华为云用户手册

配额限制 表1 企业交换机配额限制 规格项 默认配额 申请更多配额 每个租户支持创建的企业交换机数量 5个 申请更多配额，请参见提交工单 每个企业交换机支持绑定的VPC数量 1个 不支持修改 每个子网支持连通的二层连接数量 1个 不支持修改 每个“基础型”企业交换机支持建立的二层连接数量 1个 不支持修改 每个“标准型”企业交换机支持建立的二层连接数量 3个 不支持修改 每个“增强型”企业交换机支持建立的二层连接数量 6个 不支持修改

Token认证 Token的有效期为24小时，需要使用一个Token鉴权时，可以先缓存起来，避免频繁调用。 Token在计算机系统中代表令牌（临时）的意思，拥有Token就代表拥有某种权限。Token认证就是在调用API的时候将Token加到请求消息头，从而通过身份认证，获得操作API的权限。 在构造请求中以调用获取用户Token接口为例说明了如何调用API。 Token可通过调用获取用户Token接口获取，调用本服务API需要project级别的Token，即调用获取用户Token接口时，请求body中auth.scope的取值需要选择project，如下所示。 { "auth": { "identity": { "methods": [ "password" ], "password": { "user": { "name": "username", "password": "********", "domain": { "name": "domainname" } } } }, "scope": { "project": { "name": "xxxxxxxx" } } } } 获取Token 后，再调用其他接口时，您需要在请求消息头中添加“X-Auth-Token”，其值即为Token。例如Token值为“ABCDEFJ....”，则调用接口时将“X-Auth-Token: ABCDEFJ....”加到请求消息头即可，如下所示。 GET https://iam.cn-north-1.myhuaweicloud.com/v3/auth/projects Content-Type: application/json X-Auth-Token: ABCDEFJ....

AK/SK认证 AK/SK签名认证方式仅支持消息体大小12M以内，12M以上的请求请使用Token认证。 AK/SK认证就是使用AK/SK对请求进行签名，在请求时将签名信息添加到消息头，从而通过身份认证。 AK(Access Key ID)：访问密钥ID。与私有访问密钥关联的唯一标识符；访问密钥ID和私有访问密钥一起使用，对请求进行加密签名。 SK(Secret Access Key)：与访问密钥ID结合使用的密钥，对请求进行加密签名，可标识发送方，并防止请求被修改。 使用AK/SK认证时，您可以基于签名算法使用AK/SK对请求进行签名，也可以使用专门的签名SDK对请求进行签名。详细的签名方法和SDK使用方法请参见API签名指南。 签名SDK只提供签名功能，与服务提供的SDK不同，使用时请注意。

终端节点 终端节点（Endpoint）即调用API的请求地址，不同服务不同区域的终端节点不同，制品仓库的终端节点如下表所示，请您根据业务需要选择对应区域的终端节点。 表1 制品仓库的终端节点 区 域名 称 区域 终端节点（Endpoint） 华东-上海一 cn-east-3 cloudartifacts-ext.cn-east-3.myhuaweicloud.com 华南-广州 cn-south-1 artifact.cn-south-1.myhuaweicloud.com 父主题： 使用前必读

