问题现象 pod中istio sidecar容器监控中发现内存消耗持续升高。 原因分析 istio采用envoy作为数据面代理，动态内存消耗主要有以下方面： 原因 说明 网格配置 默认情况下网格中的配置和服务发现信息会全量同步到所有sidecar，当网格中的配置增多或者pod数量增多时，将导致sidecar代理的内存升高。 动态请求消耗的内存 Envoy中会为请求申请buffer用于缓存请求及应答信息，当请求量和消息比较大的时候会增加内存消耗。 可观测指标发散 当指标的tag较多时将会在内存中产生较多副本，增加内存消耗。 HTTP2流量控制相关 sidecar实现HTTP2编解码中有流级别及连接级别的缓存字节数限制，默认为256MB，当sidecar处理能力不足将导致数据在内存中累积。 解决方法 对于网格配置导致的sidecar内存升高，可以通过限定资源的可见范围较少配置扩散，如VirtualService、DestinationRule的exportTo字段指定配置分发的命名空间；通过配置sidecar资源，限定当前服务可见的服务发现范围等。 对于动态请求导致的内存消耗，考虑减少sidecar代理的流量。默认情况下sidecar会拦截所有inbound和outbound的流量，可以根据业务需要对不需要代理的端口取消流量拦截；具体可以通过sidecar管理sidecar代理配置菜单下配置全局及命名空间级别的流量拦截策略。 对于指标发散和HTTP2缓冲配置导致的内存升高，我们将在后续的版本中提供优化方案。

本节介绍了节点池最佳实践:Pod调度到节点池的不同节点。 Pod调度到节点池不同节点 场景：服务在同一个节点池中，同一个应用的Pod之间反亲和，一个节点只能调度一个Pod。 创建节点池扩容两个节点。在节点池详情的节点列表可以查看到创建的两个节点。 使用以下示例内容，配置应用YAML。通过反亲和性配置两个应用Pod，将不同的Pod调度到节点池不同节点上。 plaintext apiVersion: apps/v1 kind: Deployment metadata: name: nginx labels: app: nginx spec: replicas: 2 selector: matchLabels: app: nginx template: metadata: name: nginx labels: app: nginx spec: affinity: podAntiAffinity: requiredDuringSchedulingIgnoredDuringExecution: 设置调度策略。 labelSelector: matchExpressions: key: app operator: In values: nginx topologyKey: kubernetes.io/hostname nodeSelector: ccse.ctyun.cn/nodepoolname: 指定节点池。 containers: name: nginx image: nginx resources: limits: cpu: 1 requests: cpu: 1 在无状态页面，单击目标Deployment进入详情，在容器组页签，可以看到两个不同的Pod调度到节点池不同节点上。

本节介绍了扩缩容节点池的用户指南。 云容器引擎集群通过调整节点池的期望节点数实现节点池扩缩容，将节点数目维持在期望数量。扩容节点池功能可以保证节点数量足够支撑业务运行，缩容可以节省成本。 前提条件 1、容器集群连通性正常。 2、已在容器集群中创建节点池。 通过控制台扩缩容节点池 1、 登录云容器引擎管理控制台，订购一个高可用集群。 2、 在左侧导航栏选择集群。 3、 在集群列表页面，单击目标集群名称，然后在左侧导航栏，选择节点管理 > 节点池。 4、 在节点池列表页面中，单击目标节点池更多选项的扩容/缩容。 5、扩容填写扩容节点数量。 6、缩容则跳转到节点池的节点列表中勾选所选缩容节点，点击移除。

防护策略管理 注意 目前勒索病毒防护策略的新建必须通过开启防护的流程才能创建。 约束限制 开启勒索病毒防护时，需要同时配置服务器备份并及时处置勒索病毒告警、修复系统及中间件漏洞。如果不开启服务器备份，遭受攻击后较大概率无法恢复业务。 未开启旗舰版、网页防篡改版、容器版防护不支持勒索相关操作。 按需计费模式下，不支持勒索病毒防护。 新建防护策略 1、 登录管理控制台。 2、 在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、 在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、 选择“主动防御 > 勒索病毒防护 > 防护服务器”，单击“为服务器开启防护”。 5、 在弹出的对话框选择Linux或Windows系统，开启勒索防护，“防护策略”选择“新建防护策略”，参数说明如表所示。 以下以linux为示例,防护策略参数说明 参数名称 参数说明 取值样例 服务器操作系统 选择需要防护的服务器系统。 Linux 勒索防护 根据需求开启户关闭勒索防护，建议开启。 开启：关闭： 防护策略 您可选择已有策略或新建防护策略。 选择已有策略：在“选择防护策略”项选择已有的目标策略即可。 新建防护策略。 新建防护策略 防护策略名称 自定义防护策略名称。 防护动作 发现告警事件后的处理方式。 告警并自动隔离、仅告警 告警并自动隔离 诱饵防护 开启诱饵防护后，系统会在防护目录和关键目录（不包括排除目录）中部署诱饵文件。诱饵文件会占用小部分服务器资源，不会影响您的服务器正常运行。 在开启服务器的勒索病毒防护时，诱饵防护状态为默认开启。 说明 当前仅Linux系统支持动态生成和部署诱饵文件，Windows系统仅支持静态部署诱饵文件。 开启 诱饵防护目录 被防护的目录（不包括子目录）。 多个目录请用英文分号隔开，最多支持填写20个防护目录。 操作系统为Linux时必填项。 Linux：/etc/lesuo Windows：C:Test 排除目录（选填） 不进行部署诱饵文件的目录。 多个目录请用英文分号隔开，最多支持填写20个排除目录。 Linux：/test Windows：C:ProData 防护文件类型 被防护的服务器文件类型或格式，自定义勾选即可。 涵盖数据库、容器、代码、证书密匙、备份等9大文件类型，共70+种文件格式。 仅Linux支持，且为必选项。 全选 进程白名单 添加自动忽略检测的进程文件路径，可在告警中获取。 仅Windows支持。 6、配置完成，单击“下一步”，配置服务器备份的备份规则。 服务器备份必须开启。 开启服务器备份，单击“保留规则”项的“修改备份策略”，可对备份规则进行修改。 7、配置完成，单击“下一步”，进入服务器选择页面，通过分组筛选或服务器名称搜索目标服务器，勾选目标服务器。 8、确认无误，单击“确认”，开启服务器勒索防护，同时防护策略创建成功。 9、左侧导航树选择“主动防御 > 勒索病毒防护 ”，选择“防护策略”页签，查看已创建的防护策略。

