方法一：制作快照方式获得镜像 如果后续镜像没有变化，可采用方法一制作镜像。 具体操作如下： 找一台主机，安装容器引擎软件。 启动一个空白的基础容器，并进入容器。 例如：启动一个CentOS的容器。 docker run -it centos 执行安装任务。 yum install XXX git clone https://github.com/lh3/bwa.git cd bwa;make 请预先安装好Git，并检查本机是否有ssh key设置。 输入exit退出容器。 制作快照。 docker commit -m "xx" -a "test" container-id test/image:tag -a：提交的镜像作者。 container-id：步骤2中的容器id。可以使用docker ps -a查询得到容器id。 -m：提交时的说明文字。 test/image:tag：仓库名/镜像名:TAG名。 执行docker images可以查看到制作完成的容器镜像。

Dockerfile基本语法 FROM： 指定待扩展的父级镜像（基础镜像）。除注释之外，文件开头必须是一个FROM指令，后面的指令便在这个父级镜像的环境中运行，直到遇到下一个FROM指令。通过添加多个FROM命令，可以在同一个Dockerfile文件中创建多个镜像。 MAINTAINER： 声明创建镜像的作者信息：用户名、邮箱，非必须参数。 RUN： 修改镜像的命令，常用来安装库、安装程序以及配置程序。一条RUN指令执行完毕后，会在当前镜像上创建一个新的镜像层，接下来的指令会在新的镜像上继续执行。RUN 语句有两种形式： RUN yum update：在/bin/sh路径中执行的指令。 RUN ["yum", "update"]：直接使用系统调用exec来执行。 RUN yum update && yum install nginx：使用&&符号将多条命令连接在同一条RUN语句中。 EXPOSE： 指明容器内进程对外开放的端口，多个端口之间使用空格隔开。 运行容器时，通过设置参数-P（大写）即可将EXPOSE里所指定的端口映射到主机上其他的随机端口，其他容器或主机可以通过映射后的端口与此容器通信。 您也可以通过设置参数-p（小写）将Dockerfile中EXPOSE中没有列出的端口设置成公开。 ADD： 向新镜像中添加文件，这个文件可以是一个主机文件，也可以是一个网络文件，也可以是一个文件夹。 第一个参数：源文件（夹）。 如果是相对路径，必须是相对于Dockerfile所在目录的相对路径。 如果是URL，会将文件先下载下来，然后再添加到镜像里。 第二个参数：目标路径。 如果源文件是主机上的zip或者tar形式的压缩文件，容器引擎会先解压缩，然后将文件添加到镜像的指定位置。 如果源文件是一个通过URL指定的网络压缩文件，则不会解压。 VOLUME： 在镜像里创建一个指定路径（文件或文件夹）的挂载点，这个容器可以来自主机或者其它容器。多个容器可以通过同一个挂载点共享数据，即便其中一个容器已经停止，挂载点也仍可以访问。 WORKDIR： 为接下来执行的指令指定一个新的工作目录，这个目录可以是绝对目录，也可以是相对目录。根据需要，WORKDIR可以被多次指定。当启动一个容器时，最后一条WORKDIR指令所指的目录将作为容器运行的当前工作目录。 ENV： 设置容器运行的环境变量。在运行容器的时候，通过设置-e参数可以修改这个环境变量值，也可以添加新的环境变量。 例如： docker run -e WEBAPP_PORT=8000 -e WEBAPP_HOST=www.example.com ... CMD： 用来设置启动容器时默认运行的命令。 ENTRYPOINT： 用来指定容器启动时的默认运行的命令。区别在于：运行容器时添加在镜像之后的参数，对ENTRYPOINT是拼接，CMD是覆盖。 若在Dockerfile中指定了容器启动时的默认运行命令为ls -l，则运行容器时默认启动命令为ls -l，例如： ENTRYPOINT [ "ls", "-l"]：指定容器启动时的程序及参数为ls -l。 docker run centos：当运行centos容器时，默认执行的命令是docker run centos ls -l docker run centos -a：当运行centos容器时拼接了-a参数，则默认运行的命令是docker run centos ls -l -a 若在Dockerfile中指定了容器启动时的默认运行命令为--entrypoint，则在运行容器时如果需要替换默认运行命令，可以通过添加--entrypoint参数来替换Dockerfile中的指定。例如： docker run gutianlangyu/test --entrypoint echo "hello world" USER： 为容器的运行及RUN、CMD、ENTRYPOINT等指令的运行指定用户或UID。 ONBUILD： 触发器指令。构建镜像时，容器引擎的镜像构建器会将所有的ONBUILD指令指定的命令保存到镜像的元数据中，这些命令在当前镜像的构建过程中并不会执行。只有新的镜像使用FROM指令指定父镜像为当前镜像时，才会触发执行。 使用FROM以这个Dockerfile构建出的镜像为父镜像，构建子镜像时： ONBUILD ADD . /app/src：自动执行ADD . /app/src

