华为云用户手册

DLI SQL防御功能介绍 DLI在Spark SQL引擎中增加SQL防御能力，基于用户可理解的SQL防御策略，实现对典型大SQL、低质量SQL的主动防御，包括事前提示、拦截和事中熔断，并不强制改变用户的SQL提交方式、SQL语法，对业务零改动且易落地。 支持可视化配置SQL防御策略，同时可支持防御规则的查询和修改。 每个SQL引擎在进行SQL业务响应、执行过程中，基于SQL防御策略进行主动防御行为。 管理员可将SQL防御行为在“提示”、“拦截”、“熔断”选项之间进行灵活切换，系统会将发生的SQL防御事件实时写入到防御审计日志中。运维人员可进行 日志分析 ，评估现网SQL质量，提前感知潜在SQL风险，并做出有效预防措施。 SQL防御规则包含以下类型的动作： 提示：基于纯粹的SQL语法规则进行拦截或提示。系统在SQL请求满足条件时，可对该SQL请求进行提示处理。 拦截：基于与数据表的统计信息、元数据信息等内容有关的规则进行拦截。系统在SQL请求满足条件时，可对该SQL请求进行中止处理。 熔断：基于SQL语句运行时的系统动态信息（如CPU、内存、IO等）的规则进行阻断。系统在SQL请求满足条件时，会阻断该SQL任务。

DDS和社区版MongoDB有什么关系 DDS即文档数据库服务，完全兼容MongoDB社区版3.4/4.0/4.2，部分兼容社区版4.4。兼容性详情请参见版本兼容性。 DDS支持绝大部分的MongoDB命令操作，任何兼容MongoDB的客户端都可以与DDS建立连接进行数据存储及相应操作。 您可以通过文档数据库服务与自建数据库的对比优势来了解更多DDS的优势。 更多DDS的详细信息请参见什么是文档数据库服务。 父主题： 产品咨询

设计器支持资源 设计器集合各资源，目前支持的资源如表1所示。 表1 支持资源列表 资源类型 资源名称 计算 弹性云服务器 E CS 裸金属服务器 BMS 镜像服务 IMS 函数工作流 FunctionGraph 网络 虚拟私有云 VPC 子网 Subnet 安全组 Security Group 弹性公网IP EIP 独享型弹性负载均衡 ELB 共享型弹性负载均衡 ELB 虚拟专用网络 VPN 对等链接 VPC Peering NAT 网关 终端节点服务 VPC Endpoint 共享带宽 Shared Bandwidth 容器 云容器引擎 CCE 数据库 云数据库 GaussDB 云数据库 RDS 存储 云硬盘 EVS 对象存储服务 OBS 弹性文件服务 SFS Turbo 大数据 MapReduce服务 MRS 云 数据仓库 DWS 云搜索服务 CSS 迁移 云数据迁移 CDM 应用中间件 分布式缓存服务Redis版 DCS 分布式缓存服务Kafka版 DMS API网关 APIG 微服务引擎 CSE 分布式消息服务RabbitMQ版 DMS 安全与合规 数据加密 服务 DEW Web应用防火墙 WAF 云堡垒机 CBH 管理与监管 云审计 服务追踪器 CTS Tracker

约束与限制 用户需要在VPC下手动添加私网路由，即通过创建对等连接或开通云专线/VPN连接远端私网。 SNAT规则和DNAT规则不能共用同一个中转IP。 私网NAT网关 支持添加的DNAT规则和SNAT规则的数量如下： 小型：DNAT规则和SNAT规则的总数不超过20个。 中型：DNAT规则和SNAT规则的总数不超过50个。 大型：DNAT规则和SNAT规则的总数不超过200个。 超大型：DNAT规则和SNAT规则的总数不超过500个。

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的 云安全 挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 类云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。华为云租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、 虚拟主机 和访客虚拟机的操作系统，虚拟防火墙、API 网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题： 安全

与其他服务的关系 除直接使用弹性伸缩提供的对资源进行调整的功能外，若您同时购买了云服务中的其他产品，可以结合其他产品一起使用，能满足您多种场景下对云产品的需求。 弹性伸缩服务与周边服务的依赖关系如图1所示。 图1 弹性伸缩服务与其他服务的关系示意图 表1 弹性伸缩与其他服务的关系 服务名称 说明 交互功能 相关内容 弹性负载均衡（Elastic Load Balance） 当配置了负载均衡服务后，弹性伸缩组在添加或移除云服务器时，自动会为云服务器绑定或解绑负载均衡监听器。 AS支持ELB的前提是：弹性伸缩组和负载均衡器必须处于同一VPC内。 使伸缩组中每一个实例均可分配到应用程序流量 添加负载均衡器到伸缩组 云监控服务 （Cloud Eye） 弹性伸缩配置了告警触发策略时，会根据 云监控 的告警条件触发弹性伸缩活动。 通过监控伸缩组内实例的状态指标调节资源。 弹性伸缩支持的监控指标 弹性云服务器（Elastic Cloud Server） 弹性伸缩活动中添加的云服务器可以通过弹性云服务器进行管理和维护。 自动调整弹性云服务器数量 动态扩展资源 虚拟私有云（Virtual Private Cloud） 弹性伸缩支持自动调整虚拟私有云中创建的弹性公网IP带宽或共享带宽大小。 自动调整带宽大小 创建伸缩带宽策略 消息通知 服务（Simple Message Notification） 用户使用消息通知功能后，系统会将伸缩组的多种情况及时推送给用户，便于用户及时了解伸缩组的状态。 消息通知 为伸缩组配置通知 云审计服务（Cloud Trace Service） 开通云审计服务后，可以记录弹性伸缩相关的操作事件，便于日后的查询、审计和回溯。 日志审计 记录弹性伸缩 标签管理服务（Tag Management Service） 当您具有许多相同类型的弹性伸缩资源时，标签可以为您提供灵活的资源管理能力。 标签 标记伸缩组和实例

