问题现象 开通服务网格后控制面服务没有正常启动，报错信息如下： message: 'Internal error occurred: failed calling webhook "cosignwebhook.kubesystem.svc": failed to call webhook: Post " x509: certificate is valid for cosignwebhook, cosignwebhook.default, cosignwebhook.default.svc, not cosignwebhook.kubesystem.svc' 问题原因 由于在云容器引擎集群开启了cubesign插件，该插件会对集群中部署的镜像做签名验证，提升系统安全性。服务网格控制面组件镜像不会使用cubesign签名，因此部署会因为签名校验而失败。 解决方案 关闭云容器引擎集群cubesign插件，重新部署网格控制面服务。

本文介绍镜像仓库基本概念。 镜像仓库是用于存储、管理docker容器镜像的场所，可以让使用人员轻松存储、管理、部署 docker 容器镜像。镜像仓库包括如下内容： 天翼云官方镜像：展示了天翼云平台上的公开镜像，您可以基于公开镜像创建应用； 我的镜像：展示了用户创建的所有镜像仓库。 本章节将为用户介绍容器镜像仓库的基本使用方法，说明【创建】>【上传】>【管理】的仓库使用流程，用户完成镜像上传后，即可在应用创建流程中通过选择【我的镜像】，使用用户自己上传的私有镜像部署应用。 注意事项 镜像仓库不扫描用户上传的镜像，不负责对用户上传的镜像进行安全性验证。上传的镜像中请不要包含未加密的口令，密码等隐私信息，以避免隐私泄露。用户从第三方网站下载公有镜像时，应确定数据来自于可信的仓库源，以避免下载到恶意软件； 如果使用自定义镜像，请确保镜像来源可信，不在容器镜像内安装不必要的软件，在升级时使用安全补丁升级镜像。使用第三方镜像，造成的后果（例如：环境不可用）用户需自己承担； 磁盘满将会导致无法上传镜像到仓库，将会有异常提示信息告知，但并不会影响其他服务；为防止其它业务（例如日志）把磁盘占满，导致仓库无法上传，建议对仓库的存储独立挂盘。 在使用之前，您需要了解以下基本概念： 镜像仓库： 提供docker容器镜像管理功能，用户在创建容器应用前，需要将应用所需的镜像上传到镜像仓库。docker镜像是一个模板，用于创建docker容器。docker提供了一个简单的机制来创建新的镜像或更新已有镜像。 （仓库）属性： 属性分为公有和私有两种。公有：任何租户、用户均可以下载。私有：仅当前租户或租户下的用户可用。

背景 本文介绍如何在函数计算控制台创建容器镜像函数。 注意事项 在函数计算中，创建容器镜像函数必须使用同一账号下相同地域内天翼云容器镜像服务(CRS)中的镜像。针对ARM架构的机器（如搭载M系列芯片的Mac电脑），构建镜像时需要指定镜像的编译平台为Linux/Amd64，示例命令如 docker build platform linux/amd64 t $IMAGENAME .。 请确保您在函数配置中的镜像在发生任何变化后，及时更新您的函数，否则函数调用会失败。 请确保原始镜像存在，否则函数会无法调用。函数计算会对您的函数做缓存以加速冷启动，但是在调用过程中依然依赖原始镜像的存在。 请确保您在任何函数中使用的镜像不要被覆盖，如果被覆盖为其他的Digest，请及时使用最新的镜像信息重新部署您的函数。函数计算会记录您在创建和更新配置时所选择的镜像版本Tag和Digest，如果使用的镜像被更新为其他的Digest，函数将调用失败。 前提条件 开通容器镜像服务，创建CRS实例，创建命名空间，创建镜像仓库。 说明 容器镜像个人版面向个人开发者，公测限额免费试用，无SLA承诺和受损赔偿，且有使用限制。 在控制台创建函数 登录函数计算控制台，在顶部菜单栏，选择地域。 在左侧导航栏，单击函数 ，然后在函数 页面，单击创建函数。 在创建函数 页面，选择使用容器镜像 方式，按需设置以下配置项，然后单击创建。 基本设置：设置函数名称。 镜像配置：配置创建函数的镜像。 配置项 说明 镜像选择方式 您可以使用示例镜像 或者您自己的镜像创建函数。 使用示例镜像 ：选择函数计算自带的示例镜像。 使用 CRS 中的镜像 ：单击配置项容器镜像 下方的选择 CRS 中的镜像 ，在弹出的选择容器镜像 面板，选择已创建的容器镜像实例 和CRS 镜像仓库 ，然后在下方选择镜像区域找到目标镜像并在其右侧操作 列单击选择 。 请确保您在函数配置中的镜像在发生任何变化后，及时更新您的函数，否则函数调用会失败。 请不要删除原始镜像以及加速镜像，否则会影响函数调用。 启动命令 容器的启动命令。如果不填写，则默认使用镜像中的Entrypoint或者CMD。 监听端口 容器镜像中的HTTP Server所 监听的端口。默认端口为9000。配置端口后，需要保证惊镜像内http server 监听。 高级配置：配置函数的实例相关信息、执行超时时间和网络设置等。 配置项 说明 规格方案 选择或手动输入合理的vCPU规格 和内存规格组合。vCPU大小（单位为核）与内存大小（单位为GB）的比例必须设置在1:1到1:4之间。 临时硬盘大小 根据您的业务情况，选择硬盘大小。函数计算为您提供512 MB以内的磁盘免费使用额度。 执行超时时间 设置超时时间。默认为60秒，最长为86400秒(24小时)。超过设置的超时时间，函数将以执行失败结束。 实例并发度 设置函数实例的并发度。 时区 选择函数的时区。此处设置函数的时区后，将自动为函数添加一条环境变量TZ，其值为您设置的目标时区。 函数角色 如果您的代码逻辑需访问其他云服务，请创建角色并为角色最小化授予访问其他云服务的权限。 允许访问 VPC 是否允许函数访问VPC内资源。 专有网络 允许访问 VPC 选择是时必填。创建新的VPC或在下拉列表中选择要访问的VPC ID。 子网 允许访问 VPC 选择是时必填。创建新的子网或在下拉列表中选择子网ID。 安全组 允许访问 VPC 选择是时必填。创建新的安全组或在下拉列表中选择安全组。 允许函数默认网卡访问公网 是否允许函数可以通过默认网卡访问公网。关闭后，当前函数将无法通过函数计算的默认网卡访问公网。使用固定公网IP地址功能时，您必须关闭允许函数默认网卡访问公网。 环境变量 ：设置函数运行环境中的环境变量。更多信息，请参见配置环境变量。 创建完成后，您可以在函数列表中查看和更新已创建的函数。

