华为云用户手册

约束条件 当前登录用户已通过 统一身份认证 服务添加华为云关系型数据库所在区域的KMS Administrator权限。权限添加方法请参见《统一身份认证服务用户指南》的“如何管理用户组并授权？”章节。 如果用户需要使用自定义密钥加密上传对象，则需要先通过 数据加密 服务创建密钥。使用数据加密服务创建密钥详情请参见创建密钥。 实例创建成功后，不可修改磁盘加密状态，且无法更改密钥。存放在 对象存储服务 上的备份数据不会被加密。 华为云关系型数据库实例创建成功后，请勿禁用或删除正在使用的密钥，否则会导致服务不可用，数据无法恢复。 选择磁盘加密的实例，新扩容的磁盘空间依然会使用原加密密钥进行加密。

步骤三：获取CDN的成本分配明细 登录“成本中心”。 选择“成本分析”。 单击“导出成本明细”。 设置成本类型为“摊销成本”，并设置导出周期和范围，单击“确认”，即可导出摊销成本的明细数据。 使用%账号名%_AmortizedCostDetailByUsage_YYYY-MM文件查看CDN的成本分配明细。 其中： 企业项目：即成本归属的企业项目； 产品类型：即内容分发网络 CDN； 分拆项：即 域名 ； 使用量类型：当前仅支持对CDN的流量计费、月结95峰值带宽计费、日峰值月平均计费按照域名进行成本分拆，因此使用量类型包括中国大陆95峰值带宽、中国大陆日峰值月平均带宽、流量、海外及其它地区流量、海外及其它地区95峰值带宽、海外及其它地区日峰值月平均带宽。 使用量：当前资源的用量，按月度进行汇总后，即CDN的月度总用量。 本月分摊（基于使用）：本月分摊=使用量/月度总使用量*总费用，按月度进行汇总后，即CDN的月度总摊销费用； 标签：即成本归属的成本标签。 图1 CDN的成本分配明细1（图片较长，分2段截取） 图2 CDN的成本分配明细2

场景示例 客户需要将成本在部门A、B、C之间分配。 大部分成本可以通过客户标记在资源上的标签来标识归属的部门；另外，A部门还单独使用了内容分发网络服务（假设内容分发网络服务不支持标签管理）；所有部门共用了云手机。 已知：客户已使用成本标签来标记成本，标签键：Group；标签值：部门A，部门B，部门C。 成本单元创建4小时之后，定义拆分规则，把共同成本在组织内进行分配。 拆分未分配成本时，采用自定义拆分方式，部门A拆分50%，部门B拆分30%，部门C拆分20%。 拆分共同成本时，采用自定义拆分方式，部门A拆分30%，部门B拆分30%，部门C拆分40%。

步骤二：查看成本分配详情 登录成本中心。 选择“成本单元”。 单击成本单元名称链接，查看成本分配详情。 如上图所示，查看成本占比的摊销成本净值： 摊销成本净值：按规则分配后的摊销成本净值。 拆分金额：公共成本拆分的金额，拆分金额为负数时，表示是“拆分源”。 最终分配成本：实际分配到的金额。最终分配成本=摊销成本净值+拆分金额。 最终占比：最终分配成本占总分配成本的百分比。 各部门分拆金额解读： 部门A 按照标签维度摊销的成本净值为5.94元； 分摊到的公共成本和未分配成本为30%*1251.51+50%*2452416.75=1,226,583.828元； 合计的最终分配成本为5.94+1,226,583.828=1,226,589.768元。 部门B 按照标签维度摊销的成本净值为0元； 分摊到的公共成本和未分配成本为30%*1251.51+30%*2452416.75=736,100.478元； 合计的最终分配成本为0+736,100.478=736,100.478元。 部门C 按照标签维度摊销的成本净值为0元； 分摊到的公共成本和未分配成本为40%*1251.51+20%*2452416.75=490,983.954元； 合计的最终分配成本为0+490,983.954=490,983.954元。 公共成本和未分配成本 已全部分摊到部门A、部门B和部门C，因此最终分配成本均为0。 根据成本单元查看成本明细数据。 选择“成本明细导出”，在“文件导出”页签中导出的成本明细文件，在导出的原始成本或摊销成本（文件名标识为%账号名%_AmortizedCostDetailByUsage_YYYY-MM）的成本明细文件中，可以根据成本单元过滤成本明细数据。

