华为云用户手册

资源成本与规划 本节介绍最佳实践中资源规划情况，包含以下内容： 表1 通过全球加速部署云上云下多活容灾的资源和成本规划 资源 资源说明 数量 费用 加速实例 按照每个全球加速实例的创建时长收费。 按小时计费，创建时长不满1小时按1小时收费。 实例费=实例单价*创建时长 1 请参见全球加速价格详情。 数据传输 通过全球加速服务转发的流量费用，按GB收费。 从一个全球加速接入点到一个应用部署区域之间的流量，定义流量大的方向为主方向，按照每条流量的主方向收费。 数据传输费=流量单价*使用量 根据实际转发的流量 公网解析记录 根据不同地区的用户添加1条A类型解析记录。 记录集选择“全网默认”，解析记录值配置为全球加速实例分配的加速IP地址。 1 免费

步骤一：购买全球加速实例 跨境资质申请完成后，购买全球加速实例。 登录全球加速控制台。 在全球加速页面，单击“购买全球加速服务”。 图1 购买全球加速实例 根据界面提示配置相关参数，详细请参见表2。 图2 创建全球实例 表2 创建全球加速实例 参数 说明 名称 用户将要创建的全球加速实例的名称。 只能由中文、英文字母、数字、中划线组成。 长度范围：1-64个字符。 企业项目 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 您可以使用已有企业项目，也可以新建企业项目。 加速区域 加速区域指需要进行访问加速的区域。 支持选择“中国大陆以外”或“中国大陆”，默认选择“中国大陆以外”。 本实践中请选择“中国大陆”。 IP地址类型 全球加速实例的地址类型。 默认选择IPv4。 标签 全球加速的标识，包括键和值。可以为全球加速实例创建20个标签。 说明： 如果已经通过TMS的预定义标签功能预先创建了标签，则可以直接选择对应的标签键和值。 预定义标签的详细内容，请参见预定义标签简介。 如您的组织已经设定全球加速服务的相关标签策略，则需按照标签策略规则为加速实例添加标签。标签如果不符合标签策略的规则，则可能会导致加速实例创建失败，请联系组织管理员了解标签策略详情。 描述 全球加速实例描述。 长度范围：不超过255个字符。 单击“下一步”，进入监听器配置页面。

步骤三：配置终端节点组和终端节点 根据界面提示配置终端节点组和终端节点的相关参数，本实践监听器需要创建两个终端节点组，一个地域选择“上海一”，另外一个地域选择“广州”，详细请参见表4。 表4 添加终端节点组和终端节点 类型 参数 说明 终端节点组 名称 终端节点组名称。 每个监听器下每个区域只允许关联一个终端节点组。 只能由中文、英文字母、数字、中划线组成。 长度范围：1-64个字符。 区域 终端节点组所属区域。 本实践监听器创建两个终端节点组，一个上海一，一个广州 描述 终端节点组描述。 长度范围：不超过255个字符。 流量调度 配置到不同终端节点组的流量比例。 如果增加流量调度比例，将有更多的请求分发到此终端节点组。 如果将流量调度比例设置为0，则不会将任何请求分发到此终端节点组。 取值范围为：[0-100]。 本实践监听器创建的两个终端节点组流量调度各取值100 说明： 如果监听器中有多个终端节点组，分配流量时优先选择时延最低的终端节点组，并按照该终端节点组的流量调度值分配流量，然后再向其他终端节点组分配其余流量。 终端节点 终端节点充当客户端的接触点，加速实例跨正常运行的终端节点分发传入流量。 本实践中需要创建两个终端节点组并分别配置终端节点，上海一终端节点选择自定义IP，输入上海自建IDC的公网IP。广州终端节点选择华为云EIP 健康检查配置 是否开启 开启或者关闭健康检查。 关闭健康检查可能会导致业务请求转发至异常的后端服务器。 前端协议 健康检查目前支持选择TCP协议。 默认：TCP协议。 前端端口 健康检查端口号。 取值范围：[1，65535]。 高级配置 检查间隔(秒) 每次健康检查响应的最大间隔时间。 取值范围：[1-60]。 超时时间(秒) 每次健康检查响应的最大超时时间。 取值范围：[1-60]。 最大重复次数 健康检查最大的重试次数。 取值范围：[1-10]。

