华为云用户手册

请求消息头 附加请求头字段，如指定的URI和HTTP方法所要求的字段。例如定义消息体类型的请求头“Content-Type”，请求鉴权信息等。 详细的公共请求消息头字段请参见表3。 表3 公共请求消息头 名称 描述 是否必选 示例 Host 请求的服务器信息，从服务API的URL中获取。值为hostname[:port]。端口缺省时使用默认的端口，https的默认端口为443。 否 使用AK/SK认证时该字段必选。 code.test.com or code.test.com:443 Content-Type 发送的实体的MIME类型。推荐用户默认使用application/json，如果API是对象、镜像上传等接口，媒体类型可按照流类型的不同进行确定。 是 application/json Content-Length 请求body长度，单位为Byte。 POST请求为可选，GET请求该字段值留空。 3495 X-Project-Id project id，项目编号。请参考获取项目ID章节获取项目编号。 否 如果是专属云场景采用AK/SK 认证方式的接口请求或者多project场景采用AK/SK认证的接口请求则该字段必选。 e9993fc787d94b6c886cbaa340f9c0f4 X-Auth-Token 用户Token。 请求响应成功后在响应消息头中包含的“X-Subject-Token”的值即为Token值。 否 使用Token认证时该字段必选。 以下仅为Token示例片段 MIIPAgYJKoZfegerIhvcNAQcCo...ggg1BBIINPXsidG9rZ API同时支持使用AK/SK认证，AK/SK认证是使用SDK对请求进行签名，签名过程会自动往请求中添加Authorization（签名认证信息）和X-Sdk-Date（请求发送的时间）请求头。 AK/SK认证的详细说明请参见认证鉴权的“AK/SK认证”。 对于获取用户Token接口，由于不需要认证，所以只添加“Content-Type”即可，添加消息头后的请求如下所示。 POST https://iam.cn-north-1.myhuaweicloud.com/v3/auth/tokensContent-Type: application/json

请求消息体（可选） 该部分可选。请求消息体通常以结构化格式（如JSON或XML）发出，与请求消息头中Content-Type对应，传递除请求消息头之外的内容。若请求消息体中的参数支持中文，则中文字符必须为UTF-8编码。 每个接口的请求消息体内容不同，也并不是每个接口都需要有请求消息体（或者说消息体为空），GET、DELETE操作类型的接口就不需要消息体，消息体具体内容需要根据具体接口而定。 对于获取用户Token接口，您可以从接口的请求部分看到所需的请求参数及参数说明。将消息体加入后的请求如下所示，加粗的斜体字段需要根据实际值填写，其中username为用户名，domainname为用户所属的账号名称，********为用户登录密码，xxxxxxxxxxxxxxxxxx为project的名称，如“cn-north-1”，您可以从地区和终端节点获取。 scope参数定义了Token的作用域，上面示例中获取的Token仅能访问project下的资源。您还可以设置Token的作用域为某个账号下所有资源或账号的某个project下的资源，详细定义请参见获取用户Token。 POST https://iam.cn-north-1.myhuaweicloud.com/v3/auth/tokensContent-Type: application/json{ "auth": { "identity": { "methods": [ "password" ], "password": { "user": { "name": "username", "password": "********", "domain": { "name": "domainname" } } } }, "scope": { "project": { "name": "xxxxxxxxxxxxxxxxxx" } } }} 到这里为止这个请求需要的内容就具备齐全了，您可以使用curl、Postman或直接编写代码等方式发送请求调用API。对于获取用户Token接口，返回的响应消息头中“x-subject-token”就是需要获取的用户Token。有了Token之后，您就可以使用Token认证调用其他API。

请求方法 HTTP请求方法（也称为操作或动词），它告诉服务你正在请求什么类型的操作。 表2 HTTP方法 方法 说明 GET 请求服务器返回指定资源。 PUT 请求服务器更新指定资源。 POST 请求服务器新增资源或执行特殊操作。 DELETE 请求服务器删除指定资源，如删除对象等。 在获取用户Token的URI部分，您可以看到其请求方法为“POST”，则其请求为： POST https://iam.cn-north-1.myhuaweicloud.com/v3/auth/tokens

调用API获取项目ID 项目ID可以通过调用查询指定条件下的项目列表API获取。 获取项目ID的接口为“GET https://{Endpoint}/v3/projects”，其中{Endpoint}为 IAM 的终端节点，可以从地区和终端节点获获取。接口的认证鉴权请参见认证鉴权。 响应示例如下，其中projects下的“id”即为项目ID。 { "projects": [ { "domain_id": "65382450e8f64ac0870cd180d14e684b", "is_domain": false, "parent_id": "65382450e8f64ac0870cd180d14e684b", "name": "project_name", "description": "", "links": { "next": null, "previous": null, "self": "https://www.example.com/v3/projects/a4a5d4098fb4474fa22cd05f897d6b99" }, "id": "a4a5d4098fb4474fa22cd05f897d6b99", "enabled": true } ], "links": { "next": null, "previous": null, "self": "https://www.example.com/v3/projects" }}

