为什么第一次请求会比较慢？ 因为函数是冷启动的，所以如果有初始化或者函数中有第一次执行比较耗时的操作，第一次请求会比较慢，后面接着的请求就会很快，因为此时容器还没有销毁。如果间隔一分钟没有请求，容器就会销毁。 如何读取函数的请求头？ 函数入口中的第一个参数里面包含请求头，您可以打印函数执行结果，从而获取想要的字段。 如下图，event为函数入口的第一个参数，headers为请求头。 为什么函数实际使用内存大于预估内存，甚至触发OOM？ 1. 函数调用过程中，运行时会解析和缓存传入的event事件, 这部分操作会消耗额外的内存。 2. 函数调用结束后，回收的内存首先会放入内部内存池中，并不一定归还给操作系统，导致内存偏高，在高并发场景下这种现象会更加明显。 函数内存超限返回“runtime memory limit exceeded”，如何查看内存占用大小？ 请在函数请求返回界面查看。 查看oom内存大小 如何定位自定义镜像执行失败“CrashLoopBackOff”的原因？ 若出现“CrashLoopBackOff: The application inside the container keeps crashing”错误字段： 1. 请根据页面提示信息诊断原因。 查看执行结果 2. 请参见开发HTTP函数示例章节进行容器镜像自验证。 3. 排查镜像是否为x86 linux架构，目前仅支持x86 linux架构镜像。

本节介绍IaC检查中文件列表各字段含义。 查看文件列表 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“IaC安全 > IaC检查”，进入IaC检查页面。 3. 支持K8S manifests、Dockerfile、ConfigMap、Helm chart文件进行检查。 K8S manifests文件列表 K8S manifests文件列表内，支持按照“文件名称/路径”、“资源名称”、“资源类型”、“集群名称”、“命名空间”、“文件来源”、“扫描状态”、“风险等级”进行筛选查询。 K8S manifests文件列表内各字段意义说明如下： 参数 解释说明 文件名称/路径 K8S Manifests文件名称，以.yaml为后缀。 K8S Manifests是指用于定义、创建和管理Kubernetes资源的配置文件。这些配置文件以YAML或JSON格式编写，描述了应用程序、服务、存储等在Kubernetes集群上的部署和配置。 资源名称 K8S Manifests文件所属资源的名称。 资源类型 K8S Manifests文件所属资源的类型。 集群名称 K8S Manifests文件所属集群。 命名空间 K8S Manifests文件所属命名空间。 文件来源 文件分为本地上传、自动发现和GitLab同步。 扫描状态 扫描状态分为待扫描、扫描中、扫描完成和扫描失败。 风险等级 风险等级分为未知、高风险、中风险、低风险、无风险，未知代表该文件未经过扫描。 添加时间 添加或发现该K8S Manifests文件的时间。

本文为您介绍如何使用自建Beats向天翼云云搜索服务Elasticsearch实例导入数据。 Beats是轻量级的数据收集器，专门用于将各种日志、指标、网络数据发送到Elasticsearch。常用的Beats包括 Filebeat、Metricbeat、Packetbeat等。 Filebeat是一种轻量级日志收集器，通常用于将文件系统中的日志文件或事件日志发送到Elasticsearch或Logstash。它适合简单的日志采集场景，能够有效处理系统、应用程序日志等。本文将以Filebeat为例，导入数据至Elasticsearch实例。 适用场景 轻量数据收集：适用于需要从大量分布式系统、服务器、容器中收集日志、监控指标等情况。 实时日志监控：Beats 能够实时收集日志并传送到 Elasticsearch，是实时日志分析场景的理想选择。 低延迟要求的场景：Beats设计为轻量级工具，占用资源少，适合资源受限的环境。 前提条件 已经开通天翼云云搜索Elasticsearch实例。 已经部署Filebeat且打通和Elasticsearch实例之间的网络。 Filebeat配置 Filebeat采集日志，需要配置Filebeat的配置文件，设置具体需要采集的日志路径。 具体根据实际的部署路径配置filebeat.yml。 采集日志 filebeat.inputs: type: log 采集的日志文件的路径。替换为自己日志的路径，可以使用通配符。 paths: /yourpath/.log output.elasticsearch: ip替换为Elasticsearch实例的地址。 hosts: [" 传入Elasticsearch实例的用户名和密码 username: "" password: ""

参数 是否必填 参数类型 说明 示例 下级对象 CopyObjectResult 是 Array of Objects 返回元素的容器 CopyObjectResult

参数 是否必填 参数类型 说明 示例 下级对象 CompleteMultipartUploadResult 是 Array of Objects 包含响应的容器 CompleteMultipartUploadResult