本节介绍了云容器引擎的最佳实践：ELB访问控制配置。 应用场景 云容器引擎实例支持通过EIP+ELB暴露APIServer服务，用户可通过配置ELB的访问控制限制访问APIServer的入口流量。 注意事项 若配置ELB访问控制白名单，请放通以下流量，确保CCE控制台正常访问集群。 端口 协议 源地址 说明 全部 TCP 198.19.128.0/20 VPCE内网地址段，控制台通过VPCE访问APIServer

步骤二：数据迁移 在这个阶段，您将把镜像和相关依赖服务的数据迁移到云端。可基于天翼云上提供的专业云迁移、云备份等迁移工具，或基于云产品提供的专门迁移指引进行迁移。例如： 自建镜像仓库迁移请参考：迁移自建Harbor至容器镜像服务企业版 自建数据库如mysql迁移请参考：本地MySql迁移到RDS For MySQL 自建PostgreSQL迁移请参考：本地PostgreSQL迁移到RDS For PostgreSQL 自建Redis迁移请参考：自建Redis迁移到DCS 其他类型存储迁移，请参考天翼云上对应云产品提供的迁移指引； 步骤三：云上集群创建与纳管 在这个阶段，您将评估目标集群所需规格信息并创建对应的天翼云CCE集群；然后将该目标集群关联到分布式容器云平台CCE One注册集群； 云容器引擎允许用户对集群资源进行个性化选取，以精准匹配其多样化的业务诉求。如下所示的表中，列举了集群的指标参数，并提供了参考规划选择；用户应依据自身业务的确切需求，对相关设置做出合理调配，其间，我们建议尽可能保持与原集群性能配置的一致性水平。 主要指标参数 指标参数说明 本示例规划 kubernetes版本 1.27.8 1.29.3 1.29.3 网络插件 cubecni：cubecni 是云容器引擎自研的网络插件，支持基于 Kubernetes 标准的网络策略来定义容器间的访问策略 calico：使用社区 calico CNI 插件的IP模式 cubecni apiserver访问 API Server的访问需要依赖ELB实例，您可根据需要选择合适的ELB规格，系统将根据该规格创建一个私网ELB实例。规格选择请见：[了解ELB实例规格](

本文介绍CCE集群弹性引擎。 插件简介 CCE集群弹性引擎（autoscaler）是Kubernetes中非常重要的一个Controller，它提供了微服务的弹性能力，并且和Serverless密切相关。 弹性伸缩是很好理解的一个概念，当微服务负载高（CPU/内存使用率过高）时水平扩容，增加pod的数量以降低负载，当负载降低时减少pod的数量，减少资源的消耗，通过这种方式使得微服务始终稳定在一个理想的状态。 云容器引擎简化了Kubernetes集群的创建、升级和手动扩缩容，而集群中应用的负载本身是会随着时间动态变化的，为了更好的平衡资源使用率以及性能，Kubernetes引入了autoscaler插件，它可以根据部署的应用所请求的资源量自动的动态的伸缩集群，详情请了解创建节点伸缩策略。 开源社区地址： 插件说明 autoscaler可分成扩容和缩容两个方面： 自动扩容 集群的自动扩容有以下两种方式实现： 当集群中的Pod由于工作节点资源不足而无法调度时，会触发集群扩容，扩容节点与所在节点池资源配额一致。此时需要满足以下条件时才会执行自动扩容： 节点上的资源不足。 Pod的调度配置中不能包含节点亲和的策略（即Pod若已经设置亲和某个节点，则不会自动扩容节点），节点亲和策略设置方法请参见调度策略（亲和与反亲和）。 当集群满足节点伸缩策略时，也会触发集群扩容。 说明 当前该插件使用的是最小浪费策略，即若Pod创建需要3核，此时有4核、8核两种规格，优先创建规格为4核的节点。

本节介绍了用户指南： 使用HostPath存储卷。 HostPath存储卷能将主机节点文件系统上的文件或目录挂载直接挂载到业务Pod 中。由于该方式存在诸多安全风险，且不适用于高可用场景，一般业务应用不推荐使用。 背景信息 云容器引擎服务兼容kubernetes原生HostPath本地挂载方案，关于HostPath特定场景使用用法及注意点参见：Kubernetes官方 使用限制 HostPath 存储卷可能会暴露特权系统凭据（例如 Kubelet）或特权 API（例如容器运行时套接字），可用于容器逃逸或攻击集群的其他服务； 具有相同配置（例如基于同一 PodTemplate 创建）的多个 Pod 会由于节点上文件的不同而在不同节点上有不同的行为； 主机节点上特定文件或目录只能由 root 用户写入。如需访问这些文件，需要在特权容器中以 root 身份运行进程，或者修改主机上的文件权限以便容器能够写入 hostPath 卷。 挂载模式 HostPath支持以下几种挂载模式： 类型 描述 空字符串（默认）用于向后兼容，这意味着在安装 hostPath 卷之前不会执行任何检查。 DirectoryOrCreate 如果在给定路径上什么都不存在，那么将根据需要创建空目录，权限设置为 0755，具有与 kubelet 相同的组和属主信息。 Directory 在给定路径上必须存在的目录。 FileOrCreate 如果在给定路径上什么都不存在，那么将在那里根据需要创建空文件，权限设置为 0644，具有与 kubelet 相同的组和所有权。 File 在给定路径上必须存在文件。

