华为云用户手册

场景描述 由于业务发展，企业A需要将数据中心和VPC的数据进行互通。此时企业A可以通过VPN服务创建数据中心和VPC的连接，实现云上和云下数据互通。 如果用户数据中心仅有一个对端网关，且对端网关只能配置一个IP地址，推荐VPN网关使用双活模式，组网如图 双活模式所示。 双活模式下，如果连接1链路故障，流量自动切换至连接2进行传输，企业业务不受影响；连接1恢复正常后，VPN仍使用连接2进行数据交互。 图1 双活模式 如果用户数据中心存在两个对端网关，或一个对端网关可以配置两个IP地址，推荐VPN网关使用主备模式，组网如图 主备模式所示。 主备模式下，连接1和连接2互为主备，主链路为连接1，备链路为连接2。默认情况下流量仅通过主链路进行传输，如果主链路故障，流量自动切换至备链路进行传输，企业业务不受影响；主链路恢复正常后，VPN回切至主链路进行数据交互。 图2 主备模式

Windows客户端（OpenVPN Connect） 此处以安装OpenVPN Connect 3.5.0（3818）为例，不同软件版本的安装界面可能存在差异，请以实际为准。 Windows客户端OpenVPN Connect建议使用3.4.4版本以上。 在OpenVPN官方网站下载OpenVPN Connect，根据界面提示进行安装。 启动OpenVPN Connect客户端，支持以下两种方式添加配置信息，建立VPN连接。 方式1：使用配置文件（已添加客户端证书及私钥）建立VPN连接 打开OpenVPN客户端，导入已添加客户端证书及私钥的配置文件，建立VPN连接。 方式2：使用原始配置文件（未添加客户端证书及私钥）+USB-Key的组合，建立VPN连接 初始化USB-Key。 此处以使用龙脉mToken GM3000管理员工具（v2.2.19.619）制作USB-Key为例。USB-Key初始化成功后如下图所示，此时需要拔插一下USB设备。 将客户端证书导入USB-Key。 使用USB-Key建立VPN连接。 在OpenVPN Connect中导入USB-Key中未添加客户端CA证书及私钥的配置文件，单击“CONNECT”。 建连过程中，USB-Key需要保持插入状态。 建连成功后，拔出USB-Key，连接不会中断，需要手动断连；USB-Key拔出后，重新建连将失败。 出现类似下图所示界面，代表连接成功。 图1 连接成功

Linux客户端 此处以在Ubuntu 22.04（jammy） openvpn_2.5.8-0ubuntu0.22.04.1_amd64操作系统上安装OpenVPN为例，不同Linux系统的安装命令可能存在差异，请以实际为准。Linux客户端OpenVPN建议使用2.5版本以上（2.5版本不支持dco，需要在配置文件中注释“disable-dco”）。 打开命令行窗口。 执行以下命令安装OpenVPN客户端。 yum install -y openvpn 将已添加客户端证书及私钥的客户端配置文件内容复制至/etc/openvpn/conf/目录。 进入/etc/openvpn/conf/目录，执行以下命令建立VPN连接。 openvpn --config /etc/openvpn/conf/config.ovpn --daemon 在Linux系统里，启动OPenVPN后，建议不要修改OS的DNS配置，如果修改了，在下次启动OpenVPN时，OS的DNS配置会被OpenVPN客户端里的DNS配置覆盖。

Mac客户端（Tunnelblick） 此处以安装Tunnelblick（3.8.8d）为例，不同软件版本的安装界面可能存在差异，请以实际为准。 前往官方网站下载Tunnelblick。 您可以根据实际需要下载适用的版本，推荐使用正式版本。下载软件时推荐下载DMG格式的软件。 根据界面提示，安装Tunnelblick。 图6 安装Tunelblick 启动Tunnelblick客户端，将已添加客户端证书及私钥的配置文件上传至Tunnelblick客户端，建立VPN连接。 需要在配置文件中注释“disable-dco”。 图7 上传客户端配置文件 出现类似下图所示界面，代表连接成功。 图8 连接成功

Android客户端 此处以安装OpenVPN（3.3.4）为例，不同软件版本的安装界面可能存在差异，请以实际为准。 Android客户端OpenVPN建议使用3.3.2以上版本。 下载OpenVPN客户端（Android版本）并安装。 打开OpenVPN客户端，导入已添加客户端证书及私钥的配置文件，建立VPN连接。 此时APP界面将弹出连接请求提示，请单击“确定”。 图9 连接请求 出现类似下图所示界面，代表连接成功。 图10 连接成功

iOS客户端 此处以安装OpenVPN Connect（3.4.0）为例，不同软件版本的安装界面可能存在差异，请以实际为准。 在App Store搜索“OpenVPN Connect”，下载并安装。 下载客户端配置，在“client_config.ovpn”文件中添加客户端证书及私钥，然后通过OpenVPN Connect打开，按照界面提示添加客户端配置。 图11 导入配置文件 出现类似下图所示界面，代表连接成功。 图12 连接成功