本文介绍ECI虚拟节点概述。 ECI为Kubernetes提供一种层次化的解决方案：即ECI负责底层Pod容器资源的调度和管理工作，Kubernetes在ECI之上作为PaaS层来管理业务负载，例如管理Deployment、Service、StatefulSet、CronJob等。 ECI在接管Pod容器底层基础设施的管理工作后，Kubernetes不再需要直接负责单个Pod的放置、启动等工作，也不再需要关心底层虚拟机的资源情况，通过ECI即可确保Pod需要的资源随时可用。对于长时间运行的业务负载，可以将此类负载的弹性流量部分调度至ECI，缩短弹性扩容的时间，减少弹性部分的扩容成本，并尽可能充分利用已有资源。当业务流量下降后，可以快速释放部署在ECI上的Pod，从而降低使用成本。 如果在天翼云上自建了Kubernetes集群，则可以通过部署虚拟节点（VNode）的方式来使用ECI。VNode对标原生kubernetes节点，内置了virtualkubelet等组件，兼容原生kubernetes节点API。当有Pod调度到VNode上时，VNode会自动创建并管理底层的ECI资源。在VNode上运行的每个Pod都对应一个ECI实例。

配置项挂载 平台提供应用代码和配置文件的分离，“配置项挂载”用于处理应用组件配置参数。 1、部署应用组件时，在“组件配置”界面，展开“高级设置 > 部署配置”。 2、选择“数据存储 > 本地磁盘 > 挂载本地磁盘”。 表 配置项挂载 参数 说明 :: 本地存储类型 选择“配置项挂载”。 配置项 选择对应的配置项名称。 创建配置项请参考创建配置项。 容器挂载 设置“挂载路径”：输入数据卷挂载到应用上的路径。 3、单击“确定”。 密钥挂载 将密钥中的数据挂载到指定的应用组件中，密钥内容由用户决定。 1、部署应用组件时，在“组件配置”界面，展开“高级设置 > 部署配置”。 2、选择“数据存储 > 本地磁盘 > 挂载本地磁盘”。 表 密钥挂载 参数 说明 :: 本地存储类型 选择“密钥挂载”。 密钥 选择对应的密钥名称。 创建密钥请参考创建密钥。 容器挂载 设置“挂载路径”：输入数据卷挂载到应用上的路径。 3、单击“确定”。

本文介绍查询虚拟节点列表。 1. 在弹性容器实例控制台左侧导航栏中选择“虚拟节点”，进入虚拟节点列表页。 2. 在列表页面可以看到已创建的虚拟节点。

参数 是否必填 参数类型 说明 示例 下级对象 VersioningConfiguration 是 Array of Objects 配置版本控制的容器 VersioningConfiguration

资源名称 数量 软件开发生产线CodeArts 开通基础版即可。 云容器引擎CCE 1 云主机ECS 1

vnode 查询路径 1. 打开云容器引擎集群控制台，点击集群名称。 2. 选择节点管理菜单，点击节点，进入节点列表页。 3. vnd开头的节点即为vnode。

通常，当容器被销毁时，其内部的数据也会随之丢失，这对生产环境来说可能会产生负面影响。NAS适用于高性能计算和数据共享场景。将NAS挂载至云应用引擎的应用实例，可以有效解决应用数据的持久化存储需求，并实现应用实例之间的数据共享。 功能入口 场景不同，操作入口也有所不同 创建应用 1. 登录云应用引擎控制台，在左侧导航栏选择应用管理>应用列表，然后选择单击创建应用 2. 在应用基本信息向导页面进行配置后，单击下一步：高级设置。 对正在运行的应用进行变更 1. 登录云应用引擎控制台，在左侧导航栏选择应用管理>应用列表，然后单击目标应用名称 2. 在目标应用的基础信息页面，单击部署应用 注意 重新部署应用后，该应用将会被重启。为避免业务中断等不可预知的错误，请在业务低峰期执行部署操作 对已停止的应用进行变更 1. 登录云应用引擎控制台，在左侧导航栏选择应用管理>应用列表，然后单击目标应用名称 2. 在目标应用的基础信息页面，单击部署应用 NAS配置指引 找到并展开持久化存储区域，配置相关参数。打开启用NAS文件存储的开关。在NAS文件系统所在行的下拉列表，选择待挂载的NAS，并设置挂载源、挂载目录、容器路径、权限和挂载参数。 说明 挂载目录只能为根目录/或者非/开头的子目录 容器路径不能重复，也不能存在包含关系，例如/tmp和/tmp/nas 单击+添加增加挂载路径。最多支持10条挂载路径

本节介绍了云容器引擎的使用限制，便于用户使用前注意事项。 使用前限制 使用容器实例之前需要注意以下一些限制： 购买实例之前需要实名认证。 实例创建之后，暂不支持以下项：变更集群VPC；变更集群网络插件。 配额限制 集群类型 租户限制集群数量 单集群管理节点数量 单节点最大Pod数 例外申请方式 专有版集群 5 1000 默认110，可订购时配置自定义Kubelet参数 通过工单咨询 智算版集群 5 1000 默认110，可订购时配置自定义Kubelet参数 通过工单咨询 托管版单实例集群 2 10 默认110，可订购时配置自定义Kubelet参数 通过工单咨询 托管版高可用集群 2 几个档次可选：50/200/1000/2000 默认110，可订购时配置自定义Kubelet参数 通过工单咨询 注意 智算版集群只加载智算资源池，如有需求，请联系客户经理或者通过工单咨询。 网络插件支持多子网 cubecni 1.0.7版本支持配置多个子网，若需升级到该版本，请提工单申请。