请求示例 定义短信回执。租户ID为"8f263a05a2294c62af09cfeccbd1cccc"，回执类型为"sms"。 https://koomessage.myhuaweicloud.cn/v1/aim/send-status { "request_id" : "6b65e1ae-3e6e-45d3-8aab-05821b540000", "domain_id" : "8f263a05a2294c62af09cfeccbd1cccc", "callback_type" : "sms", "body" : "{\"task_id\":\"1869bbfb86e148adbcc068af3793cccc\",\"cust_flag\":\"131****0001\",\"msg_id\":\"e0ef4e00-xxxx-xxxx-ba33-4173156e657f\",\"tpl_id\":\"600000001\",\"sms_sign\":\"签名\",\"aim_code\":\"qTs3DC\",\"aim_url\":\"km2n.cn/qTB3DC\",\"send_time\":\"2022-06-01T09:00:49\",\"receive_time\":\"2022-06-01T09:00:49\",\"send_status\":\"Deliverd\",\"send_status_desc\":\"发送成功\"}", "retry" : false } 定义短信批量回执。租户ID为"8f263a05a2294c62af09cfeccbd1cccc"，回执类型为"sms"。 https://koomessage.myhuaweicloud.cn/v1/aim/send-status { "request_id" : "6b65e1ae-3e6e-45d3-8aab-05821b39j313", "domain_id" : "8f263a06a2294c62af09cfeccbd1cccc", "callback_type" : "sms", "body" : "[{\"task_id\":\"1869bbfb86e148adbcc068af3793cccc\",\"cust_flag\":\"131****0001\",\"msg_id\":\"e0ef4e00-xxxx-xxxx-ba33-4173156e657f\",\"tpl_id\":\"600000001\",\"sms_sign\":\"签名\",\"aim_code\":\"qTs3DC\",\"aim_url\":\"km2n.cn/qTB3DC\",\"send_time\":\"2022-06-01T09:00:49\",\"receive_time\":\"2022-06-01T09:00:49\",\"send_status\":\"Deliverd\",\"send_status_desc\":\"发送成功\"}]", "retry" : false } 定义短链回执。租户ID为"8f263a06a2294c62af09cfeccbd1cccc"，回执类型为"shortchain"。 https://koomessage.myhuaweicloud.cn/v1/send-status { "request_id" : "6b65e1ae-3e6e-44d3-8aab-05821b540000", "domain_id" : "8f263a06a2294c62af09cfeccbd1cccc", "callback_type" : "shortchain", "body" : "{\"task_id\":\"1869bbfb86e148adbcc068af3793cccc\",\"cust_flag\":\"131****0001\",\"tpl_id\":\"600000001\",\"aim_url\":\"km2n.cn/qTB3DC\",\"aim_code\":\"qTs3DC\",\"status\":0,\"describe\":\"发送成功\"}", "retry" : false } 定义短链批量回执。租户ID为"8f263a06a2294c62af09cfeccbd1cccc"，回执类型为"shortchain"。 https://koomessage.myhuaweicloud.cn/v1/send-status { "request_id" : "6b65e1ae-3e6e-44d3-8aab-05821b540000", "domain_id" : "8f263a06a2294c62af09cfeccbd1cccc", "callback_type" : "shortchain", "body" : "[{\"task_id\":\"1869bbfb86e148adbcc068af3793cccc\",\"cust_flag\":\"131****0001\",\"tpl_id\":\"600000001\",\"aim_url\":\"km2n.cn/qTB3DC\",\"aim_code\":\"qTs3DC\",\"status\":0,\"describe\":\"发送成功\"}]", "retry" : false }

请求参数 表1 请求Header参数 参数 是否必选 参数类型 描述 Content-Type 是 String 请求体参数类型，该字段必须设置为：application/json。 表2 请求Body参数 参数 是否必选 参数类型 描述 request_id 否 String 请求ID。 最小长度：0 最大长度：100 domain_id 否 String 租户ID。 最小长度：0 最大长度：100 callback_type 否 String 回调类型。 shortchain：短链 sms：短信 最小值：1 最大值：2 body 否 String 响应信息。 回调类型为智能信息单条发送/短链回调： callback_type为shortchain时，body为ShortChainCallback实体的json字符串。 callback_type为sms时，body为SmsCallback实体的json字符串。 回调类型为智能信息批量发送/短链回调： callback_type为shortchain时，body为ShortChainCallback实体数组的json字符串。 callback_type为sms时，body为SmsCallback实体数组的json字符串。 说明： 回执中的task_id可用于发送任务或解析任务关联，使用发送智能信息API发送智能短信，同一发送批次每一个手机号最多收到两次回执，一个发送结果回执，一个解析成功回执，两次回执可使用aim_url关联。 最小长度：0 最大长度：100 retry 否 Boolean 重试标识。 表3 ShortChainCallback 参数 是否必选 参数类型 描述 task_id 否 String 任务ID。 cust_flag 否 String 创建解析任务时填写用户唯一标识，手机号码或者任何的唯一标识，唯一标识不超过64个字符。发送智能信息时则必须填客户的手机号码。此处为手机号。样例为：130****0001。 tpl_id 否 String 智能信息模板ID，由9位数字组成。 aim_url 否 String 带URL地址的智能信息短链。 aim_code 否 String 不带URL地址前缀的智能信息编码。 status 否 Integer 生成状态。 0：成功 非0：失败，具体请参见错误码 describe 否 String 对应返回的回执错误码的描述内容。 表4 SmsCallback 参数 是否必选 参数类型 描述 task_id 否 String 任务ID。 cust_flag 否 String 客户ID。 msg_id 否 String 发送明细的唯一标识ID。 tpl_id 否 String 智能信息模板ID，由9位数字组成。 sms_sign 否 String 短信签名。 aim_code 否 String 不带URL地址前缀的智能信息编码。 aim_url 否 String 带URL地址的智能信息短链。 send_time 否 String 短信发送时间。 receive_time 否 String 短信接收时间。 send_status 否 String 发送状态码。 说明： “DELIVRD”代表短信发送成功，其余状态码请参考短信服务错误码表。 send_status_desc 否 String 发送状态描述。 total 否 String 长短信拆分后的短信条数。 当短信未拆分时该参数取值为1。 sequence 否 String 长短信拆分后的短信序号。 当total参数取值大于1时，该参数才有效。当短信未拆分时该参数取值为1。 extend 否 String 扩展字段。 用户可以在发送短信的请求中携带该参数，如果用户发送短信时未携带extend参数，状态报告就不会携带该参数。

请求示例 定义智能信息基础版上行消息回执。例如发送任务ID为"0cad5a1c-f018-45a1-96ae-782804417e74"，手机号为"131****0000"。 https://koomessage.myhuaweicloud.cnvms/reply-callback { "seq_id" : "0a96a1ac07a34e80b0e70569595e2c03", "result" : [ { "task_id" : "0cad5a1c-f018-45a1-96ae-782804417e74", "mobile" : "131****0000", "rtime" : "2022-11-06 20:38:33", "content" : "Hello+everyone" }, { "task_id" : "0cad5a1c-f018-45a1-96ae-782804417e74", "mobile" : "131****0001", "rtime" : "2022-11-06 20:38:33", "content" : "It%2Cs+late" } ] }

