ACID

数据库事务的4个特性，包含原子性（Atomicity）、一致性（Consistency）、隔离性（Isolation）和持久性 （Durability）。

安全（Security）

对某组件开启安全后，组件将接入 Guardian 实现身份统一认证和权限管理。

安全策略（Security Strategy）

由一组 Pod 安全规则组成，用来定义南北向（集群外访问）和东西向（集群内访问）流量规则。

安全区（Security Area）

为数据供需双方提供的多个私密、隔离、安全的数据交付环境。通过网络访问、权限控制、全流程操作审计等安全保障，数据供需双方在隐私计算区内进行数据交易的交付，满足政策合规、数据安全的要求。安全区由一组安全策略组成。

白名单（Allowing list）

用于放行一组 IP 的白名单，白名单中的 IP 可以与被设置的对象互相访问。

编排（Orchestration）

通过 chart 或可视化界面定义出一个应用的过程。

标签（Label）

资源对象上的一系列Key/Value键值对，用于指定对用户有意义的对象的属性，标签对内核系统是没有直接意义的。标签可以在创建一个对象的时候直接赋予，也可以在后期随时修改，每一个对象可以拥有多个标签，但key值必须唯一。

Chart

一个 Chart 就是一个描述一组资源的文件集合，是一个遵循特定规范的目录结构，可被打包成为一个用于部署的版本化归档文件。

CPU

CPU 是集群内的计算资源，需要为容器指定所需的 CPU Request 和 CPU Limit。

超配（Overallocation）

可设置集群资源 CPU、内存、临时存储和持久存储的超配系数，提升集群可分配的资源和实例部署密度，降低业务部署成本。超配系数为 1 代表可分配的资源与集群实际资源相同，超配系数为 2 代表可分配的资源是集群实际资源的 2倍。建议超配仅用于测试环境集群，生产环境不建议。

持久存储（PV）

PV 是集群内的存储资源。PV 独立于 Pod 的生命周期，即 Pod 生命周期结束被 kill 后，其产生的数据仍旧被保留。可根据不同的 StorageClass 类型创建不同类型的 PV。

存储池（Subpool）

存储池为集群内所有的 Subpool，存储池可以由 “逻辑磁盘” 池化而来，或者通过逻辑磁盘划分分区后，再将分区池化为存储池。存储池内可创建 “存储卷”，存储卷包含：持久存储卷（PV）和临时存储卷（tosdisk）。

服务（Service）

Service 定义了一个服务的访问入口地址，前端的应用通过这个入口地址访问其背后的一组由 Pod 副本组成的集群实例，将外部的访问请求负载均衡到后端的各个容器应用上。TDC 通过 SLB 实现了 Service 的负载均衡、外网访问、DNS 服务的搭建、Ingress 7 层路由机制等。

辅集群（Slave Cluster）

联邦集群由一个主集群和若干个辅集群构成。

负载均衡（Load Balance）

负载均衡是在一台服务器无法处理所有入站流量时，将 Web 请求分发到多台服务器的功能。对于每分钟有数千个请求的非常庞大的应用程序而言，负载均衡系统越多越好。

副本（Replica）

可设置 Pod 的副本数量，用来保障 Pod 的高可用性。例如当某个 Pod 挂了，由于存在副本，导致业务可以继续由副本运行提供。

高 IO 组件反亲和调度（High IO PreferredAntiAffinity）

同一个集群上全部租户之间高 IO 组件的 PV 互斥，TDC 集群范围内生效，即租户之间不同的高 IO  服务也是互斥的。互斥规则为 PreferredAntiAffinity，即当集群上没有可用的、相互间不互斥的 PV 时，尽力而为。

工作负载（Workload）

工作负载是在集群上运行的程序，是云形态资源。

工作节点（Worker Node）

工作节点是集群中承担工作负载的节点。工作节点承担 Pod 调度以及与管理节点的通信等。一个工作节点上的服务包括 Docker 运行时环境、kubelet、Kube-Proxy 以及其它一些可选的组件。

共享（Sharing）

对某组件开启共享后，该组件部署后可以在部署其他云产品时，被云产品内的组件引用。共享引用作用的组件必须保证组件名称和版本相同。

共享租户（Shared Tenant）

共享租户内所有开启共享的组件可以被其他租户引用。

管理节点（Master Node）

管理节点是集群的管理者，运行着的服务包括 kube-apiserver、kube-scheduler、kube-controller-manager、etcd 系统组件以及容器网络相关的组件。管理节点也可以用来部署实例。

