华为云用户手册

什么是宽限期和保留期 宽限期是指客户的包周期资源到期未续订或按需资源欠费时，华为云提供给客户进行续费与充值的时间，宽限期内客户可正常访问及使用云服务。 保留期是指宽限期到期后客户的包周期资源仍未续订或按需资源仍未缴清欠款，将进入保留期。保留期内客户不能访问及使用云服务，但对客户存储在云服务中的数据仍予以保留。云服务进入宽限期/保留期后，华为云将会通过邮件、短信等方式向您发送提醒，提醒您续订或充值。保留期到期仍未续订或充值，存储在云服务中的数据将被删除、云服务资源将被释放。 父主题： 计费FAQ

OCR识别中，哪些算有效计费 OCR服务通过RestFul API调用，计费以Https请求返回的状态码为准，当返回状态码为2xx(如200/201)时，表示调用成功并进行扣费。 OCR服务通过套餐包计费方式，来降低调用成本，从绝大部分客户的使用来看，客户上传错误样本导致计费的占比非常非常小，几乎可忽略不计。 在客户使用OCR能力，进行二次开发时，可以尽可能的通过页面可视化提醒等方式，引导使用者尽量拍摄符合人眼易于识别的图片，以保障数据质量、同时提升识别准确率。 由于图片的输入非常开放，因此为了避免恶意攻击，在公有云上对有效识别的信息（即便部分不准）也会计费，类似于在通话质量不佳时通常也是要求计费。 父主题： 计费FAQ

计费场景 某用户于2023/03/18 15:30:00开通了华北-北京四的 通用文字识别 API。 成功调用5000次之后，用户发现此服务识别效果可以满足业务需求，因此打算长期使用下去，并于2023/03/20 10:30:00将通用 文字识别 转为套餐包计费（10万次套餐包，3,200元），购买时长为1年，这一年内成功调用次数为10万次。那么在2023/03/18 15:30:00-2024/03/20 23:59:59，该云服务总共产生多少费用呢？

计费构成分析 可以将通用文字识别的使用阶段按照计费模式分为两段：在2023/03/18 15:30:00 ~ 2023/03/20 10:30:00期间为按需计费，2023/03/20 10:30:00 ~ 2024/03/20 23:59:59期间为套餐包计费。 图1 价格详情 按需计费 在2023/03/18 15:30:00 ~ 2023/03/20 10:30:00期间按照5,000次计费，费用计算如下： 5,000*0.08=400元 套餐包计费 在2023/03/20 10:30:00 ~ 2024/03/20 23:59:59期间为套餐包计费，按照10万次成功调用次数计费，费用为：3,200元 由此可见，在2023/03/18 15:30:00-2024/03/20 23:59:59，该云服务总共产生的费用为：400+3,200=3,600元。

续费相关的功能 套餐包文字识别服务续费相关的功能如表1所示。 表1 续费相关的功能 功能 说明 手动续费 套餐包文字识别服务从购买到套餐包截止日期之前，您可以随时在OCR控制台为文字识别服务续费，以延长文字识别服务的使用时间。 自动续费 开通自动续费后，文字识别服务会在每次到期前自动续费，避免因忘记手动续费而导致资源被自动删除/释放。 在套餐包文字识别服务生命周期的不同阶段，您可以根据需要选择一种方式进行续费，具体如图1所示。 图1 文字识别服务生命周期 文字识别服务从购买到到期前，资源状态为“可使用”。 到期后，资源状态变为“已过期”。 到期未续费时，文字识别服务首先会进入宽限期，宽限期到期后仍未续费，资源状态变为“已冻结”。 超过宽限期仍未续费将进入保留期，如果保留期内仍未续费，资源将被自动删除/释放。 华为云根据客户等级定义了不同客户的宽限期和保留期时长。 在文字识别服务到期前均可开通自动续费，到期前7日凌晨3:00首次尝试自动续费，如果扣款失败，每天凌晨3:00尝试一次，直至文字识别服务到期或者续费成功。到期前7日自动续费扣款是系统默认配置，您也可以根据需要修改此扣款日。

计费场景 AR地图运行服务 某用户在2023/09/01 09:30:00开通AR地图运行服务，规格为50QPS。2023/09/02 09:30:00退订服务。 AR地图生产服务 按需计费：某用户在2023/09/01 09:30:00开通AR地图生产服务，使用全景建图云服务购买2万米的规格，2023/09/02 09:30:00退订服务。 套餐包：某用户在2023/09/01 09:30:00开通AR地图生产服务，并同时购买2个全景建图云服务套餐包（规格1万米，周期一年），使用全景建图云服务，2024/08/31 23:59:59到期。

