本实践基于科研助手进行钢筋计数模型训练、推理。 场景描述 概述 息壤·科研助手是一款适用于高校科研使用场景的一站式科研实训平台，可调度各种类型的计算资源，支持一键部署、随时随地、无需配置开箱即用。科研助手支持用户实现AI教学场景的模型训练、推理、调优等。 实践内容 钢筋是建筑业的重要材料，庞大的数量、工地现场环境复杂以及人工点验错漏等现实因素为钢筋点验工作制造了难度，那么如何才能快速且准确地完成对于整个建筑施工过程极为重要的钢筋点验工作环节呢？本次实践内容为“AI数钢筋”——通过人工智能技术实现钢筋数量统计。所谓“AI数钢筋”就是，通过多目标检测机器视觉方法以实现钢筋数量智能统计，达到提高劳动效率和钢筋数量统计精确性的效果。目标检测算法通过与摄像头结合，可以实现自动钢筋计数，再结合人工修改少量误检的方式，可以智能、高效地完成钢筋计数任务。 步骤简介 教程包括如下步骤： 应用商城选购：在科研助手的应用商城中选购自己所需的教学与实践镜像 创建开发机：购买开发机，选择所需的资源规格 访问开发机并开始实践：在开发机中进行相应的教学与实践 获取结果：将实践生成的内容保存至本地 实践步骤

本章节主要对数据湖探索的作业类型、约束限制进行简单介绍。 DLI 作业类型 DLI 提供了三种作业类型： SQL作业：SQL作业为用户提供标准的SQL，兼容Spark SQL、Presto SQL（基于Presto），通过可视化界面API、JDBC、ODBC、Beeline等多种接入方式对云上异构数据源进行查询分析，兼容CSV、JSON、Parquet、Carbon、ORC等主流数据格式。 Flink作业：Flink作业是运行在公有云上的实时流式大数据分析服务作业，全托管的方式用户无需感知计算集群，只需聚焦于Stream SQL业务，即时执行作业，完全兼容Apache Flink API。 Spark作业：Spark作业可为用户提供全托管式的Spark计算服务。用户可通过可视化界面和RESTful API提交作业，支持提交Spark Core、DataSet、Streaming、MLlib、GraphX等Spark全栈作业。 约束限制 DLI配置SparkUI只展示最新的100条作业信息。 控制台界面查询结果最多显示1000条作业结果数据，如果需要查看更多或者全量数据，则可以通过该功能将数据导出到OBS获取。 导出作业运行日志需要具有OBS桶的权限，请提前在“全局配置 > 工程配置”页面配置DLI作业桶。 default队列下运行的作业或者该作业为同步作业时不支持归档日志操作。 仅Spark作业支持使用自定义镜像。 当前弹性资源池最大的计算资源 32000CUs。

参数 说明 参数取值 名称 输入VPN连接的名称。 vpn002 VPN网关 选择步骤一创建的VPN网关。 vpngw001 网关IP 选择VPN网关的 主EIP2 。 11.xx.xx.12 对端网关 选择步骤二创建的对端网关。 cgw001 连接模式 选择“静态路由模式”。 静态路由模式 对端子网 输入数据中心待和VPC互通的子网。 172.16.0.0/16 接口分配方式 支持“手动分配”和“自动分配”两种方式。 手动分配 本端隧道接口地址 配置在VPN网关上的tunnel接口地址。 说明 对端网关需要对此处的本端隧道接口地址/对端隧道接口地址做镜像配置。 169.254.71.2/30 对端隧道接口地址 配置在用户侧设备上的tunnel接口地址。 169.254.71.1/30 检测机制 用于多链路场景下路由可靠性检测。 说明 功能开启前，请确认对端网关支持ICMP功能，且对端接口地址已在对端网关上正确配置，否则会导致VPN流量不通。 勾选“使能NQA” 预共享密钥、确认密钥 VPN连接协商密钥。 VPN连接和对端网关配置的预共享密钥需要一致。 Test@123 策略配置 包含IKE策略和IPsec策略，用于指定VPN隧道加密算法。 VPN连接和对端网关配置的策略信息需要一致。 默认配置

本文主要介绍 Ingress概述。 为什么需要Ingress Service基于TCP和UDP协议进行访问转发，为集群提供了四层负载均衡的能力。但是在实际场景中，Service无法满足应用层中存在着大量的HTTP/HTTPS访问需求。因此，Kubernetes集群提供了另一种基于HTTP协议的访问方式——Ingress。 Ingress是Kubernetes集群中一种独立的资源，制定了集群外部访问流量的转发规则。用户可根据域名和路径对转发规则进行自定义，完成对访问流量的细粒度划分。 图 Ingress示意图 下面对Ingress的相关定义进行介绍： Ingress资源：一组基于域名或URL把请求转发到指定Service实例的访问规则，是Kubernetes的一种资源对象，通过接口服务实现增、删、改、查的操作。 Ingress Controller：请求转发的执行器，用以实时监控资源对象Ingress、Service、Endpoint、Secret（主要是TLS证书和Key）、Node、ConfigMap的变化，解析Ingress定义的规则并负责将请求转发到相应的后端Service。 Ingress Controller在不同厂商之间的实现方式不同，根据负载均衡器种类的不同，可以将其分成ELB型和Nginx型。CCE支持上述两种Ingress Controller类型，其中ELB Ingress Controller基于弹性负载均衡服务（ELB）实现流量转发；而Nginx Ingress Controller使用Kubernetes社区维护的模板与镜像，通过Nginx组件完成流量转发。

工信部增加全国备案短信验证功能通知 “备案短信核验”问题集锦 根据《工业和信息化部关于开展互联网基础管理专项行动的通知》工信部信管函[2016]485号文件要求，工业和信息化部将对通过 ICP/IP地址/域名信息备案管理系统提交备案申请的主体负责人及网站负责人的手机号码进行短信验证。即：备案信息通过天翼云审核后，天翼云在将备案信息提交管局审核时，备案主体负责人和（或）网站负责人手机号码中，将会收到工信部发出的短信息验证码。需在24小时内完成短信验证，备案申请才能进入省通信管理局的审核程序。 目前适用省份： 根据工信部最新要求，自2020年8月17日起，各省市进行以下类型的备案申请时需通过工信部备案管理系统进行短信核验，详情如下所示。 短信验证平台： 您在备案信息中填写的手机号码收到工信部发出的验证码后，需及时访问《工业和信息化部政务服务平台ICP/IP地址/域名信息备案管理系统》网站（以下简称公共查询网站） 填写证件号码、验证手机号和验证码，完成验证。 验证码发送及短信核验原则: 备案类型 验证逻辑 备注 新增备案 验证主体负责人手机号和网站负责人手机号。 若主体负责人与网站负责人为同一人，只发送一个验证码。 新增网站备案 验证网站负责人手机号码。 若主体信息有变更，则需要验证。 新增接入备案 验证网站负责人手机号码。（注意：该手机号码是通过其他接入商在管局侧备案时所提供的号码） 1、如果您更换了手机号码，需先到原备案接入服务商处变更手机号码，再进行接入备案。 2、如果您的网站为空壳网站（即无接入服务商），无法到原接入服务商处变更手机号码。只能注销备案后，再重新提交新增网站备案。 变更备案信息 验证主体负责人手机号或网站负责人手机号。 1、若变更主体信息，则验证主体负责人手机号码。 2、若变更网站信息，则验证网站负责人手机号码。 3、若同时变更了主体和网站信息，那么主体和网站负责人手机号码均需验证。 注销主体 主体负责人验证。 暂时无需验证。验证开放时间待定。 注销网站 无需验证。 暂时无需验证。验证开放时间待定。 取消接入 无需验证。 暂时无需验证。验证开放时间待定。 验证码有效时长： 验证码 24 小时以内有效。您需在 24 小时内，访问公共查询网站，并输入证件号码、验证手机号和验证码进行验证。 手机号码短信验证通过后，您的备案信息将流转至管局审核。 若 24 小时内，没有进行验证或验证失败，备案信息将会自动退回至接入商（天翼云）。需您重新提交备案申请，再次进入短信验证流程。完成短信验证后，备案申请信息才能递交至省管局审核。 验证码发送号码： 电信、联通、移动用户收到的短信验证码的发送号码为短信验证码的发送号码为12381或10612381。 1. 填写信息：验证码、手机号码、证件号码后六位数，完成图形验证，再单击 提交 。验证通过后，系统提示核验完成。如果您的备案订单中，还有其他需验证的手机号，请继续成。 2. 验证通过后，系统提示核验完成。如果您的备案订单中，还有其他需验证的手机号，请继续完成。 注意： 1、如果您的信息输入错误，或输入的三条信息（证件号码、手机号码、验证码）不匹配，则系统找不到对应的订单。系统提示找不到记录。请核实信息后，重新输入。 2、如果负责人证件号码输错 3 次以后，系统提示短信核验失败。您的备案申请信息将被工信部系统退回。 未收到验证短信，怎么办？ 在天翼云将您的备案信息提交管局审核的后，请注意查收工信部发出的验证短信。一般在 5 分钟内即可收到验证短信。若 5 分钟后仍然没有收到验证短信，请检查： 1、您的手机网络信号是否正常。 2、您是否设置了短信拦截或安装了垃圾短信拦截软件。 解决方法： 1、如果因手机网络信号不正常导致无法接收短信，请移到信号好的地方；或访问公共查询网站进行手动重发送验证短信。 2、如果因您设置了垃圾短信拦截，或安装了拦截软件，请关闭拦截。如果无法关闭拦截，建议您将您的 SIM 卡换至其他手机。 3、如果您误删了验证短信，可访问公共查询网站，进行手动重发。 4、如果您 24 小时未完成短信验证，备案系统会自动退回您的备案申请。您需重新提交备案申请。 如何操作手动重发验证码短信？ 访问公共查询网站，单击网站页面上“短信核验”按钮。 单击 短信重发 ，进入核验短信重发页面。填写您需验证的手机号码和证件号码后 6 位数，然后单击 提交。 发送成功通知：您的短信已发送成功。

