维度 Key Value anc_anc_id 云原生应用网络ID 该取值的获取方式为：该取值可在 CES 控制台的云服务监控详情中获取。 anc_clientassociation_id VPC关联ID 该取值的获取方式为：该取值可在CES控制台的云服务监控详情中获取。 anc_serviceassociation_id 服务关联ID 该取值的获取方式为：该取值可在CES控制台的云服务监控详情中获取。 anc_service_id 服务ID 该取值的获取方式为：该取值可在CES控制台的云服务监控详情中获取。 anc_serviceregion_id 服务区域ID 该取值的获取方式为：该取值可在CES控制台的云服务监控详情中获取。 anc_membergroup_id 成员组ID 该取值的获取方式为：该取值可在CES控制台的云服务监控详情中获取。 对于有多个测量维度的测量对象，使用接口查询监控指标时，所有测量维度均为必选。 查询单个监控指标时，多维度dim使用样例：dim.0=queue_instance_id,12&dim.1=group_instance_id,34。 批量查询监控指标时，多维度dim使用样例： "dimensions": [ { "name": "queue_instance_id", "value": "12" } { "name": "group_instance_id", "value": "34" } ],

监控指标 表1 云原生应用网络支持的监控指标 指标ID 指标名称 指标含义 取值范围 单位 进制 维度 监控周期（原始指标） network_incoming_bits_rate 入方向带宽 该指标用于统计云原生应用网络跨区域流入流量总带宽。 ≥ 0 bit/s 1024(IEC) anc_anc_id 1分钟 network_outgoing_bits_rate 出方向带宽 该指标用于统计云原生应用网络跨区域流出流量总带宽。 ≥ 0 bit/s 1024(IEC) anc_anc_id 1分钟 inbound_bandwidth 入方向带宽 该指标用于统计云原生应用网络的当前入网带宽。 ≥ 0 bit/s 1024(IEC) anc_anc_id,anc_clientassociation_id,anc_serviceassociation_id,anc_service_id,anc_serviceregion_id 1分钟 outbound_bandwidth 出方向带宽 该指标用于统计云原生应用网络的当前出网带宽。 ≥ 0 bit/s 1024(IEC) anc_anc_id,anc_clientassociation_id,anc_serviceassociation_id,anc_service_id,anc_serviceregion_id 1分钟 network_incoming_packets_rate 入方向流量 该指标用于统计云原生应用网络跨区域流入方向数据包速率。 ≥ 0 Count 不涉及 anc_anc_id 1分钟 network_outgoing_packets_rate 出方向流量 该指标用于统计云原生应用网络跨区域流出方向数据包速率。 ≥ 0 Count 不涉及 anc_anc_id 1分钟 inbound_traffic 入方向流量 该指标用于统计流入云原生应用网络的网络流量。 ≥ 0 Byte 1024(IEC) anc_anc_id,anc_clientassociation_id,anc_serviceassociation_id,anc_service_id,anc_serviceregion_id 1分钟 outbound_traffic 出方向流量 该指标用于统计流出云原生应用网络的网络流量。 ≥ 0 Byte 1024(IEC) anc_anc_id,anc_clientassociation_id,anc_serviceassociation_id,anc_service_id,anc_serviceregion_id 1分钟 connection 并发连接数 该指标用于统计当前云原生应用网络的并发连接数。 ≥ 0 Count 不涉及 anc_anc_id,anc_clientassociation_id,anc_serviceassociation_id,anc_service_id,anc_serviceregion_id 1分钟 new_connection 新建连接数 该指标用于统计当前云原生应用网络的新建连接数。 ≥ 0 Count 不涉及 anc_anc_id,anc_clientassociation_id,anc_serviceassociation_id,anc_service_id,anc_serviceregion_id 1分钟 inbound_pps 入方向PPS 该指标用于统计每秒流入云原生应用网络的数据包。 ≥ 0 Count 不涉及 anc_anc_id,anc_clientassociation_id,anc_serviceassociation_id,anc_service_id,anc_serviceregion_id 1分钟 outbound_pps 出方向PPS 该指标用于统计每秒流出云原生应用网络的数据包。 ≥ 0 Count 不涉及 anc_anc_id,anc_serviceassociation_id,anc_service_id,anc_serviceregion_id 1分钟 total_server_count 全部成员数 该指标用于统计成员组中全部成员的数量。 ≥ 0 Count 不涉及 anc_membergroup_id 1分钟 healthy_server_count 正常成员数 该指标用于统计成员组中正常成员的数量。 ≥ 0 Count 不涉及 anc_membergroup_id 1分钟 unhealthy_server_count 异常成员数 该指标用于统计成员组中异常成员的数量。 ≥ 0 Count 不涉及 anc_membergroup_id 1分钟

