业务流量超过防护带宽怎么办？ 如果您的实际业务流量超过已购买的防护带宽流量，可能出现限流、随机丢包、自动Bypass等现象，导致您的部分业务在一定时间内不可用、卡顿、延迟等。 如果出现这种情况，您需要及时根据实际业务情况购买扩展包来提供足够的防护带宽。如果您的业务流量浮动较大，建议参考“总览”页面中的“运营看板”模块，根据“出方向95带宽”或“入方向95带宽”的最大值购买。 购买扩展包请参见变更扩展包。 云防火墙 支持设置流量超额预警，当业务流量达到已购买带宽规格的一定比例时，将发送告警通知，设置告警通知请参见告警通知。 95带宽：系统每个周期统计1个带宽值，将某段时间内的带宽值进行降序排列，去掉带宽数值最高的前5%的值，剩余的最高带宽即为95带宽。 例如：出方向95带宽为100bps，则在某段时间（例如24小时）内，带宽值经过降序排列并去掉最高的5%的值后，剩余的最高带宽为100bps。 父主题： 网络流量

解决方法 编辑istiod deployment中的环境变量spec.template.spec.containers.env.PILOT_HTTP10设置为1，为pilot配置PILOT_HTTP10环境变量即可。 istio 1.18.7-r4以及以上的网格版本需要执行下面的操作，istio1.18.7-r4之前的网格版本无需执行。 在通过kubectl edit iop编辑好您要修改的参数后，需要同时把install.istio.io/ignoreReconcile参数的值改为false，保存退出。 然后再使用kubectl get iop -n istio-system命令查看iop状态，等待STATUS字段变为HEALTHY。 最后还需要再把install.istio.io/ignoreReconcile参数的值改回true。

使用限制 全链路流量控制依赖应用网关提供微服务访问流量入口，用于通过标签控制流量转发到对应泳道的目标服务组件。 仅绑定了微服务引擎的微服务组件（如果组件技术栈是Docker，需要未开启多容器部署），支持全链路流量控制。关于创建并部署组件，请参考使用容器部署方式基于界面配置创建并部署组件或使用容器部署方式基于YAML配置创建并部署组件。 Kubernetes类型环境纳管的CCE Standard集群的“容器网络模型”必须是“VPC网络”。 使用Spring Cloud Huawei接入方式的微服务组件，依赖的开发框架为spring-cloud-huawei 1.11.5-2021.0.x及以上版本。 使用Sermant接入方式的微服务组件，依赖Sermant Agent 1.3.1.0及以上版本，且不支持Spring Boot 3开发框架。 加入全链路流量控制的组件，将不再支持通过灰度发布方式升级组件。关于灰度发布升级组件，请参考灰度发布方式升级组件版本配置。

使用流程 图2 全链路流量控制使用流程 全链路流量控制的使用流程如图2所示。 创建并部署基线泳道组件 使用ServiceStage创建并部署基线泳道待关联微服务组件，并为所有组件绑定同一个微服务引擎，请参考创建并部署组件。 创建应用网关 应用网关通过标签控制流量转发到对应泳道的目标服务组件，请参考创建应用网关。 绑定目标服务 将1中已接入微服务引擎的组件对应微服务与2创建的应用网关绑定，以便网关获取组件微服务地址，请参考创建服务。 配置路由 为2创建的应用网关配置路由规则，当应用网关收到访问流量时，会根据已配置的路由规则判断是否匹配并做相应的处理，请参考配置路由策略。 创建泳道组 泳道组是一组泳道的集合，用于区分不同的组织或场景，请参考创建泳道组。 创建基线泳道 泳道用于为相同版本组件定义一套隔离环境，只有满足了流控路由规则的请求流量才会路由到对应泳道里的目标服务组件。 基线泳道包括应用中所有组件的基线版本，当微服务调用链中不存在某个组件的时候，会默认访问基线泳道中的组件，请参考创建基线泳道。 关联组件到基线泳道 为6创建的基线泳道关联所有应用组件，请参考关联基线泳道组件。 创建灰度泳道 灰度泳道用于关联应用的灰度版本组件，请参考创建灰度泳道。 调整灰度泳道流量并验证业务 根据实际业务需要修改路由配置，调整流量至灰度泳道并验证业务，请参考编辑路由。 升级基线泳道组件并调整流量 升级基线泳道组件，并根据业务需要调整流量，请参考基线化基线泳道组件。