身份认证 统一身份认证 服务（Identity and Access Management，简称 IAM ）提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制华为云资源的访问。 通过IAM，您可以在账号中给员工创建IAM用户，并授权控制他们对华为云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有AS的使用权限，但是不希望他们拥有删除伸缩组等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用伸缩组，但是不允许删除伸缩组的权限策略，控制他们对AS资源的使用范围。

访问控制 AS支持通过权限控制（IAM权限）、项目和企业项目、敏感操作、安全组进行访问控制。 表1 AS访问控制 访问控制方式 简要说明 详细介绍 权限控制（IAM权限） 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 权限管理 项目和企业项目 项目和企业项目都可以授权给一个或者多个用户组进行管理，管理企业项目的用户归属于用户组。通过给用户组授予策略，用户组中的用户就能在所属项目/企业项目中获得策略中定义的权限。 管理项目和企业项目 敏感操作 当您开启操作保护后，进行删除伸缩组操作时，需要进行身份认证。 敏感操作 安全组 安全组是一个逻辑上的分组，为具有相同安全保护需求并相互信任的云服务器提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当云服务器加入该安全组后，即受到这些访问规则的保护。 系统会为每个用户默认创建一个默认安全组，默认安全组的规则是在出方向上的数据报文全部放行，入方向访问受限，安全组内的云服务器无需添加规则即可互相访问。 配置安全组规则

无法访问华为云ECS的某些端口时怎么办？ 添加安全组规则时，需要您指定通信所需的端口或者端口范围，然后安全组根据规则，决定允许或是拒绝相关流量转发至ECS实例。 表1中提供了部分运营商判断的高危端口，这些端口默认被屏蔽。即使您已经添加安全组规则放通了这些端口，在受限区域仍然无法访问，此时建议您将端口修改为其他非高危端口。 表1 高危端口 协议 端口 TCP 42 135 137 138 139 444 445 593 1025 1068 1433 1434 3127 3128 3129 3130 4444 4789 5554 5800 5900 8998 9995 9996 UDP 135~139 1026 1027 1028 1068 1433 1434 4789 5554 9995 9996 父主题： 安全类

弹性公网IP如何计费？ 弹性公网IP和带宽的费用账单归属在虚拟私有云 VPC服务下，费用账单中计费的“产品”项目说明如下： 弹性公网IP：表示收取的是弹性公网IP的保有费。 您购买的按需计费弹性公网IP未绑定至任何实例（如ECS、ELB）时，会收取弹性公网IP保有费。 固定带宽：表示收取的可能是以下资源的费用。 弹性公网IP的带宽费用： 包年/包月弹性公网IP的带宽费用：按照带宽大小和购买时长一次性收取带宽费用。 按需计费弹性公网IP的带宽费用：如果您购买的弹性公网IP属于按需计费(按带宽计费)，则会按照带宽大小和使用时长收取带宽费用。 按需计费弹性公网IP的流量费用：如果您购买的弹性公网IP属于按需计费(按流量计费)，则会按照您实际使用的流量收取流量费用。 共享带宽的费用 共享流量包的费用 带宽加油包：收取带宽加油包的费用。 以上计费项目的详细说明，请参见弹性公网IP计费说明。 图1 流水和明细账单列表 父主题： 计费类

VPC是否收费？ 虚拟私有云VPC 服务下包含了多种产品资源，部分资源可以免费使用，部分资源需要支付费用，表1中为您详细介绍了虚拟私有云VPC各项资源的收费情况。 表1 VPC资源收费一览表 产品资源 收费情况说明 虚拟私有云 免费 子网 免费 路由表 免费 对等连接 免费 弹性网卡 免费 辅助弹性网卡 免费 IP地址组 免费 安全组 免费 网络ACL 免费 VPC流日志 免费 流量镜像 免费 弹性公网IP和带宽 如果您使用了弹性公网IP和带宽的相关资源，则需要支付费用，费用账单中计费的“产品”项目说明如下： 弹性公网IP：收取弹性公网IP保有费。 您购买的按需计费弹性公网IP未绑定至任何实例（如ECS、ELB）时，会收取弹性公网IP保有费。 固定带宽：收取的可能是以下资源的费用。 弹性公网IP的带宽费用：包年/包月弹性公网IP的带宽费用、按需计费(按带宽计费)弹性公网IP的带宽费用、按需计费(按流量计费)弹性公网IP的流量费用。 共享带宽的费用 共享流量包的费用 带宽加油包：收取带宽加油包的费用。 以上计费项目的详细说明，请参见弹性公网IP计费说明。 VPC终端节点 如果您使用了VPC终端节点资源，则需要支付费用。 详细计费说明请参见VPC终端节点计费说明。 针对免费资源，当前暂不收费。待后续启动收费时，将会提前通知您。 父主题： 计费类

