此小节介绍主机风险总览。 企业主机安全在控制台提供总览页面，实时展示您所有资产的安全评分、安全风险、防护地图等，帮助您了解主机和容器的安全状态以及存在的安全风险。 查看总览 1、登录管理控制台。 2、在左侧导航树选择“总览”，进入总览页查看资产安全信息。 说明 如果您的服务器已通过企业项目的模式进行管理，您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。 区域 说明 配额数量及待升级Agent数 展示当前您已购买的各版本HSS防护配额总数和使用情况，以及待升级Agent数量。 单击对应防护配额的总数值，可跳转到防护配额界面查看防护配额列表。 单击待升级Agent数值，可跳转到Agent管理界面查看并升级Agent。 说明：企业主机安全会持续优化提升服务能力，包括但不限于新增功能、优化缺陷，因此会定期迭代版本。请及时将主机上的Agent升级为最新版，以便您可以享受到更好的企业主机安全。 安全评分 安全风险评分范围为0~100分，无风险资产默认为100分，HSS会根据资产中存在的基线风险、漏洞风险、入侵风险和资产风险等执行扣分，评分越低表示资产中存在的安全风险越多。 为了保护的您资产安全，建议您及时处理安全风险，提高安全评分： 1、在“安全评分”模块，单击“立即处理”。 2、在“安全风险处理”弹窗中，查看扣分项，单击下箭头展开扣分明细。 3、单击扣分项右侧的“前往处理”，可跳转至对应的风险列表，您可以根据风险详情和修复建议进行修复。 4、修复风险后，单击“重新体检”，刷新评分。 热点资讯 展示最新的热点漏洞信息。 安全风险 展示HSS检测到您资产中存在的安全风险。 主机风险： 需紧急处理告警/总数：处理优先级为紧急的告警数量和告警总数。 紧急优先级修复漏洞/总数：修复优先级为紧急的漏洞数量和漏洞总数。 基线风险：待处理的基线风险总数。 待处理可疑进程：待处理的可疑进程事件总数。 容器风险： 高优先级修复漏洞/总数：修复紧急度为高危的漏洞数量和漏洞总数。 安全风险趋势 展示资产最近七天的安全风险趋势图。 防护地图 展示资产开启安全防护的情况。 资产总数：当前区域下的资产总数。 未防护/主机总数：未防护主机数量和主机总数。 未防护/容器总数：未防护容器数量和容器总数。 安全防护功能开启情况：对应防护功能的开启数量和防护功能累计扫描/检测项数量。

此小节介绍主机风险总览。 企业主机安全在控制台提供总览页面，实时展示您所有资产的安全评分、安全风险、防护地图等，帮助您了解主机和容器的安全状态以及存在的安全风险。 查看总览 1、登录管理控制台。 2、在左侧导航树选择“总览”，进入总览页查看资产安全信息。 说明 如果您的服务器已通过企业项目的模式进行管理，您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。 区域 说明 配额数量及待升级Agent数 展示当前您已购买的各版本HSS防护配额总数和使用情况，以及待升级Agent数量。 单击对应防护配额的总数值，可跳转到防护配额界面查看防护配额列表。 单击待升级Agent数值，可跳转到Agent管理界面查看并升级Agent。 说明：企业主机安全会持续优化提升服务能力，包括但不限于新增功能、优化缺陷，因此会定期迭代版本。请及时将主机上的Agent升级为最新版，以便您可以享受到更好的企业主机安全。 安全评分 安全风险评分范围为0~100分，无风险资产默认为100分，HSS会根据资产中存在的基线风险、漏洞风险、入侵风险和资产风险等执行扣分，评分越低表示资产中存在的安全风险越多。 为了保护的您资产安全，建议您及时处理安全风险，提高安全评分： 1、在“安全评分”模块，单击“立即处理”。 2、在“安全风险处理”弹窗中，查看扣分项，单击下箭头展开扣分明细。 3、单击扣分项右侧的“前往处理”，可跳转至对应的风险列表，您可以根据风险详情和修复建议进行修复。 4、修复风险后，单击“重新体检”，刷新评分。 热点资讯 展示最新的热点漏洞信息。 安全风险 展示HSS检测到您资产中存在的安全风险。 主机风险： 需紧急处理告警/总数：处理优先级为紧急的告警数量和告警总数。 紧急优先级修复漏洞/总数：修复优先级为紧急的漏洞数量和漏洞总数。 基线风险：待处理的基线风险总数。 待处理可疑进程：待处理的可疑进程事件总数。 容器风险： 高优先级修复漏洞/总数：修复紧急度为高危的漏洞数量和漏洞总数。 安全风险趋势 展示资产最近七天的安全风险趋势图。 防护地图 展示资产开启安全防护的情况。 资产总数：当前区域下的资产总数。 未防护/主机总数：未防护主机数量和主机总数。 未防护/容器总数：未防护容器数量和容器总数。 安全防护功能开启情况：对应防护功能的开启数量和防护功能累计扫描/检测项数量。

replace it with your exactly ports: containerPort: 80 如何为集群绑定弹性IP？ 可以通过申请弹性IP并将弹性IP绑定到集群上。 点击导航栏【资源管理】>【集群管理】，进入集群列表>点击集群名称，进入集群详情页>点击【API Server 公网IP】旁的绑定，选择已有IP，完成绑定操作。 用户也可以在创建集群的步骤中选择已有的弹性IP进行绑定。 说明 ：弹性IP需要在控制台【网络】>【弹性公网IP】处申请，具体操作请见【购买弹性IP】。 创建容器应用有哪几种方式？有什么区别？ 目前支持两种部署方式，用户可基于自身需求选择： 通过天翼云官方镜像：基于天翼云官方平台上的镜像创建容器应用，无需上传私有镜像。 上传并选择私有镜像：您可基于业务需求制作私有 docker 镜像，上传到容器镜像服务。基于该私有镜像创建容器应用。 用户如何自定义镜像？ 用户可以通过Dockerfile进行镜像制作，用户需要首先在本地安装Docker引擎，所有通过天翼云云容器引擎创建或添加的节点，系统都会自动为节点安装 1.11.2 版本的 Docker，用户也可登陆节点机器进行镜像制作，无需手动安装。若需要了解更多 Docker基础知识，请参阅 本节以Nginx镜像为例，修改官方Nginx镜像的欢迎页面，定制一个新的镜像，将欢迎页面改为“Hello, CCE!”。具体的操作步骤如下： 前往资源池控制台，点击【计算】>【弹性云主机】，获取集群节点的用户密码，使用 root 用户登录 Docker 所在的云主机。用户也可自行登陆到已安装好Docker的本地环境上进行制作； 创建一个文件夹，用于存放镜像，进入该文件夹，再通过touch命令创建一个名为 Dockerfile 的文件； mkdir mynginx cd mynginx touch Dockerfile 使用vi命令编辑 Dockerfile； vi Dockerfile 文件内容如下： FROM nginx RUN echo ' Hello,CCE! ' > /usr/share/nginx/html/index.html 其中： FROM 语句：表示使用nginx镜像作为基础； RUN 语句：表示执行echo命令，在显示器中显示一段Hello,CCE的文字； 完成编写后，使用wq！命令保存文件并退出。 构建 Docker 镜像，使用docker build 构建镜像； docker build t nginx:v3 . 其中： t 为镜像命名 . 代表本次执行的上下文路径 查看镜像。 执行以下命令，查看制作好的Docker镜像： docker images