中国电信天翼云服务协议 特别提示： 《中国电信天翼云服务协议》（“本协议”）系客户与天翼云科技有限公司（“天翼云”，客户与天翼云合称为“双方”）签订的，关于客户通过中国电信天翼云网门户（包括天翼云官网：www.ctyun.cn，天翼云Wap站m.ctyun.cn，“天翼云APP”，合称“天翼云网门户”）向天翼云购买、由天翼云向客户提供的云计算服务（“天翼云服务”）的约定。 客户在订购和使用天翼云服务前，敬请认真阅读、充分理解本协议全部内容，包括但不限于免除或者限制天翼云责任的条款、对客户权利进行限制的条款等，该等条款将以加粗字体或其他醒目形式提示。 如果客户对本协议有疑问，请通过本协议载明的方式询问，天翼云将向客户进行解释和说明。如果客户不同意本协议的任何内容或者无法准确理解天翼云的解释，请不要订购或使用天翼云服务。 当客户通过网络页面点击确认、订购或以其他任何方式实际使用天翼云服务，均表示客户已阅读并充分理解本协议之全部内容，同意接受本协议的全部内容，受其约束。如果客户不同意接受本协议，请勿订购和使用天翼云服务。 I．说明 1.客户与天翼云之间的天翼云服务受到本协议以及客户已接受的《中国电信天翼云网门户用户协议》、《中国电信天翼云网门户隐私政策》、天翼云网门户《法律声明》及天翼云网门户不时发布的规则和政策（合称“天翼云服务合同及规则”）的约束。客户接受天翼云服务合同及规则的形式包括但不限于客户在天翼云网门户注册、订购服务时线上点击同意。 2.本协议未约定的事项，以天翼云服务合同及规则为准；本协议与天翼云服务合同及规则就同一事项的约定存在冲突的，以本协议约定为准。 3.本协议由如下各项文件组成： （1）I.本说明； （2）II.《通用服务条款》； （3）III.《专用服务条款》及其附件； （4）天翼云网门户中（包括但不限于天翼云网门户帮助文档页面中）展示的具体产品/服务的相关服务规则，包括但不限于服务说明、技术规范、使用流程、续订规则、退订规则，以及明确双方关于使用和提供天翼云服务权利义务的其它法律文件； （5）订单（仅适用于包年/包月服务）。 上述各文件彼此相互解释、相互补充，如上述文件之间就同一事项的约定、解释出现冲突，应以本条上述排列次序在后的文件所表述的意思为准；当同一顺序的多份文件之间发生内容冲突时，应以文件形成时间较后的为准。当不同产品或服务的《专用服务条款》就同一事项约定、解释不一致时，各产品或服务应分别以其各自的《专用服务条款》为准。 4.本协议签订后，如客户就购买的本协议项下服务需要天翼云另行出具书面确认文件的，天翼云向客户提供的订购确认文件仅应客户要求出具，不是订立合同的确认书，不影响本协议、天翼云服务合同及规则的效力，不对双方已确认的订单、本协议、天翼云服务合同及规则构成任何修订与补充，也不对其效力产生任何影响。 II． 通用服务条款 1. 服务类型 1.天翼云向客户提供、客户使用天翼云提供的天翼云服务的具体内容和费用由客户通过天翼云网门户提交、并经天翼云确定的订单或天翼云根据客户实际使用服务情况发出的账单确定。 1.1客户可以根据自身需求选择订购天翼云网门户提供的天翼云服务，其中： （1）包年/包月服务：具体服务项目、服务期限由客户通过天翼云网门户向天翼云提交并经天翼云确认的订单确定。 （2）按需计费服务：具体服务项目根据客户实际使用情况确定。 1.2 天翼云将按照相应的《专用服务条款》约定的服务等级向客户提供服务。 2.服务开通、变更和终止；服务流程 2.1服务开通 2.1.1 根据客户选择的服务类型，天翼云分别按照以下方式为客户开通服务： （1）包年/包月服务的开通：客户在天翼网门户向天翼云提交相应的订单，经天翼云确认并在客户按照订单约定付费后，服务开通。 （2）按需计费服务的开通： 客户向天翼云账户充值支付相应费用后，服务开通。如客户账户余额不足，服务暂停。客户向天翼云账户充值支付服务所需的足额费用后，服务恢复。 2.1.2 服务开通后，天翼云按照本协议约定向客户提供天翼云服务，客户可以登录天翼云网门户，在管理控制台完成相关服务相关配置和操作。 2.1.3 客户理解并认可，服务开通后，为技术升级、服务体系升级、或因经营策略调整或配合国家重大技术、法规政策等变化，天翼云不保证永久的提供某种服务，并有权更新所提供服务的形式、规格或其他方面（如服务的价格和计费模式），在终止该种服务或进行此种变更前，天翼云将尽最大努力且提前以网站公告、站内信、邮件或短信等一种或多种方式事先通知客户。 2.2天翼云为客户提供7天×24小时客服服务，包括客服的售后热线（4008109889）咨询服务和在线工单服务，解答、处理客户在使用天翼云服务过程中遇到的问题，《专用服务条款》另有约定的，适用《专用服务条款》的约定。 2.3天翼云收到客户遇到的问题后，根据具体情况和客户需求，为客户提供技术支持，但相关故障或问题系因客户人为原因和/或不可抗力、以及其他非天翼云控制范围内的事项造成的除外。 2.4 天翼云在本协议约定范围内提供可用性保障。如客户对可用性的要求高于本协议的约定，则需要客户主动对自身系统进行高可用性部署，天翼云可提供必要的协助。如果需要天翼云配合做方案规划设计，由双方另行协商确认。 2.5 为了提供更优化的服务，天翼云有权定期或不定期地对服务平台或相关设备、系统、软件等进行检修、维护、升级及优化等（统称“常规维护”），如因常规维护造成天翼云服务在合理时间内中断或暂停的，天翼云无需为此承担责任。但就该等常规维护事宜，天翼云承诺至少提前24小时以公告形式通知客户。如因不可抗力、第三方原因等导致的非常规维护，天翼云承诺在可能的情况下尽快通知客户。 2.6 天翼云有权根据自身运营安排不时调整服务的系统默认配置，相关调整不构成天翼云违约。但是，天翼云承诺提前至少三十（30）日通知客户。收到天翼云通知后，客户应当予以协助（包括但不限于客户及时做好相关数据的转移备份、进行业务调整，以及应天翼云的需求，对天翼云的调整作出授权等）。如客户在收到通知后未及时协助，或者天翼云无法与客户取得联系，由此产生的后果由客户自行承担。因不可抗力、第三方原因等导致的服务调整或终止，天翼云将及时通知客户。 2.7 服务终止 2.7.1 在下述情形下，天翼云有权在服务期限届满前终止向客户提供服务，且不承担违约责任： （1）依据法律法规或政府主管部门的要求； （2）天翼云认为继续向客户提供服务将会对天翼云造成巨大的经济或技术负担或重大安全风险的； （3）由于任何法律或政策变动原因造成天翼云继续向客户提供服务不实际可行的； （4）客户未按时足额支付相关费用的； （5）客户如出现经营亏损，或者因重大债务无法正常经营，或者因违法经营被有关部门责令停业整顿或吊销营业执照或经营所需的其他证照； （6）天翼云提前三十（30）日在天翼云网门户上以发布公告、向客户发送站内通知或书面通知的方式终止相关服务； （7）本协议其他条款或天翼云服务合同及规则约定天翼云有权提前终止服务的情形。 2.7.2 天翼云依据本协议终止服务的，对客户已支付但未使用的服务费用的退费规则，按照《专用服务条款》或天翼云网门户公示的相关退费规则执行。 2.8本协议《专用服务条款》对天翼云服务的服务开通、变更和终止规则及服务流程等事项另有约定的，适用《专用服务条款》的约定。 3. 服务费用及支付 3.1计费规则 3.1.1客户使用天翼云服务应当按照约定向天翼云按时、足额支付服务费用。 （1）包年/包月服务：客户应当向天翼云支付的服务费用以经天翼云确定的订单载明的金额为准。 （2）按需计费服务：客户应当向天翼云支付的服务费用以天翼云向客户发送的账单载明的金额为准。服务期限内，服务价格将根据天翼云价格调整相应变化，服务费用的结算应当以客户实际使用相应服务时天翼云公布的有效的价格为准。 3.1.2天翼云有权根据技术演进、技术架构调整、市场营销等客观因素调整天翼云服务的价格。天翼云调整天翼云服务价格时，至少提前十五（15）日在天翼云网门户发布通知，客户有权决定是否继续使用相应的服务。如客户不接受天翼云调整后的价格，客户应当立即停用天翼云服务，如客户继续使用服务，视为客户接受调整后的价格。 3.2 结算方式：天翼云提供的天翼云服务为预付费服务。 3.2.1天翼云在客户支付服务费用后开始为客户提供服务。客户可以使用账户余额或代金券或微信、支付宝、翼支付或其他方式向天翼云支付费用。其中，代金券的使用应当遵守客户获得代金券时天翼云通过天翼云网门户公示的代金券规则。 3.2.2如客户在服务期限届满后继续使用服务的，客户应当在服务期限届满前支付续订款项，或在保证账户内的余额充足的情况下开启自动续订功能（续订流程详见天翼云网门户公示的服务续订规则）。客户续订服务时，如天翼云对相关服务的服务体系、名称和价格进行调整的，客户同意按照届时有效的新的服务体系、名称和价格续订和计费。 3.2.3如客户需要天翼云就其订购的天翼云服务开具发票的，客户应当在服务订购完成并支付服务费用后，在天翼云网门户的服务订购界面上申请开具发票，并按格式和要求填写付款单位、款项、发票类型及邮寄地址。对于客户使用代金券支付部分对应的金额，天翼云不提供发票。 3.3 天翼云保留在客户未按照约定支付全部费用前不向客户提供服务和/或技术支持，或者终止服务和/或技术支持的权利。如客户欠费，在欠费期间天翼云有权不提供相应服务，且客户不得申请业务的新装、续用、变更等。 3.4 客户理解并同意所有的赠送服务项目、营销活动等优惠措施均为天翼云在标准服务价格之外的一次性、限制优惠，优惠内容不包括赠送服务项目的修改、更新及维护费用，并且赠送服务项目不可折价冲抵服务价格。 3.5 客户对其应当支付的服务费用有异议的，应当以书面方式向天翼云提出核对申请。经双方确认核对确有错误的，天翼云应对相应费用予以调整。 4. 服务使用规范 4.1 客户资质 4.1.1 客户承诺以其经天翼云网门户实名认证的本人身份开通和使用天翼云服务，自本协议签订时至履行中，客户应当持续具有合法有效的主体资格和业务资质，并向天翼云提供真实、合法、有效、完整的各类主体资格、业务资质文件，包括但不限于： （1）开办网站的，客户应当保证所开办的全部网站均获得国家有关部门的许可或批准； （2）提供非经营性互联网信息服务的，客户应当办理非经营性网站备案，并保证所提交的所有备案信息真实有效，在备案信息发生变化时及时在备案系统中提交更新信息；如因未及时更新而导致备案信息不准确，天翼云有权依法采取暂停或终止提供天翼云服务、断开网络接入等关闭处理措施； （3）网站提供经营性互联网信息服务的，客户应当自行在当地通信管理部门取得经营性网站许可证； （4）提供BBS等电子公告服务的，客户应当根据相关法规政策要求备案或获得相应批准； （5）经营互联网游戏网站的，客户应当依法获得网络文化经营许可证； （6）经营互联网视频网站的，客户应当依法获得信息网络传播视听节目许可证； （7）从事新闻、出版、教育、医疗保健、药品和医疗器械等互联网信息服务，客户应当依照法律、行政法规以及国家规定经有关主管部门审核同意，在申请经营许可或者履行备案手续前，应当依法经有关主管部门审核同意。 除上述许可、批准外，如客户从事相关法律法规和监管要求应当具备的其他资质、许可和批准的，客户应当获得相应的资质、许可或批准。 4.1.2 自本协议签订时至履行中，如客户不具备本协议约定的资质条件，天翼云有权暂停提供天翼云服务、要求客户在限期内改正或直接解除本协议，并追究客户相应责任。如主体资格、资质证明文件所记载内容出现变更，客户应当在完成变更后尽快向天翼云提供最新的文件。 4.1.3 客户使用天翼云服务开展互联网信息服务等相关业务的，应当根据天翼云要求签订《网络及信息安全承诺书》（见《中国电信天翼云网门户用户协议》），并严格遵守该文件中的承诺。 4.2 账户安全 4.2.1 天翼云向客户提供天翼云服务时，将向客户提供在天翼云网门户中具有唯一识别性的账户，供客户通过该账户登陆天翼云网门户、使用天翼云服务。客户账号和密码是客户办理、使用天翼云服务的重要凭证，除非另有约定或说明，凡该账户所发出的指令及相关行为均视为客户或客户授权的行为，客户应承担由此造成的一切后果和责任。 4.2.2 客户负责其在天翼云网门户中的账号和密码的保密和使用安全，对于天翼云在天翼云服务中向客户提供相关账户的初始密码，客户应当第一时间重新设置密码，并妥善保管。 4.2.3 客户发现其账号或密码被他人非法使用或有使用异常情况的，应当及时根据天翼云公布的处理方式通知天翼云采取措施暂停该账号的登录和使用。天翼云在收到客户要求采取措施暂停其账号登录和使用的通知后，将要求客户提供客户的有效身份证明文件；经核实客户所提供身份证明文件信息与其注册的身份信息相一致的，天翼云应当及时采取措施暂停客户账号的登录和使用。客户没有提供其有效身份证明文件或者所提供身份证明文件所载信息与所注册的身份信息不一致的，天翼云有权拒绝客户前述请求，由此造成的损失由客户自行承担。因客户原因导致账号或密码泄露或为他人获取的，由客户自行承担损失和责任，但天翼云有义务协助客户或公安机关调查相关情况。 4.2.4 客户应当向天翼云提交执行本协议的联系人和管理客户在天翼云网门户中的账号和密码的人员名单和联系方式。如以上人员发生变动，客户应当自行将变动后的信息进行在线更新并及时通知天翼云，因客户提供的信息不真实、不准确、不完整，以及以上人员的行为或不作为而产生的结果，均由客户承担。 4.3 客户使用天翼云服务，应当满足本协议、天翼云服务合同及规则的要求。客户应当按照本协议约定（包括但不限于《专用服务条款》）向天翼云提供必要技术参数，包括但不限于IP地址段及对应的应用类型、服务器相关参数、组网结构和网络资源等情况，积极配合天翼云完成相关服务工程的实施、调测，以确保服务的正常运行。 4.4 客户对由天翼云分配的IP地址具有使用权，且不可以任何方式转由他人使用。客户不得私自使用天翼云未分配给客户的IP地址。客户不再使用天翼云服务时，相关IP地址使用权由天翼云收回。 4.5 未经天翼云事先书面同意，客户不得将本协议项下的服务以任何方式提供给其他第三方（双方对允许客户下属机构使用本协议项下服务事宜另有约定的除外）使用。否则，天翼云有权终止本协议，并追究客户相应责任。 4.6 如客户违反在本协议及附件中任一项保证的，包括但不限于在本协议签订时不具备开展业务所需的全部资质许可、未履行相关手续，或在服务期限内丧失全部或部分资质许可的，天翼云有权暂停提供天翼云服务，并要求客户在限期内改正；如客户在限期内未改正的，天翼云有权解除本协议，并不承担任何责任。客户应当承担违约责任，并赔偿天翼云的相应损失。 5.网络及数据安全 5.1 客户使用天翼云服务必须遵守《中华人民共和国网络安全法》（“《网络安全法》”）《中华人民共和国电信条例》《中华人民共和国计算机信息网络国际联网暂行规定》和其他有关法律、法规或相关规定，不得存在任何违法违规行为，不得侵犯天翼云以及任何第三方的合法权益。 5.2 客户使用天翼云服务以及通过天翼云服务所发布、传输或存储的信息内容应当符合《中国电信天翼云网门户用户协议》等相关规则以及《网络及信息安全承诺书》的要求，不得有任何危害或可能危害天翼云网门户、天翼云服务相关业务平台、以及天翼云网络安全和信息安全的行为。 5.3客户应当对其存放在天翼云网门户上的数据以及进入和管理天翼云网门户上各类产品与服务的口令、密码的完整性和保密性负责，并应采取必要、有效的保密和安全保护措施，包括但不限于规范数据访问和账号使用的权限管理、设置高强度密码并定期更换等。因客户维护不当或保密不当致使上述数据、口令、密码等丢失或泄漏所引起的损失和后果均由客户承担。 5.4 客户使用相关服务时，应当自行对云主机上的数据进行定期备份（包括不限于应用程序、数据库、系统配置文件等）并承担由其自身原因造成的数据丢失、遗漏、毁损的风险，天翼云对此无需承担责任。 5.5 对于客户使用天翼云服务所涉自身信息和资料、数据（包括但不限于商业秘密等）、最终用户及其他相关主体的信息和资料、数据等，客户负责保密并依法承担网络及信息安全责任，并自行承担由此产生的一切后果和责任。 5.6客户须依照《网络安全法》、《互联网信息服务管理办法》等法律法规的规定保留其网站的访问日志记录，包括发布的信息内容及其发布时间、互联网地址（IP）、域名等，国家有关机关依法查询时应当配合提供。未按规定保留相关记录而引起的相应法律责任由客户承担。 5.7对于客户通过天翼云提供的天翼云服务，加工、存储、上传、下载、分发以及通过其他方式处理的数据，天翼云承诺采取保密措施，不向第三方披露，不用于本协议之外的目的，但以下情况除外： （1）依据本协议或者用户与天翼云之间其他协议、合同等可以提供的； （2）依据法律法规的规定或行政、司法等职权部门要求应当提供的； （3）在不违反本协议约定的前提下，该保密信息已经公开或能从公开领域获得； （4）为提供客户所要求的软件或服务之需向第三方披露。 5.8客户可自行对其业务数据进行删除、更改等操作，但应谨慎操作。如客户释放服务或删除数据的，天翼云将按照客户的指令不再保留该数据。 5.9当服务期届满或服务因任何原因提前终止或客户发生欠费时，除法律法规明确规定、主管部门要求或双方另有约定外，天翼云仅在本协议约定的一定期限内继续存储客户的业务数据（如有），期限届满天翼云将删除客户的所有业务数据，包括所有缓存或者备份的副本。 5.10客户的业务数据一经删除，即不可恢复；客户应承担数据因此被删除所引发的后果和责任，客户理解并同意，天翼云没有继续保留、导出或者返还客户业务数据的义务。 5.11客户理解并同意，出于客户数据及系统安全的考虑，客户需要天翼云工程师直接对其相关服务进行操作时，客户应当以邮件、工单、电话等方式进行授权。客户应当指定唯一的联系人作为授权人（维护人）并由其在需要时指示天翼云进行相关操作，且仅有该授权人有权要求天翼云对相关服务进行操作。且天翼云仅负责操作系统以下的底层部分的运营维护，操作系统及之上部分（如客户在系统上安装的应用程序）由客户自行负责。此外，在授权期间客户未与天翼云沟通，自行进行操作而造成服务不可用等风险，由客户承担。 6. 知识产权 6.1客户使用天翼云服务时，对于客户自行提供并使用的软件、传输或存储的行为或内容，客户应保证该等软件、行为或内容的合法性和不侵权。如任何第三方主张客户的上述软件、行为或内容侵犯其所有权或者知识产权等合法权益，客户应当负责解决，并赔偿天翼云因此而承担的一切费用和损失；同时，天翼云有权视情况终止天翼云服务的全部或部分内容。 6.2 客户确认，天翼云向客户提供天翼云服务所涉相关软件、资料、数据等的知识产权属于天翼云或天翼云具有许可/使用权；未经天翼云同意，客户无权复制、传播、转让、许可或提供他人使用这些资源，否则应当承担相应的责任。对于天翼云提供的操作系统等软件，客户不得采取修改、翻译、改编、出租、转许可、在信息网络上传播或转让等方式，也不得逆向工程、反编译或试图以其他方式发现天翼云提供的软件的源代码。 7. 保密条款 7.1天翼云承诺对客户使用天翼云服务时提交或知悉的信息采取保密措施，不向第三方披露，除非： （1）依据本协议或者客户与天翼云之间其他协议、合同等可以提供的； （2）依据法律法规的规定或行政、司法等职权部门要求应当提供的； （3）在不违反本协议或者客户与天翼云之间其他协议、合同约定的前提下，该保密信息已经公开或能从公开领域获得。 但是，天翼云向其关联公司提供或披露与客户业务有关的资料和信息的，不受此限。天翼云的关联公司是指天翼云现在或将来控制、受控制或与其处于共同控制下的任何公司、机构以及上述公司或机构的合法继承人。其中“控制”是指直接或间接地拥有影响所提及公司管理的能力，无论是通过所有权、有投票权的股份、合同或其他被人民法院认定的方式。 7.2 未经天翼云书面许可，客户不得向第三方提供或者披露因本协议的签订和履行而得知的与天翼云业务有关的资料和信息，法律法规另有规定或本协议另有约定的除外。 7.3 本保密条款在本协议有效期内及终止后持续有效。 8.违约责任 8.1任何一方未履行本协议项下的义务均被视为违约。违约方应承担因违约给对方造成的损失。 8.2 如客户发生以下任一情形的，天翼云有权视情节严重程度采取中止或终止履行本协议、解除本协议等措施并不承担违约责任。如该情形导致第三方向天翼云提出法律或行政程序，客户应负责解决。如该情形给天翼云损失的，客户应全额赔偿： （1）被行政机关纳入“严重违法失信”名单； （2）被人民法院纳入“失信被执行人”名单； （3）被天翼云（含天翼云上级单位）纳入违规失信合作商名单； （4）如存在网络和信息安全违法、违规行为的，包括但不限于因网络和信息安全问题承担刑事责任或受到行政处罚，被列入各级公安机关的涉通讯信息诈骗违法犯罪高危自然人或法人名单、电信业务经营不良名单、失信名单等; （5）其他相关法律法规规定或有权机关认定的违法失信情形，以及可能导致合同履行风险或侵害天翼云合法权益或声誉的违规失信情形。 9.责任限制 9.1客户理解并充分认可，天翼云系按照“现状”和“可得到”的状态向客户提供天翼云服务。天翼云对天翼云服务不作任何明示或暗示的保证，包括但不限于服务的适用性、没有错误或疏漏、持续性、准确性、可靠性、适用于某一特定用途。同时，天翼云不对天翼云服务所涉及的技术及信息的有效性、准确性、正确性、可靠性、质量、稳定、完整和及时性做出任何承诺和保证。但天翼云承诺尽职尽责、诚实信用完成天翼云服务。 9.2 客户知悉并理解天翼云无法保证其所提供的服务毫无瑕疵，但天翼云承诺不断提升服务质量及服务水平。客户确认并同意：若天翼云提供的服务瑕疵是当时行业技术水平所无法避免的，将不视为天翼云违约，客户将配合天翼云共同合作解决上述瑕疵问题。 9.3 天翼云将依照法律法规要求对其系统、设备等采取基础的安全保护措施。若客户对安全保护措施的要求高于前述基础的安全保护措施标准的，应当根据自身需求购买配置更高的安全保护服务或另行配置其他安全防护软件、系统等。因客户未自行对使用的计算机信息系统、设备等采取必要的、有效的安全保护措施导致权益受损的，由客户自行承担责任。 9.4 客户理解并充分认可，虽然天翼云已经建立（并将根据技术的发展不断完善）必要的技术措施来防御包括计算机病毒、网络入侵和攻击破坏（包括但不限于DDOS）等危害网络安全事项或行为（以下统称该等行为），但鉴于网络安全技术的局限性、相对性以及该等行为的不可预见性，以及用户操作不当、或用户通过非天翼云网门户授权的方式使用服务，以及可能发生的不可抗力事件，对服务的持续性、准确性、可靠性、适用性等造成影响的，天翼云不对该等情形导致的任何损害赔偿承担责任，包括但不限于利润、商誉、数据财产等损失的损害赔偿。如因客户账户遭遇该等行为而给天翼云或者天翼云网络或服务器（包括但不限于本地及外地和国际的网络、服务器等）带来危害，或影响天翼云与国际互联网或者天翼云与特定网络、服务器及天翼云内部的通畅联系，天翼云有权决定暂停或终止服务，如因客户原因给天翼云带来重大网络事故，天翼云将保留向客户主张赔偿的权利，涉及犯罪的，客户应当依法承担刑事责任。 9.5 如政府管理部门提出要求的，天翼云将暂停或终止提供相应服务，且不承担任何责任。 9.6本协议（包括但不限于在《专用服务条款》、天翼云服务等级协议、天翼云网门户展示的具体产品/服务的相关服务规则中）约定了在特定的“服务不可用”情况下，天翼云的补偿责任（如有）。尽管有该等约定，客户同意并认可，以下原因导致天翼云提供的天翼云服务不可用的情况不计在不可用时间内： （1）天翼云事先通知客户后进行系统维护所引起的，包括割接、维修、升级和模拟故障演练等； （2）任何天翼云所属设备以外的网络、设备故障或配置调整引起的； （3）客户的应用程序或安装活动所引起的； （4）客户的应用程序或数据信息受到黑客攻击而引起的； （5）客户的疏忽或由客户授权的操作所引起的； （6）客户维护不当或保密不当致使数据、口令、密码等丢失或泄漏所引起的； （7）客户自行升级操作系统所引起的； （8）由于操作系统漏洞导致的； （9）其他非天翼云原因所造成的不可用。 9.7《专用服务条款》可能会对天翼云的责任限制有进一步约定，客户使用天翼云提供的服务同样受到该等责任限制的约束，敬请客户关注。 10.不可抗力 如由于战争、骚乱、恐怖主义、自然灾害、突发公共卫生事件、国家法律法规或规章变动、停电、通信线路被人为破坏，导致天翼云和客户双方或一方不能履行或不能完全履行本协议项下有关义务时，受影响方不承担违约责任，但应当于该等情形发生后十五（15）日内将情况书面告知对方，并提供有关部门的证明。在影响消除后的合理时间内，一方或双方应当继续履行合同。如因此导致本协议不能或者没有必要继续履行的，任何一方有权解除本协议。 11. 法律适用及争议解决 11.1本协议适用中华人民共和国法律。 11.2所有因本协议引起的或与本协议有关的任何争议，将通过双方友好协商解决。如果双方不能通过友好协商解决争议，则任何一方可以向被告所在地有管辖权的人民法院提起诉讼。诉讼进行中，双方将继续履行本协议未涉诉讼的其它部分。 12.附则 12.1 本协议的章节标题仅为行文方便而设，不具有法律或合同效力。 12.2 本协议任一条款被视为废止、无效或不可执行，该条款应视为可分的且不影响本协议及其他条款的有效性及可执行性。 12.3 天翼云有权通过在天翼云网门户上发布公告、发站内通知或邮件通知等本协议约定的方式将本协议的权利义务全部或者部分转移给天翼云的关联公司。 12.4 本协议项下之保密条款、法律适用与管辖条款以及性质上理应存续的其他条款（如客户对其向天翼云提交信息的真实性保证等），不因本协议的终止而失效。 12.5 附件为本协议不可分割的部分。如附件与本协议正文有任何冲突，以本协议正文为准。

