华为云用户手册

1.27版本集群停止维护公告 发布时间：2025/05/13 华为云CCE集群1.27版本即将于2025/10/30 00:00（北京时间）正式停止维护，届时针对CCE集群1.27以及之前的版本，华为云将不再支持新集群创建。若您账号下存在1.27及之前的集群版本，为了保证您的服务权益，建议尽快升级到最新的商用版本。 关于如何升级集群，请参见CCE集群升级指导。 关于CCE集群的版本机制，请参见Kubernetes版本策略。 父主题： 集群版本公告

步骤五：通过远程方式使用应用程序/灵动球/ 云存储 在Home页界面，通过远程方式使用应用程序 当前用户只有云应用时 当前用户既有云应用又有 云桌面 时 在Home页界面，通过远程方式使用灵动球 单击打开应用，如：打开记事本。 查看应用的灵动球。 单击灵动球下的图标，查看性能数据视图，具体数据如表1所示。 表1 性能数据视图 性能指标 指标类型 指标定义 资源负载 云端 云应用服务器的CPU和内存利用率。 本地 本地电脑端的CPU和内存利用率。 网络数据 网络时延 应用在使用过程中，网络数据在传输过程中所需的时间延迟。 E2E时延 客户端到服务端的时延。 帧率 应用使用过程中显示的帧率大小。 网络丢包 在连接应用使用过程中，测试网络时所丢失数据包数量占所发送数据包的比率。 网络抖动 应用在使用过程中，网络的最大延迟与最小延迟的时间差。 上行流量 应用在使用过程中的发送流量。 下行流量 应用在使用过程中的接收流量。 在Home页界面，通过远程方式使用云存储 单击打开云存储。 双击进入文件夹可以进行上传、新建文件夹操作。 用户登录应用后，在云应用服务器上打开C:\Users\用户名目录下查看对应的目录。

步骤五：通过远程方式使用应用程序/灵动球/云存储 在Home页界面，通过远程方式使用应用程序 当前用户只有云应用时 当前用户既有云应用又有云桌面时 在Home页界面，通过远程方式使用灵动球 单击打开应用，如：打开记事本。 查看应用的灵动球。 单击灵动球下的图标，查看性能数据视图，具体数据说如表1所示。 表1 性能数据视图 性能指标 指标类型 指标定义 资源负载 云资源负载 APS服务器的资源负载 端资源负载 本地电脑端的资源负载 网络数据 E2E时延 客户端到服务端的时延 帧率 应用使用过程中显示的帧率大小 网络时延 应用在使用过程中，网络数据在传输过程中所需的时间延迟。 网络丢包 在连接应用使用过程中，测试网络时所丢失数据包数量占所发送数据包的比率。 网络抖动 应用在使用过程中，网络的最大延迟与最小延迟的时间差。 上行流量 应用在使用过程中的发送流量 下行流量 应用在使用过程中的接收流量 在Home页界面，通过远程方式使用云存储 单击打开云存储。 双击进入文件夹可以进行上传、新建文件夹操作。 用户登录应用后，在云应用服务器上打开C:\Users\用户名目录下查看对应的目录。

安全策略 配置安全策略，策略内容如表2所示。 表2 安全策略 策略类型 策略参数 策略说明 取值样例 显示安全 防截屏策略 策略开启后，防止用户在云应用客户端截屏保存本地及分享。 启用防截屏策略开关。 关闭防截屏策略开关。 说明： 仅支持windows客户端、mac客户端（支持24.6.3版本及以上）、Linux瘦终端，开启后其他终端会禁止接入。 防截屏策略基于终端用户本地操作系统的底层能力实现，因此各类客户端对该策略的支持程度有所差别。 随着操作系统的发展，可能会出现截屏和录屏的新方法，我们会持续更新和优化策略，但不能保证在特殊环境下提供全面的保护。 会话 无键鼠事件自动断开 自动断开：客户端中无键鼠操作超过设置的等待时间后，将自动断开与服务器的连接，关闭应用。 已禁用：关闭自动断开功能禁用。 自动断开 等待时间（分钟） 无键鼠事件自动断开的等待时间设置。配置范围：3~86400 15 自动注销 开启无键鼠事件自动断开功能后，可配置在断开多久后自动注销会话。 会话断连保留时长（分钟） 无键鼠事件自动断开功能开启后，自动断开连接后，等待设置的会话保留时长后，自动注销会话。配置范围：1~86400。 60 数据安全 双向重定向 启用后最终用户可以在云应用中复制数据并在本地桌面中粘贴，同时也可以在本地桌面中复制数据后在云应用中粘贴。 文件重定向： 固定驱动器 可移除驱动器 光盘驱动器 网络驱动器 只读，对驱动器和存储设备中的文件只可以预览。 读写，对驱动器存储设备中的文件可编辑修改。 在云应用环境下实现对驱动器的支持，用户可以在虚拟机中通过文件重定向方式使用驱动器。 文件发送（虚拟机至客户端） ：启用文件发送开关。 ：关闭文件发送开关。 流控开关 ：启用流控开关。 ：关闭流控开关。 网络优的延时阈值（ms） 网络优良时的延时阈值，取值范围1~1000。 30 网络一般的延时阈值（ms） 网络一般时的延时阈值，取值范围1~1000。 70 网络差的延时阈值（ms） 网络较差时的延时阈值，取值范围1~1000。 100 降速步伐（KB） 降低传输速度的步伐，取值范围1~100。 20 慢增速步伐（KB） 慢增加传输速度的步伐，取值范围1~100。 10 快增速步伐（KB） 快增加传输速度的步伐，取值范围1~100。 20 传输初始速度（KB/s） 初始的开始传输速度，取值范围1~10240。 1024 测速块大小（KB） 测试速度的数据块大小，取值范围64~1024。 64 测速块时间间隔（ms） 发送测试数据块的时间间隔，取值范围1000~100000。 10000 压缩开关 ：启用压缩开关。 ：关闭压缩开关。 压缩阈值（Byte） 取值范围0~10240。 512 最小压缩率 取值范围0~1000。 900 Linux支持设置文件大小 ：启用Linux支持设置文件大小。 ：关闭Linux支持设置文件大小。 Linux设置文件大小阈值（MB） 取值范围0~4096。 100 Linux根目录挂载开关 ：启用Linux根目录挂载。 ：关闭Linux根目录挂载。 Linux根目录挂载路径 启用Linux根目录挂载时需配置挂载路径。最长256个字符，字符串格式UTF-8。 \var\log Linux文件系统挂载路径 最长256个字符，字符串格式UTF-8。 \media|\Volumes|\swdb\mnt|\home|\storage|\tmp|\run\media Linux固定驱动器文件系统格式 最长256个字符，字符串格式UTF-8。 - Linux可移动驱动器文件系统格式 最长256个字符，字符串格式UTF-8。 vfat|ntfs|msdos|fuseblk|sdcardfs|exfat|fuse.fdredir Linux光盘驱动器文件系统格式 最长256个字符，字符串格式UTF-8。 cd9660|iso9660|udf Linux网络驱动器文件系统格式 最长256个字符，字符串格式UTF-8。 smbfs|afpfs|cifs 路径分隔符 单个ASCII字符。 | 读写速度（Kbps） 范围大小为0~2147483647之间。 0 移动客户端重定向 ：启用移动客户端重定向。 ：关闭移动客户端重定向。 剪贴板重定向 开启双向：启用后最终用户可以在云应用客户端复制数据并在本地桌面中粘贴，同时也可以在本地桌面中复制数据后在云应用客户端中粘贴。 服务端到客户端：启用后最终用户只支持在云应用客户端中复制数据并在本地桌面中粘贴。 客户端到服务端：启用后，只支持在本地桌面中复制数据并在云应用客户端中粘贴。 纯文本长度限制 允许服务端到客户端拷贝，范围为1~4096个字符。 允许客户端到服务端拷贝，范围为1~4096个字符。 说明： 仅在客户端（TC/SC）操作系统和云应用操作系统均为Windows时，支持富文本拷贝、文件拷贝，且最多同时可拷贝500个文件。 当客户端（TC/SC、移动客户端）操作系统为其他时，只支持纯文本格式拷贝，不支持文件拷贝。 开启双向 纯文本长度限制 允许服务端到客户端拷贝，范围为1~4096个字符。 允许客户端到服务端拷贝，范围为1~4096个字符。 说明： 仅在客户端（TC/SC）操作系统和云应用操作系统均为Windows时，支持富文本拷贝、文件拷贝，且最多同时可拷贝500个文件。 当客户端（TC/SC、移动客户端）操作系统为其他时，只支持纯文本格式拷贝，不支持文件拷贝。 - 剪切板富文本重定向 开启双向：启用后最终用户可以在云应用客户端复制富文本并在本地桌面中粘贴，同时也可以在本地桌面中复制富文本后在云应用客户端中粘贴。 服务端到客户端：启用后最终用户只支持在云应用客户端中复制富文本并在本地桌面中粘贴。 客户端到服务端：启用后，只支持在本地桌面中复制富文本并在云应用客户端中粘贴。 说明： 富文本：指包含了格式信息的文本，比如字体样式（粗体、斜体等）、颜色、超链接、图像、表格等多媒体元素。 开启双向 剪切板文件重定向 开启双向：启用后最终用户可以在云应用客户端复制文件并在本地桌面中粘贴，同时也可以在本地桌面中复制文件后在云应用客户端中粘贴。 服务端到客户端：启用后最终用户只支持在云应用客户端中复制文件并在本地桌面中粘贴。 客户端到服务端：启用后，只支持在本地桌面中复制文件并在云应用客户端中粘贴。 开启双向

