华为云用户手册

步骤2 开发告警监控大屏页面 新建一个空白的大屏页面。 在华为云Astro大屏应用界面上方，单击“项目列表”。 在项目列表页面，单击“新建项目”。 输入项目名称，单击“新建”，新建一个大屏&PC端项目。 在新建的大屏&PC端项目中，单击“新建页面”。 单击“新建空白页面”，输入页面标题“全局变量示例页面”，单击“新建”。 在页面上方单击，新建并设置页面级全局变量。 新增全局变量“status”，设置默认值为“1”，设置变量说明为“告警服务状态码，1为待派单，2是已派单，3是处理中，4是已关闭”。 图5 设置页面变量 在页面中拖入并设置下拉选择框组件。 从左侧全部组件中，搜索并拖拽“下拉选择框”组件到页面画布中。 图6 拖入下拉选择框 设置占位符为“请选择要筛选的告警状态”。 图7 设置占位符 在组件上方单击，配置组件数据源为静态数据，单击“保存”。 在输入数据中，输入如下静态数据示例： [{ "value": "1", "label": "待派单" }, { "value": "2", "label": "已派单" }, { "value": "3", "label": "处理中" }, { "value": "4", "label": "已关闭" } ] 在组件上方单击，配置组件交互事件。 在作为触发器中，单击“交互事件”，选择“当选中选项时”事件。单击“响应动作”，选择“赋值全局变量”，“赋值到变量”设置为“status”，单击“确定”。单击“完成”，设置后用户在下拉框选择相应告警状态时，全局变量“status”的值会随着进行相应变化。 图8 配置组件交互事件 在页面中拖入并设置多区域折线图组件。 从左侧全部组件中，搜索并拖拽“多区域折线图”，到下拉选择框组件下方。 设置组件标题为“告警分布情况”。 图9 设置组件标题 在组件上方单击，l配置组件数据。 数据配置中选择“数据集”，选择4配置的“getWarnDetailByStatus”数据集。 全局变量中选择2配置的“status”，给接口入参“statusCode”告警状态绑定页面全局变量“status”。 图10 选择全局变量 设置多区域折线图数据集展示，X轴数据拖入“hab_RegionName_ CS T”（地区），Y轴数据拖入“WarnAmount_CST”（告警数量），单击“保存”。 单击图层，右键设置下拉选择框向上移动一层为多区域折线图的上一层。 图11 设置图层 设置完成后，单击页面上方的，保存页面。 保存成功后，单击，预览效果是否符合预期。 选择下拉框数据为“已派单”、“处理中”或者“已关闭”，发现多区域折线图数据进行实时更新变化，符合预期。

场景说明 开发一个告警监控页面，如图1所示，在页面上方下拉框中选择告警状态，可查看各个地区相应状态下的告警数量分布。 实现原理：该场景中将告警状态定义为全局变量，在页面中使用系统预置的“下拉选择框”和“多区域折线图”组件。当用户在“下拉选择框”中选择某个告警状态时，通过配置的交互事件将告警状态赋值给全局变量，“多区域折线图”组件呈现的数据来源于封装了华为云Astro轻应用某API接口的数据集，将该接口的入参与全局变量绑定，则“多区域折线图”组件呈现数据会随着全局变量值变化而变化。

在组件中使用数据集 返回华为云Astro大屏应用项目列表页面。 进入大屏应用开发页面，拖拽所需组件（如水平基本柱图）到画布中。 图3 拖拽水平基本柱图到画布中 选中该组件，单击组件上方的，进入组件数据页面。 在“数据类型”下拉框中，选择“数据集”，选择创建HTTP连接器数据集中创建的数据集。 配置全局变量。 全局变量可以理解为参数变量，用于控制组件之间参数的传递，从而达到交互的目的，例如图表联动、自定义字段等功能。如何使用全局变量，可参考如何基于页面级的全局变量实现组件交互~如何通过全局变量，实现组件数据的动态变化。本示例不做配置。 在组件预览中，选择要展示的表字段，即从左边栏中拖入到右边栏中，单击“保存”。 图4 拖拽字段到坐标轴 表格字段：展示创建HTTP连接器数据集中，获取的数据。 配置：从表格字段中，拖拽所需的字段到X轴数据、Y轴数据和系列中。 刷新周期：每隔多少秒从HTTP连接器中读取一次数据，默认配置为“0”，表示只获取一次。 共享数据：是否共享数据。勾选后，如果多个组件调用了相同的桥接器URL请求，不会各自只调用，而是共享结果数据。 选中水平基本柱图组件，单击组件上方的，设置标题内容为“各功能操作频率统计”。 单击页面上方的，保存设置页面。 单击，进入预览页面，预览效果。

