本节介绍了容器镜像服务的计费说明。 个人版实例： 免费。 企业版实例： 包年包月和按需计费，支持订购和续订。 一套企业版实例费用包括：容器镜像服务企业版实例、对象存储ZOS、VPC终端节点。 注意 对象存储ZOS：由用户到对象存储控制台开通，具体费用参考ZOS计费说明。 VPC终端节点：目前是免费。 容器镜像服务企业版实例费说明： 计费项 包年包月（元/月） 按需（元/小时） 实例费 默认15个命名空间配额，1000个仓库配额 （必选） 564 0.97 每增加5个命名空间配额 （可选） 25 0.05 每增加1000个仓库配额 （可选） 100 0.21

容器环境 容器集群一般会涉及大量数据采集，因此通常将单个容器集群定义为一个单独的监控环境。针对容器环境，Prometheus监控为天翼云容器引擎服务提供了一套自动化管理流程，可轻松部署采集探针并处理数据。 云服务环境 云服务环境主要针对常规云产品数据的采集，默认以资源池为维度创建。 主机环境 云主机的数据采集主要依赖网络传输，因此通常将一个VPC设定为一个单独的监控环境。目前主机环境监控暂未开放。

本小节介绍查看容器防护配额列表。 节点列表展示了云容器引擎服务（CCE）中集群节点的防护状态、节点状态和Agent状态，帮助您实时了解节点的安全状态。 约束限制 仅支持Linux系统。 未开启企业版、旗舰版、网页防篡改版、容器版防护不支持容器相关操作。 查看节点列表 1、登录管理控制台。 2、在弹窗界面单击“体验新版”，切换至企业主机安全页面。 注意 切换至新版后，在总览页左上角单击“返回旧版”，可切换至企业主机安全（旧版）。 3、在左侧导航栏中，选择“资产管理 > 容器管理”，单击“容器节点管理”。 4、选择“节点列表”页签，查看节点防护状态。节点列表参数说明如表所示。 节点列表参数 参数名称 说明 服务器名称 目标服务器名称。 容器防护状态 节点的防护状态，包括： 未防护 防护中 服务器状态 运行中 不可用 正常 Agent状态 在线 离线 未安装 查看防护配额 在“容器节点管理”界面，选择“防护配额”页签，查看防护配额详细信息。 配额信息 参数名称 参数说明 配额版本 容器安全企业版。 配额状态 正常：配额状态。 已过期：配额已到期，在此期间您仍然可以正常使用配额。 已冻结：冻结期间，HSS将不再防护您的容器；冻结期满，该配额将被彻底删除。 使用状态 使用中：该配额已被使用，下方显示“使用该配额的服务器名称”。 空闲：该配额未被使用。

本章主要介绍下载镜像 操作场景 您可以使用docker pull命令下载容器镜像服务中的镜像。 前提条件 在下载镜像前，请确保您的下载虚拟机网络畅通。 在下载镜像前，请联系管理员在控制台授权容器镜像服务下载权限。 “我的镜像”展示当前用户所有的自有镜像（该用户所在组织所拥有的镜像）和共享镜像（该组织下其他用户共享的私有镜像）。 IAM用户创建后，需要管理员在组织中为您添加授权，您才具有该组织内镜像的读取、编辑等权限。详情请参考授权管理。 下载“我的镜像” 步骤 1 以root用户登录容器引擎所在的虚拟机。 步骤 2 参考“客户端上传镜像”中的方法，获取登录访问权限，连接容器镜像服务。 步骤 3 登录容器镜像服务控制台。 步骤 4 在左侧导航栏选择“我的镜像”，单击右侧镜像名称。 步骤 5 在镜像详情页面中，单击对应镜像版本“下载指令”列的复制图标，复制镜像下载指令。 图 获取镜像下载指令 步骤 6 在虚拟机中执行步骤5复制的镜像下载指令。 示例： docker pull registry.cn jssz1.ctyun.cn /group/nginx:v2.0.0 使用docker images命令查看是否下载成功。

本文介绍科研助手的应用类常见问题。 科研助手适用哪些场景？ HPC：适用于视频渲染、视频转码（视频格式转换、视频分辨率变化、添加水印/logo的）、科研教育等领域。 科学计算：适用于仿真模拟、化学分子计算、流体计算等。 生物分析：适用于基因测序、药物检测等领域。 科研助手的核心功能有哪些？ 多资源池管理： 底层资源池ECK专有资源、Serverless共享容器资源池、ECX虚拟机资源池满足不同价格区间的业务需求。 队列管理： 提供对作业队列管理，支持CPU/GPU作业和队列管理。 开发环境： 以云原生的资源使用和开发工具链的集成，为不同类型开发、探索、教学用户，提供更好云化开发体验。

本文主要介绍 系统委托说明。 由于CCE在运行中对计算、存储、网络以及监控等各类云服务资源都存在依赖关系，因此当您首次登录CCE控制台时，CCE将自动请求获取当前区域下的云资源权限，从而更好地为您提供服务。服务权限包括： 计算类服务 CCE集群创建节点时会关联创建云主机，因此需要获取访问弹性云主机、物理机的权限。 存储类服务 CCE支持为集群下节点和容器挂载存储，因此需要获取访问云硬盘、弹性文件、对象存储等服务的权限。 网络类服务 CCE支持集群下容器发布为对外访问的服务，因此需要获取访问虚拟私有云、弹性负载均衡等服务的权限。 容器与监控类服务 CCE集群下容器支持镜像拉取、监控和日志分析等功能，需要获取访问容器镜像等服务的权限。 当您同意授权后，CCE将在IAM中自动创建账号委托，将帐号内的其他资源操作权限委托给CCE服务进行操作。 CCE自动创建的委托如下： cceadmintrust cceclusteragency cceadmintrust委托说明 cceadmintrust委托具有Tenant Administrator权限。Tenant Administrator拥有除IAM管理外的全部云服务管理员权限，用于对CCE所依赖的其他云服务资源进行调用，且该授权仅在当前区域生效。 如果您在多个区域中使用CCE服务，则需在每个区域中分别申请云资源权限。您可前往“IAM控制台 > 委托”页签，单击“cceadmintrust”查看各区域的授权记录。 说明 由于CCE对其他云服务有许多依赖，如果没有Tenant Administrator权限，可能会因为某个服务权限不足而影响CCE功能的正常使用。因此在使用CCE服务期间，请不要自行删除或者修改“cceadmintrust”委托。

