组件来源 说明 Jar包 支持以下上传方式： 从OBS对象存储选择对应的软件包。需要提前将软件包上传至OBS桶中，相关操作请参考上传文件“帮助中心 > 对象存储服务 > 用户指南 > 控制台指南 > 入门 > 上传文件”。 War包 支持以下上传方式： 从OBS对象存储选择对应的软件包。需要提前将软件包上传至OBS桶中，相关操作请参考上传文件“帮助中心 > 对象存储服务 > 用户指南 > 控制台指南 > 入门 > 上传文件”。 Zip包 支持以下上传方式： 从OBS对象存储选择对应的软件包。需要提前将软件包上传至OBS桶中，相关操作请参考上传文件“帮助中心 > 对象存储服务 > 用户指南 > 控制台指南 > 入门 > 上传文件”。 镜像包 容器应用需要基于镜像创建，若选择私有镜像，用户首先需要将镜像上传至镜像仓库。选择“软件中心 > 镜像仓库”，参考管理镜像将镜像上传至镜像仓库。

本节介绍了：创建一个无状态工作负载——查看容器实例事件的用户指引。 在工作负载实例详情的界面中，选择事件可以查看负载事件及容器事件。

参数 是否必填 参数类型 说明 示例 下级对象 ApplyServerSideEncryptionByDefault 是 Array of Objects 设置服务端默认加密规则的容器 ApplyServerSideEncryptionByDefault

本小节介绍退订与变更计费模式。 退订 购买主机安全的防护配额后，如需停止使用，请执行退订操作。 如果您已开启“自动续费”功能，为避免继续产生费用，请在自动续费扣款日之前关闭自动续费。 1、登录管理控制台。 2、在页面左上角选择“区域”，单击，选择“安全 > 企业主机安全”，进入企业主机安全平台界面。 3、根据不同的配额类型执行退订操作。 退订主机防护配额： 在左侧导航栏选择“资产管理 > 主机管理”页面，选择“防护配额”页签，进入防护配额列表页面。 在需要退订的配额所在行的“操作”列，单击“更多 > 退订”。 退订容器防护配额： 在左侧导航栏选择“资产管理 > 容器管理”页面，选择“防护配额”页签，进入防护配额列表页面。 在需要退订的配额所在行的“操作”列，单击“更多 > 退订”。 4、在“退订使用中的资源”列表页面，退订企业主机安全服务配额。单个退订：在需要退订的主机安全配额所在行，单击操作列的“退订资源”。 更改计费模式 计费模式变更指“包年/包月”与“按需计费”模式之间的变更，当前仅支持企业版。 按需变更为包周期 ：按需变更为包周期，需要用户购买包周期配额，生成新的订单，用户支付订单后，包周期配额立即生效。包周期配额生效后，需要用户在云服务器列表页面，勾选目标主机，单击“开启防护”，选择包周期防护配额，直接开启包周期配额防护。 包周期变更为按需：包周期转按需，需要用户在云服务器列表页面，勾选目标主机，单击“开启防护”，选择按需防护，按需的资费模式才会生效。

云应用引擎深度集成了MSE服务的微服务治理功能，通过此功能，可以更高效的管理您的应用。 条件说明 本功能仅适用于Java应用。 需要开通天翼云MSE微服务治理产品。 功能入口 1. 在云应用引擎控制台左侧导航栏选择应用管理 > 应用列表。 2. 在应用列表页面，单击目标应用名称，进入应用基础信息页。 3. 在左侧导航栏中展开微服务治理。 4. 在微服务治理区域，打开微服务治理功能。 注意 1. 微服务治理功能开启后，系统会自动向应用中的每个实例中注入一个内置的Agent，此Agent大约占用0.2 Core和200MB的资源，请您提前做好资源规划。 2. 如果是应用运行过程中开启微服务治理，会引起应用容器重启，请您在业务低峰期时进行操作

云应用引擎深度集成了MSE服务的微服务治理功能，通过此功能，可以更高效的管理您的应用。 条件说明 本功能仅适用于Java应用。 需要开通天翼云MSE微服务治理产品。 功能入口 1. 在云应用引擎控制台左侧导航栏选择应用管理 > 应用列表。 2. 在应用列表页面，单击目标应用名称，进入应用基础信息页。 3. 在左侧导航栏中展开微服务治理。 4. 在微服务治理区域，打开微服务治理功能。 注意 1. 微服务治理功能开启后，系统会自动向应用中的每个实例中注入一个内置的Agent，此Agent大约占用0.2 Core和200MB的资源，请您提前做好资源规划。 2. 如果是应用运行过程中开启微服务治理，会引起应用容器重启，请您在业务低峰期时进行操作

