华为云用户手册

备案必须安装华为云APP吗 是的。提交备案时，网站或APP负责人需完成真实性核验，该操作必须在APP端完成。 华为云网站备案服务提供了两种备案方式： 使用华为云APP备案 使用PC备案 华为云APP备案支持证件智能识别和人脸识别功能，电子化的核验方式让流程更简单，备案更便捷。两种备案方式支持的具体功能，如表1所示。 表1 使用华为云APP与PC端备案支持的备案功能 备案功能 使用APP备案 使用PC备案 首次备案 √ 支持部分功能，具体如下： 支持：填写“主体信息”、“互联网信息”、“上传资料”。 不支持：“真实性核验”操作。需在APP端操作。 新增接入 √ 新增备案（原备案在华为云） √ 新增备案（原备案不在华为云） √ 变更备案 √ 取消接入 √ 注销备案 √ √ 转移备案 √ √ 认领备案 √ √ 迁移备案 × √ 修改备案申请 √ √ 其中，√表示支持该备案功能在APP端（或PC端）的全流程操作，×表示不支持该备案功能在APP端（或PC端）的任意操作。 如果您使用PC在Web端备案，请完成主体信息、互联网信息填写后，下载华为云APP上传资料，进行真实性核验。 父主题： 备案基础

网站标明备案号 按照《非经营性互联网信息服务备案管理办法》（原信息产业部令第33号令），互联网信息服务提供者应当在网站开通时，网站在首页底部中间位置放置备案号，并按要求链接至信息产业部备案管理系统网址https://beian.miit.gov.cn，供公众查询核对。如果未在网站底部添加备案号及工信部网站链接的，由住所所在地省通信管理局责令改正，并处五千元以上一万元以下罚款。 如何标明备案号？ 由于各个网站的搭建方式不同，本文不提供具体的标明备案号操作步骤，请网站技术负责人编辑网页源代码自行添加。 标明备案号规则 网站首页底部标明网站备案号，且标明的网站备案号与工信部备案系统中的备案编号一致。 网站首页底部标明的网站备案号已链接至工信部备案系统网址，且链接的工信部系统网址正确。 除广东省网站是标明主体备案号，其他省份网站首页底部应标明网站备案号（例如：京ICP备****号-1），不可以标明主体备案号（例如：京ICP备****号）。 广东省网站：请在网站首页标明主体备案号“粤ICP备********号”，不要带-1、-2等序号，并链接至信息产业部备案管理系统网址https://beian.miit.gov.cn。 以华为商城为例，网站底部已添加网站的备案号“粤ICP备19015064号”，且备案号已链接至工信部网站，单击即可跳转至工信部查询、确认备案信息，如图1所示。 图1 广东省网站标明备案号效果 其他省份网站（除广东省）：请在网站首页标明网站备案号，如“京ICP备********号-1”，需要带有-1、-2等序号，并链接至信息产业部备案管理系统网址https://beian.miit.gov.cn。 以图2为例，网站底部已添加网站的备案号“黔ICP备20004760号-14”，且备案号已链接至工信部网站，单击即可跳转至工信部查询、确认备案信息。 图2 其他省份网站标明备案号效果 二级域名下的网站是否需要标明备案号？ 一般情况下，一级域名履行ICP备案后，在网站首页底部标明备案号即可。 对于可以使用二级甚至多级域名备案的（如政府或者公益单位），二级域名备案后，也需要在网站底部标明备案号。 父主题： ICP备案号FAQ

备案短信核验时，短信验证超时怎么办 华为云提交备案申请后，用户还需完成短信核验，备案申请才能进入管局审核。备案负责人收到短信验证码后，需在验证码有效期内（24小时）登录管局网站完成短信验证。 如果您未在24小时内进行验证或验证失败，系统会自动退回您的备案申请： 如果备案信息无需修改，提交的备案资料符合要求，您可以直接重新提交备案申请，初审通过后会再次将您的订单提交至管局。请根据短信核验要求，在24小时内登录工信部备案系统完成短信核验。具体请参见备案短信核验。 如果备案信息或提交的备案资料不符合要求，备案申请将被驳回，请及时登录华为云APP备案小程序进行修改，并重新提交。待初审通过后，华为云将重新提交备案申请至管局。

