华为云用户手册

问题一：用户负载无法调度到CCI，登录CCE节点执行kubectl get node发现virtual-kubelet节点状态为不可调度。 问题原因：CCI资源售罄导致弹性到CCI的资源调度失败，bursting节点会被锁定半小时（状态变为SchedulingDisabled），期间无法调度至CCI。 解决方案：用户可通过CCE集群控制台，使用kubectl工具查看virtual-kubelet节点状态，若节点被锁定，可手动解锁bursting节点。

使用第三方镜像拉取用户业务镜像 使用CCI提供的工具创建第三方镜像仓库认证secret。 imagepull-secret-generator --ak=$ak --sk=$sk --private-user=$user --private-password=$password --output-file-path=my-imagepull-secret.json --project-name=cn-north-4 --secret-name=my-imagepull-secret --swr-address=swr.cn-north-4.myhuaweicloud.com 登录CCE集群节点，为集群创建secret。 kubectl apply -f my-imagepull-secret.json 创建负载，使用secret。 在spec.imagePullSecrets中指定第三方仓库认证secret。 apiVersion: apps/v1 kind: Deployment metadata: labels: app: test-imagepull virtual-kubelet.io/burst-to-cci: enforce name: test-imagepull spec: replicas: 1 selector: matchLabels: app: test-imagepull template: metadata: labels: app: test-imagepull spec: containers: - image: xxx/my-image:latest imagePullPolicy: Always name: nginx resources: limits: cpu: 1 memory: 2Gi requests: cpu: 1 memory: 2Gi imagePullSecrets: - name: my-imagepull-secret

CCE集群pod与CCI集群中pod通过service互通的使用指导 安装插件，勾选”网络互通“功能。 安装成功后租户账号下会自动创建负载均衡器，可以通过网络控制台进行查看。 创建弹性CCI侧pod，并配置service发布。 为了方便验证，镜像选择暴露容器80端口的nginx。 为工作负载配置service。推介自动创建新的负载均衡器，以避免和插件自动创建的elb产生冲突。 通过CCE集群控制台，获取该负载的访问方式。 创建CCE侧pod，并配置service发布。方法请参考步骤2，不选择弹性CCI标签。 验证网络互访。 创建弹性CCI的工作负载，镜像选择含有curl命令的镜像，如centos。 通过CCI侧进入该容器，执行图中命令，观测CCI访问CCE service网络打通。 图1 访问CCI pod的service 图2 访问CCE pod的service 同理创建CCE侧pod，镜像选择含有curl命令的镜像，如centos。执行相同的命令。观测CCE访问CCI service网络打通。

资源规整用例说明 资源规格 （CPU MEM） 规整后规格（CPU MEM） 说明 37U 37G 无法创建pod弹性到CCI。 CPU规格无效。 30U 257G 无法创建pod弹性到CCI。 存算比大于8，提高CPU。但无法满足CPU规格有效，拦截。 0.35U 0.5G 0.5U 1G CPU向上取整0.25整数倍，MEM向上取整1的整数倍。存算比符合要求，不做调整。 0.35U 1.5G 0.5U 2G CPU向上取整0.25整数倍，MEM向上取整1的整数倍。存算比符合要求，不做调整。 0.45U 18G 2.25U 18G CPU向上取整0.25整数倍，MEM向上取整1的整数倍。存算比大于8，提高CPU。 2U 2G 2U 4G 存算比小于2，提高MEM。

pod资源规格算法 弹性CCI的pod规格计算遵循如下规则： 所有应用容器和初始化容器对资源X的Requests和Limits会被设置为相等的值，若配置了Limits，则取Limits值，没有配Limits，则取Requests值。如下所示： 设pod P = {init_container_A , init_container_B , C , D , E} ； 设pod P对资源X的Limits的值为pod_P_resource_X_Limit ； 设container C对资源X的Limits的值为C_X； 则pod_P_resource_X_Limit = max( sum(C_x , D_x , E_x ) , max(init_container_A , init_container_B))。

