华为云用户手册

修改子网内的域名后，如何立即生效？ 您可以在新创建子网，通过控制台中的“域名”参数，设置DNS域名后缀，访问某个域名时，只需要输入域名前缀，子网内的云服务器会自动匹配设置的域名后缀。子网创建完成后，“域名”参数支持修改，修改完成后的生效策略如表1所示。 表1 不同云服务器生效策略 云服务器情况 生效策略 子网内新创建的云服务器 自动同步域名配置，无需额外配置。 子网内的存量云服务器 需要执行以下操作，更新DHCP配置使域名生效。以下方法任意选择一种即可： 重启云服器 重启DHCP Client服务：service dhcpd restart 重启网络服务：service network restart 说明： 对于不同操作系统的云服务器，更新DHCP配置的命令不同，此处命令供您参考。 父主题： 虚拟私有云与子网类

如何通过外部网络访问绑定弹性公网IP的弹性云服务器？ 为保证弹性云服务器的安全性，每个弹性云服务器创建成功后都会加入到一个安全组中，安全组默认Internet对内访问是禁止的(Linux SSH“TCP22”端口、Windows RDP “TCP3389”端口除外)，所以需要在安全组中添加对应的入方向规则，才能从外部访问该弹性云服务器。 在安全组规则设置界面用户可根据实际情况选择TCP、UDP、ICMP或All类型。 当弹性云服务器需要提供通过公网可以访问的服务，并且明确访问该服务的对端IP地址时，建议将安全组规则的源地址设置为包含该IP地址的网段。 当弹性云服务器需要提供由公网可以访问的服务，并且不明确访问该服务的对端IP地址时，建议将安全组规则的源地址设置成默认网段0.0.0.0/0，再通过配置端口提高网络安全性。 源地址设置成默认网段0.0.0.0/0，表示允许所有IP地址访问安全组内的弹性云服务器。 建议将不同公网访问策略的弹性云服务器划分到不同的安全组。 父主题： 弹性公网IP类

解决思路 在ecs02上使用弹性公网IP地址尝试ping通ecs01。若能ping通则说明ecs01的网卡处在正常工作状态。 在ecs02上执行arp -n命令，查看回显是否包含ecs01的MAC。如果无ecs01的MAC地址，则说明ecs02使用内网IP地址尝试ping通ecs01时，未学习到ecs01的MAC地址。 在ecs01上执行ip a命令，查看弹性云服务器ecs01内部的网卡配置。以下图为例： 图1 查看ecs01网卡配置 可以从回显中得知，多配置了一个IP地址：192.168.1.40/32。该配置会导致ecs01发给ecs02的报文无法从ecs01传出。

解决思路 确认客户使用的本地网络。 若客户的本地网络是NAT网络（本地主机通过NAT功能使用公网IP地址访问弹性云服务器），可能会导致该问题。 执行以下命令，查看搭建网站的弹性云服务器是否开启了“tcp_tw_recycle”。 sysctl -a|grep tcp_tw_recycle tcp_tw_recycle取值为1时，表示开启。 执行以下命令，查看云服务器内核丢包数量。 cat /proc/net/netstat | awk '/TcpExt/ { print $21,$22 }' 如果ListenDrops数值非0，表示存在丢包，即存在网络问题。

解决步骤 修改云服务器的内核参数可以解决此问题。 临时修改参数方法（重启服务器后该设置失效），设置如下： sysctl -w net.ipv4.tcp_tw_recycle=0 永久修改参数方法： 执行以下命令，修改“/etc/sysctl.conf”文件。 vi /etc/sysctl.conf 在该文件中添加以下内容： net.ipv4.tcp_tw_recycle=0 按“Esc”输入“:wq!”，保存后退出文件。 执行以下命令，生效配置。 sysctl -p

排查思路 以下排查思路根据原因的出现概率进行排序，建议您从高频率原因往低频率原因排查，从而帮助您快速找到问题的原因。 如果解决完某个可能原因仍未解决问题，请继续排查其他可能原因。 图1 排查思路 表1 排查思路 可能原因 处理措施 弹性云服务器的网卡未正确配置虚拟IP 解决方法请参考弹性云服务器的网卡未正确配置虚拟IP。 弹性云服务器内部网卡未正确配置虚拟IP 解决方法请参考弹性云服务器内部网卡未正确配置虚拟IP。 安全组或网络ACL对网卡流量进行了拦截 解决方法请参考安全组或网络ACL对网卡流量进行了拦截。

