内置保留字段 数据格式 说明 tagtopic 字符串 采集配置名称 tagfileName 字符串 采集路径与文件名称 tagpodIp 字符串 云容器引擎接入场景下，pod的IP地址 tagpodName 字符串 云容器引擎接入场景下，pod的名称 tagappName 字符串 工作负载名称 tagcontainerName 字符串 容器名称 taghostIp 字符串 云容器引擎宿主机IP tagnamespace 字符串 工作负载所在命名空间 taghostName 字符串 云容器引擎宿主机名称 ts 整型，Unix时间戳（毫秒） 日志采集时间 message 字符串 日志原文

本章介绍开启防护时没有显示配额的原因。 未购买配额 请先在服务器所在区域购买充足的配额。 区域不正确 购买配额后，请切换到配额所在区域对服务器开启防护。 位置不正确 若您购买的是基础版/企业版/旗舰版，请在“企业主机安全 > 主机管理 > 云服务器”页面开启防护。 若您购买的是网页防篡改版，请在“网页防篡改 > 防护列表”页面开启防护。 若您购买的是容器版，请在“企业主机安全 > 容器管理 > 节点列表”页面开启防护。

本文主要介绍快速体验微服务引擎 概述 微服务引擎(CSE)是一个应用托管和微服务管理平台，依托微服务云应用平台(ServiceStage)服务，可以帮助企业简化部署、监控、运维和治理等应用生命周期管理工作。面向企业提供微服务、移动和Web类应用开发的全栈解决方案。 应用是一个功能相对完备的业务系统，由一个或多个特性相关的组件组成。应用组件是组成应用的某个业务特性的实现，以代码或者软件包为载体，可独立部署运行。 针对应用的组件提供启停、升级、回退、伸缩、查看日志、查看事件、设置访问方式、设置阈值告警等运维操作。 本例将基于ServiceComb(SpringMVC)框架，快速创建微服务应用，供您体验微服务引擎CSE的各项基础功能。 前提条件 注册天翼云帐号，并登录成功。 获取AK/SK，请参考AK/SK获取方法。 说明 如果使用微服务引擎专业版，需要配置AK/SK。 如果使用微服务引擎专享版，不需要配置AK/SK。 创建一个虚拟私有网络VPC，请参考创建虚拟私有云和子网。 创建一个CCE集群，集群中至少包含一个ECS节点(为方便后续步骤的操作，节点 规格最好选择4vCPUs、8GB内存)并且绑定弹性IP。集群绑定弹性IP，请参考云容器引擎 > 购买容器集群。 本例将绑定GitHub源码仓库，实现源码构建、归档、应用创建， 需要先到GitHub官网注册帐号。 在ServiceStage创建仓库授权，授权访问GitHub仓库，请参考微服务云应用平台 > 仓库授权。

应用防护管理 前提条件 已购买主机安全版本为旗舰版、网页防篡改版或容器版。 约束限制 当前只支持操作系统为Linux的服务器。 目前仅支持Java应用接入。 未开启旗舰版、网页防篡改版、容器版防护不支持应用防护相关操作。 查看检测报告 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、选择“主动防御 > 应用防护 > 防护设置”，进入“防护设置”页面。 4、单击目标服务器“操作”列的“查看报告”，查看目标服务器全量检测详情。 5、单击告警名称可查看目标告警的详细信息。 告警详情页可查看目标告警的取证信息（请求信息、攻击源IP等）和扩展信息（检测规则、检测探针等），可根据取证信息和扩展信息来排查问题、添加防护措施。 关闭应用防护 前提条件 已购买主机安全版本为旗舰版、网页防篡改版或容器版。 约束限制 当前只支持操作系统为Linux的服务器。 目前仅支持Java应用接入。 未开启旗舰版、网页防篡改版、容器版防护不支持应用防护相关操作。 操作步骤 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、选择“主动防御 > 应用防护”，进入“应用防护”页面。 4、单击目标服务器“微服务RASP防护”的图标或单击“操作”列的“关闭防护”。 5、在弹窗中确认正在关闭微服务RASP防护的服务器信息，确认无误，单击“确认”，完成防护关闭。 说明 sRASP防护关闭后，目标服务器会在“防护设置”页面进行自动删除，若需为其他服务器开启防护，可按照开启应用防护操作步骤为其他服务器开启防护。

参数 是否必填 参数类型 说明 示例 下级对象 AccessControlPolicy 否 Container 包含权限控制参数的容器 AccessControlList 否 Container 包含ACL信息的容器 Owner 否 Container 包含存储桶拥有者ID和显示名的容器 ID 否 String 存储桶拥有者的ID DisplayName 否 String 存储桶拥有者的显示名，可设置为空或不传 Grant 否 Container 关于权限拥有者和权限的容器 Grantee 否 Container 关于被授予许可的用户的ID和显示名的容器 Permission 否 String 存储桶被授予的权限

本节介绍如何创建并管理容器防篡改策略。 添加文件防篡改策略 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“容器安全 > 文件防篡改”，进入文件防篡改页面。 3. 单击“添加策略”，进入添加策略页面。 4. 在新建策略页面输入策略名称（必填）和描述信息（非必填），选择或输入目标对象（支持通配符），设置监控路径。 5. 单击“保存”按钮，系统提示保存成功，安全策略设置完毕。 管理文件防篡改策略 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“容器安全 > 文件防篡改”，进入文件防篡改页面。 3. 查找策略：搜索框支持按策略名称、启用状态查找目的策略。 4. 策略管理：在策略列表内，支持对已添加策略进行查看、编辑、删除、开启、关闭。

