华为云用户手册

步骤三：跨账号授权网络实例 如果您的网络规划涉及与其他用户通信，您需要对其他云连接用户授权网络实例，其他云连接用户可以加载您授权的网络实例到自己的云连接服务中，您和对方的网络会实现互通，请谨慎操作。 进入跨账号授权管理页面。 在“授权网络实例”页面，单击“授权”。 在弹出的对话框中，根据表4填写对应参数。 图3 云连接实例跨账号授权 表4 云连接实例跨账号授权参数 参数 说明 区域 虚拟私有云所在区域。 虚拟私有云 需要向对方授权的虚拟私有云。 对方账号ID 被授权方的账号ID。 对方云连接实例ID 需要加载到被授权方云连接中的云连接实例ID。 备注 跨账号授权的备注信息。 单击“确定”，授权对方账号访问本账号下云连接实例资源。

步骤二：创建云连接实例 进入云连接实例列表页面。 单击页面右上方的“创建云连接”。 在弹出的对话框中根据表3填写对应参数。 表3 创建云连接实例参数 参数 说明 名称 云连接实例的名称。 长度为1~64个字符，中、英文字母，数字，下划线，中划线，点。 企业项目 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 使用场景 虚拟私有云：选择虚拟私有云场景时，网络实例类型支持选择虚拟私有云（VPC）和虚拟网关（VGW）。 标签 云连接实例的标识，包括键和值。可以为云连接实例创建20个标签。 说明： 如果已经通过TMS的预定义标签功能预先创建了标签，则可以直接选择对应的标签键和值。 预定义标签的详细内容，请参见预定义标签简介。 描述 云连接实例的描述。 长度为0~255个字符。 单击“确定”，完成云连接实例的创建。

步骤四：加载网络实例 被授权用户根据规划的网络连通情况，将需要进行互通的VPC实例加载到创建的云连接实例中。 进入云连接实例列表页面。 单击目标云连接实例名称，进入基本信息页面。 单击“网络实例”页签。 单击“加载网络实例”，在弹出的对话框中选择跨账号加载。 根据表5填写对应参数后，单击“确定”。 表5 加载跨账号网络实例参数 参数 说明 账号 加载的网络实例的账号类型。 这里选择跨账号。 对方账号ID VPC所属账号的ID。 区域 需要连接的VPC所在区域。 对方项目ID VPC所属账号的所在项目ID。 实例类型 虚拟私有云（VPC） 需要加载到云连接实例中实现互通的实例类型。 对方VPC ID 需要加载的VPC ID。 VPC CIDRs 需要加载到云连接实例中实现网络互通的网段路由。 备注 加载跨账号网络实例备注信息。 一个网络实例只可以加载到一个云连接实例中。 VPC实例和与其关联的虚拟网关实例，不允许重复加载。 在弹出加载成功的对话框中，如果需要继续加载网络实例，在对话框中单击“继续加载”。不需要加载可以关闭弹窗，在网络实例页签中查看已加载的网络实例信息。

流程简介 当多个区域的VPC进行跨区域的私网通信时，需要先创建一个云连接实例，然后在创建的云连接实例中加载需要互通的VPC实例，如果涉及跨账号的VPC互联，需要跨账号授权网络实例，加载跨账号网络实例。然后购买大区内互通的带宽包，最后配置需要连通区域之间的域间带宽。 如果其中有涉及到中国大陆地区外的VPC，需要和中国大陆区的VPC实现互通，则在购买带宽包前，需要进行跨境申请，保证您传输数据的合规性。 如图1所示。 云连接实例支持区域，请参见云连接实例支持区域。 图1 通过云连接实例实现跨区域跨账号VPC互通原理图 入门流程如图2所示。 图2 云连接流程图