为什么已有镜像自动同步不成功？ 镜像自动同步是帮助您把最新推送的镜像自动同步到其他区域镜像仓库内，后期镜像有更新时，目标仓库的镜像也会自动更新，但已有的镜像不会自动同步。 已有镜像的同步，需要手动操作： 在镜像详情页面的“镜像版本”页签选择具体的镜像版本后，单击“镜像同步”，如图1。 图1 已有镜像的同步 在弹出的对话框中，选择镜像同步的目标区域、目标组织及是否覆盖。 图2 镜像同步 父主题： 镜像同步

内网访问 当您使用的安装容器引擎的客户端为云上的E CS 或CCE节点，且机器与共享版容器镜像仓库在同一区域时，上传下载镜像走内网链路。 您无需进行任何访问配置，直接访问SWR即可。 如果您通过配置" VPC终端节点 "的方式来访问OBS，并在"VPC终端节点"设置了双端固定策略，需要将SWR存储容器镜像的OBS桶集群(可能存在一个或者多个)加入到允许访问策略范围中，否则可能导致下载镜像失败或者偶现失败，请提交工单获取不同局点SWR对应的OBS桶集群信息 父主题： 配置访问网络

应用现状 随着容器化技术的发展，越来越多的企业使用容器代替了虚拟机完成应用的运行部署。目前许多企业选择自建Kubernetes集群，但是自建集群往往有着沉重的运维负担，需要运维人员自己配置管理系统和监控解决方案。企业自运维大批镜像资源，意味着要付出高昂的运维、人力、管理成本，且效率不高。 容器镜像服务 支持Linux、ARM等多架构容器镜像托管。企业可以将镜像仓库迁移到容器 镜像服务 ，节省运维成本。 如何把已有的镜像仓库平滑地迁移到容器镜像服务？这里将介绍4种常见的方案，用户可以根据自己的实际使用场景来选择。

迁移方案 表1 迁移方案及适用场景对比 方案类型 适用场景 注意事项 使用docker命令迁移镜像至SWR 待迁移的镜像数量较少 依赖磁盘存储，需要及时进行本地镜像的清理，而且落盘形成多余的时间开销，难以胜任生产场景中大量镜像的迁移。 依赖docker程序，docker daemon对pull/push的并发数进行了严格的限制，没法进行高并发同步。 一些功能只能经过HTTP api进行操作，单纯使用docker cli 没法做到，使脚本变得复杂。 使用image-syncer迁移镜像至SWR 待迁移的镜像数量庞大 支持多对多镜像仓库同步。 支持基于Docker Registry V2搭建的docker镜像仓库服务 (如Docker Hub、Quay、Harbor等)。 同步只通过内存和网络，不依赖磁盘存储，同步速度快。 增量同步, 经过对同步过的镜像blob信息落盘，不重复同步已同步的镜像。 并发同步，能够通过配置文件调整并发数。 自动重试失败的同步任务，能够解决大部分镜像同步中的网络抖动问题。 不依赖 docker 以及其余程序。 使用image-migrator迁移镜像至SWR 待迁移的镜像数量庞大 支持将基于Docker Registry v2搭建的Docker镜像仓库中的镜像迁移到华为云SWR中。 跨云harbor同步镜像至华为云SWR 部分客户存在多云场景，并且使用某一家云上的自建Harbor作为镜像仓库 仅支持 Harbor V1.10.5 及以上版本