Mac客户端（OpenVPN Connect） 此处以安装OpenVPN Connect（3.4.4.4629）为例，不同软件版本的安装界面可能存在差异，请以实际为准。 在OpenVPN官方网站下载OpenVPN Connect，根据硬件规格选择对应安装程序。 图2 选择安装包 根据界面提示，完成软件安装。 图3 安装OpenVPN Connect 启动OpenVPN Connect客户端，导入已添加客户端证书及私钥的配置文件，填写配置信息后建立VPN连接。 图4 导入配置文件 出现类似下图所示界面，代表连接成功。 图5 连接成功

基础概念 账号 用户注册时的账号，账号对其所拥有的资源及云服务具有完全的访问权限，可以重置用户密码、分配用户权限等。由于账号是付费主体，为了确保账号安全，建议您不要直接使用账号进行日常管理工作，而是创建用户并进行日常管理工作。 用户 由账号在 IAM 中创建的用户，是云服务的使用人员，具有身份凭证（密码和访问密钥）。 在我的凭证下，您可以查看账号ID和用户ID。通常在调用API的鉴权过程中，您需要用到账号、用户和密码等信息。 区域 指云资源所在的物理位置，同一区域内可用区间内网互通，不同区域间内网不互通。通过在不同地区创建云资源，可以将应用程序设计的更接近特定客户的要求，或满足不同地区的法律或其他要求。 可用区 一个可用区是一个或多个物理数据中心的集合，有独立的风火水电，AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连，以满足用户跨AZ构建高可用性系统的需求。 项目 区域默认对应一个项目，这个项目由系统预置，用来隔离物理区域间的资源（计算资源、存储资源和网络资源），以默认项目为单位进行授权，用户可以访问您账号中该区域的所有资源。如果您希望进行更加精细的权限控制，可以在区域默认的项目中创建子项目，并在子项目中购买资源，然后以子项目为单位进行授权，使得用户仅能访问特定子项目中资源，使得资源的权限控制更加精确。 图1 项目隔离模型 企业项目 企业项目是项目的升级版，针对企业不同项目间资源的分组和管理，是逻辑隔离。企业项目中可以包含多个区域的资源，且项目中的资源可以迁入迁出。 关于企业项目ID的获取及企业项目特性的详细信息，请参见《企业管理服务用户指南》。 父主题： 使用前必读

响应消息体（可选） 该部分可选。响应消息体通常以结构化格式（如JSON或XML）返回，与响应消息头中Content-Type对应，传递除响应消息头之外的内容。 对于获取用户Token接口，返回如下消息体。为篇幅起见，这里只展示部分内容。 { "token": { "expires_at": "2019-02-13T06:52:13.855000Z", "methods": [ "password" ], "catalog": [ { "endpoints": [ { "region_id": "aaa",...... 当接口调用出错时，会返回错误码及错误信息说明，错误响应的Body体格式如下所示。 {"error_code": "DAS.200114","error_msg": "The instance_id parameter is invalid."} 其中，error_code表示错误码，error_msg表示错误描述信息。

请求消息体（可选） 该部分可选。请求消息体通常以结构化格式（如JSON或XML）发出，与请求消息头中Content-Type对应，传递除请求消息头之外的内容。若请求消息体中的参数支持中文，则中文字符必须为UTF-8编码。 每个接口的请求消息体内容不同，也并不是每个接口都需要有请求消息体（或者说消息体为空），GET、DELETE操作类型的接口就不需要消息体，消息体具体内容需要根据具体接口而定。 对于获取用户Token接口，您可以从接口的请求部分看到所需的请求参数及参数说明。将消息体加入后的请求如下所示，加粗的斜体字段需要根据实际值填写，其中username为用户名，domainname为用户所属的账号名称，********为用户登录密码，xxxxxxxxxxxxxxxxxx为project的名称，如“cn-north-1”，您可以从地区和终端节点获取。 scope参数定义了Token的作用域，上面示例中获取的Token仅能访问project下的资源。您还可以设置Token的作用域为某个账号下所有资源或账号的某个project下的资源，详细定义请参见获取用户Token。 POST https://iam.cn-north-1.myhuaweicloud.com/v3/auth/tokensContent-Type: application/json{ "auth": { "identity": { "methods": [ "password" ], "password": { "user": { "name": "username", "password": "********", "domain": { "name": "domainname" } } } }, "scope": { "project": { "name": "xxxxxxxxxxxxxxxxxx" } } }} 到这里为止这个请求需要的内容就具备齐全了，您可以使用curl、Postman或直接编写代码等方式发送请求调用API。对于获取用户Token接口，返回的响应消息头中“x-subject-token”就是需要获取的用户Token。有了Token之后，您就可以使用Token认证调用其他API。

