华为云用户手册

日志内容格式 SDK日志格式为：日志时间|日志级别|调用接口|日志内容。示例如下： 2018/2/11 下午9:22:45|info|ListObjects|enter ListObjects... 2018/2/11 下午9:22:45|info|ListObjects|prepare request parameters ok,then Send request to service start 2018/2/11 下午9:22:45|info|ListObjects|http cost 19 ms 2018/2/11 下午9:22:45|info|ListObjects|get response start, statusCode:200

日志配置 OBS BrowserJS SDK提供了日志功能，您可以通过ObsClient.initLog开启日志功能并进行配置。示例代码如下： // 创建ObsClient实例 var obsClient = new ObsClient({ // 认证用的ak和sk硬编码到代码中或者明文存储都有很大的安全风险，建议在配置文件或者环境变量中密文存放，使用时解密，确保安全；本示例以ak和sk保存在环境变量中为例，运行本示例前请先在本地环境中设置环境变量AccessKeyID和SecretAccessKey。 // 前端本身没有process对象，可以使用webpack类打包工具定义环境变量，就可以在代码中运行了。 // 您可以登录访问管理控制台获取访问密钥AK/SK，获取方式请参见https://support.huaweicloud.com/usermanual-ca/ca_01_0003.html access_key_id: process.env.AccessKeyID, secret_access_key: process.env.SecretAccessKey, // 这里以华北-北京四为例，其他地区请按实际情况填写 server: 'https://obs.cn-north-4.myhuaweicloud.com' }); obsClient.initLog({ level:'warn', // 配置日志级别 }); SDK打印的日志均显示在浏览器提供的开发者工具的Console中。 日志功能默认是关闭的，需要主动开启。

跨域请求被拦截 Access to XMLHttpRequest at 'xxx' from origin 'xxx' has been blocked by CORS policy: Response to preflight request doesn't pass access control check: No 'Access-Control-Allow-Origin' header is present on the requested resource.

请求成功但返回结果缺少某些字段 此类错误一般有两种原因： 在桶的CORS配置中ExposeHeader配置不完整，例如未配置ETag（导致上传对象成功后无法获取ETag值）、未配置x-obs-request-id（导致请求完成后无法获取OBS服务端请求ID）等，解决方法：请参考配置桶的CORS章节重新配置桶的CORS； 使用了旧版本的SDK，解决方法：升级到最新版本的SDK，可以从这里下载最新版本；

无法获取上传后的ETag值 使用ObsClient.putObject和ObsClient.uploadPart上传文件成功后返回结果中无ETag值，此类错误一般有两种原因： 桶的CORS配置中ExposeHeader不包含ETag头域，解决方法：按照文档配置桶的CORS为桶配置完整的CORS配置； 桶的CORS配置中ExposeHeader包含ETag头域，但浏览器的返回结果屏蔽了ETag头域（一般发生在低版本的浏览器），解决方法：升级到高版本且完全支持HTML5的浏览器；

初始化OBS客户端 开发过程中，您有任何问题可以在github上提交issue，或者在华为云对象存储服务论坛中发帖求助。接口参考文档详细介绍了每个接口的参数和使用方法。 向OBS发送任一HTTP/HTTPS请求之前，必须先创建一个ObsClient实例： // 创建ObsClient实例 var obsClient = new ObsClient({ // 认证用的ak和sk硬编码到代码中或者明文存储都有很大的安全风险，建议在配置文件或者环境变量中密文存放，使用时解密，确保安全；本示例以ak和sk保存在环境变量中为例，运行本示例前请先在本地环境中设置环境变量AccessKeyID和SecretAccessKey。 // 前端本身没有process对象，可以使用webpack类打包工具定义环境变量，就可以在代码中运行了。 // 您可以登录访问管理控制台获取访问密钥AK/SK，获取方式请参见https://support.huaweicloud.com/usermanual-ca/ca_01_0003.html access_key_id: process.env.AccessKeyID, secret_access_key: process.env.SecretAccessKey, // 这里以华北-北京四为例，其他地区请按实际情况填写 server: 'https://obs.cn-north-4.myhuaweicloud.com' }); // 使用访问OBS 更多关于OBS客户端初始化的内容请参考“初始化”章节。 日志配置详见配置SDK日志。 父主题： 快速入门