状态码 表1 状态码 状态码 编码 错误码说明 100 Continue 继续请求。 这个临时响应用来通知客户端，它的部分请求已经被服务器接收，且仍未被拒绝。 101 Switching Protocols 切换协议。只能切换到更高级的协议。 例如，切换到HTTP的新版本协议。 201 Created 创建类的请求完全成功。 202 Accepted 已经接受请求，但未处理完成。 203 Non-Authoritative Information 非授权信息，请求成功。 204 NoContent 请求完全成功，同时HTTP响应不包含响应体。 在响应OPTIONS方法的HTTP请求时返回此状态码。 205 Reset Content 重置内容，服务器处理成功。 206 Partial Content 服务器成功处理了部分GET请求。 300 Multiple Choices 多种选择。请求的资源可包括多个位置，相应可返回一个资源特征与地址的列表用于用户终端（例如：浏览器）选择。 301 Moved Permanently 永久移动，请求的资源已被永久的移动到新的URI，返回信息会包括新的URI。 302 Found 资源被临时移动。 303 See Other 查看其它地址。 使用GET和POST请求查看。 304 Not Modified 所请求的资源未修改，服务器返回此状态码时，不会返回任何资源。 305 Use Proxy 所请求的资源必须通过代理访问。 306 Unused 已经被废弃的HTTP状态码。 400 BadRequest 非法请求。 建议直接修改该请求，不要重试该请求。 401 Unauthorized 在客户端提供认证信息后，返回该状态码，表明服务端指出客户端所提供的认证信息不正确或非法。 402 Payment Required 保留请求。 403 Forbidden 请求被拒绝访问。 返回该状态码，表明请求能够到达服务端，且服务端能够理解用户请求，但是拒绝做更多的事情，因为该请求被设置为拒绝访问，建议直接修改该请求，不要重试该请求。 404 NotFound 所请求的资源不存在。 建议直接修改该请求，不要重试该请求。 405 MethodNotAllowed 请求中带有该资源不支持的方法。 建议直接修改该请求，不要重试该请求。 406 Not Acceptable 服务器无法根据客户端请求的内容特性完成请求。 407 Proxy Authentication Required 请求要求代理的身份认证，与401类似，但请求者应当使用代理进行授权。 408 Request Time-out 服务器等候请求时发生超时。 客户端可以随时再次提交该请求而无需进行任何更改。 409 Conflict 服务器在完成请求时发生冲突。 返回该状态码，表明客户端尝试创建的资源已经存在，或者由于冲突请求的更新操作不能被完成。 410 Gone 客户端请求的资源已经不存在。 返回该状态码，表明请求的资源已被永久删除。 411 Length Required 服务器无法处理客户端发送的不带Content-Length的请求信息。 412 Precondition Failed 未满足前提条件，服务器未满足请求者在请求中设置的其中一个前提条件。 413 Request Entity Too Large 由于请求的实体过大，服务器无法处理，因此拒绝请求。为防止客户端的连续请求，服务器可能会关闭连接。如果只是服务器暂时无法处理，则会包含一个Retry-After的响应信息。 414 Request-URI Too Large 请求的URI过长（URI通常为网址），服务器无法处理。 415 Unsupported Media Type 服务器无法处理请求附带的媒体格式。 416 Requested range not satisfiable 客户端请求的范围无效。 417 Expectation Failed 服务器无法满足Expect的请求头信息。 422 UnprocessableEntity 请求格式正确，但是由于含有语义错误，无法响应。 429 TooManyRequests 表明请求超出了客户端访问频率的限制或者服务端接收到多于它能处理的请求。建议客户端读取相应的Retry-After首部，然后等待该首部指出的时间后再重试。 500 InternalServerError 表明服务端能被请求访问到，但是不能理解用户的请求。 501 Not Implemented 服务器不支持请求的功能，无法完成请求。 502 Bad Gateway 充当网关或代理的服务器，从远端服务器接收到了一个无效的请求。 503 ServiceUnavailable 被请求的服务无效。 建议直接修改该请求，不要重试该请求。 504 ServerTimeout 请求在给定的时间内无法完成。客户端仅在为请求指定超时（Timeout）参数时会得到该响应。 505 HTTP Version not supported 服务器不支持请求的HTTP协议的版本，无法完成处理。 父主题： 附录

