文档中心

容器服务CKS用户指南

最近更新时间：

4 管理与维护

4.1 用户权限管理

说明

权限管理支持通过统一身份认证服务（Identity and Access Management，IAM）或组织管理进行配置。

IAM 权限管理仅在“组织管理”未开启状态下可用。“组织管理”功能开启后，资源标签和 IAM权限管理功能将不再可用。若需使用组织管理功能进行权限管理，详细描述请参见《控制台快速入门》的“组织管理”章节。

4.1.1 IAM 权限

IAM 权限简介

统一身份认证服务（Identity and Access Management，IAM）提供用户身份认证、权限分配、访问控制等功能，通过创建多个 IAM 用户并授权不同资源权限策略，可实现不同 IAM 用户之间的权限隔离。

IAM 权限基于 IAM 用户授权云资源权限，定义了允许和拒绝的访问操作。默认情况下，新创建的IAM 用户不具备任何资源权限，需授权 IAM 用户，才能基于被授权的资源权限进行操作。授权 IAM用户，需将其加入用户组，且该用户组已添加 IAM 权限策略。

IAM 权限策略是一组资源权限集，CKS 支持“系统策略”和“自定义策略”。

系统策略

系统策略统一由系统创建和维护，不支持自定义修改策略权限范围。CKS 支持的系统策略如下：

自定义策略

自定义策略是由系统开放资源授权项（Action），支持自主创建、更新和删除策略。目前支持“可视化”和“脚本”两种配置方式创建自定义策略：

• 可视化配置：按可视化导航栏选择策略效力、云服务、操作、资源、条件等权限策略内容，自动生成策略。

• 脚本配置：提供基本策略模板，可根据具体需求编辑策略内容，也可直接在编辑框内编写策略内容。

CKS 支持的资源授权项如下：

4.1.2 设置 IAM 权限

4.1.2.1 任务简介

IAM 权限基于 IAM 用户授权云资源权限，定义了允许和拒绝的访问操作。默认情况下，新创建的IAM 用户不具备任何资源权限，需授权 IAM 用户，才能基于被授权的资源权限进行操作。授权 IAM用户，可选择直接给用户添加 IAM 权限策略；也可选择需将其加入用户组，且该用户组已添加 IAM权限策略。