欠费后，数据会被删除吗 当用户账号产生欠费后，用户需在约定时间内支付欠款，以防止账号冻结、相关服务资源停止或者释放对自身业务产生影响，具体操作请参见欠费还款。 欠费后，如果没有及时续费或充值，将进入宽限期。如宽限期满仍未续费或充值，将进入保留期。在保留期内资源将停止服务。保留期满仍未续费或充值，存储在云服务中的数据将被删除，云服务资源将被释放。详细说明请参见资源停止服务或逾期释放说明。宽限期与保留期的具体规则请参见宽限期保留期。 父主题： 计费FAQ

计费构成分析 以下案例中出现的费用价格仅供参考，实际价格请参见控制台界面价格说明。 AR地图运行服务 按需计费：2023/09/01 09:30:00 ~ 2023/09/02 09:30:00期间总共使用24个小时，50QPS的单价为125元/小时，总价为24*125=3000元。 AR地图生产服务 按需计费：2023/09/01 09:30:00 ~ 2023/09/02 09:30:00期间总共使用2万米，单价为1元/米，总价为20000*1=20000元。 按套餐包计费：2023/09/01 09:30:00 ~ 2024/08/31 23:59:59期间总共使用1年，总价即为全景建图云服务1万米套餐包费用7000元*2个=14000元。

KooMap采用哪种计费模式，如何计费 计费模式：KooMap支持按需计费和套餐包两种计费模式。按需计费根据用户实际使用量和使用时长计费。这种计费方式比较灵活，可以按需开通和释放资源。套餐包是一种先付费再使用的计费模式，适用于对产品需求稳定且希望降低成本的用户。 计费规则： AR地图运行服务基础版总费用 = 时空专属存储费用 （公测时间不收取费用）+ AR地图运行服务调用费用 AR地图生产服务总费用 = 时空专属存储费用（公测时间不收取费用） + AR地图生产服务费用 父主题： 计费FAQ

计费说明 KooMap各个子服务的计费项如表1所示。 表1 计费项信息 服务 计费项 计费项说明 适用的计费模式 计费公式 AR地图运行服务 AR地图运行服务基础版 按实际开通时长计费，以小时为单位进行计费。 按需计费 资源规格对应的单价*开通时长。 说明： KooMap AR地图运行服务根据您使用的规格和时长进行计费，提供50QPS ~ 500QPS总共10档资源规格。例如50QPS表示每秒支持50个用户并发。 AR地图生产服务 AR地图全景建图云服务 按实际数据处理量（采图轨迹长度）计费，以米为单位进行计费。 按需计费、套餐包 按需计费：采图轨迹长度（米）*单价（元/米）。 套餐包：从套餐包的长度总量中扣除相应的轨迹长度（米），超出部分按需计费。

欠费影响 按需计费 当您的账户余额不足导致结算失败，账号将变成欠费状态。欠费后，按需资源不会立即停止服务，资源进入宽限期。您需支付按需资源在宽限期内产生的费用，相关费用可在管理控制台的“费用中心 ＞ 总览”菜单下查看“欠费金额”，华为云将在您充值时自动扣取欠费金额。 如果您在宽限期内仍未支付欠款，那么就会进入保留期，资源状态变为“已冻结”，您将无法对处于保留期的按需计费资源执行任何操作。 保留期到期后，若您仍未支付账户欠款，那么存储在云服务中的数据将被删除，云服务资源将被释放。 为防止账号冻结、相关服务资源停止或者释放对您的业务产生影响，请您及时在约定时间内支付欠款。 图1 按需计费KooMap资源生命周期 套餐包 用户使用套餐包，已经预先支付了套餐包费用，因此在账户出现欠费或者账单逾期的情况下，已有的套餐包仍可正常使用。然而，对于涉及费用的操作，如新购套餐包等，用户将无法正常进行。 用户已购买套餐包，续费时因余额不足会出现续费不成功，用户应及时充值，保证账户余额充足。 华为云根据客户等级定义了不同客户的宽限期和保留期时长。

