华为云用户手册

DDoS原生高级防护的业务带宽需要计费吗？ DDoS原生高级防护提供DDoS原生标准版、DDoS原生防护-全力防基础版、DDoS原生防护-全力防高级版三种服务版本。 三种规格都需要支付业务带宽费用，只有DDoS原生标准版固定了带宽值，无法自选带宽大小。 相比DDoS高防（需要将流量引流到高防机房进行清洗，通过互联网产生额外业务带宽费用），DDoS原生标准版、DDoS原生防护-全力防基础版和DDoS原生防护-全力防高级版直接在华为云内进行回源，不产生通过互联网的额外业务带宽费用。 父主题： DDoS原生高级防护计费问题

预置任务简介 样例项目中预置了以下4个代码检查任务。 表1 预置任务 预置任务 任务说明 phoenix-codecheck-worker 检查Worker功能对应代码的任务。 phoenix-codecheck-result 检查Result功能对应代码的任务。 phoenix-codecheck-vote 检查Vote功能对应代码的任务。 phoenix-sample-javas 检查整个代码仓库对应的JavaScript代码的任务。 本章节以任务“phoenix-codecheck-worker”为例进行讲解。

DDS各版本的生命周期规划 在正式EOM/EOS前会发布公告，在此期间客户可以通过数据复制服务将版本在EOS之前切换到高版本。 EOM：End of Marketing，停止该版本的销售。 EOS：End of Service & support，停止该版本的服务，建议您在执行作业时选择最新版本的引擎。在该日期之后，不再提供该软件版本的任何技术服务支持。 表1 DDS各版本生命周期规划表 版本 当前状态 计划EOM时间 计划EOS时间 社区增强版3.4 已下线 - - 3.2 已下线 - - 3.4 商用 2023年6月 2025年6月 4.0 商用 2025年4月 2027年4月 4.2 商用 2026年4月 2028年4月 4.4 商用 2027年4月 2029年4月

PG_LOCKS PG_LOCKS视图存储各打开事务所持有的锁信息。 表1 PG_LOCKS字段 名称 类型 引用 描述 locktype text - 被锁定对象的类型：relation，extend，page，tuple，transactionid，virtualxid，object，userlock，advisory。 database oid PG_DATABASE.oid 被锁定对象所在数据库的OID。 如果被锁定的对象是共享对象，则OID为0。 如果是一个事务ID，则为NULL。 relation oid PG_CLASS.oid 被锁定对象关系的OID，如果锁定的对象不是关系，也不是关系的一部分，则为NULL。 page integer - 关系内部的页面编号，如果对象不是关系页或者不是行页，则为NULL。 tuple smallint - 页面里边的行编号，如果对象不是行，则为NULL。 virtualxid text - 事务的虚拟ID，如果对象不是一个虚拟事务ID，则为NULL。 transactionid xid - 事务的ID，如果对象不是一个事务ID，则为NULL。 classid oid PG_CLASS.oid 包含该对象的系统表的OID，如果对象不是普通的数据库对象，则为NULL。 objid oid - 对象在其系统表内的OID，如果对象不是普通数据库对象，则为NULL。 objsubid smallint - 对于表的某个字段对应为字段编号；对于其他对象类型，该字段为0；如果该对象不是普通数据库对象，则为NULL。 virtualtransaction text - 持有此锁或者在等待此锁的事务的虚拟ID。 pid bigint - 持有此锁或者等待此锁的服务器线程的逻辑ID。如果锁被一个预备事务持有，则为NULL。 mode text - 此线程持有的或者是期望持有的锁模式。更多有关锁模式的内容请参见LOCK。 granted boolean - 如果锁是持有锁，则为TRUE。 如果锁是等待锁，则为FALSE。 fastpath boolean - 如果通过fast-path获得锁，则为TRUE；如果通过主锁表获得，则为FALSE。 父主题： 系统视图

存储过程 商业规则和业务逻辑可以通过程序存储在GaussDB(DWS)中，这个程序就是存储过程。 存储过程是SQL，PL/SQL，Java语句的组合。存储过程使执行商业规则的代码可以从应用程序中移动到数据库。从而，代码存储一次能够被多个程序使用。 存储过程的创建及调用办法请参考CREATE PROCEDURE。 PL/pgSQL语言函数节所提到的PL/pgSQL语言创建的函数与存储过程的应用方法相通。下面各节中，除非特别声明，否则内容通用于存储过程和PL/pgSQL语言函数。 父主题： 存储过程

设置依赖作业后的作业运行原理 同周期依赖和跨周期依赖的作业运行原理有所差异。为方便说明，本例中假设“依赖的作业失败后，当前作业处理策略”参数设置为“继续执行”，作业A不判断作业B的实例运行状态；如果该参数设置为“挂起”或“取消执行”，则作业A还会额外判断作业B的实例中是否存在失败实例。 同周期依赖：即作业A与其依赖作业B为相同调度周期，如分钟依赖分钟、小时依赖小时或天依赖天。 同周期依赖的情况下，当作业A的依赖作业配置为作业B后，作业A会在 (作业A执行时间-作业A周期时间, 作业A执行时间] 时间区间内检查是否有作业B的实例运行，只有在此期间作业B的实例运行完成才会运行作业A。 示例1：作业A依赖作业B，均为分钟调度。作业A的开始时间10:00，周期时间20分钟；作业B的开始时间10:00，周期时间10分钟。则会出现如下情况： 表1 示例1：同周期作业依赖情况 时间点 作业B（分钟调度，开始时间10:00，周期时间10分钟） 作业A（分钟调度，开始时间10:00，周期时间20分钟） 10:00 执行 检查 (09:40, 10:00] 区间，有作业B实例运行，待作业B执行完成后，执行作业A 10:10 执行 - 10:20 执行 检查 (10:00, 10:20] 区间，有作业B实例运行，待作业B执行完成后，执行作业A 10:30 执行 - ... ... ... 示例2：作业A依赖作业B，均为天调度。作业A的开始时间为8月1日09:00；作业B的开始时间8月1日10:00。则会出现如下情况： 表2 示例2：同周期作业依赖情况 时间点 作业B（天调度，开始时间为8月1日10:00） 作业A（天调度，开始时间8月1日09:00） 8月1日09:00 - 检查 (7月31日09:00, 8月1日09:00] 区间，无作业B实例运行，不执行作业A 8月1日10:00 执行 - 8月2日09:00 - 检查 (8月1日09:00, 8月2日09:00] 区间，有作业B实例运行，待作业B执行完成后，执行作业A 8月2日10:00 执行 - ... ... ... 天作业依赖天作业，上游作业调度时间早于下游作业，下游作业才能依赖到上游当天的作业。 跨周期依赖：即作业A与其依赖作业B为不同调度周期，如小时依赖分钟、天依赖分钟、天依赖小时或月依赖天。 跨周期依赖的情况下，当作业A的依赖作业配置为作业B后，作业A会在 [上一作业A调度周期的自然起点, 当前作业A调度周期的自然起点) 时间区间内检查是否有作业B的实例运行，只有在此期间作业B的实例运行完成才会运行作业A。 调度周期的自然起点定义如下： 调度周期为小时：上一调度周期的自然起点为上一小时的零分零秒，当前调度周期的自然起点为当前小时的零分零秒。 调度周期为天：上一调度周期的自然起点为昨天的零点零分零秒，当前调度周期的自然起点为今天的零点零分零秒。 调度周期为月：上一调度周期的自然起点为上个月1号的零点零分零秒，当前调度周期的自然起点为当月1号的零点零分零秒。 示例3：作业A依赖作业B，作业A为天调度，作业B为小时调度。作业A的每天02:00执行；作业B的开始时间00:00，间隔时间10小时。则会出现如下情况： 表3 示例3：跨周期作业依赖情况 时间点 作业B（小时调度，开始时间00:00，间隔时间10小时） 作业A（天调度，每天02:00执行） 第1天00:00 执行 - 第1天02:00 - 检查 [第0天00:00:00, 第1天00:00:00) 区间，无作业B实例运行，不执行 第1天10:00 执行 - 第1天20:00 执行 - 第2天00:00 执行 - 第2天02:00 - 检查 [第1天00:00:00, 第2天00:00:00) 区间，有作业B实例运行完成，执行作业A 第2天10:00 执行 - 第2天20:00 执行 - ... ... ... 示例4：作业A依赖作业B，作业A为月调度，作业B为天调度。作业A的每月1号、2号的02:00执行；作业B在8月1日00:00开始执行。则会出现如下情况： 表4 示例4：跨周期作业依赖情况 时间点 作业B（天调度，8月1日00:00执行） 作业A（月调度，每月1号、2号的02:00执行） 8月1日00:00 执行 - 8月1日02:00 - 检查 [7月1日00:00:00, 8月1日00:00:00) 区间，无作业B实例运行，不执行 8月2日00:00 执行 - 8月2日02:00 - 检查 [7月1日00:00:00, 8月1日00:00:00) 区间，无作业B实例运行，不执行 ... - ... 9月1日00:00 执行 - 9月1日02:00 - 检查 [8月1日00:00:00, 9月1日00:00:00) 区间，有作业B实例运行完成，执行作业A 9月2日00:00 执行 - 9月2日02:00 - 检查 [8月1日00:00:00, 9月1日00:00:00) 区间，有作业B实例运行完成，执行作业A ... ... ...