本小节主要介绍如何设置 IAM 权限，授权 IAM 用户使用 CKS 资源。

4.1.2.2 限制与指导

给用户组授权之前，已了解用户需具备的 CKS 权限，并已掌握权限策略授权范围。

4.1.2.3 创建 IAM 用户

(1) 登录 CECSTACK 专属云控制台。

(2) 鼠标悬停至页面右上角账号名称上，在弹出的下拉框中单击“身份认证与访问管理”，进入IAM 用户管理页面。

(3) 单击“创建用户”，跳转到 IAM 用户配置页面。

(4) 配置 IAM 用户账号信息和访问方式。

- 账号信息包括用户名、显示名、手机号、邮箱、备注等。

- 访问方式可选择控制台访问或编程访问。

- 一次最多可创建 10 个 IAM 用户，且同时创建的用户访问方式相同。

(5) 确认信息无误后，单击“确认”，弹出 IAM 用户创建成功窗口。

(6) 单击“确认”，确认下载用户密码至本地保存，且可查看新创建的用户列表。

4.1.2.4 授权单个 IAM 用户使用 CKS

(1) 在“身份认证与访问管理”管理页面。

(2) 单击“用户管理”页签，进入 IAM 用户列表页面。

(3) 在目标 IAM 用户的操作列，单击“添加权限”，弹出组权限配置窗口。

(4) 在左侧列框，勾选 CKS 权限策略并单击，为用户组添加权限。

- 您也可以将已配置的权限移除。

- 权限策略列框包含该账号下全量系统策略和自定义策略。

(5) 单击“确认”，返回 IAM 用户列表页面。

4.1.2.5 （可选）授权用户组使用 CKS

(1) 在“身份认证与访问管理”管理页面。

(2) 单击“用户组”页签，进入用户组管理页面。

(3) （可选）新建用户组。

a. 单击“创建用户组”，弹出用户组配置窗口。

b. 配置用户组名称，并可自定义描述信息。

c. 单击“确认”，返回用户组列表。

(4) 添加组成员。

a. 在目标用户组的操作列，单击“添加组成员”，弹出组成员配置窗口。

b. 在左侧列框，勾选一个或多个目标用户并单击，添加用户至用户组。

− 您也可以将已添加的用户从用户组移除。

− 用户列框包含该账号下已创建的全部 IAM 用户。

− 已被添加至其他用户组的用户置灰，不能被添加到新用户组。

c. 单击“确认”，返回用户组列表页面。

(5) 添加用户组权限。

a. 在目标用户组的操作列，单击“添加权限”，弹出组权限配置窗口。

b. 在左侧列框，勾选 CKS 权限策略并单击，为用户组添加权限。

− 您也可以将已配置的权限从用户组移除。

− 权限策略列框包含该账号下全量系统策略和自定义策略。

c. 单击“确认”，返回用户组列表页面。

4.1.2.6 IAM 用户登录并验证权限

(1) 使用 IAM 用户账号登录专属云控制台。

(2) 在服务列表中选择“容器服务 CKS”，进入 CKS 管理页面。

(3) 对容器服务等资源执行相应操作，确认权限是否生效。

4.1.3 创建 IAM 自定义策略

4.1.3.1 任务简介

IAM 权限策略是一组资源权限集，CKS 支持“系统策略”和“自定义策略”。

如果预置的 CKS 系统策略不满足使用要求，可通过创建自定义策略，添加授权项（Action），对 CKS资源进行精细的权限管理。目前支持“可视化”和“脚本”两种配置方式创建自定义策略。

• 可视化配置：按可视化导航栏选择策略效力、云服务、操作、资源、条件等权限策略内容，自动生成策略。

• 脚本配置：提供基本策略模板，可根据具体需求编辑策略内容，也可直接在编辑框内编写策略内容。

本小节主要介绍如何在管理控制台创建自定义策略。

4.1.3.2 可视化配置自定义策略

(1) 登录 CECSTACK 专属云控制台。

(2) 鼠标悬停至页面右上角账号名称上，在弹出的下拉框中单击“身份认证与访问管理”，进入IAM 用户管理页面。

(3) 单击“权限策略管理”页签，进入权限策略管理页面。

(4) 单击“创建自定义权限策略”，弹出权限策略配置窗口。

(5) 配置权限策略基本信息。

- 权限策略名称：自定义权限策略名称。

- 备注：自定义策略配置信息。

(6) 配置方式，选择“可视化配置”。

(7) 配置权限策略。

a. 配置权限策略效力，可选择“允许”或“拒绝”。

− 允许：表示该策略为允许操作效力。

− 拒绝：表示该策略为拒绝操作效力。

b. 配置云服务，选择“容器服务 CKS”。

c. 配置云服务操作，根据需求勾选操作权限。

d. 配置资源，可选择“全部资源”或“特定资源”。

e. （可选）配置请求条件。

f. 确认信息无误后，单击“确认”，返回权限策略列表页面，自定义策略即创建完成。

4.1.3.3 脚本配置自定义策略

(1) 登录 CECSTACK 专属云控制台。

(2) 鼠标悬停至页面右上角账号名称上，在弹出的下拉框中单击“身份认证与访问管理”，进入IAM 用户管理页面。

(3) 单击“权限策略管理”页签，进入权限策略管理页面。

(4) 单击“创建自定义权限策略”，弹出权限策略配置窗口。

(5) 配置权限策略基本信息。

- 权限策略名称：自定义权限策略名称。

- 备注：自定义策略配置信息。

(6) 配置方式，选择“脚本配置”。

(7) 配置权限策略。

您可直接编辑脚本；也可复制已有策略权限，并在基础上做修改。

(8) 确认信息无误后，单击“确认”，返回权限策略列表页面，自定义策略即创建完成。

4.2 概览

概览页为您提供整个集群资源的使用情况和 CPU 使用情况。

4.3 管理容器服务

4.3.1 创建集群

任务简介

您可以通过容器服务控制台非常方便快速的创建 Kubernetes 集群。Kubernetes 是大规模容器集群管理软件，一个集群可以管理一组节点资源。小节主要介绍如何在控制台创建集群。

限制与指导

集群一旦创建以后，不支持以下操作：

• 变更集群的 VPC。

• 变更容器网络插件。

• 变更存储插件。

• 在不同命名空间下迁移应用。

• 创建集群时用户只需要创建 Worker 节点，Master 节点已内置为一个 POD 实例。

操作步骤

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 容器与中间件 > 容器服务 CKS”，进入集群列表页面。

(2) 单击“创建集群”，进入创建集群页面。

(3) 根据下表中的说明配置相关参数，完成后单击“下一步：Worker 及组件配置”。

(4) 在 Worker 及组件配置页面，选择 Worker 实例及安全节点（可选，添加安全容器节点）；完成 Worker 节点配置及监控服务设置，单击“下一步：确认配置”。