请求方法 HTTP请求方法（也称为操作或动词），它告诉服务你正在请求什么类型的操作。 表2 HTTP方法 方法 说明 GET 请求服务器返回指定资源。 PUT 请求服务器更新指定资源。 POST 请求服务器新增资源或执行特殊操作。 DELETE 请求服务器删除指定资源，如删除对象等。 在获取用户Token的URI部分，您可以看到其请求方法为“POST”，则其请求为： POST https://iam.cn-north-1.myhuaweicloud.com/v3/auth/tokens

请求URI 请求URI由如下部分组成： {URI-scheme}://{Endpoint}/{resource-path}?{query-string} 尽管请求URI包含在请求消息头中，但大多数语言或框架都要求您从请求消息中单独传递它，所以在此单独强调。 表1 URI中的参数说明 参数 描述 URI-scheme 表示用于传输请求的协议，当前所有API均采用HTTPS协议。 Endpoint 指定承载REST服务端点的服务器 域名 或IP，不同服务不同区域的Endpoint不同，您可以从地区和终端节点获取。 例如IAM服务在“华北-北京一”区域的Endpoint为“iam.cn-north-1.myhuaweicloud.com”。 resource-path 资源路径，也即API访问路径。从具体API的URI模块获取，例如“获取用户Token”API的resource-path为“/v3/auth/tokens”。 query-string 查询参数，是可选部分，并不是每个API都有查询参数。查询参数前面需要带一个“？”，形式为“参数名=参数取值”，例如“limit=10”，表示查询不超过10条数据。 例如您需要获取IAM在“华北-北京一”区域的Token，则需使用“华北-北京一”区域的Endpoint（iam.cn-north-1.myhuaweicloud.com），并在获取用户Token的URI部分找到resource-path（/v3/auth/tokens），拼接起来如下所示。 https://iam.cn-north-1.myhuaweicloud.com/v3/auth/tokens 图1 URI示意图 为查看方便，在每个具体API的URI部分，只给出resource-path部分，并将请求方法写在一起。这是因为URI-scheme都是HTTPS，而Endpoint在同一个区域也相同，所以简洁起见将这两部分省略。

请求消息头 附加请求头字段，如指定的URI和HTTP方法所要求的字段。例如定义消息体类型的请求头“Content-Type”，请求鉴权信息等。 详细的公共请求消息头字段请参见表3。 表3 公共请求消息头 名称 描述 是否必选 示例 Host 请求的服务器信息，从服务API的URL中获取。值为hostname[:port]。端口缺省时使用默认的端口，https的默认端口为443。 否 使用AK/SK认证时该字段必选。 code.test.com or code.test.com:443 Content-Type 发送的实体的MIME类型。推荐用户默认使用application/json，如果API是对象、镜像上传等接口，媒体类型可按照流类型的不同进行确定。 是 application/json Content-Length 请求body长度，单位为Byte。 POST请求为可选，GET请求该字段值留空。 3495 X-Project-Id project id，项目编号。请参考获取项目ID章节获取项目编号。 否 如果是专属云场景采用AK/SK 认证方式的接口请求或者多project场景采用AK/SK认证的接口请求则该字段必选。 e9993fc787d94b6c886cbaa340f9c0f4 X-Auth-Token 用户Token。 请求响应成功后在响应消息头中包含的“X-Subject-Token”的值即为Token值。 否 使用Token认证时该字段必选。 以下仅为Token示例片段 MIIPAgYJKoZfegerIhvcNAQcCo...ggg1BBIINPXsidG9rZ API同时支持使用AK/SK认证，AK/SK认证是使用SDK对请求进行签名，签名过程会自动往请求中添加Authorization（签名认证信息）和X-Sdk-Date（请求发送的时间）请求头。 AK/SK认证的详细说明请参见认证鉴权的“AK/SK认证”。 对于获取用户Token接口，由于不需要认证，所以只添加“Content-Type”即可，添加消息头后的请求如下所示。 POST https://iam.cn-north-1.myhuaweicloud.com/v3/auth/tokensContent-Type: application/json

调用API获取项目ID 项目ID可以通过调用查询指定条件下的项目列表API获取。 获取项目ID的接口为“GET https://{Endpoint}/v3/projects”，其中{Endpoint}为IAM的终端节点，可以从地区和终端节点获获取。接口的认证鉴权请参见认证鉴权。 响应示例如下，其中projects下的“id”即为项目ID。 { "projects": [ { "domain_id": "65382450e8f64ac0870cd180d14e684b", "is_domain": false, "parent_id": "65382450e8f64ac0870cd180d14e684b", "name": "project_name", "description": "", "links": { "next": null, "previous": null, "self": "https://www.example.com/v3/projects/a4a5d4098fb4474fa22cd05f897d6b99" }, "id": "a4a5d4098fb4474fa22cd05f897d6b99", "enabled": true } ], "links": { "next": null, "previous": null, "self": "https://www.example.com/v3/projects" }}

异常请求结果 异常响应要素说明 表1 要素说明 名称 参数类型 描述 error_code String 提交任务异常时返回的错误编码。详细错误码描述参考错误码。 error_msg String 提交任务异常时返回的错误描述信息。 异常响应样例 { "error_code": "DAS.200100", "error_msg": "参数错误"}{ "error_code": "DAS.200051", "error_msg": "鉴权失败"} 父主题： 附录