排查思路 以下排查思路根据原因的出现概率进行排序，建议您从高频率原因往低频率原因排查，从而帮助您快速找到问题的原因。 如果解决完某个可能原因仍未解决问题，请继续排查其他可能原因。 图1 排查思路 表1 排查思路 可能原因 处理措施 ECS网卡对应安全组规则未放通 解决方法请参考ECS网卡对应安全组规则未放通。 ECS网卡所在子网关联的网络ACL规则未放通 解决方法请参考ECS网卡所在子网关联的网络ACL规则未放通。 ECS网卡内部网络配置问题 解决方法请参考ECS网卡内部网络配置问题。 端口不通 解决方法请参考端口不通。

ECS网卡内部网络配置问题 以下步骤以Linux系统为例，Windows操作系统请检查系统防火墙限制。 确认弹性云服务器是否有多网卡配置。如果配置多网卡且弹性公网IP绑定在非主网卡上，请在弹性云服务内部配置策略路由，请参考如何配置多网卡弹性云服务器的策略路由？。 登录弹性云服务器，执行以下命令，查看网卡是否创建且网卡获取私有IP地址。若无网卡信息或者无法获取私有IP地址，请联系技术支持。 ifconfig 图3 查看网卡IP地址 执行以下命令，查看弹性云服务器的CPU占用率是否过高，CPU占有率超过80%有可能会影响ECS通信。 top 执行以下命令，查看弹性云服务器内容部是否有安全规则的其他限制。 iptables-save 执行以下命令，查看“/etc/hosts.deny”文件中是否包含了限制通信的IP地址。 vi /etc/hosts.deny 如果hosts.deny文件里面包含了对端的IP地址，请将该IP从hosts.deny文件中删除并保存文件。

ECS网卡所在子网关联的网络ACL规则未放通 查看弹性云服务器的网卡是否处于网络ACL的关联子网中。 在网络ACL列表中查看网络ACL的状态。 状态显示“已开启”，则表示网络ACL已经开启。执行3。 状态显示“未开启”，则表示网络ACL已经关闭。执行4。 单击网络ACL名称，分别在“入方向”和“出方向”的页签下添加ICMP放通规则。 网络ACL关闭时，默认规则为丢弃所有出入方向的包。此时，请删除网络ACL或者开启ACL并放通ICMP规则。

链路本地地址169.254.169.254路由问题 如果弹性云服务器ping不通169.254.169.254，请按以下步骤排查： 查看弹性云服务器内169.254.169.254的默认路由： 正常情况下，169.254.169.254的精确路由的下一跳地址，要和默认路由的下一跳地址保持一致。 图4 查看169.254.169.254的路由信息 如果没有169.254.169.254/32位的精确路由： CentOS 5系列的镜像不支持opt_name为121的这种路由注入方式，所以无法注入，请尝试使用新的镜像。 如果169.254.169.254/32的精确路由指向的下一跳和默认路由不一致： 如果不是新建弹性云服务器，可能是开启CloudInit特性之前创建的，弹性云服务器内部service network restart重新进行dhcp请求，查看是否获取到正确的路由。 如果是新建弹性云服务器，请提交工单，联系技术支持人员。

排查思路 弹性云服务器获取Metadata的流程如图1所示： 图1 获取Metadata流程图 您可以按照以下原因进行排查，如果解决完某个可能原因仍未解决问题，请继续排查其他可能原因。 图2 排查思路 表1 排查思路 可能原因 处理措施 弹性云服务器未获取到IP 解决方法请参考弹性云服务器未获取到IP。 链路本地地址169.254.169.254路由问题 解决方法请参考链路本地地址169.254.169.254路由问题。 弹性云服务器获取metadata请求失败 解决方法请参考弹性云服务器获取metadata请求失败。 无法登录或者无法完成非root用户的创建 检查/etc/cloud/cloud.cfg配置文件格式，参考无法登录或者无法完成非root用户的创建。 无法通过预先获得的密钥文件登录弹性云服务器（或无法获取弹性云服务器密码） 重启弹性云服务器后重试解决。