步骤二：配置监听器 创建全球加速实例后，您需要为全球加速实例配置监听器。监听器负责监听连接请求，并根据流量转发策略将请求流量分发至终端节点。 根据界面提示配置监听器的相关参数，详细请参见表3。 图3 添加监听器 表3 添加监听器 参数 说明 名称 监听器名称。 只能由中文、英文字母、数字、中划线组成。 长度范围：1-64个字符。 前端协议 客户端与监听器建立流量分发连接的协议。 取值范围：TCP、UDP。 前端端口 客户端与监听器建立流量分发连接的端口。 端口取值在1-65535之间，端口范围用“-”连接，多个端口或端口范围以逗号隔开。 例如：1-10，11-50，51，52-200 客户端亲和性 会话保持。 支持选择“关闭”或“按源IP保持会话”。 TCP和UDP协议仅支持“按源IP保持会话”。 按源IP保持会话：基于源IP地址的简单会话保持，将请求的源IP地址作为散列键（HashKey），从静态分配的散列表中找出对应的服务器。即来自同一IP地址的访问请求会被转发到同一台后端服务器上进行处理。 标签 监听器的标识，包括键和值。可以为监听器创建20个标签。 说明： 如果已经通过TMS的预定义标签功能预先创建了标签，则可以直接选择对应的标签键和值。 预定义标签的详细内容，请参见预定义标签简介。 如您的组织已经设定全球加速服务的相关标签策略，则需按照标签策略规则为监听器添加标签。标签如果不符合标签策略的规则，则可能会导致监听器创建失败，请联系组织管理员了解标签策略详情。 描述 监听器描述。 长度范围：不超过255个字符。

步骤六：配置DNS解析 全球加速实例配置完成后，需要配置DNS解析，实现海外用户加速访问。 本文以配置华为云DNS解析为例，请按照以下步骤操作： 进入公网 域名 列表页面。 在“公网域名”页面的域名列表的“域名”列，单击域名的名称。 进入“解析记录”页面。 在页面右上角，单击“添加记录集”。 在“添加记录集”页面，根据界面提示为域名添加3条记录集，详细请参见表5。 图5 设置记录集参数 表5 记录集参数说明 参数 参数说明 主机记录 解析域名的前缀。 例如创建的域名为“example.com”，其“主机记录”设置包括： www：用于网站解析，表示解析的域名为“www.example.com”。 空：用于网站解析，表示解析的域名为“example.com”。 主机记录置为空，还可用于为空头域名“@”添加解析。 *：用于泛解析，表示解析的域名为“*.example.com”，匹配“example.com”的所有子域名。 类型 记录集的类型，此处选择A类型。 别名 用于是否将此记录集关联至云服务资源实例。 本实践中该参数保持默认配置。 别名记录 “别名”参数设置选择“是”时，该项必选。 用于设置记录集关联的华为云服务资源实例。 记录集支持关联的华为云服务资源实例包括：云速建站、 Web应用防火墙 。 本实践中该参数保持默认配置。 线路类型 解析的线路类型用于DNS服务器在解析域名时，根据访问者的来源，返回对应的服务器IP地址。 3个记录集分别选择“全网默认”、“地域解析 ＞ 中国大陆”、“地域解析 ＞ 全球”。 TTL(秒) 解析记录在本地DNS服务器的缓存时间，以秒为单位。 默认值：300秒 取值范围为：1~2147483647 如果您的服务地址经常更换，建议TTL值设置相对小些，反之，建议设置相对大些。 本实践中该参数保持默认配置。 值 域名对应的IPv4地址。 本实践中需要根据不同线路类型的解析记录配置不同的值，具体如下： 全网默认、中国大陆线路类型：国内公网IP地址。 全球：CDN服务的CNAME地址。 权重 可选参数，返回解析记录的权重比例。 默认值：1 取值范围：0~1000 本实践中该参数保持默认配置。 标签 可选参数，记录集的标识，包括键和值，每个记录集可以创建10个标签。 描述 可选参数，对域名的描述。 长度不超过255个字符。 单击“确定”。 返回“解析记录”页面。 添加完成后，您可以在域名对应的记录集列表中查看已添加的记录集(“中国大陆”，“全网默认”解析到上海一EIP，“全球”解析到CDN服务CNAME地址)。当记录集的状态显示为“正常”时，表示记录集添加成功。

步骤三：配置监听器 创建全球加速实例后，您需要为全球加速实例配置监听器。监听器负责监听连接请求，并根据流量转发策略将请求流量分发至终端节点。 根据界面提示配置监听器的相关参数，详细请参见表3。 图4 添加监听器 表3 添加监听器 参数 说明 名称 监听器名称。 只能由中文、英文字母、数字、中划线组成。 长度范围：1-64个字符。 前端协议 客户端与监听器建立流量分发连接的协议。 取值范围：TCP、UDP。 前端端口 客户端与监听器建立流量分发连接的端口。 端口取值在1-65535之间，端口范围用“-”连接，多个端口或端口范围以逗号隔开。 例如：1-10，11-50，51，52-200 客户端亲和性 会话保持。 支持选择“关闭”或“按源IP保持会话”。 TCP和UDP协议仅支持“按源IP保持会话”。 按源IP保持会话：基于源IP地址的简单会话保持，将请求的源IP地址作为散列键（HashKey），从静态分配的散列表中找出对应的服务器。即来自同一IP地址的访问请求会被转发到同一台后端服务器上进行处理。 标签 监听器的标识，包括键和值。可以为监听器创建20个标签。 说明： 如果已经通过TMS的预定义标签功能预先创建了标签，则可以直接选择对应的标签键和值。 预定义标签的详细内容，请参见预定义标签简介。 如您的组织已经设定全球加速服务的相关标签策略，则需按照标签策略规则为监听器添加标签。标签如果不符合标签策略的规则，则可能会导致监听器创建失败，请联系组织管理员了解标签策略详情。 描述 监听器描述。 长度范围：不超过255个字符。