创建IAM用户 如果您需要多用户协同操作管理您账号下的资源，为了避免共享您的密码/访问密钥，您可以通过IAM创建用户，并授予用户对应权限。这些用户可以使用特别的登录链接和自己单独的用户账号访问公有云，帮助您高效的管理资源，您还可以设置账号安全策略确保这些账号的安全，从而降低您的企业信息安全风险。 如果您已注册公有云但尚未为自己创建一个IAM用户，则可以使用IAM控制台自行创建。以创建CBR管理员为例，具体步骤如下： 使用账号和密码登录管理控制台。 单击右上方登录的用户名，在下拉列表中选择“统一身份认证”。 在左侧导航栏中单击“用户”。 在“用户”界面，单击“创建用户”。 在“创建用户”界面填写“用户信息”。 用户名：设置一个用户名，如“cbr_admin”。 邮箱：IAM用户绑定的邮箱，仅“访问方式”选择“首次登录时设置”时必填，选择其他访问方式时选填。 手机号（选填）：IAM用户绑定的手机号。 描述（选填）：输入用户信息，如“CBR管理员”。 在“创建用户”界面选择“访问方式”为“华为云管理控制台访问”，设置控制台登录密码为“自定义”并输入密码，完成后单击“下一步”。 CBR管理员用于登录管理控制台管理用户。如果您为自己创建CBR管理员，建议使用自定义方式设置密码。如果您为他人创建CBR管理员，建议使用“首次登录时设置”的方式，由用户自己设置密码。 （可选）将用户加入到“admin”用户组，完成后单击“下一步”。 “admin”用户组拥有所有操作权限，如果您想为IAM用户精细授权，请参阅创建用户并授权使用CBR。 创建成功后，用户列表中显示新创建的IAM用户。IAM用户可以使用列表上方的IAM用户登录链接登录控制台。

预测的准确性 预测主要是基于用户在华为云上的历史成本和历史用量情况，对未来的成本和用量进行预测。您可以使用预测功能来估计未来时间内可能消耗的成本和用量，并根据预测数据设置预算提醒，以达到基于预测成本进行预算监控的目的。由于预测是一种估计值，因此可能与您在每个账期内的实际数据存在差异。 不同的准确度范围具有不同的预测区间。华为云为您提供80%的预测区间，表示实际产生的成本数据有80%的概率会落在该预测区间内。预测区间的范围取决于您的历史支出波幅或波动，历史支出的一致性和可预测性越高，预测区间就越小。

预测的方法 华为云根据不同成本类型和计费模式特点，提供不同的预测机制。 对包年包月的摊销成本、按需的摊销成本和按需的原始成本进行预测时，采用AI算法根据历史消费趋势进行计算，因此如果没有足够的历史消费数据作为支撑，将不展示预测值。 按天、按月查看预测数据时：至少存在过去30天的消费数据。 按小时暂不支持预测。 对包年包月的原始成本进行预测时，需要以生效中的包年包月产品作为支撑，否则将不展示预测值。预测机制基于如下假设： 用户未指定“到期不续费”、“到期转按需”的资源，默认会在到期日正常续费。 开通自动续费且设置自动续费扣款日的资源，假设会在资源到期前7日扣款。 未开启自动续费的资源，默认会在资源宽限期内进行续费。 假设续费资源享受折扣优惠，则与最近一次新购或续费的折扣率保持一致。

限制条件 仅支持总成本的预测，不支持按汇总维度进行预测。若您需要预测特定范围的成本，请在过滤器中通过条件选择圈定成本范围。 预测数据中，不包含未来时间内可能产生的退款、调账、企业主账号关联/解绑子账号产生的成本变化。 宽限期到期后的包年包月产品，将不展示包年包月预测值。 预测数据根据筛选条件覆盖的历史数据进行估算，按天预测暂未考虑周期性如续费等场景，因此可能与预测时段内的实际数据不同，仅供参考。 选择汇总维度后，柱状图和折线图中无预测数据展示，预测的总成本仅在表格中提供。

共享函数资源简介 基于资源访问管理（Resource Access Manager，简称RAM）服务，函数工作流服务可以实现跨账号共享函数资源，资源所有者将资源同时共享给多个其他账号使用，资源使用者接受共享邀请后就可以访问和使用共享的函数资源，就像拥有它们一样。资源所有者可以依据最小权限原则和不同的使用诉求，选择不同的共享权限，资源使用者只能对资源进行权限内的访问，保证共享资源在满足资源使用者业务诉求的同时，提升资源管理的安全性。关于RAM服务的更多信息请参见什么是资源访问管理。 当您的账号由华为云组织管理时，您还可以利用此优势更轻松地共享资源。如果您的账号在组织中，则您可以与单个账号共享，也可以与组织或OU中的所有账号共享，而不必枚举每个账号，具体请参见启用与组织共享资源。

