。例如，商品服务收到请求，可能会再去访问订单服务、价格服务、营销服务，最后汇总数据返回。服务发起了哪些子请求？这些子请求的耗时如何？哪个子请求报错了？错误日志是什么？都可以通过调用链和对应的应用日志来查看。 前提条件 创建应用实例时，需添加日志收集配置，相关文档，请参见++应用运维>容器应用实例>创建制品微服务++ ++，++查看应用高级配置——日志收集管理文档。 查看慢调用信息 1.左侧导航栏，选择容器应用实例 > 应用发布 > 应用实例。 2.点击应用实例，进入到应用实例详情，点击左侧应用监控导航栏，在监控概览table页展示了总请求量、平均响应时间、错误数、异常数、慢调用等信息。 3.监控概览table页面往下翻，可以看到慢调用的详细信息，展示了时间、服务名、IP、耗时、TraceId等信息。 查看慢调用日志信息 1.左侧导航栏，选择容器应用实例 > 应用发布 > 应用实例。 2.点击应用实例，进入到应用实例详情，点击左侧应用监控导航栏，在调用链查询table页，展示了调用链列表。 3.根据慢调用TraceId查询调用链信息。 4.单击查看，在详情页面展示了对应的耗时信息。

本节介绍三方云集群迁移至天翼云CCE集群。 分布式容器云平台CCE One容器迁移功能，支持将三方云标准Kubernetes集群应用迁移到天翼云CCE集群，实现应用程序的跨云迁移和统一运维管理。迁移流程如下图所示： 前提条件 已开通天翼云分布式容器云平台CCE One及其关联产品的访问权限。 已打通三方云容器集群与天翼云资源池VPC网络，可选公网或内网方式。其中： 公网方式（推荐）：需要您三方云集群中Pod具备主动访问功能的能力，可通过给容器集群VPC配置公网NAT出口方式实现； 内网方式：需要您将三方云容器网络与天翼云云上VPC网络打通；可选云专线、SDWAN或VPN方式；另还需参考配置指引，配置正确的云间网关路由及DNS解析转发策略，以确保您三方云容器Pod中可正常访问天翼云相关服务； 适用场景 云备份容灾：备份容灾迁移一体化，快速实现应用云间迁移与数据灾备。 操作指引 本场景迁移，主要包含四个步骤： 步骤一：集群评估与纳管 在这个阶段，您将根据源集群的现状来评估适合迁移的目标集群类型。可以基于必要的开源工具自动或手工收集源集群的信息，包括Kubernetes版本、规模、工作负载、存储等数据，并根据收集到的数据考虑合适的目标集群信息。 为方便后续的数据备份与恢复，或者基于联邦的细粒度应用迁移，您需要将源集群注册到天翼云CCE One注册集群；

插件名称 插件简介 CoreDNS域名解析（系统资源插件，必装） CoreDNS插件是一款通过链式插件的方式为Kubernetes提供域名解析服务的DNS服务器。 CCE容器存储（everest，必装） Everest是一个云原生容器存储系统，基于CSI为Kubernetes v1.15.6及以上版本集群对接云存储服务的能力。 CCE节点故障检测 nodeproblemdetector（简称：npd）是一款监控集群节点异常事件的插件，以及对接第三方监控平台功能的组件。它是一个在每个节点上运行的守护程序，可从不同的守护进程中搜集节点问题并将其报告给apiserver。nodeproblemdetector可以作为DaemonSet运行，也可以独立运行。 Kubernetes Dashboard Kubernetes Dashboard是Kubernetes集群基于Web的通用UI，集合了命令行可以操作的所有命令。它允许用户管理在集群中运行应用程序并对其进行故障排除，以及管理集群本身。 CCE集群弹性引擎 集群自动扩缩容插件autoscaler，是根据pod调度状态及资源使用情况对集群的工作节点进行自动扩容缩容的插件。 metricsserver MetricsServer是集群核心资源监控数据的聚合器。 CCE容器弹性引擎 ccehpacontroller插件是一款CCE自研的插件，能够基于CPU利用率、内存利用率等指标，对无状态工作负载进行弹性扩缩容。 prometheus（停止维护） Prometheus是一套开源的系统监控报警框架。在云容器引擎CCE中，支持以插件的方式快捷安装Prometheus。 