华为云用户手册

示例3：授权子账号使用指定企业项目的云连接服务 根据业务需要，子账号需要使用指定企业项目中云连接服务的云连接实例、网络实例、带宽包、域间带宽和路由信息等功能，可参考如下步骤进行配置。 如需使用跨账号、跨境申请功能，请参见示例1：非企业项目的子账号使用云连接全部功能。 登录管理控制台。 在系统首页，鼠标移至右上角用户名，选择下拉菜单中的“ 统一身份认证 ”。 图19 统一身份认证 在页面左侧目录中，选择“用户组”。 在用户组页面，单击右上角“创建用户组”。 图20 创建用户组 根据界面提示配置相关参数，单击“确定”。 图21 配置用户组参数 单击用户组名称，进入已创建成功的用户组。 在页面右侧选择“ IAM 项目视图”，单击“授权”。 图22 用户组授权 在授权页面右侧搜索框中输入“CC FullAccess”并搜索。 在搜索结果中，勾选系统角色“CC FullAccess”，单击“下一步”。 图23 选择系统策略 单击“展开其他方案”。 图24 选择授权范围方案 选择“指定企业项目资源”。 根据界面提示勾选指定企业项目，单击“确定”。 图25 设置最小授权范围 等待授权完成后，在页面左侧目录中，选择“权限管理 ＞ 权限”。 图26 权限 在权限页面，单击“创建自定义策略”。 图27 创建自定义策略 根据表1配置自定义策略相关参数。 表1 配置自定义策略 参数 说明 策略名称 自定义策略的名称。 策略配置方式 可视化视图（推荐） JSON视图 策略内容 勾选“允许” 云服务：云连接 操作： 只读：勾选“cc:networkInstances:get”、“cc:interRegionBandwidths:get”、“cc:cloudConnectionRoutes:get” 写：勾选 “cc:networkInstances:create” “cc:interRegionBandwidths:update” “cc:networkInstances:delete” “cc:interRegionBandwidths:create” “cc:interRegionBandwidths:delete” “cc:networkInstances:update” 列表：勾选 “cc:cloudConnectionRoutes:list” “cc:networkInstances:list” “cc:interRegionBandwidths:list” 单击“确定”。 重复步骤3到步骤7。 根据名称搜索已创建的自定义策略。 勾选自定义策略，单击“下一步”。 单击“展开其他方案”。 选择“全局服务资源”，单击“确定”。 如果当前子账号不包含VPC资源相关权限，可以为用户组再配置一个“CC Network Depend QueryAccess”权限，最小授权范围请选择“所有资源”。 可以在用户组授权记录中查看相关授权信息。 图28 IAM项目视图授权记录 图29 企业项目视图授权记录

示例1：非企业项目的子账号使用云连接全部功能 根据业务需要，非企业项目子账号希望使用云连接服务的全部功能，包括云连接、网络实例、带宽包、域间带宽、路由信息、跨账号和跨境申请等。 具体配置如下： 登录管理控制台。 在系统首页，鼠标移至右上角用户名，选择下拉菜单中的“统一身份认证”。 图1 统一身份认证 在页面左侧目录中，选择“用户组”。 在用户组页面，单击右上角“创建用户组”。 图2 创建用户组 根据界面提示配置相关参数，单击“确定”。 图3 配置用户组参数 单击用户组名称，进入已创建成功的用户组。 在页面右侧选择“IAM项目视图”，单击“授权”。 图4 用户组授权 在授权页面右侧搜索框中输入“Cross Connect Administrator”并搜索。 在搜索结果中，勾选系统角色“Cross Connect Administrator”，单击“下一步”。 图5 选择系统角色 单击“展开其他方案”。 图6 选择授权范围方案 选择“全局服务资源”，单击“确定”。 图7 设置最小授权范围 授权后需等待大约15~30分钟，之后授权生效，页面提示“授权成功”，则表示已完成用户组授权。 图8 授权成功 返回用户组列表，在已授权的用户组所在行的操作列，单击“用户组管理”。 图9 用户组管理 根据界面提示勾选目标用户加入当前用户组，单击“确定”。