背景信息 在一个存在多个微服务组件的应用体系中，对其中一个微服务组件进行版本升级发布时，会涉及到其他微服务组件版本的变动升级。所以要求在灰度验证时能够使得灰度流量同时经过涉及到的所有微服务组件灰度版本。如图1所示，由于Microservice-B组件发布新版本涉及到Microservice-C组件的变动，所以在做灰度验证时要求流量能够同时经过Microservice-B、Microservice-C组件的灰度版本。因此，需要额外配置涉及到的Microservice-C组件微服务治理规则，确保流入灰度环境下Microservice-B组件流量能够转发到Microservice-C组件的灰度版本。 图1 全链路流量控制示意图 但是在真实业务场景中，由于业务的微服务组件规模和数量很大，一条请求链路可能会经过很多个微服务组件。新功能发布时也可能会涉及到多个微服务组件同时变更，并且业务的微服务组件之间依赖错综复杂。频繁的组件版本发布、以及组件多版本并行开发导致流量治理规则日益膨胀，给整个系统的可维护性和稳定性带来了严重挑战。 对于以上问题和挑战，业界结合实际业务场景和产业实践经验，提出了一种端到端的灰度发布方案，来进行全链路流量控制，即全链路灰度。全链路流量控制功能将应用组件的相关版本隔离成一个独立的运行环境（即泳道），通过设置流控路由规则，将满足规则的请求流量路由到目标版本应用。

VPC个数和VPC边界防护流量峰值如何计算？ “按需计费”防火墙按照实际防护情况计费，最大带宽流量支持1 Gbps（经过防火墙的总流量）。 包周期（包年/包月）防火墙计算方式：专业版云防火墙默认防护2个VPC，提供200Mbps的VPC边界流量防护，如果您需要防护更大的VPC间流量，可以通过购买VPC数量扩展，每个VPC支持200M的VPC边界流量防护。 例如：业务部署需要防护1Gbps的VPC边界流量，则云防火墙默认防护2个VPC（200M），您还需购买4个VPC（4*200M），VPC边界防护流量=默认值（200M） + 4*VPC（200M）= 1Gbps。 父主题： 网络流量

怎么查看物联网卡已用流量、剩余流量、月用量以及用量趋势？ 登录 全球SIM联接 的SIM卡管理页面，可以查看所有的SIM卡列表。在列表中可以查看“已用流量”和“剩余流量”。 已用流量（MB） 激活的物联网卡才会展示已用流量，此时物联网卡处于在用或已停用状态。已用流量默认截止到昨日24点，单击“已用流量”右侧的刷新按钮查询实时流量。 剩余流量（MB） 激活的物联网卡才会展示剩余流量，此时物联网卡处于在用或已停用状态。负数表示超出的流量。 单击“容器ID”列进入SIM卡详情页面，可以在“用量统计”页签查询月用量统计以及本月和上月的用量趋势。 月用量 展示SIM卡套餐六个月内的月用量统计结果。 用量趋势 展示SIM卡套餐两个月内每日的用量趋势统计结果和用量明细信息。 父主题： 流量查询

批量激活 前向流量池的生效总流量取决于已激活卡的数量，如果前向流量池内存在未激活的卡，可通过批量激活功能来激活前向流量池内未激活的卡。 在前向流量池管理页面，单击指定前向流量池订单右侧的“批量激活”。 全球SIM联接提供了四种批量激活方式供用户选择： 表1 批量激活方式 激活方式 说明 流量池 该操作方式将激活当前前向流量池内全部未激活的实体卡，单击“确定”，等待业务受理单处理完成即可。 号段 该操作方式根据起始号码和结束号码激活当前前向流量池内特定未激活的实体卡，按要求输入起始号码和结束号码，单击“确定”，等待业务受理单处理完成即可。 说明： 起始号码和结束号码必须是纯数字，起始号码和结束号码之间的容器ID必须连续并且未被激活，如果不满足上述要求，请选择其他操作方式进行处理。 文件 该操作方式根据激活文件激活当前前向流量池内特定未激活的实体卡，按要求下载模板并上传编辑后的激活文件，单击“确定”，等待业务受理单处理完成即可。 说明： 模板里的“SIM卡状态”列仅供参考，系统只会根据您上传的“容器ID”列进行批量激活。 手动输入 该操作方式根据手动输入激活当前前向流量池内特定未激活的实体卡，按要求输入容器ID列表，单击“确定”，等待业务受理单处理完成即可。 说明： 容器ID列表必须是纯数字，如果不满足上述要求，请选择其他操作方式进行处理。