Kubernetes Web终端（停止维护） webterminal是一款支持在Web界面上使用Kubectl的插件。它支持使用WebSocket通过浏览器连接Linux，提供灵活的接口便于集成到独立系统中，可直接作为一个服务连接，通过cmdb获取信息并登录服务器。 CCE AI套件（NVIDIA GPU） gpubeta插件是支持在容器中使用GPU显卡的设备管理插件，仅支持Nvidia驱动。 Volcano调度器 Volcano提供了高性能任务调度引擎、高性能异构芯片管理、高性能任务运行管理等通用计算能力，通过接入AI、大数据、基因、渲染等诸多行业计算框架服务终端用户。 nginxingress控制器 nginxingress为Service提供了可直接被集群外部访问的虚拟主机、负载均衡、SSL代理、HTTP路由等应用层转发功能。 节点本地域名解析加速 NodeLocal DNSCache通过在集群节点上作为守护程序集运行DNS缓存代理，提高集群DNS性能。

本文 主要介绍CCE发布Kubernetes 1.9及之前版本说明。 云容器引擎（CCE）严格遵循社区一致性认证。本文介绍CCE发布Kubernetes 1.9及之前版本所做的变更说明。 表 v1.9及之前版本集群说明 Kubernetes版本（CCE增强版） 版本说明 v1.9.10r2 主要特性： ELB负载均衡支持源IP跟后端服务会话保持 v1.9.10r1 主要特性： 支持对接SFS存储 支持Service自动创建二代ELB 支持公网二代ELB透传源IP 支持设置节点最大实例数maxPods v1.9.10r0 主要特性： kubernetes对接ELB/Ingress，新增流控机制 Kubernetes同步社区1.9.10版本 支持Kubernetes RBAC能力授权 问题修复： 修复操作系统cgroup内核BUG导致概率出现的节点内存泄漏问题 v1.9.7r1 主要特性： 增强PVC和PV事件的上报机制，PVC详情页支持查看事件 支持对接第三方认证系统l 集群支持纳管EulerOS2.3的物理机 数据盘支持用户自定义分配比例 物理机场景支持对接EVS云硬盘存储 物理机场景下支持IB网卡 物理机场景支持通过CMv3接口创建节点 v1.9.7r0 主要特性： 新建集群的Docker版本升级到1706 支持DNS级联 支持插件化管理 Kubernetes同步社区1.9.7版本 支持7层ingress的https功能 有状态工作负载支持迁移调度更新升级 v1.9.2r3 主要特性： 集群支持创建/纳管CentOS7.4操作系统的节点 kubernetes的Service支持对接DNAT网关服务 NetworkPolicy能力开放 增强型ELB支持Service配置多个端口 问题修复： 修复kubernetes资源回收过程中连不上kubeapiserver导致pod残留的问题 修复节点弹性扩容数据不准确的问题 v1.9.2r2 主要特性： 经典型ELB支持自定义健康检查端口 经典型ELB性能优化 ELB四层负载均衡支持修改Service的端口 问题修复： 修复网络插件防止健康检查概率死锁问题 修复高可用集群haproxy连接数限制问题 v1.9.2r1 主要特性： Kubernetes同步社区1.9.2版本 集群节点支持CentOS 7.1操作系统 支持GPU节点，支持GPU资源限制 支持webterminal插件 v1.7.3r13 主要特性： 新建集群的Docker版本升级到1706 支持DNS级联 支持插件化管理 增强PVC和PV事件的上报机制 物理机场景支持对接OBS对象存储 v1.7.3r12 主要特性： 集群支持创建/纳管CentOS7.4操作系统的节点 kubernetes的Service支持对接DNAT网关服务 NetworkPolicy能力开放 增强型ELB支持Service配置多个端口 问题修复： 修复kubernetes资源回收过程中连不上kubeapiserver导致pod残留的问题 修复节点弹性扩容数据不准确的问题 事件老化周期提示修正：集群老化周期为1小时 v1.7.3r11 主要特性： 经典型ELB支持自定义健康检查端口 经典型ELB性能优化 ELB四层负载均衡支持修改Service的端口 支持删除命名空间 