步骤四：配置终端节点组和终端节点 根据界面提示配置终端节点组和终端节点的相关参数，终端节点组区域选择“上海一”，详细请参见表4。 表4 添加终端节点组和终端节点 类型 参数 说明 终端节点组 名称 终端节点组名称。 每个监听器下每个区域只允许关联一个终端节点组。 只能由中文、英文字母、数字、中划线组成。 长度范围：1-64个字符。 区域 终端节点组所属区域。本实践选择“上海一” 描述 终端节点组描述。 长度范围：不超过255个字符。 流量调度 配置到不同终端节点组的流量比例。 如果增加流量调度比例，将有更多的请求分发到此终端节点组。 如果将流量调度比例设置为0，则不会将任何请求分发到此终端节点组。 取值范围为：[0-100]。 说明： 如果监听器中有多个终端节点组，分配流量时优先选择时延最低的终端节点组，并按照该终端节点组的流量调度值分配流量，然后再向其他终端节点组分配其余流量。 终端节点 终端节点充当客户端的接触点，加速实例跨正常运行的终端节点分发传入流量。 本实践中选择EIP。 健康检查配置 是否开启 开启或者关闭健康检查。 关闭健康检查可能会导致业务请求转发至异常的后端服务器。 前端协议 健康检查目前支持选择TCP协议。 默认：TCP协议。 前端端口 健康检查端口号。 取值范围：[1，65535]。 高级配置 检查间隔(秒) 每次健康检查响应的最大间隔时间。 取值范围：[1-60]。 超时时间(秒) 每次健康检查响应的最大超时时间。 取值范围：[1-60]。 最大重复次数 健康检查最大的重试次数。 取值范围：[1-10]。

步骤二：购买全球加速实例 跨境资质申请完成后，购买全球加速实例。 登录全球加速控制台。 在全球加速页面，单击“购买全球加速服务”。 图2 购买全球加速实例 根据界面提示配置相关参数，加速地域选择中国大陆以外，详细请参见表2。 图3 创建全球实例 表2 创建全球加速实例 参数 说明 名称 用户将要创建的全球加速实例的名称。 只能由中文、英文字母、数字、中划线组成。 长度范围：1-64个字符。 企业项目 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 您可以使用已有企业项目，也可以新建企业项目。 加速区域 加速区域指需要进行访问加速的区域。 支持选择“中国大陆以外”或“中国大陆”，默认选择“中国大陆以外”。 本实践中请选择“中国大陆以外”。 IP地址类型 全球加速实例的地址类型。 默认选择IPv4。 标签 全球加速的标识，包括键和值。可以为全球加速实例创建20个标签。 说明： 如果已经通过TMS的预定义标签功能预先创建了标签，则可以直接选择对应的标签键和值。 预定义标签的详细内容，请参见预定义标签简介。 如您的组织已经设定全球加速服务的相关标签策略，则需按照标签策略规则为加速实例添加标签。标签如果不符合标签策略的规则，则可能会导致加速实例创建失败，请联系组织管理员了解标签策略详情。 描述 全球加速实例描述。 长度范围：不超过255个字符。 单击“下一步”，进入监听器配置页面。

资源成本与规划 本节介绍最佳实践中资源规划情况，包含以下内容： 表1 全球加速配合CDN实现跨境访问加速的资源和成本规划 资源 资源说明 数量 费用 加速实例 按照每个全球加速实例的创建时长收费。 按小时计费，创建时长不满1小时按1小时收费。 实例费=实例单价*创建时长 1 请参见全球加速价格详情。 数据传输 通过全球加速服务转发的流量费用，按GB收费。 从一个全球加速接入点到一个应用部署区域之间的流量，定义流量大的方向为主方向，按照每条流量的主方向收费。 数据传输费=流量单价*使用量 根据实际转发的流量 公网解析记录 根据不同地区的用户添加如下3条解析记录： 线路类型选择“全网默认”，解析记录值配置为国内公网IP地址。 线路类型选择“地域解析 ＞ 中国大陆”，解析记录值配置为国内公网IP地址。 线路类型选择“地域解析 ＞ 全球”，解析记录值配置为CDN服务的CNAME地址。 3 免费 CDN加速 域名 服务范围：中国大陆境外 源站类型：源站IP 源站地址：全球加速实例分配的加速IP地址。 1 请参见内容分发网络价格详情。