请求参数 表1 请求Header参数 参数 是否必选 参数类型 描述 Content-Type 是 String 请求体参数类型，该字段必须设置为：application/json。 表2 请求Body参数 参数 是否必选 参数类型 描述 seq_id 否 String 本次推送请求唯一标识。 result 否 Array of MsgReply objects 上行消息回执列表。 表3 MsgReply 参数 是否必选 参数类型 描述 task_id 否 String 智能信息基础版发送任务ID。 mobile 否 String 手机号，11位纯数字手机号码。样例：131****0000。 content 否 String 回复内容。 rtime 否 String 上行消息返回时间。格式：YYYY-MM-DD HH:MM:SS。

AK/SK认证 AK/SK签名认证方式仅支持消息体大小12MB以内，12MB以上的请求请使用Token认证。 AK/SK认证就是使用AK/SK对请求进行签名，在请求时将签名信息添加到消息头，从而通过身份认证。 AK(Access Key ID)：访问密钥ID。与私有访问密钥关联的唯一标识符；访问密钥ID和私有访问密钥一起使用，对请求进行加密签名。 SK(Secret Access Key)：与访问密钥ID结合使用的密钥，对请求进行加密签名，可标识发送方，并防止请求被修改。 使用AK/SK认证时，您可以基于签名算法使用AK/SK对请求进行签名，也可以使用专门的签名SDK对请求进行签名。详细的签名方法和SDK使用方法请参见API签名指南。 签名SDK只提供签名功能，与服务提供的SDK不同，使用时请注意。 您也可以通过这个视频教程了解AK/SK认证的使用：https://bbs.huaweicloud.com/videos/100697 。

Token认证 Token的有效期为24小时，需要使用一个Token鉴权时，可以先缓存起来，避免频繁调用。 Token在计算机系统中代表令牌（临时）的意思，拥有Token就代表拥有某种权限。 Token认证就是在调用API的时候将Token加到请求消息头，从而通过身份认证，获得操作API的权限。Token可通过调用获取用户Token接口获取。 云服务存在两种部署方式：项目级服务和全局级服务。其中： 项目级服务需要获取项目级别的Token，此时请求body中“auth.scope”的取值为“project”。 全局级服务需要获取全局级别的Token，此时请求body中“auth.scope”的取值为“domain”。 调用本服务API需要项目级别的Token，即调用获取用户Token接口时，请求body中auth.scope的取值需要选择project，如下所示。 { "auth": { "identity": { "methods": [ "password" ], "password": { "user": { "name": "username", "password": "********", "domain": { "name": "domainname" } } } }, "scope": { "project": { "name": "cn-north-4" } } } } 获取Token 后，再调用其他接口时，您需要在请求消息头中添加“X-Auth-Token”，其值即为Token。例如Token值为“ABCDEFJ....”，则调用接口时将“X-Auth-Token: ABCDEFJ....”加到请求消息头即可，如下所示。 POST https:// koomessage.myhuaweicloud.com/v1/aim/mobile-capabilities/check Content-Type: application/json X-Auth-Token: ABCDEFJ.... 您还可以通过这个视频教程了解如何使用Token认证：https://bbs.huaweicloud.com/videos/101333。

请求示例 模板状态回执。设置模板状态为启用，审核通过，厂商审核启用为"HuaWei"，未启用为"XiaoMi"，禁用为"MEIZU"。 https://koomessage.myhuaweicloud.cn/v1/aim/template-status { "tpl_id" : "600000001", "tpl_state" : 1, "audit_state" : 2, "audit_desc" : "审核通过", "factory_info" : [ { "factory_type" : "HuaWei", "state" : 1 }, { "factory_type" : "XiaoMi", "state" : 2 }, { "factory_type" : "MEIZU", "state" : 0 } ] }

请求参数 表1 请求Header参数 参数 是否必选 参数类型 描述 Content-Type 是 String 请求体参数类型，该字段必须设置为：application/json。 表2 请求Body参数 参数 是否必选 参数类型 描述 tpl_id 是 String 智能信息模板ID。 说明： 智能短信平台生成的模板ID，由9位数字组成。 tpl_state 是 Integer 模板状态。 说明： 0：禁用 1：启用 audit_state 是 Integer 审核状态。 2：审核通过 3：审核未通过 说明： 模板提交审核后，为了方便客户尽快使用，只需要超过1个厂商激活，模板即可审核通过。 模板审核通过后，如果手机厂商激活状态发生变化，会再次推送模板审核状态信息，可根据factory_info来获取手机厂商当前的激活状态。 factory_info 否 Array of FactoryInfo objects 各终端厂商的审核状态。 audit_desc 否 String 审核意见。 表3 FactoryInfo 参数 是否必选 参数类型 描述 factory_type 是 String 厂商类型。 HuaWei：表示华为厂商 XiaoMi：表示小米厂商 OPPO：表示OPPO厂商 VIVO：表示VIVO厂商 MEIZU：表示魅族厂商 SAMSUNG：表示三星厂商 state 是 Integer 厂商审核状态。 0：禁用 1：启用 2：未启用

请求参数 表1 请求Header参数 参数 是否必选 参数类型 描述 Content-Type 是 String 请求体参数类型，该字段必须设置为：application/json。 表2 请求Body参数 参数 是否必选 参数类型 描述 seq_id 否 String 本次推送请求唯一标识。 reports 否 Array of SendReport objects 状态报告列表。 表3 SendReport 参数 是否必选 参数类型 描述 task_id 否 String 智能信息基础版发送任务ID。 mobile 否 String 手机号，11位纯数字手机号码。样例：131****0000。 status 否 Integer 手机号用户下行消息接收状态。 0：成功 非0：失败 code 否 String 状态码。 说明： DELIVRD表示成功，其他表示失败。 desc 否 String 状态报告错误代码的描述。 success：成功 fail：失败 stime 否 String 本条状态报告所对应的下行消息发送时间。格式：YYYY-MM-DD HH:MM:SS。 rtime 否 String 状态报告返回时间。格式：YYYY-MM-DD HH:MM:SS。