创建数据集 1. 创建普通存储数据集：登录智算服务控制台，单击左侧菜单栏的“智算资产”>“我的数据集”菜单项进入我的数据集模块，点击“基础数据集“菜单，选择“普通/智算存储”，点击【+创建普通/智算存储数据集】，进入创建页面 2. 填写相关配置并提交。基础数据集创建目前仅支持使用自有存储，创建完成后，自动为您创建拼接此数据后缀的容器内挂载路径。 类型 字段 说明 存储基本信息 数据集名称 压缩任务名称，不超过20个字符 存储基本信息 描述 数据集描述信息 权限配置 可见范围 读写权限范围，支持设置仅文件所有者可见、指定工作空间内的算法开发角色可见两种权限策略 存储位置 存储桶/HPFS名称 您租户账号下的存储桶或HPFS名称；若您还未创建，您可点击【去创建】跳转到存储控制台进行创建 存储位置 ZOS/HPFS路径 您对应存储的具体的目录路径，您可根据提示示例进行填写，平台会对您填写路径的存在性进行校验，若校验不通过会进行提示，并禁止提交。 对于管理员用户，此项选填；对于普通子用户，此项必填。 特殊配置 设为保密数据集 对于某些行业客户，在大模型训练时会涉及到保密数据的处理问题，比如需要避免用户下载到本地造成数据泄漏，针对这类问题，平台推出了特色的数据保密功能，以应对用户下载或拷贝保密数据的行为。相关配置仅对管理员用户开放，且此功能会增加操作复杂度和资源占用，建议您只在需要的时候使用。 开启此按钮后，可将本数据集设置为保密数据集。开启保密后，此数据集将：1）仅支持读操作，禁止写操作，运行后的输出将单独写入到保密输出路径；2）数据挂载到容器时禁止访问外网。 特殊配置 设为保密数据集的输出路径 若您已设置保密数据集，您还需再创建一个保密输出数据集，专门用于存储保密数据集的输出，并谨慎设置相关权限：1）若您使用了自有存储，建议您只给自己或管理者读写权限（需前往对应存储控制台设置），即您需要确保这是由您完全可控的存储；2）此数据集的可见范围（在本页面的权限配置设置），建议您只对需要的用户设置。 特殊配置 云审计 您设置好保密输出路径后，会自动弹出云审计设置，此设置对使用了对应保密输出数据集的任务生效。开启云审计后，使用此保密输出数据集的任务在容器内的命令操作将会被记录并发送到云审计，并标识拷贝等高危操作。 特殊配置 审计频率 您开启云审计后，会弹出审计频率设置。审计频率是指审计上报的时间间隔，支持输入11440的整数。如果您设置的时间间隔太短，频繁扫描将会增加损耗，如时间太长，上报的事件信息较密集，建议您根据业务实际情况填写合适的时间。

创建桶 功能说明 桶（Bucket）是用于存储对象（Object）的容器，所有的对象都必须隶属于某个桶。您可以使用 createBucket 接口创建桶。 代码示例 php public function CreateBucket() { try { $res $this>s3Client>createBucket([ 'Bucket' > ' ', ]); echo $res; } catch (AwsS3ExceptionS3Exception $e) { echo "Exception: $e"; } } 请求参数 参数 类型 说明 是否必要 Bucket String 桶名称 是 获取桶列表 功能说明 桶（Bucket）是用于存储对象（Object）的容器，所有的对象都必须隶属于某个桶。您可以通过listBuckets接口获取桶列表信息。 代码示例 php public function ListBucket() { try { $res $this>s3Client>listBuckets(); vardump($res>get('Buckets')); } catch (AwsS3ExceptionS3Exception $e) { echo "Exception: $e"; } } 返回结果 参数 类型 说明 Buckets Bucket array 桶信息列表 判断桶是否存在 功能说明 桶（Bucket）是用于存储对象（Object）的容器，所有的对象都必须隶属于某个桶。您可以使用 doesBucketExist 接口判断桶是否存在。 代码示例 php public function DoesBucketExist() { $bucket ' '; try { $exist $this>s3Client>doesBucketExist($bucket); echo $exist; } catch (AwsS3ExceptionS3Exception $e) { echo "Exception: $e"; } } 请求参数 参数 类型 说明 是否必要 Bucket string 桶名称 是

本章节主要介绍设置应用环境变量 环境变量是应用运行环境中设定的一个变量。可以在应用组件部署后修改，为应用提供极大的灵活性。 本节为您介绍云容器引擎部署方式下的应用环境变量配置方法。 云容器引擎部署方式 部署应用组件时，在“基本配置”界面，“部署系统”选择“云容器引擎”时，请参考本方法添加环境变量。 1、在“组件配置”界面，展开“高级设置> 组件配置”。 2、参考表添加环境变量。 表 环境变量类型 环境变量类型 操作步骤 :: 手动添加 单击“添加环境变量”，选择“手动添加”。 输入新增环境变量的“变量名称”和“变量/变量引用”。 密钥导入 创建密钥，请参考创建密钥。 单击“添加环境变量”，选择“密钥导入”。 输入“变量名称”。 在“变量/变量引用”的下拉框中选择对应的密钥名称。 配置项导入 创建配置项，请参考创建配置项。 单击“添加环境变量”，选择“配置项导入”。 输入“变量名称”。 在“变量/变量引用”的下拉框中选择对应的配置项。 从文件导入 单击“从文件导入”，选择本地配置文件。 导入的文件应为字符串形式的键值对映射，且仅支持json及yaml格式。例如： {"key1":"value1","key2":"value2"}