停止共享 资源所有者如果不再需要某个共享时，可以随时将其删除，删除共享不会删除共享的资源。共享删除后，共享资源指定的使用者将无法继续使用该共享中的资源，详情请参见删除共享。 资源所有者可以随时更新资源共享实例，支持更新资源共享实例的名称、描述、标签、共享的资源、共享权限以及共享使用者，详情请参见更新共享。 资源使用者如果不再需要访问共享给您的资源，可以随时退出共享。退出共享后，将失去对共享资源的访问权限。 只有当共享资源的指定使用者是华为云账号而不是组织内共享时，才可以退出此共享。如果共享资源的指定使用者是组织，而资源使用者的账号由组织管理，则无法退出此共享，详情请参见退出共享。

整体方案 图1 架构图 上图中方案构成的系统完成了如下能力： 通过IEF构建的数据通道对边缘侧数据集成组件的生命周期进行管理。 通过IEF的配置通道对边缘侧数据集成规则进行配置。该规则为可处理流数据的SQL语句。 通过IEF将边缘侧获取到的数据转入相应的云服务或用户自己部署在云端的应用中。 边缘侧的Kuiper Container负责对接边缘侧其他系统获取数据。 边缘侧Kuiper的数据处理函数和数据源为插件式，可以由社区、ISV或华为等开发并预置。该插件也可以由IEF在云端进行管理进行插拔。 该方案由如下几个角色构成，在实际项目中可能其中的某些角色是合并为一个实体的： 华为云IEF 提供IEF服务，提供整合了Kuiper的边缘、边云数据集成系统。 EMQ 提供对边缘侧数据集成组件Kuiper的商业支持。 插件开发者 根据业务需求在Kuiper上开发对应的source和数据处理function。 业务开发者 使用IEF提供的整合式数据集成平台，配置边缘侧数据处理逻辑，配置数据到云端服务的转发规则，在云端部署应用对边缘侧数据进行消费处理。

教程二：企业项目下的只读操作 创建用户组并授权。 使用华为云账号登录IAM控制台，创建用户组，并授予数据仓库服务的只读权限“DWS ReadOnlyAccess”。 企业项目视图下，跟资源无关的只读操作细粒度权限依旧会提示无权限访问。如事件、告警等相关接口的细粒度。 配置IAM项目视图下相关的事件与告警等只读权限。 创建如下自定义策略readonly_event_alarm： { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "dws:alarm*:list*", "dws:cluster*:list*", "dws:dms*:get*", "dws:event*:list*" ] } ] } 登录IAM控制台，创建用户组并授权刚创建的自定义策略： 创建用户并加入用户组。 在IAM控制台创建用户，并将其加入步骤1中创建的用户组。 用户登录并验证权限。 使用新创建的用户登录控制台，切换至授权区域，验证权限： 在“服务列表”中选择数据仓库服务，进入DWS主界面，单击右上角“创建数据仓库集群”，尝试创建数据仓库集群，如果无法创建（假设当前权限仅包含DWS ReadOnlyAccess），表示“DWS ReadOnlyAccess”已生效。 在“服务列表”中选择除数据仓库服务之外（假设当前策略仅包含DWS ReadOnlyAccess）的任一服务，若提示权限不足，表示“DWS ReadOnlyAccess”已生效。

教程一：IAM项目视图下的只读操作 创建用户组并授权。 使用华为云账号登录IAM控制台，创建用户组，并授予数据仓库服务的只读权限“DWS ReadOnlyAccess”。 创建用户并加入用户组。 在IAM控制台创建用户，并将其加入步骤1中创建的用户组。 用户登录并验证权限。 使用新创建的用户登录控制台，切换至授权区域，验证权限： 在“服务列表”中选择数据仓库服务，进入DWS主界面，单击右上角“创建数据仓库集群”，尝试创建数据仓库集群，如果无法创建（假设当前权限仅包含DWS ReadOnlyAccess），表示“DWS ReadOnlyAccess”已生效。 在“服务列表”中选择除数据仓库服务之外（假设当前策略仅包含DWS ReadOnlyAccess）的任一服务，若提示权限不足，表示“DWS ReadOnlyAccess”已生效。