简介 节点是容器集群组成的基本元素。节点取决于业务，既可以是虚拟机，也可以是物理机。每个节点都包含运行Pod所需要的基本组件，包括Kubelet、Kubeproxy 、Container Runtime等。 说明：CCE创建的Kubernetes集群包含master节点和node节点，本章讲述的节点特指node节点，node节点是集群的计算节点，即运行容器化应用的节点。 在云容器引擎CCE中，主要采用高性能的弹性云主机作为节点来构建高可用的Kubernetes集群。 注意事项 为了保证节点的稳定性，CCE集群节点上会根据节点的规格预留一部分资源给Kubernetes的相关组件（kubelet、kubeproxy以及docker等）和Kubernetes系统资源，使该节点可作为您的集群的一部分。 因此，您的节点资源总量与节点在Kubernetes中的可分配资源之间会存在差异。节点的规格越大，在节点上部署的容器可能会越多，所以Kubernetes自身需预留更多的资源。 节点的网络（如虚机网络、容器网络等）均被CCE接管，不允许用户自行添加网卡或改变路由，若自行修改，CCE不保证服务可用。 节点购买后如需对其进行升级或降低规格等操作，请将节点关机后进行变更，也可以重新购买节点后，将老节点删除。 节点生命周期 生命周期是指节点从创建到删除（或释放）历经的各种状态。 状态 状态属性 说明 可用 稳定状态 节点正常运行状态，并连接上集群。 在这个状态的节点可以运行您的业务。 不可用 稳定状态 节点运行异常状态。 在这个状态下的实例，不能对外提供业务，需要重置节点或联系管理员进行处理。 创建中 中间状态 创建节点实例后，在节点状态进入运行中之前的状态。 安装中 中间状态 节点处于安装Kubernetes软件的过程中。 删除中 中间状态 节点处于正在被删除的状态。 如果长时间处于该状态，则说明出现异常，需要联系管理员处理。 关机 稳定状态 节点被正常停止。 在这个状态下的实例，不能对外提供业务，您可以在弹性云主机列表页对其进行开机操作。 错误 稳定状态 节点处于异常状态。 在这个状态下的实例，不能对外提供业务，需要重置节点或联系管理员进行处理。

查看事件通知历史 1. 进入容器镜像服务控制台。 2. 点击已开通的企业版实例名称。 3. 左侧导航栏点击 "分发交付" "事件通知"，点击"事件历史"标签页即可查看事件通知历史。 4. 事件通知历史列表页右上角可以对事件规则进行筛选。 5. 对于发送失败的事件通知记录，可以点击操作栏的重试按钮重新发送事件通知消息。

查看事件通知历史 1. 进入容器镜像服务控制台。 2. 点击已开通的企业版实例名称。 3. 左侧导航栏点击 "分发交付" "事件通知"，点击"事件历史"标签页即可查看事件通知历史。 4. 事件通知历史列表页右上角可以对事件规则进行筛选。 5. 对于发送失败的事件通知记录，可以点击操作栏的重试按钮重新发送事件通知消息。

阶段三：启动问题 Pod处于init状态 错误信息 说明 推荐的解决方案 停留在Init:N/M状态 该Pod包含M个初始化容器中的N个已经启动完成，剩余的容器未启动成功。 通过kubectl describe pod n 命令查看Pod的事件，确认当前Pod中未启动的初始化容器是否存在异常。 通过kubectl logs n c 命令查看Pod中未成功启动的初始化容器的日志，通过日志内容排查问题。 查看Pod的配置，例如检查健康检查配置，进一步确认未成功启动的初始化容器配置是否正常。 停留在Init:Error状态 Pod中的初始化容器启动失败。 通过kubectl describe pod n 命令查看Pod的事件，确认当前Pod中未启动的初始化容器是否存在异常。 通过kubectl logs n c 命令查看Pod中未成功启动的初始化容器的日志，通过日志内容排查问题。 查看Pod的配置，例如检查健康检查配置，进一步确认未成功启动的初始化容器配置是否正常。 停留在Init:CrashLoopBackOff状态 Pod中的初始化容器启动失败并处于反复重启状态。 通过kubectl describe pod n 命令查看Pod的事件，确认当前Pod中未启动的初始化容器是否存在异常。 通过kubectl logs n c 命令查看Pod中未成功启动的初始化容器的日志，通过日志内容排查问题。 查看Pod的配置，例如检查健康检查配置，进一步确认未成功启动的初始化容器配置是否正常。 Pod启动失败（CrashLoopBackOff） 错误信息 说明 推荐的解决方案 日志中存在exit(0)。 容器中前台进程执行完毕正常退出。 非Job类型工作负载对应的Pod容器需要前台进程作为常驻进程，若前台进程执行完毕且无常驻进程，容器就会正常退出，kubelet检测到容器退出后重新拉起该容器，进而导致容器一直在重启。 修改容器主进程为常驻进程。 Event信息中存在Liveness probe failed:。 容器健康检查失败。 核查Pod中所配置的容器健康检查（Liveness Probe）策略是否符合预期，以及对应的健康检查条件是否满足。 Pod日志中存在no left space。 磁盘空间不足。 清理主机上不再需要的大文件或扩容磁盘。 启动失败，无Event信息。 可能是Pod中声明的Limit资源少于实际Pod进程启动所需资源。 检查Pod的资源配置是否正确。 Pod日志中出现Address already in use。 同一Pod中的Container端口存在冲突。 检查Pod是否配置了hostNetwork: true，这意味着Pod内的容器会直接与宿主机共享网络接口和端口空间。如果无需使用，请改为hostNetwork: false。 如果Pod需要使用hostNetwork: true，请配置Pod的反亲和性，确保同一副本集中的Pod被调度到不同节点。 检查并确保不存在也不会有两个或多个具有相同端口需求的Pod运行在同一台节点上。 检查主机上是否有主机进程占用了该端口，尽量避免在k8s节点主机上直接部署业务进程。 Pod日志中出现container init caused "setenv: invalid argument"": unknown。 工作负载中挂载了Secret，但Secret对应的值没有进行Base64加密。 通过控制台创建Secret，Secret对应的值会自动进行Base64加密。 通过YAML创建Secret，并执行echo n "xxxxx" base64命令手动对密钥值进行Base64加密。 无相关信息。 可能是业务Pod自身问题，如业务容器中进程启动参数有误。 查看Pod日志，通过业务日志内容排查问题。