异常请求结果 异常响应要素说明 表1 要素说明 名称 参数类型 描述 error_code String 提交任务异常时返回的错误编码。详细错误码描述参考错误码。 error_msg String 提交任务异常时返回的错误描述信息。 异常响应样例 { "error_code": "DAS.200100", "error_msg": "参数错误"}{ "error_code": "DAS.200051", "error_msg": "鉴权失败"} 父主题： 附录

响应参数 状态码： 200 表2 响应Body参数 参数 参数类型 描述 quotas Array of Quotas objects 参数解释： 配额列表对象。 取值范围： 不涉及。 表3 Quotas 参数 参数类型 描述 resources Array of Resource objects 参数解释： 资源列表对象。 取值范围： 不涉及。 表4 Resource 参数 参数类型 描述 type String 参数解释： 根据type过滤查询指定类型的配额。 取值范围： 云DBA：cloudDba used Long 参数解释： 已创建的资源个数。 取值范围： [0, 2^31-1]，实际取决于查询。 quota Long 参数解释： 资源的最大配额数。 取值范围： [0, 2^31-1]，实际取决于查询。 min Long 参数解释： 允许修改的配额最小值。 取值范围： [0, 2^31-1]，实际取决于查询。

支持的授权项 策略包含系统策略和自定义策略，如果系统策略不满足授权要求，管理员可以创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应，授权项列表说明如下： 权限：允许或拒绝某项操作。 对应API接口：自定义策略实际调用的API接口。 授权项：自定义策略中支持的Action，在自定义策略中的Action中写入授权项，可以实现授权项对应的权限功能。 IAM项目(Project)/企业项目(Enterprise Project)：自定义策略的授权范围，包括IAM项目与企业项目。授权范围如果同时支持IAM项目和企业项目，表示此授权项对应的自定义策略，可以在IAM和企业管理两个服务中给用户组授权并生效。如果仅支持IAM项目，不支持企业项目，表示仅能在IAM中给用户组授权并生效，如果在企业管理中授权，则该自定义策略不生效。关于IAM项目与企业项目的区别，详情请参见IAM与企业管理的区别。 DAS支持的自定义策略授权项请参见DAS授权分类。

DAS授权分类 API功能 对应API接口 授权项（Action） IAM项目(Project) 企业项目(Enterprise Project) 查询API版本列表 GET /das 无需授权 √ √ 查询API版本信息 GET /das/{version} 无需授权 √ √ 注册数据库用户 POST /v3/{project_id}/instances/{instance_id}/db-users das:*:* √ √ 查询数据库用户列表 GET /v3/{project_id}/instances/{instance_id}/db-users das:*:* √ √ 查询数据库用户信息 GET /v3/{project_id}/instances/{instance_id}/db-users/{db_user_id} das:*:* √ √ 修改数据库用户 PUT /v3/{project_id}/instances/{instance_id}/db-users/{db_user_id} das:*:* √ √ 删除数据库用户 DELETE /v3/{project_id}/instances/{instance_id}/db-users/{db_user_id} das:*:* √ √ 查询SQL执行计划 GET /v3/{project_id}/instances/{instance_id}/sql/explain das:*:* √ √ 查询实例会话列表 GET /v3/{project_id}/instances/{instance_id}/processes das:*:* √ √ 查杀会话 DELETE /v3/{project_id}/instances/{instance_id}/process das:*:* √ √ 查询元数据锁列表 GET /v3/{project_id}/instances/{instance_id}/metadata-locks das:*:* √ √ 查询InnoDB锁等待列表 GET /v3/{project_id}/instances/{instance_id}/innodb-locks das:*:* √ √ 获取空间分析数据列表 GET /v3/{project_id}/instances/{instance_id}/space-analysis das:*:* √ √ 创建空间分析任务 POST /v3/{project_id}/instances/{instance_id}/space-analysis das:*:* √ √ 开启/关闭全量SQL和慢SQL开关 POST /v3/{project_id}/instances/{instance_id}/sql/switch das:*:* √ √ 查询全量SQL和慢SQL的开关状态 GET /v3/{project_id}/instances/{instance_id}/sql/switch das:*:* √ √ 导出慢SQL数据 GET /v3/{project_id}/instances/{instance_id}/slow-query-logs das:*:* √ √ 导出全量SQL数据 GET /v3/{project_id}/instances/{instance_id}/sql-statements das:*:* √ √ 查看SQL限流开关状态 GET /v3/{project_id}/instances/{instance_id}/sql-limit/switch das:*:* √ √ 设置SQL限流开关状态 POST /v3/{project_id}/instances/{instance_id}/sql-limit/switch rds:databasePrivilege:grant √ √ 查询SQL限流规则列表 GET /v3/{project_id}/instances/{instance_id}/sql-limit/rules das:*:* √ √ 创建SQL限流规则 POST /v3/{project_id}/instances/{instance_id}/sql-limit/rules rds:databasePrivilege:grant √ √ 删除SQL限流规则 DELETE /v3/{project_id}/instances/{instance_id}/sql-limit/rules rds:databasePrivilege:grant √ √ 查询SQL限流任务 GET /v3/{project_id}/instances/{instance_id}/sql-limit/job das:*:* √ √ 导出TopSQL模板列表 GET /v3/{project_id}/instances/{instance_id}/top-sql-templates das:*:* √ √ 导出SQL执行耗时区间数据 GET /v3/{project_id}/instances/{instance_id}/top-sql-trend das:*:* √ √ 导出慢SQL模板列表 GET /v3/{project_id}/instances/{instance_id}/slow-sql-templates das:*:* √ √ 设置共享链接 POST /v3/{project_id}/connections/share das:*:* √ √ 删除共享链接 DELETE /v3/{project_id}/connections/share das:*:* √ √ 执行SQL诊断 POST /v3/{project_id}/connections/{connection_id}/tuning/create-tuning das:*:* √ √ 获取诊断结果 GET /v3/{project_id}/connections/{connection_id}/tuning/{message_id}/show-tuning-result das:*:* √ √ “√”表示支持，“x”表示暂不支持。 部分接口暂未设置授权项，请添加das:*:* 授权项，或直接添加DAS FullAccess系统策略调用接口。 父主题： 权限策略和授权项