场景示例 用户新购包年/包月产品3.5元，有效期为2021.01.01~2021.02.01，用户在2021/01/13退订，退订手续费0.35元。当前产品总支出为3.5元，有效期为32天，天均摊成本为0.109375元（3.5元/32天=0.109375元）。 查看1月份摊销成本时，会产生两条记录。 一条显示该产品当月应摊成本为3.390625元（订单有效期为2021.01.01~2021.01.31共计31天，累计分摊3.390625元）。 另一条显示该产品当月应摊成本为-1.7385元。（2021/01/13退订，该订单已消费金额1.32元，退订手续费0.35元，实际退款金额为3.5-1.32-0.35=1.83元。1月份退款的摊销金额为1.83/20*19=1.7385元）

跨境访问出现短时间的时延抖动或丢包，如何解决？ “全动态BGP”线路类型的弹性公网IP与带宽资源在跨境访问场景下，偶尔会因为运营商线路拥塞或者线路切换出现短时间的时延抖动或丢包，一般情况下会很快恢复正常。 如果您的业务场景位于中国-香港与中国大陆区域间公网互访，且需要低时延、高质量的公网通信体验，建议您在中国-香港区域选择创建“优选BGP”类型的弹性公网IP与带宽资源，以使用更优质的运营商线路资源。 如果按照以上步骤执行后，网络抖动或丢包仍然未恢复，请提交工单解决。 提交工单请参见提交工单。 父主题： 连接类

EIP资源在什么情况下会被冻结，如何解除被冻结的EIP资源？ 欠费被冻结 包年/包月EIP资源 保留期，指宽限期到期后客户的包年/包月资源仍未续订，将进入保留期。保留期即被冻结状态。被冻结的资源不可用，也不能修改、删除。当EIP或者共享带宽被冻结后，会导致流量中断。超过保留期仍未续费，冻结资源将被释放，被释放资源不可恢复。为确保资源持续可用，请在资源到期前及时续费。 宽限期和保留期时长因客户等级不同而不同，详细请参考宽限期和保留期时长限制。 按需EIP资源 指宽限期到期后客户的按需资源仍在欠费，将资源置于欠费状态并进入保留期，即被冻结状态。被冻结的资源不可用，也不能修改、删除。当EIP或者共享带宽被冻结后，会导致流量中断。超过保留期仍未充值缴清欠费金额，冻结资源将被释放，被释放资源不可恢复。为确保资源持续可用，请在资源到期前完成充值，并确保所欠金额已结清。 冻结的EIP资源在续费或充值后会变为可用状态。如需续费，请在管理控制台续费管理页面进行续费操作。详细操作请参考续费管理。 EIP绑定的实例对外有攻击被冻结 EIP资源绑定的服务器如果对外有攻击等安全违规行为，即被冻结状态，在控制台上显示为冻结（违规冻结）。被冻结的资源不可用，也不能修改或删除。当EIP或者共享带宽被冻结后，会导致流量中断。如果要解除冻结状态，请提交工单。 您还可以参考为实例解绑已有EIP并绑定新的EIP实现更换EIP。 EIP绑定的实例涉嫌违规被冻结 EIP资源绑定的服务器涉嫌违规行为，被国家监管部门冻结。如您通过自检确认未曾涉嫌违规操作，请联系国家监管部门进行申诉，如申诉成功，华为云将获得解封指令解冻您的资源。 您还可以参考为实例解绑已有EIP并绑定新的EIP实现更换EIP。 父主题： 连接类