虚拟私有云产品架构 接下来，本文档将从虚拟私有云VPC的基本元素、VPC的网络安全、VPC的网络连接以及VPC的网络运维方面进行介绍，带您详细了解VPC的产品架构。 图1 VPC产品架构 表1 VPC的产品架构介绍 项目分类 简要说明 详细说明 VPC的基本元素 VPC是您在云上的私有网络，您可以指定VPC的IP地址范围，然后通过在VPC内划分子网来进一步细化IP地址范围。同时，您可以配置VPC内的路由表来控制网络流量走向。 不同VPC之间的网络不通，同一个VPC内的多个子网之间网络默认互通。 IP地址范围：您在创建VPC时，需要指定VPC的IP网段，支持的网段为10.0.0.0/8~24、172.16.0.0/12~24和192.168.0.0/16~24。 子网：您可以根据业务需求在VPC内划分子网，VPC内至少需要包含一个子网。实例（云服务器、云容器、云数据库等）必须部署在子网内，实例的私有IP地址从子网网段中分配。 更多信息请参见子网。 路由表：在创建VPC时，系统会为您自动创建一个默认路由表，默认路由表确保同一个VPC内的子网网络互通。您可以在默认路由表中添加路由来管控网络，如果默认路由表无法满足需求时，您还可以创建自定义路由表。 更多信息请参见路由表和路由。 VPC的网络安全 安全组与网络ACL（Access Control List）用于保障VPC内部署实例的安全。 安全组：对实例进行防护，您可以在安全组中设置入方向和出方向规则，将实例加入安全组内后，该实例会受到安全组的保护。 更多信息请参见安全组和安全组规则。 网络ACL：对整个子网进行防护，您可以在网络ACL中设置入方向和出方向规则，将子网关联至网络ACL，则子网内的所有实例都会受到网络ACL保护。 更多信息请参见网络ACL简介。 相比安全组，网络ACL的防护范围更大。当安全组和网络ACL同时存在时，流量优先匹配网络ACL规则，然后匹配安全组规则。 更多信息请参见VPC访问控制简介。 VPC的网络连接 您可以使用VPC和云上的其他网络服务，基于您的业务诉求，构建不同功能的组网。 连通同区域VPC：通过VPC对等连接或者企业路由器ER，连通同区域的不同VPC。 连通跨区域VPC：通过云连接CC，连通不同区域的VPC。 连通VPC和公网：通过弹性公网IP (EIP)或者NAT网关，连通云内VPC和公网。 连通VPC和线下数据中心：通过云专线DC或者虚拟专用网络VPN，连通云内VPC和线下数据中心。 连通同区域VPC VPC对等连接：对等连接用于连通同一个区域内的VPC，您可以在相同账户下或者不同账户下的VPC之间创建对等连接。 更多信息请参见对等连接简介。 企业路由器ER：企业路由器作为一个云上高性能集中路由器，可以同时接入多个VPC，实现同区域VPC互通。 更多信息请参见什么是企业路由器。 对等连接免费，企业路由器收费，相比使用VPC对等连接，企业路由器连接VPC构成中心辐射性组网，网络结构更加简洁，方便扩容和运维。 连通跨区域VPC 云连接CC：云连接可以接入不同区域的VPC，快速实现跨区域网络构建。更多信息请参见什么是云连接。 连通VPC和公网 EIP：EIP是独立的公网IP地址，可以为实例绑定EIP，为实例提供访问公网的能力。 更多信息请参见什么是弹性公网IP。 NAT网关：公网NAT网关能够为VPC内的实例（ECS、BMS等），提供最高20Gbit/s能力的 网络地址转换 服务，实现多个实例使用一个EIP访问公网。 更多信息请参见什么是NAT网关。 连通VPC和线下数据中心 DC：DC用于搭建线下数据中心和云上VPC之间高速、低时延、稳定安全的专属连接通道，通过DC可以构建大规模混合云组网。 更多信息请参见什么是云专线。 VPN：VPN用于在线下数据中心和云上VPC之间建立一条安全加密的公网通信隧道。 更多信息请参见什么是虚拟专用网络。 相比通过DC构建混合云，使用VPN更加快速，成本更低。 VPC的网络运维 VPC流日志和流量镜像可以监控VPC内的流量，用于网络运维。 流日志：通过流日志功能可以实时记录VPC中的流量日志信息。通过这些日志信息，您可以优化安全组和网络ACL的控制规则，监控网络流量、进行网络攻击分析等。更多信息请参见VPC流日志简介。 流量镜像：通过流量镜像功能可以镜像弹性网卡符合筛选条件的报文到目的实例中，在目的实例中进行流量分析，不会影响运行业务的实例，适用于网络流量检查、审计分析以及问题定位等场景。更多信息请参见流量镜像简介。