步骤一：跨境申请 中国大陆区的VPC需要与中国大陆区外的VPC进行通信时，先要进行跨境申请，提交您的基本资料，保障跨境业务的安全性。 如果用户的网络规划中不涉及跨大区的通信时，则无需操作本步骤。 进入带宽包管理列表页面。 在带宽包管理页面，单击“立即申请”。 如果您业务主体的注册地址在中国大陆，请单击此处进入中国联通跨境云服务在线申请页面。 如果您业务主体的注册地址在中国大陆之外，请单击此处进入中国联通跨境云服务在线申请页面。 请根据您实际业务主体的注册地址来选取跨境资质申请地址。 在跨境云服务在线申请页面，选择“申请人类型”，然后根据提示配置相关参数，并上传相关材料。 请根据实际申请页面完成跨境资质申请材料的准备和上传。 表1 跨境云服务在线申请 参数 说明 客户名称 必须与《信息安全承诺书》中的“用户名称”保持一致。 华为云ID 指用户在华为云管理控制台的“账号ID”，从控制台获取账号ID的步骤如下： 登录管理控制台。 鼠标悬停在右上角的用户名，选择下拉列表中的“我的凭证”。 在“API凭证”页面的项目列表中查看并获取账号ID。 客户类型 根据企业类型选择。 经营范围 概括描述主营业务即可。 客户企业规模（人数) 仅做备案参考。 客户所属国家 申请跨境业务的主体所在国家。 客户境内外分公司所在国家 根据企业实际情况填写。 客户统一社会信用代码 - 客户法人 - 法人证件类型 - 法人证件号 - 跨境需求带宽(M) 仅做备案参考。 跨境服务生效时间 仅做备案参考。 跨境服务终止时间 仅做备案参考。 客户联系人 - 客户联系人电话 - 联系人证件类型 - 联系人证件号 - 表2 跨境申请材料 参数 说明 具体申请材料说明 签字 盖章（企业公章） 营业执照 请上传加盖过公章的营业执照照片。 盖章位置请参考相应的模板文件。 营业执照扫描件 - √ 业务协议 请下载《华为云服务跨境专线业务服务协议》后，填写签字盖章后上传扫描件。 请在签字栏处签字。 盖章需覆盖签名。 《华为云服务跨境专线业务服务协议》扫描件 √ √ 信息安全承诺书 下载《信息安全承诺书模板》 后，填写签字盖章后上传扫描件。 请在签字栏处签字。 盖章需覆盖签名。 该材料中需要填写公司名称、带宽值，带宽值可按照初始预估值填写。 《中国联通专线业务信息安全承诺书》扫描件 √ √ 联系人身份证正反面 请上传清晰的加盖公章的联系人身份证正反面。 盖章位置请参考相应的模板文件。 联系人身份证正反面 - √ 联系人授权委托书 下载《联系人授权委托书模板》 后，填写签字盖章后上传扫描件。 盖章位置请参考相应的模板文件。 《跨境业务办理授权书》扫描件 - √ 单击“立即申请”。

配置步骤 创建VPC和VPC网段 创建流程请详细参考创建虚拟私有云和子网。 VPC网段请勿冲突。 华东-上海一创建一个VPC添加两个子网。 VPC子网1：172.16.100.0/24 VPC子网2：172.16.101.0/24 创建并配置云连接实例 创建云连接实例。 创建流程请详细参考创建云连接实例。 加载网络实例。 网络实例华东-上海一加载步骤1创建的VPC子网2，网段172.16.101.0/24。 加载网络实例详细参考加载网络实例。 添加其他网段。 网络实例亚太-新加坡添加自定义网段，网段：0.0.0.0/0。 添加其他网段详细参考添加其他网段。 为实现云连接实例到dnat的默认路由，需要添加0.0.0.0/0网段。 购买带宽包 云连接实例默认跨区域互通带宽为10kbps，仅用于测试连通性，需购买带宽包并配置域间带宽以保证业务正常使用。 购买带宽包详细参考购买带宽包。 配置域间带宽 配置域间带宽详细参考配置域间带宽。 购买虚拟机 购买华东-上海一的虚拟机。 ETH0：172.16.100.100。 ETH1：172.16.101.100。 购买流程请详细参考购买弹性云服务器。 虚拟机配置两张网卡，ETH0地址绑定弹性EIP地址，可以通过该地址连通互联网。 配置代理服务器 为确保路由转发正常，为华东-上海一的弹性云服务器添加策略路由。 ip rule add from 172.16.101.100 table 100 ip route add default via 172.16.101.1 table 100 配置代理服务器。 用户需根据实际网络环境部署代理服务器，部署时需注意代理服务器的安全性和可靠性。 购买弹性公网IP并配置NAT网关 在华东-上海一购买弹性公网IP，代理服务器ETH0:172.16.100.100绑定公网IP。 购买配置流程请详细参考申请和绑定弹性公网IP。 在亚太-新加坡区域购买弹性公网IP，配置NAT网关，添加DNAT规则，选择云专线/云连接页签进行配置。 购买配置流程请详细参考申请和绑定弹性公网IP和添加DNAT规则。 私网IP：填写代理服务器ETH1地址，地址：172.16.101.100。 弹性公网IP：填写申请的EIP公网地址114.119.XX.XX，该地址作为Proxy_Client代理配置的地址。 代理服务器：代理服务器配置两张网卡，ETH1用于DNAT映射，ETH0用于上网。 添加DNAT配置用于将内网代理服务器映射到公网，Proxy_Client设置公网代理客户端访问内网代理服务器。 Proxy_Client配置代理 在用户windows主机配置代理。 选择Windows设置。 选择“网络和Internet ＞ 代理 ＞ 手动设置代理”。 打开“使用代理服务”开关。 输入“地址”和“端口”。 图2 配置代理 代理地址：填写DNAT绑定的公网地址114.119.XX.XX。 单击“保存”。

