使用保密字典设置Pod的环境变量 1. 通过命令行进行配置。 创建example.yaml配置文件，具体示例内容如下： YAML apiVersion: apps/v1 kind: Deployment metadata: name: nginxdeployment labels: app: nginx spec: replicas: 1 selector: matchLabels: app: nginx template: metadata: labels: app: nginx spec: containers: name: nginx image: registryhuadong1.crsinternal.ctyun.cn/opensource/nginx:1.26alpineslim ports: containerPort: 80 env: name: username valueFrom: secretKeyRef: name: secretdemo key: username name: password valueFrom: secretKeyRef: name: secretdemo key: password 执行以下命令，配置保密字典。 PowerShell kubectl apply f example.yaml 在上述示例中，我们定义了一个Pod，并在其中添加了一个名为mycontainer 容器，接着为其定义了两个环境变量username和password，并使用valueFrom和secretKeyRef来引用Secret中的值。secretKeyRef的name属性用于指定Secret 的名称，key属性用于指定需要使用的Secret 中对应的键名。通过上述方式，在容器中就可以使用username和paasword环境变量，来获取Secret 中的用户名和密码信息。 2. 通过控制台进行配置。 1. 登录云容器引擎控制台。 2. 在控制台的左侧导航栏中点击“集群” 。 3. 在集群列表页面中，点击目标集群的名称进入集群详情页面。 4. 点击左侧导航栏中的“工作负载” ，并选择“无状态” 。 5. 在无状态页面中，单击左上角的“创建deployment” 。详细操作步骤请参阅Serverless 容器引擎使用快速入门 。 6. 在“数据卷（选填）”中添加目标保密字典的数据卷。 7. 在实例内容器中的环境变量区域单击“新增变量” ，类型选择“秘钥键值导入”，变量/变量引用选择在创建保密字典中新建的Secret，再分别选择Secret的Key以及填写它们对应的变量名。 本次示例配置如下所示：

本文为您介绍如何使用Nginx镜像创建ECI实例。 前提条件 请确保您已完成以下准备工作： 已开通弹性容器实例服务。 已在开通地域创建虚拟私有云、创建子网、创建安全组等。 操作步骤 下文开始介绍创建ECI实例的主要步骤： 1. 在弹性容器实例控制台左侧导航栏中选择“容器组”，进入容器组列表页。 2. 点击“创建弹性容器组”，进入弹性容器实例订购页。 3. 设置容器实例信息。 1. 配置实例名称，当打开订购页面时系统会随机生成一个以“eci”开头的名称，您也可按需自定义实例名称。名称由数字、小写字母、和''组成。 2. 计费模式仅支持“按需计费”。 3. 选择虚拟私有云、实例所在子网、安全组。如果当前地域未创建相关资源，支持跳转到对应产品控制台完成创建。 4. 配置容器组。 1. 支持基础模式和指定规格两种创建方式。选择具体创建模式后，首先您需要选择部署模式，并选择对应的可用区。接下来需要为容器组设置CPU和内存大小，重启策略，以及购买数量。最后，容器组支持多项高级设置，包括存储(配置项、临时目录、云硬盘、弹性文件、对象存储)，临时存储，镜像缓存，及日志服务等。 5. 配置容器。 1. 容器组支持配置多个容器，点击“+添加容器”可以新增配置。 2. 配置容器名称。 3. 配置容器镜像。如果没有镜像，支持跳转到容器镜像实例CRS创建镜像仓库，用于私有镜像管理。 4. 配置容器镜像版本。 5. 配置镜像拉取策略。支持“总是拉取”和“按需拉取”两种方式。 6. 配置启动命令。 7. 配置容器工作目录。 8. 支持开启高级设置。您可按需配置容器CPU、内存，环境变量，端口和协议，存储，健康检查，生命周期等信息。 说明 容器组内所有容器的CPU总和不得超过为容器组设置的CPU，容器组内所有容器组的内存总和不得超过为容器组设置的内存。 6. 点击“下一步”进入其他设置(选填)。 1. 配置EIP，按需选择自动创建还是使用已有。 2. 配置镜像访问凭证，若您容器里选的镜像是私有的（非天翼云容器镜像服务的镜像），请输入所选镜像的仓库地址、用户名、密码，以便ECI用来拉取镜像，支持添加多个凭证。 3. 标签，标签由区分大小写的键值对组成。例如，用户可以添加一个键为“Group”且值为“Web”的标签，最多可添加20个标签。 7. 点击“确认订单”，进入订单确认页面。勾选“我已阅读、理解并接受《天翼云弹性容器实例服务协议》《天翼云弹性容器实例服务等级协议》”，点击“提交订单”完成订购。 8. 进入弹性容器实例控制台容器组列表页，即可查看创建的ECI实例。