显示与连接 显示与连接策略配置如表1所示。 表1 显示及连接策略 策略类型 策略参数 策略说明 取值样例 显示 显示策略等级 等级1：适用于512Kbps以下的网络带宽，仅用于浏览文本文档等轻载办公场景，显示质量较低。 等级2：适用于1Mbps以下的网络带宽，仅用于浏览文本文档及静态图片等轻载办公场景，显示质量略优于等级1。 等级3：适用于4Mbps以下的网络带宽，可用于浏览文档、图片、动态网页等中载办公场景。 等级4（推荐）：适用于20Mbps以下的网络带宽，可用于流畅播放标清/高清视频，显示质量与占用带宽达到更佳平衡。 等级5：适用20Mbps以上的网络带宽，视频播放效果最优。 等级4（推荐） 显示帧率 （fps） 非视频场景下的画面刷新率。该值越大，则画面与操作越流畅，但所需的网络带宽以及虚拟机的CPU占用率也会随之升高。取值范围1~60，推荐配置为15~25。 60 视频帧率（fps） 视频场景下的画面刷新率。该值越大，则视频播放越流畅，但所需的网络带宽以及虚拟机的CPU占用率也会随之升高。 60 带宽（Kbps） 单用户峰值带宽限制，取值范围256~25000。 20000 图像压缩参数 图像缓存最低容量（MB） 进行图像缓存时的缓存容量的大小，单位MB。值越大，带宽越低，但会消耗客户端内存。设定值小于50时，缓存功能停用。取值范围0~300。 200 有损压缩识别阈值 图像复杂度的判别阈值。该值越小，图像越倾向于无损画质，清晰度越高，但对网络带宽要求也相应升高，反之亦然，取值范围0~255。 60 无损压缩模式 选择无损图像压缩算法，“初级压缩”的压缩率较低，CPU占用也低；而“深度压缩”则相反，压缩率较高，但CPU占用也略微升高。 初级压缩 深度压缩级别 该项在选择“深度压缩”后生效。压缩级别越高，意味着压缩比越高，带宽占用越低，而CPU占用越高。0级压缩表示原图拷贝，无压缩，CPU占用最低，但带宽占用最高。 压缩级别0 有损压缩质量 该项用于设置有损压缩的图像质量。取值越大，画质越好。取值范围20~100。 85 办公场景色彩增强 该项用于办公场景色彩增强。 ：启用办公场景色彩增强。 ：禁用办公场景色彩增强。 视频压缩参数 质量或带宽优先 质量优先：选择质量优先，则以固定质量压缩视频画面。“视频平均码率”不生效，仅在启用“渲染加速”后生效。 带宽优先：选择带宽优先，则以恒定码率压缩视频画面。 “视频平均质量”、“视频最低质量”、“视频最高质量”不生效，仅在启用“渲染加速”后生效。 带宽优先 视频平均码率（Kbps） 视频压缩算法参数。在带宽优先模式下，该值越大，视频质量越好。取值范围256~100000。 18000 视频峰值码率（Kbps） 视频压缩算法参数。该值越大，视频质量越好。取值范围256~100000。 18000 视频平均质量 视频画面的平均质量系数。在质量优先模式下，该值越大，视频质量越差。取值范围5~59。 15 视频最低质量 视频画面的质量下限。在质量优先模式下，该值越大，视频质量越差。取值范围5~69。 25 视频最高质量 视频画面的质量上限。在质量优先模式下，该值越大，视频质量越差。取值范围1~59。 7 GOP大小 视频压缩算法参数。该值越小，视频质量越好，但带宽占用越大，推荐设为视频帧率的1~2倍。取值范围0~65535。 100 编码预置 视频压缩算法参数。该值越小，编码速度越快，流畅度越好，但图像质量越差，带宽越大。 预置1 渲染加速 渲染加速 ：选择后启用渲染加速模式，提高显示流畅度。 ：未选择则禁用渲染加速。 视频加速增强配置 ：启用视频加速增强配置。 ：禁用视频加速增强配置。 视频场景优化 ：启用视频场景优化，提高视频场景的显示流畅度。 ：禁用视频场景优化。 GPU色彩优化 ：启用GPU色彩优化，在视频/办公混合场景中提高色彩还原度。 ：禁用GPU色彩优化。 说明： 该参数仅针对GPU桌面。 其他参数 显卡缓存（MB） 设备表面内存容量，取值范围0~64，影响部分场景带宽，值越大，带宽越低。 64 驱动托管模式 ：启用驱动托管模式。 ：禁用驱动托管模式。 驱动托管延时（*30ms） 取值范围1~100。 80 驱动托管视频延时（*30ms） 取值范围1~100。 80 计算机修改分辨率 ：启用计算机修改分辨率策略后，终端用户可在云应用客户端中通过系统设置的方式修改云应用客户端显示分辨率。 ：禁用计算机修改分辨率，终端用户不能通过系统设置的方式修改显示分辨率。 连接 自动重连间隔（秒） 在云应用客户端异常断开连接后，每隔多长时间尝试连接一次。取值范围为1~50。 5 自动重连会话保持时长（秒） 在云应用客户端异常断开连接后，自动重连最多尝试的时间。取值范围为0~180。 180