应用策略 进入中心网络列表页面。 单击目标中心网络名称。 单击“策略管理”页签，然后单击目标策略版本右侧的“应用”，进入“应用策略”页面，确认如表2所示的以下信息，确认无误后，单击“提交”。 表2 应用策略参数说明 参数名称 参数说明 待变更策略详情 原策略名称 版本1：应用的原策略名称。 企业路由器：应用的原策略中的企业路由器信息。 企业路由器连接：应用的原策略中的企业路由器连接信息。 目标策略详情 新策略名称 版本2：待应用的新策略名称 企业路由器：待应用的新策略中的企业路由器信息。 企业路由器连接：待应用的新策略中的企业路由器连接信息。 策略变化详情 企业路由器 策略变更后的企业路由器信息。 企业路由器连接 策略变更后的企业路由器连接信息。 确认配置 当前规格 原策略名称：版本1 变更后规格 新策略名称：版本2 企业路由器连接变更费用 变更策略后的企业路由器连接所产生的费用。 确认无误后，单击“提交”，返回策略管理页面，当版本2为“已应用”状态时，说明新的策略应用成功。

添加策略 进入中心网络列表页面。 单击目标中心网络名称。 单击“策略管理”页签，可以看到当前中心网络已应用的策略版本，默认的策略版本号为“版本1”。包括已接入的企业路由器信息和企业路由器全连接列表信息。 单击“添加策略”，根据表1配置新的策略。 表1 添加策略参数说明 参数名称 参数说明 取值样例 基础配置 添加企业路由器 通过企业路由器可以实现相同区域的VPC网络互通，并结合云专线的全域接入网关能力，实现VPC和IDC网络互通，然后将两个及以上企业路由器接入中心网络中，构成ER对等连接，则可以实现云上跨区域多个VPC和云下IDC的网络互通。 单击“添加企业路由器”，然后选择企业路由器所在的区域和路由表信息。 一个区域仅支持添加一个企业路由器，添加的这些企业理由器之间默认实现互联。 互联的企业路由器之间赠送10kbit/s的测试网络带宽。 若当前没有业务所需的企业路由器，您还可以单击“新建企业路由器”去创建适合的企业路由器。 ER-01 ER-02 高级配置 企业路由器全连接 默认打开状态，展开高级配置，可以看到企业路由器全连接列表。 - 企业路由器全连接列表 开启企业路由器全连接后，默认在用户选择的所有企业路由器中，为任意两个企业路由器之间建立一条连接。用户所选择的企业路由器数量会直接影响全连接列表中建立的连接数量，即连接组合数量。用户可以根据实际需求，自主决定移除不需要的连接。 移除：单击目标企业路由器连接“操作”列的“移除”，移除不需要的连接。 连接：单击目标企业路由器连接“操作”列的“连接”，重新建立当前连接。 连接序号用于标识两个企业路由器之间的连接，全连接序号为0。 - 单击“提交”，返回策略管理页面，可以看到已成功添加了新的策略版本（版本2）。

跨区带宽使用场景（GEIP） 本示例中，以GEIP绑定至ECS为例： GEIP绑定的ECS所在区域为中国-香港，GEIP接入点为华东-杭州，中国-香港属于亚太大区，华东-杭州属于中国大陆大区 ，因此全域互联带宽应该选择跨区带宽。 本端大区：选择ECS所在大区，此处为亚太。 对端大区：选择GEIP接入点所在大区，此处为中国大陆。 本端必须选择GEIP绑定资源所在的大区，对端选择GEIP接入点所在的大区，请务必确保本端和对端大区选择正确。 图3 跨区带宽使用场景（GEIP）

大区/跨区带宽使用场景（中心网络） 本示例中，以云连接中接入ER为例： 连接ER1和ER2：ER1所在区域为华东-上海一，ER2所在区域为华南-广州，华东-上海一和华南-广州都属于中国大陆大区，因此连接ER1和ER2的全域互联带宽应该选择大区带宽。 连接ER1和ER3：ER1所在区域为华东-上海一，ER3所在区域为中国-香港，华东-上海一属于中国大陆大区，中国-香港属于亚太大区，因此连接ER1和ER3的全域互联带宽应该选择跨区带宽。 本端大区：选择ER1所在大区，此处为中国大陆。 对端大区：选择ER3所在大区，此处为亚太。 本端也可以选择ER3所在大区，对端选择ER1所在大区，本端和对端不做严格区分，只要确保两端的ER均已接入带宽中即可。 连接ER2和ER3：ER2所在区域为华南-广州，ER3所在区域为中国-香港，华南-广州属于中国大陆大区，中国-香港属于亚太大区，因此连接ER2和ER3的全域互联带宽应该选择跨区带宽。 本端大区：选择ER2所在大区，此处为中国大陆。 对端大区：选择ER3所在大区，此处为亚太。 图4 大区/跨区带宽使用场景（中心网络）