申请跨境网络互通资质 进入带宽包管理列表页面。 在带宽包管理页面，单击“立即申请”。 如果您业务主体的注册地址在中国大陆，请单击此处进入中国联通跨境云服务在线申请页面。 如果您业务主体的注册地址在中国大陆之外，请单击此处进入中国联通跨境云服务在线申请页面。 请根据您实际业务主体的注册地址来选取跨境资质申请地址。 在跨境云服务在线申请页面，选择“申请人类型”，然后根据提示配置相关参数，并上传相关材料。 请根据实际申请页面完成跨境资质申请材料的准备和上传。 表1 跨境云服务在线申请 参数 说明 客户名称 必须与《信息安全承诺书》中的“用户名称”保持一致。 华为云ID 指用户在华为云管理控制台的“账号ID”，从控制台获取账号ID的步骤如下： 登录管理控制台。 鼠标悬停在右上角的用户名，选择下拉列表中的“我的凭证”。 在“API凭证”页面的项目列表中查看并获取账号ID。 客户类型 根据企业类型选择。 经营范围 概括描述主营业务即可。 客户企业规模（人数) 仅做备案参考。 客户所属国家 申请跨境业务的主体所在国家。 客户境内外分公司所在国家 根据企业实际情况填写。 客户统一社会信用代码 - 客户法人 - 法人证件类型 - 法人证件号 - 跨境需求带宽(M) 仅做备案参考。 跨境服务生效时间 仅做备案参考。 跨境服务终止时间 仅做备案参考。 客户联系人 - 客户联系人电话 - 联系人证件类型 - 联系人证件号 - 表2 跨境申请材料 参数 说明 具体申请材料说明 签字 盖章（企业公章） 营业执照 请上传加盖过公章的营业执照照片。 盖章位置请参考相应的模板文件。 营业执照扫描件 - √ 业务协议 请下载《华为云服务跨境专线业务服务协议》后，填写签字盖章后上传扫描件。 请在签字栏处签字。 盖章需覆盖签名。 《华为云服务跨境专线业务服务协议》扫描件 √ √ 信息安全承诺书 下载《信息安全承诺书模板》 后，填写签字盖章后上传扫描件。 请在签字栏处签字。 盖章需覆盖签名。 该材料中需要填写公司名称、带宽值，带宽值可按照初始预估值填写。 《中国联通专线业务信息安全承诺书》扫描件 √ √ 联系人身份证正反面 请上传清晰的加盖公章的联系人身份证正反面。 盖章位置请参考相应的模板文件。 联系人身份证正反面 - √ 联系人授权委托书 下载《联系人授权委托书模板》 后，填写签字盖章后上传扫描件。 盖章位置请参考相应的模板文件。 《跨境业务办理授权书》扫描件 - √ 单击“立即申请”。 提交之后跨境申请的状态为“审核中”，审核需要1个工作日，当状态为“已授权”时，显示跨境申请完成。

云连接自定义策略样例 示例1：授权用户删除云连接 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "cc:cloudConnections:delete" ] } ]} 示例2：拒绝用户删除带宽包 拒绝策略需要同时配合其他策略使用，否则没有实际作用。用户被授予的策略中，一个授权项的作用如果同时存在Allow和Deny，则遵循Deny优先原则。 如果您给用户授予CC FullAccess的系统策略，但不希望用户拥有CC FullAccess中定义的删除带宽包权限，您可以创建一条拒绝删除带宽包的自定义策略，然后同时将CC FullAccess和拒绝策略授予用户，根据Deny优先原则，则用户可以对云连接执行除了删除带宽包外的所有操作。拒绝策略示例如下： { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "cc:bandwidthPackages:delete" ] } ]} 示例3：多个授权项策略 一个自定义策略中可以包含多个授权项，且除了可以包含本服务的授权项外，还可以包含其他服务的授权项，可以包含的其他服务必须跟本服务同属性，即都是项目级服务或都是全局级服务。多个授权语句策略描述如下： { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "cc:bandwidthPackages:create", "cc:cloudConnections:create", "cc:bandwidthPackages:delete", "cc:cloudConnections:delete" ] }, { "Effect": "Allow", "Action": [ "eps:enterpriseProjects:enable", "eps:enterpriseProjects:update", "eps:enterpriseProjects:create", "eps:enterpriseProjects:delete" ] } ]}

示例流程 图1 给用户授予云连接权限流程 创建用户组并授权 在IAM控制台创建用户组，并授予云连接服务权限“Cross Connect Administrator”。 创建用户并加入用户组 在IAM控制台创建用户，并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台，切换至授权区域，验证权限： 在“服务列表”中选择“网络 ＞ 云连接”，进入云连接的页面，单击右上角“创建云连接”，尝试创建云连接实例，如果创建成功，表示“Cross Connect Administrator”已生效。 在“服务列表”中选择除云连接服务外（假设当前权限仅包含Cross Connect Administrator）的任一服务，如果提示权限不足，表示“Cross Connect Administrator”已生效。

注意事项 修改接入云连接实例的VPC网段（VPC CIDR）的操作可能会影响云连接实例与外部互通情况，请根据实际业务需求谨慎操作。 VPC CIDR指需要加载到云连接实例实现网络互通的VPC内的网段路由。用户可以通过添加汇总后的子网或非VPC范围内的子网实现自定义网段与云连接实例网段的互通。 VPC CIDR包括两个类型：子网和其他网段。若您为已加载至云连接实例的网络实例VPC配置了子网和其他网段后，表示这些网段接入到云连接实例，且能基于云连接实例通信，如果没有为云连接实例接入这些网段，则无法通过云连接实例通信。 示例说明： 比如已通过创建一个云连接实例实现不同区域的网络实例VPC-A和VPC-B互通，其中VPC-A有两个子网，分别是子网1和子网2，如果当前VPC-A只接入了子网1，那么则子网1和VPC-B互通，子网2和VPC-B不通。如果您需要实现VPC-A的子网2与VPC-B互通，则需要修改VPC-A的VPC CIDR为子网2的网段，此时变成是子网2和VPC-B互通，子网1和VPC-B不通。