操作步骤 下载image-syncer到执行机上，解压并运行工具。 以v1.5.0版本为例，您也可以选择其他版本。 wget https://github.com/AliyunContainerService/image-syncer/releases/download/v1.5.0/image-syncer-v1.5.0-linux-amd64.tar.gz tar -zvxf image-syncer-v1.5.0-linux-amd64.tar.gz 创建镜像仓库的认证信息文件auth.json。 image-syncer支持基于Docker Registry V2搭建的docker镜像仓库，按格式填写即可。将源仓库及目标仓库认证信息写入，示例如下。 { "swr.××××.myhuaweicloud.com": { "username": "××××@F1I3Q……", "password": "2fd4c869ea0……" }, "swr.××××.myhuaweicloud.com": { "username": "××××@4N3FA……", "password": "f1c82b57855f9d35……" } } 其中swr.××××.myhuaweicloud.com 为镜像仓库地址，username、password可以在登录命令中获取，获取方法如下： 登录SWR控制台，在总览页面右上角单击“登录指令”，在弹出的窗口中获取登录指令，如下图所示。 图1 登录指令 创建同步镜像描述文件images.json。 如下示例，左边是源仓库的地址，右边是目的仓库地址。image-syncer还支持其他描述方式，具体请参见README-zh_CN.md。 { "swr.cn-north-4.myhuaweicloud.com/org-ss/canary-consumer": "swr.cn-east-3.myhuaweicloud.com/dev-container/canary-consumer" } 执行如下命令将镜像迁移至SWR。 ./image-syncer --auth=./auth.json --images=./images.json --namespace=dev-container --registry=swr.cn-east-3.myhuaweicloud.com --retries=3 --log=./log 表1 命令行参数说明 参数 说明 --config 设置用户提供的配置文件路径，使用之前需要创建此文件，默认为当前工作目录下的config.json文件。这个参数与 --auth和--images 的作用相同，分解成两个参数可以更好地区分认证信息与镜像仓库同步规则。建议使用 --auth 和 --images。 --images 设置用户提供的镜像同步规则文件所在路径，使用之前需要创建此文件，默认为当前工作目录下的images.json文件。 --auth 设置用户提供的认证文件所在路径，使用之前需要创建此认证文件，默认为当前工作目录下的auth.json文件。 --log 打印出来的log文件路径，默认打印到标准错误输出，如果将日志打印到文件将不会有命令行输出，此时需要通过cat对应的日志文件查看。 --namespace 设置默认的目标namespace，当配置文件内一条images规则的目标仓库为空，并且默认registry也不为空时有效，可以通过环境变量DEFAULT_NAMESPACE设置，同时传入命令行参数会优先使用命令行参数值。 --proc 并发数，进行镜像同步的并发goroutine数量，默认为5。不建议修改该参数。 --retries 失败同步任务的重试次数，默认为2，重试会在所有任务都被执行一遍之后开始，并且也会重新尝试对应次数生成失败任务的生成。一些偶尔出现的网络错误比如io timeout、TLS handshake timeout，都可以通过设置重试次数来减少失败的任务数量。 --registry 设置默认的目标registry，当配置文件内一条images规则的目标仓库为空，并且默认namespace也不为空时有效，可以通过环境变量DEFAULT_REGISTRY设置，同时传入命令行参数会优先使用命令行参数值。 迁移命令执行后，可登录目标镜像仓库，查看已迁移的镜像。