设置依赖作业的条件 当前周期调度作业的调度周期包括分钟、小时、天、周、月这五种周期，周期调度作业A如果要配置依赖作业为周期调度作业B，则调度周期必须符合以下要求： 作业A的调度周期不能比依赖作业B小。例如，作业A和作业B同为分钟/小时调度，A的间隔时间小于B的间隔时间，则作业A不能设置作业B为依赖作业；作业A为分钟调度，作业B为小时调度，则作业A不能设置作业B为依赖作业。 作业A和依赖作业B中不能有任一调度周期为周。例如，作业A的调度周期为周或作业B的调度周期为周，则作业A不能设置作业B为依赖作业。 调度周期为月的作业只能依赖调度周期为天的作业。例如，作业A的调度周期为月，则作业A只能设置调度周期为天的作业为依赖作业。 不同调度周期的作业，其允许配置的依赖作业调度周期总结如图2所示。 图2 作业依赖关系全景图

解释说明 周期调度作业支持设置调度周期符合条件的作业为依赖作业。设置依赖作业的操作详情请参考配置作业调度任务（批处理作业）章节。 例如周期调度作业A，可设置其依赖作业为作业B，如图1所示进行配置。则仅当其依赖的作业B在某段时间内所有实例运行完成、且不存在失败实例时，才开始执行作业A。 依赖的作业B的“某段时间”，计算方法如下，详见后文设置依赖作业后的作业运行原理。 同周期依赖，如分钟依赖分钟、小时依赖小时或天依赖天时，“某段时间”为 (作业A执行时间-作业A周期时间, 作业A执行时间] 。 跨周期依赖：如小时依赖分钟、天依赖分钟、天依赖小时或月依赖天时，“某段时间”为 [上一作业A调度周期的自然起点, 当前作业A调度周期的自然起点) 。 作业A是否判断其依赖的作业B的实例状态，与“依赖的作业失败后，当前作业处理策略”参数有关，具体如下： “依赖的作业失败后，当前作业处理策略”参数配置为“挂起”或“取消执行”后，当其依赖的作业B在某段时间内存在运行失败实例，则作业A“挂起”或“取消执行”。 “依赖的作业失败后，当前作业处理策略”参数配置为“继续执行”，只要其依赖的作业B在某段时间内所有实例跑完（不判断其状态），则作业A就继续执行。 图1 作业依赖属性

小时依赖小时 规则：每个自然小时周期内的实例产生依赖，区间边界是自然小时[00:00, 00:59]，依赖策略是调度周期长的作业，往前推一个调度周期找依赖实例。 A依赖B，在同自然小时内，无论A、B设置在什么时间点执行，A永远在B的前一周期完成后执行。 举例：A在每小时5分0秒执行，B在12分执行，A会在每小时5分时依赖B上一小时生成的实例。 离散小时依赖离散小时 ： 自然天内，依赖关系中的上游、下游任务数量一致，上下游周期数一致。 自然天内，上下游任务数量不一致，下游任务运行当天生成的周期实例，将根据就近原则挂载依赖，依赖距离自己定时运行时间最近的上游实例。从index向前找上游依赖实例，依赖上游一整个区间内的实例；向前未找到依赖的实例时，需要向后找，向后查找时，只依赖最近的一个实例。

原因分析 DDoS高防判定表1中的端口为高危端口，禁止使用。 表1 高危端口 协议 端口 TCP类 135、136、137、138、139、445、3333、4444、5554、6000、8090、9995、9996、25000、50050、53413、60000 UDP类 135、137、138、139、593、901、1027、1028、1068、2745、3127、3128、3333、5800、5900、6000、6129、6667、8090、8998、9996、25000、50050、5341、60000

为什么需要黑洞策略？ DDoS攻击不仅影响受害者，也会对华为云高防机房造成严重影响。而且DDoS防御需要成本，其中最大的成本就是带宽费用。 带宽是华为云向各运营商购买所得，运营商计算带宽费用时不会把DDoS攻击流量清洗掉，而是直接收取华为云的带宽费用。华为云DDoS原生基础防护（Anti-DDoS流量清洗）服务为用户提供免费的DDoS攻击防御能力，但是当攻击流量超出Anti-DDoS流量清洗阈值时，华为云会采取黑洞策略封堵IP。

如何解除黑洞 当服务器（云主机）进入黑洞后，您可以参考表1进行处理。 表1 解除黑洞方式 DDoS防护版本 解封策略 解除方法 DDoS原生基础防护（Anti-DDoS流量清洗） 说明： DDoS原生基础防护无需购买，默认开启。 当云主机进入黑洞24小时后，黑洞会自动解封。 如果系统监控到攻击流量没有停止，依然超过限定的阈值时，IP会再次被黑洞封堵。 等待自动解封。 DDoS原生高级防护 黑洞解封时间默认为24小时。 等待自动解封。 DDoS高防 联系华为云技术支持提前解封。 建议提升弹性带宽规格避免再次封堵。 可以通过升级规格提升弹性防护带宽上限以提前解封黑洞。