说明

• 创建 CKS 服务所用 Worker 节点的 OS 镜像当前必须选择虚拟机 CKS 定制镜像。

• 系统盘建议配置 60GB 或以上空间。

(5) 在确认配置页面，确认所有配置无误后，根据页面显示，可进行如下操作：

- 单击“开通集群”，即可成功开通云容器 CKS 服务，可单击“前往控制台”，返回集群列表，查看开通的集群。

- 单击“立即申请”，待管理员通过审批后，即可完成开通集群。

- 单击“创建集群”，选择支付方式，并单击“确认付款”后，即可完成创建集群。

后续动作

集群创建成功后，您可以在容器服务管理控制台的集群列表页面查看所创建的集群。

• 您也可以单击集群中的节点来查看每个节点的信息。

• 您可以通过 Kubectl 管理 Kubernetes 集群，执行 kubectl get node 查看集群的节点信息。

4.3.2 集群纳管

任务简介

您可以通过容器服务控制台纳管第三方的 Kubernetes 集群，并通过容器控制台对第三方集群的Kubernetes 资源进行管理。

前提条件

集群纳管时用户需要先创建 Worker 节点和 Master 节点。

操作步骤

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 容器与中间件 > 容器服务 CKS”，进入集群列表页面。

(2) 单击“集群纳管”，进入集群纳管页面。

(3) 根据界面选择或填写相关信息后，单击“确定”。

4.3.3 集群生命周期

集群状态说明

4.3.4 查看集群凭证

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 容器与中间件 > 容器服务 CKS”，进入集群列表页面。

(2) 选择要查询集群凭证的集群，单击操作列的“集群凭证”，弹出集群凭证窗口，可复制、下载凭证。

(3) ECS 节点绑定 EIP 后，使用 xshell 工具远程登录 ECS 节点，创建目录：mkdir/root/.kube/，将集群凭证复制到 root/.kube/config 文件中。

(4) 集群凭证添加成功后就可以执行 kubectl 命令。

4.3.5 版本管理

任务简介

容器服务 CKS 严格遵循社区一致性认证。为了能够方便您使用稳定又可靠的 Kubernetes 版本，请您务必在维护周期结束之前升级您的 Kubernetes 集群。本小节主要介绍如何进行集群升级及查看历史版本。

限制与指导

• 版本管理目前只支持升级，不可回退。

• 只有标准版的集群支持版本管理。

操作步骤

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 容器与中间件 > 容器服务 CKS”，进入集群列表页面。

(2) 单击目标集群操作列的“版本管理”。

(3) 在集群升级页签下，选择要使用的版本后，单击“确定”。

(4) 在历史版本的页签可以查看历史使用过的版本。

4.3.6 新增节点

任务简介

节点是指接入到平台的计算资源，包括虚拟机、物理机等。用户需确保所在集群节点资源充足，若节点资源不足，会导致创建工作负载等操作失败。本小节主要介绍如何新增节点。

前提条件

• 已完成创建集群。

• 需要先创建 ECS 新建一个 Worker 节点，Worker 节点的 OS 镜像必须选择虚拟机 CKS 定制镜像，系统盘建议配置 60GB 或以上空间。

• 需要需要增加 tbms 节点，需要先完成创建 tBMS 节点。

• 如果需要使用安全容器，则需要添加 VK 节点，且一个集群只能添加一个 VK 节点。

操作步骤

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 容器与中间件 > 容器服务 CKS”，进入集群列表页面。

(2) 选择要新增节点的集群，单击操作列的“新增节点”，弹出新增 ECS/VK/tBMS 节点窗口。

(3) 勾选需要新增节点，如果没有符合要求的 ECS/VK/tBMS 节点，请先创建 ECS/VK/tBMS 节点，单击“确定”。

4.3.7 下架节点

任务简介

本小节主要介绍如何下架节点。

前提条件

• 已完成创建集群。

• 集群下已经存在节点。

操作步骤

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 容器与中间件 > 容器服务 CKS”，进入集群列表页面。

(2) 选择要下架节点的节点，单击操作列的“下架节点”，弹出下架节点窗口。

(3) 选择需要下架的 ECS/VK/tBMS 节点，单击“确定”。

4.3.8 退订/释放

任务简介

如果创建的集群不再需要使用时，可以退订/释放。

限制与指导

退订/释放需要先完成下架 ECS/VK 节点。

操作步骤

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 容器与中间件 > 容器服务 CKS”，进入集群列表页面。