基本概念 帐号 用户注册华为云时的帐号，帐号对其所拥有的资源及云服务具有完全的访问权限，可以重置用户密码、分配用户权限等。由于帐号是付费主体，为了确保帐号安全，建议您不要直接使用帐号进行日常管理工作，而是创建用户并使用他们进行日常管理工作。 用户 由帐号在 IAM 中创建的用户，是云服务的使用人员，具有身份凭证（密码和访问密钥）。 在我的凭证下，您可以查看帐号ID和用户ID。通常在调用API的鉴权过程中，您需要用到帐号、用户和密码等信息。 区域（Region） 从地理位置和网络时延维度划分，同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。 Region分为通用Region和专属Region： 通用Region指面向公共租户提供通用云服务的Region。 专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region。 详情请参见区域和可用区。 可用区（AZ，Availability Zone） 一个AZ是一个或多个物理数据中心的集合，有独立的风火水电，AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连，以满足用户跨AZ构建高可用性系统的需求。 项目 华为云的区域默认对应一个项目，这个项目由系统预置，用来隔离物理区域间的资源（计算资源、存储资源和网络资源），以默认项目为单位进行授权，用户可以访问您帐号中该区域的所有资源。 如果您希望进行更加精细的权限控制，可以在区域默认的项目中创建子项目，并在子项目中购买资源，然后以子项目为单位进行授权，使得用户仅能访问特定子项目中资源，使得资源的权限控制更加精确。 企业项目 企业项目是项目的升级版，针对企业不同项目间资源的分组和管理，是逻辑隔离。企业项目中可以包含多个区域的资源，且项目中的资源可以迁入迁出。 关于企业项目ID的获取及企业项目特性的详细信息，请参见《企业管理服务用户指南》。 父主题： 使用前必读

请求URI 尽管请求URI包含在请求消息头中，但大多数语言或框架都要求您从请求消息中单独传递它，所以在此单独强调。 请求URI由四部分构成：{URI-scheme} :// {Endpoint} / {resource-path} ? {query-string} 参数 说明 URI-scheme 表示用于传输请求的协议，当前所有API均采用HTTPS协议。 Endpoint 指定承载REST服务端点的服务器域名或IP，不同服务不同区域的Endpoint不同，您可以从终端节点中获取。 例如，IAM服务在华北-北京一区域的Endpoint为iam.cn-north-1.myhuaweicloud.com。 resource-path 资源路径，即API访问路径，从具体API的URI模块获取。例如，获取用户Token接口的resource-path为/v3/auth/tokens。 query-string 查询参数，是可选部分，并不是每个API都有查询参数。查询参数前面需要带一个？，形式为参数名=参数取值。例如，limit=10表示查询不超过10条数据。 例如，您需要获取IAM在“华北-北京一”区域的Token，则需使用“华北-北京一”区域的Endpoint（iam.cn-north-1.myhuaweicloud.com），并在获取用户Token的URI部分找到resource-path（/v3/auth/tokens），拼接起来如下所示。 https://iam.cn-north-1.myhuaweicloud.com/v3/auth/tokens 图1 URI示意图 为查看方便，在每个具体API的URI部分，只给出resource-path部分，并将请求方法写在一起。这是因为URI-scheme都是HTTPS，而Endpoint在同一个区域也相同，所以简洁起见将这两部分省略。

请求方法 HTTP请求方法（也称为操作或动词），它告诉服务你正在请求什么类型的操作。 请求方法 说明 GET 请求服务器返回指定资源。 PUT 请求服务器更新指定资源。 POST 请求服务器新增资源或执行特殊操作。 DELETE 请求服务器删除指定资源，如删除对象等。 HEAD 请求服务器资源头部。 PATCH 请求服务器更新资源的部分内容。 当资源不存在的时候，PATCH可能会去创建一个新的资源。 在获取用户Token的URI部分，您可以看到其请求方法为“POST”，则其请求为： POST https://iam.cn-north-1.myhuaweicloud.com/v3/auth/tokens

