本文介绍AnyWhere集群。 天翼云CCE Anywhere集群是面向分布式云场景，提供的一种全新本地 Kubernetes 集群部署选项：构建在Kubernetes子项目Cluster API（CAPI）之上，通过申明式API和控制器模式,让您在自己管理的IDC基础设施或边缘设施中，创建、管理和升级基于天翼云CCE Distro发行版的Kubernetes集群；拥有与云上CCE发行版相同可靠性和安全性的同时，通过连接到云上注册集群，可获得标准化集群运维（含日志、监控、巡检、诊断、备份等）、丰富的插件扩展，以及智算套件、集群联邦等高阶扩展能力，实现轻量敏捷、云边一体的分布式容器云服务。 产品优势 公有云标准化交付，相同可靠性与安全性。 丰富扩展能力，将云上现代化操作实践和工具适配本地集群环境。 支持纯离线环境部署交付。 基于云原生开源标准构建。 应用场景 将本地应用从虚拟机迁移到现代化容器。 基于容器构建内部开发平台，以标准化团队资源使用。 将本地基础设施容器化后，与云上资源打通以实现极致弹性能力。 将本地基础设施容器化后，接入CCE One集群联邦以实现分布式智算能力。 施工指南

本节介绍了应用服务网格的订购计费类常见问题 应该如何选择资源池？ 一般情况下我们建议选择和您目标用户所在地域最为接近的数据中心，可以进一步提升用户访问速度。 订购应用服务网格有什么限制？ 应用服务网格依赖云容器引擎部署控制面，您在开通之前需先开通云容器引擎。

容器配置 Pod中可以配置多个容器，您可以单击右侧“添加容器”为Pod配置多个容器。 容器名称：为容器命名。 镜像更新策略：选择是否总是拉取镜像。 镜像名称：选择容器使用的镜像，支持多种镜像来源。 镜像版本：选择需要部署的镜像版本。 资源配额：配置 CPU 和内存的申请值和限制值。 初始化容器：选择是否作为初始化容器。 生命周期：设置容器生命周期 环境变量：设置容器运行环境的变量。 镜像访问凭证：选择访问镜像仓库的凭证。 高级配置 设置任务参数，设置标签与注解、网络配置等。 任务设置参数 并发策略：支持如下三种模式。 允许Allow（默认）：CronJob 允许并发 Job 执行。 禁止Forbid：CronJob 不允许并发执行；如果新 Job 的执行时间到了而老 Job 没有执行完，CronJob 会忽略新 Job 的执行。 另请注意，当老 Job 执行完成时，仍然会考虑 .spec.startingDeadlineSeconds，可能会导致新的 Job 执行。 Replace：如果新 Job 的执行时间到了而老 Job 没有执行完，CronJob 会用新 Job 替换当前正在运行的 Job。 执行策略：选择CronJob的执行周期，即每隔这个时间周期CronJob就会执行一次。 单击右下角“创建工作负载”完成创建。

本文介绍CCE容器集群拉取本地私有仓库镜像权限不足问题。 问题背景 用户自己搭建了一套harbor镜像仓库，并购买了天翼云的容器引擎产品。用户需要cce集群能够使用用户本地搭建的harbor镜像仓库中的镜像。 操作前提 保证该harbor仓库所在网络与cce容器引擎集群的网络是联通的 解决方案 准备好仓库的ca.crt文件 在初期进行harbor私有仓库搭建的时候，为了保证对于harbor的安全使用，对harbor的https访问进行配置，为了能够使cce集群拉取harbor的镜像，我们需要搭建harbor仓库时所使用的CA证书。证书通常存放在Harbor主机上的docker 证书目录：/etc/docker/certs.d/harbor域名/中，在/etc/docker/certs.d/harbor域名/ 中存放着我们所需要的文件：ca.crt 在cce集群上创建存放证书的文件夹 执行以下命令，创建文件夹，用于存放证书文件： mkdir p /etc/docker/certs.d/harbor域名/ 拷贝证书文件到指定文件夹 登陆本地harbor主机，将CA文件拷贝到集群主机指定文件夹下，执行以下命令： scp r /etc/docker/certs.d/harbor域名/ca.crt root@集群主机IP:/etc/docker/certs.d/harbor域名/ 验证 登陆集群节点，再集群节点上进行操作。 方法一：重新部署相关服务，验证是否能够正常拉取镜像。 方法二：通过登陆harbor仓库，执行拉取镜像操作： docker login harbor域名 docker pull 仓库名/镜像名:镜像tag

约束与限制 如果IP经过NAT，则只能获取到NAT转化后的IP地址，无法获取到NAT转化前的IP地址。 如果客户端为容器，只能获取到容器所在主机的IP地址，无法获取容器的IP。 四层监听器（TCP/UDP）开启“获取客户端IP”功能之后，不支持同一台服务器既作为后端服务器又作为客户端的场景。 独享型负载均衡的四层监听器（TCP/UDP）默认开启源地址透传功能，无需手动开启，且不支持关闭。 说明 如果客户端经过WAF+ELB访问服务器，则还可以通过WAF直接获取客户端真实IP。 七层服务 针对七层服务（HTTP/HTTPS协议），需要对应用服务器进行配置，然后使用XForwardedFor的方式获取来访者的真实IP地址。 实的来访者IP会被负载均衡放在HTTP头部的XForwardedFor字段，格式如下： XForwardedFor: 来访者真实IP, 代理服务器1IP, 代理服务器2IP, ... 当使用此方式获取来访者真实IP时，获取的第一个地址就是来访者真实IP。 配置Apache服务器 1. 安装Apache 2.4。 例如在CentOS 7.5环境下，可以执行如下命令执行安装： yum install httpd 2. 修改Apache的配置文件/etc/httpd/conf/httpd.conf，在最末尾添加以下配置信息。 LoadModule remoteipmodule modules/modremoteip.so RemoteIPHeader XForwardedFor RemoteIPInternalProxy 100.125.0.0/16 图 修改Apache的配置文件示例图 说明 将代理服务器的网段添加到 RemoteIPInternalProxy 。 共享型负载均衡需要添加的IP地址段为 100.125.0.0/16（100.125.0.0/16 是负载均衡服务保留地址，其他用户无法分配到该网段内，不会存在安全风险）和高防IP地址段。多个IP地址段用逗号分隔。 独享型负载均衡需要添加ELB实例关联的VPC子网网段。 3. 修改Apache的配置文件/etc/httpd/conf/httpd.conf，将日志输出格式修改为如下所示（%a代表源IP地址）： LogFormat "%a %l %u %t "%r" %>s %b "%{Referer}i" "%{UserAgent}i"" combined 4. 重启Apache。 systemctl restart httpd 5. 查看httpd的访问日志，您可以获取真实的来访者IP。

