华为云用户手册

请求示例 更新单个kv，设置表名为test-table-1，设置更新的kv分区键值为user1，排序键为test-file-1，将updateKey字段的值更新为updateValue。 POST https://{endpoint}/v1/update-kv{ "table_name" : "test-table-1", "primary_key" : { "owner" : "user-1", "filename" : "test-file-1" }, "update_fields" : { "set" : { "updateKey" : "updateValue" } }}

请求示例 创建表，表名为test-table，分区键字段名为owner，排序键字段名称为filename POST https://{endpoint}/v1/create-table{ "table_name" : "test-table", "primary_key_schema" : { "shard_key_fields" : [ { "name" : "owner", "order" : true } ], "sort_key_fields" : [ { "name" : "filename", "order" : true } ] }}

响应示例 状态码：200 表示创建表成功。 { "table_name" : "test-table", "primary_key_schema" : { "shard_key_fields" : [ { "name" : "owner", "order" : true } ], "sort_key_fields" : [ { "name" : "filename", "order" : true } ] }}

响应参数 状态码：200 表9 响应Body参数 参数 参数类型 描述 table_name String 表名，仓内唯一。 bill_mode String 计费模式，可为"provisioned"或"on_demand"。 provisioned_throughput provisioned_throughput object 预置吞吐读写请求单元数，在bill_mode="provisioned"有效。 primary_key_schema primary_key_schema object 主键模板, 最多1个，必须指定主键schema。 local_secondary_index_schema Array of secondary_index objects 本地二级索引模板，可以多个。 global_secondary_index_schema Array of global_secondary_index objects 全局二级索引模板。 pre_split_key_options pre_split_key_options object 按照设定的分裂键值或者键值前缀进行预分裂。 说明： range分区时该参数有效，且只作用于主表，其他场景无效。 表10 primary_key_schema 参数 参数类型 描述 shard_key_fields Array of field objects 分区键字段名数组，顺序组合。 shard_mode String 分区模式。 sort_key_fields Array of field objects 排序键字段名数组，顺序组合。 表11 secondary_index 参数 参数类型 描述 index_name String 二级索引名称，表内唯一。 sort_key_fields Array of field objects 排序键字段名数组，顺序组合。 abstract_fields Array of strings 摘要字段名数组。 表12 global_secondary_index 参数 参数类型 描述 index_name String 二级索引名称，表内唯一。 shard_key_fields Array of field objects 分区键字段名数组，顺序组合。 shard_mode String 分区模式。 sort_key_fields Array of field objects 排序键字段名数组，顺序组合。 abstract_fields Array of strings 摘要字段名数组。 provisioned_throughput provisioned_throughput object 预置吞吐读写请求单元数，在bill_mode="provisioned"有效。 表13 field 参数 参数类型 描述 name String 字段名。 order Boolean bool值预留无意义。 表14 provisioned_throughput 参数 参数类型 描述 rcu Long 预置表级读请求单元数。 wcu Long 预置表级写请求单元数。 表15 pre_split_key_options 参数 参数类型 描述 range_split_points Array of strings 在range分区模式有效，最大10个。 状态码：400 表16 响应Body参数 参数 参数类型 描述 error_code String 请求返回的错误码。 error_msg String 请求返回的错误信息。 状态码：409 表17 响应Body参数 参数 参数类型 描述 error_code String 请求返回的错误码。 error_msg String 请求返回的错误信息。

URI POST /v1/create-table 表1 Query参数 参数 是否必选 参数类型 描述 store_name 否 String 仓名，全域唯一，不同租户的仓名不能相同。 格式：${prefix}-${region-code}-${account-id}，其中prefix为自定义前缀，region-code为kvs集群所在的区域代码，account-id为用户的账户id 取值字符限制：[a-z0-9-]+ 长度：[16,52] 说明： "-"不能出现在名字头部或尾部

请求参数 表2 请求Body参数 参数 是否必选 参数类型 描述 table_name 是 String 表名，仓内唯一。 bill_mode 否 String 表计费模式，可为"provisioned"或"on_demand" 预置模式：provisioned 按需模式：on_demand provisioned_throughput 否 provisioned_throughput object 预置吞吐读写请求单元数，在bill_mode="provisioned"有效。 primary_key_schema 是 primary_key_schema object 主键模板, 最多1个，必须指定主键schema。 local_secondary_index_schema 否 Array of secondary_index objects 本地二级索引模板，可以多个。 global_secondary_index_schema 否 Array of global_secondary_index objects 全局二级索引模板。 pre_split_key_options 否 pre_split_key_options object 按照设定的分裂键值或者键值前缀进行预分裂。 说明： range分区时该参数有效，且只作用于主表，其他场景无效。 表3 primary_key_schema 参数 是否必选 参数类型 描述 shard_key_fields 是 Array of field objects 分区键字段名数组，顺序组合。 shard_mode 否 String 分区模式。 sort_key_fields 否 Array of field objects 排序键字段名数组，顺序组合。 表4 secondary_index 参数 是否必选 参数类型 描述 index_name 是 String 二级索引名称，表内唯一。 sort_key_fields 是 Array of field objects 排序键字段名数组，顺序组合。 abstract_fields 否 Array of strings 摘要字段名数组。 表5 global_secondary_index 参数 是否必选 参数类型 描述 index_name 是 String 二级索引名称，表内唯一。 shard_key_fields 是 Array of field objects 分区键字段名数组，顺序组合。 shard_mode 否 String 分区模式。 sort_key_fields 否 Array of field objects 排序键字段名数组，顺序组合。 abstract_fields 否 Array of strings 摘要字段名数组。 provisioned_throughput 否 provisioned_throughput object 预置吞吐读写请求单元数，在bill_mode="provisioned"有效。 表6 field 参数 是否必选 参数类型 描述 name 是 String 字段名。 order 否 Boolean bool值预留无意义。 表7 provisioned_throughput 参数 是否必选 参数类型 描述 rcu 是 Long 预置表级读请求单元数。 wcu 是 Long 预置表级写请求单元数。 表8 pre_split_key_options 参数 是否必选 参数类型 描述 range_split_points 否 Array of strings 在range分区模式有效，最大10个。