(2) 单击目标集群操作列的“退订”/“释放”。

(3) 单击“确定”。

4.4 项目管理

4.4.1 创建项目

具体步骤请参考创建项目。

4.4.2 查看项目

(1) 在云容器服务 CKS 左侧导航栏，选择“项目管理”，进入项目页。

(2) 单击需要查看的目标项目名称，进入项目概览页面。

(3) 可以选择查看该项目的应用资源、物理资源及容器组。

4.4.3 开启/关闭网络策略

(1) 在云容器服务 CKS 左侧导航栏，选择“项目管理 > 项目”，进入项目页。

(2) 单击目标项目操作列的“开启/关闭网络策略”或者选中多个目标项目，点击下方的“开启/关闭网络策略”进行批量操作。

(3) 单击“确定”。

4.4.4 删除项目

(1) 在云容器服务 CKS 左侧导航栏，选择“项目管理 > 项目”，进入项目页。

(2) 单击目标项目操作列的“删除”或者选中多个目标项目，点击下方的“删除”进行批量操作。

(3) 单击“确定”。

4.5 节点管理

4.5.1 停止调度

(1) 在云容器服务 CKS 左侧导航栏，选择“节点管理 > 集群节点”，进入集群节点页面。

(2) 选择待停止的集群节点，单击操作列的“ > 停止调度” 或者选中多个集群节点，点击下

方的“停止调度”进行批量操作。

(3) 单击“确定”。

4.5.2 标签管理

(1) 在云容器服务 CKS 左侧导航栏，选择“节点管理 > 集群节点”，进入集群节点页面。

(2) 选择目标集群节点，单击操作列的“ > 标签管理”，弹出标签管理窗口。

(3) 根据需要添加或删除标签。

- 单击“＋添加标签”，输入标签信息。

- 单击要删除的标签后的“ ”，删除标签。

(4) 单击“确定”。

4.6 应用模板

4.6.1 创建应用模板

(1) 在云容器服务 CKS 左侧导航栏，选择“应用模板”，进入应用模板页面。

(2) 单击“创建”，弹出创建应用模板窗口。

(3) 填写名称（必填）、描述信息（非必填）、模板文件（必填）等信息后，单击“立即创建”。

说明

• 名称：最长 63 个字符，只能包含小写字母、数字及分隔符("-")，且必须以小写字母或数字开头及结尾。

• 模板文件：需遵循 YAML 语法。

4.6.2 管理应用模板

在应用模板页面：

• 单击目标应用模板操作列的“部署”，部署该应用模板。

• 单击目标应用模板操作列的“编辑模板文件”，按需修改该应用模板。

• 单击目标应用模板操作列的“删除”，或者选中多个目标应用模板，点击下方的“删除”进行批量操作，可删除该应用模板。

4.7 应用负载

4.7.1 工作负载

工作负载 (Workload) 通常是访问服务的实际载体, 也是对节点日志收集、监控等系统应用的实际运行载体，是对一组容器组 (Pod) 的抽象模型。

4.7.1.1 创建无状态工作负载

具体步骤请参考部署工作负载。

4.7.1.2 创建有状态工作负载

(1) 在云容器服务 CKS 左侧导航栏，选择“应用负载 > 工作负载”，进入工作负载页。

(2) 切换到有状态副本集页签，单击“创建”，弹出创建有状态副本集窗口。

(3) 填写基本信息，单击“下一步”。

(4) 完成容器镜像相关选择或设置后，单击“下一步”。

(5) 根据需要添加存储卷类型，可添加存储卷和挂载配置文件或密钥，单击“下一步”。

(6) 根据需要完成高级设置，单击“确定”。

4.7.1.3 管理工作负载

在工作负载页：

• 单击目标部署或有状态副本集名称操作列的“ > 删除” 或者选中多个目标项目，点击下方的“删除”进行批量操作，可删除该目标。

• 单击目标部署或有状态副本集名称操作列的“ > 编辑配置文件”，可对该目标的配置文件进行编辑。

4.7.1.4 创建弹性伸缩

只有无状态工作负载才支持创建弹性伸缩。

(1) 在云容器服务 CKS 左侧导航栏，选择“应用负载 > 工作负载”，进入工作负载页。

(2) 单击目标部署名称，进入该部署的资源状态页。