2.1 服务配置 2.1.1 调度参数配置 编辑/home/vllm/srundeepseek.sh，如果是2台或者3台，需修改N后面的数值： !/bin/bash SBATCH N 4 ... 2.1.2 模型参数配置 编辑/home/vllm/node.sh： export MODELDIR/mnt/data/hfcache/DeepSeekR1 export MODELNAMEDeepSeekR1 export VLLMIMAGEvllmopenaiv0.8.1.sif export VLLMAPIKEY"password" 其中: MODELDIR为模型具体位置 MODELNAME为显示的模型名称 VLLMIMAGE为使用的vllm apptainer容器 VLLMAPIKEY为模型密钥，默认为password 2.2 DeepSeek服务启动 cd /home/deepseek sbatch srundeepseek.sh 输出示例：Submitted batch job 403 查看日志目录下的err文件，当出现如下信息时，表示服务启动： INFO: Started server process [409] INFO: Waiting for application startup. INFO: Application startup complete. 2.3 查看DeepSeek状态 可通过slurm命令squeue，查看作业运行信息： $ squeue JOBID PARTITION NAME USER ST TIME NODES NODELIST(REASON) 403 batch DSL40S root R 8:19 4 compute[0104] 注意 可在/home/deepseek/log目录中查看当前作业的日志文件。 2.4 DeepSeek服务停止 上述示例中，DeepSeek服务的JOB ID为403，如果需停止DeepSeek服务，命令为： scancel 403 或 scancel me

本节介绍智算容器退订。 如果您有退订的需求，可以进行登录天翼云管理中心或云容器引擎控制台进行退订操作。天翼云目前支持7天无理由全额退订和非七天无理由退订以及其他退订，详细规则请参考文档费用中心退订。

命名空间保密字典用于存储应用运行所需的各种配置信息。通过配置项，用户可以灵活管理应用在容器中的运行环境，支持多种注入方式： 环境变量：配置项可在容器中作为环境变量使用，方便在应用部署后随时调整配置。 命令行参数：可通过启动命令将配置项传入应用，实现即时配置。 挂载配置文件 ：配置项可写入文件并挂载到容器中，便于集中管理和动态更新配置。 本章节将详细说明如何在 云应用引擎控制台中创建命名空间的配置项，并展示如何在应用中使用这些配置，实现高效的配置管理与灵活部署。 功能入口 创建配置项 1. 登录云应用引擎控制台。 2. 在左侧导航栏单击“配置管理”>“保密字典”，进入保密字典管理页面。 3. 单击“创建”，在右侧弹出的创建保密字典面板，根据需求选择不同的保密字典类型并根据下表说明完成参数配置，然后单击“确认”。 说明 在创建保密字典时，您可以根据需要存放的信息选择不同的类型： Opaque类型：Opaque是默认的Secret类型，适用于存储各类没有特定格式的敏感信息，如密码或API密钥。当您需要存储一些自定义格式的敏感信息时，Opaque类型提供了灵活性，让您可以以键值对的形式自由地保存所需的数据。 TLS证书类型：这种类型专门用于存储TLS证书相关的数据，当您的服务需要启用HTTPS访问时，可以使用这种类型的Secret来保存和管理TLS证书，以确保在SAE环境中的Pod中使用，确保数据传输的安全性。 私有镜像仓库登录密钥类型：这种类型适用于存储访问私有容器镜像仓库的凭证，使得Kubernetes在拉取私有镜像时能够进行身份验证。如果您的应用使用的容器镜像存储在私有仓库中，您需要提供凭证才能访问这些镜像。在这种情况下，该类型的Secret用于存储仓库用户名和密码或访问令牌，确保SAE在部署应用时能够拉取到私有镜像。 Opaque类型 配置项 说明 示例 所属命名空间 Secret所属的命名空间，仅在该命名空间内有效 默认 名称 自定义的保密字典名称 test 类型 选择Opaque类型 Opaque 配置映射 单击“添加变量”，在对话框中输入敏感信息的Key和Value 变量名：env 变量值：test TLS证书类型 配置项 说明 示例 所属命名空间 Secret所属的命名空间，仅在该命名空间内有效 默认 名称 自定义的保密字典名称 test 类型 选择TLS证书类型 TLS证书 Cert TLS证书的公钥 Key TLS证书的私钥 私有镜像仓库登录秘钥类型 配置项 说明 示例 所属命名空间 Secret所属的命名空间，仅在该命名空间内有效 默认 名称 自定义的保密字典名称 test 类型 选择私有镜像仓库登录密钥类型 私有镜像仓库登录密钥 镜像仓库地址 镜像仓库地址 默认 用户名 镜像仓库的用户名 admin 密码 镜像仓库的密码 123456 说明 1. 修改保密字典后，生成的新版本仅对新创建的实例生效。 2. 删除保密字典可能导致关联应用无法正常运行。请务必先在关联应用中解除该保密字典的使用，再执行删除操作。 创建的保密字典将显示在 保密字典 页面，您可以在保密字典列表的 操作 列进行 编辑 、复制 和 删除 操作。

通过自定义度量指标进行Pod的水平自动伸缩 参见 Pod 水平自动扩缩（HPA）云容器引擎用户指南运维管理监控 天翼云 和 prometheusadapter 方案 Kubernetes 实践指南 安装cubeprometheus插件，开通应用性能服务。 业务暴露指标（针对用户自定义应用暴露指标采集上报方案，参见 单集群监控） 安装cubemetricsadapter插件，如需自定义指标进行HPA，则在configmap中定义指标及计算公式。填写prometheus url（该prometheus实例部署在预置区，仅支持内网通过VPCE访问） adapter values.yaml 定义指标+指定prometheus url 声明工作负载和HPA对象（定义与上述差不多）