状态码 表1 状态码 状态码 编码 错误码说明 100 Continue 继续请求。 这个临时响应用来通知客户端，它的部分请求已经被服务器接收，且仍未被拒绝。 101 Switching Protocols 切换协议。只能切换到更高级的协议。 例如，切换到HTTP的新版本协议。 200 OK 请求成功。 201 Created 创建类的请求完全成功。 202 Accepted 已经接受请求，但未处理完成。 203 Non-Authoritative Information 非授权信息，请求成功。 204 NoContent 请求完全成功，同时HTTP响应不包含响应体。 在响应OPTIONS方法的HTTP请求时返回此状态码。 205 Reset Content 重置内容，服务器处理成功。 206 Partial Content 服务器成功处理了部分GET请求。 300 Multiple Choices 多种选择。请求的资源可包括多个位置，相应可返回一个资源特征与地址的列表用于用户终端（例如：浏览器）选择。 301 Moved Permanently 永久移动，请求的资源已被永久的移动到新的URI，返回信息会包括新的URI。 302 Found 资源被临时移动。 303 See Other 查看其它地址。 使用GET和POST请求查看。 304 Not Modified 所请求的资源未修改，服务器返回此状态码时，不会返回任何资源。 305 Use Proxy 所请求的资源必须通过代理访问。 306 Unused 已经被废弃的HTTP状态码。 400 BadRequest 非法请求。 建议直接修改该请求，不要重试该请求。 401 Unauthorized 在客户端提供认证信息后，返回该状态码，表明服务端指出客户端所提供的认证信息不正确或非法。 402 Payment Required 保留请求。 403 Forbidden 请求被拒绝访问。 返回该状态码，表明请求能够到达服务端，且服务端能够理解用户请求，但是拒绝做更多的事情，因为该请求被设置为拒绝访问，建议直接修改该请求，不要重试该请求。 404 NotFound 所请求的资源不存在。 建议直接修改该请求，不要重试该请求。 405 MethodNotAllowed 请求中带有该资源不支持的方法。 建议直接修改该请求，不要重试该请求。 406 Not Acceptable 服务器无法根据客户端请求的内容特性完成请求。 407 Proxy Authentication Required 请求要求代理的身份认证，与401类似，但请求者应当使用代理进行授权。 408 Request Time-out 服务器等候请求时发生超时。 客户端可以随时再次提交该请求而无需进行任何更改。 409 Conflict 服务器在完成请求时发生冲突。 返回该状态码，表明客户端尝试创建的资源已经存在，或者由于冲突请求的更新操作不能被完成。 410 Gone 客户端请求的资源已经不存在。 返回该状态码，表明请求的资源已被永久删除。 411 Length Required 服务器无法处理客户端发送的不带Content-Length的请求信息。 412 Precondition Failed 未满足前提条件，服务器未满足请求者在请求中设置的其中一个前提条件。 413 Request Entity Too Large 由于请求的实体过大，服务器无法处理，因此拒绝请求。为防止客户端的连续请求，服务器可能会关闭连接。如果只是服务器暂时无法处理，则会包含一个Retry-After的响应信息。 414 Request-URI Too Large 请求的URI过长（URI通常为网址），服务器无法处理。 415 Unsupported Media Type 服务器无法处理请求附带的媒体格式。 416 Requested range not satisfiable 客户端请求的范围无效。 417 Expectation Failed 服务器无法满足Expect的请求头信息。 422 UnprocessableEntity 请求格式正确，但是由于含有语义错误，无法响应。 429 TooManyRequests 表明请求超出了客户端访问频率的限制或者服务端接收到多于它能处理的请求。建议客户端读取相应的Retry-After首部，然后等待该首部指出的时间后再重试。 500 InternalServerError 表明服务端能被请求访问到，但是不能理解用户的请求。 501 Not Implemented 服务器不支持请求的功能，无法完成请求。 502 Bad Gateway 充当网关或代理的服务器，从远端服务器接收到了一个无效的请求。 503 ServiceUnavailable 被请求的服务无效。 建议直接修改该请求，不要重试该请求。 504 ServerTimeout 请求在给定的时间内无法完成。客户端仅在为请求指定超时（Timeout）参数时会得到该响应。 505 HTTP Version not supported 服务器不支持请求的HTTP协议的版本，无法完成处理。 父主题： 附录