(3) 单击“创建弹性伸缩”，弹出创建弹性伸缩窗口，根据需要选择以下操作。

- 在弹性伸缩页签，填写相关信息，单击“立即创建”。

- 在定时弹性伸缩页签，填写相关信息，单击“立即创建”。

4.7.2 任务

任务 (Job) 负责批量处理短暂的一次性任务，即仅执行一次的任务，它保证批处理任务的一个或多个容器组成功结束。

4.7.2.1 创建任务

(1) 在云容器服务 CKS 左侧导航栏，选择“应用负载 > 任务”，进入任务页。

(2) 单击“创建”，弹出创建任务窗口。

(3) 填写基本信息，单击“下一步”。

(4) 完成任务设置，单击“下一步”。

(5) 完成容器镜像设置，单击“下一步”。

(6) 完成挂载存储设置后，单击“下一步”。

(7) 完成高级设置后，单击“确定”。

在任务操作列可删除该任务或编辑配置文件。

4.7.2.2 创建定时任务

(1) 在云容器服务 CKS 左侧导航栏，选择“应用负载 > 任务”，进入任务页。

(2) 选择定时任务页签。

(3) 单击“创建”，弹出创建定时任务窗口。

(4) 请参考“4.7.2.1 创建任务”章节的参数填写基本信息、任务设置、容器镜像设置、挂载存储和高级设置后，单击“确定”。

4.7.2.3 管理任务或定时任务

在任务页：

• 单击目标任务或临时任务操作列的“编辑配置文件”，修改该目标的配置文件。

• 单击目标任务或临时任务操作列的“删除”或者选中多个目标项目，点击下方的“删除”进行批量操作，删除该目标。

4.7.3 服务

4.7.3.1 创建服务

具体步骤请参考创建服务。

在服务的操作列可删除该服务或编辑配置文件。

4.7.4 容器组

容器组 (Pod) 是 Kubernetes 应用程序的基本执行单元，是您创建或部署的 Kubernetes 对象模型中最小和最简单的单元。

在云容器服务 CKS 左侧导航栏，选择“应用负载 > 容器组”，进入容器组页。

• 单击目标容器组名称，查看该容器组的资源状态、调度信息、监控、环境变量、事件、日志和终端等信息。

• 单击目标容器操作列的“ > 删除” 或者选中多个目标项目，点击下方的“删除”进行批量操作，可删除容器组。

• 单击目标容器操作列的“ > 查看配置文件”，查看该容器的配置文件。

4.7.5 应用路由

4.7.5.1 创建应用路由

具体步骤请参考创建应用路由。

4.7.5.2 管理应用路由

在应用路由页：

• 单击目标应用路由操作列的“ > 删除”或者选中多个目标项目，点击下方的“删除”进行批量操作，删除该应用路由。

• 单击目标应用路由操作列的“ > 编辑配置文件”，编辑该应用路由的配置文件。

• 单击目标应用路由操作列的“ > 流量控制”，设置该应用路由的访问流量速度限制和并发连接数限制。

• 单击目标应用路由名称，可查看该应用路由的资源状态和事件。

4.7.5.3 创建灰度发布

(1) 单击目标应用路由名称，进入资源状态页。

(2) 单击“创建灰度发布”。

(3) 选择发布类型，填写灰度发布权重。

(4) 单击“下一步”，设置路由规则。

(5) 单击“立即创建”。

4.8 配置中心

4.8.1 配置

4.8.1.1 配置介绍

配置项（ConfigMap）是一种用于存储工作负载所需配置信息的资源类型。配置项创建完成后，可在容器工作负载中作为文件或者环境变量使用。

4.8.1.2 创建配置

(1) 在云容器服务 CKS 左侧导航栏，选择“配置中心 > 配置”，进入配置页。

(2) 单击“创建”，弹出创建配置窗口。

(3) 填写基本信息，单击“下一步”。

(4) 完成配置设置，单击“立即创建”。

可在操作列删除配置或编辑配置文件。

4.8.2 密钥

4.8.2.1 密钥介绍

密钥（Secret）是一种用于存储工作负载所需要认证信息、密钥的敏感信息等的资源类型，内容由用户决定。资源创建完成后，可在容器工作负载中作为文件或者环境变量使用。