检查CoreDNS Pod的网络连通性 登录CoreDNS Pod所在集群节点。 执行ps aux grep coredns，查询CoreDNS的进程ID。 执行nsenter t n bash，进入CoreDNS所在容器网络命名空间，其中pid为上一步得到的进程ID。 测试网络连通性 运行telnet 6443，测试Kubernetes API Server的连通性。其中apiserverclusterip为default命名空间下Kubernetes服务的IP地址，默认为10.96.0.1。 运行dig @ ，测试CoreDNS Pod到上游DNS服务器的连通性。其中domain为测试域名，upstreamdnsserverip为上游DNS服务器地址。 常见问题 现象 原因 处理方案 业务Pod无法通过CoreDNS服务IP解析 机器负载高、kubeproxy没有正常运行、安全组没有放开UDP协议53端口等。 检查安全组是否放开UDP 53端口，若已放开请提交工单排查。 业务Pod无法连通CoreDNS容器副本 容器网络异常或安全组没有放开ICMP。 检查安全组是否放开ICMP，若已放开请提交工单排查。 业务Pod无法通过CoreDNS容器IP解析 机器负载高、安全组没有放开UDP协议53端口等。 检查安全组是否放开UDP 53端口，若已放开请提交工单排查。 检查业务Pod到CoreDNS的网络连通性 选择以下任意一种方式，进入客户端Pod容器网络。 方法一（适合镜像本身含有sh、ping等命令的Pod）： 使用kubectl exec it n /bin/sh命令进入到Pod中。 方法二（适合镜像本身不含常用命令、且稳定运行的Pod）： 登录业务Pod所在集群节点。 执行ps aux grep 命令，查询业务容器的进程ID。 执行nsenter t n bash命令，进入业务Pod所在容器网络命名空间。其中pid为上一步得到的进程ID。 方法三：（适合频繁重启的Pod） 如果运行时是docker：登录业务Pod所在集群节点。 执行docker ps a grep 命令，查询k8sPOD 开头、使用镜像为pause的沙箱容器，记录容器ID。 执行docker inspect grep netns命令，查询/var/run/docker/netns/xxxx的容器网络命名空间路径。 执行nsenter n bash命令，进入容器网络命名空间。(其中netns 路径为上一步得到的路径，且n和 之间不加空格)。 如果运行时是containerd：登录业务Pod所在集群节点，执行crictl ps a grep 根据Pod名称查看容器id。 根据查到的容器id，执行ctr n k8s.io container ls grep 查找完整的容器id（ctr使用的时候，必须写全，而docker对于id的长度没要求） 执行ctr n k8s.io container info grep i pid C 3获取业务Pod中pause容器的pid path里面的数字即为pause容器的pid。 执行nsenter t n 进入容器网络命名空间。 进入容器网络命名空间后，测试网络连通性。 执行dig @ 命令，测试业务Pod到CoreDNS服务kubedns解析查询的连通性。其中 为测试域名， 为kubesystem命名空间中kubedns的服务IP。默认为10.96.0.10。 执行ping 命令，测试业务Pod到CoreDNS容器副本的连通性。其中 为kubesystem命名空间中CoreDNS Pod的IP。 执行dig @ 命令，测试业务Pod到CoreDNS容器副本解析查询的连通性。其中 为测试域名， 为kubesystem命名空间中CoreDNS Pod的IP。 常见问题 现象 原因 处理方案 业务Pod无法通过CoreDNS服务IP解析 机器负载高、kubeproxy没有正常运行、安全组没有放开UDP协议53端口等。 检查安全组是否放开UDP 53端口，若已放开请提交工单排查。 业务Pod无法连通CoreDNS容器副本 容器网络异常或安全组没有放开ICMP。 检查安全组是否放开ICMP，若已放开请提交工单排查。 业务Pod无法通过CoreDNS容器IP解析 机器负载高、安全组没有放开UDP协议53端口等。 检查安全组是否放开UDP 53端口，若已放开请提交工单排查。 当无法定位问题时，需要抓包进行辅助诊断。在正常情况下，抓包对业务无影响，仅会增加小部分的CPU负载和磁盘写入。 登录出现异常的业务Pod、CoreDNS Pod所在节点。 在ECS（非容器内）执行以下命令 tcpdump i any port 53 C 20 W 200 w /tmp/clientdns.pcap ，可以将最近所有的53端口信息抓取到文件中。以上命令会对抓取到的包进行rotate，最多可以写200个20 MB的.pcap文件。 结合业务日志的报错定位到精准的报错时间的报文信息。