支持EVS云硬盘存储解绑 支持配置迁移策略 问题修复： 修复网络插件防止健康检查概率死锁问题 修复高可用集群haproxy连接数限制问题 v1.7.3r10 主要特性： 容器网络支持Overlay L2模式 集群节点支持GPU类型虚机 集群节点支持CentOS 7.1操作系统，支持操作系统选择 Windows集群支持对接二代ELBl 支持弹性文件服务SFS导入 物理机场景支持对接SFS文件存储、OBS对象存储 v1.7.3r9 主要特性： 工作负载支持跨AZ部署 容器存储支持OBS对象存储服务 支持ELB L7负载均衡 Windows集群支持EVS存储 物理机场景支持devicemapper directlvm模式 v1.7.3r8 主要特性： 集群支持节点弹性扩容 v1.7.3r7 主要特性： 容器隧道网络集群支持纳管SUSE 12sp2节点 docker支持directlvm模式挂载devicemapper 集群支持安装dashboard 支持创建Windows集群 v1.7.3r6 主要特性： 集群存储对接原生EVS接口 v1.7.3r5 主要特性： 支持创建HA高可靠集群 问题修复： 节点重启后容器网络不通 v1.7.3r4 主要特性： 集群性能优化 物理机场景支持对接ELB v1.7.3r3 主要特性： 容器存储支持KVM虚拟机挂载 v1.7.3r2 主要特性： 容器存储支持SFS文件存储 工作负载支持自定义应用日志 开放工作负载优雅缩容 问题修复： 修复容器存储AK/SK会过期的问题 v1.7.3r1 主要特性： kubedns支持外部域名解析 v1.7.3r0 主要特性： Kubernetes同步社区1.7.3版本 支持ELB负载均衡 容器存储支持XEN虚拟机挂载 容器存储支持EVS云硬盘存储

操作场景 CCE支持配置工作负载日志策略，便于日志的统一收集、管理和分析，以及按周期防爆处理。 云容器引擎服务对接了应用运维管理服务AOM，支持容器日志采集、查看、检索功能。使用该功能前首先要配置日志采集路径，本章节向您介绍如何采集容器内路径日志。 如果您需要通过不做任何配置的方式采集容器标准输出日志，请参见采集容器标准输出日志。 注意事项 ICAgent只采集.log、.trace和.out类型的文本日志文件。 AOM默认会采集容器标准输出日志，您不用做任何配置。 在CCE中添加日志策略 步骤 1 在CCE中创建无状态负载(Deployment)时，添加容器后，展开“容器日志”配置区域。 步骤 2 单击“添加日志策略”，设置自定义日志参数，配置日志策略，以nginx为例，不同工作负载根据实际情况配置。 步骤 3 存储类型有“主机路径”和“容器路径”两种类型可供选择： 主机路径：可将主机上的路径挂载到指定的容器路径。日志策略配置参数如下： 添加日志策略主机路径 参数 参数说明 存储类型 设置为“主机路径”。将主机上的路径挂载到指定的容器路径。 添加容器挂载 主机路径 输入主机的路径，如：/var/paas/sys/log/nginx 挂载路径 输入数据卷挂载到容器上的路径，如：/tmp 须知 请不要挂载在系统目录下，如“/ ”、“/var/run”等，会导致容器异常。建议挂载在空目录下，若目录不为空，请确保目录下无影响容器启动的文件，否则文件会被替换，导致容器启动异常，工作负载创建失败。 挂载高危目录的情况下 ，建议使用低权限帐号启动，否则可能会造成宿主机高危文件被破坏。 AOM只采集最近修改过的前20个日志文件，且默认采集两级子目录。 AOM只采集挂载路径下的“.log”、“.trace”、“.out”文本日志文件。 容器中挂载点的权限设置方法，请参见为Pod或容器配置安全性上下文。 主机扩展路径 通过实例的ID或者容器的名称扩展主机路径，实现同一个主机路径下区分来自不同容器的挂载。 会在原先的“卷目录/子目录”中增加一个三级目录。使用户更方便获取单个Pod输出的文件。 None：不配置拓展路径。 PodUID：Pod的ID。 PodName：Pod的名称。 PodUID/ContainerName：Pod的ID/容器名称。 PodName/ContainerName：Pod名称/容器名称。 