华为云用户手册

设置错误响应 调用API如果输入错误的认证信息，则返回结果如下： 1 {"error_msg":"Incorrect authentication information: frontend authorizer","error_code":"APIG.0305","request_id":"36e42b3019077c2b720b6fc847733ce9"} 为了让API响应结果为函数中返回的context中的字段（如果您使用的是专享版网关，并且实例支持authorizer_context_support_num_bool特性，那么context中的value的类型可以为boolean类型或number类型），需要修改网关响应模板。在API所在分组中，“分组信息”页签下的“网关响应”区域，编辑自定义认证失败的响应详情，将响应状态码改为401，将消息模板改为（引用变量为boolean类型或number类型时，变量不需要加双引号）： 1 {"code":"$context.authorizer.frontend.code","message":"$context.authorizer.frontend.message", "authorizer_success": "$context.authorizer.frontend.authorizer_success"} 修改之后，调用API传入错误的认证信息，返回状态码为401，返回结果如下： 1 {"code":"1001","message":"incorrect username or password","authorizer_success": "false"}

操作流程 编写自定义认证函数 创建一个函数作为用户自己的认证服务。 创建自定义认证 在APIG中创建一个自定义认证，将函数服务接入APIG。 创建自定义认证的API 创建一个自定义认证方式的API。 设置错误响应 为了让API响应结果为函数中返回的context中的字段，需要修改网关响应。 映射后端参数 添加系统参数，将函数返回的context信息传到后端。 验证 调用API，观察是否成功返回函数的context信息。

适用计费项 表1 按需计费适用计费项 计费项 说明 版本（实例规格） API网关提供的实例版本有：基础版、专业版、企业版、铂金版等，您可以根据实际业务需要按需使用。实例版本说明，请参考产品规格。如果您当前使用的实例版本不能满足需要，API网关支持升级产品版本，例如从“基础版”升级到“专业版”或者铂金版，并且对现有业务没有影响。 实例版本单价，请参考价格详情中的按需计费价格。 公网带宽 使用的公网入口和公网出口带宽大小。 购买时长 使用实例或公网带宽的时间长度，按小时计费，精确到秒。 购买个数 实例的个数。 假设您计划使用1个专业版实例，开启公网出口，公网带宽大小为5Mbit/s，使用时长1小时，在价格计算器页面底部，您将看到所需的配置费用。 图1 按需计费配置费用示例 配置费用包括版本、公网带宽、实例数以及使用时长。

计费周期 按需计费时，实例按秒计费，每一个小时整点结算一次费用（以GMT+08:00时间为准），结算完毕后进入新的计费周期。计费的起点以部署在API网关上实例启动运行的时间点为准，终点以实例删除的时间为准。 例如，您在2023/03/10 8:45:30部署了专业版实例，然后在9:30:00将其全部删除，则计费周期分为如下两个时间段： 8:00:00~9:00:00时间段，在8:45:30~9:00:00间产生费用，该计费周期内的计费时长为870秒。 9:00:00~10:00:00时间段，在9:00:00~9:30:00间产生费用，该计费周期内的计费时长为1800秒。

升级实例版本后对计费的影响 如果您当前使用的实例版本不能满足需要，API网关支持升级产品版本，例如从“基础版”升级到“专业版”或者铂金版，并且对现有业务没有影响。 如果您在一个小时内升级了实例版本，将会产生多条计费信息。每条计费信息的开始时间和结束时间对应不同配置在该小时内的生效时间。 例如2023/03/10 9:00:00，您部署运行了专业版实例（假设实例版本单价为12.88元/小时/实例，公网带宽单价为0.063元/小时/实例）。并在9:30:00升级实例版本到企业版（假设实例版本单价为19.36元/小时/实例，公网带宽单价为0.063元/小时/实例），那么在9:00:00 ~ 10:00:00间会产生两条计费信息： 第一条对应9:00:00 ~ 9:30:00，按照专业版计费。则参考计费项中的计费公式，该计费时间段内的费用为：1800÷3600x12.88x1+1800÷3600x0.063x1=6.47（元）。 第二条对应9:30:00 ~ 10:00:00，按照企业版计费。则参考计费项中的计费公式，该计费时间段内的费用为：1800÷3600x19.36x1+1800÷3600x0.063x1=9.71（元）。

计费示例 假设您在2023/03/10 8:45:30部署专业版实例（假设实例版本单价为12.88元/小时/实例，公网带宽单价为0.063元/小时/实例），然后在9:30:00将其全部删除，则计费周期分为如下两个时间段： 8:00:00~9:00:00时间段，在8:45:30~9:00:00间产生费用，该计费周期内的计费时长为870秒。则参考计费项中的计费公式，该计费时间段内的费用为：870÷3600x12.88x1+870÷3600x0.063x1=3.13（元）。 9:00:00~10:00:00时间段，在9:00:00~9:30:00间产生费用，该计费周期内的计费时长为1800秒。则参考计费项中的计费公式，该计费时间段的费用为：1800÷3600x12.88x1+1800÷3600x0.063x1=6.47（元）。