背景信息 如果您需要对华为云上的GaussDB(DWS)资源，为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制云资源的访问。通过IAM，您可以在云账号中给员工创建IAM用户，并授权控制他们对云资源的访问范围。 场景一：您的员工中有负责软件开发的人员，您希望他们拥有GaussDB(DWS)的使用权限，但是不希望他们拥有删除集群等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用GaussDB(DWS)，但是不允许删除集群的权限，控制他们对GaussDB(DWS)资源的使用范围。 场景二：您希望您的员工只有GaussDB(DWS)的资源使用权限，不希望拥有其他云资源的权限，以防止资源滥用。例如只开通GaussDB(DWS)的操作权限，不能使用其他云服务。 通过IAM权限控制，有效达到云资源访问控制，避免云资源误操作。本文将指导如何配置只读权限的IAM用户。

背景 默认情况下，在不同区域的虚拟私有云（VPC）内资源需要互通，一般可以通过弹性公网IP（EIP）或虚拟专用网络（VPN）来实现，但两个服务都基于公网Internet，前者不稳定而且数据未加密，存在泄密风险，后者数据被IPSec加密，安全上有保证，但仍然会因为Internet不稳定而导致通信不稳定，许多跨区域的多虚拟私有云（VPC）互通的业务，都需要安全，稳定，高性能，高可靠的网络，云连接服务能够满足用户这一诉求。用户可以创建云连接实例，然后在该云连接实例中加载需要互通的各区域的VPC，通过购买不同类型的带宽包并配置域间带宽，来实现不同区域之间的VPC互通。

前提条件 已创建好需要跨区域互通的虚拟私有云（VPC）以及子网。 请确保账号中有足够余额以完成云连接服务带宽包的购买。 在本最佳实践的互通场景下，华为云华东区域内的VPC需要分别与香港区域的VPC以及南非区域的VPC互通，该场景属于中国大陆跨境场景。因此在进行带宽包购买之前，根据工信部等相关规定，我们需要先向云连接服务的跨境专线服务提供商——中国联通提供相应的申请材料以申请跨境资质，确保合规跨境。 如果您的场景不涉及中国大陆跨境场景（例如中国大陆内多区域互通或中国大陆境外多区域互通），请忽略该条件。

配置步骤 创建VPC和VPC网段 创建流程请详细参考创建虚拟私有云和子网。 VPC网段请勿冲突。 华东-上海一：172.16.36.0/24 中国-香港：192.168.120.0/24 配置云连接 创建云连接。 创建流程请详细参考创建云连接。 加载网络实例。 加载网络实例详细参考加载网络实例。 添加自定网段。 添加自定义网段详细参考添加自定义网段。 中国-香港自定义网段：0.0.0.0/0。 为实现云连接到dnat的默认路由，需要添加0.0.0.0/0网段。 购买带宽包 云连接默认跨区域互通带宽为10kbps，仅用于测试连通性，需购买带宽包并配置域间带宽以保证业务正常使用。 购买带宽包详细参考购买带宽包。 配置域间带宽 配置域间带宽详细参考配置域间带宽。 购买虚拟机 购买华东-上海一的虚拟机。 购买流程请详细参考购买弹性云服务器。 华东-上海一虚拟机ECS私网地址：172.16.36.220。 购买弹性公网IP并配置和NAT网关 在中国-香港区域购买弹性公网IP，并配置NAT网关，添加DNAT规则，选择云专线/云连接选项卡进行配置。 购买配置流程请详细参考申请和绑定弹性公网IP和添加DNAT规则。 添加映射服务器地址：172.16.36.220。 添加DNAT配置用于将内网服务器映射到公网，通过公网客户端访问内网服务器。

操作场景 本实践指导用户通过配置VPC对等连接和云连接，实现多个区域的同业务VPC互通。 如图1所示，在本场景中，上海一和广州区域各有3个VPC，分为生产业务VPC、办公业务VPC、中转VPC，通过配置对等连接和云连接最终需要实现以下几点： 上海一的生产业务VPC与广州的生产业务VPC互通。 上海一的办公业务VPC与广州的办公业务VPC互通。 生产业务VPC和办公业务VPC不能互通。 图1 逻辑互联示意图 表1 涉及服务应用场景 云产品 应用场景 描述 相关操作 对等连接 同区域的VPC互连 对于同一区域的VPC，可以通过对等连接进行互连，同一账号与不同账号的连接方式略有差异。 创建同一账户下的对等连接 创建不同账户下的对等连接 云连接 跨区域的VPC互连 对于不同区域的VPC，不区分是否同一账号，都可以互连，跨区域连接实现全球云上网络。 跨区域VPC互通 配置云连接、对等连接时，通过云连接、对等连接实现跨区域互通的各个VPC，其子网的IP编址不能重叠或冲突。