操作步骤 购买一个CCE集群。 登录CCE控制台。 在购买CCE集群页面配置集群参数，详细请参考创建集群参数配置。 等待集群创建成功。创建成功后在集群管理下会显示一个运行中的集群，且集群节点数量为0。 创建CCE节点。 集群创建成功后，您还需要在集群中创建运行工作负载的节点。CCE节点默认安装了Linux操作系统和Docker。我们可以用它创建基础镜像。 在下面的步骤中，我们将以Centos7.6为例，详细介绍如何创建JDK8基础镜像，并将它上传到SWR。 登录CCE控制台。 单击1中创建的集群，进入集群控制台。 在左侧菜单栏选择节点管理，进入节点页签，单击右上角“创建节点”，在弹框中配置节点的参数。 在网络配置中，选择“自动创建”1个弹性公网IP，带宽为5Mbit/s。 图1 网络配置 单击“下一步: 规格确认”。 查看节点规格无误后，阅读页面上的使用说明，勾选“我已阅读并知晓上述使用说明和《云容器引擎服务声明》”，单击“提交”。 等待节点创建成功。创建成功后在节点管理下会显示一个运行中的节点。 下载JDK软件包。 节点创建成功后，单击节点名称，进入云服务器详情页。 在云服务器详情页，单击右上角“远程登录”。 选择一种登录方式，单击“登录”。 以root用户登录弹性云服务器。 新建一个目录image。 mkdir image 进入image目录。 cd image 下载JDK软件包。 wget https://builds.openlogic.com/downloadJDK/openlogic-openjdk/8u352-b08/openlogic-openjdk-8u352-b08-linux-x64.tar.gz 构建一个镜像。 执行vi dockerfile命令，编写一个Dockerfile，并写入以下信息： FROM centos #使用centos作为基础镜像 RUN useradd -d /home/springboot -m springboot #在工作目录下创建一个用户 ADD ./openlogic-openjdk-8u352-b08-linux-x64.tar.gz /home/springboot #拷贝jdk软件包到镜像，并自动解压 RUN chown springboot:springboot /home/springboot/openlogic-openjdk-8u352-b08-linux-x64 -R USER springboot #指定用户为springboot ENV JAVA_HOME=/home/springboot/openlogic-openjdk-8u352-b08-linux-x64 #设置环境变量 ENV PATH=$JAVA_HOME/bin:$PATH \ CLASSPATH=.:$JAVA_HOME/lib/dt.jar:$JAVA_HOME/lib/tools.jar WORKDIR /home/springboot/ #指定镜像的工作目录 按ESC,输入:wq,保存Dockerfile，并退出编辑。 执行下面的命令，构建一个镜像。 docker build -t openjdk:8 . 使用docker images命令，查看镜像是否构建成功。 图2 查看镜像是否创建成功 登录容器镜像服务控制台，并创建一个组织。 示例：这里我们创建一个名为testawa0306的组织。 上传镜像到5的组织下。 以root用户登录容器镜像服务控制台。 为镜像打标签。 示例如下：docker tag openjdk:8 swr.cn-north-4.myhuaweicloud.com/testawa0306/0penjdk:v8.8 上传镜像到步骤5的组织下。 docker push swr.cn-north-4.myhuaweicloud.com/testawa0306/0penjdk:v8.8 镜像上传成功后，我们可以在容器镜像服务控制台-“我的镜像”中找到刚刚上传成功的镜像。 (可选）镜像上传成功后，您可以使用已上传的镜像在CCE中部署工作负载。

五、上传镜像 在安装容器引擎的虚拟机上执行以下命令，为2048镜像打标签。 docker tag [镜像名称1:版本名称1] [镜像仓库地址]/[组织名称]/[镜像名称2:版本名称2] 其中， [镜像名称1:版本名称1]：请替换为您所要上传的实际镜像的名称和版本名称。 [镜像仓库地址]：可在SWR控制台上查询，四、连接容器镜像服务中登录指令末尾的 域名 即为镜像仓库地址。 [组织名称]：请替换为三、创建组织中创建的组织。 [镜像名称2:版本名称2]：请替换为您期待的镜像名称和镜像版本。 示例： docker tag 2048:latest swr.cn-north-4.myhuaweicloud.com/cloud-develop/2048:v1 上传镜像至镜像仓库。 docker push [镜像仓库地址]/[组织名称]/[镜像名称2:版本名称2] 示例： docker push swr.cn-north-4.myhuaweicloud.com/cloud-develop/2048:v1 终端显示如下信息，表明上传镜像成功。 The push refers to repository [swr.cn-north-4.myhuaweicloud.com/cloud-develop/2048] fbce26647e70: Pushed fb04ab8effa8: Pushed 8f736d52032f: Pushed 009f1d338b57: Pushed 678bbd796838: Pushed d1279c519351: Pushed f68ef921efae: Pushed v1: digest: sha256:0cdfc7910db531bfa7726de4c19ec556bc9190aad9bd3de93787e8bce3385f8d size: 1780 返回SWR管理控制台，在“我的镜像”页面，执行刷新操作后可查看到对应的镜像信息。 镜像上传成功后，您可以使用已上传的镜像在云容器引擎中部署工作负载。