配额限制 如果您需要修改默认限制值，请参考如何申请扩大配额。专享版更多参数配置，请参见配置参数。 新增或修改的APIG资源存在数据同步延迟，需要5-10秒才生效。 在高并发情况下会出现略超最大配额数限制的情况，不影响资源的正常使用。 表3 专享版配额管理明细 限制项 默认限制 能否修改 实例数量 每个用户最多创建5个实例。 √ API分组数量 每个实例最多创建1500个API分组。 √ API数量 每个实例： 基础版：250 专业版：800 企业版：2000 铂金版：8000 √ API数量 每个分组最多创建1000个API。 x 后端策略数量 每个实例最多创建5个后端策略。 √ 凭据数量 每个实例最多创建50个凭据。凭据配额包括用户自行创建的应用。 √ 流控策略数量 每个实例最多创建300个流控策略。 用户流量限制不超过API流量限制。 应用（凭据）流量限制不超过用户流量限制。 源IP流量限制不超过API流量限制。 √ 环境数量 每个实例最多创建10个环境。 √ 签名密钥数量 每个实例最多创建200个签名密钥。 √ 访问控制策略数量 每个实例最多可以创建100个访问控制策略。 √ VPC通道（负载通道）数量 每个实例最多创建200个VPC通道。 √ 变量数量 每个分组在任意一个环境中，最多创建50个变量。 √ 独立 域名 数量 每个分组最多可以绑定5个独立域名。 √ 云服务器数量 每个VPC通道最多添加10个云服务器。 √ 参数数量 每个API最多创建50个参数。 √ 发布历史数量 同一个API在每个环境中最多记录10条最新的发布历史。 √ 每个API的访问频率 不超过6000次/秒。 √ 特殊应用（凭据） 每个流控策略最多可创建30个特殊应用。 √ 特殊租户 每个流控策略最多可创建30个特殊租户。 √ 子域名（调试域名）访问次数 每个子域名每天最多可以访问1000次。 x 调用请求包的大小 API每次最大可以调用12M的请求包。 √ TLS协议 支持TLS1.1和TLS1.2，推荐使用TLS1.2。 √ 自定义认证数量 每个实例最多创建50个自定义认证。 x 插件数量 每个实例最多创建500个插件策略。 √ HTTP协议 使用HTTP协议时，URL+Header的大小上限为32K。 x 表4 共享版配额管理明细 限制项 默认限制 能否修改 API分组数量 每个用户最多创建50个API分组。 √ API数量 每个用户最多创建200个API。 √ 后端策略数量 每个用户最多创建5个后端策略。 √ 应用数量 每个用户最多创建50个应用。应用配额包括用户自行创建的应用和API云商店购买API生成的应用。 √ 流控策略数量 每个用户最多创建30个流控策略。 用户流量限制不超过API流量限制。 应用流量限制不超过用户流量限制。 源IP流量限制不超过API流量限制。 √ 环境数量 每个用户最多创建10个环境。 √ 签名密钥数量 每个用户最多创建30个签名密钥。 √ 访问控制策略数量 每个用户最多可以创建100个访问控制策略。 √ VPC通道数量 每个用户最多创建30个VPC通道。 √ 变量数量 每个分组在任意一个环境中，最多创建50个变量。 √ 独立域名数量 每个分组最多可以绑定5个独立域名。 √ 云服务器数量 每个VPC通道最多添加200个云服务器。 √ 参数数量 每个API最多创建50个参数。 √ 发布历史数量 同一个API在每个环境中最多记录10条最新的发布历史。 √ 每个API的访问频率 不超过200次/秒。 √ 特殊应用 每个流控策略最多可创建30个特殊应用。 √ 特殊租户 每个流控策略最多可创建30个特殊租户。 √ 子域名访问次数 每个子域名每天最多可以访问1000次。 x 调用请求包的大小 API每次最大可以调用12M的请求包。 x 自定义认证数量 每个用户最多创建20个自定义认证。 √

API 表2 API约束与限制 限制项 约束与限制 API分组 一个API只能属于一个API分组。 SSL证书 仅支持添加pem编码格式的SSL证书。 添加的SSL证书仅支持RSA、ECDSA加密算法。 域名 调试域名默认只能在与实例相同VPC内的服务器上解析和访问，如果调试域名要支持公网解析与访问，请在实例上绑定公网入口弹性IP。 调试域名不能用于生产业务，且仅限应用程序调试使用。 同一实例下的不同分组不能绑定相同的独立域名。 独立域名绑定端口时，同一域名不支持绑定相同端口。 同一域名不同端口，无论哪个端口绑定/修改/解绑SSL证书、开启/关闭客户端认证，所有端口都会同步生效。 如果您通过负载通道访问后端服务，那么独立域名绑定的端口需与负载通道中后端服务器的访问端口保持一致。 独立域名绑定端口后，如果您通过IP地址访问非DEFAULT分组下的，那么需要在请求消息中添加Header参数“host”，host值必须带有对应的访问协议的端口（默认的80/443端口，host值可以不带）。 如果您通过IP地址访问API，则无法使用域名证书完成SSL认证，除非配置了IP证书。因此，不推荐使用IP地址访问API，否则无法保证链路安全。 启用http to https自动重定向时，由于浏览器限制，非GET或非HEAD方法的重定向可能导致数据丢失，因此，API请求方法限定为GET或HEAD。仅当API的请求协议选择“HTTPS”或“HTTP&HTTPS”，且独立域名已绑定SSL证书时重定向生效。 API策略 同一个环境中，一个API只能被一个同类型（流控策略、响应缓存策略、第三方认证策略等类型）策略绑定，但一个同类型策略可以绑定多个API。 策略和API本身相互独立，只有为API绑定策略后，策略才对API生效。为API绑定策略时需指定发布环境，策略只对指定环境上的API生效。 策略的绑定、解绑、更新会实时生效，不需要重新发布API。 API的下线操作不影响策略的绑定关系，再次发布后仍然会带有下线前绑定的策略。 如果策略与API有绑定关系，则策略无法执行删除操作。 凭据 每个凭据最多绑定1000个API。 每个凭据最多可创建5个AppCode。

实例 表1 实例约束与限制 限制项 约束与限制 用户权限 如果您使用系统角色相关权限，需要同时拥有“APIG Administrator”和“VPC Administrator”权限才能创建实例。 如果您使用系统策略，则拥有“APIG FullAccess”权限即可。 如果您使用自定义策略，请参考APIG自定义策略。 网络 如果用户使用192.x.x.x或10.x.x.x网段，APIG则会使用172.31.32.0/19作为内部网段。 如果用户使用172.x.x.x网段，APIG则会使用192.168.32.0/19作为内部网段。 子网中可用私有地址数量 API网关专享实例的基础版、专业版、企业版，以及铂金版分别需要3、5、6、7个私有地址。在铂金版的基础上，铂金版X依次增加4个私有地址。例如，铂金版x2需要11个私有地址，铂金版x4需要19个私有地址。请确保您选择的子网段有足够多的私有地址可用，私有地址可在虚拟私有云服务的控制台查询。 负载 创建实例后，不支持修改虚拟私有云（负载）。 负载均衡模式为LVS模式或ELB模式。当前仅墨西哥城一、北京一区域支持LVS模式，其他区域支持ELB模式。 规格 规格变更过程中，长连接会发生闪断，需要重新建链，建议业务低峰期进行规格变更。 只能升配到更高规格，无法降配规格。 规格变更时，出私网IP会发生变化，如有相关防火墙配置或者白名单配置需要完全放通，防止网络问题导致业务受损！变更期间请勿对实例进行任何操作！变更完成后，请根据业务需要重新调整相关防火墙配置或者白名单配置。 安全组 仅墨西哥城一、北京一区域配置的安全组生效。在其他区域购买实例后安全组不生效，如需禁用部分IP请使用访问控制策略。