请求消息头 附加请求头字段，如指定的URI和HTTP方法所要求的字段。例如定义消息体类型的请求头“Content-Type”，请求鉴权信息等。 如下公共消息头需要添加到请求中。 名称 描述 是否必选 备注 Content-Type 消息体的类型（格式） 是 默认取值为“application/json”，有其他取值时会在具体接口中专门说明。 X-Auth-Token 用户Token 否 用户Token也就是调用获取用户Token接口的响应值，该接口是唯一不需要认证的接口。 X-Project-ID 子项目ID 否 在多项目场景中使用 X-Domain-ID 帐号ID - - 公有云API同时支持使用AK/SK认证，AK/SK认证是使用SDK对请求进行签名，签名过程会自动往请求中添加Authorization（签名认证信息）和X-Sdk-Date（请求发送的时间）请求头。 AK/SK认证的详细说明请参加AK/SK认证。 对于获取用户Token接口，由于不需要认证，所以只添加“Content-Type”即可，添加消息头后的请求如下所示。 POST https://iam.cn-north-1.myhuaweicloud.com/v3/auth/tokens Content-Type: application/json

请求消息体 请求消息体通常以结构化格式发出，与请求消息头中Content-type对应，传递除请求消息头之外的内容。若请求消息体中参数支持中文，则中文字符必须为UTF-8编码。 每个接口的请求消息体内容不同，也并不是每个接口都需要有请求消息体（或者说消息体为空），GET、DELETE操作类型的接口就不需要消息体，消息体具体内容需要根据具体接口而定。 对于获取用户Token接口，您可以从接口的请求部分看到所需的请求参数及参数说明。将消息体加入后的请求如下所示，加粗的斜体字段需要根据实际值填写，其中username为用户名，domainname为用户所属的帐号名称，********为用户登录密码，xxxxxxxxxx为project的名称，如cn-north-1，您可以从终端节点中获取。 scope参数定义了Token的作用域，下面示例中获取的Token仅能访问project下的资源。您还可以设置Token额作用域为某个帐号下所有资源或帐号的某个project下的资源，详细定义请参见获取用户Token。 POST https://iam.cn-north-1.myhuaweicloud.com/v3/auth/tokens Content-Type: application/json { "auth": { "identity": { "methods": [ "password" ], "password": { "user": { "name": "username", "password": "********", "domain": { "name": "domainname" } } } }, "scope": { "project": { "name": "xxxxxxxx" } } } } 到这里为止这个请求需要的内容就具备齐全了，您可以使用curl、Postman或直接编写代码等方式发送请求调用API。对于获取用户Token接口，返回的响应消息头中“x-subject-token”就是需要获取的用户Token。有了Token之后，您就可以使用Token认证调用其他API。

响应消息体 响应消息体通常以结构化格式返回，与响应消息头中Content-type对应，传递除响应消息头之外的内容。 对于获取用户Token接口，返回如下消息体。为篇幅起见，这里只展示部分内容。 { "token": { "expires_at": "2019-02-13T06:52:13.855000Z", "methods": [ "password" ], "catalog": [ { "endpoints": [ { "region_id": "cn-north-1", ...... 当接口调用出错时，会返回错误码及错误信息说明，错误响应的Body体格式如下所示。 { "error_msg": "The format of message is error", "error_code": "AS.0001" } 其中，error_code表示错误码，error_msg表示错误描述信息。

API概览 表1 制品仓库接口说明 分类 接口 获取项目下文件版本信息列表 获取项目下文件版本信息列表 回收站 批量还原回收站、批量删除回收站 仓库管理 创建maven仓库、编辑仓库、查看仓库信息、创建docker仓库、删除仓库到回收站、查询租户Maven仓库列表和账号密码、创建非maven仓库、编辑非maven仓库信息 仓库关联项目 查询项目管理关联仓库、项目关联仓库 仓库容量 仓库用量查询 搜索 通过checksum搜索文件、统筹搜索 用户管理 重置用户密码 仓库详情 查询仓库详情，不会去统计仓库下的制品数量、查询单个仓库详细信息，会去统计仓库下的制品数量、查询存储容量趋势 审计日志 查询仓库或文件的审计日志信息 关注 关注组件/取消关注组件、查询关注列表 文件管理 查询仓库文件夹目录、查询仓库文件详情、非maven删除文件 发布库套餐查询 获取当前用户的套餐信息、获取当前用户的套餐状态 发布库文件管理 彻底删除文件/文件夹、分页查询构建归档包列表 发布库仓库详情 查询项目自动删除任务设置