短信核验信息输入错误，怎么办？ 【问题描述】输入短信核验信息并单击“提交”，短信核验失败。 图1 短信核验失败 【可能原因】 短信验证码、手机号码或证件号码后6位，信息输入错误。 输入的信息（手机号码、证件号码后6位）与备案申请中提交的信息不一致，系统匹配不到对应的订单。 【处理方法】 请仔细核对收到的6位短信验证码。 请登录华为云备案系统，仔细核对备案订单信息中填写的手机号、证件号码。 核实无误后，在工信部“短信核验”页面，重新输入正确的信息，并单击“提交”进行核验。 如果备案类型为“新增接入”，短信验证码会发送到原备案网站负责人手机号码上，身份证号码也需要填写原备案网站负责人身份证后6位。请核实填写的是原备案信息。

未收到工信部发送的备案短信验证码，怎么办 在收到华为云已将您的备案信息提交管局审核的通知后，请注意查收工信部发出的验证短信。一般在5分钟内即可收到验证短信。若5分钟后仍然没有收到验证短信，请检查： 表1 未收到核验短信处理措施 未收到核验短信可能原因 解决方法 手机欠费停机 请先充值缴费，待手机恢复正常后，登录工信部备案管理系统手动重发验证码。 手机网络信号异常 请移动到信号好的地方，或访问工信部备案管理系统手动重发验证码。 手机设置了短信拦截/安装了垃圾短信拦截软件 请关闭拦截。如果无法关闭拦截，建议将您的SIM卡换至其他手机。 误删验证短信 登录工信部备案管理系统手动重发验证码。 手机号码否与备案信息中的号码不一致 如果更换了手机号码无法找回，建议到原接入商变更备案，将手机号修改为最新的有效手机号码，然后再接入到华为云。

公安备案 依据《计算机信息网络国际联网安全保护管理办法》相关规定，各网站在工信部备案成功后，需在网站开通之日起30日内登录全国互联网安全管理服务平台提交公安备案申请。公安备案操作指导，请参见公安备案。 公安备案审核通过后，您需在30日内登录全国互联网安全管理服务平台，在您的已备案网站详情中，复制网站公安机关备案号和备案编号HTML代码，下载备案编号图标，并编辑您的网页源代码将公安联网备案信息放置在网页底部，如图5所示。 图5 标明公安机关备案编号

标明备案号 按照《非经营性互联网信息服务备案管理办法》（原信息产业部令第33号令），互联网信息服务提供者应当在网站开通时，在网站首页底部中间位置放置备案号，并按要求链接至信息产业部备案管理系统网址https://beian.miit.gov.cn，供公众查询核对。如果未在网站底部添加备案号及工信部网站链接的，由住所所在地省通信管理局责令改正，并处五千元以上一万元以下罚款。 如何标明备案号？ 由于各个网站的搭建方式不同，本文不提供具体的标明备案号操作步骤，请网站技术负责人编辑网页源代码自行添加。 标明备案号规则 网站首页底部标明网站备案号，且标明的网站备案号与工信部备案系统中的备案编号一致。 网站首页底部标明的网站备案号已链接至工信部备案系统网址，且链接的工信部系统网址正确。 除广东省网站是标明主体备案号，其他省份网站首页底部应标明网站备案号（例如：京ICP备****号-1），不可以标明主体备案号（例如：京ICP备****号）。 广东省网站：请在网站首页标明主体备案号“粤ICP备********号”，不要带-1、-2等序号，并链接至信息产业部备案管理系统网址https://beian.miit.gov.cn。 以华为商城为例，网站底部已添加网站的备案号“粤ICP备19015064号”，且备案号已链接至工信部网站，单击即可跳转至工信部查询、确认备案信息，如图2所示。 图2 广东省网站标明备案号效果 其他省份网站（除广东省）：请在网站首页标明网站备案号，如“京ICP备********号-1”，需要带有-1、-2等序号，并链接至信息产业部备案管理系统网址https://beian.miit.gov.cn。 以图3为例，网站底部已添加网站的备案号“黔ICP备20004760号-14”，且备案号已链接至工信部网站，单击即可跳转至工信部查询、确认备案信息。 图3 其他省份网站标明备案号效果 二级域名下的网站是否需要标明备案号？ 一般情况下，一级域名履行ICP备案后，在网站首页底部标明备案号即可。 对于可以使用二级甚至多级域名备案的（如政府或者公益单位），二级域名备案后，也需要在网站底部标明备案号。

备案期间网站可以访问吗 针对不同的备案类型，网站访问情况存在差异： 新增备案（首次备案）、新增网站： 没有备案的IP、域名不允许上线访问。根据《非经营性互联网信息服务备案管理办法》规定，未完成备案的网站不允许对外开放。网站的域名可以通过“暂停解析”功能来停止网站的访问。如果您已经在云解析控制台添加了网站的域名解析，此时您可通过“暂停解析”功能来停止网站当前的解析，并在备案结束后，重新启用解析即可。 变更备案： 变更备案期间，已备案的域名访问不受影响，需确保网站内容与备案信息相符。网站下新添加的域名备案成功后才可访问。 新增接入： 如原备案的IP资源有效可继续解析访问；接入备案成功后，即可解析到华为云IP。 父主题： 备案基础