专享版与共享版的差异 API网关当前提供共享版与专享版两种服务方式。其中共享版API即开即用，专享版API网关需要购买专享版实例，并在实例中管理API。 专享版API网关常用于企业内部系统解耦，各服务部署在云上的VPC内，服务之间以RESTful API方式通信，通信链路在VPC内部进行，网络安全得到进一步保障。同时专享版实例支持前端或后端服务部署在公有网络，通过绑定弹性公网IP实现网络交互。 表3 共享版与专享版API网关差异 差异项 共享版 专享版 计费 按API的调用量和公网流量计费。 按实例规格与公网出口带宽计费。 网络访问 公网访问。 实例运行在虚拟私有云（VPC）中，在VPC内，使用实例的虚拟私有云访问地址调用API。 可通过开启公网入口与出口访问，允许外部服务调用API，及后端部署在外部网络环境中。 云商店售卖 API可在云商店公开售卖。 不支持将API上架到云商店公开售卖。 使用对象 小型用户。 物理隔离要求较低，能够开箱即用，快速实现API能力开放。 中大型用户。 专享版API网关拥有物理隔离的独立集群， 更丰富的特性。 满足内部API调用跟API开放，专享独立的公网带宽。 API网关的共享版与专享版在功能上的异同点如下表所示。 表4 共享版与专享版API网关功能差异 规格分类 规格描述 共享版 专享版 基本功能 精细化流控 √ √ IP&用户访问控制 √ √ 安全认证 √ √ API生命周期管理 √ √ 自定义域名 √ √ Swagger导入导出 √ √ 支持VPC通道（负载通道） √ √ API参数编排 √ √ API分组变量管理 √ √ 高级功能 自定义认证 √ √ 支持对接API云商店 √ 即将支持 支持API策略路由 √ √ 运维分析展示 √ √ 支持后端负载均衡 × √ 支持内部API管理 × √ 后端支持对接私有云 × √ 支持对接专线服务 × √ 插件 × √ 日志分析 × √ 性能指标 独立物理多租集群 × √ 出、入网带宽独立 × √ 推荐每秒请求次数 200TPS 4000~10000TPS

专享版规格 专享版API网关QPS（Query Per Second，每秒查询率）吞吐受应答大小、是否开启HTTPS、是否开启gzip等多种因素影响。下表是API网关处于30%CPU水位下的QPS参考值，参考场景为无认证和单机流控模式。 安全水位指能够在突发流量增长至双倍的情况下，API网关系统依然维持高吞吐量和低延迟性能。 表1 QPS性能参考 实例规格 基础版 专业版 企业版 铂金版 铂金版x2 连接类型 应答字节数（KBytes） 是否使用HTTPS 是否使用gzip CPU处于安全水位（30%）的QPS参考 短连接 1 否 否 1,600 3,600 9,000 55,000 72,000 是 否 1,000 1,100 2,800 16,000 20,000 长连接 1 否 否 2,500 4,200 13,000 79,000 105,000 是 否 2,000 4,000 11,000 67,000 95,000 10 否 否 2,200 4,000 10,000 67,000 85,000 是 否 1,800 3,800 9,500 65,000 80,000 不同实例规格的带宽和内网连接数都不同，建议参考下表数据将带宽和连接数控制在有效范围内。 表2 带宽和连接数参考 实例规格 带宽 内网每秒新建连接数 基础版 单AZ：50Mbit/s 双AZ及以上：100Mbit/s 1,000 专业版 单AZ：100Mbit/s 双AZ及以上：200Mbit/s 1,000 企业版 单AZ：200Mbit/s 双AZ及以上：400Mbit/s 1,000 铂金版 单AZ：400Mbit/s 双AZ及以上：800Mbit/s 1,000 铂金版 x2 单AZ：2Gbit/s 双AZ及以上：4Gbit/s 1,000 铂金版 x3 单AZ：2Gbit/s 双AZ及以上：4Gbit/s 1,000 铂金版 x4 单AZ：2Gbit/s 双AZ及以上：4Gbit/s 1,000 铂金版 x5 单AZ：2Gbit/s 双AZ及以上：4Gbit/s 1,000 铂金版 x6 单AZ：2Gbit/s 双AZ及以上：4Gbit/s 1,000 铂金版 x7 单AZ：2Gbit/s 双AZ及以上：4Gbit/s 1,000 铂金版 x8 单AZ：2Gbit/s 双AZ及以上：4Gbit/s 1,000 如果部分新特性（支持实例规格变更、断路器策略等）在当前实例不支持，请联系技术支持升级实例版本。 专享版实例对于API的各项默认配额，与共享版一致。 专享版实例规格变更请参考实例规格变更章节。 目前仅上海一、乌兰察布一、贵阳一、北京四、华东二、利雅得、香港区域支持选择更多铂金版规格。