本节介绍节点自动弹性伸缩。 节点伸缩概述 支持Pod Pending、指标监控、告警触发、定时触发等多种自动弹性伸缩场景；通过创建节点池并开启自动弹性伸缩，可轻松应对IDC资源不足及流量高峰需求。 前提条件 节点自动弹性伸缩仅支持按需计费类型的节点池； 节点自动伸缩前需安装 cubeclusterautoscaler 插件； 自动弹性伸缩节点 1. 在集群管理页面，点击进入目标集群，在左侧导航栏，选择 节点>节点池 >创建节点池 ，选择按需计费类型的节点池，并配置所需节点池信息，选择合适的操作系统镜像和填入节点部署脚本，参考 创建节点池操作； 2. 在左侧导航栏，选择 插件>插件市场 找到 cubeclusterautoscaler插件并安装； 3. 插件安装成功后，在左侧导航栏，选择 节点>节点池 ，在节点池列表页面，点击目标节点池右侧 更多选项 ，开启弹性伸缩，并配置伸缩规则； 4. 当满足伸缩规则时，自动扩缩容该节点池内节点，可在目标节点池详情页面，伸缩活动页签查看自动扩缩容操作； 5. 在左侧导航栏，配置中心 > 弹性伸缩配置处，也可以配置弹性扩容、缩容内容，包括检查周期、扩容上限、扩容算法、缩容策略等，请用户根据需要自行配置；