自动扫描 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“镜像安全 > 镜像设置”，进入镜像设置页面。也可以在“镜像管理”页面，单击右上角的“设置”图标，进入设置页面。 3. 定位到“设置”中的“扫描设置”页面，打开“自动扫描节点新增镜像”开关，就会自动扫描节点新增的镜像。 周期扫描 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“镜像安全 > 镜像设置”，进入镜像设置页面。也可以在“镜像管理”页面，单击右上角的“设置”图标，进入设置页面。 3. 定位到“设置”中的“扫描设置”页面，通过设置节点镜像、仓库镜像的“检查周期”和“检查时间”来对镜像进行周期性扫描，且支持输入限定周期扫描的镜像名称和版本，支持通配符，留空则默认为不限制，匹配全部镜像。

本文介绍了：云容器引擎发布Kubernetes 1.29版本说明。 社区 Kubernetes 版本主要变更 Kubernetes 1.29 版本Changelog 1. Kubernetes 1.29 版本，API 优先级和公平性（AFP）正式 GA，该特性以更细粒度的方式对请求进行分类和隔离。它还引入了有限的排队量，因此在非常短暂的突发情况下不会拒绝任何请求。请求使用公平排队技术从队列中分派，例如，行为不佳的控制器不会影响其他控制器（即使在相同的优先级）。 2. APIListChunking 正式 GA，该特性支持对 List 请求进行分页，减少一次性返回数据太多而导致的性能问题。 3. ServiceNodePortStaticSubrange 达到 GA，该特性将 NodePort 划分为静态段和动态段，在 NodePort 自动分配时，则优先从动态段进行分别，降低与静态段分配到时端口冲突的概率。 4. ReadWriteOncePod 正式 GA，该特性允许用户在 PVC 中配置访问模式 ReadWriteOncePod，确保只有一个 Pod 可以修改存储中的数据。 5. CRD 验证表达式语言正式 GA，该特性支持在 CRD 验证时使用表达式语言（CEL）定义验证规则，对比 webhook 更加简单高效。 6. PodHostIPs 升级到 Beta 阶段，该特性支持将 Node IP 暴露给 Pod。 7. 原生边车容器 升级到 Beta 阶段，该特性以 restartPolicy 设置为 Always 的方式声明，原生边车容器适用于批处理、日志采集等场景。 8. Job Pod 更换策略升级到 Beta 阶段，该特性使用 Failed 阶段代替删除时间戳不为空作为 Pod 替换的条件，避免出现删除过程中的 Pod 占用索引和节点资源。 9. Job Pod 逐索引的回退限制达到 Beta 阶段，该特性可以避免持续失败的带索引的 Job Pod 进行不要的失败重试，达到优化资源利用的目的。 更多信息请参考：Kubernetes 1.29 Changelog

删除镜像缓存 镜像缓存对应一份云盘快照，保留镜像缓存需要支付相应的快照费用。建议您及时手动删除不再使用的镜像缓存。 在弹性容器实例控制台的镜像缓存页面，点击“删除”即可删除。

参数 是否必填 参数类型 说明 示例 下级对象 ListMultipartUploadsResult 是 Array of Objects 保存ListMultipartUpload请求结果的容器 ListMultipartUploadsResult