全域互联带宽的使用限制 目前仅支持添加同一带宽区域类型下的实例。 一个全域互联带宽仅能添加一种实例类型，首次添加了实例类型后仅可添加该类型下的子实例，如需添加其他实例类型，请进行移出后重新添加。 全域弹性公网IP：支持批量添加和移出实例。 中心网络：仅支持添加和移出一个实例。 将中心网络添加至全域互联带宽，需先配置跨地域连接，详情请参见： 创建中心网络。 管理策略。 管理附件。 不同带宽类型的全域互联带宽可配合不同的实例使用，详情见表2。 表2 全域互联带宽添加实例说明 带宽类型 全域弹性公网IP 中心网络 边缘实例 城域带宽 √ × × 区域带宽 × × √ 大区带宽 √ √ × 跨区带宽 √ √ × 将实例移出全域互联带宽时，请确保该实例上没有业务运行，否则会导致业务中断。 当全域互联带宽已用于配置云连接实例的域间带宽时，无法移出云连接实例。您需要到云连接实例下，删除对应的域间带宽配置后再将云连接实例移出全域互联带宽。 待删除的全域互联带宽不能绑定实例，否则无法删除。请先参考将实例移出全域互联带宽，解绑实例。

创建中心网络 进入中心网络列表页面。 单击页面右上方的“创建中心网络”。 根据界面提示，参见表1，完成中心网络配置。 表1 创建中心网络参数说明 参数名称 参数说明 取值样例 基础配置 中心网络名称 输入中心网络的名称。 gcn-test 描述 您可以根据需要在文本框中输入对该中心网络的描述信息。 - 添加企业路由器 通过企业路由器可以实现相同区域的VPC网络互通，并结合云专线的全域接入网关能力，实现VPC和IDC网络互通，然后将两个及以上企业路由器接入中心网络中，构成ER对等连接，则可以实现云上跨区域多个VPC和云下IDC的网络互通。 单击“添加企业路由器”，然后选择企业路由器所在的区域和路由表信息。 使用中心网络前需要先创建企业路由器，一个区域仅支持添加一个企业路由器，添加的这些企业理由器之间默认实现互联。 互联的企业路由器之间赠送10kbit/s的测试网络带宽。 若当前没有业务所需的企业路由器，您还可以单击“新建企业路由器”去创建适合的企业路由器。 ER-01 ER-02 高级配置 企业路由器全连接 默认打开状态，展开高级配置，打开企业路由器全连接开关，可以看到企业路由器全连接列表。 - 企业路由器全连接列表 开启企业路由器全连接后，默认在用户选择的所有企业路由器中，为任意两个企业路由器之间建立一条连接。用户所选择的企业路由器数量会直接影响全连接列表中建立的连接数量，即连接组合数量。用户可以根据实际需求，自主决定移除不需要的连接。 移除：单击目标企业路由器连接“操作”列的“移除”，移除不需要的连接。 连接：单击目标企业路由器连接“操作”列的“连接”，重新建立当前连接。 连接序号用于标识两个企业路由器之间的连接，全连接序号为0。 - 企业路由器连接费用 连接费用，指在企业路由器中添加连接所产生的费用。中心网络的连接费用由按需计费的企业路由器个数决定。 - 单击“立即购买”。然后核对创建中心网络配置信息，阅读并勾选 “云连接服务声明”，单击“提交”，完成中心网络的创建。