功能说明 本节定义了ANC服务上报 云监控服务 的监控指标的命名空间，监控指标列表和维度定义，用户可以通过 云监控 服务提供管理控制台来检索ANC服务产生的监控指标和告警信息。并且可以通过设置告警规则自定义监控目标与通知策略，及时了解云原生应用网络的状况，从而起到预警作用。 云监控服务最大支持4个层级维度，维度编号从0开始，编号3为最深层级。例如监控指标中的维度信息为“queue_instance_id,group_instance_id”时，表示对应的监控指标的维度存在层级关系，且“queue_instance_id”为0层，“group_instance_id”为1层。

ANC自定义身份策略样例 如果系统预置的ANC系统身份策略，不满足您的授权要求，可以创建自定义身份策略。 目前华为云支持以下两种方式创建自定义身份策略： 可视化视图创建自定义身份策略：无需了解策略语法，按可视化视图导航栏选择云服务、操作、资源、条件等策略内容，可自动生成策略。 JSON视图创建自定义身份策略：可以在选择策略模板后，根据具体需求编辑策略内容；也可以直接在编辑框内编写JSON格式的策略内容。 具体创建步骤请参见：创建自定义身份策略并附加至主体。 您可以在创建自定义身份策略时，通过资源类型（Resource）元素来选择特定资源，以及条件键（Condition）元素来控制策略何时生效。 下面为您介绍常用的ANC自定义身份策略样例。 示例1：授权创建和删除云原生应用网络的权限。 { "Version": "5.0", "Statement": [ { "Effect": "Allow", "Action": [ "anc:anc:create", "anc:anc:delete" ] } ] } 示例2：多个授权项自定义身份策略 一个自定义身份策略中可以包含多个授权项，且除了可以包含本服务的授权项外，还可以包含其他服务的授权项。多个授权语句策略描述如下： { "Version": "5.0", "Statement": [ { "Effect": "Allow", "Action": [ "anc:anc:create", "anc:memberGroup:create", "anc:service:get", "anc:serviceAssociation:list" ] } ] }

示例流程 图1 给用户授予ANC权限流程 创建用户或创建用户组 在 IAM 控制台创建用户或用户组。 为用户或用户组授予云原生应用网络只读权限的系统身份策略“ANCReadOnlyPolicy”，或将身份策略附加至用户或用户组。 用户登录并验证权限 使用已授权的用户登录控制台，验证权限： 在“服务列表”中选择云原生应用网络，进入ANC主界面，单击右上角“创建云原生应用网络”，尝试创建云原生应用网络，如果无法创建云原生应用网络（假设当前权限仅包含ANCReadOnlyPolicy），表示“ANCReadOnlyPolicy”已生效。 在“服务列表”中选择除云原生应用网络外（假设当前策略仅包含ANCReadOnlyPolicy）的任一服务，若提示权限不足，表示“ANCReadOnlyPolicy”已生效。

