简介 欢迎使用 虚拟专用网络 （VPN）管理员指南，该指南可以帮助您配置本地的VPN设备，实现您本地网络与华为云VPC子网的互联互通。 VPN连接将您的数据中心或（或网络）连接到您的VPC，对端网关指用户端使用的定位标记，它可以是物理或软件设备。详细配置示例请参见： 示例：HUAWEI USG6600配置 示例：Fortinet飞塔防火墙VPN配置 示例：深信服防火墙配置 示例：使用TheGreenBow IPsec VPN Client配置云上云下互通 示例：使用OpenSwan配置云上云下互通 示例：使用StrongSwan配置云上云下互通 示例：Web配置华为USG防火墙 父主题： 站点入云VPN经典版

操作步骤 根据Windows操作系统下载Easy-RSA安装包至“D:\”目录下。 Windows 32位操作系统，可以下载EasyRSA-3.1.7-win32.zip。 Windows 64位操作系统，可以下载EasyRSA-3.1.7-win64.zip。 此处以安装EasyRSA-3.1.7-win64为示例。 解压缩“EasyRSA-3.1.7-win64.zip”至指定目录，如“D:\EasyRSA-3.1.7”。 进入“D:\EasyRSA-3.1.7”目录。 在地址栏中输入cmd并按回车键，打开命令行窗口。 执行“.\EasyRSA-Start.bat”命令，运行Easy-RSA。 系统显示如下类似信息： Welcome to the EasyRSA 3 Shell for Windows. Easy-RSA 3 is available under a GNU GPLv2 license. Invoke './easyrsa' to call the program. Without commands, help is displayed. EasyRSA Shell # 执行“./easyrsa init-pki”命令，初始化PKI环境。 系统显示如下类似信息： Notice ------ 'init-pki' complete; you may now create a CA or requests. Your newly created PKI dir is: * D:/EasyRSA-3.1.7/pki Using Easy-RSA configuration: * undefined EasyRSA Shell # 执行命令后，在“D:\EasyRSA-3.1.7”的目录下自动生成了“pki”的文件夹。 配置变量参数。 将“D:\EasyRSA-3.1.7”目录下的“vars.example”文件复制到“D:\EasyRSA-3.1.7\pki”目录下。 将“D:\EasyRSA-3.1.7\pki”目录下的“vars.example”重命名为“vars”。 默认按“vars.example”中描述的参数值进行配置。如需自定义参数值，按需设置“vars”文件的参数值。 生成服务端CA证书认证及其私钥。 复制解压缩后的“EasyRSA-3.1.7”文件夹至“D:\”目录下，并重命名，如“EasyRSA-3.1.7 - server”。 进入“D:\EasyRSA-3.1.7 - server”目录。 在“D:\EasyRSA-3.1.7 - server”的文件夹中，地址栏中输入cmd并按回车键，打开命令行窗口。 执行“.\EasyRSA-Start.bat”命令，运行Easy-RSA。 系统显示如下类似信息： Welcome to the EasyRSA 3 Shell for Windows. Easy-RSA 3 is available under a GNU GPLv2 license. Invoke './easyrsa' to call the program. Without commands, help is displayed. EasyRSA Shell # 执行“./easyrsa build-ca nopass”命令，生成服务端CA证书。 此命令生成中，[Easy-RSA CA]需要设置服务端CA证书名称，例如：p2cvpn_server.com。 系统显示如下类似信息： Using Easy-RSA 'vars' configuration: * D:/EasyRSA-3.1.7 - server/pki/vars Using SSL: * openssl OpenSSL 3.1.2 1 Aug 2023 (Library: OpenSSL 3.1.2 1 Aug 2023) ..+.....+...+..........+..+.......+..+..........+...+...+..+......+.......+...+++++++++++++++++++++++++++++++++++++++*.+++++++++++++++++++++++++++++++++++++++*..........+...........+...+......++++++ .......+.......+...+......+...+.....+...+...+++++++++++++++++++++++++++++++++++++++*......+.....+....+..+....+......+...+......+...+......+.....+.+++++++++++++++++++++++++++++++++++++++*.......+......+.......+..............+.+...+.....+....+........+.........+....+..+............+.+.....+....+...+...+...........+.+..+.+.........+.....+...+..................+.......+..+.......+.....+..........+......+..+.+.....+.+.....+....+.....+.......+...+.........+..+......+...+.......+...+.........+......+......+...........+....+......+...+..+...+......+...+.+.....+.......+..+.......+...+...+..+.............+........+.........+.+.........+........+....+.........+.....+.........+................+.....+.+........+.......+.....+.+........+....+..+...+..........+..+......+...+.........+................+......+.....+....+......+......+............+..+......+...+.......+.................+.+......+......+..+.+...........+.........+.........+.+......++++++ ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Common Name (eg: your user, host, or server name) [Easy-RSA CA]:p2cvpn_server.com //设置服务端CA证书名称 Notice ------ CA creation complete. Your new CA certificate is at: * D:/EasyRSA-3.1.7 - server/pki/ca.crt EasyRSA Shell # 查看服务端CA证书及其私钥。 生成的服务端CA证书默认存放在“D:\EasyRSA-3.1.7 - server\pki”目录下。 本示例中生成的服务端证书为“ca.crt”。 生成的服务端CA私钥默认存放在“D:\EasyRSA-3.1.7 - server\pki\private”目录下。 本示例中生成的服务端私钥为“ca.key”。 执行 “./easyrsa build-server-full p2cserver.com nopass”命令，生成服务端证书及其私钥。 此命令中，“p2cserver.com”为服务端证书的CN，必须是 域名 格式，否则无法正常托管到 云证书管理服务 。请根据实际填写。 系统显示如下类似信息： Using Easy-RSA 'vars' configuration: * D:/EasyRSA-3.1.7 - server/pki/vars Using SSL: * openssl OpenSSL 3.1.2 1 Aug 2023 (Library: OpenSSL 3.1.2 1 Aug 2023) .+.+......+...+.....+......+...+.......+.....+.+...+..+...+....+.....+......+++++++++++++++++++++++++++++++++++++++*....+..+....+++++++++++++++++++++++++++++++++++++++*................+.......+..+.+..+...+......+.............+...+...+.........+........+.........+...+......+.+...+...+........+....+.....+.+............+.....+...+....+...........+....+..+......+.............+.........+........+...+.+......+.....+.......+......+.....+.+.....+....+.........+...+..+............+.+........+.........+.+..+.........+......+...+....+......+.....+....+......+.....+......+.............+...+........+.+.....+.+....................+.......+.....+.+..+.......+...++++++ ......+.....