本文介绍如何使用Nginx镜像创建实例。 前提条件 请确保您已完成以下准备工作： 已开通弹性容器实例服务。 已在开通地域创建虚拟私有云、创建子网、创建安全组等。 操作步骤 下文开始介绍创建ECI实例的主要步骤： 1. 在弹性容器实例控制台左侧导航栏中选择“容器组”，进入容器组列表页。 2. 点击“创建弹性容器组”，进入弹性容器实例订购页。 3. 设置容器实例信息。 1. 配置实例名称，当打开订购页面时系统会随机生成一个以“eci”开头的名称，您也可按需自定义实例名称。名称由数字、小写字母、和''组成。 2. 计费模式仅支持“按需计费”。 3. 选择虚拟私有云、实例所在子网、安全组。如果当前地域未创建相关资源，支持跳转到对应产品控制台完成创建。 4. 配置容器组。 1. 支持基础模式和指定规格两种创建方式。选择具体创建模式后，首先您需要选择部署模式，并选择对应的可用区。接下来需要为容器组设置CPU和内存大小，重启策略，以及购买数量。最后，容器组支持多项高级设置，包括存储(配置项、临时目录、云硬盘、弹性文件、对象存储)，临时存储，镜像缓存，及日志服务等。 5. 配置容器。 1. 容器组支持配置多个容器，点击“+添加容器”可以新增配置。 2. 配置容器名称。 3. 配置容器镜像。如果没有镜像，支持跳转到容器镜像实例CRS创建镜像仓库，用于私有镜像管理。 4. 配置容器镜像版本。 5. 配置镜像拉取策略。支持“总是拉取”和“按需拉取”两种方式。 6. 配置启动命令。 7. 配置容器工作目录。 8. 支持开启高级设置。您可按需配置容器CPU、内存，环境变量，端口和协议，存储，健康检查，生命周期等信息。 说明 容器组内所有容器的CPU总和不得超过为容器组设置的CPU，容器组内所有容器组的内存总和不得超过为容器组设置的内存。 6. 点击“下一步”进入其他设置(选填)。 1. 配置EIP，按需选择自动创建还是使用已有。 2. 配置镜像访问凭证，若您容器里选的镜像是私有的（非天翼云容器镜像服务的镜像），请输入所选镜像的仓库地址、用户名、密码，以便ECI用来拉取镜像，支持添加多个凭证。 3. 标签，标签由区分大小写的键值对组成。例如，用户可以添加一个键为“Group”且值为“Web”的标签，最多可添加20个标签。 7. 点击“确认订单”，进入订单确认页面。勾选“我已阅读、理解并接受《天翼云弹性容器实例服务协议》《天翼云弹性容器实例服务等级协议》”，点击“提交订单”完成订购。 8. 进入弹性容器实例控制台容器组列表页，即可查看创建的ECI实例。

本章节介绍微服务云应用平台应用场景 容器托管解决方案 支持以容器的形式托管应用，无缝对接云容器引擎，您无需理解容器服务底层细节，可以通过控制台发布容器服务，并完成应用在容器里的全生命周期管理，包括发布、回滚、监控，服务启停，扩缩容等，有效降低运维人力成本。 微服务解决方案 兼容SpringCloud、Dubbo等微服务框架，0代码侵入就能完成 Dubbo 和Spring Cloud 应用上云，提供应用无损上下线、金丝雀发布，以及流量控制等多种服务治理特性，让企业构建微服务应用时更多的关注业务本身。

本章节为您介绍容器审计的相关内容。 容器审计概述 什么是容器审计？ 容器审计功能支持对容器集群中的各种操作和活动进行监控和记录，可帮助用户洞察容器生命周期的各个阶段，包括创建、启动、停止和销毁等。用户通过审计和分析，可以及时发现并处理安全问题，从而确保容器集群的安全性、稳定性。 支持的审计类型 集群容器：K8s审计日志、K8s事件、容器日志、容器运行指令。 非集群容器：容器日志、容器运行指令。 SWR镜像仓：镜像仓日志。 应用场景 容器环境异常事件排查分析：当容器环境出现异常操作或活动时，可通过容器审计日志定位异常事件发生时间和行动轨迹，从而总结出解决办法。 约束与限制 集群容器或非集群容器已开启容器版防护。 使用说明 完全启用容器审计功能，需满足以下条件： 1. 集群容器或非集群容器已接入HSS并开启容器版防护。 2. 完成部分审计类型的审计前提操作，具体如下表所示。 对象 审计类型 审计前提 云CCE集群 K8s审计日志 在CCE管理控制台开启“kubernetes事件”、“kubernetes审计日志”、“容器日志”采集。 云CCE集群 K8s审计事件 在CCE管理控制台开启“kubernetes事件”、“kubernetes审计日志”、“容器日志”采集。 云CCE集群 容器日志 在CCE管理控制台开启“kubernetes事件”、“kubernetes审计日志”、“容器日志”采集。 SWR私有镜像仓库 镜像仓日志审计 您使用了容器镜像服务SWR，并授予了HSS云审计服务的操作权限（CTSOperatePolicy）。 启用容器审计后，集群内的各类操作和活动日志将记录在HSS控制台，供您查看。

deploy命令将YAML文件描述的函数资源部署到函数计算。 参数解析 无。 操作案例 进入到资源描述文件（s.yaml）所在的路径，然后执行如下命令部署资源： shell s deploy s.yaml文件示例： plaintext edition: 3.0.0 name: hellodevsapp access: default vars: region: "bb9fdb42056f11eda1610242ac110002" resources: myfunc: component: faascf 组件，提供具体的业务能力。faascf 组件提供了对天翼云Serverless函数的管理能力 props: region: ${vars.region} 部署的资源池ID，请参考： functionName: helloworld 函数名称 code: ./code 函数代码目录 createType: 1 函数类型：标准函数（1）、自定义函数（2）、容器函数（3） runtime: 函数运行配置 handleType: event 处理事件请求（event）、处理HTTP请求（http） handler: index.handler 请求处理程序 runtime: python3.10 运行环境 executeTimeout: 64 执行超时时间 instanceConcurrency: 1 实例并发度 container: 运行容器配置 memorySize: 512 内存规格，单位：MB cpu: 0.5 vCPU规格，单位vCPU diskSize: 512 临时硬盘大小，单位：MB timeZone: UTC 时区，例如：UTC, Asia/Shanghai 执行完成输出示例： plaintext functionId: 39061695070521915 code: ossBucketName: ossObjectName: function/ snapshotOssObjectName: zipFile: container: image: faas/python3.10runtime:v1.3.1 timeZone: UTC memorySize: 512 cpu: 0.5 diskSize: 512 runCommand: Li9ib290c3RyYXAuc2g listenPort: 8080 codeDirPath: /code logLevel: sysLogLevel: INFO maxScale: null minScale: null fastStart: 0 functionName: helloworld ...