本节介绍风险阻断的用户指南。 概述 通过风险阻断功能，配置阻断规则以及可放通的规则和漏洞白名单，能够在拉取镜像时检查容器镜像是否符合阻断策略，并采取阻断措施，返回相关阻断说明。提高容器运行环境的安全系数。 添加风险阻断策略 本功能只能在企业版实例使用，对于个人版实例不支持使用此功能。 1. 进入容器镜像服务控制台。 2. 在顶部菜单栏，选择所需资源池。 3. 在实例页面中选择已开通的企业版实例。 4. 在企业版实例管理页面的左侧菜单上选择 "安全可信" "风险阻断"，在界面左上角点击“配置阻断策略”按钮。 5. 在弹出界面中设置策略所属命名空间、阻断规则、放通未扫描和漏洞白名单等信息，点击“确定”，各参数说明如下： 参数 是否必填 说明 命名空间 必填 本策略关联的命名空间，凡是此命名空间下的所有镜像拉取都会使用当前策略进行检查。 阻断规则 必填 可选项包括：严重、高危、中危和低危。凡是所拉取的镜像包含规则指定漏洞等级及以上的，则会被阻断拦截。 放通未扫描 非必填 当所拉取的镜像因正在扫描或者扫描失败而无法获取扫描结果的，需要勾选此选项方可正常拉取，否则仍然会被阻断拦截。 漏洞白名单 非必填 可录入一条或多条漏洞的CVE ID（多条用英文逗号“,”分隔），如果镜像安全扫描结果中包含该漏洞ID，将被阻断规则忽略。

本节介绍了RBAC授权的用户指南。 操作场景 角色绑定（Role Binding）是将角色中定义的权限赋予一个或者一组用户。它包含若干主体（用户、组或服务账户）的列表和对这些主体所获得的角色的引用。 RoleBinding 在指定的名字空间中执行授权，而 ClusterRoleBinding 在集群范围执行授权。一个 RoleBinding 可以引用同一的名字空间中的任何 Role。 或者，一个 RoleBinding 可以引用某ClusterRole 并将该 ClusterRole 绑定到RoleBinding 所在的名字空间。如果你希望将某 ClusterRole 绑定到集群中所有名字空间，你要使⽤ClusterRoleBinding。 前提条件 已创建云容器引擎集群，具体操作请参见创建⼀个集群。若已有容器集群，⽆需重复操作。 操作步骤 注意 子账号来自于天翼云的 ，请提前创建好子用户，并需子用户登陆天翼云后才可以同步到云容器引擎控制台。 为⼦账号授权或调整子账号权限： 1、登陆云容器引擎控制台， 点击左侧导航栏中的集群，进入集群列表页。 2、在集群列表中点击需要授权的集群，进入集群管理页面。 3、在集群管理页面导航栏中选择安全管理 > 授权，进入角色授权页面。 4、点击管理权限操作单个子账号权限，或选择多个子账号后点击添加权限为多个子账号批量授权，点击后进入集群RBAC配置页面。 5、在集群RBAC配置页面中，可以对子账号已有的用户权限进行调整或为子账号新增权限，权限可以限定单个命名空间或不限制命名空间（集群权限），⽤户可设置的权限有内置权限（管理员、运维人员、开发人员、受限人员）和自定义权限，选择自定义权限可选择集群中创建的任意Cluster Role进行授权。 6、点击下⼀步完成授权。

参数 说明 CPU申请 容器使用的最小CPU需求，作为容器调度时资源分配的判断依赖。 只有当节点上可分配CPU总量 ≥ 容器CPU申请数时，才允许将容器调度到该节点。 CPU限制 容器能使用的CPU最大值。

本文为您介绍如何使用ECI加载DeepSeek R1。 DeepSeek R1介绍 DeepSeekR1 是一款强化学习（RL）驱动的推理模型，解决了模型中的重复性和可读性问题。在 RL 之前，DeepSeekR1 引入了冷启动数据，进一步优化了推理性能。它在数学、代码和推理任务中与 OpenAIo1 表现相当，并且通过精心设计的训练方法，提升了整体效果。 使用限制 模型 推荐规格(云主机) 支持资源池 DeepSeekR1:1.5b 内存：4GB起 所有ECI已上线资源池 DeepSeekR1:7b 内存：16GB起 所有ECI已上线资源池 DeepSeekR1:8b 内存：16GB起 所有ECI已上线资源池 DeepSeekR1:14b 内存：32GB起 所有ECI已上线资源池 DeepSeekR1:32b 内存：64GB起 起临时存储空间：100GB起 所有ECI已上线资源池 DeepSeekR1:70b 内存：128GB起 临时存储空间：150GB起 所有ECI已上线资源池 ECI弹性容器实例接入DeepSeek R1最佳实践 1. 订购弹性容器实例，以最小模型1.5b为例。 2. 选择开源容器镜像(opensource/openwebuideepseekr1) 。 3. 打开容器高级设置，自定义环境变量。 其中PORT代表Open WebUI服务暴露的端口，ENABLEOPENAIAPI代表是否启用OpenAI的API，RAGEMBEDDINGENGINE代表RAG（Retrieval Augmented Generation：检索增强生成）使用的嵌入式引擎。 说明 国内环境建议按照示例配置。 4. 点击下一步，绑定弹性IP。支持自动创建或绑定已有EIP。 5. 确认订单，等待容器实例Running。 6. 检查端口连通性。 7. 安全组放开指定端口(PORT环境变量)。 8. 通过浏览器访问Open WebUI，如 EIP:PORT，点击Get started。 9. 创建管理员帐号/密码登入。 10. 进入主界面。 11. 模型验证。