方式一：登录华为云备案系统查询 通过华为云备案系统填写了备案信息的订单，登录备案系统能查看到当前进度，实际进度有更新时系统会自动刷新。 登录华为云备案系统。 图1 查看备案订单状态 在“我的ICP备案信息”页面，查看备案订单的状态。 表1 备案订单状态一览 状态 说明 后续操作 待完善备案信息 表示备案订单暂未提交初审。 请单击“继续备案”尽快完善备案信息，并提交初审。 等待初审 表示备案订单已提交至接入商初审，等待华为云备案专员审核。 如需修改订单中填写的备案信息、资料，请先单击“撤销备案”，然后再修改备案申请。 如需查询订单历史记录，请单击“审核历史”，查询订单操作记录。 如需查看备案填写的主体信息、互联网信息、上传的资料等，请单击“查看详情”，查询订单详细信息。 接入商审核为待修改 表示华为云备案专员已审核订单，发现提交的备案申请缺失材料、或填写的信息不完整，不完全满足ICP备案相关要求。 请查看邮件了解缺失的资料，根据初审意见修改备案申请，然后重新提交接入商审核。 已修改待审核 表示您已根据初审意见完善订单中的信息、资料，并重新提交，等待华为云备案专员审核。 用户无需操作，等待备案专员审核即可。 如需修改订单中填写的备案信息、资料，请单击“撤销备案”。 初审驳回 表示华为云备案专员已审核订单，发现提交的备案申请信息不正确（如真实性核验不通过、网站或APP内容存在违规），不满足ICP备案相关要求。 请查看邮件了解驳回原因，根据初审意见修改备案申请，然后重新提交初审。 如需查询订单历史记录，请单击“审核历史”，查询订单操作记录。 如需查看备案填写的主体信息、互联网信息、上传的资料等，请单击“查看详情”，查询订单详细信息。 相关链接：初审驳回FAQ。 待提交管局 表示您提交的备案订单已通过初审，等待华为云备案专员提交备案资料至当地管局进行审核。 用户无需操作，等待备案专员提交即可。 如需修改订单中填写的备案信息、资料，请单击“撤销备案”。 待管局审核 表示备案初审已通过，并提交至管局审核。 此状态的备案订单，不支持撤销和修改。 管局驳回 表示备案信息或提交的备案资料不符合要求，未通过管局审核。 请根据管局驳回意见修改备案信息、资料，并重新提交初审。备案专员初审通过后，会再次将备案提交至管局。 相关链接：管局退回FAQ。 已备案 表示已备案成功并获取备案号。 如需更改服务器IP地址、修改应急电话、更新营业执照地址等，请参见变更备案，修改备案信息。 关注手机短信或邮件：在您提交备案初审后的关键处理环节，华为云备案系统会自动发送短信/邮件通知备案系统注册人。 关键处理环节包括：初审结果、提交管局审核、管局审核结果。

为什么网站无法访问？ 网站暂时无法访问，可能由以下原因导致： 原因一：未备案或未接入华为云备案。 根据《非经营性互联网信息服务备案管理办法》，网站需要完成备案。如果您的域名已在其他接入商办理过备案并取得备案号，现在更换到华为云服务器进行域名解析（或者二级域名指向华为云），因接入商有变更，需要您在华为云做接入备案。 原因二：网站内容与备案信息不符或备案信息不准确。 根据《非经营性互联网信息服务备案管理办法》，网站内容需要与备案信息一致，且备案信息真实有效。建议网站管理员尽快修改网站信息。 原因三：备案信息同步延迟。 如果您的网站已备案成功仍无法访问，请等待一个工作日。由于信息同步延迟，备案通过一个工作日后网页会自动开放。 原因四：没有配置网站解析。 备案成功后，需要将域名解析至备案接入商的服务器，配置网站解析。如果您的网站备案接入商是华为云，则网站解析操作如下： 在华为云注册域名的用户，单击这里配置网站解析。 在第三方注册域名的用户，单击这里配置网站解析。 其他异常情况：请提交工单进行咨询。 父主题： 故障排除