采集路径 设置采集路径可以更精确的指定采集内容，当前支持以下设置方式： 不设置则默认采集当前路径下.log .trace .out文件 设置表示递归采集5层目录下的.log .trace .out文件 设置表示模糊匹配 例子： 采集路径为/tmp//test.log表示采集/tmp目录及其15层子目录下的全部以test开头的.log文件。 注意： 使用采集路径功能请确认您的采集器ICAgent版本为5.12.22或以上版本。 日志转储 此处日志转储是指日志的本地绕接。 设置：AOM每分钟扫描一次日志文件，当某个日志文件超过50MB时，会立即对其转储（转储时会在该日志文件所在的目录下生成一个新的zip文件。对于一个日志文件，AOM只保留最近生成的20个zip文件，当zip文件超过20个时，时间较早的zip文件会被删除），转储完成后AOM会将该日志文件清空。 不设置：若您在下拉列表框中选择“不设置”，则AOM不会对日志文件进行转储。 说明： AOM的日志绕接能力是使用copytruncate方式实现的，如果选择了设置，请务必保证您写日志文件的方式是append（追加模式），否则可能出现文件空洞问题。 当前主流的日志组件例如Log4j、Logback等均已经具备日志文件的绕接能力，如果您的日志文件已经实现了绕接能力，则无需设置。否则可能出现冲突。 建议您的业务自己实现绕接，可以更灵活的控制绕接文件的大小和个数。 容器路径：日志仅输出到容器路径，无需挂载主机路径。日志策略配置参数如下： 添加日志策略容器路径 参数 参数说明 存储类型 设置为“容器路径”。 日志仅输出到容器路径，无需挂载主机路径。此功能需要采集器ICAgent版本升级到5.10.79或以上版本。 添加容器挂载 挂载路径 输入数据卷挂载到容器上的路径，如：/tmp 须知 请不要挂载在系统目录下，如“/ ”、“/var/run”等，会导致容器异常。建议挂载在空目录下，若目录不为空，请确保目录下无影响容器启动的文件，否则文件会被替换，导致容器启动异常，工作负载创建失败。 挂载高危目录的情况下 ，建议使用低权限帐号启动，否则可能会造成宿主机高危文件被破坏。 AOM只采集最近修改过的前20个日志文件，且默认采集两级子目录。 AOM只采集挂载路径下的“.log”、“.trace”、“.out”文本日志文件。 容器中挂载点的权限设置方法，请参见为Pod或容器配置安全性上下文。 采集路径 设置采集路径可以更精确的指定采集内容，当前支持以下设置方式： 不设置则默认采集当前路径下.log .trace .out文件 设置表示递归采集5层目录下的.log .trace .out文件 设置表示模糊匹配 例子： 采集路径为/tmp//test.log表示采集/tmp目录及其15层子目录下的全部以test开头的.log文件。 注意 使用采集路径功能请确认您的采集器ICAgent版本为5.12.22或以上版本。 日志转储 此处日志转储是指日志的本地绕接。 设置：AOM每分钟扫描一次日志文件，当某个日志文件超过50MB时，会立即对其转储（转储时会在该日志文件所在的目录下生成一个新的zip文件。对于一个日志文件，AOM只保留最近生成的20个zip文件，当zip文件超过20个时，时间较早的zip文件会被删除），转储完成后AOM会将该日志文件清空。 不设置：若您在下拉列表框中选择“不设置”，则AOM不会对日志文件进行转储。 说明： AOM的日志绕接能力是使用copytruncate方式实现的，如果选择了设置，请务必保证您写日志文件的方式是append（追加模式），否则可能出现文件空洞问题。 当前主流的日志组件例如Log4j、Logback等均已经具备日志文件的绕接能力，如果您的日志文件已经实现了绕接能力，则无需设置。否则可能出现冲突。 建议您的业务自己实现绕接，可以更灵活的控制绕接文件的大小和个数。 说明： 此功能需要采集器ICAgent版本升级到5.10.79或以上版本。 步骤 4 单击“确定”，并完成创建工作负载。 查看日志 日志采集路径配置和工作负载创建完成后，若已配置的路径下存在日志文件，则ICAgent会从已配置的路径中采集日志文件，采集大概需要1分钟，请您耐心等待。 待采集完成后，进入工作负载详情页，单击右上角的“日志”按钮查看日志详情并进行分析。 说明： 云容器引擎服务对接了应用运维管理服务AOM提供日志查看、检索功能。