本文主要介绍 添加镜像老化规则 操作场景 镜像上传后，您可以添加镜像老化规则。容器镜像服务提供了如下两种类型的镜像老化处理规则，规则设置完成后，系统会根据已定义的规则自动执行镜像老化操作。 存活时间：设置该类型的老化规则后，留存时间超过指定时间的老旧镜像将被删除。 版本数目：设置该类型的老化规则后，留存镜像超过指定值时，老旧镜像将被删除。 此外，对于特定版本的镜像可通过添加过滤策略来保留，免受老化规则的影响。 约束与限制 一个镜像仅支持添加一个老化规则。如需添加新的老化规则，需要删除已有老化规则。 操作步骤 步骤 1 登录容器镜像服务控制台。 步骤 2 在左侧导航栏选择“我的镜像”，单击右侧镜像名称，进入镜像详情页。 步骤 3 选择“镜像老化”页签，单击“添加规则”，填写相关参数，然后单击“确定”。 图创建老化规则 表添加镜像老化规则 参数 说明 规则类型 分为存活时间和版本数目。 存活时间：设置该类型的老化规则后，留存时间超过指定时间的老旧镜像将被删除。 版本数目：设置该类型的老化规则后，留存镜像超过指定值时，老旧镜像将被删除。 保留天数 镜像留存的最大天数，可设置为1~365的整数。规则类型设置为“存活时间”时，需要配置此参数。 保留数目 镜像留存的最大数目，可设置为1~1000的整数。规则类型设置为“版本数目”时，需要配置此参数。 过滤标签 输入将被过滤的镜像版本，在应用老化规则前指定版本的镜像将被过滤掉。 过滤正则 输入将被过滤的版本正则式，在应用老化规则前所有版本号满足正则表达式的镜像将被过滤掉。 镜像老化规则添加成功后，系统会立即进行一次查询，清理掉符合老化规则的镜像，且在“老化日志”中显示清理结果。 图查看规则列表和老化日志

容器监控开箱即用 Prometheus监控默认内置了多种容器监控大盘与丰富的告警规则模板，帮助业务快速发现问题。（目前仅华东1资源池支持Prometheus监控能力）

本文帮助您快速熟悉后端主机组及其功能特性。 后端主机组简介 每个监听器都会关联一个后端主机组，后端主机组是一组提供相同服务的云主机实例，可以包含一个或多个后端主机。 支持的后端主机类型如下： 后端主机类型 说明 云主机 添加弹性云主机实例。 物理机 添加标准裸金属、弹性裸金属实例。 弹性网卡/辅助网卡 添加弹性网卡或者辅助网卡，弹性网卡或者辅助网卡必须挂载到主机上。 弹性容器ECI 添加弹性容器ECI实例。 成员网卡 添加成员网卡实例；功能加白开通。 跨VPC后端IP 添加跨VPC后端IP实例，仅支持同账号下通过对等连接打通的跨VPC后端IP；功能加白开通。 远端IP 添加远端IP实例，通过专线或者VPN等打通后的IDC侧主机，此类型不支持ELB实例的客户端地址保持（DNAT模式）功能；功能加白开通。 后端主机组功能 后端主机组的主要功能是将负载均衡器接收到的流量分发给组内的主机，以确保流量在各个主机之间进行均衡分配，从而实现高可用性和高性能。负载均衡器可以根据不同的算法（如轮询、最小连接等）来决定将流量转发到哪个后端主机。 通过后端主机可以对后端主机进行统一管理，灵活地添加或者移除后端主机，降低用户的管理和使用成本。 使用负载均衡集成弹性伸缩服务可实现后端主机组自动扩展的能力。当负载增加时，可以动态添加更多的主机实例来处理流量，以满足应用程序的需求。同样地，当负载减少时，多余的主机实例可以被自动移除，以节省资源和成本。 此外，后端主机组还支持健康检查功能，可监测主机实例的状态和可用性。如果某个主机实例发生故障或不可用，负载均衡器将自动将流量转发到其他健康的主机，以确保应用程序的连续性和可靠性。

本小节介绍容器安全的日志处理机制。 容器安全每隔10分钟更新一次log文件，如果文件大于30M，则将最近30M的日志信息写入对应的日志备份文件，当前日志文件内容清空。 日志备份文件的文件名为日志源文件名加上“ .last ”后缀，如 “shield.log”的备份文件为 “shield.log.last”。