错误码 调用接口出错后，将不会返回结果数据。调用方可根据每个接口对应的错误码来定位错误原因。 当调用出错时，HTTP请求返回一个HTTP状态码。返回的消息体中是具体的错误编码及错误描述信息。 当您调用API时，如果遇到“APIGW”开头的错误码，请参见API网关错误码进行处理。 状态码 错误码 错误信息 描述 解决方案 400 DAS.200002 Frequent requests. 请求频繁。 请稍后再试。 400 DAS.200100 The parameter is invalid. 参数错误。 请检查参数是否正确。 400 DAS.200101 The start_at parameter is invalid. start_at参数错误。 请检查参数是否正确。 400 DAS.200102 The end_at parameter is invalid. end_at参数错误。 请检查参数是否正确。 400 DAS.200103 The offset parameter is invalid. offset参数错误。 请检查参数是否正确。 400 DAS.200104 The limit parameter is invalid. limit参数错误。 请检查参数是否正确。 400 DAS.200105 The order parameter is invalid. order参数错误。 请检查参数是否正确。 400 DAS.200106 The order_by parameter is invalid. order_by参数错误。 请检查参数是否正确。 400 DAS.200107 The datastore_type is invalid. datastore_type参数错误。 请检查参数是否正确。 400 DAS.200108 The database value is invalid! database参数错误。 请检查参数是否正确。 400 DAS.200109 The script value is invalid! script参数错误。 请检查参数是否正确。 400 DAS.200110 The lock_status value is invalid! lock_status参数无效。 请检查参数是否正确。 400 DAS.200111 The lock_type value is invalid! lock_type参数错误。 请检查参数是否正确。 400 DAS.200112 The db_user_id value is invalid! db_user_id参数错误。 请检查参数是否正确。 400 DAS.200113 The project_id parameter is invalid. project_id参数错误。 请检查参数是否正确。 400 DAS.200114 The instance_id parameter is invalid. instance_id参数错误。 请检查参数是否正确。 400 DAS.200115 The parameter of DeleteProcess is invalid! 查杀会话参数错误。 请检查参数是否正确。 400 DAS.200116 The type parameter is invalid. type参数错误。 请检查参数是否正确。 400 DAS.200117 The status parameter is invalid. status参数错误 请检查参数是否正确。 400 DAS.200118 The retention_days parameter is invalid. retention_days参数错误 请检查参数是否正确。 400 DAS.200119 The object_type parameter is invalid. object_type参数错误。 请检查参数是否正确。 400 DAS.200120 This API is only available for paid instances. 该API仅对付费实例可用。 请购买云DBA收费版并将当前实例设置为付费实例。 400 DAS.200121 The marker is only valid for three minutes. If the expiration time is exceeded, please re export. marker仅三分钟内有效，如超过有效时间，请重新导出。 请重新导出。 400 DAS.220002 Failed to connect to the database. 连接数据库异常。 请确认实例是否正常，数据库用户名和密码是否正确。 400 DAS.220003 The database user does not exist. 数据库用户不存在。 请检查参数是否正确。 400 DAS.220004 The database user already exists. 数据库用户已存在。 请检查数据库用户是否已经存在。 400 DAS.220029 Failed to operate the SQL limit switch. 操作SQL限流开关失败。 请根据error_msg提供的具体信息进行处理。 400 DAS.220030 Failed to operate the SQL limit rules. 操作SQL限流规则失败。 请根据error_msg提供的具体信息进行处理。 403 DAS.200050 Invalid token. token不合法。 请检查token是否正确，或者重新获取token后再试。 403 DAS.200051 Authentication failed. 鉴权失败。 请检查是否有权限。 500 DAS.200001 Internal service error. 内部服务异常。 请联系客服处理。 500 DAS.200003 Internal service invoking error. 内部服务调用异常。 请联系客服处理。 500 DAS.220005 Failed to kill process. kill会话失败。 请根据error_msg提供的具体信息进行处理。 500 DAS.220006 Failed to Query Metadata Locks. 查询元数据锁失败。 请根据error_msg提供的具体信息进行处理。 500 DAS.220007 Failed to query InnoDB locks. 查询InnoDB锁等待失败。 请根据error_msg提供的具体信息进行处理。 500 DAS.220008 Failed to query process list. 查询实例会话失败。 请根据error_msg提供的具体信息进行处理。 500 DAS.220009 Failed to query SQL execution plan. 查询SQL执行计划失败。 请根据error_msg提供的具体信息进行处理。 500 DAS.220010 Failed to list slow query logs. 获取慢SQL明细失败。 请根据error_msg提供的具体信息进行处理。 500 DAS.220011 Failed to list SQL statements. 获取全量SQL失败 请根据error_msg提供的具体信息进行处理。 500 DAS.220012 Failed to enable/disable DAS SQL explorer. 开启/关闭DAS收集全量SQL失败 请重试。 500 DAS.220013 Failed to enable/disable DAS Slow Query Log. 开启/关闭DAS收集慢日志失败 请重试。 500 DAS.220014 Failed to query the status. 查询开关开启状态失败 请根据error_msg提供的具体信息进行处理。 500 DAS.220015 Failed to query space analysis data. 查询空间分析数据失败。 请根据error_msg提供的具体信息进行处理。 500 DAS.220016 Failed to execute the space analysis task. 执行空间分析任务失败。 请检查此实例是否已经录入数据库账号。 500 DAS.220017 The switch is not enabled. DAS收集日志的开关未打开。 请打开开关。 500 DAS.220065 Failed to turn on/off the DAS transaction switch. DAS开启/关闭历史事务开关失败。 请根据error_msg提供的具体信息进行处理。 500 DAS.220066 Failed to query the DAS historical transaction switch. DAS查询历史事务开关状态失败。 请根据error_msg提供的具体信息进行处理。 500 DAS.220067 Failed to query the DAS historical transaction list. DAS查询历史事务列表失败。 请根据error_msg提供的具体信息进行处理。 父主题： 附录