开放兼容 ●云容器引擎在Docker技术的基础上，为容器化的应用提供部署运行、资源调度、服务发现和动态伸缩等一系列完整功能，提高了大规模容器集群管理的便捷性。 ●云容器引擎基于业界主流的Kubernetes实现，完全兼容Kubernetes/Docker社区原生版本，与社区版本保持同步，完全兼容Kubernetes API和Kubectl。 云容器引擎对比自建Kubernetes集群 对比项 自建Kubernetes集群 云容器引擎 易用性 自建Kubernetes集群管理基础设施通常涉及安装、操作、扩展自己的集群管理软件、配置管理系统和监控解决方案，管理复杂。每次升级集群的过程都是巨大的调整，带来繁重的运维负担。 简化集群管理，简单易用 借助云容器引擎，您可以一键创建和升级Kubernetes容器集群，无需自行搭建Docker和Kubernetes集群。您可以通过云容器引擎自动化部署和一站式运维容器应用，使得应用的整个生命周期都在容器服务内高效完成。 您可以通过云容器引擎轻松使用深度集成的Helm标准模板，真正实现开箱即用。 您只需启动容器集群，并指定想要运行的任务，云容器引擎帮您完成所有的集群管理工作，让您可以集中精力开发容器化的应用程序。 可扩展性 自建Kubernetes集群需要根据业务流量情况和健康情况人工确定容器服务的部署，可扩展性差。 灵活集群托管，轻松实现扩缩容 云容器引擎可以根据资源使用情况轻松实现集群节点和工作负载的自动扩容和缩容，并可以自由组合多种弹性策略，以应对业务高峰期的突发流量浪涌。 可靠性 自建Kubernetes集群操作系统可能存在安全漏洞和配置错误，这可能导致未经授权的访问、数据泄露等安全问题。 企业级的安全可靠 云容器引擎提供容器优化的各类型操作系统镜像，在原生Kubernetes集群和运行时版本基础上提供额外的稳定测试和安全加固，减少管理成本和风险，并提高应用程序的可靠性和安全性。 高效性 自建Kubernetes集群需要自行搭建镜像仓库或使用第三方镜像仓库，镜像拉取方式多采用串行传输，效率低。 镜像快速部署 云容器引擎配合容器镜像服务，镜像拉取方式采用并行传输，确保高并发场景下能获得更快的下载速度，大幅提升容器交付效率。

本文主要介绍云日志服务如何接入云容器引擎文本日志。 本文将介绍如何在云日志服务控制台配置云容器引擎的日志接入与采集规则配置。 使用场景 云容器引擎业务日志采集功能是为用户提供的天翼云云容器引擎集群内的业务日志采集工具，可以将集群内的业务日志采集至云日志服务中进行统一存储。 日志采集功能需要为云容器引擎集群安装日志采集ctglogoperator插件并配置采集规则。采集插件安装后，日志采集器将会在集群内以 DaemonSet 的形式运行，并根据用户在云日志服务控制台配置的采集规则（包括采集源、日志单元和日志切割方式等），从采集源进行日志采集。 前提条件 已创建日志项目与日志单元，详情请参考创建日志项目与日志单元。 已创建天翼云云容器引擎。 应用日志接入步骤 1. 登录云日志服务控制台。 2. 左侧点击【日志接入】菜单，进入日志接入页面。选择“云容器引擎应用日志”进行容器接入配置。 3. 选择日志单元。 1. 点击“所属日志项目”后的目标框，在下拉列表中选择具体的日志项目，若没有所需的日志项目，点击“所属日志项目”目标框后的“新建”，在弹出的创建日志项目页面创建新的日志项目。 2. 点击“所属日志单元”后的目标框，在下拉列表中选择具体的日志单元，若没有所需的日志单元，点击“所属日志单元”目标框后的“新建”，在弹出的创建日志单元页面创建新的日志单元。 3. 单击“云容器引擎集群”后的目标框，在下拉列表中选择具体的集群。 4. 点击下一步。 4. 检查依赖项。 系统将自动检查以下检查项是否符合要求，若检测不通过，请根据页面指引进行修复。 1. 云容器引擎需要处于正常运行状态。 2. 云容器引擎已安装ctglogoperator插件且插件版本满足要求。 3. 存在名为“ccsegroup集群ID”的主机组。 4. 云容器引擎所在的VPC已创建云日志服务终端节点。 5. 配置采集规则。 对日志采集设置具体的采集规则。具体请参考[采集配置](

本文介绍如何设置应用访问策略。 在实际环境中，对服务的访问会有两种来源：集群内部的程序、集群外部。云容器引擎提供ClusterIP和Nodeport两种访问方式。 操作步骤 1.进入应用创建流程中的【添加服务】步骤>点击【添加服务】，填写相应的配置参数，配置服务参数说明如下： 参数 参数说明 服务名称 新建服务的名称 服务协议簇 分为IPv4与IPv6两种类型的服务协议簇 访问方式 “集群内访问 ( ClusterIP )”、“节点访问（Nodeport）” 协议 TCP/UDP 容器端口 容器中应用启动监听的端口 访问端口 映射到容器的应用端口 NodePort 节点上 2.单击【确认】，完成服务的创建。

操作场景 客户端上传镜像，是指在安装了容器引擎客户端的机器上使用docker命令将镜像上传到容器镜像服务的镜像仓库。 如果容器引擎客户端机器为云上的ECS或CCE节点，根据机器所在区域有两种网络链路可以选择： 若机器与容器镜像仓库在同一区域，则上传镜像走内网链路。 若机器与容器镜像仓库不在同一区域，则上传镜像走公网链路，机器需要绑定弹性公网IP。 约束与限制 使用客户端上传镜像，镜像的每个layer大小不能超过10G。 上传镜像的容器引擎客户端版本必须为1.11.2及以上。 前提条件 已创建组织，请参见创建组织。 操作步骤 步骤 1 制作容器镜像或导入镜像文件。 步骤 2 连接容器镜像服务。 登录容器镜像服务控制台。 选择左侧导航栏的“总览”，单击页面右上角的“登录指令”，在弹出的页面中单击复制登录指令。 图 登录指令 说明 l 此处生成的登录指令有效期为24小时，若需要长期有效的登录指令，请参见