概念 说明 微服务 微服务是业务概念，即提供某种服务的某个进程。 每一个服务都具有自主运行的业务功能，对外开放不受语言限制的API (最常用的是HTTP)。 多个微服务组成应用程序。 实例 一个微服务的最小运行和部署单元，通常对应一个应用进程。同一个微服务通过部署在多个容器或虚机，可以实现多个实例同时运行。 配置 微服务场景中的配置是指对程序代码中某些变量的取值控制。比如，动态配置就是通过在微服务运行过程中对某些变量的取值进行动态变更。

容器配置 Pod中可以配置多个容器，您可以单击右侧“添加容器”为Pod配置多个容器。 容器名称：为容器命名。 镜像更新策略：选择是否总是拉取镜像。 镜像名称：选择容器使用的镜像，支持多种镜像来源。 镜像版本：选择需要部署的镜像版本。 资源配额：配置 CPU 和内存的申请值和限制值。 初始化容器：选择是否作为初始化容器。 生命周期：设置容器生命周期 环境变量：设置容器运行环境的变量。 镜像访问凭证：选择访问镜像仓库的凭证。 高级配置 设置任务参数，设置标签与注解、网络配置等。 任务设置参数 并发策略：支持如下三种模式。 允许Allow（默认）：CronJob 允许并发 Job 执行。 禁止Forbid：CronJob 不允许并发执行；如果新 Job 的执行时间到了而老 Job 没有执行完，CronJob 会忽略新 Job 的执行。 另请注意，当老 Job 执行完成时，仍然会考虑 .spec.startingDeadlineSeconds，可能会导致新的 Job 执行。 Replace：如果新 Job 的执行时间到了而老 Job 没有执行完，CronJob 会用新 Job 替换当前正在运行的 Job。 执行策略：选择CronJob的执行周期，即每隔这个时间周期CronJob就会执行一次。 单击右下角“创建工作负载”完成创建。

本节介绍了云容器引擎的最佳实践;Service实现灰度发布和蓝绿发布 实现云容器引擎的灰度发布，常规做法需要在集群中部署如Nginx Ingress或Traefik这样的开源工具，或者依赖服务网格的功能。这些方案在操作上可能较为复杂，对于只需简单灰度发布且不希望引入过多额外插件或复杂流程的用户来说，可以考虑利用Kubernetes自带的特性来达成目标。这样，我们不仅能实现简单的灰度发布和蓝绿发布，还能保持系统的简洁和高效。 原理介绍 用户在进行业务部署时，通常会选择利用Kubernetes中的无状态负载Deployment和有状态负载StatefulSet等对象，这些对象各自负责管理一组Pod。以Deployment为例，示意图如下： 在Kubernetes中，为了使得工作负载能够被外部访问，用户通常会为每个工作负载创建一个对应的Service。这个Service通过selector机制来匹配后端Pod，从而建立起访问路径。无论是集群内部的其他服务还是集群外部的客户端，只需访问这个Service，就能间接访问到后端Pod所提供的服务。若希望将服务对外暴露，用户只需将Service的类型设置为LoadBalancer，此时，一个弹性负载均衡器（ELB）将作为流量入口，负责将外部请求转发到后端Pod。 灰度发布原理 以Deployment为例，按照上述的方式每个Deployment创建一个Service，Service通过selector匹配后端Pod，通过Service最终访问到业务Pod。使不同Deployment的Pod被同一Service的selector选中，即表示同一Service可以访问不同Deployement的Pod。调整不同版本Deployment的副本数，即可调整路由到不同版本负载的流量比例，实现灰度发布。示意图如下：

集群升级 为了方便您体验新特性、规避已知漏洞/问题，使用安全、稳定、可靠的Kubernetes版本，建议您定期升级CCE集群。CCE集群版本EOS之后，您将无法获得相应的技术支持以及CCE服务SLA保障，请您务必及时升级CCE集群。 您可以通过云容器引擎管理控制台，轻松实现对Kubernetes版本的可视化升级，提升集群业务的稳定性和可靠性。

本章节介绍如何使用服务网格的能力,将应用部署到服务网格 概述 项目中有多种语言的应用，希望多语言应用也能集成监控和治理的能力。那么就需要用到服务网格的能力，下面以发布bookinfo图书系统为例，发布接入服务网格应用。 前提条件 1. 您已开通微服务云应用平台 2. 您已开通应用性能监控 3. 您已订购一个云容器引擎 4. 您已订购服务网格 操作步骤 1. 创建应用 2. 创建容器应用实例 3. 发布应用 4. 查看监控信息 具体操作： 1. 创建 productpage/reviews/details/ratings 四个应用，技术栈选择参照下面信息进行选择。 productpage 对应 PYTHONRUNTIME reviews 对应 SPRINGBOOT details 对应 NODEJS ratings 对应 NODEJS 2. 创建容器应用实例 基本信息填写： 应用选择1中创建的应用 部署单元可多选，应用pod会均匀分配到部署单元对应的可用区。 部署配置填写： 集群选择，需要选择已经开通服务网格的集群 工作负载类型选择无状态应用 镜像类型选择demo镜像 镜像选择对应应用名称的镜像productpage ，reviews ，details ，ratings 勾选接入服务网格，若集群没有开通服务网格则无法勾选，需先开通服务网格 应用服务网格配置信息： 协议选择 TCP 服务名称同应用名称 productpage ，reviews ，details ，ratings 端口都为 9080 3. 发布应用 进入应用实例，版本信息tab栏，发布应用 将productpage ，reviews ，details ，ratings应用都进行发布 进入ratings应用终端，访问productpage应用接口。curl service ip}:9080/productpage，查看是否有请求返回是否正常，请求返回正常则应用部署成功。 4. 查看监控信息

本文介绍AnyWhere集群。 天翼云CCE Anywhere集群是面向分布式云场景，提供的一种全新本地 Kubernetes 集群部署选项：构建在Kubernetes子项目Cluster API（CAPI）之上，通过申明式API和控制器模式,让您在自己管理的IDC基础设施或边缘设施中，创建、管理和升级基于天翼云CCE Distro发行版的Kubernetes集群；拥有与云上CCE发行版相同可靠性和安全性的同时，通过连接到云上注册集群，可获得标准化集群运维（含日志、监控、巡检、诊断、备份等）、丰富的插件扩展，以及智算套件、集群联邦等高阶扩展能力，实现轻量敏捷、云边一体的分布式容器云服务。 产品优势 公有云标准化交付，相同可靠性与安全性。 丰富扩展能力，将云上现代化操作实践和工具适配本地集群环境。 支持纯离线环境部署交付。 基于云原生开源标准构建。 应用场景 将本地应用从虚拟机迁移到现代化容器。 基于容器构建内部开发平台，以标准化团队资源使用。 将本地基础设施容器化后，与云上资源打通以实现极致弹性能力。 将本地基础设施容器化后，接入CCE One集群联邦以实现分布式智算能力。 施工指南