如果您希望基于自定义容器镜像来编写程序,部署已有的容器镜像的应用或者需要使用 GPU 函数,可以选择创建自定义容器镜像函数。 创建函数 前提条件 具备已通过实名认证的天翼云账号 已开通函数计算服务 操作步骤 1. 登录函数计算控制台，在左侧导航栏，单击函数，进入函数列表页面。 2. 在函数列表页中，点击创建函数按钮，进入函数创建页面。 3. 在函数创建页面，选择创建函数的方式，并配置以下配置项，然后单击确定。以下操作以容器镜像创建函数为例。 基本设置 配置项 说明 函数名称 设置函数名称 企业项目 支持将本次创建的函数上报到用户的企业项目中。若不配置该项，则默认上报到"default"企业项目。 镜像配置 配置项 说明 示例 镜像选择方式 可以选择使用示例镜像或者使用 CRS 镜像。 使用示例镜像 示例镜像 通过一个简单的示例镜像创建函数。 Gin Web 应用示例镜像 启动命令 容器的启动命令。 ./main 监听端口 您的代码中的HTTP Server所监听的端口。 9000 注意 请确保启动程序及相关程序包具有可执行权限，可以通过chmod +x添加可执行权限。 高级配置 配置项 说明 示例 vCPU规格 为函数配置运行vCPU规格。 0.5 核 内存规格 为函数配置运行的内存规格。 512 MB 临时硬盘大小 根据您的业务情况，选择临时存储文件的硬盘大小。 512 MB 实例并发度 支持一个实例同时并发执行多个请求，这个值用来配置单个函数实例可以同时处理多少个请求。 1 执行超时时间 设置函数执行的超时时间。 64 请求处理程序 设置请求处理程序，函数计算的运行时会加载并调用您的请求处理程序处理请求。 index.handler 时区 选择函数的时区。 UTC 函数角色 选择根据函数所在服务配置的角色。 CTyunDefaultRole 允许访问VPC 是否允许函数访问VPC内资源。 否 允许函数默认网卡访问公网 是否允许函数可以通过默认网卡访问公网。关闭后，当前服务中的函数将无法通过函数计算的默认网卡访问公网。 否 说明 vCPU大小（单位为核）与内存大小（单位为GB）的比例必须设置在1∶1到1∶4之间。 环境变量：设置函数运行环境中的环境变量。可以使用 json 或表单的形式编辑。

本文为您介绍CTCCLSlowdetect最佳实践。 在4台A8008，每台节点有8张mlx网卡，RoCE组网，部署慢节点工具套件。其中，在4节点上容器化部署模型训练基础环境以及llama27b训练模型，在node1上容器化部署ctccm服务，并在每一台节点上容器化部署ctcclprofiler服务。 在训练任务代码中调用ctcclprofilercomm API： 在训练脚本中配置相关环境变量 启动ctccmslowdetect服务 export PATH"/usr/local/python3/bin:$PATH"（替换为自己的安装路径） && ctccm nnodes 4 port 8002 debug 启动所有节点上的ctcclprofilernet服务 启动分布式训练任务，ctccm会收到任务的逻辑拓扑 ctccm在训练中检测集群中是否存在慢节点，一旦发现慢节点则下发开始收集细粒度的监控信息的控制信号，并做慢节点定位定界。 当计算慢时，ctccm会给出计算慢的TP通信域所包含的rank。 当通信慢时，ctccm会给出慢的QP以及它所对应的网卡对和所在节点。