请求示例 定义智能信息基础版发送状态回执。发送任务ID为"8f782063-4366-44f5-8452-8a8a3a17abd2"，手机号为"131****0000"，手机用户下行消息接收成功。 https://koomessage.myhuaweicloud.cn/v1/vms/send-callback { "seq_id" : "0a96a1ac07a34e80b0e70569595e2c03", "reports" : [ { "task_id" : "8f782063-4366-44f5-8452-8a8a3a17abd2", "mobile" : "131****0000", "status" : 0, "code" : "DELIVRD", "desc" : "success", "stime" : "2022-11-06 20:38:33", "rtime" : "2022-11-06 20:38:35" } ] }

请求示例 智能信息基础版模板状态回执。模板ID为"800000001"，模板截止有效日期为"20200131"，模板审核状态正常可用；运营商审核正常可用为"cucc"，模板已过期为"cmcc"，审核不通过为"ctcc"。 https:// koomessage.myhuaweicloud.cn/v1/aim-basic/template-status { "tpl_id" : "800000001", "tpl_size" : 102311, "valid_time" : 20200131, "audit_state" : 0, "restags" : "三网一般", "audit_desc" : "正常可用", "status_detail" : [ { "carrier" : "cmcc", "status" : 5, "desc" : "正常可用" }, { "carrier" : "cucc", "status" : 0, "desc" : "正常可用" }, { "carrier" : "ctcc", "status" : 2, "desc" : "审核不通过，携带敏感词汇" } ], "preview_url" : "http://example.com/000001", "tpl_name" : "模板名称", "title" : "模板主题", "tpl_sign" : "华为 云消息 ", "create_time" : "2022-01-01T00:00:00Z", "var_info" : [ { "name" : "#p_1#", "type" : "txt" }, { "name" : "#p_2#", "type" : "txt" } ] }

请求参数 表1 请求Body参数 参数 是否必选 参数类型 描述 tpl_id 否 String 智能信息基础版模板ID。 tpl_size 否 String 智能信息基础版模板的大小。 说明： 单位：字节，audit_status非0时tpl_size为0。 valid_time 否 String 模板截止有效日期，格式：yyyy-MM-ddTHH:mm:ssZ，0：表示永久有效。样例：2020-01-31T23:59:59Z。 audit_state 否 String 智能信息基础版模板审核状态。 0：正常可用 1：审核中 2：审核不通过 3：模板已禁用 4：模板不存在 5：模板已过期 audit_desc 否 String 智能信息基础版模板状态的描述，若状态是审核不通过或被禁用，描述表示的是不通过或禁用的原因。 说明： 长度不超过 1024 字。 status_detail 否 Array of StatusDetail objects 运营商的模板状态详情。 preview_url 否 String 智能信息基础版模板预览地址。 tpl_name 否 String 智能信息基础版模板名称。 title 否 String 智能信息基础版模板主题。 tpl_sign 否 String 智能信息基础版模板签名。 create_time 否 String 智能信息基础版模板创建时间，格式：yyyy-MM-ddTHH:mm:ssZ。 var_info 否 Array of VarInfo objects 智能信息基础版模板动参信息，静态模板没有动参，该字段填空。 restags 否 String 资源分配标签，取值如下： 三网一般 三网抗诉 单网一般 单网抗诉 表2 StatusDetail 参数 是否必选 参数类型 描述 carrier 否 String 运营商类型。 cmcc：中国移动 cucc：中国联通 ctcc：中国电信 oversea：港澳台及国外 unknown：未知 status 否 String 模板状态。 0：正常可用 1：审核中 2：审核不通过 3：模板已禁用 4：模板不存在 5：模板已过期 desc 否 String 对模板状态的描述。 说明： 若状态是审核不通过或被禁用，描述表示的是不通过或禁用的原因。 表3 VarInfo 参数 是否必选 参数类型 描述 name 否 String 动参变量占位符名称。 说明： 格式：#p_N#（N表示第几个参数，与模板文件占位名称保持一致），如：#p_1#。 type 否 String 动参变量类型。类型为文字：txt。

弹性网卡应用场景 灵活迁移 通过将弹性网卡从云服务器实例解绑后再绑定到另外一台服务器实例，保留已绑定私网IP、弹性公网IP和安全组策略，无需重新配置关联关系，将故障实例上的业务流量快速迁移到备用实例，实现服务快速恢复。 业务分离管理 可以为服务器实例配置多个分属于同一VPC内不同子网的弹性网卡，特定网卡分别承载云服务器实例的内网、外网、管理网流量。针对子网可独立设置访问安全控制策略与路由策略，弹性网卡也可配置独立安全组策略，从而实现网络隔离与业务流量分离。

对等连接 对等连接是建立在两个VPC之间的网络连接，不同VPC之间网络不通，通过对等连接可以实现不同VPC之间的云上内网通信。对等连接用于连通同一个区域内的VPC，您可以在相同账户下或者不同账户下的VPC之间创建对等连接。 对等连接用于连通同一个区域的VPC，如果您要连通不同区域的VPC，请使用云连接。 您可以通过对等连接构建不同的组网，常见的使用示例请参见对等连接使用示例。 接下来，通过图1中简单的组网示例，为您介绍对等连接的使用场景。 在区域A内，您的两个VPC分别为VPC-A和VPC-B，VPC-A和VPC-B之间网络不通。 您的业务服务器E CS -A01和ECS-A02位于VPC-A内，数据库服务器RDS-B01和RDS-B02位于VPC-B内，此时业务服务器和数据库服务器网络不通。 您需要在VPC-A和VPC-B之间建立对等连接Peering-AB，连通VPC-A和VPC-B之间的网络，业务服务器就可以访问数据库服务器。 图1 对等连接组网 父主题： 基本概念