中心网络自定义策略样例 示例1：授权用户删除中心网络 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "cc:centralNetwork:delete" ] } ]} 示例2：拒绝用户删除中心网络策略 拒绝策略需要同时配合其他策略使用，否则没有实际作用。用户被授予的策略中，一个授权项的作用如果同时存在Allow和Deny，则遵循Deny优先原则。 如果您给用户授予CC FullAccess的系统策略，但不希望用户拥有CC FullAccess中定义的删除中心网络策略权限，您可以创建一条拒绝删除中心网络策略的自定义策略，然后同时将CC FullAccess和拒绝策略授予用户，根据Deny优先原则，则用户可以对云连接执行除了删除中心网络策略外的所有操作。拒绝策略示例如下： { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "cc:centralNetwork:deletePolicy" ] } ]} 示例3：多个授权项策略 一个自定义策略中可以包含多个授权项，且除了可以包含本服务的授权项外，还可以包含其他服务的授权项，可以包含的其他服务必须跟本服务同属性，即都是项目级服务或都是全局级服务。多个授权语句策略描述如下： { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "cc:centralNetwork:create", "cc:centralNetwork:update", "cc:centralNetwork:delete", "cc:centralNetwork:get" ] }, { "Effect": "Allow", "Action": [ "er:instances:create", "er:instances:update", "er:instances:delete", "er:instances:get" ] } ]}

监控云连接 监控是保持云连接实例可靠性、可用性和性能的重要部分，通过监控，用户可以观察云连接实例资源。为使用户更好地掌握自己的云连接实例运行状态，公有云平台提供了 云监控 。您可以使用该服务监控您的云连接实例，执行自动实时监控、告警和通知操作，帮助您更好地了解云连接实例的各项性能指标。 通过后续章节，您可以了解以下内容： 云连接实例当前支持的监控指标 如何自定义云连接实例告警规则 如何查看云连接实例运行状态并进行日常监控 父主题： 使用 CES 服务监控CC云连接实例的网络指标

将网络实例加载至云连接实例 进入云连接实例列表页面。 单击目标云连接实例名称，进入基本信息页面。 单击“网络实例”页签。 单击“加载网络实例”，在弹出的对话框中可以看到支持同账号加载和跨账号加载。 如果需要加载的网络实例来自于创建云连接实例的账号，则使用同账号加载。 根据表1填写对应参数后，单击“确定”。 表1 加载同账号网络实例参数 参数 说明 取值样例 账号 加载的网络实例的账号类型。 这里选择同账号。 同账号 区域 需要连接的VPC所在区域。 华北-北京一 实例类型 需要加载到云连接实例中实现互通的实例类型。包括： 虚拟私有云（VPC） 虚拟网关（VGW） 这里选择虚拟私有云（VPC）。 虚拟私有云 VPC 需要加载到云连接实例中实现网络互通的VPC名称。 当实例类型参数选择虚拟私有云时，需要配置此参数。 VPC-A VPC CIDRs 需要加载到云连接实例中实现网络互通的VPC内的网段路由。 当实例类型参数选择虚拟私有云时，需配置以下两个参数： 子网 其他网段：其中包含自定义网段的配置 Subnet-A01 备注 加载同账号网络实例备注信息。 - 如果网络实例来自于其他用户，则使用跨账号加载。 根据表2填写对应参数后，单击“确定”。 表2 加载跨账号网络实例参数 参数 说明 取值样例 账号 加载的网络实例的账号类型。 这里选择跨账号。 跨账号 对方账号ID VPC所属账号的ID。 - 区域 需要连接的VPC所在区域。 华东-上海一 对方项目ID VPC所属账号的所在项目ID。 - 实例类型 虚拟私有云（VPC） 需要加载到云连接实例中实现互通的实例类型。 虚拟私有云 对方VPC ID 需要加载的VPC ID。 - VPC CIDRs 需要加载到云连接实例中实现网络互通的网段路由。 Subnet-B01 备注 加载跨账号网络实例备注信息。 - 在弹出加载成功的对话框中，如果需要继续加载网络实例，在对话框中单击“继续加载”。不需要加载可以关闭弹窗，在网络实例页签中查看已加载的网络实例信息。