操作场景 实现用户侧跨区域访问Web加速。 场景配置所需部件：NAT网关（DNAT）、云连接、Web代理服务器。 云连接实例支持区域，请参见云连接实例支持区域。 应用场景如图1所示。 图1 场景示意 本方案是HTTP代理方案，仅适用基于浏览器的Web类访问。 Proxy-Client：用户windows主机配置Web代理功能，代理地址配置为亚太-新加坡的EIP公网地址。 NAT网关：配置DNAT规则，亚太-新加坡的EIP公网地址映射到华东-上海一代理服务器ETH1网卡地址。

步骤三：加载网络实例 被授权用户根据规划的网络连通情况，将需要进行互通的VPC实例加载到创建的云连接实例中。 进入云连接实例列表页面。 单击目标云连接实例名称，进入基本信息页面。 单击“网络实例”页签。 单击“加载网络实例”，在弹出的对话框中选择跨账号加载。 根据表3填写对应参数后，单击“确定”。 表3 加载跨账号网络实例参数 参数 说明 账号 加载的网络实例的账号类型。 这里选择跨账号。 对方账号ID VPC所属账号的ID。 区域 需要连接的VPC所在区域。 对方项目ID VPC所属账号的所在项目ID。 实例类型 虚拟私有云（VPC） 需要加载到云连接实例中实现互通的实例类型。 对方VPC ID 需要加载的VPC ID。 VPC CIDRs 需要加载到云连接实例中实现网络互通的网段路由。 备注 加载跨账号网络实例备注信息。 一个网络实例只可以加载到一个云连接实例中。 VPC实例和与其关联的虚拟网关实例，不允许重复加载。 在弹出加载成功的对话框中，如果需要继续加载网络实例，在对话框中单击“继续加载”。不需要加载可以关闭弹窗，在网络实例页签中查看已加载的网络实例信息。

步骤二：跨账号授权网络实例 如果您的网络规划涉及与其他用户通信，您需要对其他云连接用户授权网络实例，其他云连接用户可以加载您授权的网络实例到自己的云连接服务中，您和对方的网络会实现互通，请谨慎操作。 进入跨账号授权管理页面。 在“授权网络实例”页面，单击“授权”。 在弹出的对话框中，根据表2填写对应参数。 图3 云连接实例跨账号授权 表2 云连接实例跨账号授权参数 参数 说明 区域 虚拟私有云所在区域。 虚拟私有云 需要向对方授权的虚拟私有云。 对方账号ID 被授权方的账号ID。 对方云连接实例ID 需要加载到被授权方云连接中的云连接实例ID。 备注 跨账号授权的备注信息。 单击“确定”，授权对方账号访问本账号下云连接实例资源。

步骤一：创建云连接实例 进入云连接实例列表页面。 单击页面右上方的“创建云连接”。 在弹出的对话框中根据表1填写对应参数。 表1 创建云连接实例参数 参数 说明 名称 云连接实例的名称。 长度为1~64个字符，中、英文字母，数字，下划线，中划线，点。 企业项目 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 使用场景 虚拟私有云：选择虚拟私有云场景时，网络实例类型支持选择虚拟私有云（VPC）和虚拟网关（VGW）。 标签 云连接实例的标识，包括键和值。可以为云连接实例创建20个标签。 说明： 如果已经通过TMS的预定义标签功能预先创建了标签，则可以直接选择对应的标签键和值。 预定义标签的详细内容，请参见预定义标签简介。 描述 云连接实例的描述。 长度为0~255个字符。 单击“确定”，完成云连接实例的创建。