本节介绍了RBAC授权的用户指南。 操作场景 角色绑定（Role Binding）是将角色中定义的权限赋予一个或者一组用户。它包含若干主体（用户、组或服务账户）的列表和对这些主体所获得的角色的引用。 RoleBinding 在指定的名字空间中执行授权，而 ClusterRoleBinding 在集群范围执行授权。一个 RoleBinding 可以引用同一的名字空间中的任何 Role。 或者，一个 RoleBinding 可以引用某ClusterRole 并将该 ClusterRole 绑定到RoleBinding 所在的名字空间。如果你希望将某 ClusterRole 绑定到集群中所有名字空间，你要使⽤ClusterRoleBinding。 前提条件 已创建云容器引擎集群，具体操作请参见创建⼀个集群。若已有容器集群，⽆需重复操作。 操作步骤 注意 子账号来自于天翼云的 ，请提前创建好子用户，并需子用户登陆天翼云后才可以同步到云容器引擎控制台。 为⼦账号授权或调整子账号权限： 1、登陆云容器引擎控制台， 点击左侧导航栏中的集群，进入集群列表页。 2、在集群列表中点击需要授权的集群，进入集群管理页面。 3、在集群管理页面导航栏中选择安全管理 > 授权，进入角色授权页面。 4、点击管理权限操作单个子账号权限，或选择多个子账号后点击添加权限为多个子账号批量授权，点击后进入集群RBAC配置页面。 5、在集群RBAC配置页面中，可以对子账号已有的用户权限进行调整或为子账号新增权限，权限可以限定单个命名空间或不限制命名空间（集群权限），⽤户可设置的权限有内置权限（管理员、运维人员、开发人员、受限人员）和自定义权限，选择自定义权限可选择集群中创建的任意Cluster Role进行授权。 6、点击下⼀步完成授权。

本章节介绍在微服务云应用平台使用中可能会涉及的相关资源 概述 资源管理内容与环境详情里面资源列表类似，展示了已导入环境的资源信息，在导入资源列表点击导入按钮可导入新的资源，点击移除按钮可移除已导入资源，对于导入失败的资源可通过重试按钮进行重试，日志按钮可查看导入过程的详细日志。 云容器引擎 左侧导航栏，选择资源管理 > 云容器引擎。在云容器引擎列表展示了当前环境下已导入的云容器引擎资源。 点击导入按钮，列表会展示与当前环境同VPC的云容器引擎列表，勾选云容器引擎，再选择对应的部署单元，点击保存就可将资源导入。 导入失败可点击日志查看具体失败原因，也可点击重试按钮进行重试。 点击移除按钮，可移除选择的云容器引擎，在移除之前需要删除对应云容器引擎下的容器应用实例。 若云容器引擎进行节点扩容，有节点对应新的可用区，可通过编辑部署单元，修改云容器引擎与部署单元的对应关系。 ECS集群 左侧导航栏，选择资源管理 > ECS集群。在ECS集群列表展示了当前环境已创建的ECS集群资源。 集群列表界面，点击创建集群，输入集群名称后保存即可在当前环境下创建ECS集群。 集群列表界面，点击ECS集群名称，进入ECS集群详情页面，ECS集群详情页面展示了导入到集群的ECS实例列表，以及发布到ECS集群的应用列表。在ECS实例列表，点击上方导入按钮，可导入已订购的ECS实例。点击购买ECS扩容，可跳转到ECS订购界面，进行订购操作。点击操作栏移除按钮，可移除已导入的ECS实例，点击购买相同配置按钮，可跳转到ECS订购界面，自动选择与当前ECS实例同配置机器。 集群列表界面，点击操作栏删除按钮，可删除对应ECS集群，删除集群前需要先删除发布到此集群的ECS应用实例。 注意 一台ECS机器只能部署一个应用，订购ECS时根据部署应用所需资源选择规格订购。目前支持ECS发布的资源池如下：华东1、华北2、华南2、西南1、西安7。

操作场景 创建工作负载或任务时，通常通过镜像指定容器中运行的进程。 在默认情况下，镜像会运行默认命令，如果想运行特定命令或重写镜像默认值，需要用到以下设置： 工作目录：指定运行命令的工作目录。 若镜像中未指定工作目录，且在界面中也未指定，默认是“/”。 运行命令：控制镜像运行的实际命令。 运行参数：传递给运行命令的参数。 说明： 容器启动后，容器中的内容不应修改。如果修改配置项（例如将容器应用的密码、证书、环境变量配置到容器中），当容器重启（例如节点异常重新调度pod）后，会导致配置丢失，业务异常。 配置信息应通过入参等方式导入容器中，以免重启后配置丢失。 容器如何执行命令和参数 Docker的镜像拥有存储镜像信息的相关元数据，如果不设置生命周期命令和参数，容器运行时会运行镜像制作时提供的默认的命令和参数，Docker原生定义这两个字段为“Entrypoint”和"CMD"。 如果在创建工作负载时填写了容器的运行命令和参数，将会覆盖镜像构建时的默认命令"Entrypoint"、"CMD"，规则如下： 容器执行命令和参数 镜像 Entrypoint 镜像CMD 容器运行命令 容器运行参数 最终执行 [touch] [/root/test] 未设置 未设置 [touch /root/test] [touch] [/root/test] [mkdir] 未设置 [mkdir] [touch] [/root/test] 未设置 [/opt/test] [touch /opt/test] [touch] [/root/test] [mkdir] [/opt/test] [mkdir /opt/test] 设置启动命令 步骤 1 登录CCE控制台，在创建工作负载或任务时，展开“生命周期”。 步骤 2 在启动命令后，输入运行命令和运行参数，如下表。 容器启动命令 命令方式 操作步骤 运行命令 输入可执行的命令，例如“/run/server”。 若运行命令有多个，多个命令之间用空格进行分隔。若命令本身带空格，则需要加引号（""）。 说明 多命令时，运行命令建议用/bin/sh或其他的shell，其他全部命令作为参数来传入。 运行参数 输入控制容器运行命令参数，例如port8080。 若参数有多个，多个参数以换行分隔。 说明： 当前启动命令以字符串数组形式提供，对应于Docker的Entrypoint启动命令，格式为： ["executable", "param1", "param2",..]。Kubernetes的容器启动命令可参见[这里](