操作步骤 进入路由策略列表页面。 在路由策略列表中，单击目标路由策略名称。 进入路由策略详情页面。 单击页面左上角的“添加策略节点”。 弹出“添加策略节点”页面。 根据界面提示，配置策略节点的基本信息，如表1所示。 表1 添加策略节点-参数说明 参数名称 参数说明 取值样例 节点号 必选参数。 一个路由策略由一个或多个策略节点构成，当使用路由策略过滤路由信息时，节点号取值小的策略节点先执行。 请根据需要填写相应的节点号，取值范围为0~65535。 20 匹配模式 必选参数。 路由策略的匹配模式，取值如下： 允许：当匹配上策略节点中的所有过滤条件，如果该策略节点的匹配模式是允许，则这条路由被允许通过。 拒绝：当匹配上策略节点中的所有过滤条件，如果该策略节点的匹配模式是拒绝，则这条路由被拒绝通过。 须知： 默认所有未与任何一个路由策略节点匹配的路由，均为未通过路由策略的过滤。因此在一个路由策略中创建了一个或多个拒绝模式的路由策略节点后，需要创建一个路由策略节点来允许所有其他路由通过。 允许 匹配条件 必选参数。 设置路由的过滤条件，匹配上的路由，根据匹配原则，被允许通过或拒绝。当前路由策略支持以下匹配条件： 路由类型 静态路由：用户手动配置的路由。 在ER场景下，位于ER路由表中的自定义路由和“虚拟私有云（VPC）”连接对应的传播路由属于静态路由。 BGP路由：通过BGP协议学习的路由。 在ER场景下，以云专线DC为例，DC的全域接入网关和ER在云上通信使用BGP协议，那么在ER路由表中，“全域接入网关（DGW）”连接学习来的传播路由，属于BGP路由。 “对等连接（Peering）”、“VPN网关（VPN）”类型的连接同理。 IP地址前缀列表：是一种包含一组路由信息过滤规则的过滤器，用户可以在规则中定义IP地址前缀和掩码长度范围，用于匹配路由信息的目的网段地址或下一跳地址。更多详细信息，请参见IP地址前缀列表概述。 AS_Path列表：是一组针对BGP路由的AS_Path属性进行过滤的规则。在BGP的路由信息中，包含有AS_Path属性，AS_Path属性按矢量顺序记录了BGP路由从本地到目的地址所要经过的所有AS编号，因此基于AS_Path属性定义一些过滤规则，就可以实现对BGP路由信息的过滤。更多详细信息，请参见AS_Path列表概述。 路由类型：动态路由 IP地址前缀列表：prefixFilter-ab AS_Path列表：asPathFilter-ab 策略值 可选参数。 当路由策略的匹配模式选择“允许”时，您可以根据需要设置路由的策略值。当前路由策略支持两个策略值，通过“添加策略值”按钮，可同时添加两个策略值。 PrefVal： 华为规定的路由特有属性，代表路由的优先级。PrefVal值越大，路由优先级越高。 通过在路由策略中设置PrefVal值，可以修改路由的PrefVal值。 PrefVal值为整数。 企业路由器中不同类型连接的默认值如下： 虚拟网关（VGW）：100 对等连接（Peering）：60 VPN网关（VPN）：80 全域接入网关（DGW）：100 须知： 修改路由的PrefVal值，会影响不同类型连接路由的选路策略。如果您修改不当，可能会对业务造成影响，请您提交工单联系华为云客服，评估修改方案。 AS_Path：在BGP的路由信息中，包含有AS_Path属性，AS_Path属性按矢量顺序记录了BGP路由从本地到目的地址所要经过的所有AS编号。 通过在路由策略中设置AS_Path，可以为路由执行以下动作: 追加：在AS_Path的左侧位置中追加策略中设置的值。 替换：替换路由原有的AS_Path为路由策略中设置的值。 删除：删除路由原有AS_Path中的指定值。 AS_Path值的填写要求如下： 格式为x或x.y的整型数字，其中x的范围为1-65535, y的范围为0-65535。 一次最多可填写10个值。 值不允许重复。 prefVal：20 AS_Path：2000 10.2 3.7 500 一个策略节点信息设置完成后，单击“添加策略节点”，可继续添加策略节点。 所有策略节点的基本信息设置完成后，单击“确定”。 返回策略节点列表页面，可查看已添加的策略节点。

传播概述 传播是企业路由器和连接的路由学习关系，一个连接可以和多个ER路由表建立传播关系，为连接创建传播后，可以将连接的路由信息自动学习到ER路由表中。 如果不创建传播，可以手动在路由表中添加连接的静态路由。 图1 传播路由和静态路由概述 表1 传播概述 连接类型 路由学习内容 创建传播的方法 图示说明 虚拟私有云（VPC） VPC的网段 自动创建：开启“默认路由表传播”功能，并指定默认传播路由表，系统会自动在默认传播路由表中为新接入的连接创建传播。 创建企业路由时，直接开启该功能，具体请参见创建企业路由器。 企业路由器创建完成后，再开启该功能，具体请参见修改企业路由器配置。 手动创建：您可以选择任意一个路由表，并在路由表中为连接创建传播，具体请参见在路由表中创建连接的传播。 一个连接可以在多个路由表中创建传播，图1中连接的传播关系说明如下： 自动创建传播：自动在ER默认传播路由表中创建传播，比如Peering2连接 、DGW1连接、VPN1连接、VPC1连接。 手动创建传播：手动在ER自定义路由表中创建传播，比如DGW1连接、VPC1连接、VPN2连接、DGW2连接。 不创建传播：不使用传播路由，手动在ER自定义路由表中创建静态路由，比如VPC2连接、Peering3连接 。 虚拟网关（VGW） 全部路由信息 VPN网关（VPN） 全部路由信息 对等连接（Peering） 全部路由信息 全域接入网关（DGW） 全部路由信息 云防火墙 （CFW） 云防火墙承载VPC的网段 父主题： 传播

操作步骤 进入企业路由器列表页面。 通过名称过滤，快速找到待创建路由表的企业路由器。 您可以通过以下两种操作入口，进入企业路由器的“路由表”页签。 在企业路由器右上角区域，单击“管理路由表”。 单击企业路由器名称，并选择“路由表”页签。 在“路由表”页签下，单击“创建路由表”。 弹出“创建路由表”对话框。 根据界面提示，配置路由表的基本信息，如表1所示。 表1 创建路由表-参数说明 参数名称 参数说明 取值样例 名称 必选参数。 输入路由表的名称。要求如下： 长度范围为1~64位。 名称由中文、英文字母、数字、下划线（_）、中划线（-）、点（.）组成。 er-rtb-01 标签 可选参数。 您可以在创建路由表的时候为路由表绑定标签，标签用于标识云资源，可通过标签实现对云资源的分类和搜索。 关于标签更详细的说明，请参见标签概述。 说明： 如您的组织已经设定路由表的相关标签策略，则需按照标签策略规则为路由表添加标签。标签如果不符合标签策略的规则，则可能会导致路由表创建失败，请联系组织管理员了解标签策略详情。关于标签策略的详细说明，请参见标签策略概述。 “标签键”：test “标签值”：01 描述 可选参数。 您可以根据需要在文本框中输入对该路由表的描述信息。 - 基本信息设置完成后，单击“确定”。 返回路由表列表页面。 在路由表列表页面，查看路由表状态。 待状态由“创建中”变为“正常”，表示路由表创建完成。