本文介绍如何为容器集群安装Sever/Agent。 需要为容器集群安装Sever/Agent，将容器集群纳管到容器安全卫士控制台后，才能对容器集群进行安全防护。 前提条件 已购买容器安全卫士实例。 安装Sever/Agent 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“安装配置 > 组件安装”。 3. 单击“集群组件部署”，进入集群组件部署页面，获取集群组件部署脚本，并按页面提示进行集群组件的安装。 4. 在左侧导航栏选择“安装配置 > 运行状态”，更新并查看节点防护状态。

本文介绍ECI实例如何挂载配置项数据卷。 配置项(configFile)是ECI为客户提供的一种存放配置文件的存储形态，用于向ECI实例注入配置数据，便于容器从自定义路径读取相关配置信息。 使用限制 待挂载配置项的文件内容采用明文输入，平台会自动进行base64编码。 配置说明 1.在弹性容器实例控制台左侧导航栏中选择“容器组”，进入容器组列表页。 2.点击“创建弹性容器组”，进入弹性容器实例订购页。 3.在容器组配置中打开“高级设置”，添加配置项。 4.在容器配置中打开“高级设置”，添加配置项存储卷并指定容器内的挂载路径，以及是否只读挂载等，最后点击“+添加存储”为容器配置存储卷。

操作场景 创建工作负载或任务时，通常通过镜像指定容器中运行的进程。 在默认情况下，镜像会运行默认命令，如果想运行特定命令或重写镜像默认值，需要用到以下设置： 工作目录：指定运行命令的工作目录。 若镜像中未指定工作目录，且在界面中也未指定，默认是“/”。 运行命令：控制镜像运行的实际命令。 运行参数：传递给运行命令的参数。 说明： 容器启动后，容器中的内容不应修改。如果修改配置项（例如将容器应用的密码、证书、环境变量配置到容器中），当容器重启（例如节点异常重新调度pod）后，会导致配置丢失，业务异常。 配置信息应通过入参等方式导入容器中，以免重启后配置丢失。 容器如何执行命令和参数 Docker的镜像拥有存储镜像信息的相关元数据，如果不设置生命周期命令和参数，容器运行时会运行镜像制作时提供的默认的命令和参数，Docker原生定义这两个字段为“Entrypoint”和"CMD"。 如果在创建工作负载时填写了容器的运行命令和参数，将会覆盖镜像构建时的默认命令"Entrypoint"、"CMD"，规则如下： 容器执行命令和参数 镜像 Entrypoint 镜像CMD 容器运行命令 容器运行参数 最终执行 [touch] [/root/test] 未设置 未设置 [touch /root/test] [touch] [/root/test] [mkdir] 未设置 [mkdir] [touch] [/root/test] 未设置 [/opt/test] [touch /opt/test] [touch] [/root/test] [mkdir] [/opt/test] [mkdir /opt/test] 设置启动命令 步骤 1 登录CCE控制台，在创建工作负载或任务时，展开“生命周期”。 步骤 2 在启动命令后，输入运行命令和运行参数，如下表。 容器启动命令 命令方式 操作步骤 运行命令 输入可执行的命令，例如“/run/server”。 若运行命令有多个，多个命令之间用空格进行分隔。若命令本身带空格，则需要加引号（""）。 说明 多命令时，运行命令建议用/bin/sh或其他的shell，其他全部命令作为参数来传入。 运行参数 输入控制容器运行命令参数，例如port8080。 若参数有多个，多个参数以换行分隔。 说明： 当前启动命令以字符串数组形式提供，对应于Docker的Entrypoint启动命令，格式为： ["executable", "param1", "param2",..]。Kubernetes的容器启动命令可参见[这里](

本文主要介绍设置容器生命周期。 操作场景 CCE提供了回调函数，在容器的生命周期的特定阶段执行调用，比如容器在停止前希望执行某项操作，就可以注册相应的钩子函数。 目前提供的生命周期回调函数如下所示： 启动命令： 容器将会以该启动命令启动，请参见启动命令。 启动后处理： 容器启动后触发，请参见启动后处理。 停止前处理： 容器停止前触发。设置停止前处理，确保升级或实例删除时可提前将实例中运行的业务排水。详细请参见停止前处理。 启动命令 在默认情况下，镜像启动时会运行默认命令，如果想运行特定命令或重写镜像默认值，需要进行相应设置。 Docker的镜像拥有存储镜像信息的相关元数据，如果不设置生命周期命令和参数，容器运行时将运行镜像制作时提供的默认的命令和参数，Docker将这两个字段定义为ENTRYPOINT和 CMD。 如果在创建工作负载时填写了容器的运行命令和参数，将会覆盖镜像构建时的默认命令ENTRYPOINT、CMD，规则如下： 表 容器如何执行命令和参数 镜像ENTRYPOINT 镜像CMD 容器运行命令 容器运行参数 最终执行 [touch] [/root/test] 未设置 未设置 [touch /root/test] [touch] [/root/test] [mkdir] 未设置 [mkdir] [touch] [/root/test] 未设置 [/opt/test] [touch /opt/test] [touch] [/root/test] [mkdir] [/opt/test] [mkdir /opt/test] 步骤 1 登录CCE控制台，在创建工作负载时，配置容器信息，选择“生命周期”。 步骤 2 在“启动命令”页签，输入运行命令和运行参数。 表 容器启动命令 命令方式 操作步骤 运行命令 输入可执行的命令，例如“/run/server”。若运行命令有多个，多个命令之间用空格进行分隔。 若命令本身带空格，则需要加引号（""）。 说明多命令时，运行命令建议用/bin/sh或其他的shell，其他全部命令作为参数来传入。 运行参数 输入控制容器运行命令参数，例如port8080。若参数有多个，多个参数以换行分隔。