本小节介绍查看容器告警事件。 企业主机安全可对您已开启的告警防御能力提供总览数据，帮助您快速了解安全告警概况包括存在告警的容器、待处理告警事件、已处理告警事件。 事件列表仅保留近30天内发生的告警事件，您可以根据自己的业务需求，自行判断并处理告警，快速清除资产中的安全威胁。 告警事件处理完成后，告警事件将从“未处理”状态转化为“已处理”。 约束限制 未开启防护的服务器不支持告警事件相关操作。 操作步骤 1、登录管理控制台。 2、在左侧导航栏中选择“入侵检测 > 安全告警事件 > 容器安全告警”，进入“容器安全告警”页面，查看容器告警事件信息。 查看容器告警事件概览。 安全告警统计：您可以查看存在告警的容器数量，以及待处理和已处理告警事件数量。 威胁等级：您可以查看容器存在的告警等级分布数量。 TOP事件类型：您可以查看容器中告警数量排在前五的事件类型。 查看容器告警事件分类列表。 在“事件类型”栏，选择告警事件类型，查看每个事件类型对应的告警事件列表。在告警事件列表中可以查看告警威胁等级、告警名称、受影响容器实例名称等信息。 查看容器告警事件详细信息。 单击目标告警事件的告警名称，进入告警事件详情页面，可以查看容器ID、IP地址、虚拟机名称、镜像ID等信息。