操作步骤 进入 云审计 服务事件列表页面。 在事件列表中，设置筛选条件，快速查询对应的操作事件。 当前事件列表支持四个维度的组合查询，详细信息如下： 事件类型：可选项为“管理事件”、“数据事件”。 事件来源、资源类型和筛选类型。 当“筛选类型”选择“按事件名称”时，还需要选择具体的事件名称。 当“筛选类型”选择“按资源ID”时，还需要输入某个具体的资源ID。 当“筛选类型”选择“按资源名称”时，还需要输入某个具体的资源名称。 操作用户：在下拉框中选择某一具体的操作用户，此操作用户指用户级别，而非租户级别。 事件级别：可选项为“所有事件级别”、“normal”、“warning”、“incident”，只可选择其中一项。 时间范围：可选择查询最近七天内任意时间段的操作事件。 展开需要查看的事件，查看详细信息。 在需要查看的记录右侧，单击“查看事件”，弹窗中显示了该操作事件结构的详细信息。 更多关于云审计的信息，请参见《云审计服务用户指南》。

路由策略功能说明 路由策略中可以包含一个或多个路由策略节点，路由策略节点由过滤路由的匹配条件和路由策略值组成，可看作是一个路由过滤器。 匹配条件：设置路由的过滤条件，匹配上的路由，根据匹配原则，被允许通过或拒绝，具体请参见表1。 路由策略值：根据匹配条件，可匹配的路由，依据路由策略设定修改策略值，具体请参见表2。 表1 路由匹配条件说明 路由匹配条件 说明 路由类型 静态路由：用户手动配置的路由。 在ER场景下，位于ER路由表中的自定义路由和“虚拟私有云（VPC）”连接对应的传播路由属于静态路由。 BGP路由：通过BGP协议学习的路由。 在ER场景下，以云专线DC为例，DC的全域接入网关和ER在云上通信使用BGP协议，那么在ER路由表中，“全域接入网关（DGW）”连接学习来的传播路由，属于BGP路由。 “对等连接（Peering）”、“VPN网关（VPN）”类型的连接同理。 IP地址前缀列表 IP地址前缀列表是一种包含一组路由信息过滤规则的过滤器，用户可以在规则中定义IP地址前缀和掩码长度范围，用于匹配路由信息的目的网段地址或下一跳地址。 地址前缀列表可以应用在各种动态路由协议中，对路由协议发布和接收的路由信息进行过滤。更多详细信息，请参见IP地址前缀列表概述。 AS_Path列表 AS_Path列表是一组针对BGP路由的AS_Path属性进行过滤的规则。在BGP的路由信息中，包含有AS_Path属性，AS_Path属性按矢量顺序记录了BGP路由从本地到目的地址所要经过的所有AS编号，因此基于AS_Path属性定义一些过滤规则，就可以实现对BGP路由信息的过滤。 由于AS_Path属性是BGP协议的私有属性，因此AS路径过滤器也仅应用于BGP协议。更多详细信息，请参见AS_Path列表概述。 表2 路由策略值说明 路由属策略值 说明 PrefVal 华为规定的路由特有属性，代表路由的优先级。PrefVal值越大，路由优先级越高。 通过在路由策略中设置PrefVal值，可以修改路由的PrefVal值。 企业路由器中不同类型连接的默认值如下： 虚拟网关（VGW）：100 对等连接（Peering）：60 VPN网关（VPN）：80 全域接入网关（DGW）：100 须知： 修改路由的PrefVal值，会影响不同类型连接路由的选路策略。如果您修改不当，可能会对业务造成影响，请您提交工单联系华为云客服，评估修改方案。 AS_Path 在BGP的路由信息中，包含有AS_Path属性，AS_Path属性按矢量顺序记录了BGP路由从本地到目的地址所要经过的所有AS编号。 通过在路由策略中设置AS_Path，可以为路由执行以下动作: 追加：在AS_Path的左侧位置中追加策略中设置的值。 替换：替换路由原有的AS_Path为路由策略中设置的值。 删除：删除路由原有AS_Path中的指定值。

路由策略匹配规则 一个路由策略中可以创建多个路由策略节点，路由策略节点中包含路由的匹配条件和路由策略值。路由策略的匹配规则如图1所示，待过滤路由按照节点号从小到大的顺序匹配路由策略节点： 当匹配上策略节点中的所有过滤条件，则执行以下操作： 如果该策略节点的匹配模式是允许，则这条路由被允许通过。 当匹配模式是允许时，如果路由策略中设置了策略值，则对已匹配路由的策略值执行指定的动作，包含修改、替换、删除。 如果该策略节点的匹配模式是拒绝，则这条路由被拒绝通过。 当遍历了路由策略中的所有策略节点，均没有匹配上，那么这条路由就被拒绝通过。 图1 路由策略匹配规则 路由策略过滤路由的原则可以总结为：顺序匹配、唯一匹配、默认拒绝。 顺序匹配：按节点号从小到大按顺序进行匹配。同一个路由策略中的多个路由策略节点设置不同的节点号，可能会有不同的过滤结果，实际配置时需要注意。 唯一匹配：待过滤路由只要与一个路由策略节点匹配，就不会再去尝试匹配其他路由策略节点。 默认拒绝：默认所有未与任何一个路由策略节点匹配的路由，均为未通过路由策略的过滤。因此在一个路由策略中创建了一个或多个拒绝模式的路由策略节点后，需要创建一个路由策略节点来允许所有其他路由通过。