响应参数 状态码： 200 表2 响应Body参数 参数 参数类型 描述 quotas Array of Quotas objects 参数解释： 配额列表对象。 取值范围： 不涉及。 表3 Quotas 参数 参数类型 描述 resources Array of Resource objects 参数解释： 资源列表对象。 取值范围： 不涉及。 表4 Resource 参数 参数类型 描述 type String 参数解释： 根据type过滤查询指定类型的配额。 取值范围： 云DBA：cloudDba used Long 参数解释： 已创建的资源个数。 取值范围： [0, 2^31-1]，实际取决于查询。 quota Long 参数解释： 资源的最大配额数。 取值范围： [0, 2^31-1]，实际取决于查询。 min Long 参数解释： 允许修改的配额最小值。 取值范围： [0, 2^31-1]，实际取决于查询。

支持的授权项 策略包含系统策略和自定义策略，如果系统策略不满足授权要求，管理员可以创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应，授权项列表说明如下： 权限：允许或拒绝某项操作。 对应API接口：自定义策略实际调用的API接口。 授权项：自定义策略中支持的Action，在自定义策略中的Action中写入授权项，可以实现授权项对应的权限功能。 IAM项目(Project)/企业项目(Enterprise Project)：自定义策略的授权范围，包括IAM项目与企业项目。授权范围如果同时支持IAM项目和企业项目，表示此授权项对应的自定义策略，可以在IAM和企业管理两个服务中给用户组授权并生效。如果仅支持IAM项目，不支持企业项目，表示仅能在IAM中给用户组授权并生效，如果在企业管理中授权，则该自定义策略不生效。关于IAM项目与企业项目的区别，详情请参见IAM与企业管理的区别。 DAS支持的自定义策略授权项请参见DAS授权分类。

DAS授权分类 API功能 对应API接口 授权项（Action） IAM项目(Project) 企业项目(Enterprise Project) 查询API版本列表 GET /das 无需授权 √ √ 查询API版本信息 GET /das/{version} 无需授权 √ √ 注册数据库用户 POST /v3/{project_id}/instances/{instance_id}/db-users das:*:* √ √ 查询数据库用户列表 GET /v3/{project_id}/instances/{instance_id}/db-users das:*:* √ √ 查询数据库用户信息 GET /v3/{project_id}/instances/{instance_id}/db-users/{db_user_id} das:*:* √ √ 修改数据库用户 PUT /v3/{project_id}/instances/{instance_id}/db-users/{db_user_id} das:*:* √ √ 删除数据库用户 DELETE /v3/{project_id}/instances/{instance_id}/db-users/{db_user_id} das:*:* √ √ 查询SQL执行计划 GET /v3/{project_id}/instances/{instance_id}/sql/explain das:*:* √ √ 查询实例会话列表 GET /v3/{project_id}/instances/{instance_id}/processes das:*:* √ √ 查杀会话 DELETE /v3/{project_id}/instances/{instance_id}/process das:*:* √ √ 查询元数据锁列表 GET /v3/{project_id}/instances/{instance_id}/metadata-locks das:*:* √ √ 查询InnoDB锁等待列表 GET /v3/{project_id}/instances/{instance_id}/innodb-locks das:*:* √ √ 获取空间分析数据列表 GET /v3/{project_id}/instances/{instance_id}/space-analysis das:*:* √ √ 创建空间分析任务 POST /v3/{project_id}/instances/{instance_id}/space-analysis das:*:* √ √ 开启/关闭全量SQL和慢SQL开关 POST /v3/{project_id}/instances/{instance_id}/sql/switch das:*:* √ √ 查询全量SQL和慢SQL的开关状态 GET /v3/{project_id}/instances/{instance_id}/sql/switch das:*:* √ √ 导出慢SQL数据 GET /v3/{project_id}/instances/{instance_id}/slow-query-logs das:*:* √ √ 导出全量SQL数据 GET /v3/{project_id}/instances/{instance_id}/sql-statements das:*:* √ √ 查看SQL限流开关状态 GET /v3/{project_id}/instances/{instance_id}/sql-limit/switch das:*:* √ √ 设置SQL限流开关状态 POST /v3/{project_id}/instances/{instance_id}/sql-limit/switch rds:databasePrivilege:grant √ √ 查询SQL限流规则列表 GET /v3/{project_id}/instances/{instance_id}/sql-limit/rules das:*:* √ √ 创建SQL限流规则 POST /v3/{project_id}/instances/{instance_id}/sql-limit/rules rds:databasePrivilege:grant √ √ 删除SQL限流规则 DELETE /v3/{project_id}/instances/{instance_id}/sql-limit/rules rds:databasePrivilege:grant √ √ 查询SQL限流任务 GET /v3/{project_id}/instances/{instance_id}/sql-limit/job das:*:* √ √ 导出TopSQL模板列表 GET /v3/{project_id}/instances/{instance_id}/top-sql-templates das:*:* √ √ 导出SQL执行耗时区间数据 GET /v3/{project_id}/instances/{instance_id}/top-sql-trend das:*:* √ √ 导出慢SQL模板列表 GET /v3/{project_id}/instances/{instance_id}/slow-sql-templates das:*:* √ √ 设置共享链接 POST /v3/{project_id}/connections/share das:*:* √ √ 删除共享链接 DELETE /v3/{project_id}/connections/share das:*:* √ √ 执行SQL诊断 POST /v3/{project_id}/connections/{connection_id}/tuning/create-tuning das:*:* √ √ 获取诊断结果 GET /v3/{project_id}/connections/{connection_id}/tuning/{message_id}/show-tuning-result das:*:* √ √ “√”表示支持，“x”表示暂不支持。 部分接口暂未设置授权项，请添加das:*:* 授权项，或直接添加DAS FullAccess系统策略调用接口。 父主题： 权限策略和授权项