本文主要介绍设置容器生命周期。 操作场景 CCE提供了回调函数，在容器的生命周期的特定阶段执行调用，比如容器在停止前希望执行某项操作，就可以注册相应的钩子函数。 目前提供的生命周期回调函数如下所示： 启动命令： 容器将会以该启动命令启动，请参见启动命令。 启动后处理： 容器启动后触发，请参见启动后处理。 停止前处理： 容器停止前触发。设置停止前处理，确保升级或实例删除时可提前将实例中运行的业务排水。详细请参见停止前处理。 启动命令 在默认情况下，镜像启动时会运行默认命令，如果想运行特定命令或重写镜像默认值，需要进行相应设置。 Docker的镜像拥有存储镜像信息的相关元数据，如果不设置生命周期命令和参数，容器运行时将运行镜像制作时提供的默认的命令和参数，Docker将这两个字段定义为ENTRYPOINT和 CMD。 如果在创建工作负载时填写了容器的运行命令和参数，将会覆盖镜像构建时的默认命令ENTRYPOINT、CMD，规则如下： 表 容器如何执行命令和参数 镜像ENTRYPOINT 镜像CMD 容器运行命令 容器运行参数 最终执行 [touch] [/root/test] 未设置 未设置 [touch /root/test] [touch] [/root/test] [mkdir] 未设置 [mkdir] [touch] [/root/test] 未设置 [/opt/test] [touch /opt/test] [touch] [/root/test] [mkdir] [/opt/test] [mkdir /opt/test] 步骤 1 登录CCE控制台，在创建工作负载时，配置容器信息，选择“生命周期”。 步骤 2 在“启动命令”页签，输入运行命令和运行参数。 表 容器启动命令 命令方式 操作步骤 运行命令 输入可执行的命令，例如“/run/server”。若运行命令有多个，多个命令之间用空格进行分隔。 若命令本身带空格，则需要加引号（""）。 说明多命令时，运行命令建议用/bin/sh或其他的shell，其他全部命令作为参数来传入。 运行参数 输入控制容器运行命令参数，例如port8080。若参数有多个，多个参数以换行分隔。

操作场景 配置项（ConfigMap）是一种用于存储工作负载所需配置信息的资源类型，内容由用户决定。配置项创建完成后，可在容器工作负载中作为文件或者环境变量使用。 配置项允许您将配置文件从容器镜像中解耦，从而增强容器工作负载的可移植性。 配置项价值如下： 使用配置项功能可以帮您管理不同环境、不同业务的配置。 方便您部署相同工作负载的不同环境，配置文件支持多版本，方便您进行更新和回滚工作负载。 方便您快速将您的配置以文件的形式导入到容器中。 前提条件 已创建集群和节点资源，具体操作请参见购买混合集群。若已有集群和节点资源，无需重复操作。 操作步骤 步骤 1 登录CCE控制台，在左侧导航栏中选择“配置中心 > 配置项（ConfigMap）”，单击“创建配置项”。 步骤 2 参照下表设置新增配置参数。 表新建配置参数说明 参数 参数说明 配置名称 新建的配置名称，同一个命名空间里命名必须唯一。 所属集群 使用新建配置的集群。 集群命名空间 新建配置所在的命名空间。若不选择，默认配置为default。 描述 配置项的描述信息。 配置数据 工作负载配置的数据可以在容器中使用，或被用来存储配置数据。其中，“键”代表文件名；“值”代表文件中的内容。 1. 单击“添加更多配置数据” 。 2. 输入键、值。 配置标签 标签以Key/value键值对的形式附加到各种对象上（如工作负载、节点、服务等）。 标签定义了这些对象的可识别属性，用来对它们进行管理和选择。 1. 单击“添加标签” 。 2. 输入键、值。 步骤 3 配置完成后，单击“创建”。 工作负载配置列表中会出现新创建的工作负载配置。 使用kubectl创建配置项 步骤 1 请参见通过kubectl操作CCE集群配置kubectl命令。 步骤 2 创建并编辑cceconfigmap.yaml文件。 vi cceconfigmap.yaml apiVersion: v1 kind: ConfigMap metadata: name: cceconfigmap data: SPECIALLEVEL: Hello SPECIALTYPE: CCE 步骤 3 创建配置项。 kubectl create f cceconfigmap.yaml kubectl get cm NAME DATA AGE cceconfigmap 3 3h cceconfigmap1 3 7m 相关操作 配置项创建完成后，您还可以执行下表中的操作。 操作 说明 查看YAML 单击配置项名称后的“查看YAML”，可查看到当前配置项的YAML文件。 更新配置 1. 选择需要更新的配置项名称，单击“更新”。 2. 更改配置项的信息。 3. 单击“更新”。 删除配置 选择要删除的配置项，单击“删除”。 根据系统提示删除配置。

本文介绍如何为容器集群安装Sever/Agent。 需要为容器集群安装Sever/Agent，将容器集群纳管到容器安全卫士控制台后，才能对容器集群进行安全防护。 前提条件 已购买容器安全卫士实例。 安装Sever/Agent 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“安装配置 > 组件安装”。 3. 单击“集群组件部署”，进入集群组件部署页面，获取集群组件部署脚本，并按页面提示进行集群组件的安装。 4. 在左侧导航栏选择“安装配置 > 运行状态”，更新并查看节点防护状态。

此小节介绍企业主机安全文件完整性管理。 查看文件完整性管理 约束限制 未开启旗舰版、网页防篡改版、容器版防护不支持文件完整性相关操作。 操作步骤 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、选择“主动防御 > 文件完整性管理”，进入文件管理界面，选择“云服务器”和“变更文件”页签可查看对应的变更详情。 进入文件管理 查看云服务器变更详情 约束限制 未开启旗舰版、网页防篡改版、容器版防护不支持文件完整性相关操作。 操作步骤 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、左侧选择“主动防御 > 文件完整性管理 > 云服务器”，进入服务器页面。 进入云服务器 5 单击服务器名称进入服务器变更详情页。 变更参数说明 参数名称 参数说明 取值样例 文件 发现变更的文件名称。 du 路径 发现变更文件所在的路径。 变更内容 变更的情况描述。 鼠标放置变更内容可查看详情。 将SHA2560ba0c4b5e48e55a6改为4f6079f5b37d1513 变更类型 变更的文件类型。 文件 变更类别 变更文件的类别。 新增 、 修改 、 删除 修改 变更时间 目标文件发生变更的时间。