事件监控支持的事件列表 表1 云应用支持监控的事件 事件名称 事件ID 事件级别 事件说明 处理建议 事件影响 应用服务器心跳异常 appServerStatusAbnormal 重要 一般是由于应用服务器网络不通、密钥丢失、应用服务器代理进程异常等原因。 重启应用服务器。 确认应用服务器是否有安装特殊的安全软件或网络连通软件，如有安装，请卸载后重启或卸载后重新安装HDPAgent在重启。 应用服务器无法使用。 应用接入失败 appAccessFailed 重要 一般是客户端网络不通、AD网络不通、AD访问超时等原因导致。 使用管理员账号登录云应用Console。 选择“应用记录”菜单，在“应用使用记录”页签，按照登录用户账号查询用户的应用打开记录。 如果链接失败原因显示“authenticate failed”,则可能是访问AD服务器认证失败，请检查AD服务器的网络链接和运行状态是否正常。 如果AD服务器的网络或者运行状态异常，请修复AD服务器或者更换其他区域接入。 无法接入应用。

操作步骤 单击伙伴发送的邀请链接。 阅读《客户关联华为云合作伙伴须知》，并勾选“我已经阅读并同意”。 《客户关联华为云合作伙伴须知》和客户的关联模式有关。 关联合作伙伴。 注册新的华为云账号并关联。 单击“注册并关联”，进入注册账号页面。 设置密码、手机号等信息后，输入短信验证码，单击“注册”。 请使用伙伴报备时提供的手机号注册。 使用已注册的华为云账号关联。 单击“已有账号，登录后关联”。 单击”我了解啦“，进入登录页面，输入账号名和密码，单击“登录”。 若您存在同名的华为云账号和华为账号，请您选择华为云账号进行登录。 若您已存在华为云账号，登录后即表示成功关联伙伴，无须再进行其他步骤。 勾选“我已阅读并同意《华为云用户协议》和《隐私政策说明》，同时我同意华为云从华为账号服务获取我的下述个人信息：华为账号名、手机号、邮件地址、注册国家/地区、账号标识和状态信息。若不同意，可点击取消开通华为云。”后，单击“开通并关联”，成功开通华为云后方可关联成功。

申请关联合作伙伴及关联的注意事项 客户线下联系合作伙伴，获取邀请链接或者二维码，通过复制链接到浏览器或者扫描二维码，完成注册和关联合作伙伴。 注意事项如下： 以下客户不能关联合作伙伴： 客户在国际站注册； 客户已关联其他合作伙伴； 客户是解决方案提供商或者云经销商伙伴； 客户已被华为云报备； 客户已经或者正在加入政府补贴类计划； 客户已加入华为云奖励推广计划； 客户为消费者云用户； 客户注册时间超过7天或者存在现金消费不能直接关联合作伙伴，需要先联系合作伙伴完成报备后再关联。 客户华为云账号有欠费，客户需充值还款后再关联伙伴； 客户账号为财务托管企业子（资源账号或云账号）账号。 以下客户不能以代售模式关联合作伙伴： 客户已与华为云签署指定合同（线下直签合同、电销授权合同折扣、直签特价商务、专业服务合同）等； 客户存在未失效预留实例； 客户华为云账号有欠票金额； 客户账户中有未消费完的储值卡，客户需消费完储值卡后再关联伙伴； 客户账号为关联非财务托管企业子账号的企业主账号，若企业主账号想要以代售模式关联合作伙伴，需要先解除与非财务托管企业子账号的关联关系才能以代售模式关联合作伙伴； 客户账号为非财务托管企业子账号； 客户账号还有充值赠送的余额没有使用，客户需使用完充值赠送的余额后再关联伙伴； 客户以代售模式关联合作伙伴时，原账户余额、代金券、现金券及信用处理规则如下： 客户可以自行申请提现操作。 客户名下的代金券在关联伙伴之后仍可继续使用，未用完的现金券将会被华为云回收。 客户直客身份下的信用在关联伙伴之后将会自动回收。 父主题： 如何申请关联合作伙伴

注意事项 一个订单只能使用一张代金券。支付订单时，如果有多张代金券可用，勾选您要使用某张代金券，或单击“取消”选择不用代金券。 一张代金券支付完订单后，如果仍有余额，在代金券有效期内，余额可下次使用。如果代金券金额不够支付订单，需要用现金账号补充支付。 包年/包月类型的代金券仅在订购包年包月产品时使用；按需类型的代金券仅用于按使用量计费的产品，从账户中扣取按需费用时会优先抵扣代金券；通用券既能用于包年包月产品，也能用于按需产品。 代金券仅适用于 华为云产品 ，不适用于云商店产品，具体以代金券适用说明为准。 代金券不能用来核销欠费。 仅支持查询失效时间是6个月内的代金券。 设置了“订单折扣限制”的代金券不适用于享受了商务授权折扣的产品。

支持审计的关键操作列表 表1 云审计 服务支持的子客户操作列表 操作名称 资源类型 事件名称 邀请日志记录 csbchannelsales addBpInviteTraceLog 邀请用户入驻处理 csbchannelsales customerEnter 客户确认委托 csbchannelsales confirmCustomerAgentAuthorizationApply 线上申请解除关联与关联模式变更 csbchannelsales applyUnbindOrSwitchCooperation 线上授权审批和确认 csbchannelsales approvePartnerOrCustomerApply 申请伙伴代付 csbchannelsales applyPartnerPayment 导入政府补贴申请的客户白名单列表 csbchannelsales importCustomerWhiteList 设置政府补贴伙伴的客户白名单是否有效 csbchannelsales deactiveCustomerWhiteList 导出项目申请 csbchannelsales exportGsProjectApplication 客户确认或拒绝委托申请 csbchannelsales confirmCustomerAgentAuthorizationApply 线上申请解除关联与关联模式变更 csbchannelsales applyUnbindOrSwitchCooperation 线上授权审批和确认 csbchannelsales approvePartnerOrCustomerApply

操作步骤 使用手机扫描伙伴发送的二维码。 阅读《客户关联华为云合作伙伴须知》，并勾选“我已经阅读并同意”。 仅关联合作伙伴成为代售模式客户需要执行此步骤。 关联合作伙伴。 注册新的华为云账号并关联。 单击“同意”。 输入手机号码，获取并输入短信验证码，单击“下一步”。 设置密码，单击“完成”。 勾选“我已阅读并同意《华为云用户协议》、《隐私政策说明》、《客户关联华为云合作伙伴须知》以及《伙伴关联条款》，同时我同意华为云从华为账号服务获取我的下述个人信息：华为账号名、手机号、邮件地址、注册国家/地区、账号标识和状态信息。若不同意，可点击取消开通华为云。”后，单击“开通”，成功开通华为云后方可关联成功。 使用已注册的华为云账号关联。 单击“已有账号，登录后关联”。 进入登录页面，输入用户名和密码，单击“登录”。