调用API取项目ID 项目ID还用通过调用查询指定条件下的项目信息API获取。 获取项目ID的接口为“GET https://{Endpoint}/v3/projects/”，其中“{Endpoint}”为IAM的终端节点，可以从终端节点获取。接口的认证鉴权请参见认证鉴权。 响应示例如下，其中“projects”下的“id”即为项目ID。 { "projects": [ { "domain_id": "65382450e8f64ac0870cd180d14e684b", "is_domain": false, "parent_id": "65382450e8f64ac0870cd180d14e684b", "name": "cn-north-4", "description": "", "links": { "next": null, "previous": null, "self": "https://www.example.com/v3/projects/a4a5d4098fb4474fa22cd05f897d6b99" }, "id": "a4a5d4098fb4474fa22cd05f897d6b99", "enabled": true } ], "links": { "next": null, "previous": null, "self": "https://www.example.com/v3/projects" } }

步骤3：在Windows云服务器上使用OBS Browser+通过内网访问桶 登录Windows E CS ，并检查是否已配置内网DNS 打开cmd命令行，运行ipconfig /all命令，查看“DNS服务器”是否为当前ECS所在区域的内网 DNS地址 。 华为云针对各区域提供了不同的内网DNS服务器地址。具体请参见华为云提供的内网DNS服务器地址。 如果查询结果显示未配置华为云内网DNS，请参考配置内网DNS修改DNS地址。 在云服务器上安装OBS Browser+。 下载OBS Browser+安装包 OBS Browser+下载地址及具体操作请参见下载OBS Browser+。 解压OBS Browser+安装包，运行“obs-browser-plus Setup xxx.exe”完成OBS Browser+工具安装。 开始菜单或者桌面快捷方式中双击 obs-browser-plus，即可运行OBS Browser+工具。 登录OBS Browser+。 请参考登录OBS Browser+。 使用OBS Browser+下载桶中的文件 成功登录OBS Browser+后，搜索步骤1：在OBS管理控制台创建桶中创建的桶，便可以在Windows ECS上直接通过华为云内网访问OBS，进行基本的数据存取操作以及其他的高级设置操作。 详细使用指南请参见OBS Browser+最佳实践。 至此使用OBS Browser+完成上传文件到Windows云服务器。

操作流程 使用OBS Browser+上传文件到Windows云服务器操作流程如下： 步骤1：在OBS管理控制台创建桶 桶是OBS中存储对象的容器，在上传对象前需要先创建桶。桶是OBS中存储对象的容器，将本地文件上传至OBS前需要先创建桶。 创建桶的方式多种多样，本例以在控制台创建桶为例，更多创建桶的方法请参考创建桶。 步骤2：上传本地文件到桶（OBS Browser+方式） 桶创建成功后，您可以通过多种方式将本地文件上传至桶，OBS最终将这些文件以对象的形式存储在桶中。 本例中以OBS Browser+方式上传为例。 通过OBS控制台可以上传小于5GB的文件，其中： “批量”上传方式每次最多支持100个文件同时上传，总大小不超过5GB。 “单个”上传方式每次只能上传1个文件，大小不超过50MB。 通过OBS Browser+和obsutil可以上传小于48.8TB的文件。 通过SDK或API的PUT上传、POST上传和追加写，可以上传小于5GB的文件。 通过SDK或API的多段上传以及SDK的断点续传，可以上传小于48.8TB的文件。 详细操作请参考上传对象。 步骤3：在Windows云服务器上使用OBS Browser+通过内网访问桶 OBS Browser+是适用于Windows的图形化界面工具，配置云服务器内网DNS服务器地址后，可以使用OBS Browser+通过内网访问桶，下载桶中的图片或视频等数据。