本小节介绍SWR企业版镜像管理。 SWR企业版镜像源于容器镜像服务(SWR)的企业版镜像，企业主机安全支持对这些企业版镜像手动执行漏洞、恶意文件、软件信息、文件信息、基线检查、敏感信息、软件合规和基础镜像信息的扫描并提供扫描报告。本章节介绍如何对SWR企业版镜像进行安全扫描和如何查看安全扫描报告。 约束限制 仅HSS容器版支持该功能。 仅支持对Linux镜像执行安全扫描。 查看SWR企业版镜像 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在左侧导航栏选择“资产管理 > 容器管理”，进入容器管理界面。 说明 如果您的服务器已通过企业项目的模式进行管理，您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。 4、选择“容器镜像 > 企业版镜像（SWR）”，查看企业版镜像信息。 您可以查看企业版镜像的版本、大小、所属组织、安全风险、拥有者等相关信息。 更新企业版镜像：单击“从SWR更新企业版镜像”，更新企业版镜像列表信息。 筛选最新版本的镜像：勾选“仅关注最新版本的镜像”，可筛选所有不同镜像的最新版本镜像。 SWR企业版镜像安全扫描 您可以手动执行全量、批量或单镜像的安全扫描。安全扫描的时长主要取决于镜像的大小。一般情况下扫描一个镜像可以在三分钟之内完成，扫描完成后，单击“安全报告”查看安全报告。 SWR企业版镜像支持的安全扫描项如下： 扫描项 说明 漏洞 检测镜像中存在系统漏洞、应用漏洞。 恶意文件 检测镜像中存在的恶意文件。 软件信息 统计镜像中的软件信息。 文件信息 统计镜像中的文件信息。 基线检查 配置检查：检测CentOS 7、Debian 10、EulerOS和Ubuntu16镜像的系统配置项、检测SSH应用配置项。 弱口令检查：检测镜像中存在的弱口令。 口令复杂度检查：检测镜像中不安全的口令复杂度策略。 敏感信息 检测镜像中含有敏感信息的文件。 默认不检测的路径如下： /usr/ /lib/ /lib32/ /bin/ /sbin/ /var/lib/ /var/log/ 任意路径/nodemodules/ 任意路径/任意名称.md 任意路径/nodemodules/ 任意路径/test/任意路径 /service/iam/examplestest.go 任意路径/grafana/public/build/任意名称.js 说明 任意路径：指当前路径为自定义值，可以是系统中任意名称的路径。 任意名称：指当前路径的文件名称为自定义值，可以是系统中以.md或.js后缀结束的任意名称。 可在安全报告 > 敏感信息页面，单击“敏感文件过滤路径管理”，设置不需要检测的Linux路径，最多可添加20个路径。 不检测的场景如下： 文件大于20MB。 文件类型为二进制、常用进程和自动生成类型。 软件合规 检测不允许使用的软件和工具。 基础镜像信息 检测未使用基础镜像构建的业务镜像。 1、登录管理控制台，进入企业主机安全页面。 2、在左侧导航栏选择“资产管理 > 容器管理”，进入容器管理界面。 3、选择“容器镜像 > 企业版镜像（SWR）”。 4、为单个镜像或多个镜像执行安全扫描。 说明 多架构镜像不支持批量扫描、全量扫描操作。 全量扫描时间较长，且开始全量扫描后无法中断扫描，请谨慎操作！ 单个镜像安全扫描：在目标镜像所在行的“操作”列，单击“安全扫描”，为单个目标镜像执行安全扫描。 批量镜像安全扫描：勾选所有目标镜像并单击镜像列表上方的“批量扫描”，为多个目标镜像执行安全扫描。 全量镜像安全扫描：单击镜像列表上方的全量扫描，为所有镜像执行安全扫描。 5、在弹出的提示框中，单击“确定”，启动扫描任务。 全量扫描任务启动后，您可将鼠标悬停在置灰的全量扫描按钮上查看扫描进度。 6、当镜像“扫描状态”更新为“扫描完成”，且“最近一次扫描完成时间”更新为最近任务执行时间，表示镜像安全扫描完成。

本小节介绍SWR企业版镜像管理。 SWR企业版镜像源于容器镜像服务(SWR)的企业版镜像，企业主机安全支持对这些企业版镜像手动执行漏洞、恶意文件、软件信息、文件信息、基线检查、敏感信息、软件合规和基础镜像信息的扫描并提供扫描报告。本章节介绍如何对SWR企业版镜像进行安全扫描和如何查看安全扫描报告。 约束限制 仅HSS容器版支持该功能。 仅支持对Linux镜像执行安全扫描。 查看SWR企业版镜像 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在左侧导航栏选择“资产管理 > 容器管理”，进入容器管理界面。 说明 如果您的服务器已通过企业项目的模式进行管理，您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。 4、选择“容器镜像 > 企业版镜像（SWR）”，查看企业版镜像信息。 您可以查看企业版镜像的版本、大小、所属组织、安全风险、拥有者等相关信息。 更新企业版镜像：单击“从SWR更新企业版镜像”，更新企业版镜像列表信息。 筛选最新版本的镜像：勾选“仅关注最新版本的镜像”，可筛选所有不同镜像的最新版本镜像。 SWR企业版镜像安全扫描 您可以手动执行全量、批量或单镜像的安全扫描。安全扫描的时长主要取决于镜像的大小。一般情况下扫描一个镜像可以在三分钟之内完成，扫描完成后，单击“安全报告”查看安全报告。 SWR企业版镜像支持的安全扫描项如下： 扫描项 说明 漏洞 检测镜像中存在系统漏洞、应用漏洞。 恶意文件 检测镜像中存在的恶意文件。 软件信息 统计镜像中的软件信息。 文件信息 统计镜像中的文件信息。 基线检查 配置检查：检测CentOS 7、Debian 10、EulerOS和Ubuntu16镜像的系统配置项、检测SSH应用配置项。 弱口令检查：检测镜像中存在的弱口令。 口令复杂度检查：检测镜像中不安全的口令复杂度策略。 敏感信息 检测镜像中含有敏感信息的文件。 默认不检测的路径如下： /usr/ /lib/ /lib32/ /bin/ /sbin/ /var/lib/ /var/log/ 任意路径/nodemodules/ 任意路径/任意名称.md 任意路径/nodemodules/ 任意路径/test/任意路径 /service/iam/examplestest.go 任意路径/grafana/public/build/任意名称.js 说明 任意路径：指当前路径为自定义值，可以是系统中任意名称的路径。 任意名称：指当前路径的文件名称为自定义值，可以是系统中以.md或.js后缀结束的任意名称。 可在安全报告 > 敏感信息页面，单击“敏感文件过滤路径管理”，设置不需要检测的Linux路径，最多可添加20个路径。 不检测的场景如下： 文件大于20MB。 文件类型为二进制、常用进程和自动生成类型。 软件合规 检测不允许使用的软件和工具。 基础镜像信息 检测未使用基础镜像构建的业务镜像。 1、登录管理控制台，进入企业主机安全页面。 2、在左侧导航栏选择“资产管理 > 容器管理”，进入容器管理界面。 3、选择“容器镜像 > 企业版镜像（SWR）”。 4、为单个镜像或多个镜像执行安全扫描。 说明 多架构镜像不支持批量扫描、全量扫描操作。 全量扫描时间较长，且开始全量扫描后无法中断扫描，请谨慎操作！ 单个镜像安全扫描：在目标镜像所在行的“操作”列，单击“安全扫描”，为单个目标镜像执行安全扫描。 批量镜像安全扫描：勾选所有目标镜像并单击镜像列表上方的“批量扫描”，为多个目标镜像执行安全扫描。 全量镜像安全扫描：单击镜像列表上方的全量扫描，为所有镜像执行安全扫描。 5、在弹出的提示框中，单击“确定”，启动扫描任务。 全量扫描任务启动后，您可将鼠标悬停在置灰的全量扫描按钮上查看扫描进度。 6、当镜像“扫描状态”更新为“扫描完成”，且“最近一次扫描完成时间”更新为最近任务执行时间，表示镜像安全扫描完成。

