ER自定义策略样例 如果系统预置的ER权限，不满足您的授权要求，可以创建自定义策略。自定义策略中可以添加的授权项（Action）请参考权限及授权项说明。 目前华为云支持以下两种方式创建自定义策略： 可视化视图创建自定义策略：无需了解策略语法，按可视化视图导航栏选择云服务、操作、资源、条件等策略内容，可自动生成策略。 JSON视图创建自定义策略：可以在选择策略模板后，根据具体需求编辑策略内容；也可以直接在编辑框内编写JSON格式的策略内容。 具体创建步骤请参见：创建自定义策略。本章为您介绍常用的ER自定义策略样例。 示例1：授权用户创建企业路由器、删除企业路由器 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "er:instances:create", "er:instances:delete" ] } ] } 示例2：拒绝用户删除企业路由器 拒绝策略需要同时配合其他策略使用，否则没有实际作用。用户被授予的策略中，一个授权项的作用如果同时存在Allow和Deny，则遵循Deny优先原则。 如果您给用户授予ER FullAccess的系统策略，但不希望用户拥有ER FullAccess中定义的删除企业路由器的权限，您可以创建一条拒绝删除企业路由器的自定义策略，然后同时将ER FullAccess和拒绝策略授予用户，根据Deny优先原则，则用户可以对ER执行除了删除企业路由器外的所有操作。拒绝策略示例如下： { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "er:instances:delete" ] } ] } 示例3：添加多个授权项策略 一个自定义策略中可以包含多个授权项，且除了可以包含本服务的授权项外，还可以包含其他服务的授权项，可以包含的其他服务必须跟本服务同属性，即都是项目级服务或都是全局级服务。多个授权语句策略描述如下： { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "er:*:get*", "er:*:list*", "vpc:vpcs:get", "vpc:vpcs:list", "vpc:subnets:get", "vpc:subnets:list", "dcaas:vgw:get", "dcaas:vgw:list", "cc:networkInstances:get", "cc:networkInstances:list", "cc:cloudConnections:get", "cc:cloudConnections:list" ] } ] }

示例流程 图1 给用户授予ER权限流程 创建用户组并授权 在 IAM 控制台创建用户组，并授予企业路由器只读权限“ER ReadOnlyAccess”。 创建用户并加入用户组 在IAM控制台创建用户，并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台，切换至授权区域，验证权限，当用户权限仅包含“ER ReadOnlyAccess”： 在“服务列表”中选择企业路由器，进入ER主界面，单击右上角“创建企业路由器”，尝试创建企业路由器，如果无法创建企业路由器，表示“ER ReadOnlyAccess”已生效。 在“服务列表”中选择除企业路由器外的任一服务，若提示权限不足，表示“ER ReadOnlyAccess”已生效。

操作步骤 进入IP地址前缀列表页面。 在资源列表中，单击IP地址前缀列表名称。 进入IP地址前缀规则详情页面。 单击列表左上方的“添加IP地址前缀规则”。 弹出“添加IP地址前缀规则”对话框。 根据界面提示，配置IP地址前缀规则的基本信息，如表1所示。 表1 添加IP地址前缀列表-参数说明 参数名称 参数说明 取值样例 配置模式 必选参数。 IP地址前缀列表的配置模式，支持以下两种配置模式： 快速配置： 只需要输入IP地址前缀，IP地址前缀由IP地址和掩码组成，格式为“IP地址/掩码”。在IP地址前缀中，通过掩码长度，限定待匹配IP地址的前多少位需要和IP地址前缀严格匹配。 其他参数配置会自动配置或者不配置，详细情况说明如下： 序列号：自动配置序列号，首位取10，然后按照10的倍数递增，后面依次为20、30... 匹配模式：自动配置为允许。 掩码下限和掩码上限：默认不配置。 