参数 参数说明 计费模式 包年/包月：预付费模式，按订单的购买周期计费，适用于可预估资源使用周期的场景，价格比按需计费模式更优惠。包年/包月集群创建后不能删除。 按需计费：后付费模式，按资源的实际使用时长计费，可以随时开通/删除资源。 本节以“按需计费”类型为例进行讲解。 区域 不同区域的云服务产品之间内网互不相通；请就近选择靠近您业务的区域，可减少网络时延，提高访问速度。 集群名称 新建集群的名称，创建后不可修改。 集群名称长度范围为4128个字符，以小写字母开头，由小写字母、数字、中划线（）组成，且不能以中划线（）结尾。 版本 Kubernetes社区基线版本，建议选择最新的版本。版本升级请参见集群版本升级说明。 若有 Beta 版本时，您可以选择试用，但不建议您将该版本用于商用场景。 集群管理规模 集群管理规模是指当前集群的控制节点可以管理的最大工作节点规模，您可以选择50节点、200节点、1000节点三种管理规模，请根据您的业务需求选择，该规模在集群创建后不可更改，请慎重选择。 若选择“1000节点”，表示当前集群的控制节点最多可管理1000个工作节点。由于不同管理规模的控制节点规格不同，因此配置费用会有差异。 任何一个集群中均包含“Master Node”和“Worker Node”，每一个Node对应一台云服务器。 Master Node：集群的控制节点，在创建集群时会自动创建控制节点，负责整个集群的管理和调度。 Worker Node：集群的工作节点，即用户购买或纳管的节点。工作负载是由控制节点分配的，当某个工作节点宕机时，控制节点会将工作负载转移到其他工作节点上。 控制节点数 多控制节点模式开启后将创建三个控制节点，在单个控制节点发生故障后集群可以继续使用，不影响业务功能。 多控制节点模式开关在集群创建完成后不可变更。 商用场景建议选择多控制节点模式集群。 虚拟私有云 新建集群所在的虚拟私有云，集群创建后不可更改。 虚拟私有云是通过逻辑方式进行网络隔离，提供安全、隔离的网络环境。 若没有虚拟私有云可选择，请单击“创建虚拟私有云”进行创建，完成创建后单击刷新按钮。 所在子网 节点虚拟机运行的子网环境，集群创建后不可更改。 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。 若没有子网可选择，请单击“创建子网”进行创建，完成创建后单击刷新按钮。虚拟私有云、子网、集群的关系请参见集群概述。 请确保子网下的DNS 服务器可以解析对象存储服务域名，否则无法创建节点。 集群创建后子网无法修改，请谨慎选择。 网络模型 集群创建成功后，网络模型不可更改，请谨慎选择。 容器隧道网络 容器隧道网络下只能添加同一类型的节点，即全部为虚拟机节点或全部为裸金属节点。 基于底层VPC网络，另构建了独立的VXLAN隧道化容器网络，适用于一般场景。 VXLAN是将以太网报文封装成UDP报文进行隧道传输。容器网络是承载于VPC网络之上的Overlay网络平面，具有付出少量隧道封装性能损耗，即可获得通用性强、互通性强、高级特性支持全面等优势，可以满足大多数应用需求。 VPC 网络 VPC网络模式下每个节点占用一条VPC路由规则，Console界面中可显示当前局点支持的VPC路由规则条数，以及每个节点可供分配的容器IP个数（即可创建的Pod实例数目上限）， VPC路由方式与底层网络深度整合，适用于高性能场景，但每个节点占用一条VPC路由规则，节点数量受限于虚拟私有云VPC的路由配额。 VPC网络集群下的每个节点将会被分配固定大小的IP地址段，由于没有隧道封装的消耗，容器网络性能相对于容器隧道网络有一定优势。VPC网络集群由于VPC路由中配置有容器网段与节点IP的路由，可以支持集群外直接访问容器实例等特殊场景。 容器网段 请根据业务需求选择容器网段，确定容器网段后，容器实例将在规划的网段内分配IP，集群创建后该网段不可更改。 未勾选“自动选择”：请手动选择网段。若与子网网段有冲突时将有红色文字提示，请重新选择。建议使用网段：10.0.0.0/8~18，172.16.0.0/16~18，192.168.0.0/16~18。 不同集群使用相同的容器网段，会导致容器IP 冲突，应用访问异常。 勾选“自动选择”：系统将自动分配与子网网段无冲突的网段。 容器网段要设置合理的掩码，掩码决定集群内可用节点数量。集群中容器网段掩码设置不合适，会导致集群实际可用的节点较少。设置掩码后，选项下方会有当前网段最多支持的实例估算值，请作参考。 服务网段 服务网段为kubernetes service ip网段，集群创建后该网段不可更改。服务网段与已创建的路由不能冲突，如果冲突，请重新选择。 使用默认网段：默认设置为10.247.0.0/16网段。 手动设置网段：请根据业务需求设置合理的网段和掩码，掩码决定集群内可用service ip数量。 认证方式 认证机制主要用于对集群下的资源做权限控制。例如A用户只能对某个命名空间下的应用有读写权限，B用户对集群下的资源只有读权限等。角色权限控制的操作请参见集群管理权限控制。 默认状态下不选定“认证能力增强”，此时默认开启X509认证模式，X509是一种非常通用的证书格式。 若需要对集群进行权限控制，请勾选“认证能力增强”，选择“认证代理”。 单击“CA根证书”后的“上传文件”，上传符合规范且合法的证书，并 勾选“我已确认上传的证书合法” 。 证书若不合法，集群将无法创建成功。请上传小于1MB的文件，上传格式支持.crt或.cer格式。 集群描述 选填，请输入新建容器集群相应的描述信息。 高级设置 单击“高级设置”后展开详细项目，支持的功能如下（当前可用区中不支持的功能将隐藏）： 服务转发模式： iptables：社区传统的kubeproxy模式，完全以iptables规则的方式来实现service负载均衡。该方式最主要的问题是在服务多的时候产生太多的iptables规则，非增量式更新会引入一定的时延，大规模情况下有明显的性能问题。 ipvs：在社区获得广泛支持的kubeproxy模式，采用增量式更新，吞吐更高，速度更快，并可以保证service更新期间连接保持不断开，适用于大规模场景。 ipvs模式下，ingress和service使用相同的ELB实例时，无法在集群内的节点和容器中访问ingress。 说明 ipvs为大型集群提供了更好的可扩展性和性能。 ipvs支持比iptables更复杂的负载平衡算法（最小负载，最少连接，位置，加权等）。 ipvs支持服务器健康检查和连接重试等。 CPU 管理策略： 开启：支持给工作负载实例配置CPU独占，适用于对CPU缓存和调度延迟敏感的工作负载。 关闭：关闭工作负载实例独占CPU核的功能，优点是CPU共享池的可分配核数较多。 购买时长 若选择创建“包年/包月”的集群，请设置购买时长。

本章节主要介绍天翼云物理机的使用场景。 对安全和监管高要求的场景 金融、证券等行业对业务部署的合规性，以及某些客户对数据安全有苛刻的要求。采用物理机部署，通过网络隔离、专线接入等方式确保独享资源，数据安全隔离，保障用户数据的安全。 核心数据库 泛政务、金融、互联网等行业客户的关键业务系统的核心数据库，其业务压力大、安全隔离要求高，可通过资源专享、网络隔离、性能有保障的物理机承载，满足业务需求。尤其类似Oracle等数据库，其部署复杂，对性能要求高，推荐采用物理机部署。 大数据场景 互联网、汽车、交通、政务等行业的大数据存储、大数据分析等相关业务，客户在云上自建大数据平台，推荐采用性能更强、兼容性更高的物理机服务器承载。同时，天翼云物理机服务器支持结合对象存储服务的存算分离方案。 容器场景 电商平台、游戏、疫情核酸平台等业务弹性要求较高，性能要求更高的场景，可采用物理机容器方案，相比虚机容器，物理机容器提供更高的部署密度、更低的资源开销、更加敏捷的部署效率。基于云原生技术帮助客户实现降低云化成本目标。 高性能计算 科研、基因测序、天气预测、能源勘探、影视渲染、人工智能等高性能计算场景下，对计算能力要求高、处理的任务多、并行数据量大。天翼云物理机采用高规格物理服务与本地SAS存储进行部署，提供强大的计算能力和存储性能。高计算性能、稳定性和实时性，避免虚拟化带来的性能损耗，满足业务对服务器的高计算性能、高稳定性、高实时性的诉求。

如何确定专属云中计算服务器（物理服务器）数量及使用余量？ 您可以在专属云总览页面查看物理机服务器的数量及使用余量。 专属云容器引擎中的节点服务器是独占的吗？ 计算服务器是独占的，您享有对物理服务器及其上云主机计算资源的完全使用权，与其他用户完全硬件隔离。 专属云中的云容器引擎与天翼公有云中的云容器引擎功能有什么不同？ 除开通的资源是否为专属资源有差别外，专属云和公有云中的云容器引擎产品能力基本一致。 专属云中网络是否隔离？ 对于计算独享和存储独享型场景，网络资源逻辑独享，您可独占VPC，您与其他用户之间的网络相互隔离。 专属云云容器引擎中是否支持开通物理机节点？ 支持。