步骤一：跨境申请 根据中华人民共和国工业和信息化部（简称工信部）相关法律、行政法规规定，中国大陆只有三大运营商具备跨境业务运营资质。所以涉及跨中国大陆访问的业务场景，都需要通过跨境资质审核。 进入全球加速跨境申请管理界面。 在跨境申请管理页面，单击“跨境申请”。 进入中国联通跨境云服务在线申请页面。 图1 跨境申请 在跨境云服务在线申请页面，根据提示配置相关参数，并上传相关材料。 单击“立即申请”。

步骤五：配置DNS解析 全球加速实例配置完成后，需要配置DNS智能解析，实现海外用户解析到全球加速Anycast IP。 本文以配置华为云DNS解析为例，请按照以下步骤操作： 进入公网域名列表页面。 在“公网域名”页面的域名列表的“域名”列，单击域名的名称。 进入“解析记录”页面。 在页面右上角，单击“添加记录集”。 在“添加记录集”页面，根据界面提示为域名添加3条A类型记录集，详细请参见表5。 图5 设置记录集参数 表5 A类型记录集参数说明 参数 参数说明 主机记录 解析域名的前缀。 例如创建的域名为“example.com”，其“主机记录”设置包括： www：用于网站解析，表示解析的域名为“www.example.com”。 空：用于网站解析，表示解析的域名为“example.com”。 主机记录置为空，还可用于为空头域名“@”添加解析。 *：用于泛解析，表示解析的域名为“*.example.com”，匹配“example.com”的所有子域名。 类型 记录集的类型，此处选择A类型。 别名 用于是否将此记录集关联至云服务资源实例。 本实践中该参数保持默认配置。 别名记录 “别名”参数设置选择“是”时，该项必选。 用于设置记录集关联的华为云服务资源实例。 记录集支持关联的华为云服务资源实例包括：云速建站、Web应用防火墙。 本实践中该参数保持默认配置。 线路类型 解析的线路类型用于DNS服务器在解析域名时，根据访问者的来源，返回对应的服务器IP地址。 3个A类型记录集分别选择“全网默认”、“地域解析 ＞ 中国大陆”、“地域解析 ＞ 全球”。 TTL(秒) 解析记录在本地DNS服务器的缓存时间，以秒为单位。 默认值：300秒 取值范围为：1~2147483647 如果您的服务地址经常更换，建议TTL值设置相对小些，反之，建议设置相对大些。 本实践中该参数保持默认配置。 值 域名对应的IPv4地址。 本实践中需要根据不同线路类型的解析记录配置不同的值，具体如下： 全网默认、中国大陆线路类型：国内公网IP地址。 全球：全球加速实例分配的加速IP地址。 权重 可选参数，返回解析记录的权重比例。 默认值：1 取值范围：0~1000 本实践中该参数保持默认配置。 标签 可选参数，记录集的标识，包括键和值，每个记录集可以创建10个标签。 描述 可选参数，对域名的描述。 长度不超过255个字符。 单击“确定”。 返回“解析记录”页面。 添加完成后，您可以在域名对应的记录集列表中查看已添加的记录集（“中国大陆”，“全网默认”解析到上海一EIP，“全球”解析到全球加速Anycast IP）。当记录集的状态显示为“正常”时，表示记录集添加成功。

步骤二：购买全球加速实例 跨境资质申请完成后，购买全球加速实例。 登录全球加速控制台。 在全球加速页面，单击“购买全球加速服务”。 图2 购买全球加速实例 根据界面提示配置相关参数，加速地域选择中国大陆以外，详细请参见表2。 图3 创建全球实例 表2 创建全球加速实例 参数 说明 名称 用户将要创建的全球加速实例的名称。 只能由中文、英文字母、数字、中划线组成。 长度范围：1-64个字符。 企业项目 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 您可以使用已有企业项目，也可以新建企业项目。 加速区域 加速区域指需要进行访问加速的区域。 支持选择“中国大陆以外”或“中国大陆”，默认选择“中国大陆以外”。 本实践中请选择“中国大陆以外”。 IP地址类型 全球加速实例的地址类型。 默认选择IPv4。 标签 全球加速的标识，包括键和值。可以为全球加速实例创建20个标签。 说明： 如果已经通过TMS的预定义标签功能预先创建了标签，则可以直接选择对应的标签键和值。 预定义标签的详细内容，请参见预定义标签简介。 如您的组织已经设定全球加速服务的相关标签策略，则需按照标签策略规则为加速实例添加标签。标签如果不符合标签策略的规则，则可能会导致加速实例创建失败，请联系组织管理员了解标签策略详情。 描述 全球加速实例描述。 长度范围：不超过255个字符。 单击“下一步”，进入监听器配置页面。