高级配置： 序列号：一个IP地址前缀列表由一个或多个IP地址前缀规则构成，待过滤路由按照序列号从小到大的顺序进行匹配。请根据需要填写相应的序列号，取值范围为0~65535。为了预留后续调整的空间，建议您首个规则的节点号取20。 匹配模式：可选“允许”或“拒绝”。当匹配上IP地址前缀规则中的条件，如果该规则的匹配模式是允许，则这条路由被允许通过；如果该规则的匹配模式是拒绝，则这条路由被拒绝通过。 IP地址前缀：IP地址前缀由IP地址和掩码组成，格式为“IP地址/掩码”。用于指定网络IP地址，并限定该IP地址的前多少位需要严格匹配，掩码匹配范围[掩码长度，32]。 掩码下限：掩码下限不能低于IP地址前缀中的掩码出长度，比如IP地址前缀的掩码为16，则掩码下限大于等于16，比如18。 掩码上限：掩码上限不能低于掩码下限，比如掩码下限为18，则掩码上限大于等于18，小于等于32，比如20。 序列号：10 匹配模式：允许 IP前缀列表：10.0.0.0/16 掩码下限：20 掩码上限：28 基本信息设置完成后，单击“确定”。 返回IP地址前缀规则页面，查看刚创建的IP地址前缀规则。

操作步骤 进入IP地址前缀列表页面。 单击页面右上角的“创建IP地址前缀列表”。 弹出“创建IP地址前缀列表”对话框。 根据界面提示，配置IP地址前缀的基本信息，如表1所示。 表1 创建IP地址前缀列表-参数说明 参数名称 参数说明 取值样例 名称 必选参数。 输入IP地址前缀列表的名称。要求如下： 长度范围为1~64位。 名称由中文、英文字母、数字、下划线（_）、中划线（-）、点（.）组成。 prefixFilter-ab 描述 可选参数。 您可以根据需要在文本框中输入对该IP地址前缀列表的描述信息。 - 配置模式 必选参数。 IP地址前缀列表的配置模式，支持以下两种配置模式： 快速配置： 只需要输入IP地址前缀，IP地址前缀由IP地址和掩码组成，格式为“IP地址/掩码”。在IP地址前缀中，通过掩码长度，限定待匹配IP地址的前多少位需要和IP地址前缀严格匹配。 其他参数配置会自动配置或者不配置，详细情况说明如下： 序列号：自动配置序列号，首位取10，然后按照10的倍数递增，后面依次为20、30... 匹配模式：自动配置为允许。 掩码下限和掩码上限：默认不配置。 高级配置： 序列号：一个IP地址前缀列表由一个或多个IP地址前缀规则构成，待过滤路由按照序列号从小到大的顺序进行匹配。请根据需要填写相应的序列号，取值范围为0~65535。为了预留后续调整的空间，建议您首个规则的节点号取20。 匹配模式：可选“允许”或“拒绝”。当匹配上IP地址前缀规则中的条件，如果该规则的匹配模式是允许，则这条路由被允许通过；如果该规则的匹配模式是拒绝，则这条路由被拒绝通过。 IP地址前缀：IP地址前缀由IP地址和掩码组成，格式为“IP地址/掩码”。用于指定网络IP地址，并限定该IP地址的前多少位需要严格匹配，掩码匹配范围[掩码长度，32]。 掩码下限：掩码下限不能低于IP地址前缀中的掩码出长度，比如IP地址前缀的掩码为16，则掩码下限大于等于16，比如18。 掩码上限：掩码上限不能低于掩码下限，比如掩码下限为18，则掩码上限大于等于18，小于等于32，比如20。 序列号：10 匹配模式：允许 IP前缀列表：10.0.0.0/16 掩码下限：20 掩码上限：28 基本信息设置完成后，单击“确定”。 返回IP地址前缀列表页面，查看刚创建的IP地址前缀列表。

ER自定义身份策略样例 如果系统预置的ER系统策略，不满足您的授权要求，可以创建自定义策略。自定义策略中可以添加的授权项（Action）请参考身份策略授权参考。 目前华为云支持以下两种方式创建自定义策略： 可视化视图创建自定义策略：无需了解策略语法，按可视化视图导航栏选择云服务、操作、资源、条件等策略内容，可自动生成策略。 JSON视图创建自定义策略：可以在选择策略模板后，根据具体需求编辑策略内容；也可以直接在编辑框内编写JSON格式的策略内容。 具体创建步骤请参见：创建自定义身份策略并附加至主体。 您可以在创建自定义策略时，可以通过资源类型（Resource）元素来选择特定资源，以及条件键（Condition）元素来控制策略何时生效。支持的资源类型和条件键请参考身份策略授权参考。 下面为您介绍常用的自定义身份策略样例。 示例1：授权创建和删除企业路由器的权限。 { "Version": "5.0", "Statement": [ { "Effect": "Allow", "Action": [ "er:instances:create", "er:instances:delete" ] } ] } 示例2：多个授权项策略 一个自定义策略中可以包含多个授权项，且除了可以包含本服务的授权项外，还可以包含其他服务的授权项。多个授权语句策略描述如下： { "Version": "5.0", "Statement": [ { "Effect": "Allow", "Action": [ "er:instances:create", "er:instances:delete" ] }, { "Effect": "Allow", "Action": [ "dcaas:vgw:create", "dcaas:vgw:delete" ] } ] }

示例流程 图1 给用户授予ER权限流程 创建用户或创建用户组 在IAM控制台创建用户或用户组。 将系统身份策略附加至用户或用户组 为用户或用户组授予企业路由器只读权限的系统策略“ERReadOnlyPolicy”，并将策略附加至用户或用户组。 用户登录并验证权限 使用已授权的用户登录到控制台，验证权限： 在“服务列表”中选择企业路由器，进入ER主界面，单击右上角“创建企业路由器”，尝试创建ER，如果无法创建ER（假设当前权限仅包含ERReadOnlyPolicy），表示“ERReadOnlyPolicy”已生效。 在“服务列表”中选择除企业路由器外（假设当前策略仅包含ERReadOnlyPolicy）的任一服务，若提示权限不足，表示“ERReadOnlyPolicy”已生效。

操作步骤 进入AS_Path列表页面。 在资源列表中，单击AS_Path列表名称。 进入AS_Path规则详情页面。 单击列表左上方的“添加AS_Path规则”。 弹出“添加AS_Path规则”对话框。 根据界面提示，配置AS_Path规则的基本信息，如表1所示。 表1 添加AS_Path规则-参数说明 参数名称 参数说明 取值样例 序列号 必选参数。 一个AS_Path列表由一个或多个AS_Path规则构成，待过滤路由按照序列号从小到大的顺序进行匹配。请根据需要填写相应的序列号，取值范围为0~65535。 10 匹配模式 必选参数。 AS_Path规则的匹配模式，取值如下： 当匹配上AS_Path规则中的条件，如果该规则的匹配模式是允许，则这条路由被允许通过。 当匹配上AS_Path规则中的条件，如果该规则的匹配模式是拒绝，则这条路由被拒绝通过。 允许 正则表达式 正则表达式就是用一个“字符串”来描述一个特征，然后去验证另一个“字符串”是否符合这个特征。AS_Path规则主要是定义“正则表达式”，然后去匹配BGP路由的AS_Path属性信息，从而实现对BGP路由信息的过滤。 AS_Path正则表达式的详细说明，请参见AS_Path正则表达式说明 65+ 基本信息设置完成后，单击“确定”。 返回AS_Path规则页面，查看刚创建的AS_Path规则。

企业路由器最佳实践场景汇总 企业路由器（Enterprise Router, ER）可以连接虚拟私有云（Virtual Private Cloud, VPC）或本地网络来构建中心辐射型组网，是云上大规格，高带宽，高性能的集中路由器。企业路由器使用边界网关协议（Border Gateway Protocol, BGP），支持路由学习、动态选路以及链路切换，极大的提升网络的可扩展性及运维效率，从而保证业务的连续性。 您可以通过企业路由器和华为云上的其他服务，灵活构建不同的组网，本文档提供典型组网的最佳实践供您参考。 表1 场景说明 组网 场景示例 云服务 说明 云上跨区域组网 通过企业路由器和云连接中心网络实现跨区域VPC互通 企业路由器ER 云连接中心网络 虚拟私有云VPC 弹性 云服务器ECS 为了实现业务的就近接入，XX企业在华为云区域A、区域B以及区域C内均部署了业务，承载业务的不同VPC之间需要网络互通。 在三个区域中，分别创建三个企业路由器ER，包括区域A的ER-A、区域B的ER-B以及区域C的ER-C。 创建云连接中心网络，并在云连接中心网络中加入ER-A、ER-B以及ER-C，连通不同区域的企业路由器。 在区域A内，将VPC-A01和VPC-A02接入ER内，实现同区域内VPC互通。在区域B和区域C进行同样的操作。