本文主要介绍CCE节点故障检测插件。 插件简介 CCE节点故障检测（nodeproblemdetector，简称npd）是一款监控集群节点异常事件的插件，以及对接第三方监控平台功能的组件。它是一个在每个节点上运行的守护程序，可从不同的守护进程中搜集节点问题并将其报告给apiserver。nodeproblemdetector可以作为DaemonSet运行， 也可以独立运行。 有关社区开源项目nodeproblemdetector的详细信息，请参见nodeproblemdetector。 约束与限制 使用NPD插件时，不可对节点磁盘进行格式化或分区。 节点上每个NPD进程标准占用30mCPU，100MB内存。 权限说明 NPD插件为监控内核日志，需要读取宿主机/dev/kmsg设备，为此需要开启容器特权，详见privileged。 同时CCE根据最小化权限原则进行了风险消减，NPD运行限制只拥有以下特权： capdacreadsearch，为访问/run/log/journal capsysadmin，为访问/dev/kmsg 安装插件 步骤 1 登录CCE控制台，单击集群名称进入集群，单击左侧导航栏的“插件管理”，在右侧找到 npd ，单击“安装”。 步骤 2 根据下表配置参数，然后单击“安装”。 仅v1.16.0及以上版本支持配置。 npc.enable：是否启用npc，默认值为 false ，true表示启用。 NPD检查项 说明 当前检查项仅1.16.0及以上版本支持。 NPD的检查项主要分为事件类检查项和状态类检查项。 事件类检查项 对于事件类检查项，当问题发生时，NPD会向APIServer上报一条事件，事件类型分为Normal（正常事件）和Warning（异常事件） 故障检查项 功能 说明 KubeletStart 检查kubelet启动并上报 Normal类事件 DockerStart 检查Docker启动并上报 Normal类事件 ContainerdStart 检查Containerd启动并上报 Normal类事件 OOMKilling 检查oom事件发生并上报 Warning类事件 TaskHung 检查taskHung事件发生并上报 Warning类事件 KernelOops 检查内核0指针panic错误 Warning类事件 ConntrackFull 检查连接跟踪表是否满 Warning类事件周期：30秒阈值:80% 状态类检查项 对于状态类检查项，当问题发生时，NPD会向APIServer上报一条事件，并同步修改节点状态，可配合Nodeproblemcontroller故障隔离对节点进行隔离。 下列检查项中若未明确指出检查周期，则默认周期为30秒。 故障检查项 功能 说明 FrequentKubeletRestart 通过监听journald日志检测kubelet是否频繁重启 周期：5分钟 回溯时间：10分钟 阈值：10次即在回溯时间段内重启10次表示频繁重启，将会产生故障告警。 监听对象：/run/log/journal目录下的日志说明Ubuntu操作系统由于日志格式不兼容，暂不支持上述检查项。 FrequentDockerRestart 通过监听journald日志检测docker是否频繁重启 FrequentContainerdRestart 通过监听journald日志检测containerd是否频繁重启 CRIProblem 检查容器CRI组件状态 检查对象：Docker或Containerd KUBELETProblem 检查Kubelet状态 无 NTPProblem 检查ntp、chrony服务状态检查节点时钟是否偏移 时钟偏移阈值：8000ms PIDProblem 检查Pid是否充足 阈值：90% 使用量：/proc/loadavg中nrthreads 最大值：/proc/sys/kernel/pidmax和/proc/sys/kernel/threadsmax两者的较小值。 FDProblem 检查文件句柄数是否充足 阈值：90% 使用量：/proc/sys/fs/filenr中第1个值 最大值：/proc/sys/fs/filenr中第3个值 MemoryProblem 检查节点整体内存是否充足 阈值：90% 使用量：/proc/meminfo中MemTotalMemAvailable 最大值：/proc/meminfo中MemTotal ResolvConfFileProblem 检查ResolvConf配置文件是否丢失检查ResolvConf配置文件是否异常异常定义：不包含任何上游域名解析服务器（nameserver）。 检查对象：/etc/resolv.conf ProcessD 检查节点是否存在D进程 数据来源： /proc/{PID}/stat 等效命令：ps aux例外场景：ProcessD忽略BMS节点下的SDI卡驱动依赖的常驻D进程heartbeat、update ProcessZ 检查节点是否存在Z进程 ScheduledEvent 检查节点是否存在主机计划事件典型场景：底层宿主机异常，例如风扇损坏、磁盘坏道等，导致其上虚机触发冷热迁移。 数据来源： 网络连通类检查项 故障检查项 功能 说明 CNIProblem 检查容器CNI组件是否正常运行 无 KUBEPROXYProblem 检查Kubeproxy是否正常运行 无 另外kubelet组件内置如下检查项，但是存在不足，您可通过集群升级或安装NPD进行补足。 Kubelet内置检查项 故障检查项 功能 说明 PIDPressure 检查Pid是否充足 周期：10秒 阈值：90% 缺点：社区1.23.1及以前版本，该检查项在pid使用量大于65535时失效，详见issue 107107。社区1.24及以前版本，该检查项未考虑threadmax。 MemoryPressure 检查容器可分配空间（allocable）内存是否充足 周期：10秒 阈值：最大值100M 最大值（Allocable）：节点总内存节点预留内存 缺点：该检测项没有从节点整体内存维度检查内存耗尽情况，只关注了容器部分(Allocable)，在低。 DiskPressure 检查kubelet盘和docker盘的磁盘使用量及inodes使用量 周期：10秒阈值：90%

本章节介绍如何部署Demo微服务应用到ECS 概述 在微服务云应用平台中接入您的应用进行发布，所支持的介质类型大体上可分为制品（JAR/WAR/TAR包等）、镜像等，您可以按实际需求选择接入的方式。 为了帮助您快速体验将微服务应用托管到ECS。微服务云应用平台提供了官方Demo应用，您可以将该Demo应用托管到ECS中。本文介绍部署两个Demo应用：consumer和provider应用，并验证consumer调用provider。 托管Demo微服务应用 前提条件 1.您已开通微服务云应用平台 2.您已订购2台ECS虚机实例 3.您已订购一个nacos注册中心实例 4.您已开通微服务治理中心 【可选】 5.您已开通应用性能监控 【可选】 注意 一台ECS机器只能部署一个应用实例副本，订购ECS时请根据部署应用所需资源选择规格订购。 目前支持ECS发布的资源池如下：华东1、华北2、华南2、西南1、西安7。 目前只支持导入CPU架构为x86或ARM, 以及操作系统是64位, 且是以下版本:ctyunos2.0.1和centos7.x的ECS。 创建环境和导入资源 说明 环境：即我们常说的开发环境、生产环境，是用于应用部署和运行的计算、网络、中间件等资源的集合。 例如可以把同VPC下的云容器引擎、注册中心、数据库等实例组成一个环境。 资源：是支撑应用运行的设施，资源可以导入到环境里供应用使用。例如常用资源包括：云容器引擎、ECS、注册中心、微服务治理中心、应用性能监控、数据库实例等。 在左侧导航栏，选择环境管理。在环境列表左上角点击创建环境。 进入环境详情，将nacos注册中心导入到环境。在环境里创建ECS集群，将ECS导入到ECS集群。

commonname)CommonName，CCE的v1.19版本的kubeapiserver编译的版本为v1.15。CommonName字段作为hostname处理，最终导致认证失败。 升级前检查您自建webhook server的证书是否配置了SAN字段。 若无自建webhook server则不涉及。 若未配置，建议您配置使用SAN字段指定证书支持的IP及域名。 注意 为减弱此版本差异对集群升级的影响，v1.15升级至v1.19时，CCE会进行特殊处理，仍然会兼容支持证书不带SAN。但后续升级不再特殊处理，请尽快整改证书，以避免影响后续升级。 v1.15升级至v1.19 v1.17.17版本及以后的集群CCE自动给用户创建了PSP规则，限制了不安全配置的Pod的创建，如securityContext配置了sysctl的net.core.somaxconn的Pod。 升级后请按需开放非安全系统配置。 v1.13升级至v1.15 vpc集群升级后，由于网络组件的升级，master节点会额外占一个网段。在Master占用了网段后，无可用容器网段时，新建节点无法分配到网段，调度在该节点的pod会无法运行。 一般集群内节点数量快占满容器网段场景下会出现该问题。例如，容器网段为10.0.0.0/16，可用IP数量为65536，VPC网络IP分配是分配固定大小的网段（使用掩码实现，确定每个节点最多分配多少容器IP），例如上限为128，则此时集群最多支撑65536/128512个节点，然后去掉Master节点数量为509，此时是1.13集群支持的节点数。集群升级后，在此基础上3台Master节点会各占用1个网段，最终结果就是506台节点。