本文主要介绍入门指引。 本文旨在帮助您了解云容器引擎（Cloud Container Engine，简称CCE）的基本使用流程以及相关的常见问题，帮助您快速上手容器服务。 使用步骤 完整的云容器引擎使用流程包含以下步骤： 图 CCE使用流程 步骤 1 注册帐号，并授予IAM用户相应的权限。 帐号无需授权即可拥有所有权限，由帐号创建的IAM子用户需要授予相应的权限才能使用CCE。 步骤 2 创建集群。 如果您需要创建普通Kubernetes集群，请参见 集群。 步骤 3 通过镜像或编排模板创建工作负载（应用）。 步骤 4 查看部署后工作负载的状态和日志信息，对工作负载进行相应的升级、伸缩和监控等。 常见问题 1. 我不懂kubernetes，是否可以使用CCE？ 可以使用，CCE管理控制台操作简单，并提供新手入门指导文档，您可以快速了解并使用CCE。 2. 我不会制作镜像，是否可以使用CCE？ CCE除了提供“我的镜像”功能用于存储您自行创建的镜像外，您还可以基于开源镜像创建容器应用。 3. 如何使用CCE创建工作负载？ 创建工作负载非常简单，您只需要先创建一个集群，再创建工作负载即可。详细步骤请参考 ）。 4. 如何创建一个可以在公网访问的工作负载？ 云容器引擎为满足多种复杂场景下工作负载间的互相访问，提供了不同的访问方式，从而满足不同场景提供不同访问通道。 5. 我有多个工作负载（在同个集群中），它们之间需要互相访问，应该怎么办？ 集群内访问表示工作负载暴露给同一集群内其他工作负载访问的方式，可以通过“集群内部域名”访问。 集群内部域名格式为“ . .svc.cluster.local: ”，例如“nginx.default.svc.cluster.local:80”。

本章节介绍云容器集群Pod磁盘填充故障演练。 背景介绍 在云原生环境中，Pod 依赖持久卷（如云盘、PVC、emptyDir）存储日志、缓存和业务数据。磁盘空间耗尽常由日志无限增长、缓存未清理或异常写入引起，一旦发生，可能导致文件写入失败、配置无法更新、数据库无法落盘、服务崩溃或系统重启。通过模拟磁盘耗尽演练，可提升对资源耗尽问题的预警、防护和恢复能力，增强业务系统弹性。 基本原理 通过dd命令将数据写入文件。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的pod列表。 5. 在弹出的对话框中，单击添加pod。 6. 勾选您希望进行故障演练的一个或多个pod ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。

本章节介绍云容器集群Pod磁盘填充故障演练。 背景介绍 在云原生环境中，Pod 依赖持久卷（如云盘、PVC、emptyDir）存储日志、缓存和业务数据。磁盘空间耗尽常由日志无限增长、缓存未清理或异常写入引起，一旦发生，可能导致文件写入失败、配置无法更新、数据库无法落盘、服务崩溃或系统重启。通过模拟磁盘耗尽演练，可提升对资源耗尽问题的预警、防护和恢复能力，增强业务系统弹性。 基本原理 通过dd命令将数据写入文件。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的pod列表。 5. 在弹出的对话框中，单击添加pod。 6. 勾选您希望进行故障演练的一个或多个pod ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。

本节介绍了用户指南：使用ZOS动态存储卷。 云容器引擎支持使用天翼云对象存储持久卷。cstorcsi插件支持使用对象存储动态存储卷和静态存储卷，通过将存储卷挂载到容器指定目录满足数据持久化需求。 前提条件 已创建容器集群。 已在插件市场安装存储插件cstorcsi，且插件正常运行。（建议使用>4.0的CSI版本） 容器集群所在资源池已开通对象存储服务。 使用限制 参见对象存储使用限制 通过控制台使用对象存储动态存储卷 1 、创建保密字典 进入天翼云对象存储控制台，进入Access Key管理； 查看对象存储密钥，并记录； 登录“云容器引擎”管理控制台； 在集群列表页点击进入指定集群； 进入主菜单“配置管理”——“保密字典”，选择命名空间，单击左上角“创建”。 输入名称、内容，内容项变量名分别是AK、SK（变量名大写），变量值分别对象上一步中获取到的密钥；点击提交； 注意 注意绿色框内，当填入AKSK内容时，需要将base64编码关闭，维持图上的状态。