最终，通过中心网络和企业路由器，实现不同区域的VPC网络互通。 云上同区域组网 通过企业路由器实现同区域VPC隔离 企业路由器ER 虚拟私有云VPC 弹性云服务器E CS XX企业在华为云区域A内部署了4个虚拟私有云VPC，业务A、业务B、业务C分别部署在VPC1、VPC2、VPC3，公共业务部署在VPC4中，网络要求如下： 业务A、业务B以及业务C所在的3个VPC需要隔离，不互通。 业务A、业务B以及业务C都需要和公共业务所在的VPC4互通。 云上同区域组网 通过企业路由器和第三方防火墙实现多VPC互访流量清洗 企业路由器ER 虚拟私有云VPC 弹性云服务器ECS XX企业在华为云区域A内部署了3个虚拟私有云VPC，其中业务A、业务B分别部署在VPC1、VPC2，VPC3部署有第三方防火墙软件。出于安全考虑，要求业务A和业务B互相访问的流量必须通过VPC3中防火墙软件的过滤清洗。 混合云组网 通过企业路由器和中转VPC构建组网 企业路由器ER 云专线DC（虚拟网关VGW） 虚拟专用网络 VPN 虚拟私有云VPC 弹性云服务器ECS 您可以通过企业路由器构建中心辐射型组网，简化网络架构。当前为您提供两种典型组网方案，方案一是将业务VPC直接接入企业路由器，方案二是使用中转VPC，结合VPC对等连接和企业路由器共同构建组网。相比方案一，方案二可以降低成本，并且免去一些限制。 混合云组网 通过企业路由器和云专线构建混合云组网（全域接入网关DGW） 企业路由器ER 云专线DC（全域接入网关DGW） 虚拟私有云VPC 弹性云服务器ECS XX企业在华为云区域A内部署了2个虚拟私有云VPC，这2个VPC需要互相访问，并且通过DC全域接入网关和线下IDC网络互通。 混合云组网 通过企业路由器构建DC双链路负载混合云组网（全域接入网关DGW） 企业路由器ER 云专线DC（全域接入网关DGW） 虚拟私有云VPC 弹性云服务器ECS 云专线（Direct Connect，DC）用于搭建线下IDC和云上虚拟私有云（Virtual Private Cloud，VPC）之间高速、低时延、稳定安全的专属连接通道，您可以通过企业路由器和云专线的全域接入网关，构建满足企业通信的大规模混合云组网。 为了提升混合云组网的网络性能以及可靠性，XX企业同时部署了两条专线DC链路，均可以连通云上VPC和线下IDC的网络。两条DC链路形成负载均衡，当两条DC链路网络均正常，同时工作可提升网络传输能力。当其中一条DC链路故障时，另外一条DC链路可确保整个混合云组网的正常运行，避免了单点故障带来的业务中断。 将VPC1、VPC2以及DC接入企业路由器中，VPC1和VPC2网络互通，并且均可以通过两条DC和线下IDC通信。 当其中一条DC链路故障时，VPC1和VPC2可以通过另外一条DC链路和线下IDC通信。 混合云组网 通过企业路由器构建DC双链路主备混合云组网（全域接入网关DGW） 企业路由器ER 云专线DC（全域接入网关DGW） 虚拟私有云VPC 弹性云服务器ECS 云专线（Direct Connect，DC）用于搭建线下IDC和云上虚拟私有云（Virtual Private Cloud，VPC）之间高速、低时延、稳定安全的专属连接通道，您可以通过企业路由器和云专线的全域接入网关，构建满足企业通信的大规模混合云组网。 为了提升混合云组网的网络可靠性，并且控制成本费用，XX企业同时部署了两条DC链路，均可以连通云上VPC和线下IDC的网络。两条DC链路形成主备，当主链路故障后，可自动切换至备链路，降低了单链路故障导致的业务中断风险。 混合云组网 通过企业路由器构建DC/VPN双链路主备混合云组网（全域接入网关DGW） 企业路由器ER 云专线DC（全域接入网关DGW） 虚拟专用网络VPN 虚拟私有云VPC 弹性云服务器ECS 云专线（Direct Connect，DC）用于搭建线下IDC和云上虚拟私有云（Virtual Private Cloud，VPC）之间高速、低时延、稳定安全的专属连接通道，您可以通过企业路由器和云专线的全域接入网关，构建满足企业通信的大规模混合云组网。 虚拟专用网络（Virtual Private Network，VPN）用于在线下IDC和华为云上VPC之间建立一条安全加密的公网通信隧道。相比通过DC构建混合云，使用VPN更加快速，成本更低。 为了提升混合云组网的可靠性，XX企业同时部署了DC和VPN两条网络链路，均可以连通云上VPC和线下IDC的网络。