华为云合作伙伴能力认证徽章使用指引 华为云合作伙伴能力认证徽章使用指引 一、 适用范围 本使用指引适用于已获得能力认证徽章授权的中国境内合作伙伴。 二、 定义 合作伙伴能力认证徽章是华为云授予合作伙伴的能力认证标记，使伙伴在面向市场和客户拓展时，直观展现其在产品技术、服务和综合能力等多方面的专业技能和成功经验。 能力认证徽章示例 三、 使用资格 只有符合《华为云合作伙伴能力计划》规定要求，并通过华为云审批的合作伙伴才被授予能力认证徽章。合作伙伴对能力认证徽章享有在中国境内、非排他性、不可转让、有限的一般使用的许可授权。 四、 能力认证徽章使用须知 合作伙伴必须依据《华为云合作伙伴认证协议》的相关条款及本指引相关要求，使用能力认证徽章，如果对使用资格和要求存有疑议，请联系接口的华为云合作伙伴经理寻求指导。 合作伙伴使用能力认证徽章时，必须保证徽章的完整性和一致性，不允许拆解、变换徽章的元素单独使用，不允许改变徽章的比例，必须遵循：《能力认证徽章授权使用规范》。 能力认证徽章使用规范示意 合作伙伴使用能力认证徽章辅助宣传本公司及产品时，应注意聚焦自己的公司及产品，能力认证徽章不应喧宾夺主，故意突出能力认证徽章。在任何宣传活动中，合作伙伴应明确所有的宣传行为是合作伙伴自己的行为，与华为云无关，由合作伙伴承担宣传行为的一切后果。未经华为云事前书面授权，合作伙伴不得使用 “华为云”及其关联公司的品牌、名称及商标。 合作伙伴应当按照本指引的规定、华为云授权的能力标签内容及范围使用能力认证徽章。合作伙伴在任何场景下不得夸大与华为云的合作内容、合作范围和合作层级，更不能向第三方明示或暗示与华为云有超出华为云合作伙伴能力计划之外的合作关系，如： “华为云”及其关联公司是合作伙伴的促销活动赞助方等等。 在使用能力认证徽章时，合作伙伴不得进行任何可能影响或损害 “华为云”及其关联公司声誉的行为，包括但不限于贬低 “华为云”及其关联公司的产品、服务或其合作伙伴，否则华为云有权立即取消对合作伙伴能力认证徽章的授予并要求其承担相应的赔偿责任。 合作伙伴须遵从如下规定使用能力认证徽章： 合作伙伴官网 若同时满足如下条件，合作伙伴可在授权范围内使用能力认证徽章： 合作伙伴的官网内容、营销物料、展览展示物料等须符合法律法规规定，确保在该等物料上使用能力认证徽章，不会导致华为云及其关联公司可能遭受任何负面影响或者损失； 合作伙伴仅能在自身的官网、营销物料、展览展示物料合法使用能力认证徽章，不得在任何第三方或者他方的官网、物料、宣传活动或者营销素材里使用能力认证徽章； HCPN合作伙伴可以使用华为云能力认证徽章，向伙伴的客户展现其在产品技术、服务和综合能力等多方面的专业技能和成功经验，获得客户的认可。 但是华为云能力认证徽章和HCPN合作伙伴徽章二者不得同时使用，合作伙伴需参考《能力认证徽章授权使用规范》使用。 需注意不要将能力认证徽章与您的标志并排使用或位于您 LOG O的上方。 合作伙伴营销物料 合作伙伴的展览展示物料 合作伙伴的营销邮件 若同时满足如下条件，合作伙伴可在营销邮件内使用能力认证徽章： 合作伙伴的营销邮件内容以及电子邮件营销活动及其方式须符合法律法规规定，确保在该等物料上使用能力认证徽章，不会导致华为云及其关联公司可能遭受任何负面影响或者损失； 合作伙伴仅能在自身的营销邮件合法使用能力认证徽章，不得在任何第三方或者他方的营销邮件里使用能力认证徽章； 合作伙伴需参考《能力认证徽章授权使用规范。》 需注意不可用于邮件签名中 线下广告/线上广告 受限使用（合作伙伴不得使用能力认证徽章除非获得华为云的事前明确授权）。线下广告包括但不限于：地铁广告、户外大牌、机场广告、Print广告及电视广告的物料。线上广告包括但不限于：信息流、SEM、APP开屏广告等。使用前请通过您的合作经理向华为云提交审核申请。 社交媒体 不允许使用。不得使用华为云能力认证徽章或者HCPN合作伙伴徽章作为伙伴社交媒体的头像或标识。如需在用在社交媒体上推广的营销资料，合作伙伴需遵从本指引有关规定使用。 促销物品 不允许使用。 如超出以上使用场景，请联系接口的华为云合作伙伴经理寻求指导。 7.华为云有权随时审核合作伙伴提交的有关信息（包括但不限于即将发布的产品网址链接、营销物料），以确保合作伙伴符合本使用指引及华为云品牌规范的要求。 本指引自发布之日起生效，有效期【1】年，由华为云进行解释和维护。 父主题： 附录

市场发展基金（MDF） 市场发展基金（MDF）是为达成销售和市场目标而授予华为云合作伙伴自主策划和举办市场营销活动的专项费用。 华为云伙伴通过路径/计划认证并完成商业信息认证后，可申请对应等级的MDF额度；具体MDF额度请查看市场发展基金（MDF）额度参考。 合作伙伴MDF申请门槛： 软件合作伙伴： 伙伴已加入软件伙伴发展路径，并达到角色认证/能力差异化阶段。 服务合作伙伴： 伙伴已加入服务伙伴发展路径，并达到角色认证/能力差异化阶段。 数字化转型咨询与系统集成伙伴： 伙伴已加入数字化转型咨询与系统集成伙伴发展路径，并达到角色认证/能力差异化阶段。 学习与赋能合作伙伴： 伙伴已加入学习与赋能合作伙伴发展路径，并达到能力差异化认证阶段。 解决方案提供商伙伴： 伙伴已加入解决方案提供商计划，且计划等级达到领先级及以上。 总经销商伙伴： 伙伴已加入分销计划（总经销商）。 申请使用 举办活动 兑现申报 邮寄发票 查看付款进展 父主题： 伙伴权益申请

方案架构 系统升级时，若采用蓝绿部署方式，开发人员需进行如下操作： 先将A边服务器（原蓝环境）下线，同时访问流量将全部切分到B边服务器，此时对A边服务器进行升级操作。 A边服务器升级完毕后，将A边服务器设为灰度测试环境，由测试人员对A边服务器进行灰度验证。 灰度验证完毕且功能正常后，A边业务服务器（绿环境）正式上线，并将所有流量切分到A边业务服务器，此时蓝绿部署完毕。 在服务运行过程中，如果A边服务器出现紧急情况，执行蓝绿倒换实现业务快速恢复。 图1 灰度发布原理 若采用金丝雀灰度部署方式，再重复前面的操作，将B边服务器进行升级，并完成灰度测试及正式上线，此时就完成新系统的灰度发布。