本节主要介绍CCE发布Kubernetes 1.28版本 云容器引擎（CCE）严格遵循社区一致性认证，现已支持创建Kubernetes 1.28集群。本文介绍Kubernetes 1.28版本的变更说明。 重要说明 在Kubernetes 1.28版本，调度框架发生变化，减少无用的重试，从而提高调度程序的整体性能。 在Kubernetes 1.28 版本，Ceph FS 树内插件已在 v1.28 中弃用，并计划在 v1.31 中删除（社区没有计划进行 CSI 迁移）。 建议使用 Ceph CSI 第三方存储驱动程序作为替代方案。 在Kubernetes 1.28 版本，Ceph RBD 树内插件已在 v1.28 中弃用，并计划在 v1.31 中删除（社区没有计划进行 CSI 迁移）。建议使用 RBD 模式的 Ceph CSI 第三方存储驱动程序作为替代方案。 新增特性及特性增强 社区特性的Alpha阶段默认禁用、Beta阶段一般默认启用、GA阶段将一直默认启用，且不能禁用（会在后续版本中删除这个开关功能）。CCE对新特性的策略与社区保持一致。 版本偏差策略扩展至3个版本 从1.28控制平面/1.25 工作节点开始，Kubernetes版本偏差策略将支持的控制平面/工作节点偏差扩展到 3 个版本。 这使得节点的年度次要版本升级成为可能，同时保持受支持的次要版本。 可追溯的默认StorageClass 进阶至 GA 在Kubernetes 1.28版本，可追溯默认 StorageClass 赋值现已进阶至GA。 这项增强特性极大地改进了默认的StorageClasses为PersistentVolumeClaim (PVC) 赋值的方式。 PersistentVolume (PV) 控制器已修改为：当未设置 storageClassName 时，自动向任何未绑定的 PersistentVolumeClaim 分配一个默认的 StorageClass。此外，API 服务器中的 PersistentVolumeClaim 准入验证机制也已调整为允许将值从未设置状态更改为实际的 StorageClass 名称。 原生边车容器（Alpha） 在Kubernetes 1.28版本，原生边车容器以Alpha版本正式发布。其在 Init 容器中添加了一个新的 restartPolicy 字段， 该字段在 SidecarContainers 特性门控启用时可用。需要注意的是，原生边车容器目前仍有些问题需要解决，因此K8S社区建议仅在 Alpha 阶段的短期测试集群中使用边车功能。 混合版本代理（Alpha） 在Kubernetes 1.28版本，发布了用于改进集群安全升级的新机制（混合版本代理）。该特性为Alpha特性。 当集群进行升级时，集群中不同版本的 kubeapiserver 为不同的内置资源集（组、版本、资源）提供服务。在这种情况下资源请求如果由任一可用的 apiserver 提供服务，请求可能会到达无法解析此请求资源的 apiserver 中，导致请求失败。该特性能解决该问题。（主要注意的是，CCE本身提供的升级能力即可做到无损升级，因此不存在该特性涉及的场景）。 节点非体面关闭特性达到GA 在Kubernetes 1.28版本，节点非体面关闭特性达到GA阶段。当一个节点被关闭但没有被 Kubelet 的 Node Shutdown Manager 检测到时，StatefulSet 的 Pod 将会停留在终止状态，并且不能移动到新运行的节点上。当用户确认该节点已经处于不可恢复的情况下，可以手动为Node打上outofservice的污点，以使得该节点上的StatefulSet的Pod和VolumeAttachments被强制删除，并在健康的Node上创建相应的Pod。 NodeSwap特性达到Beta 在Kubernetes 1.28版本，NodeSwap能力进阶至Beta版本。目前仍然处于默认关闭状态，需要使用NodeSwap门控打开。该特性可以为Linux节点上运行的Kubernetes工作负载逐个节点地配置内存交换。需要注意的是，该特性虽然进阶至Beta特性，但仍然存在一些需要增强的问题和安全风险。 Job相关特性 在Kubernetes 1.28版本，增加了Pod更换策略和基于带索引Job的回退限制两个alpha特性。 Pod更换策略 默认情况下，当Pod 进入终止（Terminating）状态（例如由于抢占或驱逐机制）时，Kubernetes 会立即创建一个替换的 Pod，因此这时会有两个 Pod 同时运行。在Kubernetes 1.28版本中可以使用JobPodReplacementPolicy 来启用该特性。可以在Job的Spec中定义podReplacementPolicy，目前仅可设置为Failed。在设置为Failed之后，Pod 仅在达到 Failed 阶段时才会被替换，而不是在它们处于终止过程中（Terminating）时被替换。此外，您可以检查 Job 的 .status.termination 字段。该字段的值表示终止过程中的 Job 所关联的 Pod 数量。 带索引Job的回退限制 默认情况下，带索引的Job（Indexed Job）的 Pod 失败情况会被记录下来，受 .spec.backoffLimit 字段所设置的全局重试次数限制。这意味着，如果存在某个索引值的 Pod 一直持续失败，则会 Pod 会被重新启动，直到重试次数达到限制值。 一旦达到限制值，整个 Job 将被标记为失败，并且对应某些索引的 Pod 甚至可能从不曾被启动。在Kubernetes 1.28版本中，可以通过启用集群的 JobBackoffLimitPerIndex 特性门控来启用此特性。开启之后，允许在创建带索引的 Job（Indexed Job）时指定 .spec.backoffLimitPerIndex 字段。当某个Job的失败次数超过设定的上限时，将不再进行重试。 CEL相关特性 在Kubernetes 1.28版本，CEL能力进行了相应的增强。 CRD 使用 CEL 进行 Validate 的特性进阶至Beta 该特性在v1.25版本就已经升级为Beta版本。通过将 CEL 表达式直接集成在 CRD 中， 可以使开发者在不使用 Webhook 的情况下解决大部分对 CR 实例进行验证的用例。在未来的版本，将继续扩展 CEL 表达式的功能，以支持默认值和 CRD 转换。 基于CEL的准入控制进阶至Beta 基于通用表达式语言(CEL) 的准入控制是可定制的，对于 kubeapiserver 接受到的请求，可以使用 CEL 表达式来决定是否接受或拒绝请求，可作为 Webhook 准入控制的一种替代方案。在 v1.28 中，CEL 准入控制被升级为 Beta，同时添加了一些新功能，包括但不限于： ValidatingAdmissionPolicy 类型检查现在可以正确处理 CEL 表达式中的 “authorizer” 变量。 ValidatingAdmissionPolicy 支持对 messageExpression 字段进行类型检查。 kubecontrollermanager 组件新增 ValidatingAdmissionPolicy 控制器，用来对 ValidatingAdmissionPolicy 中的 CEL 表达式做类型检查，并将原因保存在状态字段中。 支持变量组合，可以在ValidatingAdmissionPolicy 中定义变量，然后在定义其他变量时使用它。 新增CEL 库函数支持对 Kubernetes 的 resource.Quantity 类型进行解析。 其它特性说明 在Kubernetes 1.28版本，ServiceNodePortStaticSubrange 特性为beta，允许保留静态端口范围，避免与动态分配端口冲突。 在Kubernetes 1.28版本，增加了alpha特性ConsistentListFromCache，允许kubeapiserver从缓存中提供一致性列表，Get和List请求可以从缓存中读取数据，而不需要从etcd中获取。 在Kubernetes 1.28版本，kubelet能够配置dropin目录（alpha特性）。该特性允许向kubelet添加对“configdir”标志的支持，以允许用户指定一个插入目录，该目录将覆盖位于/etc/kubernetes/kubelet.conf位置的Kubelet的配置。 在Kubernetes 1.28版本，ExpandedDNSConfig 升级至GA，默认会被打开。该参数用于允许扩展DNS的配置。 在Kubernetes 1.28版本，提供Alpha特性CRD Validation Ratcheting。该特性允许Patch或者Update请求没有更改任何不合法的字段，将允许CR验证失败。 在Kubernetes 1.28版本，kubecontrollermanager添加了concurrentcronjobsyncs flag用来设置cron job controller的workers数。