修订记录 发布日期 修改说明 2024-04-24 第四十四次正式发布。 新增为什么DDoS高防和ELB的流量不一致？章节。 DDoS高防支持HTTP/2吗？优化描述。 2024-03-15 第四十三次正式发布。 新增如何迁移企业项目下的实例资源？章节。 新增一个域名如何同时接入IPv4和IPv6？章节。 新增域名接入高防后出现“Received fatal alert”报错章节。 2024-02-20 第四十二次正式发布。 Anti-DDoS流量清洗的触发条件是什么？优化描述。 Anti-DDoS流量清洗进行防御时对正常业务有影响吗？优化描述。 2024-01-31 第四十一次正式发布。 DDoS高防是否支持IPv4和IPv6共存？优化描述。 2024-01-05 第四十次正式发布。 新增DDoS高防实例能否同时支持网站和IP接入？章节。 2023-11-29 第三十九次正式发布。 DDoS高防是软件高防还是硬件高防？优化描述。 2023-11-14 第三十八次正式发布。 新增自助解封提示解封配额不足怎么办？章节。 新增如何判断是否有攻击发生？章节。 2023-11-03 第三十七次正式发布。 新增自助解封提示解封配额不足怎么办？章节。 2023-08-08 第三十六次正式发布。 什么是BGP？优化内容描述。 DDoS高防升级规格如何计费？优化举例。 2023-06-27 第三十五次正式发布。 新增高防国际版和国内版有什么区别？章节。 新增DDoS高防开启海外流量封禁后，为什么还会触发弹性带宽计费？章节。 新增同一域名配置多条CC规则，优先触发哪个规则？章节。 2023-06-13 第三十四次正式发布。 新增如何开启Anti-DDoS封堵通知？章节。 2023-06-02 第三十三次正式发布。 新增DDoS防护策略中配置黑白名单后，还需要在WAF防护策略里配置吗？章节。 2022-11-23 第三十二次正式发布。 新增“转发配置下发状态“异常”的问题排查”章节。 2022-11-14 第三十一次正式发布。 修改DDoS高防支持哪些业务端口？章节，增加DDoS高防支持的四层端口范围。 2022-10-25 第三十次正式发布。 新增DDoS高防升级规格如何计费？章节。 2022-07-21 第二十九次正式发布。 修改如何将已防护的源站IP/源站域名切换到其他DDoS高防实例进行防护？章节，优化描述。 2022-07-13 第二十八次正式发布。 下线新增11.4.1.1-“电信联通移动”和“电信联通、BGP”线路的三个高防IP都提供对应的防护能力吗？。 2022-06-06 第二十七次正式发布。 下线新BGP线路。 2022-04-06 第二十六次正式发布。 DDoS调度中心下线“专线回源”和“互联网回源”两种回源方式。 2022-01-24 第二十五次正式发布。 新增DDoS高防、WAF和CDN可以一起使用吗？ 2021-12-23 第二十四次正式发布。 新增“配置转发规则时为什么某些端口配置失败”章节。 2021-12-16 第二十三次正式发布。 新增如何退订DDoS原生高级防护？ 2021-12-01 第二十二次正式发布。 DDoS原生防护标准版的防护次数是如何统计的？，优化内容描述。 2021-11-26 第二十一次正式发布。 DDoS原生高级防护的业务带宽需要计费吗？，优化内容描述。 2021-11-18 第二十次正式发布。 “DDoS高防常见问题”章节，更新界面截图。 2021-10-14 第十九次正式发布。 新增DDoS高防支持下载/转储防护日志吗？ 新增购买DDoS原生防护-全力防基础版后，联动防护还能开启吗？ 新增DDoS原生高级防护可以跨区域使用吗？ 2021-09-15 第十八次正式发布。 新增11.4.1.1-“电信联通移动”和“电信联通、BGP”线路的三个高防IP都提供对应的防护能力吗？。 2021-09-10 第十七次正式发布。 新增DDoS原生标准版、DDoS原生防护-全力防基础版、DDoS原生防护-全力防高级版功能规格有哪些差异？。 2021-09-06 第十六次正式发布。 非网站类业务如何接入高防服务，优化内容描述。 2021-08-24 第十五次正式发布。 新增DDoS原生高级防护的防护对象有哪些？ 新增DDoS原生高级防护能够防护几层攻击？ 新增DDoS原生高级防护的流量回切时间是多久？ 新增DDoS原生防护标准版的防护次数是如何统计的？ 新增DDoS原生高级防护的业务带宽需要计费吗？ 新增DDoS调度中心需要购买DDoS高防实例吗？ 2021-07-29 第十四次正式发布。 新增DDoS防护支持SDK接入吗？ 新增DDoS高防支持HTTP/2吗？ 2021-07-14 第十三次正式发布。 IP被黑洞封堵，怎么办？，优化自助解封内容描述。 2021-07-12 第十二次正式发布。 新增海外客户可以访问国内DDoS高防防护的高防IP吗？ 2021-05-31 第十一次正式发布。 新增DDoS高防支持哪些业务端口？ 2021-05-21 第十次正式发布。 优化“DDoS阶梯调度常见问题”内容描述。 2021-05-12 第九次正式发布。 新增“DDoS阶梯调度常见问题”。 2021-05-06 第八次正式发布。 新增DDoS原生高级防护可以防护IPv6吗？ 2021-04-29 第七次正式发布。 Anti-DDoS攻击防护是不是默认开启的？，修改内容描述。 2021-04-27 第六次正式发布。 DDoS原生高级防护中防护IP被黑洞了，如何处理？，修改内容描述。 2021-04-20 第五次正式发布。 新增DDoS原生高级防护如何计费？ 2021-04-16 第四次正式发布。 DDoS高防如何计费？，优化内容描述。 2021-04-08 第三次正式发布。 DDoS原生高级防护中防护IP被黑洞了，如何处理？，修改内容描述。 2021-02-01 第二次正式发布。 新增防护域名修改源站IP后，接入状态一直为失败，如何处理？ 2020-12-31 第一次正式发布。

支持的云服务器规格 表6 s3型专属计算集群可部署的云服务器规格 规格名称 vCPU 内存（GiB） s3.small.1 1 1 s3.medium.2 1 2 s3.large.2 2 4 s3.xlarge.2 4 8 s3.2xlarge.2 8 16 s3.4xlarge.2 16 32 表7 s3_pro型专属计算集群可部署的云服务器规格 规格名称 vCPU 内存（GiB） s3.medium.4 1 4 s3.large.4 2 8 s3.xlarge.4 4 16 s3.2xlarge.4 8 32 s3.4xlarge.4 16 64 表8 s6型专属计算集群可部署的云服务器规格 规格名称 vCPU 内存（GiB） s6.small.1 1 1 s6.medium.2 1 2 s6.large.2 2 4 s6.xlarge.2 4 8 s6.2xlarge.2 8 16 s6.medium.4 1 4 s6.large.4 2 8 s6.xlarge.4 4 16 s6.2xlarge.4 8 32 表9 s7型专属计算集群可部署的云服务器规格 规格名称 vCPU 内存（GiB） s7.small.1 1 1 s7.medium.2 1 2 s7.large.2 2 4 s7.xlarge.2 4 8 s7.2xlarge.2 8 16 s7.medium.4 1 4 s7.large.4 2 8 s7.xlarge.4 4 16 s7.2xlarge.4 8 32

概述 通用计算型专属计算集群提供了基本水平的硬件性能。技术上采用非绑定CPU共享调度模式，vCPU会根据系统负载被随机分配到空闲的CPU超线程上。在主机负载较轻时，可以提供较高的计算能力，但是在主机负载较重时，可能由于不同实例vCPU争抢物理CPU资源而导致计算性能波动不稳定。能够支撑常规工作负载的云服务器，并能应付云服务器短时负载突增。 通用计算型类别的专属计算集群分为：s3、s3_pro、s6、s6_pro、s7，可用于部署S3型云服务器、S6型云服务器、S7型服务器，提供更好性价比。