云服务分类 云服务名称 产品控制台创建资源时是否支持绑定标签 产品控制台列表是否支持绑定和解绑标签 标签字符长度限制 标签字符内容限制 单实例默认可绑定标签个数 计算 弹性云主机 是 是 128位 首尾不包含空格 50 计算 GPU云主机 是 是 128位 首尾不包含空格 50 计算 物理机 是 是 128位 首尾不包含空格 50 计算 镜像服务 是 是 128位 首尾不包含空格 50 计算 弹性伸缩服务 是 是 128位 首尾不包含空格 50 计算 云主机快照 是 是 128位 首尾不包含空格 50 计算 SSH秘钥对 是 是 128位 首尾不包含空格 50 存储 云硬盘 是 是 128位 开头不包含空格 50 存储 弹性文件服务 否 是 128位 首尾不包含空格 50 存储 对象存储 是 是 128位 首尾不包含空格 50 存储 并行文件服务HPFS 是 是 128位 首尾不包含空格 50 存储 海量文件服务OceanFS 是 是 128位 首尾不包含空格 50 存储 云硬盘备份 是 是 128位 开头不包含空格 50 存储 云主机备份 是 是 128位 开头不包含空格 50 网络 弹性负载均衡 是 是 128位 首尾不包含空格 50 网络 共享流量包 否 是 128位 首尾不包含空格 50 网络 VPC终端节点 是 是 128位 首尾不包含空格 50 网络 NAT网关 是 是 128位 首尾不包含空格 50 网络 网关负载均衡 是 是 128位 首尾不包含空格 50 网络 内网DNS 否 是 128位 首尾不包含空格 50 网络 弹性IP 否 是 128位 首尾不包含空格 50 网络 共享带宽 否 是 128位 首尾不包含空格 50 网络 虚拟私有云 否 是 128位 首尾不包含空格 50 网络 流量镜像 否 是 128位 首尾不包含空格 50 网络 对等连接 是 是 128位 首尾不包含空格 50 网络 云间高速（标准版） 否 是 128位 首尾不包含空格 50 网络 VPN连接 否 是 128位 首尾不包含空格 50 网络 云专线CDA 是 是 128位 首尾不包含空格 50 专属云 专属云（计算独享型） 是 是 128位 首尾不包括空格 50 云原生 云容器引擎 是 是 128位 首尾不包含空格 50 云原生 容器镜像服务 否 是 128位 首尾不包含空格 50 云原生 云日志服务 否 是 128位 首尾不包含空格 50 云原生 应用性能监控 否 是 128位 首尾不包含空格 20 云原生 微服务云应用平台MSAP 否 是 128位 首尾不包含空格 50 云原生 微服务引擎API网关 否 是 128位 首尾不包含空格 20 云原生 微服务引擎微服务治理 否 是 128位 首尾不包含空格 20 云原生 微服务引擎注册配置中心 否 是 128位 首尾不包含空格 20 云原生 服务网格 否 是 128位 首尾不包含空格 50 云原生 分布式缓存服务Redis版 是 是 128位 首尾不包含空格 50 云原生 分布式消息队列RocketMQ 是 是 128位 首尾不包含空格 50 云原生 分布式消息队列RabbitMQ 是 是 128位 首尾不包含空格 50 云原生 分布式消息队列Kafka 是 是 128位 首尾不包含空格 50 云原生 分布式消息队列MQTT 是 是 128位 首尾不包含空格 50 云原生 弹性容器实例ECI 否 是 128位 首尾不包含空格 50 云原生 分布式容器云平台CCE ONE 是 是 128位 首尾不包含空格 20 云原生 Serverless容器引擎 是 是 128位 首尾不包含空格 50 云原生 函数计算 否 是 128位 首尾不包含空格 50 安全及管理 Web应用防火墙（原生版） 否 是 无限制 首尾不包含空格 50 安全及管理 服务器安全卫士（原生版） 否 是 128位 首尾不包含空格 10 安全及管理 云等保专区 否 是 128位 首尾不包含空格 50 安全及管理 数据库审计 否 是 128位 首尾不包含空格 10 安全及管理 云堡垒机（原生版） 否 是 128位 首尾不包含空格 10 安全及管理 日志审计（原生版） 否 是 128位 首尾不包含空格 10 安全及管理 秘钥管理 否 是 128位 首尾不包含空格 10 安全及管理 云密评专区 否 是 128位 首尾不包含空格 10 数据库 文档数据库服务 是 是 128位 首尾不包含空格 50 数据库 分布式关系型数据库 是 是 128位 首尾不包含空格 10 数据库 关系数据库PostgreSQL版 是 是 128位 首尾不包含空格 50 数据库 关系数据库MySQL版 是 是 128位 首尾不包含空格 50 数据库 云数据库ClickHouse版 是 是 128位 首尾不包含空格 50 数据库 关系数据库SQL Server版 是 是 128位 首尾不包含空格 50 数据库 数据传输服务DTS 否 是 128位 首尾不包含空格 50

ping 192.168.10.25 PING 192.168.10.25 (192.168.10.25): 56 data bytes 64 bytes from 192.168.10.25: seq0 ttl64 time1.412 ms 64 bytes from 192.168.10.25: seq1 ttl64 time1.400 ms 64 bytes from 192.168.10.25: seq2 ttl64 time1.299 ms 64 bytes from 192.168.10.25: seq3 ttl64 time1.283 ms ^C 192.168.10.25 ping statistics 4 packets transmitted, 4 packets received, 0% packet loss 跨VPC访问 跨VPC访问通常采用对等连接等方法打通VPC。 容器隧道网络只需将节点网络与对端VPC打通，容器自然就能访问对端VPC。 VPC网络由于容器网段独立，除了要打通VPC网段，还要打通容器网段。例如有如下两个VPC。 vpcdemo：网段为192.168.0.0/16，集群在vpcdemo内，容器网段为10.0.0.0/16。 vpcdemo2：网段为10.1.0.0/16。 创建一个名为peeringdemo的对等连接（本端为vpcdemo，对端为vpcdemo2），注意对端VPC的路由添加容器网段，如下所示。 这样配置后，在vpcdemo2中就能够访问容器网段10.0.0.0/16。具体访问时要关注安全组配置，打通端口配置。 访问其他云服务 与CCE进行内网通信的与服务常见服务有：RDS、DCS、Kafka、RabbitMQ、ModelArts等。 访问其他云服务除了上面所说的VPC内访问和跨VPC访问的网络配置外，还 需要关注所访问的云服务是否允许外部访问 ，如DCS的Redis实例，需要添加白名单才允许访问。通常这些云服务会允许同VPC下IP访问，但是VPC网络模型下容器网段与VPC网段不同，需要特殊处理，将容器网段加入到白名单中。

本章节介绍云容器集群节点节点宕机故障演练。 背景介绍 云容器引擎（CCE）节点是集群的业务承载核心。硬件故障、系统内核异常、资源耗尽等因素，均可能导致通用节点故障。通用节点宕机会造成其上运行的业务 Pod 异常中断或漂移重建，引发业务请求失败、服务响应延迟，甚至局部服务不可用，本演练可测试系统的故障转移与业务自愈能力，提升集群及业务的整体稳定性。 基本原理 通过关闭云容器引擎纳管的节点主机，模拟节点宕机（支持Worker节点或专有版容器Master节点）。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云容器引擎。 添加实例 ：单击添加实例 ，勾选上一步中添加的云容器引擎实例。 添加故障动作 ：单击立即添加 ，在列表中选择节点宕机动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 故障节点：故障动作的目标节点。