参数 是否必填 参数类型 说明 示例 下级对象 CORSConfiguration 是 Array of Objects 最多100 个CORSRules 元素的容器 CORSConfiguration

参数 是否必填 参数类型 说明 示例 下级对象 CORSConfiguration 是 Array of Objects 最多100 个CORSRule 元素的容器 CORSConfiguration

参数 是否必填 参数类型 说明 示例 下级对象 CORSConfiguration 是 Array of Objects 最多100 个CORSRules 元素的容器 CORSConfiguration

使用云应用引擎部署应用，您可以使用健康检查功能查看应用与业务运行是否正常，以便运行异常时定位问题。本文介绍如何在云应用引擎控制台配置健康检查。 功能入口 场景不同，操作入口也有所不同 创建应用 1. 登录云应用引擎控制台，在左侧导航栏选择应用管理>应用列表，然后选择单击创建应用 2. 在应用基本信息向导页面进行配置后，单击下一步：高级设置。 对正在运行的应用进行变更 1. 登录云应用引擎控制台，在左侧导航栏选择应用管理>应用列表，然后单击目标应用名称 2. 在目标应用的基础信息页面，单击部署应用 注意 重新部署应用后，该应用将会被重启。为避免业务中断等不可预知的错误，请在业务低峰期执行部署操作 对已停止的应用进行变更 1. 登录云应用引擎控制台，在左侧导航栏选择应用管理>应用列表，然后单击目标应用名称 2. 在目标应用的基础信息页面，单击部署应用 健康检查配置指引 根据需求启用应用实例存活检查（Liveness配置）、启用应用业务就绪检查（Readiness配置）或启用应用启动探测（StartupProbe配置）。三者需要配置的参数项相同，参数解释如下 Liveness探针配置 配置项 说明 路径 访问HTTP Server的路径。 端口 访问HTTP Server的端口。 高级设置 展开高级设置后，选择判断返回的字符串中是否包含设置的关键字。 协议 选择HTTP 或HTTPS。 延迟时间（秒） 表示应用启动之后多久开始探测。延迟时间请务必大于应用正常启动耗时，否则会导致应用发布/运行过程中健康检查失败，反复重启。例如，应用启动时长为60秒，建议将延迟时间设置为70秒。 超时时间（秒） 表示探测超时时间。单位为秒，默认为1秒。例如设置为10秒，如果探测超时等待时间超过10秒，表示本次健康检查失败，上报超时异常。如果设置为0或不设置，默认超时等待时间为1秒。 检查周期（秒） 健康检查周期。单位为秒，默认为30秒。例如设置为5秒，表示每隔5秒检查一次。在业务容器刚启动的时候，SAE可能会比配置的检查周期更频繁地执行Readiness Probe。这种策略可以让实例尽快开始处理请求，从而提高服务的启动速度和整体的用户体验。 健康阈值（次） 探针在失败后，被视为成功的最小连续成功数。Liveness必须设置为1。 不健康阈值（次） 判定总体失败的连续失败数。 Readiness探针配置 配置项 说明 TCP端口 设置TCP检查访问的端口。 延迟时间（秒） 表示应用启动之后多久开始探测。延迟时间请务必大于应用正常启动耗时，否则会导致应用发布/运行过程中健康检查失败，反复重启。例如，应用启动时长为60秒，建议将延迟时间设置为70秒。 超时时间（秒） 表示探测超时时间。单位为秒，默认为1秒。例如设置为10秒，如果探测超时等待时间超过10秒，表示本次健康检查失败，上报超时异常。如果设置为0或不设置，默认超时等待时间为1秒。 检查周期（秒） 健康检查周期。单位为秒，默认为30秒。例如设置为5秒，表示每隔5秒检查一次。在业务容器刚启动的时候，SAE可能会比配置的检查周期更频繁地执行Readiness Probe。这种策略可以让实例尽快开始处理请求，从而提高服务的启动速度和整体的用户体验。 健康阈值（次） 探针在失败后，被视为成功的最小连续成功数。Liveness必须设置为1。 不健康阈值（次） 判定总体失败的连续失败数。 Startup探针配置 配置项 说明 延迟时间（秒） 表示应用启动之后多久开始探测。延迟时间请务必大于应用正常启动耗时，否则会导致应用发布/运行过程中健康检查失败，反复重启。例如，应用启动时长为60秒，建议将延迟时间设置为70秒。 超时时间（秒） 表示探测超时时间。单位为秒，默认为1秒。例如设置为10秒，如果探测超时等待时间超过10秒，表示本次健康检查失败，上报超时异常。如果设置为0或不设置，默认超时等待时间为1秒。 检查周期（秒） 健康检查周期。单位为秒，默认为30秒。例如设置为5秒，表示每隔5秒检查一次。在业务容器刚启动的时候，SAE可能会比配置的检查周期更频繁地执行Readiness Probe。这种策略可以让实例尽快开始处理请求，从而提高服务的启动速度和整体的用户体验。 健康阈值（次） 探针在失败后，被视为成功的最小连续成功数。Liveness必须设置为1。 不健康阈值（次） 判定总体失败的连续失败数。 执行命令 设置应用实例或者进程内部执行的健康检查命令。如果该命令返回码为0，则表示应用健康。 健康检查相关命令，请参见Kubernetes官网Configure Probe