安全组 安全组是一个逻辑上的分组，为具有相同安全保护需求并相互信任的云服务器、云容器、云数据库等实例提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当实例加入该安全组后，即受到这些访问规则的保护。 安全组中包括入方向规则和出方向规则，您可以针对每条入方向规则指定来源、端口和协议，针对出方向规则指定目的地、端口和协议，用来控制安全组内实例入方向和出方向的网络流量。以图1为例，在区域A内，某客户有一个 虚拟私有云VPC -A和子网Subnet-A，在子网Subnet-A中创建一个 云服务器ECS -A，并为ECS-A关联一个安全组Sg-A来保护ECS-A的网络安全。 安全组Sg-A的入方向存在一条放通ICMP端口的自定义规则，因此可以通过个人PC (计算机)ping通ECS-A。但是安全组内未包含允许SSH流量进入实例的规则，因此您无法通过个人PC远程登录ECS-A。 当ECS-A需要通过EIP访问公网时，由于安全组Sg-A的出方向规则允许所有流量从实例流出，因此ECS-A可以访问公网。 图1 安全组架构图 父主题： 基本概念

路由表 路由表由一系列路由规则组成，用于控制VPC内出入子网的流量走向。VPC中的每个子网都必须关联一个路由表，一个子网只能关联一个路由表，但一个路由表可以同时关联至多个子网。 路由表支持添加IPv4和IPv6路由。 图1 路由表 默认路由表：用户创建VPC时，系统会自动为其生成一个默认路由表，创建子网后，子网会自动关联默认路由表。默认路由表可以确保VPC内，不同子网的内网网络互通。 您可以在默认路由表中添加、删除和修改路由规则，但不能删除默认路由表。 创建VPN、云专线、云连接服务时，默认路由表会自动下发路由，该路由不能删除和修改。 自定义路由表：您可以直接使用默认路由表，也可以为具有相同路由规则的子网创建一个自定义路由表，并将自定义路由表与子网关联。自定义路由表可以删除。 子网关联自定义路由表仅影响子网的出流量走向，入流量仍然匹配子网所在VPC的默认路由表。 默认情况下，您没有创建自定义路由表的配额，因此创建自定义路由表时，请您根据界面提示“申请扩大配额”，具体请参见申请扩大配额。

路由 您可以在默认路由表和自定义路由表中添加路由，路由包括目的地址、下一跳类型、下一跳地址等信息，可以决定网络流量的走向。路由分为系统路由和自定义路由。 系统路由：系统路由一般为VPC服务或者其他服务（比如VPN、DC等）自动在路由表添加的路由，无法删除或修改。 创建路由表时，VPC服务会自动在路由表中添加下一跳为Local的路由，通常情况下，路由表中有以下Local的路由： 目的地址是100.64.0.0/10，该路由用于子网内实例访问云上公共服务，比如访问DNS服务器等。 目的地址是198.19.128.0/20，表示系统内部服务使用的网段地址，比如VPCEP等服务。 目的地址是127.0.0.0/8，表示本地回环地址。 目的地址是子网网段，该路由用于当前VPC内，不同子网的内网网络互通。 您在创建子网时，开启IPv6功能，系统将自动为当前子网分配IPv6网段，就可以在路由表中看到IPv6路由。子网网段目的地址示例如下： IPv4地址：192.168.2.0/24。 IPv6地址：2407:c080:802:be7::/64。 自定义路由：路由表创建完成后，您可以添加自定义路由来控制网络流量的走向，需要指定路由的目的地址和下一跳等信息。除了手动添加自定义路由，当您使用其他云服务时（比如云容器引擎CCE或者NAT网关），其他服务会自动在VPC路由表中添加自定义路由。 路由表包括默认路由表和自定义路由表，不同路由表中支持添加自定义路由的下一跳类型有差异，详情请参见表1和表2。 表1 默认路由表支持的下一跳类型 下一跳类型 说明 服务器实例 将指向目的地址的流量转发到虚拟私有云内的一台ECS实例。 扩展网卡 将指向目的地址的流量转发到虚拟私有云内的一台ECS实例的扩展网卡。 辅助弹性网卡 将指向目的地址的流量转发到虚拟私有云内的一台ECS实例的辅助弹性网卡。 NAT网关 将指向目的地址的流量转发到一个NAT网关。 对等连接 将指向目的地址的流量转发到一个对等连接。 虚拟IP 将指向目的地址的流量转发到一个虚拟IP地址，可以通过该虚拟IP地址将流量转发到主备ECS。 VPC终端节点 将指向目的地址的流量转发到一个VPC终端节点。 云容器引擎 将指向目的地址的流量转发到一个云容器引擎的节点。 企业路由器 将指向目的地址的流量转发到一个企业路由器。 云防火墙 将指向目的地址的流量转发到一个云防火墙。 全域互联网网关 将指向目的地址的流量转发到一个全域互联网网关。 表2 自定义路由表支持下一跳类型 下一跳类型 说明 服务器实例 将指向目的地址的流量转发到虚拟私有云内的一台ECS实例。 扩展网卡 将指向目的地址的流量转发到虚拟私有云内的一台ECS实例的扩展网卡。 裸金属服务器自定义网络 将指向目的地址的流量转发到一个裸金属服务器自定义网络。 VPN网关 将指向目的地址的流量转发到一个VPN网关。 云专线网关 将指向目的地址的流量转发到一个云专线网关。 云连接 将指向目的地址的流量转发到云连接。 辅助弹性网卡 将指向目的地址的流量转发到虚拟私有云内的一台ECS实例的辅助弹性网卡。 NAT网关 将指向目的地址的流量转发到一个NAT网关。 对等连接 将指向目的地址的流量转发到一个对等连接。 虚拟IP 将指向目的地址的流量转发到一个虚拟IP地址，可以通过该虚拟IP地址将流量转发到主备ECS。 VPC终端节点 将指向目的地址的流量转发到一个VPC终端节点。 云容器引擎 将指向目的地址的流量转发到一个云容器引擎的节点。 企业路由器 将指向目的地址的流量转发到一个企业路由器。 云防火墙 将指向目的地址的流量转发到一个云防火墙。 全域互联网网关 将指向目的地址的流量转发到一个全域互联网网关。 个别由系统下发的路由可供用户修改和删除，这取决于创建对端服务时是否已设置目的地址。 例如，创建NAT网关时，系统会自动下发一条自定义类型的路由，没有明确指定目的地址（默认为0.0.0.0/0）,此时用户可修改该目的地址。而创建VPN网关时，可以指定远端子网，也就是路由的目的地址，系统将下发系统类型的路由。如果在路由表页面更改路由将会导致与对端数据不一致，您可以前往对端服务页面修改远端子网来调整路由表中的路由规则。 不支持手动在VPC路由表中添加下一跳类型为“VPC终端节点”或者“云容器引擎”的路由，通常您在配置VPC终端节点或者云容器引擎服务时，由该服务自动添加在VPC路由表中。