操作步骤 登录云容器实例管理控制台，左侧导航栏中选择“镜像快照”，在右侧页面单击“创建镜像快照”。 添加基本信息。 镜像快照名称 请输入以小写字母或数字开头，小写字母、数字、中划线（-）、点（.）组成（其中两点不能相连，点不能与中划线相连），小写字母或数字结尾的1到63字符的字符串。 开启快照保留时间 打开开关，填写快照保留天数。未开启开关，默认为永久。 快照过期后，仍会占用配额，需定期审核过期镜像快照后删除。 容器镜像 第三方可以直接输入镜像地址，或单击“选择容器镜像”按钮，进入镜像列表，选择镜像。 我的镜像：展示了您上传到 容器镜像服务 的镜像。如果您想要在容器 镜像服务 中上传镜像，请参考客户端上传镜像或页面上传镜像。 如您是 IAM 用户，您需要参考（可选）上传镜像进行权限设置后才可使用账号的私有镜像。 镜像单层解压后的实际大小不能超过20G。 开源镜像中心：展示了镜像中心的公共镜像。 共享镜像：展示了容器镜像服务中他人共享的镜像。 镜像指定完成后，需要选择镜像的版本号。您还可以单击下方“添加容器镜像”按钮，添加多个容器镜像。 镜像快照大小 填写镜像快照大小，最小为10GiB，范围为10-400G。推荐按照所有缓存镜像大小总和的2倍设置快照大小。 添加镜像快照构建信息。 命名空间 选择已有命名空间或单击“创建命名空间”按钮，创建新的命名空间。 如果您要缓存的镜像包含私有镜像仓库，请确保命名空间绑定的vpc与私有镜像仓库网络互通。如需缓存公网镜像，需要命名空间绑定的vpc配置SNAT规则。 镜像仓库访问凭证 如果您容器里选择的镜像是私有的，请输入所选镜像的仓库地址、用户名、密码，用来拉取镜像。单击“添加凭证”，可添加多个。 勾选“镜像快照默认使用 2核4G 规格的CCI实例进行制作，收取费用为制作过程中产生的费用”。 确认镜像快照配置信息和费用显示正常，单击“确认创建”。

CCI自定义策略样例 示例1：更新命名空间 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "cci:namespace:update" ] } ] } 示例2：拒绝用户删除命名空间 拒绝策略需要同时配合其他策略使用，否则没有实际作用。用户被授予的策略中，一个授权项的作用如果同时存在Allow和Deny，则遵循Deny优先原则。 如果您给用户授予CCIFullAccess的系统策略，但不希望用户拥有CCIFullAccess中定义的删除命名空间权限（cci:namespace:delete），您可以创建一条相同Action的自定义策略，并将自定义策略的Effect设置为Deny，然后同时将CCIFullAccess和拒绝策略授予用户，根据Deny优先原则，则用户可以对CCI执行除了删除命名空间外的所有操作。拒绝策略示例如下： { "Version": "1.1", "Statement": [ { "Action": [ "cci:namespace:delete" ], "Effect": "Deny" } ] } 示例3：多个授权项策略 一个自定义策略中可以包含多个授权项，且除了可以包含本服务的授权项外，还可以包含其他服务的授权项，可以包含的其他服务必须跟本服务同属性，即都是项目级服务或都是全局级服务。多个授权语句策略描述如下： { "Version": "1.1", "Statement": [ { "Action": [ "ecs:cloudServers:resize", "ecs:cloudServers:delete", "ecs:cloudServers:delete", "ims:images:list", "ims:serverImages:create" ], "Effect": "Allow" } ] }

命名空间权限 Kubernetes RBAC API定义了四种类型：Role、ClusterRole、RoleBinding与ClusterRoleBinding。当前CCI仅支持ClusterRole、RoleBinding，这两种类型之间的关系和简要说明如下： ClusterRole：描述角色和权限的关系。在Kubernetes的RBAC API中，一个角色定义了一组特定权限的规则。整个Kubernetes集群范围内有效的角色则通过ClusterRole对象实现。 RoleBinding：描述subjects（包含users，groups）和角色的关系。角色绑定将一个角色中定义的各种权限授予一个或者一组用户，该用户或用户组则具有对应绑定ClusterRole定义的权限。 表1 RBAC API所定义的两种类型 类型名称 说明 ClusterRole ClusterRole对象可以授予整个集群范围内资源访问权限。 RoleBinding RoleBinding可以将同一Namespace中的subject（用户）绑定到某个具有特定权限的ClusterRole下，则此subject即具有该ClusterRole定义的权限。 当前仅支持用户使用ClusterRole在Namespace下创建RoleBinding。