入门指引 容器镜像服务是一种支持容器镜像全生命周期管理的服务，提供简单易用、安全可靠的镜像管理功能，帮助用户快速部署容器化服务。本文档以一个2048应用为例，帮助您学习如何安装容器引擎并构建镜像，以及如何使用容器引擎客户端上传镜像到容器镜像仓库。 上传镜像到容器镜像仓库支持两种方式：使用容器引擎客户端和console页面，console页面上传请参见页面上传。 上传镜像暂时没有开放镜像上传的API。 您将按以下流程学习如何使用容器镜像服务。 图1 入门流程

二、构建镜像 在安装docker容器引擎的虚拟机上执行以下命令，下载2048应用的源码。 git clone https://gitee.com/jorgensen/2048.git 若提示“git: command not found”表示未安装Git工具，请先安装该工具（可使用yum install git命令）。 下载成功后，进入“2048”目录。 cd 2048 修改Dockerfile文件。 vim Dockerfile FROM nginx COPY . /usr/share/nginx/html EXPOSE 80 CMD ["nginx", "-g", "daemon off;"] FROM：指定基础镜像nginx。 COPY：将2048源码拷贝到容器内的“/usr/share/nginx/html”目录。 EXPOSE：暴露容器的80端口。 CMD：指定容器运行时的默认命令。 按“Esc”，输入:wq，保存并退出。 使用docker build命令构建镜像。 docker build -t 2048 . 其中， -t表示给镜像加一个标签，也就是给镜像取名，这里镜像名为2048。 . 表示上下文路径，镜像构建命令将该路径下的所有内容打包给容器引擎帮助构建镜像。 执行以下命令，查看已成功构建的2048镜像，版本为默认的latest。 docker images # docker images REPOSITORY TAG IMAGE ID CREATED SIZE 2048 latest 8d421c503ed0 About a minute ago 134MB nginx latest dd34e67e3371 6 days ago 133MB 您还可以看到一个nginx镜像，这个镜像是从镜像仓库下载下来，作为2048镜像的基础镜像使用的。 （可选）运行容器镜像。 镜像构建成功后，您可以执行docker run命令运行容器镜像。 docker run -p 8080:80 2048 docker run命令会启动一个容器，命令中-p是将虚拟机的8080端口映射到容器的80端口，即虚拟机的8080端口的流量会映射到容器的80端口，当您在本地机器的浏览器访问“http://ECS的弹性公网IP:8080”时，就会访问到容器中，此时浏览器返回的内容就是2048应用页面。

一、安装容器引擎 首先，您需要准备一台虚拟机并安装docker容器引擎，请确保容器引擎为1.11.2及以上版本。 参考购买并登录Linux弹性云服务器创建一台带有弹性公网IP的Linux弹性云服务器。 作为演示，弹性云服务器和公网IP的规格不需要太高，例如弹性云服务器的规格为“1vCPUs | 2GB”、公网IP带宽为“1 Mbit/s”即可，操作系统以选择“CentOS 7.5”为例。 您也可以使用其他机器安装容器引擎，不创建弹性云服务器。 如果您使用的操作系统为EulerOS，请参考EulerOS操作系统下安装。 如果您使用的是Centos操作系统，建议选择CentOS7、CentOS7.2、CentOS7.3、CentOS7.4、CentOS7.5、CentOS7.6操作系统版本，否则可能导致安装异常。 创建完成后返回弹性云服务器列表，单击操作列的“远程登录”，以root用户登录弹性云服务器。 使用如下命令快速安装容器引擎。 curl -fsSL get.docker.com -o get-docker.sh sh get-docker.sh sudo systemctl daemon-reload sudo systemctl restart docker

建议方案 此时，您可以尝试： 通过配置镜像加速器拉取。 如果配置了SWR镜像加速器依然拉取失败，建议您将需要的镜像从Docker Hub同步到SWR私有仓库使用。关于Docker Hub收费标准、访问限制的详细介绍，请参见Docker官方网站。 面向生产环境使用场景，为避免Docker访问网络问题导致的镜像拉取失败，建议您在生产环境中慎重考虑对Docker Hub容器镜像的依赖，将需要的镜像从Docker Hub同步到SWR私有仓库使用。