+...+.+.........+..+.+..+...+++++++++++++++++++++++++++++++++++++++*.......+...+........+....+...+..+...+++++++++++++++++++++++++++++++++++++++*..+.........+...+.......+......+.................+...+...+............+...+....+........+.........+..........+......+...+...........+.+..+............+.+........+....+...........+....+...........+......+.............+......+.....++++++ ----- Notice ------ Private-Key and Public-Certificate-Request files created. Your files are: * req: D:/EasyRSA-3.1.7 - server/pki/reqs/p2cserver.com.req * key: D:/EasyRSA-3.1.7 - server/pki/private/p2cserver.com.key You are about to sign the following certificate: Request subject, to be signed as a server certificate for '825' days: subject= commonName = p2cserver.com Type the word 'yes' to continue, or any other input to abort. Confirm request details: yes //输入“yes”以继续 Using configuration from D:/EasyRSA-3.1.7 - server/pki/openssl-easyrsa.cnf Check that the request matches the signature Signature ok The Subject's Distinguished Name is as follows commonName :ASN.1 12:'p2cserver.com' Certificate is to be certified until Oct 6 03:28:14 2026 GMT (825 days) Write out database with 1 new entries Database updated Notice ------ Certificate created at: * D:/EasyRSA-3.1.7 - server/pki/issued/p2cserver.com.crt Notice ------ Inline file created: * D:/EasyRSA-3.1.7 - server/pki/inline/p2cserver.com.inline EasyRSA Shell # 查看服务端证书及其私钥。 生成的服务端证书默认存放在“D:\EasyRSA-3.1.7 - server\pki\issued”目录下的“issued”文件夹中。 本示例中生成的服务端证书为“p2cserver.com.crt”。 生成的服务端私钥默认存放在“D:\EasyRSA-3.1.7 - server\pki\private”目录下的“private”文件夹中。 本示例中生成的服务端私钥为“p2cserver.com.key”。 生成客户端CA证书认证及其私钥。 复制解压缩后的“EasyRSA-3.1.7”文件夹至“D:\”目录下，并重命名，如“EasyRSA-3.1.7 - client” 进入“EasyRSA-3.1.7 - client”目录。 在“EasyRSA-3.1.7 - client”的文件夹中，地址栏中输入cmd并按回车键，打开命令行窗口。 执行“.\EasyRSA-Start.bat”命令，运行Easy-RSA。 系统显示如下类似信息： Welcome to the EasyRSA 3 Shell for Windows. Easy-RSA 3 is available under a GNU GPLv2 license. Invoke './easyrsa' to call the program. Without commands, help is displayed. EasyRSA Shell # 执行“ ./easyrsa build-ca nopass”命令，生成客户端CA证书。 系统显示如下类似信息： Using Easy-RSA 'vars' configuration: * D:/EasyRSA-3.1.7 - client/pki/vars Using SSL: * openssl OpenSSL 3.1.2 1 Aug 2023 (Library: OpenSSL 3.1.2 1 Aug 2023) .+++++++++++++++++++++++++++++++++++++++*.....+.+..+...+....+.....................+..+...+....+.........+.....+......+.+.....+....+++++++++++++++++++++++++++++++++++++++*....+...+...+...+............+.........++++++ .+.........+.........+.+......+...........+....+.....+.........+....+..+...+.+.........+......+......+...+.....+......+......+..........+++++++++++++++++++++++++++++++++++++++*.+.........+......+.+++++++++++++++++++++++++++++++++++++++*...........+................+..............+.........+.+...+.....................+..+....+.....+..........+...+...+..+.++++++ ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Common Name (eg: your user, host, or server name) [Easy-RSA CA]:p2cvpn_client.com //设置客户端CA证书名称 Notice ------ CA creation complete. Your new CA certificate is at: * D:/EasyRSA-3.1.7 - client/pki/ca.crt EasyRSA Shell # 查看客户端CA证书及其私钥。 生成的客户端CA证书默认存放在“D:\EasyRSA-3.1.7 - client\pki”目录下。 本示例中生成的客户端证书为“ca.crt”。 生成的客户端CA私钥默认存放在“D:\EasyRSA-3.1.7 - client\pki\private”目录下。 本示例中生成的客户端私钥为“ca.key”。 执行“./easyrsa build-client-full p2cclient.com nopass”命令，生成客户端证书及其私钥。 此命令中，客户端证书的命名（如“p2cclient.com”）应与服务端证书的命名（如“p2cserver.com”）不一致。 系统显示如下类似信息： Using Easy-RSA 'vars' configuration: * D:/EasyRSA-3.1.7 - client/pki/vars Using SSL: * openssl OpenSSL 3.1.2 1 Aug 2023 (Library: OpenSSL 3.1.2 1 Aug 2023) .+++++++++++++++++++++++++++++++++++++++*.........+.....+...+.+........+.+.....+.........+.+......+.....+++++++++++++++++++++++++++++++++++++++*..........+...+...+..+.......+...+..+.+.........+.....+.+..+.+....................+......+...............+.............+......+..+....+...+......+..+....+.....+.........+................+...+...+.....+....+.........++++++ .+..+..........+.........+++++++++++++++++++++++++++++++++++++++*...+..+++++++++++++++++++++++++++++++++++++++*.......+...............+......+.........+..............+....+.....+...+..................+....+...+........+....+.....+.+.....+...............