支持审计的关键操作列表 表1 云审计 支持的中心网络操作列表 操作名称 资源类型 事件名称 创建中心网络 centralNetwork createCentralNetwork 更新中心网络 centralNetwork updateCentralNetwork 删除中心网络 centralNetwork deleteCentralNetwork 创建中心网络策略 centralNetworkPolicy createCentralNetworkPolicy 应用中心网络策略 centralNetworkPolicy applyCentralNetworkPolicy 删除中心网络策略 centralNetworkPolicy deleteCentralNetworkPolicy 创建中心网络全域接入网关附件 centralNetworkAttachment createCentralNetworkGdgwAttachment 更新中心网络全域接入网关附件 centralNetworkAttachment updateCentralNetworkGdgwAttachment 删除中心网络附件 centralNetworkAttachment deleteCentralNetworkAttachment 更新中心网络连接 centralNetworkConnection updateCentralNetworkConnection 创建中心网络标签 createCentralNetworkTags centralNetworkTags 删除中心网络标签 deleteCentralNetworkTags centralNetworkTags 表2 云审计支持的全域互联带宽操作列表 操作名称 资源类型 事件名称 创建全域互联带宽 globalConnectionBandwidth createGcBandwidth 更新全域互联带宽 globalConnectionBandwidth updateGcBandwidth 删除全域互联带宽 globalConnectionBandwidth deleteGcBandwidth 绑定实例 globalConnectionBandwidth bindGcBandwidth 解绑实例 globalConnectionBandwidth unbindGcBandwidth

路由的使用限制 当您创建VPC时，系统会同步为VPC创建一个默认路由表。除此之外，您还可以创建自定义路由表。 在一个VPC内，最多可关联5个路由表，包括1个默认路由表和4个自定义路由表。 在一个VPC内的所有路由表中，最多可容纳1000条路由。系统自动创建的路由，即类型为“系统”的路由不占用该配额。 在VPC路由表中，存在系统添加的Local路由以及自定义路由。 通常情况下，自定义路由的目的地址不能与系统添加的Local路由的目的地址重叠。Local路由的目的地址一般有子网网段地址，以及系统内部通信的网段地址。 您无法在VPC路由表中添加目的地址相同的两条自定义路由，即使路由的下一跳类型不同也不行。 在VPC路由表中，路由的优先级说明请参见表3。 表3 VPC路由优先级说明 路由优先级 说明 Local路由最优先匹配 Local路由用于VPC内通信的系统默认路由，优先级最高。 最精确路由优先匹配 除去Local路由，当路由表中同时有多条路由规则可以匹配目的 IP 地址时，此时遵循最长匹配原则，即优先采用掩码最长，最精确匹配的一条路由并确定下一跳。 示例： 流量的目的地址为192.168.1.12/32。 路由A的目的地址为192.168.0.0/16，下一跳为E CS -A。 路由B的目的地址为192.168.1.0/24，下一跳为对等连接。 则根据最长匹配原则，该流量和路由B的目的地址匹配度更高，将去往对等连接。 弹性公网IP（EIP）优先级高于默认路由 当路由表中存在默认路由（默认路由目的地址为0.0.0.0/0，表示匹配任何流量），并且子网内的ECS关联了EIP，则EIP的优先级高于默认路由，流量将会通过EIP访问公网。 示例： 路由A的目的地址为0.0.0.0/0，下一跳为NAT网关。 VPC子网内的ECS关联了EIP。 则ECS出方向的流量将去往公网，不会去往NAT网关。