本节介绍了容器镜像服务: 构建和推送多架构镜像到容器镜像服务。 操作场景 多架构镜像是指在同一个镜像仓库中包含了多个不同架构的镜像，以满足不同架构的硬件平台的需求。 当容器运行时拉取多架构镜像时，可以自动选择适配当前操作系统架构的镜像，从而提高部署效率。 本文介绍如何构建多架构镜像并推送到容器镜像服务。 前提条件 已开通容器镜像服务企业版实例，参考：开通企业版实例 本地已安装Docker客户端 操作步骤 通过Dockerfile构建多架构镜像 1. 本节以Go项目为例，构建如下Dockerfile文件 : plaintext ARG GOLANGIMAGE"golang:1.19.3" ARG BASEIMAGE"alpine:3.16.5" ARG TAG1.0.0 FROM ${GOLANGIMAGE} as buildcache WORKDIR /build COPY . ./ RUN CGOENABLED0 GOOSlinux go build ldflags "X myapp/version.Version${TAG}" o myapp . FROM ${BASEIMAGE} COPY frombuildcache /build/myapp / WORKDIR / ENTRYPOINT ["./myapp"] 2. 登录容器镜像服务企业版实例。 plaintext docker login –username 3. 使用 docker buildx命令构建并推送多架构镜像到容器镜像服务企业版实例。 plaintext docker buildx build . t / / : platform linux/amd64,linux/arm64 push

场景痛点 企业人员众多且分散各地，访问便利性和数据安全需着重考虑。 业务增长过程中，数据量和日志量不断增长，要求可扩展的存储空间。 建议搭配产品及架构 弹性云主机、云监控 产品优势 多协议支持：提供标准的NFS和CIFS访问协议，支持主流系统挂载，便于访问。 安全可信：基于VPC认证保证数据隔离，支持权限管理，保护数据安全。 按需扩展：需弹性扩展，性能线性增长，满足企业规模增长带来的容量和性能诉求。 场景三：Web应用 场景说明 高性能网站需要将服务组成集群，将代码文件、配置文件或图片等业务数据放在NAS存储上共享访问，通过多级Cache等技术，在海量小文件场景下，满足高并发、低时延的存储需求。 场景痛点 业务操作连续性高，加载缓慢将影响处理效率。 大量访问时，加载缓慢、卡顿。 建议搭配产品及架构 弹性负载均衡、弹性云主机、Serverless云容器 产品优势 超高性能：单文件系统支持10亿+文件，访问时延低至1~3ms。 超高并发：能处理突发的高峰流量，有效解决网站动态数据加载慢和业务卡顿问题。

本文主要介绍参考知识类问题。 一、 如何使容器重启后所在容器IP仍保持不变？ 单节点场景 如果集群下仅有1个节点时，要使容器重启后所在容器IP保持不变，需在工作负载中配置主机网络，在工作负载的yaml中的spec.spec.下加入hostNetwork: true字段。 多节点场景 如果集群下有多个节点时，除进行以上操作外，还需要设置节点的亲和策略，但工作负载创建后实例运行数不得超过亲和的节点数。 完成效果 进行如上设置并在工作负载运行后，工作负载实例ip与节点ip将保持一致，重启工作负载后ip也将保持不变。 二、云容器引擎CCE和微服务引擎的区别是什么？ 对于使用者而言，云容器引擎关注的重点是pod的部署，微服务引擎关注的是服务的使用。 对于技术实现来看，微服务引擎是对云容器引擎的再一次封装。 基础概念 云容器引擎（CCE） 云容器引擎（Cloud Container Engine，简称CCE）提供高度可扩展的、高性能的企业级Kubernetes集群，支持运行Docker容器，提供了Kubernetes集群管理、容器应用全生命周期管理、应用服务网格、Helm应用模板、插件管理、应用调度、监控与运维等容器全栈能力，为您提供一站式容器平台服务。借助云容器引擎，您可以在天翼云上轻松部署、管理和扩展容器化应用程序。 应用管理与运维平台（ServiceStage） ServiceStage应用管理与运维平台是一个应用托管和微服务管理平台，可以帮助企业简化部署、监控、运维和治理等应用生命周期管理工作。ServiceStage面向企业提供微服务、移动和Web类应用开发的全栈解决方案，帮助您的各类应用轻松上云，聚焦业务创新，帮助企业数字化快速转型

二、 工作负载网络异常时，如何定位排查？ 排查思路 以下排查思路根据原因的出现概率进行排序，建议您从高频率原因往低频率原因排查，从而帮助您快速找到问题的原因。 如果解决完某个可能原因仍未解决问题，请继续排查其他可能原因。 排查项一：容器+容器端口 排查项二：节点IP+节点端口 排查项三：负载均衡IP+端口 排查项四：NAT网关+端口 排查项五：检查容器所在节点安全组是否放通 排查项一：容器+容器端口 在CCE控制台界面或者使用kubectl命令查找pod的IP，然后登录到集群内的节点或容器中，使用curl命令等方法手动调用接口，查看结果是否符合预期。 如果容器IP+端口不能访问，建议登录到业务容器内使用“127.0.0.1+端口”进行排查。 常见问题： 1. 容器端口配置错误（容器内未监听访问端口）。 2. URL不存在（容器内无相关路径）。 3. 服务异常（容器内的业务BUG）。 排查项二：节点IP+节点端口 只有发布为节点访问（NodePort）或负载均衡（LoadBalancer ）的服务才能通过节点IP+节点端口进行访问。 节点访问（NodePort）类型： 节点的访问端口就是节点对外发布的端口。 负载均衡（LoadBalancer ）类型： 负载均衡的节点端口通过“编辑YAML”可以查看。 如下图所示： nodePort: 30637 为节点对外暴露的端口。targetPort: 80 为Pod对外暴露的端口。port: 123为服务对外暴露的端口，负载均衡类型的服务同时使用该端口配置ELB的监听器。 找到节点端口（nodePort）后，使用容器所在节点的IP地址+端口进行访问，并查看结果是否符合预期。 常见问题： 1. 节点的入方向对业务端口未放通。 2. 节点配置了自定义路由，并且配置错误。 3. pod的label与service的label不匹配（kubectl或API创建）。