参数 说明 CPU申请 容器使用的最小CPU需求，作为容器调度时资源分配的判断依赖。 只有当节点上可分配CPU总量 ≥ 容器CPU申请数时，才允许将容器调度到该节点。 CPU限制 容器能使用的CPU最大值。

本节主要介绍与其它服务的关系。 云原生架构模式下，完成业务功能需要很多服务相互配合： CSE一般和数据库、缓存和消息中间件同时使用，完成业务功能的开发。 AOM、APM、LTS等工具，则为业务提供运维能力，帮助检测业务故障、分析故障原因。 以Spring Cloud为例，典型的云原生架构和技术选型如下： 云原生架构和DevOps通常是密不可分的，配合使用ServiceStage，可以实现云原生环境的管理、部署流水线，简化微服务应用部署到容器CCE的流程。

约束与限制 集群升级出现异常时，集群可通过备份数据进行回滚。若您在升级成功之后对集群进行了其它操作（例如变更集群规格），将无法再通过备份数据回滚。 容器隧道网络集群升级至1.19.16r4、1.21.7r0、1.23.5r0、1.25.1r0及之后的版本时，会移除匹配目的地址是容器网段且源地址非容器网段的SNAT规则；如果您之前通过配置VPC路由实现集群外直接访问所有的Pod IP，升级后只支持直接访问对应节点上的Pod IP。 NGINX Ingress控制器插件新版本配置优雅退出和ELB删除后端控制器宽限时间，支持无损升级。以下插件版本升级过程可能会出现服务短暂不可用，若集群中已安装下列版本的插件，请选择业务低峰期进行升级，具体版本如下： 插件版本 小版本范围 2.1.x x < 32 2.2.x x < 41 2.4.x x < 4 版本差异说明 版本升级路径 版本差异 建议自检措施 升级至v1.28、v1.29、v1.30、v1.31、v1.32 请关注Kubernetes API变更。 检查集群中已使用的API版本，避免使用已废弃的API版本。 v1.23/v1.25 升级至v1.27 容器运行时Docker不再被推荐使用，建议您使用Containerd进行替换。 已纳入升级前检查。 v1.23升级至v1.25 在Kubernetes v1.25版本中，PodSecurityPolicy已被移除，并提供Pod安全性准入控制器作为PodSecurityPolicy的替代。 l 如果您需要将PodSecurityPolicy的相关能力迁移到Pod Security Admission中，需要参照以下步骤进行： 1. 确认集群为CCE v1.23的最新版本。 2. 迁移PodSecurityPolicy的相关能力迁移到Pod Security Admission。 3. 确认迁移后功能正常，再升级为CCE v1.25版本。 l 如果您不再使用PodSecurityPolicy能力，则可以在删除集群中的PodSecurityPolicy后，直接升级为CCE v1.25版本。 v1.21/v1.19 升级至v1.23 对于社区较老版本的Nginx Ingress Controller来说（社区版本v0.49及以下，对应CCE插件版本v1.x.x），在创建Ingress时没有指定Ingress类别为nginx，即annotations中未添加kubernetes.io/ingress.class: nginx的情况，也可以被Nginx Ingress Controller纳管。但对于较新版本的Nginx Ingress Controller来说（社区版本v1.0.0及以上，对应CCE插件版本2.x.x），如果在创建Ingress时没有显示指定Ingress类别为nginx，该资源将被Nginx Ingress Controller忽略，Ingress规则失效，导致服务中断。 已纳入升级前检查。 v1.19升级至v1.21 Kubernetes v1.21集群版本修复了exec probe timeouts不生效的BUG，在此修复之前，exec探测器不考虑timeoutSeconds字段。相反，探测将无限期运行，甚至超过其配置的截止日期，直到返回结果。 若用户未配置，默认值为1秒。升级后此字段生效，如果探测时间超过1秒，可能会导致应用健康检查失败并频繁重启。 升级前检查您使用了exec probe的应用的probe timeouts是否合理。 CCE的v1.19及以上版本的kubeapiserver要求客户侧webhook server的证书必须配置Subject Alternative Names (SAN)字段。否则升级后kubeapiserver调用webhook server失败，容器无法正常启动。 根因：Go语言v1.15版本废弃了X.509[CommonName](

ECI实例状态 说明 对应Kubernetes Pod状态 创建中（Scheduling） ECI Pod正在创建 Pending 启动中（Pending） ECI Pod中有一个或多个容器还在启动中，并且没有处于运行中的容器 Pending 运行中（Running） ECI Pod中所有容器均已经创建成功，并且至少有一个容器正在运行中，或者正在重启 Running 重启中（Restarting） ECI Pod正在重启 Pending 更新中（Updating） ECI Pod正在更新 Pending 终止中（Terminating） ECI Pod正在终止。对于运行中的实例，如果配置了preStop，则在删除实例时，实例将进入Terminating状态。执行完preStop后，实例将自动删除 Running 运行成功（Succeeded） ECI Pod中所有容器均已运行成功终止，并且不会再重启 Succeeded 运行失败（Failed） ECI Pod中所有容器均已运行终止，并且至少有一个容器是运行失败终止，即容器以非0状态退出或者被系统终止 Failed

本文介绍如何查看智算容器实例相关信息。 查看容器相关信息 1. 在弹性容器实例控制台左侧导航栏中选择“智算容器组实例管理”。 2. 点击实例名称，查看容器详情。 3. 点击数据卷页签，查看挂载数据卷情况。 4. 点击事件页签，查看事件详情。 5. 点击日志页签，查看容器日志。 6. 点击远程登录页签，进入容器内部。

