华为云用户手册

DDS和社区版MongoDB有什么关系 DDS即文档数据库服务，完全兼容MongoDB社区版3.4/4.0/4.2，部分兼容社区版4.4。兼容性详情请参见版本兼容性。 DDS支持绝大部分的MongoDB命令操作，任何兼容MongoDB的客户端都可以与DDS建立连接进行数据存储及相应操作。 您可以通过文档数据库服务与自建数据库的对比优势来了解更多DDS的优势。 更多DDS的详细信息请参见什么是文档数据库服务。 父主题： 产品咨询

设计器支持资源 设计器集合各资源，目前支持的资源如表1所示。 表1 支持资源列表 资源类型 资源名称 计算 弹性云服务器 ECS 裸金属服务器 BMS 镜像服务 IMS 函数工作流 FunctionGraph 网络 虚拟私有云 VPC 子网 Subnet 安全组 Security Group 弹性公网IP EIP 独享型弹性负载均衡 ELB 共享型弹性负载均衡 ELB 虚拟专用网络 VPN 对等链接 VPC Peering NAT 网关 终端节点服务 VPC Endpoint 共享带宽 Shared Bandwidth 容器 云容器引擎 CCE 数据库 云数据库 GaussDB 云数据库 RDS 存储 云硬盘 EVS 对象存储服务 OBS 弹性文件服务 SFS Turbo 大数据 MapReduce服务 MRS 云数据仓库 DWS 云搜索服务 CSS 迁移 云数据迁移 CDM 应用中间件 分布式缓存服务Redis版 DCS 分布式缓存服务Kafka版 DMS API网关 APIG 微服务引擎 CSE 分布式消息服务RabbitMQ版 DMS 安全与合规 数据加密服务 DEW Web应用防火墙 WAF 云堡垒机 CBH 管理与监管 云审计服务追踪器 CTS Tracker

约束与限制 用户需要在VPC下手动添加私网路由，即通过创建对等连接或开通云专线/VPN连接远端私网。 SNAT规则和DNAT规则不能共用同一个中转IP。 私网NAT网关支持添加的DNAT规则和SNAT规则的数量如下： 小型：DNAT规则和SNAT规则的总数不超过20个。 中型：DNAT规则和SNAT规则的总数不超过50个。 大型：DNAT规则和SNAT规则的总数不超过200个。 超大型：DNAT规则和SNAT规则的总数不超过500个。

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的云安全挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 类云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。华为云租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统，虚拟防火墙、API 网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题： 安全

与其他服务的关系 除直接使用弹性伸缩提供的对资源进行调整的功能外，若您同时购买了云服务中的其他产品，可以结合其他产品一起使用，能满足您多种场景下对云产品的需求。 弹性伸缩服务与周边服务的依赖关系如图1所示。 图1 弹性伸缩服务与其他服务的关系示意图 表1 弹性伸缩与其他服务的关系 服务名称 说明 交互功能 相关内容 弹性负载均衡（Elastic Load Balance） 当配置了负载均衡服务后，弹性伸缩组在添加或移除云服务器时，自动会为云服务器绑定或解绑负载均衡监听器。 AS支持ELB的前提是：弹性伸缩组和负载均衡器必须处于同一VPC内。 使伸缩组中每一个实例均可分配到应用程序流量 添加负载均衡器到伸缩组 云监控服务（Cloud Eye） 弹性伸缩配置了告警触发策略时，会根据云监控的告警条件触发弹性伸缩活动。 通过监控伸缩组内实例的状态指标调节资源。 弹性伸缩支持的监控指标 弹性云服务器（Elastic Cloud Server） 弹性伸缩活动中添加的云服务器可以通过弹性云服务器进行管理和维护。 自动调整弹性云服务器数量 动态扩展资源 虚拟私有云（Virtual Private Cloud） 弹性伸缩支持自动调整虚拟私有云中创建的弹性公网IP带宽或共享带宽大小。 自动调整带宽大小 创建伸缩带宽策略 消息通知服务（Simple Message Notification） 用户使用消息通知功能后，系统会将伸缩组的多种情况及时推送给用户，便于用户及时了解伸缩组的状态。 消息通知 为伸缩组配置通知 云审计服务（Cloud Trace Service） 开通云审计服务后，可以记录弹性伸缩相关的操作事件，便于日后的查询、审计和回溯。 日志审计 记录弹性伸缩 标签管理服务（Tag Management Service） 当您具有许多相同类型的弹性伸缩资源时，标签可以为您提供灵活的资源管理能力。 标签 标记伸缩组和实例

访问控制 AS支持通过权限控制（IAM权限）、项目和企业项目、敏感操作、安全组进行访问控制。 表1 AS访问控制 访问控制方式 简要说明 详细介绍 权限控制（IAM权限） 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 权限管理 项目和企业项目 项目和企业项目都可以授权给一个或者多个用户组进行管理，管理企业项目的用户归属于用户组。通过给用户组授予策略，用户组中的用户就能在所属项目/企业项目中获得策略中定义的权限。 管理项目和企业项目 敏感操作 当您开启操作保护后，进行删除伸缩组操作时，需要进行身份认证。 敏感操作 安全组 安全组是一个逻辑上的分组，为具有相同安全保护需求并相互信任的云服务器提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当云服务器加入该安全组后，即受到这些访问规则的保护。 系统会为每个用户默认创建一个默认安全组，默认安全组的规则是在出方向上的数据报文全部放行，入方向访问受限，安全组内的云服务器无需添加规则即可互相访问。 配置安全组规则