路由策略简介 路由策略（Routing Policy）作用于路由，主要具备路由过滤和路由策略值设置等功能，它通过改变路由策略值来改变网络流量所经过的路径。 当前路由策略可应用于企业路由器以下类型的连接： 虚拟网关（VGW） 对等连接（Peering） VPN网关（VPN） 全域接入网关（DGW） 企业路由器在发送、接收和学习路由信息时，根据实际组网需要实施一些路由策略，以便对路由信息进行过滤和改变路由信息的属性，具体如下： 控制路由的发送：只发送满足条件的路由信息。 控制路由的接收：只接收必要、合法的路由信息，以控制路由表的容量，提高网络的安全性。 过滤和控制学习的路由：一种路由协议在学习其它路由协议发现的路由信息丰富自己的路由知识时，只引入一部分满足条件的路由信息，并对所引入的路由信息的某些属性进行设置，以使其满足本协议的要求。 设置特定路由的策略值：修改通过路由策略过滤的路由的策略值，满足自身需要。

操作步骤 进入路由策略列表页面。 在路由策略列表中，单击目标路由策略名称。 进入路由策略详情页面。 在策略节点列表中，单击目标路由策略所在行的操作列下的“修改”。 弹出“修改策略节点”页面。 根据界面提示，配置策略节点的基本信息，如表1所示。 表1 修改策略节点-参数说明 参数名称 参数说明 取值样例 节点号 不支持修改。 - 匹配模式 不支持修改。 - 匹配条件 必选参数。 设置路由的过滤条件，匹配上的路由，根据匹配原则，被允许通过或拒绝。当前路由策略支持以下匹配条件： 路由类型 静态路由：用户手动配置的路由。 在ER场景下，位于ER路由表中的自定义路由和“虚拟私有云（VPC）”连接对应的传播路由属于静态路由。 BGP路由：通过BGP协议学习的路由。 在ER场景下，以云专线DC为例，DC的全域接入网关和ER在云上通信使用BGP协议，那么在ER路由表中，“全域接入网关（DGW）”连接学习来的传播路由，属于BGP路由。 “对等连接（Peering）”、“VPN网关（VPN）”类型的连接同理。 IP地址前缀列表：是一种包含一组路由信息过滤规则的过滤器，用户可以在规则中定义IP地址前缀和掩码长度范围，用于匹配路由信息的目的网段地址或下一跳地址。更多详细信息，请参见IP地址前缀列表概述。 AS_Path列表：是一组针对BGP路由的AS_Path属性进行过滤的规则。在BGP的路由信息中，包含有AS_Path属性，AS_Path属性按矢量顺序记录了BGP路由从本地到目的地址所要经过的所有AS编号，因此基于AS_Path属性定义一些过滤规则，就可以实现对BGP路由信息的过滤。更多详细信息，请参见AS_Path列表概述。 路由类型：动态路由 IP地址前缀列表：prefixFilter-ab AS_Path列表：asPathFilter-ab 策略值 可选参数。 当路由策略的匹配模式选择“允许”时，您可以根据需要设置路由的策略值。当前路由策略支持两个策略值，通过“添加策略值”按钮，可同时添加两个策略值。 PrefVal： 华为规定的路由特有属性，代表路由的优先级。PrefVal值越大，路由优先级越高。 通过在路由策略中设置PrefVal值，可以修改路由的PrefVal值。 PrefVal值为整数。 企业路由器中不同类型连接的默认值如下： 虚拟网关（VGW）：100 对等连接（Peering）：60 VPN网关（VPN）：80 全域接入网关（DGW）：100 须知： 修改路由的PrefVal值，会影响不同类型连接路由的选路策略。如果您修改不当，可能会对业务造成影响，请您提交工单联系华为云客服，评估修改方案。 AS_Path：在BGP的路由信息中，包含有AS_Path属性，AS_Path属性按矢量顺序记录了BGP路由从本地到目的地址所要经过的所有AS编号。 通过在路由策略中设置AS_Path，可以为路由执行以下动作: 追加：在AS_Path的左侧位置中追加策略中设置的值。 替换：替换路由原有的AS_Path为路由策略中设置的值。 删除：删除路由原有AS_Path中的指定值。 AS_Path值的填写要求如下： 格式为x或x.y的整型数字，其中x的范围为1-65535, y的范围为0-65535。 一次最多可填写10个值。 值不允许重复。 prefVal：20 AS_Path：2000 10.2 3.7 500 策略节点的基本信息修改完成后，单击“确定”。 返回策略节点列表页面，可查看已修改的策略节点。

操作步骤 进入企业路由器列表页面。 通过名称过滤，快速找到待查看的企业路由器。 您可以通过以下两种操作入口，进入企业路由器的“连接”页签。 在企业路由器右上角区域，单击“管理连接”。 单击企业路由器名称，并选择“连接”页签。 在“连接”页签下，展示连接列表，您可以查看以下信息。 在连接列表中，可以查看连接名称、连接状态、类型以及连接资源等信息。 单击连接名称，可以查看更多连接信息，包括连接ID、创建时间以及标签等信息。 单击连接资源，可以跳转到连接对应的网络实例详情页面。

操作步骤 进入企业路由器列表页面。 通过名称过滤，快速找到待修改路由的企业路由器。 您可以通过以下两种操作入口，进入企业路由器的“路由表”页签。 在企业路由器右上角区域，单击“管理路由表”。 单击企业路由器名称，并选择“路由表”页签。 在路由表列表中选择目标路由表，并在“路由”页签下，单击目标路由所在行的操作列下的“修改”。 弹出“修改路由”对话框。 根据界面提示，修改路由的基本信息，如表1所示。 表1 修改路由-参数说明 参数名称 参数说明 取值样例 黑洞路由 可选参数。 开启黑洞路由，则无需配置路由的“连接类型”和“下一跳”。如果路由匹配上黑洞路由的目的地址，则该路由的报文会被丢弃。 - 连接类型 如果不开启黑洞路由，则该项是必选参数。 如果开启黑洞路由，则该项无需填写。 选择连接类型，支持静态路由的连接类型如下： 虚拟私有云（VPC）：表示接入的网络实例是虚拟私有云。 对等连接（Peering）：表示接入的网络实例是企业路由器的对等体，即跨区域的另外一个企业路由器。 云防火墙（CFW）连接：表示接入的网络实例是云防火墙。 关于连接更多信息，请参见连接概述。 虚拟私有云（VPC） 下一跳 如果不开启黑洞路由，则该项是必选参数。 如果开启黑洞路由，则该项无需填写。 在下一跳下拉列表中，选择目标连接。 er-attach-01 描述 可选参数。 您可以根据需要在文本框中输入对该静态路由的描述信息。 - 基本信息设置完成后，单击“确定”。 返回路由列表页面，可以看到已修改的静态路由，“路由类型”为“static”。