环境变量（Environment Variable）

环境变量与配置文件的区别在于它是存在集群的“环境”中的，并且支持集群中所有通用的操作调用方式。

集群（Cluster）

集群指容器运行所需要的资源组合，包含服务器节点、负载均衡、专有网络等资源。

计算执行单元（Executor）

Executor 类型 Pod 的副本数，例如 Inceptor Executor。

加密配置文件（Secret）

加密配置文件是一个包含少量敏感信息如密码、令牌或密钥的对象。一些信息可能被保存在容器组定义或者 Docker 镜像中，把这些信息保存在加密的配置文件对象中，可以在这些信息被使用时加以控制，并降低信息泄漏的风险。

角色（Role）

静态资源，角色一般对应一个工作负载，但也会出现角色对应容器的情况，例如 KunDB。

节点（Node）

即服务器，包括虚拟机或裸金属（物理服务器），可以用于部署和管理容器。每个节点都包括处理器、内存、网络连接、硬驱和操作系统（OS）。节点可被添加到一个集群上。集群中的节点数量可以扩缩。

节点独占型租户（Node Exclusive Tenant）

租户独占节点的含义是只允许本租户的实例使用特定节点。当用户所在的租户被设置为独占型租户后，该租户所有的服务都会部署在这些独占型节点上。

镜像（Image）

镜像是一种可读模板，一个独立的文件系统，包括允许容器所需的所有数据，它可以用来创建新的容器，用户可以创建或者更新镜像。

镜像仓库（Registry）

镜像仓库是一个无状态的、易扩展的服务端应用，可以让用户轻松地存储和分发 Docker 镜像。

可信计算（Trust Computing）

为数据分级为 D2 的数据，提供数据交付环境。数据消费方在可信计算的环境里，对提供方数据进行分析和统计，但不能下载数据，只能得到数据计算的结果。可保证数据双方都不泄露自己的数据，数据使用权和所有权隔离，数据可用不可见。

Limit

即运行 Pod 期间，可能 CPU 或内存使用量会增加，那最多能使用多少 CPU 或内存。如 Pod 运行最多不能超过 4G 内存，2核 CPU，那 CPU Limit 需设置为 2c，Memory Limit 需设置为 4G。

联邦集群（Federal Cluster）

联合打通多个集群，在网络，认证，API 多个维度打通了租户和集群之间的隔阂，实现跨集群、跨租户的计算资源管理

联邦学习（Federation Learning）

为数据分级为D3的数据，提供数据交付环境。数据交易双方得不到对方的数据，但可借助对方数据进行联合建模，得到更准确的模型。联邦学习的双方数据都在自己本地，相互之间不传输数据，只传输模型和参数。可保证数据双方都不泄露自己的数据，保证数据不动，模型动。

联邦租户（Federal Tenant）

联邦租户在联邦集群的基础上，可将不同集群内的租户组合成一组联邦租户。

临时存储（TOS Disk）

临时存储一般都会随着 Pod 的的生命周期存在，数据不会持久化，即 Pod 生命周期结束被 kill 后，存储不再保留，数据会丢失。

路由（Ingress）

Ingress 本质是通过 http 代理服务器将外部的 http 请求转发到集群内部的后端服务。

逻辑磁盘（Logic Disk）

逻辑磁盘为物理磁盘 Raid 之后的形成的逻辑盘。逻辑磁盘可以支持池化为 “存储池” 用于创建 “存储卷” 给 POD 进行存储使用，或者进行分区，进行系统数据的存储使用，如：平台日志的存储。

内存（Memory）

内存是集群内的计算资源，需要为容器指定所需的 Memory Request 和 Memory Limit。

Node Selector

Node Selector 是指定 Pod 分配到指定 node 上最简单的方法，使用 Pod 中的 nodeSelector 属性来实现。Node Selector 会指定 key-value pairs，pod 会被分配到特定 node上，该node 具有所有指定 key-value pairs 对应 labels。

Pod

Pod 是运行态最小的基本单位。一个 Pod 封装一个或多个应用容器、存储资源、一个独立的网络IP以及管理控制容器运行方式的策略选项。

配置文件/高级参数（ConfigMap）

配置文件是一种键值对数据，用于保存用户不敏感的信息，ConfigMap 是存储通用的配置变量的，使用户可以将分布式系统中用于不同模块的环境变量统一到一个对象中管理。