4.8.2.2 创建密钥

(1) 在云容器服务 CKS 左侧导航栏，选择“配置中心 > 密钥”，进入密钥页。

(2) 单击“创建”，弹出创建密钥窗口。

(3) 填写基本信息，单击“下一步”。

(4) 选择密钥类型，单击“+添加”，添加配置数据后，单击“确认添加”。

(5) 单击“立即创建”。

可在操作列对密钥进行删除或者编辑配置文件操作。

4.8.3 服务帐户

4.8.3.1 创建服务帐号

(1) 在云容器服务 CKS 左侧导航栏，选择“配置中心 > 服务帐户”，进入服务帐户页。

(2) 单击“创建”，弹出创建服务帐号窗口。

(3) 填写下表中的数据后，单击“立即创建”。

4.8.3.2 其他操作

在服务帐户页：

• 单击目标帐号操作列的“ > 删除” 或者选中多个目标账号，点击下方的“删除”进行批量操作，可删除该服务帐户。

• 单击目标帐户操作列的“ > 编辑配置文件”，对配置文件进行编辑。

• 单击目标帐户操作列的“ > 编辑角色”，对项目角色和集群角色进行编辑。

• 单击目标帐户名称，可查看该服务帐户详情，支持对详情内容复制和下载。

4.9 存储管理

4.9.1 存储概述

容器存储是为容器工作负载提供存储的组件，支持多种类型的存储（nfs、ceph、集中存储、本地存储），同一个工作负载（pod)可以使用任意数量的存储。

容器服务 CKS 的容器存储功能基于 Kubernetes 存储系统，并深度融合中国电子云存储服务，完全兼容 Kubernetes 原生的存储服务，例如 EmptyDir、HostPath、Secret、ConfigMap 等存储。CKS基于 Kubernetes 社区容器存储接口（CSI，即 Container Storage Interface）实现了中国电子云存储服务接入能力，旨在能为容器编排引擎和存储系统间建立一套标准的存储调用接口，通过该接口能为容器编排服务提供存储服务。

4.9.1.1 本地磁盘存储

通过本地磁盘存储将容器所在宿主机的文件目录挂载到容器的指定路径中（对应 Kubernetes 的HostPath），也可以不填写源路径（对应 Kubernetes 的 EmptyDir），不填写时将分配主机的临时目录挂载到容器的挂载点，指定源路径的本地硬盘数据卷适用于将数据持久化存储到容器所在宿主机，EmptyDir（不填写源路径）适用于容器的临时存储。

可以通过如下四种形式使用本地磁盘存储：

• 主机路径挂载：将容器所在宿主机的文件目录挂载到容器指定的挂载点中，如容器需要访问/etc/hosts 则可以使用 HostPath 映射/etc/hosts 等场景。

• 临时路径挂载：用于临时存储，生命周期与容器实例相同。容器实例消亡时，EmptyDir 会被删除，数据会永久丢失。

• 配置项挂载：将 ConfigMap 配置项中的 key 映射到容器中，可以用于挂载配置文件到指定容器目录。配置项（ConfigMap）是一种用于存储工作负载所需配置信息的资源类型，内容由用户决定。

• 密钥挂载：将密钥中的数据挂载到容器的某一路径中。密钥是一种用于存储工作负载所需要认证信息、密钥的敏感信息等的资源类型，内容由用户决定。

4.9.1.2 云硬盘存储卷

为满足数据持久化的需求，CKS 支持将云硬盘创建的存储卷挂载到容器的某一路径下，当容器迁移时，挂载的云硬盘将一同迁移。通过云硬盘，可以将存储系统的远端文件目录挂载到容器中，数据卷中的数据将被永久保存，即使删除了容器，数据卷中的数据依然保存在存储系统中。

云硬盘使用说明如下：

• 使用便捷：您可以像使用传统服务器硬盘一样，对挂载到服务器上的块存储（硬盘）做格式化、创建文件系统等操作。

• 数据不共享：每台服务器使用独立的块存储（硬盘），多服务器之间数据隔离。

• 私有网络：数据访问必须在数据中心内部网络中。

• 容量性能：单卷容量有限（TB 级），但性能极佳（IO 读写时延 ms 级）。

• 应用场景：适用于供单实例部署的无状态负载（Deployment）和普通任务（Job），以及有状态工作负载（StatefulSet）的每个实例独占式使用，主要面向 HPC 高性能计算、企业核心集群应用、企业应用系统和开发测试等。

4.9.1.3 文件存储

支持将文件存储创建的存储卷挂载到容器的某一路径下，以满足数据持久化需求，文件存储卷适用于多读多写的持久化存储，适用场景包括：媒体处理、内容管理、大数据分析和分析工作负载程序等。