本章节介绍云原生工具箱相关功能 概述 云原生工具箱是微服务应用平台研发团队针对云原生应用架构提供的研发提效工具，提高在开发、测试、调试和诊断等阶段的开发效率。 审计终端 前提条件 1. 云容器引擎安装云原生工具箱插件成功 2. 云原生工具箱已经安装并绑定了公网elb 操作步骤 1. 登录微服务云应用控制台，选择“应用运维 > 容器应用实例>应用发布>应用实例” 2. 在容器应用实例列表界面，选择指定的目标应用实例，点击进入“应用总览” 3. 左侧菜单栏切换到“云原生工具箱”，点击“进入云原生工具箱” 4. 在云原生工具箱的操作页面，先打开终端窗口，然后执行ls rht;pwd等linux命令 5. 然后点击审计日志的跳转入口，进入到pod审计日志的页面。查看列表中是否显示用户操作的命令行信息 6. 点击审计日志列表中的预览和文件下载，并查看下载后的文件是否能够正常打开 文件管理

本文介绍如何查看节点扫描结果。 扫描完成后，在节点列表中可以查看扫描结果。 操作步骤 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“节点安全”，进入节点安全页面。 3. 节点状态列表上方，支持按照“节点名称”、“节点状态”、“防护状态”、“软件版本”、“软件名称”等进行筛选查询。系统默认筛选出节点类型为防御容器的节点。 节点列表参数说明如下： 参数 说明 节点名称 节点的名称。 IPv4地址 节点的IPv4地址。 IPv6地址 节点的IPv6地址。 集群 节点所属集群的名称。 系统类型 节点的操作系统类型。 节点状态 指节点上防御容器的在线状态，分为已连接、未连接和已暂停三种状态。 节点类型 节点类型根据节点上运行的容器分为防御容器和扫描容器。 扫描状态 扫描状态分为待扫描、扫描中、已扫描、扫描失败这几种状态。 心跳时间 最近一次检查节点在线状态的时间。

名称 描述 是否必须 WebsiteConfiguration 请求的容器。 类型：容器。 子节点：IndexDocument、ErrorDocument、RoutingRules或RedirectAllRequestsTo。 注意 IndexDocument和RedirectAllRequestsTo互斥。如果填写了RedirectAllRequestsTo，则IndexDocument、ErrorDocument、RoutingRules都不能填写。 是 IndexDocument Suffix元素的容器。 注意：如果未填写RedirectAllRequestsTo，则IndexDocument必填。 类型：容器。 父节点：WebsiteConfiguration。 子节点：Suffix。 否 Suffix 在请求website endpoint上的路径时，Suffix会被加在请求的后面。例如，如果suffix是Index.html，而你请求的是bucket/images/，那么返回的响应是名为images/index.html的Object。 类型：字符串。 父节点：IndexDocument。 是 ErrorDocument Key的容器。 类型：容器。 父节点：WebsiteConfiguration。 子节点：Key。 否 Key 如果出现4XX错误，会返回指定的Object。 类型：字符串。 有效值：长度为1~1024的字符串。 父节点：ErrorDocument。 是 RoutingRules 托管模式配置到当前Bucket的重定向规则容器。 注意 如果RoutingRules下有多个RoutingRule，各RoutingRule之间无影响，按照配置的先后顺序向下执行，当有一个满足条件时，就不再继续向后匹配。如果都没有匹配，就不使用重定向规则。 类型：容器。 父节点：WebsiteConfiguration。 子节点：RoutingRule。 否 RoutingRule 重定向规则的容器。一条重定向规则包含一个Condition和一个Redirect，当Condition匹配时，Redirect生效。容器中至少要有一个重定向规则。 注意 一个RoutingRule下，出现多个Condition和Redirect时，以最后一个为准。 类型：容器。 父节点：RoutingRules。 子节点：Condition、Redirect。 是 Condition 描述重定向规则匹配的条件的容器。如果重定向规则匹配的条件未配置，则重定向规则将应用于所有请求。 注意 该容器可以不配置，如果配置，则至少应该包含HttpErrorCodeReturnedEquals、KeyPrefixEquals中的一个。 类型：容器。 父节点：RoutingRule。 子节点：HttpErrorCodeReturnedEquals、KeyPrefixEquals。 否 HttpErrorCodeReturnedEquals 指定Redirect生效时的HTTP错误码。当发生错误时，如果错误码等于这个值，那么Redirect生效。 注意 ErrorCodeReturnedEquals和KeyPrefixEquals同时存在时，只有都匹配时，Redirect才生效。 类型：字符串。 有效值：[ 400, 417 ]，[ 500, 505]。 例如：当返回的http错误码为404时重定向到NotFound.html，可以将Condition中的HttpErrorCodeReturnedEquals设置为404，Redirect中的ReplaceKeyWith设置为NotFound.html。 父节点：Condition。 否 KeyPrefixEquals 重定向规则生效时的文件名的前缀。 注意 HttpErrorCodeReturnedEquals 和KeyPrefixEquals同时存在时，只有都匹配时，Redirect才生效。 类型：字符串。 取值：长度为01024的字符串。 父节点：Condition。 否 Redirect 重定信息容器。 注意 Redirect配置包含的元素可以为空，也可以包含以下元素:Protocol、HostName、ReplaceKeyPrefixWith、ReplaceKeyWith。当某一元素存在多条值时以最后一条为准。 类型：容器。 父节点：RoutingRule。 子节点：Protocol、HostName、ReplaceKeyPrefixWith、ReplaceKeyWith。 是 Protocol 重定向请求时使用的协议。 类型：字符串。 有效值：http、https，默认值为http。 父节点：Redirect或者RedirectAllRequestsTo。 否 HostName 重定向请求时使用的站点名。 如果父节点为RedirectAllRequestsTo，此项必须填写。 类型：字符串。 有效值：1~1024个字符，不能包含空格。父节点为Redirect，也不能包含斜杠(/)。 父节点：Redirect或者RedirectAllRequestsTo。 否 ReplaceKeyPrefixWith 重定向请求时使用的文件名前缀。 注意 ReplaceKeyPrefixWith与ReplaceKeyWith不能同时存在。 类型：字符串。 有效值：0~1024个字符。 父节点：Redirect。 否 ReplaceKeyWith 指定重定向请求时使用的文件名。 注意 ReplaceKeyPrefixWith与ReplaceKeyWith不能同时存在。 类型：字符串。 有效值：0~1024个字符。 父节点：Redirect。 否 RedirectAllRequestsTo 托管模式为重定向请求的容器。 注意 如果未填写IndexDocument，则RedirectAllRequestsTo必填。如果填写了RedirectAllRequestsTo，则IndexDocument、ErrorDocument、RoutingRules都不能填写。 父节点：WebsiteConfiguration。 子节点：HostName、Protocol。 否