核心功能 我们提供易上手的开发者工具，丰富的编程语言生态，符合W3C标准的Service Worker API、Streams API、Web Crypto。 从而帮助企业网站在边缘节点上完成自定义鉴权、访问控制、内容改写、内容生成以及AB测试。 对比传统CDN处理流程，开发者平台在边缘节点直接处理客户的动态请求，大大减少回源次数，分担中心源站的计算压力。 相关术语 无服务器 Serverless 无服务器是一种云原生开发模型，可使开发人员专注构建和运行应用，而无需管理服务器。无服务器方案中仍然有服务器，但它们已从应用开发中抽离出来。云提供商负责置备、维护和扩展服务器基础架构等例行工作。开发人员可以简单地将代码打包到容器中进行部署。部署之后，无服务器应用即可响应需求，并根据需要自动扩容。公共云提供商的无服务器产品通常通过一种事件驱动执行模型来按需计量。因此，当无服务器功能闲置时，不会产生费用。 函数即服务 FaaS 函数即服务（FaaS：Function as a service）是一种事件驱动计算执行模型。开发人员编写代码逻辑，部署到完全由平台管理的函数运行时中，然后按需执行。与BaaS不同，FaaS可让开发人员拥有更大的掌控权力，他们可以创建自定义应用，而不依赖于包含预编写服务的库。 代码则部署到CDN加速平台管理的容器运行时中。具体而言，这些函数运行时具有以下特点： 无状态 让数据集成变得更加简单。 运行周期短 可以只运行非常短的时间。 事件触发 可在需要时自动运行。 这样，您只用为所需的计算能力付费，而不必管"闲置"的应用和服务器。 使用FaaS时，开发人员可以通过触发器调用无服务器应用。 触发器 用户绑定触发器和对应函数，来实现多种调用效果。目前支持HTTP触发器。 HTTP 路由 用户绑定HTTP触发器和对应函数后，访问CDN加速服务中托管域名的特定路由，即可在边缘节点调用起对应函数计算逻辑。 运行时 用于在边缘节点运行用户自定义函数的安全隔离环境。函数运行时所支持的编程语言，目前支持JavaScript。 开发者工具 开发人员使用命令行工具，在本地完成函数编写，构建，灰度上线。

本节介绍了容器镜像服务常见问题:购买类。 什么是命名空间/项目？ 命名空间定义了属性与镜像存储空间。用户需要首先建立命名空间，才能在命名空间下建立镜像仓库，并上传镜像。 说明 旧版本将命名空间定义为项目，两者本质是一致。 容器镜像服务最多能存储多少个镜像？ 容器镜像服务对存储的对象数量没有限制，但是镜像所占用空间之和无法超过镜像所在的总空间，您可以根据需要合理安排空间的使用。 docker push将镜像推送到容器镜像服务使用的什么协议？ docker push将镜像推送到容器镜像服务使用的是HTTPS协议。HTTPS是一种安全超文本传输协议，通过计算机网络进行安全通信的传输协议，HTTPS 利用 SSL/TLS 来加密数据包，提供身份认证、保护交换数据的隐私与完整性。

本节介绍了自定义域名的用户指南。 概述 容器镜像服务支持用户使用自定义域名（HTTPS）访问企业版实例。 前提条件 已开通容器镜像服务企业版实例 通过备案的域名 具备SSL证书 创建自定义域名 1. 进入容器镜像服务控制台。 2. 点击已开通的企业版实例名称。 3. 点击"访问控制" "自定义域名"，点击创建自定义域名，填写域名和上传证书。 4. 创建完成后，用户还需要完成以下配置 公网域名：需要在公网DNS配置自定义域名的CNAME为用户企业版实例公网域名（容器镜像服务控制台可以查看） 内网域名：需要在内网DNS配置自定义域名的CNAME为用户企业版实例内网域名（容器镜像服务控制台可以查看） 注意 创建自定义域名后，不会立刻生效，会在5个工作日内完成配置。 更新证书 1. 进入容器镜像服务控制台。 2. 点击已开通的企业版实例名称。 3. 点击"访问控制" "自定义域名"，点击指定域名记录更新证书，上传要修改的证书。

本文介绍云容器引擎的产品定义。 云容器引擎(CTCCE，Cloud Container Engine)提供高性能可扩展的容器服务，基于云主机快速构建高可靠的容器集群，兼容 Kubernetes 及 Docker 容器生态，帮助用户轻松创建和管理多样化的容器应用，并提供容器故障自愈，状态监控，容器日志采集，自动弹性扩容等高效运维能力。