连接概述 将网络实例接入企业路由器中，则需要为网络实例在企业路由器中添加对应的连接。企业路由器支持接入多种网络实例，不同网络实例对应的连接类型不同，连接的说明及配置方法如表1所示。 图1 连接概述 表1 连接概述 连接类型 网络实例 添加连接 查看连接 删除连接 虚拟私有云（VPC） 虚拟私有云VPC 。 在企业路由器中添加VPC连接 查看企业路由器中的连接 删除VPC连接 虚拟网关（VGW） 云专线DC的虚拟网关。 在企业路由器中添加VGW连接 查看企业路由器中的连接 删除VGW连接 VPN网关（VPN） 虚拟专用网络 的VPN网关。 在企业路由器中添加VPN连接 查看企业路由器中的连接 删除VPN连接 对等连接（Peering） 位于其他区域的另一个企业路由器ER。通过云连接中心网络加载不同区域的企业路由器来创建“对等连接（Peering）”连接。 在企业路由器中添加Peering连接 查看企业路由器中的连接 删除Peering连接 全域接入网关（DGW） 云专线DC的全域接入网关。 在企业路由器中添加DGW连接 查看企业路由器中的连接 删除DGW连接 云防火墙（CFW） 云防火墙。 在企业路由器中添加CFW连接 查看企业路由器中的连接 删除CFW连接 父主题： 连接

操作步骤 进入企业路由器列表页面。 通过名称过滤，快速找到待创建路由的企业路由器。 您可以通过以下两种操作入口，进入企业路由器的“路由表”页签。 在企业路由器右上角区域，单击“管理路由表”。 单击企业路由器名称，并选择“路由表”页签。 在路由表列表中选择目标路由表，并在“路由”页签下，单击左侧区域的“创建路由”。 弹出“创建路由”对话框。 根据界面提示，配置路由的基本信息，如表1所示。 表1 配置路由-参数说明 参数名称 参数说明 取值样例 目的地址 必选参数。 目的地址一般为网络实例的地址，以“虚拟私有云（VPC）”连接为例，可以是虚拟私有云网段、子网网段。 192.168.2.0/24 黑洞路由 可选参数。 开启黑洞路由，则无需配置路由的“连接类型”和“下一跳”。如果路由匹配上黑洞路由的目的地址，则该路由的报文会被丢弃。 - 连接类型 如果不开启黑洞路由，则该项是必选参数。 如果开启黑洞路由，则该项无需填写。 选择连接类型，支持静态路由的连接类型如下： 虚拟私有云（VPC）：表示接入的网络实例是虚拟私有云。 对等连接（Peering）：表示接入的网络实例是企业路由器的对等体，即跨区域的另外一个企业路由器。 云防火墙（CFW）连接：表示接入的网络实例是云防火墙。 关于连接更多信息，请参见连接概述。 虚拟私有云（VPC） 下一跳 如果不开启黑洞路由，则该项是必选参数。 如果开启黑洞路由，则该项无需填写。 在下拉列表中，选择目标连接。 er-attach-01 描述 可选参数。 您可以根据需要在文本框中输入对该静态路由的描述信息。 - 基本信息设置完成后，单击“确定”。 返回路由列表页面，等待2~3 s，单击刷新路由列表，可以看到创建的静态路由。

操作步骤 进入企业路由器列表页面。 通过名称过滤，快速找到目标企业路由器。 单击企业路由器名称，并选择“流日志”页签。 进入流日志列表页面。 在“流日志”页签下，单击“创建流日志”。 弹出“创建流日志”对话框。 根据界面提示，配置流日志的基本信息，如表1所示。 表1 创建流日志-参数说明 参数名称 参数说明 取值样例 名称 必选参数。 输入ER流日志的名称。要求如下： 长度范围为1~64位。 名称由中文、英文字母、数字、下划线（_）、中划线（-）、点（.）组成。 flowlog-ab 资源类型 必选参数。 选择要采集流量信息的资源类型，企业路由器流日志功能支持采集以下类型连接的日志信息： 虚拟私有云（VPC）：虚拟私有云。 虚拟网关（VGW）：云专线DC的虚拟网关。 对等连接（Peering）：位于其他区域的另一个企业路由器ER。通过云连接中心网络加载不同区域的企业路由器来创建“对等连接（Peering）”连接。 VPN网关（VPN）：虚拟专用网络VPN的网关。 全域接入网关（DGW）：云专线DC的全域接入网关。 虚拟私有云（VPC） 选择资源 必选参数。 在资源列表中，选择要采集日志信息的具体资源。 vpc-ab 日志组 必选参数。 选择已有的日志组。 如果没有可选的日志组，请单击“新建日志组”跳转至 云日志 服务控制台创建。 lts-group-ab 日志流 必选参数。 选择已有的日志流。 如果没有可选的日志流，请单击“新建日志流”跳转至云日志服务控制台创建。 lts-topic-ab 描述 可选参数。 您可以根据需要在文本框中输入对该流日志的描述信息。 - 基本信息设置完成后，单击“确定”。 返回流日志列表页面 在流日志列表页面，查看流日志状态。 待流日志状态由“创建中”变为“已开启”，表示流日志创建成功。