附录 A边节点下线-代码示例 worker_processes 1; events { worker_connections 1024; } http { include mime.types; default_type application/octet-stream; log_format main '$time_local|$remote_addr[$remote_port]|$request|$request_method|$content_length|' '$content_type|$http_referer|$host|$http_x_forwarded_for|' '$http_true_client_ip|$server_name|$request_uri|$server_addr|$server_port|' '$status|$request_time|$upstream_addr|$upstream_response_time|$cookie_domain_tag'; access_log logs/access.log main; #访问日志：存放路径，日志级别。 error_log logs/error.log; #错误日志：存放路径。 sendfile on; keepalive_timeout 65; upstream portal { # 下面填入A主机IP及应用服务端口 #server X.X.X.X:X; #A节点下线 # 下面填入B主机IP及应用服务端口 server X.X.X.X:X; } upstream portal_test { # 下面填入A主机IP及应用服务端口 server X.X.X.X:X; # 下面填入B主机IP及应用服务端口 server X.X.X.X:X; } server { listen XXX;#填入Nginx端口 server_name localhost; location / { set $backend portal; set $test portal_test; #下面填入灰度验证机器IP #if ( $remote_addr ~* "X.X.X.X") { # set $backend $test; #} proxy_pass https://$backend; } error_page 500 502 503 504 /50x.html; location = /50x.html { root html; } } } 部署节点 # 获取应用进程id pid=`ps -ef | grep app_name | grep -v grep | awk '{print $2}'` if [ -z "$pid" ]; then echo "[app_name pid is not exist.]" else echo "app_name pid: $pid " # 停止该进程 kill -15 $pid fi # 重新启动应用，可通过执行部署脚本和部署命令两种方式启动应用，如下： # 方式一：通过执行部署脚本启动应用 # sh startup.sh # 方式二：通过执行命令启动应用，建议采用nohup后台启动方式 # nohup java -jar /usr/local/app/SpringbootDemo.jar & A边节点灰度上线-代码示例 worker_processes 1; events { worker_connections 1024; } http { include mime.types; default_type application/octet-stream; log_format main '$time_local|$remote_addr[$remote_port]|$request|$request_method|$content_length|' '$content_type|$http_referer|$host|$http_x_forwarded_for|' '$http_true_client_ip|$server_name|$request_uri|$server_addr|$server_port|' '$status|$request_time|$upstream_addr|$upstream_response_time|$cookie_domain_tag'; access_log logs/access.log main; #访问日志：存放路径，日志级别。 error_log logs/error.log; #错误日志：存放路径。 sendfile on; keepalive_timeout 65; upstream portal { # 下面填入A主机IP及应用服务端口 #server X.X.X.X:X; #A节点下线 # 下面填入B主机IP及应用服务端口 server X.X.X.X:X; } upstream portal_test { # 下面填入A主机IP及应用服务端口 server X.X.X.X:X; #A节点灰度上线 # 下面填入B主机IP及应用服务端口 #server X.X.X.X:X; } server { listen XXX;#填入Nginx端口 server_name localhost; location / { set $backend portal; set $test portal_test; #下面填入灰度验证机器IP if ( $remote_addr ~* "X.X.X.X") { set $backend $test; } proxy_pass https://$backend; } error_page 500 502 503 504 /50x.html; location = /50x.html { root html; } } } B边节点下线-代码示例 worker_processes 1; events { worker_connections 1024; } http { include mime.types; default_type application/octet-stream; log_format main '$time_local|$remote_addr[$remote_port]|$request|$request_method|$content_length|' '$content_type|$http_referer|$host|$http_x_forwarded_for|' '$http_true_client_ip|$server_name|$request_uri|$server_addr|$server_port|' '$status|$request_time|$upstream_addr|$upstream_response_time|$cookie_domain_tag'; access_log logs/access.log main; #访问日志：存放路径，日志级别。 error_log logs/error.log; #错误日志：存放路径。 sendfile on; keepalive_timeout 65; upstream portal { # 下面填入A主机IP及应用服务端口 server X.X.X.X:X; # 下面填入B主机IP及应用服务端口 #server X.X.X.X:X; #B节点下线 } upstream portal_test { # 下面填入A主机IP及应用服务端口 server X.X.X.X:X; # 下面填入B主机IP及应用服务端口 server X.X.X.X:X; } server { listen XXX;#填入Nginx端口 server_name localhost; location / { set $backend portal; set $test portal_test; #下面填入灰度验证机器IP #if ( $remote_addr ~* "X.X.X.X") { # set $backend $test; #} proxy_pass https://$backend; } error_page 500 502 503 504 /50x.html; location = /50x.html { root html; } } } B边节点灰度上线-代码示例 worker_processes 1; events { worker_connections 1024; } http { include mime.types; default_type application/octet-stream; log_format main '$time_local|$remote_addr[$remote_port]|$request|$request_method|$content_length|' '$content_type|$http_referer|$host|$http_x_forwarded_for|' '$http_true_client_ip|$server_name|$request_uri|$server_addr|$server_port|' '$status|$request_time|$upstream_addr|$upstream_response_time|$cookie_domain_tag'; access_log logs/access.log main; #访问日志：存放路径，日志级别。 error_log logs/error.log; #错误日志：存放路径。 sendfile on; keepalive_timeout 65; upstream portal { # 下面填入A主机IP及应用服务端口 server X.X.X.X:X; # 下面填入B主机IP及应用服务端口 #server X.X.X.X:X; #B节点下线 } upstream portal_test { # 下面填入A主机IP及应用服务端口 #server X.X.X.X:X; # 下面填入B主机IP及应用服务端口 server X.X.X.X:X; #B节点灰度上线 } server { listen XXX;#填入Nginx端口 server_name localhost; location / { set $backend portal; set $test portal_test; #下面填入灰度验证机器IP if ( $remote_addr ~* "X.X.X.X") { set $backend $test; } proxy_pass https://$backend; } error_page 500 502 503 504 /50x.html; location = /50x.html { root html; } } } 节点上线-代码示例 worker_processes 1; events { worker_connections 1024; } http { include mime.types; default_type application/octet-stream; log_format main '$time_local|$remote_addr[$remote_port]|$request|$request_method|$content_length|' '$content_type|$http_referer|$host|$http_x_forwarded_for|' '$http_true_client_ip|$server_name|$request_uri|$server_addr|$server_port|' '$status|$request_time|$upstream_addr|$upstream_response_time|$cookie_domain_tag'; access_log logs/access.log main; #访问日志：存放路径，日志级别。 error_log logs/error.log; #错误日志：存放路径。 sendfile on; keepalive_timeout 65; upstream portal { # 下面填入A主机IP及应用服务端口 server X.X.X.X:X; # 下面填入B主机IP及应用服务端口 server X.X.X.X:X; } upstream portal_test { # 下面填入A主机IP及应用服务端口 server X.X.X.X:X; # 下面填入B主机IP及应用服务端口 server X.X.X.X:X; } server { listen XXX;#填入Nginx端口 server_name localhost; location / { set $backend portal; set $test portal_test; #下面填入灰度验证机器IP #if ( $remote_addr ~* "X.X.X.X") { # set $backend $test; #} proxy_pass https://$backend; } error_page 500 502 503 504 /50x.html; location = /50x.html { root html; } } }