RabbitMQ专享实例是否支持公网访问？ RabbitMQ专享实例支持公网访问。 在创建RabbitMQ专享实例的“更多”选项中，选择开启“公网访问”可自主控制是否进行公网访问，并选择已购买的弹性IP及带宽。或创建完后，在实例详情页中将公网访问开关打开。 RabbitMQ实例是否支持跨VPC和跨子网访问？ RabbitMQ实例支持跨VPC和子网访问，可以通过创建VPC对等连接，将两个VPC的网络打通，实现跨VPC访问实例。 SSL方式连接RabbitMQ实例失败？ 首先排查安全组的入方向规则，是否放开了端口5671（SSL方式访问）或5672（非SSL访问）。 其次，参考如下内容配置SSL单向认证： ConnectionFactory factory new ConnectionFactory(); factory.setHost(host); factory.setPort(port); factory.setUsername(user); factory.setPassword(password); factory.useSslProtocol(); Connection connection factory.newConnection(); Channel channel connection.createChannel(); 客户端是否可以通过DNAT方式访问RabbitMQ实例？ 可以。 为什么RabbitMQ集群只有一个连接地址？ RabbitMQ集群实例的连接地址，实际上是实例的LVS节点地址（负载均衡地址），客户端连接实例时，通过负载均衡器将客户端请求分发到集群实例的各个节点。 RabbitMQ实例集群的队列是否有备份？ RabbitMQ实例默认开启了镜像队列，会在集群中多个代理上备份队列的副本，当某个代理故障，集群会从其他正常的代理中选择一个代理，用来同步队列数据。

MSTSC 方式登录Windows物理机 Windows物理机可使用本机MSTSC方式登录。 前提条件 物理机已安装GUI。 物理机已绑定弹性IP。 物理机已开启远程桌面协议RDP。使用公共镜像创建的物理机默认已打开RDP。 远程登录功能使用系统配置的自定义端口进行访问。确保所需使用的端口未被防火墙屏蔽。例如，如果远程登录的链接是“xxx:3389”，请确保端口3389没有被防火墙屏蔽。 如果客户端操作系统使用了本地代理，且用户无法配置代理的防火墙端口，请在使用远程登录功能之前关闭代理模式。 操作步骤 1. 登录控制中心。 2. 单击控制中心顶部的，选择“地域”，此处我们选择内蒙6。 3. 单击“左侧导航栏>服务列表”，选择“计算 > 物理机服务”。 4. 在目标物理机的“IPv4地址”列，复制“弹性IP(公)”。 5. 在本机使用“Win+R” 快捷键打开运行提示框，输入“mstsc”后单击“确定”。运行界面如下图： 6. 在“远程桌面连接”页面，单击左下角“显示选项”展开登录设置。在“计算机”输入框粘贴步骤4复制的弹性IP，在“用户名”输入框输入“Administrator”。 7. 单击连接，在弹框输入创建物理机过程中设置好的密码，再单击“确定”完成登录。

接口描述：调用本接口查询域名的IP地址，及ip对应的区域，运营商信息 请求方式：post 请求路径：/auxiliarytools/queryvipsdetailbydomain 使用说明： 单个用户一分钟限制调用10000次，并发不超过100 请求参数说明（json）： 参数 类型 是否必传 名称 描述 ::::: domain list 是 域名列表 最多支持５个 返回参数说明： 参数 类型 是否必传 名称及描述 :::: code int 是 状态码 message string 是 描述信息 result list 否 返回结果数组 result[].domain string 否 域名 result[].details list 否 域名对应的vip列表信息 result[].details[ ].vips string 否 vip信息，多个用逗号“,”分割 result[].details[ ].cityName string 否 城市名称 result[].details[ ].nodename string 否 节点名称 result[].details[ ].provinceName string 否 省份名 result[].details[ ].ispName string 否 运营商名称 示例： 请求路径： 请求参数： { "domain":[ "test.ctyun.cn" ] } 返回结果： { "code": 100000, "message": "success", "result": [ { "domain": "test.ctyun.cn", "details": [ { "vips": "xx.xx.xx.xx,xx:xx:xx:xx::", "cityName": "呼和浩特市", "nodename": "xxx1", "provinceName": "内蒙古自治区", "ispName": "中国电信" }, { "vips": "xx.xx.xx.xx,xx:xx:xx:xx::", "cityName": "通州区", "nodename": "xxx2", "provinceName": "北京市", "ispName": "中国电信" } ] } ] } 错误码请参考：参数code和message含义

组件 参数 详情 默认 修改限制 容器引擎Docker配置 nativeumask execopt native.umask normal 不支持修改 dockerbasesize storageopts dm.basesize 0 不支持修改 insecureregistry 不安全的镜像源地址 false 不支持修改 limitcore 核数限制，节点池中创建的节点总核数不能超过该值 5368709120 defaultulimitnofile 容器内句柄数限制 {soft}:{hard} 该值大小不可超过节点内核参数nropen的值，且不能是负数。 节点内核参数nropen可通过以下命令获取：sysctl a grep nropen kubeproxy组件配置 conntrackmin sysctl w net.nfconntrackmax 131072 支持在节点池生命周期中修改 conntracktcptimeoutclosewait sysctl w net.netfilter.nfconntracktcptimeoutclosewait 1h0m0s kubelet组件配置 cpumanagerpolicy cpumanagerpolicy none 支持在节点池生命周期中修改 kubeapiqps 与kubeapiserver通信的qps 100 kubeapiburst 与kubeapiserver通信的burst 100 maxpods kubelet管理的pod上限 4020 podpidslimit k8s 限制进程数 1 withlocaldns 是否使用本地IP作为该节点的ClusterDNS false eventqps 事件创建QPS限制 5 allowedunsafesysctls 允许使用的不安全系统配置。 CCE从 1.17.17 集群版本开始，kubeapiserver开启了pod安全策略， 需要在pod安全策略的allowedUnsafeSysctls中增加相应的配置才能生效（1.17.17以下版本的集群可不配置）。 [] kubereservedmemsystemreservedmem 节点内存预留。 随节点规格变动，具体请参见节点预留资源计算公式 kubereservedmem，systemreservedmem之和小于内存的一半 topologymanagerpolicy 设置拓扑管理策略。合法值包括： restricted：kubelet 仅接受在所请求资源上实现最佳 NUMA对齐的Pod。 besteffort：kubelet会优先选择在 CPU 和设备资源上实现NUMA对齐的Pod。 none（默认）：不启用拓扑管理策略。 singlenumanode：kubelet仅允许在 CPU和设备资源上对齐到同一NUMA节点的Pod。 none 支持在节点池生命周期中修改须知修改topologymanagerpolicy和topologymanagerscope会重启kubelet， 并且以更改后的策略重新计算容器实例的资源分配，这有可能导致已经运行的容器实例重启甚至无法进行资源分配。 topologymanagerscope 设置拓扑管理策略的资源对齐粒度。合法值包括： container （默认)：对齐粒度为容器级 pod：对齐粒度为pod级 container oversubscriptionresource 节点超卖特性。仅 弹性云主机物理机 类型的节点池可见，设置为true表示开启节点超卖特性。 nicminimumtarget 节点池级别的节点最少绑定容器网卡数 默认：10 nicmaximumtarget 节点池级别的节点预热容器网卡上限检查值 默认：0 nicwarmtarget 节点池级别的节点动态预热容器网卡数 默认：2 nicmaxabovewarmtarget 节点池级别的节点预热容器网卡回收阈值 默认：2 容器引擎Containerd配置（仅使用Containerd的节点池可见） devmapperbasesize 单容器可用数据空间 不支持修改 limitcore 核数限制 5368709120 defaultulimitnofile 容器内句柄数限制 1048576 该值大小不可超过节点内核参数nropen的值，且不能是负数。 节点内核参数nropen可通过以下命令获取：sysctl a grep nropen

本节介绍如何查看日志审计列表及如何进行日志设置。 日志审计会记录事件的操作时间、用户名、来源IP、操作类型、所属模块、是否执行成功、操作行为等信息。 查看日志审计列表 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“平台管理 > 日志审计”，进入日志审计页面。 3. 查看日志审计列表：日志列表上方支持按照“用户名”、“操作行为”、“来源IP”、“操作类型”、“所属模块”、“是否执行成功”和操作时间段进行筛选查看。系统默认筛选出近一个月内的日志信息。 日志审计参数说明： 参数 说明 操作时间 记录的操作行为发生的时间。 用户名 操作用户的用户名。 来源IP 操作用户的IP地址。 操作类型 操作类型分为更新、查看、删除、登录/退出、未知这些类型。 所属模块 操作行为对应的功能模块，包括仪表盘、告警响应、镜像安全、容器安全、节点安全、平台管理、安装配置等模块。 是否执行成功 分为“执行成功”和“执行失败”两种类型。 操作行为 具体的操作行为信息。 日志设置 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“平台管理 > 日志审计”，进入日志审计页面。 3. 单击页面右上角的“设置”图标，进入日志设置页面。 4. 可选择是否开启用户“查看类型的操作记录审计”，设置“操作审计保留时间”。 5. 单击“保存”，完成配置。