路由 您可以在默认路由表和自定义路由表中添加路由，路由包括目的地址、下一跳类型、下一跳地址等信息，可以决定网络流量的走向。路由分为系统路由和自定义路由。 系统路由：系统路由一般为VPC服务或者其他服务（比如VPN、DC等）自动在路由表添加的路由，无法删除或修改。 创建路由表时，VPC服务会自动在路由表中添加下一跳为Local的路由，通常情况下，路由表中有以下Local的路由： 目的地址是100.64.0.0/10，该路由用于子网内实例访问云上公共服务，比如访问DNS服务器等。 目的地址是198.19.128.0/20，表示系统内部服务使用的网段地址，比如VPCEP等服务。 目的地址是127.0.0.0/8，表示本地回环地址。 目的地址是子网网段，该路由用于当前VPC内，不同子网的内网网络互通。 您在创建子网时，开启IPv6功能，系统将自动为当前子网分配IPv6网段，就可以在路由表中看到IPv6路由。子网网段目的地址示例如下： IPv4地址：192.168.2.0/24。 IPv6地址：2407:c080:802:be7::/64。 自定义路由：路由表创建完成后，您可以添加自定义路由来控制网络流量的走向，需要指定路由的目的地址和下一跳等信息。除了手动添加自定义路由，当您使用其他云服务时（比如云容器引擎CCE或者NAT网关），其他服务会自动在VPC路由表中添加自定义路由。 路由表包括默认路由表和自定义路由表，不同路由表中支持添加自定义路由的下一跳类型有差异，详情请参见表1和表2。相比自定义路由表，默认路由表支持添加自定义路由的下一跳类型较少，是由于部分服务（比如VPN、云专线、云连接等）会自动在默认路由表中添加路由，无需您手动在默认路由表中添加自定义路由。 表1 默认路由表支持的下一跳类型 下一跳类型 说明 服务器实例 将指向目的地址的流量转发到虚拟私有云内的一台ECS实例。 扩展网卡 将指向目的地址的流量转发到虚拟私有云内的一台ECS实例的扩展网卡。 辅助弹性网卡 将指向目的地址的流量转发到虚拟私有云内的一台ECS实例的辅助弹性网卡。 NAT网关 将指向目的地址的流量转发到一个NAT网关。 对等连接 将指向目的地址的流量转发到一个对等连接。 虚拟IP 将指向目的地址的流量转发到一个虚拟IP地址，可以通过该虚拟IP地址将流量转发到主备ECS。 VPC终端节点 将指向目的地址的流量转发到一个VPC终端节点。 云容器引擎 将指向目的地址的流量转发到一个云容器引擎的节点。 企业路由器 将指向目的地址的流量转发到一个企业路由器。 云防火墙 将指向目的地址的流量转发到一个云防火墙。 全域互联网网关 将指向目的地址的流量转发到一个全域互联网网关。 表2 自定义路由表支持下一跳类型 下一跳类型 说明 服务器实例 将指向目的地址的流量转发到虚拟私有云内的一台ECS实例。 扩展网卡 将指向目的地址的流量转发到虚拟私有云内的一台ECS实例的扩展网卡。 裸金属服务器自定义网络 将指向目的地址的流量转发到一个裸金属服务器自定义网络。 VPN网关 将指向目的地址的流量转发到一个VPN网关。 云专线网关 将指向目的地址的流量转发到一个云专线网关。 云连接 将指向目的地址的流量转发到云连接。 辅助弹性网卡 将指向目的地址的流量转发到虚拟私有云内的一台ECS实例的辅助弹性网卡。 NAT网关 将指向目的地址的流量转发到一个NAT网关。 对等连接 将指向目的地址的流量转发到一个对等连接。 虚拟IP 将指向目的地址的流量转发到一个虚拟IP地址，可以通过该虚拟IP地址将流量转发到主备ECS。 VPC终端节点 将指向目的地址的流量转发到一个VPC终端节点。 云容器引擎 将指向目的地址的流量转发到一个云容器引擎的节点。 企业路由器 将指向目的地址的流量转发到一个企业路由器。 云防火墙 将指向目的地址的流量转发到一个云防火墙。 全域互联网网关 将指向目的地址的流量转发到一个全域互联网网关。 个别由系统下发的路由可供用户修改和删除，这取决于创建对端服务时是否已设置目的地址。 例如，创建NAT网关时，系统会自动下发一条自定义类型的路由，没有明确指定目的地址（默认为0.0.0.0/0）,此时用户可修改该目的地址。而创建VPN网关时，可以指定远端子网，也就是路由的目的地址，系统将下发系统类型的路由。如果在路由表页面更改路由将会导致与对端数据不一致，您可以前往对端服务页面修改远端子网来调整路由表中的路由规则。 不支持手动在VPC路由表中添加下一跳类型为“VPC终端节点”或者“云容器引擎”的路由，通常您在配置VPC终端节点或者云容器引擎服务时，由该服务自动添加在VPC路由表中。

退订包年/包月带宽包 退订包年/包月带宽包之前需解绑已绑定的云连接实例。解绑云连接实例的具体操作，请参见为带宽包解绑云连接实例。 进入带宽包管理列表页面。 在目标带宽包的“操作”列，选择“更多＞退订”。 在退订资源页面，请确认退订资源信息和退款金额，确认无误后，选择退订原因，然后勾选“我已确认本次退订的资源已完成数据备份或不再使用，未放入回收站的资源退订后无法恢复。”。 单击“退订”。 在弹出的确认对话框中，继续单击“退订”，完成包年/包月带宽包的退订。

跨账号授权 云连接跨账号授权是指一个账号（账号A）向另一个账号（账号B）授权使用其云服务资源的过程。在这种场景下，即使账号A禁用了特定的云服务访问，账号B仍然可以使用已被账号A授权的云服务资源，这一权限的使用不受账号A禁用该云服务功能的限制。例如，通过 资源访问管理 （ RAM ）共享资源，或通过策略进行跨账号授权，账号B可以继续访问和使用资源。这种授权机制允许不同账号之间共享和协作使用云资源，同时保持各自账号的独立性和安全性。

操作流程 操作步骤 说明 准备工作 使用云服务前，您需要 注册华为账号 并开通华为云、完成实名认证、为账户充值。 步骤一：创建业务VPC和中转VPC 创建业务VPC（含业务子网）和中转VPC（含中转子网）。 步骤二：配置VPC Peering 创建VPC对等连接将用户IDC（Peering目的VPC）与中转VPC连通。 步骤三：创建 私网NAT网关 购买一个私网NAT网关。 步骤四：创建中转IP 创建中转IP，使虚拟私有云内多个云服务器可以共享中转IP。 步骤五：添加SNAT规则 为私网NAT网关添加SNAT规则，通过绑定中转IP可实现VPC内的多个云服务器共享中转IP，访问外部数据中心或其他VPC。 步骤六：添加路由 自定义路由，路由包括目的地址、下一跳类型、下一跳地址等信息，可以决定网络流量的走向。 步骤七：添加安全组规则 在目的VPC包含的云服务器中添加入方向安全组规则，用于将转发到目的端的流量全部放通。