请求参数 表2 请求Body参数 参数 是否必选 参数类型 描述 table_name 是 String 表名，仓内唯一。 长度：[3, 63] 取值字符限制：[a-z0-9_-]+ condition_expression 否 condition_expression object 条件表达式，参见conditional小节。 长度：[8,4096] kv_doc 否 Document 用户文档。 表3 condition_expression 参数 是否必选 参数类型 描述 single_field_expression 否 single_field_expression object 单字段条件。 multi_field_expression 否 multi_field_expression object 多字段条件，多个相同优先级的单字段条件。 composed_expression 否 composed_expression object 组合条件, 逐层同级的子表达式嵌套。 表4 composed_expression 参数 是否必选 参数类型 描述 logic 否 String 逻辑关系，取值如"$and", "$or", "$nor"。 expressions 是 Array of expression objects 多个相同优先级且相同逻辑的单字段或多字段条件。 表5 expression 参数 是否必选 参数类型 描述 single_field_expression 否 single_field_expression object 单字段条件。 multi_field_expression 否 multi_field_expression object 多字段条件，多个相同优先级的单字段条件。 composed_expression 否 composed_expression object 组合条件, 逐层同级的子表达式嵌套。 表6 single_field_expression 参数 是否必选 参数类型 描述 field 是 String 条件字段。 func 是 String 条件函数，取值如"$gt", $lt","$gte", $lte" "$eq", "$ne", "$prefix", "$exists"。 value 否 Document value和value_array二选一。 value条件值，适用于除"$in", "$nin"外的func。 字段名无意义，可以传空，也可以传字段名。 $exists值为true/false。 说明： $prefix操作只适用于string和binary类型。 value_array 否 Array of strings "value"和"value_array"二选一。 "value_array" 条件值列表, 值用于"$in", "$nin"。 表7 multi_field_expression 参数 是否必选 参数类型 描述 logic 否 String 多字段条件，多个相同优先级的单字段条件。 expressions 是 Array of single_field_expression objects 多个相同逻辑操作的单字段条件。

URI POST /v1/put-kv 表1 Query参数 参数 是否必选 参数类型 描述 store_name 否 String 仓名，全域唯一，不同租户的仓名不能相同。 格式：${prefix}-${region-code}-${account-id}，其中prefix为自定义前缀，region-code为kvs集群所在的区域代码，account-id为用户的账户id 取值字符限制：[a-z0-9-]+ 长度：[16,52] 说明： "-"不能出现在名字头部或尾部

站点入云企业版VPN和经典版VPN的区别 表1 企业版VPN和经典版VPN的区别 类别 对比项 企业版VPN 经典版VPN 租户隔离 租户独享网关 支持 不支持 功能&特性 策略模式 支持 支持 路由模式 静态路由/BGP路由 不支持 VPN Hub 支持 不支持 企业路由器 支持 不支持 网络类型 公网/私网 公网 容量&性能 子网数量 路由模式：50 策略模式：5 策略模式：5 更多信息，请参见表 企业版VPN不同规格的区别。 可靠性 网关保护方式 主备/双活 - 网关跨AZ部署 支持 不支持 双线路双活 支持 不支持 与专线互备 支持 不支持

VPN连接监控 权限 对应API接口 授权项（Action） 依赖的授权项 IAM 项目（Project） 企业项目（Enterprise Project） 创建连接监控 POST /v5/{project_id}/connection-monitors vpn:connectionMonitors:create - √ x 查询连接监控列表 GET /v5/{project_id}/connection-monitors vpn:connectionMonitors:list - √ x 删除连接监控 DELETE /v5/{project_id}/connection-monitors/{connection_monitor_id} vpn:connectionMonitors:delete - √ x 查询连接监控 GET /v5/{project_id}/connection-monitors/{connection_monitor_id} vpn:connectionMonitors:get - √ x 父主题： 站点入云VPN授权项列表