步骤四：配置终端节点组和终端节点 根据界面提示配置终端节点组和终端节点的相关参数，终端节点组区域选择“上海一”，详细请参见表4。 表4 添加终端节点组和终端节点 类型 参数 说明 终端节点组 名称 终端节点组名称。 每个监听器下每个区域只允许关联一个终端节点组。 只能由中文、英文字母、数字、中划线组成。 长度范围：1-64个字符。 区域 终端节点组所属区域。本实践选择“上海一” 描述 终端节点组描述。 长度范围：不超过255个字符。 流量调度 配置到不同终端节点组的流量比例。 如果增加流量调度比例，将有更多的请求分发到此终端节点组。 如果将流量调度比例设置为0，则不会将任何请求分发到此终端节点组。 取值范围为：[0-100]。 说明： 如果监听器中有多个终端节点组，分配流量时优先选择时延最低的终端节点组，并按照该终端节点组的流量调度值分配流量，然后再向其他终端节点组分配其余流量。 终端节点 终端节点充当客户端的接触点，加速实例跨正常运行的终端节点分发传入流量。 本实践中选择EIP。 健康检查配置 是否开启 开启或者关闭健康检查。 关闭健康检查可能会导致业务请求转发至异常的后端服务器。 前端协议 健康检查目前支持选择TCP协议。 默认：TCP协议。 前端端口 健康检查端口号。 取值范围：[1，65535]。 高级配置 检查间隔(秒) 每次健康检查响应的最大间隔时间。 取值范围：[1-60]。 超时时间(秒) 每次健康检查响应的最大超时时间。 取值范围：[1-60]。 最大重复次数 健康检查最大的重试次数。 取值范围：[1-10]。

步骤一：跨境申请 根据中华人民共和国工业和信息化部（简称工信部）相关法律、行政法规规定，中国大陆只有三大运营商具备跨境业务运营资质。所以涉及跨中国大陆访问的业务场景，都需要通过跨境资质审核。 进入全球加速跨境申请管理界面。 在跨境申请管理页面，单击“跨境申请”。 进入中国联通跨境云服务在线申请页面。 图1 跨境申请 在跨境云服务在线申请页面，根据提示配置相关参数，并上传相关材料。 单击“立即申请”。

步骤三：配置监听器 创建全球加速实例后，您需要为全球加速实例配置监听器。监听器负责监听连接请求，并根据流量转发策略将请求流量分发至终端节点。 根据界面提示配置监听器的相关参数，详细请参见表3。 图4 添加监听器 表3 添加监听器 参数 说明 名称 监听器名称。 只能由中文、英文字母、数字、中划线组成。 长度范围：1-64个字符。 前端协议 客户端与监听器建立流量分发连接的协议。 取值范围：TCP、UDP。 前端端口 客户端与监听器建立流量分发连接的端口。 端口取值在1-65535之间，端口范围用“-”连接，多个端口或端口范围以逗号隔开。 例如：1-10，11-50，51，52-200 客户端亲和性 会话保持。 支持选择“关闭”或“按源IP保持会话”。 TCP和UDP协议仅支持“按源IP保持会话”。 按源IP保持会话：基于源IP地址的简单会话保持，将请求的源IP地址作为散列键（HashKey），从静态分配的散列表中找出对应的服务器。即来自同一IP地址的访问请求会被转发到同一台后端服务器上进行处理。 标签 监听器的标识，包括键和值。可以为监听器创建20个标签。 说明： 如果已经通过TMS的预定义标签功能预先创建了标签，则可以直接选择对应的标签键和值。 预定义标签的详细内容，请参见预定义标签简介。 如您的组织已经设定全球加速服务的相关标签策略，则需按照标签策略规则为监听器添加标签。标签如果不符合标签策略的规则，则可能会导致监听器创建失败，请联系组织管理员了解标签策略详情。 描述 监听器描述。 长度范围：不超过255个字符。

方案概述 应用场景：客户网站服务器部署在国内，由于跨国网络不稳定，跨境丢包等因素，海外用户在访问网站时经常出现丢包、时延大、网络抖动等问题，通过全球加速服务优化海外用户访问，实现访问加速。 方案架构：客户应用部署在华东-上海一区域，域名已经通过DNS解析到华东-上海一的弹性公网IP，并且已经完成备案并对外提供Web服务。海外用户可以通过DNS智能解析到全球加速服务Anycast IP，全球用户访问GA服务就近接入华为云骨干网快速传输到华东-上海一的弹性公网IP。