提交工单 如果按照以上步骤执行后，仍然无法正常使用Cloud-init，请提交工单寻求更多帮助。 您需要向技术支持人员提供如下表格中的信息： Item 如何使用 注释 您的值 VPC CIDR 块 用于客户网关配置 示例：10.0.0.0/16 - VPC ID信息 - 示例：120b71c7-94ac-45b8-8ed6-30aafc8fbdba - 1 号子网 CIDR 块（可与 VPC 的 CIDR 块相同） - 示例：10.0.1.0/24 - 弹性云服务器ID信息 - - - 弹性云服务器IP信息 - 示例：192.168.1.192/24 - 弹性云服务器路由信息 - - -

裸机网络出现问题时，如何排查？ 裸机内网口是否组bond。 ifconfig 图1 检查裸机内网口是否组bond 正常裸机在操作系统里会对网口进行组bond操作，如果裸机内执行ifconfig命令没有看到bond接口，说明组bond失败。请联系技术支持人员。 裸机内路由信息是否正确。 route –n 图2 检查裸机内路由信息是否正确 需要重点排查是否有全0的默认路由： 图3 排查默认路由 需要重点排查是否有到169.254.169.254的网段路由： 图4 排查169.254.169.254的网段路由 如果路由存在异常，请联系技术支持人员。 裸机二三层、EIP通信异常。 各类网络流量与弹性云服务器没有差异，请参考弹性云服务器相关FAQ进行排查。 客户需要协助的运维操作 客户需要在console上查询VPC、裸机ID等信息，并向技术支持人员提供如下表格中的信息： Item 如何使用 注释 您的值 VPC1 ID VPC1的ID 示例：fef65559-c154-4229-afc4-9ad0314437ea - BMS1 ID VPC1下的裸机1 ID 示例：f7619b12-3683-4203-9271-f34f283cd740 - BMS2 ID VPC1下的裸机2 ID 示例：f75df766-68aa-4ef3-a493-06cdc26ac37a - 父主题： 网络连接类

客户自查指导 反馈您的网络信息 确定表1中的信息。该表包括部分项目的示例值，您可以使用示例值或确定的实际值。您必须取得所有其他项目的实际值。 您可以打印该表，并填入您的值。 表1 网络信息 Item 如何使用 注释 您的值 VPC CIDR 块 用于客户网关配置中。 示例：10.0.0.0/16 - VPC ID信息 - - - 1 号子网 CIDR 块（可与 VPC 的 CIDR 块相同） - 示例：10.0.1.0/24 - 弹性云服务器 ID信息 - - - 客户网关类型 (例如：Cisco) - - - 客户网关使用的公网IP地址 - 该值必须为静态。 - 反馈您的网关配置的信息 请客户通过以下步骤排查网关的连接性问题。 您需要考虑四个方面：IKE、IPsec、ACL规则和路由选择。您可以按任何次序对这些方面进行故障排除，不过建议您从IKE开始 (位于网络堆栈的底部) 并依次向上排除。 获取您采用的网关设备的IKE策略。 获取您采用的网关设备的IPSEC策略。 获取您采用的网关设备的ACL规则。 检查您采用的网关设备与公有云的网关设备是否路由可达。 具体网关设备采用的设备命令不同，请根据您采用的网关设备（Cisco、H3C、AR以及Fortinet设备等），采用对应设备的命令进行排查，获取上述信息。

示例流程 图1 给用户授权VPC权限流程 创建用户组并授权 在IAM控制台创建用户组，并授予VPC只读权限“VPC ReadOnlyAccess”。 创建用户并加入用户组 在IAM控制台创建用户，并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台，切换至授权区域，验证权限： 在“服务列表”中选择虚拟私有云，进入VPC主界面，单击右上角“创建虚拟私有云”，如果无法创建虚拟私有云（假设当前权限仅包含VPC ReadOnlyAccess），表示“VPC ReadOnlyAccess”已生效。 在“服务列表”中选择除虚拟私有云外（假设当前策略仅包含ECS Viewer）的任一服务，若提示权限不足，表示“VPC ReadOnlyAccess”已生效。