本节介绍了容器镜像服务的产品规格。 规格说明：

容量种类 容量说明 申请容量 申请存储池时输入的容量大小。 裸容量 申请存储池的裸容量。申请容量不低于裸容量的85%。 总可用容量 存储池可实际使用的容量。 已分配容量 存储池已分配容量。含虚拟机/物理机/容器等使用的卷的分配容量、RDS等高阶服务占用的存储分配容量、备份创建的快照的分配容量。 已使用容量 存储池已使用的物理容量。含虚拟机/物理机/容器等使用的卷的使用容量、RDS等高阶服务占用的存储使用容量、备份创建的快照的使用容量。

存储挂载 1. 可将科研文件目录挂载至 Docker 容器，实现开发机与容器双向读写。例如docker run v /home/datasetassist0/:/data 镜像名称 端口暴露 1. 您可使用docker run p 开发机端口:容器端口，将容器端口暴露到开发机上，方便多个容器、开发机间网络通信。 2. 您可使用docker run p 8000:容器端口并开启开发机的对外端口功能，将容器中的服务暴露到互联网上定向访问。 Tips 1. 启用docker后开发机将自动提供docker和dockercompose命令，无需手动安装docker。 2. Docker数据存储在本地盘中，若创建本地盘时开启本地盘持久化，开发机重启docker数据不会丢失，可直接docker start原有容器。 3. 若需使用dockercompose，建议将项目（dockercompose.yml所在目录）存放在科研文件中，否则dockercompose up时容器无法读取项目中指定路径的文件。 常见问题 1. 提示Cannot connect to the Docker daemon at unix:///var/run/docker.sock. Is the docker daemon running? 您使用sudo或root用户执行docker会缺失环境变量，可使用默认用户batchcom的bash执行docker命令即可正常使用。 您也可以手动配置环境变量修复，可在正常使用的环境下执行printenv grep i DOCKER，查看所要配置的环境变量。 2. 启动容器后输入nvidiasmi提示无命令 （1）确保启动开发机时有将GPU卡分配给docker。 （2）请先确认docker run时是否配置了—gpus参数，例如 gpus '"device'"$DOCKERNVIDIAVISIBLEDEVICES"'"' 或 –gpus all （3）若您的可用区是南京或中卫 ，可尝试将启动命令改为docker run runtimenvidia e "NVIDIAVISIBLEDEVICES${DockerGPUIDX}" 镜像名称 3. 提示Error response from daemon: authorization denied by plugin ehub.ctcdn.cn/bcops/opadockerauthzv2:0.1: request rejected by administrative policy 原因：由于安全管控，非白名单操作无法执行。若为启动容器时提示，请调整启动参数，去除需要系统高级权限相关的参数。

步骤2：创建PVC 1. 进入集群列表，进入指定集群； 2. 导航栏选择 “存储” > “持久卷声明”，点击创建； 3. 配置PVC，选择存储类名称，存储容量和访问模式； 4. 稍等片刻，查看PVC状态，待相应PV创建完成，状态更新为已绑定； 示例YAML： plaintext apiVersion: v1 kind: PersistentVolumeClaim metadata: name: cstorpvchpfs spec: accessModes: ReadWriteOnce resources: requests: storage: 512Gi storageClassName: cstorcsihpfsperfsc 步骤3：创建工作负载 1. 创建工作负载，数据卷选择步骤二创建的PVC，并进行容器内目录挂载； 2. 待容器启动成功后，进入容器，在指定目录写入文件； 示例YAML使用并行文件存储服务： plaintext apiVersion: v1 kind: Pod metadata: name: cstordemopodhpfs spec: containers: name: webserver image: nginx:latest volumeMounts: name: mypvc mountPath: /var/lib/www/html volumes: name: mypvc persistentVolumeClaim: claimName: cstorpvchpfs readOnly: false

创建ECI实例 1. 进入天翼云ECI控制台。 2. 进入ECI控制台后点击创建弹性容器组： 3. 打开高级设置，打开日志服务。 4. 打开容器高级设计，输入日志参数。 1. 输入日志采集路径，要和在日志控制台采集规则里填写的一致，注意这里是路径，不带采集规则里最后的文件名，例：采集规则是 /var/log/nginx/.log，这里的日志采集路径就是 /var/log/nginx。 2. 添加日志环境变量，在环境变量里添加：SLSHOSTGROUPNAME，值为在日志控制台创建的主机组名称，必须一致。 3. 填写其他ECI创建参数，完成ECI实例创建，等待ECI实例状态变成Running。 5. 若通过ECI OpenAPI创建，参考OpenAPI文档。 在创建容器组的请求体里带上：alsInstanceId，以及在容器的环境变量里加上SLSHOSTGROUPNAME 和 ALSAGENTLOGDIRS，分别是日志主机组和日志采集目录（alsInstanceId可从日志控制台获取）。 查看日志 1. 回到天翼云官网云日志控制台。 2. 点击日志项目或单元，进入日志检索页面： 3. 查看容器日志，可能有几分钟延迟：

链路追踪 自动发现应用拓扑：通过拓扑图更加直观地看到应用的上下游组件以及与它们的调用关系，同时提供应用请求总量、请求耗时等关键指标，帮助客户更快速地找出应用的瓶颈。 调用链分析：一次请求将会被记录为一条调用链路数据，每条调用链数据都包含着详细的调用数据，包括服务名称、接口名称、方法名称、调用类型、平均耗时等。通过调用栈逐层查看异常发生的具体节点，可以更快确认问题可能原因。 Prometheus监控 一键接入容器监控：容器集群可一键接入Prometheus监控平台，实现集群及工作负载的一体化监测。 内置容器监控大盘：默认内置多种容器监控大盘，包括集群概览、核心组件、Node、Pod等监控能力。 自定义数据接入：基于 ServiceMonitor、PodMonitor 实现容器自定义指标采集。同时提供Remote Write标准接口，远程接入开源Prometheus的监控数据。 灵活的告警配置 多指标告警配置：提供接口调用、HTTP返回码、异常、JVM内存与线程、数据库等多项告警指标配置。 多通知渠道：支持短信、邮件、翼连、Webhook（企业微信、钉钉、飞书等）。 静默策略：支持组合配置且或条件，设置静默时间段。