专属计算集群规格 表1 s3型专属计算集群规格 专属计算集群类型 CPU数量（Sockets） 物理内核 硬件规格 vCPUs s3 2 22 CPU：Intel® Xeon® SkyLake 6161 v5（主频2.20 GHz，睿频3.00 GHz） Memory：288 GB（=294912 MB） 144 表2 s3_pro型专属计算集群规格 专属计算集群类型 CPU数量（Sockets） 物理内核 硬件规格 vCPUs s3_pro 2 22 CPU：Intel® Xeon® SkyLake 6161 v5（主频2.20 GHz，睿频3.00 GHz） Memory：576 GB（=589824 MB） 144 表3 s6型专属计算集群规格 专属计算集群类型 CPU数量（Sockets） 物理内核 硬件规格 vCPUs s6 2 26 CPU：Intel® Xeon® CascadedLake CPU（主频2.6 GHz，睿频3.5 GHz） Memory：516 GB（=528384 MB） 264 表4 s6_pro型专属计算集群规格 专属计算集群类型 CPU数量（Sockets） 物理内核 硬件规格 vCPUs s6_pro 2 26 CPU：Intel® Xeon® CascadedLake CPU（主频2.6 GHz，睿频3.5 GHz） Memory：702 GB（=718848 MB） 264 表5 s7型专属计算集群规格 专属计算集群类型 CPU数量（Sockets） 物理内核 硬件规格 vCPUs s7 2 38 CPU：Intel® Xeon® IceLake CPU（主频2.8 GHz，睿频3.5 GHz） Memory：926GB（=948224 MB） 390 专属计算集群规格中的vCPUs计算公式：vCPUs=(槽位数 * CPU核数 * 单核线程数 - CPU开销) * CPU超分比 s3型专属计算集群 vCPUs = (2 * 22 * 2 - 16) * 2 = 144 s3_pro型专属计算集群 vCPUs = (2 * 22 * 2 - 16) * 2 = 144 s6型专属计算集群 vCPUs = (2 * 26 * 2 - 16) * 3=264 s6_pro型专属计算集群 vCPUs = (2 * 26 * 2 - 16) * 3=264 s7型专属计算集群 vCPUs = (2 * 38 * 2 - 22) * 3 = 390

自定义脱敏函数 支持用户使用PL/PGSQL语言自定义脱敏函数。 自定义脱敏函数需要严格遵循如下要求： 返回值与脱敏列类型一致。 函数必须可下推。 参数列表除脱敏格式外，只能包含一个脱敏列。 函数仅实现针对特定数据类型的格式化改写功能，不能涉及与其他表对象的复杂关联操作。 不满足前两项中任一项时，创建脱敏策略会报错。不满足后两项中任一项时，可成功创建脱敏策略，但查询执行结果可能会出现不可预知的问题。

mask_partial(column_name, mask_digital, mask_from[, mask_to]) 描述：针对数值类型数据，将第mask_from到mask_to位的数字部分脱敏成mask_digital对应的数字。其中，参数mask_to允许缺省，缺省时即脱敏到数据结束位置。参数mask_digital只能取[0,9]区间内的数字。 返回值类型：与入参column_name数据类型相同。

mask_partial(column_name [, input_format, output_format], mask_char, mask_from[, mask_to]) 描述：针对字符类型数据，对照指定的输入输出格式，将第mask_from到mask_to位的数字部分脱敏成mask_char指定的字符。 参数说明： input_format 输入格式是由V和F组成的字符序列，与脱敏列数据长度相同。V对应位置的字符可能会被脱敏，F对象位置的字符会被忽略跳过，V字符序列标识脱敏范围。输入输出格式参数适用于定长数据，比如，银行卡号、身份证号、手机号等。 output_format 输出格式是由V和其他任意字符组成的字符序列，与脱敏列数据长度相同。V字符位置与input_format的V位置对应，其他字符位置与input_format的F位置对应，且不会脱敏，通常为数据分隔符。 input_format和output_format可以缺省或指定为空串""，此时，无输入输出格式要求，原始字符序列范围即为脱敏范围。 mask_char 脱敏字符，仅允许长度为1的任意字符。场景的脱敏字符包括"*"，"#"等。 mask_from 脱敏范围的起始位置，要求大于0。 mask_to 脱敏范围的结束位置，允许缺省。缺省时，即脱敏到原始数据结束位置。 返回值类型：与入参column_name数据类型相同。

mask_partial(column_name, mask_field1, mask_value1, mask_field2, mask_value2, mask_field3, mask_value3) 描述：按指定三个时间域做部分脱敏，仅适用于日期或时间类型数据。若mask_value取-1，即此mask_field不脱敏。其中，mask_field可以取"month"、"day"、"year"、"hour"、"minute"、"second"六个时间域之一。各域的取值范围需满足实际时间单位的取值范围。 返回值类型：与入参column_name数据类型相同。

约束与限制 单个GPU卡最多虚拟化成20个GPU虚拟设备。 使用GPU虚拟化后，不支持init容器。 GPU虚拟化支持显存隔离、显存与算力隔离两种隔离模式。单个GPU卡仅支持调度同一种隔离模式的工作负载。 使用GPU虚拟化后，不支持使用Autoscaler插件自动扩缩容GPU虚拟化节点。 XGPU服务的隔离功能不支持以UVM的方式申请显存，即调用CUDA API cudaMallocManaged()，更多信息，请参见NVIDIA官方文档。请使用其他方式申请显存，例如调用cudaMalloc()等。 受GPU虚拟化技术的限制，容器内应用程序初始化时，通过nvidia-smi监测工具监测到的实时算力可能超过容器可用的算力上限。

前提条件 配置 支持版本 集群版本 v1.23.8-r0、v1.25.3-r0及以上 操作系统 Huawei Cloud EulerOS 2.0操作系统 GPU类型 支持T4、V100类型的GPU 驱动版本 GPU虚拟化功能仅支持470.57.02、510.47.03、535.54.03版本的GPU驱动。 运行时 仅支持containerd 插件 集群中需要同时安装以下插件： Volcano调度器插件：1.10.5及以上版本 CCE AI套件（NVIDIA GPU）插件：2.0.5及以上版本

资源变更与弃用 社区1.23 ReleaseNotes FlexVolume废弃，建议使用CSI。 HorizontalPodAutoscaler v2版本GA，HorizontalPodAutoscaler API v2在1.23版本中逐渐稳定。不建议使用HorizontalPodAutoscaler v2beta2 API，建议使用新的v2版本API。 PodSecurity支持beta，PodSecurity替代废弃的PodSecurityPolicy，PodSecurity是一个准入控制器，它根据设置实施级别的特定命名空间标签在命名空间中的Pod上实施Pod安全标准。在1.23中PodSecurity默认启用。 社区1.22 ReleaseNotes Ingress资源不再支持networking.k8s.io/v1beta1和extensions/v1beta1 API。如果使用旧版本API管理Ingress，会影响应用对外暴露服务，请尽快使用networking.k8s.io/v1替代。 CustomResourceDefinition资源不再支持apiextensions.k8s.io/v1beta1 API。如果使用旧版本API创建自定义资源定义，会导致定义创建失败，进而影响调和（reconcile）该自定资源的控制器，请尽快使用apiextensions.k8s.io/v1替代。 ClusterRole、ClusterRoleBinding、Role和RoleBinding资源不再支持rbac.authorization.k8s.io/v1beta1 API。如果使用旧版本API管理RBAC资源，会影响应用的权限服务，甚至无法在集群内正常使用，请尽快使用rbac.authorization.k8s.io/v1替代。 Kubernetes版本发布周期由一年4个版本变为一年3个版本。 StatefulSets 支持minReadySeconds。 缩容时默认根据Pod uid排序随机选择删除Pod（LogarithmicScaleDown）。基于该特性，可以增强Pod被缩容的随机性，缓解由于Pod拓扑分布约束带来的问题。更多信息，请参见KEP-2185和issues 96748。 BoundServiceAccountTokenVolume特性已稳定，该特性能够提升服务账号（ServiceAccount）Token的安全性，改变了Pod挂载Token的方式，Kubernetes 1.21及以上版本的集群中会默认开启。