约束与限制 存量的master节点不支持更换操作系统。 基于私有镜像的节点不支持节点池升级，因此也不支持更换操作系统。 功能说明 升级方式 说明 实现方式 开通新集群 新版本的操作系统发布后，集群订购页默认提供最新版本的操作系统，旧版本的操作系统将不在集群订购页面提供，因此可以通过开通新集群的 方式来获取并使用最新版本的操作系统。 通过选择所需操作系统开通新集群实现 新建节点池并扩容 新版本的操作系统发布后，节点池订购页默认提供最新版本的操作系统，旧版本的操作系统将不在节点池订购页面提供，因此可以通过新建节点池 的方式来获取并使用最新版本的操作系统。 通过选择所需操作系统新建节点池并扩容节点实现 更换节点池操作系统 升级节点池可以选择更换操作系统，因此可以选择升级到新版本的操作系统，该功能通过节点重置方式实现。 通过升级节点池的更换操作系统功能实现 操作步骤 开通新集群 开通新集群操作步骤参见订购集群，其中master节点默认采用最新版本CTyunOS操作系统，工作节点用户根据需要选择所需类型的的操作系统。 新建节点池并扩容 新建节点池步骤参见节点池管理，节点池扩容参见扩缩容节点池，通过扩容节点池可以应用新版本的操作系统，通过缩容节点池可以弃用旧版本的操作系统。

本文主要介绍 Service概述。 直接访问Pod的问题 Pod创建完成后，如何访问Pod呢？直接访问Pod会有如下几个问题： Pod会随时被Deployment这样的控制器删除重建，那访问Pod的结果就会变得不可预知。 Pod的IP地址是在Pod启动后才被分配，在启动前并不知道Pod的IP地址。 应用往往都是由多个运行相同镜像的一组Pod组成，逐个访问Pod也变得不现实。 举个例子，假设有这样一个应用程序，使用Deployment创建了前台和后台，前台会调用后台做一些计算处理。后台运行了3个Pod，这些Pod是相互独立且可被替换的，当Pod出现状况被重建时，新建的Pod的IP地址是新IP，前台的Pod无法直接感知。 图 Pod间访问 使用Service解决Pod的访问问题 Kubernetes中的Service对象就是用来解决上述Pod访问问题的。Service有一个固定IP地址（在创建CCE集群时有一个服务网段的设置，这个网段专门用于给Service分配IP地址），Service将访问它的流量转发给Pod，具体转发给哪些Pod通过Label来选择，而且Service可以给这些Pod做负载均衡。 那么对于上面的例子，为后台添加一个Service，通过Service来访问Pod，这样前台Pod就无需感知后台Pod的变化。 图 通过Service访问Pod

本文介绍对象存储性能优化最佳实践。 批量上传大量文件至对象存储 批量上传大量文件至对象存储，如某应用系统日志文件上传。尤其是MB左右及以下海量对象场景，推荐使用随机前缀的对象名，从而能够使业务请求均匀分布在多个分区，达到水平扩展性能最优的效果。 示例： 如某应用日志文件归档，原本上传对象为如下形式： /log/2022061001.log.tar.gz /log/2022061002.log.tar.gz /log/2022061004.log.tar.gz ... /log/2022061101.log.tar.gz /log/2022061102.log.tar.gz /log/2022061103.log.tar.gz /log/2022061104.log.tar.gz 建议为对象名添加3位以上16进制哈希前缀： /8bclog/2022061001.log.tar.gz /95dlog/2022061002.log.tar.gz /6c5log/2022061003.log.tar.gz /da3log/2022061004.log.tar.gz ... /a7clog/2022061101.log.tar.gz /2bclog/2022061102.log.tar.gz /ea7log/2022061103.log.tar.gz /1d8log/2022061104.log.tar.gz 大量上传GB级以上大文件至对象存储 当上传GB及以上大文件甚至是TB级文件（如大型镜像安装包、高清视频文件等）时，推荐使用分段方式进行上传。 采用单次方式上传文件存在5GB大小的限制，并且一旦出现网络波动等原因导致传输中断，需要完整的重新上传整个文件，开销较大。因此，建议使用分段的方式上传大文件，一个文件的多个分段并发上传同时能够提升性能。

常见的购买类问题Q&A。 如何开通ECX服务？ 可前往ECX控制台自助购买ECX服务，目前已开放边缘虚拟机、边缘网络、边缘裸金属自助购买服务，裸金属开放资源比较少，部分资源已售罄，如需购买您可以先联系您的客户经理、线上咨询或拨打客服热线电话寻求帮助，热线电话：4008109889转1咨询。 为什么不能购买包年包月或按需计费产品？ 不能购买的常见原因如下： 您的账号未通过实名认证，如需购买ECX产品，必须完成实名认证。如果是企业或组织，请联系您的客户经理完成认证。 您选购的实例规格占用的vCPU、内存、VPC或其他指标已超出了账号的配额，请通过 天翼云官网我的工单管理新建工单，或联系您的客户经理提高配额。 您的账号没有自助下单的权限，或没有购买按需计费产品的权限，请联系您的客户经理修改权限。 购买包年包月的ECX虚拟机时，是否可以选择带宽按使用流量计费？ 可以，需单独购买包年包月的虚拟机、按需计费的带宽，然后在ECX控制台边缘虚拟机实例 或ECX控制台边缘网络公网IP&带宽中进行绑定即可。 购买边缘虚拟机实例时，系统盘建议设置多大？ “宿主共享型”实例规格会指定系统盘的大小，其他类型实例规格可用户自定义，系统允许系统盘设置在20～500GB之间，非特殊情况，推荐设置在100GB以内。考虑到部分镜像对系统盘大小有要求，建议添加数据盘，数据优先存储在数据盘。

接口介绍 此接口用于开启桶静态网站托管配置，主要用于设置默认主页、默认404页和RoutingRule。RoutingRule用来指定3xx跳转规则以及镜像回源规则。（该接口已下线） 接口约束 1. 该接口主要用于设置默认主页、默认404页和RoutingRule。RoutingRule用来指定3xx跳转规则以及镜像回源规则。 2. 将一个Bucket设置为静态网站托管模式时，如果指定了索引页面或错误页面，则指定的索引页面和错误页面为该Bucket内的某个Object。 3. 将一个Bucket设置为静态网站托管模式后，对静态网站根域名的匿名访问，将返回索引页面。 请求URI PUT /v1/website/{bucket} 路径参数 参数 是否必填 参数类型 说明 示例 bucket 是 String 桶名称 testBucket Query参数 参数 是否必填 参数类型 说明 示例 下级对象 website 是 String 固定参数 website 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 ContentType 是 String 消息体格式 application/xml 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 WebsiteConfiguration 是 Array of Objects 静态网站托管设置根节点 WebsiteConfiguration 表 WebsiteConfiguration 参数 是否必填 参数类型 说明 示例 下级对象 IndexDocument 否 Array of Objects 设置默认主页，IndexDocument和RedirectAllRequestsTo二选一，如果同时设置最终只有RedirectAllRequestsTo生效 IndexDocument ErrorDocument 否 Array of Objects 设置404页面的容器 ErrorDocument RedirectAllRequestsTo 否 Array of Objects 对此桶的网站端点的每个请求的重定向行为，IndexDocument和RedirectAllRequestsTo二选一，如果同时设置最终只有RedirectAllRequestsTo生效 RedirectAllRequestsTo RoutingRules 否 Array of Objects 路由规则配置，设置时必须配置IndexDocument RoutingRules 表 IndexDocument 参数 是否必填 参数类型 说明 示例 下级对象 Suffix 否 String 默认主页，设置默认主页后，如果访问以正斜线（/）结尾的Object，则都会返回此默认主页，如果存在IndexDocument,则必须指定该项 aa.html 表 ErrorDocument 参数 是否必填 参数类型 说明 示例 下级对象 Key 否 String 错误页面，指定错误页面后，如果访问的Object不存在，则返回此错误页面 bb.html 表 RedirectAllRequestsTo 参数 是否必填 参数类型 说明 示例 下级对象 HostName 否 String 请求重定向的主机名，果存在RedirectAllRequestsTo,则必须指定该项 Protocol 否 String 重定向请求时使用的协议。默认是原始请求中使用的协议 表 RoutingRules 参数 是否必填 参数类型 说明 示例 下级对象 RoutingRule 否 Array of Objects 路由规则具体配置 RoutingRule 表 RoutingRule 参数 是否必填 参数类型 说明 示例 下级对象 Condition 否 Array of Objects 用于描述应用指定重定向必须满足的条件 Condition Redirect 否 Array of Objects 容器用于重定向信息，可以将请求重定向到另一个主机、另一个页面或使用另一种协议，在发生错误时，可以指定要返回的不同错误代码 Redirect 表 Condition 参数 是否必填 参数类型 说明 示例 下级对象 KeyPrefixEquals 否 String 只有匹配此前缀的Object才能匹配此规则 /docs HttpErrorCodeReturnedEquals 否 String 应用重定向时的HTTP错误代码，在发生错误时，如果错误代码等于此值，则应用指定的重定向。当Condition被指定且元素KeyPrefixEquals未被指定时需要。如果两者都指定了，那么要应用重定向，两者都必须为真 403 表 Redirect 参数 是否必填 参数类型 说明 示例 下级对象 HostName 否 String 跳转时的域名，域名需符合域名规范 HttpRedirectCode 否 String 跳转时返回的状态码 301,302 Protocol 否 String 跳转时的协议 http,https ReplaceKeyPrefixWith 否 String Redirect时Object名称的前缀将替换成该值。如果前缀为空，则将这个字符串插入Object名称的前面 ReplaceKeyWith 否 String Redirect时Object名称将替换成ReplaceKeyWith指定的值，ReplaceKeyWith支持设置变量