拒绝某IP地址的访问 在本示例中，假设要禁止一些异常IP的访问，例如：192.168.1.102，您可以在子网层级添加网络ACL拒绝规则，拒绝192.168.1.102的入站访问。 网络ACL配置 需要添加的入方向规则如表4所示。 表4 网络ACL规则 方向 动作 协议 源地址 源端口范围 目的地址 目的端口范围 说明 入方向 拒绝 TCP 192.168.1.102/32 1-65535 0.0.0.0/0 全部 拒绝192.168.1.102对子网的访问 入方向 允许 全部 0.0.0.0/0 1-65535 0.0.0.0/0 全部 放通所有入站流量 网络ACL默认拒绝所有入站流量，需先放通所有入站流量。 当添加了拒绝的规则，并且希望拒绝规则优先匹配时，需要将拒绝的规则放到允许规则的前面，匹配到拒绝规则的流量将会生效。具体操作请参见修改网络ACL规则生效顺序。

允许某些协议端口的访问 在本示例中，假设子网内的某个弹性云服务器做Web服务器，入方向需要放通HTTP 80和HTTPS 443端口，出方向全部放通。当子网开启网络ACL时，需要同时配置网络ACL和安全组规则。 网络ACL配置 需要添加的网络ACL入方向、出方向规则如表2所示。 表2 网络ACL规则 方向 动作 协议 源地址 源端口范围 目的地址 目的端口范围 说明 入方向 允许 TCP 0.0.0.0/0 1-65535 0.0.0.0/0 80 允许所有IP地址通过HTTP协议入站访问子网内的弹性云服务器的80端口 入方向 允许 TCP 0.0.0.0/0 1-65535 0.0.0.0/0 443 允许所有IP地址通过HTTPS协议入站访问子网内的弹性云服务器的443端口 出方向 允许 全部 0.0.0.0/0 全部 0.0.0.0/0 全部 允许子网内所有出站流量的数据报文通过 安全组配置 需要添加的安全组入方向、出方向规则如表3所示。 表3 安全组规则 方向 协议/应用 端口 源地址/目的地址 说明 入方向 TCP 80 源地址：0.0.0.0/0 允许所有IP地址通过HTTP协议入站访问安全组内的弹性云服务器的80端口 入方向 TCP 443 源地址：0.0.0.0/0 允许所有IP地址通过HTTPS协议入站访问安全组内的弹性云服务器的443端口 出方向 全部 全部 目的地址：0.0.0.0/0 允许安全组内所有出站流量的数据报文通过 网络ACL相当于一个额外的保护层，就算不小心配置了比较宽松的安全组规则，网络ACL规则也仅允许HTTP 80和HTTPS 443的访问，拒绝其他的入站访问流量。

约束与限制 共享带宽只能加入按需计费的EIP。 共享带宽支持按带宽计费、增强型95计费。按带宽计费5Mbit/s起售，增强型95计费300Mbit/s起售。 共享带宽可支持加入20个EIP，如果您需要加入更多EIP，请提交工单申请。 通用可用区的共享带宽不支持添加边缘可用区的EIP，边缘可用区的共享带宽也不支持添加通用可用区的EIP。 关于边缘可用区和普通可用区的区别请参考《智能边缘小站用户指南》。 每个用户最多申请5个共享带宽，如果您需要更多共享带宽，请提交工单申请。 按需计费的共享带宽，需要升配扩容时，如果待升配的共享带宽已超过1G，再升配的时候，以500M为最小粒度增加。 包年包月共享带宽到期释放，EIP会被移出共享带宽并按照加入共享带宽之前的模式计费。 共享带宽支持对单个弹性公网IP进行限速，请参见企业级QoS功能。 共享带宽不支持跨帐号使用。 独享带宽与共享带宽不支持直接互相转换，但针对按需计费的弹性公网IP，您可以购买一个共享带宽，进行如下操作： 将弹性公网IP添加到共享带宽，则弹性公网IP使用共享带宽。 将弹性公网IP移出共享带宽，则弹性公网IP使用独享带宽。 工单提交请参见提交工单。