本节介绍了：DNS最佳实践的用户指南。 DNS最佳实践 DNS是Kubernetes集群中至关重要的基础服务之一，在客户端设置不合理、集群规模较大等情况下DNS容易出现解析超时、解析失败等现象。本文介绍Kubernetes集群中DNS的最佳实践，帮助您避免此类问题。 前提条件 创建Kubernetes集群 获取集群KubeConfig并通过kubectl工具连接集群 优化域名解析请求 DNS域名解析请求是Kubernetes最高频的网络行为之一，其中很多请求是可以优化和避免的。您可以通过以下方式优化域名解析请求： （推荐）使用连接池：当一个容器应用需要频繁请求另一服务时，推荐使用连接池。连接池可以将请求上游服务的链接缓存在内存中，避免每次访问时域名解析和TCP建连的开销。 （推荐）使用DNS缓存：当您的应用无法改造成通过连接池连接另一服务时，可以考虑在应用侧缓存DNS解析结果。 优化resolv.conf文件：由于resolv.conf文件中ndots 和search两个参数的机制作用，容器内配置域名的不同写法决定了域名解析的效率。 优化域名配置：当容器内应用需要访问某域名时，可以最大程度减少域名解析尝试次数，继而减少域名解析耗时。 使用合适的容器镜像 Alpine容器镜像内置的musl libc库与标准glibc的实现存在以下差异： 3.3及更早版本Alpine不支持search参数，不支持搜索域，无法完成服务发现。 并发请求/etc/resolv.conf中配置的多个DNS服务器，导致NodeLocal DNSCache优化失效。 并发使用同一Socket请求A和AAAA记录，在旧版本内核上触发Conntrack源端口冲突导致丢包问题。 当Kubernetes集群中部署的容器采用了Alpine作为基础镜像时，可能会因为上述musl libc特性而无法正常解析域名，建议尝试更换基础镜像，如Debian、CentOS等。

了解Kubernetes相关的基础知识。 Pod Pod 是Kubernetes中创建和管理的最小单元，是一个或多个容器的组合，Pod中的容器共享存储和网络资源，以及运行容器的规范。 Volume Volume是Pod内部的共享存储资源，生命周期和Pod相同，与容器无关，即使Pod上的容器停止或者重启，Volume也不会受到影响。但如果Pod终止，那么Volume的生命周期也会结束。 Persistent Volume（PV） Volume中的数据无法持久保留，不能满足有状态服务的需求，因此需要Persistent Volume。PV是Kubernetes中的持久存储资源，是一种网络存储，它的生命周期和Pod无关。如果在Kubernetes中运行有状态服务，比如数据库MySQL，MongoDB或者中间件Redis，RabbitMQ等，那么就需要使用PV，这样即使Pod终止也不会丢失数据。 Persistent Volume Claim（PVC） Persistent Volume Claim是PV的声明。在Kubernetes中，直接使用PV作为存储时，需要集群管理员提前创建好PV，使用上不灵活。而PVC可以将Pod和PV解耦，即Pod不直接使用PV，而是通过PVC来使用PV。这样，无需提前创建PV，只要通过StorageClass把存储资源定义好，Kubernetes就会根据使用需要，动态创建PV，这种方式称为动态供应。 StorageClass StorageClass用于描述不同的存储类型。当通过PVC动态创建HBlock 的卷时，需要在StorageClass中配置创建HBlock卷的参数，如卷冗余模式、扇区大小、写策略等信息。 Container Storage Interface（CSI） Container Storage Interface（CSI）是通用存储接口，旨在实现容器编排器和存储提供商之间的互操作。通过CSI，容器编排器能够使用任何存储提供商的存储服务，存储提供商也可以为任何容器编排器提供存储服务。

本节主要介绍开通专属云容器引擎 专属云容器引擎服务的开通方法及流程： 1、开通专属云容器引擎服务需首先开通专属云服务，请确保您已开通天翼云的专属云服务； 2、天翼云网门户首页上部，在“天翼云官网首页，“产品 > 专属云”中，单击“专属云（计算独享型）”； 3、在产品详情页面中，单击“申请开通”，在申请页面查看申请流程。请与您的专属客户经理确定您的开通需求，如果没有专属客户经理，可拨打天翼云客服电话4008109889咨询。

本节介绍了内网访问的用户指南。 背景 为了优化用户体验，容器镜像服务现已支持内网访问功能。通过此功能，您可以在指定的虚拟私有云 (VPC) 内建立一条内网访问通道，实现从该 VPC 内网直接访问容器镜像服务。 启用内网访问后，将在您选择的 VPC 中自动完成以下配置： 创建 VPC 终端节点 (VPCE)： 用于建立 VPC 与容器镜像服务公共 VPC 服务之间的内网连接。 配置内网DNS解析：确保 VPC 内的实例能够通过容器镜像服务的内网域名正确解析到VPCE地址。 操作步骤 1. 登录容器镜像服务控制台。 2. 在左侧导航栏，点击内网访问。 首次使用授权：如果您是第一次使用内网访问功能，系统会提示您进行授权委托。这是为了允许容器镜像服务在您的 VPC 内创建必要的网络资源。请仔细阅读授权内容，确认并完成授权。授权成功后，系统将为您创建一个名为 CtyunAssumeRoleForCRS 的服务委托。 3. 选择需要接入的 VPC。 您可以根据实际需求选择以下方式接入 VPC： 单个 VPC 接入： 在 VPC 列表中，找到您需要开通内网访问的 VPC，点击该 VPC 所在行的接入按钮。默认选择该VPC的第一个子网创建VPCE，如需指定子网创建VPCE，可下拉子网列表进行选择。 批量 VPC 接入： 如果您需要为多个 VPC 同时开通内网访问，可以勾选多个 VPC，然后点击列表上方的 批量接入按钮。默认选择每个VPC的第一个子网创建VPCE，如需指定子网创建VPCE，可下拉子网列表进行选择。 4. 取消 VPC 接入 (可选)： 如果您需要取消某个已接入内网访问的 VPC，可以找到该 VPC，点击其所在行的取消接入按钮。 注意 由于创建 VPC 终端节点需要一定时间，接入过程可能需要稍作等待。如果遇到提示 “VPCE 创建中，请稍后重试发起请求，以继续创建内网 DNS 记录” 的报错信息，请稍等片刻后点击 批量重试 按钮，系统将继续为您完成接入操作。