本节主要介绍包年/包月计费 先购买再使用的方式。这种购买方式相对于按需计费能够提供更大的折扣，对于长期使用者，推荐该方式。用户在购买时，系统会根据用户所选容器管理集群的规格对用户进行扣费。

产品优势 灵活弹性：生物信息仿真任务具备较高的资源弹性需求，天翼云EHPC可提供自动弹性扩缩容能力，根据任务的提交、完成情况自动扩容、缩容节点，降低使用成本。 缓存加速：生信数据库文件大，并且涉及到反复的IO操作，对共享存储性能提出挑战。天翼云使用数据高效压缩和缓存技术，大幅降低对存储的性能要求，提升集群的节点扩展能力。 软件灵活管理：提供软件仓库和容器化能力支持，封装复杂的生信软件和运行环境，结合调度器的批量任务调度能力，大幅提升工作效率。 搭配使用产品 物理机、弹性云主机、云硬盘、对象存储、弹性文件服务、镜像服务、云监控 芯片仿真与验证 场景说明 芯片厂商普遍使用EDA（电子设计自动化）软件完成超大规模集成电路芯片的功能设计、验证等工作。天翼云弹性高性能计算可为EDA前仿真、后仿真、OPC光学邻近校正等多个阶段提供高性能、灵活接入的集群方案。 产品优势 多种算力选型：提供高性能CPU或大容量内存节点，为EDA不同阶段涉及的软件提供最佳的机型配置，提升单节点CPU能力或提升后仿真作业容量，缩短运行周期。 高性能专线接入：EDA场景对数据安全性要求高，且仿真数据一般部署在云下。天翼云提供多种专线接入方案，提供稳定的接入带宽和超低延迟。 资源统一调度：通过将LSF等调度器对接至云上资源，实现云上云下混合集群，满足本地资源不足时的资源溢出需求。

此小节介绍企业主机安全查看安全报告。 主机安全支持订阅日报、周报、月报和自定义，展现不同周期主机安全趋势以及关键安全事件与风险，订阅报告将为您保存6个月，以满足等保测评以及审计的需要。 注意 勾选订阅报告后，第二天即可查看、下载。 约束限制 未开启企业版、旗舰版、网页防篡改版、容器版防护不支持安全报告相关操作。 安全报告概览 1、登录管理控制台。 2、在页面左上角单击选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。。 4、左侧选择“安全报告”进入安全报告概览页面。服务预设了按月（default monthly security report）和按周（default weekly security report）统计的两个安全报告模板，可直接使用。 5、单击目标报告的“获取报告”，跳转至报告预览页，可查看报告信息、下载、发送报告。 查看报告发送记录 发送记录存储了邮件发送报告的发送详情。 1、单击安全报告概览页右上角的“报告发送记录”查看报告发送记录。 2、在弹窗中查看报告发送记录，参数说明如表所示。 报告发送详情 报告发送记录参数 参数名称 参数说明 报告名称 已发送报告的名称。 统计周期 目标发送报告内容的统计周期。 报告类型 目标发送报告的统计周期类型。 安全周报 安全月报 安全日报 自定义报告 邮件发送时间 目标报告发送的时间。 3、单击“操作”列的“获取报告”可查看历史发送的报告信息，同时可预览和下载报告。