VPC自定义策略样例 示例1：授权用户创建和查看VPC { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ " vpc:vpcs:create vpc:vpcs:list " ] } ] } 示例2：拒绝用户删除VPC 拒绝策略需要同时配合其他策略使用，否则没有实际作用。用户被授予的策略中，一个授权项的作用如果同时存在Alow和Deny，则遵循Deny优先。 如果您给用户授予VPC FullAccess的系统策略，但不希望用户拥有VPC FullAccess中定义的删除VPC权限，您可以创建一条拒绝删除VPC的自定义策略，然后同时将VPC FullAccess和拒绝策略授予用户，根据Deny优先原则，则用户可以对VPC执行除了删除外的所有操作。拒绝策略示例如下： { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "vpc:vpcs:delete" ] } ] } 示例3：多个授权项策略 一个自定义策略中可以包含多个授权项，且除了可以包含本服务的授权项外，还可以包含其他服务的授权项，可以包含的其他服务必须跟本服务同属性，即都是项目级服务或都是全局级服务。多个授权语句策略描述如下: { "Version": "1.1", "Statement": [ { "Action": [ "vpc:vpcs:create", "vpc:vpcs:update" ], "Effect": "Allow" }, { "Action": [ "ecs:servers:delete" ], "Effect": "Allow" } ]}

IPv6转换功能应用场景 如果您想使部署应用的ECS面向Internet客户端提供IPv6服务，但您的ECS规格不支持IPv6网络，或者您不想通过搭建IPv6网络来实现该需求，那么您可以通过弹性公网IP的IPv6转换功能快速实现该能力。场景示例和资源规划如表2。 表2 IPv6 EIP（开启IPv6转换）网络的应用场景及资源规划 应用场景 场景示例 条件 子网网段类型 ECS IPv6公网通信 不搭建IPv6网络，使ECS为Internet上的客户端提供IPv6服务。 实例绑定弹性公网IP。 开启IPv6转换。 IPv4网段 IPv4私网地址：支持IPv4内网通信。 IPv4 EIP地址（开启IPv6转换）：同时支持IPv4公网通信和IPv6公网通信。

开启IPv6转换（申请IPv6弹性公网IP） 方法一： 参考为云主机弹性云服务器申请和绑定弹性IP弹性公网IP申请弹性公网IP，在申请页面配置参数时，请将“IPv6转换”设置为“开启”，就可以在申请IPv4地址的同时申请一个IPv6弹性公网IP。 开启IPv6转换后，该弹性公网IP将同时拥有IPv4和IPv6地址，原有IPv4业务可以快速为IPv6用户提供访问能力。 方法二： 当已有的IPv4地址的弹性公网IP需要增加IPv6地址时，可以在弹性公网IP列表页面，找到想转换的IPv4弹性公网IP ，单击操作列“更多”下的“开启IPv6转换”，即可将已有的IPv4弹性公网IP转换为IPv6的。 开启IPv6转换后，该弹性公网IP将同时拥有IPv4和IPv6地址，原有IPv4业务可以快速为IPv6用户提供访问能力。 开启IPv6转换后，对原有绑定资源的使用无影响。 目前，支持开启IPv6转换的区域有：华北-北京一、华北-北京四、华东-上海一、华东-上海二、华南-广州。