本节介绍了对象存储镜像导入的用户指南。 概述 对于使用自建Harbor存储容器镜像的用户，可以通过天翼云OOS迁移工具将镜像文件迁移至企业版镜像实例对象存储中，再通过镜像导入将对象存储中的镜像导入到企业版实例。 前置条件 已开通容器镜像服务企业版实例 自建Harbor使用对象存储存储镜像 操作步骤 迁移镜像文件 参考OOS数据迁移工具，将自建Harbor对象存储中的镜像文件迁移至企业版镜像仓库对象存储中。 创建对象存储镜像导入规则 1. 进入容器镜像服务控制台 。 2. 点击已开通的企业版实例名称。 3. 左侧导航栏点击 "实例管理" "镜像导入"，并点击页面中的创建导入规则按钮。 4. 填写导入规则名称，选择导入内容、源命名空间、目标命名空间并点击确定。 创建对象存储镜像导入任务 1. 进入容器镜像服务控制台 。 2. 点击已开通的企业版实例名称。 3. 左侧导航栏点击 "实例管理" "镜像导入"，选择镜像导入规则并点击立即执行按钮 查看对象存储镜像导入任务进度 1. 进入容器镜像服务控制台 。 2. 点击已开通的企业版实例名称。 3. 左侧导航栏点击 "实例管理" "镜像导入"，并点击页面中的导入任务。

ECI实例通过容器镜像中的预设参数来启动容器。通过设置容器启动命令和参数，可以定义容器的启动行为和初始化过程，保证容器能够正确运行并提供所需服务。本文介绍如何为容器设置启动命令和参数。 ECI实例中支持多种方式启动容器，包括以下几种方式： 默认方式：使用容器镜像中的ENTRYPOINT或CMD参数启动。 自定义：通过控制台或者OpenAPI订购ECI实例时，手动指定启动命令和参数。 功能说明 工作目录：在容器镜像的构建过程中，可以通过WORKDIR指定容器的工作目录。当用户创建ECI实例时，支持用户自定义工作目录，该目录将覆盖镜像中定义的目录。如果用户未定义工作目录，镜像中也未指定WORKDIR，则默认工作目录将是根目录。 启动命令和参数：在容器镜像的构建过程中，可以通过ENTRYPOINT或CMD指定容器的启动命令和参数。当用户创建ECI实例时，支持用户自定义容器的启动命令和参数。如果用户未定义容器的启动命令和参数，则将以容器镜像中指定的ENTRYPOINT或CMD启动。 配置说明 1.在弹性容器实例控制台左侧导航栏中选择“容器组”，进入容器组列表页。 2.点击“创建弹性容器组”，进入弹性容器实例订购页。 3.在容器设置中为每个容器指定各自的启动命令和参数，输入参数后点击【+添加参数】即可。

本文主要介绍 容器引擎基础知识 容器引擎（Docker）是一个开源的引擎，可以轻松的为任何应用创建一个轻量级、可移植的应用镜像。 安装前的准备工作 在安装容器引擎前，请了解容器引擎的基础知识，具体请参见Docker Documentation。 选择容器引擎的版本 容器引擎几乎支持在所有操作系统上安装，用户可以根据需要选择要安装的容器引擎版本，具体请参见 说明 由于SWR支持容器引擎1.11.2及以上版本上传镜像，建议下载对应版本。 安装容器引擎需要连接互联网，内网服务器需要绑定弹性公网IP后才能访问。 安装容器引擎 你可以根据自己的操作系统选择对应的安装步骤： Linux操作系统下安装 在Linux操作系统下，可以使用如下命令快速安装Docker的最新稳定版本。如果您想安装其他特定版本的Docker，可参考安装Docker。 curl fsSL get.docker.com o getdocker.sh sh getdocker.sh sudo systemctl daemonreload sudo systemctl restart docker EulerOS操作系统下安装 在EulerOS操作系统下，安装容器引擎的方法如下： a. 登录弹性云服务器。 b. 配置yum源。 如果您的机器上还没有配置yum源，首先配置本机的yum。 c. 安装并运行容器引擎。 i. 获取yum源里的dockerengine包。 yum search dockerengine ii. 使用yum install y命令安装上一步获取的dockerengine包，x86架构示例： yum install dockerengine.x8664 y iii. 设置开机启动Docker服务。 systemctl enable docker iv. 启动Docker。 systemctl start docker d. 检查安装结果。 docker version 回显如下类似信息，表示容器引擎安装成功。 Docker version 18.09.0, build 384e3e9

本节介绍智算容器应用场景。 AI 训练 AI训练需要大量的GPU算力，通过为集群添加物理GPU节点，开通对应规格的智算版容器，可快速部署训练集并完成训练任务，例如：大模型算法、AI框架算法等。 AI 推理 在已完成训练的情况下，可以通过为集群添加GPU云主机，开通对应规格的智算版容器，可快速部署AI推理服务，提供AI服务，例如：AI客服，AI对话，AI文生图，AI图像处理等。

本章主要介绍最佳实践概述 场景描述 本手册基于天翼云API网关实践所编写，用于指导您开放并调用API。 应用场景范围：基于天翼云API网关开放容器应用服务。 云容器引擎（CTCCE，Cloud Container Engine，简称CCE）中的工作负载，以及微服务，可通过API网关将服务能力以API形式对外开放。 方案优势 借助API网关开放CCE容器应用，具有如下优势： 无需设置弹性公网IP，节省网络带宽成本 API网关支持建立VPC通道，访问CCE中工作负载的地址。 提供多种认证方式，增加访问安全性 提供访问流量控制策略，增加后端服务的安全性 与直接访问容器应用相比，API网关提供流量控制，确保后端服务稳定运行。 支持多实例负载均衡，合理利用资源，增加系统可靠性 流程图 本手册介绍如何通过API网关访问CCE中的工作负载。 图1通过API网关访问CCE工作负载（由实例组成）