Token认证 Token的有效期为24小时，需要使用一个Token鉴权时，可以先缓存起来，避免频繁调用。 Token在计算机系统中代表令牌（临时）的意思，拥有Token就代表拥有某种权限。Token认证就是在调用API的时候将Token加到请求消息头，从而通过身份认证，获得操作API的权限。 当您使用Token认证方式完成认证鉴权时，需要获取用户Token并在调用接口时增加“X-Auth-Token”到业务接口请求消息头中。 Token可通过调用获取用户Token接口获取，调用本服务API需要project级别的Token，即调用获取用户Token接口时，请求body中auth.scope的取值需要选择project，如下所示： { "auth": { "identity": { "methods": [ "password" ], "password": { "user": { "name": "username", "password": "********", "domain": { "name": "domainname" } } } }, "scope": { "project": { "name": "xxxxxxxx" } } } } 获取Token 后，再调用其他接口时，您需要在请求消息头中添加“X-Auth-Token”，其值即为Token。例如Token值为“ABCDEFJ....”，则调用接口时将“X-Auth-Token: ABCDEFJ....”加到请求消息头即可，如下所示。 POST https://iam.cn-north-1.myhuaweicloud.com/v3/auth/projectsContent-Type: application/json X-Auth-Token: ABCDEFJ.... 您还可以通过这个视频教程了解如何使用Token认证：https://bbs.huaweicloud.com/videos/101333 。

AK/SK认证 AK/SK签名认证方式仅支持消息体大小12MB以内，12MB以上的请求请使用Token认证。 AK/SK认证就是使用AK/SK对请求进行签名，在请求时将签名信息添加到消息头，从而通过身份认证。 AK(Access Key ID)：访问密钥ID。与私有访问密钥关联的唯一标识符；访问密钥ID和私有访问密钥一起使用，对请求进行加密签名。 SK(Secret Access Key)：与访问密钥ID结合使用的密钥，对请求进行加密签名，可标识发送方，并防止请求被修改。 使用AK/SK认证时，您可以基于签名算法使用AK/SK对请求进行签名，也可以使用专门的签名SDK对请求进行签名。详细的签名方法和SDK使用方法请参见API签名指南。 签名SDK只提供签名功能，与服务提供的SDK不同，使用时请注意。

示例流程 图1 给用户授予云连接权限流程 创建用户组并授权 在IAM控制台创建用户组，并授予云连接服务权限“Cross Connect Administrator”。 创建用户并加入用户组 在IAM控制台创建用户，并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台，切换至授权区域，验证权限： 在“服务列表”中选择“网络 ＞ 云连接”，然后在左侧导航栏选择“云连接 ＞ 中心网络”，进入中心网络页面，单击右上角“创建中心网络”，尝试创建中心网络，如果创建成功，表示“Cross Connect Administrator”已生效。 在“服务列表”中选择除云连接服务外（假设当前权限仅包含Cross Connect Administrator）的任一服务，如果提示权限不足，表示“Cross Connect Administrator”已生效。