IPv4/IPv6双栈网络应用场景 如果您的ECS规格支持IPv6网络，那么您可以使用IPv4/IPv6双栈网络，场景示例和资源规划如表1所示。 表1 IPv4/IPv6双栈网络的应用场景及资源规划 应用场景 场景示例 条件 子网网段类型 ECS IPv4内网通信 在ECS上部署应用，需要与其他系统（比如数据库）之间使用IPV4进行内网互访。 VPC的子网未开启IPv6。 实例未绑定弹性公网IP。 IPv4网段 IPv4私网地址：支持IPv4内网通信。 IPv4公网通信 在ECS上部署应用，需要与其他系统（比如数据库）之间使用IPV4进行公网互访。 VPC的子网未开启IPv6。 实例绑定弹性公网IP。 IPv4网段 IPv4私网地址：支持IPv4内网通信。 IPv4公网地址：支持IPv4公网通信。 IPv6内网通信 在ECS上部署应用，需要与其他系统（比如数据库）之间使用IPV6进行内网互访。 VPC的子网开启IPv6。 创建ECS时，网络配置如下： 规格：选择支持IPv6网络的ECS规格。关于ECS哪些规格支持IPv6网络，请参见《弹性云服务器用户指南》 VPC和子网：选择已开启IPv6的子网及子网所属的VPC。 选择“自动分配IPv6地址”。 共享带宽：暂不配置。 IPv4网段 IPv6网段 IPv4私网地址+IPv4 EIP：实例绑定IPv4 EIP，支持IPv4公网通信。 IPv4私网地址：实例不绑定IPv4 EIP，支持IPv4内网通信。 IPv6地址：IPv6地址不加入共享带宽，支持IPv6内网通信。 IPv6公网通信 搭建IPv6网络，使ECS可以访问Internet上的IPv6服务。 VPC的子网开启IPv6。 创建ECS时，网络配置如下： 规格：选择支持IPv6网络的ECS规格。关于ECS哪些规格支持IPv6网络，请参见《弹性云服务器用户指南》 VPC和子网：选择已开启IPv6的子网及子网所属的VPC。 选择“自动分配IPv6地址”。 共享带宽：选择一个共享带宽。 说明： 该场景的具体实现请参见搭建IPv6网络。 IPv4网段 IPv6网段 IPv4私网地址+IPv4 EIP：实例绑定IPv4 EIP，支持IPv4公网通信。 IPv4私网地址：实例不绑定IPv4 EIP，支持IPv4内网通信。 IPv6地址+共享带宽：同时支持IPv6公网通信和IPv6内网通信。 使用IPv4/IPv6双栈网络请参考IPv4/IPv6双栈网络。

配置安全组 开启弹性公网IP的IPv6转换后，请务必在安全组的出方向和入方向中放通198.19.0.0/16网段的IP地址，如表3所示。因为IPv6 弹性公网IP采用NAT64技术，入方向的源IP地址经过NAT64转换后，会将IPv6地址转换为198.19.0.0/16之间的某个IPv4地址，源端口随机，目的IP为本机的内部私有IPv4地址，目的端口不变。 配置安全组操作请参考《虚拟私有云用户指南》。 表3 安全组规则 方向 协议 端口和地址 入方向 全部 源地址：198.19.0.0/16 出方向 全部 目的地址：198.19.0.0/16

维度 Key Value publicip_id 弹性公网IP ID bandwidth_id 带宽ID 对于有多个测量维度的测量对象，使用接口查询监控指标时，所有测量维度均为必选。 查询单个监控指标时，多维度dim使用样例：dim.0=bandwidth_id,530cd6b0-86d7-4818-837f-935f6a27414d&dim.1=publicip_id,3773b058-5b4f-4366-9035-9bbd9964714a。 批量查询监控指标时，多维度dim使用样例： "dimensions": [ { "name": "bandwidth_id", "value": "530cd6b0-86d7-4818-837f-935f6a27414d" } { "name": "publicip_id", "value": "3773b058-5b4f-4366-9035-9bbd9964714a" } ],

监控指标 表1 弹性公网IP和带宽支持的监控指标 指标ID 指标名称 指标含义 取值范围 测量对象 监控周期（原始指标） upstream_bandwidth 出网带宽 该指标用于统计测试对象出云平台的网络速度（原指标为上行带宽）。 单位：比特/秒 ≥ 0 bit/s 带宽或弹性公网IP 1分钟 downstream_bandwidth 入网带宽 该指标用于统计测试对象入云平台的网络速度（原指标为下行带宽）。 单位：比特/秒 ≥ 0 bit/s 带宽或弹性公网IP 1分钟 upstream_bandwidth_usage 出网带宽使用率 该指标用于统计测量对象出云平台的带宽使用率，以百分比为单位。 0-100% 带宽或弹性公网IP 1分钟 downstream_bandwidth_usage 入网带宽使用率 该指标用于统计测量对象入云平台的带宽使用率，以百分比为单位。 0-100% 带宽或弹性公网IP 1分钟 up_stream 出网流量 该指标用于统计测试对象出云平台一分钟内累积的网络流量平均值（原指标为上行流量）。 单位：字节 ≥ 0 bytes 带宽或弹性公网IP 1分钟 down_stream 入网流量 该指标用于统计测试对象入云平台一分钟内累积的网络流量平均值（原指标为下行流量）。 单位：字节 ≥ 0 bytes 带宽或弹性公网IP 1分钟