本节介绍了POD联网使用案例的用户指南。 本文介绍如何在容器集群创建的pod中，实现访问公网。 准备工作 已创建云服务引擎集群； 已在容器集群中创建pod，该pod需要进行公网访问。 操作步骤 步骤一：确定要访问公网的pod ip，确定其所属vpc的子网网段； 步骤二：购买弹性IP; 步骤三：购买NAT网关及配置路由； 步骤四：配置SNAT规则； 步骤五：pod内测试连通性。 步骤一：确定要访问公网的pod ip，确定其所属vpc的子网网段 1、首先确定容器集群部署所用网络插件类型，步骤如下 登录天翼云“云容器引擎”管理控制台； 选择指定资源池，进去集群列表； 点击进入指定集群； 在“集群信息”“基本信息”中查看网络插件； 2、确定访问公网的pod所属vpc子网网段 以无状态部署为例： “工作负载”“无状态”，选择命名空间，进入指定deployment； 进入deployment实例详情，查看pod列表； 如果网络插件是calico，那么记录实例所在节点ip： 如果网络插件是cubecni，那么记录pod ip： 在“虚拟私有云”“子网” 中，查看上述记录ip所属ip网段；

参数 参数说明 插件规格 并发域名解析能力，请根据业务需求选择插件规格。 实例数 选择上方插件规格后，显示插件中的实例数，此处仅作显示。 容器 选择插件规格后，显示插件容器的CPU和内存配额，此处仅作显示。 提示 关于本插件的注意事项，请仔细阅读。 存根域 单击“添加”，您可对自定义的域名配置域名服务器，格式为一个键值对，键为DNS后缀域名，值为一个或一组DNS IP地址，如"acme.local 1.2.3.4,6.7.8.9"。

容器隧道网络（Overlay ）基于底层VPC网络，另构建了独立的VXLAN隧道化容器网络，适用于一般场景。VXLAN是将以太网报文封装成UDP报文进行隧道传输。容器网络是承载于VPC网络之上的Overlay网络平面，具有付出少量隧道封装性能损耗，即可获得通用性强、互通性强、高级特性支持全面（例如Network Policy网络隔离）的优势，可以满足大多数应用需求。 容器隧道网络 说明如下： Overlay L2指的是容器跨节点以Overlay通信，所有节点上的容器IP都是2层可达的。如Canal支持的Overlay类型为vxlan，采用的vswitch为openvswitch。 Overlay L2特性支持的功能包括： 支持多平面通信和隔离。 支持Pod访问Service IP。 支持Pod应用和Host应用的访问。 Overlay L2通信的上行链路网卡设备需要预配置IP地址。 Overlay L2目前不支持与其他网络模式的混用。 ServiceIP不支持多平面，只支持默认平面。 Overaly L2逻辑网络掩码（大子网掩码）目前不支持配置为大于24的值。 Overlay L2逻辑网络分配给节点的小子网掩码默认为26，支持配置为24~30。另外当小子网掩码为配置为24时，大子网掩码不支持配置为24。 Overlay L2由于在每个节点上都是小子网，容器内网络的网关都是由Canal自动分配，不支持指定网关。 优缺点 优点：不受VPC配额规格、响应速度限制（路由条目数、弹性网卡数、创建速度限制）。 缺点：封装的额外开销，网络复杂性较高、性能较低，无法直接利用VPC提供的负载均衡、安全组等能力。 应用场景 适用于对网络时延、带宽要求不是特别高的一般容器业务场景。