本文介绍如何查看智算容器实例相关信息。 查看容器相关信息 1. 在弹性容器实例控制台左侧导航栏中选择“智算容器组实例管理”。 2. 点击实例名称，查看容器详情。 3. 点击数据卷页签，查看挂载数据卷情况。 4. 点击事件页签，查看事件详情。 5. 点击日志页签，查看容器日志。 6. 点击远程登录页签，进入容器内部。

本节介绍了云容器引擎的最佳实践：负载均衡。 集群内访问 假设我们在一个K8S的集群里面发布了两个应用，前端应用frontend和后端应用backend，前端应用要访问后端应用，那么有以下两种方式。 使用应用名进行访问 假设在K8S集群中发布的后端应用的名称为backend，它监听8080端口，那么在前端应用的容器中，可以直接使用后端应用的名称加端口 进行访问，K8S会自动转发到后端的某个容器实例。如下所示： 注意，上面的转发其实是四层转发，即如果后端应用是mysql类型的，可使用tcp://backend:8080进行访问，如果后端应用为web应用，可使用 另外，上面的访问方式要求前端应用和后端应用要在K8S集群的同一个命名空间内。如果二者不在同一个命名空间，比如后端应用在命名空间ns2中，那么前端应用应该使用 进行访问（即应用名后面要加上命名空间） 使用微服务架构自己的注册机制 如果业务开发者使用的微服务架构有注册机制，那么可以直接使用微服务框架的注册机制来做负载均衡。如下： 后端应用容器实例把自己的IP与端口注册到zookeeper或eureka，前端应用容器实例去注册中心获取后端应用的实例列表，然后前端应用的实例自己决定访问哪一个实例。 注册中心zookeeper/eureka集群可以部署在K8S集群内，也可以部署在集群外，这个需要业务方自己去部署。 集群外访问 假设我们要从浏览器上访问上面的前端应用，下面我们来介绍几种方法：

Job 和 CronJob： Job：定义一次性任务，执行后即视为完成，创建此类型负载请参见创建普通任务(Job)，旧版本页面请参见创建任务。 CronJob：根据排期表多次运行同一个 Job，创建此类型负载请参见创建定时任务(CronJob)，旧版本页面请参见创建定时任务。 云容器引擎（CCE）提供了基于 Kubernetes 原生类型的容器部署和管理能力，支持容器工作负载的部署、配置、监控、扩容、升级、卸载、服务发现及负载均衡等生命周期管理。 Deployment与StatefulSet的区别 对比维度 Deployment StatefulSet 适用场景 适用于无状态应用，如前端 Web 服务、无状态 API 网关、临时计算任务等无需保持状态的服务。 适用于有状态应用，如数据库（MySQL、PostgreSQL）、有状态中间件（Kafka、ZooKeeper）、分布式存储集群（Etcd）等需持久状态的应用。 Pod 命名与启动顺序 Pod 名称由系统随机生成（如 nginxdeploy7cbb48f9d6abc12），无固定创建或删除顺序。 Pod 名称按索引顺序固定（如 mysql0、mysql1），严格按索引顺序依次创建（从0开始）和逆序终止。 存储卷管理 通常多个 Pod 共享同一个 PersistentVolumeClaim（PVC），存储数据的一致性需由应用自身保证。 通过 VolumeClaimTemplate 为每个 Pod 动态创建独立的 PVC，Pod 重建后仍绑定原存储，保证数据持久性。 网络标识稳定性 Pod IP 和 DNS 记录随 Pod 重启或重建而变化，一般通过 Service 以负载均衡方式对外提供服务。 每个 Pod 拥有稳定的 DNS 域名（格式： . . .svc.cluster.local），IP 可能变化但域名永久有效。 更新策略 支持 RollingUpdate（逐步替换 Pod，新Pod就绪后，旧Pod才会被删除，确保更新过程中始终有Pod提供服务）和 Recreate（全部删除后重建），可结合 ReplicaSet 实现版本回滚。 默认采用顺序更新策略（RollingUpdate），按 Pod 索引逐次进行，确保拓扑秩序；也可配置为并行更新。 服务访问方式 通过 ClusterIP 或 LoadBalancer 类型的 Service 统一接入，请求被随机分发到任一后端 Pod。 需配合 Headless Service（clusterIP: None）使用，客户端可通过稳定 DNS 直接寻址到特定 Pod。 扩缩容行为 直接调整副本数，新 Pod 无顺序要求，可快速弹性伸缩。 扩容时按索引顺序新增 Pod（如先创建 web2，再 web3），缩容则按索引逆序终止。 数据持久化特点 适合只读或可共享的存储卷（如 NFS），Pod 销毁后存储卷通常可被其他 Pod 复用。 每个 Pod 对应专属存储，Pod 与存储生命周期绑定，适合需要独立数据目录的场景（如数据库主从节点）。