服务端 权限 对应API接口 授权项（Action） 依赖的授权项 IAM项目（Project） 企业项目（Enterprise Project） 创建终端入云VPN服务端 POST /v5/{project_id}/p2c-vpn-gateways/{p2c_vgw_id}/vpn-servers vpn:p2cVpnGateway:createServer scm:cert:get scm:cert:list scm:cert:download vpc:publicIps:get vpc:routeTables:update vpc:subnets:get √ x 查询一个网关下的服务端信息 GET /v5/{project_id}/p2c-vpn-gateways/{p2c_vgw_id}/vpn-servers vpn:p2cVpnGateway:listServers - √ x 更新指定网关的服务端 PUT /v5/{project_id}/p2c-vpn-gateways/vpn-servers/{vpn_server_id} vpn:p2cVpnGateway:updateServer scm:cert:get scm:cert:list scm:cert:download vpc:publicIps:get vpc:routeTables:update vpc:subnets:get √ x 导出服务端对应的客户端配置信息 POST /v5/{project_id}/p2c-vpn-gateways/vpn-servers/{vpn_server_id}/client-config/export vpn:p2cVpnGateway:exportClientConfig - √ x 校验CA证书的合法性 POST /v5/{project_id}/p2c-vpn-gateways/vpn-servers/client-ca-certificates/check vpn:system:checkClientCaCertificate - √ x 导入客户端CA证书 POST /v5/{project_id}/p2c-vpn-gateways/vpn-servers/{vpn_server_id}/client-ca-certificates vpn:p2cVpnGateway:importClientCa - √ x 修改客户端CA证书 PUT /v5/{project_id}/p2c-vpn-gateways/vpn-servers/{vpn_server_id}/client-ca-certificates/{client_ca_certificate_id} vpn:p2cVpnGateway:updateClientCa - √ x 查询客户端CA证书 GET /v5/{project_id}/p2c-vpn-gateways/vpn-servers/{vpn_server_id}/client-ca-certificates/{client_ca_certificate_id} vpn:p2cVpnGateway:getClientCa - √ x 删除客户端CA证书 DELETE /v5/{project_id}/p2c-vpn-gateways/vpn-servers/{vpn_server_id}/client-ca-certificates/{client_ca_certificate_id} vpn:p2cVpnGateway:deleteClientCa - √ x 查询租户下的所有服务端信息 GET /v5/{project_id}/vpn-servers vpn:p2cVpnGateway:listAllServers - √ x 断开终端入云VPN网关连接 POST /v5/{project_id}/p2c-vpn-gateways/{p2c_vgw_id}/connections/{connection_id}/disconnect vpn:p2cVpnGateway:disconnectConnection - √ x 更新终端入云VPN连接日志配置 PUT /v5/{project_id}/p2c-vpn-gateways/{p2c_vgw_id}/log-config vpn:p2cVpnGateway:updateConnectionsLogConfig - √ × 查询终端入云VPN连接日志配置 GET /v5/{project_id}/p2c-vpn-gateways/{p2c_vgw_id}/log-config vpn:p2cVpnGateway:getConnectionsLogConfig - √ × 删除终端入云VPN连接日志配置 DELETE /v5/{project_id}/p2c-vpn-gateways/{p2c_vgw_id}/log-config vpn:p2cVpnGateway:deleteConnectionsLogConfig - √ × 父主题： 终端入云VPN授权项列表

参考标准和协议 与VPN相关的参考标准与协议如下： RFC 2403: The Use of HMAC-MD5-96 within ESP and AH RFC 2404: The Use of HMAC-SHA-1-96 within ESP and AH RFC 2409: The Internet Key Exchange (IKE) RFC 2451: The ESP CBC-Mode Cipher Algorithms RFC 3526: More Modular Exponential (MODP) Diffie-Hellman groups for Internet Key Exchange (IKE) RFC 3566: The AES-XCBC-MAC-96 Algorithm and Its Use With IPsec RFC 3602: The AES-CBC Cipher Algorithm and Its Use with IPsec RFC 3664: The AES-XCBC-PRF-128 Algorithm for the Internet Key Exchange Protocol (IKE) RFC 4106: The Use of Galois/Counter Mode (GCM) in IPsec Encapsulating Security Payload (ESP) RFC 4109: Algorithms for Internet Key Exchange version 1 (IKEv1) RFC 4434: The AES-XCBC-PRF-128 Algorithm for the Internet Key Exchange Protocol (IKE) RFC 4868: Using HMAC-SHA-256, HMAC-SHA-384, and HMAC-SHA-512 with IPsec RFC 4301: Security Architecture for the Internet Protocol RFC 4302: IP Authentication Header RFC 4303: IP Encapsulating Security Payload (ESP) RFC 4305: Cryptographic Algorithm Implementation Requirements for Encapsulating Security Payload (ESP) and Authentication Header (AH) RFC 4306: Internet Key Exchange (IKEv2)Protocol RFC 4307: Cryptographic Algorithms for Use in the Internet Key Exchange Version 2 (IKEv2) RFC 4308: Cryptographic Suites for IPsec RFC 5282: Using Authenticated Encryption Algorithms with the Encrypted Payload of the Internet Key Exchange version 2 (IKEv2) Protocol RFC 6989: Additional Diffie-Hellman Tests for the Internet Key Exchange Protocol Version 2 (IKEv2) RFC 7296: Internet Key Exchange Protocol Version 2 (IKEv2) RFC 7321: Cryptographic Algorithm Implementation Requirements and Usage Guidance for Encapsulating Security Payload (ESP) and Authentication Header (AH) RFC 8247: Algorithm Implementation Requirements and Usage Guidance for the Internet Key Exchange Protocol Version 2 (IKEv2) RFC 3947: Negotiation of NAT-Traversal in the IKE RFC 3948: UDP Encapsulation of IPsec ESP Packets RFC 3706: A Traffic-Based Method of Detecting Dead Internet Key Exchange (IKE) Peers RFC 4271: A Border Gateway Protocol 4 (BGP-4)