创建流量策略 登录U CS 控制台，在左侧导航栏中单击“流量分发”。 在流量分发控制台页面，单击右上角“创建流量策略”。 在弹出页面中，填写 域名 ，并请至少添加一条调度策略。如您需要为多个域名创建流量策略，请依次重复3~5。 域名：域名前缀可自定义，后缀为已购买备案并且添加华为云DNS解析的公网域名。 前缀部分由多个以点分隔的字符串组成，可包含字母、数字、汉字、中划线，中划线不能在开头或末尾，单个字符串不超过63个字符，域名总长度不超过254个字符。 如果没有子域名，域名前缀部分可不填。 域名后缀部分为云解析服务（DNS）中已添加解析的公网域名。如您需要管理域名，请前往DNS控制台，具体步骤请参见公网域名管理。 调度策略：可基于访问位置和业务策略对流量进行调度，详见4。 单击按钮，添加一个调度策略后单击“确定”，如图1所示。如需为同一域名添加不同的调度策略，请重复此步骤，也可在创建完成后继续添加。 图1 添加调度策略 集群：选择一个状态为“运行中”的目标集群，列表中将自动获取UCS接管的所有集群。 命名空间：选择目标服务所在的命名空间，默认为“default”。 服务：选择一个目标服务，仅支持访问类型为负载均衡的服务，查询结果已过滤。 线路类型： 全网默认：必选，未匹配到已设置的线路时，会返回默认解析结果。 运营商线路解析：根据访问用户所在运营商网络调度到最佳访问地址。默认值为“电信/地区默认”，支持指定运营商及地区，其中地区选择的细粒度为省级。 地域解析：根据访问用户所处地理位置调度到最佳访问地址。默认值为“中国大陆/地区默认”，支持全球地域选择，其中中国大陆地区细粒度为省级，其余地域细粒度为国家/地区。 您需要先创建一条“全网默认”线路类型的调度策略作为默认解析，再添加自定义调度策略。如果域名未添加默认线路解析记录，会造成指定线路外的地区访问失败。 TTL：指解析记录在本地DNS服务器的缓存时间，默认值为“300s/5分钟”。如果您的服务地址经常更换，建议TTL值设置相对小些，反之，建议设置相对大些。 权重：当域名在同一解析线路中有多条相同类型的解析记录时，可以通过“权重”设置解析记录集的响应比例。详细信息请参考配置权重解析。 单击“创建”，流量策略创建成功。 图2 成功创建流量策略 父主题： 流量分发