网络ACL 网络ACL是一个子网级别的可选安全防护层，您可以在网络ACL中设置入方向和出方向规则，并将网络ACL绑定至子网，可以精准控制出入子网的流量。 网络ACL与安全组的防护范围不同，安全组对云服务器、云容器、云数据库等实例进行防护，网络ACL对整个子网进行防护。安全组是必选的安全防护层，当您还想增加额外的安全防护层时，就可以启用网络ACL。两者结合起来，可以实现更精细、更复杂的安全访问控制。 网络ACL中包括入方向规则和出方向规则，您可以针对每条规则指定协议、来源端口和地址、目的端口和地址。以图1为例，在区域A内，某客户的虚拟私有云VPC-X有两个子网，子网Subnet-X01关联网络ACL Fw-A，Subnet-X01内部署的实例面向互联网提供Web服务。子网Subnet-X02关联网络ACL Fw-B，基于对等连接连通Subnet-X02和Subnet-Y01的网络，通过Subnet-Y01内的实例远程登录Subnet-X02内的实例。 Fw-A的规则说明： 入方向自定义规则，允许外部任意IP地址，通过TCP (HTTP)协议访问Subnet-X01内实例的80端口。如果流量未匹配上自定义规则，则匹配默认规则，无法流入子网。 网络ACL是有状态的，允许入站请求的响应流量出站，不受规则限制，因此Subnet-X01内实例的响应流量可流出子网。非响应流量的其他流量则匹配默认规则，无法流出子网。 Fw-B的规则说明： 入方向自定义规则，允许来自Subnet-Y01的流量，通过TCP (SSH)协议访问子网Subnet-X02内实例的22端口。 出方向自定义规则，放通ICMP协议全部端口，当在Subnet-X02内实例ping测试网络连通性时，允许去往Subnet-Y01的流量流出子网。 图1 网络ACL架构图 父主题： 基本概念

虚拟IP 虚拟IP（Virtual IP Address）是从VPC子网网段中划分的一个内网IP地址，是一种可以独立申请和删除的内网IP地址，适用于以下场景： 将一个或者多个虚拟IP同时绑定至一个云服务器，可以通过任意一个IP地址（私有IP/虚拟IP）访问云服务器。通常当单个云服务器内同时部署了多种业务，此时可以通过不同的虚拟IP访问各个业务。 将一个虚拟IP同时绑定至多个云服务器，虚拟IP需要搭配高可用软件（比如Keepalived），用来搭建高可用的主备集群。为了提升服务的高可用性，避免单点故障，您可以用“一主一备”或“一主多备”的方法组合使用云服务器，这些云服务器对外呈现为一个虚拟IP。当主云服务器故障时，备云服务器可以转为主云服务器并继续对外提供服务，以此达到高可用性HA（High Availability）的目的。 通常情况下，云服务器使用私有IP地址进行内网通信，虚拟IP地址拥有私有IP地址同样的网络接入能力，包括VPC内二三层通信、VPC之间对等连接通信、EIP公网通信、接入VPN和云专线的能力。云服务器的私有IP、虚拟IP以及EIP的典型使用场景示意图，请参见图1。 私有IP地址：用于内网通信，不能访问公网。 虚拟IP：搭配Keepalived构建高可用集群，多个ECS构建的集群对外呈现一个虚拟IP。 EIP：用于公网通信。 图1 云服务器（ECS）不同IP地址的使用场景示意图 父主题： 基本概念

IP地址组 IP地址组是一个或者多个IP地址的集合，可关联至安全组、网络ACL，用于简化网络架构中IP地址的配置和管理。 对于需要统一管理的IP网段、单个IP地址，您可以将其添加到一个IP地址组内。IP地址组无法独立使用，需要将IP地址组关联至对应的资源，可关联IP地址组的资源说明如表1所示。 表1 IP地址组关联资源说明 资源 说明 示例 安全组 添加安全组规则的时候，源地址和目的地址可以选择IP地址组。 如图1所示，安全组sg-A的的入方向规则的源地址使用IP地址组ipGroup-A。 网络ACL 添加网络ACL规则的时候，源地址和目的地址可以选择IP地址组。 如图1所示，网络ACLfw-A的入方向规则的源地址使用IP地址组ipGroup-A。 图1 IP地址组使用场景 父主题： 基本概念