实施步骤 创建VPC并设置VPC网段 创建流程请详细参考创建虚拟私有云和子网。 VPC网段请勿冲突。 华东-上海一区域的VPC网段（VPC-Test01）：172.18.0.0/24 华北-北京四区域的VPC网段（VPC-Test02）：172.16.0.0/24 中国-香港区域的VPC网段（VPC-Test03）：172.17.0.0/24 配置VPN 在华北-北京四区域创建VPN网关VPN-GW-Test01和VPN连接VPN-Test01。 在华东-上海一区域创建VPN网关VPN-GW-Test02和VPN连接VPN-Test02。 经典版VPN创建流程请详细参考创建VPN网关和创建VPN连接。 企业版VPN创建流程请详细参考创建VPN网关和创建VPN连接。 华北-北京四网关和子网配置： 本端网段：172.16.0.0/24，172.17.0.0/24，8.8.8.0/24 远端网关：223.223.223.223 远端子网：172.18.0.0/24 华东-上海一网关和子网配置： 本端网段：172.18.0.0/24 远端网关：49.49.49.49 远端子网：172.16.0.0/24，172.17.0.0/24，8.8.8.0/24 华北-北京四、华东-上海一配置VPN连接时，华北-北京四的本端网段和华东-上海一的远端子网设置必须包含外网网段8.8.8.0/24，以便可以ping通外网。 创建并配置云连接实例 创建云连接实例（CC-Test）。 创建流程请详细参考创建云连接实例。 加载网络实例。 加载网络实例详细参考加载网络实例。 添加其他网段。 添加其他网段详细参考添加其他网段。 华北-北京四自定义网段：172.18.0.0/24，172.16.0.0/24。 中国-香港自定义网段：172.17.0.0/24，8.8.8.0/24。 为实现所有节点都可以端到端传输，需要添加全部的本端云连接实例网段。 购买带宽包 云连接实例默认跨区域互通带宽为10kbps，仅用于测试连通性，需购买带宽包并配置域间带宽以保证业务正常使用。 购买带宽包详细参考购买带宽包。 配置域间带宽 配置域间带宽详细参考配置域间带宽。 购买弹性云服务器 分别购买华东-上海一、华北-北京四、中国-香港区域的E CS 。 购买流程请详细参考购买弹性云服务器。 华东-上海一ECS私网地址（ECS-Test01）：172.18.0.3。 华北-北京四ECS私网地址（ECS-Test02）：172.16.0.3。 中国-香港ECS私有地址（ECS-Test03）： 172.17.0.3。 购买EIP并配置NAT网关 在中国-香港区域购买EIP（EIP-Test），并配置NAT网关（NAT-Test），添加SNAT规则，将以下网段添加到规则中。 购买配置流程请详细参考申请和绑定弹性公网IP和添加SNAT规则。 添加虚拟私有云网段：172.17.0.0/24 添加云专线/云连接实例网段：172.18.0.0/24；172.16.0.0/24 添加SNAT配置用于连通外网，ping通远端外网网段8.8.8.0/24。

方案架构 通过 虚拟专用网络 （VPN）将客户本地侧和华北-北京四区域的VPC连通。 通过云连接实例将华北-北京四区域的VPC和中国-香港区域的VPC连通，并实现网络加速。 通过在中国-香港区域购买NAT网关，添加SNAT规则并绑定EIP，来实现访问境外公网。 应用场景如图1所示。 图1 场景示意 在本方案中，用户云下数据中心（IDC）使用华为云的“华东-上海一”替代。 境外网络网段：8.8.8.0/24；境外唯一测试网络：8.8.8.8。

资源和成本规划 表1 资源和成本规划 资源 资源名称 资源说明 数量 虚拟私有云（VPC） VPC-Test01 该VPC所在的区域为华东-上海一，VPC网段为：172.18.0.0/24。 本方案使用华为云的“华东-上海一”来替代用户线下数据中心（IDC）。 1 VPC-Test02 该VPC所在的区域为华北-北京四，VPC网段为：172.16.0.0/24。 1 VPC-Test03 该VPC所在的区域为中国-香港，VPC网段为：172.17.0.0/24。 1 弹性公网IP（EIP） EIP-Test 在中国-香港区域购买EIP。 1 NAT网关 NAT-Test 在VPC-Test03中购买公网NAT网关，并绑定EIP-Test。 1 VPN网关 VPN-GW-Test01 在华北-北京四区域创建VPN网关。 VPN本端网关为：49.49.49.49。 1 VPN-GW-Test02 在华东-上海一区域创建VPN网关。 VPN本端网关为：223.223.223.223。 1 VPN连接 VPN-Test01 为VPN网关VPN-GW-Test01创建VPN连接。 1 VPN-Test02 为VPN网关VPN-GW-Test02创建VPN连接。 1 云连接实例 CC-Test 使用云连接实例实现华北-北京四和中国-香港跨区域之间访问，并加速网络访问。 1 弹性云服务器（ECS） ECS-Test01 在华东-上海一区域的VPC中创建ECS，该ECS的私网地址为：172.18.0.3。 1 ECS-Test02 在华北-北京四区域的VPC中创建ECS，该ECS的私网地址为：172.16.0.3。 1 ECS-Test03 在中国-香港区域的VPC中创建ECS，该ECS的私网地址为：172.17.0.3。 1