场景二：云下Kubernetes集群容器网络模式为Overlay模式，或Underlay模式但Pod IP集群外不可访问 隧道网络模式相较平面网络模式，存在10%~20%的性能损失，一般用于集群规模较小且对网络性能要求不高的场景。场景开源组件模式包括： Flannel VXLan模式 Calico IPIP模式 Cilium VXLan模式 若云下Kubernetes集群的容器网络模式为隧道网络，则云上节点也可以复用该网络模式，只需保证云上节点能够拉取到容器网络插件所需容器镜像即可。

本章节主要介绍产品类问题 AOM有哪些使用限制？ 操作系统使用限制 AOM支持多个操作系统，在创建主机时您需选择AOM支持的操作系统，详见下表，否则无法使用AOM对主机进行监控。 AOM支持的操作系统及版本 操作系统 版本 :: SUSE SUSE Enterprise 11 SP4 64bit SUSE Enterprise 12 SP1 64bit SUSE Enterprise 12 SP2 64bit SUSE Enterprise 12 SP3 64bit OpenSUSE 13.2 64bit 42.2 64bit 15.0 64bit（该版本暂不支持syslog日志采集） CentOS 6.3 64bit 6.5 64bit 6.8 64bit 6.9 64bit 6.10 64bit 7.1 64bit 7.2 64bit 7.3 64bit 7.4 64bit 7.5 64bit 7.6 64bit Ubuntu 14.04 server 64bit 16.04 server 64bit 18.04 server 64bit Fedora 24 64bit 25 64bit 29 64bit Debian 7.5.0 32bit 7.5.0 64bit 8.2.0 64bit 8.8.0 64bit 9.0.0 64bit 说明 对于Linux x8664服务器，AOM支持上表中所有的操作系统及版本。 对于Linux ARM服务器，CentOS操作系统仅支持7.4 及其以上版本，上表所列的其他操作系统对应版本均支持。 资源使用限制 在使用AOM时，您需注意以下使用限制，详见下表。 资源使用限制 分类 对象 使用限制 ::: 仪表盘 仪表盘 1个区域中最多可创建50个仪表盘。 1个资源集中最多可创建150个仪表盘。 仪表盘 仪表盘中的图表 1个仪表盘中最多可添加20个图表。 1个仪表盘中最多可添加30个图表。 仪表盘 仪表盘中图表可选资源、阈值规则、组件或主机的个数 1个曲线图中最多可添加100个资源，且资源可跨集群选择。 1个曲线图中最多可添加12个资源，且资源可跨集群选择。 1个数字图只能添加1个资源。 1个阈值状态图表最多可添加10个阈值规则。 1个主机状态图表最多可添加10个主机。 1个组件状态图表最多可添加10个组件。 指标 指标数据 指标数据在数据库中最多保存30天。 指标 指标总量 单租户总指标量不超过40W 小规格总指标量不超过10W 指标 指标项 资源（例如，集群、组件、主机等）被删除后，其关联的指标项在数据库中最多保存30天。 指标 维度 每个指标的维度最多为20个。 每个指标的维度最多为30个。 指标 指标查询接口 单次最大可同时查询20个指标。 指标 统计周期 最大统计周期为1小时。 指标 单次查询返回指标数据 单个指标单次查询最大返回1440个数据点。 指标 自定义指标 无限制。 指标 上报自定义指标 单次请求数据最大不能超过40KB，上报指标所带时间戳不能超前于标准UTC时间10分钟，不接收乱序指标，即有新指标上报后，旧指标上报将会失败。 指标 应用指标 每个主机的容器个数超过1000个时，ICAgent将停止采集该主机应用指标，并发送“ICAgent停止采集应用指标”告警（告警ID：34105）。 每个主机的容器个数缩减到1000个以内时，ICAgent将恢复该主机应用指标采集，并清除“ICAgent停止采集应用指标”告警。 指标 采集器资源消耗 采集器在采集基础指标时的资源消耗情况和容器、进程数等因素有关，在未运行任何业务的VM上，采集器将消耗30M内存、1% CPU。为保证采集可靠性，单节点上运行的容器个数应小于1000。 日志 单条日志大小 每条日志最大10KB，超出后ICAgent将不会采集该条日志，即该条日志会被丢弃。 日志 日志流量 每个租户在每个Region的日志流量不能超过10MB/s。如果超过10MB/s，则可能导致日志丢失。 日志 日志文件 只支持采集文本类型日志文件，不支持采集其他类型日志文件（例如二进制文件）。 日志 每个通过卷挂载日志的路径下，ICAgent最多采集20个日志文件。 日志 每个ICAgent最多采集1000个容器标准输出日志文件，容器标准输出日志只支持jsonfile类型。 日志 采集日志文件的资源消耗 日志文件采集时消耗的资源和日志量、文件个数及网络带宽、backend服务处理能力等多种因素强相关。 日志 日志丢失 采集器使用多种机制保证日志采集的可靠性，尽可能保证数据不丢失，但在如下场景可能导致日志丢失。 日志文件未使用CCE提供的logPolicy轮转策略。 日志文件轮转速度过快，如1秒轮转一次。 系统安全设置或syslog自身原因导致无法转发日志。 容器运行时间过短，例如小于30s。 单节点总日志产生速度过快，超过了单节点网络发送带宽或日志采集速度，建议单节点总日志产生速度 “指标浏览”页面中查看指标曲线时，将插值方式设置为0，系统会自动补点，如图所示 插值方式修改