身份认证 统一身份认证服务（Identity and Access Management，简称IAM）提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制华为云资源的访问。 通过IAM，您可以在账号中给员工创建IAM用户，并授权控制他们对华为云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有AS的使用权限，但是不希望他们拥有删除伸缩组等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用伸缩组，但是不允许删除伸缩组的权限策略，控制他们对AS资源的使用范围。

无法访问华为云ECS的某些端口时怎么办？ 添加安全组规则时，需要您指定通信所需的端口或者端口范围，然后安全组根据规则，决定允许或是拒绝相关流量转发至ECS实例。 表1中提供了部分运营商判断的高危端口，这些端口默认被屏蔽。即使您已经添加安全组规则放通了这些端口，在受限区域仍然无法访问，此时建议您将端口修改为其他非高危端口。 表1 高危端口 协议 端口 TCP 42 135 137 138 139 444 445 593 1025 1068 1433 1434 3127 3128 3129 3130 4444 4789 5554 5800 5900 8998 9995 9996 UDP 135~139 1026 1027 1028 1068 1433 1434 4789 5554 9995 9996 父主题： 安全类

弹性公网IP如何计费？ 弹性公网IP和带宽的费用账单归属在虚拟私有云 VPC服务下，费用账单中计费的“产品”项目说明如下： 弹性公网IP：表示收取的是弹性公网IP的保有费。 您购买的按需计费弹性公网IP未绑定至任何实例（如ECS、ELB）时，会收取弹性公网IP保有费。 固定带宽：表示收取的可能是以下资源的费用。 弹性公网IP的带宽费用： 包年/包月弹性公网IP的带宽费用：按照带宽大小和购买时长一次性收取带宽费用。 按需计费弹性公网IP的带宽费用：如果您购买的弹性公网IP属于按需计费(按带宽计费)，则会按照带宽大小和使用时长收取带宽费用。 按需计费弹性公网IP的流量费用：如果您购买的弹性公网IP属于按需计费(按流量计费)，则会按照您实际使用的流量收取流量费用。 共享带宽的费用 共享流量包的费用 带宽加油包：收取带宽加油包的费用。 以上计费项目的详细说明，请参见弹性公网IP计费说明。 图1 流水和明细账单列表 父主题： 计费类

VPC是否收费？ 虚拟私有云VPC服务下包含了多种产品资源，部分资源可以免费使用，部分资源需要支付费用，表1中为您详细介绍了虚拟私有云VPC各项资源的收费情况。 表1 VPC资源收费一览表 产品资源 收费情况说明 虚拟私有云 免费 子网 免费 路由表 免费 对等连接 免费 弹性网卡 免费 辅助弹性网卡 免费 IP地址组 免费 安全组 免费 网络ACL 免费 VPC流日志 免费 流量镜像 免费 弹性公网IP和带宽 如果您使用了弹性公网IP和带宽的相关资源，则需要支付费用，费用账单中计费的“产品”项目说明如下： 弹性公网IP：收取弹性公网IP保有费。 您购买的按需计费弹性公网IP未绑定至任何实例（如ECS、ELB）时，会收取弹性公网IP保有费。 固定带宽：收取的可能是以下资源的费用。 弹性公网IP的带宽费用：包年/包月弹性公网IP的带宽费用、按需计费(按带宽计费)弹性公网IP的带宽费用、按需计费(按流量计费)弹性公网IP的流量费用。 共享带宽的费用 共享流量包的费用 带宽加油包：收取带宽加油包的费用。 以上计费项目的详细说明，请参见弹性公网IP计费说明。 VPC终端节点 如果您使用了VPC终端节点资源，则需要支付费用。 详细计费说明请参见VPC终端节点计费说明。 针对免费资源，当前暂不收费。待后续启动收费时，将会提前通知您。 父主题： 计费类