使用限制 CCE Autopilot集群使用的工作节点为全托管模式，因此您目前还无法使用依赖节点特性的功能，例如HostPath、HostNetwork等功能，具体使用限制如下： 不支持的功能 说明 推荐替代方案 DaemonSet型工作负载 在每个节点上部署Pod 通过sidecar形式在Pod中部署多个镜像 在Pod中设置HostPath 将节点本地文件挂载到容器中 使用EmptyDir或其他类型的云存储 在Pod中设置HostNetwork 将节点端口映射到容器上 使用负载均衡类型的Service NodePort型Service 开放指定节点端口访问容器 使用负载均衡类型的Service 使用CCE Autopilot集群时，EmptyDir最大容量为20G。 使用CCE Autopilot集群时，最多创建500个Pod。其中插件实例可能会占用部分Pod配额，请合理规划。 使用CCE Autopilot集群时，不支持创建使用ARM架构镜像的工作负载。

CCE Autopilot、CCE Standard、CCE Turbo的对比 表1 集群类型对比 维度 CCE Autopilot CCE Standard CCE Turbo 节点管理 工作节点全托管，Autopilot负责节点扩缩容及预热。 工作节点由您自行管理、运维 工作节点由您自行管理、运维 节点操作系统 使用containerd容器引擎的专属操作系统 您可以自行选择操作系统及容器引擎 您可以自行选择操作系统及容器引擎 节点规格 自适应规格 由您选择指定的节点规格 由您选择指定的节点规格 节点升级和维护 节点自动升级、修复 节点需通过重置升级 节点需通过重置升级 容器网络模型 云原生网络2.0模型 VPC网络模型 容器隧道网络模型 云原生网络2.0模型 网络性能 VPC网络和容器网络融合，性能无损耗 VPC网络叠加容器网络，性能有一定损耗 VPC网络和容器网络融合，性能无损耗 网络隔离 Pod可直接关联安全组，基于安全组的隔离策略，支持集群内外部统一的安全隔离。 容器隧道网络模式：集群内部网络隔离策略，支持NetworkPolicy。 VPC网络模式：不支持 Pod可直接关联安全组，基于安全组的隔离策略，支持集群内外部统一的安全隔离。 服务 ClusterIP LoadBalancer ClusterIP NodePort LoadBalancer DNAT ClusterIP NodePort LoadBalancer DNAT 路由 ELB Ingress Nginx Ingress ELB Ingress Nginx Ingress ELB Ingress Nginx Ingress 插件 提供以下可配置插件： CoreDNS域名解析 CCE容器存储插件（Everest） Kubernetes Metrics Server CCE容器弹性引擎 云原生监控插件 云原生日志采集插件 NGINX Ingress控制器 提供以下可配置插件： CoreDNS域名解析 CCE容器存储插件（Everest） CCE节点故障检测 Kubernetes Dashboard CCE集群弹性引擎 Kubernetes Metrics Server CCE容器弹性引擎 CCE突发弹性引擎（对接CCI） CCE AI套件（NVIDIA GPU） CCE AI套件（Ascend NPU） Volcano调度器 NGINX Ingress控制器 CCE密钥管理（对接 DEW） CCE容器网络扩展指标 节点本地域名解析加速 云原生监控插件 云原生日志采集插件 提供以下可配置插件： CoreDNS域名解析 CCE容器存储插件（Everest） CCE节点故障检测 Kubernetes Dashboard CCE集群弹性引擎 Kubernetes Metrics Server CCE容器弹性引擎 CCE突发弹性引擎（对接CCI） CCE AI套件（NVIDIA GPU） CCE AI套件（Ascend NPU） Volcano调度器 NGINX Ingress控制器 CCE密钥管理（对接 DEW） CCE容器网络扩展指标 节点本地域名解析加速 云原生监控插件 云原生日志采集插件 本地存储 EmptyDir Local PV HostPath EmptyDir Local PV HostPath EmptyDir 云存储 SFS SFS Turbo EVS SFS SFS Turbo OBS EVS SFS SFS Turbo OBS

核心优势 开箱即用：降低Kubernetes集群使用门槛，创建完集群即可直接部署应用。 应用聚焦：您可以专注于构建和部署应用，无需管理集群底层基础设施。 安全保证：集群存在安全补丁可用时，后台会根据自定义的维护时间段进行自动升级。 成本降低：应用按需创建并计费，资源不存在闲置计费，带来更低的运行成本。 节点托管：集群工作节点由CCE托管，无需手动升级和修复节点。 弹性预热：当工作负载使用HPA策略时，CCE会自动为新Pod预热新节点，轻松应对突发业务。 合理调度：CCE Autopilot会为您管理Pod装箱，提高资源利用率，因此您无需考虑每个节点上运行的Pod数量。 资源规整：如果您在部署工作负载时未设置CPU和内存等资源值，CCE Autopilot会自动为您进行资源规整。 运维简化：CCE Autopilot使您免于持续关注节点状态，集群可根据负载规模自动进行扩缩，从而减少平台运维开销。

弃用和移除 在Kubernetes 1.27版本，针对卷扩展 GA 特性的以下特性门禁将被移除，且不得再在 --feature-gates 标志中引用。（ExpandCSIVolumes，ExpandInUsePersistentVolumes，ExpandPersistentVolumes） 在Kubernetes 1.27版本，移除--master-service-namespace 命令行参数。该参数支持指定在何处创建名为kubernetes的Service来表示API服务器。自v1.26版本已被弃用，1.27版本正式移除。 在Kubernetes 1.27版本，移除 ControllerManagerLeaderMigration 特性门禁。Leader Migration 提供了一种机制，让 HA 集群在升级多副本的控制平面时通过在 kube-controller-manager 和 cloud-controller-manager 这两个组件之间共享的资源锁，安全地迁移“特定于云平台”的控制器。特性自 v1.24 正式发布，被无条件启用， 在 v1.27 版本中此特性门禁选项将被移除。 在Kubernetes 1.27版本，移除 --enable-taint-manager 命令行参数。该参数支持的特性基于污点的驱逐已被默认启用， 且在标志被移除时也将继续被隐式启用。 在Kubernetes 1.27版本，移除--pod-eviction-timeout 命令行参数。弃用的命令行参数 --pod-eviction-timeout 将被从 kube-controller-manager 中移除。 在Kubernetes 1.27版本，移除 CSI Migration 特性门禁。CSI migration 程序允许从树内卷插件移动到树外 CSI 驱动程序。 CSI 迁移自 Kubernetes v1.16 起正式发布，关联的 CSIMigration 特性门禁将在 v1.27 中被移除。 在Kubernetes 1.27版本，移除 CSIInlineVolume 特性门禁。CSI Ephemeral Volume 特性允许在 Pod 规约中直接指定 CSI 卷作为临时使用场景。这些 CSI 卷可用于使用挂载的卷直接在 Pod 内注入任意状态，例如配置、Secret、身份、变量或类似信息。 此特性在 v1.25 中进阶至正式发布。因此，此特性门禁 CSIInlineVolume 将在 v1.27 版本中移除。 在Kubernetes 1.27版本，移除 EphemeralContainers 特性门禁。对于 Kubernetes v1.27，临时容器的 API 支持被无条件启用；EphemeralContainers 特性门禁将被移除。 在Kubernetes 1.27版本，移除 LocalStorageCapacityIsolation 特性门禁。Local Ephemeral Storage Capacity Isolation 特性在 v1.25 中进阶至正式发布。此特性支持 emptyDir 卷这类 Pod 之间本地临时存储的容量隔离， 因此可以硬性限制 Pod 对共享资源的消耗。如果本地临时存储的消耗超过了配置的限制，kubelet 将驱逐 Pod。 特性门禁 LocalStorageCapacityIsolation 将在 v1.27 版本中被移除。 在Kubernetes 1.27版本，移除 NetworkPolicyEndPort 特性门禁。Kubernetes v1.25 版本将 NetworkPolicy 中的 endPort 进阶至正式发布。 支持 endPort 字段的 NetworkPolicy 提供程序可用于指定一系列端口以应用 NetworkPolicy。 在Kubernetes 1.27版本，移除 StatefulSetMinReadySeconds 特性门禁。对于作为 StatefulSet 一部分的 Pod，只有当 Pod 至少在 minReadySeconds 中指定的持续期内可用（并通过检查）时，Kubernetes 才会将此 Pod 标记为只读。 该特性在 Kubernetes v1.25 中正式发布，StatefulSetMinReadySeconds 特性门禁将锁定为 true，并在 v1.27 版本中被移除。 在Kubernetes 1.27版本，移除 IdentifyPodOS 特性门禁。启用该特性门禁，你可以为 Pod 指定操作系统，此项特性支持自 v1.25 版本进入稳定。 IdentifyPodOS 特性门禁将在 Kubernetes v1.27 中被移除。 在Kubernetes 1.27版本，移除 DaemonSetUpdateSurge 特性门禁。Kubernetes v1.25 版本还稳定了对 DaemonSet Pod 的浪涌支持， 其实现是为了最大限度地减少部署期间 DaemonSet 的停机时间。 DaemonSetUpdateSurge 特性门禁将在 Kubernetes v1.27 中被移除。 在Kubernetes 1.27版本，移除 --container-runtime 命令行参数。kubelet 接受一个已弃用的命令行参数 --container-runtime， 并且在移除 dockershim 代码后，唯一有效的值将是 remote。 Kubernetes v1.27 将移除该参数，该参数自 v1.24 版本以来已被弃用。