CKS 挂载文件存储卷如下图所示：

4.9.2 存储卷

4.9.2.1 创建存储卷

(1) 在云容器服务 CKS 左侧导航栏，选择“存储管理 > 存储卷”，进入存储卷页。

(2) 单击“创建”，弹出创建存储卷窗口。

(3) 填写基本信息，单击“下一步”。

(4) 完成存储卷设置，单击“下一步”。

(5) 完成标签和注解等高级设置（可选），单击“立即创建”。

可在操作列对存储卷进行删除，查看配置文件等操作。

4.9.2.2 创建快照

(1) 在云容器服务 CKS 左侧导航栏，选择“存储管理 > 存储卷”，进入存储卷页。

(2) 单击目标存储卷操作列的“ > 创建快照”，弹出创建快照窗口。

(3) 填写名称后，单击“立即创建”。

4.9.2.3 存储卷扩容

(1) 在云容器服务 CKS 左侧导航栏，选择“存储管理 > 存储卷”，进入存储卷页。

(2) 单击目标存储卷操作列的“ > 存储卷扩容”，弹出存储卷扩容窗口。

(3) 设置存储卷容量后，单击“扩容”。

4.9.3 存储卷快照

在云容器服务 CKS 左侧导航栏，选择“存储管理 > 存储卷快照”，进入存储类型页。

• 单击目标存储卷快照操作列的“应用”，应用该存储卷快照。

• 单击目标存储卷快照操作列的“删除”或者选中多个目标存储卷快照，点击下方的“删除”进行批量操作，删除该存储卷快照。

4.9.4 存储类型

4.9.4.1 限制与指导

存储系统需要本地部署相关的存储插件来提供服务。

只有 CEPHFS 和 CEPHRBD 两种存储类型的存储卷支持创建快照。

4.9.4.2 创建存储类型

(1) 在云容器服务 CKS 左侧导航栏，选择“存储管理 > 存储类型”，进入存储类型页。

(2) 单击“创建”，弹出创建存储类型窗口。

(3) 填写基本信息，单击“下一步”。

(4) 选择目标存储系统：

- 选择 NFS 类型，单击“下一步”，根据参数说明完成配置。

- 选择 CEPHFS 类型，单击“下一步”，根据参数说明完成配置。

- 选择 CEPHRB 类型，单击“下一步”，根据参数说明完成配置。

- 选择自定义，单击“下一步”。根据参数说明完成配置。

(5) 单击“立即创建”。

4.9.4.3 管理存储类型

• 单击目标存储类型操作列的“ > 删除”或者选中多个目标存储卷类型，点击下方的“删除”进行批量操作，删除该目标。

• 单击目标存储类型操作列的“ > 查看配置文件”，查看该目标的配置文件。

• 单击目标存储类型操作列的“ > 设为默认存类型”，将该目标设为默认存储类型。

4.10 告警

4.10.1 告警概述

平台对集群实现了全方位的监控，在创建节点时会默认安装监控代理插件，插件默认采集集群底层资源以及运行在集群上负载的监控数据；另外，插件还能采集负载的自定义指标监控数据。

• 容器集群监控

对容器集群主要监控基础资源类指标。资源基础监控包含 CPU/内存/磁盘等，用户可以在 CKS 控制台从集群、节点、工作负载等维度查看这些监控指标数据。

• 容器组监控

支持对容器组运行状态进行监控，对容器组事件进行监控；支持对外挂主机存储、共享存储进行实时监控，如存储的容量信息、挂载情况和连接状态等。用户可以在 CKS 控制台方便的查看相关信息。