名称 描述 ListMultipartUploadsResult 包含整个响应的容器。 类型：容器。 子节点：Bucket、KeyMarker、UploadIdMarker、NextKeyMarker、NextUploadIdMarker、Maxuploads、Delimiter、Prefix、CommonPrefixes、IsTruncated、EncodingType、Upload。 Bucket 分片上传对应的容器名称。 类型：字符串。 父节点：ListMultipartUploadsResult。 KeyMarker 指定key值，在这个key当前位置或它之后开始列表操作。 类型：字符串。 父节点：ListMultipartUploadsResult。 UploadIdMarker 指定分片上传ID，在这个ID所在位置之后开始列表操作。 类型：字符串。 父节点：ListMultipartUploadsResult。 NextKeyMarker 当此次列表不能将所有正在执行的分片上传过程列举完成时，NextKeyMarker作为下一次列表请求的keymarker参数的值。 类型：字符串。 父节点：ListMultipartUploadsResult。 NextUploadIdMarker 当此次列表不能将所有正在执行的分片上传过程列举完成时，NextKeyMarker作为下一次列表请求的uploadidmarker参数的值。 类型：字符串。 父节点：ListMultipartUploadsResult。 MaxUploads 响应中包含的上传过程的最大数目。 类型：字符串。 父节点：ListMultipartUploadsResult。 IsTruncated 标识此次分片上传过程中的所有片段是否全部被列出，如果为true则表示没有全部列出。如果分片上传过程的片段数超过了MaxParts元素指定的最大数，则会导致一次列表请求无法将所有片段数列出。 类型：Boolean。 父节点：ListMultipartUploadsResult。 EncodingType KeyMarker、NextKeyMarker、Key、Prefix、Delimiter的编码类型。 类型：字符串。 父节点：ListMultipartUploadsResult。 Upload 某个分片上传过程的容器，响应体中可能包含0个或多个Upload元素。 类型: 容器。 父节点: ListMultipartUploadsResult。 子节点: Key、UploadId、Initiator、Owner、StorageClass、Initiated。 Key 分片上传过程起始位置文件的Key值。 类型: String。 父节点: Upload。 UploadId 分片上传过程的ID号。 类型: 整型。 父节点: Upload。 Initiator 指定执行此次分片上传过程的用户账户。 类型：容器。 父节点：Upload。 子节点：ID，DisplayName。 ID OOS账户的ID。 类型：字符串。 父节点：Initiator。 StorageClass 文件的存储类型： STANDARD STANDARDIA 类型：字符串。 父节点：Upload。 Initiated 分片上传过程启动的时间。 类型：Date。 父节点：Upload。 Prefix 如果请求中包含了Prefix参数，则这个字段会包含Prefix的值。返回的结果只包含那些key值以Prefix开头的文件。 类型：字符串。 父节点：ListMultipartUploadsResult。 Delimiter 分割符，用来对关键字们进行分组的字符。所有的关键字都包含delimiter和prefix间的相同子串，prefix之后第一个遇到delimiter的字符串都会加到一个叫CommonPrefix的组中。如果没有特别定义prefix，所有的关键字都会被返回，但不会有CommonPrefix。 类型：字符串。 父节点：ListMultipartUploadsResult。 CommonPrefixes 当定义delimiter之后，返回结果中会包含CommonPrefixes，CommonPrefix中包含以prefix开头，delimiter结束的字符串组合，例如prefix是note/，同时delimiter是斜杠（/），结果中的note/summer/july/lotus.jpg将返回note/summer/，其余结果将按照maxuploads要求返回。 类型：容器。 父节点：ListMultipartUploadsResult。 子节点：Prefix。 CommonPrefixes.Prefix 如果请求中不包含Prefix参数，那么这个元素只显示那些在delimiter字符第一次出现之前的key的子字符串，且这些key不在响应的其它位置出现。 如果请求中包含Prefix参数，那么这个元素显示在prefix之后，到第一次出现delimiter之间的子串。 类型：字符串。 父节点：CommonPrefixes。

操作（Action） 操作（Action） 说明 cce::get cce:cluster:get 查询集群详情 cce::get cce:node:get 查询节点详情 cce::get cce:job:get 查询任务详情（集群层面的job） cce::get cce:addonInstance:get 获取插件实例 cce::get cce:addonTemplate:get 获取插件模板 cce::get cce:chart:get 获取模板信息 cce::get cce:nodepool:get 获取节点池 cce::get cce:release:get 获取模板实例信息 cce::get cce:userAuthorization:get 获取CCE用户授权 cce::list cce:cluster:list 查询集群列表 cce::list cce:node:list 查询节点列表 cce::list cce:job:list 查询任务列表（集群层面的job） cce::list cce:addonInstance:list 列出所有插件实例 cce::list cce:addonTemplate:list 列出所有插件模板 cce::list cce:chart:list 列出所有模板 cce::list cce:nodepool:list 列出集群的所有节点池 cce::list cce:release:list 列出所有模板实例 cce::list cce:storage:list 列出所有磁盘 cce:kubernetes: 操作所有kubernetes资源，具体权限请在15.3 命名空间权限中配置。 ecs::get ECS（弹性云主机）所有资源详情的查看权限。 CCE中的一个节点就是具有多个云硬盘的一台弹性云主机 ecs::list ECS（弹性云主机）所有资源列表的查看权限。 evs::get 云硬盘所有资源详情的查看权限。可以将云硬盘挂载到云服务器，并可以随时扩容云硬盘容量 evs::list 云硬盘所有资源列表的查看权限。 evs::count vpc::get VPC（虚拟私有云，包含二代ELB）所有资源详情的查看权限。 创建的集群需要运行在虚拟私有云中，创建命名空间时，需要创建或关联VPC，创建在命名空间的容器都运行在VPC之内 vpc::list VPC（虚拟私有云，包含二代ELB）所有资源列表的查看权限。 sfs::get SFS（弹性文件服务）服务所有资源详情的查看权限。 sfs:shares:ShareAction SFS（弹性文件服务）资源的扩容共享。 aom::get AOM（应用运维管理）服务所有资源详情的查看权限。 aom::list AOM（应用运维管理）服务所有资源列表的查看权限。 aom:autoScalingRule: AOM（应用运维管理）服务自动扩缩容规则的所有操作权限。

业务场景 用户可以通过DLI内置的TPCH测试套件进行简单高效的交互式查询，无需用户上传数据，即可以体验DLI的核心功能。 DLI内置TPCH的优势 用户只需要登录DLI，完成授予权限，即可操作SQL语句，无需用户自己创建表和导入数据。 预置22条TPCH SQL查询模板，功能丰富，可满足大部分的商业场景，无需用户自行下载TPCH的查询语句，省时省力。 用最小的时间代价体验serverless化的DLI产品，领略数据湖带给我们的全新体验。 注意 子账号使用TPCH测试套件时，需要主账号为子账号赋权OBS访问权限和查看主账号表的权限；如果主账号未登录过DLI服务，子账号除上述权限外，还需要创建数据库和创建表的权限。 操作说明 具体操作指导详见 SQL模板管理。