约束限制 仅操作系统为Windows且主机安全服务版本为旗舰版和网页防篡改版时，支持主机安全服务自保护。 自保护功能依赖AV检测、HIPS检测或者勒索病毒防护功能使能驱动才能生效，只有这三个功能开启一个以上时，开启自保护才会生效。相关操作请参见： 开启勒索病毒防护。 AV检测、HIPS检测默认开启，如果您手动关闭了这两个检测项，可参考查看策略组，重新开启。 开启自保护策略后的影响如下： 主机安全服务的Agent不支持通过主机的控制面板卸载，支持通过主机安全服务控制台卸载。 主机安全服务的进程无法被终止。 Agent安装路径C:\Program Files\HostGuard下除了log目录、data目录（如果Agent升级过，再加上upgrade目录）外的其他目录无法访问。

不同规格主机Agent资源占用一览 Agent运行时，不同规格的云服务器CPU、内存占用情况如表1所示。 表1 Agent资源占用一览 vCPUs规格 Agent运行占用CPU资源比例（峰值） 执行病毒查杀时，内存占用(峰值) 内存占用（峰值） 执行病毒查杀时，内存占用（均值） 1vCPUs 20% 50% 500 MB 800 MB 2vCPUs 10% 40% 500 MB 800 MB 4vCPUs 5% 35% 500 MB 800 MB 8vCPUs 2.5% 32.5% 500 MB 800 MB 12vCPUs 约1.67% 约31.67% 500 MB 800 MB 16vCPUs 约1.25% 约31.25% 500 MB 800 MB 24vCPUs 约0.84% 约30.84% 500 MB 800 MB 32vCPUs 约0.63% 约30.63% 500 MB 800 MB 48vCPUs 约0.42% 约30.42% 500 MB 800 MB 60vCPUs 约0.34% 约30.34% 500 MB 800 MB 64vCPUs 约0.32% 约30.32% 500 MB 800 MB

CPU占用峰值 Agent运行时，CPU占用控制在1vCPU的20%以内。因此，实际占用比例与您购买的云服务器规格有关，详见不同规格主机Agent资源占用一览。 若CPU占用比例超过1vCPU的20%，Agent会自动降CPU；自动降CPU后，Agent检测主机时间会延长，但不影响服务使用。若CPU占用比例超过1vCPU的25%，Agent将自动重启。 Agent定时检测任务会基于使用地时间在每日00：00-04：00执行，全量扫描主机，不会影响主机系统的正常运行。 如果Agent正在执行病毒查杀任务，病毒查杀程序会额外占用部分CPU，占用最多不超过多核的30%。关于病毒查杀的详细介绍请参见病毒查杀。

内存占用峰值 Agent运行时，内存占用控制在500 MB以内。若Agent平均内存占用超过300 MB持续30秒或超过最大内存限制500 MB，Agent会在5分钟内自动重启。 如果Agent正在执行病毒查杀任务，内存占用控制在均值800 MB。关于病毒查杀的详细介绍请参见病毒查杀。 如果主机可用内存小于50 MB，Agent会切换为“静默”状态。如果Agent内存占用超限重启，半小时达10次，Agent切换为“空载”状态；1小时达15次，Agent当天切换为“静默”状态。以下是状态说明： 空载状态：Agent所有防护功能关闭，可通过控制台执行升级、卸载操作。 静默状态：Agent所有防护功能关闭，不可通过控制台执行升级、卸载操作。 Agent后台状态可在Agent安装目录下的conf/framework.conf文件中查看“run_mode”字段。 如果需要将Agent恢复为正常状态，可按以下操作执行： 如果您开启了自保护策略，请先关闭自保护策略再执行以下操作。详细操作参考关闭自保护。 （可选）主机扩容。 主机可用内存小于50 MB才需执行此操作。 修改Agent安装目录下的conf/framework.conf文件，将run_mode冒号后面的模式改为normal。 执行以下操作，删除记录重启次数的文件。 Linux：执行命令rm -f /usr/local/hostguard/run/restart.conf。 Windows：找到C:\Program Files\HostGuard\run\restart.conf并删除。 执行以下操作，重启Agent。 Linux：执行命令service hostguard restart。 Windows： Agent为4.0.17及以下版本： 以管理员administrator权限登录主机。 打开“任务管理器”，选择“服务”页签。 选中Hostwatch，单击鼠标右键选择“停止”，等待状态改变为“已停止”后执行步骤4。 选择中Hostguard，单击鼠标右键选择“停止”。 选中Hostwatch，单击鼠标右键选择“开始”，完成重启。 启动Hostwatch后会自动拉起Hostguard。 Agent为4.0.18及以上版本： 以管理员administrator权限登录主机。 打开cmd命令提示符窗口，依次执行以下命令停止服务。 sc control hostwatch 198 sc control hostguard 198 如图 停止服务所示为正常现象，开启自保护的主机上不会生成sp_state.conf文件。 图1 停止服务 打开“任务管理器”，选择“服务”页签。 选中Hostwatch，单击鼠标右键选择“开始”，完成重启。 启动Hostwatch后会自动拉起Hostguard。