用户管理 权限 对应API接口 授权项（Action） 依赖的授权项 IAM项目（Project） 企业项目（Enterprise Project） 创建VPN用户 POST /v5/{project_id}/p2c-vpn-gateways/vpn-servers/{vpn_server_id}/users vpn:p2cVpnUser:create - √ x 批量创建VPN用户 POST /v5/{project_id}/p2c-vpn-gateways/vpn-servers/{vpn_server_id}/users/batch-create vpn:p2cVpnUser:batchCreate - √ x 查询VPN用户列表 GET /v5/{project_id}/p2c-vpn-gateways/vpn-servers/{vpn_server_id}/users vpn:p2cVpnUser:list - √ x 修改VPN用户 PUT /v5/{project_id}/p2c-vpn-gateways/vpn-servers/{vpn_server_id}/users/{user_id} vpn:p2cVpnUser:update - √ x 查询VPN用户 GET /v5/{project_id}/p2c-vpn-gateways/vpn-servers/{vpn_server_id}/users/{user_id} vpn:p2cVpnUser:get - √ x 删除VPN用户 DELETE /v5/{project_id}/p2c-vpn-gateways/vpn-servers/{vpn_server_id}/users/{user_id} vpn:p2cVpnUser:delete - √ x 批量删除VPN用户 POST /v5/{project_id}/p2c-vpn-gateways/vpn-servers/{vpn_server_id}/users/batch-delete vpn:p2cVpnUser:batchDelete - √ x 修改VPN用户密码 PUT /v5/{project_id}/p2c-vpn-gateways/vpn-servers/{vpn_server_id}/users/{user_id}/password vpn:p2cVpnUser:updatePassword - √ x 重置VPN用户密码 POST /v5/{project_id}/p2c-vpn-gateways/vpn-servers/{vpn_server_id}/users/{user_id}/reset-password vpn:p2cVpnUser:resetPassword - √ x 创建VPN用户组 POST /v5/{project_id}/p2c-vpn-gateways/vpn-servers/{vpn_server_id}/groups vpn:p2cVpnGateway:createUserGroup - √ x 查询VPN用户组列表 GET /v5/{project_id}/p2c-vpn-gateways/vpn-servers/{vpn_server_id}/groups vpn:p2cVpnGateway:listUserGroup - √ x 修改VPN用户组 PUT /v5/{project_id}/p2c-vpn-gateways/vpn-servers/{vpn_server_id}/groups/{group_id} vpn:p2cVpnGateway:updateUserGroup - √ x 查询VPN用户组 GET /v5/{project_id}/p2c-vpn-gateways/vpn-servers/{vpn_server_id}/groups/{group_id} vpn:p2cVpnGateway:getUserGroup - √ x 删除VPN用户组 DELETE /v5/{project_id}/p2c-vpn-gateways/vpn-servers/{vpn_server_id}/groups/{group_id} vpn:p2cVpnGateway:deleteUserGroup - √ x 添加VPN用户到组 POST /v5/{project_id}/p2c-vpn-gateways/vpn-servers/{vpn_server_id}/groups/{group_id}/add-users vpn:p2cVpnGateway:addUsers - √ x 删除组内VPN用户 POST /v5/{project_id}/p2c-vpn-gateways/vpn-servers/{vpn_server_id}/groups/{group_id}/remove-users vpn:p2cVpnGateway:removeUsers - √ x 查询组内VPN用户 GET /v5/{project_id}/p2c-vpn-gateways/vpn-servers/{vpn_server_id}/groups/{group_id}/users vpn:p2cVpnGateway:listUsersInGroup - √ x 父主题： 终端入云VPN授权项列表

什么是区域、可用区？ 区域和可用区用来描述数据中心的位置，您可以在特定的区域、可用区创建资源。 区域（Region）：从地理位置和网络时延维度划分，同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region，通用Region指面向公共租户提供通用云服务的Region；专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region。 可用区（AZ，Availability Zone）：一个AZ是一个或多个物理数据中心的集合，有独立的风火水电，AZ内逻辑上再将计算、网络、存储等资源划分成多个集群，一个Region中的多个AZ间通过高速光纤相连，以满足用户跨AZ构建高可用性系统的需求。 图1阐明了区域和可用区之间的关系。 图1 区域和可用区 目前，华为云已在全球多个地域开放云服务，您可以根据需求选择适合自己的区域和可用区。更多信息请参见华为云全球站点。

如何选择区域？ 选择区域时，您需要考虑以下几个因素： 地理位置 一般情况下，建议就近选择靠近您或者您的目标用户的区域，这样可以减少网络时延，提高访问速度。 在除中国大陆以外的亚太地区有业务的用户，可以选择“中国-香港”、“亚太-曼谷”或“亚太-新加坡”区域。 在非洲地区有业务的用户，可以选择“非洲-约翰内斯堡”区域。 在拉丁美洲地区有业务的用户，可以选择“拉美-圣地亚哥”区域。 “拉美-圣地亚哥”区域位于智利。 资源的价格 不同区域的资源价格可能有差异，请参见华为云服务价格详情。