++++++ ----- Notice ------ Private-Key and Public-Certificate-Request files created. Your files are: * req: D:/EasyRSA-3.1.7 - client/pki/reqs/p2cclient.com.req * key: D:/EasyRSA-3.1.7 - client/pki/private/p2cclient.com.key You are about to sign the following certificate: Request subject, to be signed as a client certificate for '825' days: subject= commonName = p2cclient.com Type the word 'yes' to continue, or any other input to abort. Confirm request details: yes Using configuration from D:/EasyRSA-3.1.7 - client/pki/openssl-easyrsa.cnf Check that the request matches the signature Signature ok The Subject's Distinguished Name is as follows commonName :ASN.1 12:'p2cclient.com' Certificate is to be certified until Oct 7 11:19:52 2026 GMT (825 days) Write out database with 1 new entries Database updated Notice ------ Certificate created at: * D:/EasyRSA-3.1.7 - client/pki/issued/p2cclient.com.crt Notice ------ Inline file created: * D:/EasyRSA-3.1.7 - client/pki/inline/p2cclient.com.inline EasyRSA Shell # 查看客户端证书和私钥。 生成的客户端证书默认存放在“D:\EasyRSA-3.1.7 - client\pki\issued”目录下。 本示例中生成的客户端证书为“p2cclient.com.crt”。 生成的客户端私钥默认存放在“D:\EasyRSA-3.1.7 - client\pki\private”目录下。 本示例中生成的客户端私钥为“p2cclient.com.key”。

操作步骤 根据Windows操作系统下载Easy-RSA安装包至“D:\”目录下。。 Windows 32位操作系统，可以下载EasyRSA-3.1.7-win32.zip。 Windows 64位操作系统，可以下载EasyRSA-3.1.7-win64.zip。 此处以安装EasyRSA-3.1.7-win64为示例。 解压缩“EasyRSA-3.1.7-win64.zip”至指定目录，如“D:\EasyRSA-3.1.7”。 进入“D:\EasyRSA-3.1.7”目录。 在地址栏中输入cmd并按回车键，打开命令行窗口。 执行“.\EasyRSA-Start.bat”命令，运行Easy-RSA。 系统显示如下类似信息： Welcome to the EasyRSA 3 Shell for Windows. Easy-RSA 3 is available under a GNU GPLv2 license. Invoke './easyrsa' to call the program. Without commands, help is displayed. EasyRSA Shell # 执行“./easyrsa init-pki”命令，初始化PKI环境。 系统显示如下类似信息： Notice ------ 'init-pki' complete; you may now create a CA or requests. Your newly created PKI dir is: * D:/EasyRSA-3.1.7/pki Using Easy-RSA configuration: * undefined EasyRSA Shell # 执行命令后，在“D:\EasyRSA-3.1.7”的目录下自动生成了“pki”的文件夹。 配置变量参数。 将“D:\EasyRSA-3.1.7”目录下的“vars.example”文件复制到“D:\EasyRSA-3.1.7\pki”目录下。 将“D:\EasyRSA-3.1.7\pki”目录下的“vars.example”重命名为“vars”。 默认按“vars.example”中描述的参数值进行配置。如需自定义参数值，按需设置“vars”文件的参数值。 执行“ ./easyrsa build-ca nopass”命令，生成CA证书。 系统显示如下类似信息： Using Easy-RSA 'vars' configuration: * D:/EasyRSA-3.1.7/pki/vars Using SSL: * openssl OpenSSL 3.1.2 1 Aug 2023 (Library: OpenSSL 3.1.2 1 Aug 2023) .....+..+.............+......+........+...+...+....+++++++++++++++++++++++++++++++++++++++*.+.+.....+..........+............+...+++++++++++++++++++++++++++++++++++++++*............+.....+......+...+....+..+..........+.....+....+...............+..+.........+.............+......+..+...+....+..+.+.........+.....+.........+....+............+...+...+.....+........................+...+.+.....+....+...+.........+...+...+...+.....+......+........................++++++ .+++++++++++++++++++++++++++++++++++++++*.........+..........+++++++++++++++++++++++++++++++++++++++*.+......++++++ ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Common Name (eg: your user, host, or server name) [Easy-RSA CA]:p2cvpn.com //设置CA证书名称 Notice ------ CA creation complete. Your new CA certificate is at: * D:/EasyRSA-3.1.7/pki/ca.crt EasyRSA Shell # 查看CA证书及其私钥。 生成的CA证书默认存放在“D:\EasyRSA-3.1.7\pki”目录下。 本示例中生成的证书为“ca.crt”。 生成的CA私钥默认存放在“D:\EasyRSA-3.1.7\pki\private”目录下。 本示例中生成的私钥为“ca.key”。 执行 “./easyrsa build-server-full p2cserver.com nopass”命令，生成服务端证书及其私钥。 此命令中，“p2cserver.com”为证书的CN，必须是域名格式，否则无法正常托管到 云证书管理 服务,请根据实际填写。 系统显示如下类似信息： Using Easy-RSA 'vars' configuration: * D:/EasyRSA-3.1.7/pki/vars Using SSL: * openssl OpenSSL 3.1.2 1 Aug 2023 (Library: OpenSSL 3.1.2 1 Aug 2023) .+............+........+............+............+.+...............+.....+....+....................+............+.+..+......+............+....+.........+..+.........+.+.........+..............+.........+++++++++++++++++++++++++++++++++++++++*...+......+.....+......+...+++++++++++++++++++++++++++++++++++++++*..+...+..........+......+...........+....+......+.....+....+.....+....+........+...+.......+...+..+.......+..+......+.............+..+....+......+...+.....+................+......+..+.............+..+................+.....+......+....+...........+....+.....+.........+.+..+.............+...........+..........+......+........+............+...+....+..+......+......................+.....+......+.+...+..+...+.+......+........+...+....+.....+......+....+...+..+................+..+...+.......+..+......+..........+.........+...+..+.........+......+......++++++ ........+.+......+...+......+.....+...+.+.....+.+........+......+++++++++++++++++++++++++++++++++++++++*...+.....+...+.+.........+......+........+++++++++++++++++++++++++++++++++++++++*......+........+.+...+.....+.+..............+.+.....+.+...+...+.....+.......+.................+.+............+..+......+...+....+...+..+.+.....+.....................+.+..+.