本文主要介绍最佳实践 天翼云容器镜像服务最佳实践.pdf

本文为您介绍如何使用ECI快速部署ChatGLM6B。 背景信息 ChatGLM6B 是一个开源的、支持中英双语的对话语言模型，基于 General Language Model架构，具有 62 亿参数。结合模型量化技术，用户可以在消费级的显卡上进行本地部署（INT4 量化级别下最低只需 6GB 显存）。ChatGLM6B 使用了和 ChatGPT 相似的技术，针对中文问答和对话进行了优化。经过约 1T 标识符的中英双语训练，辅以监督微调、反馈自助、人类反馈强化学习等技术的加持，62 亿参数的 ChatGLM6B 已经能生成相当符合人类偏好的回答。如果没有GPU硬件的话，也可以在CPU上进行推理，但是推理速度会更慢。 前期准备 已开通天翼云弹性容器实例服务。 天翼云容器镜像服务CRS或私有镜像仓库中已推送开源ChatGLM6B镜像。 硬件需求 量化等级 最低GPU显存 无GPU情况下内存需求 INT4 6GB 32GB INT8 8GB 暂未测试 FP16（无量化） 13GB 暂未测试 操作步骤 下面将介绍如何在ECI上快速部署ChatGLM6B的CPU实例并进行推理。 1. 通过天翼云弹性容器实例订购页面创建ECI实例。 2. 根据上述硬件需求，配置合适的CPU，内存资源。 3. 镜像选择开源ChatGLM6B镜像，并指定镜像版本。 4. 在容器设置中，配置启动命令 python3 webdemo.py、cpu。 5. 提交订单，然后回到控制台页面等待ECI实例Running。

容器IP地址管理 VPC网络按如下规则分配容器IP： 容器网段需单独分配 节点维度划分地址段，集群的所有节点从容器网段中分配一个固定大小（用户自己配置）的IP网段 容器网段依次循环分配IP网段给新增节点 调度到节点上的Pod依次循环从分配给节点的IP网段内分配IP地址 图 VPC网络IP地址管理 按如上IP分配，VPC网络的集群最多能创建节点数量 容器网段IP数量 ÷ 节点从容器网段中分配IP网段的IP数量 比如容器网段为172.16.0.0/16，则IP数量为65536，节点分配容器网段掩码为25，也就是每个节点容器IP数量为128，则最多可创建节点数量为65536/128512。当然，集群能创建多少节点，还受节点网络和集群规模的影响。 图 容器网段配置（创建集群时配置） 网段规划建议 在集群网络构成中介绍集群中网络地址可分为节点网络、容器网络、服务网络三块，在规划网络地址时需要从如下方面考虑： 三个网段不能重叠 ，否则会导致冲突。且集群所在VPC下所有子网（包括扩展网段子网）不能和容器网段、服务网段冲突。 保证 每个网段有足够的IP地址可用 。 节点网段的IP地址要与集群规模相匹配，否则会因为IP地址不足导致无法创建节点。 容器网段的IP地址要与业务规模相匹配，否则会因为IP地址不足导致无法创建Pod。每个节点上可以创建多少Pod还与其他参数设置相关，具体请参见节点最多可以创建多少个 Pod。 例如集群规模为200节点，容器网络模型为VPC网络。 则此时选择节点子网的可用IP数量需要超过200，否则会因为IP地址不足导致无法创建节点。 容器网段为10.0.0.0/16，可用IP数量为65536，如容器IP地址管理中所述，VPC网络IP分配是分配固定大小的网段（使用掩码实现，确定每个节点最多分配多少容器IP），例如上限为128，则此时集群最多支撑65536/128512个节点，然后去掉Master节点数量，最终结果就是509个。 图 容器网段配置（创建集群时配置）

本节介绍智算容器使用限制。 约束与限制 购买智算版容器集群实例之前需要在天翼云完成实名认证。 天翼云官网支持：集群订购、退订、续订、节点扩容。 创建节点过程中会使用域名方式从OBS下载软件包，需要能够使用云上内网DNS解析OBS域名，否则会导致创建不成功。为此，节点所在子网需要配置为内网DNS地址，从而使得节点使用内网DNS。在创建子网时DNS默认配置为内网DNS，如果您修改过子网的DNS，请务必确保子网下的DNS服务器可以解析OBS服务域名，否则需要将DNS改成内网DNS。 集群一旦创建以后，不支持变更以下项： 变更集群类型。 变更集群的控制节点数量。 变更控制节点可用区。 变更集群的网络配置，如所在的虚拟私有云VPC、子网、容器网段、服务网段、IPv6、kubeproxy代理（转发）模式。 变更网络模型，例如“容器隧道网络”更换为“VPC网络”。 资源池限制 资源池类型 已加载资源池 L1 资源池 华北2、华南2、西南1、西南2 L2 资源池 上海15、杭州7、武汉41、西安7、长沙42、沈阳8、芜湖4 配额限制 集群类型 租户限制集群数量 单集群管理节点数量 单节点最大Pod数 例外申请方式 专有版集群 5 1000 默认110，可订购时配置自定义Kubelet参数 通过工单咨询 智算版集群 5 1000 默认110，可订购时配置自定义Kubelet参数 通过工单咨询 托管版单实例集群 2 10 默认110，可订购时配置自定义Kubelet参数 通过工单咨询 托管版高可用集群 2 几个档次可选：50/200/1000/2000 默认110，可订购时配置自定义Kubelet参数 通过工单咨询 说明 1. 智算版容器集群依赖底座弹性裸金属资源，如：昇腾910B，需IaaS智算资源支持，申请资源需提交咨询工单或联系对应产品经理。 2. 智算版容器集群目前已经适配了昇腾910B、800I A2，NVIDIA H800、L40S等，适配详情可提交咨询工单或联系对应产品经理。