名称 描述 InventoryConfiguration 清单配置的容器。 类型：容器。 子节点：Destination、IsEnabled、Filter、Id、OptionalFields、Schedule。 Destination 存放清单结果的容器。 类型：容器。 父节点：InventoryConfiguration。 子节点：OOSBucketDestination。 OOSBucketDestination 存放清单结果的Bucket信息。 类型：容器。 父节点：Destination。 子节点：Bucket、Format、Prefix。 Bucket 存放清单结果文件的Bucket。 类型：字符串。 父节点：OOSBucketDestination。 Format 清单结果文件的类型。 类型：字符串。 父节点：OOSBucketDestination。 Prefix 清单结果的存储路径前缀。 类型：字符串。 父节点：OOSBucketDestination。 IsEnabled 清单功能是否启用： true：启用清单功能。 false：不启用清单功能。 类型：布尔型。 父节点：InventoryConfiguration。 Filter 清单筛选的前缀。 类型：容器。 父节点：InventoryConfiguration。 子节点：Prefix。 Prefix 筛选规则的匹配前缀。 类型：字符串。 父节点：Filter。 Id 清单名称。 类型：字符串。 父节点：InventoryConfiguration。 OptionalFields 清单结果配置项的容器。 类型：容器。 父节点：InventoryConfiguration。 子节点：Field。 Field 清单结果中包含配置项： Size：Object的大小。 LastModifiedDate：Object最后一次修改时间。 ETag：Object的ETag值，用于标识Object的内容。 StorageClass：Object的存储类型。 IsMultipartUploaded：是否为通过分片上传方式上传的Object。 说明 如果未设置配置项，清单默认输出Bucket和Key（文件名称）。 类型：字符串。 父节点：OptionalFields。 Schedule 存放清单结果导出周期的容器。 类型：容器。 父节点：InventoryConfiguration。 子节点：Frequency。 Frequency 清单结果文件导出的周期： Daily：按天导出清单结果文件。 Weekly：按周导出清单结果文件。 类型：字符串。 父节点：Schedule。

本节介绍了：云容器引擎发布 Kubernetes 1.25版本说明。 社区 Kubernetes 版本主要变更 Kubernetes 1.25 Changelog 1. PodSecurityPolicy 弃用，Pod Security Admission 升级为稳定版本，迁移指引可参见从 PodSecurityPolicy迁移到内置的 PodSecurity Admission控制器。 2. 临时容器升级为稳定版本，临时容器是在 Pod中存在有限时长的容器。临时容器可用于排障，特别是检查另一个容器的时候，该容器已奔溃无法使用 kubectl exec进入。 3. 对 cgroups v2的支持达到稳定状态，cgroups v2相对于 cgroups v1 进行了多项改进，更多信息请参阅cgroup v2。 4. Windows 支持得到了改进。 5. SeccompDefault 升级为 Beta，清参阅教程使用 seccomp限制容器系统调用。 6. 网络策略（NetworkPolicy）中的 endPort GA，该特性支持设置端口范围。请注意，endPort依赖网络策略提供商支持。 7. CSI 临时卷升级到稳定状态，该功能允许在 Pod spec中为临时用例直接指定 CSI卷。它们可用于注入配置、密钥、身份标志、变量等类似信息。 8. CRD 校验表达式语言升级到 Beta版，该特性允许使用通用表示式语言（CEL）声明式地验证自定义资源。更多信息见[校验规则指南](

本章节主要介绍数据湖探索（DLI）的产品定义。 数据湖探索（Data Lake Insight，简称DLI）是完全兼容Apache Spark、Apache Flink生态，提供一站式的流处理、批处理、交互式分析的Serverless融合处理分析服务。用户不需要管理任何服务器，即开即用。支持标准SQL/SparkSQL/Flink SQL，支持多种接入方式，并兼容主流数据格式。数据无需复杂的抽取、转换、加载，使用SQL或程序就可以对云上CloudTable、RDS、DWS、CSS、OBS、ECS自建数据库以及线下数据库的异构数据进行探索。

本节介绍计费项。 计费项 集群管理费用 计费项 计费项说明 计费方式 备注 集群管理服务 CCE One集群管理费用由集群类型（包括天翼云集群、三方云集群和本地集群）、集群vCPU数量和订购时长决定。其中vCPU数量统计方法和vCPU计费规则见下方。 按需计费 如果关联天翼云集群，您需要创建天翼云 CCE 集群。 计费信息参见云容器引擎计费说明。 IaaS资源费用 使用天翼云CCE One服务时，会产生IaaS云资源（如：ELB、EIP等）费用，涉及计费的资源如下表所示： 计费项 计费项说明 计费方式 备注 IaaS云资源 ELB 按需计费 必须，绑定 API Server 使用。 计费信息参见 弹性负载均衡计费说明。 IaaS云资源 EIP 按需计费 非必须，公网暴露 API Server 使用。 计费信息参见 弹性IP计费说明。 IaaS云资源 ECS 按需计费 非必须，注册集群节点扩容使用。 计费信息参见 弹性云主机计费说明。 注意 分布式容器云平台CCE One提供分布式集群统一管理，其产生的费用仅包括注册集群管理费和使用到的IaaS资源费用。对于三方云集群和本地集群所产生的资源费用，不属于CCE One计费范围。