如何处理公网无法访问 公网能正常访问的前提是负载已处于运行中状态，如果您的负载处于未就绪或异常状态，公网访问将无法正常使用。 从负载开始创建到公网可以正常访问可需要1分钟到3分钟的时间，在此时间内网络路由尚未完成配置，请稍作等待。 负载创建3分钟以后仍然无法访问。单击创建的负载进入详情页，在详情页单击访问配置下面的“事件”标签，查看访问事件，查看是否有告警事件。如下两种常见的事件。 Listener port is repeated：ELB监听器端口重复，是由于之前发布公网访问的负载，删除之后立刻创建使用相同ELB端口的公网访问负载，ELB实际删除端口需要一定的时间，因此首次创建失败，可以选择删除负载重新创建，也可以等待5-10分钟，公网访问可正常使用。 Create listener failed：创建ELB监听器失败，创建监听器失败的原因一般是超过配额限度，请选择其他配额充足的ELB实例。 负载创建3分钟以后仍然无法访问，且无告警事件，可能原因是用户配置的容器端口实际上没有相应进程在监听，目前云容器实例服务无法检测出该类使用异常，需要您排查镜像是否有监听该容器端口。如果容器端口监听正确，此时无法访问的原因可能为ELB实例本身有问题，请排查ELB实例状态。

配置公网访问-创建工作负载时设置 在云容器实例中，您只需要在创建负载时选择“公网访问”，然后配置如下参数。 服务名称：服务名称即Service的名称，Service是用于管理Pod访问的对象。 安装coredns：coredns插件为您的其他负载提供内部 域名 解析服务，如果不安装coredns则无法通过“服务名称:负载访问端口”访问负载。 ELB实例：选择ELB实例，如没有ELB实例可以单击“创建共享型ELB实例”去创建。 此处创建的ELB需要与负载所在命名空间在同一个VPC内。 CCI暂时不支持独享型负载均衡，建议您创建共享型ELB实例。 ELB协议：即公网访问使用的通信协议，支持HTTP、HTTPS、TCP和UDP协议。 Ingress名称：Ingress是用于管理七层协议访问的对象。此处如果不配置，云容器实例会默认负载名称作为Ingress名称。 公网域名（选择HTTP/HTTPS协议时可配置）：通过域名访问负载，公网域名需要您自行购买，并将域名解析指向所选的ELB实例弹性公网IP。 证书（选择HTTPS协议时必填）：SSL证书的导入方法请参见SSL证书。 ELB端口：选择使用的ELB访问的具体协议和端口。 负载端口协议：访问负载的通信协议，可选择TCP或UDP，如果ELB协议选择为HTTP/HTTPS，则负载端口协议为TCP。 负载端口配置： 负载访问端口：负载提供的访问端口。 容器端口：容器监听的端口，负载访问端口映射到容器端口。 HTTP路由配置 映射路径：URL访问的路径，必须以“/”开头，如“/api/web”，也可以是根路径“/”。 负载访问端口：前面设置的负载访问端口。 如下图所示，假如ELB实例的IP地址为“10.10.10.10”，则通过“http://10.10.10.10:6071/”就可以从公网访问到负载。 图3 配置公网访问参数

概述 公网访问是指使用外部网络访问负载，您可以给负载绑定共享型ELB实例（ELB必须与负载在同一个VPC内），通过ELB实例访问负载，当前外部访问支持四层和七层负载公网访问。 四层公网访问支持TCP和UDP两种协议，设置完成后可以通过“elb公网ip:elb端口”访问负载。 七层公网访问支持HTTP和HTTPS两种协议访问，设置完成后，可以通过“http://公网域名(或elb 公网ip):elb端口/映射路径”访问负载。 Service是基于四层TCP和UDP协议转发的，Ingress可以基于七层的HTTP和HTTPS协议转发，可以通过域名和路径做到更细粒度的划分，如下图所示。 图1 Ingress-Service 下图是一个通过HTTP协议访问负载的示例。 图2 公网访问

cci_admin_trust委托说明 cci_admin_trust委托具有Tenant Administrator权限。Tenant Administrator拥有除IAM管理外的全部云服务管理员权限，用于对CCI所依赖的其他云服务资源进行调用，且该授权仅在当前区域生效。 由于CCI对其他云服务有许多依赖，如果没有Tenant Administrator权限，可能会因为某个服务权限不足而影响CCI功能的正常使用。因此在使用CCI服务期间，请不要自行删除或者修改cci_admin_trust委托。