套餐包到期 购买后，在计费周期内正常使用套餐包，此阶段为有效期；套餐包到期而未续费时，将陆续进入宽限期和保留期。 图2 套餐包生命周期 到期预警 套餐包到期前第7天内，系统将向用户推送到期预警消息。预警消息将通过邮件、短信和站内信的方式通知到华为账号的创建者。 到期影响 当您的套餐包资源到期未续费，首先会进入宽限期，宽限期内您可以正常访问该套餐包资源。 如果您在宽限期内仍未续费，那么就会进入保留期，您将无法对处于保留期的资源执行任何操作，但该资源中的数据仍予以保留。 如果您在保留期到期后仍未续费，那么相应的资源将被释放，资源的内容将被删除，且无法恢复。 宽限期和保留期的详细介绍，请参见宽限期保留期。 华为云根据客户等级定义了不同客户的宽限期和保留期时长。

续费 按需计费模式不需要续费操作，只需要保证账户余额充足即可。 套餐包需要续费操作，在套餐包到期后，如果用户想继续使用此套餐包，需要在指定时间内续费，否则可能无法使用相应的功能。 套餐包续费功能有两种： 手动续费：套餐包从购买到过期之前，用户可以在华为云控制台的“费用”为套餐包续费，以延长套餐包的使用时间。详情请参见手动续费。 自动续费：开通自动续费后，套餐包在每次到期前自动续费，避免因忘记手动续费而导致可能无法使用相应的功能。详情请参见自动续费。 套餐包的续费生命周期如图1所示，用户根据需要选择一种进行续费。 图1 续费生命周期 套餐包从购买至过期前，处于正常使用阶段，状态为“使用中”。 到期后，套餐包状态变为“已过期”。 到期未续费时，套餐包自动进入宽限期，宽限期到期后仍未续费，状态变为“已冻结”。 超过宽限期仍未续费时，套餐包自动进入保留期，在保留期内续费解冻后，仍旧可以继续正常使用。 宽限期和保留期的详细介绍，请参见宽限期保留期。 华为云根据客户等级定义了不同客户的宽限期和保留期时长。 更多续费相关操作，请参见续费管理。

计费周期 计费项 计费周期 AR地图运行服务基础版 按小时结算。 系统每小时会统计前一个小时费用，例如，在10:15结算的费用一般为09:00:00~10:00:00期间产生的费用。 AR地图全景建图云服务 按小时结算。 按照实际输入的轨迹长度（米）计费。例如，数据完成后，系统会对本次处理的实际处理数据量结算费用。 系统每小时会统计前一个小时费用。例如，在10:15结算的费用一般为09:00:00~10:00:00期间产生的费用。

计费模式概述 KooMap提供按需计费和套餐包两种计费模式，以满足不同场景下的用户需求。 按需计费：一种后付费模式，即先使用再付费，按照实际使用时长/使用量计费，按小时结算。按需计费模式允许您根据实际业务需求灵活地调整资源使用，无需提前预置资源，从而降低预置过多或不足的风险。 套餐包：一种预付费模式，即先付费再使用，使用时优先扣除套餐包额度，超出部分按需计费。一般适用于设备需求量长期稳定的成熟业务。 表1 计费模式 计费模式 按需计费 套餐包 付费方式 后付费 预付费 计费周期 按小时结算 按订单的购买周期计费，超出部分按需计费 适用计费项 AR地图运行服务基础版、 AR地图全景建图云服务 AR地图全景建图云服务 变更计费模式 不支持变更计费模式 不支持变更计费模式 适用场景 适用于计算资源需求波动的场景，可以随时开通，随时退订 适用于对产品需求稳定且希望降低成本的用户 父主题： 计费模式

开通服务步骤说明 本服务仅面向企业用户开放。 内容审核 服务申请开通您可以按照如下步骤操作： 已 注册华为账号 ，并完成实名认证。 登录内容审核管理控制台，控制台左上角默认显示服务部署在“华北-北京四”区域，请您根据业务需要选择对应区域，服务部署的区域具体请参见终端节点。 在左侧导航栏选择“总览”，进入总览页面，进行以下步骤操作： 单击“申请开通服务”按钮，进入到新建工单页面。 图1 总览页面 在“我在Moderation遇到问题类型”分类中选择“服务开通”，进入到智能客服对话框中。 图2 服务开通 在对话框中输入“申请开通内容审核服务”，单击“下一步”。 图3 转人工 单击“未解决，提交工单”在对话框中智能客服将为您创建工单。 等待客服审核完成后帮您开通本服务。 服务只需要开通一次即可，后面使用时无需再申请。 商用服务申请成功后，在“总览”页面中显示已经申请开通成功的服务，此时，您可以通过调用API的方式使用内容审核服务。 开通服务后，单击右上角的“预付套餐包”按钮，进入到本服务套餐包购买页面，按需选择想要购买的功能类型和规格，选择完成后单击“立即购买”，确认购买信息无误后完成付款即可开始使用本服务。 图4 预付套餐包 目前内容审核服务提供两种计费模式供您选择：按需计费和预付套餐包计费。具体介绍请参见计费说明。如果您想使用按需计费的方式，详细费用价格请参见内容审核价格详情。