解决方法 将 IAM 用户加入用户组，为用户组授予“CORS FullAccess”权限，IAM用户即可继承此权限。本例以您名为“IAM AccountA”的IAM用户为例，介绍如何为您的“IAM AccountA”用户增加权限。 使用IAM用户对应的华为账号登录IAM控制台。 在“用户组”菜单中，在已有用户组（例如HE CS L），单击“授权”。 如果您还没有创建用户组，请单击“创建用户组”，创建用户组HECS L后，再单击“授权”。 设置用户组授权配置。 选择策略，设置后单击“下一步”。 搜索“CORS”，选中“CORS FullAccess”，表示为您IAM用户授予云耀云服务器L实例相关云服务资源的全部权限，但是不能使用除此之外的其他云服务。 您也可以搜索并选中Tenant Administrator，表示为您IAM用户授予全部云服务管理员（除IAM管理权限）权限，更方便灵活使用云服务。 设置最小授权范围，单击“确定”。 保持默认配置“所有资源”，您也可以根据需要选择其他选项。 单击用户组HECS L右侧“用户组管理”。 搜索并选中您的IAM用户名“IAM AccountA”，单击“确定”。 此时您的IAM用户“IAM AccountA”已经加入用户组HECS L，并继承用户组的权限。 退出管理员账号，使用“IAM AccountA”IAM账号再次登录，即可正常购买云耀云服务器L实例。

云耀云服务器L实例有哪些套餐类型？ 云耀云服务器L实例包含以下两种套餐类型。 云耀云服务器L实例套餐：包含多种实例规格（包括vCPU/内存、系统盘、流量包），可根据需要自定义选择数据盘、主机安全、云备份服务。 云耀组合套餐：包含基础套餐和高可用套餐。 云耀组合套餐中的实例规格（包括vCPU/内存、系统盘、流量包）为固定规格，并且集成了必选的服务（包括云备份、主机安全、云耀负载均衡）。其中，仅高可用套餐支持云耀负载均衡。 父主题： 高频问题

前提条件 准备一台Linux操作系统的临时云服务器，建议操作系统为Ubuntu14.04以上版本，且该临时云服务器与待重置密码的云服务器位于同一个可用区。 临时云服务器已经绑定弹性公网IP，并配置系统apt-get源。 通过下面的方法，在临时云服务器中安装ntfs-3g和chntpw软件包。 方法一： 执行以下命令，安装ntfs-3g和chntpw软件包。 sudo apt-get install ntfs-3g chntpw 方法二： 根据临时云服务器的操作系统版本，下载对应版本的ntfs-3g和chntpw软件包进行安装。

L实例数据盘使用时有什么限制？ 新增数据盘 L实例最多支持一个数据盘。 新增数据盘时，仅支持在L实例控制台新增加数据盘，不支持在云硬盘控制台为L实例挂载已有的数据盘。 新购买的数据盘不能直接使用，请登录云服务器初始化数据盘，初始化后的数据盘才可以正常使用（系统盘不需要初始化）。具体操作详见初始化数据盘。 单独增加的数据盘随L实例以套餐形式整体管理（包括续费、退订），该数据盘到期时间与所挂载的L实例一致，不支持单独卸载和退订。 扩容数据盘 仅支持数据盘单独扩容，不支系统盘单独扩容。数据盘扩容后的容量上限为1024 GiB。 当前数据盘只支持扩大容量，不支持缩小容量。 扩容量到期时间与所绑定的云耀云服务器L实例一致，且扩展容量无法单独退订。