本文主要介绍故障类问题 为什么创建组织失败？ 问题现象：创建组织失败，页面提示该组织已经存在，但在“组织管理”页面没有查询到该组织。 解决办法：组织名称全局唯一，即当前区域下，组织名称唯一。 创建组织时如果提示组织已存在，可能该组织名称已被其他用户使用，请重新设置一个组织名称。 CCE工作负载拉取SWR镜像异常，提示为“未登录” 当CCE工作负载无法正常拉取SWR的镜像，且提示“未登陆”时，请排查该工作负载的yaml文件中是否存在“imagePullSecrets”字段，且name参数值需固定为defaultsecret。 示例： apiVersion: extensions/v1beta1 kind: Deployment metadata: name: nginx spec: replicas: 1 selector: matchLabels: app: nginx strategy: type: RollingUpdate template: metadata: labels: app: nginx spec: containers: image: nginximagePullPolicy: Always name: nginx imagePullSecrets: name: defaultsecret 为什么登录指令执行失败？ 登录指令执行失败有以下几种情况： 1. 容器引擎未安装正确，报如下所示错误： “docker: command not found” 解决方法： 重新安装docker容器引擎。 由于容器镜像服务支持容器引擎1.11.2及以上版本上传镜像，建议下载对应版本。 安装容器引擎需要连接互联网，内网服务器需要绑定弹性公网IP后才能访问。 2. 临时登录指令已过期或登录指令中区域项目名称、AK、登录密钥错误，报如下所示错误： “unauthorized: authentication required” 解决方法： 登录容器镜像服务控制台，在左侧菜单栏选择“我的镜像”，单击右侧“客户端上传”获取登录指令。 a. 获取临时的登录指令：单击“生成临时登录指令”，在弹出的页面中单击复制登录指令。 b. 获取长期有效的登录指令：单击“如何获取长期有效登录指令”，具体方法请参见用户指南 > 镜像管理> 获取长期有效登录指令。 3. 登录指令中镜像仓库地址错误，报如下所示错误： “Error llgging in to v2 endpoint, trying next endpoint: Get dial tcp: lookup {{endpoint}} on xxx.xxx.xxx.xxx:53 : no such host” 解决方法： c. 修改登录指令中的镜像仓库地址。 镜像仓库地址格式: registry.区域项目名称.ctyun.cn，如“苏州”对应的镜像仓库地址为registry.cnjssz1.ctyun.cn。 d. 获取临时登录指令。 4. x509: certificate has expired or is not yet valid 长期有效登录指令中AK/SK被删除导致，请使用有效的AK/SK生成登录指令。 5. x509: certificate signed by unknown authority 问题原因： 容器引擎客户端和SWR之间使用HTTPS的方式进行通信，客户端会对服务端的证书进行校验。如果服务端证书不是权威机构颁发的，则会报如下错误：x509: certificate signed by unknown authority 解决方法： 如果用户信赖服务端，跳过证书认证，那么可以手动配置Docker的启动参数，配置方法如下： CentOS： 修改“/etc/docker/daemon.json”文件（如果没有，可以手动创建），在该文件内添加如下内容： { "insecureregistries": ["{镜像仓库地址}"] } Ubuntu： 修改“/etc/default/docker”文件，在DOCKEROPTS配置项中增加如下内容： DOCKEROPTS"insecureregistry {镜像仓库地址}" EulerOS： 修改“/etc/sysconfig/docker”文件，在INSECUREREGISTRY配置项中增加如下内容： INSECUREREGISTRY'insecureregistry {镜像仓库地址}' 说明 镜像仓库地址支持域名和IP形式。 