本节主要介绍产品特性。 云容器引擎提供高性能、可扩展的企业级Kubernetes集群，包括集群管理、节点管理、节点池管理、工作负载、亲和/反亲和性调度、容器网络、容器存储、插件管理、模板市场、弹性伸缩、权限管理等功能，为您提供一站式容器平台服务。 集群管理 云容器引擎CCE是一种托管的Kubernetes服务，可进一步简化基于容器的应用程序部署和管理，您可以在CCE中方便的创建Kubernetes集群、部署您的容器化应用，以及方便的管理和维护。 一站式部署和运维：使用云容器引擎，您可以一键创建Kubernetes容器集群，无需自行搭建Docker和Kubernetes集群。您可以通过云容器引擎自动化部署和一站式运维容器应用，使得应用的整个生命周期都在云容器引擎内高效完成。 支持多类型容器集群：通过云容器引擎您可以直接使用高性能的弹性云主机、物理机、GPU云主机等多种异构基础设施，您可以根据业务需要在云容器引擎中快速创建集群，并通过云容器引擎对创建的集群进行统一管理。 节点管理 节点是容器集群组成的基本元素。节点取决于业务，既可以是虚拟机，也可以是物理机。每个节点都包含运行Pod所需要的基本组件，包括 Kubelet、Kubeproxy 、Container Runtime等。在云容器引擎CCE中，主要采用高性能的弹性云主机或物理机作为节点来构建高可用的Kubernetes集群。

容器信息 容器信息Pod中可以配置多个容器，您可以单击右侧“添加容器”为Pod配置多个容器。 容器名称：为容器命名。 镜像更新策略：选择是否总是拉取镜像。 镜像名称：选择容器使用的镜像，支持多种镜像来源。 镜像版本：选择需要部署的镜像版本。 资源配额：配置 CPU 和内存的申请值和限制值。 初始化容器：选择是否作为初始化容器。 生命周期：配置容器生命周期的特定操作。 健康检查：设置存活探针、就绪探针及启动探针。 环境变量：设置容器运行环境的变量。 数据存储：挂载本地存储或云存储。 安全设置：对容器权限进行设置，保护系统和其他容器不受其影响。请输入用户ID，容器将以当前用户权限运行。 特权容器：选择是否启用特权容器。 镜像访问凭证：选择访问镜像仓库的凭证。 服务配置 服务（Service）是用来解决Pod访问问题的。每个Service有一个固定IP地址，Service将访问流量转发给Pod，而且Service可以给这些Pod做负载均衡。您也可以在创建完工作负载之后再创建Service，Service的概念和使用方法请参见Service概述。 高级配置 设置升级策略、调度策略、标签与注解、DNS 配置、性能管理配置、网络配置等。单击右下角“创建工作负载”完成创建。

本节介绍了云容器引擎的续费、到期与欠费说明。 到期前续费 手动续订：对于包年/包月订购的云容器引擎，用户在资源到期前进行续费操作，可以延长原有资源到期时间，避免资源到期后冻结或超过保留期后被系统回收。详细操作请参考费用中心续订管理手动续订。 自动续订：自动续订仅针对采用包月、包年计费模式的资源，详细操作请参考费用中心续订管理自动续订。 到期处理 到期后，云容器引擎进入保留期，您将不能正常访问及使用天翼云云容器引擎。 若您在到期后15天内续费，自资源续订解冻开始，计算新的服务有效期，按照新的服务有效期计算费用； 若到期15天后您仍未续费，云容器引擎将被删除 欠费原因 在按需计费的模式下帐号的余额不足。 欠费停服说明 欠费后云容器引擎会自动停止。 如果您在15天内充值补足欠款，服务会自动启用。 当欠费超过15天，将视为您主动放弃该服务，云容器引擎将会被销毁，销毁后数据不可恢复。因此请您及时关注账户余额并及时续费以保证您的服务不受到影响。

本节介绍了设置容器健康检查的用户指南。 健康检查是一项关键功能，它允许系统根据预设标准定期检查容器的运行状态。若未配置健康检查，即使容器内部的应用程序发生故障，Pod也可能无法察觉，从而导致服务中断，尽管Pod的状态仍显示为正常。 Kubernetes提供了三种类型的健康检查探针，以应对不同的监控需求： 存活探针（livenessProbe）：类似于执行系统级的进程检查（如ps命令），用于确定容器是否仍在正常运行。若存活检查失败，Kubernetes将重启该容器。 就绪探针（readinessProbe）：用于评估容器是否已准备好接收流量。对于启动时间较长或依赖外部服务的容器，此探针尤为重要。若就绪检查失败，Kubernetes将阻止流量流向该容器。 启动探针（startupProbe）：在容器启动阶段使用，以确保在存活和就绪检查之前，应用程序有足够的时间完成初始化。这有助于避免因启动缓慢而导致的误判重启。 检查机制 HTTP请求检查：适用于提供HTTP/HTTPS服务的容器。Kubernetes将定期发送GET请求至指定路径和端口，若响应码在200至399之间，则视为检查成功。 TCP端口检查：针对提供TCP服务的容器，Kubernetes将尝试建立TCP连接。若连接成功，则检查通过。 执行命令检查：用户可指定容器内的命令，Kubernetes将定期执行该命令。若命令返回0，则检查成功。 注意 执行命令时，需确保所需程序已包含在容器镜像中，且对于shell脚本，需指定脚本解析器。 GRPC检查（仅在特定版本及以上支持）：无需暴露HTTP端点或可执行文件，Kubernetes可通过GRPC连接查询应用状态。

本小节介绍容器安全切换至企业主机安全控制台。 您可将原容器安全迁移至企业主机安全控制台实现服务器负载的统一管理，同时可享受新增的功能特性。 新版&旧版功能说明 目前容器安全服务已整合至企业主机安全控制台进行统一管理，优化了既有功能的能力，同时新增了部分新功能。 功能项 CGS旧版（原CGS） CGS新版（HSS新版） 容器资产指纹管理 × √ 容器节点管理 √ √ 私有镜像管理 √ √ 本地镜像管理 √ √ 官方镜像管理 √ × 共享镜像管理 × √ 镜像漏洞检测 √ √ 镜像恶意文件检测 √ √ 镜像基线检查 √ √ 漏洞逃逸攻击 √ √ 文件逃逸攻击 √ √ 容器进程异常 √ √ 容器配置异常 √ √ 容器异常启动 √ √ 容器恶意程序 √ √ 高危系统调用 √ √ 敏感文件访问 √ √ 容器软件信息 √ √ 容器文件信息 √ √ 白名单管理 √ √ 容器策略管理 √ √