状态码 表1 状态码 状态码 编码 错误码说明 100 Continue 继续请求。 这个临时响应用来通知客户端，它的部分请求已经被服务器接收，且仍未被拒绝。 101 Switching Protocols 切换协议。只能切换到更高级的协议。 例如，切换到HTTP的新版本协议。 200 OK 请求成功。 201 Created 创建类的请求完全成功。 202 Accepted 已经接受请求，但未处理完成。 203 Non-Authoritative Information 非授权信息，请求成功。 204 NoContent 请求完全成功，同时HTTP响应不包含响应体。 在响应OPTIONS方法的HTTP请求时返回此状态码。 205 Reset Content 重置内容，服务器处理成功。 206 Partial Content 服务器成功处理了部分GET请求。 300 Multiple Choices 多种选择。请求的资源可包括多个位置，相应可返回一个资源特征与地址的列表用于用户终端（例如：浏览器）选择。 301 Moved Permanently 永久移动，请求的资源已被永久的移动到新的URI，返回信息会包括新的URI。 302 Found 资源被临时移动。 303 See Other 查看其它地址。 使用GET和POST请求查看。 304 Not Modified 所请求的资源未修改，服务器返回此状态码时，不会返回任何资源。 305 Use Proxy 所请求的资源必须通过代理访问。 306 Unused 已经被废弃的HTTP状态码。 400 BadRequest 非法请求。 建议直接修改该请求，不要重试该请求。 401 Unauthorized 在客户端提供认证信息后，返回该状态码，表明服务端指出客户端所提供的认证信息不正确或非法。 402 Payment Required 保留请求。 403 Forbidden 请求被拒绝访问。 返回该状态码，表明请求能够到达服务端，且服务端能够理解用户请求，但是拒绝做更多的事情，因为该请求被设置为拒绝访问，建议直接修改该请求，不要重试该请求。 404 NotFound 所请求的资源不存在。 建议直接修改该请求，不要重试该请求。 405 MethodNotAllowed 请求中带有该资源不支持的方法。 建议直接修改该请求，不要重试该请求。 406 Not Acceptable 服务器无法根据客户端请求的内容特性完成请求。 407 Proxy Authentication Required 请求要求代理的身份认证，与401类似，但请求者应当使用代理进行授权。 408 Request Time-out 服务器等候请求时发生超时。 客户端可以随时再次提交该请求而无需进行任何更改。 409 Conflict 服务器在完成请求时发生冲突。 返回该状态码，表明客户端尝试创建的资源已经存在，或者由于冲突请求的更新操作不能被完成。 410 Gone 客户端请求的资源已经不存在。 返回该状态码，表明请求的资源已被永久删除。 411 Length Required 服务器无法处理客户端发送的不带Content-Length的请求信息。 412 Precondition Failed 未满足前提条件，服务器未满足请求者在请求中设置的其中一个前提条件。 413 Request Entity Too Large 由于请求的实体过大，服务器无法处理，因此拒绝请求。为防止客户端的连续请求，服务器可能会关闭连接。如果只是服务器暂时无法处理，则会包含一个Retry-After的响应信息。 414 Request-URI Too Large 请求的URI过长（URI通常为网址），服务器无法处理。 415 Unsupported Media Type 服务器无法处理请求附带的媒体格式。 416 Requested range not satisfiable 客户端请求的范围无效。 417 Expectation Failed 服务器无法满足Expect的请求头信息。 422 UnprocessableEntity 请求格式正确，但是由于含有语义错误，无法响应。 429 TooManyRequests 表明请求超出了客户端访问频率的限制或者服务端接收到多于它能处理的请求。建议客户端读取相应的Retry-After首部，然后等待该首部指出的时间后再重试。 500 InternalServerError 表明服务端能被请求访问到，但是不能理解用户的请求。 501 Not Implemented 服务器不支持请求的功能，无法完成请求。 502 Bad Gateway 充当网关或代理的服务器，从远端服务器接收到了一个无效的请求。 503 ServiceUnavailable 被请求的服务无效。 建议直接修改该请求，不要重试该请求。 504 ServerTimeout 请求在给定的时间内无法完成。客户端仅在为请求指定超时（Timeout）参数时会得到该响应。 505 HTTP Version not supported 服务器不支持请求的HTTP协议的版本，无法完成处理。 父主题： 附录