操作场景 您可以根据需要修改共享带宽的名称和带宽大小。 按需计费的共享带宽，修改成功后立即生效，请参见修改共享带宽（按需计费）。 包年/包月的共享带宽，包括以下模式： 补差价升配（包年/包月）：修改成功后立即生效 续费降配（包年/包月）：修改成功后在新的计费周期生效 使用带宽加油包临时升配（包年/包月）：购买后立即生效 如果要修改共享带宽的计费方式，请参考如何切换计费模式中的“按需”和“包年包月”？。

约束与限制 一个弹性公网IP只能绑定一个云资源使用，且弹性公网IP和云资源必须在同一个区域，不支持跨区域使用弹性公网IP。 通用可用区的EIP不支持绑定至边缘可用区的实例，边缘可用区的EIP也不支持绑定至通用可用区的实例。 关于边缘可用区和普通可用区的区别请参考《智能边缘小站用户指南》。 弹性公网IP与云资源属于不同的资源，与计费模式无关，不同计费方式，不影响绑定。 不同区域用户，可申请的EIP配额不同，可参考怎样查看和申请扩大我的配额？来查看您的EIP配额以及申请扩大您的EIP配额。 只有未绑定状态的EIP才能进行绑定操作。 按带宽计费的带宽上限为2000Mbit/s（“中国-香港”区域按带宽计费上限为500Mbit/s），如果您需要更大的带宽，请提交工单申请或联系您的客户经理。 按流量计费的带宽上限为300Mbit/s。 资源欠费被冻结的EIP，或绑定的服务器对外有攻击行为等安全原因被冻结的EIP，无法进行绑定、解绑等操作。 当带宽严重超限或受到攻击时（一般是受到了DDoS攻击），EIP会被封堵，但不影响对EIP资源的绑定、解绑等操作。 申请提升配额，要求该帐户下存在有效订单和持续使用的云服务资源，如您的帐户之前存在多次订购资源后即时释放的情况，拒绝提升配额。 未绑定的弹性公网IP地址才可释放，已绑定的弹性公网IP地址需要先解绑定后才能释放。 弹性公网IP释放后，如果被其他用户使用，则无法找回。 按需计费的弹性公网IP费用包括IP保有费和带宽费用，当与实例解绑且未释放时，仍需支付弹性公网IP的保有费和带宽费用；若绑定实例，则免除保有费。 对于长期闲置的EIP资源配额，华为云将降低配额至默认值，如需提升配额，您可通过工单提交申请。 如您违反适用法律法规的要求使用华为云EIP资源，华为云有权收回EIP资源，并暂停向您提供服务。 弹性公网IP不支持跨帐号转移。