子网 子网是虚拟私有云内的IP地址集，可以将虚拟私有云的网段分成若干块，子网划分可以帮助您合理规划IP地址资源。虚拟私有云中的所有云资源都必须部署在子网内。同一个虚拟私有云下，子网网段不可重复。 默认情况下，同一个VPC中，不同子网内的所有实例网络互通。同一个VPC内的子网可以位于不同可用区，不影响通信。比如VPC-A内有子网A01（可用区A）和子网A02（可用区B），子网A01和子网A02的网络默认互通。 同时，使用子网的云资源，其可用区和子网的可用区不用保持一致。比如位于可用区1的云服务器，可以使用可用区3的子网。假如可用区3发生故障，此时可用区1的云服务器可以继续使用可用区3的子网，不会影响云服务器上部署的业务。 图1 子网 父主题： 基本概念

辅助弹性网卡应用场景 辅助弹性网卡通过VLAN子接口挂载在弹性网卡上，其组网示意图如图1所示。 图1 辅助弹性网卡示意图 单个云服务器实例支持绑定的弹性网卡数量有限，当因业务需要绑定超过弹性网卡上限的网卡时，可以通过为弹性网卡挂载辅助弹性网卡实现。 为云服务器实例配置多个分属于同一VPC内不同子网的辅助弹性网卡，每个辅助弹性网卡拥有不同的私网IP、弹性公网IP，可以分别承载云服务器实例的内网、外网和管理网流量。 辅助弹性网卡可配置独立安全组策略，从而实现网络隔离与业务流量分离。

使用华为账号登录时，为什么没有提示我选择华为云账号升级？ 如果之前没有华为云账号，使用华为账号登录时，系统会提示您开通华为云业务。 如果您已有华为云账号 华为云账号满足以下要求，使用华为账号登录时，系统会提示您选择一个华为云账号并进行绑定： 华为云账号与华为账号所属国家一致。 华为云账号不是华为内部用户（即华为员工，含外协）。 华为云账号未被其他华为账号绑定。 您的华为云账号不能属于金融专区，HCS或合作伙伴。 华为云账号不满足以上要求，系统会针对原因进行提示，例如： 如果您手动输入的华为云账号不满足要求，系统会提示您重新输入账号或者您可以返回上一层重新选择其他华为云账号。 父主题： 升级

其他账号登录 如果您已有“华为官网账号”、“华为企业合作伙伴账号”，可以通过此方式登录华为云，无需记录多套身份信息。 下面以“华为官网账号”为例，为您介绍使用其他账号登录华为云的操作步骤。 进入华为云官网，单击页面右上角的“登录”。 在华为云的登录页面，单击“华为官网账号”，如下图所示。 图4 华为官网账号 根据界面指引登录华为官网账号。 首次登录时：页面自动跳转至创建或关联华为云账号页面，输入账号名和手机号、验证码。单击“创建并绑定”，登录华为云控制台。 后续登录时：直接跳转至华为云控制台。 首次登录成功后，后续可以使用步骤2中设置的账号名或手机号，通过华为云账号登录华为云控制台。