虚拟私有云产品架构 接下来，本文档将从虚拟私有云VPC的基本元素、VPC的网络安全、VPC的网络连接以及VPC的网络运维方面进行介绍，带您详细了解VPC的产品架构。 图1 VPC产品架构 表1 VPC的产品架构介绍 项目分类 简要说明 详细说明 VPC的基本元素 VPC是您在云上的私有网络，您可以指定VPC的IP地址范围，然后通过在VPC内划分子网来进一步细化IP地址范围。同时，您可以配置VPC内的路由表来控制网络流量走向。 不同VPC之间的网络不通，同一个VPC内的多个子网之间网络默认互通。 IP地址范围：您在创建VPC时，需要指定VPC的IP网段，支持的网段为10.0.0.0/8~24、172.16.0.0/12~24和192.168.0.0/16~24。 子网：您可以根据业务需求在VPC内划分子网，VPC内至少需要包含一个子网。实例（云服务器、云容器、云数据库等）必须部署在子网内，实例的私有IP地址从子网网段中分配。 更多信息请参见子网。 路由表：在创建VPC时，系统会为您自动创建一个默认路由表，默认路由表确保同一个VPC内的子网网络互通。您可以在默认路由表中添加路由来管控网络，如果默认路由表无法满足需求时，您还可以创建自定义路由表。 更多信息请参见路由表和路由。 VPC的网络安全 安全组与网络ACL（Access Control List）用于保障VPC内部署实例的安全。 安全组：对实例进行防护，您可以在安全组中设置入方向和出方向规则，将实例加入安全组内后，该实例会受到安全组的保护。 更多信息请参见安全组和安全组规则。 网络ACL：对整个子网进行防护，您可以在网络ACL中设置入方向和出方向规则，将子网关联至网络ACL，则子网内的所有实例都会受到网络ACL保护。 更多信息请参见网络ACL简介。 相比安全组，网络ACL的防护范围更大。当安全组和网络ACL同时存在时，流量优先匹配网络ACL规则，然后匹配安全组规则。 更多信息请参见VPC访问控制简介。 VPC的网络连接 您可以使用VPC和云上的其他网络服务，基于您的业务诉求，构建不同功能的组网。 连通同区域VPC：通过VPC对等连接或者企业路由器ER，连通同区域的不同VPC。 连通跨区域VPC：通过云连接CC，连通不同区域的VPC。 连通VPC和公网：通过弹性公网IP (EIP)或者NAT网关，连通云内VPC和公网。 连通VPC和线下数据中心：通过云专线DC或者虚拟专用网络VPN，连通云内VPC和线下数据中心。 连通同区域VPC VPC对等连接：对等连接用于连通同一个区域内的VPC，您可以在相同账户下或者不同账户下的VPC之间创建对等连接。 更多信息请参见对等连接简介。 企业路由器ER：企业路由器作为一个云上高性能集中路由器，可以同时接入多个VPC，实现同区域VPC互通。 更多信息请参见什么是企业路由器。 对等连接免费，企业路由器收费，相比使用VPC对等连接，企业路由器连接VPC构成中心辐射性组网，网络结构更加简洁，方便扩容和运维。 连通跨区域VPC 云连接CC：云连接可以接入不同区域的VPC，快速实现跨区域网络构建。更多信息请参见什么是云连接。 连通VPC和公网 EIP：EIP是独立的公网IP地址，可以为实例绑定EIP，为实例提供访问公网的能力。 更多信息请参见什么是弹性公网IP。 NAT网关：公网NAT网关能够为VPC内的实例（ECS、BMS等），提供最高20Gbit/s能力的网络地址转换服务，实现多个实例使用一个EIP访问公网。 更多信息请参见什么是NAT网关。 连通VPC和线下数据中心 DC：DC用于搭建线下数据中心和云上VPC之间高速、低时延、稳定安全的专属连接通道，通过DC可以构建大规模混合云组网。 更多信息请参见什么是云专线。 VPN：VPN用于在线下数据中心和云上VPC之间建立一条安全加密的公网通信隧道。 更多信息请参见什么是虚拟专用网络。 相比通过DC构建混合云，使用VPN更加快速，成本更低。 VPC的网络运维 VPC流日志和流量镜像可以监控VPC内的流量，用于网络运维。 流日志：通过流日志功能可以实时记录VPC中的流量日志信息。通过这些日志信息，您可以优化安全组和网络ACL的控制规则，监控网络流量、进行网络攻击分析等。更多信息请参见VPC流日志简介。 流量镜像：通过流量镜像功能可以镜像弹性网卡符合筛选条件的报文到目的实例中，在目的实例中进行流量分析，不会影响运行业务的实例，适用于网络流量检查、审计分析以及问题定位等场景。更多信息请参见流量镜像简介。

背景知识 通过华为云创建的ECS默认使用华为云提供的内网DNS进行解析。内网DNS不影响ECS对公网域名的访问。同时，还可以不经公网，直接通过内网DNS访问其他云上服务内部地址，如OBS、SMN等，访问时延小，性能高。 在内网域名功能上线之前创建的ECS，其关联VPC子网默认设置的DNS服务器为公共DNS，IP地址为114.114.114.114。为了使这部分ECS服务器能够使用内网域名功能，建议将ECS服务器关联VPC子网的DNS服务器修改为华为云的内网DNS。内网DNS地址请参见华为云提供的内网DNS地址是多少？。

更新ECS内的DNS服务器地址 VPC子网的DNS服务器地址修改后，ECS服务器的DNS不会立即更新。 如果要立即更新ECS服务器的DNS，可以采用以下两种方法。 重启操作系统，ECS服务器重新向DHCP服务器获取DNS信息。 重启操作系统会造成业务中断，请在业务低峰期谨慎操作。 ECS服务器的DHCP租约期结束后，DHCP服务器会重新向ECS服务器分配IP地址、更新DNS信息。 通过dhclient，获取修改后的DNS服务器地址。 登录云服务器。 登录方法请参见登录弹性云服务器。 执行以下命令，查看当前云服务器的DNS配置地址。 cat /etc/resolv.conf 回显类似如下信息，114.114.114.114是旧的DNS服务器地址。 执行以下命令，查看dhclient进程是否已存在。 ps -ef | grep dhclient | grep -v grep 回显类似如下信息，以CentOS 8.1为例，表示没有进程。 需要执行dhclient命令启动进程，并再次确认dhclient进程存在。 回显类似如下信息，以CentOS 7.2为例，表示已有进程。 执行以下命令，释放旧的DNS服务器地址。 dhclient -r 执行以下命令，重新启动dhclient进程，获取新的DNS服务器地址。 dhclient 执行以下命令，查看当前云服务器的DNS配置地址。 cat /etc/resolv.conf 回显类似如下信息，100.125.1.250和100.125.64.250是新的DNS服务器地址。