数据规划 表1 规划数据 类别 规划项 规划值 VPC 待互通子网 VPC1：192.168.0.0/24 VPC2：192.168.1.0/24 ER 关联VPC1和VPC2的企业路由器。 ECS 3个ECS分别位于不同的VPC内，VPC中的ECS如果位于不同的安全组，需要在安全组中添加规则放通对端安全组的网络。 VPN网关1 接入子网 用于VPN网关和VPC通信，请确保选择的接入子网存在4个及以上可分配的IP地址。 192.168.2.0/24 HA模式 双活 EIP地址 EIP地址在购买EIP时由系统自动生成，VPN网关1默认使用2个EIP。本示例假设EIP地址生成如下： 主EIP：1.1.1.2 主EIP2：2.2.2.2 “连接1配置”中的Tunnel接口地址 用于VPN网关1和对端网关1建立IPsec隧道，配置时两边需要互为镜像。 本端隧道接口地址：169.254.70.1/30 对端隧道接口地址：169.254.70.2/30 用于VPN网关1和对端网关2建立IPsec隧道，配置时两边需要互为镜像。 本端隧道接口地址：169.254.71.1/30 对端隧道接口地址：169.254.71.2/30 “连接2配置”中的Tunnel接口地址 用于VPN网关1和对端网关1建立IPsec隧道，配置时两边需要互为镜像。 本端隧道接口地址：169.254.72.1/30 对端隧道接口地址：169.254.72.2/30 用于VPN网关1和对端网关2建立IPsec隧道，配置时两边需要互为镜像。 本端隧道接口地址：169.254.73.1/30 对端隧道接口地址：169.254.73.2/30 VPN网关2 接入子网 用于VPN网关和VPC通信，请确保选择的接入子网存在4个及以上可分配的IP地址。 192.168.3.0/24 HA模式 双活 EIP地址 EIP地址在购买EIP时由系统自动生成，VPN网关2默认使用2个EIP。本示例假设EIP地址生成如下： 主EIP：3.3.3.3 主EIP2：4.4.4.4 “连接1配置”中的Tunnel接口地址 用于VPN网关2和对端网关1建立IPsec隧道，配置时两边需要互为镜像。 本端隧道接口地址：169.254.74.1/30 对端隧道接口地址：169.254.74.2/30 用于VPN网关2和对端网关2建立IPsec隧道，配置时两边需要互为镜像。 本端隧道接口地址：169.254.75.1/30 对端隧道接口地址：169.254.75.2/30 “连接2配置”中的Tunnel接口地址 用于VPN网关2和对端网关1建立IPsec隧道，配置时两边需要互为镜像。 本端隧道接口地址：169.254.76.1/30 对端隧道接口地址：169.254.76.2/30 用于VPN网关2和对端网关2建立IPsec隧道，配置时两边需要互为镜像。 本端隧道接口地址：169.254.77.1/30 对端隧道接口地址：169.254.77.2/30 用户数据中心 待互通子网 172.16.0.0/16 对端网关1 公网IP地址 公网IP地址由运营商统一分配。本示例假设公网IP地址如下： 1.1.1.1 对端网关2 公网IP地址 公网IP地址由运营商统一分配。本示例假设公网IP地址如下： 2.2.2.1 IKE/IPsec策略 预共享密钥 Test@123 IKE策略 版本：v2 认证算法：SHA2-256 加密算法：AES-128 DH算法：Group 15 生命周期（秒）：86400 本端标识：IP Address 对端标识：IP Address IPsec策略 认证算法：SHA2-256 加密算法：AES-128 PFS：DH Group15 传输协议：ESP 生命周期（秒）：3600

请求示例 HTTP的示例 GET /controller/campus/v1/performanceservice/endpointbehavior/loyalty?tagId=9dffc44b-1824-42a4-ac48-616e3f0eaa2a&tagType=0&startTime=1567526400&endTime=1567527800&timeUnit=day HTTP/1.1 Host: 192.168.1.125:18002 Content-Type: application/json Accept: application/json Accept-Language: en-US X-AC CES S-TOKEN: x-yyyyyy

响应示例 返回状态码为200：接口调用成功，响应体参考FlowDistrResp。 HTTP/1.1 200 OK Date: Sun,11 May 2025 10:00:00 GMT Server: example-server Content-Type: application/json;charset=UTF-8 Content-Length: 250 Connection: keep-alive { "errcode" : "0", "errmsg" : "", "data" : [ { "targetName" : "humanflow", "counts" : [ { "count" : "123", "stamp" : 1565049600000 } ] } ] } 返回状态码为400：参数非法，查询失败。 HTTP/1.1 400 Bad Request Date: Sun,11 May 2025 10:00:00 GMT Server: example-server Content-Type: application/json;charset=UTF-8 Content-Length: 250 Connection: keep-alive