使用限制 待挂载的云硬盘必须是按需付费，更多信息，请参见云硬盘计费。 云容器实例无法导入以下条件的磁盘：非当前可用区、状态非可用、系统盘、被CCE关联、非SCSI盘、非共享盘、专属存储、冻结盘、HANA服务器专属类型盘（高IO性能优化型/超高IO时延优化型）。 云硬盘存储卷只能当一个新盘来用。对于云容器实例没有挂载过的云硬盘存储卷，云硬盘存储卷中的内容对容器不可见。 对于已导入的云硬盘，如果在云硬盘控制台中删除该硬盘，云容器实例无法感知，建议您确定没有负载使用时再删除云硬盘。 一个云硬盘存储卷只能挂载到一个实例下，否则会存在数据丢失的情况。 云容器实例场景下不感知云硬盘扩容，如果需要扩容，请先在云容器实例控制台的“云硬盘存储卷”页面解关联对应的云硬盘，待云硬盘扩容完成后重新导入。 云容器实例创建工作负载时，不支持挂载不同可用区的云硬盘卷，如果选择不同可用区的云硬盘卷会导致POD无法启动。

日志采集可靠性说明 日志系统的核心功能在于记录业务组件的全生命周期状态数据（包括启动初始化、退出、运行时信息及异常事件等），主要服务于组件运行状态查看与故障根因分析等运维场景。 请注意标准输出流（stdout/stderr）及本地日志文件采用非持久化存储机制，其数据完整性受制于以下风险因素： 日志轮转压缩机制可能触发历史文件清除。 Kubernetes Pod实例终止导致的临时存储卷回收。 节点存储空间限制触发的操作系统自动清理。 尽管云原生日志采集插件通过多级缓冲、优先级队列、断点续传等机制优化采集可靠性，但在以下场景仍存在日志采集丢失的可能： 业务日志吞吐量超过采集端处理能力。 业务Pod终止并立即被容器引擎回收。 日志采集器Pod运行异常。 以下是基于云原生日志管理的最佳实践建议，请您认真考虑并采纳： 请通过专用高可靠性通道记录并持久化关键业务数据（如金融交易）。 请勿在日志中进行记录客户信息、支付凭证、会话令牌等敏感数据。

添加日志存储 在创建负载的时候设置为容器添加日志存储。 容器内日志路径：即日志存储挂载到容器内的挂载路径，需要保证应用程序的日志输出路径与该路径一致，这样日志才能写入到日志存储卷中。 请确保日志存储卷路径在当前容器内是不存在的，否则会把容器内这个路径下的内容清空。 目前只支持日志路径下的“.log”、“.trace”、“.out”日志文件。 最多只能采集20个日志文件，也就是说您的日志最多只能输出到日志路径下的20个文件中。 日志存储空间：日志的存储空间大小。 AOM 每月赠送每个租户500M的免费日志存储空间，超过500M时将根据实际使用量进行收费，计费规则请参见产品价格详情。 日志存储空间取值请确保为1或2，后台调api接口创建负载时，请确保取值为1GiB或2GiB。 该空间为免费空间，超时不采集，如果日志文件超过2G，请您提前做好转储。 图2 使用日志存储

查看Pod 有时，您也许会通过调用创建Pod接口或者使用kubectl直接创建Pod，这些Pod并不在某个负载或任务之下，不方便通过控制台管理。云容器实例提供了Pod管理功能，您可以通过“选择来源”更方便找到需要的Pod。 图2 选择Pod来源 您可以查看到所有Pod详情，包括基本信息、Pod中容器组成、Pod的监控信息、事件，以及使用远程终端访问Pod。您还可以对Pod进行删除操作，并查看Pod的日志。 图3 Pod详情

什么是Pod Pod是Kubernetes创建或部署的最小单位。一个Pod封装一个或多个容器（container）、存储资源（volume）、一个独立的网络IP以及管理控制容器运行方式的策略选项。 Pod使用主要分为两种方式： Pod中运行一个容器。这是Kubernetes最常见的用法，您可以将Pod视为单个封装的容器，但是Kubernetes是直接管理Pod而不是容器。 Pod中运行多个需要耦合在一起工作、需要共享资源的容器。通常这种场景下是应用包含一个主容器和几个辅助容器（SideCar Container），如图1所示，例如主容器为一个web服务器，从一个固定目录下对外提供文件服务，而辅助的容器周期性的从外部下载文件存到这个固定目录下。 图1 Pod 实际使用中很少直接创建Pod，而是使用Kubernetes中称为Controller的抽象层来管理Pod实例，例如Deployment和Job。Controller可以创建和管理多个Pod，提供副本管理、滚动升级和自愈能力。通常，Controller会使用Pod Template来创建相应的Pod。