错误码 调用接口出错后，将不会返回结果数据。调用方可根据每个接口对应的错误码来定位错误原因。 当调用出错时，HTTP请求返回一个HTTP状态码。返回的消息体中是具体的错误编码及错误描述信息。 当您调用API时，如果遇到“APIGW”开头的错误码，请参见API网关错误码进行处理。 状态码 错误码 错误信息 描述 解决方案 400 DAS.200002 Frequent requests. 请求频繁。 请稍后再试。 400 DAS.200100 The parameter is invalid. 参数错误。 请检查参数是否正确。 400 DAS.200101 The start_at parameter is invalid. start_at参数错误。 请检查参数是否正确。 400 DAS.200102 The end_at parameter is invalid. end_at参数错误。 请检查参数是否正确。 400 DAS.200103 The offset parameter is invalid. offset参数错误。 请检查参数是否正确。 400 DAS.200104 The limit parameter is invalid. limit参数错误。 请检查参数是否正确。 400 DAS.200105 The order parameter is invalid. order参数错误。 请检查参数是否正确。 400 DAS.200106 The order_by parameter is invalid. order_by参数错误。 请检查参数是否正确。 400 DAS.200107 The datastore_type is invalid. datastore_type参数错误。 请检查参数是否正确。 400 DAS.200108 The database value is invalid! database参数错误。 请检查参数是否正确。 400 DAS.200109 The script value is invalid! script参数错误。 请检查参数是否正确。 400 DAS.200110 The lock_status value is invalid! lock_status参数无效。 请检查参数是否正确。 400 DAS.200111 The lock_type value is invalid! lock_type参数错误。 请检查参数是否正确。 400 DAS.200112 The db_user_id value is invalid! db_user_id参数错误。 请检查参数是否正确。 400 DAS.200113 The project_id parameter is invalid. project_id参数错误。 请检查参数是否正确。 400 DAS.200114 The instance_id parameter is invalid. instance_id参数错误。 请检查参数是否正确。 400 DAS.200115 The parameter of DeleteProcess is invalid! 查杀会话参数错误。 请检查参数是否正确。 400 DAS.200116 The type parameter is invalid. type参数错误。 请检查参数是否正确。 400 DAS.200117 The status parameter is invalid. status参数错误 请检查参数是否正确。 400 DAS.200118 The retention_days parameter is invalid. retention_days参数错误 请检查参数是否正确。 400 DAS.200119 The object_type parameter is invalid. object_type参数错误。 请检查参数是否正确。 400 DAS.200120 This API is only available for paid instances. 该API仅对付费实例可用。 请购买云DBA收费版并将当前实例设置为付费实例。 400 DAS.200121 The marker is only valid for three minutes. If the expiration time is exceeded, please re export. marker仅三分钟内有效，如超过有效时间，请重新导出。 请重新导出。 400 DAS.220002 Failed to connect to the database. 连接数据库异常。 请确认实例是否正常，数据库用户名和密码是否正确。 400 DAS.220003 The database user does not exist. 数据库用户不存在。 请检查参数是否正确。 400 DAS.220004 The database user already exists. 数据库用户已存在。 请检查数据库用户是否已经存在。 400 DAS.220029 Failed to operate the SQL limit switch. 操作SQL限流开关失败。 请根据error_msg提供的具体信息进行处理。 400 DAS.220030 Failed to operate the SQL limit rules. 操作SQL限流规则失败。 请根据error_msg提供的具体信息进行处理。 403 DAS.200050 Invalid token. token不合法。 请检查token是否正确，或者重新获取token后再试。 403 DAS.200051 Authentication failed. 鉴权失败。 请检查是否有权限。 500 DAS.200001 Internal service error. 内部服务异常。 请联系客服处理。 500 DAS.200003 Internal service invoking error. 内部服务调用异常。 请联系客服处理。 500 DAS.220005 Failed to kill process. kill会话失败。 请根据error_msg提供的具体信息进行处理。 500 DAS.220006 Failed to Query Metadata Locks. 查询元数据锁失败。 请根据error_msg提供的具体信息进行处理。 500 DAS.220007 Failed to query InnoDB locks. 查询InnoDB锁等待失败。 请根据error_msg提供的具体信息进行处理。 500 DAS.220008 Failed to query process list. 查询实例会话失败。 请根据error_msg提供的具体信息进行处理。 500 DAS.220009 Failed to query SQL execution plan. 查询SQL执行计划失败。 请根据error_msg提供的具体信息进行处理。 500 DAS.220010 Failed to list slow query logs. 获取慢SQL明细失败。 请根据error_msg提供的具体信息进行处理。 500 DAS.220011 Failed to list SQL statements. 获取全量SQL失败 请根据error_msg提供的具体信息进行处理。 500 DAS.220012 Failed to enable/disable DAS SQL explorer. 开启/关闭DAS收集全量SQL失败 请重试。 500 DAS.220013 Failed to enable/disable DAS Slow Query Log. 开启/关闭DAS收集慢日志失败 请重试。 500 DAS.220014 Failed to query the status. 查询开关开启状态失败 请根据error_msg提供的具体信息进行处理。 500 DAS.220015 Failed to query space analysis data. 查询空间分析数据失败。 请根据error_msg提供的具体信息进行处理。 500 DAS.220016 Failed to execute the space analysis task. 执行空间分析任务失败。 请检查此实例是否已经录入数据库账号。 500 DAS.220017 The switch is not enabled. DAS收集日志的开关未打开。 请打开开关。 500 DAS.220065 Failed to turn on/off the DAS transaction switch. DAS开启/关闭历史事务开关失败。 请根据error_msg提供的具体信息进行处理。 500 DAS.220066 Failed to query the DAS historical transaction switch. DAS查询历史事务开关状态失败。 请根据error_msg提供的具体信息进行处理。 500 DAS.220067 Failed to query the DAS historical transaction list. DAS查询历史事务列表失败。 请根据error_msg提供的具体信息进行处理。 父主题： 附录