参数 参数说明 云存储类型 云硬盘：云硬盘的使用方式与传统服务器硬盘完全一致。同时，云硬盘具有更高的数据可靠性，更高的I/O吞吐能力和更加简单易用等特点，适用于文件系统、数据库或者其他需要块存储设备的系统软件或工作负载。 注意 如需挂载云硬盘，创建工作负载时的实例数量必须选择为1个实例，即单实例，选择多实例后挂载云硬盘的选项将置灰，无法挂载。 创建有状态工作负载并添加云存储时，云硬盘暂不支持使用已有存储。 云硬盘不支持跨可用区挂载，且暂时不支持被多个工作负载、同一个工作负载的多个实例或多个任务使用。 分配方式 使用已有存储 选择已创建的存储，您需要提前创建好存储。 针对同一集群和命名空间，创建无状态工作负载时可以选择“使用已有存储”。 创建有状态工作负载时暂不支持选择“使用已有存储”，只能使用“自动分配存储”。 自动分配存储 选择自动分配存储后，需要配置如下选项： 1. 访问模式：是用来对PV进行访问模式的设置，用于描述用户应用对存储资源的访问权限。 ReadWriteOnce (RWO)： 基于云硬盘非共享卷提供容器负载单Pod单独单写块存储的功能，但是该卷只能被单个节点挂载。v1.13.10r1开始支持RWO模式的存储卷。 ReadWriteMany (RWX)： 基于云硬盘共享卷提供容器负载访问块存储的功能。由于容器侧不支持跨节点的共享卷读写一致性能力，在老集群（<1.15.6）下受限使用（需要确保单负载单实例单独单写），1.15开始只支持创建和使用RWO模式的非共享卷 2. 可用区：存储所在的可用区，自动分配存储仅支持Node节点所在可用区。 3. 子类型：选择存储的子类型。 高I/O：指由SAS存储介质构成的云硬盘。 普通I/O：指由SATA存储介质构成的云硬盘。 超高I/O：指由SSD存储介质构成的云硬盘。 4. 存储容量：输入存储容量，单位为GB。请不要超过存储容量配额，否则会创建失败。 添加容器挂载 1. 单击“添加容器挂载”。 2. 挂载路径：输入数据卷挂载到容器上的路径。 须知 请不要挂载在系统目录下，如“ / ”、“ /var/run” 等，会导致容器异常。建议挂载在空目录下，若目录不为空，请确保目录下无影响容器启动的文件，否则文件会被替换，导致容器启动异常，工作负载创建失败。 挂载高危目录的情况下 ，建议使用低权限帐号启动，否则可能会造成宿主机高危文件被破坏。 3. 设置权限。 只读：只能读容器路径中的数据卷。 读写：可修改容器路径中的数据卷，容器迁移时新写入的数据不会随之迁移，会造成数据丢失。

在云容器引擎中安装Ingress APISIX 自主安装apisix、apisixingresscontroller和Dashboard组件。具体安装步骤可参考：Apache APISIX Helm Chart 参考安装。 对appa进行网络配置 针对入口应用appa，分别为基线版本和灰度版本配置两个K8s Service，用于Ingress APISIX转发流量。 1. 登录云容器引擎，选择左侧菜单“集群”，再点进目标集群。 2. 在集群管理页面，点击网络>服务。 3. 选择命名空间，点击“新增YAML”，依次创建下面两个YAML资源。 appabaseservice对应appa应用的基线版本： apiVersion: "v1" kind: "Service" metadata: name: "appabaseservice" namespace: "default" spec: ports: name: "http" port: 26160 protocol: "TCP" targetPort: 26160 selector: name: "appa" appabaseservice对应appa应用的基线版本： apiVersion: "v1" kind: "Service" metadata: name: "appagrayservice" namespace: "default" spec: ports: name: "http" port: 26160 protocol: "TCP" targetPort: 26160 selector: name: "appagray" 4. 登录APISIX控制台，点击“上游”，在上游管理页面中点击创建，分别为appa和appagray配置上游服务，配置详情如下： appa： appagray：

本章节介绍一种应用启动异常的排查思路 概述 MSAP发布应用到容器后，变更记录显示变更失败，容器组（Pod）运行状态一直处于启动中状态，这是一种异常状态。这种异常的发生存在多种原因，此处给出一种排查应用启动异常的排查思路。 应用启动异常排查思路 查看事件 在应用实例详情页面，容器组（Pod）列表，点击容器对应的事件按钮，查看容器相关事件。此步骤主要排除部署配置和容器平台异常。 查看日志 容器相关事件正常时，下一步去查看容器相关日志信息。在应用实例详情页面，容器组（Pod）列表，点击容器对应的日志按钮，此步骤主要确定容器启动失败原因。 从日志可以判断该应用配置的Java启动参数有问题，导致应用启动失败。

本文介绍ECI实例如何挂载到ELB。 负载均衡ELB是一种对流量进行按需分发的服务，可以将流量分发到不同的后端服务来扩展应用系统的服务吞吐能力，并且可以消除系统中的单点故障，提升应用系统的可用性。本文介绍如何将ECI实例添加到ELB实例的后端服务器中，并配置监听，实现通过ELB将流量分发到ECI实例。 背景信息 负载均衡ELB（Elastic Load Balancer）由ELB实例、后端服务器和监听三部分组成，配置ECI实例挂载到ELB的操作流程如下： 1. 创建ECI实例：搭建负载均衡服务前，您需要根据业务需求规划地域和网络，然后在此基础上创建ECI实例，完成相关应用部署。 2. 创建ELB实例：使用负载均衡服务时，您需要创建一个ELB实例，每个ELB实例代表一个负载均衡服务实体，用于接收流量并将其分发给后端服务器。 3. 将ECI实例添加到ELB实例的后端服务器中：后端服务器是一组接收前端请求的服务器。将ECI实例添加到后端服务器后，可以接收ELB实例转发的客户端请求。对于ELB实例，您需要先创建一个后端组，然后再添加ECI实例。 4. 配置监听：监听用于检查客户端请求，并将请求转发给后端服务器。您需要为ELB实例配置监听，包括协议、端口和调度算法等。 操作步骤 1. 登录负载均衡ELB控制台。 2. 在负载均衡器页面，找到目标ELB实例，在对应操作列中单击添加后端服务。 3. 搜索弹性容器ECI类型的后端。 4. 添加后端主机选择。 5. 添加后端主机确认。 6. 后端主机组查看弹性容器ECI实例列表。