ER权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 ER部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域（如华北-北京1）对应的项目（cn-north-1）中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问ER时，需要先切换至授权区域。 权限根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对ER服务，管理员能够控制IAM用户仅能对企业路由器进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分，权限的最小粒度为API授权项（action），ER支持的API授权项请参见权限及授权项说明。 如表1所示，包括了ER的所有系统权限。 表1 ER系统权限 系统角色/策略名称 描述 类别 依赖关系 ER FullAccess 企业路由器的管理员权限，拥有该权限的用户可以操作并使用所有企业路由器。 系统策略 无 ER ReadOnlyAccess 企业路由器只读权限，拥有该权限的用户仅能查看企业路由器数据。 系统策略 无 表2列出了ER常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表2 常用操作与系统权限的关系 操作 Tenant Administrator Tenant Guest ER FullAccess ER ReadOnlyAccess 创建企业路由器 √ x √ x 修改企业路由器配置 √ x √ x 查看企业路由器 √ √ √ √ 删除企业路由器 √ x √ x 在企业路由器中添加“虚拟私有云（VPC）”连接 √ x √ x 删除“虚拟私有云（VPC）”连接 √ x √ x 查看连接（所有类型） √ √ √ √ 创建路由表 √ x √ x 修改路由表名称 √ x √ x 查看路由表 √ √ √ √ 删除路由表 √ x √ x 创建关联将连接关联至路由表中 √ x √ x 查看路由表中关联的连接 √ √ √ √ 删除路由表中关联的连接 √ x √ x 在路由表中创建连接的传播 √ x √ x 查看路由表中连接的传播 √ √ √ √ 删除路由表中连接的传播 √ x √ x 创建静态路由 √ x √ x 修改静态路由 √ x √ x 查看路由 √ √ √ √ 删除静态路由 √ x √ x 创建流日志 √ x √ x 查看流日志 √ √ √ √ 关闭流日志 √ x √ x 开启流日志 √ x √ x 删除流日志 √ x √ x 添加资源的标签 √ x √ x 修改资源的标签 √ x √ x 查看资源的标签 √ √ √ √ 删除资源的标签 √ x √ x

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的云安全挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 类云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。华为云租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统，虚拟防火墙、API 网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题： 安全

管理简单 企业路由器可以在接入的所有网络实例之间路由流量，可以简化网络拓扑，降低网络管理难度，提升网络运维效率。可以减少的工作说明如下： 对于VPC互通，不再需要您频繁创建多个VPC对等连接，维护每个VPC路由表。 对于VPC和DC/VPN互通，不用接入多条线路，多个VPC可以共享专线/VPN。 企业路由器支持路由学习，能够自动进行路由信息的更新和同步，当网络拓扑变更时，能够自动收敛，无需手工配置、变更繁琐的路由条目。

配额说明 企业路由器的配额说明如表1所示，部分默认配额可以提升，您可以根据提示申请扩大配额。 查看每个配额项目支持的默认配额，请参考查看配额，登录控制台查询您的配额详情。 表1 企业路由器的配额说明 配额项目 如何提升配额 每个虚拟私有云支持同时接入的企业路由器数量 不支持修改 每个企业路由器支持接入的“虚拟私有云（VPC）”连接数量 申请更多配额，请参见申请扩大配额 每个企业路由器支持接入的“对等连接（Peering）”连接数量 申请更多配额，请参见申请扩大配额 每个企业路由器支持接入的“虚拟网关（VGW）”连接数量 申请更多配额，请参见申请扩大配额 每个企业路由器支持接入的“VPN网关（VPN）”连接数量 申请更多配额，请参见申请扩大配额 每个企业路由器支持接入的“企业连接网（ECN）”连接数量 不支持修改 每个企业路由器支持创建的路由表数量 不支持修改 每个企业路由器支持的最大路由数量 不支持修改 每个路由表中支持创建的静态路由数量 申请更多配额，请参见申请扩大配额 每个租户支持创建的流日志最大数量 不支持修改