Request

即运行 Pod 的节点必须满足运行 Pod 的最基本需求才能运行 Pod。如 Pod 运行至少需要 2G 内存，1核 CPU，那 CPU Request 需设置为 1c，Memory Request 需设置为 2G。

任务（Job）

Job 指运行一次性的任务。可以使用 Job 以并行的方式运行多个 Pod。

容器（Container）

Docker 容器类似于一个目录，一个 Docker 容器包含了运行一个应用所需的所有东西。每个 Docker 容器都是通过一个 Docker 镜像来创建的。Docker 容器可以运行、启动、停止、移动和删除。每个 Docker 容器都是一个被隔离和安全的应用平台。Docker 容器是 Docker 中的可运行的组件。

SLB

基于 LVS 的负载均衡服务，实现基于 Keepalived 的高可用实现浮动 IP，为 TDC 上的实例供对外暴露服务，且能对服务提供负载均衡的能力。

实例（Instance）

TDC 中的实例都是容器化的云产品或应用，容器化云产品或应用运行在一个轻量、安全、可移植的隔离环境中，因此可以与其它有不同依赖和环境需求的应用共同运行在同一个主机环境中。实例可以由多个微服务组成，每个服务都可以暴露可访问的 URL。

守护进程集（DaemonSet）

守护进程集确保全部（或者某些）节点上运行一个Pod。与 Deployment 不同，DaemonSet 会在指定的节点上都部署定义的 Pod，确保这些节点都运行守护进程 Pod。适用集群的日志、监控等部署场景。

弹性伸缩（Autoscaling）

弹性伸缩是根据业务需求和策略，经济地自动调整弹性计算资源的管理服务。提高集群资源的复用率，降低租户资源使用成本。TDC 提供了基于 CPU 负载的弹性伸缩和基于时间的弹性伸缩两种能力，一旦到达设定的规则，Pod 的 executor 数量就会按规则自动增加或减少。

Warp 有状态工作负载(Warp StatefulSet)

增强版有状态工作负载。

网络可用区（Network Availability Zone）

一个二层网络代表一个网络可用区，每个 AZ 中都会部署一套 Keep Alived Agent，VIP 可以和相应节点绑定，从而可以做到外部流量不只是通过 master 节点进来，提高了集群处理外部流量的能力，也提高了可用性（分散到不同节点）。

无状态工作负载（Deployment）

无状态工作负载表示对集群的一次更新操作。适用于运行完全独立、功能相同应用的场景。

项目（Project）

租户内实例、人员等资源隔离的单位，项目之间的实例是相互隔离的，支持项目内成员协作。

依赖（Dependency）

大数据组件之间往往存在依赖关系，例如 inceptor 依赖 hdfs。当组件和组件之间形成依赖时，TDC 会将依赖涉及的参数配置自动注入。

引用（Reference）

在部署云产品时，可对某组件设置引用组件，一旦引用该组件的资源不会重复计算，适用于数据共享场景和节省公共组件资源需求。共享引用作用的组件必须保证组件名称和版本相同。

应用（Application）

应用是系统提供的快速部署服务的应用编排，系统可以从互联网获取丰富的应用模板，同时用户可以创建自定义的应用，应用对应一个 chart。

有状态工作负载（StatefulSet）

有状态工作负载支持应用部署、扩容、滚动升级时有序进行。如果希望使用存储卷为工作负载提供持久存储，可以使用 StatefulSet 作为解决方案的一部分。

云产品（Cloud Product）

云产品是系统提供的快速部署服务的应用编排，包含大数据、数据库、人工智能等类型云产品。同时用户可以创建自定义的云产品。

运行态组件（Release）

实例内包含运行态组件，运行态组件包含不同类型工作负载，工作负载包含 Pod，Pod 包含容器。

主集群（Master Cluster）

联邦集群由一个主集群和若干个辅集群构成。

主租户（Master Tenant）

联邦租户由一个主租户和若干个租户成员构成。

租户（Tenant）

集群、云产品、应用、实例、人员等资源隔离的单位，支持租户内成员协作。

租户配额（Tenant Resource Quota）

租户可使用的资源上限，对应 ResourceQuota 中 Hard 值，包含计算资源配额（CPU&Memory），存储资源配额（持久存储）和对象数量配额（Pod）。

组件（Component）

静态资源，组成云产品的一组资源，也是云产品部署为实例后，对应实例中 release 的资源。例如数据湖中包含组件 Quark、hdfs、metastore 等。