中心网络配置流程 中心网络配置流程如图3所示。 图3 中心网络配置流程 表2 中心网络配置流程说明 序号 步骤 说明 操作指导 1 创建中心网络 用户在完成企业路由器的创建后，创建中心网络并添加企业路由器至策略中，即可实现云上资源跨区域互通，并集中管理云上各区域的网络资源。 创建中心网络 2 添加附件（可选） 将全域接入网关作为附件接入中心网络特定区域的企业路由器，从而关联并打通不同地域的网络实例。 添加附件 3 配置跨地域连接带宽 通过创建中心网络和添加策略将多个不同区域的企业路由器或全域接入网关加入同一策略，创建出跨地域连接实例。购买全域互联带宽后为跨地域连接配置连接带宽实现跨地域互通。 配置跨地域连接带宽

中心网络应用场景 云上不同区域互通：云上不同区域的企业路由器通过接入中心网络实现跨区域互通。 图1 企业路由器跨区域VPC互通 云下用户数据中心与云上不同区域互通：通过企业路由器结合云专线的全域接入网关能力，实现VPC与用户本地数据中心网络互通，然后将两个及以上企业路由器接入云连接的中心网络中，构成ER对等连接，则可以实现云上跨区域多个VPC和云下IDC的网络互通。 图2 企业路由器与云下数据中心互通 通过灵活更换企业路由器的互通策略，更便捷地组建用户的全球网络。

添加标签 本操作指导用户为已创建的带宽包添加标签。 进入带宽包管理列表页面。 单击目标带宽包的名称，进入带宽包基本信息页面。 单击“标签”页签，显示带宽包的标签列表。 在页面左上方单击“添加标签”。 在弹出的对话框中，输入“标签键”和“标签值”。 参数取值如表1所示。 表1 标签命名规则 参数 规则 取值样例 标签键 对于云资源，每个“标签键”都必须是唯一的，每个“标签键”只能有一个“标签值”。 不能为空。 最大长度不超过128个字符。 由任意语种字母、数字、空格、“_” 、“.”、“:”、“=”、“+” 、“-”、“@”组成。 首尾不能含有空格、不能以_sys_开头。 bandwidthPackge_key1 标签值 可以为空。 最大长度不超过255个字符。 由任意语种字母、数字、空格、“_” 、“.”、“:”、“/”、“=”、“+” 、“-”、“@”组成。 首尾不能含有空格。 bandwidthPackge-01 单击“确定”，完成带宽包标签的添加。

中心网络使用限制 使用中心网络前需要先创建以下资源，否则将无法正常配置。 企业路由器：用于创建中心网络。 全域接入网关：用于添加附件管理。 策略管理： 同一中心网络仅支持应用一个策略，如需应用其他策略可直接选择要关联的策略，之前已应用的策略将自动取消关联。 同一策略中一个区域仅支持添加一个企业路由器，创建的企业路由器之间默认互联。 当策略实例处于应用中或取消中，不能执行删除操作。 跨区域连接带宽管理： 当跨区域连接实例处于创建中、更新中、删除中、冻结中、解冻中或恢复中的过程状态时，不能执行修改连接带宽和删除连接带宽操作。 配置的跨区域连接带宽大小不可超过购买的全域互联带宽的最大带宽。 删除连接带宽后，未删除的全域互联带宽仍会继续收费。

修改网络实例的VGW CIDR 用户加载虚拟网关（VGW）实例后，可以修改虚拟网关实例的VGW CIDR信息。 修改接入云连接实例的虚拟网关网段（VGW CIDR）的操作可能会影响云连接实例与外部互通情况，请根据实际业务需求谨慎操作。 进入云连接实例列表页面。 单击目标云连接实例名称，进入基本信息页面。 单击“网络实例”页签。 单击需要修改的虚拟网关实例名称。 在页面右侧，实例基本信息区域中，单击“修改VGW CIDR”。 根据界面提示，修改VGW CIDR信息。 单击“确定”。

修改网络实例的VPC CIDR 用户加载VPC实例后，可以修改VPC实例的VPC CIDRs信息。 修改接入云连接实例的VPC网段（VPC CIDR）的操作可能会影响云连接实例与外部互通情况，请根据实际业务需求谨慎操作。 VPC CIDR指需要加载到云连接实例实现网络互通的VPC内的网段路由。用户可以通过添加汇总后的子网或非VPC范围内的子网实现自定义网段与云连接实例网段的互通。 VPC CIDR包括两个类型：子网和其他网段。若您为已加载至云连接实例的网络实例VPC配置了子网和其他网段后，表示这些网段接入到云连接实例，且能基于云连接实例通信，如果没有为云连接实例接入这些网段，则无法通过云连接实例通信。 进入云连接实例列表页面。 单击目标云连接实例名称，进入基本信息页面。 单击“网络实例”页签。 单击需要修改的VPC实例名称。 在页面右侧，实例基本信息区域中，单击“修改VPC CIDR”。 根据界面提示，修改VPC CIDRs的“子网”及“其他网段”信息。 单击“确定”。