本文主要介绍关系数据库PostgreSQL版的性能概述及指标说明。 性能概述 天翼云关系数据库PostgreSQL版是一款基于云计算平台的在线关系型数据库服务，完全兼容PostgreSQL 12、13、14、15、16版本，提供单机、主备、一主两备、只读四种实例类型，提供备份、恢复、扩容、监控等数据库服务。 具有即开即用、稳定可靠、安全运行、弹性伸缩等特点，您仅需要简单的几步配置，就可在分钟级获得可用的生产数据库。天翼云数据库专家结合中国电信生产业务实践针对数据库内核及参数不断优化，不断提升服务质量，保证产品的高稳定、高可靠和高可用性。 指标说明 实例性能测试的指标包括： 每秒执行事务数TPS（Transactions Per Second） 数据库每秒执行的事务数，以COMMIT成功次数为准。 SysBench标准OLTP读写混合场景中一个事务包含18个读写SQL。 SysBench标准OLTP只读场景中一个事务包含14个读SQL（10条主键点查询、4条范围查询）。 SysBench标准OLTP只写场景中一个事务包含4个写SQL（2条UPDATE、1条DETELE、1条INSERT）。 每秒执行请求数QPS（Queries Per Second） 数据库每秒执行的SQL数，包含INSERT、SELECT、UPDATE、DETELE、COMMIT等。

前置类型 关键词 模板下载 电子商务 第一类增值电信业务，第二类增值电信业务。单位名称包含商贸、百货，上传商贸类网站承诺书 教育 教育咨询、教育咨询服务、校外培训 广播电视电影 电影电视剧、影视、电视综艺、网络影视剧、电视栏目的制作 网约车 网约车 新闻 互联网新闻信息服务、新闻、互联网新闻发布 人力资源 人力资源、劳务派遣 药品医疗器械 药品、医疗器械、一、二、三类医疗器械 文化 直播、互联网直播服务、网络文化 游戏 游戏

本最佳实践主要描述通过一站式智算服务平台进行全流程图像分类的AI开发。 概述 本最佳实践主要描述通过一站式智算服务平台进行全流程图像分类的AI开发。数据处理工程师，算法工程师，模型和服务管理人员都可以在平台上完成所需的工作，各角色的工作成果可无缝衔接。平台提供了数据集管理、模型开发与训练管理、模型管理、模型部署等功能模块。如果用户具备工程开发能力，可以通过在线IDE编码工具自行编写代码，使用平台提供的CPU、GPU算力来运行代码、训练模型。在线IDE编码工具支持用户切换各种算法框架和环境，免去用户重新安装的时间。工程师开发完成的代码可以保存到模型仓库进行统一的模型管理。 方案优势 降低建模成本：一站式智算服务平台为用户带来了便利，通过平台，用户无需进行任何额外的配置或调试，开箱即用。平台预置了丰富的预训练模型和镜像环境，针对不同场景提供了多样化预置数据集，确保用户能够迅速投入工作。 多角色功能集成：集成化的平台化工具可以将数据标注员、算法、工程化角色都容纳在平台上，提供从数据处理、模型开发、模型训练到模型部署应用的全栈服务。 平台化全流程管理：管理者统一管理和查看，让各角色参与者完美的串联协同工作，实现数据互通、环境互通，且保障数据和模型安全、不出平台，实现训练开发资产的一站式沉淀与管理，提升企业工作效率，实现流水线式AI生产。

本文介绍科研助手的计费方式。 计费说明 科研助手资源包含CPU、内存、GPU和本地存储等，根据您申请的实际实例资源规格，以及每个实例实际运行时长按需计费，计费时长从开始下载容器镜像 (docker pull) 到实例停止使用进行计算。以小时为出账周期，在每个结算周期生成账单并从账户中扣除相应费用。 计费周期 系统以“小时”为单位统计实际用量（单位取整点区间，如8:009:00），根据实际用量生成话单并结算扣费。 账单出账时间通常在当前计费周期结束后，具体出账时间以系统为准。 计费公式 实例费用的计算公式为：实例费用（实例CPU资源量 x CPU单价 +实例内存资源量 x 内存单价 +实例GPU资源量 x GPU单价+实例磁盘存储资源量 x 实例磁盘存储单价） x 实例运行时长。 产品定价 科研助手产品定价信息可参考 计费项 说明。 计费案例 用户A在2023年6月1日 8:00~9:00的计费周期内，创建一个2 vCPU、4 GB内存、1块 NVIDIA T4 16G GPU卡的开发环境实例，并在实例运行1小时后删除。则用户A在此计费周期内的费用如下： CPU费用2核 x 0.05元/核/小时 x 1 0.1元 内存费用4GB x 0.02元/GB x 1 0.08元 GPU费用1 x 4.09元/块/小时 x 1 4.09元 实例总费用CPU费用+内存费用+GPU费用0.1+0.08+4.094.27元

本节介绍如何创建JupyterLab开发机。 创建Notebook 在智算套件控制台页面选择“AI应用开发”，单击“创建Notebook”。 由于开发机会单独创建eip用于暴露服务，因此在创建时会出现 “此功能会自动帮您创建弹性IP和弹性负载均衡用于服务暴露，因此会产生一定的费用。” 的提示，确认需要启用后点击“确定”。 配置基本信息 选择开发机类型，支持JupyterLab和VSCode类型的开发机，并选择需要创建的命名空间、填写描述信息等。 选择开发机框架，平台内置了多个公共的JupyterLab框架，其中有包含Pytorch、TensorFlow的CUDA镜像可供选择。 配置工作空间 “工作空间目录配置” 默认打开，数据集挂载第一条默认为工作空间目录的配置，且只能选择私有数据集（私有数据集具有读写权限，公共数据集为只读权限）进行配置，平台会将此工作空间数据集映射到容器的/home/jovyan目录，后续使用过程中用户工作空间的持久化数据将保存到该数据集内。 “工作空间目录配置”可选择关闭，关闭后如果该开发机容器故障用户工作空间内的数据将会丢失，请谨慎选择。 数据集支持多条配置，需要确保多条不同数据集的挂载路径不会重叠、重复。

本节介绍如何创建JupyterLab开发机。 创建Notebook 在智算套件控制台页面选择“AI应用开发”，单击“创建Notebook”。 由于开发机会单独创建eip用于暴露服务，因此在创建时会出现 “此功能会自动帮您创建弹性IP和弹性负载均衡用于服务暴露，因此会产生一定的费用。” 的提示，确认需要启用后点击“确定”。 配置开发机基本信息 选择开发机类型，支持JupyterLab和VSCode类型的开发机，并选择需要创建的命名空间、填写描述信息等。 选择开发机框架，平台内置了多个公共的JupyterLab框架，其中有包含Pytorch、TensorFlow的CUDA镜像可供选择。 配置工作空间 “工作空间目录配置” 默认打开，数据集挂载第一条默认为工作空间目录的配置，且只能选择私有数据集（私有数据集具有读写权限，公共数据集为只读权限）进行配置，平台会将此工作空间数据集映射到容器的/home/jovyan目录，后续使用过程中用户工作空间的持久化数据将保存到该数据集内。 “工作空间目录配置”可选择关闭，关闭后如果该开发机容器故障用户工作空间内的数据将会丢失，请谨慎选择。 数据集支持多条配置，需要确保多条不同数据集的挂载路径不会重叠、重复。

服务端的服务异常，重启后，需要多久重新检查服务？ 在系统配置管理后台下对系统异常服务重启之后，等待23分钟后再点击“重新检查”按钮。 资产清点能对系统的账号梳理到什么程度？ 在梳理范围上，系统可以清点所有账号，包括隐藏、禁用的账号，同时支持账号变化的监控，可以查询在安装Agent后，新增、修改、删除的账号数据。 在梳理的内容上，系统可清点每个账号的如下关键信息：账号状态，gid,uid，账号shell，Home目录，登录相关信息（账号最后登录时间，终端，来源IP等），sudo权限信息，key登录相关信息，密码相关信息（密码期限，密码修改天数，密码告警，可修改天数）等各类账号信息。 数据更新什么频率？通过什么方法更新？ 资产的信息是一天更新一次，只做增量的更新。漏洞库等的更新基本上是每个月或者半个月更新一次，遇到重大的漏洞会在24小时内做POC验证，然后推给客户，可以在线更新或者客户离线手动导入。 风险发现下安全补丁和漏洞支持一键修复吗？ 安全补丁和漏洞修复要遵循科学的风险运营周期方法论，从发现安全补丁和漏洞，要进行POC测试验证，验证修复对系统和业务的影响，确保万无一失后，再进行灰度上线。同时，考虑到一键修复和批量修复过程中对于系统和业务影响属于已知的未知风险，除非有备份的系统或镜像可以恢复，即可降低风险发生造成的损失，因此不支持一键修复。

部署在云上的微服务如何进行排错？ 对于问题的定界，可以使用微服务仪表盘，通过仪表盘可以看到系统内所有微服务及其实例的实时运行情况，找到没有正常工作的节点。 找到问题节点后，可以通过APM查看问题节点的应用日志来分析具体问题。 如何解决获取依赖失败的问题？ 配置maven镜像源之后，获取依赖失败。 对于企业内部需要使用代理访问外网的情况，需要配置Maven代理，可以在用户目录（windows中如 C:Usersyang ） 下的.m2目录中setting.xml（用户配置）或Maven安装目录下的conf目录中setting.xml（系统全局配置）里配置代理来实现。 找到setting.xml文件中的标签对，在其内配置代理信息，参考如下样例。 自定义proxyid，多个proxy配置间不可重复 true http proxy认证帐号 proxy认证密码 企业的代理地址 代理地址端口号 自定义proxyid，多个proxy配置间不可重复 true http proxy认证帐号 proxy认证密码 企业的代理地址 代理地址端口号 服务名重复校验范围是什么？ 问题描述 服务名重复校验范围是什么？ 解决方法 服务名重复校验范围是微服务名称、微服务应用、微服务版本和微服务环境。 是一个微服务的主键，标识一个唯一的微服务。 请确保主键不重复。