本小节介绍切换主机安全版本。 您可以根据需要将主机安全服务的版本切换为基础版、企业版（按需计费）、企业版（包年/包月）、旗舰版。 切换说明 相同版本的不同计费模式（按需、包年/包月）目前只支持企业版和容器版。 按需变更为包周期时，需要您单独购买包周期配额，购买后在云服务器列表页面，单击目标服务器“操作”列“开启防护”，选择购买的包周期防护配额，开启防护。 容器版和网页防篡改版支持切换为基础版、企业版、旗舰版，但不支持将基础版、企业版、旗舰版切换为容器版或网页防篡改。 若主机安全服务的版本由高版本版切换为低版本，主机遭受攻击的可能性将升高。 切换版本前准备 主机安全服务 > 资产管理 > 主机管理”页面“云服务器”中目标主机的“Agent状态”为“在线”，且已开启主机防护。 切换为包周期配额版本时，需重新为主机指定相应的配额，变更版本前请先购买数量充足的配额。 切换为低版本前，请对主机执行相应的检测，处理已知风险并记录操作信息，避免运维失误，使您的主机遭受攻击。 切换版本 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 说明 切换至新版后，在总览页左上角单击“返回旧版”，可切换至主机安全（旧版）。 4、在左侧导航栏中，选择“资产管理 > 主机管理 > 云服务器”，进入“云服务器”界面。 5、根据需要可进行单台服务器或多服务器的版本切换。 单台服务器切换 您可以根据自己的实际场景选择“包年/包月”或者“按需计费”，为主机切换版本。 包年/包月： 在目标服务器“操作”列单击“切换版本”，在“开启方式”对话框中，“计费模式”选择“包年/包月”，选择目标版本、分配防护配额，阅读并确认“《主机安全免责声明》”。“防护配额”分配方式： 随机分配：下拉框选择“随机选择配额”，系统优先为主机分发服务剩余时间较长的配额。 指定分配：下拉框选择具体配额ID，您可以为主机分配指定的配额。 按需计费： 在目标服务器“操作”列单击“切换版本”，在“开启方式”对话框中，“计费模式”选择“按需计费”，选择目标版本，阅读并确认“《主机安全免责声明》”。 注意 仅支持企业版。 批量切换 勾选多台目标服务器前的选框，单击上方“开启防护”，在弹窗中确认服务器信息，依次选择计费模式、版本及配额。 开启防护参数配置说明 参数名称 参数说明 取值样例 计费模式 包年/包月： 支持基础版、企业版、旗舰版选择。 无试用期，按照订单的购买周期来进行结算。 相对于按需付费，包年/包月购买方式能够提供更大的折扣，对于长期使用者，推荐该方式。 按需计费 ： 支持企业版。 按实际使用的时长收费，以小时为单位，每小时整点结算，不设最低消费标准。 包年/包月 版本选择 提供基础版、企业版、旗舰版选择。 基础版：用于测试、个人用户防护主机帐户安全，无数量限制，只支持部分功能的检测能力，不支持防护能力，不支持等保认证，首次开启可免费体验30天。 企业版：满足等保认证的需求，支持资产指纹管理、漏洞管理、恶意程序检测、Webshell检测、进程异常行为检测等能力。 旗舰版：满足等保认证的需求，支持应用防护、勒索防护、高危命令检测、提权检测、异常shell检测等能力。 企业版 选择配额 选择需要绑定的防护配额。 默认随机：随机分配防护配额至服务器。 固定ID配额：选择一个配额，批量开启时选择的配额只能绑定一台服务器，其余未绑定的服务器将随机绑定目标版本配额。 说明 若提示可用配额为0时，表示配额不足，需要进行购买才可开启防护。 随机选择配额 6、单击“确定”切换版本。切换主机安全版本后，请在云服务器列表页面查看目标服务器的版本。若目标主机的“版本”为切换后的主机安全版本，则表示主机安全版本已切换成功。

操作场景 密钥（Secret）是一种用于存储工作负载所需要认证信息、密钥的敏感信息等的资源类型，内容由用户决定。资源创建完成后，可在容器工作负载中作为文件或者环境变量使用。 前提条件 已创建集群和节点资源，具体操作请参见购买混合集群。若已有集群和节点资源，无需重复操作。 操作步骤 步骤 1 登录CCE控制台，在左侧导航栏中选择“配置中心 > 密钥（Secret）”，单击“添加密钥”。 步骤 2 您可以直接创建密钥或基于YAML来创建。若希望通过YAML创建，请跳转至步骤4。 步骤 3 方式一：直接创建密钥。 参照下表设置基本信息。 表密钥基本信息说明 参数 参数说明 密钥名称 新建的密钥的名称，同一个命名空间内命名必须唯一。 所属集群 使用新建密钥的集群。 集群命名空间 新建密钥所在的命名空间，默认为default。 描述 密钥的描述信息。 密钥类型 新建的密钥类型。 Opaque：一般密钥类型。 kubernetes.io/dockerconfigjson：存放拉取私有仓库镜像所需的认证信息。 IngressTLS：存放7层负载均衡服务所需的证书。 其他：若需要创建其他类型的密钥，请手动输入密钥类型。 密钥数据 工作负载密钥的数据可以在容器中使用。 当密钥为Opaque类型时。 1. 单击“添加更多密钥数据” 。 2. 输入键、值。其中“值”必须使用Base64编码，Base64编码方法请参见如何进行Base64编码.docx