处理方法 序号 可能原因 处理方案 1 域名未进行实名认证 请先实名认证新注册的域名，具体请参见域名实名认证操作指导。 2 域名实名认证信息与备案主体不一致 华为云购买的域名： 查看域名实名认证信息，检查域名实名认证信息与备案主体是否一致。如果确认不一致，请执行如下操作： 创建信息模板。 个人用户，请参见创建信息模板（个人用户）。 企业用户，请参见创建信息模板（企业用户）。 变更域名所有者，具体请参见域名过户。 其他服务商购买的域名： 在域名服务商处查看域名实名认证信息与备案主体是否一致，如果不一致，变更域名所有者信息。 3 域名实名认证成功，但未同步至管局数据库 域名实名认证信息同步至管局需要3~5个工作日，为避免管局驳回，建议实名认证成功满3个工作日后再提交备案订单至管局审核。

注销空壳主体 空壳主体是没有接入商的，因此需要向管局提交申请，线下注销空壳主体备案。 登录工信部域名信息备案管理系统，系统默认打开“首页”。 单击“通知公告”栏右上角的“更多”。 图2 首页 在“通知公告”页，根据页面提示填写如下参数，并单击“搜索”。 省份：您备案成功的主体所在省份，如北京 标题：输入关键字“注销” 图3 通知公告 根据搜索结果查询对应省份的ICP备案注销申请表。 如果可以查询到对应省份的ICP备案注销申请表，如图4所示，请继续执行5。 图4 注销备案申请表 如果未找到相关下载文件，请提交工单联系备案工程师咨询。 在搜索列表中查看对应省份的注销申请表，并单击“操作”列下的“详情”。 进入“公告详情信息”页面。 单击文档名称下载ICP备案注销申请表。 图5 公告详情信息 按照要求填写注销申请表，并将相关证件和申请表一同提交至管局。 注销申请表提交管局后，一般会在5个工作日完成审核。待注销成功后，提交新的域名备案申请。

计费模式 云容器引擎提供包年/包月、按需计费两种计费模式，以满足不同场景下的用户需求。关于计费模式的详细介绍请参见计费模式概述。 包年/包月是一种预付费模式，即先付费再使用，按照订单的购买周期进行结算，因此在购买之前，您必须确保账户余额充足。 按需计费是一种后付费模式，即先使用再付费，按照实际使用时长计费。 在购买集群或集群内资源后，如果发现当前计费模式无法满足业务需求，您还可以变更计费模式。详细介绍请参见变更计费模式概述。

用户访问集群API Server的方式有哪些？ 当前CCE提供两种访问集群API Server的方式： 集群API方式：（推荐）集群API需要使用证书认证访问。直接连接集群API Server，适合大规模调用。 API网关方式：API网关采用token方式认证，需要使用账号信息获取token。适合小规模调用场景，大规模调用时可能会触发API网关流控。 详情请参见使用Kubernetes API。 父主题： API&kubectl

排查项一：节点是否存在资源压力 当满足硬性或软性驱逐条件时，即存在资源压力时，kubelet会根据驱逐信号将节点设置为相应的节点状况，并为节点打上对应的污点。请通过以下步骤查看节点是否存在对应的污点。 $ kubectl describe node 192.168.0.37 Name: 192.168.0.37 ... Taints: key1=value1:NoSchedule ... 表1 存在资源压力的节点状况及解决方案 节点状况 节点污点 驱逐信号 描述 解决方案 MemoryPressure node.kubernetes.io/memory-pressure memory.available 节点上的可用内存已满足驱逐条件。 您可以扩容节点规格，详情请参见如何变更CCE集群中的节点规格？。 DiskPressure node.kubernetes.io/disk-pressure nodefs.available、nodefs.inodesFree、imagefs.available 或 imagefs.inodesFree 节点的根文件系统或镜像文件系统上的可用磁盘空间和 inode 已满足驱逐条件。 您可以扩容节点磁盘空间，详情请参见存储扩容。 PIDPressure node.kubernetes.io/pid-pressure pid.available 节点上的可用进程标识符已低于驱逐条件。 您可以修改节点进程ID上限，详情请参见修改节点进程 ID数量上限kernel.pid_max。