步骤2：上传本地文件到桶（OBS Browser+方式） 在管理控制台上创建访问密钥（AK和SK）。 通过OBS Browser+访问OBS时需要访问密钥（AK/SK）来进行鉴权。所以使用OBS Browser+访问OBS前，需要提前获取访问密钥（AK/SK）。 登录控制台，选择右上角的登录用户名，在下拉列表中单击“我的凭证”。 在左侧导航栏单击“访问密钥”。 单击“新增访问密钥”，进入“新增访问密钥”页面。 输入当前用户的登录密码。 通过邮箱或者手机进行验证，输入对应的验证码。 单击“确定”，下载访问密钥。为防止访问密钥泄露，建议您将其保存到安全的位置。 在本地主机上安装OBS Browser+。 下载OBS Browser+安装包。 OBS Browser+下载地址及具体操作请参见下载OBS Browser+。 当前OBS Browser+工具包存放在华北-北京一的桶中，华北-北京一的服务器可以使用内网下载工具，非华北-北京一的服务器需要使用弹性公网IP下载安装包，或者先将安装包上传到与服务器相同区域的桶中再下载。 解压OBS Browser+安装包，运行“obs-browser-plus Setup xxx.exe”完成OBS Browser+工具安装。 开始菜单或者桌面快捷方式中双击 obs-browser-plus，即可运行OBS Browser+工具。 登录OBS Browser+。 请参考登录OBS Browser+。 使用OBS Browser+上传文件 成功登录OBS Browser+后，搜索步骤1：在OBS管理控制台创建桶中创建的桶，进行基本的数据存取操作以及其他的高级设置操作。 详细使用指南请参见OBS Browser+最佳实践。

操作场景 云服务器支持通过内网访问OBS，OBS可供用户存储任意类型的数据。将图片、视频等数据存储至OBS后，在ECS上可以访问OBS，下载桶中的图片或视频等数据。通过内网访问OBS，可以避免因网络不稳定导致的数据传输中断问题，且使用内网访问OBS不收取流量费用，最大化的优化性能、节省开支，提高文件上传成功率。 当通过内网访问OBS时，需要确保待访问的OBS资源与ECS属于同一个区域，如果不属于同一个区域，将采用公网访问。

步骤1：在OBS管理控制台创建桶 在OBS管理控制台左侧导航栏选择“对象存储”。 在页面右上角单击“创建桶”， 选择“区域”，输入“桶名称”。 存储类别：本例中以“标准存储”为例。 标准存储适用于有大量热点文件或小文件，且需要频繁访问（平均一个月多次）并快速获取数据的业务场景。 上传对象时，对象默认与桶的存储类别相同，也可以根据适用场景修改。 “桶策略”、“默认加密”、“归档数据直读”等参数配置请参考通过管理控制台创建桶。本例中均使用默认配置。 单击“立即创建”，完成桶的创建，并在列表页面查看已创建的桶。

操作指引 图1 Agent编排中心操作指引 表1 Agent编排中心操作指引详解 序号 流程环节 说明 1 创建数据集 创建微调数据集/创建知识库数据集 用户根据需要创建微调数据集、知识库数据集，分别用于模型微调、创建知识库。 标注数据 用户可以将数据集中的某些元素进行标记或分类，以便模型可以更好地理解和使用这些数据。 2 创建提示语 选择平台预置提示语或自定义提示语 用户根据需要选择平台预置的提示语模板或自定义提示语模板，可在创建Agent、调测模型中快速引用。 优化提示语 针对提示语进行结构、排版、内容等维度的优化和改进，将大模型的输入限定在一个特定的范围中，进而更好地控制模型的输出。 3 创建模型服务 模型需要部署成功后才可正式提供模型推理服务，平台支持将微调后的模型、系统预置的模型以及通过自建模型服务接入的模型发布为模型服务。调测模型、应用调用均需先部署模型（即部署模型服务）。 4 创建知识库 自定义创建并管理知识库，创建的知识库启用后可在创建Agent时引用。 5 创建工具 用户根据实际需求可自主创建用于实现特定功能的模块或组件或选择系统预置的通用工具。 6 创建工作流 用户根据实际需求可自主创建工作流（一系列有序执行的工具，完成复杂任务的过程）或选择系统预置的通用工作流。 7 编排Agent 创建及发布Agent 将准备好的模型服务、提示语、知识库等编排Agent应用，以及将应用程序和相关的组件发布，使其能够正常运行。