内容审核服务使用简介 内容审核（ Content Moderation ），是基于图像、文本、音视频的检测技术，可自动检测涉黄、涉暴图文违规等内容，对用户上传的图片、文字、音视频进行内容审核，以满足上传要求，帮助客户降低业务违规风险。 内容审核以开放API（Application Programming Interface，应用程序编程接口）的方式提供给用户，用户通过调用API获取推理结果，帮助用户打造智能化业务系统，提升业务效率。目前内容审核包括 内容审核-图像 、 内容审核-文本 。 您可以根据以下介绍选择合适的使用方式： 通过华为云 API Explorer 在线调用内容审核服务API。 如果您是开发初学者，有代码编写基础，对HTTP请求与API调用有一定的了解，想快速体验图像识别服务，该方式无需编码，只需要输入相关参数，即可调用API，体验服务应用效果。 通过可视化工具（如curl、Postman）发送请求调用内容审核服务API。 如果您是开发工程师，熟悉代码编写，熟悉HTTP请求与API调用，您可以通过postman调用、调试API。使用方法请参见如何使用Postman调用华为云Moderation服务。 通过软件开发工具包（SDK）调用内容审核服务API。 如果您是开发工程师，熟悉代码编写，内容审核服务为您提供Java、Python、.NET、GO等版本的SDK，方便您快速集成。

CCI权限 默认情况下，管理员创建的 IAM 用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 CCI部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域（如华北-北京四）对应的项目（cn-north-4）中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问CCI时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于云平台各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对CCI服务，管理员能够控制IAM用户仅能对某一类云容器实例资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分，CCI支持的API授权项请参见权限策略和授权项。

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的 云安全 挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的IaaS、PaaS和SaaS类云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。华为云租户的安全责任在于对使用的IaaS、PaaS和SaaS类云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、 虚拟主机 和访客虚拟机的操作系统，虚拟防火墙、API网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题： 安全

审计 云审计 服务（Cloud Trace Service， CTS ），是华为云安全解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 用户开通云审计服务并创建和配置追踪器后，CTS可记录您从云管理控制台或者开放API发起的云服务资源操作请求以及每次请求的结果。 CTS的详细介绍和开通配置方法，请参见CTS快速入门。 CTS支持追踪的CCI操作列表，请参见云审计服务支持的CCI操作列表。 CCI记录的审计日志会上报到CTS，供用户查询和分析，详细介绍和配置方法，请参见查看云审计日志。

策略授权系统权限 CCI服务支持基于策略授权的授权模型。如表4所示，包括了CCI基于策略授权中的所有系统策略。策略授权的系统策略与角色授权的系统策略并不互通。 表4 CCI系统策略 系统策略名称 描述 策略类别 CCIFullAccessPolicy 云容器实例服务所有权限 系统策略 CCIReadOnlyPolicy 云容器实例服务只读访问权限 系统策略 表5列出了CCI常用操作与系统策略的授权关系，您可以参照该表选择合适的系统策略。 表5 常用操作与系统策略的关系 操作 CCIFullAccessPolicy CCIReadOnlyPolicy 创建Pod √ x 删除Pod √ x 查看Pod √ √ 查看资源使用率 √ √ 创建文件存储卷 x x 删除文件存储卷 x x 查看文件存储卷 √ √ 创建ConfigMap √ x 删除ConfigMap √ x 查看ConfigMap √ √ 创建Secret √ x 删除Secret √ x 查看Secret √ √ 查看日志 √ √ 获取指定namespace √ √ 创建namespace √ x 删除namespace √ x