DC和VPN两条网络链路互为主备，主链路为DC，备链路为VPN，当DC链路故障时，可自动切换到VPN链路，降低网络中断对业务造成的影响。 将VPC1、VPC2以及DC接入企业路由器中，VPC1和VPC2网络互通，并且均可以通过DC和线下IDC通信。 将VPN接入企业路由器中，当主链路DC故障时，VPC1和VPC2可以通过备链路VPN和线下IDC通信。 混合云组网 通过企业路由器连通跨区域的多个IDC网络 企业路由器ER 云专线DC（全域接入网关DGW） 云连接中心网络 云专线（Direct Connect，DC）用于搭建线下IDC和云上虚拟私有云（Virtual Private Cloud，VPC）之间高速、低时延、稳定安全的专属连接通道，您可以通过企业路由器和云专线的全域接入网关，构建满足企业通信的大规模混合云组网。 云连接中心网络基于华为云骨干网络面向客户提供全球网络编排能力，帮助用户便捷、安全的创建和管理云上、云下的全球网络资源。您可以将两个及以上不同区域的企业路由器接入中心网络，构成ER对等连接，实现云上跨区域网络互通。 XX企业在区域A和区域B的线下IDC中均部署了业务，为了快速连通不同区域的线下IDC网络，可以采用以下方案： 在区域A和区域B中，分别创建企业路由器ER-A和ER-B。 创建云连接中心网络，并将ER-A和ER-B加入云连接中心网络，连通两个区域的企业路由器。 在区域A，通过云专线（全域接入网关DGW）将IDC-A接入ER-A。在区域B，采用相同方式将IDC-B接入ER-B，完成线下IDC与ER的网络连接。 混合云组网 通过企业路由器和云专线实现线下IDC和云上VPC互通（虚拟网关VGW） 企业路由器ER 云专线DC（虚拟网关VGW） 虚拟私有云VPC 弹性云服务器ECS XX企业在华为云区域A内部署了2个虚拟私有云VPC，这2个VPC需要互相访问，并且共享同一条云专线DC访问客户线下的IDC。 在区域A内创建一个企业路由器ER，将VPC和DC的虚拟网关接入ER内，ER可以在接入的VPC和虚拟网关之间转发流量，实现2个VPC共享DC。 混合云组网 通过企业路由器构建DC双链路负载混合云组网（虚拟网关VGW） 企业路由器ER 云专线DC（虚拟网关VGW） 虚拟私有云VPC 弹性云服务器ECS 为了提升混合云组网的网络性能以及可靠性，XX企业同时部署了两条专线DC链路，均可以连通云上VPC和线下IDC的网络。两条DC链路形成负载均衡，当两条DC链路网络均正常，同时工作可提升网络传输能力。当其中一条DC链路故障时，另外一条DC链路可确保整个混合云组网的正常运行，避免了单点故障带来的业务中断。 将VPC1、VPC2以及DC接入企业路由器中，VPC1和VPC2网络互通，并且均可以通过两条DC和线下IDC通信。 当其中一条DC链路故障时，VPC1和VPC2可以通过另外一条DC链路和线下IDC通信。 混合云组网 通过企业路由器构建DC/VPN双链路主备混合云组网（虚拟网关VGW） 企业路由器ER 云专线DC（虚拟网关VGW） 虚拟专用网络VPN 虚拟私有云VPC 弹性云服务器ECS 为了提升混合云组网的可靠性，XX企业同时部署了DC和VPN两条网络链路，均可以连通云上VPC和线下IDC的网络。DC和VPN两条网络链路互为主备，主链路为DC，备链路为VPN，当DC链路故障时，可自动切换到VPN链路，降低网络中断对业务造成的影响。 将VPC1、VPC2以及DC接入企业路由器中，VPC1和VPC2网络互通，并且均可以通过DC和线下IDC通信。 将VPN接入企业路由器中，当主链路DC故障时，VPC1和VPC2可以通过备链路VPN和线下IDC通信。 云内网络访问公网 通过企业路由器和NAT网关实现同区域VPC共享SNAT访问公网 企业路由器ER NAT网关 弹性公网IP 虚拟私有云VPC 弹性云服务器ECS XX企业在华为云区域A内部署了4个虚拟私有云VPC，VPC1、VPC2、VPC3需要互相访问，并且可以共享VPC4的SNAT访问公网。 组网迁移 将VPC对等连接组网迁移至企业路由器 企业路由器ER 虚拟私有云VPC 弹性云服务器ECS VPC-A、VPC-B、VPC-C位于区域A，通过对等连接连通三个VPC的网络，为了提升网络可扩展性、降低运维成本，现在需要将这三个VPC的网络迁移至企业路由器上。 