本文主要介绍CCE发布Kubernetes 1.11版本说明。 云容器引擎（CCE）严格遵循社区一致性认证。本文介绍CCE发布Kubernetes 1.11版本所做的变更说明。 表 v1.11版本集群说明 Kubernetes版本（CCE增强版） 版本说明 v1.11.7r2 主要特性： GPU支持V100类型 集群支持权限管理 v1.11.7r0 主要特性： Kubernetes同步社区1.11.7版本 支持创建节点池（nodepool），虚拟机集群支持 CCE集群支持创建物理机节点（VPC网络），支持物理机和虚机混合部署 GPU支持V100类型 1.11集群对接AOM告警通知机制 Service支持访问类型切换 支持服务网段 集群支持自定义每个节点分配的IP数（IP分配） v1.11.3r2 主要特性：集群支持IPv6双栈 ELB负载均衡支持源IP跟后端服务会话保持 v1.11.3r1 主要特性：Ingress的URL匹配支持Perl语法的正则表达式 v1.11.3r0 主要特性： Kubernetes同步社区1.11.3版本 集群控制节点支持多可用区 容器存储支持对接SFS Turbo极速文件存储 参考链接 社区v1.9与v1.11版本之间的CHANGELOG v1.10到v1.11的变化： v1.9到v1.10的变化：

收费项目 标准资费（元/小时/核） CCE专属云节点管理vcpu 0.135 CCE专属云节点管理core 0.27 专属云中的云容器引擎，其kubernetes管理节点（master node）的底层资源使用用户已开通的天翼云专属云资源，计费将以专属云中的云容器引擎所纳管的集群全部工作节点（worker node）主机的总核数为计费因子。 例如，用户开通专属云容器引擎后，开通了2个容器集群，集群纳管的工作节点共包括10台云主机共100vcpu、2台物理机共88核，则此时专属云容器引擎部分的费用为：(100×0.135+88×0.27)元/小时。

集群规格 集群模式 最大纳管规模 双机集群 双主 2000虚机/3000容器 4机集群 2接入+2数据 10000虚机/15000容器 6机集群 2接入+4数据 20000虚机/25000容器 8机集群 2接入+2管理+4数据 30000虚机/40000容器

本节介绍了云容器引擎的其他类常见问题。 节点NTP时间不同步怎么排查？ 检查 NTP 服务状态 在每个节点上，检查 NTP 服务是否正在运行。使用如下命令： bash sudo systemctl status ntp 如果 NTP 服务没有运行，使用以下命令启动它： bash sudo systemctl start ntp 也可以使 NTP 服务在启动时自动运行： bash sudo systemctl enable ntp 检查 NTP 配置 检查 /etc/ntp.conf 文件，确保 NTP 服务器的配置是正确的。可以选择使用公共的 NTP 服务器，或者在网络内部运行一个 NTP 服务器。 检查网络连通性 节点需要能够访问 NTP 服务器。可以使用 ping 或 nc 来检查节点是否可以连接到 NTP 服务器。 ping c 3 [yourntpserver] 手动同步时间 如果以上步骤不能解决问题，可以尝试手动同步节点的时间。ntpdate 是一个可以立即同步时间的命令： sudo ntpdate [yourntpserver] 使用 Chrony 如果 NTP 无法满足需求，可以考虑使用 Chrony。Chrony 是一个可以替代 NTP 的时间同步服务，它对网络延迟有更好的处理，而且配置也比较简单。

local命令用于本地开发函数，包含本地调用和断点调试。 前提条件 已安装 Docker，版本 > 19.03。 已安装 VS Code，建议您安装最新的版本。 local invoke 命令 对于 标准运行时函数，local invoke 命令启动本地函数容器并请求一次函数后，随后容器退出。 对于 自定义运行时函数，local invoke 命令启动本地函数容器并监听指定端口，随后阻塞等待请求，您可以通过 Ctrl + C 中断命令。 参数解析 参数全称 参数缩写 Yaml 模式下必填 参数含义 event e 选填 标准运行时函数的事件数据。 操作案例 调用本地的标准运行时函数 进入到资源描述文件（s.yaml）所在的路径，然后执行 s local invoke 调用函数： 调用本地的自定义运行时函数 进入到资源描述文件（s.yaml）所在的路径，然后执行 s local invoke 启动本地函数容器。再通过 Curl 或 Postman 等工具发起请求： local debug 命令 local debug 命令启动本地函数容器并阻塞，待完成一次调试执行后容器退出。 注意 local debug 命令仅支持标准运行时Java、Python、Node.js函数。

升级类型 说明 操作方式 最新版本 操作系统 支持升级场景： 操作系统版本升级 操作系统类型变更 该操作会通过重置节点的方式升级操作系统，关于节点重置详情参见 参见 Kubelet 当对应版本的集群，kubelet发布了新的版本，可以将该节点池内节点的kubelet升级到最新版本 采取原地升级的方式升级kubelet组件 参见 容器运行时 当对应版本的集群，容器运行时发布了新的版本，可以将该节点池内节点的运行时升级到最新版本 采取原地升级的方式升级容器运行时 参见下文“集群版本与Kubelet对应关系”

