功能概述

---

安全容器拥有独立的操作系统内核，以及虚拟化层的安全隔离。通过安全容器，不同容器之间的内核、计算资源、网络都是隔离开的，保护了Pod的资源和数据不被其他Pod抢占和窃取。

产品能力

---

产品基础能力	说明
配额管理	为防止资源滥用，云平台支持设置安全容器相关资源的配额，对各项目的可用资源数量和容量做出限制，配额项包括CPU、内存、存储容量、GPU等
容器负载	支持对部署容器实例的全生命周期管理，包括启动/停止、重新部署、配置更新、历史版本回滚、终端操作、查看监控与日志、删除等操作
弹性伸缩	基于 hpa 能力，根据容器当前使用的cpu，内存压力自动扩缩容
滚动升级	当您通过控制器部署多副本的容器服务时，支持设置自定义滚动更新策略
负载均衡	当您的服务是通过控制器部署时，使用负载均衡可将传入流量分配到您部署中的各个容器实例，当部署发生变化时，平台会自动从负载均衡器中添加和删除实例
GPU调度	提供 Nvidia GPU 设备发现与管理能力，创建容器可指定GPU资源需求，平台将进行自动调度
持久化存储	为在运行过程中需要保存数据的容器提供数据持久化存储，支持普通容量型以及高性能两个存储类型，使用高性能存储类型时需要搭配高性能云存储产品。容器实例在创建时可以添加多个存储卷，并且为每个存储卷指定存储类型和容量，平台将在创建实例时同步创建存储卷并挂载到容器的指定路径

产品特有能力	说明
权限管理	为防止资源误操作，将资源的操作能力和云平台的授权管理服务结合，一体化管理
配额管理	为防止资源滥用，将资源的配额管理能力和云平台的配额管理结合，一体化管理
网络管理	1 支持自定义网络cidr，不同网络cidr可以设置互相访问，或隔离；2 支持FIP/SNAT功能，支持设置出口节点网关；3 支持 network policy功能； 4 支持Cloud Native LB(LB直连Pod)；5 支持高性能独享 ingress-controller，使用 LB 作为ingress-controller 入口
统一计算	和VM、裸机统一网络插件，支持对等连接互访，一体化管理

云产品集成关系

---

集成架构图

集成关系说明

云产品	集成关系
容器镜像服务	创建部署或安全容器服务时需要为容器指定所使用的容器镜像
计算服务	创建安全容器服务集群后平台将自动创建云主机作为集群节点
块存储	块存储为安全容器集群提供持久化存储资源
基础网络服务	为安全容器服务服务提供网络、公网IP、负载均衡等网络资源及相关服务

常用功能介绍

创建安全部署

前置条件

• 已购买并安装了”安全容器服务“
• 在“身份与访问管理”中建立了相关的部门与项目
• 已购买并安装了”计算“与”块存储“并创建了相关资源，并能够保证具有足够的资源配额创建工作负载
• 如工作负载提供公网访问入口，需已购买并安装”网络“云产品，并为对应的项目申请了公网IP
• 如工作负载提供LoadBalancer服务，需已购买并安装“独享型负载均衡服务”云产品

操作步骤

1. 在顶部导航栏选择[产品与服务]-[安全容器服务]-[工作负载]，进入“部署”页面。
2. 在左侧导航栏选择目标命名空间。
3. 单击 创建部署，跳转到“创建部署”页面。
4. 按步骤填写部署配置信息。
5. 单击 确定 完成操作。

创建安全工作负载

前置条件

• 已购买并安装了”安全容器服务“
• 在“身份与访问管理”中建立了相关的部门与项目
• 已购买并安装了”计算“与”块存储“并创建了相关资源，并且已将用于部署容器集群节点的云主机镜像上传至平台中。并能够保证具有足够的资源配额创建部署
• 如部署服务提供公网访问入口，需已购买并安装”网络“云产品，并为对应的项目申请了公网IP
• 如工作负载提供LoadBalancer服务，需已购买并安装“独享型负载均衡服务”云产品

操作步骤

1. 在顶部导航栏选择[产品与服务]-[安全容器服务]-[工作负载]，进入“部署”页面。
2. 在左侧导航栏选择目标命名空间。
3. 单击 创建部署，跳转到“创建部署”页面。
4. 按步骤填写工作负载配置信息。
5. 单击 确定 完成操作。

查看安全容器服务存储卷

前置条件

• 已经创建了安全容器服务持久卷声明。

操作步骤

1. 在顶部导航栏选择[产品与服务]-[安全容器服务]-[存储管理]。
2. 在左侧导航栏选择[存储管理]-[持久卷]，进入“存储管理”页面。
3. 可在列表页查看关联到安全容器服务持久卷声明的存储卷。

---

功能规划 敬请期待

功能	说明
细粒度权限管理	支持灵活配置各个角色的细粒度操作权限