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的华为 云安全 挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善华为云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 各类各项云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。 租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类各项云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、 虚拟主机 和访客虚拟机的操作系统，虚拟防火墙、API 网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题： 安全

本端子网 本端子网通过VPN与用户侧网络进行互通，有两种输入方式。 子网方式 : 使用下拉列表选择要进行VPN通信的子网。如果要进行VPN通信的子网都在该VPC中，建议采用这种方式。 网段方式 : 用户在输入框中手工输入网段信息，格式为点分十进制加掩码长度，如 192.168.0.0/16； 如果有多个网段，则使用逗号分隔。使用这种方式可以添加不属于该VPC的网段，如通过VPC peering特性连接进来的非该VPN网关关联的VPC内的网段（如0.0.0.0/0等）。 父主题： 基本概念

完善的前向安全性PFS PFS（Perfect Forward Secrecy）指一个IPsec隧道的密钥被破解，不会影响其他隧道的安全性，因为这些隧道的密钥之间没有相关性。站点入云VPN默认开启PFS功能。 每个IPsec VPN连接由至少一个IPsec隧道组成，每个IPsec隧道使用一套独立的密钥来保护用户流量。 站点入云VPN支持的算法如下： DH group 1（此算法安全性较低，请慎用） DH group 2（此算法安全性较低，请慎用） DH group 5（此算法安全性较低，请慎用） DH group 14 DH group 15 DH group 16 DH group 19 DH group 20 DH group 21 图1 PFS

站点入云企业版VPN和经典版VPN的区别 表1 企业版VPN和经典版VPN的区别 类别 对比项 企业版VPN 经典版VPN 租户隔离 租户独享网关 支持 不支持 功能&特性 策略模式 支持 支持 路由模式 静态路由/BGP路由 不支持 VPN Hub 支持 不支持 企业路由器 支持 不支持 网络类型 公网/私网 公网 容量&性能 子网数量 路由模式：50 策略模式：5 策略模式：5 更多信息，请参见表 企业版VPN不同规格的区别。 可靠性 网关保护方式 主备/双活 - 网关跨AZ部署 支持 不支持 双线路双活 支持 不支持 与专线互备 支持 不支持

计费项 表1 经典版VPN计费项 计费方式 计费项一-经典版VPN连接 计费项二-带宽 计费公式 包年/包月 VPN连接费用 带宽费用 经典版VPN连接费用+带宽费用 按需计费 VPN连接费用（按小时） 按带宽计费 带宽费用（按小时） 按流量计费 流量费用（按G） 按带宽计费 经典版VPN连接费用+带宽费用 按流量计费 经典版VPN连接费用+流量费用 经典版VPN的计费项主要包含下面两个部分： 经典版VPN连接：指经典版VPN网关和用户对端网关的连接费用。 通过包年/包月计费模式购买时，默认包含10个VPN连接。如果您需要更多的VPN连接，则超过10个部分需要额外购买。VPN连接以10个为单位进行销售。 通过按需计费模式购买时，支持按个为单位购买连接，费用计算公式为：VPN连接费用=连接单价（元/小时）*使用时长（小时）。 带宽：VPN网关所耗费的带宽费用。 经典版VPN费用详情请参见产品价格详情。

变更配置 VPN计费方式变更当前支持以下几种情况： 按需按带宽转包年/包月，具体变更步骤请参见按需按带宽转包年/包月。 按需按带宽进行带宽升配或降配，具体变更步骤请参见按需按带宽进行带宽升配或降配。 按需按带宽与按需按流量相互转换，具体变更步骤请参见按需按带宽与按需按流量相互转换。 按需按流量转包年/包月，具体变更步骤请参见按需按流量转包年/包月。 以上计费方式变更，实际情况以console显示为准。 按需按流量转包年/包月，需要先将按需按流量转为按需按带宽，再转包年/包月。 包年/包月资源支持到期后续费降配。 包年/包月资源不可转按需。

计费项 表1 VPN计费项 计费方式 计费项一-VPN网关 计费项二-VPN连接 计费项三-EIP带宽 计费项四-ER费用 计费公式 包年/包月 VPN网关费用 VPN连接费用 EIP带宽费用 仅网络类型采用公网时涉及。 EIP带宽费用的计费方式支持包年/包月或按需计费。 ER费用包括ER连接费用和ER流量费用 仅关联模式采用企业路由器时涉及。 VPN网关费用+VPN连接费用+EIP带宽费用+ER费用 按需计费 VPN网关费用（按小时） VPN连接费用（按小时） VPN网关费用（按小时）+VPN连接费用（按小时）+EIP带宽费用+ER费用 VPN的计费项主要包含下面几个部分： VPN网关：单个VPN网关的使用费用。VPN网关资源隔离、独享转发实例，性能不受其它租户的影响。 支持多种网关规格，您可根据业务需要选择不同规格的实例。 VPN连接：指VPN网关和对端网关的连接费用。 通过包年/包月计费模式购买时，默认包含10个VPN连接组。VPN网关与同一对端网关的两条VPN连接为一个VPN连接组。如果您需要更多的VPN连接组，则超过10个部分需要额外购买。VPN连接组以10个为单位进行销售。 通过按需计费模式购买时，支持按个为单位购买连接组，费用计算公式为：VPN连接组费用=连接组单价（/小时）*使用时长（小时）。 EIP带宽：指用户创建实例时绑定的EIP所耗费的带宽费用。 VPN双活网关默认使用2个EIP，您需要为每个EIP购买带宽。 支持使用已有EIP作为VPN网关的EIP。如果使用已有EIP，EIP费用不会重复收费。 EIP带宽费用详情请参见弹性公网IP产品价格详情。 ER费用：指VPN网关关联企业路由器时产生的ER连接费用和ER流量费用。 ER费用详情请参见ER产品价格计算器。 VPN费用详情请参见产品价格详情。