CCE如何与其他服务进行内网通信？ 与CCE进行内网通信的华为云常见服务有：RDS、DMS、Kafka、RabbitMQ、VPN、ModelArts等，有如下两种场景： 在同一个VPC网络下，CCE节点可以与此VPC下的所有服务进行互通。CCE的容器与其他服务通信时，需要关注对端是否开启了容器网段的入方向的安全组规则（此限制只针对于CCE的集群为VPC网络模式）。 如果不在同一个VPC，可以使用“对等连接”或VPN的方式打通两个VPC，不过需要注意的是两个VPC的网段及容器网段不能重复。并且，对端VPC或小网需要配置回程路由（此限制只针对于CCE的集群为VPC网络模式），配置方法请参见对等连接。 此逻辑针对于华为云所有服务均有效。 “容器隧道网络”的集群，天然支持各服务间内网通信，不需要另外配置。 “VPC网络”模型的集群需要注意的事项： 对端看到的来源IP为容器IP。 容器在VPC内的节点上互通，是通过CCE添加的自定义路由规则实现的。 CCE中的容器访问其他服务时，需要关注对端（目的端）是否开启了容器网段入方向的安全组规则或防火墙。具体请参见安全组配置示例。 如果使用VPN或“对等连接”等方式打通了小网通信，需要在中间路上和目的地，都需要在对等连接添加容器网段的路由。 “云原生网络2.0”模型的集群需要根据业务诉求放通容器关联的安全组，容器关联的默认安全组名称为{集群名}-cce-eni-{随机ID}，具体请参见云原生网络2.0（CCE Turbo集群）安全组规则。 父主题： 网络指导

操作步骤 在执行退订操作前，请确保将退订的云资源上的数据已完成备份或者迁移，退订完成后云资源将被删除，数据无法找回，请谨慎操作。 页面中间有关于5天无理由退订的已退订次数和剩余退订次数提示，请注意查看。 进入“云服务退订”页面。 单击“退订使用中的资源”页签。 单个资源退订与批量退订可使用不同的操作方式： 退订单个资源：单击待退订资源所在行的“退订资源”。 图1 退订单个资源 批量退订：在退订列表中勾选需要退订的资源，单击列表左上角的“退订资源”。 图2 批量退订 在“退订资源”页面中查看退订信息，确认无误后选择退订原因，单击“退订”。

排查项八：拉取公共镜像达上限 问题现象 创建工作负载时报如下错误。 ERROR: toomanyrequests: Too Many Requests. 或 you have reached your pull rate limit, you may increase the limit by authenticating an upgrading: https://www.docker.com/increase-rate-limits. 问题原因 DockerHub对用户拉取容器镜像请求设定了上限，详情请参见Understanding Docker Hub Rate Limiting。 解决方案： 将常用的镜像上传到SWR，然后从SWR拉取镜像。

排查思路 根据具体事件信息确定具体问题原因，如表1所示。 表1 实例拉取镜像失败 事件信息 问题原因与解决方案 Failed to pull image "xxx": rpc error: code = Unknown desc = Error response from daemon: Get xxx: denied: You may not login yet 没有登录镜像仓库，无法拉取镜像。 排查项一：kubectl创建工作负载时未指定imagePullSecret Failed to pull image "nginx:v1.1": rpc error: code = Unknown desc = Error response from daemon: Get https://registry-1.docker.io/v2/: dial tcp: lookup registry-1.docker.io: no such host 镜像地址配置有误找不到镜像导致失败。 排查项二：填写的镜像地址错误（使用第三方镜像时） 排查项三：使用错误的密钥（使用第三方镜像时） Failed create pod sandbox: rpc error: code = Unknown desc = failed to create a sandbox for pod "nginx-6dc48bf8b6-l8xrw": Error response from daemon: mkdir xxxxx: no space left on device 磁盘空间不足。 排查项四：节点磁盘空间不足 Failed to pull image "xxx": rpc error: code = Unknown desc = error pulling image configuration: xxx x509: certificate signed by unknown authority 从第三方仓库下载镜像时，第三方仓库使用了非知名或者不安全的证书. 排查项五： 远程镜像仓库使用非知名或不安全的证书 Failed to pull image "XXX": rpc error: code = Unknown desc = context canceled 镜像体积过大。 排查项六： 镜像过大导致失败 Failed to pull image "docker.io/bitnami/nginx:1.22.0-debian-11-r3": rpc error: code = Unknown desc = Error response from daemon: Get https://registry-1.docker.io/v2/: net/http: request canceled while waiting for connection (Client.Timeout exceeded while awaiting headers) 排查项七：无法连接镜像仓库 ERROR: toomanyrequests: Too Many Requests. 或 you have reached your pull rate limit, you may increase the limit by authenticating an upgrading 由于拉取镜像次数达到上限而被限速。 排查项八：拉取公共镜像达上限