Token认证 Token的有效期为24小时，需要使用一个Token鉴权时，可以先缓存起来，避免频繁调用。 Token在计算机系统中代表令牌（临时）的意思，拥有Token就代表拥有某种权限。Token认证就是在调用API的时候将Token加到请求消息头，从而通过身份认证，获得操作API的权限。 当您使用Token认证方式完成认证鉴权时，需要获取用户Token并在调用接口时增加“X-Auth-Token”到业务接口请求消息头中。 Token可通过调用获取用户Token接口获取，调用本服务API需要project级别的Token，即调用获取用户Token接口时，请求body中auth.scope的取值需要选择project，如下所示： { "auth": { "identity": { "methods": [ "password" ], "password": { "user": { "name": "username", "password": "********", "domain": { "name": "domainname" } } } }, "scope": { "project": { "name": "xxxxxxxx" } } } } 获取Token 后，再调用其他接口时，您需要在请求消息头中添加“X-Auth-Token”，其值即为Token。例如Token值为“ABCDEFJ....”，则调用接口时将“X-Auth-Token: ABCDEFJ....”加到请求消息头即可，如下所示。 POST https://iam.cn-north-1.myhuaweicloud.com/v3/auth/projectsContent-Type: application/json X-Auth-Token: ABCDEFJ.... 您还可以通过这个视频教程了解如何使用Token认证：https://bbs.huaweicloud.com/videos/101333 。

AK/SK认证 AK/SK签名认证方式仅支持消息体大小12MB以内，12MB以上的请求请使用Token认证。 AK/SK认证就是使用AK/SK对请求进行签名，在请求时将签名信息添加到消息头，从而通过身份认证。 AK(Access Key ID)：访问密钥ID。与私有访问密钥关联的唯一标识符；访问密钥ID和私有访问密钥一起使用，对请求进行加密签名。 SK(Secret Access Key)：与访问密钥ID结合使用的密钥，对请求进行加密签名，可标识发送方，并防止请求被修改。 使用AK/SK认证时，您可以基于签名算法使用AK/SK对请求进行签名，也可以使用专门的签名SDK对请求进行签名。详细的签名方法和SDK使用方法请参见API签名指南。 签名SDK只提供签名功能，与服务提供的SDK不同，使用时请注意。

示例流程 图1 给用户授予云连接权限流程 创建用户组并授权 在IAM控制台创建用户组，并授予云连接服务权限“Cross Connect Administrator”。 创建用户并加入用户组 在IAM控制台创建用户，并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台，切换至授权区域，验证权限： 在“服务列表”中选择“网络 ＞ 云连接”，然后在左侧导航栏选择“云连接 ＞ 中心网络”，进入中心网络页面，单击右上角“创建中心网络”，尝试创建中心网络，如果创建成功，表示“Cross Connect Administrator”已生效。 在“服务列表”中选择除云连接服务外（假设当前权限仅包含Cross Connect Administrator）的任一服务，如果提示权限不足，表示“Cross Connect Administrator”已生效。

中心网络应用场景 云上不同区域互通：云上不同区域的企业路由器通过接入中心网络实现跨区域互通。 图1 企业路由器跨区域VPC互通 云下用户数据中心与云上不同区域互通：通过企业路由器结合云专线的全域接入网关能力，实现VPC与用户本地数据中心网络互通，然后将两个及以上企业路由器接入云连接的中心网络中，构成ER对等连接，则可以实现云上跨区域多个VPC和云下IDC的网络互通。 图2 企业路由器与云下数据中心互通 通过灵活更换企业路由器的互通策略，更便捷地组建用户的全球网络。