变更配置 VPN计费方式变更当前支持以下几种情况： VPN网关按需转包年/包月，具体变更步骤请参见按需VPN网关转包年/包月。 包年/包月EIP带宽升配/降配，具体变更步骤请参见包年/包月EIP带宽升配/降配。 包年/包月VPN连接组数升配/降配，具体变更步骤请参见包年/包月VPN连接组数升配/降配。 包年/包月VPN网关规格变更，具体变更步骤请参见包年/包月VPN网关变更规格。 更多EIP配置变更场景（如按需按流量计费转按需按带宽计费等），请在EIP管理控制台界面进行变更操作，详细请参见弹性公网IP产品价格详情。

VPN权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 VPN部署时通过物理区域划分，为项目级服务。授权时，“授权范围”需要选择“指定区域项目资源”，然后在指定区域（如华北-北京1）对应的项目（cn-north-1）中设置相关权限，并且该权限仅对此项目生效；如果“授权范围”选择“所有资源”，则该权限在所有区域项目中都生效。访问VPN时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对VPN服务，管理员能够控制IAM用户仅能对某一类VPN资源进行指定的管理操作。 如表1所示，包括了VPN的所有系统权限。 表1 VPN系统权限 系统角色/策略名称 描述 依赖关系 VPN Administrator（不推荐使用） VPN服务的管理员权限，拥有该权限的用户拥有VPN服务所有执行权限。 拥有该权限的用户默认拥有Tenant Guest、VPC Administrator权限。 VPC Administrator：项目级策略，在同项目中勾选。 Tenant Guest：项目级策略，在同项目中勾选。 - VPN FullAccess（推荐使用） VPN服务的所有执行权限。 说明： 所有查询列表的action不支持企业项目授权，需要在IAM视图下单独配置。 全局服务的action和region级的action不能配置在同一策略，需要补充全局action： "tms:predefineTags:list" "scm:cert:list" "scm:cert:get" "scm:cert:download" VPN ReadOnlyAccess VPN服务只读权限，拥有该权限的用户仅能查看VPN服务下的资源信息。 说明： 所有查询列表的action不支持企业项目授权，需要在IAM视图下单独配置。 全局服务的action和region级的action不能配置在同一策略，需要补充全局action： "tms:predefineTags:list" "scm:cert:list" "scm:cert:get" 表 VPN常用操作与系统权限的关系列出了站点入云VPN常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表2 站点入云VPN常用操作与系统权限的关系 操作 VPN Administrator（不推荐使用） VPN FullAccess（推荐使用） VPN ReadOnlyAccess 创建VPN网关 √ 企业版VPN：√ 经典版VPN：× × 查询VPN网关 √ √ √ 查询VPN网关列表 √ √ √ 更新VPN网关 √ 企业版VPN：√ 经典版VPN：× × 删除VPN网关 √ 企业版VPN：√ 经典版VPN：× × 创建VPN连接 √ 企业版VPN：√ 经典版VPN：√ × 查询VPN连接 √ √ √ 查询VPN连接列表 √ √ √ 更新VPN连接 √ 企业版VPN：√ 经典版VPN：√ × 删除VPN连接 √ 企业版VPN：× 经典版VPN：√ × 创建对端网关 √ 企业版VPN：√ 经典版VPN：不涉及 × 查询对端网关 √ 企业版VPN：√ 经典版VPN：不涉及 √ 查询对端网关列表 √ 企业版VPN：√ 经典版VPN：不涉及 √ 更新对端网关 √ 企业版VPN：√ 经典版VPN：不涉及 × 删除对端网关 √ 企业版VPN：√ 经典版VPN：不涉及 × 创建连接监控 √ 企业版VPN：√ 经典版VPN：× × 查询连接监控 √ 企业版VPN：√ 经典版VPN：× √ 查询连接监控列表 √ 企业版VPN：√ 经典版VPN：× √ 删除连接监控 √ 企业版VPN：√ 经典版VPN：× × 表 终端入云VPN常用操作与系统权限的关系列出了终端入云VPN常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表3 终端入云VPN常用操作与系统权限的关系 操作 VPN Administrator（不推荐使用） VPN FullAccess（推荐使用） VPN ReadOnlyAccess 订购包周期终端入云VPN网关 √ √ × 变更包周期终端入云VPN网关规格 √ √ × 更新终端入云VPN网关 √ √ × 查询终端入云VPN网关详情 √ √ √ 查询终端入云VPN网关列表 √ √ √ 查询终端入云VPN连接列表 √ √ √ 创建VPN服务端 √ × 全局服务的action和region级的action不能配置在同一策略，需要补充全局action： scm:cert:get scm:cert:list scm:cert:download × 查询一个网关下的服务端信息 √ √ √ 更新指定网关的服务端 √ × 全局服务的action和region级的action不能配置在同一策略，需要补充全局action： scm:cert:get scm:cert:list scm:cert:download × 导出服务端对应的客户端配置信息 √ √ × 校验CA证书的合法性 √ √ √ 导入客户端CA证书 √ √ × 修改客户端CA证书 √ √ × 查询客户端CA证书 √ √ √ 删除客户端CA证书 √ √ × 查询租户下的所有服务端信息 √ √ √ 创建VPN用户 √ √ × 查询VPN用户列表 √ √ √ 修改VPN用户 √ √ × 查询VPN用户 √ √ √ 删除VPN用户 √ √ × 修改VPN用户密码 √ √ × 重置VPN用户密码 √ √ × 创建VPN用户组 √ √ × 查询VPN用户组列表 √ √ √ 修改VPN用户组 √ √ × 查询VPN用户组 √ √ √ 删除VPN用户组 √ √ × 添加VPN用户到组 √ √ × 删除组内VPN用户 √ √ × 查询组内VPN用户 √ √ √ 创建VPN访问策略 √ √ × 查询VPN访问策略列表 √ √ √ 修改VPN访问策略 √ √ × 查询VPN访问策略 √ √ √ 删除VPN访问策略 √ √ × 查询P2C VPN网关可用区 √ √ √ 批量添加资源标签 √ √ × 批量删除资源标签 √ √ × 通过资源标签查询资源实例列表 √ √ √ 查询标签下资源实例数量 √ √ √ 通过资源实例查询资源标签列表 √ √ √ 查询资源标签列表 √ √ √