操作流程 操作步骤 说明 准备工作 使用云服务前，您需要注册华为账号并开通华为云、完成实名认证、为账户充值。 步骤一：创建EIP 创建一个弹性公网IP。 步骤二：创建公网NAT网关 创建一个公网NAT网关。 步骤三：添加SNAT规则 为公网NAT网关添加SNAT规则，使得对应子网网段内的云服务器共享EIP访问公网。 步骤四：验证是否成功添加SNAT规则 验证SNAT规则已在运行中。 步骤五：验证服务器是否可以通过NAT网关访问公网 验证SNAT规则生效网段内的云服务器可以访问公网。

操作流程 操作步骤 说明 准备工作 使用云服务前，您需要注册华为账号并开通华为云、完成实名认证、为账户充值。 步骤一：创建EIP 创建一个弹性公网IP。 步骤二：创建公网NAT网关 创建一个公网NAT网关。 步骤三：添加默认路由指向公网NAT网关 添加路由表。 步骤四：添加DNAT规则 为公网NAT网关添加DNAT规则，使得对应子网网段内的云服务器共享EIP访问公网。 步骤五：验证是否成功添加DNAT规则 验证DNAT规则已在运行中。 步骤六：验证私网服务器可以被外部公网服务器通过NAT网关访问 验证DNAT规则生效的云服务器可以被公网客户端成功访问。

响应示例 { "id": "baabcb565bb611eb8a0dfa163e3ddba1", "name": "demo-task", "created_at": "2024-07-31T10:30:49Z", "updated_at": "2024-07-31T10:30:49Z", "state": "PENDING", "input": { "type": "obs", "data": [ { "bucket": "bucket-name", "path": "path/to/data/" } ] }, "output": { "obs": { "bucket": "bucket-name", "path": "path/to/data/" } }, "config": { "start_time_begin": "2017010100", "start_time_end": "2017010200", "start_time_interval_hours": 6, "forecast_lead_hours": 168, "draw_figures": "true", "forecast_features": "" } }

响应参数 状态码： 200 表2 响应Body参数 参数 参数类型 描述 id String 作业ID。 name String 作业名称。 created_at String 创建时间。 updated_at String 更新时间。 state String 任务状态。 RUNNING：表示任务运行中。 PENDING：表示任务等待中。 SUCCEEDED：表示任务运行成功。 FAILED：表示任务运行失败。 input TaskInputDto object 输入数据的信息。 output TaskOutputDto object 输出数据的信息。 config TaskConfigDto object 科学计算大模型配置信息。 表3 TaskInputDto 参数 参数类型 描述 type String 存储类型。 data Array of ObsStorageDto objects 输入数据的OBS信息。 表4 ObsStorageDto 参数 参数类型 描述 bucket String 输入数据的OBS桶名称。 path String 初始场数据的存放路径。 表5 TaskOutputDto 参数 参数类型 描述 obs ObsStorageDto object 输出数据的OBS信息。 表6 TaskConfigDto 参数 参数类型 描述 start_time_begin String 起报时间区间起点（YYYYMMDDHH时间戳）。 start_time_end String 起报时间区间终点（YYYYMMDDHH时间戳）。 start_time_interval_hours Long 起报时间间隔小时数，默认6。 forecast_lead_hours Long 预报未来小时数，默认168。 draw_figures String 是否输出结果图片，取值true/false，默认true。 forecast_features String 确定性预报的输出要素，例如“Surface:U;1000:T;800:?abc”。