通过云专线和企业交换机迁移IDC子网上云流程 图4 通过云专线和企业交换机迁移IDC子网上云流程 根据业务场景需求，规划资源和网段。 网络规划详情，请参见表1。 上述网段仅供参考，具体以用户网段为准。 隧道网段不建议范围很大，此隧道网段是用来规划一个隧道IP和华为云上的企业交换机建立VXLAN隧道。参考图 云下和云上Subnet A之间二层网络互通。 在云下IDC侧的隧道交换机上配置VXLAN隧道。 本文中子网Subnet D作为配置在交换机上的隧道网段，配置信息如下： 源地址：为云下隧道IP（200.51.51.100）。 目的地址：为云上隧道IP（192.168.0.98）。 隧道号：5530 配置线下交换机存在两种主要场景，不通的场景使用的配置方式不同，详情请参考配置远端隧道网关。 修改专线的虚拟子接口配置，增加隧道子网Subnet D网段（200.51.51.0/24），以打通云上和云下隧道网络。 具体操作请参考修改虚拟接口。 请提交工单给云专线服务，确认您的云专线是否支持和企业交换机对接（VXLAN），如果不支持则需要云专线服务开通对接。 创建企业交换机。 创建方法请参见购买企业交换机，参数说明如下： 隧道连接方式：选择云专线。 关联网关：选择已有云专线网关。 隧道子网：选择子网Subnet B（192.168.0.0/24）。 隧道IP：配置为云上本端隧道IP（192.168.0.98）。 单击“立即购买”及“提交”后，开始创建企业交换机。企业交换机的创建过程一般需要3~6分钟。 创建第一个二层连接子网和二层连接，实现二层连接子网Subnet A云上和云下二层互通。 创建二层连接子网后，由于两个子网网段相同，导致专线到云下和云上的路由冲突，因此专线原有三层业务中断。在创建完二层连接之后，三层业务会恢复。 在VPC中创建二层连接子网，对应图2中云上的子网Subnet A（192.168.3.0/24），子网网段与线下二层互通网段相同。 创建子网请参考为虚拟私有云创建新的子网。 子网 Subnet A、Subnet B、Subnet C、Subnet D网段不允许重叠。 Subnet D作为隧道子网，不需过大的网段范围，建议最大28位掩码。 云上VPC的掩码规划，取决于用户创建企业交换机的个数，每个企业交换机会占用隧道子网的三个IP。 创建云下和云上的二层连接子网Subnet A之间的二层连接A。 详情请参考创建二层连接。 二层连接子网：选择云上二层连接子网 Subnet A（192.168.3.0/24）。 远端接入信息： 隧道号：5530 对端隧道IP：200.51.51.100 单击“创建”，等待连接状态为“已连接”，表示二层连接已创建成功。 验证二层连接子网Subnet A之间的二层网络通信。 在云上二层连接子网 Subnet A内创建两台弹性云服务器。 此处两台ECS的私有IP地址分别为192.168.3.20和192.168.3.69。 分别登录两台创建的弹性云服务器。 弹性云服务器有多种登录方法，具体请参见登录弹性云服务器。 本示例是通过管理控制台远程登录（VNC方式）。 执行以下命令，验证是否可正常访问云下主机。 ping 云下二层连接子网Subnet A内的主机IP地址 命令示例： ping 192.168.3.255 ping 192.168.3.222 回显类似如下信息，表示二层云下和云上二层通信正常。 创建新的二层连接子网和二层连接，实现云下和云上三层互通。 在VPC中创建二层连接子网，对应图3中云上的子网Subnet C（192.168.5.0/24），子网网段与线下二层互通网段相同。 创建子网请参考为虚拟私有云创建新的子网。 创建云下和云上的二层连接子网Subnet C之间的二层连接C。 详情请参考创建二层连接。 二层连接子网：选择云上二层连接子网Subnet C（192.168.5.0/24）。 远端接入信息： 隧道号：5540 对端隧道IP：200.51.51.100 单击“创建”，等待连接状态为“已连接”，表示二层连接已创建成功。此时云下和云上可实现三层互通。 参考7，验证二层连接子网Subnet C之间的二层网络通信。 参考7，验证云下IDC内Subnet A和云上Subnet C、云上Subnet A和云下SubnetC之间三层网络通信。 回显类似如下信息，表示三层网络通信正常。 业务迁移 二层业务互通后，将IDC内的部分 主机迁移 到云上。 迁移具体操作，请参见 主机迁移服务 快速入门。 验证IDC和云上主机之间网络通信。 网络通信验证成功后，将IDC内已迁移的主机进行关机。 将云上的主机IP地址修改为云下IDC内的主机的IP地址。 修改IP地址具体操作，请参见修改私有IP地址。 验证云下IDC内主机和云上主机网络通信。