部署 consumer 应用 1. 登录云应用引擎控制台 2. 左侧导航栏选择应用管理 > 应用列表 3. 点击创建应用，配置以下参数，点击下一步进入高级设置 1. 自定义应用名称，例如 consumer 2. 选择命名空间类型为系统创建，表示应用将会使用系统默认创建的命名空间，并关联 VPC、子网、安全组等网络资源 3. 设置应用部署方式为镜像部署。点击选择镜像，选择 Java 技术栈语言，在示例镜像标签页，找到 javaconsumer 镜像仓库，选择版本为v1.0，点击确定 4. 在容量设置区域，自定义单实例规格和实例数，这决定了应用初始运行的实例数量、系统为每个实例分配多少计算资源 4. 在高级设置页面中，展开服务注册发现区域，启用内置 Nacos 注册中心服务发现 5. 点击创建应用 查看应用部署结果 请耐心等待应用创建完成，大约需要1分钟。 说明 您可以在应用列表中查看已创建的应用，点击其中某个应用可以进入其详情页面。 在左侧导航栏选择基础信息，在实例列表页签中，可以查看已创建的应用实例。 配置公网访问应用 为了实现从公网访问 consumer 应用，您可以为应用绑定公网 ELB 实例。进入 consumer 应用的详情页面。在应用信息页签中，在应用访问设置区域选择基于 ELB 访问。点击添加公网 ELB 访问，在HTTP协议页签中，设置HTTP端口为80，容器端口为18082，然后点击确定。

本节介绍如何对集群进行安全检查。 操作步骤 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“集群安全 > 安全检查”，进入安全检查页面。 3. 单击安全检查列表右上角的“开始扫描”按钮，可对所有集群进行扫描检测。

本节主要介绍创建配置项 配置项（ConfigMap）是一种用于存储应用所需配置信息的资源类型，内容由用户决定。配置项创建完成后，可在应用中作为文件或者环境变量使用。 场景介绍 配置项允许您将配置文件从镜像中解耦，从而增强应用的可移植性。 配置项价值如下： 使用配置项功能可以帮您管理不同环境、不同业务的配置。 方便您部署相同应用的不同环境，配置文件支持多版本，方便您进行更新和回滚应用。 方便您快速将配置以文件的形式导入到应用中。 前提条件 已创建需要使用密钥的集群。 创建混合集群，请参考“帮助中心 > 云容器引擎 > 用户指南 > 集群管理 > 创建混合集群”。 已创建密钥所在命名空间，请参考“帮助中心 > 云容器引擎 > 用户指南 > 集群管理 > 命名空间”。 创建配置项 1、登录ServiceStage控制台，选择“应用管理 > 应用配置 > 配置项”。 2、单击“创建配置项”。 3、ServiceStage支持“可视化”和“YAML”两种方式来创建配置项。 方式一：可视化 参照下表设置新增配置参数，其中带“”标志的参数为必填参数。 表 新建配置参数说明 参数 参数说明 :: 基本信息 配置名称 新建的配置名称，同一个命名空间里命名必须唯一。 所属集群 使用新建配置的集群。 命名空间 新建配置所在的命名空间。若不选择，默认配置为default。 描述 配置项的描述信息。 配置数据 应用配置的数据可以在应用中使用，或被用来存储配置数据。其中，“键”代表文件名；“值”代表文件中的内容。 单击“添加更多配置数据” 。 输入键、值。 配置标签 标签以Key/value键值对的形式附加到各种对象上（如应用、节点、服务等）。 标签定义了这些对象的可识别属性，用来对它们进行管理和选择。 单击“添加标签” 。 输入键、值。 方式二：YAML 说明 若需要通过上传文件的方式创建资源，请确保资源描述文件已创建。ServiceStage支持yaml格式，详情请参考ConfigMap配置项要求。 a.在“所属集群”下拉框中，选择相应的集群。 b.（可选）单击“上传文件”，选择已创建的ConfigMap类型资源文件后，单击“打开”。 请上传小于2MB的文件。 c.在“编排内容”中写作或者修改ConfigMap资源文件。 4、配置完成后，单击“创建”。 应用配置列表中会出现新创建的应用配置。

本文介绍如何查看集群节点详情。 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“节点安全”，进入节点安全页面 3. 单击节点列表中的“节点名称”，可以查看节点的详细信息。 4. 在节点信息页面可以查看节点信息、集群组件信息、防御容器健康状态，节点的CPU占用、内存占用、磁盘占用率资源使用情况等信息。 5. 查看软件漏洞：在软件漏洞页面，可以查看该节点扫描的漏洞统计信息，存在高危、中危和低危的漏洞数量，单击漏洞列表中的“漏洞编号”，可以查看漏洞的详细信息，包括漏洞介绍、漏洞评分、来源信息等。 6. 查看软件列表：软件列表页面展示当前节点中的软件包信息，包括软件名称、版本、文件路径、软件类型、漏洞数量等信息。单击软件前的“＋”号，可查看该软件的漏洞详情，再单击漏洞编号前的“＋”号，可查看该漏洞的介绍和参考网址等信息。