对端网关限制 表2 对端网关限制 VPN网关类型 资源 默认限制 如何提升配额 企业版VPN 每租户在每区域支持创建的对端网关数量 100 申请更多配额，请参见提交工单。 请结合组网情况开启对端网关NAT穿越功能。 如果组网为”VPN网关--公网--NAT设备--对端网关”，即对端网关通过NAT设备连接到公网，则对端网关需要开启NAT穿越功能。 如果组网为”VPN网关--公网--对端网关”，即对端网关直接连接到公网，则对端网关无需开启NAT穿越功能。 对端网关必须使能DPD（Dead Peer Detection，失效对等体检测）。 对端网关必须支持IPsec Tunnel接口，并使能对应的安全策略。 静态路由模式连接开启NQA（Network Quality Analysis，网络质量分析）时，对端网关的IPsec Tunnel接口必须配置IP地址，并响应ICMP请求。 对端网关TCP协议的最大报文段长度建议设置为小于1399，避免因增加IPsec认证头开销导致分片的问题。

VPN连接限制 表3 VPN连接限制 VPN网关类型 资源 默认限制 如何提升配额 企业版VPN 每VPN连接支持配置的策略规则数量 5 不支持修改。 每VPN连接支持配置的对端子网数量 50 经典版VPN 每租户在每区域支持创建的VPN连接数量 12 不支持修改。 多子网场景下，VPN连接建议使用路由模式。策略模式/策略模板模式下，VPN网关默认为每对本地子网和对端子网创建一个通信隧道，当一条策略模式连接的本地或对端为多子网场景下实际占用了多个通信隧道。 VPN网关每个网关IP和对端网关建连时，最大提供100个通信隧道。 路由模式下，每个VPN连接占用网关IP的1个通信隧道。 策略模式/策略模板模式下，每个VPN连接占用网关IP的M*N个通信隧道。M为本端待通信子网数，N为对端待通信子网数。 当所有涉及该网关IP的VPN连接模式占用的通信隧道超过100个时，会导致超出部分对应的VPN连接创建失败。 使用策略模式创建VPN连接时，若添加多条策略规则，不同策略规则的源、目的网段需要避免出现重叠，以免造成数据流误匹配或IPsec隧道震荡。

VPN网关限制 表1 VPN网关限制 VPN网关类型 资源 默认限制 如何提升配额 企业版VPN 每租户在每区域支持创建的VPN网关数量 50 如果您只有一个VPC，则该VPC最大创建50个VPN网关。 如果您有多个VPC，则多个VPC创建的VPN网关数量最大为50个。 申请更多配额，请参见提交工单。 每VPN网关支持配置的VPN连接组数量 100 如果VPN网关支持非固定IP接入，则该VPN网关支持配置的非固定IP接入、固定IP接入的VPN连接组数量合计最多为100个。 不支持修改。 每VPN网关支持配置的本地子网数量 50 不支持修改。 不同款型网关支持接收的BGP路由数量 100 基础型和国密型网关支持接收的BGP路由数量最多为100。 专业型1网关支持接收的BGP路由数量最多为200。 专业型2网关支持接收的BGP路由数量最多为300。 专业型3网关支持接收的BGP路由数量最多为500。 不支持修改。 每VPN网关支持最大路由条目数量 10000 不支持修改。 经典版VPN 每租户在每区域支持创建的VPN网关数量 2 每个VPC最多创建1个VPN网关。 申请更多配额，请参见提交工单。 VPN网关TCP协议的最大报文长度默认设置为1300字节。