约束与限制 当前企业路由器服务存在表3中列举的使用限制，针对这些限制，请您结合自己的设计业务，参考解决方法建议进行处理。 表3 企业路由器约束与限制说明 约束与限制说明 解决方法建议 当业务VPC下存在共享型弹性负载均衡、VPC终端节点、私网NAT网关、分布式缓存服务、混合云DNS解析时，不建议直接将业务VPC接入ER。 须知： 若您在弹性负载均衡、VPC终端节点以及分布式缓存服务场景下，直接将业务VPC接入ER，则当ER处于容灾切换、弹性扩缩容、升级等业务可靠性保障过程中，可能造成长连接会话闪断，请您确保业务客户端具有重连机制，在闪断情况下可以自动重连。 针对该限制，请提交工单联系华为云客服，确认服务的兼容性，并优先考虑使用选择企业路由器组网方案中介绍的中转VPC组网方案（方案二）。 当您的VPC和ER组网存在以下情况时，则不建议您在VPC路由表中将下一跳为ER的路由配置成默认路由0.0.0.0/0，那样会导致部分业务流量无法转发至ER。 VPC内的ECS绑定了EIP。 VPC被ELB（独享型或者共享型）、NAT网关、VPCEP、DCS服务占用。 建议一： 修改路由的目的地址，请您参见如何解决VPC路由表中的0.0.0.0/0路由无法转发至ER的问题？。 建议二： 针对该限制，推荐您使用选择企业路由器组网方案中介绍的中转VPC组网方案（方案二），避免将业务VPC直接接入ER。 当接入ER的VPC关联NAT网关，并配置SNAT或者DNAT规则的“使用场景”选择“云专线/云连接”，则网络不通。 针对该限制，推荐您使用选择企业路由器组网方案中介绍的中转VPC组网方案（方案二），避免将业务VPC直接接入ER。

与其他服务的关系 企业路由器与华为云上多个云服务之间存在交互关系，如图1所示。 图1 企业路由器与其他服务的关系 表1 企业路由器与其他服务的关系 服务名称 交互功能 虚拟私有云（Virtual Private Cloud, VPC） 您可以将VPC接入企业路由器，快速打通云上网络，尤其对于多个VPC互通的组网，免去大量的对等连接配置。 云专线（Direct Connect, DC） 您可以将DC接入企业路由器，打通线下IDC和云上网络，多个VPC可以共享专线。 虚拟专用网络（Virtual Private Network，称VPN） 您可以将VPN接入企业路由器，打通线下IDC和云上网络，多个VPC可以共享VPN。 云连接（Cloud Connect, CC） 您可以将两个及以上企业路由器接入云连接中心网络中，构成“对等连接（Peering）”连接，轻松实现云上跨区域网络互通。 企业连接（Enterprise Connect，EC） 您可以将企业连接网络接入企业路由器，帮助企业实现本地网络和云上网络之间的互联互通。 云防火墙（Cloud Firewall，CFW） 您可以通过企业路由器、虚拟私有云VPC和云防火墙构建组网，实现云上VPC间的流量防护。 统一身份认证服务（Identity and Access Management, IAM） 针对位于华为云上的企业路由器资源，您可以通过IAM进行精细的权限管理，即为不同的用户设置不同的使用权限，权限管理有助于实现资源的安全管控。 云监控（Cloud Eye） 使用云监控可以监控企业路由器实例以及企业路由器连接的网络情况，并对异常进行报警，保证业务的顺畅运行。 云审计服务（Cloud Trace Service, CTS） 使用云审计服务可以记录与企业路由器相关的操作事件，便于日后的查询、审计和回溯。 标签管理服务（Tag Management Service, TMS） 使用标签来标识企业路由器和路由表，便于分类管理和快速搜索。

示例流程 操作流程如图1所示 图1 操作流程 创建用户组并授权 在IAM控制台创建用户组，并授予CDN加速域名只读权限“CDN DomainReadOnlyAccess”。 创建用户并加入用户组 在IAM控制台创建用户，并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台，验证CDN加速域名的只读权限： 对加速域名进行启用或停用操作，如果提示权限不足，表示“CDN DomainReadOnlyAccess”已生效。 在“服务列表”中选择除CDN外的任一服务，如果提示权限不足，表示“CDN DomainReadOnlyAccess”已生效。

适用场景 如果服务器资源的存放路径变化，CDN节点存放资源的路径也会随之变化。用户请求的URL路径如果没有变化，就需要CDN节点来改写用户请求的URL。例如用户请求的图片“a”的路径为“/test”，服务器中图片“a”的存放路径已改为“/testnew”。 CDN通过重定向的方式来完成URL的匹配，HTTP 302状态码（即302 Found），可表示资源被临时改变了位置。配置访问URL改写后，CDN节点会在给客户端发送的302状态码响应信息的HTTP Location头部中放置新的URL地址信息，客户端收到302状态码响应之后，将会向新的URL地址发起请求。重定向的状态码及其含义详见表表1。 表1 重定向方式 编码 含义 处理方法 典型应用场景 301 Moved Permanently GET方法不会发生变更，其他方法有可能会变更为GET方法。 资源被永久转移。 302 Found GET方法不会发生变更，其他方法有可能会变更为GET方法。 由于不可预见的原因该页面暂不可用。 303 See Other GET方法不会发生变更，其他方法会变更为GET方法（消息主体会丢失）。 用于PUT或POST请求完成之后进行页面跳转，防止由于页面刷新导致的操作的重复触发。 307 Temporary Redirect 方法和消息主体都不发生变化。 由于不可预见的原因该页面暂不可用。当站点支持非GET方法的链接或操作的时候，该状态码优于302状态码。