配置验证 查看上海一TransitVPC的路由表： 图12 上海一TransitVPC的路由表 查看上海一生产业务VPC的路由表： 图13 上海一生产业务VPC的路由表 查看上海一办公业务VPC的路由表： 图14 上海一办公业务VPC的路由表 查看广州TransitVPC的路由表： 图15 广州TransitVPC的路由表 查看广州生产业务VPC的路由表： 图16 广州生产业务VPC的路由表 查看广州办公业务VPC的路由表： 图17 广州办公业务VPC的路由表 从上海一生产VPC的ECS去ping广州生产VPC的ECS。 图18 海一生产VPC的ECS ping广州生产VPC的ECS 从上海一办公VPC的ECS去ping广州办公VPC的ECS。 图19 上海一办公VPC的ECS ping广州办公VPC的ECS

操作场景 实现用户侧跨区域访问Web加速。 场景配置所需部件：NAT网关（DNAT）、云连接、Web代理服务器。 应用场景如图1所示。 图1 场景示意 本方案是HTTP代理方案，仅适用基于浏览器的Web类访问。 Proxy-Client：用户windows主机配置Web代理功能，代理地址配置为亚太-新加坡的EIP公网地址。 NAT网关：配置DNAT规则，亚太-新加坡的EIP公网地址映射到华东-上海一代理服务器ETH1网卡地址。

配置步骤 创建VPC和VPC网段 创建流程请详细参考创建虚拟私有云和子网。 VPC网段请勿冲突。 华东-上海一创建一个VPC添加两个子网。 VPC子网1：172.16.100.0/24 VPC子网2：172.16.101.0/24 配置云连接 创建云连接实例，加载网络实例，添加自定义网段。 创建云连接。 创建流程请详细参考创建云连接。 加载网络实例。 网络实例华东-上海一只加载步骤1创建的VPC子网2，网段172.16.101.0/24。 加载网络实例详细参考加载网络实例。 添加自定网段。 网络实例亚太-新加坡添加自定义网段，网段：0.0.0.0/0。 添加自定义网段详细参考添加自定义网段。 为实现云连接到dnat的默认路由，需要添加0.0.0.0/0网段。 购买带宽包 云连接默认跨区域互通带宽为10kbps，仅用于测试连通性，需购买带宽包并配置域间带宽以保证业务正常使用。 购买带宽包详细参考购买带宽包。 配置域间带宽 配置域间带宽详细参考配置域间带宽。 购买虚拟机 购买华东-上海一的虚拟机。 ETH0：172.16.100.100。 ETH1：172.16.101.100。 购买流程请详细参考购买弹性云服务器。 虚拟机配置两张网卡，ETH0地址绑定弹性EIP地址，可以通过该地址连通互联网。 配置代理服务器 为确保路由转发正常，为华东-上海一的弹性云服务器添加策略路由。 ip rule add from 172.16.101.100 table 100 ip route add default via 172.16.101.1 table 100 配置代理服务器。 用户需根据实际网络环境部署代理服务器，部署时需注意代理服务器的安全性和可靠性。 购买弹性公网IP并配置NAT网关 在华东-上海一购买弹性公网IP，代理服务器ETH0:172.16.100.100绑定公网IP。 购买配置流程请详细参考申请和绑定弹性公网IP。 在亚太-新加坡区域购买弹性公网IP，配置NAT网关，添加DNAT规则，选择云专线/云连接选项卡进行配置。 购买配置流程请详细参考申请和绑定弹性公网IP和添加DNAT规则。 私网IP：填写代理服务器ETH1地址，地址：172.16.101.100。 弹性公网IP：填写申请的EIP公网地址114.119.XX.XX，该地址作为Proxy_Client代理配置的地址。 代理服务器：代理服务器配置两张网卡，ETH1用于DNAT映射，ETH0用于上网。 添加DNAT配置用于将内网代理服务器映射到公网，Proxy_Client设置公网代理客户端访问内网代理服务器。 Proxy_Client配置代理 在用户windows主机配置代理。 选择Windows设置。 选择“网络和Internet ＞ 代理 ＞ 手动设置代理”。 打开“使用代理服务”开关。 输入“地址”和“端口”。 图2 配置代理 代理地址：填写DNAT绑定的公网地址114.119.XX.XX。 单击“保存”。