云连接实例配额限制 表1 云连接实例配额说明 配额类型 默认配额限制 是否支持调整 一个账号支持创建的云连接实例数 6 是 提交工单申请提升配额 一个云连接实例支持加载的区域数 6 是 提交工单申请提升配额 单个区域支持加载的网络实例数 6 是 跨区域互通时提交工单申请提升配额，最多可申请10个。 同一云连接实例内，支持购买的相同互通区域带宽包的数量 1 不支持修改 一个云连接实例内，支持创建的路由条目的数量 50 是 提交工单申请提升配额

云连接实例配置流程 云连接实例配置流程如图4所示。 图4 云连接实例配置流程 表2 中心网络配置流程说明 序号 步骤 说明 操作指导 1 跨境申请（跨区域） 中国大陆区的VPC需要与中国大陆区外的VPC进行通信时，先要进行跨境申请，提交您的基本资料，保障跨境业务的安全性。 如果用户的网络规划中不涉及跨大区的通信时，则无需操作本步骤。 申请跨境网络互通资质 2 创建云连接实例 创建一个云连接实例，用于加载VPC网络实例。 创建云连接实例 3 加载网络实例 用户需要根据规划的网络连通情况，将需要互通的VPC实例加载到云连接实例中。 将网络实例加载至云连接实例 4 购买带宽包（跨区域） 为了实现相同大区不同区域或不同大区之间的互通，用户需要先购买带宽包，绑定到对应的云连接实例中，并配置域间带宽以保证业务正常使用。 如果用户的网络规划中不涉及跨区域跨大区的通信时，则无需操作本步骤。 购买带宽包 5 配置域间带宽（跨区域） 配置域间带宽

云连接实例应用场景 连通同区域的VPC网络（私有网络） 加载至云连接实例的同区域VPC之间默认互通。 图1 同区域VPC互通场景图 连通不同区域的VPC网络（私有网络） 当云上多个区域的VPC之间需要跨区域进行私网通信时，云连接实例可以根据您的网络规划，轻松实现多个跨区域VPC连通的场景，提高网络拓扑的灵活性，并为您提供安全可靠的私网通信。 图2 跨区域VPC互通场景图 连通不同区域的多个VPC和云下IDC的网络（混合云网络） 当用户本地的多个数据中心需要与云上多个区域的VPC进行私网通信时，您可以通过云专线实现本地数据中心接入云上VPC，再通过云连接实例加载需要互通的VPC和数据中心接入的虚拟网关，实现本地数据中心与多区域的VPC的私网通信，实现多点全网通场景。 图3 跨区域VPC与云下IDC互通场景图

查看跨地域连接带宽监控指标 支持查看跨地域连接互通的企业路由器网络情况。 进入中心网络列表页面。 单击目标中心网络名称。 单击“跨地域连接带宽管理”页签，在“监控”列，查看监控信息。 中心网络可帮助用户在不同区域企业路由器之间、企业路由器与本地数据中心间搭建通信通道，实现同区域或跨区域网络互通。因此在使用中心网络过程中，系统监控的是中心网络策略中企业路由器连接的监控指标。更多监控信息详见中心网络支持的监控指标。 企业路由器与全域接入网关互通时，仅支持查看企业路由器的监控指标。

云连接实例使用限制 在同一个云连接实例里，所有网络实例Subnet子网CIDR不能冲突，否则可能会引起互通问题。 在云连接实例中，同账号加载VPC网络实例，并通过其他网段引入自定义CIDR时，不能引入回环地址，组播地址或广播地址。 在同一个云连接实例里加载的所有VPC网络实例里，如果某个VPC同时创建了NAT网关，则只能同时在该VPC网络实例里通过高级配置自定义子网的方式引入默认路由“0.0.0.0/0”。 云连接实例支持绑定多个不同计费模式的带宽包。 互通大区及计费模式相同的带宽包，一个云连接实例只能绑定一个带宽包。

约束与限制 目前仅支持添加同一带宽区域类型下的实例。 一个全域互联带宽仅能添加一种实例类型，首次添加了实例类型后仅可添加该类型下的子实例，如需添加其他实例类型，请进行移出后重新添加。 全域弹性公网IP：支持批量添加和移出实例。 中心网络：仅支持添加和移出一个实例。 将中心网络添加至全域互联带宽，需先配置跨地域连接，详情请参见： 创建中心网络。 管理策略。 管理附件。 不同带宽类型的全域互联带宽可配合不同的实例使用，详情见表1。 表1 全域互联带宽添加实例说明 带宽类型 全域弹性公网IP 中心网络 城域带宽 √ × 大区带宽 √ √ 跨区带宽 √ √