为什么在 CES 控制台主机监控列表中查看不到L实例的云主机？ 问题现象 在CES控制台主机监控列表中查看不到L实例的云主机。 可能原因 CES控制台选择的区域和L实例所在的区域不一致。如果区域不一致，请在CES控制台切换到同一区域后，再次查看。 L实例云主机的搜索方式不正确。如果您采用搜索方式查询云主机，请注意使用L实例的云主机名称或ID搜索，而不是L实例套餐的名称或ID，具体操作详见查看主机监控指标。同时，请注意属性和属性值需要对应，例如搜索ID时，请选择ID（而不是其他属性）并输入ID取值。 CES控制台仅显示近2小时内向CES上报过监控指标的L实例云主机，否则无法在CES控制台查询到您的云主机。如果您的L实例是否刚创建完成，或较长时间没有工作，请在L实例云主机工作5~10分钟后再次查看。

操作场景 对于系统盘：当由于系统盘文件系统损坏等原因导致HECS无法启动时，您可以卸载该系统盘并将其挂载至其他HECS作为数据盘，待该磁盘被修复后，再挂载至原HECS作为系统盘。 对于数据盘：当您需要将数据盘挂载至同一区域、同一可用区的其他HECS上，您可以先从已挂载的HECS上卸载该数据盘，然后再将其挂载至其他HECS上。 当您不再使用某云硬盘时，您可以将其卸载并删除。 HECS服务器类型中的L实例不支持卸载云硬盘。

前提条件 云服务器状态为“运行中”，只有状态为“运行中”的云服务器才允许用户登录。 已获取云服务器用户名和密码，忘记密码请参考在控制台重置密码。 云服务器已经绑定弹性公网IP。 云服务器安全组入方向已开放3389端口。具体操作详见配置安全组规则。 使用的登录工具与待登录的云服务器之间网络连通。例如，默认的3389端口没有被防火墙屏蔽。 移动设备已安装Microsoft Remote Desktop。 您还可以搜索使用其他Remote Desktop类APP。

操作步骤 在移动设备上启动Microsoft Remote Desktop。 在“Remote Desktop”页面右上角，单击图标，选择“Desktop”。 图1 Remote Desktop 在“Add desktop”页面，设置登录信息后，单击“SAVE”。 PC name：输入需要登录的Windows实例的弹性公网IP地址。 按以下步骤设置“User name”： 单击“User name”，在下拉列表中选择“Add user account”。 弹出“Add user account”对话框。 输入Windows实例账号“Administrator”，并输入实例的登录密码，单击“SAVE”。 图2 输入登录信息 图3 保存填写的登录信息 在“Remote Desktop”页面，单击需要登录的Windows实例图标。 图4 登录Windows实例 确认信息后，单击“CONNECT”。 图5 CONNECT 至此，您已经登录Windows实例。 图6 登录成功

Linux云服务器 以root用户登录Linux云耀云服务器。 登录方法请参见登录云耀云服务器。 执行以下命令，重置root的用户密码。 passwd 如果是重置其他用户的密码，请将“passwd”替换为“passwd username”。 根据系统显示的如下回显信息，输入新密码，新密码的复杂度需满足表1。 New password: Retype new password: 系统显示如下回显信息时，表示密码重置成功。 passwd: password updated successfully

背景信息 云服务器的密码规则如表1所示。 表1 密码设置规则 参数 规则 密码 密码长度范围为8到26位。 密码至少包含以下4种字符中的3种： 大写字母 小写字母 数字 Windows操作系统云服务器特殊字符：包括“$”、“!”、“@”、“%”、“-”、“_”、“=”、“+”、“[”、“]”、“:”、“.”、“/”、“,”和“?” Linux操作系统云服务器特殊字符：包括“!”、“@”、“%”、“-”、“_”、“=”、“+”、“[”、“]”、“:”、“.”、“/”、“^”、“,”、“{”、“}”和“?” 密码不能包含用户名或用户名的逆序。 Windows操作系统的云服务器，不能包含用户名中超过两个连续字符的部分。 Windows操作系统的云服务器，不能以“/”为密码首字符。