ER权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 ER部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域（如华北-北京1）对应的项目（cn-north-1）中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问ER时，需要先切换至授权区域。 权限根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对ER服务，管理员能够控制IAM用户仅能对企业路由器进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分，权限的最小粒度为API授权项（action），ER支持的API授权项请参见权限及授权项说明。 如表1所示，包括了ER的所有系统权限。 表1 ER系统权限 系统角色/策略名称 描述 类别 依赖关系 ER FullAccess 企业路由器的管理员权限，拥有该权限的用户可以操作并使用所有企业路由器。 系统策略 无 ER ReadOnlyAccess 企业路由器只读权限，拥有该权限的用户仅能查看企业路由器数据。 系统策略 无 表2列出了ER常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表2 常用操作与系统权限的关系 操作 Tenant Administrator Tenant Guest ER FullAccess ER ReadOnlyAccess 创建企业路由器 √ x √ x 修改企业路由器配置 √ x √ x 查看企业路由器 √ √ √ √ 删除企业路由器 √ x √ x 在企业路由器中添加“虚拟私有云（VPC）”连接 √ x √ x 删除“虚拟私有云（VPC）”连接 √ x √ x 查看连接（所有类型） √ √ √ √ 创建路由表 √ x √ x 修改路由表名称 √ x √ x 查看路由表 √ √ √ √ 删除路由表 √ x √ x 创建关联将连接关联至路由表中 √ x √ x 查看路由表中关联的连接 √ √ √ √ 删除路由表中关联的连接 √ x √ x 在路由表中创建连接的传播 √ x √ x 查看路由表中连接的传播 √ √ √ √ 删除路由表中连接的传播 √ x √ x 创建静态路由 √ x √ x 修改静态路由 √ x √ x 查看路由 √ √ √ √ 删除静态路由 √ x √ x 创建流日志 √ x √ x 查看流日志 √ √ √ √ 关闭流日志 √ x √ x 开启流日志 √ x √ x 删除流日志 √ x √ x 添加资源的标签 √ x √ x 修改资源的标签 √ x √ x 查看资源的标签 √ √ √ √ 删除资源的标签 √ x √ x

管理简单 企业路由器可以在接入的所有网络实例之间路由流量，可以简化网络拓扑，降低网络管理难度，提升网络运维效率。可以减少的工作说明如下： 对于VPC互通，不再需要您频繁创建多个VPC对等连接，维护每个VPC路由表。 对于VPC和DC/VPN互通，不用接入多条线路，多个VPC可以共享专线/VPN。 企业路由器支持路由学习，能够自动进行路由信息的更新和同步，当网络拓扑变更时，能够自动收敛，无需手工配置、变更繁琐的路由条目。

配额说明 企业路由器的配额说明如表1所示，部分默认配额可以提升，您可以根据提示申请扩大配额。 查看每个配额项目支持的默认配额，请参考查看配额，登录控制台查询您的配额详情。 表1 企业路由器的配额说明 配额项目 如何提升配额 每个虚拟私有云支持同时接入的企业路由器数量 不支持修改 每个企业路由器支持接入的“虚拟私有云（VPC）”连接数量 申请更多配额，请参见申请扩大配额 每个企业路由器支持接入的“对等连接（Peering）”连接数量 申请更多配额，请参见申请扩大配额 每个企业路由器支持接入的“虚拟网关（VGW）”连接数量 申请更多配额，请参见申请扩大配额 每个企业路由器支持接入的“VPN网关（VPN）”连接数量 申请更多配额，请参见申请扩大配额 每个企业路由器支持接入的“企业连接网（ECN）”连接数量 不支持修改 每个企业路由器支持创建的路由表数量 不支持修改 每个企业路由器支持的最大路由数量 不支持修改 每个路由表中支持创建的静态路由数量 申请更多配额，请参见申请扩大配额 每个租户支持创建的流日志最大数量 不支持修改

约束与限制 当前企业路由器服务存在表3中列举的使用限制，针对这些限制，请您结合自己的设计业务，参考解决方法建议进行处理。 表3 企业路由器约束与限制说明 约束与限制说明 解决方法建议 当业务VPC下存在共享型弹性负载均衡、VPC终端节点、私网NAT网关、分布式缓存服务、混合云DNS解析时，不建议直接将业务VPC接入ER。 须知： 若您在弹性负载均衡、VPC终端节点以及分布式缓存服务场景下，直接将业务VPC接入ER，则当ER处于容灾切换、弹性扩缩容、升级等业务可靠性保障过程中，可能造成长连接会话闪断，请您确保业务客户端具有重连机制，在闪断情况下可以自动重连。 针对该限制，请提交工单联系华为云客服，确认服务的兼容性，并优先考虑使用选择企业路由器组网方案中介绍的中转VPC组网方案（方案二）。 当您的VPC和ER组网存在以下情况时，则不建议您在VPC路由表中将下一跳为ER的路由配置成默认路由0.0.0.0/0，那样会导致部分业务流量无法转发至ER。 VPC内的ECS绑定了EIP。 VPC被ELB（独享型或者共享型）、NAT网关、VPCEP、DCS服务占用。 建议一： 修改路由的目的地址，请您参见如何解决VPC路由表中的0.0.0.0/0路由无法转发至ER的问题？。 建议二： 针对该限制，推荐您使用选择企业路由器组网方案中介绍的中转VPC组网方案（方案二），避免将业务VPC直接接入ER。 当接入ER的VPC关联NAT网关，并配置SNAT或者DNAT规则的“使用场景”选择“云专线/云连接”，则网络不通。 针对该限制，推荐您使用选择企业路由器组网方案中介绍的中转VPC组网方案（方案二），避免将业务VPC直接接入ER。