本文介绍如何创建有状态应用。 有状态应用与无状态应用的创建流程相似，有状态应用（StatefulSet）包含pod一致性、稳定的持久化存储、稳定的网络标志、稳定的次序。 注： 创建多个容器应用时，请确保容器应用使用的端口不冲突 ，否则部署会失败。 操作前提 若基于私有镜像创建应用，用户首先需要将镜像上传至镜像仓库。将镜像上传至容器镜像仓库的具体操作请参考客户端上传私有镜像。 操作步骤 1.在左侧控制台导航栏中选择【工作负载】>【有状态应用】，进入有状态应用列表； 2.单击【创建应用】，进入应用创建页面； 3.按照页面提示填写，包含基本信息、容器设置、添加服务、高级配置几步。 1）基本信息填写：按照下表设置基本信息，其中带“”标志的参数为必填参数： 参数 说明 应用名称 新建容器应用的名称，命名必须唯一 集群 应用所在集群。若没有可选集群，单击“创建集群”进行创建，操作步骤请参见集群创建 命名空间 应用所在命名空间。若没有可选命名空间，单击“创建命名空间”进行创建，操作步骤请参见创建命名空间 实例数量 应用可以有一个或多个实例，用户可以设置具体实例个数。每个应用实例都由相同的容器部署而成。设置多个实例主要用于实现高可靠性，当某个实例故障时，应用还能正常运行 2）单击【下一步】，进入容器设置页面，完成镜像选择及容器配置（可选项：一个应用实例包含1个或多个相关容器。若您的应用包含多个容器，请单击【添加】，进行容器的添加）；请按照下表设置基本信息，其中带“”标志的参数为必填参数： 参数 说明 选择镜像 天翼云官方镜像：展示了天翼云官方平台的公开镜像 我的镜像：展示了用户创建的所有镜像仓库 镜像版本 根据导入的镜像，决定其可选择的版本 容器名称 容器的名称，可修改 容器规格 可选择设定的配额，或选择自定义配额 高级配置 生命周期：生命周期脚本定义，针对容器类应用的生命周期事件采取的动作。步骤参见设置应用生命周期 . 启动命令：输入容器启动命令，容器启动后会立即执行 . 启动后处理：应用启动后触发 . 停止前处理：：应用停止前触发 高级配置 环境变量：容器运行环境中设定的一个变量。可以在应用部署后修改，为应用提供极大的灵活性。 在“环境变量”页签，单击“添加环境变量”。变量类型分三种：手动添加、私密凭据导入、配置项导入。手动添加时，输入变量名称、变量/变量引用；私密凭据导入时，填写变量名称，并选择已经导入的变量/变量引用；配置项导入时，填写变量名称，并选择已经导入的变量/变量引用 高级配置 数据存储：支持挂载本地磁盘到容器中，以实现数据文件的持久化存储。详细步骤请参见为应用挂载数据卷 高级配置 健康检查：用于监测容器是否正常运行。设置了存活与业务两种探针 高级配置 安全设置：请输入用户ID，对容器权限进行设置，保护系统和其他容器不受其影响。 高级配置 容器日志：设置日志采集策略、配置日志目录。用于收集容器日志以及日志防爆 3）单击【下一步】，进入添加服务页面>【添加服务】； 有状态应用必须填写【实例间发现服务】，请输入服务名称、端口名称、端口号完成添加； （可选）点击【添加服务】，该步骤非必要步骤，也可后期进行配置，具体配置参数说明请参考设置应用访问策略。 4）（可选）单击【下一步】，进入高级配置页面，为应用设置更多高级设置，你可以为集群添加升级策略、迁移策略、缩容策略、调度则略，具体相关说明如下： 配置升级策略 参数 说明 替换升级 先删除旧实例，再创建新实例。升级过程中业务会中断 滚动升级 滚动升级将逐步用新版本的实例替换旧版本的实例，升级的过程中，业务流量会同时负载均衡分布到新老的实例上，因此业务不会中断 配置迁移策略 选择是，输入时间，可设置范围(09999秒)，默认30秒，输入为有效整数。当应用实例所在的节点不可用时，系统将实例重新调度到其它可用节点的时间窗； 选择否，应用实例所在的节点不可用时，应用实例将不会调度到其它可用节点。 配置缩容策略 输入时间，可设置范围(09999秒)，默认30秒；为应用删除提供一个时间窗，预留给生命周期中PreStop阶段执行命令。若超过此时间窗，进程仍未停止，该应用将被强制删除。 配置调度策略 你可以根据需要自由组合静态的全局调度策略或动态的运行时调度策略来实现自己的需求。详情请参见设置应用调度策略。 5）配置完成后请单击【提交】,等待应用创建完成，创建完成后返回应用列表； 4.在应用列表中，待应用状态为“运行中”，应用创建成功。应用状态不会实时更新，请按F5查看。

本章节介绍容器应用实例支持的三种访问方式 概述 容器应用实例发布后，无法直接被其他应用所访问。容器应用实例支持负载均衡（私网）、负载均衡（公网）以及服务（Service）三种访问方式。 负载均衡（私网） 此种方式用于VPC内网访问，使用Service的LoadBalancer模式，绑定一个VPC内的私网负载均衡ELB，私网IP可以直接访问到服务后端的Pod。 前提条件 需要在弹性负载均衡控制台订购开通私网负载均衡实例并在环境资源弹性负载均衡下导入。 绑定私网负载均衡 在应用总览页面的访问方式配置区域，单击负载均衡（私网）右侧的加号图标，设置负载均衡参数，完成参数配置后单击确认。 配置项 描述 服务名 自定义设置服务名称，服务名称必须唯一，不能和已有服务名称重复。 支持小写字母、数字和短划线（），且必须以字母开头，字母或数字结尾，长度范围为2~32个字符。 启用IPv6 启用IPv6后支持通过IPv6地址访问容器应用实例。 选择弹性负载均衡 在下拉列表中选择已经导入的弹性负载均衡。 外部流量策略 外部流量策略分为Cluster和Local两种模式。 Cluster：流量可以转发到集群中其他节点上的Pod。 Local：流量只发给本机的Pod。配置为Local模式时，只有集群中存在Service对应Pod的节点会被添加到弹性负载均衡后端，且流量不会转发到集群中其它节点的Pod中。 TCP/HTTP协议 负载均衡端口（应用名）：私网负载均衡前端端口，通过该端口访问应用，可设置范围为[1,65535]。 容器端口（TargetPort）：进程监听的端口，一般由程序定义。 UDP协议 负载均衡端口（应用名）：私网负载均衡前端端口，通过该端口访问应用，可设置范围为[1,65535]。 容器端口（TargetPort）：进程监听的端口，一般由程序定义。