角色授权系统权限 CCI服务支持基于角色授权的授权模型。默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 CCI部署时通过物理区域划分，为项目级服务。授权时，“授权范围”需要选择“指定区域项目资源”，然后在指定区域（如华北-北京四）对应的项目（cn-north-4）中设置相关权限，并且该权限仅对此项目生效；如果“授权范围”选择“所有资源”，则该权限在所有区域项目中都生效。访问CCI时，需要先切换至授权区域。 如表2所示，包括了CCI的所有系统权限。基于角色授权场景的系统策略与基于策略授权场景的并不互通。 表2 CCI系统权限 系统策略名称 描述 类别 CCI FullAccess 云容器实例所有权限，拥有该权限的用户可以执行云容器实例所有资源的创建、删除、查询、更新操作。 说明： 对象存储服务 OBS为全局级服务，若需要使用对象存储服务请为其单独授予权限，授权操作请参见对象存储服务权限控制。 系统策略 CCI ReadOnlyAccess 云容器实例只读权限，拥有该权限的用户仅能查看云容器实例资源。 系统策略 CCI CommonOperations 云容器实例普通用户，拥有该权限的用户可以执行除RBAC、network和namespace子资源创建、删除、修改之外的所有操作。 系统策略 CCI Administrator 云容器实例管理员权限，拥有该权限的用户可以执行云容器实例所有资源的创建、删除、查询、更新操作。 系统角色 表3列出了CCI常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表3 常用操作与系统策略的关系 操作 CCI FullAccess CCI ReadOnlyAccess CCI CommonOperations 创建无状态负载 √ x √ 删除无状态负载 √ x √ 查看无状态负载 √ √ √ 升级负载 √ x √ 伸缩负载 √ x √ 删除Pod √ x √ 查看Pod √ √ √ 创建任务 √ x √ 删除任务 √ x √ 查看任务 √ √ √ 创建定时任务 √ x √ 删除定时任务 √ x √ 查看定时任务 √ √ √ 查看资源使用率 √ √ √ 添加云硬盘卷 √ x √ 删除云硬盘卷 √ x √ 查看云硬盘卷 √ √ √ 创建文件存储卷 √ x √ 删除文件存储卷 √ x √ 查看文件存储卷 √ √ √ 创建ConfigMap √ x √ 删除ConfigMap √ x √ 查看ConfigMap √ √ √ 创建Secret √ x √ 删除Secret √ x √ 查看Secret √ √ √ 添加SSL证书 √ x √ 删除SSL证书 √ x √ 查看SSL证书 √ √ √ 添加日志存储 √ x √ 查看日志 √ √ √ 安装插件 √ x √ 删除插件 √ x √ 查看插件 √ √ √ 查看授权 √ √ √ 新增授权 √ x x 删除授权 √ x x 获取指定namespace √ √ √ 创建namespace √ x x 删除namespace √ x x 创建network √ x x 删除network √ x x 查询network列表 √ √ √ 查询network详情 √ √ √

Init容器（Init-Containers） Init-Containers，即初始化容器，顾名思义容器启动的时候，会先启动一个或多个容器，如果有多个，那么这几个Init Container按照定义的顺序依次执行，只有所有的Init Container执行完后，主容器才会启动。由于一个Pod里的存储卷是共享的，所以Init Container里产生的数据可以被主容器使用到。 Init Container可以在多种K8S资源里被使用到如Deployment、Job等，但归根结底都是在Pod启动时，在主容器启动前执行，做初始化工作。 详细信息请参见Init容器。

无状态负载（Deployment） Deployment是Pod Controller的一种。 一个Deployment可以包含一个或多个Pod，每个Pod的角色相同，所以系统会自动为Deployment的多个Pod分发请求。Deployment中的所有Pod共享存储卷。 使用Deployment时，您只需要在Deployment中描述您想要的目标状态是什么，Deployment就会帮您将Pod的状态改变到目标状态。 详细信息请参见Deployment。

标签 Label（标签）是一组附加在对象上的键值对，用来传递用户定义的属性。 标签常用来从一组对象中选取符合条件的对象，这也是Kubernates中目前为止最重要的节点分组方法。 比如，您可能创建了一个“tier”和“app”标签，通过Label（tier=frontend，app=myapp）来标记前端Pod容器，使用Label（tier=backend，app=myapp）标记后台Pod。然后可以使用Selectors选择带有特定Label的Pod，并且将Service或者Deployment应用到上面。 详细信息请参见Label。 图2 使用Label组织的Pod

Pod Pod是Kubernetes创建或部署的最小单位。一个Pod封装一个或多个容器、存储资源、一个独立的网络IP以及管理控制容器运行方式的策略选项。 图1 Pod Pod使用主要分为两种方式： Pod中运行一个容器。这是Kubernetes最常见的用法，您可以将Pod视为单个封装的容器，但是Kubernetes是直接管理Pod而不是容器。 Pod中运行多个需要耦合在一起工作、需要共享资源的容器。 实际使用中很少直接创建Pod，而是使用Kubernetes中称为Controller的抽象层来管理Pod实例，例如Deployment。Controller可以创建和管理多个Pod，提供副本管理、滚动升级和自愈能力。通常，Controller会使用Pod Template来创建相应的Pod。 详细信息请参见Pod。