排查项二：填写的镜像地址错误（使用第三方镜像时） CCE支持拉取第三方镜像仓库中的镜像来创建工作负载。 在填写第三方镜像的地址时，请参照要求的格式来填写。镜像地址格式为：ip:port/path/name:version或name:version，若没标注版本号则默认版本号为latest。 若是私有仓库，请填写ip:port/path/name:version。 若是docker开源仓库，请填写name:version，例如nginx:latest。 图1 第三方镜像 镜像地址配置有误找不到镜像导致失败，Kubernetes Event中提示如下信息： Failed to pull image "nginx:v1.1": rpc error: code = Unknown desc = Error response from daemon: Get https://registry-1.docker.io/v2/: dial tcp: lookup registry-1.docker.io: no such host 解决方案： 可编辑yaml修改镜像地址，也可在工作负载详情页面更新升级页签单击更换镜像。

排查项一：kubectl创建工作负载时未指定imagePullSecret 当工作负载状态异常并显示“实例拉取镜像失败”的K8s事件时，请排查yaml文件中是否存在imagePullSecrets字段。 排查事项： 当Pull SWR容器镜像仓库的镜像时，name参数值需固定为default-secret。 apiVersion: extensions/v1beta1 kind: Deployment metadata: name: nginx spec: replicas: 1 selector: matchLabels: app: nginx strategy: type: RollingUpdate template: metadata: labels: app: nginx spec: containers: - image: nginx imagePullPolicy: Always name: nginx imagePullSecrets: - name: default-secret Pull第三方镜像仓库的镜像时，需设置为创建的secret名称。 kubectl创建工作负载拉取第三方镜像时，需指定的imagePullSecret字段，name表示pull镜像时的secret名称，创建密钥的方法请参见使用kubectl创建第三方镜像仓库的密钥。

排查项七：无法连接镜像仓库 问题现象 创建工作负载时报如下错误。 Failed to pull image "docker.io/bitnami/nginx:1.22.0-debian-11-r3": rpc error: code = Unknown desc = Error response from daemon: Get https://registry-1.docker.io/v2/: net/http: request canceled while waiting for connection (Client.Timeout exceeded while awaiting headers) 问题原因 无法连接镜像仓库，网络不通。SWR仅支持直接拉取Docker官方的镜像，其他仓库的镜像需要连接公网。 解决方案： 方案一：给需要下载镜像的节点绑定公网IP。 方案二：先将镜像上传到SWR，然后从SWR拉取镜像。

排查项四：节点磁盘空间不足 当k8s事件中包含以下信息，表明节点上用于存储镜像的磁盘空间已满，会导致重新拉取镜像失败。您可以通过清理镜像或扩容磁盘解决该问题。 Failed create pod sandbox: rpc error: code = Unknown desc = failed to create a sandbox for pod "nginx-6dc48bf8b6-l8xrw": Error response from daemon: mkdir xxxxx: no space left on device 您可以执行以下命令，确认节点上存储镜像的磁盘空间： lvs 方案一：清理镜像 您可以执行以下步骤清理未使用的镜像： 使用containerd容器引擎的节点： 查看节点上的本地镜像。 crictl images -v 确认镜像无需使用，并通过镜像ID删除无需使用的镜像。 crictl rmi {镜像ID} 使用docker容器引擎的节点： 查看节点上的本地镜像。 docker images 确认镜像无需使用，并通过镜像ID删除无需使用的镜像。 docker rmi {镜像ID} 请勿删除cce-pause等系统镜像，否则可能导致无法正常创建容器。 方案二：扩容磁盘 扩容磁盘的操作步骤如下： 在EVS界面扩容数据盘。 登录CCE控制台，进入集群，在左侧选择“节点管理”，单击节点后的“同步云服务器”。 登录目标节点。 使用lsblk命令查看节点块设备信息。 这里存在两种情况，根据容器存储Rootfs而不同。 Overlayfs，没有单独划分thinpool，在dockersys空间下统一存储镜像相关数据。 # lsblk NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT vda 8:0 0 50G 0 disk └─vda1 8:1 0 50G 0 part / vdb 8:16 0 200G 0 disk ├─vgpaas-dockersys 253:0 0 90G 0 lvm /var/lib/docker # 容器引擎使用的空间 └─vgpaas-kubernetes 253:1 0 10G 0 lvm /mnt/paas/kubernetes/kubelet # kubernetes使用的空间 在节点上执行如下命令， 将新增的磁盘容量加到dockersys盘上。 pvresize /dev/vdb lvextend -l+100%FREE -n vgpaas/dockersys resize2fs /dev/vgpaas/dockersys Devicemapper，单独划分了thinpool存储镜像相关数据。 # lsblk NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT vda 8:0 0 50G 0 disk └─vda1 8:1 0 50G 0 part / vdb 8:16 0 200G 0 disk ├─vgpaas-dockersys 253:0 0 18G 0 lvm /var/lib/docker ├─vgpaas-thinpool_tmeta 253:1 0 3G 0 lvm │ └─vgpaas-thinpool 253:3 0 67G 0 lvm # thinpool空间 │ ... ├─vgpaas-thinpool_tdata 253:2 0 67G 0 lvm │ └─vgpaas-thinpool 253:3 0 67G 0 lvm │ ... └─vgpaas-kubernetes 253:4 0 10G 0 lvm /mnt/paas/kubernetes/kubelet 在节点上执行如下命令， 将新增的磁盘容量加到thinpool盘上。 pvresize /dev/vdb lvextend -l+100%FREE -n vgpaas/thinpool 在节点上执行如下命令， 将新增的磁盘容量加到dockersys盘上。 pvresize /dev/vdb lvextend -l+100%FREE -n vgpaas/dockersys resize2fs /dev/vgpaas/dockersys