本章节介绍如何使用云容器引擎快速接入云原生网关 概述 云原生网关体验流程如下： 创建网关实例 > 绑定ELB > 添加服务来源 > 添加服务 > 配置路由规则 > 测试验证 > 查看监控 前置条件 1. 已创建云原生网关实例； 2. 已创建ELB实例； 3. 已开通天翼云日志服务（LTS）和应用性能监控服务（APM），网关实例开启了指标监控、链路追踪和日志服务； 绑定ELB 实例开通成功后，需要绑定到ELB提供外部访问；当前支持私网ELB和公网ELB；可以到ELB开通页面在网关同VPC下创建ELB实例； 从网关列表页选择指定网关进入网关详情页，在基础信息页可以看到网关入口选项，选择绑定ELB，在下拉列表中选择已经开通的公网或者私网ELB实例及端口，绑定即可。 绑定完成后可以看到当前绑定的ELB列表及访问地址。 添加服务来源 通过网关列表页面选择网关实例进入对应实例的详情页，在服务来源子菜单下可以添加云原生网关的服务来源，当前支持将与网关同vpc下的nacos实例和云容器引擎集群作为服务来源 添加服务 在网关实例服务列表菜单下可以创建服务，当前支持从容器、Nacos服务来源创建服务，或者创建固定地址的服务； 选择从容器创建服务时需要指定： （1）服务所在的命名空间； （2）在服务列表栏可以看到选择的命名空间下的服务信息（K8s Service），每个服务可能有多个端口，在云原生网关中，每个端口都可以创建为一个服务； （3）根据需求可以配置后端服务的请求协议（HTTP、HTTPS、GRPC、GRPCS）、websocket选项、MTLS选项等；

本节介绍了启动实例失败时的重试机制是怎样的？ 启动实例失败时的重试机制是怎样的？ 云容器引擎是基于原生Kubernetes的云容器引擎服务，完全兼容Kubernetes社区原生版本，与社区最新版本保持紧密同步，完全兼容Kubernetes API和Kubectl。 在Kubernetes中，Pod的spec中包含一个restartPolicy字段，其取值包括：Always、OnFailure和Never，默认值为：Always。Always：当容器失效时，由kubelet自动重启该容器。 OnFailure：当容器终止运行且退出不为0时（正常退出），由kubelet自动重启该容器。 Never：不论容器运行状态如何，kubelet都不会重启该容器。 restartPolicy适用于Pod中的所有容器。 restartPolicy仅针对同一节点上kubelet的容器重启动作。当Pod中的容器退出时，kubelet 会按指数回退方式计算重启的延迟（10s、20s、40s...），其最长延迟为5分钟。 一旦某容器执行了10分钟并且没有出现问题，kubelet对该容器的重启回退计时器执行重置操作。 每种控制器对Pod的重启策略要求如下： Replication Controller（RC）和DaemonSet：必须设置为Always，需要保证该容器的持续运行。 Job：OnFailure或Never，确保容器执行完成后不再重启。

Node节点 Node节点是集群的计算节点，即运行容器化应用的节点。 kubelet：kubelet主要负责同Container Runtime打交道，并与API Server交互，管理节点上的容器。 kubeproxy：应用组件间的访问代理，解决节点上应用的访问问题。 Container Runtime：容器运行时，如Docker，最主要的功能是下载镜像和运行容器。 Master节点数量与集群规模 在CCE中创建集群，Master节点可以是1个或3个，3个Master节点会按高可用部署，确保集群的可靠性。 Master节点的规格决定集群管理Node节点的规模，创建集群时可以选择集群管理规模，这个规模就是指的集群可以有多少个Node节点，例如50节点、200节点等。 集群的网络 从网络的角度看，集群的节点都位于VPC之内，节点上又运行着容器，每个容器都需要访问，节点与节点、节点与容器、容器与容器都需要访问。 集群的网络可以分成三个网络来看。 节点网络：为集群内节点分配IP地址。 容器网络：为集群内容器分配IP地址，负责容器的通信，当前支持多种容器网络模型，不同模型有不同的工作机制。 服务网络：服务（Service）是用来解决访问容器的Kubernetes对象，每个Service都有一个固定的IP地址。 在创建集群时，您需要为各个网络选择合适的网段，确保各网段之间不存在冲突，每个网段下有足够的IP地址可用。 集群创建后不支持修改容器网络模型 ，您需要在创建前做好规划和选择。 强烈建议您在创建集群前详细了解集群的网络以及容器网络模型，具体请参见容器网络模型。

前提条件：已申请并开通专属云服务、专属云容器引擎服务 操作步骤： 1、登录天翼云控制中心，选择已开通的专属云节点； 2、单击控制台上方右侧资源节点下拉列表，查看您已开通的专属云情况；如下图所示，目前在贵州节点下已开通一个名为“Dec001”的专属云； 3、单击“Dec001”节点，进入专属云控制台； 4、单击云容器引擎CCE，进入专属云容器引擎控制台； 5、在专属云中的云容器引擎控制台，您可以开通集群、节点、部署应用等，功能与公有云中的云容器引擎一致，具体操作指导请参考云容器引擎

安装后校验 1. 检查容器状态：docker ps grep E 'dmsdas' 2. 检查启动日志：docker logs f 卸载服务 1. 查看容器ID，docker ps grep E 'dmsdas' 2. 停止容器：docker stop 3. 移除容器：docker rm 4. 查看镜像ID：docker images grep E 'dmsdas' 5. 移除镜像：docker rmi

本章节介绍应用服务网格CSM应用场景 应用服务网格CSM主要适用于微服务架构下的流量治理、安全治理和可观测场景，常用场景如下： 多语言微服务统一治理 应用服务网格（CSM）采用无侵入式的sidecar模式，提供了与语言无关的服务治理能力，无需修改业务代码即可实现对多语言应用的灰度发布、熔断限流、标签路由、全链路灰度等治理能力。 解决问题： 服务治理能力与业务代码耦合问题，业务无需关注非业务的技术问题，提高业务迭代效率。 企业内部多语言业务互通问题，服务网格通过sidecar和统一控制面，屏蔽了语言和框架的差异，使得多语言框架应用之间的通信就像语言框架内部的通信一样简单。 多集群统一服务治理 应用服务网格（CSM）采用主从集群模式，主集群（云容器引擎）作为控制面部署集群，支持对多个从集群（云容器引擎）实行统一纳管，对多个云容器引擎集群上的服务进行统一治理。 解决问题： 服务扩展问题：随着业务的发展，业务通过单个容器集群难以支撑时，CSM服务网格可以在一个网格实例下实现对多个容器集群的统一治理。 容灾问题：基于多集群和服务标签，通过服务网格的路由能力可以实现业务的多活容灾。