请求参数 使用Token认证方式的请求Header参数见表1。 表1 请求Header参数（Token认证） 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 用户Token。 用于获取操作API的权限。 获取Token 接口响应消息头中X-Subject-Token的值即为Token。 Content-Type 是 String 发送的实体的MIME类型，参数值为“application/json”。 使用AppCode认证方式的请求Header参数见表2。 表2 请求Header参数（APPCode认证） 参数 是否必选 参数类型 描述 X-Apig-AppCode 是 String APPCode值。 用于获取操作API的权限。AppCode认证响应消息头中X-Apig-AppCode的值即为APPCode。 Content-Type 是 String 发送的实体的MIME类型，参数值为“application/json”。 表3 请求Body参数 参数 是否必选 参数类型 描述 name 是 String 推理作业的名称。 input 是 TaskInputDto object 输入数据的信息。 output 是 TaskOutputDto object 输出数据的信息。 config 是 TaskConfigDto object 科学计算大模型配置信息。 表4 TaskInputDto 参数 是否必选 参数类型 描述 type 是 String 存储类型，取值为obs。 data 是 Array of ObsStorageDto objects 输入数据的OBS信息。 表5 ObsStorageDto 参数 是否必选 参数类型 描述 bucket 是 String 输入数据的OBS桶名称。 path 是 String 初始场数据的存放路径。 表6 TaskOutputDto 参数 是否必选 参数类型 描述 obs 是 ObsStorageDto object 输出数据的OBS信息。 表7 TaskConfigDto 参数 是否必选 参数类型 描述 start_time_begin 是 String 起报时间区间起点（YYYYMMDDHH时间戳）。 start_time_end 是 String 起报时间区间终点（YYYYMMDDHH时间戳）。 start_time_interval_hours 否 Long 起报时间间隔小时数，默认6。取值范围：[1, 24]。 forecast_lead_hours 否 Long 预报未来小时数，默认168。如需预报未来30天，可将此参数设置成720。 draw_figures 否 String 是否输出结果图片，取值true/false，默认true。 forecast_features 否 String 确定性预报的输出要素，例如“Surface:U;1000:T;800:?abc”。 可选择的要素参考表8中，提供的全球海洋要素模型的深海变量和海表变量。 表8 中期海洋智能预测模型信息 模型 深海层深 预报深海变量 预报海表变量 时间分辨率 水平分辨率 区域范围 全球海洋要素模型 0m, 6m, 10m, 20m, 30m, 50m, 70m, 100m, 125m, 150m, 200m, 250m, 300m, 400m, 500m T：海温(℃) S：海盐(PSU) U：海流经向速率 (ms-1) V：海流纬向速率 (ms-1) SSH：海表高度(m) 24h 0.25°*0.25° 在60°S至65°N，180°W至180°E覆盖全球海洋主要海域（以下简称“全球海域”） 区域海洋要素模型 0m, 6m, 10m, 20m, 30m, 50m, 70m, 100m, 125m, 150m, 200m, 250m, 300m, 400m, 500m T：海温(℃) S：海盐(PSU) U：海流经向速率 (ms-1) V：海流纬向速率 (ms-1) SSH：海表高度(m) 24h 1/12° 特定区域 全球海洋生态模型 0m / Tca：总叶绿素浓度 (mg/m3) Chl：叶绿素浓度 (mg/m3) Dia ：硅藻浓度 (mg/m3) Coc：颗石藻浓度 (mg/m3) Cya：蓝澡浓度 (mg/m3) Irn：铁浓度 (nano mole/L) Nit：硝酸盐浓度 (micro mole/L) MLD：混合层深度 (m) 24h 1° 在60°S至65°N，180°W至180°E覆盖全球海洋主要海域（以下简称“全球海域”） 全球海浪模型 0m / SWH有效波高 (m) 24h 0.5° 在60°S至65°N，180°W至180°E覆盖全球海洋主要海域（以下简称“全球海域”）

请求示例 { "name" : "demo-task", "input" : { "type" : "obs", "data" : [ { "bucket" : "bucket", "path" : "path/to/directory/" } ] }, "output" : { "obs" : { "bucket" : "bucket", "path" : "path/to/directory/" } }, "config" : { "start_time_begin" : 2017010100, "start_time_end" : 2017010200, "start_time_interval_hours" : 1, "forecast_lead_hours" : 1, "forecast_features" : "Surface:P;Surface:T;Surface:U;Surface:V;1000:T;800:T;1000:Z;800:Z", "draw_figures" : "true" } }

续费简介 包年/包月NAT网关到期后会影响NAT网关正常运行。如果您想继续使用，需要在指定的时间内为NAT网关续费，否则相关资源将会被停止或者释放，数据也可能会丢失。 续费操作仅适用于包年/包月公网NAT网关，按需计费NAT网关不需要续费，只需要保证账户余额充足即可。 包年/包月公网NAT网关在到期前续费成功，所有资源得以保留，且NAT网关的运行不受影响。NAT网关到期后的状态说明，请参见到期后影响。

续费相关功能 包年/包月公网NAT网关续费相关的功能如表1所示 表1 续费相关的功能 功能 说明 手动续费 包年/包月NAT网关从购买到被自动删除之前，您可以随时在NAT网关控制台为NAT网关续费，以延长NAT网关的使用时间。 自动续费 开通自动续费后，NAT网关会在每次到期前自动续费，避免因忘记手动续费而导致资源被自动删除。 在一个包年/包月NAT网关生命周期的不同阶段，您可以根据需要选择一种方式进行续费，具体如图1所示。 图1 NAT网关生命周期 NAT网关从购买到到期前，处于正常运行阶段，资源状态为“运行中”。 到期后，资源状态变为“已过期”。 到期未续费时，NAT网关首先会进入宽限期，宽限期到期后仍未续费，资源状态变为“已冻结”。 超过宽限期仍未续费将进入保留期，如果保留期内仍未续费，资源将被自动删除。 华为云根据客户等级定义了不同客户的宽限期和保留期时长。