本章节主要介绍数据服务概览。 DataArts Studio数据服务旨在为企业搭建统一的数据服务总线，帮助企业统一管理对内对外的API服务。数据服务为您提供快速将数据表生成数据API的能力，涵盖API发布、管理、运维的全生命周期管理，帮助您简单、快速、低成本、低风险地实现微服务聚合、前后端分离、系统集成，向合作伙伴、开发者开放功能和数据。 相对于数据共享交换或其他数据开放形式，使用数据服务进行数据开放具备如下优势： 统一接口标准，减少上层应用对接工作量。 将数据逻辑沉淀至数据平台，实现应用逻辑与数据逻辑解耦，在减少数据模型的重复开发的同时，避免数据逻辑调整带来的“散弹式修改”。 将数据逻辑相关的存储与计算资源下沉到数据平台，降低应用侧的资源消耗。 减少大量明细、敏感数据在应用侧的暴露，同时通过API 审核发布、鉴权流控、动态脱敏等手段，提升数据安全能力。 值得注意的是，数据服务是通过将数据逻辑封装成统一标准的Restful 风格API从而实现数据开放，适用于小批量数据的快速响应交互场景。如果为大量数据开放的场景，更适于通过数据共享交换或其他方案实现。 数据服务采用Serverless架构，您只需关注API本身的查询逻辑，无需关心运行环境等基础设施，数据服务会为您准备好计算资源，并支持弹性扩展，零运维成本。 详见下图：数据服务架构图

查询应用日志 在左侧导航栏，容器应用实例 > 发布应用 > 应用实例，点击已开启日志应用实例，进入应用实例详情页面。点击日志中心导航栏，在日志中心列表，点击查看日志。 根据调用链查询日志 在左侧导航栏，容器应用实例 > 发布应用 > 应用实例，点击已开启日志应用实例，进入应用实例详情页面。点击应用监控，调用链查询tab页面，点击查看，到详情页面点击查看日志可以根据traceId定位到相应的日志。

本章节介绍如何通过自建网关实现全链路灰度 概述 您可以基于微服务治理在不修改任何业务代码的情况下，实现全链路灰度的流量控制。本文介绍用户如何通过自建网关实现全链路灰度功能。 前提条件 1、用户已开通微服务治理中心企业版。 2、用户已开通云容器引擎。 背景信息 在微服务架构下，一次需求可能会同时修改多个微服务应用。在发布应用时，通常将这些应用划分为同一个分组，使灰度流量始终在灰度应用中流转。当上游有灰度流量时，会通过引流的方式将灰度流量引导至灰度分组，在此次链路调用过程中，如果存在一些微服务没有灰度环境，那这些请求在下游时依然能回到灰度环境中，以此实现全链路灰度。 通过使用微服务治理中心，可以在不修改业务代码的情况下，轻松实现全链路灰度。本文介绍如何通过自建网关实现全链路灰度。 部署Demo应用 准备自建入口网关msgczuul，准备应用msgcappa，msgcappb和msgcappc。调用过程是msgcappa –> msgcappb > msgcappc。 步骤1：在云容器引擎集群中安装微服务治理插件： 1. 登录云容器引擎控制台。 2. 在左侧菜单栏选择集群，点击目标集群。 3. 在集群管理页面点击插件插件市场，选择cubems插件安装。 步骤2：为应用开启微服务治理能力： 1. 登录云容器引擎控制台。 2. 左侧菜单栏选择集群，点击目标集群。 3. 在集群管理页面点击工作负载无状态，选择目标命名空间。 4. 在Deployment列表页选择指定Deployment，并点击全量替换，进入Deployment编辑页。 5. 在Deployment编辑页点击显示高级设置，新增Pod标签: mseCubeMsAutoEnable:on。 6. 在发布应用时，配置指定环境变量，可指定注入微服务治理中心的应用名、命名空间和标签等信息。 环境变量配置如下： 环境变量名 环境变量值 MSEAPPNAME 接入到微服务治理中心的应用名。 MSESERVICETAG 应用标签信息，如灰度应用可配置gray。 MSENAMESPACE（选填） 接入到微服务治理中心的命名空间，默认为：default。 7. 完成编辑后点击提交，重新发布容器即可接入。 appa应用的配置： 基线： apiVersion: "apps/v1" kind: "Deployment" metadata: name: "appa" namespace: "default" spec: progressDeadlineSeconds: 600 replicas: 1 revisionHistoryLimit: 10 selector: matchLabels: name: "appa" template: metadata: labels: mseCubeMsAutoEnable: "on" name: "appa" spec: containers: env: name: "MSEAPPNAME" value: "appa" image: "镜像仓库域名/xxx/appa:latest" imagePullPolicy: "Always" name: "appa" ports: containerPort: 26160 livenessProbe: tcpSocket: port: 26160 initialDelaySeconds: 10 periodSeconds: 30 resources: limits: cpu: "1" memory: "1Gi" requests: cpu: "1" memory: "1Gi" 灰度： apiVersion: "apps/v1" kind: "Deployment" metadata: name: "appa" namespace: "default" spec: progressDeadlineSeconds: 600 replicas: 1 revisionHistoryLimit: 10 selector: matchLabels: name: "appa" template: metadata: labels: mseCubeMsAutoEnable: "on" name: "appa" spec: containers: env: name: "MSEAPPNAME" value: "appa" name: "MSESERVICETAG" value: "gray" image: "镜像仓库域名/xxx/appa:latest" imagePullPolicy: "Always" name: "appa" ports: containerPort: 26160 livenessProbe: tcpSocket: port: 26160 initialDelaySeconds: 10 periodSeconds: 30 resources: limits: cpu: "1" memory: "1Gi" requests: cpu: "1" memory: "1Gi" appb应用的配置： 基线： apiVersion: "apps/v1" kind: "Deployment" metadata: name: "appb" namespace: "default" spec: progressDeadlineSeconds: 600 replicas: 1 revisionHistoryLimit: 10 selector: matchLabels: name: "appb" template: metadata: labels: mseCubeMsAutoEnable: "on" name: "appb" spec: containers: env: name: "MSEAPPNAME" value: "appb" image: "镜像仓库域名/xxx/appb:latest" imagePullPolicy: "Always" name: "appb" ports: containerPort: 26160 livenessProbe: tcpSocket: port: 26160 initialDelaySeconds: 10 periodSeconds: 30 resources: limits: cpu: "1" memory: "1Gi" requests: cpu: "1" memory: "1Gi" 灰度： apiVersion: "apps/v1" kind: "Deployment" metadata: name: "appb" namespace: "default" spec: progressDeadlineSeconds: 600 replicas: 1 revisionHistoryLimit: 10 selector: matchLabels: name: "appb" template: metadata: labels: mseCubeMsAutoEnable: "on" name: "appb" spec: containers: env: name: "MSEAPPNAME" value: "appb" name: "MSESERVICETAG" value: "gray" image: "镜像仓库域名/xxx/appb:latest" imagePullPolicy: "Always" name: "appb" ports: containerPort: 26160 livenessProbe: tcpSocket: port: 26160 initialDelaySeconds: 10 periodSeconds: 30 resources: limits: cpu: "1" memory: "1Gi" requests: cpu: "1" memory: "1Gi" appc应用的配置： 基线： apiVersion: "apps/v1" kind: "Deployment" metadata: name: "appc" namespace: "default" spec: progressDeadlineSeconds: 600 replicas: 1 revisionHistoryLimit: 10 selector: matchLabels: name: "appc" template: metadata: labels: mseCubeMsAutoEnable: "on" name: "appc" spec: containers: env: name: "MSEAPPNAME" value: "appc" image: "镜像仓库域名/xxx/appc:latest" imagePullPolicy: "Always" name: "appc" ports: containerPort: 26160 livenessProbe: tcpSocket: port: 26160 initialDelaySeconds: 10 periodSeconds: 30 resources: limits: cpu: "1" memory: "1Gi" requests: cpu: "1" memory: "1Gi" 灰度： apiVersion: "apps/v1" kind: "Deployment" metadata: name: "appc" namespace: "default" spec: progressDeadlineSeconds: 600 replicas: 1 revisionHistoryLimit: 10 selector: matchLabels: name: "appc" template: metadata: labels: mseCubeMsAutoEnable: "on" name: "appc" spec: containers: env: name: "MSEAPPNAME" value: "appc" name: "MSESERVICETAG" value: "gray" image: "镜像仓库域名/xxx/appc:latest" imagePullPolicy: "Always" name: "appc" ports: containerPort: 26160 livenessProbe: tcpSocket: port: 26160 initialDelaySeconds: 10 periodSeconds: 30 resources: limits: cpu: "1" memory: "1Gi" requests: cpu: "1" memory: "1Gi" zuul应用的配置： apiVersion: "apps/v1" kind: "Deployment" metadata: name: "zuul" namespace: "default" spec: progressDeadlineSeconds: 600 replicas: 1 revisionHistoryLimit: 10 selector: matchLabels: name: "zuul" template: metadata: labels: mseCubeMsAutoEnable: "on" name: "zuul" spec: containers: env: name: "MSEAPPNAME" value: "zuul" image: "镜像仓库域名/xxx/zuul:latest" imagePullPolicy: "Always" name: "zuul" ports: containerPort: 26160 livenessProbe: tcpSocket: port: 26160 initialDelaySeconds: 10 periodSeconds: 30 resources: limits: cpu: "1" memory: "1Gi" requests: cpu: "1" memory: "1Gi"