服务（Service） Pod是有生命周期的，它们可以被创建，也可以被销毁，然而一旦被销毁生命就永远结束。通过Pod Controller能够动态地创建和销毁Pod（例如，需要进行扩缩容，或者执行滚动升级）。每个Pod都会获取它自己的IP地址，但这些IP地址不总是稳定可依赖的。 这会导致一个问题：如果一组Pod（称为backend）为其它Pod（称为frontend）提供服务，那么那些frontend该如何发现，并连接到这组Pod中的哪些backend呢？ Service定义了这样一种抽象：一个Pod的逻辑分组，一种可以访问它们的策略（通常称为微服务）。 这一组Pod能够被Service访问到，通常是通过Label Selector实现的。 举个例子，考虑一个图片处理backend，它运行了3个Pod副本。这些副本是可互换的（frontend不需要关心它们调用了哪个backend副本）。 然而组成这一组backend的Pod实际上可能会发生变化，frontend不应该也没必要知道，而且也不需要跟踪这一组backend的状态。Service定义的抽象就是用来解耦这种关联。 详细信息请参见Service。

产品功能 一站式容器生命周期管理 使用云容器实例，您无需创建和管理服务器集群即可直接运行容器。您可以通过控制台、kubectl、Kubernetes API创建和使用容器负载，且只需为容器所使用的资源付费。 支持多种类型计算资源 云容器实例提供了多种类型计算资源运行容器，包括CPU，GPU（提供NVIDIA Tesla V100、NVIDIA Tesla T4显卡）。 支持多种网络访问方式 云容器实例提供了丰富的网络访问方式，支持四层、七层负载均衡，满足不同场景下的访问诉求。 支持多种持久化存储卷 云容器实例支持将数据存储在云服务的 云存储 上，当前支持的云存储包括：云硬盘存储卷（EVS）、文件存储卷（SFS）、对象存储卷（OBS）和极速文件存储卷（SFS Turbo）。 支持极速弹性扩缩容 云容器实例支持用户自定义弹性伸缩策略，且能在1秒内实现弹性扩缩容，并可以自由组合多种弹性策略以应对业务高峰期的突发流量浪涌。 全方位容器状态监控 云容器实例支持监控容器运行的资源使用率，包括CPU、内存、GPU和显存的使用率，方便您实时掌控容器运行的状态。

产品架构 云容器实例提供Serverless Container服务，拥有多个异构的Kubernetes集群，并集成网络、存储服务，让您方便的通过控制台、kubectl、Kubernetes API创建和使用容器负载。 图2 产品架构 基于云平台底层网络和存储服务（VPC、ELB、NAT、EVS、OBS、SFS等），提供丰富的网络和存储功能。 提供高性能、异构的基础设施（x86服务器、GPU加速型服务器、Ascend加速型服务器），容器直接运行在物理服务器上。 使用安全容器提供虚拟机级别的安全隔离，结合自有硬件虚拟化加速技术，提供高性能安全容器。 多集群统一管理，容器负载统一调度，使用上无需感知集群存在。 基于Kubernetes的负载模型提供负载快速部署、弹性负载均衡、弹性扩缩容、蓝绿发布等重要能力。

命名空间权限 Kubernetes RBAC API定义了四种类型：Role、ClusterRole、RoleBinding与ClusterRoleBinding。当前CCI仅支持ClusterRole、RoleBinding，这两种类型之间的关系和简要说明如下： ClusterRole：描述角色和权限的关系。在Kubernetes的RBAC API中，一个角色定义了一组特定权限的规则。整个Kubernetes集群范围内有效的角色则通过ClusterRole对象实现。 RoleBinding：描述subjects（包含users，groups）和角色的关系。角色绑定将一个角色中定义的各种权限授予一个或者一组用户，该用户或用户组则具有对应绑定ClusterRole定义的权限。 表1 RBAC API所定义的两种类型 类型名称 说明 ClusterRole ClusterRole对象可以授予整个集群范围内资源访问权限。 RoleBinding RoleBinding可以将同一Namespace中的subject（用户）绑定到某个具有特定权限的ClusterRole下，则此subject即具有该ClusterRole定义的权限。 当前仅支持用户使用ClusterRole在Namespace下创建RoleBinding。