本文主要介绍如何创建密钥。 操作场景 密钥（Secret）是一种用于存储工作负载所需要认证信息、密钥的敏感信息等的资源类型，内容由用户决定。资源创建完成后，可在容器工作负载中作为文件或者环境变量使用。 操作步骤 步骤 1 登录CCE控制台，单击集群名称进入集群。 步骤 2 在左侧导航栏中选择“配置项与密钥”，选择“密钥”页签，在右上角单击“创建密钥”。 步骤 3 填写参数。 表 基本信息说明 参数 参数说明 名称 新建的密钥的名称，同一个命名空间内命名必须唯一。 命名空间 新建密钥所在的命名空间，默认为default。 描述 密钥的描述信息。 密钥类型 新建的密钥类型。 Opaque：一般密钥类型。 kubernetes.io/dockerconfigjson：存放拉取私有仓库镜像所需的认证信息。 IngressTLS：存放7层负载均衡服务所需的证书。 其他：若需要创建其他类型的密钥，请手动输入密钥类型。 密钥数据 工作负载密钥的数据可以在容器中使用。 当密钥为Opaque类型时，单击，在弹出的窗口中输入键值对，并且可以勾选“自动Base64转码”。 当密钥为kubernetes.io/dockerconfigjson类型时，输入私有镜像仓库的帐号和密码。 当密钥为IngressTLS类型时，上传证书文件和私钥文件。 说明 证书是自签名或CA签名过的凭据，用来进行身份认证。 证书请求是对签名的请求，需要使用私钥进行签名。 密钥标签 密钥的标签。键值对形式，输入键值对后单击“添加”。 步骤 4 配置完成后，单击“确定”。 密钥列表中会出现新创建的密钥。

本节介绍了通过公网访问集群的用户指南。 简介 本文档介绍了如何通过公网访问云容器引擎集群。通过正确配置 Kubernetes API Server 和 Ingress 控制器，您可以安全地从公网访问集群资源。 绑定EIP 登录云容器引擎控制台，单击集群名称进入集群。 在集群信息页中，点击连接信息，点击公网访问，若未绑定eip，点击绑定eip，若未创建eip，则需先创建eip。 绑定完eip后。 在集群信息页中，点击连接信息。 点击公网访问，复制kubeconfig文件内容，将该内容复制到$HOME/.kube/config文件下： 配置 API Server 修改 API Server 配置 编辑 Kubernetes API Server 配置文件，通常位于 /etc/kubernetes/manifests/kubeapiserver.yaml。在 command 部分添加以下参数： plaintext advertiseaddress externalhostname 替换 为您的公网 IP 地址，替换 为您的公网 DNS 名称。 重启 API Server 应用配置更改后，Kubelet 会自动重新启动 API Server。您可以通过以下命令检查 API Server 是否正常运行： plaintext kubectl get pods n kubesystem 确保 kubeapiserver Pod 处于 Running 状态。 配置防火墙规则 确保防火墙允许以下端口的入站流量： 6443：Kubernetes API Server 80：HTTP 443：HTTPS 具体的防火墙配置取决于您的云提供商。例如，在 AWS 上，可以通过以下步骤配置安全组： 登录到 AWS 控制台。 导航到 EC2 服务。 选择实例并找到相关的安全组。 编辑安全组的入站规则，添加允许 6443、80 和 443 端口的规则。 配置 Ingress 控制器

本节以下面这个所Secret为例，具体介绍Secret的用法。 密钥创建后，可在工作负载环境变量和数据卷两个场景使用。 注意 如下密钥为CCE系统使用的，请勿对其做任何操作。 不要操作kubesystem下的secrets。 不要操作任何命名空间下的defaultsecret、paas.elb。其中，defaultsecret用于SWR的私有镜像拉取，paas.elb用于该命名空间下的服务对接ELB。 使用密钥配置Pod的数据卷 使用密钥设置Pod的环境变量 本节以下面这个所Secret为例，具体介绍Secret的用法。 apiVersion: v1 kind: Secret metadata: name: mysecret type: Opaque data: username: 需要用Base64编码 password: 需要用Base64编码 注意 在Pod里使用密钥时，需要Pod和密钥处于同一集群和命名空间中。 使用密钥配置Pod的数据卷 密钥可以在Pod中作为文件使用。如下面的Pod示例所示，mysecret密钥的username和password以文件方式保存在/etc/foo目录下。 apiVersion: v1 kind: Pod metadata: name: mypod spec: containers: name: mypod image: redis volumeMounts: name: foo mountPath: "/etc/foo" readOnly: true volumes: name: foo secret: secretName: mysecret 另外，还可以指定密钥的目录路径和权限，username存放在容器中的/etc/foo/mygroup/myusername目录下。 apiVersion: v1 kind: Pod metadata: name: mypod spec: containers: name: mypod image: redis volumeMounts: name: foo mountPath: "/etc/foo" volumes: name: foo secret: secretName: mysecret items: key: username path: mygroup/myusername mode: 511 挂载Secret到数据卷还可以在界面上进行操作，在创建工作负载时，设置容器的高级设置，选择数据存储，添加本地磁盘，选择Secret即可配置。具体请参见密钥(Secret)挂载。