本文介绍了镜像共享的用户指南。 概述 镜像共享功能支持用户将自己的镜像共享给其他用户，其他用户可以查看并拉取被共享的镜像。 访问镜像共享页面 镜像共享功能在个人版和企业版实例中均可用，不同类型实例访问镜像共享页面的方式有些差别： 个人版实例: 左侧导航栏点击 "镜像共享" 企业版实例: 左侧导航栏点击 "分发交付" "镜像共享" 创建镜像共享 1. 进入容器镜像服务控制台。 2. 点击已开通的实例名称。 3. 导航至 "分发交付" "镜像共享" "共享给他人"，点击创建镜像共享。 4. 在创建页面填写共享目标用户，此处填写的是对方用于docker login的用户名。选择命名空间、镜像仓库、截止时间并填写描述，点击确定按钮， 完成创建。 5. 创建完成后，可在列表页面查看创建的镜像共享记录。 6. 操作栏的编辑按钮可以修改镜像共享记录的截止时间和描述。禁用/启用按钮可以修改镜像共享记录的启用状态。删除按钮可以删除镜像共享记录。

本节介绍智算资源监控。 GPU 资源监控面板能够帮助您从不同的维度（比如：集群、节点、训练任务等）监控集群的GPU资源使用情况，以及集群的各命名空间下的资源配额使用情况。 前提条件 已开通智算容器集群 监控安装 1. 登录 “云容器引擎” 控制台，在左侧导航栏选择 “集群”。 2. 在“集群”页面显示的集群列表中，单击目标集群名称，然后在左侧导航栏，选择 “智算套件”。 3. 安装监控组件，等待安装完成。 监控面板 从“运维管理” “监控” 可打开监控面板页面，提供了 GPU/NPU 多维监控能力。 GPU监控 NPU监控

本文介绍如何镜像仓库管理。 用户可以对镜像仓库、镜像、及镜像标签进行管理，也可进行仓库公私有属性的设置，以下将对部分常用管理操作进行说明。 仓库、镜像删除 操作步骤 1.登录云容器引擎控制台，单击左侧导航栏的【镜像仓库】，进入仓库管理界面，用户可在操作列表执行仓库【删除】操作，但需注意删除镜像仓库前，必须先删除容器镜像仓库中所包含的镜像； 2.单击待删除的镜像仓库名称，进入仓库中的镜像列表页，用户可进行镜像删除操作，这里将删除包括所有标签的镜像； 3.点击需要删除的镜像，将进入镜像详情列表，在此可点击【删除】以删除不同标签的镜像，进行镜像的标签管理。

本节主要介绍云存储网关的一些术语与缩略语。 术语与缩略语 描述 ALUA Asymmetric Logical Unit Access，非对称逻辑单元访问。 CHAP Challenge Handshake Authentication Protocol，质询握手认证协议。 DSM Device Specific Module，设备特定模块。 EndPoint OOS的域名地址。 IQN iSCSI Qualified Name，iSCSI限定名。 iSCSI Internet Small Computer System Interface，互联网小型计算机系统接口。 I/O Input/Output，输入/输出。 LUN Logical Unit Number，逻辑单元号。 MPIO MultiPath I/O，多路径IO管理。 NFS Network File System，网络文件系统。 NTP Network Time Protocol，网络时间协议。 OOS ObjectOriented Storage，天翼云对象存储（经典版）I型。是天翼云为客户提供的一种海量、弹性、廉价、高可用的存储服务。 OOS Bucket OOS提供的存储Object的容器。OOS系统的每个Object都必须包含在一个Bucket中。 RAID Redundant Arrays of Independent Disks，独立磁盘冗余阵列。 SAN Storage Area Network，存储区域网络。 SPC SCSI（Small Computer System Interface，小型计算机系统接口） Primary Commands，SCSI基础命令。 SSD Solid State Disk，固态硬盘。 SSL Secure Sockets Layer，安全套接字协议。

删除防护策略 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、选择“主动防御 > 勒索病毒防护 > 防护策略”。 5、单击目标策略“操作”列的“删除”。 说明 删除策略后，关联的服务器将不再被防护，风险系数将会升高，建议删除策略前将目标策略关联的服务器绑定其他策略开启防护。 6 、在弹窗确认正在删除的策略信息，确认无误，单击“确认”，完成删除。 关闭勒索防护 前提条件 已购买主机安全版本为旗舰版或网页防篡改版。 防护服务器列表至少有一台服务器处理防护中状态。 约束限制 开启勒索病毒防护时，需要同时配置服务器备份并及时处置勒索病毒告警、修复系统及中间件漏洞。如果不开启服务器备份，遭受攻击后较大概率无法恢复业务。 未开启旗舰版、网页防篡改版、容器版防护不支持勒索相关操作。 按需计费模式下，不支持勒索病毒防护。 关闭服务器防护 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、选择“主动防御 > 勒索病毒防护 > 防护策略”。 5、单击目标服务器“操作”列的“关闭防护”，在弹窗中选择需要关闭的防护功能。 关闭所有防护：关闭后目标服务器的勒索防护和备份功能都将关闭。 仅关闭勒索防护：仅关闭目标服务器的勒索病毒防护。 仅关闭备份功能：仅关闭目标服务器的数据备份功能。 6 、确认关闭信息无误，单击“确认”，完成关闭。