管理我收藏的应用 在“我的Agent”页面的“应用列表”区域，选择“我收藏的”页签。 在收藏的应用列表中，单击应用所在行的“操作”列的“取消收藏”，可从收藏的应用列表中移除我已收藏的应用。 单击“操作”列的“体验”，进入“应用体验”页面。 在“应用体验”页面，参照表4进行相关参数和请求体配置。 表4 应用体验参数配置 参数名称 参数说明 参数配置 API 无需配置，默认为调用应用的URL。 选择应用部署 无需配置，由系统自动部署生成。 选择应用 无需配置，默认为当前应用。 选择接口API 仅体验平台预置的应用时，需要配置此参数。 无需配置，默认为当前应用的接口API。 请求体 输入应用接口中的请求体内容。 示例如下： { "query": "请详细说明AppStage平台有哪些大模型", "file_id": [] } 在“应用体验”页面右侧“API调测”区域，单击查看调测结果。 对话框中输入API调试语句也可进行调测。

配置原理 您需要按以下步骤操作： 创建防火墙（以命名vpc-cfw-er为例）并关联子网，请参见步骤一：创建防火墙。 配置企业路由器。 配置所有VPC（包括防火墙VPC和需要互联的VPC）的路由转向企业路由器，请参见将路由转向企业路由器。 创建所有VPC（包括防火墙VPC和需要互联的VPC）的连接，请参见添加连接。 创建两个路由表(以er-RT1和er-RT2为例)，请参见创建两个路由表。 配置关联路由表er-RT1将流量从VPC传输到 云防火墙 ，请参见配置路由表er-RT1。 配置传播路由表er-RT2将流量从云防火墙传输到VPC，请参见配置路由表er-RT2。 修改VPC的路由表，请参见修改VPC的路由表。 开启VPC防护，并验证流量正常通信。 配置防护规则，并查看防护效果。 图2 流量走势图

约束条件 仅“专业版”支持VPC边界防火墙。 依赖企业路由器（Enterprise Router, ER）服务引流。 仅支持防护当前账号所属企业项目下的VPC。 如果您存在私用公网(即使用10.0.0.0/8、 172.16.0.0/12、192.168.0.0/16 以及运营商级NAT保留网段100.64.0.0/10 以外的公网网段作为私网地址段)的情况，请您提交工单进行私网网段扩容，否则云防火墙可能无法正常转发您VPC间的流量。

操作流程 操作步骤 说明 准备工作 注册华为账号 、开通华为云，为账户充值、赋予CFW权限。 步骤一：购买标准版云防火墙 购买CFW，选择防护的区域、版本规格（本文以标准版为例）等信息。 步骤二：开启指定EIP的防护 在CFW上对需要防护的EIP开启防护，使流量经过云防火墙。 步骤三：添加防护规则——阻断所有入方向流量 配置一条阻断所有入方向流量的防护规则，并将它优先级置于最低。 步骤四：添加防护规则——放行访问指定EIP的入方向流量 配置一条放行指定EIP（本文以xx.xx.xx.1为例）入方向流量的防护规则，并将它优先级设置在阻断规则之上。 步骤五：通过访问控制日志查看命中详情 查看防护规则是否生效。