与其他服务的关系 原生应用网络与周边服务的依赖关系如图1所示。具体的交互功能请参考表1。 图1 原生应用网络与其它服务的关系 表1 原生应用网络与其它服务的关系 服务名称 交互功能 弹性云服务器（Elastic Cloud Server，E CS ） 您可以将ECS、CCI、CCE、ELB等实例作为成员加入成员组，将成员组添加至服务并关联云原生应用网络，客户端可以快速访问服务中的成员组。 云容器实例（Cloud Container Instance， CCI） 云容器引擎（Cloud Container Engine，简称CCE） 弹性负载均衡（Elastic Load Balance，ELB） 虚拟私有云（Virtual Private Cloud，VPC） 您可以将客户端所在的VPC关联至云原生应用网络，快速打通云上网络，尤其对于客户端VPC跨区域访问场景，免去大量的网络配置。 统一身份认证 服务（Identity and Access Management，IAM） 针对位于华为云上的云原生应用网络资源，您可以通过IAM进行精细的权限管理，即为不同的用户设置不同的使用权限，权限管理有助于实现资源的安全管控。 云监控服务（Cloud Eye Service，CES） 使用云监控服务可以监控云原生应用网络实例以及云原生应用网络连接的网络情况，并对异常进行报警，保证业务的顺畅运行。 配置审计 Config 使用配置审计服务可以检索全局资源配置，追溯配置历史，持续的审计评估资源配置，确保云上资源配置变更符合预期。 云审计 服务（Cloud Trace Service， CTS ） 使用云审计服务可以记录与云原生应用网络相关的操作事件，便于日后的查询、审计和回溯。

如何选择区域？ 选择区域时，您需要考虑以下几个因素： 地理位置 一般情况下，建议就近选择靠近您或者您的目标用户的区域，这样可以减少网络时延，提高访问速度。 在除中国大陆以外的亚太地区有业务的用户，可以选择“中国-香港”、“亚太-曼谷”或“亚太-新加坡”区域。 在非洲地区有业务的用户，可以选择“非洲-约翰内斯堡”区域。 在拉丁美洲地区有业务的用户，可以选择“拉美-圣地亚哥”区域。 “拉美-圣地亚哥”区域位于智利。 资源的价格 不同区域的资源价格可能有差异，请参见华为云服务价格详情。

什么是区域、可用区？ 区域和可用区用来描述数据中心的位置，您可以在特定的区域、可用区创建资源。 区域（Region）：从地理位置和网络时延维度划分，同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region，通用Region指面向公共租户提供通用云服务的Region；专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region。 可用区（AZ，Availability Zone）：一个AZ是一个或多个物理数据中心的集合，有独立的风火水电，AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连，以满足用户跨AZ构建高可用性系统的需求。 图1阐明了区域和可用区之间的关系。 图1 区域和可用区 目前，华为云已在全球多个地域开放云服务，您可以根据需求选择适合自己的区域和可用区。更多信息请参见华为云全球站点。