参数名 描述 AM最多占有资源（%） 表示当前队列内所有Application Master所占的最大资源百分比。 每个YARN容器最多分配核数 表示当前队列内单个YARN容器可分配的最多核数，默认为1，表示取值范围内不限制。 每个YARN容器最大分配内存（MB） 表示当前队列内单个YARN容器可分配的最大内存，默认为1，表示取值范围内不限制。 最多运行任务数 表示当前队列最多同时可执行任务的数目，默认为1，表示取值范围内不限制（为空意义相同），为0表示不可执行任务。取值范围为1～2147483647。 每个用户最多运行任务数 表示每个用户在当前队列中最多同时可执行任务的数目，默认为1，表示取值范围内不限制（为空意义相同），为0表示不可执行任务。取值范围为1～2147483647。 最多挂起任务数 表示当前队列最多同时可挂起任务的数目，默认为1，表示取值范围内不限制（为空意义相同），为0表示不可挂起任务。取值范围为1～2147483647。 资源分配规则 表示单个用户任务间的资源分配规则，包括FIFO和FAIR。 一个用户若在当前队列上提交了多个任务，FIFO规则代表一个任务完成后再执行其他任务，按顺序执行。FAIR规则代表各个任务同时获取到资源并平均分配资源。 默认资源标签 表示在指定资源标签（Label）的节点上执行任务。 说明 如果需要使用新的资源池，需要修改默认标签为新的资源池标签。 Active状态 ACTIVE表示当前队列可接受并执行任务。 INACTIVE表示当前队列可接受但不执行任务，若提交任务，任务将处于挂起状态。 Open状态 OPEN表示当前队列处于打开状态。 CLOSED表示当前队列处于关闭状态，若提交任务，任务直接会被拒绝。

场景说明 AI 智算平台建设中，在以下场景中会遇到存储挑战： 海量数据的存储和处理，包括采集导入、清洗、转换、标注、共享等，这里对存储的要求主要是高吞吐和大容量。 模型开发，主要场景包括实验管理、交互式开发和效果评估等。对存储的要求更多集中在 POSIX 兼容性、可靠性等方面。 模型训练的主要场景，一是训练数据的读取，二是为了容错做的 Checkpoint 的保存和加载。数据集的部分就是要尽量读得快，减少计算对 I/O 的等待，而 Checkpoint 主要要求高吞吐、减少训练中断的时间。 模型推理，需要把训练完的模型快速分发部署到线上，产生业务效果。而这个过程会高频、反复发生，要求高并发、高吞吐。 将 HPFS、NAS 等多个存储产品组合与 GPU 云主机、弹性裸金属等计算集群无缝对接。通过容器化部署服务实现资源弹性调度，提供超高吞吐和超高 IOPS 能力，支持混合云、线下和云上部署，快速构建 AI 基础环境。 产品优势 并行文件服务 HPFS 助力客户构建高速大模型训练平台，根据不同 AI 业务流程特点，调用不同的存储服务能力，满足预处理、训练、仿真等各阶段对数据存储能力的要求。 HPFS 能够显著提升训练数据读取和 Checkpoint 回写速度，降低数据处理的延迟，使得客户在 GPU 故障时更快将模型恢复到之前的检查点，提高企业 GPU 的利用率，更高效地将模型精度达到生产水平并推向市场。HPFS 帮助企业降低在AI训练中的成本投入，实现更高的投资回报，满足企业在 AI 领域中对存储性能的高要求。

参数 说明 自动停止 自动停止开关，如果开启开关，开发机将在设定的时间后自动停止；如果关闭开关，开发机由用户手动停止。 自动停止时长 设置自动停止时长，单位小时。可用条件是开启自动停止开关。时长可选择1小时、2小时、4小时、6小时、自定义时长， 自定义时长数值应该为大于0的整数。最大值可设置999小时。 学术加速 开启学术加速后，可加速访问合法合规学术平台 启用SSH 支持通过SSH登录开发机，具体可参考 对外端口 开启该功能，可将开发机的内网端口映射到公网。 启用Docker 开启后，可在开发机内使用 docker run 启动容器，以及 docker push/pull 推拉镜像。 如需启用Docker，开发机需挂载本地盘，Docker数据将存储在本地盘中。 启用 Docker 前需预先分配 GPU 卡和计算资源，被分配给 Docker 的 GPU 卡和计算资源将仅可在 Docker 环境内使用。

类别 云防火墙 安全组 网络ACL 定义 云防火墙（Cloud Firewall，CFW）是新一代的云原生防火墙，提供云上互联网边界和VPC边界的防护，包括实时入侵检测与防御、全局统一访问控制、全流量分析可视化、日志审计与溯源分析等，同时支持AI提升智能防御能力满足云上业务的变化和扩张需求，极简应用让用户快速灵活应对威胁。云防火墙服务是为用户业务上云提供网络安全防护的基础服务。 安全组是一个逻辑上的分组，为具有相同安全保护需求并相互信任的云服务器、云容器、云数据库等实例提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当实例加入该安全组后，即受到这些访问规则的保护。 网络ACL是一个子网级别的可选安全层，通过与子网关联的出方向/入方向规则控制出入子网的网络流量。 防护场景 互联网边界 VPC边界 SNAT场景 弹性云服务器 子网 功能特性 支持五元组（即源IP地址、目的IP地址、协议、源端口、目的端口）过滤。 支持通过地理位置、域名、域名组、黑/白名单过滤。 支持入侵防御系统（IPS）、病毒防御（AV）功能。 支持三元组（即协议、端口和对端地址）过滤。 支持五元组（即源IP地址、目的IP地址、协议、源端口、目的端口）过滤。

本节介绍漏洞扫描服务主要的应用场景。 Web漏洞扫描应用场景 网站的漏洞与弱点易于被黑客利用，形成攻击，带来不良影响，造成经济损失。 常规漏洞扫描 丰富的漏洞规则库，可针对各种类型的网站进行全面深入的漏洞扫描，提供专业全面的扫描报告。 最新紧急漏洞扫描 针对最新紧急爆发的CVE漏洞，安全专家第一时间分析漏洞、更新规则，提供快速专业的CVE漏洞扫描。 主机漏洞扫描应用场景 运行重要业务的主机可能存在漏洞、配置不合规等安全风险。 支持深入扫描 通过配置验证信息，可连接到服务器进行OS检测，进行多维度的漏洞、配置检测。 支持内网扫描 可以通过跳板机方式访问业务所在的服务器，适配不同企业网络管理场景。 弱密码扫描应用场景 主机或中间件等资产一般使用密码进行远程登录，攻击者通常使用扫描技术来探测其用户名和弱口令。 多场景可用 支持操作系统(RDP协议、SSH协议)、数据库（如Mysql、Redis）等常见中间件服务的弱口令检测。 丰富的弱密码库 丰富的弱密码匹配库，模拟黑客对各场景进行弱口令探测。 中间件扫描应用场景 中间件可帮助用户灵活、高效地开发和集成复杂的应用软件，一旦被黑客发现漏洞并利用，将影响上下层安全。 丰富的扫描场景 支持主流Web容器、前台开发框架、后台微服务技术栈的版本漏洞和配置合规扫描。 多扫描方式可选 支持通过标准包或者自定义安装等多种方式识别服务器的中间件及其版本，全方位发现服务器的漏洞风险。