本节介绍了用户指南： 海量文件概述。 云容器引擎支持挂载天翼云海量文件存储卷。cstorcsi插件支持使用海量文件动态存储卷和静态存储卷，通过将海量文件存储卷挂载到容器指定目录下，以满足数据持久化需求。 海量文件服务OceanFS为全托管、可扩展的海量文件系统，适用于海量数据及高带宽应用场景。OceanFS支持弹性扩展至PB级别，具备高可用性与数据持久性，适用于高性能计算、媒体处理、文件共享、内容管理及Web服务等多种场景。 使用限制 插件版本 使用海量文件存储功能，需要cstorcsi插件版本 >3.6.0 文件协议 当前cstorcsi插件仅支持NFS协议 容量 单个文件系统最小容量为100GB subpath模式 在subpath模式下，暂不支持目录配额，subpath使用的容量实际上是整个海量文件的容 其他限制 参见 海量文件使用限制 产品优势 共享访问 1. 支持多台客户端挂载访问同一文件系统，可支持连接上千个客户端实例。 2. 支持NFSv3/v4.1。 3. 支持IPv4和IPv6网络协议。 海量可扩展 1. 用户可以根据业务需要配置文件系统的初始存储容量，后续可以随着数据量的变化而扩容。 2. 支持PB级存储空间。 安全可信 1. 支持使用VPC用户隔离、权限组等安全管理功能进行访问权限控制，保障数据安全可靠。 2. 文件服务支持HA高可用，出现任何硬件故障时，业务自动切换到其他节点，服务可用性在99.95%及以上。 友好易用 1. 操作界面友好、简单易用，用户可通过控制台界面快速轻松地创建、配置和管理文件系统，省去复杂的文件系统部署工作。 2. 提供全托管服务，不必考虑复杂的安装、配置及性能调优工作，用户可轻松创建使用文件系统，只需几分钟便可使用高性能的文件系统。

Device Mapper类型 Device Mapper类型节点上的容器引擎和容器镜像空间默认占数据盘空间的90%（建议维持此值），这些容量又分为dockersys分区和thinpool空间，计算公式如下： 容器引擎和容器镜像空间：默认占数据盘空间的90%，其空间大小 数据盘空间 90% dockersys分区（/var/lib/docker路径）：默认占比20%，其空间大小 数据盘空间 90% 20% thinpool空间：默认占比为80%，其空间大小 数据盘空间 90% 80% Kubelet组件和EmptyDir临时存储：占数据盘空间的10%，其空间大小 数据盘空间 10% 在Device Mapper类型的节点上，拉取镜像时tar包会在dockersys分区临时存放，等tar包解压后会把实际镜像文件存放在thinpool空间，最后dockersys空间的tar包会被删除。因此，在实际镜像拉取过程中，需要保证dockersys分区的空间大小和thinpool空间大小均有剩余。由于dockersys空间比thinpool空间小，因此在计算数据盘空间大小时，需要额外注意。为保证容器能够正常运行，还需要在dockersys分区预留出相应的Pod容器空间，用于存放容器日志等相关文件。 因此在选择合适的数据盘时，需同时满足以下公式： dockersys分区容量 > tar包临时存储（约等于镜像实际总容量） + 容器数量 单个容器空间（每个容器需预留约1G日志空间） thinpool空间 > 镜像实际总容量 + 系统插件镜像总容量（约2G） 说明 当容器日志选择默认的json.log形式输出时，会占用dockersys分区，若容器日志单独设置持久化存储，则不会占用dockersys空间，请根据实际情况估算单个容器空间。 例如：假设节点的存储类型是Device Mapper，节点数据盘大小为20G。根据上述计算公式，默认的容器引擎和容器镜像空间比例为90%，则dockersys分区盘占用：20G90%20% 3.6G，且在创建集群时集群必装插件可能会占用2G左右的dockersys空间，所以剩余1.6G左右。倘若此时您需要部署大于1.6G的镜像tar包，虽然thinpool空间足够，但是由于解压tar包时dockersys分区空间不足，极有可能导致镜像拉取失败。

子账号使用流程 前置条件 子账号为IAM普通用户角色且已登录到训推智算服务平台 子账号使用流程 若子账号为IAM管理员角色，则其拥有全部操作权限，操作流程和主账号别无二致，故角色为IAM管理员的子账号使用流程参见主账号使用流程章节；角色为IAM普通用户的子账号，使用流程如下： 子账号的使用流程主要是为了进行任务作业，具体步骤如下： 流程 子任务 说明 详细指导 数据集准备与处理 创建基础数据集 可上传基础数据集到ZOS或HPFS 基础数据集 数据集准备与处理 创建标注数据集 创建标注数据集，可对数据集进行标注，并发布为新的数据集 标注数据集 数据集准备与处理 数据清洗 可以对数据 数据处理 镜像准备 预置镜像 预置镜像即平台预先设置的完整镜像，可直接用于创建任务时使用 预置镜像 镜像准备 自定义镜像 可以通过开发机自主制作镜像或通过天翼云容器镜像服务将镜像服务内的容器共享给训推智算服务平台 [自定义镜像](