与其他服务的关系 企业路由器与华为云上多个云服务之间存在交互关系，如图1所示。 图1 企业路由器与其他服务的关系 表1 企业路由器与其他服务的关系 服务名称 交互功能 虚拟私有云（Virtual Private Cloud, VPC） 您可以将VPC接入企业路由器，快速打通云上网络，尤其对于多个VPC互通的组网，免去大量的对等连接配置。 云专线（Direct Connect, DC） 您可以将DC接入企业路由器，打通线下IDC和云上网络，多个VPC可以共享专线。 虚拟专用网络（Virtual Private Network，称VPN） 您可以将VPN接入企业路由器，打通线下IDC和云上网络，多个VPC可以共享VPN。 云连接（Cloud Connect, CC） 您可以将两个及以上企业路由器接入云连接中心网络中，构成“对等连接（Peering）”连接，轻松实现云上跨区域网络互通。 企业连接（Enterprise Connect，EC） 您可以将企业连接网络接入企业路由器，帮助企业实现本地网络和云上网络之间的互联互通。 云防火墙 （Cloud Firewall，CFW） 您可以通过企业路由器、虚拟私有云VPC和云防火墙构建组网，实现云上VPC间的流量防护。 统一身份认证服务（Identity and Access Management, IAM） 针对位于华为云上的企业路由器资源，您可以通过IAM进行精细的权限管理，即为不同的用户设置不同的使用权限，权限管理有助于实现资源的安全管控。 云监控（Cloud Eye） 使用云监控可以监控企业路由器实例以及企业路由器连接的网络情况，并对异常进行报警，保证业务的顺畅运行。 云审计服务（Cloud Trace Service, CTS） 使用云审计服务可以记录与企业路由器相关的操作事件，便于日后的查询、审计和回溯。 标签管理服务（Tag Management Service, TMS） 使用标签来标识企业路由器和路由表，便于分类管理和快速搜索。

下线流程 配置下线策略后， 域名 下线流程如下表所示。 场景 下线流程 账户欠费 华为云账户欠费后，您的华为云资源（如CDN域名资源）将进入宽限期/保留期。具体规则请参见宽限期保留期。 账户欠费进入保留期，CDN会根据您设置的下线策略下线您的加速域名。 CDN会根据您设置的下线策略下线您的加速域名： 下线策略为“解析回源”场景 CDN将您的域名解析回您的主源站。 解析回源成功后，停用您的加速域名。 域名状态调整为“停用”，停止域名加速服务。 下线策略为“停用域名”场景 CDN停用您的加速域名。 域名状态调整为“停用”，停止域名加速服务。

控制台服务 卡管理 支持对卡进行激活、查询、充值、停复机管理。具体操作请参见SIM卡管理。 网络切换策略管理 支持在控制台配置网络切换策略，实现在用网络之间的智能切换，让终端选择最优网络，从而提升设备的在线率和在线时长。具体操作请参见三网卡策略管理。 定向网络管理 支持在控制台配置定向流量的访问地址。具体操作请参见定向流量。 自动化规则管理 支持创建自动化规则，监控SIM卡状态或者流量使用情况，触发规则时发送通知。具体操作请参见自动化规则。