URI /controller/campus/v1/performanceservice/endpointbehavior/loyalty 表1 query参数列表 参数名称 必选 类型 参数值域 默认值 参数说明 参数示例 tagId 否 string - - 查询维度具体id,UUID格式,根据tagType确定，当tagType为0或1时，tagId必填. "9dffc44b-1824-42a4-ac48-616e3f0eaa2a" tagType 是 string 0 1 2 - 查询类型： 0---站点维度查询，TagID为站点ID。 1---设备标签维度查询，TagID为设备标签ID。 2---租户维度查询，TagID不做校验，可为空。 "0" startTime 是 int32 - - 时间戳（秒），最大时间差不超过一年。 1567526400 endTime 是 int32 - - 时间戳（秒），最大时间差不超过一年。 1567527800 timeUnit 是 string day week month custom - 时间维度。 day---天维度 week---周维度 month---月维度 custom---自定义维度 "day"

响应示例 返回状态码为200：查询成功。 HTTP/1.1 200 OK Date: Sun,11 May 2025 10:00:00 GMT Server: example-server Content-Type: application/json;charset=UTF-8 Content-Length: 250 Connection: keep-alive { "errcode" : "0", "errmsg" : "", "pageIndex" : "1", "pageSize" : "20", "totalRecords" : "50", "data" : [ { "id" : "d5f17ddd0b25471bb0109d32cbc3a724", "siteId" : "351e1696-02a2-4a68-bad4-aa639359c222", "userName" : "1", "lastChargeTime" : "1545812248932", "usedFlow" : "100", "usedTime" : "20", "policyFlow" : "111111", "policyTime" : "2222", "remianFlow" : "111011", "remianTime" : "2202", "loginIp" : "10.1.1.1", "terminalMac" : "22-22-22-22-22-22", "oneOnlinePolicyTime" : "2211", "oneOnlineUsedTime" : "11", "oneOnlineRemainTime" : "2200" } ] } 返回状态码为400：校验异常。 HTTP/1.1 400 Bad Request Date: Sun,11 May 2025 10:00:00 GMT Server: example-server Content-Type: application/json;charset=UTF-8 Content-Length: 250 Connection: keep-alive 返回状态码为500：内部错误。 HTTP/1.1 500 Internal Server Error Date: Sun,11 May 2025 10:00:00 GMT Server: example-server Content-Type: application/json;charset=UTF-8 Content-Length: 250 Connection: keep-alive

响应参数 返回状态码为200：查询成功。 表4 TimeFlowStInfosResponse对象的参数列表 参数名称 类型 参数值域 默认值 参数说明 参数示例 errcode string - - 错误码。 "0" errmsg string - - 错误信息。 "" pageIndex int32 [0-2000000] - 当前页数。 "1" pageSize int32 [0-1000] - 每页最大显示数量。 "20" totalRecords int32 [0-2147483647] - 查询到的总结果数。 "50" data ARRAY_REFERENCE 0-1000个列表项，详细请参见表5。 查询到的结果列表。 - 表5 TimeFlowStDetailInfosResponse对象的参数列表 参数名称 类型 参数值域 默认值 参数说明 参数示例 id string - - 流量时长ID，uuid格式。 "d5f17ddd0b25471bb0109d32cbc3a724" siteId string - - 站点ID，uuid格式。 "351e1696-02a2-4a68-bad4-aa639359c222" userName string 1~128个字符。 - 用户名。 "1" lastChargeTime string - - 最后一次计费更新时间，单位：毫秒。 "1545812248932" usedFlow string - - 已使用流量，单位：兆。 "100" usedTime string - - 已使用时间，单位：分钟。 "20" policyFlow string - - 策略流量单位：兆。 "111111" policyTime string - - 策略时长，单位：分钟。 "2222" remianFlow string - - 剩余流量，单位：兆。 "111011" remianTime string - - 剩余时长，单位：分钟。 "2202" loginIp string - - 终端IP。 "10.1.1.1" terminalMac string - - 终端MAC，mac格式：XX-XX-XX-XX-XX-XX。 "22-22-22-22-22-22" oneOnlinePolicyTime string - - 单次在线策略时长，单位：分钟。 "2211" oneOnlineUsedTime string - - 单次在线已使用时长，单位：分钟。 "11" oneOnlineRemainTime string - - 剩余单次时长，单位：分钟。 "2200" 返回状态码为400：校验异常。 详细信息请参见实际响应消息体。 返回状态码为500：内部错误。 详细信息请参见实际响应消息体。