v1.19版本 表7 v1.19补丁版本发布说明 CCE集群补丁版本号 Kubernetes社区版本 特性更新 优化增强 安全漏洞修复 v1.19.16-r84 v1.19.16 - - 修复CVE-2024-21626安全漏洞。 v1.19.16-r82 v1.19.16 - 修复Ingress配置SNI证书并同时开启HTTP/2的场景下偶现配置冲突的问题。 - v1.19.16-r80 v1.19.16 节点池支持节点的自定义前缀和后缀命名 CCE Turbo集群中，支持创建工作负载类型的容器网络配置，可指定Pod子网，详情请参见容器网络配置（NetworkAttachmentDefinition）。 ELB Ingress支持GRPC协议，详情请参见ELB Ingress对接GRPC协议的后端服务。 负载均衡类型的服务在通过YAML创建时支持指定ELB私有IP，详情请参见通过kubectl命令行创建-自动创建ELB。 修复BMS节点重启后显示节点不可用的问题。 优化VIP路由清理逻辑，先清理残留VIP路由，避免出现NetworkManager重启后重新添加路由的问题。 修复CCE Turbo集群使用独享型ELB场景，Pod滚动升级复用IP可能导致ELB后端服务器无法添加的问题。 修复创建负载均衡类型Service时加入healthcheck队列后，如果Service被删除，会导致缓存残留的问题。 修复Master节点所在的物理机或者交换机网络设备掉线之后，内存持续上涨，docker占用内存持续上涨的问题。 修复部分安全问题。 v1.19.16-r72 v1.19.16 - 修复部分场景下非预期的Master节点主备切换。 优化路由删除匹配机制，修复偶发性删除路由命令失败的问题。 修复部分安全问题。 v1.19.16-r70 v1.19.16 - 修复有状态负载Pod可能出现后端添加失败或未更改问题。 增强Master节点核心组件故障隔离能力。 修复达到预热参数回收空闲网卡条件后，可能并没有回收网卡的问题。 修复部分安全问题。 v1.19.16-r60 v1.19.16 Volcano支持节点池亲和调度。详情请参见节点池亲和性调度。 Volcano支持负载重调度能力。详情请参见重调度（Descheduler）。 - 修复部分安全问题。 v1.19.16-r50 v1.19.16 - 优化节点池伸缩时的事件信息。 修复部分安全问题。 v1.19.16-r40 v1.19.16 节点池配置管理支持软驱逐和硬驱逐的设置。 支持为自动创建的EVS块存储添加TMS资源标签，以便于成本管理。 - 修复部分安全问题。 v1.19.16-r30 v1.19.16 CCE集群支持对接使用弹性规格的独享型ELB。 负载均衡支持设置超时时间。详情请参见负载均衡类型的服务设置超时时间和ELB Ingress设置超时时间。 kube-apiserver高频参数支持配置。 修复部分安全问题。 v1.19.16-r20 v1.19.16 Service和Ingress支持关联G-EIP的独享型ELB。 CCE Turbo容器网卡支持固定IP。详情请参见为Pod配置固定IP。 CCE Turbo容器网卡支持自动创建和自动绑定EIP。详情请参见为Pod配置固定EIP。 云原生2.0网络支持命名空间指定子网。 增强节点重启后，docker运行时拉取镜像的稳定性。 优化CCE Turbo集群在非全预热场景分配网卡的性能。 修复部分安全问题。 v1.19.16-r10 v1.19.16 - 提升Service/Ingress对接ELB特性稳定性。 修复部分安全问题。 v1.19.16-r7 v1.19.16 - 增强Docker版本升级时的可靠性。 优化集群节点时间同步能力。 增强CCE Turbo集群预热场景可靠性。 修复部分安全问题。 v1.19.16-r6 v1.19.16 Service和Ingress支持关联G-EIP的独享型ELB。 增强配置了QoS的containerd容器运行的稳定性。 Ingress支持对url重写策略配置和修改。 优化kube-controller-manager在频繁更新CRD场景下的内存使用。 修复部分安全问题。 v1.19.16-r5 v1.19.16 支持LB类型的Service同时配置TCP/UDP端口，详情请参见指定多个端口配置健康检查。 支持Pod readiness gate，详情请参见通过ELB健康检查设置Pod就绪状态。 增强底层网络异常时的流表可靠性。 增强高版本内核的OS异常掉电等重启场景的稳定性。 修复部分安全问题。 v1.19.16-r4 v1.19.16 容器存储支持对接SFS 3.0文件存储服务。 支持GPU节点的设备故障检测和隔离能力。 支持配置集群维度的自定义安全组。 CCE Turbo集群支持节点级别的网卡预热参数配置。 优化节点污点场景下负载调度的性能。 增强Containerd运行时绑核场景下长时间运行的稳定性。 优化ELB Service/Ingress在大量连接场景下的稳定性。 优化kube-apiserver在频繁更新crd场景下的内存使用。 修复部分安全问题及以下CVE漏洞： CVE-2022-3294 CVE-2022-3162 CVE-2022-3172 v1.19.16-r3 v1.19.16 - 支持image-pull-progress-deadline启动参数升级保留。 CCE Turbo支持节点自定义网卡动态预热配置。 BMS节点EulerOS 2.3重启后udp链接稳定性优化。 解决隧道网络在master节点间网络闪断场景下导致的网络分配不一致问题。 优化容器隧道网络模式集群在控制面节点网络闪断场景下的稳定性。 修复部分安全问题。 v1.19.16-r2 v1.19.16 - 增强集群控制面节点掉电时链接释放的稳定性。 增强节点上Pod并发挂载存储卷的稳定性。 修复部分安全问题。 v1.19.16-r1 v1.19.16 - 增强EulerOS 2.9操作系统NetworkManager的稳定性。 修复部分安全问题。 v1.19.16-r0 v1.19.16 - 增强工作负载升级且节点伸缩状态下，负载均衡服务更新的稳定性。 修复部分安全问题及以下CVE漏洞： CVE-2021-25741 CVE-2021-25737 v1.19.10-r0 v1.19.10 首次发布CCE v1.19集群，有关更多信息请参见Kubernetes 1.19版本说明。 - -