计费示例 假设您在2023/03/08 15:50:04购买了一个包年/包月公网NAT网关（产品规格为：小型），购买时长为一个月，并在到期前手动续费1个月，产生的费用如包年/包月NAT网关费用计算示例所示： 表1 包年/包月NAT网关费用计算示例 计费周期 计费公式 费用总和（元） 1个月（2023/03/08 15:50:04 ~ 2023/04/08 23:59:59） 规格单价*购买时长 306*1=306 1个月（2023/04/08 23:59:59 ~ 2023/05/08 23:59:59） 306*1=306 上述价格仅供参考，实际计算请以NAT网关价格详情中的价格为准。

包年/包月资源 对于包年/包月计费模式的NAT网关，用户在购买时会一次性付费，服务将在到期后自动停止使用。 如果在计费周期内不再使用包年/包月资源，您可以执行退订操作，系统将根据资源是否属于五天无理由退订、是否使用代金券和折扣券等条件返还一定金额到您的账户。详细的退订规则请参见云服务退订规则概览。 如果您已开启“自动续费”功能，为避免继续产生费用，请在自动续费扣款日（默认为到期前7日）之前关闭自动续费。

变更配置对计费的影响 当前包年/包月公网NAT网关资源的规格不满足您的业务需要时，您可以在控制台发起变更规格操作，变更时系统将按照如下规则为您计算变更费用： 资源升配：修改规格时，将按照当日使用的最大规格进行计费。您需要按照与原规格的价格差，结合使用周期内的剩余时间，补齐差价。 资源降配：包年/包月的公网NAT网关不支持规格降级。 这里以资源升配且无任何优惠的场景为例，假设您在2023/04/08购买了一个包年/包月公网NAT网关（规格：小型），购买时长为1个月，计划在2023/04/18变更规格为中型。旧配置价格为306元/月，新配置价格为586.5 元/月。计算公式如下： 升配费用=新配置价格*剩余周期-旧配置价格*剩余周期 公式中的剩余周期为每个自然月的剩余天数/对应自然月的最大天数。本示例中，剩余周期=12（4月份剩余天数）/ 30（4月份最大天数）+ 8（5月份剩余天数）/ 31（5月份最大天数）=0.6581，代入公式可得升配费用=586.5*0.6581-306*0.6581=184.60（元） 更多信息请参见变更资源规格费用说明。

计费示例 以包年/包月公网NAT网关计费模式为例，假设您在2023/03/08 15:50:04购买了一个包年/包月公网NAT网关（产品规格为：小型），购买时长为一个月，并在到期前手动续费1个月，产生的费用如包年/包月公网NAT网关费用计算示例所示： 表2 包年/包月公网NAT网关费用计算示例 计费周期 计费公式 费用总和（元） 1个月（2023/03/08 15:50:04 ~ 2023/04/08 23:59:59） 规格单价*购买时长 306*1=306 1个月（2023/04/08 23:59:59 ~ 2023/05/08 23:59:59） 306*1=306

适用场景 包年/包月计费模式需要用户预先支付一定时长的费用，适用于长期、稳定的业务需求。以下是一些适用于包年/包月计费模式的业务场景： 稳定业务需求：对于长期运行且资源需求相对稳定的业务，如企业官网、在线商城、博客等，包年/包月计费模式能提供较高的成本效益。 长期项目：对于周期较长的项目，如科研项目、大型活动策划等，包年/包月计费模式可以确保在整个项目周期内资源的稳定使用。 业务高峰预测：如果能预测到业务高峰期，如电商促销季、节假日等，可提前购买包年/包月资源以应对高峰期的需求，避免资源紧张。 数据安全要求高：对于对数据安全性要求较高的业务，包年/包月计费模式可确保资源的持续使用，降低因资源欠费而导致的数据安全风险。

变更计费模式概述 在购买NAT网关后，如果发现当前计费模式无法满足业务需求，您可以变更计费模式。 包年/包月计费的公网NAT网关转按需，需包年/包月资费模式到期后，按需的资费模式才会生效。 按需计费的公网NAT网关可以随时转包年/包月。 私网NAT网关只支持按需计费（小时），无法变更计费模式。 表1 NAT网关变更计费模式 NAT网关 计费模式 变更计费模式说明 相关文档 公网NAT网关 包年/包月 支持到期转按需。 包年/包月转按需 按需计费 支持转包年/包月。 按需转包年/包月 私网NAT网关 按需计费 不支持变更计费模式。 - 父主题： 变更计费模式

计费说明 NAT网关的费用根据您选择的NAT网关类型、规格和使用时长计费。NAT网关提供“包年/包月”和“按需计费”两种计费模式，以满足不同场景下的用户需求。具体内容如下表所示。 表1 NAT网关计费项 计费项 计费项说明 适用的计费模式 计费公式 实例规格 NAT网关的规格指公网NAT网关与私网NAT网关支持的SNAT最大连接数。 包年/包月、按需计费 实例规格单价 * 购买时长 实例规格单价请参见NAT网关价格详情。