方案架构 用户云下IDC已有子网A，通过云专线连接到云上的子网B，如图1所示。用户希望将子网A内的部分业务迁移上云，迁移的具体要求如下： 扩展上云后的部分主机与同网段云下主机二层互通。 扩展上云的二层网段与IDC三层互通能力继续保持。 IDC内改造的二层网络与云上三层互通能力继续保持。 图1 用户业务场景组网图 基于客户当前的业务场景，需要进行两个阶段的网络部署，详细说明如下： 将子网Subnet A二层迁移上云，通过ESW实现云下和云上Subnet A之间二层网络互通，组网图如图2所示，迁移方案说明如下： 在云下IDC新增一个子网Subnet D，作为云下VXLAN交换机所需的隧道子网。 在云上VPC内新增一个子网Subnet A，用作云下Subnet A的上云目标子网。 将云上原有的Subnet B作为隧道子网，基于该子网创建企业交换机和二层连接，并关联云专线，即可以连通云上云下二层网络。 图2 云下和云上Subnet A之间二层网络互通 在云上和云下新增子网Subnet C，通过ESW实现云下和云上Subnet C之间二层网络互通，并且基于云专线，实现云下IDC内Subnet A和云上Subnet C、云上Subnet A和云下Subnet C之间三层互通，组网图如图3所示，部署方案说明如下： 在云上和云下分别新增子网Subnet C。 在云上和云下基于已有的隧道子网，新建一个二层连接，连通云下和云上Subnet C之间二层网络。 并且，同一个VPC内的子网网络三层互通，此时云下IDC内Subnet A和云上Subnet C、云上Subnet A和云下Subnet C之间三层互通。 图3 云上和云下三层网络互通

资源和成本规划 表1 资源和成本规划 区域 资源 资源说明 数量 每月费用（元） 华为云（本端） 虚拟私有云子网 子网名称：Subnet A 子网网段：192.168.3.0/24 第一个二层连接：二层连接A内的本端二层连接子网，此处为云上ECS所在子网 3 00.00 子网名称：Subnet C 子网网段：192.168.5.0/24 第二个二层连接：二层连接C内的二层连接子网，此处为云上ECS所在子网 子网名称：Subnet B 子网网段：192.168.0.0/24 本端隧道子网，华为云上的隧道子网，此处为DC和ESW所在子网 弹性 云服务器ECS Subnet A内地ECS，此处两台主机为IDC业务上云后扩展的两台主机。 私有IP地址：192.168.3.4 私有IP地址：192.168.3.5 Subnet C内地ECS： 私有IP地址：192.168.5.4 私有IP地址：192.168.5.5 4 1055.60 企业交换机 ESW 隧道连接方式：云专线 隧道子网：Subnet B 1 65000.00 二层连接 二层连接A，连接云上和云下Subnet A 隧道IP：192.168.0.98 隧道号：5530 二层连接C，连接云上和云下Subnet C 隧道IP：192.168.0.98 隧道号：5540 基于同一个企业交换机的两个二层连接，隧道IP地址保持一致，但是隧道号不能重复。 2 00.00 客户IDC（远端） 客户IDC内子网 子网名称：Subnet A 子网网段：192.168.3.0/24 第一个二层连接：二层连接A内的远端二层连接子网，客户IDC业务集群所在的子网 3 - 子网名称：Subnet C 子网网段：192.168.5.0/24 第二个二层连接：二层连接C内的远端二层连接子网，客户IDC业务集群所在的子网 子网名称：Subnet D 子网网段：200.51.51.0/24 远端隧道子网：客户IDC内的隧道子网 二层连接对应的IDC内VXLAN隧道 二层连接A，连接云上和云下Subnet A 隧道IP：200.51.51.100 隧道号：5530 二层连接C，连接云上和云下Subnet C 隧道IP：200.51.51.100 隧道号：5540 2 - 资源成本费用预估为66055.60元，该费用中，不包括迁移主机产生的费用，迁移费用详情请参见计费说明。 本文提供的成本预估费用仅供参考，资源的实际费用以华为云管理控制台显示为准。

方案架构 客户的模拟场景说明如下： 华东-上海一：用作模拟客户IDC，部门A的业务部署在subnet-1内的主机10.0.1.131和主机10.0.1.8上，两台主机组成集群对外提供服务。 华南-广州：用作模拟客户迁移上云的区域，部门A业务所在的主机10.0.1.8待迁移到华为云上。 本最佳实践提供的迁移方案说明如下： 使用VPN和ESW打通“华东-上海一”和“华南-广州”两个子网之间的二层网络，将主机10.0.1.8迁移到云上子网内。 迁移完成后，删除IDC内主机10.0.1.8，主机10.0.1.131能够和云上的主机10.0.1.8相互访问。 图1 企业交换机迁移组网（VPN+ESW）