背景说明 账户欠费进入保留期后，华为云CDN会下线您的加速域名。 表1 下线策略说明 策略 说明 解析回源 域名被下线时，您的域名会解析回主源站，最终域名状态调整为“停用”，停止CDN加速服务。解析回源后域名配置信息仍会保留（仅限保留期内），待您的域名恢复正常后，CDN会重新将域名解析回CDN节点并提供加速服务。 说明： 加速域名被执行下线策略30天后，华为云CDN将不再提供“解析回源”服务，您的加速域名将无法被访问。 解析回源将把您的源站域名或IP暴露给用户，如果您不希望暴露源站域名或者IP，请选择“停用域名”。 解析回源后业务是否能正常提供服务，依赖于您的源站。 停用域名 域名被下线时，CDN会将您的域名状态调整为“停用”，停止CDN加速服务。域名停用后将无法正常访问，但域名配置信息仍会保留（仅限保留期内），待您的账号核销欠款后，CDN会为您重新启用加速域名。 域名下线后，CDN会给您预留的电话或者邮箱发送短信或者邮件提示，您可以及时充值，恢复CDN加速服务。 超过保留期还没有缴清欠费，CDN的域名和配置将会被删除，保留期时长详见保留期。 域名备案过期、违规、遭受攻击被封禁后将停用域名，不会触发域名下线策略。

下线流程 配置下线策略后，域名下线流程如下表所示。 场景 下线流程 账户欠费 华为云账户欠费后，您的华为云资源（如CDN域名资源）将进入宽限期/保留期。具体规则请参见宽限期保留期。 账户欠费进入保留期，CDN会根据您设置的下线策略下线您的加速域名。 CDN会根据您设置的下线策略下线您的加速域名： 下线策略为“解析回源”场景 CDN将您的域名解析回您的主源站。 解析回源成功后，停用您的加速域名。 域名状态调整为“停用”，停止域名加速服务。 下线策略为“停用域名”场景 CDN停用您的加速域名。 域名状态调整为“停用”，停止域名加速服务。

控制台服务 卡管理 支持对卡进行激活、查询、充值、停复机管理。具体操作请参见SIM卡管理。 网络切换策略管理 支持在控制台配置网络切换策略，实现在用网络之间的智能切换，让终端选择最优网络，从而提升设备的在线率和在线时长。具体操作请参见三网卡策略管理。 定向网络管理 支持在控制台配置定向流量的访问地址。具体操作请参见定向流量。 自动化规则管理 支持创建自动化规则，监控SIM卡状态或者流量使用情况，触发规则时发送通知。具体操作请参见自动化规则。

插入设备激活 物联网卡插入设备通电即可自动激活，这个过程通常耗时30秒左右。 如果设备长时间无法正常使用（比如超过10分钟），可以设置下设备的APN（不区分大小写），设置完成后观察设备的使用情况。 如果是中国移动物联网卡，将名称和APN同时设置为cmiot； 如果是中国电信物联网卡，将名称和APN同时设置为ctnet； 如果是中国联通物联网卡，将名称和APN同时设置为scuiot。 如果设备仍然无法正常使用，请联系华为工程师处理。

批量激活 前向流量池的生效总流量取决于已激活卡的数量，如果前向流量池内存在未激活的卡，可通过批量激活功能来激活前向流量池内未激活的卡。 在前向流量池管理页面，单击指定前向流量池订单右侧的“批量激活”。 全球SIM联接提供了四种批量激活方式供用户选择： 表1 批量激活方式 激活方式 说明 流量池 该操作方式将激活当前前向流量池内全部未激活的实体卡，单击“确定”，等待业务受理单处理完成即可。 号段 该操作方式根据起始号码和结束号码激活当前前向流量池内特定未激活的实体卡，按要求输入起始号码和结束号码，单击“确定”，等待业务受理单处理完成即可。 说明： 起始号码和结束号码必须是纯数字，起始号码和结束号码之间的容器ID必须连续并且未被激活，如果不满足上述要求，请选择其他操作方式进行处理。 文件 该操作方式根据激活文件激活当前前向流量池内特定未激活的实体卡，按要求下载模板并上传编辑后的激活文件，单击“确定”，等待业务受理单处理完成即可。 说明： 模板里的“SIM卡状态”列仅供参考，系统只会根据您上传的“容器ID”列进行批量激活。 手动输入 该操作方式根据手动输入激活当前前向流量池内特定未激活的实体卡，按要求输入容器ID列表，单击“确定”，等待业务受理单处理完成即可。 说明： 容器ID列表必须是纯数字，如果不满足上述要求，请选择其他操作方式进行处理。