支持审计的关键操作列表 表1 云审计服务支持的云服务器操作列表 操作名称 资源类型 事件名称 导出全部SIM卡 sim-card createExportTask 下载导出结果 sim-card downloadFile 取消订单 order cancelOrder 创建订单下符合续费条件的SIM卡快照 order createOrderSnapshot 校验订单是否满足加入已有池要求 order verifyOrder 创建订单 order createOrder 新增定向信息 order-directional createOrderDirectional 修改定向信息 order-directional editOrderDirectional 删除定向信息 order-directional cancelOrderDirectional 创建规则 rule createRule 编辑规则 rule editRule 删除规则 rule deleteRule 启用规则 rule activateRule 禁用规则 rule deactivateRule SIM卡停机 sim-card stopSimCard SIM卡复机 sim-card resetSimCard 导出选中SIM卡 sim-card exportSelected 导出选中SIM卡月用量 sim-card exportSelectedMonUsage 套餐月用量统计 sim-card showMonthUsages 批量转移实体卡 work-order modifySimCardAccount SIM卡设置自定义属性 sim-card setAttributeForSimCard SIM卡批量复机 work-order batchResetSimCards SIM卡批量停机 work-order batchStopSimCards 批量设置自定义属性 sim-card batchBindAttributes 激活实体卡 sim-card enableSimCard 批量激活实体卡 work-order batchEnableSimCards SIM卡申请断网/断网恢复 sim-card startStopSimCardNet SIM卡达量断网/取消达量断网 sim-card resumeSimCard SIM卡机卡重绑 sim-card bindDevice SIM卡清除实名 sim-card clearRealName 实体卡限速 sim-card setSpeedLimit 多卡购买叠加包卡校验 sim-card verifySubPackageOrder 批量机卡重绑 work-order batchBindDevices 创建前向流量池 work-order createSimPool 修改前向流量池名称 sim-pool editSimPoolName 激活前向流量池内的部分或全部实体卡 sim-pool activeSimPoolEntityCard 前向流量池购买叠加包校验 sim-pool verifySimPoolOverlayPackage 购买套餐 package subscribePackage 退订套餐 package unsubscribePackage 激活套餐 package activePackage 批量购买套餐 work-order batchSubscribePackage 批量退订套餐 work-order batchUnsubscribePackage 批量查询实体卡流量 sim-card showFlowBySimCards 修改SIM卡绑定的标签 sim-card bindSimTags 批量设置SIM卡绑定标签 sim-card batchSetSimTags 取消业务受理单 work-order cancelWorkOrder 激活后向流量池内的部分或全部实体卡 back-pool enableBackPoolEntityCard 修改后向流量池名称 back-pool updateBackPoolName 创建推送地址 web-hook-url createWebhookUrl 修改推送地址 web-hook-url updateWebhookUrl 删除推送地址 web-hook-url deleteWebhookUrl 地址连通性测试 web-hook-url VerifyWebhookUrlConnection 上传证书 web-hook-url UploadWebhookCert 新增自定义属性 attribute createAttribute 修改自定义属性 attribute editAttribute 启用自定义属性 attribute enableAttribute 停用自定义属性 attribute disableAttribute 用户添加标签 sim-tag createCmTag 用户修改标签 sim-tag editCmTag 用户删除标签 sim-tag deleteCmTag 开通GSL服务 service openService CBC接口下订单 service createCBCOrder 查询CBC接口套餐折扣 service showPromoteinformation 上传文件接口 sim-card uploadFile 批量切换网络 sim-card batchSwitchNetwork 切换网络 sim-card switchNetwork 批量切换策略 sim-card batchSetNetworkSwitchPolicy 切换策略 sim-card setNetworkSwitchPolicy

步骤四：创建表单触发流程 流程用于实现业务数据的自动化处理和自动流转。在AstroFlow中，一条流程由1个触发器（事件触发、定时触发和表单触发）和N个动作节点组成。其中，触发器（触发节点）是工作流能否启动的开关，满足了触发器的条件才能启动流程。动作节点是流程中自动执行的操作，流程中需要进行的数据操作、通知、审批等任务都需要对应的动作节点来完成。 本入门以步骤三：添加员工请假申请表中新增请假记录数据后，触发流程自动执行（主管审批、结果抄送HR）为例，向您介绍如何创建一个流程。 表单创建成功后，返回员工请假应用页面，在主菜单中，选择“流程管理”。 图1 选择流程管理 在流程管理页面，单击“创建流程”。 设置流程名称（如请假流程），触发方式选择“表单触发”，单击“创建”。 图2 创建表单触发流程 在流程设计页面的主菜单中，单击“切换横向布局”，调整页面布局。 图3 调整页面布局 设置表单触发节点。 选中触发节点（表单触发），选择步骤三：添加员工请假申请表中创建的表单，触发方式选择“仅新增记录时”。设置后，当员工请假申请表中有新增请假记录时，自动触发流程执行。 图4 设置触发节点 添加审批节点，并设置审批人信息。 将鼠标放在触发节点后的连接线上，单击，添加审批节点。 图5 添加审批节点 选中审批节点，修改节点名称为“主管审批”。 图6 修改节点名称 设置审批人信息。 审批对象：选择“表单触发”。 审批人类型：选择从通讯录中，获取审批人。 审批人：单击“添加审批人”，在成员中添加对应的审批人，如步骤一：搭建组织层级中添加的主管。 图7 设置审批人信息 设置完成后，单击“保存”。 添加分支(审批)节点。 分支(审批)节点只能作用于审批节点后，通过审批情况进行后续不同的操作。本示例中，审批通过后需要将审批结果通过发送邮件方式告知HR，驳回则直接执行结束。 将鼠标放在审批节点后的连接线上，单击，添加分支(审批)节点。 图8 添加分支(审批)节点 在通过分支上，单击，添加发送邮件节点。 图9 添加发送邮件节点 选中发送邮件节点，修改节点的名称为“抄送HR”。 图10 修改节点的名称 配置发送邮件节点。 图11 设置发送邮件节点 邮件服务器：使用租户或系统自带的邮箱，发送邮件告知相关人员。如果使用租户邮件服务器发送邮件，请提前在“组织设置”中配置，如何配置请参见设置租户邮件服务器。本入门使用系统邮件服务器。 收件人：设置邮件收件人，即步骤一：搭建组织层级中添加的HR。 抄送人：设置邮件抄送人，本示例不涉及。 密送人：设置邮件密送人，本示例不涉及。 收件人为空处理：设置收件人为空时的处理方式。如果当前节点还有其他收件人，则其他收件邮件正常发送。若当前节点无可用收件人，请根据实际情况设置收件人为空时的节点处理方式，如自动进入下一节或直接结束流程。 主题：设置邮件主题，本示例配置为“请假审批通过”。 正文：单击输入框，进入编辑邮件内容页面。在邮件内容中，输入“请假人：”后，单击左侧“表单启动”中的“请假人”。按照上述操作，添加请假天数和请假理由。单击“确定”，完成邮件内容编辑。 图12 编辑邮件内容 邮件节点设置完成后，单击“保存”。 图13 完整员工请假审批流程 校验流程。 在“流程设计”页面，单击页面上方的“校验”，对流程中参数的规则和合法性进行校验。 若页面提示“校验成功！”，则流程规则无误。 若校验失败，请根据界面提示进行修改，修改后再次执行校验操作。 图14 校验流程 流程校验成功后，单击页面上方的“发布”，发布流程。 图15 流程发布成功 父主题： 新手入门-员工请假流程