v1.21版本 表6 v1.21补丁版本发布说明 CCE集群补丁版本号 Kubernetes社区版本 特性更新 优化增强 安全漏洞修复 v1.21.15-r0 v1.21.14 支持使用通用性SSD v2、极速SSD v2类型的云硬盘。 ELB Ingress支持配置灰度发布。 ELB Ingress支持配置URL重定向、Rewrite重写、HTTP重定向到HTTPS能力。 开放高频使用的集群参数、节点池参数配置。 修复部分安全问题。 v1.21.14-r0 v1.21.14 支持使用PVC动态创建SFS Turbo子目录并挂载。 - 修复部分安全问题。 v1.21.13-r0 v1.21.14 创建Service或Ingress支持设置ELB黑/白名单访问控制。 CCE的节点镜像支持安全加固（满足等保三级基线要求）。 - 修复部分安全问题。 v1.21.12-r4 v1.21.14 - - 修复CVE-2024-21626安全漏洞。 v1.21.12-r2 v1.21.14 - 修复Ingress配置SNI证书并同时开启HTTP/2的场景下偶现配置冲突的问题。 - v1.21.12-r0 v1.21.14 节点池支持节点的自定义前缀和后缀命名 CCE Turbo集群中，支持创建工作负载类型的容器网络配置，可指定Pod子网，详情请参见容器网络配置（NetworkAttachmentDefinition）。 ELB Ingress支持GRPC协议，详情请参见ELB Ingress对接GRPC协议的后端服务。 负载均衡类型的服务在通过YAML创建时支持指定ELB私有IP，详情请参见通过kubectl命令行创建-自动创建ELB。 优化健康检查配置，避免出现keepalived反复重启的问题。 优化securityPolicy缓存及Ingress重试风暴。 修复cloud-controller-manager组件主进程所在Master节点出现卡IO，组件切主失败的问题。 修复Service设置权重后，会错误计算terminating状态的Pod数，导致Pod权重不准确的问题。 修复部分安全问题。 v1.21.11-r40 v1.21.14 - 优化接口调用逻辑，避免业务大规模调用场景下出现接口流控。 修复部分安全问题。 v1.21.11-r30 v1.21.14 - 修复CCE Turbo集群使用独享型ELB场景，Pod滚动升级复用IP可能导致ELB后端服务器无法添加的问题。 修复节点删除过程中，节点状态为不可用但没有及时出现告警的问题。 修复磁盘挂载到ECS后，系统中可能出现找不到软链文件的问题。 修复部分安全问题。 v1.21.11-r20 v1.21.14 Volcano支持节点池亲和调度。详情请参见节点池亲和性调度。 Volcano支持负载重调度能力。详情请参见重调度（Descheduler）。 - 修复部分安全问题。 v1.21.11-r10 v1.21.14 - 优化节点池伸缩时的事件信息。 修复部分安全问题。 v1.21.11-r0 v1.21.14 节点池配置管理支持软驱逐和硬驱逐的设置。 支持为自动创建的EVS块存储添加TMS资源标签，以便于成本管理。 - 修复部分安全问题。 v1.21.10-r10 v1.21.14 CCE集群支持对接使用弹性规格的独享型ELB。 负载均衡支持设置超时时间。详情请参见负载均衡类型的服务设置超时时间和ELB Ingress设置超时时间。 kube-apiserver高频参数支持配置。 修复部分安全问题。 v1.21.10-r0 v1.21.14 Service和Ingress支持关联G-EIP的独享型ELB。 CCE Turbo容器网卡支持固定IP。详情请参见为Pod配置固定IP。 CCE Turbo容器网卡支持自动创建和自动绑定EIP。详情请参见为Pod配置固定EIP。 增强docker版本升级时的可靠性。 优化集群节点时间同步能力。 优化节点重启后，docker运行时拉取镜像的稳定性。 修复部分安全问题。 v1.21.9-r0 v1.21.14 Service和Ingress支持关联G-EIP的独享型ELB。 优化CCE Turbo集群在规格变更场景时网络的稳定性。 修复部分安全问题。 v1.21.8-r0 v1.21.14 支持LB类型的Service同时配置TCP/UDP端口，详情请参见指定多个端口配置健康检查。 支持Pod readiness gate，详情请参见通过ELB健康检查设置Pod就绪状态。 增强底层网络异常时的流表可靠性。 增强高版本内核的OS异常掉电等重启场景的稳定性。 cadvisor GPU/NPU相关指标优化。 修复部分安全问题。 v1.21.7-r0 v1.21.14 容器存储支持对接SFS 3.0文件存储服务。 支持GPU节点的设备故障检测和隔离能力。 支持配置集群维度的自定义安全组。 CCE Turbo集群支持节点级别的网卡预热参数配置。 支持集群控制面组件的日志信息开放。 优化ELB Service/Ingress在大量连接场景下的稳定性。 修复部分安全问题及以下CVE漏洞： CVE-2022-3294 CVE-2022-3162 CVE-2022-3172 v1.21.6-r0 v1.21.7 支持ARM节点创建。 - 修复部分安全问题。 v1.21.5-r10 v1.21.7 - 增强EulerOS 2.3的裸金属节点在重启后的UDP链接稳定性。 优化隧道网络在控制面节点间网络闪断场景下导网络分配的稳定性。 ovs漏洞加固。 修复部分安全问题。 v1.21.5-r0 v1.21.7 - 增强集群升级下容器隧道网络模式的稳定性。 增强pod拓扑分布约束能力。 增强集群控制面节点掉电时链接释放的稳定性。 增强节点上pod并发挂载存储卷的稳定性。 修复部分安全问题。 v1.21.4-r10 v1.21.7 - 增强EulerOS 2.9操作系统NetworkManager的稳定性。 修复部分安全问题。 v1.21.4-r0 v1.21.7 - 增强安全容器场景下容器网卡驱动切换的稳定性。 增强升级工作负载且处于节点伸缩时，访问负载均衡服务的稳定性。 修复部分安全问题。 v1.21.3-r10 v1.21.7 - 增强安全容器场景下容器网卡驱动切换的稳定性。 修复部分安全问题。 v1.21.3-r0 v1.21.7 - CCE Turbo集群容器内的SNAT网段支持可配置。 修复部分安全问题。 v1.21.2-r10 v1.21.7 - 增强Service对接负载均衡场景的稳定性。 修复部分安全问题。 v1.21.2-r0 v1.21.7 优化节点的资源预留参数，支持资源耗尽检测，提升节点的稳定性。 提升集群升级能力，增强升级可靠性。 优化容器本地存储功能，提升稳定性。 修复部分安全问题。 v1.21.1-r2 v1.21.7 容器存储支持本地持久卷。 支持管理EulerOS 2.9鲲鹏计算实例。 容器隧道网络模式和VPC网络模式支持OS内核版本宽匹配。 优化节点安装流程，增强节点创建的可靠性。 优化CentOS和EulerOS 2.5的内核参数，提升OS性能。 修复部分安全问题。 v1.21.1-r1 v1.21.7 - 容器网络支持内核宽匹配。 修复部分安全问题。 v1.21.1-r0 v1.21.7 首次发布CCE v1.21集群，有关更多信息请参见Kubernetes 1.21版本说明。 - -