跨境网络互通申请 根据中华人民共和国工业和信息化部（简称工信部）相关法律、行政法规规定，中国大陆只有三大运营商具备跨境业务运营资质。所以涉及跨中国大陆访问的业务场景，都需要通过跨境网络互通资质审核。 为遵循跨境通讯的法律法规，在用户申请购买中国大陆跨境带宽包时，需要提前申请跨境资质认证。中国大陆跨境带宽包主要支持以下三种基于云连接服务的跨境业务互访场景： 中国大陆-亚太的跨境互访。 中国大陆-南非的跨境互访。 中国大陆-拉美西的跨境互访。 申请跨境网络互通资质，需要用户提供相应的资质申请文件用印，并在线提交后，由华为云的跨境业务合作伙伴中国联通进行在线审批，并在一个工作日内在线反馈审批结果。在跨境网络互通资质申请通过后，您就可以申请购买中国大陆跨境带宽包了。

跨境网络互通申请的使用限制 云连接跨境网络互通资质申请合同内容不可以变更。 因《跨境资质申请合同》是与深圳联通确定的制式合同，无法进行更改。 云连接跨境网络互通资质申请资料已上传后，若本地文件丢失无法找回，请妥善保管您的跨境资质申请材料。 跨境网络互通资质申请相关材料不需要华为方签字和盖章。 华为云为用户提供跨境业务编排能力，跨境线路经营主体是中国联通，中国联通根据工信部的要求，直接审核用户的跨境资质材料并备案。

支持审计的关键操作列表 表1 云审计 支持的云连接实例操作列表 操作名称 资源类型 事件名称 创建云连接实例 cloudConnection createCloudConnection 更新云连接实例 cloudConnection updateCloudConnection 删除云连接实例 cloudConnection deleteCloudConnection 加载网络实例 networkInstance createNetworkInstance 更新网络实例 networkInstance updateNetworkInstance 删除网络实例 networkInstance deleteNetworkInstance 创建域间带宽 interRegionBandwidth createInterRegionBandwidth 更新域间带宽 interRegionBandwidth updateInterRegionBandwidth 删除域间带宽 interRegionBandwidth deleteInterRegionBandwidth 创建带宽包 bandwidthPackage createBandwidthPackage 更新带宽包 bandwidthPackage updateBandwidthPackage 删除带宽包 bandwidthPackage deleteBandwidthPackage 绑定带宽包 bandwidthPackage associateBandwidthPackage 解绑带宽包 bandwidthPackage disassociateBandwidthPackage 创建跨账号实例授权 authorisation createAuthorisation 更新跨账号实例授权 authorisation updateAuthorisation 删除跨账号实例授权 authorisation deleteAuthorisation

添加标签 本操作指导用户为已创建的云连接实例添加标签。 进入云连接实例列表页面。 单击目标云连接实例名称，进入基本信息页面。 单击“标签”页签。 单击“添加标签”，在弹出的对话框中，输入“标签键”和“标签值”。 参数取值如表1所示。 表1 标签命名规则 参数 规则 取值样例 标签键 对于云资源，每个“标签键”都必须是唯一的，每个“标签键”只能有一个“标签值”。 不能为空。 最大长度不超过128个字符。 由任意语种字母、数字、空格、“_” 、“.”、“:”、“=”、“+” 、“-”、“@”组成。 首尾不能含有空格、不能以_sys_开头。 cc_key1 标签值 可以为空。 最大长度不超过255个字符。 由任意语种字母、数字、空格、“_” 、“.”、“:”、“/”、“=”、“+” 、“-”、“@”组成。 首尾不能含有空格。 cc-01 单击“确定”，完成云连接标签的添加。

示例2：授权子账号使用所有企业项目中的云连接服务 根据业务需要，子账号需要使用所有企业项目中云连接服务的云连接实例、网络实例、带宽包、域间带宽和路由信息等功能，可参考如下步骤进行配置。 如需使用跨账号、跨境申请功能，请参见示例1：非企业项目的子账号使用云连接全部功能。 登录管理控制台。 在系统首页，鼠标移至右上角用户名，选择下拉菜单中的“ 统一身份认证 ”。 图10 统一身份认证 在页面左侧目录中，选择“用户组”。 在用户组页面，单击右上角“创建用户组”。 图11 创建用户组 根据界面提示配置相关参数，单击“确定”。 图12 配置用户组参数 单击用户组名称，进入已创建成功的用户组。 在页面右侧选择“IAM项目视图”，单击“授权”。 图13 用户组授权 在授权页面右侧搜索框中输入“CC FullAccess”并搜索。 在搜索结果中，勾选系统角色“CC FullAccess”，单击“下一步”。 图14 选择系统策略 单击“展开其他方案”。 图15 选择授权范围方案 选择“全局服务资源”，单击“确定”。 图16 设置最小授权范围 返回用户组列表，在已授权的用户组所在行的操作列，单击“用户组管理”。 图17 用户组管理 根据界面提示勾选目标用户加入当前用户组，单击“确定”。 如果当前子账号不包含VPC资源相关权限，可以为用户组再配置一个“CC Network Depend QueryAccess”权限，最小授权范围请选择“所有资源”。 可以在用户组授权记录中查看相关授权信息。 图18 授权记录