命名空间与网络的关系 从网络角度，命名空间对应一个虚拟私有云（VPC）中一个子网，如图1所示，在创建命名空间时会关联已有VPC或创建一个新的VPC，并在VPC下创建一个子网。后续在该命名空间下创建的容器及其他资源都会在对应的VPC及子网之内。 通常情况下，如果您在同一个VPC下还会使用其他服务的资源，您需要考虑您的网络规划，如子网网段划分、IP数量规划等，确保有可用的网络资源。 图1 命名空间与VPC子网的关系

使用Service方式访问-创建工作负载时设置 在云容器实例中，您只需要在创建负载时，填写服务名称和负载的端口配置，即可通过“服务名称:负载访问端口”访问到该负载。 服务名称：服务名称即Service的名称，Service是用于管理Pod访问的对象。 安装coredns：coredns插件为您的其他负载提供内部域名解析服务，如果不安装coredns则无法通过“服务名称:负载访问端口”访问负载。 负载端口配置 协议：访问负载的通信协议，可选择TCP或UDP。 负载访问端口：负载提供的访问端口。 容器端口：容器监听的端口，负载访问端口映射到容器端口。

设置容器生命周期 云容器实例基于Kubernetes，提供了容器生命周期钩子，在容器的生命周期的特定阶段执行调用，比如容器在停止前希望执行某项操作，就可以注册相应的钩子函数。目前提供的生命周期钩子函数如下所示。 启动后处理（PostStart）：容器启动后触发。 停止前处理（PreStop）：容器停止前触发。 当前云容器实例仅支持命令行类型（Exec）钩子函数。 登录云容器实例控制台，在创建负载配置生命周期过程中，选择“启动后处理”或者“停止前处理”页签。 例如需要在容器中执行“/postStart.sh all”命令，则在界面上做如下配置即可，第一行是命令行脚本名称，第二行是参数。 图1 命令行脚本

操作步骤 容器配置填写完成后，打开“启动镜像快照”开关，选择自动匹配镜像快照或指定镜像快照。 自动匹配镜像快照 自动匹配将从用户创建的所有可用镜像快照中选择最优的镜像。按以下顺序进行匹配： a. 镜像匹配度：优先选择匹配度高的镜像快照，匹配度指的是Pod和镜像快照两者在镜像上的匹配情况。 b. 创建时间：优先选择创建时间更新的镜像快照。 明确指定 指定已有的镜像快照，并在“镜像快照”页签中选择镜像快照中的镜像。该镜像缓存必须为创建完成可用（Available）状态。

ConfigMap文件格式要求 ConfigMap资源文件支持json和yaml两种格式，且数据值大小不得超过1MB。 json格式 文件名称为configmap.json，配置示例如下： { "kind": "ConfigMap", "apiVersion": "v1", "metadata": { "name": "nginxconf", "namespace": "cci-namespace-demo" }, "data": { "nginx.conf": "server {\n listen 80;\n server_name localhost;\n\n location / {\n root html;\n index index.html index.htm;\n }\n}" } } yaml格式 文件名称为configmap.yaml，配置示例如下： kind: ConfigMap apiVersion: v1 metadata: name: nginxconf namespace: cci-namespace-demo data: nginx.conf: |- server { listen 80; server_name localhost; location / { root html; index index.html index.htm; } }

域名注册、解析和备案的关系 必须完成域名注册后，才能为域名配置解析记录。 域名的注册商和DNS服务商可以不一致，域名的DNS服务器设置决定了为域名提供解析的DNS服务商。 通过华为云注册的域名，默认使用华为云DNS进行解析。您可以通过修改域名的DNS服务器设置选择不同的DNS服务商进行域名解析。 通过华为云注册完成的域名需要在DNS（云解析服务）上添加域名及解析记录才可以被正常解析。 若域名的DNS服务器设置为其他DNS服务商，则需要到对应DNS服务商处为域名配置解析记录。 备案是国家和工信部的要求，其对应的主体是网站服务器以及域名，备案需要在域名注册和网站搭建之后进行。 备案与域名解析没有关系，域名访问网站包含以下两个阶段： Web浏览器通过DNS服务器进行域名解析，获取网站的IP地址。 浏览器访问网站IP。 域名解析实现访问网站的第一阶段，备案控制访问网站的第二阶段。如果网站没有进行备案，则即使域名成功解析，Web浏览器仍然无法成功访问网站IP。最终，访问网站失败。