本章介绍使用限制内容。 配额 容器镜像服务对单个用户的组织数量限定了配额。 当前容器镜像服务的配额如下表所示。如果您需要添加更多的组织，请提交工单申请。 资源类型 配额 组织数量 5 上传镜像限制 使用客户端上传镜像，镜像的每个layer大小不能超过10G。 使用页面上传镜像，每次最多上传10个文件，单个文件大小（含解压后）不得超过2G。 特性限制 苏州和广州4资源池已开启IPV6双栈特性，您使用Docker或containerd容器镜像时，能够同时兼容IPV4和IPV6协议。

卸载探针 1. 登录应用高可用服务控制台。 2. 在左侧导航栏中，定位到故障演练 菜单，选择要操作的目标应用 ，单击其下的探针管理选项。 3. 在探针管理 页面，选择云容器引擎页签。 4. 在列表中找到目标主机，单击操作列的卸载按钮。 5. 在弹出的对话框中单击确定 ，系统将发起探针卸载流程。 6. 单击操作列的执行记录，可查看探针的操作历史记录。 7. 卸载结束后，列表中的探针安装状态 更新为未安装。 注意 探针列表中的连接状态表示目标资源探针与故障演练服务控制面的连通状态，此状态有一定延迟。 云容器引擎探针通过插件形式安装在容器集群中，可登录云容器引擎控制台查看相关插件实例（ctgchaosinjectoragent 、ctgchaosbladeoperator）。

卸载探针 1. 登录应用高可用服务控制台。 2. 在左侧导航栏中，定位到故障演练 菜单，选择要操作的目标应用 ，单击其下的探针管理选项。 3. 在探针管理 页面，选择云容器引擎页签。 4. 在列表中找到目标主机，单击操作列的卸载按钮。 5. 在弹出的对话框中单击确定 ，系统将发起探针卸载流程。 6. 单击操作列的执行记录，可查看探针的操作历史记录。 7. 卸载结束后，列表中的探针安装状态 更新为未安装。 注意 探针列表中的连接状态表示目标资源探针与故障演练服务控制面的连通状态，此状态有一定延迟。 云容器引擎探针通过插件形式安装在容器集群中，可登录云容器引擎控制台查看相关插件实例（ctgchaosinjectoragent 、ctgchaosbladeoperator）。

本节主要介绍与其它服务的关系 应用服务网格与周边服务的依赖关系如下图所示。 应用服务网格与其他云服务关系 云容器引擎 CCE 云容器引擎（Cloud Container Engine）提供高可靠高性能的企业级容器应用管理服务，支持Kubernetes社区原生应用和工具，简化云上自动化容器运行环境搭建。 您可以通过ASM部署运行在云容器引擎上。 弹性负载均衡 ELB 弹性负载均衡（ Elastic Load Balance，ELB）将访问流量自动分发到多台云服务器，扩展应用系统对外的服务能力，实现更高水平的应用容错。 您可通过弹性负载均衡从外部访问ASM。 应用运维管理 AOM 应用运维管理AOM为您提供一站式立体运维平台，实时监控应用、资源运行状态，通过数十种指标、告警与日志关联分析，快速锁定问题根源，保障业务顺畅运行。 您可使用应用运维管理，对ASM中的服务和资源进行实时监控，对指标、告警和日志进行关联分析。 应用性能管理 APM（待上线） 应用性能管理服务（Application Performance Management，简称APM）是实时监控并管理云应用性能和故障的云服务，提供专业的分布式应用性能分析能力，可以帮助运维人员快速解决应用在分布式架构下的问题定位和性能瓶颈等难题，为用户体验保驾护航。 您可使用应用性能管理，对ASM中运行的服务进行全链路拓扑管理和分布式调用链追踪，方便您快速进行故障定位和根因分析。

本节介绍网络的用户指南：LoadBalancer类型Service 云容器引擎支持将Service通过负载均衡ELB向外暴露， 云容器引擎集群内置CCM（Cloud Controller Manager）插件，当Service的类型为LoadBalancer时，CCM插件会为Service配置负载均衡，并根据Service信息配置好负载均衡的后端服务器组、健康检查和监听规则等，使得用户可以通过负载均衡访问该Service。以下是使用负载均衡的步骤指引。 使用已有负载均衡暴露服务 前提条件 用户已提前在负载均衡控制台创建ELB实例，ELB实例需要与Service所在的容器集群在同一个VPC网络下。 注意事项 不同Service可以同时复用同一个负载均衡实例，复用同一个负载均衡实例需要避免不同Service使用相同的服务端口，否则存在监听配置被覆盖的情况 不能复用由CCM自动创建的或集群ApiServer使用的负载均衡实例 当Service删除时，使用已有的负载均衡不会被删除 集群Master节点不作为负载均衡实例的后端 操作步骤 1. 登录 云容器引擎 控制台，点击进入想要操作的集群，在左侧菜单选择“网络” “服务”； 2. 如下图，点击“新建”按钮新建服务，按照参数说明配置相关的参数； 服务访问方式：选择负载均衡 负载均衡：可根据业务需要选择私网访问或公网访问，集群内或同一VPC内访问建议选择私网访问即可；选择“使用已有负载均衡”；负载均衡实例列表会根据选择的私网/公网访问方式显示出对应的实例，选择想要使用的负载均衡实例即可 标签：根据需要可以为服务配置标签 注解：根据需要可以为服务配置注解 外部流量策略：Cluster或Local。Cluster策略下，集群所有可用工作节点都会挂载到负载均衡实例；Local策略下，只有Service对应的Pod所在节点会挂载到负载均衡实例 端口映射：配置好协议、容器端口及服务端口，其中容器端口为应用本身暴露的端口，服务端口则会作为负载均衡实例的监听端口 工作负载绑定：选择服务要关联的工作负载，也可以配置自定义标签关联 3. 创建服务后，在服务列表可以看到该服务，通过服务的集群外访问地址即可以访问该服务。