本文介绍ECI实例如何挂载EmptyDir数据卷。 临时目录(EmptyDir)是ECI为客户提供的一种空目录存储形态，用于临时存放数据，便于容器组内多个容器之间进行数据共享。除此之外，临时目录也支持tmpfs（基于 RAM 的文件系统）。虽然tmpfs速度非常快，但是要注意它与磁盘不同，并且写入的所有文件都会计入容器的内存消耗，受容器内存限制约束。 使用限制 待挂载临时目录支持两种模式，即空目录或tmpfs内存。 待挂载临时目录不具备持久化存储能力，生命周期与ECI实例一致。 配置说明 1. 在弹性容器实例控制台左侧导航栏中选择“容器组”，进入容器组列表页。 2. 点击“创建弹性容器组”，进入弹性容器实例订购页。 3. 在容器组配置中打开“高级设置”，添加临时存储。 4. 在容器配置中打开“高级设置”，添加临时存储存储卷并指定容器内的挂载路径，最后点击“+添加存储”为容器配置存储卷。

本文介绍ECI实例生命周期。 本文介绍ECI实例的生命周期状态，您可以根据实例状态，设计和实现符合您业务逻辑的处理逻辑。 ECI实例状态 在实例的生命周期中，不同的阶段有其固有的状态，具体如下表所示。 ECI实例状态 说明 创建中（Scheduling） 实例正在创建 启动中（Pending） 实例中有一个或多个容器还在启动中，并且没有处于运行中的容器 运行中（Running） 实例中所有容器均已经创建成功，并且至少有一个容器正在运行中，或者正在重启 重启中（Restarting） 实例正在重启 更新中（Updating） 实例正在更新 终止中（Terminating） 实例正在终止。对于运行中的实例，如果配置了preStop，则在删除实例时，实例将进入Terminating状态。执行完preStop后，实例将自动删除 运行成功（Succeeded） 实例中所有容器均已运行成功终止，并且不会再重启 运行失败（Failed） 实例中所有容器均已运行终止，并且至少有一个容器是运行失败终止，即容器以非0状态退出或者被系统终止 创建失败（ScheduleFailed） 实例创建失败 ECI实例的生命周期状态转换如下图所示。 容器状态 状态 说明 启动中（Waiting） 容器正在等待创建，还未开始运行。一般在InitContainer运行时，应用容器会处于Waiting状态，直到InitContainer退出 运行中（Running） 容器已经成功创建，并且正在运行 运行终止（Terminated） 容器运行终止并退出，包括运行成功终止和运行失败终止

态势感知SA与企业主机安全HSS服务的区别。 服务含义区别 态势感知（Situation Awareness，SA）是可视化威胁检测和分析的安全管理平台 。着重呈现全局安全威胁攻击态势，统筹分析多服务威胁数据和云上安全威胁，帮助企业构建全局安全体系，呈现全局安全攻击态势。 主机安全服务（Host Security Service，HSS）是以工作负载为中心的安全产品，集成了主机 安全、容器 安全和 网页防篡改 ，旨在解决混合云、多云数据中心基础架构中服务器工作负载的独特保护要求。 简而言之，SA是呈现全局 安全态势的服务，HSS是提升主机 和容器安全性的服务。 服务功能区别 SA通过采集 全网安全数据 （包括HSS、WAF、AntiDDoS等安全服务检测数据），使用大数据AI、机器学习等分析技术，从资产安全、威胁告警、基线检查维度，分类呈现资产安全状况。 HSS通过在主机中安装Agent，使用AI、机器学习和深度算法等技术分析主机中风险，并从HSS云端防护中心下发检测和防护任务，全方位保障主机安全。同时可从可视化控制台，管理主机Agent上报的安全信息。 SA与HSS主要功能区别： 功能项 子功能项 共同点 不同点 资产安全 主机资产 呈现主机资产的整体安全状态。 SA：仅支持同步HSS主机资产风险信息，列表呈现各主机资产的整体安全状况。 HSS：不仅支持呈现主机的安全状况，还支持深度扫描主机中的帐号、端口、进程、Web目录、软件信息和自启动任务。 资产安全 网站资产 SA：支持检查和扫描网站安全状态，列表呈现各网站资产的整体安全状况。 HSS：不支持该功能。 基线检查 云服务基线 SA：针对云服务关键配置项，从“安全上云合规检查1.0”、“护网检查”风险类别，了解云服务风险配置的所在范围和风险配置数目。 HSS：不支持该功能。 基线检查 主机基线 SA：不支持该功能。 HSS：针对主机，提供基线检查功能，包括检测复杂策略、弱口令及配置详情，包括对主机配置基线通过率、主机配置风险TOP5、主机弱口令检测、主机弱口令风险TOP5的统计。

添加服务到网关 进入云原生网关控制台，选择目标实例，进入服务来源菜单，将容器集群添加为服务来源； 再进入服务管理菜单，选择 创建服务，选择服务所在的命名空间，选择刚才部署的reviewsv1和reviewsv2服务，添加为网关服务。 创建路由 进入路由配置菜单，选择创建路由。 基于请求特征访问灰度版本 在请求头部匹配规则处可以添加规则EndUser头部为jason时访问reviewsv2版本，这样在请求带上EndUser: jason头部时将访问到v2版本。 基于比例做灰度流量控制 创建路由时选择多服务路由，选择路由目标为reviewsv1和reviewsv2，并配置流量比例，这样在请求时会按照指定的比例访问到对应版本的服务。