+...................................+....+........+.............+.....+....+.....+...+..........+........+.+.....+...+.............+........+....+......+.....+.......+..+............+.........+.+......+...+...............+......+...........+............+.......+...........+.......+...............+......+.................+...+.+...+..+...+.+..........................+.+.........+......+............+..+....+..+....+........+.......+........+...+...+.+...+...+..+...............+...+..........+..+.......+.........+.....+.........+................+......+...+......+.....+.......+...+..............+.+.....+.+...+...........+.+...+...+...+............+..+.......+...........+.......+...+...+...........+.....................+...+....+...........+............+...+......+..........+........+.+.....+....+.....+.+..+..........+..............+...+......+.+...+...........+.+......+...++++++ ----- Notice ------ Private-Key and Public-Certificate-Request files created. Your files are: * req: D:/EasyRSA-3.1.7/pki/reqs/p2cserver.com.req * key: D:/EasyRSA-3.1.7/pki/private/p2cserver.com.key You are about to sign the following certificate: Request subject, to be signed as a server certificate for '825' days: subject= commonName = p2cserver.com Type the word 'yes' to continue, or any other input to abort. Confirm request details: yes //输入“yes”以继续 Using configuration from D:/EasyRSA-3.1.7/pki/openssl-easyrsa.cnf Check that the request matches the signature Signature ok The Subject's Distinguished Name is as follows commonName :ASN.1 12:'p2cserver.com' Certificate is to be certified until Sep 22 09:56:54 2026 GMT (825 days) Write out database with 1 new entries Database updated Notice ------ Certificate created at: * D:/EasyRSA-3.1.7/pki/issued/p2cserver.com.crt Notice ------ Inline file created: * D:/EasyRSA-3.1.7/pki/inline/p2cserver.com.inline EasyRSA Shell # 查看服务端证书及其私钥。 生成的服务端证书默认存放在“D:\EasyRSA-3.1.7\pki\issued”目录下。 本示例中生成的证书为“p2cserver.com.crt”。 生成的服务端私钥默认存放在“D:\EasyRSA-3.1.7\pki\private”目录下。 本示例中生成的私钥为“p2cserver.com.key”。 执行“ ./easyrsa build-client-full p2cclient.com nopass”命令，生成客户端证书及其私钥。 此命令中，客户端证书的命名（如“p2cclient.com”）应与服务端证书的命名（如“p2cserver.com”）不一致。 系统显示如下类似信息： Using Easy-RSA 'vars' configuration: * D:/EasyRSA-3.1.7/pki/vars Using SSL: * openssl OpenSSL 3.1.2 1 Aug 2023 (Library: OpenSSL 3.1.2 1 Aug 2023) .......+++++++++++++++++++++++++++++++++++++++*...+...+...+.....+...+....+......+......+........+.+.....+............+++++++++++++++++++++++++++++++++++++++*.+.....+.+.....+.........+.......+..+...+.......+...+..+......+.+......+........+....+...+...+..+.......+......+.....+..........+...........+....+......+.....+.........+......+.+..+...+..........+........+......+....+......+...........+.......+.....+.............+..+.+...........+..........+...+..+.........+......+.+........+.........+.+...............+..+..........+...+............+...+.....+.+...........+....+.....+.........+....+.......................+....+...+..+....+..+.......+...+............+.....+............+.+........+.......+.....+....+.........+..+............+..........+..+.............+...+...+..++++++ ..+.....+.......+.....+.........+....+++++++++++++++++++++++++++++++++++++++*.....+......+..+++++++++++++++++++++++++++++++++++++++*.......+.+.....+....+.........+...+.....+.........+...+...............+...+....+.....+.+...+......+......+...+.........+..+...+...+....+.........+..+...+...................+......+.....+.+...+...+.........+.....+..................+...+...+......+.+..+......+.+......+.....+...+..........+..+............+.......+.........+.....+......+.+..+............+................+..+...+....+......+.....+...+....+..+......+.........+.........++++++ ----- Notice ------ Private-Key and Public-Certificate-Request files created. Your files are: * req: D:/EasyRSA-3.1.7/pki/reqs/p2cclient.com.req * key: D:/EasyRSA-3.1.7/pki/private/p2cclient.com.key You are about to sign the following certificate: Request subject, to be signed as a client certificate for '825' days: subject= commonName = p2cclient.com Type the word 'yes' to continue, or any other input to abort. Confirm request details: yes //输入“yes”以继续 Using configuration from D:/EasyRSA-3.1.7/pki/openssl-easyrsa.cnf Check that the request matches the signature Signature ok The Subject's Distinguished Name is as follows commonName :ASN.1 12:'p2cclient.com' Certificate is to be certified until Sep 22 09:58:26 2026 GMT (825 days) Write out database with 1 new entries Database updated Notice ------ Certificate created at: * D:/EasyRSA-3.1.7/pki/issued/p2cclient.com.crt Notice ------ Inline file created: * D:/EasyRSA-3.1.7/pki/inline/p2cclient.com.inline EasyRSA Shell # 查看客户端证书及其私钥。 生成的客户端证书默认存放在“D:\EasyRSA-3.1.7\pki\issued”目录下。 本示例中生成的证书为“p2cclient.com.crt”。 生成的客户端私钥默认存放在“D:\EasyRSA-3.1.7\pki\private”目录下。 本示例中生成的私钥为“p2cclient.com.key”。