资源成本和规划 本节介绍最佳实践中资源规划情况，包含以下内容： 表1 跨区域VPC互通资源和成本规划 区域 资源 资源说明 数量 费用 华北-北京四 VPC VPC子网：192.168.1.0/24 自定义网段：192.168.44.0/24 1 免费 中国-香港 VPC VPC子网：192.168.0.0/24 自定义网段：192.168.11.0/24 1 免费 全局 CC 跨大区（中国大陆-亚太）带宽包 1 详细请参见云连接产品价格详情。

方案概述 应用场景 某公司的北京分部和香港分部需要进行私网通信和数据传输，华为云给出的解决方案是通过云连接，将北京和香港两个区域的VPC建立连接，使得两地的数据中心网络可以互访，同时可无障碍的访问VPC之上的业务系统。 方案架构 用户创建云连接。 加载网络示例北京VPC和香港VPC。 购买云连接带宽包分别配置域间带宽。 北京VPC和香港VPC通过云连接实现跨区域VPC互通 具体实现方式可参考图1。 图1 跨区域VPC互通 方案优势 简单灵活：只需四步，分钟级构建跨区域多VPC互通网络。 性能优异：华为全球网络基础设施能力，提供低时延、高质量体验。 约束与限制 在同一个云连接实例里，所有网络实例Subnet子网CIDR不能冲突，否则可能会引起互通问题。 在云连接实例中，同账号加载VPC网络实例，并通过其他网段引入自定义CIDR时，不能引入回环地址，组播地址或广播地址。 在同一个云连接实例里加载的所有VPC网络实例里，如果某个VPC同时创建了NAT网关，则只能同时在该VPC网络实例里通过高级配置自定义子网的方式引入默认路由“0.0.0.0/0”。

配置步骤 创建VPC和VPC网段 创建流程请详细参考创建虚拟私有云和子网。 A账号，华东-上海一：172.16.100.0/24 B账号，华南-广州：172.16.200.0/24 两个账号VPC网段请勿冲突。 创建云连接实例 使用A账号登录创建云连接实例。 创建云连接实例流程请详细参考创建云连接。 云连接跨账号授权 使用B账号登录，进行云连接跨账号授权，将VPC2授权给A账号。 云连接跨账号授权请详细参考授权网络实例。 加载网络实例 使用A账号登录： 加载B账号网络实例（VPC2），请详细参考加载其他用户的网络实例。 加载A账号网络实例（VPC1），请详细参考加载网络实例。 购买带宽包 使用A账号购买带宽包。 购买带宽包详细参考购买带宽包。 配置域间带宽 使用A账号配置域间带宽。 配置域间带宽详细参考配置域间带宽。

操作场景 使用云连接实现不同账号之间的VPC跨区域互通。 应用场景如图1所示。 图1 场景示意 A账号：被授权账号。创建云连接实例，获得由B账号授权的VPC2并加载至云连接中。 B账号：授权账号。发起授权动作，将VPC2授权给A账号的云连接进行加载。 如果B账号下有多个区域之间的VPC需要互通，可将需要互通的VPC都授权给A账号的云连接进行管理。 B账号将VPC2授权给A账号后，A账号加载网络实例（VPC1和VPC2）至云连接中，实现VPC1和VPC2互通。B账号无需创建云连接实例、购买带宽包、配置域间带宽。

操作场景 本实践指导用户通过配置云专线和云连接，将多个数据中心网络连接起来，打通用户本地数据中心网络，实现云下多IDC与云上多区域VPC互通。 应用场景如图1所示。 图1 逻辑互联示意图 在配置云连接时，需要注意通过云连接实现跨区域互通的各个VPC： 其子网的IP地址不能重叠或冲突。 现存的路由条目，包括因VPC Peering，云专线和VPN等服务所增加的路由条目，不能与加入云连接后的子网路由产生冲突。