本节介绍了:Pod 水平自动扩缩(HPA)的用户指南。 应用场景 云容器引擎提供Pod 水平自动扩缩（HPA）能力，水平自动扩缩能够根据指标自动更新工作负载资源 （例如 Deployment 或者StatefulSet）的副本数， 目的是自动扩缩工作负载以满足需求。在云容器引擎控制台支持配置基础资源（CPU、内存）和自定义指标（网络、磁盘等）作为Pod扩缩容的触发条件。 前提条件 已创建专有版集群，具体操作请参见 用户指南 > 集群管理 > 新建集群 章节。若已有集群，无需重复操作。 通过基础指标（CPU、内存）进行Pod的水平自动伸缩 步骤一 安装cubemetricsserver 插件 云容器引擎在插件市场提供了cubemetricsserver插件，cubemetricsserver是k8s原生提供的插件，支持通过CPU、内存进行HPA的能力； 登陆云容器引擎控制台，进入需要操作的集群，在左侧菜单选择 插件 > 插件市场，选择cubemetricsserver进行安装 步骤二 配置HPA策略 登陆云容器引擎控制台，进入需要操作的集群，在左侧菜单选择 工作负载 并选择进入对应的工作负载页面，以下以无状态工作负载为例，点击需要伸缩的工作负载右侧的更多按钮，选择弹性伸缩，开启指标伸缩按钮 点击启用策略，指标名称可选CPU和内存，计值方式为百分比；填写伸缩的指标阈值及副本数的伸缩范围，点击确定创建HPA策略 通过预置的高阶指标（网络、磁盘等）进行 Pod的水平自动伸缩

本节介绍了:Pod 水平自动扩缩(HPA)的用户指南。 应用场景 云容器引擎提供Pod 水平自动扩缩（HPA）能力，水平自动扩缩能够根据指标自动更新工作负载资源 （例如 Deployment 或者StatefulSet）的副本数， 目的是自动扩缩工作负载以满足需求。在云容器引擎控制台支持配置基础资源（CPU、内存）和自定义指标（网络、磁盘等）作为Pod扩缩容的触发条件。 前提条件 已创建专有版集群，具体操作请参见 用户指南 > 集群管理 > 新建集群 章节。若已有集群，无需重复操作。 通过基础指标（CPU、内存）进行Pod的水平自动伸缩 步骤一 安装cubemetricsserver 插件 云容器引擎在插件市场提供了cubemetricsserver插件，cubemetricsserver是k8s原生提供的插件，支持通过CPU、内存进行HPA的能力； 登陆云容器引擎控制台，进入需要操作的集群，在左侧菜单选择 插件 > 插件市场，选择cubemetricsserver进行安装 步骤二 配置HPA策略 登陆云容器引擎控制台，进入需要操作的集群，在左侧菜单选择 工作负载 并选择进入对应的工作负载页面，以下以无状态工作负载为例，点击需要伸缩的工作负载右侧的更多按钮，选择弹性伸缩，开启指标伸缩按钮 点击启用策略，指标名称可选CPU和内存，计值方式为百分比；填写伸缩的指标阈值及副本数的伸缩范围，点击确定创建HPA策略 通过预置的高阶指标（网络、磁盘等）进行 Pod的水平自动伸缩

本文介绍用户访问集群API Server的方式有哪些？ 用户访问集群API Server的方式有哪些？ 当前云容器引擎提供通过证书认证访问集群API Server的方式： 集群API方式：集群API需要使用证书认证访问，在云容器引擎控制台集群信息 > 连接信息获取kubeconfig文件， 通过kubectl直接连接集群API Server。

步骤三：目标集群创建与纳管 在这个阶段，您将评估目标集群所需规格信息并创建对应的天翼云CCE集群；然后将该目标集群关联到分布式容器云平台CCE One注册集群； 云容器引擎允许用户对集群资源进行个性化选取，以精准匹配其多样化的业务诉求。如下所示的表中，列举了集群的指标参数，并提供了参考规划选择；用户应依据自身业务的确切需求，对相关设置做出合理调配，其间，我们建议尽可能保持与原集群性能配置的一致性水平。 主要指标参数 指标参数说明 本示例规划 kubernetes版本 1.27.8 1.29.3 1.29.3 网络插件 cubecni：cubecni 是云容器引擎自研的网络插件，支持基于 Kubernetes 标准的网络策略来定义容器间的访问策略 calico：使用社区 calico CNI 插件的IP模式 cubecni apiserver访问 API Server的访问需要依赖ELB实例，您可根据需要选择合适的ELB规格，系统将根据该规格创建一个私网ELB实例。规格选择请见：了解ELB实例规格 标准型I 控制节点数 1：单控制节点，无高可用能力，不建议在生产环境使用 3：基本的高可用能力 5：更多冗余的高可用能力 3 节点规格 分为控制节点规格和工作节点规格，如何选择可以参考：集群规格推荐规划 通用型4C8G 工作节点操作系统 公有镜像：ctyunos23.01 私有镜像：用户自定义镜像 ctyunos23.01 在目标CCE集群创建好后，需要进入天翼云分布式容器云平台CCE One控制台，将目标CCE集群关联到CCE One的注册集群以便支持后期的纳管与联邦调度能力；