配置eBackup备份服务器 以“root”账号登录待配置的eBackup服务器。 “root”账号初始密码为“Cloud12#$”。 使用跨平台访问工具登录，或在VMware vSphere Client工具中的控制台登录。 执行cd 备份软件安装包所在目录命令进入初始配置脚本目录。 备份软件安装包所在目录为/opt/eBackup_8.0.0-LHC01/action。 执行sh ebackup_utilities.sh config命令，开始进行初始化配置。 回显如下信息。 Please select network type for this machine: 1.ipv4 2.ipv6 输入“1”，按“Enter”。 1 Please select a role for this machine: 1.Backup Server 2.Backup Proxy 3.Backup Manager 4.Backup Workflow Server 输入“1”，按“Enter”。 1 =================================================================================================== Note: In the following steps you will be required to configure four network planes for eBackup. The definition of each network plane is as follows: Backup management plane: the communication plane for eBackup to provide external services. Internal communication plane: the communication plane between backup server and backup proxy. Production management plane: the communication plane between eBackup and the management plane of the production end. Storage plane: the communication plane between eBackup and the storage plane of the production end and communication plane between eBackup and backup storage. ==================================================================================================== Set network adapter for 'Backup management' network plane: [1] bond1 MAC=28:6E:D4:88:C6:F2 IP=192.168.1.10 MASK=255.255.254.0 [2] bond2 MAC=28:6E:D4:88:C6:F3 IP=10.10.1.10 MASK=255.255.254.0 Which network adapter from the above list would you like to bind to the 'Backup management' network plane? 配置备份服务器网络平面。 此处需要为备份服务器的五个网络平面绑定相应的网卡，具体绑定哪张网卡请根据规划网络中的网络规划进行选择。 本节以备份服务器配置两张网卡，备份管理平面、生产管理平面、内部通信平面、生产存储平面绑定在同一张网卡，备份存储平面绑定在一张网卡为例说明。 选择备份管理平面需要绑定的网卡，按“Enter”。 如果选择bond1作为备份管理平面需要绑定的网卡，请输入“1”。 1 Set network adapter for 'Internal communication' network plane: [1] bond1 MAC=28:6E:D4:88:C6:F2 IP=192.168.1.10 MASK=255.255.254.0 [2] bond2 MAC=28:6E:D4:88:C6:F3 IP=10.10.1.10 MASK=255.255.254.0 Which network adapter from the above list would you like to bind to the 'Internal communication' network plane? 选择内部通信平面需要绑定的网卡，按“Enter”。 1 Set network adapter for 'Production management' network plane: [1] bond1 MAC=28:6E:D4:88:C6:F2 IP=192.168.1.10 MASK=255.255.254.0 [2] bond2 MAC=28:6E:D4:88:C6:F3 IP=10.10.1.10 MASK=255.255.254.0 Which network adapter from the above list would you like to bind to the 'Production management' network plane? 选择生产管理平面需要绑定的网卡，按“Enter”。 1 Set network adapter for 'Production Storage' network plane: [1] bond1 MAC=28:6E:D4:88:C6:F2 IP=192.168.1.10 MASK=255.255.254.0 [2] bond2 MAC=28:6E:D4:88:C6:F3 IP=10.10.1.10 MASK=255.255.254.0 Which network adapter from the above list would you like to bind to the 'Production Storage' network plane? 选择生产存储平面需要绑定的网卡，按“Enter”。 1 Set network adapter for 'Backup Storage' network plane: [1] bond1 MAC=28:6E:D4:88:C6:F2 IP=192.168.1.10 MASK=255.255.254.0 [2] bond2 MAC=28:6E:D4:88:C6:F3 IP=10.10.1.10 MASK=255.255.254.0 Which network adapter from the above list would you like to bind to the 'Backup Storage' network plane? 选择备份存储平面需要绑定的网卡，按“Enter”。 2 Enter a floating IP address that is in the same network segment as the internal communication plane. 设置浮动IP地址。 浮动IP地址为内部通信平面浮动IP地址。请确保浮动IP地址跟内部通信平面IP地址在同一网段中，且未被使用。 回显如下信息，表示配置成功。 192.168.1.12 Configuration succeeded. grep: this version of PCRE is compiled without UTF support The ebk_accelerator agent of OceanStor BCManager eBackup was started successfully. Start:ebk_accelerator service succeeded. start reload gaussdb grep: this version of PCRE is compiled without UTF support The ebk_backup agent of OceanStor BCManager eBackup was started successfully. Start:ebk_backup service succeeded. grep: this version of PCRE is compiled without UTF support The ebk_copy agent of OceanStor BCManager eBackup was started successfully. Start:ebk_copy service succeeded. grep: this version of PCRE is compiled without UTF support The ebk_delete agent of OceanStor BCManager eBackup was started successfully. Start:ebk_delete service succeeded. grep: this version of PCRE is compiled without UTF support The ebk_mgr agent of OceanStor BCManager eBackup was started successfully. Start:ebk_mgr service succeeded. grep: this version of PCRE is compiled without UTF support The ebk_restore agent of OceanStor BCManager eBackup was started successfully. Start:ebk_restore service succeeded. grep: this version of PCRE is compiled without UTF support The ebk_vmware agent of OceanStor BCManager eBackup was started successfully. Start:ebk_vmware service succeeded. service hcp start:completed You can access the eBackup UI using the following link. https://192.168.1.10:8088 or 192.168.1.10 Alternatively, you can access the eBackup CLI through SSH session. 依次执行以下命令进行安全加固。 加固后禁止使用“root”账号直接登录，请使用“hcp”账号登录，“hcp”账号的初始密码为“PXU9@ctuNov17!”。 cd /opt/huawei-data-protection/ebackup/bin/StandardHardening echo -e "yes\nyes\n"|./StandardSuseHardening.sh 执行该命令会重启eBackup服务器，如需登录eBackup服务器请您稍后重试。 执行安全加固后，执行date命令查看当前时间，需要确保当前时间与选择目标上云region的时间保持一致，如果偏差 10min以上可能会导致备份失败。 （可选）如果备份上云的带宽小于100Mbits，可能会因网络质量导致备份失败，为了降低失败概率，可以执行如下命令，优化部分参数： vim /opt/huawei-data-protection/ebackup/microservice/ebk_vmware/conf/hcpconf.ini 查找并修改如下三个参数 ProductStorageMemoryPoolBlockNum 从64修改为8 BackupStorageMemoryPoolBlockNum 从64修改为8 CommonTaskUsingMaxThread4Backup 从8修改为2 执行上述参数修改后，执行如下命令重启进程生效： cd /opt/huawei-data-protection/ebackup/microservice/ebk_vmware/script sh ebackup_stop.sh sh ebackup_start.sh 备份带宽的规划应该与备份数据量正相关，如果备份数据量较大而带宽较小，可能会出现备份时间过长的情况。

恢复限制条件 在对VMware虚拟机数据进行恢复前，需要注意以下限制条件： 使用LAN-Free（SAN Transport模式）方式进行恢复时，如果目标虚拟机包含延迟置零盘，则系统将使用LAN-Base（NBD或者NBDSSL）方式进行恢复。 不支持将VMware vSphere高版本的虚拟机上的备份数据恢复到VMware vSphere低版本的虚拟机。 进行恢复时，eBackup备份管理系统会关闭待恢复的虚拟机，恢复过程中不能启动待恢复的虚拟机，否则可能导致恢复失败或者恢复的数据有误。 进行磁盘恢复时，如果原虚拟机上多个磁盘进行过卷管理（例如Linux操作系统的逻辑卷管理、Windows操作系统的动态卷等），若只恢复其中部分磁盘，将无法正常访问该磁盘下的数据。 对动态磁盘进行恢复时，动态磁盘组必须同时恢复到目标虚拟机；不支持将同一组动态磁盘的备份映像多次挂载给同一台虚拟机；不支持将动态磁盘组中需要恢复的磁盘的备份映像挂载到原虚拟机。 在以下场景中进行恢复时，不会对备份数据写入位置外的磁盘空间进行置零和回收： 增量恢复，备份数据写入原磁盘。 全量恢复，备份数据写入原磁盘。