ANC服务配额限制 配额是在账号下或者某一区域下最多可同时拥有的某种资源的数量。 例如：单个账号下云原生应用网络ANC默认配额为5个，若在该账号下已创建2个ANC，则在该账号下，此ANC中的剩余配额为3个。 华为云为防止资源滥用，对云服务每个区域的用户资源数量和容量做了配额限制。 如需扩大资源配额，请在华为云管理控制台申请扩大配额。 表1介绍ANC场景的默认配额限制，部分默认配额可以提升，您可以根据提示申请扩大配额。 表1 云原生应用网络的配额说明 配额项目 默认配额限制 是否支持调整 一个用户可创建的云原生应用网络数量 不同用户根据其账户类型和服务等级享有不同的默认资源配额。请在配额限制查看您的个人配额详情。 是 提交工单申请提升配额。 一个云原生应用网络可关联的VPC数量 不同用户根据其账户类型和服务等级享有不同的默认资源配额。请在配额限制查看您的个人配额详情。 是 提交工单申请提升配额。 一个云原生应用网络可关联的服务数量 不同用户根据其账户类型和服务等级享有不同的默认资源配额。请在配额限制查看您的个人配额详情。 是 提交工单申请提升配额。 一个用户可创建的成员组数量 不同用户根据其账户类型和服务等级享有不同的默认资源配额。请在配额限制查看您的个人配额详情。 是 提交工单申请提升配额。 一个用户在单个区域内，单个成员组可添加的成员数量 不同用户根据其账户类型和服务等级享有不同的默认资源配额。请在配额限制查看您的个人配额详情。 是 提交工单申请提升配额。 一个用户可创建的服务数量 不同用户根据其账户类型和服务等级享有不同的默认资源配额。请在配额限制查看您的个人配额详情。 是 提交工单申请提升配额。 一个用户在单个区域内，单个服务内一个路由规则可添加的成员组数量 不同用户根据其账户类型和服务等级享有不同的默认资源配额。请在配额限制查看您的个人配额详情。 是 提交工单申请提升配额。 一个服务可关联的ANC数量 不同用户根据其账户类型和服务等级享有不同的默认资源配额。请在配额限制查看您的个人配额详情。 是 提交工单申请提升配额。 一个健康检查可绑定的成员组数量 不同用户根据其账户类型和服务等级享有不同的默认资源配额。请在配额限制查看您的个人配额详情。 是 提交工单申请提升配额。

身份策略权限管理 ANC服务支持身份策略授权。如表2所示，包括了ANC身份策略中的所有系统身份策略。身份策略授权场景的系统身份策略与角色与策略授权场景的并不互通。 表2 ANC系统身份策略 系统身份策略名称 描述 策略类别 ANCFullAccessPolicy ANC服务所有权限 系统身份策略 ANCReadOnlyAccessPolicy ANC服务只读权限 系统身份策略 表3列出了ANC常用操作与系统身份策略的授权关系，您可以参照该表选择合适的系统身份策略。 表3 常用操作与系统身份策略的关系 操作 ANCFullAccessPolicy ANCReadOnlyAccessPolicy 创建云原生应用网络 √ x 查询云原生应用网络列表 √ √ 查询云原生应用网络详情 √ √ 更新云原生应用网络 √ x 删除云原生应用网络 √ x 关联云原生应用网络到服务 √ x 创建成员组 √ x 查询成员组列表 √ √ 查询成员组详情 √ √ 更新成员组 √ x 删除成员组 √ x 注册成员 √ x 注销成员 √ x 查询成员列表 √ √ 为成员组添加健康检查 √ x 为成员组删除健康检查 √ x 创建服务 √ x 查询服务列表 √ √ 查询服务详情 √ √ 更新服务 √ x 删除服务 √ x 查询服务概要 √ √ 接受服务关联 √ x 拒绝服务关联 √ x 创建健康检查 √ x 查询健康检查列表 √ √ 查询健康检查详情 √ √ 更新健康检查 √ x 删除健康检查 √ x 创建服务关联 √ x 查询服务关联列表 √ √ 查询服务关联详情 √ √ 删除服务关联 √ x 创建客户端关联 √ x 查询客户端关联列表 √ √ 查询客户端关联详情 √ √ 更新客户端关联 √ x 删除客户端关联 √ x 根据标签查询资源列表 √ √ 创建标签 √ x 删除标签 √ x 查询指定资源标签 √ √ 获取标签列表 √ √ 查询资源配额 √ √

操作流程 表1 操作流程 任务 说明 步骤一：创建健康检查 可选任务。 您可以创建健康检查，并在配置服务路由规则时为成员组选择健康检查。 您可以根据业务需要选择不同的健康检查协议，健康检查支持TCP/HTTP协议。 步骤二：创建成员组 必选任务。 创建成员组B，并将区域B的 云服务器ECS -B添加至成员组B。 成员组与成员的区域、成员类型保持一致。所以此时创建成员组B选择“区域B”，成员类型选择“云服务器”。 步骤三：创建服务 必选任务。 创建服务B，设置服务基本信息并配置路由规则，选择健康检查（可选），将成员组B添加至服务B。 步骤四：创建ANC 必选任务。 创建一个ANC。并将客户端ECS-A所在的VPC关联至ANC，将已创建的服务B关联至ANC。关联后，客户端ECS-A可以通过ANC访问服务B中的云服务器ECS-B。