支持审计的关键操作列表 表1 云审计服务支持的云服务器操作列表 操作名称 资源类型 事件名称 导出全部SIM卡 sim-card createExportTask 下载导出结果 sim-card downloadFile 取消订单 order cancelOrder 创建订单下符合续费条件的SIM卡快照 order createOrderSnapshot 校验订单是否满足加入已有池要求 order verifyOrder 创建订单 order createOrder 新增定向信息 order-directional createOrderDirectional 修改定向信息 order-directional editOrderDirectional 删除定向信息 order-directional cancelOrderDirectional 创建规则 rule createRule 编辑规则 rule editRule 删除规则 rule deleteRule 启用规则 rule activateRule 禁用规则 rule deactivateRule SIM卡停机 sim-card stopSimCard SIM卡复机 sim-card resetSimCard 导出选中SIM卡 sim-card exportSelected 导出选中SIM卡月用量 sim-card exportSelectedMonUsage 套餐月用量统计 sim-card showMonthUsages 批量转移实体卡 work-order modifySimCardAccount SIM卡设置自定义属性 sim-card setAttributeForSimCard SIM卡批量复机 work-order batchResetSimCards SIM卡批量停机 work-order batchStopSimCards 批量设置自定义属性 sim-card batchBindAttributes 激活实体卡 sim-card enableSimCard 批量激活实体卡 work-order batchEnableSimCards SIM卡申请断网/断网恢复 sim-card startStopSimCardNet SIM卡达量断网/取消达量断网 sim-card resumeSimCard SIM卡机卡重绑 sim-card bindDevice SIM卡清除实名 sim-card clearRealName 实体卡限速 sim-card setSpeedLimit 多卡购买叠加包卡校验 sim-card verifySubPackageOrder 批量机卡重绑 work-order batchBindDevices 创建前向流量池 work-order createSimPool 修改前向流量池名称 sim-pool editSimPoolName 激活前向流量池内的部分或全部实体卡 sim-pool activeSimPoolEntityCard 前向流量池购买叠加包校验 sim-pool verifySimPoolOverlayPackage 购买套餐 package subscribePackage 退订套餐 package unsubscribePackage 激活套餐 package activePackage 批量购买套餐 work-order batchSubscribePackage 批量退订套餐 work-order batchUnsubscribePackage 批量查询实体卡流量 sim-card showFlowBySimCards 修改SIM卡绑定的标签 sim-card bindSimTags 批量设置SIM卡绑定标签 sim-card batchSetSimTags 取消业务受理单 work-order cancelWorkOrder 激活后向流量池内的部分或全部实体卡 back-pool enableBackPoolEntityCard 修改后向流量池名称 back-pool updateBackPoolName 创建推送地址 web-hook-url createWebhookUrl 修改推送地址 web-hook-url updateWebhookUrl 删除推送地址 web-hook-url deleteWebhookUrl 地址连通性测试 web-hook-url VerifyWebhookUrlConnection 上传证书 web-hook-url UploadWebhookCert 新增自定义属性 attribute createAttribute 修改自定义属性 attribute editAttribute 启用自定义属性 attribute enableAttribute 停用自定义属性 attribute disableAttribute 用户添加标签 sim-tag createCmTag 用户修改标签 sim-tag editCmTag 用户删除标签 sim-tag deleteCmTag 开通GSL服务 service openService CBC接口下订单 service createCBCOrder 查询CBC接口套餐折扣 service showPromoteinformation 上传文件接口 sim-card uploadFile 批量切换网络 sim-card batchSwitchNetwork 切换网络 sim-card switchNetwork 批量切换策略 sim-card batchSetNetworkSwitchPolicy 切换策略 sim-card setNetworkSwitchPolicy

步骤四：创建表单触发流程 流程用于实现业务数据的自动化处理和自动流转。在AstroFlow中，一条流程由1个触发器（事件触发、定时触发和表单触发）和N个动作节点组成。其中，触发器（触发节点）是工作流能否启动的开关，满足了触发器的条件才能启动流程。动作节点是流程中自动执行的操作，流程中需要进行的数据操作、通知、审批等任务都需要对应的动作节点来完成。 本入门以步骤三：添加员工请假申请表中新增请假记录数据后，触发流程自动执行（主管审批、结果抄送HR）为例，向您介绍如何创建一个流程。 表单创建成功后，返回员工请假应用页面，在主菜单中，选择“流程管理”。 图1 选择流程管理 在流程管理页面，单击“创建流程”。 设置流程名称（如请假流程），触发方式选择“表单触发”，单击“创建”。 图2 创建表单触发流程 在流程设计页面的主菜单中，单击“切换横向布局”，调整页面布局。 图3 调整页面布局 设置表单触发节点。 选中触发节点（表单触发），选择步骤三：添加员工请假申请表中创建的表单，触发方式选择“仅新增记录时”。设置后，当员工请假申请表中有新增请假记录时，自动触发流程执行。 图4 设置触发节点 添加审批节点，并设置审批人信息。 将鼠标放在触发节点后的连接线上，单击，添加审批节点。 图5 添加审批节点 选中审批节点，修改节点名称为“主管审批”。 图6 修改节点名称 设置审批人信息。 审批对象：选择“表单触发”。 审批人类型：选择从通讯录中，获取审批人。 审批人：单击“添加审批人”，在成员中添加对应的审批人，如步骤一：搭建组织层级中添加的主管。 图7 设置审批人信息 设置完成后，单击“保存”。 添加分支(审批)节点。 分支(审批)节点只能作用于审批节点后，通过审批情况进行后续不同的操作。本示例中，审批通过后需要将审批结果通过发送邮件方式告知HR，驳回则直接执行结束。 将鼠标放在审批节点后的连接线上，单击，添加分支(审批)节点。 图8 添加分支(审批)节点 在通过分支上，单击，添加发送邮件节点。 图9 添加发送邮件节点 选中发送邮件节点，修改节点的名称为“抄送HR”。 图10 修改节点的名称 配置发送邮件节点。 图11 设置发送邮件节点 邮件服务器：使用租户或系统自带的邮箱，发送邮件告知相关人员。如果使用租户邮件服务器发送邮件，请提前在“组织设置”中配置，如何配置请参见设置租户邮件服务器。本入门使用系统邮件服务器。 收件人：设置邮件收件人，即步骤一：搭建组织层级中添加的HR。 抄送人：设置邮件抄送人，本示例不涉及。 密送人：设置邮件密送人，本示例不涉及。 收件人为空处理：设置收件人为空时的处理方式。如果当前节点还有其他收件人，则其他收件邮件正常发送。若当前节点无可用收件人，请根据实际情况设置收件人为空时的节点处理方式，如自动进入下一节或直接结束流程。 主题：设置邮件主题，本示例配置为“请假审批通过”。 正文：单击输入框，进入编辑邮件内容页面。在邮件内容中，输入“请假人：”后，单击左侧“表单启动”中的“请假人”。按照上述操作，添加请假天数和请假理由。单击“确定”，完成邮件内容编辑。 图12 编辑邮件内容 邮件节点设置完成后，单击“保存”。 图13 完整员工请假审批流程 校验流程。 在“流程设计”页面，单击页面上方的“校验”，对流程中参数的规则和合法性进行校验。 若页面提示“校验成功！”，则流程规则无误。 若校验失败，请根据界面提示进行修改，修改后再次执行校验操作。 图14 校验流程 流程校验成功后，单击页面上方的“发布”，发布流程。 图15 流程发布成功 父主题： 新手入门-员工请假流程