本节介绍了云容器引擎的最佳实践：如何将Ingress服务暴露到公网。 如果你是通过Ingress访问你的服务，并且想通过公网访问，可为集群Ingress服务配置天翼云ELB。 具体配置步骤如下： 1、登录到控制台，进入服务所在的集群，选择菜单“网络“>”服务“，命名空间选择“kubesystem”，点击”创建服务“按钮。 2、其中负载均衡一栏，选择公网访问，从列表中选择一个要绑定的负载均衡（如果列表为空，请确认你是否有可用的负载均衡，没有的话，请先到ELB控制台创建）。 端口映射一栏，填写好容器端口和服务端口（该端口是负载均衡的监听端口）。如下所示： 注意 nginxingresscontroller pod 默认的http端口是10080，默认的https端口是10443。 如需修改，可以到nginxingresscontroller插件yaml修改端口号。 3、工作负载绑定一栏，类型选择Deployment，名称选择nginxingresscontrollernginxingresscontroller，然后点击提交。 注意 选择工作负载前请先确认nginxingresscontroller插件的版本，如果版本小于1.3.5，这里工作负载类型应选择DaemonSet 4、待ELB绑定后，即可通过服务列表中“集群外访问”中的外网地址访问服务了。

本文介绍如何创建实例并挂载公网IP。 默认情况下，系统只为ECI实例分配一个私网IP，如果ECI实例想要访问公网资源，可以为其绑定EIP，使得ECI实例与公网互通。 背景信息 为ECI实例配置公网连接时，支持以下方式： 配置方式 说明 适用场景 绑定EIP EIP是独立购买的可单独持有的公网IP地址，可以为绑定的ECI实例提供公网服务 您有一个ECI实例用于部署自研的服务，在创建实例时，您需要为该实例绑定EIP。而自研服务您打好镜像上传到自己的Docker Hub镜像仓库中，购买公网IP挂载到ECI实例中，您就能够通过公网的方式从您的Docker Hub中拉取自研容器镜像 配置说明 创建ECI实例时，支持为其绑定已有的EIP，或者自动创建EIP。在弹性容器实例订购页面的其他设置中，按需选择配置EIP的方式。 当选择“使用已有”时，通过下拉列表选择待绑定的EIP。如果您没有已创建的EIP，平台也支持跳转到EIP控制台页面进行创建，待EIP创建完毕后，点击刷新按钮，即可选择新创建的EIP资源。 当选择“自动创建”时，您按需选择EIP带宽峰值，平台在创建容器实例的同时自动创建EIP并绑定。

本文介绍容器安全卫士管理类常见问题。 容器安全卫士有哪些注意事项？ 安全探针仅支持三种容器运行时，包括：docker、containerd、crio。 安全探针在运行时会挂载k8s node宿主机的 /data（非crio）和 /root（crio）目录，请确保目录的权限正常。 安全探针需要跟中心通信，请确保您的k8s集群允许出网策略TCP端口：31080、30432、32345。 接入容器安全卫士对现有业务和服务器运行有影响吗？ 接入容器安全卫士不需要中断现有业务，不会影响服务器的运行状态，即不需要对其进行任何操作（例如关机或重启）。 防护探针本身需要占用宿主机一定资源，可能会对宿主机产生一定影响。不过请放心，容器安全卫士对防护探针做了资源监控和降级处置，来保障业务稳定、安全。

查看组织中的镜像 创建组织后，您可以查看当前组织中的镜像。 步骤 1 登录容器镜像服务控制台。 步骤 2 单击控制台左上角的，选择区域和项目。 步骤 3 在左侧导航栏选择“组织管理”，单击右侧组织名称。 步骤 4 单击“镜像”页签，查看当前组织中的镜像。 图 查看组织中的镜像 删除组织 删除组织前，请先删除组织下的所有镜像。 步骤 1 登录容器镜像服务控制台。 步骤 2 单击控制台左上角的，选择区域和项目。 步骤 3 在左侧导航栏选择“组织管理”，单击右侧组织名称。 步骤 4 单击右上角“删除”按钮，在弹出的对话框中根据提示输入“DELETE”，然后单击“确定”。

本文带您了解如何使用云服务监控。 操作场景 云监控会自动获取您当前账号下云产品的资源并关联相应监测指标，帮助您实时了解云产品的性能指标，及时掌握各项资源的运行状态。 注意 重要信息：因产品升级迭代，自 2025 年 08 月 13 日 00:00:00起，新用户在云监控>云服务监控中不再提供“云容器引擎”（ccse）监控能力，存量已开通云容器引擎实例资源将可继续使用云监控服务监控告警能力。为保证您的服务稳定，建议您统一使用云容器引擎控制台监控告警服务！ 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成云产品的订购。 查看监控数据 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控”，进入监控概览页面。 4. 单击“云服务监控”下拉菜单，选择“云硬盘监控”、“弹性伸缩监控”或“负载均衡监控”等选项，进入对应云产品的监控页面，本文我们选择云硬盘监控。 5. 单击待查看的云服务资源所在行的“查看监控图表”，可查看该云产品中指定资源的监控图表。 6. 云监控支持近两天实时监控数据的导出。在云产品监控页面的右上角，单击“导出监控数据”按钮，添加需要导出的监控项，单击“确定”按钮，可导出数据。

弹性文件服务(CTSFS,Scalable File Service)可为云服务器、物理机、容器等计算服务提供大规模共享访问的存储空间,具备高可用,高性能,低时延特征。满足文件共享、Web应用场景等数据存储需求。