资源和成本规划 表1 资源和成本规划 区域 资源 资源名称 资源说明 数量 每月费用（元） 华南-广州： 模拟华为云（本端） 虚拟私有云VPC vpc-guangzhou VPC网段：10.0.0.0/16 1 00.00 虚拟私有云子网 subnet-1 子网网段：10.0.1.0/24 本端二层连接子网，模拟华为云业务集群所在的子网，此处为迁移后的ECS所在子网 2 00.00 subnet-5 子网网段：10.0.5.0/24 本端隧道子网，模拟华为云上的隧道子网，此处为VPN所在子网 弹性云服务器ECS ecs-guangzhou -8 私有IP地址：10.0.1.21 模拟华为云内的主机，此台主机为迁移后的主机，迁移前IP地址为10.0.1.21，迁移完成后，修改IP地址为10.0.1.8 1 263.90 虚拟专用网络VPN vpn-guangzhou 本端子网：subnet-5 远端网关：119.3.121.173，此处填写华东-上海一VPN的本端网关 远端子网：10.0.3.0/24，此处填写华东-上海一VPN所在的子网 1 375.00 企业交换机 ESW l2cg-guangzhou 隧道连接方式：VPN 关联网关：vpngw-guangzhou 隧道子网：subnet-5 1 65000.00 二层连接 l2conn-guangzhou 隧道IP：10.0.5.196 隧道号：1000 1 00.00 华东-上海一 模拟客户IDC（远端） 虚拟私有云VPC vpc-shanghai VPC网段：10.0.0.0/16 1 00.00 虚拟私有云子网 subnet-1 子网网段：10.0.1.0/24 远端二层连接子网，模拟客户IDC业务集群所在的子网，此处为待迁移的主机所在子网 2 00.00 subnet-3 子网网段：10.0.3.0/24 远端隧道子网，模拟客户IDC内的隧道子网，此处为VPN所在子网 弹性云服务器ECS ecs-shanghai -131 私有IP地址：10.0.1.131 模拟客户IDC内集群中的主机 2 527.80 ecs-shanghai -8 私有IP地址：10.0.1.8 模拟客户IDC内的主机，此台主机待迁移 虚拟专用网络VPN vpn-shanghai 本端子网：subnet-3 远端网关：139.9.20.226，此处填写华南-广州VPN的本端网关 远端子网：10.0.5.0/24，此处填写华南-广州VPN所在的子网 1 375.00 企业交换机 ESW l2cg-shanghai 隧道连接方式：VPN 关联网关：vpngw-shanghai 隧道子网：subnet-3 1 65000.00 二层连接 l2conn-shanghai 隧道IP：10.0.3.131 隧道号：1000 1 00.00 资源成本费用预估为131541.70元，该费用中，不包括迁移主机产生的费用，迁移费用详情请参见计费说明。 本文提供的成本预估费用仅供参考，资源的实际费用以华为云管理控制台显示为准。

请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 Authorization 是 String 该字段存储的是Access Token。调用KooDrive的API使用Token认证，拥有Token就代表拥有某种权限，在调用API的时候将Token加到请求消息头中，从而通过身份认证，获得操作API的权限。Access Token的获取请参考对应的开发手册，格式参考：Bearer+{access_token} language 否 String 国际化语言标识，符合i18n规范，如zh-CN表示简体中文，en-US表示美式英语，不传默认美式英语

请求参数 表1 请求Header参数 参数 是否必选 参数类型 描述 Authorization 是 String 该字段存储的是Access Token。调用KooDrive的API使用Token认证，拥有Token就代表拥有某种权限，在调用API的时候将Token加到请求消息头中，从而通过身份认证，获得操作API的权限。Access Token的获取请参考对应的开发手册，格式参考：Bearer+{access_token} language 否 String 国际化语言标识，符合i18n规范，如zh-CN表示简体中文，en-US表示美式英语，不传默认美式英语

响应参数 状态码： 200 表3 响应Body参数 参数 参数类型 描述 code String 响应码 msg String 响应信息 nextCursor String 分页游标，如果不存在，代表已返回最后一个 messages MessageInfo object 消息对象 表4 MessageInfo 参数 参数类型 描述 id String 消息ID sender String 消息发送方 type String 消息类型 context String 消息内容 state Integer 消息状态 createTime String 消息接收时间

请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 Authorization 是 String 该字段存储的是Access Token。调用KooDrive的API使用Token认证，拥有Token就代表拥有某种权限，在调用API的时候将Token加到请求消息头中，从而通过身份认证，获得操作API的权限。Access Token的获取请参考对应的开发手册，格式参考：Bearer+{access_token} language 否 String 国际化语言标识，符合i18n规范，如zh-CN表示简体中文，en-US表示美式英语，不传默认美式英语

URI GET /koodrive/ose/v1/message/list 表1 Query参数 参数 是否必选 参数类型 描述 pageSize 否 Integer 每页返回的个数，默认是100，可接受值最大值是100。注意在到达最后的列表之前，实际有可能返回部分或者空结果 pageCursor 否 String 当前页游标，由前一个响应的nextCursor获取，默认为0 filterType 否 String 过滤类型。 000：分享消息; 001：团队消息; 002：系统消息; 003：管理消息 state 否 Integer 消息状态。0：未读；1：已读