先上传镜像至容器镜像服务仓库，然后才能做manifest docker push registrycrshuadong1.ctyun.cn/library/nginx:1.5amd64 docker push registrycrshuadong1.ctyun.cn/library/nginx:1.5arm64 创建双架构manifest文件并上传。 创建镜像manifest文件 docker manifest create amend insecure registrycrshuadong1.ctyun.cn/library/nginx:1.5 registrycrshuadong1.ctyun.cn/library/nginx:1.5amd64 registrycrshuadong1.ctyun.cn/library/nginx:1.5arm64 如果镜像在之前制作中没有添加架构信息，需要给镜像manifest文件添加arch信息 docker manifest annotate registrycrshuadong1.ctyun.cn/library/nginx:1.5 registrycrshuadong1.ctyun.cn/library/nginx:1.5amd64 arch amd64 docker manifest annotate registrycrshuadong1.ctyun.cn/library/nginx:1.5 registrycrshuadong1.ctyun.cn/library/nginx:1.5arm64 arch arm64 向容器镜像服务仓库推送镜像manifest docker manifest push p insecure registrycrshuadong1.ctyun.cn/library/nginx:1.5 用户在使用时只需要image中填写registrycrshuadong1.ctyun.cn/library/nginx:1.5这个镜像地址， 当Pod调度到 x86 架构的节点时，会拉取registrycrshuadong1.ctyun.cn/library/nginx:1.5amd64这个镜像； 当Pod调度到ARM架构的节点时，会拉取registrycrshuadong1.ctyun.cn/library/nginx:1.5arm64这个镜像。

通过控制台创建 步骤 1 登录CCE控制台。 步骤 2 单击集群名称进入集群，在左侧选择“工作负载”，在右上角单击“创建负载”。 步骤 3 配置工作负载的信息。 基本信息 负载类型：选择有状态工作负载StatefulSet。工作负载类型的介绍请参见工作负载概述。 负载名称：填写工作负载的名称。 命名空间：选择工作负载的命名空间，默认为default。您可以单击后面的“创建命名空间”，命名空间的详细介绍请参见创建命名空间。 实例数量：填写实例的数量，也就是Pod的数量。 容器运行时：CCE集群默认使用普通运行时。 时区同步：选择是否开启时区同步。开启后容器与节点使用相同时区（时区同步功能依赖容器中挂载的本地磁盘，请勿修改删除），时区同步详细介绍请参见时区同步。 容器配置 容器信息Pod中可以配置多个容器，您可以单击右侧“添加容器”为Pod配置多个容器。 基本信息：容器基本信息 生命周期：设置容器生命周期 健康检查：设置容器健康检查 环境变量：设置环境变量 数据存储：存储概述 安全设置：对容器权限进行设置，保护系统和其他容器不受其影响。请输入用户ID，容器将以当前用户权限运行。 容器日志：使用ICAgent采集容器日志 说明 有状态负载支持“动态挂载”云硬盘。 动态挂载通过volumeClaimTemplates字段实现，并依赖于StorageClass动态创建能力。有状态工作负载通过volumeClaimTemplates字段为每一个Pod关联了一个独有的PVC，而这个PVC又会和对应的PV绑定。因此当Pod被重新调度后，仍然能够根据该PVC名称挂载原有的数据。 负载创建完成后，动态存储不支持更新。 镜像访问凭证：用于访问镜像仓库的凭证，默认取值为defaultsecret，使用defaultsecret可访问SWR镜像仓库的镜像。defaultsecret详细说明请参见defaultsecret。 GPU显卡：默认为不限制。当集群中存在GPU节点时，工作负载实例可以调度到指定GPU显卡类型的节点上。

本文介绍事件总线EventBridge的产品优势。 可用性 支持高吞吐量的事件发布和消费。 支持服务Serverless化和自动弹性伸缩，轻松应对突发流量。 支持无状态实例，节点异常对服务无影响，服务可用性高。 易用性 支持无缝迁移上云，完全兼容CloudEvents 1.0。 支持多种访问方式，包括控制台与CloudEvents SDK。 支持接入多种应用程序，包括天翼云服务和自定义应用。 安全性 对接统一身份认证服务，支持通过天翼云账号向RAM用户授权。 支持HTTP/HTTPS协议。

Device Mapper类型 Device Mapper类型节点上的容器引擎和容器镜像空间默认占数据盘空间的90%（建议维持此值），这些容量又分为dockersys分区和thinpool空间，计算公式如下： 容器引擎和容器镜像空间：默认占数据盘空间的90%，其空间大小 数据盘空间 90% dockersys分区（/var/lib/docker路径）：默认占比20%，其空间大小 数据盘空间 90% 20% thinpool空间：默认占比为80%，其空间大小 数据盘空间 90% 80% Kubelet组件和EmptyDir临时存储：占数据盘空间的10%，其空间大小 数据盘空间 10% 在Device Mapper类型的节点上，拉取镜像时tar包会在dockersys分区临时存放，等tar包解压后会把实际镜像文件存放在thinpool空间，最后dockersys空间的tar包会被删除。因此，在实际镜像拉取过程中，需要保证dockersys分区的空间大小和thinpool空间大小均有剩余。由于dockersys空间比thinpool空间小，因此在计算数据盘空间大小时，需要额外注意。为保证容器能够正常运行，还需要在dockersys分区预留出相应的Pod容器空间，用于存放容器日志等相关文件。 因此在选择合适的数据盘时，需同时满足以下公式： dockersys分区容量 > tar包临时存储（约等于镜像实际总容量） + 容器数量 单个容器空间（每个容器需预留约1G日志空间） thinpool空间 > 镜像实际总容量 + 系统插件镜像总容量（约2G） 说明 当容器日志选择默认的json.log形式输出时，会占用dockersys分区，若容器日志单独设置持久化存储，则不会占用dockersys空间，请根据实际情况估算单个容器空间。 例如：假设节点的存储类型是Device Mapper，节点数据盘大小为20G。根据上述计算公式，默认的容器引擎和容器镜像空间比例为90%，则dockersys分区盘占用：20G90%20% 3.6G，且在创建集群时集群必装插件可能会占用2G左右的dockersys空间，所以剩余1.6G左右。倘若此时您需要部署大于1.6G的镜像tar包，虽然thinpool空间足够，但是由于解压tar包时dockersys分区空间不足，极有可能导致镜像拉取失败。

本节为您介绍云迁移服务CMS服务韧性相关内容。 CMS架构设计采用多组件服务保障及分层架构提供高可用服务。 CMS服务负载使用容器化部署，可灵活调整pod数快速扩缩容；工作负载进行pod级容灾，在部分pod损坏情况下保持服务正常运行。 CMS数据库使用天翼云RDS一主两备架构，在主服务器宕机或损坏时，切换备节点保证迁移信息不丢失。 CMS缓存使用天翼云缓存服务Redis三主三从架构对迁移任务的管理数据进行缓存交互与读写，应对迁移任务压力峰值波动。 CMS支持断点续传，在迁移过程中出现断网或者迁移出错等故障，故障修复后可支持在之前的进度上继续迁移、同步。