资源成本与规划 本节介绍最佳实践中资源规划情况，包含以下内容： 表1 通过全球加速实现海外用户加速访问国内网站的资源和成本规划 资源 资源说明 数量 费用 加速实例 按照每个全球加速实例的创建时长收费。 按小时计费，创建时长不满1小时按1小时收费。 实例费=实例单价*创建时长 1 请参见全球加速价格详情。 数据传输 通过全球加速服务转发的流量费用，按GB收费。 从一个全球加速接入点到一个应用部署区域之间的流量，定义流量大的方向为主方向，按照每条流量的主方向收费。 数据传输费=流量单价*使用量 根据实际转发的流量 公网解析记录 根据不同地区的用户添加如下3条A类型解析记录： 线路类型选择“全网默认”，解析记录值配置为国内公网IP地址。 线路类型选择“地域解析 ＞ 中国大陆”，解析记录值配置为国内公网IP地址。 线路类型选择“地域解析 ＞ 全球”，解析记录值配置为全球加速实例分配的加速IP地址。 3 免费

操作步骤 配置华为云中国站全球加速实例 在华为云中国站购买加速实例，加速地域选择“中国大陆以外”(亚非拉中东地区，不包含欧洲)，后端终端节点组所属区域选择华东-上海一。 详细配置流程请参见创建全球加速实例。 配置华为云欧洲站全球加速实例 在控制台首页的区域列表中选择云联盟区域“欧洲-都柏林”。 通过云联盟区域访问华为云欧洲站控制台，在欧洲站购买加速实例，其中加速区域选择“欧洲”，后端终端节点组所属区域选择“华东-上海一”。 图3 购买全球加速实例 图4 配置监听器、终端节点组和终端节点信息 配置DNS智能解析 通过DNS智能解析，线路类型选择“地域解析”，为不同地区的访问用户配置相应的域名解析： 欧洲地区的访问用户解析到华为云欧洲站GA Anycast IP，即步骤2中购买的全球加速实例对应的Anycast IP。 其他海外地区（亚太、拉美、非洲）的访问用户解析到华为云中国站GA Anycast IP，即步骤1中购买的全球加速实例对应的Anycast IP。 中国大陆的用户访问解析到华东-上海一的公网IP地址。 图5 配置DNS智能解析

应用场景 华为云中国站的全球加速实例无法直接使用华为云欧洲站的接入点，如果中国站用户业务需要加速欧洲地区访问，需要通过云联盟区域进入华为云欧洲站，然后在欧洲站创建GA实例，后端可以选择中国站区域资源。反过来也是如此，欧洲站用户业务部署在爱尔兰，如果想要加速中国大陆、亚太等地区用户访问，也可以通过云联盟区域跳转到中国站创建全球加速实例。 本文以华为云中国站使用欧洲接入点为例，用户业务部署在华东-上海一区域，需要加速拉美、欧洲、非洲、亚太等地区的多个国家用户访问，则需要创建两个全球加速实例。 图1 场景示例

修订记录 版本日期 变更说明 2024-06-26 第十一次正式发布。 增加监控。 2024-05-10 第十次正式发布。 增加“专业型”终端节点实例类型。 2023-02-16 第九次正式发布。 优化快速入门：配置访问OBS服务内网地址的终端节点。 优化用户指南：访问OBS。 优化最佳实践：通过 VPC终端节点 和云专线服务实现云下IDC访问云上服务。 2022-09-30 第八次正式发布。 优化快速入门：配置跨VPC通信的终端节点（同一账号）、配置跨VPC通信的终端节点（不同账号）、配置访问OBS服务内网地址的终端节点。 优化用户指南：访问OBS。 2021-05-08 第七次正式发布。 支持为终端节点添加60条白名单记录，涉及： 终端节点简介 购买终端节点 设置终端节点的访问控制 2020-11-13 第六次正式发布。 新增 终端节点服务简介 管理终端节点服务的标签 终端节点简介 设置终端节点的访问控制 管理终端节点的标签 2019-12-30 第五次正式发布。 更新用户指南：“权限管理”。 2019-11-30 第四次正式发布。 全文更新截图。 2019-07-10 第三次正式发布。 全文更新截图。 新增“权限管理”内容。 2019-02-18 第二次正式发布。 增加配额调整内容。 2018-11-30 第一次正式发布。