API调用授权概述 API调用者在调用使用APP认证的API时，可以通过凭据进行API认证或AppCode进行简易的API认证。APP认证类型包含下表中列举的类型，更多详情请参考调用APIG开放的API。下文介绍凭据和AppCode的配置，您可以根据业务需求选择其中一种进行认证。 表1 APP认证类型 APP认证类型 认证方式 签名认证 通过凭据进行API认证。 简易认证 通过AppCode进行简易的API认证。 双重认证 通过凭据/AppCode和自定义认证进行API认证。 app_api_key认证 通过凭据进行API认证。 app_secret认证 通过凭据进行API认证。 app_basic认证 通过凭据进行API认证。 app_jwt认证 通过凭据进行API认证。 配置APIG的API认证凭据 在API网关中创建一个凭据，生成密钥对（Key、Secret），在调用API时，API网关服务根据密钥对进行身份核对，完成鉴权。Key唯一且不可重置，支持重置Secret。 配置APIG的API简易认证AppCode API配置简易认证模式后，在调用API时，API网关服务既可以根据AppCode进行简易认证，也可以根据密钥对进行鉴权。 父主题： 配置API调用授权（可选）

绑定SSL证书（可选） 当API分组中的API支持HTTPS请求协议，则需要为独立 域名 绑定SSL证书。否则跳过此步骤。 在域名所在行单击“选择SSL证书”。 在选择SSL证书弹窗中勾选要绑定的SSL证书，然后单击“确定”，完成SSL证书的绑定。 如果选择的SSL证书上传过CA证书，可以勾选“开启客户端认证”即开启HTTPS双向认证。注意，开启/关闭客户端认证会对现有业务有影响，请谨慎操作。 如果证书列表中无可用的SSL证书，可单击“创建SSL证书”，新增SSL证书，具体操作配置请参考创建SSL证书。

获取域名 申请域名。 云服务平台内业务系统访问API的场景，需获取内网域名作为独立域名。具体请参考创建内网域名。 云服务平台外业务系统访问API的场景，需获取公网域名作为独立域名。具体可通过 域名注册服务 申请。 备案公网域名，您可以通过备案中心完成域名备案。备案时长需几个工作日，建议您提前进行备案。 在域名上添加实例“虚拟私有云访问地址”的A类型记录集，具体请参考增加A类型记录集。 或者在域名上添加API分组“调试域名”的CNAME类型记录集，具体请参考增加CNAME类型记录集。 如果API分组中的API支持HTTPS请求协议，则需要为独立域名添加SSL证书。您需要提前获取SSL证书的内容和密钥，并创建SSL证书。

约束与限制 调试域名默认只能在与实例相同VPC内的服务器上解析和访问，如果调试域名要支持公网解析与访问，请在实例上绑定公网入口弹性IP。 调试域名不能用于生产业务，且仅限应用程序调试使用。 同一实例下的不同分组不能绑定相同的独立域名。 独立域名绑定端口时，同一域名不支持绑定相同端口。 同一域名不同端口，无论哪个端口绑定/修改/解绑SSL证书、开启/关闭客户端认证，所有端口都会同步生效。 如果您通过负载通道访问后端服务，那么独立域名绑定的端口需与负载通道中后端服务器的访问端口保持一致。 独立域名绑定端口后，如果您通过IP地址访问非DEFAULT分组下的API，那么需要在请求消息中添加Header参数“host”，host值必须带有对应的访问协议的端口（默认的80/443端口，host值可以不带）。 如果您通过IP地址访问API，则无法使用域名证书完成SSL认证，除非配置了IP证书。因此，不推荐使用IP地址访问API，否则无法保证链路安全。 启用http to https自动重定向时，由于浏览器限制，非GET或非HEAD方法的重定向可能导致数据丢失，因此，API请求方法限定为GET或HEAD。仅当API的请求协议选择“HTTPS”或“HTTP&HTTPS”，且独立域名已绑定SSL证书时重定向生效。 *.aaa.com可以匹配default.aaa.com，1.aaa.com，1.2.aaa.com等类型的域名，但是如果申请的证书域名*.aaa.com，则证书只能用于default.aaa.com、1.aaa.com，不能用于1.2.aaa.com。

调用API 本章节仅提供请求地址和认证参数的配置指导，客户端的其他参数配置需要用户自行调整，如超时配置、SSL配置等。如果客户端参数配置错误会导致业务受损，建议参考业界标准进行配置。 API调用支持长连接。但是需要适当使用长连接，避免占用太多资源。 构造API请求，示例如下： POST https://{Address}/{Path}?{Query} {Header} { {Body} } POST：请求方法，需替换为获取API的调用信息中获取的请求方法。 {Address}：请求地址，需替换为获取API的调用信息中获取的域名地址。 API调用场景 API请求参数配置 使用域名调用API 使用服务分配的调试域名或服务绑定的域名调用API，无需另外配置。 使用IP调用DEFAULT分组的API API允许使用IP地址调用DEFAULT分组下的API，无需另外配置。 使用IP调用非DEFAULT分组的API 使用IP地址直接调用非DEFAULT分组下的APP认证的API： 将实例的配置参数“app_route”和“app_secret”设置为“on”。开启“app_route”之后，同一凭据不能授权给相同请求路径和方法的API。 在请求消息中添加Header参数“X-HW-ID”和“X-HW-APPKEY”，参数值为API所授权凭据的Key和Secret。 须知： 使用简易认证（APP认证）调用API时，仅需在请求消息中添加Header参数“X-Apig-AppCode”和“host”即可。 使用IP地址直接调用非DEFAULT分组下的非APP认证的API，需要在请求消息中添加Header参数“host”。 {Path}：请求路径，需替换为获取API的调用信息中获取的请求路径。 {Query}：查询参数，可选，格式为“参数名=参数取值”，例如limit=10，多个查询参数之间使用“&”隔开。需根据获取API的调用信息中获取的请求参数进行设置。 {Header}：请求头参数，格式为“参数名: 参数取值”，例如Content-Type: application/json。需根据获取API的调用信息中获取的请求参数进行设置。 {Body}：请求消息体，JSON格式。需根据获取API的调用信息中获取的请求体内容描述进行设置。 为API请求添加认证信息。 API认证方式 API请求参数配置 APP认证（签名认证） 使用获取的SDK对API请求进行签名，具体请参考使用APP认证调用API。 APP认证（简易认证） 在API请求中添加Header参数“X-Apig-AppCode”，参数值为获取API的调用信息中获取到的AppCode。具体请参考快速入门。 APP认证（app_api_key认证） 实例的配置参数“app_api_key”已设置为“on”，开启app_api_key认证。 在API请求中添加Header或Query参数“apikey”，参数值为获取API的调用信息中获取到的Key。 APP认证（app_secret认证） 实例的配置参数“app_secret”已设置为“on”，开启app_secret认证，且“app_api_key”已设置为“off”，关闭app_api_key认证。 在API请求中添加Header参数“X-HW-ID”，参数值为获取API的调用信息中获取到的Key。 在API请求中添加Header参数“X-HW-AppKey”，参数值为获取API的调用信息中获取到的Secret。 APP认证（app_basic认证） 实例的配置参数“app_basic”已设置为“on”，开启app_basic认证。 在API请求中添加Header参数“Authorization”，参数值为"Basic"+base64(appkey+":"+appsecret)，其中appkey和appsecret分别为获取API的调用信息中获取到的Key和Secret。 APP认证（app_jwt认证） 实例的配置参数“app_jwt”已设置为“on”，开启app_jwt认证。 在API请求中添加Header参数“Timestamp”，参数值为当前时间的Unix时间戳，单位为毫秒。 在API请求中添加Header参数“Authorization”，参数值为sha256(appkey+appsecret+timestamp)，且sha256加密后的字符串需为小写字母。其中appkey和appsecret分别为获取API的调用信息中获取到的Key和Secret，timestamp为当前时间的Unix时间戳，单位为毫秒。 在API请求中添加Header参数“X-HW-ID”，参数值为获取API的调用信息中获取到的Key。 APP认证（双重认证） 在API请求中同时携带APP认证和自定义认证的认证信息。 IAM 认证（Token认证） 先获取云服务平台的认证Token，然后在API请求中添加Header参数“X-Auth-Token”，参数值为认证Token，具体请参考Token认证。 IAM认证（AK/SK认证） 使用获取的SDK对API请求进行签名，具体请参考AK/SK认证。 IAM认证（双重认证） 在API请求中同时携带IAM认证和自定义认证的认证信息。 自定义认证 根据自定义认证的定义，在API请求参数中携带相关认证信息进行认证。 无认证 无需认证，可直接调用API。 第三方认证（API策略） 向API提供者获取请求参数中要携带的第三方认证信息。