使用CCE设置工作负载访问方式时，端口如何填写？ CCE支持工作负载的内部互访和被互联网访问两种方式。 内部访问：包括集群内访问（通过集群虚拟IP）和节点访问（通过节点私有IP）两种方式。 表1 内部访问类型说明 内部访问类型 说明 端口如何填写 集群内访问（通过集群虚拟IP） 用于“工作负载之间的互访”，例如某个后端工作负载需要和前端工作负载互访，就需要选择该类型来实现内部互访。 集群虚拟IP，即Cluster IP，是在工作负载设置此访问类型后，就会自动分配一个可用的Cluster IP。 容器端口：指容器中工作负载启动监听的端口。端口根据每个业务的不同而不同，一般在容器镜像中已指定。 服务端口：指该容器工作负载发布为服务后，所设定的服务端口号，请填写1-65535之间的整数值。在内部工作负载互访时，将通过“Cluster IP:访问端口”来访问。 节点访问（通过节点私有IP） 可以通过“节点IP:节点端口”的形式访问工作负载。若该节点绑定了弹性IP，则外网就可以访问该工作负载。 容器端口：指容器中工作负载启动监听的端口。端口根据每个业务的不同而不同，一般在容器镜像中已指定。 服务端口：指该容器工作负载发布为服务后，所设定的服务端口号，请填写1-65535之间的整数值。 节点端口：指容器映射到节点上的端口。配置完成后，系统会在用户所在项目的所有节点上打开一个真实的端口号。访问工作负载时可以通过“节点IP:节点端口”来访问工作负载。 如无特殊需求，选择“自动生成”即可，系统会自动分配访问端口号。若选择“指定端口”，请填写30000-32767之间的整数，且确保集群内该值唯一。 外部访问：包括节点访问（通过弹性IP）、负载均衡和DNAT网关三种方式。 表2 外部访问类型说明 外部访问类型 说明 端口如何填写 节点访问（通过弹性IP） 为节点绑定弹性IP，访问工作负载时，通过“节点弹性IP:节点端口”的形式访问工作负载。工作负载可被公网访问。 容器端口：指容器中工作负载启动监听的端口。端口根据每个业务的不同而不同，一般在容器镜像中已指定。 服务端口：指该容器工作负载发布为服务后，所设定的服务端口号，请填写1-65535之间的整数值。 节点端口：指容器映射到节点上的端口。配置完成后，系统会在用户所在项目的所有节点上打开一个真实的端口号。访问工作负载时可以通过“节点IP:节点端口”来访问工作负载。 如无特殊需求，选择“自动生成”即可，系统会自动分配访问端口号。若选择“指定端口”，请填写30000-32767之间的整数，且确保集群内该值唯一。 负载均衡 负载均衡通过将访问流量自动分发到多台节点，扩展工作负载系统对外的服务能力，实现更高水平的工作负载程序容错性能。 您需要提前创建负载均衡实例，并在CCE访问类型中选择负载均衡实例。 容器端口：指容器中工作负载启动监听的端口。端口根据每个业务的不同而不同，一般在容器镜像中已指定。 服务端口：代表负载均衡上注册的对外端口，请填写1-65535之间的整数值。外部用户使用“ELB的VIP:服务端口”访问工作负载。 DNAT网关 NAT网关提供网络地址转换服务，使多个云服务器可以共享弹性公网IP。 您需要提前创建公网NAT网关实例。 容器端口：指容器中工作负载启动监听的端口。端口根据每个业务的不同而不同，一般在容器镜像中已指定。 服务端口：代表NAT网关上注册的对外端口，请填写1-65535之间的整数值。系统会自动创建DNAT规则，外部用户使用“网关的弹性IP:服务端口”访问工作负载。 父主题： 网络指导