检查防火墙路由表 确认存在目标地址为华为云VPC子网的路由信息： 确认配置去往华为云目标网络的路由信息，路由表或VPN路由表中存在路由信息。 确认路由转发表状态正常。 路由易错配置： 目的网段与华为云VPC网段不一致，导致前往华为云的流量无法路由到配置IPsec策略的公网口。 配置静态路由时指定出接口，而非指定下一跳。 在ethernet类型的网络中，出接口会因为无法学习到对端的ARP信息而导致路由转发失败。 将路由的下一跳地址指定为华为云端的VPN网关地址。 部分友商设备会因为路由信息无法自动迭代而不可行；由于VPN流量是要从公网口发出的，因此下一跳地址必须是运营商提供的网关地址。

数据库账号权限要求 在使用DRS进行迁移时，连接源库和目标库的数据库账号需要满足以下权限要求，才能启动实时迁移任务。不同类型的迁移任务，需要的账号权限也不同，详细可参考表2进行赋权。DRS会在“预检查”阶段对数据库账号权限进行自动检查，并给出处理建议。 表2 数据库账号权限 类型名称 全量迁移 全量+增量迁移 源数据库连接账号 需要具备如下最小权限： SELECT、SHOW VIEW、EVENT。 用户迁移时，如果源数据库为8.0版本，需要有mysql.user表的SELECT权限；如果为5.7及以下版本，则需要mysql系统库的SELECT权限，源数据库为阿里云数据库，则账户需要同时具有mysql.user和mysql.user_view的SELECT权限。 需要具备如下最小权限： SELECT、SHOW VIEW、EVENT、LOCK TABLES、REPLICATION SLAVE、REPLICATION CLIENT。 用户迁移时，如果源数据库为8.0版本，需要有mysql.user表的SELECT权限；如果为5.7及以下版本，则需要mysql系统库的SELECT权限，源数据库为阿里云数据库，则账户需要同时具有mysql.user和mysql.user_view的SELECT权限。当源数据库为8.0.2及以上版本时，还需要授予XA_RECOVER_ADMIN权限，以防启动时未提交的XA事务导致数据有损。 目标数据库连接账号 需要具备如下最小权限： SELECT、CREATE、ALTER、DROP、DELETE、INSERT、UPDATE、INDEX、EVENT、CREATE VIEW、CREATE ROUTINE、TRIGGER、REFEREN CES 、WITH GRANT OPTION。当目标库为8.0.14-8.0.18版本时，还需要有SESSION_VARIABLES_ADMIN权限。 用户迁移时，需要有mysql库的SELECT、INSERT、UPDATE、DELETE权限。 建议创建单独用于DRS任务连接的数据库账号，避免因为数据库账号密码修改，导致的任务连接失败。 连接源和目标数据库的账号密码修改后，请参考修改连接信息章节修改DRS任务的连接信息，避免任务连接失败后自动重试，导致数据库账号被锁定影响使用。 表2中为DRS任务所需的最小权限，如果需要DRS任务迁移grant授权的情况下，请确保DRS任务的连接账号本身具备对应权限，否则可能因为grant授权执行失败导致目标库对应用户缺少授权。例如DRS任务的连接账号本身不要求process权限，如果需要通过DRS任务迁移process授权则需要保证DRS任务的连接账号具备该权限。

支持的迁移对象范围 在使用DRS进行迁移时，不同类型的迁移任务，支持的迁移对象范围不同，详细情况可参考表3。DRS会根据用户选择，在“预检查”阶段对迁移对象进行自动检查。 表3 支持的迁移对象 类型名称 使用须知 迁移对象范围 支持选择表级、库级或实例级（全部迁移）。 支持数据库、表、用户、视图、索引、约束、函数、存储过程、触发器（TRIGGER）和事件（EVENT）的迁移。 仅支持MyISAM和InnoDB表的迁移。 不支持系统库的迁移以及事件状态的迁移。 不支持宽松模式可以写入但严格模式下无法写入的非标浮点类型的数据的迁移，这种非标浮点类型数据可能会有无法命中的风险导致数据迁移失败。 全量和增量迁移不支持隐藏列（INVISIBLE），隐藏列是MySQL 8.0.23开始支持的特性，例如： CREATE TABLE `test11` ( `id` int NOT NULL, `c1` int DEFAULT NULL /*!80023 INVISIBLE */, PRIMARY KEY (`id`));

支持的同步对象范围 在使用DRS进行同步时，不同类型的同步任务，支持的同步对象范围不同，详细情况可参考表3。DRS会根据用户选择，在“预检查”阶段对同步对象进行自动检查。 表3 支持的同步对象 类型名称 使用须知 同步对象范围 全量同步时支持表、普通索引、主键与唯一约束、数据的同步。增量同步时支持表的实时同步。 全量阶段不支持bfile，xmltype、sdo_geometry、urowid和自定义类型。增量阶段不支持XMLTYPE、bfile，xmltype、sdo_geometry、urowid、interval year to month、interval day to second和自定义类型。 timestamp和interval day to second类型支持的最大精度是6。 全量同步结构不支持位图索引、倒排索引、函数索引。 增量同步LOB类型仅支持BasicFiles属性，不支持SecureFiles属性，支持的LOB类型大小限10M以内。 对于TIMESTAMP WITH TIME ZONE类型，根据目标库时区做转换后不得大于“9999-12-31 23:59:59.999999”。 不支持默认值含有表达式的函数的表的同步。 不支持同步源库中的临时表。 不支持同步源库中有虚拟列的表。 不支持同步既是无主键表，又是分区表的自建表，可能会导致任务失败。

使用须知 为了确保录制回放任务各个阶段的平顺，在创建任务前，请务必阅读以下使用须知。 表2 使用须知 类型名称 使用和操作限制 任务启动前须知 源数据库要求： 目前支持源数据库为自建MySQL或者其他云MySQL（如RDS，POLARDB等），可以开启并能够导出审计日志或者洞察日志的实例。 源数据库已完成SQL流量文件录制，并且上传到华为云OBS桶内，DRS任务从OBS桶获取相应的流量文件。 目标数据库要求： 目前仅支持目标数据库为RDS for MySQL。 目前仅支持目标数据库版本等于或高于源数据库版本。 目标数据库已构建基线数据，基线数据应尽量还原源数据库录制流量文件时的真实状态，基线数据越接近，录制回放越真实。 流量文件要求： 流量文件SQL内容包含内容分隔符时，可能存在解析异常导致任务回放失败。 流量文件必须保证全量SQL结构完整，如果用户提供的审计日志中SQL被截断，可能会出现解析异常的情况。 流量文件单条SQL大小不能超过1MB。 事务中穿插了其他语句可能会导致死锁。 上传的流量文件仅支持.gz和.zip的压缩格式。 其他使用须知： 源数据库和目标数据库的配置参数不一致（例如：innodb_buffer_pool_size，sqlmode等），可能会导致回放进度慢或失败等情况。 再编辑操作如果删除或者新增了流量文件，需要在重置任务时勾选解析重置，再重新进行回放，可参考重置回放任务。 流量回放过程为并发执行，DDL语句和DML语句在同一个batch（10s）内，可能存在顺序打乱执行的情况。 解析阶段须知 解析文件选择完成后，不支持文件重命名操作。 回放阶段须知 回放SQL类型要求：目前仅支持SELECT、INSERT、DELETE、UPDATE、DDL。 结束任务须知 已结束的任务无法再次启动。

响应消息 响应参数 返回状态码为 200: successful operation。 表7 响应Body参数列表 名称 类型 描述 vpn_gateway ResponseVpnGateway object vpn_gateway对象。 request_id String 请求ID。 表8 ResponseVpnGateway 名称 类型 描述 id String 功能说明：VPN网关ID。 格式：36位UUID。 name String 功能说明：VPN网关名称。 取值范围：1-64个字符，包括数字、英文字母、中文(\u4e00 - \u9fa5)、_(下划线)、-(中划线)。 network_type String 功能说明：VPN网关网络类型。 取值范围：public，private。 默认值：public。 attachment_type String 功能说明：关联模式。 取值范围：vpc，er。 certificate_id String 功能说明：证书ID。 格式：36位UUID。 er_id String VPN网关所连接的ER实例的ID。仅当attachment_type为er时返回。 vpc_id String 当attachment_type为vpc时，vpc_id是VPN网关关联的业务VPC的ID。 当attachment_type为er时，vpc_id是VPN网关的接入VPC的ID。 local_subnets Array of String 本端子网。本端子网是云上子网，该网段需要通过VPN与用户侧网络进行互通。单个网段格式示例：192.168.52.0/24。仅当attachment_type为vpc时返回。 connect_subnet String VPN网关所使用的VPC中的一个子网ID。 bgp_asn Long VPN网关的BGP自治域编号。 flavor String 功能说明：VPN网关的规格类型: 取值范围： Basic：最大转发带宽100Mbps。 Professional1：最大转发带宽300Mbps。 Professional1-NonFixedIP：最大转发带宽300Mbps。 Professional2：最大转发带宽1Gbps。 