本文介绍如何在容器安全卫士响应中心页面查看已处理的告警信息，并支持对已暂停的容器进行恢复、对已隔离的Pod进行解除隔离等操作。 响应中心展示“已隔离”、“已暂停”、“已重启”的容器，“已阻断”的镜像和已加入白名单的告警。 隔离Pod列表 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“告警响应 > 响应中心”，进入响应中心页面。 3. 在隔离Pod列表，可以对已隔离的Pod进行恢复。 暂停容器列表 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“告警响应 > 响应中心”，进入响应中心页面。 3. 在暂停容器列表，可以对已暂停的容器进行恢复。 重启Pod列表 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“告警响应 > 响应中心”，进入响应中心页面。 3. 在重启Pod列表，可以查看重启过的Pod。 镜像阻断列表 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“告警响应 > 响应中心”，进入响应中心页面。 3. 在镜像阻断列表，可以对已阻断的镜像解除阻断。

本文主要介绍如何通过天翼云云容器引擎使用虚拟节点以及使用ECI作为Pod的运行资源。 云容器引擎集群（混合ECS和ECI） 当已经创建了云容器引擎集群，可以通过使用虚拟节点（基于 VK）来使用ECI 的功能。利用虚拟节点，可以根据业务流量进行弹性扩缩容，从而减少集群扩容成本。 在云容器引擎集群中，首先需要部署虚拟节点，之后才可以在虚拟节点上创建ECI Pod，虚拟节点上的Pod均基于ECI运行在安全隔离的容器运行环境中，每个Pod对应一个ECI实例。 管理工具 通过VK将ECI以虚拟节点的方式接入Kubernetes集群后，可以通过以下方式管理Kubernetes集群及ECI实例的运行情况： 方式一：通过弹性容器实例控制台 1. 登录弹性容器实例控制台。 2. 在顶部左侧资源池列表选择对应资源池。 3. 在容器组页面，查看当前资源池已经创建的ECI实例。 方式二：通过云容器引擎控制台 1. 登录云容器引擎控制台。 2. 在顶部左侧资源池列表选择对应资源池。 3. 在左侧菜单栏选择集群页面，进一步选择对应的集群。 4. 在左侧菜单栏选择工作负载，可以查看对应的ECI Pod。

本文介绍如何登录ECI实例。 前提条件 实例中的容器处于运行中状态。 操作步骤 1. 在弹性容器实例控制台左侧导航栏中选择“容器组”，进入容器组列表页。 2. 在容器组列表中找到想要调试的实例，点击实例名称进入实例详情页面。 3. 点击远程连接，进入容器登录终端。

先上传镜像至容器镜像服务仓库，然后才能做manifest docker push registrycrshuadong1.ctyun.cn/library/nginx:1.5amd64 docker push registrycrshuadong1.ctyun.cn/library/nginx:1.5arm64 创建双架构manifest文件并上传。 创建镜像manifest文件 docker manifest create amend insecure registrycrshuadong1.ctyun.cn/library/nginx:1.5 registrycrshuadong1.ctyun.cn/library/nginx:1.5amd64 registrycrshuadong1.ctyun.cn/library/nginx:1.5arm64 如果镜像在之前制作中没有添加架构信息，需要给镜像manifest文件添加arch信息 docker manifest annotate registrycrshuadong1.ctyun.cn/library/nginx:1.5 registrycrshuadong1.ctyun.cn/library/nginx:1.5amd64 arch amd64 docker manifest annotate registrycrshuadong1.ctyun.cn/library/nginx:1.5 registrycrshuadong1.ctyun.cn/library/nginx:1.5arm64 arch arm64 向容器镜像服务仓库推送镜像manifest docker manifest push p insecure registrycrshuadong1.ctyun.cn/library/nginx:1.5 用户在使用时只需要image中填写registrycrshuadong1.ctyun.cn/library/nginx:1.5这个镜像地址， 当Pod调度到 x86 架构的节点时，会拉取registrycrshuadong1.ctyun.cn/library/nginx:1.5amd64这个镜像； 当Pod调度到ARM架构的节点时，会拉取registrycrshuadong1.ctyun.cn/library/nginx:1.5arm64这个镜像。

退订服务器是否影响现有程序运行？ 问题描述 退订服务器是否影响现有程序运行？ 解决方法 容器部署，退订服务器后服务实例将会在CCE集群内重新调度。 如何处理开启了安全认证的微服务引擎专享版开启IPv6后服务注册失败？ 问题描述 基于Java Chassis开发的微服务注册到开启了安全认证的微服务引擎专享版，微服务的注册发现地址使用微服务引擎服务注册发现的IPv4地址，可以注册成功并正常启动。 如果修改微服务的注册发现地址为微服务引擎注册发现的IPv6地址后，注册失败并报错“java.net.SocketException: Protocol family unavailable”。 可能原因 创建微服务引擎专享版时，当选择开启了IPv6的VPC网络时，创建引擎支持IPv6网络。当部署服务使用IPv6网段且选择容器部署时，选择的CCE集群需要开启IPv6双栈开关。 如果选择的CCE集群资源没有开启IPv6开关，就会导致服务网络不通，报错“java.net.SocketException: Protocol family unavailable”。 解决方法 步骤 1 修改部署了微服务应用的环境，添加开启了“IPv6双栈”开关的CCE集群。 修改环境，请参考。 步骤 2 重新部署应用，请参考。 如何处理操作微服务引擎专享版时遇到非微服务引擎本身错误？ 问题描述 在对微服务引擎专享版执行创建、删除、变更规格、升级等操作时，可能会遇到非微服务引擎本身的错误。 例如，在创建微服务引擎专享版时，集群部署失败，报错如下： {"errorcode":"SVCSTG.00500400","errormessage":"{"kind":"Status","apiVersion":"v1","metadata":{},"status":"Failure","code":400,"errorCode":"CCE.01400013","errorMessage":"Insufficient volume quota.","errorcode":"CCECM.0307","errormsg":"Volume quota is not enough","message":"volume quota checking failed as [60/240] insufficient volume size quota","reason":"QuotaInsufficient"}"} 解决方法 页面上展示的错误信息中已经包含相应服务的错误码，根据错误码和错误信息联系相应服务的技术支持工程师提供支持。