步骤四：添加防护规则——放行访问指定EIP的入方向流量 在“访问策略管理”页面的“防护规则”页签中，单击“添加”，在弹出的“添加防护规则”中，填写以下参数。 方向：外-内（表示入方向流量） 源：Any 目的：选择EIP，例如：xx.xx.xx.1 服务：Any 应用：Any 动作：放行 策略优先级：置顶（至少需高于上一条阻断规则） 其他参数根据具体情况选择。 图2 放行指定IP 单击“确认”，完成配置防护规则。

准备工作 在购买云防火墙之前，请先注册华为账号并开通华为云。具体操作详见注册华为账号并开通华为云、实名认证。 如果您已开通华为云并进行实名认证，请忽略此步骤。 请保证账户有足够的资金，防止购买云防火墙失败。具体操作请参见账户充值。 请确保已为账号赋予相关CFW权限。具体操作请参见创建用户组并授权使用CFW。 表1 CFW系统角色 角色名称 描述 类别 依赖关系 CFW FullAccess 云防火墙服务的所有权限。 系统策略 无 CFW ReadOnlyAccess 云防火墙服务的只读权限。 系统策略 无

入门实践 当您配置入侵防御和访问控制策略后，可以根据业务场景使用CFW提供的一系列常用实践。 表1 常用实践 实践 描述 拦截海外地区的访问流量 介绍如何批量配置IP地址组和服务组（端口、协议），适用于业务部署在企业或有多个IP地址或端口协议需要配置的场景。 VPC间边界防火墙配置 介绍VPC边界防火墙的配置流程，适用于对VPC间流量防护有需求的场景。 等保二级解决方案 该解决方案能帮您快速在华为云上搭建等保二级合规安全解决方案，帮助客户快速、低成本完成安全整改，轻松满足等保二级合规要求。 等保合规安全解决方案 该解决方案介绍，华为云依托自身安全能力与安全合规生态，为客户提供一站式的安全解决方案，帮助客户快速、低成本完成安全整改，轻松满足等保合规要求。

响应示例 状态码： 200 ok { "instanceId" : "28e8841d0b9c4f6a9a30742ee60e1068in09", "instanceName" : "BUG-ddm-fb88-test", "jobId" : "1eb697c0-1842-43a3-8671-f562d0385cb9" } 状态码： 400 bad request { "externalMessage" : "Parameter error.", "errCode" : "DBS.280001" } 状态码： 500 server error { "externalMessage" : "Server failure.", "errCode" : "DBS.200412" }

请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 用户Token。 通过调用IAM服务的“获取用户Token”接口来获取。 表3 请求Body参数 参数 是否必选 参数类型 描述 node_number 是 Integer 需要缩容的节点数量，最大值为实例节点数减1。 group_id 否 String 组ID，指定当前进行节点扩容的组。当实例的组大于1时，必填。

响应参数 状态码： 200 表4 响应Body参数 参数 参数类型 描述 instanceId String DDM实例ID。 instanceName String DDM实例名称。 jobId String 任务ID，仅按需实例时会返回该参数。 orderId String 订单号，仅包年包月实例时返回该参数。 状态码： 400 表5 响应Body参数 参数 参数类型 描述 errCode String 业务错误码。 externalMessage String 错误信息。 状态码： 500 表6 响应Body参数 参数 参数类型 描述 errCode String 业务错误码。 externalMessage String 错误信息。

请求示例 缩容实例节点，需要缩容的节点数量为2。 POST https://{endpoint}/v2/{project_id}/instances/{instance_id}/action/reduce { "node_number" : 2 } 缩容实例节点，实例有多个组，需要缩容的节点数量为1。 POST https://{endpoint}/v2/{project_id}/instances/{instance_id}/action/reduce { "group_id" : "f080abf2010d45118068c28c8958f5fcgr09", "node_number" : 1 }