域名：registry.区域项目名称.ctyun.cn。例如“苏州”的镜像仓库地址为：registry.cnjssz1.ctyun.cn。 IP：可通过ping镜像仓库地址（域名形式）获取。 配置完成后，执行systemctl restart docker重启容器引擎。

本节主要介绍计费模式 容器镜像服务目前商用免费。

1.3 下载脚本 下载MinerU服务脚本包并解压至 /mnt/nvme0n1目录（该目录为前文配置的NVME挂载点，具备充足存储空间），执行命令如下： plaintext $ cd /mnt/nvme0n1 $ wget 20250828 15:26:15 Resolving jiangsu10.zos.ctyun.cn (jiangsu10.zos.ctyun.cn)... 117.88.33.209, 117.88.33.247, 218.91.113.207 Connecting to jiangsu10.zos.ctyun.cn (jiangsu10.zos.ctyun.cn)117.88.33.209:443... connected. HTTP request sent, awaiting response... 200 OK Length: 10240 (10K) [application/xtar] Saving to: ‘mineru.tar.1’ mineru.tar.1 100%[>] 10.00K .KB/s in 0s 20250828 15:26:15 (141 MB/s) ‘mineru.tar.1’ saved [10240/10240] $ tar xvf mineru.tar mineru/ mineru/stop.sh mineru/logs/ mineru/start.sh mineru/mindie2.1.RC1800IA2py311openeuler24.03ltsmineru.sif 1.4 下载MindIE 将MindIE容器文件下载至/mnt/nvme1n1/apptainer目录（该目录为前文配置的NVME存储目录，用于存放容器镜像），并在服务启动目录创建软链接以简化调用，执行命令如下： 1. 下载MindIE容器： plaintext $ mkdir p /mnt/nvme1n1/apptainer $ cd /mnt/nvme1n1/apptainer $ wget 2. 在服务启动目录创建软链接： plaintext $ cd /mnt/nvme0n1/mineru $ ln s /mnt/nvme1n1/apptainer/mindie2.1.RC1800IA2py311openeuler24.03ltsmineru.sif . NOTE：MinerU2.1模型已集成到上述MindIE容器中，无需额外下载模型文件。 2 起停服务

构建步骤 说明 制作Vote镜像并推送到SWR仓库 通过工作目录“./vote”及Dockerfile路径“./Dockerfile”找到“Dockerfile”文件，依据“Dockerfile”文件制作Vote功能镜像，并将镜像推送到容器镜像服务。 制作Result镜像并推送到SWR仓库 通过工作目录“./result”及Dockerfile路径“./Dockerfile”找到“Dockerfile”文件，依据“Dockerfile”文件制作并推送Result功能镜像，并将镜像推送到容器镜像服务。 使用Maven安装Worker依赖包 使用Maven安装Worker功能所需的依赖。 制作Worker镜像并推送到SWR仓库 通过工作目录“./worker”及Dockerfile路径“Dockerfile.j2”找到“Dockerfile”文件，依据“Dockerfile”文件制作并推送Worker功能镜像，并将镜像推送到容器镜像服务。 