步骤五：业务功能测试 验证面试流程是否按照预期执行，即求职者提交求职申请后，直接用人部门进行进行简历筛选，符合要求通知HR预约面试时间。 求职者发起求职申请。 求职者通过4中的地址，登录应用。 首次登录运行态应用时，请单击“设置密码/忘记密码”，通过邮箱或手机号码，根据界面提示完成密码的重置，并勾选隐私协议及服务声明。 图1 登录应用 在简历维护表单中，填写个人基本信息、教育经历、工作经历和资格证书，单击“提交”。 提交成功后，在我的申请中，可查看到已提交的记录。 用人单位主管审核简历。 用户单位主管通过4中的地址，登录应用。 在待处理中，单击对应流程后的。 主管审核简历。 图2 主管审批 审核通过，执行3。 驳回申请，流程执行结束。 HR收到简历初审通过的邮件通知。 图3 简历初审通过邮件 HR填写预约时间及地址，并将结果反馈给用人部门主管。 HR通过4中的地址，登录应用。 在待处理中，单击对应流程后的。 设置面试时间及地址。 图4 设置面试时间及地址 将预约结果反馈给部门主管。 图5 反馈预约结果 主管现场面试，填写面试结果。 图6 填写最终面试结果 父主题： 进阶实战-面试管理流程

步骤六：业务功能测试 验证请假申请流程是否按照预期执行，即请假人提交请假申请后，主管对申请进行审批，审批通过将结果通过邮件方式告知HR。 将4中获取到的应用运行态访问地址，分享给请假人和主管。 请假人以步骤一：搭建组织层级中配置的邮箱或手机号登录应用，发起请假申请。 首次登录运行态应用时，请单击“设置密码/忘记密码”，通过邮箱或手机号码，根据界面提示完成密码的重置，并勾选隐私协议及服务声明。 单击“设置密码/忘记密码”，进入设置密码页面。 图1 应用运行态登录页 单击“发送验证码”，将验证码发送到用户手机或者邮箱。 图2 获取验证码 输入已获取的验证码，单击“提交”。 图3 输入已获取的验证码 单击“重置密码”，完成密码重置。 图4 完成密码重置 （可选，首次登录时需要）勾选隐私协议及服务声明，单击“同意并继续”。 图5 勾选隐私协议及服务声明 员工填写请假申请。 图6 发起请假申请 发起请假申请后，在“我的申请”中可查看到已发起的记录，且状态显示为“主管审批”。 图7 查看请假记录 主管以步骤一：搭建组织层级中配置的邮箱或手机号登录应用。 首次登录时，请参考2中操作，重置密码。 在“待处理”中，单击员工请假审批流程后的，进入审批页面。 图8 进入审批页面 单击“通过”，输入审批意见，再单击“通过”，即可完成审批。 图9 审批申请 审批通过后，HR收到审批结果通过告知邮件。 图10 HR接收到邮件 父主题： 新手入门-员工请假流程

步骤五：发布应用 应用开发完成后，需要发布应用。应用发布后，用户才可以正常访问应用。 流程发布成功后，单击，返回“流程管理”页面。 图1 返回流程管理页面 在主菜单中，选择“应用发布”。 在发布配置中，单击“启动发布”。 发布应用前，单击页面上方的“预览”，可预览应用。应用发布后，此按钮会变为“访问”，单击可直接访问运行态应用，功能和“应用发布地址”后的跳转相同。 图2 发布应用 获取应用的访问地址，并进行分享。 此处获取的地址，为应用运行态的访问地址。 图3 获取应用的访问地址 父主题： 新手入门-员工请假流程