步骤五：业务功能测试 验证面试流程是否按照预期执行，即求职者提交求职申请后，直接用人部门进行进行简历筛选，符合要求通知HR预约面试时间。 求职者发起求职申请。 求职者通过4中的地址，登录应用。 首次登录运行态应用时，请单击“设置密码/忘记密码”，通过邮箱或手机号码，根据界面提示完成密码的重置，并勾选隐私协议及服务声明。 图1 登录应用 在简历维护表单中，填写个人基本信息、教育经历、工作经历和资格证书，单击“提交”。 提交成功后，在我的申请中，可查看到已提交的记录。 用人单位主管审核简历。 用户单位主管通过4中的地址，登录应用。 在待处理中，单击对应流程后的。 主管审核简历。 图2 主管审批 审核通过，执行3。 驳回申请，流程执行结束。 HR收到简历初审通过的邮件通知。 图3 简历初审通过邮件 HR填写预约时间及地址，并将结果反馈给用人部门主管。 HR通过4中的地址，登录应用。 在待处理中，单击对应流程后的。 设置面试时间及地址。 图4 设置面试时间及地址 将预约结果反馈给部门主管。 图5 反馈预约结果 主管现场面试，填写面试结果。 图6 填写最终面试结果 父主题： 进阶实战-面试管理流程

步骤一：搭建组织层级 在Astro低代码平台中，通过组织管理可以便捷的配置组织的各类信息、角色和授权关系，实现对组织用户的管理游刃有余。搭建组织层级前，需要先设置通信录的维护方式，即从哪里添加成员。在Astro中，支持自维护和飞书两种通信录维护类型。本入门以自维护方式为例，向您介绍如何搭建组织层级，即先创建一个组织，再为组织添加所需的成员（如员工、主管和HR），最后为成员进行AstroFlow服务授权。 仅AstroFlow专业版或企业版实例支持对接飞书。若您购买的是基础版，请先将实例升级到专业版或企业版，再执行对接飞书的操作。 进入Astro低代码平台。 在左侧导航栏中，选择“组织管理” 。 进入组织管理时，如果提示图1中信息，说明您还未设置通信录维护方式，请单击“去设置”。 图1 设置通信录维护方式 在组织管理页面，选择“组织层级”。 创建部门。 创建一个部门，用于集中管理用户，也可以直接使用系统默认的部门。 图2 创建一个部门 部门创建完成后，单击“邀请成员”。 在邀请成员页面，设置用户信息。 您可以通过“手动添加成员”、“批量导入成员”和“一键公开邀请”三种方式添加成员。本示例以手动添加成员为例，关于添加成员的详细介绍，请参见如何添加一个成员。 图3 设置待邀请的用户信息 姓名：待添加用户的姓名，长度不能超过32个字符。 本示例需要添加请假发起人（张三）、主管和HR。 手机：待添加用户的手机号。 部门：用户所属的部门，如选择4中创建的子部门。 邮箱：待添加用户的邮箱地址。 工号：待添加用户的工号，不能超过60个字符。 设置完成后，单击“保存”。 如果需要继续添加用户，请单击“保存并继续添加”。在企业成员列表中，可查看到已添加的成员。本示例需要添加请假发起人（张三）、主管和HR。 图4 查看成员信息 在“服务授权”页签，单击“添加授权成员”，对已邀请的成员进行服务授权。 图5 对用户进行服务授权 在成员列表中，可以查看到已授权的成员。授权后，成员才可以正常使用AstroFlow。 图6 查看已授权的成员 此处邀请的成员只需要访问AstroFlow中开发的应用，故成员不需要通过邀请码加入组织，也不需要为其赋予AstroFlow中的角色和权限。若成员需要登录AstroFlow进行应用开发，请参考如何进行服务授权和赋予成员不同的角色权限中操作，将成员加入组织并赋予成员所需的权限。 父主题： 新手入门-员工请假流程