监控指标 表1 VPC终端节点支持的监控指标 指标ID 指标名称 指标含义 取值范围 测量对象 监控周期 vpcep_rx_bps 终端节点流入带宽 终端节点入方向带宽。 单位：bit/s ≥ 0 终端节点 60秒 vpcep_tx_bps 终端节点流出带宽 终端节点出方向带宽。 单位：bit/s ≥ 0 60秒 vpcep_bps 终端节点总带宽 终端节点入方向出方向双向总带宽。 单位：bit/s ≥ 0 60秒 vpcep_rx_pps 终端节点流入包速率 终端节点入方向数据包速率。 单位：packets/s ≥ 0 60秒 vpcep_tx_pps 终端节点流出包速率 终端节点出方向数据包速率。 单位：packets/s ≥ 0 60秒 vpcep_pps 终端节点总数据包速率 终端节点入方向出方向双向总数据包速率。 单位：packets/s ≥ 0 60秒 vpcep_rx_byte 终端节点流入流量 终端节点入方向流量。 单位：byte ≥ 0 60秒 vpcep_tx_byte 终端节点流出流量 终端节点出方向流量。 单位：byte ≥ 0 60秒 vpcep_drop_num 终端节点新增丢包数 终端节点周期内新增丢包数。 单位：packets ≥ 0 60秒 vpcep_connections 终端节点连接数 终端节点当前连接的数量。 单位：count ≥ 0 60秒 vpcep_act_connections 终端节点活跃连接数 终端节点当前活跃连接的数量。 单位：count ≥ 0 60秒 vpcep_eps_rx_bps 终端节点服务流入带宽 终端节点服务入方向带宽。 单位：bit/s ≥ 0 终端节点服务 60秒 vpcep_eps_tx_bps 终端节点服务流出带宽 终端节点服务出方向带宽。 单位：bit/s ≥ 0 60秒 vpcep_eps_bps 终端节点服务总带宽 终端节点服务入方向出方向双向总带宽。 单位：bit/s ≥ 0 60秒 vpcep_eps_rx_pps 终端节点服务流入包速率 终端节点服务入方向数据包速率。 单位：packets/s ≥ 0 60秒 vpcep_eps_tx_pps 终端节点服务流出包速率 终端节点服务出方向数据包速率。 单位：packets/s ≥ 0 60秒 vpcep_eps_pps 终端节点服务总数据包速率 终端节点服务入方向出方向双向总数据包速率。 单位：packets/s ≥ 0 60秒 vpcep_eps_rx_byte 终端节点服务流入流量 终端节点服务入方向流量。 单位：byte ≥ 0 60秒 vpcep_eps_tx_byte 终端节点服务流出流量 终端节点服务出方向流量。 单位：byte ≥ 0 60秒 vpcep_eps_drop_num 终端节点服务新增丢包数 终端节点服务当前累计总丢包个数。 单位：packets ≥ 0 60秒 vpcep_eps_connections 终端节点服务连接数 终端节点服务当前连接的数量。 单位：count ≥ 0 60秒 vpcep_eps_act_connections 终端节点服务活跃连接数 终端节点服务当前活跃连接的数量。 单位：count ≥ 0 60秒

前提条件 弹性云服务器的状态处于“运行中”或者“关机”状态。 弹性云服务器未绑定密钥对。 待重置密钥对的弹性云服务器使用的是华为云提供的公共镜像。 执行密钥对绑定操作是通过修改服务器的“/root/.ssh/authorized_keys”文件的方式来写入用户公钥。请确保重置密钥对前，该文件没有被修改过，否则，绑定密钥对会失败。 弹性云服务器安全组SSH端口（默认22）需对网段100.125.0.0/16提前放通。

数据加密 服务监控指标 表1 密钥管理支持的监控指标 指标ID 指标名称 指标含义 取值范围 测量对象 监控周期（原始指标） delkey_remaing_time 密钥剩余时间 该指标表示计划删除状态的密钥距离被删除还剩下的时间 ≥ 0 小时 密钥 5分钟 matrial_remaing_time 密钥材料的剩余有效时间 该指标表示外部导入的密钥材料的剩余有效时间 ≥ 0 小时 密钥 5分钟 charge_access_count 计费请求次数 该指标表示所有计费请求次数 ≥ 0 小时 密钥 5分钟 表2 凭据管理支持的监控指标 指标ID 指标名称 指标含义 取值范围 测量对象 监控周期（原始指标） del_secret_remaining_time 计划删除凭据剩余时间 该指标表示计划删除凭据的剩余时间 ≥ 0 小时 凭据 5分钟

约束条件 如果用户未设置登录弹性云服务器的密码，或者忘记登录密码，可以到弹性云服务器管理控制台重置该弹性云服务器的登录密码，详细信息请参见《弹性云服务器用户指南》。 当用户创建弹性云服务器使用的是“密钥对方式”登录时，用户解绑密钥对后，如果需要重新绑定密钥对，需要关机重新绑定密钥对。 为了能正常登录弹性云服务器，解绑密钥对后，请在弹性云服务器界面及时重置密码，详细信息请参见《弹性云服务器用户指南》。