为什么登录指令执行失败？ 登录指令执行失败有以下几种情况： 容器引擎未安装正确，报如下所示错误： “docker: command not found” 解决方法：重新安装容器引擎，安装方法请参见安装容器引擎。 由于容器镜像服务支持Docker容器引擎1.11.2（包含）到24.0.9（包含）版本上传镜像，建议下载对应版本。 安装容器引擎需要连接互联网，内网服务器需要绑定弹性公网IP后才能访问。 临时登录指令已过期或登录指令中区域项目名称、AK、登录密钥错误，报如下所示错误： “unauthorized: authentication required” 解决方法：登录容器镜像服务控制台，在左侧菜单栏选择“我的镜像”，单击右侧“客户端上传”在弹出的页面单击”生成登录指令”。 获取临时的登录指令：默认进入“临时登录指令”页签，单击复制登录指令。 获取长期有效的登录指令：切换到“长期有效登录指令”页签进行获取，具体方法请参见获取长期有效登录指令。 登录指令中镜像仓库地址错误，报如下所示错误： “Error llgging in to v2 endpoint, trying next endpoint: Get https://{{endpoint}}/v2/: dial tcp: lookup {{endpoint}} on xxx.xxx.xxx.xxx:53 : no such host” 解决方法： 修改登录指令中的镜像仓库地址。 镜像仓库地址格式 : swr.区域项目名称.myhuaweicloud.com，如“华北-北京四”对应的镜像仓库地址为swr.cn-north-4.myhuaweicloud.com。 获取临时的登录指令：方法请参见2。 x509: certificate has expired or is not yet valid 长期有效登录指令中AK/SK被删除导致，请使用有效的AK/SK生成登录指令。 x509: certificate signed by unknown authority 问题原因： 容器引擎客户端和SWR之间使用HTTPS的方式进行通信，客户端会对服务端的证书进行校验。如果服务端证书不是权威机构颁发的，则会报如下错误：x509: certificate signed by unknown authority 解决方法： 如果用户信赖服务端，跳过证书认证，那么可以手动配置Docker的启动参数，配置方法如下： CentOS： 修改“/etc/docker/daemon.json”文件（如果没有，可以手动创建），在该文件内添加如下内容： { "insecure-registries": ["{镜像仓库地址}"] } Ubuntu： 修改“/etc/default/docker”文件，在DOCKER_OPTS配置项中增加如下内容： DOCKER_OPTS="--insecure-registry {镜像仓库地址}" EulerOS： 修改“/etc/sysconfig/docker”文件，在INSECURE_REGISTRY配置项中增加如下内容： INSECURE_REGISTRY='--insecure-registry {镜像仓库地址}' 镜像仓库地址支持域名和IP形式。 域名：swr.区域项目名称.myhuaweicloud.com。例如“华北-北京四”的镜像仓库地址为：swr.cn-north-4.myhuaweicloud.com。 IP：可通过ping镜像仓库地址（域名形式）获取。 配置完成后，执行systemctl restart docker重启容器引擎。 denied: Authenticate Error 用户无编程访问权限，需要使用管理员账号登录 IAM 服务，单击用户名称进入用户详情页面，单击访问方式参数后面的按钮，修改访问方式同时勾选编程访问和管理控制台访问。关于IAM服务如果想了解更多请参见IAM产品介绍。 denied: Not allow to login、upload or download image 用户大批量并发上传镜像或者攻击服务，系统把用户拉黑，用户无法登录和上传下载镜像。请在30分钟之后重新尝试或通过提工单的形式，由运维工程师进行处理。 父主题： 故障类

x509: certificate signed by unknown authority 问题现象：使用docker pull拉取镜像，报错“x509: certificate signed by unknown authority”。 问题原因： 容器引擎客户端和SWR之间使用HTTPS的方式进行通信，客户端会对服务端的证书进行校验。如果客户端安装的根证书不完整，会报如下错误：“x509: certificate signed by unknown authority”。 容器引擎客户端配置了Proxy导致。 解决方法： 如果您信赖服务端，跳过证书认证，那么可以手动配置容器引擎的启动参数，配置如下（其中地址配置成需要的即可，选择一个配置即可）： /etc/docker/daemon.json（如果没有可以手动创建），在该文件内添加如下配置（注意缩进，2个空格）： { "insecure-registries":["镜像仓库地址"] } /etc/sysconfig/docker： INSECURE_REGISTRY='--insecure-registry=镜像仓库地址' 添加配置后执行如下命令重启：systemctl restart docker或service restart docker。 执行docker info命令，检查Proxy配置是否正确，修改为正确的Proxy配置。