结果验证 安全组规则配置完成后，需要验证对应的规则是否生效。假设您在云耀云服务器上部署了网站，希望用户能通过HTTP（80端口）访问到您的网站，您添加了一条入方向规则，如表3所示。 表3 安全组规则 方向 协议/应用 端口 源地址 入方向 TCP 80 0.0.0.0/0 Linux云耀云服务器 Linux云耀云服务器上验证该安全组规则是否生效的步骤如下所示。 登录云耀云服务器。 运行如下命令查看TCP 80端口是否被监听。 netstat -an | grep 80 如果返回结果如图3所示，说明TCP 80端口已开通。 图3 Linux TCP 80端口验证结果 在浏览器地址栏里输入“http://云耀云服务器的弹性公网IP地址”。 如果访问成功，说明安全组规则已经生效。

云耀云服务器X实例配置安全组规则 登录X实例控制台，单击左上角的选择区域和项目。 在云耀云服务器列表，单击待变更安全组规则的云耀云服务器名称。 系统跳转至该云耀云服务器详情页面。 在服务器详情页面，选择“安全组”页签，查看安全组规则。 单击“配置规则”。 系统自动跳转至安全组规则配置页面。 在“入方向规则”页签，单击“添加规则”。 弹出“添加入方向规则”对话框。 根据界面提示，设置入方向规则参数。 单击“+”按钮，可以依次增加多条入方向规则。参数说明详见添加安全组规则。 图2 添加入方向规则 在“出方向规则”页签，单击“添加规则”。参数说明详见添加安全组规则。 弹出“添加出方向规则”页签。 根据界面提示，设置出方向规则参数。 单击“+”按钮，可以依次增加多条出方向规则。 单击“确定”，完成安全组规则配置。

删除常用安全组规则的影响 在“入方向规则”和“出方向规则”页签，您也可以对已有的规则进行修改、复制或删除。 删除安全组规则会导致部分功能无法使用： 删除TCP（20-21）规则会导致无法通过FTP协议向云服务器上传或下载文件。 删除ICMP规则会导致使用Ping程序测试云服务器无法连通。 删除TCP（443）规则会导致无法使用HTTPS协议访问网站。 删除TCP（80）规则会导致无法使用HTTP协议访问网站。 删除TCP（22）规则会导致无法通过SSH协议远程连接到Linux操作系统云服务器。 删除TCP（3389）规则会导致无法通过RDP协议远程连接Windows操作系统云服务器。

操作场景 安全组类似防火墙功能，是一个逻辑上的分组，用于设置网络访问控制。用户可以在安全组中定义各种访问规则，当云耀云服务器加入该安全组后，即受到这些访问规则的保护。 入方向：入方向规则放通入方向网络流量，指从外部访问安全组规则下的云耀云服务器。 出方向：出方向规则放通出方向网络流量。指安全组规则下的云耀云服务器访问安全组外的实例。 默认安全组规则请参见默认安全组和规则。常用的安全组规则配置示例请参见安全组配置示例。

开启主机监控 不同的HECS类型，主机监控的使用方式略有不同，详见表1。 表1 HECS开启主机监控 HECS类型 说明 L实例 不支持在L实例控制台查看主机监控指标。 购买L实例后，请在CES控制台查看基础监控指标。为L实例安装Agent后，在CES控制台可查看操作系统监控或进程监控数据。 说明： CES控制台仅显示近2小时内向CES上报过监控指标的L实例云主机，否则无法在CES控制台查询到您的云主机。 X实例 HECS购买页面提供了 云监控服务 配置项，创建云服务器后，默认开启基础监控服务。若您在HECS购买页： 勾选了 云监控 服务，在HECS控制台您可查看基础监控、操作系统监控、进程监控数据。其中，操作系统监控和进程监控数据在安装Agent后才能查看。 未勾选云监控服务，在HECS控制台您仅可查看基础监控。 后续如需查看操作系统监控或进程监控，请在CES控制台安装Agent，并在CES控制台查看操作系统监控或进程监控数据。 旧版HECS