v1.23版本 表5 v1.23补丁版本发布说明 CCE集群补丁版本号 Kubernetes社区版本 特性更新 优化增强 安全漏洞修复 v1.23.14-r0 v1.23.17 支持使用通用性SSD v2、极速SSD v2类型的云硬盘。 ELB Ingress支持配置灰度发布。 ELB Ingress支持配置URL重定向、Rewrite重写、HTTP重定向到HTTPS能力。 开放高频使用的集群参数、节点池参数配置。 修复部分安全问题。 v1.23.13-r0 v1.23.17 负载均衡类型的Service和ELB Ingress能力新增： 支持配置SNI。 支持开启HTTP/2。 支持配置空闲超时时间、请求超时时间、响应超时时间。 支持从HTTP报文的请求头中获取监听器端口号、客户端请求端口号、重写X-Forwarded-Host。 - 修复部分安全问题。 v1.23.12-r0 v1.23.17 创建Service或Ingress支持设置ELB黑/白名单访问控制。 CCE的节点镜像支持安全加固（满足等保三级基线要求）。 - 修复部分安全问题。 v1.23.11-r4 v1.23.17 - - 修复CVE-2024-21626安全漏洞。 v1.23.11-r2 v1.23.17 - 修复Ingress配置SNI证书并同时开启HTTP/2的场景下偶现配置冲突的问题。 - v1.23.11-r0 v1.23.17 节点池支持节点的自定义前缀和后缀命名 CCE Turbo集群中，支持创建工作负载类型的容器网络配置，可指定Pod子网，详情请参见容器网络配置（NetworkAttachmentDefinition）。 ELB Ingress支持GRPC协议，详情请参见ELB Ingress对接GRPC协议的后端服务。 负载均衡类型的服务在通过YAML创建时支持指定ELB私有IP，详情请参见通过kubectl命令行创建-自动创建ELB。 优化CCE Turbo集群中大批量创建安全容器的启动速度。 提升CCE Turbo集群中反复创建删除安全容器时的稳定性。 修复Docker在journald异常退出场景下导致容器无法被结束的问题。 修复Everest插件卸载时，调度器未能在创建Pod时拦截自动挂载SFS3.0存储卷的问题。 修复v1.23版本集群中，EulerOS 2.9系统的containerd节点上/var/lib/contained磁盘目录使用率虚高的问题。 修复部分安全问题。 v1.23.10-r20 v1.23.11 - 修复VPC网络模型集群在短时间内创建删除大量Pod时容器网卡偶现残留的问题。 优化路由删除匹配机制，修复偶发性删除路由命令失败的问题。 修复部分安全问题。 v1.23.10-r10 v1.23.11 - 修复节点大规模重启可能导致kube-schedule组件发生重启的问题。 优化Service自动创建共享型ELB的参数校验。 修复删除NodePort类型的Service后，立刻创建同端口Service出现偶发性报错的问题。 修复部分安全问题。 v1.23.10-r0 v1.23.11 Volcano支持节点池亲和调度。详情请参见节点池亲和性调度。 Volcano支持负载重调度能力。详情请参见重调度（Descheduler）。 - 修复部分安全问题。 v1.23.9-r10 v1.23.11 - 优化节点池伸缩时的事件信息。 修复部分安全问题。 v1.23.9-r0 v1.23.11 节点池配置管理支持软驱逐和硬驱逐的设置。 支持为自动创建的EVS块存储添加TMS资源标签，以便于成本管理。 - 修复部分安全问题。 v1.23.8-r10 v1.23.11 CCE集群支持对接使用弹性规格的独享型ELB。 负载均衡支持设置超时时间。详情请参见负载均衡类型的服务设置超时时间和ELB Ingress设置超时时间。 kube-apiserver高频参数支持配置。 修复部分安全问题。 v1.23.8-r0 v1.23.11 Service和Ingress支持关联G-EIP的独享型ELB。 CCE Turbo容器网卡支持固定IP。详情请参见为Pod配置固定IP。 CCE Turbo容器网卡支持自动创建和自动绑定EIP。详情请参见为Pod配置固定EIP。 CCE Turbo集群在离线混部增强：支持Pod网络优先级限制。详情请参见出口网络带宽保障。 CCE Turbo集群支持命名空间关联容器网段。详情请参见网络配置（NetworkAttachmentDefinition）。 集群支持CPU Burst特性，避免CPU限流影响时延敏感型容器业务。详情请参见CPU Burst弹性限流。 增强docker版本升级时的可靠性。 优化集群节点时间同步能力。 修复部分安全问题。 v1.23.7-r20 v1.23.11 - 增强Service/Ingress对接ELB特性稳定性。 增强节点挂载多块数据盘场景可靠性。 修复部分安全问题。 v1.23.7-r10 v1.23.11 - 增强docker版本升级时的可靠性。 增强containerd运行时在异常断链场景下的可靠性。 内核参数调优异常场景下加固。 修复部分安全问题。 v1.23.7-r0 v1.23.11 Service和Ingress支持关联G-EIP的独享型ELB。 优化CCE Turbo集群在规格变更场景时网络的稳定性。 增强集群升级场景，nginx-ingress-controller的网络稳定性。 优化集群节点时间同步能力。 修复部分安全问题。 v1.23.6-r0 v1.23.11 支持LB类型的Service同时配置TCP/UDP端口，详情请参见指定多个端口配置健康检查。 支持Pod readiness gate，详情请参见通过ELB健康检查设置Pod就绪状态。 增强底层网络异常时的流表可靠性。 增强高版本内核的OS异常掉电等重启场景的稳定性。 cadvisor GPU/NPU相关指标优化。 修复部分安全问题。 v1.23.5-r0 v1.23.11 容器存储支持对接SFS 3.0文件存储服务。 支持GPU节点的设备故障检测和隔离能力。 支持配置集群维度的自定义安全组。 CCE Turbo集群支持节点级别的网卡预热参数配置。 支持集群控制面组件的日志信息开放。 集群支持华为云自研的Huawei Cloud EulerOS 2.0操作系统。 CCE集群支持选择Containerd容器运行时。 CCE Turbo集群在离线混部增强：支持CPU潮汐亲和性。 优化升级控制节点ETCD版本至社区版本3.5.6。 优化EulerOS 2.8节点上Service的访问性能。 优化调度均衡性，工作负载实例数缩容时仍保持跨AZ分布均衡。 优化kube-apiserver在频繁更新CRD场景下的内存使用。 修复部分安全问题及以下CVE漏洞： CVE-2022-3294 CVE-2022-3162 CVE-2022-3172 CVE-2021-25749 v1.23.4-r10 v1.23.4 - 优化kube-apiserver在频繁更新crd场景下的内存使用。 修复部分安全问题。 v1.23.4-r0 v1.23.4 支持ARM节点创建。 - 修复部分安全问题。 v1.23.3-r0 v1.23.4 CCE集群支持对租户开放master节点组件监控指标。 通过预热机制优化CCE Turbo集群SubENI网卡启动速度。 支持ELB类型service配置后端服务器权重。 CCE集群支持跨集群部署服务。 CCE Turbo集群使用虚拟机节点场景下支持在离线混部功能。 增强安全容器在反复创删场景下的可靠性。 修复部分安全问题。 v1.23.1-r1 v1.23.4 优化节点的资源预留参数，支持资源耗尽检测，提升节点的稳定性。 提升节点的安装兼容性。 修复部分安全问题。 v1.23.1-r0 v1.23.4 首次发布CCE v1.23集群，有关更多信息请参见Kubernetes 1.23版本说明。 - -