本节介绍了容器镜像仓库的用户指南。 概述 镜像仓库从属于某个命名空间。一个镜像仓库，可以有多个镜像版本。 创建镜像仓库 1. 进入容器镜像服务控制台 。 2. 点击已开通实例名称，左侧导航栏点击"容器镜像" "镜像仓库" ，点击创建仓库按钮。 3. 选择镜像仓库所属的命名空间，并填写镜像仓库的名称和摘要信息。如果把仓库类型设置为公开 ，则可以被匿名拉取，请谨慎设置。可以选择是否开启镜像加速。 查看镜像版本列表 1. 进入容器镜像服务控制台 。 2. 点击已开通实例名称，左侧导航栏点击"容器镜像" "镜像仓库"。点击需要查看的镜像仓库名称，详情页面展示的是镜像仓库的版本信息。 删除镜像版本 1. 进入容器镜像服务控制台 。 2. 点击已开通实例名称。左侧导航栏点击"容器镜像" "镜像仓库"，点击需要查看的镜像仓库名称。点击需要删除版本右侧的删除按钮，并点击确认。 更改镜像仓库属性 1. 进入容器镜像服务控制台 。 2. 点击已开通实例名称，左侧导航栏点击"容器镜像" "镜像仓库"。点击需要更改的镜像仓库右侧的编辑按钮。 3. 在弹出的对话框中修改镜像仓库的属性，目前支持更改仓库类型、开启镜像加速和摘要，点击更新完成修改。

本节介绍资源委托协议。 使用 CCE One 服务需要授予访问以下云资源的权限： 访问计算类服务 注册集群按需弹性云上资源时会关联创建云服务器，需要获取访问弹性云服务器、弹性裸金属服务器的权限。 访问存储类服务 为注册集群关联云上节点和容器挂载存储，需要获取访问云硬盘、弹性文件、对象存储等服务的权限。 访问网络类服务 为注册集群及联邦提供网络代理及服务对外暴露，需要获取访问虚拟私有云、弹性负载均衡、弹性IP、NAT网关等服务的权限。 访问容器与监控类服务 为三方注册集群下容器提供镜像拉取、监控和日志分析等功能，需要获取访问容器镜像、应用运维管理等服务的权限同意授权后，CCE One 将在统一身份认证服务为您创建名为 CtyunAssumeRoleForCCEONE 的 委托，为保证服务正常使用，在使用 CCE One 服务期间请不要删除或修改 CtyunAssumeRoleForCCEONE 委托。

本节介绍了容器镜像服务的使用企业版实例推送和拉取镜像。 前提条件 已开通企业版实例 已安装Docker或者其它容器运行时客户端 获取登录实例命令 1、进入容器镜像服务控制台 。 2、点击已开通的实例名称，左侧导航栏点击【实例管理 >访问凭证】，进入访问凭证页面。页面中可查看登录实例的命令。 3、登录用户名、密码是开通企业版实例时所填写的用户名、密码。如果忘记密码，可以点击页面中重置密码按钮来设置新密码。 创建命名空间 1、进入容器镜像服务控制台 。 2、点击已开通实例名称。左侧导航栏点击【容器镜像>命名空间】。点击页面的创建命名空间按钮。 3、填写命名空间名称，点击创建 。 创建镜像仓库 1、进入容器镜像服务控制台。 2、点击已开通实例名称，左侧导航栏点击【容器镜像>镜像仓库】 ，点击创建仓库按钮。 3、选择镜像仓库所属的命名空间，填写镜像仓库的名称，点击创建。 注意 仓库类型设置为公开，会使镜像能够被匿名拉取，请谨慎设置。

本文介绍如何提交容器生成镜像并推送至CRS。 根据业务需求，如果您想要保留修改后的环境，可以将修改过的容器环境打包成镜像，并推送到容器镜像服务CRS，以便后续可以使用。本文介绍如何通过CommitContainer和DescribeCommitContainerTask接口提交容器生成镜像并推送到CRS。 准备工作 获取账户容器镜像服务的账户凭证，操作详情请见：获取访问凭证（个人版）、获取访问凭证（企业版）。 配置说明 天翼云弹性容器实例ECI支持用户通过OpenAPI创建和查询 CommitContainer 任务，可以将ECI实例中的指定容器保存为镜像，并推送至容器镜像服务的镜像仓库中。 创建CommitContainer Task参考OpenAPI文档：创建commitcontainer任务。 查询CommitContainer Task参考OpenAPI文档：查询一个commitcontainer任务。

本文介绍分布式容器云平台的产品定义。 产品定义 分布式容器云平台是面向多云、多集群等场景推出的企业级容器云平台，支持连接并管理异构的 Kubernetes 集群，提供一致管理体验与云原生兼容接口，实现对集群、应用、数据、服务与策略的统一管控。 基本概念 在使用分布式容器云平台前，需理解该产品所涉及的概念。 术语 解释 注册集群 支持天翼云、三方云和本地IDC集群，通过注册集群实现分布式集群统一纳管和运维。 容器舰队 根据业务自定义编排容器舰队，实现多集群统一管理，包括：权限管理、应用编排、服务治理、流量分发等。 集群联邦 提供跨云、跨地域集群联邦能力，实现多集群的统一管理、应用部署、服务发现、弹性伸缩、故障迁移。