Professional2-NonFixedIP：最大转发带宽1Gbps。 GM：最大转发带宽500Mbps。 availability_zone_ids Array of String 部署VPN网关的可用区。当指定了可用区时则返回；当未指定可用区时，在VPN网关的状态为ACTIVE时返回。 connection_number Integer VPN网关下的最大VPN连接数。 used_connection_number Integer VPN网关下当前已经使用的VPN连接数。 used_connection_group Integer VPN网关下当前已经使用的VPN连接组个数。同一用户网关入云的两条连接组成一个连接组。VPN网关默认支持10个免费的VPN连接组。 enterprise_project_id String 功能说明：企业项目ID。 格式：36位UUID。创建时不传则返回"0"，表示资源属于default企业项目。 注："0"并不是真实存在的企业项目ID。 eip1 ResponseEip object 双活VPN网关表示使用的第一个EIP，主备VPN网关表示主EIP。在VPN网关的状态为ACTIVE时返回。 eip2 ResponseEip object 双活VPN网关表示使用的第二个EIP，主备VPN网关表示备EIP。在VPN网关的状态为ACTIVE时返回。 created_at String 创建时间。在VPN网关的状态为ACTIVE时返回。 UTC时间格式：yyyy-MM-ddTHH:mm:ssZ。 updated_at String 最后一次更新时间。在VPN网关的状态为ACTIVE时返回。 UTC时间格式：yyyy-MM-ddTHH:mm:ssZ。 access_vpc_id String 功能说明：VPN网关使用的接入VPC ID。 格式：36位UUID。 access_subnet_id String 功能说明：VPN网关使用的接入VPC中的子网ID。 格式：36位UUID。 access_private_ip_1 String 私网类型VPN网关的接入私网IP，VPN网关使用该私网IP与对端网关建连。双活网关表示使用的第一个私网地址，主备表示主私网地址。 示例：192.168.52.9。仅当network_type为private时返回。 access_private_ip_2 String 私网类型VPN网关的接入私网IP，VPN网关使用该私网IP与对端网关建连。双活网关表示使用的第二个私网地址，主备表示备私网地址。 示例：192.168.52.9。仅当network_type为private时返回。 ha_mode String 功能说明：网关的HA模式，"active-active"表示双活，"active-standby"表示主备。 取值范围：active-active，active-standby。 policy_template PolicyTemplate object 非固定IP接入VPN网关的策略模板配置，只有在规格为非固定IP接入VPN网关时返回。 tags Array of VpnResourceTag objects 标签列表。 表9 ResponseEip 名称 类型 描述 id String 功能说明：EIP的ID。 格式：36位UUID。当使用默认企业项目时返回"0"。 ip_version Integer 功能说明：EIP版本。 取值范围：4。 ip_billing_info String 功能说明：EIP的订单信息。包年/包月EIP才会返回订单信息，按需计费的EIP不返回。 格式：order_id:product_id:region_id:project_id，如： CS 22********LIBIV:00301-******-0--0:br-iaas-odin1:0605768a************c006c7e484aa。 type String 功能说明：EIP的类型。 取值范围：可查看申请EIP表6中type字段的取值范围。 ip_address String 功能说明：EIP的公网IPv4地址。 格式：ipv4类型地址。例如：88.***.***.11。 charge_mode String 功能说明：EIP的带宽计费模式。按流量计费或按带宽计费。 取值范围： bandwidth：按带宽计费。 traffic：按流量计费。 bandwidth_id String 功能说明：EIP的带宽ID。 格式：36位UUID。 bandwidth_size Integer 功能说明：EIP的带宽大小，单位：Mbit/s。每个region能够提供的EIP最大带宽不同，EIP的最大带宽受限于EIP服务，可以使用工单来提高帐户下的EIP的最大带宽。 取值范围：1-1000，具体取值请参考弹性公网服务创建eip资料。 bandwidth_name String 功能说明：EIP的带宽名称。 取值范围：1-64个字符，支持数字、英文字母、中文(\u4e00 - \u9fa5)、_(下划线)、-(中划线)、.(点)。 bandwidth_billing_info String 功能说明：EIP的带宽订单信息。包年/包月EIP带宽才会返回带宽订单信息，按需计费的EIP带宽不返回。 格式：order_id:product_id:region_id:project_id，如： CS22********LIBIV:00301-******-0--0:br-iaas-odin1:0605768a************c006c7e484aa。 表10 PolicyTemplate 名称 类型 描述 ike_policy IkePolicy object ike策略对象。 ipsec_policy IpsecPolicy object ipsec策略对象。 表11 IkePolicy 名称 类型 描述 encryption_algorithm String 功能说明：加密算法。 取值范围：aes-256-gcm-16，aes-128-gcm-16，aes-256，aes-192，aes-128。 dh_group String 功能说明：第一阶段密钥交换使用的DH组。 取值范围：group14，group15，group16，group19，group20，group21，disable。 authentication_algorithm String 功能说明：认证算法。 取值范围：sha2-512，sha2-384，sha2-256。 lifetime_seconds Integer 功能说明：表示SA的生存周期，当该生存周期超时后IKE SA将自动更新。 取值范围：60-604800，单位：秒。 表12 IpsecPolicy 名称 类型 描述 authentication_algorithm String 功能说明：认证算法。 取值范围：sha2-512，sha2-384，sha2-256。 encryption_algorithm String 功能说明：加密算法。 取值范围：aes-256-gcm-16，aes-128-gcm-16，aes-256，aes-192，aes-128。 pfs String 功能说明：PFS使用的DH密钥组。 取值范围：group14，group15，group16，group19，group20，group21，disable。 lifetime_seconds Integer 功能说明：表示配置IPSec连接建立的隧道以时间为基准的生存周期。 取值范围：30-604800，单位：秒。 表13 VpnResourceTag 名称 类型 描述 key String 功能说明：标签的键。 取值范围：1-128个字符，支持数字、英文字母、中文、西班牙语、葡语、空格，以及以下字符：_.:=+-@。 value String 功能说明：标签的值。 取值范围：0-255个字符，支持数字、英文字母、中文、西班牙语、葡语、空格，以及以下字符：_.:=+-@。 响应样例 更新固定IP接入VPN网关的响应。 { "vpn_gateway": { "id": "620d99b8-demo-a8df-va86-200b868f2d7d", "name": "vpngw-4321", "attachment_type": "vpc", "network_type": "public", "vpc_id": "cb4a631d-demo-a8df-va86-ca3fa348c36c", "local_subnets": [ "192.168.0.0/24" ], "connect_subnet": "f5741286-demo-a8df-va86-2c82bd9ee114", "bgp_asn": 64512, "flavor": "Professional1", "availability_zone_ids": ["cn-south-1f", "cn-south-1e"], "connection_number": 200, "used_connection_number": 0, "used_connection_group": 0, "enterprise_project_id": "0", "eip1": { "id": "f1469b4a-demo-a8df-va86-bb7de91cf493", "ip_version": 4, "type": "5_bgp", "ip_address": "88.***.***.102", "charge_mode": "bandwidth", "bandwidth_id": "cff40e5e-demo-a8df-va86-7366077bf097", "bandwidth_size": 300, "bandwidth_name": "vpngw-bandwidth-1391" }, "eip2": { "id": "6ad8e297-demo-a8df-va86-da0f885ccb98", "ip_version": 4, "type": "5_bgp", "ip_address": "88.***.