云手机使用自定义网络的安全组授权规则 使用自定义网络创建云手机服务器时，云手机服务将为您创建一个“cph_admin_trust”委托，该委托包含的权限为：“CPH AgencyDependencyAccess”。 云手机服务将使用该委托完成如下操作： 为云手机/云游戏实例创建弹性网卡，分配弹性公网IP、虚拟IP。 为云手机/云手游服务器创建默认名称为system-cph-sg的安全组，并设置安全组开放端口范围，具体默认规则参考图1、图2。 图1 入方向规则 10000~19000端口范围将映射至每个云手机云游戏实例以支持实例开放的多个应用访问端口，每个云手机云游戏开放的应用端口可在云手机详情内查看。 “CPH deny rule for tenant vpc”规则用于限制同一VPC下的服务器之间的手机，使其不能通过1-9999的端口互访。 图2 出方向规则 同一VPC下的弹性云服务器默认无法通过1-9999端口访问云手机/云游戏实例，若想放开此限制，需要添加高优先级的安全组规则。例如某弹性云服务器IP地址为192.168.0.164，想要通过4555端口访问云手机，则需要添加以下入方向规则： 优先级：1 策略：允许 类型：IPv4 协议端口：4555 源地址：192.168.0.164 图3 添加高优先级安全组规则 父主题： 咨询类

相关文档 了解更多创建API详情，请参考创建API。 了解更多调用API详情请参考调用API。 调用API失败时，查看错误信息请参考错误码。 共享VPC是基于 资源访问管理 （Resource Access Manager，简称 RAM ）服务的机制，VPC的所有者可以将VPC内的子网共享给一个或者多个账号使用。通过共享VPC功能，可以简化网络配置，帮助您统一配置和运维多个账号下的资源，有助于提升资源的管控效率，降低运维成本。有关VPC子网共享的更多信息，请参见共享VPC。

步骤二：创建实例 进入购买实例页面。 根据下表配置实例信息。 表2 配置实例信息 参数 配置说明 计费模式 实例的收费方式，此处选择“按需计费”。 区域 选择实例所属区域，请根据实际需要选择。此处选择“华东-上海一”。 可用区 选择实例的可用区，此处选择“可用区1，可用区2，可用区3”。 实例名称 填写实例的名称，此处填写“apig-test”。 实例规格 选择实例的规格，此处选择“基础版”。 可维护时间窗 指定可对实例进行维护的时间段，此处默认。 企业项目 选择实例所属的企业项目，此处选择“default”。 网络 选择已准备的VPC和子网。 公网入口 允许外部服务通过弹性IP地址，调用实例创建的API。此处开启公网入口。 安全组 选择已准备的安全组。 单击“立即购买”。 确认实例信息无误后，勾选服务协议，单击“去支付”，完成实例创建。

步骤一：准备工作 注册华为云并实名认证。 如果您已有一个华为账号，请跳过此步骤。如果您还没有华为账户，请参考 注册华为账号 并开通华为云和实名认证介绍，完成华为云的注册和实名认证。 在创建APIG实例前，确保账户有足够金额。 如果您需要为账户充值，请参考账户充值。 在创建APIG实例前，确保账户已拥有APIG实例的操作权限。 如果您使用系统角色相关权限，需要同时拥有“APIG Administrator”和“VPC Administrator”权限才能创建实例。 如果您使用系统策略，则拥有“APIG FullAccess”权限即可。 如果您需要对云上的资源进行精细管理，请使用 IAM 服务创建IAM用户及用户组，并授权，以使得IAM用户获得具体的操作权限。具体操作请参考创建用户并授权使用APIG。 在创建APIG实例前，确保已存在可用的VPC和子网。 APIG实例可以使用当前账号下已创建的VPC和子网，也可以使用新创建的VPC和子网，请根据实际需要进行配置。 创建VPC和子网的操作指导，请参考创建虚拟私有云和子网。请注意：创建的VPC与APIG实例必须在相同的区域。 在创建APIG实例前，确保已存在可用的安全组。 APIG实例可以使用当前账号下已创建的安全组，也可以使用新创建的安全组，请根据实际需要进行配置。创建安全组的操作步骤，请参考创建安全组。 请添加表1所示安全组规则，其他规则请根据实际需要添加。 表1 安全组规则 方向 协议 端口 源地址 说明 入方向 TCP 80/443 0.0.0.0/0 使用内网时可通过同一个VPC访问APIG实例。 安全组创建后，系统默认添加入方向“允许安全组内的弹性云服务器彼此通信”规则和出方向“放通全部流量”规则。此时使用内网通过同一个VPC访问APIG实例，无需添加表1的规则。 除墨西哥城一、北京一区域外，在其他区域创建实例后安全组不生效，如需禁用部分IP请使用访问控制策略。

应用场景 该解决方案基于华为云 语音交互 服务 语音识别 构建，可自动将用户上传到 对象存储服务 的wav语音文件转化为文字，并将结果存放到指定OBS桶。该方案可以将用户上传在OBS的语音文件识别成可编辑的文本，支持中文普通话的识别和合成，其中语音识别还支持带方言口音的普通话识别以及方言（四川话、粤语和上海话）的识别。适用于如下场景：识别客服、客户的语音，进一步通过文本检索，检查有没有违规、敏感词、电话号码等信息。对会议记录的音频文件，进行快速的识别，转化成文字，方便进行会议记录等场景。

资源和成本规划 该解决方案主要部署如下资源，不同产品的花费仅供参考，实际以收费账单为准，具体请参考华为云官网价格： 表1 资源和成本规划 华为云服务 配置示例 每月花费 录音文件识别服务 区域：华北-北京四 计费模式：包年包月套餐包 计费价格：15元/10h 15元 对象存储服务 区域：华北-北京四 数据存储（多AZ存储）：0.1390元/GB/月 请求费用：0.0100元/万次 预计每月新增1GB数据量，花费0.1390元。 该方案存储费用消耗较低，详细请参考每月账单。 函数工作流 区域：华北-北京四 请求次数0-100万次/月：免费 计量时间：0-400,000 GB/秒：免费 节点执行次数：0-5000次：免费 0 事件网格 EG 区域：华北-北京四 华为云服务事件源自身产生发布的事件（任意事件状态变化 ）免费，事件消费免费。 免费 合计 15.14元