后端服务器的权重 在后端服务器组内添加后端服务器后，需设置后端服务服务器的转发权重。权重越高的后端服务器将被分配到越多的访问请求。 每台后端服务器的权重取值范围为[0, 100]，新的请求不会转发到权重为0的后端服务器上。 以下三种流量分配策略支持权重设置，详情见表2，更多流量策略分配策略详情见流量分配策略介绍。 表2 流量分配策略的权重设置说明 流量分配策略类型 权重设置说明 加权轮询算法 在非0的权重下，负载均衡器会将请求按权重值的大小分配给所有的后端服务器，且在轮询时，权重大的后端服务器被分配的概率高。 当后端服务器的权重都设置为相等时，负载均衡器将按照简单的轮询策略分发请求。 加权最少连接 在非0的权重下，负载均衡器会通过 overhead=当前连接数/权重 来计算每个服务器负载。 每次调度会选择overhead最小的后端服务器。 源IP算法 在非0的权重下，在一段时间内，同一个客户端的IP地址的请求会被调度至同一个后端服务器上。 每台后端服务器的权重取只做0和非0的区分。

注意事项 建议您选择相同操作系统的后端服务器，以便日后管理和维护。 新添加后端服务器后，若健康检查开启，负载均衡器会向后端服务器发送请求以检测其运行状态，响应正常则直接上线，响应异常则开始健康检查机制定期检查，检查正常后上线。 关机或重启已有业务的后端服务器，会断开已经建立的连接，正在传输的流量会丢失。建议在客户端上面配置重试功能，避免业务数据丢失。 如果您开启了会话保持功能，那么有可能会造成后端服务器的访问量不均衡。如果出现了访问不均衡的情况，建议您暂时关闭会话保持功能，观察一下是否依然存在这种情况。

操作场景 当您需要在同一个监听器中，根据HTTPS请求域名的不同来选择不同的证书进行认证并将请求分发至不同的后端服务器组时，您可通过开启SNI功能来实现配置多域名HTTPS网站。 SNI（Server Name Indication）是为了解决一个服务器使用域名证书的TLS扩展。开启SNI之后，用户需要添加域名对应的证书，允许客户端在发起SSL握手请求时就提交请求的域名信息，负载均衡收到SSL请求后，会根据域名去查找证书。如果找到域名对应的证书，则返回该证书；如果没有找到域名对应的证书，则返回缺省证书。

SNI证书约束 ELB不会自动选择未过期的证书，如果您有证书过期了，需要手动更换或者删除证书，详见绑定/更换证书。 用于SNI的证书，需要指定域名，指定的域名必须与证书中的域名保持一致。 目前支持一个域名可以同时绑定ECC类型的证书和RSA类型的证书，在选择SNI证书时，支持选择同域名绑定的两个证书，在使用时，会优先选择ECC类型的证书。 SNI证书匹配规则： 当证书的域名为*.test.com，那么可支持a.test.com、b.test.com等，不支持a.b.test.com、c.d.test.com等。 且依据最长尾缀匹配：当证书中的域名同时存在*.b.test.com和*.test.com时，那么a.b.test.com会优先匹配到*.b.test.com。 证书示例如图1所示，图中的cer-default为创建HTTPS监听器时绑定的默认证书，cert-test01和cert-test02为新创建的用于SNI的证书。 其中，证书cert-test01填写的域名为www.test01.com、cert-test02填写的域名为www.test02.com。 如果访问负载均衡的域名与SNI证书匹配成功，则会返回SNI的证书认证鉴权。如果匹配失败，则会返回默认证书认证鉴权。 图1 配置证书说明

操作场景 一般情况下，共享型ELB会使用100.125网段的IP和后端服务器进行通信。如果您想要获取客户端的真实IP，您可以开启“获取客户端IP”功能，此时，ELB和后端服务器之间直接使用真实的IP进行通信。 目前，共享型负载均衡对“获取客户端IP”功能的支持情况如表1。 表1 共享型负载均衡“获取客户端IP”功能说明 监听器类型 开启“获取客户端IP” 关闭“获取客户端IP” 四层（TCP/UDP）监听器 √ √ 七层（HTTP/HTTPS）监听器 默认开启 ×

约束与限制 开启/关闭“获取客户端IP”的过程中，如果监听器已经添加了后端服务器，则访问监听器的流量会中断，中断时间为10秒（后端服务器组配置的健康检查间隔*2）。 开启“获取客户端IP”之后，不支持同一台服务器既作为后端服务器又作为客户端的场景。如果后端服务器和客户端使用同一台服务器，且开启“获取客户端IP”，则后端服务器会根据报文源IP为本地IP判定该报文为本机发出的报文，无法将应答报文返回给ELB，最终导致回程流量不通。 如果监听器之前已经添加了后端服务器、并且开启了健康检查功能，开启“获取客户端IP”功能会重新上线后端服务器，新建流量会有1-2个健康检查间隔的中断。 开启此功能后，执行后端服务器迁移任务时，可能出现流量中断（例如单向下载、推送类型的流量）。所以后端服务器迁移完成后，需要通过报文重传来恢复流量。