本章主要介绍编辑镜像属性 操作场景 镜像上传后默认为私有镜像，您可以设置镜像的属性，包括镜像的类型（“公开”或“私有”）、分类及描述。 公开镜像所有用户都能下载，私有镜像则受具体权限管理控制。您可以为用户添加授权，授权完成后，用户享有读取、编辑或管理私有镜像的权限，具体请参见在镜像详情中添加授权。 操作步骤 步骤 1 登录容器镜像服务控制台。 步骤 2 在左侧菜单栏选择“我的镜像”，单击右侧要编辑镜像的名称。 步骤 3 在镜像详情页面，单击右上角“编辑”，在弹出的窗口中根据需要编辑类型（“公开”或“私有”）、分类及描述，然后单击“确定”。 图 编辑镜像属性 表 编辑镜像 参数 说明 组织 镜像所属组织。 名称 镜像名称。 类型 镜像类型，可选择： 公开 私有 说明 公开镜像所有用户都可以下载使用。 如果您的机器与镜像仓库在同一区域，访问仓库是通过内网访问。 如果您的机器与镜像仓库在不同区域，通过公网才能访问仓库，下载跨区域仓库的镜像需要机器可以访问公网。 分类 镜像分类，可选择： 应用服务器 Linux Windows Arm 框架与应用 数据库 语言 其他 描述 输入镜像仓库描述，030000个字符。

Console控制台功能 依赖服务 需配置角色/策略 总览 应用运维管理AOM IAM用户设置了CCE Administrator权限后，需要增加AOM FullAccess权限后才能访问总览中的数据图表。 支持设置了IAM ReadOnlyAccess和CCE FullAccess或CCE ReadOnlyAccess权限的IAM用户直接访问总览中的数据图表。 工作负载 弹性负载均衡ELB 应用运维管理AOM NAT网关 NAT 对象存储服务OBS 弹性文件服务SFS 正常创建工作负载时不依赖其他服务的权限。 如果需要创建ELB类型的服务，需要设置ELB FullAccess或者ELB Administrator权限，以及VPC Administrator权限。 如果需要使用Java探针，需要设置AOM FullAccess权限。 如果需要NAT网关类型的服务，需要设置NAT Gateway Administrator权限。 如果使用对象存储，需要全局设置OBS Administrator权限。说明由于缓存的存在，对用户、用户组以及企业项目授予OBS相关的RBAC策略后， 大概需要等待13分钟RBAC策略才能生效；授予OBS相关的系统策略后，大概需要等待5分钟系统策略能生效。l 如果使用文件存储，需要设置SFS FullAccess权限。 集群管理 应用运维管理AOM 如果需要弹性扩容权限，需要设置AOM FullAccess权限。 节点管理 弹性云主机ECS 当IAM用户权限为CCE Administrator时，如果创建和删除节点，需要配置ECS FullAccess或ECS Administrator权限，以及VPC Administrator权限。 网络管理 弹性负载均衡ELBNAT网关 NAT 正常创建时不依赖其他服务的权限。 如果需要创建ELB类型的服务，需要设置ELB FullAccess或者ELB Administrator权限，以及VPC Administrator权限。 如果需要NAT网关类型的服务，需要设置NAT Administrator权限。 存储管理 对象存储服务OBS弹性文件服务SFS 如果使用对象存储，需要全局设置OBS Administrator权限。 说明br由于缓存的存在，对用户、用户组以及企业项目授予OBS相关的RBAC策略后，大概需要等待13分钟RBAC策略才能生效；授予OBS相关的系统策略后，大概需要等待5分钟系统策略能生效。 如果使用文件存储，需要设置SFS FullAccess权限。 如果使用极速文件存储，需要设置SFS Turbo Admin权限导入存储的功能需要设置CCE Administrator权限。 命名空间 / 无需其他依赖权限。 模板市场 / 当前仅支持帐号、设置了CCE Administrator权限的IAM用户访问。 插件管理 / 支持帐号、设置了CCE Administrator、CCE FullAccess或CCE ReadOnlyAccess等权限的IAM用户访问本功能。 权限管理 / 支持帐号访问。 支持设置了CCE Administrator和Security Administrator（全局级策略）权限的IAM用户访问。 支持设置了CCE FullAccess或CCE ReadOnlyAccess权限的IAM用户访问。 配置中心 / 配置项( ConfigMap )无需其他依赖权限。 密钥( Secret )需要在命名空间权限下设置clusteradmin、admin或者edit权限才能查看，依赖服务需要添加DEW KeypairFullAccess或者DEW KeypairReadOnlyAccess权限。 帮助中心 / 无需其他依赖权限。 其他服务跳转 容器镜像服务SWR应用运维管理AOM 为便于您快速进入CCE相关服务的控制台，在CCE控制台增加了其他服务的跳转链接，CCE默认没有这些服务的全部权限，如果IAM用户需要查看或使用其功能，请按照该服务的权限策略说明设置相应的权限策略。

名称 示例值 描述 streams 媒体文件中各音频、视频、图片、字幕轨道的详细元数据信息。详细信息见表streams。 format 媒体文件容器的元数据信息。详细信息见表format。