• 应用监控

对容器应用性能（包括：CPU、内存、网络等）进行全面监控，在 CKS 控制台可以方便的查看容器应用状态、容器应用监控结果统计、容器应用监控告警信息等。

• 集群告警

可在平台页面图形化配置不同级别的告警，设置不同的告警策略和通知方式等，通知方式包括 HTTP、E-Mail、短信等。

4.10.2 告警规则

4.10.2.1 创建告警规则

(1) 在云容器服务 CKS 左侧导航栏，选择“告警 > 告警规则”，进入告警规则页。

(2) 在自定义策略页签，单击“创建”，弹出创建告警规则窗口。

(3) 填写基本信息，单击“下一步”。

(4) 选择告警规则表达式，单击“下一步”。

(5) 设置通知内容，单击“立即创建”。

4.10.2.2 告警记录

您可查看在工作负载级别的告警策略中，所有已发出的满足告警规则的告警信息。

4.10.2.3 通知管理

• 在通知管理页的邮件模块，填写邮件相关信息，单击“提交”，配置邮件发送服务器。

• 可在接收设置模块，单击“添加”添加接收者邮箱。

4.11 角色管理

4.11.1 集群角色

4.11.1.1 创建集群角色

(1) 在云容器服务 CKS 左侧导航栏，选择“rbac > 集群角色”，进入集群角色页。

(2) 单击“创建”，弹出创建集群角色窗口。

(3) 填写相关信息，单击“编辑权限”，跳转到编辑权限窗口。

(4) 对权限进行编辑后，单击“确定”。

4.11.1.2 其他操作

• 单击目标角色操作列的“ > 删除”，可删除该角色。

• 单击目标角色操作列的“ > 编辑”，对该角色的基本信息进行编辑。

• 单击目标角色操作列的“ > 编辑权限”，对该角色的权限进行编辑。

4.11.2 项目角色

4.11.2.1 创建项目角色

(1) 在云容器服务 CKS 左侧导航栏，选择“rbac > 项目角色”，进入项目角色页。

(2) 单击“创建”，弹出创建项目角色页。

(3) 填写相关信息，单击“编辑权限”，跳转到编辑权限窗口。

(4) 对权限进行编辑后，单击“确定”。

4.11.3 管理角色

在集群角色或项目角色页：

• 单击目标角色操作列的“ > 删除”，可删除该角色。

• 单击目标角色操作列的“ > 编辑”，对该角色的基本信息进行编辑。

• 单击目标角色操作列的“ > 编辑权限”，对该角色的权限进行编辑。

4.12 集群管理

4.12.1 DNS 管理

4.12.1.1 添加上游服务器

输入上游服务器地址，单击“添加”即可。

4.12.1.2 删除上游服务器地址

单击目标服务器地址操作列的“删除”，可删除手动添加的上游服务器。

4.13 网络管理

4.13.1 网络概述

容器服务通过将 Kubernetes 网络和中国电子云 VPC 深度集成，提供了稳定高性能的容器网络，能够满足多种复杂场景下工作负载间的互相访问。

4.13.1.1 服务访问方式

在 CKS 中，支持以下类型的互联互通：

• 集群内访问（ClusterIP）

工作负载暴露给同一集群内其他工作负载访问的方式，可以通过“集群内部域名”访问。集群内部域名格式为“<自定义的访问方式名称>.<工作负载所在命名空间>.svc.cluster.local”，例如“nginx.default.svc.cluster.local”。

• 节点访问（NodePort）

节点访问 (NodePort）是指在每个节点的 IP 上开放一个静态端口，通过静态端口对外暴露服务。节点访问(NodePort)会路由到 ClusterIP 服务，这个 ClusterIP 服务会自动创建。通过请求<NodeIP>:<NodePort>，可以从集群的外部访问一个 NodePort 服务。

• 负载均衡(LoadBalancer)

通过弹性负载均衡从公网访问工作负载，与弹性 IP 方式相比提供了高可靠的保障，一般用于系统中需要暴露到公网的服务。访问方式由公网弹性负载均衡 ELB 服务地址以及设置的访问端口组成，例如“10.117.117.117:80”。

• 七层负载均衡（Ingress）

通常情况下，Service 和 Pod 的 IP 仅可在集群内部访问。集群外部的请求需要通过负载均衡转发到 Service 在 Node 上暴露的 NodePort 上，然后再由 kube-proxy 将其转发给相关的Pod 或者丢弃，而 Ingress 就是为进入集群的请求提供路由规则的集合。

Ingress 可以给 Service 提供集群外部访问的 URL、负载均衡、SSL 终止、HTTP 路由等。为了配置这些 Ingress 规则，集群管理员需要部署一个 Ingress controller，它监听 Ingress 和 Service 的变化，并根据规则配置负载均衡并提供访问入口。

4.13.2 网络模型

4.13.2.1 容器隧道网络

容器隧道网络在节点网络基础上另构建了独立的 VXLAN 隧道化容器网络，适用于一般场景。VXLAN是将以太网报文封装成 UDP 报文进行隧道传输。容器网络是承载于 VPC 网络之上的 Overlay 网络平面，具有付出少量隧道封装性能损耗，既可获得通用性强、互通性强、高级特性支持全面的优势，也可以满足大多数应用需求。

4.13.2.2 VPC 网络

VPC 网络采用 VPC 路由方式与底层网络深度整合，适用于高性能场景，节点数量受限于虚拟私有云 VPC 的路由配额。每个节点将会被分配固定大小的 IP 地址段。VPC 网络由于没有隧道封装的消耗，容器网络性能相对于容器隧道网络有一定优势。VPC 网络集群由于 VPC 路由中配置有容器网段与节点 IP 的路由，可以支持集群外直接访问容器实例等特殊场景。

4.13.2.3 Ingress 网络

Ingress 是 Kubernetes 集群中一种独立的资源，制定了集群外部访问流量的转发规则。用户可根据域名和路径对转发规则进行自定义，完成对访问流量的细粒度划分。