***.188", "charge_mode": "bandwidth", "bandwidth_id": "d290f1ee-demo-a8df-va86-d701748f0851", "bandwidth_size": 300, "bandwidth_name": "vpngw-bandwidth-1392" }, "created_at": "2022-09-15T08:56:09.386Z", "updated_at": "2022-09-15T11:13:13.677Z", "access_vpc_id": "0cf79a3f-demo-a8df-va86-d7ace626b0fa", "access_subnet_id": "f5741286-demo-a8df-va86-2c82bd9ee114", "ha_mode": "active-active" }, "request_id": "33a2b77a-65f9-4fa0-90bd-4bd42038eb41" } 更新非固定IP接入VPN网关的响应。 { "vpn_gateway":{ "id":"620d99b8-demo-a8df-va86-200b868f2d7d", "name":"vpngw-4321", "attachment_type":"vpc", "network_type":"public", "vpc_id":"cb4a631d-demo-a8df-va86-ca3fa348c36c", "local_subnets":[ "192.168.0.0/24" ], "connect_subnet":"f5741286-demo-a8df-va86-2c82bd9ee114", "bgp_asn":64512, "flavor":"Professional1", "availability_zone_ids":[ "cn-south-1f", "cn-south-1e" ], "connection_number":200, "used_connection_number":0, "used_connection_group":0, "enterprise_project_id":"0", "eip1":{ "id":"f1469b4a-demo-a8df-va86-bb7de91cf493", "ip_version":4, "type":"5_bgp", "ip_address":"88.***.***.102", "charge_mode":"bandwidth", "bandwidth_id":"cff40e5e-demo-a8df-va86-7366077bf097", "bandwidth_size":300, "bandwidth_name":"vpngw-bandwidth-1391" }, "eip2":{ "id":"6ad8e297-demo-a8df-va86-da0f885ccb98", "ip_version":4, "type":"5_bgp", "ip_address":"88.***.***.188", "charge_mode":"bandwidth", "bandwidth_id":"d290f1ee-demo-a8df-va86-d701748f0851", "bandwidth_size":300, "bandwidth_name":"vpngw-bandwidth-1392" }, "created_at":"2022-09-15T08:56:09.386Z", "updated_at":"2022-09-15T11:13:13.677Z", "access_vpc_id":"0cf79a3f-demo-a8df-va86-d7ace626b0fa", "access_subnet_id":"f5741286-demo-a8df-va86-2c82bd9ee114", "ha_mode":"active-active", "policy_template":{ "ike_policy":{ "authentication_algorithm":"sha2-256", "encryption_algorithm":"aes-128-gcm-16", "dh_group":"group21", "lifetime_seconds":86400 }, "ipsec_policy":{ "authentication_algorithm":"sha2-256", "encryption_algorithm":"aes-128-gcm-16", "pfs":"disable", "lifetime_seconds":3600 } } }, "request_id":"33a2b77a-65f9-4fa0-90bd-4bd42038eb41" } VPN状态为“创建中”，更新失败。 { "error_code":"VPN.0003", "error_msg":"resource (type=GATEWAY, ID=ff9bdca6-demo-a8df-va86-e4bcc1ea52bc) is not ready, currently CREATING", "request_id": "abafe41c-7744-41af-bf3d-4452872af799" }

请求消息 请求参数 表2 请求参数 名称 类型 是否必选 描述 vpn_gateway UpdateVgwRequestBodyContent object 是 vpn_gateway对象。 表3 UpdateVgwRequestBodyContent 名称 类型 是否必选 描述 name String 否 功能说明：VPN网关名称。 取值范围：1-64个字符，支持数字、英文字母、中文（\u4e00 - \u9fa5）、_（下划线）、-（中划线）、.（点）。 local_subnets Array of String 否 功能说明：本端子网。本端子网是云上子网，该网段需要通过VPN与用户侧网络进行互通。单个网段格式示例：192.168.52.0/24。 约束：当attachment_type配置为"vpc"时可填写，否则不填。每个VPN网关最多填写50个本端子网。 eip_id_1 String 否 功能说明：有效的EIP的ID，表示绑定新的EIP作为双活VPN网关使用的第一个EIP或主备VPN网关的主EIP。绑定新的EIP前必须先解绑掉原有的EIP。可以通过解绑弹性公网IP解绑VPN网关使用的EIP。 约束：36位UUID，当network_type配置为public时可填写，否则不填。 eip_id_2 String 否 功能说明：有效的EIP的ID，表示绑定新的EIP作为双活VPN网关使用的第二个EIP或主备VPN网关的备EIP。绑定新的EIP前必须先解绑掉原有的EIP。可以通过解绑弹性公网IP解绑VPN网关使用的EIP。 约束：36位UUID，当network_type配置为public时可填写，否则不填。 policy_template PolicyTemplate object 否 功能说明：策略模板。 约束：只有当VPN网关的规格为Professional1-NonFixedIP或Professional2-NonFixedIP时使用，用于更新网关的策略模板。 表4 PolicyTemplate 名称 类型 描述 ike_policy IkePolicy object ike 策略对象。 ipsec_policy IpsecPolicy object ipsec 策略对象。 表5 IkePolicy 名称 类型 描述 encryption_algorithm String 功能说明：加密算法。 取值范围：aes-256-gcm-16，aes-128-gcm-16，aes-256，aes-192，aes-128。 dh_group String 功能说明：第一阶段密钥交换使用的DH组。 取值范围：group14，group15，group16，group19，group20，group21，disable。 authentication_algorithm String 功能说明：认证算法。 取值范围：sha2-512，sha2-384，sha2-256。 lifetime_seconds Integer 功能说明：表示SA的生存周期，当该生存周期超时后IKE SA将自动更新。 取值范围：60-604800，单位：秒。 表6 IpsecPolicy 名称 类型 描述 authentication_algorithm String 功能说明：认证算法。 取值范围：sha2-512，sha2-384，sha2-256。 encryption_algorithm String 功能说明：加密算法。 取值范围：aes-256-gcm-16，aes-128-gcm-16，aes-256，aes-192，aes-128。 pfs String 功能说明：PFS使用的DH密钥组。 取值范围：group14，group15，group16，group19，group20，group21，disable。 lifetime_seconds Integer 功能说明：表示配置IPSec连接建立的隧道以时间为基准的生存周期。 取值范围：30-604800，单位：秒。 请求样例 更新固定IP接入网关。 PUT https://{Endpoint}/v5/{project_id}/vpn-gateways/{vgw_id} { "vpn_gateway": { "name": "vpngw-4321", "local_subnets": [ "192.168.0.0/24" ], "eip_id_1": "f1469b4a-demo-a8df-va86-bb7de91cf493", "eip_id_2": "6ad8e297-demo-a8df-va86-da0f885ccb98" } } 更新非固定IP接入VPN网关策略模板。 PUT https://{Endpoint}/v5/{project_id}/vpn-gateways/{vgw_id} { "vpn_gateway":{ "policy_template":{ "ike_policy":{ "authentication_algorithm":"sha2-256", "encryption_algorithm":"aes-128-gcm-16", "dh_group":"group21", "lifetime_seconds":86400 }, "ipsec_policy":{ "authentication_algorithm":"sha2-256", "encryption_algorithm":"aes-128-gcm-16", "pfs":"disable", "lifetime_seconds":3600 } } } }