本节介绍了:节点资源预留策略的用户指南。 云容器引擎需要占用一定的节点资源来运行相关组件（例如kubelet、kubeproxy、calico、Container Runtime等），从而使节点作为集群的一部分来运行。这会造成节点的资源总数与容器集群中可分配的资源数之间存在差异。本文介绍容器的节点资源预留策略、相关注意事项，以便在部署应用时合理设置Pod的请求资源量和限制资源量。 查询节点可分配资源 执行以下命令，查看节点的资源总量和可分配资源。 plaintext kubectl describe node [NODENAME] grep Allocatable B 7 A 6 预期输出： plaintext Capacity: cpu: 4 节点的CPU总核数。 ephemeralstorage: 123722704Ki 节点的临时存储总量，单位KiB。 hugepages1Gi: 0 hugepages2Mi: 0 memory: 7925980Ki 节点的内存总量，单位KiB。 pods: 64 Allocatable: cpu: 3900m 节点可分配的CPU核数。 ephemeralstorage: 114022843818 节点可分配的临时存储，单位KiB。 hugepages1Gi: 0 hugepages2Mi: 0 memory: 5824732Ki 节点可分配的内存，单位KiB。 pods: 64 计算节点可分配资源 可分配资源的计算公式：可分配资源（Allocatable） 总资源（Capacity）预留资源（Reserved）驱逐阈值（EvictionThreshold）

名称 描述 ContentLength 响应体的长度。只有客户端携带Expect: 102processing请求头，才会返回该响应头。 CopyObjectResult 包含所有返回元素的容器。 类型：容器。 子节点：LastModified、Etag。 LastModified 返回文件最后一次修改的日期。 类型：字符串。 父节点：CopyObjectResult。 ETag 返回新文件的ETag。ETag只反映文件内容发生了改变，元数据未改变。 类型：字符串。 父节点：CopyObjectResult。

本节主要介绍CSE仪表盘中数据通过ServiceStage对接到AOM 业务场景 部署到微服务引擎的Java Chassis应用，在微服务引擎仪表盘上的实时监控数据默认保留5分钟。如果需要持久化存储历史监控数据用于后续查询分析，可以使用ServiceStage的自定义指标监控功能，将微服务显示到微服务引擎仪表盘中的数据对接到AOM。 本章节以Docker部署应用为例，指导您完成将微服务引擎仪表盘中的数据通过ServiceStage对接到AOM。 操作步骤 1、添加依赖。 在开发环境中，打开需要持久化存储历史监控数据的应用项目，在微服务pom文件中添加如下依赖： org.apache.servicecomb metricscore org.apache.servicecomb metricsprometheus 2、发将添加依赖后的应用项目重新编译打包并上传。 将重新打包制作的容器镜像上传至SWR软件仓库。 3、部署应用组件。 新部署组件，请执行步骤4。 已部署组件，请执行步骤5。 4、在组件部署过程中的“组件配置”界面，选择“高级设置 > 运维监控 > 自定义指标监控”，填写下列参数： 参数名称 参数值 上报路径 /metrics 上报端口 9696 组件部署成功后，执行步骤7。 5、更新已部署组件来源，选择步骤2中打包并上传SWR的容器镜像。 6、对接监控指标到AOM。 1. 登录ServiceStage控制台，选择“应用管理 > 应用列表”。 2. 单击组件所在应用名称，进入应用“概览”页。 3. 在“环境视图”页签，选择部署了组件的“环境”。 4. 单击组件名称，进入组件实例“概览”页。 5. 单击“更新升级”。 6. 选择“高级设置 > 运维监控 > 自定义指标监控”，填写下表参数： 参数名称 参数值 上报路径 /metrics 上报端口 9696 7. 单击“重新部署”，等待组件重新部署成功。 7、在AOM中查看监控指标并导出监控数据。

灰度规则 内容灰度参数名称 内容灰度参数含义 协议类型 Spring Cloud：需要设置path。 Dubbo：需要选择服务和方法。 条件模式 选择同时满足下列条件或满足下列任一条件。 条件列表 Spring Cloud：可根据Cookie、Header或Parameter类型设置具体的参数。 Dubbo：根据应用实际的参数、参数值获取表达式设置。 流量灰度参数名称 流量灰度参数含义 流量比例 流量会按配置的比例被转发到当前的灰度版本的实例。 泳道灰度参数名称 泳道灰度参数含义 泳道名称 自定义泳道灰度策略名称。 泳道组 选择已创建的泳道组。 泳道 选择已创建的泳道。 设置完以上内容后，点击右下角发布按钮，进入到发布单详情界面。等待发布单完成初始化后再点击发布按钮进行应用发布。应用开始发布后，可点击应用实例发布单，查看应用发布具体信息。 发布单执行完成后，可到应用实例详情页面查看应用是否发布成功。 左侧导航栏，选择容器应用实例 > 应用发布 > 应用实例。在应用实例列表点击发布的应用实例，进入应用实例详情页面，通过点击事件和日志按钮，查看应用事件和日志。确认应用是否正常启动。

本节介绍了常见问题:镜像安全相关问题。 如何扫描所有镜像 目前支持扫描单个版本的容器镜像。

本节介绍了安全管理角色的用户指南。 操作场景 基于角色（Role）的访问控制（RBAC）是一种基于组织中用户的角色来调节控制对计算机或网络资源的访问的方法。 RBAC 的 Role 或 ClusterRole 中包含一组代表相关权限的规则。 这些权限是纯粹累加的（不存在拒绝某操作的规则）。 Role 总是用来在某个名字空间内设置访问权限； 在你创建 Role 时，你必须指定该 Role 所属的名字空间。与之相对，ClusterRole 则是一个集群作用域的资源。这两种资源的名字不同（Role 和 ClusterRole）是因为 Kubernetes 对象要么是名字空间作用域的，要么是集群作用域的，不可两者兼具。 前提条件 已创建云容器引擎集群，具体操作请参见创建一个集群。若已有容器集群，无需重复操作。 操作步骤 创建Role或Cluster Role 1. 登陆云容器引擎控制台， 点击左侧导航栏中的集群，进入集群列表页。 2. 在集群列表中点击需要创建Role的集群，进入集群管理页面。 3. 在集群管理页面导航栏中选择安全管理 > 角色，进入角色信息页面。 4. 在上⽅选项卡中选择Role或Cluster Role创建对应的角色，本文以Cluster Role为例。 5. 点击创建进入创建YAML页面，Yaml编辑窗口提供⼀个默认的Cluster Role Yaml模板，可参考模板创建需要的Cluster Role。