2、创建持久卷声明（PVC） 进入主菜单“存储”——“持久卷声明”，单击左上角“创建持久卷声明”； 在创建对话框，配置持久卷声明PVC的相关参数。配置项说明如下： 配置项 说明 名称 PVC的名称。 存储声明类型 当前支持云盘、弹性文件、对象存储、并行文件和海量文件，这里选择云盘。 具体创建页中展示的存储类型由当前资源池支持情况决定。 是否指定存储类 在静态创建的场景下，除非持久卷指定了存储类，否则不需要指定存储类。 是否指定存储卷 在静态创建的场景下，需要指定上一步的存储卷。 持久卷名称 选择上一步创建的PV名称。 参数配置完成后，点击“确定”。创建成功后，可以在持久卷声明列表查看。 进入持久卷声明列表页，等待PVC状态为“已绑定” 。 3、创建工作负载 1. 登录“云容器引擎”管理控制台； 2. 在集群列表页点击进入指定集群； 3. 进入主菜单“工作负载”——“有状态”，单击左上角“创建SatefulSet”； 4. 在创建对话框，数据存储栏中，选择添加存储卷，卷类型选择“已有存储卷申明（PVC）”，操作栏选择“选择已有存储申明”；根据自己需要设置挂载路径、子路径和权限， 参数说明： 挂载路径：存储挂载到容器后，容器内部显示的路径地址。不建议使用类似于/usr或者/tmp类似的已有的容器目录路径，可能会造成目录相互遮蔽。 子路径：需要挂载的存储源地址的子目录 权限：读写/只读 示例：将PVC“disk”对应存储的subpath指向的子目录（subpath为空表示使用根目录），挂载到容器里的/test路径上。 5. 所有的信息都配置完成后，单击“提交”，创建成功后，您就可以正常使用数据卷。

在使用GPU云主机进行推理时,vLLM版本会影响计算性能与功能支持,Open WebUI版本关系着用户交互体验与功能兼容性。本文提供完整升级指南,进一步增强系统稳定性、界面功能完整及性能最优。 一、Open WebUI升级指南 1. 查看现有版本 plaintext docker exec it openwebui bash c "cat /app/package.jsongrep version" 2. 版本升级 （1）登录云主机，下载最新容器镜像 plaintext docker pull ghcr.nju.edu.cn/openwebui/openwebui:v0.6.5 （2）删除旧镜像 查看当前容器镜像 删除旧容器镜像 plaintext docker image rm ghcr.nju.edu.cn/openwebui/openwebui:cuda 查看更新后的容器镜像 3. 修改启动openwebui命令参数 plaintext vi /root/.startwebui.sh 修改后内容如图 4. 清理容器 plaintext docker ps a docker rm f openwebui

本文介绍使用云应用引擎时，应用的实例配额限制、CPU和内存限制，以及网络、容器、镜像等限制条件。 配额限制 限制项 限制值 说明 可创建应用的用户 实名认证，且账户内金额大于0元。 无 单应用实例数 20 单个应用的实例数量上限 总应用实例数 100 单Region下用户能够创建的全部应用实例数量 内存用量 10G 单Region下用户所有应用使用的内存大小上限 CPU核数 2核 单Region下用户所有应用使用的CPU核数上限 网络 专有网络VPC 不支持经典网络。专有网络VPC内部署的实例默认不可访问公网，如需访问公网，则需进行相关配置。 容器 Linux容器 不支持Windows容器。 系统盘磁盘空间 默认20GiB 不支持更改系统盘磁盘空间大小。为了保证您的业务连续性，在SAE控制台使用镜像部署应用时，请确保镜像大小不超过20GiB。

核心功能概览 日志采集 支持从云主机、容器应用中采集日志，实现日志数据统一采集、批量抓取上报、多管道数据处理，提高采集效率，同时支持采集规则动态配置，易于管理。 日志检索与分析 支持秒级日志查询，提供内容模糊、时间、上下文等多种查询方式，提供各类统计分析场景，并支持可视化仪表盘，实时观察各种数据，提升分析效率。 数据加工 支持各种复杂数据的加工，包括数据的规整、脱敏和过滤。 日志告警 支持设置自定义告警规则，针对日志数据进行监控，支持多个告警渠道，及时发现问题。 日志转储 支持将日志数据转储至对象存储进行持久化存储。 购买方式 实名注册天翼云账号后，即可在服务开通页进行开通。开通云日志服务不收取任何费用，开通后将按照各计费项的实际使用量进行计费，详情请查看计费说明。

请求头 名称 描述 是否必须 ContentMD5 数据的base64编码的128位MD5。此请求头必填，以便校验数据的完整性。 是 请求参数 名称 描述 是否必须 ::: BucketName 存储桶名称。 是 ObjectLockConfiguration 合规保留配置信息的容器。 类型：容器。 子节点：ObjectLockEnabled。 是 ObjectLockEnabled Bucket是否开启合规保留功能。 类型：枚举 取值： Enabled：开启合规保留。 Disabled：不开启合规保留。 父节点：ObjectLockConfiguration。 是 Rule 设置合规保留规则。 类型：容器。 父节点：ObjectLockConfiguration。 子节点：DefaultRetention。 否 DefaultRetention 默认的合规保留配置。 类型：容器。 父节点：Rule。 子节点：Mode、Days或Years二选一。 是 Mode 合规保留模式。 类型：枚举。 取值：COMPLIANCE：合规保留。 父节点：DefaultRetention。 是 Days 合规保留的天数。 类型：整型。 取值：整数形式，1~36500。 说明 年与天的换算关系：1年等于365天。 父节点：DefaultRetention。 条件 Days和Years必须二选一。 Years 合规保留的年数。 类型：整型。 取值：整数形式，1~100。 说明 年与天的换算关系：1年等于365天。 父节点：DefaultRetention。 条件 Days和Years必须二选一。