路由 您可以在默认路由表和自定义路由表中添加路由，路由包括目的地址、下一跳类型、下一跳地址等信息，可以决定网络流量的走向。路由分为系统路由和自定义路由。 系统路由：系统路由一般为VPC服务或者其他服务（比如VPN、DC等）自动在路由表添加的路由，无法删除或修改。 创建路由表时，VPC服务会自动在路由表中添加下一跳为Local的路由，通常情况下，路由表中有以下Local的路由： 目的地址是100.64.0.0/10，该路由用于子网内实例访问云上公共服务，比如访问DNS服务器等。 目的地址是198.19.128.0/20，表示系统内部服务使用的网段地址，比如VPCEP等服务。 目的地址是127.0.0.0/8，表示本地回环地址。 目的地址是子网网段，该路由用于当前VPC内，不同子网的内网网络互通。 您在创建子网时，开启IPv6功能，系统将自动为当前子网分配IPv6网段，就可以在路由表中看到IPv6路由。子网网段目的地址示例如下： IPv4地址：192.168.2.0/24。 IPv6地址：240e:c080:802:be7::/64 自定义路由：路由表创建完成后，您可以添加自定义路由来控制网络流量的走向，需要指定路由的目的地址和下一跳等信息。除了手动添加自定义路由，当您使用其他云服务时（比如云容器引擎CCE或者NAT网关），其他服务会自动在VPC路由表中添加自定义路由。 路由表包括默认路由表和自定义路由表，不同路由表中支持添加自定义路由的下一跳类型有差异。 下表是默认路由表支持的下一跳类型。 下一跳类型 下一跳说明 云主机实例 将指向目的地址的流量转发到虚拟私有云内的一台ECS实例。 扩展网卡 将指向目的地址的流量转发到虚拟私有云内的一台ECS实例的扩展网卡。 辅助弹性网卡 将指向目的地址的流量转发到虚拟私有云内的一台ECS实例的辅助弹性网卡。 NAT网关 将指向目的地址的流量转发到一个NAT网关。 对等连接 将指向目的地址的流量转发到一个对等连接。 虚拟IP 将指向目的地址的流量转发到一个虚拟IP地址，可以通过该虚拟IP地址将流量转发到主备ECS。 VPC终端节点 将指向目的地址的流量转发到一个VPC终端节点。 云容器引擎 将指向目的地址的流量转发到一个云容器引擎的节点。 下表是自定义路由表支持下一跳类型。 下一跳类型 说明 云主机实例 将指向目的地址的流量转发到虚拟私有云内的一台ECS实例。 扩展网卡 将指向目的地址的流量转发到虚拟私有云内的一台ECS实例的扩展网卡。 物理机自定义网络 将指向目的地址的流量转发到一个物理机自定义网络。 VPN网关 将指向目的地址的流量转发到一个VPN网关。 云专线网关 将指向目的地址的流量转发到一个云专线网关。 辅助弹性网卡 将指向目的地址的流量转发到虚拟私有云内的一台ECS实例的辅助弹性网卡。 NAT网关 将指向目的地址的流量转发到一个NAT网关。 对等连接 将指向目的地址的流量转发到一个对等连接。 虚拟IP 将指向目的地址的流量转发到一个虚拟IP地址，可以通过该虚拟IP地址将流量转发到主备ECS。 VPC终端节点 将指向目的地址的流量转发到一个VPC终端节点。 云容器引擎 将指向目的地址的流量转发到一个云容器引擎的节点。 说明 个别由系统下发的路由可供用户修改和删除，这取决于创建对端服务时是否已设置目的地址。 例如，创建NAT网关时，系统会自动下发一条自定义类型的路由，没有明确指定目的地址（默认为0.0.0.0/0）,此时用户可修改该目的地址。如果在路由表页面更改路由将会导致与对端数据不一致，您可以前往对端服务页面修改远端子网来调整路由表中的路由规则。 不支持手动在VPC路由表中添加下一跳类型为“VPC终端节点”或者“云容器引擎”的路由，通常您在配置VPC终端节点或者云容器引擎服务时，由该服务自动添加在VPC路由表中。

Prometheus监控服务支持健康巡检接入，健康巡检可定期对目标服务进行连接测试，通过健康巡检，您可进一步掌握服务的健康状况并及时发现异常。 前提条件 已开通应用性能监控Prometheus服务。 已创建云容器引擎集群。 接入步骤 1. 登录应用性能监控Prometheus监控控制台。 2. 点击左侧“接入管理”菜单。 3. 在快速接入中选择“健康巡检”。 4. 根据控制台指引完成组件接入，下面对重点配置项进行说明。 配置项 说明 探测任务名称 自定义唯一探测任务名称。 探测地址 需要探测的目标服务地址。 探测方式 选择探测方式，支持以下方式。 HTTP2XX PING TCP 探测时间间隔(秒) 探测数据的时间间隔。 管理健康巡检 查看健康巡检大盘 完成健康巡检接入后，您可以监控大盘查看巡检情况。 1. 登录应用性能监控Prometheus监控控制台。 2. 点击左侧“接入管理”菜单。 3. 点击“已计入组件”页签。 4. 选择“健康巡检”卡片，在在大盘列表页签下，选择指定的容器环境。点击大盘名称即可查看对应的巡检大盘。

本节介绍了监控节点的用户指南。 监控节点 云容器引擎集群集成了Prometheus监控服务，可查看对应节点实例的基本监控信息。本文介绍如何查看Kubernetes集群下节点的监控信息。 操作步骤 登录云容器引擎控制台在左侧导航栏选择 集群 。 在集群列表 页面，单击目标集群名称，然后在左侧导航栏，选择 节点管理 > 节点 。 在节点 页面，单击目标节点右侧左操作 列的 监控 。

本小节介绍查看容器告警事件。 企业主机安全可对您已开启的告警防御能力提供总览数据，帮助您快速了解安全告警概况包括存在告警的容器、待处理告警事件、已处理告警事件。 事件列表仅保留近30天内发生的告警事件，您可以根据自己的业务需求，自行判断并处理告警，快速清除资产中的安全威胁。 告警事件处理完成后，告警事件将从“未处理”状态转化为“已处理”。 约束限制 未开启防护的服务器不支持告警事件相关操作。 操作步骤 1、登录管理控制台。 2、在左侧导航栏中选择“入侵检测 > 安全告警事件 > 容器安全告警”，进入“容器安全告警”页面，查看容器告警事件信息。 查看容器告警事件概览。 安全告警统计：您可以查看存在告警的容器数量，以及待处理和已处理告警事件数量。 威胁等级：您可以查看容器存在的告警等级分布数量。 TOP事件类型：您可以查看容器中告警数量排在前五的事件类型。 查看容器告警事件分类列表。 在“事件类型”栏，选择告警事件类型，查看每个事件类型对应的告警事件列表。在告警事件列表中可以查看告警威胁等级、告警名称、受影响容器实例名称等信息。 查看容器告警事件详细信息。 单击目标告警事件的告警名称，进入告警事件详情页面，可以查看容器ID、IP地址、虚拟机名称、镜像ID等信息。