查看用量统计 用量统计主要是对时空专属存储以及实景三维生产服务的用量统计，您可以查看时空专属存储或影像建模的用量统计。 时空专属存储用量：包括倾斜摄影影像（航空飞机影像、无人机影像）、生产资料和成果数据存储总量。 影像建模用量：统计成功建模的倾斜摄影影像的像素点数量、成功处理的次数。 实景三维生产服务基础版：支持纹理模型实景三维。 实景三维生产服务专业版：支持显式辐射场实景三维。 用量统计仅做参考，实际情况以账单为准。 登录KooMap服务控制台，进入控制台页面。 在左侧导航栏选择“实景三维”下的“用量统计”菜单，然后在右侧单击“我的存储”页签，查看时空专属存储用量。 图1 时空专属存储用量统计 在左侧导航栏选择“实景三维”下的“用量统计”菜单，然后在右侧单击“实景三维生产服务”页签，查看已处理影像像素量、成功处理的次数。 图2 实景三维生产服务用量统计 父主题： 实景三维操作指导

请求示例 POST https://{接入点IP:8102}/v2/{project_id}/lts/groups/{log_group_id}/streams/{log_stream_id}/tenant/contents/high-accuracy { "contents": [ { "log_time_ns": "1586850540000000000", "log": "Fri Feb 15 15:48:04 UTC 2019" }, { "log_time_ns": "1586850540000000001", "log": "Sat Apri 18 16:04:04 UTC 2019" } ], "labels": { "user_tag": "string" } }

响应示例 状态码： 200 日志上报成功。 { "errorCode": "SVCSTG.ALS.200.200", "errorMessage": "Report success.", "result": null } 状态码： 401 在客户端提供认证信息后，返回该状态码，表明服务端指出客户端所提供的认证信息不正确或非法。 { "errorCode" : "SVCSTG.ALS.403.105", "errorMessage" : "Project id is invalid.", "result": null }

URI POST /v2/{project_id}/lts/groups/{log_group_id}/streams/{log_stream_id}/tenant/contents/high-accuracy 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID，获取方式请参见：获取账号ID、项目ID、日志组ID、日志流ID。 缺省值：None 最小长度：32 最大长度：32 log_group_id 是 String 日志组ID，获取方式请参见：获取账号ID、项目ID、日志组ID、日志流ID。 缺省值：None 最小长度：36 最大长度：36 log_stream_id 是 String 日志流ID，获取方式请参见：获取账号ID、项目ID、日志组ID、日志流ID。 缺省值：None 最小长度：36 最大长度：36 注：每个logstream写入速率最大不能超过100MB/S，超过此规格可能会导致日志丢失。

请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 从IAM获取的用户Token，获取方式请参见：获取用户Token。 缺省值：None 最小长度：1000 最大长度：2000 Content-Type 是 String 该字段填为：application/json;charset=UTF-8。 缺省值：None 最小长度：30 最大长度：30 Content-Encoding 否 String 日志压缩格式 枚举值： GZIP SNAPPY gzip snappy 表3 请求Body参数 参数 是否必选 参数类型 描述 contents 是 Array of LogContents 包含上报时间戳的日志内容列表。 labels 是 Object 用户自定义label。 说明： 请不要将字段名称设置为内置保留字段，否则可能会造成字段名称重复、查询不精确等问题。 tenant_project_id 否 String 租户ID。 表4 LogContents 参数 是否必选 参数类型 描述 log_time_ns 是 Long 日志数据上报时间，UTC时间（纳秒）。 说明： 通过接口上报日志到LTS的时间相距当前时间不超过2天，否则上报日志会被LTS删除。 log 是 String 日志内容。

请求示例 POST https://{接入点IP:8102}/v2/{project_id}/lts/groups/{log_group_id}/streams/{log_stream_id}/tenant/contents { "log_time_ns": "1586850540000000000", "contents": [ "Fri Feb 1 07:48:04 UTC 2019 0\n", "Sat Apri 18 16:04:04 UTC 2019" ], "labels": { "user_tag": "string" } }