访问策略 权限 对应API接口 授权项（Action） 依赖的授权项 IAM项目（Project） 企业项目（Enterprise Project） 创建VPN访问策略 POST /v5/{project_id}/p2c-vpn-gateways/vpn-servers/{vpn_server_id}/access-policies vpn:p2cVpnGateway:createAccessPolicy - √ x 查询VPN访问策略列表 GET /v5/{project_id}/p2c-vpn-gateways/vpn-servers/{vpn_server_id}/access-policies vpn:p2cVpnGateway:listAccessPolicies - √ x 修改VPN访问策略 PUT /v5/{project_id}/p2c-vpn-gateways/vpn-servers/{vpn_server_id}/access-policies/{policy_id} vpn:p2cVpnGateway:updateAccessPolicy - √ x 查询VPN访问策略 GET /v5/{project_id}/p2c-vpn-gateways/vpn-servers/{vpn_server_id}/access-policies/{policy_id} vpn:p2cVpnGateway:getAccessPolicy - √ x 删除VPN访问策略 DELETE /v5/{project_id}/p2c-vpn-gateways/vpn-servers/{vpn_server_id}/access-policies/{policy_id} vpn:p2cVpnGateway:deleteAccessPolicy - √ x 父主题： 终端入云VPN授权项列表

VPN网关 权限 对应API接口 授权项（Action） 依赖的授权项 IAM项目 (Project) 企业项目 (Enterprise Project) 订购包周期终端入云VPN网关 POST /v5/{project_id}/p2c-vpn-gateways/subscribe/{order_id} vpn:p2cVpnGateway:subscribe vpn:system:listAvailabilityZones vpc:vpcs:list vpc:subnets:get vpc:bandwidths:list vpc:publicIps:create vpc:publicIps:delete vpc:publicIps:update vpc:publicIps:list √ × 变更包周期 VPN网关规格 PUT /v5/{project_id}/p2c-vpn-gateways/update-specification/{order_id} vpn:p2cVpnGateway:updateSpecification - √ × 更新终端入云VPN网关 PUT /v5/{project_id}/p2c-vpn-gateways/{p2c_vgw_id} vpn:p2cVpnGateway:update vpc:publicIps:create vpc:publicIps:delete vpc:publicIps:update vpc:publicIps:get vpc:publicIps:list vpc:bandwidths:list √ × 查询终端入云VPN网关详情 GET /v5/{project_id}/p2c-vpn-gateways/{p2c_vgw_id} vpn:p2cVpnGateway:get vpc:publicIps:get √ × 查询终端入云VPN网关列表 GET /v5/{project_id}/p2c-vpn-gateways vpn:p2cVpnGateway:list vpc:publicIps:get √ × 查询终端入云VPN连接列表 GET /v5/{project_id}/p2c-vpn-gateways/{p2c_vgw_id}/connections vpn:p2cVpnGateway:listConnections - √ × 断开P2C VPN网关连接 POST /v5/{project_id}/p2c-vpn-gateways/{p2c_vgw_id}/connections/{connection_id}/disconnect vpn:p2cVpnGateway:disconnectConnection - √ × 父主题： 终端入云VPN授权项列表

VPN连接 权限 对应API接口 授权项（Action） 依赖的授权项 IAM项目（Project） 企业项目（Enterprise Project） 创建VPN连接 POST /v5/{project_id}/vpn-connection vpn:vpnConnections:create ces:metricData:list ces:currentRegionSupportedMetrics:list vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:subnets:list vpc:subNetworkInterfaces:update vpc:publicIps:get vpc:publicIps:list vpc:bandwidths:list vpc:ports:get vpc:routeTables:update vpc:routeTables:get √ √ 查询VPN连接列表 GET /v5/{project_id}/vpn-connection vpn:vpnConnections:list vpc:publicIps:get vpc:publicIps:list vpc:bandwidths:list er:instances:list er:instances:get vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:subnets:list √ × 查询VPN连接详情 GET /v5/{project_id}/vpn-connection/{vpn_connection_id} vpn:vpnConnections:get vpc:publicIps:get vpc:publicIps:list vpc:bandwidths:list er:instances:list er:instances:get vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:subnets:list √ √ 更新VPN连接 PUT /v5/{project_id}/vpn-connection/{vpn_connection_id} vpn:vpnConnections:update vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:subnets:list vpc:subNetworkInterfaces:update vpc:publicIps:get vpc:publicIps:list vpc:bandwidths:list vpc:ports:get vpc:routeTables:update vpc:routeTables:get √ √ 删除VPN连接 DELETE /v5/{project_id}/vpn-connection/{vpn_connection_id} vpn:vpnConnections:delete ces:metricData:list ces:currentRegionSupportedMetrics:list vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:subNetworkInterfaces:update vpc:publicIps:get vpc:publicIps:list vpc:bandwidths:list vpc:ports:get vpc:routeTables:update vpc:routeTables:get √ √ 父主题： 站点入云VPN授权项列表