什么是整机镜像？ 整机镜像是包含云主机操作系统、应用软件和业务数据的镜像。一般适用于云主机数据整体搬迁，例如： 将区域A的云主机迁移至区域B 将老旧云主机上的数据迁移至新云主机 为什么创建整机镜像时需要选择存储库？需要多支付费用吗？ 使用云服务备份创建整机镜像时，必须选择一个存储库，这个存储库相当于存储容器，镜像、备份都存放在该容器中。用户需要为存储库付费。 创建成功的整机镜像在哪里查看数据盘信息？ 整机镜像创建成功后，镜像列表和详情中只显示系统盘信息（即“磁盘容量”参数），数据盘信息可以在云主机备份或云服务备份中查看。究竟在云主机备份中查看，还是在云服务备份中查看，取决于整机镜像的创建方式。 以在云服务备份中查看为例，方法如下： 在私有镜像列表中，单击整机镜像名称，进入镜像详情页面。 找到“来源”参数，单击其后的备份ID。 进入云服务备份详情页面，单击“磁盘级备份”页签，列表中展示了系统盘和数据盘的详细信息。 整机镜像有哪些使用限制？ 整机镜像不支持导出。 整机镜像不支持区域内复制及跨区域复制。

控制器 功能 CloneSet 管理无状态应用，对标Kubernetes原生Deployment。关于CloneSet的详细介绍，请参见Cloneset。资源（YAML）的字段与Deployment不完全兼容，但功能上全覆盖，并提供比Deployment更丰富的策略。 Advanced StatefulSet 管理有状态应用，对标Kubernetes原生StatefulSet。关于Advanced StatefulSet的详细介绍，请参见Advanced StatefulSet。资源（YAML）字段与原生StatefulSet完全兼容，只需要把apiVersion改为apps.kruise.io/v1alpha1，另外提供了optional字段来扩展发布策略（原地升级、并行发布等） Advanced DaemonSet 管理Daemon应用，对标Kubernetes原生DaemonSet。关于Advanced DaemonSet的详细介绍，请参见Advanced DaemonSet。资源（YAML）字段与原生DaemonSet完全兼容，只需要把apiVersion改为apps.kruise.io/v1alpha1，另外提供了optional字段来扩展发布策略（热升级、灰度、按Node标签灰度等 SidecarSet 独立管理Sidecar容器和注入。关于SidecarSet的详细介绍，请参见SidecarSet。在独立CR中定义Sidecar容器和Label Selector，OpenKruise会在所有符合Selector条件的Pod创建时注入定义好的Sidecar容器，并支持对已注入Sidecar容器做原地升级 UnitedDeployment 管理不同区域下的多个Sub Workload，关于UnitedDeployment的详细介绍，请参见UnitedDeployment。目前支持将CloneSet、StatefulSet、Advanced StatefulSet作为Sub Workload，您可以用一个UnitedDeployment来定义不同区域中的Sub Workload部署Replicas。

本文介绍扫描镜像的详细步骤。 为了保障云原生供应链安全，您需要购买容器安全卫士实例，并进行安全扫描，通过仪表盘查看访问统计信息和攻击防护记录，掌握业务的安全状况。 步骤一：购买容器安全卫士实例 详细步骤请参见购买容器安全卫士。 步骤二 ：安装Sever/Agent 详细步骤请参见安装Server/Agent。 步骤三：扫描镜像 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“镜像安全 > 镜像管理”，在镜像管理页面可以对仓库镜像、节点镜像进行安全扫描。 3. 进入“仓库管理”页面，单击“添加仓库”，添加镜像仓库。 4. 扫描节点镜像。 1. 进入“节点镜像”页面，单击“更新镜像”，获取仓库镜像数据。 2. 单击“扫描镜像”，对镜像进行安全扫描。 5. 扫描仓库镜像。 1. 进入“仓库镜像”页面，单击“更新镜像”，获取仓库镜像数据。 2. 单击“扫描镜像”，对镜像进行安全扫描。 6. 在左侧导航栏选择“镜像安全 > 镜像策略”，进入页面配置镜像策略，配置漏洞、文件、软件包规则，防止风险流入供应链。 7. 在左侧导航栏选择“镜像安全 > 镜像设置”，进入页面配置镜像扫描规则、历史镜像保留时长、及周期性扫描规则。

本节介绍了：创建一个无状态工作负载——查看容器实例监控的用户指引。 在工作负载实例详情的界面中，选择监控，按需安装CCSE监控插件。 插件安装完成后即可查看工作负载及容器的监控数据。