前提条件 在调用API前，确保您的业务系统所在网络与API的访问域名或地址互通。 如果业务系统与API网关在相同VPC内时，可直接访问API。 如果业务系统与API网关在同一区域的不同VPC内时，可通过创建VPC对等连接，将两个VPC的网络打通，实现同一区域跨VPC访问API。具体步骤请参考VPC对等连接说明。 如果业务系统与API网关在不同区域的不同VPC内时，可通过创建云连接实例并加载需要互通的VPC，将两个VPC的网络打通，实现跨区域跨VPC访问API。具体步骤请参考跨区域VPC互通。 如果业务系统与API网关通过公网互通，请确保API网关已绑定弹性IP。

约束与限制 实例配额 同一项目ID下，一个主账号默认只能创建5个实例。如果您需要创建更多实例，可提交工单，申请修改配额。 用户权限 如果您使用系统角色相关权限，需要同时拥有“APIG Administrator”和“VPC Administrator”权限才能创建实例。 如果您使用系统策略，则拥有“APIG FullAccess”即可。 如果您使用自定义策略，请参考APIG自定义策略。 网络 如果您使用192.x.x.x或10.x.x.x网段，APIG则会使用172.31.32.0/19作为内部网段； 如果您使用172.x.x.x网段，APIG则会使用192.168.32.0/19作为内部网段。 子网中可用私有地址数量 API网关专享实例的基础版、专业版、企业版，以及铂金版分别需要3、5、6、7个私有地址。在铂金版的基础上，铂金版X依次增加4个私有地址。例如，铂金版x2需要11个私有地址，铂金版x4需要19个私有地址。请确保您选择的子网段有足够多的私有地址可用，私有地址可在虚拟私有云服务的控制台查询。 负载 创建实例后，不支持修改虚拟私有云（负载）。 安全组 仅墨西哥城一、北京一区域配置的安全组生效。在其他区域购买实例后安全组不生效，如需禁用部分IP请使用访问控制策略。

准备网络环境 负载 虚拟私有云（Virtual Private Cloud，简称VPC）。实例需要配置虚拟私有云（负载），在同一负载中的资源（如E CS ），可以使用实例的私有地址调用API。 在创建实例时，建议配置和您其他关联业务相同负载，确保网络安全的同时，方便网络配置。 安全组 安全组类似防火墙，控制谁能访问实例的指定端口，以及控制实例的通信数据流向指定的目的地址。安全组入方向规则建议按需开放地址与端口，这样可以保护实例的网络安全。 实例绑定的安全组有如下要求： 入方向：如果需要从公网调用API，或从其他安全组内资源调用API，则需要为实例绑定的安全组的入方向放开80（HTTP）、443（HTTPS）两个端口。 出方向：如果后端服务部署在公网，或者其他安全组内，则需要为实例绑定的安全组的出方向放开后端服务地址与API调用端口。 如果API的前后端服务与实例绑定了相同的安全组、相同的虚拟私有云，则无需专门为实例开放上述端口。

创建实例 进入购买实例页面。 根据下表参数说明，配置实例参数。 表1 API网关实例参数说明 参数 说明 计费模式 实例的收费方式，当前支持“按需计费”和“包周期”两种方式。在购买实例后，如果发现当前计费模式无法满足您的业务需求，您可以变更计费模式。 说明： 目前仅北京四、乌兰察布一、上海一、华东二、广州、贵阳一、北京一、上海二、青岛区域支持包周期收费方式。 区域 指APIG实例部署的区域，建议和您其他的业务部署在相同区域，这样不同的业务可以在负载内以子网方式通信，节省公网带宽成本，降低网络延时。 可用区 实例所在的可用区，不同可用区之间物理隔离，但内网互通。 APIG实例支持同时选择多个可用区，进行跨可用区部署，提升实例高可用性。 APIG不支持跨可用区迁移实例。 如果创建单AZ实例，需要创建两个AZ的两个实例来提升业务可靠性，否则当一个AZ故障后，会导致业务不可用。 实例名称 实例的名称，根据规划自定义。以中英文字符开头，由中英文字符、数字、中划线、下划线组成，长度为3~64个字符。 实例规格 当前开放基础版、专业版、企业版、铂金版实例。不同实例规格，对API请求的并发支持能力不同，具体请参考规格说明章节。 说明： 目前仅上海一、乌兰察布一、贵阳一、北京四、华东二、利雅得、香港区域支持选择更多铂金版规格。 可维护时间窗 指允许云服务技术支持对实例进行维护的时间段。如果有维护需要，技术支持会提前与您沟通确认。 建议选择业务量较少的时间段。 企业项目 使用企业用户登录时，可选择实例所属企业项目。 有关企业项目的资源使用、迁移以及用户权限等，请参考《企业管理用户指南》。 公网入口 指允许外部服务通过弹性IP地址，调用实例创建的API。开启“公网入口”，需要绑定一个“弹性IP地址”，弹性IP地址另行收费。 除墨西哥城一、北京一区域外，在其他区域开启公网入口后，弹性IP地址由网关随机分配，不支持选择已有弹性IP地址。您可以根据业务预估设置合适的“入公网带宽”，入公网带宽费用按小时计算，以弹性IP服务的价格为准。 您需要使用独立域名/调试域名访问，使用调试域名访问时存在单日访问次数限制。可在创建API分组后，为分组绑定独立域名，独立域名需要解析到实例的弹性IP地址。 例如您有一个API，请求协议为HTTPS，Path为/apidemo，开启了公网访问，并为分组绑定了独立域名后，可使用https://{domain}/apidemo这个URL访问您的API。其中，{domain}表示已绑定到分组的独立域名，目标端口443可默认缺省。 公网出口 指允许API的后端服务部署在外部网络，APIG为实例开启公网出口。您可以根据业务预估设置合适的“出公网带宽”，出公网带宽费用按小时计费，以弹性IP服务的价格为准。 网络 指为实例绑定到一个VPC，并为其分配子网。 使用已创建的VPC和子网，请在下拉列表选择当前账号下创建的VPC和子网。 使用共享VPC和子网，请在下拉列表选择其他账号共享给当前账号的VPC和子网。 共享VPC基于 资源访问管理 （Resource Access Manager，简称 RAM ）服务的机制，VPC的所有者可以将VPC内的子网共享给一个或者多个账号使用。通过共享VPC功能，可以简化网络配置，帮助您统一配置和运维多个账号下的资源，有助于提升资源的管控效率，降低运维成本。有关VPC子网共享的更多信息，请参见共享VPC。 使用新的VPC和子网，请单击“控制台”，参考创建虚拟私有云章节创建待使用的新VPC和子网。 安全组 安全组用于设置端口访问规则，定义哪些端口允许被外部访问，以及允许访问外部哪些地址与端口。 例如，后端服务部署在外部网络，则需要设置相应的安全组规则，允许访问后端服务地址与API调用端口。 如果开启公网入口，安全组入方向需要放开80（HTTP）和443（HTTPS）端口的访问权限。 说明： 仅在墨西哥城一、北京一区域配置的安全组生效，在其他区域购买实例后默认开启ELB负载。开启ELB负载的实例的安全组不生效，如需禁用部分IP请使用访问控制策略。 开启ELB负载：ELB作为网关入口的负载均衡器，入口支持跨VPC访问。但在开启公网入口时，弹性IP地址由网关随机分配，不支持选择已有弹性IP地址。 终端节点服务名称 填写终端节点服务名称。购买实例后，同步创建 VPC终端节点 服务，可以被终端节点连接和访问。 如果填写了终端节点服务名称，购买实例后，在实例详情中的“终端节点管理”页签下展示名称为{region}.{终端节点服务名称}.{终端节点服务ID}；如果终端节点服务名称为空，购买实例后，在实例详情中的“终端节点管理”页签下展示名称为{region}.{apig}.{终端节点服务ID}。 标签 通过标签对实例资源进行标记，批量分类实例资源，实现对实例资源进行分组查询、分析及管理。如果没有标签选择可单击“查看预定义标签”创建，也可以直接输入标签键值创建。 实例创建完成后，也可以在配置APIG实例标签中设置。 如您的组织已经设定API网关服务的相关标签策略，则需按照标签策略规则为实例添加标签。标签如果不符合标签策略的规则，则可能会导致创建实例失败，请联系组织管理员了解标签策略详情。 购买时长 计费模式为“包年/包月”时配置。实例的购买时长，最短1个月。同时，支持设置自动续费。设置自动续费后，系统将在实例到期前自动续费，无需客户再手动操作。 描述 实例的描述信息。长度为1~255个字符。 单击“立即购买”，进入实例规格确认页面。 规格确认无误后，勾选服务协议，支付费用后，开始创建实例，界面显示创建进度。 如果需要查看或编辑实例，请参考查看或编辑APIG实例信息。 如果需要删除实例，请确认无业务影响后删除实例即可。