添加标签 本操作指导用户为已创建的带宽包添加标签。 进入带宽包管理列表页面。 单击目标带宽包的名称，进入带宽包基本信息页面。 单击“标签”页签，显示带宽包的标签列表。 在页面左上方单击“添加标签”。 在弹出的对话框中，输入“标签键”和“标签值”。 参数取值如表1所示。 表1 标签命名规则 参数 规则 取值样例 标签键 对于云资源，每个“标签键”都必须是唯一的，每个“标签键”只能有一个“标签值”。 不能为空。 最大长度不超过128个字符。 由任意语种字母、数字、空格、“_” 、“.”、“:”、“=”、“+” 、“-”、“@”组成。 首尾不能含有空格、不能以_sys_开头。 bandwidthPackge_key1 标签值 可以为空。 最大长度不超过255个字符。 由任意语种字母、数字、空格、“_” 、“.”、“:”、“/”、“=”、“+” 、“-”、“@”组成。 首尾不能含有空格。 bandwidthPackge-01 单击“确定”，完成带宽包标签的添加。

中心网络使用限制 使用中心网络前需要先创建以下资源，否则将无法正常配置。 企业路由器：用于创建中心网络。 全域接入网关：用于添加附件管理。 策略管理： 同一中心网络仅支持应用一个策略，如需应用其他策略可直接选择要关联的策略，之前已应用的策略将自动取消关联。 同一策略中一个区域仅支持添加一个企业路由器，创建的企业路由器之间默认互联。 当策略实例处于应用中或取消中，不能执行删除操作。 跨区域连接带宽管理： 当跨区域连接实例处于创建中、更新中、删除中、冻结中、解冻中或恢复中的过程状态时，不能执行修改连接带宽和删除连接带宽操作。 配置的跨区域连接带宽大小不可超过购买的全域互联带宽的最大带宽。 删除连接带宽后，未删除的全域互联带宽仍会继续收费。

中心网络配置流程 中心网络配置流程如图3所示。 图3 中心网络配置流程 表2 中心网络配置流程说明 序号 步骤 说明 操作指导 1 创建中心网络 用户在完成企业路由器的创建后，创建中心网络并添加企业路由器至策略中，即可实现云上资源跨区域互通，并集中管理云上各区域的网络资源。 创建中心网络 2 添加附件（可选） 将全域接入网关作为附件接入中心网络特定区域的企业路由器，从而关联并打通不同地域的网络实例。 添加附件 3 配置跨地域连接带宽 通过创建中心网络和添加策略将多个不同区域的企业路由器或全域接入网关加入同一策略，创建出跨地域连接实例。购买全域互联带宽后为跨地域连接配置连接带宽实现跨地域互通。 配置跨地域连接带宽

修改网络实例的VPC CIDR 用户加载VPC实例后，可以修改VPC实例的VPC CIDRs信息。 修改接入云连接实例的VPC网段（VPC CIDR）的操作可能会影响云连接实例与外部互通情况，请根据实际业务需求谨慎操作。 VPC CIDR指需要加载到云连接实例实现网络互通的VPC内的网段路由。用户可以通过添加汇总后的子网或非VPC范围内的子网实现自定义网段与云连接实例网段的互通。 VPC CIDR包括两个类型：子网和其他网段。若您为已加载至云连接实例的网络实例VPC配置了子网和其他网段后，表示这些网段接入到云连接实例，且能基于云连接实例通信，如果没有为云连接实例接入这些网段，则无法通过云连接实例通信。 进入云连接实例列表页面。 单击目标云连接实例名称，进入基本信息页面。 单击“网络实例”页签。 单击需要修改的VPC实例名称。 在页面右侧，实例基本信息区域中，单击“修改VPC CIDR”。 根据界面提示，修改VPC CIDRs的“子网”及“其他网段”信息。 单击“确定”。

修改网络实例的VGW CIDR 用户加载虚拟网关（VGW）实例后，可以修改虚拟网关实例的VGW CIDR信息。 修改接入云连接实例的虚拟网关网段（VGW CIDR）的操作可能会影响云连接实例与外部互通情况，请根据实际业务需求谨慎操作。 进入云连接实例列表页面。 单击目标云连接实例名称，进入基本信息页面。 单击“网络实例”页签。 单击需要修改的虚拟网关实例名称。 在页面右侧，实例基本信息区域中，单击“修改VGW CIDR”。 根据界面提示，修改VGW CIDR信息。 单击“确定”。

查看跨地域连接带宽监控指标 支持查看跨地域连接互通的企业路由器网络情况。 进入中心网络列表页面。 单击目标中心网络名称。 单击“跨地域连接带宽管理”页签，在“监控”列，查看监控信息。 中心网络可帮助用户在不同区域企业路由器之间、企业路由器与本地数据中心间搭建通信通道，实现同区域或跨区域网络互通。因此在使用中心网络过程中，系统监控的是中心网络策略中企业路由器连接的监控指标。更多监控信息详见中心网络支持的监控指标。 企业路由器与全域接入网关互通时，仅支持查看企业路由器的监控指标。