生成Postgres and Redis Dockerfile 通过shell命令生成制作Postgres（数据库）和Redis（缓存）镜像的Dockerfile文件。 制作Postgres镜像并推送到SWR仓库 依据“生成Postgres and Redis Dockerfile”所生成的Dockerfile文件制作并推送Postgres镜像，并将镜像推送到容器镜像服务。 制作Redis镜像并推送到SWR仓库 依据“生成Postgres and Redis Dockerfile”所生成的Dockerfile文件制作并推送Redis镜像，并将镜像推送到容器镜像服务。 替换DockerCompose部署文件镜像版本 为了将镜像部署到ECS时，能够可以拉取到正确的镜像，使用shell命令进行完成以下操作。首先，使用sed命令，依次将文件“dockercomposestandalone.yml”中的参数替换为构建任务的参数“dockerServer”、“dockerOrg”、“BUILDNUMBER”进行替换。然后，使用tar命令，将文件“dockercomposestandalone.yml”压缩为“dockerstack.tar.gz”，将部署所需文件进行打包，以便于后续步骤将该文件上传归档。 替换Kubernetes部署文件镜像版本 为了将镜像部署到CCE时，能够可以拉取到正确的镜像，使用shell命令进行完成以下操作。首先，使用sed命令，将目录“kompose”下所有以“deployment”结尾的文件中的参数“dockerserver”、“dockerorg”，替换为构建任务的参数“dockerServer”、“dockerOrg”。然后，使用sed命令，将“resultdeployment.yaml”、“votedeployment.yaml”、“workerdeployment.yaml”三个文件中的参数“imageversion”用构建任务参数“BUILDNUMBER”进行替换。 上传Kubernetes部署文件到软件发布库 将所有“.yaml”文件上传到软件发布库中归档。 上传dockercompose部署文件到软件发布库 将压缩好的“dockerstack.tar.gz”（构建包路径）上传到软件发布库中归档，包名命名为“dockerstack”，实现软件包的版本管理。

本小节介绍Agent。 Agent是企业主机安全（Host Security Service, HSS）提供的Agent，用于执行检测任务，全量扫描主机/容器；实时监测主机/容器的安全状态，并将收集的主机/容器信息上报给云端防护中心。 Agent的作用 每日凌晨定时执行检测任务，全量扫描主机/容器；实时监测主机/容器的安全状态；并将收集的主机/容器信息上报给云端防护中心。 根据您配置的安全策略，阻止攻击者对主机/容器的攻击行为。 说明 如果未安装Agent或Agent状态异常，您将无法使用企业主机安全服务。 网页防篡改与主机安全共用同一个Agent，您只需在同一主机安装一次。 Linux Agent相关进程 Agent进程运行账号：root。 Agent包含以下进程： Agent进程名称 进程功能 进程所在路径 hostguard 该进程用于系统的各项安全检测与防护、Agent进程的守护和监控。 /usr/local/hostguard/bin/hostguard upgrade 该进程用于Agent版本的升级。 /usr/local/hostguard/bin/upgrade Windows Agent相关进程 Agent进程运行账号：system。 Agent包含以下进程： Agent进程名称 进程功能 进程所在路径 HostGuard.exe 该进程用于系统的各项安全检测与防护。 C:Program Files (x86)HostGuardHostGuard.exe HostWatch.exe 该进程用于Agent进程的守护和监控。 C:Program Files (x86)HostGuardHostWatch.exe upgrade.exe 该进程用于Agent升级。 C:Program Files (x86)HostGuardupgrade.exe