本节介绍了自动变更集群规格的用户指南。 操作场景 容器集群规模是集群支持管理的最大节点数量，当集群规模不满足您的诉求或控制面组件负载达到阈值时，可以通过开启“自动变更规格”功能自动扩大集群控制面规模。该功能默认关闭，需手动开启。 约束限制 1. 自动变更规格功能仅适用于托管版容器集群。 2. 自动变更规格对特定客户开放，如需使用，请联系客户经理或通过工单申请。 3. 自动变更规格涉及自动支付，自动支付暂不支持代金券支付，对于预付费账号，请确保余额充足，以便顺利完成支付和规格变更。 4. 自动变更规格过程中，容器集群组件会进行滚动更新，可能导致短暂的服务中断，建议避免在此过程中执行创建负载等核心操作。 5. 控制面组件负载触发依赖于cubeprometheus插件采集控制面组件指标数据，请先安装cubeprometheus插件，再安装masterautoscaler插件。 6. 若卸载了cubeprometheus插件，会导致masterautoscaler无法采集控制面组件指标，无法触发自动变更。 7. 若卸载重装了cubeprometheus插件，masterautoscaler插件也需要先卸载再安装。 收费策略 集群变更规格（升配或降配）会直接影响集群管理费用的计算。变更完成后，新规格立即生效并按新规格计费。 费用计算规则 1. “按需计费”集群：升配和降配生效后，按照变更后规格的费用按需计费。 2. “包年包月”集群： 升配：新规格价格高于老规格价格，客户需要支付新老规格的差价，在升配期间自动扣除费用。 降配：新规格价格低于老规格价格，天翼云会将新老规格的差价退给客户，在降配期间自动返还费用。

如何访问文件系统？ 文件系统可以通过以下几种方式进行访问： 云内通过内网访问文件系统，将文件系统挂载至归属相同VPC的云主机、容器或者物理机上，挂载成功后，可以在云主机、容器或者物理机上访问弹性文件系统，用户可以把弹性文件系统当作一个普通的目录来访问和使用，执行读取或写入操作。 云外通过云专线访问文件系统，可以通过云专线接入弹性文件服务，实现本地数据中心与弹性文件服务的网络互通。 为何无法使用showmount e ip 查看共享文件目录？ 基于安全因素考虑，目前已禁用该命令。您可以通过登录以下两种方式查看所有的文件系统： 方式一：通过弹性文件服务控制台查看。登录天翼云官网，点击“控制中心”，在“存储”模块下点击“弹性文件服务SFS Turbo”进入控制台列表页。 方式二：通过OpenAPI查看。使用查询租户已开通文件系统列表接口即可获取。 如何避免NFS 4.0监听端口被误认为木马? 问题描述： 在通过NFSv4.0协议挂载NAS文件系统后，会出现一个随机端口（0.0.0.0）被监听的情况，并且无法通过netstat命令确定监听端口所属的进程，这可能导致误判为文件传输受到木马攻击的情况。 问题原因： 该随机端口是NFSv4.0客户端为了支持Callback而监听的。由于内核参数fs.nfs.nfscallbacktcpport默认值为0，因此NFSv4.0客户端会随机选择一个端口进行监听，而这个随机端口本身并不会带来安全风险。 解决方案： 在挂载文件系统之前，您可以通过配置参数fs.nfs.nfscallbacktcpport来指定一个非零的确定值，以固定该监听端口。 命令如下： sudo sysctl fs.nfs.nfscallbacktcpport 请将上述命令中的替换 为您希望使用的具体端口号。通过上述操作，您可以固定NFSv4.0客户端的Callback监听端口，避免随机端口的出现，从而减少误判为木马攻击的可能性。

本文主要介绍Serverless集群的天翼云存储插件cstorcsi，其使用过程中常见的问题及分析流程。 通用分析流程 1. 选择“插件”下的“插件实例”，查看cstorcsi实例，运行是否异常。 2. 选择“工作负载”下的“无状态”，切换命名空间为“cstor”，查看名称为“cstorcsiprovisioner”的pod日志，切换容器名称为“csiprovisioner”和“cstorcsiplugin”，查看是否有错误日志输出。 常见问题 1. 用户不允许订购按需类订单。 该报错是由于cstorcsi插件开通的云硬盘为按需付费方式，需要账户余额在100元以上才可正常开通。 解决方案：请检查天翼云“账户余额”是否在100元以上。 2. can not support RWX in filesystem mode for disk。 当使用cstorcsi安装生成的storageclass，创建持久卷声明（PVC）。正常情况下，创建持久卷声明后，在“存储”选择“持久卷”，列表栏会看到相应持久卷（PV）创建，并且状态为“已绑定”。如果创建持久卷声明后，未发现相应持久卷创建，查看cstorcsiplugin日志输出为 can not support RWX in filesystem mode for disk，表示当前创建的持久卷声明，不支持访问模式为多机读写。目前，cstorcsi插件安装，默认创建的云硬盘类型的storageclass，其访问模式与是否是共享盘有关，只有在使用共享盘的情况下，支持多机读写，其他情况仅支持单机读写。 解决方案：修改持久卷声明访问模式为“单机读写”。 3. failed to create disk volume, message: disk size should be in range [10G ,32T]。 目前，当使用cstorcsi插件安装的storageclass，云硬盘类型要求容量为 [10G ,32T]，文件存储要求容量500G以上。如果创建持久卷声明后，未发现相应持久卷创建，查看cstorcsiplugin日志输出为：failed to create disk volume, message: disk size should be in range [10G ,32T]，表示当前创建的存储卷声明，其容量需要调整为合理范围大小。 解决方案：创建存储卷声明时，其容量需要调整为合理范围大小。