本节介绍了容器镜像服务:迁移自建Harbor至容器镜像服务企业版。 操作场景 对于使用自建Harbor存储容器镜像的用户，可以通过天翼云OOS迁移工具将镜像文件迁移至企业版镜像实例对象存储中，之后通过镜像导入将对象存储中的镜像导入到企业版实例。 前置条件 已开通容器镜像服务企业版实例 自建Harbor使用对象存储存储镜像 操作步骤 迁移镜像文件 参考对象迁移工具，将自建Harbor对象存储中的镜像文件迁移至企业版镜像仓库对象存储中。 创建对象存储镜像导入规则 1. 进入容器镜像服务控制台 。 2. 点击已开通的企业版实例名称。 3. 左侧导航栏点击【实例管理>镜像导入】 ，并点击页面中的创建导入规则按钮。 4. 填写导入规则名称，选择源实例为对象存储并选择导入内容、目标命名空间并点击确定。 创建对象存储镜像导入任务 1. 进入容器镜像服务控制台 。 2. 点击已开通的企业版实例名称。 3. 左侧导航栏点击【实例管理>镜像导入】 ，选择镜像导入规则并点击立即执行按钮。

操作场景 健康检查是指容器运行过程中，根据用户需要，定时检查容器健康状况。若不配置健康检查，如果服务出现业务异常，pod将无法感知，也不会自动重启去恢复业务。最终导致虽然pod状态显示正常，但pod中的业务异常的情况。 CCE提供了两种健康检查的探针： 工作负载存活探针：用于检测容器是否正常，类似于我们执行ps命令检查进程是否存在。如果容器的存活检查失败，集群会对该容器执行重启操作；若容器的存活检查成功则不执行任何操作。 工作负载业务探针：用于检查用户业务是否就绪，不就绪则不转发流量到当前实例。一些程序的启动时间可能很长，比如要加载磁盘数据或者要依赖外部的某个模块启动完成才能提供服务。这时候程序进程在，但是并不能对外提供服务。这种场景下该检查方式就非常有用。如果容器的就绪检查失败，集群会屏蔽请求访问该容器；若检查成功，则会开放对该容器的访问。 检查方式 HTTP 请求检查 HTTP 请求方式针对的是提供HTTP/HTTPS服务的容器，集群周期性地对该容器发起HTTP/HTTPS GET请求，如果HTTP/HTTPS response返回码属于200~399范围，则证明探测成功，否则探测失败。使用HTTP请求探测必须指定容器监听的端口和HTTP/HTTPS的请求路径。 例如：提供HTTP服务的容器，HTTP检查路径为：/healthcheck；端口为：80；主机地址可不填，默认为容器实例IP，此处以172.16.0.186为例。那么集群会周期性地对容器发起如下请求：GET TCP 端口检查 对于提供TCP通信服务的容器，集群周期性地对该容器建立TCP连接，如果连接成功，则证明探测成功，否则探测失败。选择TCP端口探测方式，必须指定容器监听的端口。 例如：我们有一个nginx容器，它的服务端口是80，我们对该容器配置了TCP端口探测，指定探测端口为80，那么集群会周期性地对该容器的80端口发起TCP连接，如果连接成功则证明检查成功，否则检查失败。 执行命令检查 命令检查是一种强大的检查方式，该方式要求用户指定一个容器内的可执行命令，集群会周期性地在容器内执行该命令，如果命令的返回结果是0则检查成功，否则检查失败。 对于上面提到的TCP端口检查和HTTP请求检查，都可以通过执行命令检查的方式来替代： − 对于TCP端口探测，我们可以写一个程序来对容器的端口进行connect，如果connect成功，脚本返回0，否则返回1。 − 对于HTTP请求探测，我们可以写一个脚本来对容器进行wget。 wget 并检查response 的返回码，如果返回码在200~399 的范围，脚本返回0，否则返回1。 须知： 必须把要执行的程序放在容器的镜像里面，否则会因找不到程序而执行失败。 如果执行的命令是一个shell脚本，由于集群在执行容器里的程序时，不在终端环境下，因此不能直接指定脚本为执行命令，需要加上脚本解决器。比如脚本是/data/scripts/healthcheck.sh ，那么我们使用执行命令检查时，指定的程序应该是sh /data/scripts/healthcheck.sh 。究其原因是集群在执行容器里的程序时，不在终端环境下。 表公共参数说明 参数 参数说明 延迟时间 延迟检查时间，单位为秒，此设置与业务程序正常启动时间相关。 例如，设置为30，表明容器启动后30秒才开始健康检查，该时间是预留给业务程序启动的时间。 超时时间 超时时间，单位为秒。 例如，设置为10，表明执行健康检查的超时等待时间为10秒，如果超过这个时间，本次健康检查就被视为失败。若设置为0或不设置，默认超时等待时间为1秒。

本节介绍了容器镜像服务的产品架构 容器镜像服务提供简单易用、安全可靠的容器镜像、Helm Chart 等符合 OCI 标准的云原生制品的托管、分发能力。

本文介绍如何通过CSI插件为CCSE容器挂载天翼云弹性文件服务作为数据卷。 基础信息 云容器引擎（简称CCSE）提供高度可扩展的、高性能的Kubernetes集群、一站式容器服务；获得信通院可信云《全栈容器云解决方案》认证，其整合了镜像、监控、日志、负载均衡、灰度/蓝绿、多种弹性策略、高效调度、集群插件、模板市场等基础能力，帮助企业快速构建和运行可弹性扩展的应用。本文介绍如何通过CSI插件为CCSE容器挂载天翼云弹性文件服务作为数据卷。 注意事项 CCSE引擎挂载弹性文件系统依赖cstorcsi插件，该插件在创建云容器引擎完成后通过插件市场进行配置。 云容器引擎和弹性文件系统须属于同一个VPC和子网下。 操作步骤 步骤一：创建云容器引擎CCSE 从天翼云官网创建一个云容器引擎CCSE，详细步骤参见云容器引擎CCSE订购集群。 步骤二：安装cstorcsi插件 1. 进入购买的CCSE集群，在“插件>插件市场”中选择“cstorcsi”插件进行安装。 2. 安装时需要在yaml文件中填入用户天翼云的AK、SK信息，并点击底部的“安装”按钮： 注意 安装过程中需提供用户AK/SK，获取方式参考