共享资源创建流程 本文以共享ANC为例，介绍共享资源创建流程。 作为ANC的所有者，您可以将ANC共享给其他账号的使用者，使用者接受该共享请求后，ANC共享才会成功。基于 RAM 服务实现ANC的共享，您在创建ANC共享时，有以下两种方法： 方法一：创建全新的RAM共享，添加待共享的ANC，并指定使用者。 方法二：如果您已有可用的RAM共享，您可以将ANC添加到该RAM共享中。此时您可以复用RAM共享中已有的使用者或者根据需求添加其他使用者。 共享ANC创建流程如图4所示。 图4 共享ANC创建流程 您可以使用RAM管理控制台或者ANC管理控制台，创建ANC共享，表4中详细为您介绍方法一和方法二。 表4 共享ANC创建流程说明 方法 说明 操作指导 方法一 所有者创建新的共享： 所有者选择待共享的ANC，可在“共享”页签下，跳转到RAM管理控制台创建新的共享，将ANC共享给使用者。配置如下： 选择共享ANC。 确认共享ANC权限，使用者对该共享ANC默认支持的权限是查看ANC资源信息、创建VPC关联、创建服务关联。 指定共享ANC的使用者，可以指定多个使用者。 共享创建完成后，通过RAM管理控制台，使用者可以选择接受或者拒绝共享申请。 使用者接受共享申请，ANC共享成功。 如果后续使用者不再需要使用该共享ANC，可以退出该共享。 使用者拒绝共享申请，ANC共享失败。 所有者：所有者创建共享 使用者：使用者接受/拒绝共享 使用者：使用者退出共享 方法二 将ANC添加到已有的共享中： 所有者在RAM管理控制台，查找已有的共享。 使用更新共享功能，所有者将ANC添加至已有的共享中。例如，将ANC添加到1中创建的共享中。配置如下： 选择共享ANC。 确认共享ANC权限，使用者对该共享ANC默认支持的权限是查看ANC资源信息、创建VPC关联、创建服务关联。 复用共享中已设置的使用者或者添加新的使用者，可以指定多个使用者。 所有者：查看共享 所有者：更新共享 使用者：使用者接受/拒绝共享 使用者：使用者退出共享

共享资源使用流程 作为共享资源的所有者，您可以将ANC或服务共享给其他账号的使用者。 图5 关联创建流程 表5 创建共享ANC与服务或VPC关联 序号 步骤 角色 说明 1 所有者创建共享： 所有者创建共享 所有者 所有者创建共享并指定共享资源的使用者。 2 使用者接受共享： 使用者接受/拒绝共享 使用者 使用者选择接受共享，就可以在列表中看到共享ANC。 3 使用者关联VPC或服务： 关联云原生应用网络与服务 关联云原生应用网络与VPC 使用者 使用者可以在共享ANC中创建VPC关联或服务关联。 表6 创建共享服务与ANC关联 序号 步骤 角色 说明 1 所有者创建共享： 所有者创建共享 所有者 所有者创建共享并指定共享资源的使用者。 2 使用者接受共享： 使用者接受/拒绝共享 使用者 使用者选择接受共享，就可以在列表中看到共享ANC。 3 使用者创建共享服务与ANC关联： 关联云原生应用网络与服务 关联云原生应用网络与VPC 使用者 使用者可以在共享ANC中创建VPC关联或服务关联。