约束条件 执行删除密钥操作后，密钥不会立即删除，密钥管理会将该操作按用户指定时间推迟执行，推迟时间范围为7天～1096天。 在推迟删除时间未到时，如果需要重新使用该密钥，可以执行取消删除密钥操作。如果超过推迟时间，密钥将被KMS彻底删除，使用该密钥加密的数据将无法解密，请谨慎操作。 关于处于计划删除状态的密钥计费情况，请参见计划删除的密钥是否还计费？。 默认密钥为服务自动创建，不支持删除操作。 删除多区域主密钥前，需要先删除所有的副本密钥。

RDS凭据使用流程 图1 产品架构 流程说明： 创建一个RDS凭据。 设置凭据名称、标签等。 配置自动轮转策略。 应用系统在使用过程中需要访问数据库时，可以向 CS MS服务请求访问凭据，获取凭据值，调用API接口详情请参见查询凭据版本和凭据值。 应用系统通过访问返回的凭据值解析明文数据，获取账号和密码后，可以访问该用户对应的目标数据库。 开启自动轮转后，数据库实例所托管的密码将定时轮转更新，请确认使用该数据库实例的应用端已完成代码适配，可在数据库连接建立时，动态获取最新凭据。 不要轻易缓存凭据中的任何信息，避免账号密码轮转后失效，导致数据库连接失败。

约束条件 初始版本的状态被标记为“SYSCURRENT”。 您可以将凭据的版本状态标记上服务内创建或者自定义类型的状态标签。每个版本可以被标记上多个状态标签，但是每个状态标签只能标记一个版本。目标状态标签为凭据对象内已经存在的状态标签时，首先自动会将此状态标签从其它版本上移除，然后标记至目标版本上。 凭据管理服务的每个凭据中最多可支持12个凭据版本状态，每个凭据版本状态同时仅能标识一个凭据版本。 “SYSCURRENT”和“SYSPREVIOUS”为服务内建的凭据状态，不可删除。

开启操作保护 登录管理控制台。 在“控制台”页面右上方的用户名处，在下拉列表中选择“安全设置”。 图1 安全设置 进入“安全设置”页面，单击“敏感操作”进入页面。在“操作保护”行，单击“立即启用”。 进入“操作保护设置”页面，选择“开启”，单击“确定”后，开启操作保护。 开启后，您以及账号中的 IAM 用户进行敏感操作时，例如查看凭据值、删除密钥等，需要输入验证码进行验证，避免误操作带来业务风险与损失。 用户如果进行敏感操作，将进入“操作保护”页面，选择认证方式，包括邮箱、手机和虚拟MFA三种认证方式。 如果用户只绑定了手机，则认证方式只能选择手机。 如果用户只绑定了邮箱，则认证方式只能选择邮件。 如果用户未绑定邮箱、手机和虚拟MFA，进行敏感操作时，华为云将提示用户绑定邮箱、手机或虚拟MFA。 如需修改验证手机、邮箱、虚拟MFA设备，请在账号中修改。

标签策略简介 标签策略是策略的一种类型，可帮助您在组织账号中对资源添加的标签进行标准化管理。标签策略对未添加标签的资源或未在标签策略中定义的标签不会生效。 例如：标签策略规定为某资源添加的标签A，需要遵循标签策略中定义的大小写规则和标签值。如果标签A使用的大小写、标签值不符合标签策略，则资源将会被标记为不合规。 标签策略有如下两种应用方式： 1. 事后检查 —— 资源标签如果违反标签策略，则在资源在合规性结果中显示为不合规。 2. 事前拦截 —— 标签策略开启强制执行后，则会阻止在指定的资源类型上完成不合规的标记操作。

标签命名规则 每个标签由一对键值对（Key-Value）组成。 每个数据加密服务资源最多可以添加20个标签。 对于每个资源，每个标签键（Key）都必须是唯一的，每个标签键（Key）只能有一个值（Value）。 标签共由两部分组成：“标签键”和“标签值”，其中，“标签键”和“标签值”的命名规则如表 标签参数说明所示。 标签以键值对的形式表示，用于标识存储库，便于对存储库进行分类和搜索。此处的标签仅用于存储库的过滤和管理。一个存储库最多添加10个标签。 如您的组织已经设定数据加密服务的相关标签策略，则需按照标签策略规则为密钥、凭据等添加标签。标签如果不符合标签策略的规则，则可能会导致密钥、凭据创建失败，请联系组织管理员了解标签策略详情。 表1 标签参数说明 参数 规则 样例 标签键 必填。 对于同一个自定义密钥，标签键唯一。 长度不超过128个字符。 首尾不能包含空格。 不能以_sys_开头。 可以包含以下字符： 中文 英文 数字 空格 特殊字符_.:=+-@ cost 标签值 可以为空。 长度不超过255个字符。 可以包含以下字符： 中文 英文 数字 空格 特殊字符_.:=+-@ 100