注意事项 创建服务器通道类型须注意以下事项： API网关与负载通道中的服务器之间网络互通。 创建云容器引擎微服务通道类型需注意以下事项： 仅支持华为云 CCE Turbo 集群、VPC网络模型的CCE集群。 您需要确保当前实例与CCE集群所属同一个VPC中，或通过其他方式保证两者网络可达，否则创建后调用API会出现失败场景。 选择VPC网络模型的CCE集群时，您需要在实例详情界面的路由配置中添加CCE集群的容器网段，否则创建后调用API会出现失败场景。 创建微服务类型的负载通道后，负载通道会监测工作负载下所有实例的地址变化，并更新到负载通道中。

约束与限制 同一个环境中，一个API只能被一个Kafka日志推送策略绑定，但一个Kafka日志推送策略可以绑定多个API。 同一个APIG实例内最多可创建5个Kafka日志推送策略。如需调整配额，请提交工单，申请修改。 API绑定Kafka日志推送策略后，性能将损耗30%。性能数据请参考产品规格差异。 日志支持最大推送大小为4K，请求体/响应体支持最大推送大小为1K，超出部分会被截断。 策略和API本身相互独立，只有为API绑定策略后，策略才对API生效。为API绑定策略时需指定发布环境，策略只对指定环境上的API生效。 策略的绑定、解绑、更新会实时生效，不需要重新发布API。 API的下线操作不影响策略的绑定关系，再次发布后仍然会带有下线前绑定的策略。 如果策略与API有绑定关系，则策略无法执行删除操作。

为策略绑定API 单击策略名称，进入策略详情。 在API列表区域选择环境后，单击“绑定API”。 筛选API分组以及发布环境，勾选所需的API。 支持通过API名称或标签筛选API，标签为创建API时定义的标签。 单击“确定”，绑定完成。 如果单个API不需要绑定此策略，单击API所在行的“解绑”。 如果批量API不需要绑定此策略，则勾选待解绑的API，单击列表上方“解绑”。最多同时解绑1000个API。

更新SSL证书 进入证书列表页面，找到待更新证书，在“操作”列单击“编辑”，修改证书信息即可。 更新SSL证书不影响API的调用。 如果待更新证书已绑定独立域名，那么所有访问这个域名的客户端都会看到更新后的证书。 如果更新的SSL证书已绑定独立域名且更新的内容新增CA证书，那么独立域名侧默认关闭“支持客户端认证”即关闭HTTPS双向认证；如果更新的SSL证书已绑定独立域名且更新的内容无CA证书，那么独立域名侧默认关闭“支持客户端认证”即未开启HTTPS双向认证。

转换证书为PEM格式 格式类型 转换方式（通过OpenSSL工具进行转换） CER/CRT 将“cert.crt”证书文件直接重命名为“cert.pem”。 PFX 提取私钥命令，以“cert.pfx”转换为“key.pem”为例。 openssl pkcs12 -in cert.pfx -nocerts -out key.pem 提取证书命令，以“cert.pfx”转换为“cert.pem”为例。 openssl pkcs12 -in cert.pfx -nokeys -out cert.pem P7B 证书转换，以“cert.p7b”转换为“cert.cer”为例。 openssl pkcs7 -print_certs -in cert.p7b -out cert.cer 将“cert.cer”证书文件直接重命名为“cert.pem”。 DER 提取私钥命令，以“privatekey.der”转换为“privatekey.pem”为例。 openssl rsa -inform DER -outform PEM -in privatekey.der -out privatekey.pem 提取证书命令，以“cert.cer”转换为“cert.pem”为例。 openssl x509 -inform der -in cert.cer -out cert.pem

调用说明 CSE提供了REST（Representational State Transfer）风格API，支持您通过HTTPS请求调用。 微服务、契约、微服务实例、依赖关系接口只在华北-北京一、华北-北京四、华北-乌兰察布一、华东-上海一、华东-上海二、华南-广州、西南-贵阳一、中国-香港、亚太-新加坡、拉美-墨西哥城二、中东-利雅得局点支持。 调用ServiceComb引擎专享版的ServiceComb API的方法如下： 登录CSE控制台。 在左侧导航栏选择“ServiceComb引擎专享版”。 单击待调用接口的ServiceComb引擎。 调用认证、微服务、契约、微服务实例、依赖关系接口时，在“服务发现 & 配置”区域，查看或单击复制“服务注册发现地址”。 调用配置管理接口时，在“服务发现 & 配置”区域，查看或单击复制“配置中心地址”。 参考如何调用API调用该接口，在请求URI中，替换{Endpoint}为已获取到的服务注册发现地址。 父主题： ServiceComb API