方案优势 简化训练和部署的复杂流程：训推智算服务平台通过整合全链路的工具组件，实现了训练与部署流程的极大简化，为科研人员提供了一站式解决方案。用户无需再为繁杂的工具和环境配置而烦恼，只需专注于模型的核心研发工作。智算开发平台不仅降低了大模型开发的使用门槛，更让AI技术的普及和应用变得更加便捷和高效。 开箱即用，降低调优成本：训推智算服务平台为用户带来了便利，通过平台，用户无需进行任何额外的配置或调试，开箱即用。平台预置了丰富的预训练模型和镜像环境，针对不同场景提供了多样化预置数据集，确保用户能够迅速投入工作。同时，平台集成了大模型微调训练工具，适用于专属大模型的快速训练。此外，平台还支持分布式训练和Deepspeed加速框架，提供断点续训功能，支持小样本微调，使用户能够轻松定制专属模型，极大地降低了调优成本，提高了研发效率。 平台化全流程管理：训推智算服务平台，一个集成化的平台化工具，将以上所有角色都汇聚于一个统一的平台之上，提供从数据处理、模型开发、模型训练到最终模型部署应用的全栈服务。管理者能够在平台上实现统一管理和查看，确保各环节的无缝衔接，让各角色参与者能借助平台完美协同工作，实现数据互通、环境互通，确保数据和模型安全，全程不出平台实现训练开发资产的一站式沉淀与管理，能显著提升企业整体工作效率，实现AI生产的流水线化运作。

方案优势 简化训练和部署的复杂流程：一站式智算服务平台通过整合全链路的工具组件，实现了训练与部署流程的极大简化，为科研人员提供了一站式解决方案。用户无需再为繁杂的工具和环境配置而烦恼，只需专注于模型的核心研发工作。智算开发平台不仅降低了大模型开发的使用门槛，更让AI技术的普及和应用变得更加便捷和高效。 开箱即用，降低调优成本：一站式智算服务平台为用户带来了便利，通过平台，用户无需进行任何额外的配置或调试，开箱即用。平台预置了丰富的预训练模型和镜像环境，针对不同场景提供了多样化预置数据集，确保用户能够迅速投入工作。同时，平台集成了大模型微调训练工具，适用于专属大模型的快速训练。此外，平台还支持分布式训练和Deepspeed加速框架，提供断点续训功能，支持小样本微调，使用户能够轻松定制专属模型，极大地降低了调优成本，提高了研发效率。 平台化全流程管理：一站式智算服务平台，一个集成化的平台化工具，将以上所有角色都汇聚于一个统一的平台之上，提供从数据处理、模型开发、模型训练到最终模型部署应用的全栈服务。管理者能够在平台上实现统一管理和查看，确保各环节的无缝衔接，让各角色参与者能借助平台完美协同工作，实现数据互通、环境互通，确保数据和模型安全，全程不出平台实现训练开发资产的一站式沉淀与管理，能显著提升企业整体工作效率，实现AI生产的流水线化运作。

本章节主要介绍登录linux物理机。 约束与限制： 仅Linux物理机支持远程登录。 只有该物理机的创建者，或者拥有Tenant Administrator或Server Administrator角色的用户才能远程登录该物理机。 物理机远程登录的界面不支持中文输入法，不支持桌面图形化操作。 物理机远程登录，对Ctrl、Alt等快捷键支持不够友好，比如“Alt + ASCII码”表示的特殊字符会输出多个特殊字符。 密钥对（KeyPair）登录方式创建的Linux物理机，需要先使用密钥登录物理机（参考SSH密钥方式登录）设置密码才可以进行远程登录。具体操作如下： 使用密钥登录物理机后切换到root帐户，执行命令passwd即可设置root密码。 1. 登录天翼云，进入控制中心。 2. 选择“计算 > 物理机服务”，进入物理机页面。 3. 选择一台物理机，单击“远程登录”。开始建立连接，大约1分钟后进入登录界面，按“Enter”后输入用户名和密码即可登录。 说明 获取远程登录链接后，如果10分钟内未登录，则该链接失效，需要重新获取。 远程登录的界面如果10分钟未操作，则该页面失效，需要重新获取链接并登录。 如果在登录界面按“Enter”后没有响应，可能因为该物理机所使用的镜像未配置远程登录功能，请参考 sectionf6d0bfd17b025404 远程登录物理机后，如果控制台显示异常（比如错行、乱码），请参考

validationrules)。 9. 服务端未知字段校验提升至 Beta版，该特性默认开启，它允许选择性地打开服务端未知字段校验。这允许删除 kubelet 的客户端校验，同时保持对未知字段请求报错的核心能力。 更多信息请参考：Kubernetes 1.25 Changelog Kubernetes 1.24 Changelog 1. Dockersmin正式从 kubelet上移除。 2. Beta APIs默认关闭，现有的 Beta APIs和其新版本将保持默认开启。 3. 支持 OpenAPI v3，该版本提供以 OpenAPI v3格式发布其 API的测试支持。 4. 存储容量和卷扩容全面可用，支持通过 CSIStorageCapacity对象暴露当前的存储容量，并通过后期绑定增强使用 CSI卷的 Pod的调度。 5. NonPreemptingPriority 提升到稳定版，此功能为 PriorityClasses增加一个新选项，可以启用和禁止 Pod抢占。 6. gRPC 探针已升级至 Beta版，该特性允许为 gRPC应用程序配置启动、存活探针和就绪探针，而无需暴露 HTTP端点或使用额外的可执行文件。 7. Kubelet 凭证提供程序进入 Beta阶段，该特性允许 kubelet 使用 exec插件动态获取容器镜像仓库的凭证，而非将凭证存储在节点的文件系统上。 8. 避免 Service IP分配发生冲突，该特性允许为 Service保留静态 IP地址范围。通过手动开启此功能，集群将从 Service IP地址池中自动分配 IP，从而降低冲突的风险。 更多信息请参考：Kubernetes 1.24 Changelog

Node节点 Node节点是集群的计算节点，即运行容器化应用的节点。 kubelet：kubelet主要负责同Container Runtime打交道，并与API Server交互，管理节点上的容器。 kubeproxy：应用组件间的访问代理，解决节点上应用的访问问题。 Container Runtime：容器运行时，如Docker，最主要的功能是下载镜像和运行容器。 Master节点数量与集群规模 在CCE中创建集群，Master节点可以是1个或3个，3个Master节点会按高可用部署，确保集群的可靠性。 Master节点的规格决定集群管理Node节点的规模，创建集群时可以选择集群管理规模，这个规模就是指的集群可以有多少个Node节点，例如50节点、200节点等。 集群的网络 从网络的角度看，集群的节点都位于VPC之内，节点上又运行着容器，每个容器都需要访问，节点与节点、节点与容器、容器与容器都需要访问。 集群的网络可以分成三个网络来看。 节点网络：为集群内节点分配IP地址。 容器网络：为集群内容器分配IP地址，负责容器的通信，当前支持多种容器网络模型，不同模型有不同的工作机制。 服务网络：服务（Service）是用来解决访问容器的Kubernetes对象，每个Service都有一个固定的IP地址。 在创建集群时，您需要为各个网络选择合适的网段，确保各网段之间不存在冲突，每个网段下有足够的IP地址可用。 集群创建后不支持修改容器网络模型 ，您需要在创建前做好规划和选择。 强烈建议您在创建集群前详细了解集群的网络以及容器网络模型，具体请参见容器网络模型。

本节以下面这个所Secret为例，具体介绍Secret的用法。 密钥创建后，可在工作负载环境变量和数据卷两个场景使用。 注意 如下密钥为CCE系统使用的，请勿对其做任何操作。 不要操作kubesystem下的secrets。 不要操作任何命名空间下的defaultsecret、paas.elb。其中，defaultsecret用于SWR的私有镜像拉取，paas.elb用于该命名空间下的服务对接ELB。 使用密钥配置Pod的数据卷 使用密钥设置Pod的环境变量 本节以下面这个所Secret为例，具体介绍Secret的用法。 apiVersion: v1 kind: Secret metadata: name: mysecret type: Opaque data: username: 需要用Base64编码 password: 需要用Base64编码 注意 在Pod里使用密钥时，需要Pod和密钥处于同一集群和命名空间中。 使用密钥配置Pod的数据卷 密钥可以在Pod中作为文件使用。如下面的Pod示例所示，mysecret密钥的username和password以文件方式保存在/etc/foo目录下。 apiVersion: v1 kind: Pod metadata: name: mypod spec: containers: name: mypod image: redis volumeMounts: name: foo mountPath: "/etc/foo" readOnly: true volumes: name: foo secret: secretName: mysecret 另外，还可以指定密钥的目录路径和权限，username存放在容器中的/etc/foo/mygroup/myusername目录下。 apiVersion: v1 kind: Pod metadata: name: mypod spec: containers: name: mypod image: redis volumeMounts: name: foo mountPath: "/etc/foo" volumes: name: foo secret: secretName: mysecret items: key: username path: mygroup/myusername mode: 511 挂载Secret到数据卷还可以在界面上进行操作，在创建工作负载时，设置容器的高级设置，选择数据存储，添加本地磁盘，选择Secret即可配置。具体请参见密钥(Secret)挂载。