组网迁移 将DC直连VPC组网迁移至企业路由器（全域接入网关DGW） 企业路由器ER 云专线DC（全域接入网关DGW） 虚拟私有云VPC 弹性云服务器ECS VPC-X和云专线DC的虚拟网关VGW-A、虚拟接口VIF-A01、虚拟接口VIF-A02位于区域A，通过DC连通VPC-X和线下IDC之间的网络，为了提升混合云组网可靠性并降低维护成本，现在需要将VPC-X和云专线网络迁移至企业路由器上，通过全域接入网关连通线下IDC网络。 组网迁移 将云连接实例直连VPC组网迁移至中心网络和企业路由器 企业路由器ER 云连接（云连接实例） 云连接（中心网络） 虚拟私有云VPC 弹性云服务器ECS 当前组网中，通过云连接实例连通区域A、区域B以及区域C内的VPC网络，为了提升组网的可扩展性，并降低维护难度，现在需要将VPC迁移到企业路由器中，并通过中心网络连通不同区域的企业路由器。 如果您需要连通云上VPC和线下IDC构建混合云组网，则推荐您使用企业路由器和云专线的全域接入网关DGW。 从2024年5月份开始，通过企业路由器和云专线的虚拟网关VGW构建混合云组网的功能不再支持新增组网，只针对存量组网进行维护。

操作步骤 在区域A内，创建3个VPC。 创建VPC及子网，具体方法请参见创建虚拟私有云和子网。 本示例中的VPC和子网资源规划详情请参见表10。 在区域A内，创建3个ECS。 创建ECS，具体方法请参见自定义购买ECS。 本示例中的ECS1和ECS2资源规划详情请参见表11。 本示例中的ECS3需要两个网卡，资源规划详情请参见表12。 ECS3创建完成后，进入ECS3详情页，在“弹性网卡”页签下，关闭第二个网卡（eth1）的“源/目的检查”，以确保从eth1出来的流量不会被拦截。 在ECS3中安装第三方防火墙。 您可以自行安装或者通过华为云商店购买第三方防火墙。

操作流程 本文档介绍如何通过企业路由器构建同区域VPC互通组网，流程如图2所示。 图2 构建同区域VPC互通组网流程图 表1 构建同区域VPC互通组网流程说明 步骤 说明 步骤一：规划组网和资源 规划组网和资源，包括资源数量及网段信息等。 步骤二：创建企业路由器 创建1个企业路由器，构建一个同区域组网只需要1个企业路由器。 步骤三：(可选) 创建VPC和ECS资源 创建4个虚拟私有云VPC和4个弹性云服务器ECS。此处资源数量和规格均为示例，您可以根据实际情况调整。 如果您已有资源，不用执行本章节操作。 步骤四：在企业路由器中添加VPC连接 将4个VPC分别接入企业路由器中。 步骤五：（可选）在VPC路由表中配置路由 在VPC路由表中配置到企业路由器的路由信息。 如果您在创建连接时开启“配置连接侧路由”选项，则不用手动在VPC路由表中配置静态路由，系统会在VPC的所有路由表中自动添加指向ER的路由，目的地址固定为10.0.0.0/8，172.16.0.0/12，192.168.0.0/16。 如果VPC路由表中的路由与这三个固定网段冲突，则会添加失败。此时建议您不要开启“配置连接侧路由”选项，并在连接创建完成后，手动添加路由。 步骤六：验证网络互通情况 登录ECS，执行ping命令，验证网络互通情况。

方案架构 XX企业在华为云区域A内部署了4个虚拟私有云VPC，这4个VPC之间需要互相访问。 在区域A内创建一个企业路由器ER，将VPC接入ER内，ER可以在4个VPC之间路由流量，实现网络互通。 图1 同区域VPC互通组网 本文档指导用户通过企业路由器快速构建同区域组网，实现同区域VPC互通。 您可以使用企业路由器的共享功能，将不同账号下的虚拟私有云添加至同一个企业路由器中构建组网。 企业路由器可以和云专线、云连接、NAT网关组合使用构建不同组网，具体请参见企业路由器最佳实践。

操作步骤 进入企业路由器列表页面。 单击页面右上角的“创建企业路由器”。 进入“创建企业路由器”页面。 图1 创建企业路由器 根据界面提示，配置企业路由器的基本信息，如表1所示。 表1 创建企业路由器-参数说明 参数名称 参数说明 取值样例 区域 选择靠近业务的区域，不可修改。 华北-北京一 可用区 选择两个可用区部署企业路由器。 可用区1 可用区2 企业项目 将企业路由器加入已有的企业项目内，支持修改。 default 名称 企业路由器名称，支持修改。 er-test-01 ASN 根据网络规划指定自治系统编号，不支持修改。 64800 默认路由表关联 开启“默认路由表关联”功能，可以免去创建路由表、创建关联等操作，支持修改。 