响应消息 响应参数 返回状态码为 200: 查询成功。 表2 响应Body参数列表 名称 类型 描述 p2c_vpn_gateway p2c_vpn_gateway object vpn_gateway对象 request_id String 请求ID 表3 p2c_vpn_gateway 名称 类型 描述 id String 功能说明：P2C VPN网关ID 格式：36位UUID name String 功能说明：P2C VPN网关名称 取值范围：1-64个字符，支持数字、英文字母、中文（\u4e00 - \u9fa5）、_（下划线）、-（中划线） status String 功能说明：P2C VPN网关状态 取值范围： PENDING_CREATE：创建中 PENDING_UPDATE：更新中 PENDING_DELETE：删除中 ACTIVE：正常 FAULT：异常 FROZEN：冻结 vpc_id String P2C VPN网关所连接的VPC的ID connect_subnet String P2C VPN网关所使用的VPC子网ID flavor String 功能说明：P2C VPN网关的规格类型 取值范围: Professional1：专业型1 availability_zone_ids Array of strings 可用区列表 eip ResponseEipInfo object 网关绑定的EIP信息 max_connection_number Integer 功能说明：最多支持同时在线的客户端连接数 取值范围：1~500 current_connection_number Integer 当前建连的客户端连接数 enterprise_project_id String 企业项目ID tags Array of VpnResourceTag objects 标签列表 order_id String 订单ID admin_state_up Boolean 功能说明：冻结状态 取值范围： true：未冻结 false：冻结 frozen_effect Integer 功能说明：冻结影响，标识该资源冻结后是否可以删除 取值范围： 0：未冻结 1：冻结可删除 2：冻结不可删除 created_at String 功能说明：创建时间 UTC时间格式：yyyy-MM-ddTHH:mm:ssZ updated_at String 功能说明：最后一次更新时间 UTC时间格式：yyyy-MM-ddTHH:mm:ssZ 表4 ResponseEipInfo 名称 类型 描述 id String 功能说明：EIP的ID 格式：36位UUID ip_version Integer 功能说明：EIP版本 取值范围：4 ip_billing_info String 功能说明：EIP的订单信息。包年/包月EIP才会返回订单信息，按需计费的EIP不返回 格式：order_id:product_id:region_id:project_id，如： CS22********LIBIV:00301-******-0--0:br-iaas-odin1:0605768a************c006c7e484aa type String 功能说明：EIP的类型 取值范围：可查看申请EIP表6中type字段的取值范围 ip_address String 功能说明：EIP的公网IPv4地址 格式：ipv4类型地址。例如：88.***.***.11 charge_mode String 功能说明：EIP的带宽计费模式。按流量计费或按带宽计费 取值范围： bandwidth：按带宽计费 traffic：按流量计费 bandwidth_id String 功能说明：EIP的带宽ID 格式：36位UUID bandwidth_size Integer 功能说明：EIP的带宽大小，单位：Mbit/s。每个region能够提供的EIP最大带宽不同，EIP的最大带宽受限于EIP服务，可以使用工单来提高帐户下的EIP的最大带宽 取值范围：1-1000，具体取值请参考弹性公网服务创建EIP资料。 bandwidth_name String 功能说明：EIP的带宽名称 取值范围：1-64个字符，支持数字、英文字母、中文(\u4e00 - \u9fa5)、_(下划线)、-(中划线)、.(点) bandwidth_billing_info String 功能说明：EIP的带宽订单信息。包年/包月EIP带宽才会返回带宽订单信息，按需计费的EIP带宽不返回 格式：order_id:product_id:region_id:project_id，如： CS22********LIBIV:00301-******-0--0:br-iaas-odin1:0605768a************c006c7e484aa share_type String 功能说明: 带宽共享类型 取值范围： PER：独享带宽 表5 VpnResourceTag 名称 类型 描述 key String 功能说明：标签的键。 取值范围：1-128个字符，支持任意语种字母、数字、空格和_.:=+-@，但首尾不能含有空格，不能以_sys_开头。 value String 功能说明：标签的值。 取值范围：0-255个字符，支持任意语种字母、数字、空格和_.:/=+-@。 响应样例 { "p2c_vpn_gateway": { "id": "6d526e5f-a0c6-44b6-a785-000000000000", "name": "p2c-vpngw-0000", "status": "ACTIVE", "vpc_id": "05b9d7de-9acd-4a05-b497-1a3c75afaa0a", "connect_subnet": "1948ce22-ddc5-4fb6-87b8-dfcc9b176b51", "flavor": "Professional1", "availability_zone_ids": [ "cn-south-1f", "cn-south-1e" ], "eip": { "id": "f0bac06a-88a7-4d37-8e2e-c37691ee4ba2", "ip_version": 4, "ip_billing_info": "CS*********JWT1O:OFFI*************5078:cn-south-1:47190474************98781092d16c", "type": "5_youxuanbgp", "ip_address": "215.255.4.120", "charge_mode": "bandwidth", "bandwidth_id": "3456471c-9dac-40f6-8344-daca14fbd81e", "bandwidth_size": 20, "bandwidth_name": "p2c-vpngw-bandwidth-bd61", "bandwidth_billing_info": "CS*********JWT1O:OFFI*************5078:cn-south-1:47190474************98781092d16c", "share_type": "PER" }, "max_connection_number": 10, "current_connection_number": 0, "enterprise_project_id": "0", "tags": [], "order_id": "CS**********JWT1O", "admin_state_up": true, "frozen_effect": 0, "created_at": "2024-06-14T10:24:12.147Z", "updated_at": "2024-06-14T10:24:12.147Z" }, "request_id": "2ddd2f6107a8164ce6f6268bd991e57c" }

Mac客户端（OpenVPN Connect） 此处以安装OpenVPN Connect（3.4.4.4629）为例，不同软件版本的安装界面可能存在差异，请以实际为准。 在OpenVPN官方网站下载OpenVPN Connect，根据硬件规格选择对应安装程序。 图5 选择安装包 根据界面提示，完成软件安装。 图6 安装OpenVPN Connect 启动OpenVPN Connect客户端，导入已添加客户端证书及私钥的配置文件，填写配置信息后建立VPN连接。 图7 导入配置文件 出现类似下图所示界面，代表连接成功。 图8 连接成功

Mac客户端（Tunnelblick） 此处以安装Tunnelblick（3.8.8d）为例，不同软件版本的安装界面可能存在差异，请以实际为准。 前往官方网站下载Tunnelblick。 您可以根据实际需要下载适用的版本，推荐使用正式版本。下载软件时推荐下载DMG格式的软件。 根据界面提示，安装Tunnelblick。 图2 安装Tunelblick 启动Tunnelblick客户端，将已添加客户端证书及私钥的配置文件上传至Tunnelblick客户端，建立VPN连接。 图3 上传客户端配置文件 出现类似下图所示界面，代表连接成功。 图4 连接成功

Linux客户端 此处以在Ubuntu 22.04（jammy） openvpn_2.5.8-0ubuntu0.22.04.1_amd64操作系统上安装OpenVPN为例，不同Linux系统的安装命令可能存在差异，请以实际为准。（2.5版本不支持dco，需要在配置文件中注释“disable-dco”。） 打开命令行窗口。 执行以下命令安装OpenVPN客户端。 yum install -y openvpn 将已添加客户端证书及私钥的客户端配置文件内容复制至/etc/openvpn/conf/目录。 进入/etc/openvpn/conf/目录，执行以下命令建立VPN连接。 openvpn --config /etc/openvpn/conf/config.ovpn --daemon

iOS客户端 此处以安装OpenVPN Connect（3.4.0）为例，不同软件版本的安装界面可能存在差异，请以实际为准。 在App Store搜索“OpenVPN Connect”，下载并安装。 下载客户端配置，在“client_config.ovpn”文件中添加客户端证书及私钥，然后通过OpenVPN Connect打开，按照界面提示添加客户端配置。 图11 导入配置文件 出现类似下图所示界面，代表连接成功。 图12 连接成功