资源和成本规划 表1 资源和成本规划 资源 资源名称 资源说明 数量 虚拟私有云（VPC） VPC-Test01 该VPC所在的区域为华东-上海一，VPC网段为：172.18.0.0/24。 本方案使用华为云的“华东-上海一”来替代用户线下数据中心（IDC）。 1 VPC-Test02 该VPC所在的区域为华北-北京四，VPC网段为：172.16.0.0/24。 1 VPC-Test03 该VPC所在的区域为中国-香港，VPC网段为：172.17.0.0/24。 1 弹性公网IP（EIP） EIP-Test 在中国-香港区域购买EIP。 1 NAT网关 NAT-Test 在VPC-Test03中购买公网NAT网关，并绑定EIP-Test。 1 VPN网关 VPN-GW-Test01 在华北-北京四区域创建VPN网关。 VPN本端网关为：49.49.49.49。 1 VPN-GW-Test02 在华东-上海一区域创建VPN网关。 VPN本端网关为：223.223.223.223。 1 VPN连接 VPN-Test01 为VPN网关VPN-GW-Test01创建VPN连接。 1 VPN-Test02 为VPN网关VPN-GW-Test02创建VPN连接。 1 云连接 CC-Test 使用云连接实现华北-北京四和中国-香港跨区域之间访问，并加速网络访问。 1 弹性云服务器（ECS） ECS-Test01 在华东-上海一区域的VPC中创建ECS，该ECS的私网地址为：172.18.0.3。 1 ECS-Test02 在华北-北京四区域的VPC中创建ECS，该ECS的私网地址为：172.16.0.3。 1 ECS-Test03 在中国-香港区域的VPC中创建ECS，该ECS的私网地址为：172.17.0.3。 1

实施步骤 创建VPC并设置VPC网段 创建流程请详细参考创建虚拟私有云和子网。 VPC网段请勿冲突。 华东-上海一区域的VPC网段（VPC-Test01）：172.18.0.0/24 华北-北京四区域的VPC网段（VPC-Test02）：172.16.0.0/24 中国-香港区域的VPC网段（VPC-Test03）：172.17.0.0/24 配置VPN 在华北-北京四区域创建VPN网关VPN-GW-Test01和VPN连接VPN-Test01。 在华东-上海一区域创建VPN网关VPN-GW-Test02和VPN连接VPN-Test02。 创建流程请详细参考创建VPN网关和创建VPN连接。 华北-北京四网关和子网配置： 本端网段：172.16.0.0/24，172.17.0.0/24，8.8.8.0/24 远端网关：223.223.223.223 远端子网：172.18.0.0/24 华东-上海一网关和子网配置： 本端网段：172.18.0.0/24 远端网关：49.49.49.49 远端子网：172.16.0.0/24，172.17.0.0/24，8.8.8.0/24 华北-北京四、华东-上海一配置VPN连接时，华北-北京四的本端网段和华东-上海一的远端子网设置必须包含外网网段8.8.8.0/24，以便可以ping通外网。 配置云连接 创建云连接（CC-Test）。 创建流程请详细参考创建云连接。 加载网络实例。 加载网络实例详细参考加载网络实例。 添加自定网段。 添加自定义网段详细参考添加自定义网段。 华北-北京四自定义网段：172.18.0.0/24，172.16.0.0/24。 中国-香港自定义网段：172.17.0.0/24，8.8.8.0/24。 为实现所有节点都可以端到端传输，需要添加全部的本端云连接网段。 购买带宽包 云连接默认跨区域互通带宽为10kbps，仅用于测试连通性，需购买带宽包并配置域间带宽以保证业务正常使用。 购买带宽包详细参考购买带宽包。 配置域间带宽 配置域间带宽详细参考配置域间带宽。 购买弹性云服务器 分别购买华东-上海一、华北-北京四、中国-香港区域的ECS。 购买流程请详细参考购买弹性云服务器。 华东-上海一ECS私网地址（ECS-Test01）：172.18.0.3。 华北-北京四ECS私网地址（ECS-Test02）：172.16.0.3。 中国-香港ECS私有地址（ECS-Test03）： 172.17.0.3。 购买EIP并配置NAT网关 在中国-香港区域购买EIP（EIP-Test），并配置NAT网关（NAT-Test），添加SNAT规则，将以下网段添加到规则中。 购买配置流程请详细参考申请和绑定弹性公网IP和添加SNAT规则。 添加虚拟私有云网段：172.17.0.0/24 添加云专线/云连接网段：172.18.0.0/24；172.16.0.0/24 添加SNAT配置用于连通外网，ping通远端外网网段8.8.8.0/24。