请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 Authorization 是 String 该字段存储的是Access Token。调用KooDrive的API使用Token认证，拥有Token就代表拥有某种权限，在调用API的时候将Token加到请求消息头中，从而通过身份认证，获得操作API的权限。Access Token的获取请参考对应的开发手册，格式参考：Bearer+{access_token} language 否 String 国际化语言标识，符合i18n规范，如zh-CN表示简体中文，en-US表示美式英语，不传默认美式英语 X-Traceid 否 String 消息日志跟踪id(58位)

请求参数 表1 请求Header参数 参数 是否必选 参数类型 描述 Authorization 是 String 该字段存储的是Access Token。调用KooDrive的API使用Token认证，拥有Token就代表拥有某种权限，在调用API的时候将Token加到请求消息头中，从而通过身份认证，获得操作API的权限。Access Token的获取请参考对应的开发手册，格式参考：Bearer+{access_token} X-User-Id 是 String 用户id,用于app鉴权 X-Date 是 String 日期,用于app鉴权 Host 是 String 地址,用于app鉴权 X-Traceid 否 String 消息日志跟踪标识（必须58位） language 否 String 国际化语言标识，符合i18n规范，如zh-CN表示简体中文，en-US表示美式英语，不传默认美式英语 表2 请求Body参数 参数 是否必选 参数类型 描述 userId 是 String 用户id modifyUserInfoReq 是 modifyUserInfoReq object 表3 modifyUserInfoReq 参数 是否必选 参数类型 描述 deptId 否 String 部门id role 否 String 角色

请求参数 表1 请求Header参数 参数 是否必选 参数类型 描述 Authorization 是 String 该字段存储的是Access Token。调用KooDrive的API使用Token认证，拥有Token就代表拥有某种权限，在调用API的时候将Token加到请求消息头中，从而通过身份认证，获得操作API的权限。Access Token的获取请参考对应的开发手册，格式参考：Bearer+{access_token} language 否 String 国际化语言标识，符合i18n规范，如zh-CN表示简体中文，en-US表示美式英语，不传默认美式英语 表2 请求Body参数 参数 是否必选 参数类型 描述 curDeptId 是 Integer 用于识别操作者选择的部门 users 是 Array of ImportUserInfo objects 导入的用户信息 表3 ImportUserInfo 参数 是否必选 参数类型 描述 targetDeptName 否 String 导入的目标部门名 personalCapacity 是 Integer 分配的个人空间容量,若isAllocateCapacity为false，该值传0 isAllocateCapacity 是 Boolean 是否分配个人空间

响应参数 状态码： 200 表4 响应Body参数 参数 参数类型 描述 code Integer 响应码 msg String 响应消息 data Array of ImportUserVerifyResult objects 结果 表5 ImportUserVerifyResult 参数 参数类型 描述 isSuccess Integer 导入结果：成功或失败 reason String 失败原因

请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 Authorization 是 String 该字段存储的是Access Token。调用KooDrive的API使用Token认证，拥有Token就代表拥有某种权限，在调用API的时候将Token加到请求消息头中，从而通过身份认证，获得操作API的权限。Access Token的获取请参考对应的开发手册，格式参考：Bearer+{access_token} X-Traceid 否 String 消息日志跟踪标识（必须58位） language 否 String 国际化语言标识，符合i18n规范，如zh-CN表示简体中文，en-US表示美式英语，不传默认美式英语

请求参数 表1 请求Header参数 参数 是否必选 参数类型 描述 Authorization 是 String 该字段存储的是Access Token。调用KooDrive的API使用Token认证，拥有Token就代表拥有某种权限，在调用API的时候将Token加到请求消息头中，从而通过身份认证，获得操作API的权限。Access Token的获取请参考对应的开发手册，格式参考：Bearer+{access_token} language 否 String 国际化语言标识，符合i18n规范，如zh-CN表示简体中文，en-US表示美式英语，不传默认美式英语 表2 请求Body参数 参数 是否必选 参数类型 描述 ids 是 Array of strings 消息ID

URI GET /koodrive/ose/v1/star/files 表1 Query参数 参数 是否必选 参数类型 描述 pageSize 否 Integer 每个返回的个数，默认是100，可接受值最大值是100。注意在到达最后的列表之前，实际有可能返回部分或者空结果 pageCursor 否 String 当前页游标，由前一个响应的nextCursor获取 sortType 否 Integer 排序类型，1：收藏时间（默认） sortDirection 否 Integer 排序方向，1：升序，2：降序（默认） fileType 否 String 文件类型： 10：文件夹 15：图片 20：视频 26：word 27：excel 28：ppt 30：音频 35：压缩文件 40：应用 45：其他