本节介绍如何创建JupyterLab开发机。 创建Notebook 在智算套件控制台页面选择“AI应用开发”，单击“创建Notebook”。 由于开发机会单独创建eip用于暴露服务，因此在创建时会出现 “此功能会自动帮您创建弹性IP和弹性负载均衡用于服务暴露，因此会产生一定的费用。” 的提示，确认需要启用后点击“确定”。 配置基本信息 选择开发机类型，支持JupyterLab和VSCode类型的开发机，并选择需要创建的命名空间、填写描述信息等。 选择开发机框架，平台内置了多个公共的JupyterLab框架，其中有包含Pytorch、TensorFlow的CUDA镜像可供选择。 配置工作空间 “工作空间目录配置” 默认打开，数据集挂载第一条默认为工作空间目录的配置，且只能选择私有数据集（私有数据集具有读写权限，公共数据集为只读权限）进行配置，平台会将此工作空间数据集映射到容器的/home/jovyan目录，后续使用过程中用户工作空间的持久化数据将保存到该数据集内。 “工作空间目录配置”可选择关闭，关闭后如果该开发机容器故障用户工作空间内的数据将会丢失，请谨慎选择。 数据集支持多条配置，需要确保多条不同数据集的挂载路径不会重叠、重复。

参数 参数类型 说明 示例 下级对象 AccessControlPolicy Container 包含响应的容器 AccessControlList Container 包含ACL 信息的容器 Owner Container 包含存储桶拥有者ID和显示名的容器 ID String 存储桶拥有者的ID DisplayName String 存储桶拥有者的显示名 Grant Container 关于权限拥有者和权限的容器 Grantee Container 关于被授予许可的用户的ID 和显示名的容器 Permission String 存储桶被授予的权限

本文介绍如何修改ECI实例镜像保持私有IP不变。 在应用迭代过程中，因为增加功能特性以及BUG修复而制作新的镜像后，您可能需要修改镜像，同时为了不影响业务，需要保持ECI实例的IP不变。本文介绍如何修改ECI实例的容器镜像，同时保持实例IP不变。 前提条件 已准备好要更新的镜像，并已经将镜像上传到对应的镜像仓库中。 操作步骤 1. 在弹性容器实例控制台左侧导航栏中选择“容器组”，进入容器组列表页。此时ECI实例的IP为192.168.0.37，查看容器镜像为nginx:latest。 2. 找到想要更新的实例，选择该实例右侧的“编辑”。 3. 进入该实例的更新页面，您就可以更新到新的镜像。参考如下图： 4. 实例更新成功后，即使用新的镜像启动容器完成，同时ECI实例的IP不会有变化。参考如下图：

本章节介绍应用服务网格CSM产品优势 开源增强 100% 兼容istio服务网格，并在开源基础上做了功能增强，提供了丰富的流量治理和安全管控能力；无缝对接天翼云容器引擎，支持多集群统一治理。 流量治理 支持基于istio CRD资源的流量治理；基于开源扩展了本地限流功能以及流量打标和全链路灰度能力。 安全 一键开启mTLS安全链路，支持丰富的请求认证和授权策略；一键集成外部授权服务和OPA策略引擎，提供更加丰富和灵活的安全管控策略。 无侵入 提供基于webhook的sidecar注入能力，sidecar自动拦截业务流量实现丰富的服务治理能力，无需修改任何业务代码。 优化能力 具备Sidecar资源定义、服务发现范围以及自适应配置分发能力，满足多样的网格优化需求。

1.3 部署脚本下载与解压 将部署所需脚本包下载至服务运行目录并解压，其中Qwen332B目录包含服务启停脚本（appstart.sh、appstop.sh等）、配置文件（config.json）及相关运行目录。 plaintext cd /mnt/nvme0n1 wget tar xvf qwen332bhw1nodev20250728.tar 1.4 MindIE 容器镜像准备 MindIE 容器镜像是模型推理的运行环境载体，需按以下步骤准备： 1、创建镜像存储目录并下载镜像： plaintext mkdir p /mnt/nvme1n1/apptainer cd /mnt/nvme1n1/apptainer wget 2、在服务运行目录创建软链接，便于服务调用镜像： plaintext cd /mnt/nvme0n1/Qwen332B ln s /mnt/nvme1n1/apptainer/mindie2.0.RC2800IA2py311openeuler24.03ltsqwen3.sif . 1.5 下载模型文件 将模型文件下载并保存在每个节点的/mnt/nvme1n1/model/ 目录下，并配置模型文件访问权限为750，确保服务可正常读取： plaintext [root@new ~] ls l /mnt/nvme1n1/model/Qwen332B total 64004232 rwxrx 1 root root 728 Jul 24 11:23 config.json rwxrx 1 root root 73 Jul 24 11:23 configuration.json rwxrx 1 root root 239 Jul 24 11:23 generationconfig.json rwxrx 1 root root 1671853 Jul 24 11:23 merges.txt rwxrx 1 root root 3957109648 Jul 24 11:36 model00001of00017.safetensors 。。。。。。 rwxrx 1 root root 3055341992 Jul 24 11:50 model00017of00017.safetensors rwxrx 1 root root 58330 Jul 24 11:46 model.safetensors.index.json rwxrx 1 root root 16636 Jul 24 11:46 README.md rwxrx 1 root root 9732 Jul 24 11:46 tokenizerconfig.json rwxrx 1 root root 11422654 Jul 24 11:46 tokenizer.json rwxrx 1 root root 2776833 Jul 24 11:46 vocab.json 二、起停服务