共享资源所有者和使用者权限说明 所有者可以对共享资源执行任何操作，使用者仅可以执行部分操作，使用者支持的操作说明如表2所示。 表2 共享ANC使用者支持的操作列表 角色 支持的操作 操作说明 使用者 查看共享ANC： 查看云原生应用网络 使用者可以查看共享ANC的基本信息。 和所有者的功能差异：使用者查看共享ANC的基本信息时，无法查看描述。 ANC关联VPC： 关联云原生应用网络与VPC 使用者可以在共享ANC中关联VPC，和所有者的功能差异如下： 使用者关联VPC时，无法为关联添加标签。 ANC关联服务： 关联云原生应用网络与服务 使用者可以在共享ANC中关联服务，和所有者的功能差异如下： 使用者关联服务时，无法为关联添加标签。 查看共享ANC关联的VPC和服务： 查看云原生应用网络 使用者可以在共享ANC中查看关联的VPC和服务，和所有者的功能差异如下： 使用者查看关联的VPC和服务时，无法查看连接的标签。 删除共享ANC中的VPC关联和服务关联： 删除VPC关联操作步骤 删除关联服务 使用者可以在共享ANC中删除与自己相关的VPC关联和服务关联，无需所有者审批。具体可删除的VPC关联和服务关联如下： 使用者自己创建的VPC关联和服务关联。 VPC关联中，VPC属于使用者账号。 服务关联中，服务端的业务属于使用者账号。 表3 共享服务使用者支持的操作列表 角色 支持的操作 操作说明 使用者 查看共享服务： 查看服务 使用者可以查看服务的基本信息。 服务关联ANC： 关联ANC 使用者可以在共享服务中关联ANC。 查看共享服务关联的ANC： 查看服务 使用者可以在共享服务中查看自己关联的ANC。 删除共享服务的ANC关联： 删除关联ANC 使用者可以将共享服务移出本账号拥有的ANC，无需所有者审批。

共享简介 依托于 资源访问管理 （Resource Access Manager，简称RAM）服务，可以实现跨账号共享ANC和共享服务，您可以将账号A拥有的ANC或服务同时共享给多个其他账号，比如账号B、账号C等。通过共享ANC和共享服务功能，可以实现统一配置和运维多个账号下的资源，有助于提升资源的管控效率，降低运维成本。 账号A属于共享ANC所有者，以下简称为所有者。 账号B和账号C，均属于共享ANC使用者，以下简称为使用者。 场景1：所有者将ANC共享给使用者，使用者可以在共享ANC中关联VPC，该VPC内的客户端可以访问共享ANC上关联的服务。 场景2：所有者将ANC共享给使用者，使用者可以在共享ANC中关联服务，该服务从与共享ANC关联的VPC的客户端接收请求。 场景3：所有者将服务共享给使用者，使用者可以在ANC中关联共享服务，共享服务从与ANC关联的VPC的客户端接收请求。 接下来，本文档将以账号A、账号B和账号C为例，为您介绍通过共享功能如何构建组网，每个账号下的资源如表1所示。 在同一个ANC中关联不同账号下的VPC，将ANC同时共享给账号B和账号C，就可以将账号B和账号C下的VPC关联到ANC中，组网示例如图1所示。 在同一个ANC中关联不同账号下的服务，将ANC同时共享给账号B和账号C，就可以将账号B和账号C下的服务关联到ANC中，组网示例如图2所示。 同一个服务关联至不同账号下的ANC，将服务共享给账号B、账号C，就可以将账号A的服务分别关联到账号B和账号C的ANC中，组网示例如图3所示。 表1 账号和资源情况说明 账号 云原生应用网络 虚拟私有云 服务 A ANC-A VPC-A 服务A B ANC-B VPC-B 服务B C ANC-C VPC-C 服务C 图1 共享ANC组网示例-关联不同账号下的VPC 图2 共享ANC组网示例-关联不同账号下的服务 图3 共享服务组网示例-不同账号下的ANC关联服务