开启 默认路由表传播 开启“默认路由表传播”功能，可免去创建路由表、创建传播、添加路由等操作，支持修改。 开启 自动接受共享连接 关闭“自动接受共享连接”功能，接受者创建的连接需要所有者审批，所有者接受后才会创建。 关闭 标签 为企业路由器绑定标签，用来标识资源，支持修改。 “标签键”：test “标签值”：01 描述 该企业路由器的描述信息，支持修改。 - 基本信息设置完成后，单击“立即创建”。 在产品配置信息确认页面，再次核对企业路由器信息，确认无误后，单击“提交”。 返回企业路由器列表页面。 在企业路由器列表页面，查看企业路由器状态。 待状态由“创建中”变为“正常”，表示企业路由器创建完成。

监控指标 通过 云监控服务 ，您可以监控企业路由器实例以及企业路由器连接的网络情况。 企业路由器实例支持的监控指标 企业路由器连接支持的监控指标 表1 企业路由器实例支持的监控指标 指标ID 指标名称 指标含义 取值范围 单位 进制 测量对象（维度） 监控周期（原始指标） instance_bytes_in 入方向流量 该指标用于统计企业路由器实例入方向的网络流量。 ≥ 0 Byte 1024(IEC) er_instance_id 1分钟 instance_bytes_out 出方向流量 该指标用于统计企业路由器实例出方向的网络流量。 ≥ 0 Byte 1024(IEC) er_instance_id 1分钟 instance_bits_rate_in 入方向带宽 该指标用于统计企业路由器实例入方向，每秒接收的比特数。 ≥ 0 bit/s 1000(SI) er_instance_id 1分钟 instance_bits_rate_out 出方向带宽 该指标用于统计企业路由器实例出方向，每秒发送的比特数。 ≥ 0 bit/s 1000(SI) er_instance_id 1分钟 instance_packets_in 入方向PPS 该指标用于统计企业路由器实例入方向，每秒接收的数据包数。 ≥ 0 pps 1000(SI) er_instance_id 1分钟 instance_packets_out 出方向PPS 该指标用于统计企业路由器实例出方向，每秒发送的数据包数。 ≥ 0 pps 1000(SI) er_instance_id 1分钟 instance_packets_drop_blackhole 黑洞路由丢弃包数量 该指标用于统计企业路由器实例中，由于黑洞路由导致的丢包数量。 ≥ 0 Count 不涉及 er_instance_id 1分钟 instance_packets_drop_noroute 无匹配路由丢弃包数量 该指标用于统计企业路由器实例中，由于路由无法匹配导致的丢包数量。 ≥ 0 Count 不涉及 er_instance_id 1分钟 表2 企业路由器连接支持的监控指标 指标ID 指标名称 指标含义 取值范围 单位 进制 测量对象（维度） 监控周期（原始指标） attachment_bytes_in 入方向流量 该指标用于统计企业路由器连接入方向的网络流量。 ≥ 0 Byte 1024(IEC) er_instance_id,er_attachment_id 1分钟 attachment_bytes_out 出方向流量 该指标用于统计企业路由器连接出方向的网络流量。 ≥ 0 Byte 1024(IEC) er_instance_id,er_attachment_id 1分钟 attachment_bits_rate_in 入方向带宽 该指标用于统计企业路由器连接入方向，每秒接收的比特数。 ≥ 0 bit/s 1000(SI) er_instance_id,er_attachment_id 1分钟 attachment_bits_rate_out 出方向带宽 指标用于统计企业路由器连接出方向，每秒发送的比特数。 ≥ 0 bit/s 1000(SI) er_instance_id,er_attachment_id 1分钟 attachment_packets_in 入方向PPS 该指标用于统计企业路由器连接入方向，每秒接收的数据包数。 ≥ 0 pps 1000(SI) er_instance_id,er_attachment_id 1分钟 attachment_packets_out 出方向PPS 该指标用于统计企业路由器连接出方向，每秒发送的数据包数。 ≥ 0 pps 1000(SI) er_instance_id,er_attachment_id 1分钟 attachment_packets_drop_blackhole 黑洞路由丢弃包数量 该指标用于统计企业路由器连接中，由于黑洞路由导致的丢包数量。 ≥ 0 Count 不涉及 er_instance_id,er_attachment_id 1分钟 attachment_packets_drop_noroute 无匹配路由丢弃包数量 该指标用于统计企业路由器连接中，由于路由无法匹配导致的丢包数量。 ≥ 0 Count 不涉及 er_instance_id,er_attachment_id 1分钟 对于有多层测量维度的测量对象，使用接口查询监控指标时，需要代入具体指标的维度层级关系。 例如，需要查询企业路由器连接的入方向流量attachment_bytes_in），该指标的维度信息为“er_instance_id,er_attachment_id”，表示er_instance_id为0层，er_attachment_id为1层。 通过API查询单个监控指标时，mount_point的维度信息代入样例如下： dim.0=er_instance_id,d9f7b61f-e211-4bce-ac5f-2b76f3d0cf1d&dim.1=er_attachment_id,659614a0-e559-46c0-86ca-00c03c3d61b8 其中，d9f7b61f-e211-4bce-ac5f-2b76f3d0cf1d和659614a0-e559-46c0-86ca-00c03c3d61b8分别为er_instance_id和er_attachment_id的维度值，具体获取方法请参见“维度”表格中的获取指导。 通过API批量查询监控指标时，mount_point的维度信息代入样例如下： "dimensions": [ { "name": "er_instance_id", "value": "d9f7b61f-e211-4bce-ac5f-2b76f3d0cf1d" }, { "name": "er_attachment_id", "value": "659614a0-e559-46c0-86ca-00c03c3d61b8" } ] 其中，d9f7b61f-e211-4bce-ac5f-2b76f3d0cf1d和659614a0-e559-46c0-86ca-00c03c3d61b8分别为er_instance_id和er_attachment_id的维度值，具体获取方法请参见“维度”表格中的获取指导。

功能说明 本节定义了企业路由器上报给 云监控 服务的监控指标信息，包括命名空间、监控指标列表和测量维度，您可以通过云监控提供的管理控制台或API接口来检索企业路由器产生的监控指标和告警信息。 云监控服务最大支持4个层级维度，维度编号从0开始，编号3为最深层级。例如监控指标中的维度信息为“er_instance_id,er_attachment_id”时，表示对应的监控指标的维度存在层级关系，且“er_instance_id”为0层，“er_attachment_id”为1层。

流日志 通过流日志功能可以实时记录企业路由器中连接的流量日志信息。通过这些日志信息，您可以监控连接的网络流量、进行网络攻击分析等，帮助您实现高效的网络运维。 企业路由器流日志功能支持采集以下连接的流日志： “虚拟私有云（VPC）”连接：该连接表示将虚拟私有云接入企业路由器。基于此连接，流日志功能可以采集到VPC和企业路由器内其他连接通信的流日志数据。 “虚拟网关（VGW）”连接：该连接表示将云专线的虚拟网关接入企业路由器。通过云专线构建混合云网络，基于此连接，流日志功能可以采集到线下IDC和云上网络通信的流日志数据。 “VPN网关（VPN）”：该连接表示将虚拟专用网络的VPN网关接入企业路由器。通过VPN构建混合云网络，基于此连接，流日志功能可以采集到线下IDC和云上网络通信的流日志数据。 “对等连接（Peering）”连接：该连接表示通过云连接中心网络，连通不同区域企业路由器网络。基于此连接，流日志功能可以采集不同企业路由器通信的流日志数据。 “全域接入网关（DGW）”连接：该连接表示将云专线的全域接入网关接入企业路由器。通过云专线构建混合云网络，基于此连接，流日志功能可以采集到线下IDC和云上网络通信的流日志数据。 更多信息请参见流日志概述。