支持审计的关键操作列表 表1 云审计服务支持的AppStage服务操作列表 操作名称 资源类型 事件名称 订单支付完成回调 wiseOrder orderPayCompleted 订购下单 wiseOrder subscribeOrder 变更资源状态 wiseOrder changeResourceStatus 证书授权 wiseCredential authorizeCredential 关联组织 wiseOrg associateOrg 清理资源 rosCleanup cleanupResources 创建委托 wiseAgency createAgency

通过控制台创建WordPress 登录CCE控制台。 单击集群进入集群控制台。 在左侧菜单栏选择“工作负载”，单击右上角“创建负载”。 填写工作负载参数。 基本信息 负载类型：选择无状态负载。 负载名称：wordpress。 命名空间：default。 实例数量：本例中实例数量设置为2。 图1 设置工作负载基本信息 容器配置 在基本信息中单击“选择镜像”，在弹出的窗口中选择“镜像中心”，并搜索“wordpress”，选择wordpress镜像，并设置镜像版本为“php7.3”。 图2 选择镜像版本 在环境变量下添加如下环境变量， 此处一共需要设置四个环境变量，让WordPress知道MySQL数据库的信息。 WORDPRESS_DB_HOST：数据库的访问地址。可以在mysql工作负载的访问方式中找到。可以使用集群内部域名mysql.default.svc.cluster.local:3306访问，其中.default.svc.cluster.local可以省略，即使用mysql:3306。 WORDPRESS_DB_USER：访问数据的用户名，此处需要设置为步骤1：创建MySQL中MYSQL_USER一致，即使用这个用户去连接MySQL。 WORDPRESS_DB_PASSWORD：访问数据库的密码，此处需要设置为步骤1：创建MySQL中MYSQL_PASSWORD一致。 WORDPRESS_DB_NAME：访问数据库的名称，此处需要设置为步骤1：创建MySQL中MYSQL_DATABASE一致。 图3 设置环境变量 服务配置 单击服务配置下的加号，创建服务（Service），用于从外部访问负载。本例将创建一个负载均衡类型的Service，请在右侧弹窗中配置如下参数。 Service名称：输入应用发布的可被外部访问的名称，设置为：wordpress。 访问类型：选择“负载均衡 ( LoadBalancer )”。 服务亲和：保持默认。 负载均衡器：如果已有负载均衡（ELB）实例，可以选择已有ELB，如果没有可单击“创建负载均衡器”，在ELB控制台创建一个公网类型负载均衡器。 端口配置： 对外协议：TCP。 服务端口：设置为80，该端口号将映射到容器端口。 容器端口：容器中应用启动监听的端口，wordpress镜像请设置为80，其他应用容器端口和应用本身的端口一致。 图4 创建服务 单击右下角“创建工作负载”。 等待工作负载创建成功。 创建成功后在无状态负载下会显示一个运行中的工作负载。 图5 wordpress负载创建成功

访问WordPress 获取WordPress的外部访问地址。 单击WordPress工作负载名称，进入工作负载详情页。在“访问方式”页签下可以看到WordPress的IP地址，其中公网地址就是外部访问地址。 图6 访问WordPress应用 在浏览器中输入“外部访问地址:端口”，即可成功访问应用。 访问到的WordPress应用如下图。 图7 WordPress应用 图8 WordPress应用

请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Language 否 String 语言类型。 表3 请求Body参数 参数 是否必选 参数类型 描述 is_reboot 是 String 是否重启。 hbase_modify_settings 是 Array of HbaseModifySettingV2 objects 参见HBaseModifySettingV2结构说明。 表4 HbaseModifySettingV2 参数 是否必选 参数类型 描述 id 否 String 参数ID。 parm_name 是 String 待修改的参数名。 new_value 是 String 设置的参数值。

请求示例 修改集群配置参数示范。 { "is_reboot" : false, "hbase_modify_settings" : [ { "parm_name" : "hbase.regionserver.thread.compaction.small", "new_value" : "4" }, { "parm_name" : "hbase.regionserver.global.memstore.size", "new_value" : "0.25" } ] }

URI PUT /v2/{project_id}/clusters/{cluster_id}/setting 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID。获取方法，请参见获取项目ID。 cluster_id 是 String 集群ID。 获取方法：在CloudTable控制台，单击要查询的集群名称进入集群详情页，获取“集群ID"。请参见获取集群ID。