支持审计的关键操作 通过云审计，您可以记录与虚拟私有云相关的操作事件，便于日后的查询、审计和回溯。 云审计支持的虚拟私有云操作列表如表1所示。 表1 云审计服务支持的VPC操作列表 操作名称 资源类型 事件名称 修改Bandwidth bandwidth modifyBandwidth 创建EIP eip createEip 释放EIP eip deleteEip 绑定EIP eip bindEip 解绑定EIP eip unbindEip 创建PrivateIp privateIps createPrivateIp 删除PrivateIp privateIps deletePrivateIp 创建Security Group security_groups createSecurity-group 更新Security Group security_groups updateSecurity-group 删除Security Group security_groups deleteSecurity-group 创建Security Group Rule security-group-rules createSecurity-group-rule 更新Security Group Rule security-group-rules updateSecurity-group-rule 删除Security Group Rule security-group-rules deleteSecurity-group-rule 创建Subnet subnet createSubnet 删除Subnet subnet deleteSubnet 修改Subnet subnet modifySubnet 创建VPC vpc createVpc 删除VPC vpc deleteVpc 修改VPC vpc modifyVpc 创建VPN vpn createVpn 删除VPN vpn deleteVpn 修改VPN vpn modifyVpn 创建Router routers createRouter 更新Router routers updateRouter Router添加接口 routers addRouterInterface Router删除接口 routers removeRouterInterface 创建Port ports createPort 更新Port ports updatePort 删除Port ports deletePort 创建Network networks createNetwork 更新Network networks updateNetwork 删除Network networks deleteNetwork 批量创建和删除Subnet资源标签 tag batchUpdateTags 批量创建和删除VPC资源标签 tag batchUpdateVpcTags 创建RouteTable routetables createRouteTable 更新RouteTable routetables updateRouteTable 删除RouteTable routetables deleteRouteTable 创建VPC Peerings vpc-peerings createVpcPeerings 更新VPC Peerings vpc-peerings updateVpcPeerings 删除VPC Peerings vpc-peerings deleteVpcPeerings 创建网络ACL组 firewall-groups createFirewallGroup 更新网络ACL组 firewall-groups updateFirewallGroup 删除网络ACL组 firewall-groups deleteFirewallGroup 创建网络ACL策略 firewall-policies createFirewallPolicy 更新网络ACL策略 firewall-policies updateFirewallPolicy 删除网络ACL策略 firewall-policies deleteFirewallPolicy 插入网络ACL规则 firewall-policies insertFirewallPolicyRule 移除网络ACL规则 firewall-policies removeFirewallPolicyRule 创建网络ACL规则 firewall-rules createFirewallRule 更新网络ACL规则 firewall-rules updateFirewallRule 删除网络ACL规则 firewall-rules deleteFirewallRule 创建Address Group address_group createAddress_group 更新Address Group address_group updateAddress_group 强制删除Address Group address_group force_deleteAddress_group 删除Address Group address_group deleteAddress_group 创建Flow Log flowlogs createFlowLog 更新Flow Log flowlogs updateFlowLog 删除Flow Log flowlogs deleteFlowLog 父主题： 审计

对等连接创建流程 对等连接可以连通相同帐户和不同帐户下的VPC，连通的VPC位于同一个区域即可，创建流程如下： 相同帐户下的VPC对等连接创建流程如图2所示。 创建对等连接的具体操作，请参见创建相同帐户下的对等连接。 图2 相同帐户下的VPC对等连接创建流程 不同帐户下的VPC对等连接创建流程如图3所示。 创建对等连接的具体操作，请参见创建不同帐户下的对等连接。 创建不同帐户下的VPC对等连接时，如果在帐号A下发起创建对等连接请求，需要帐号B接受该请求才可以，如果帐号B拒绝，则该对等连接创建失败。 图3 不同帐户下的VPC对等连接创建流程

什么是对等连接 对等连接是建立在两个VPC之间的网络连接，不同VPC之间网络不通，通过对等连接可以实现不同VPC之间的云上内网通信。对等连接用于连通同一个区域内的VPC，您可以在相同帐户下或者不同帐户下的VPC之间创建对等连接。 对等连接用于连通同一个区域的VPC，如果您要连通不同区域的VPC，请使用云连接。 您可以通过对等连接构建不同的组网，常见的使用示例请参见对等连接使用示例。 接下来，通过图1中简单的组网示例，为您介绍对等连接的使用场景。 在区域A内，您的两个VPC分别为VPC-A和VPC-B，VPC-A和VPC-B之间网络不通。 您的业务服务器ECS-A01和ECS-A02位于VPC-A内，数据库服务器RDS-B01和RDS-B02位于VPC-B内，此时业务服务器和数据库服务器网络不通。 您需要在VPC-A和VPC-B之间建立对等连接Peering-AB，连通VPC-A和VPC-B之间的网络，业务服务器就可以访问数据库服务器。 图1 对等连接组网示意图 当前VPC对等连接暂不收取您的任何费用。