华为云用户手册

Topic和Partition的划分关系说明 假设集群中部署了K个Kafka节点，每个节点上配置的磁盘个数为N，每块磁盘大小为M，集群共有n个Topic（T1,T2…Tn），并且其中第m个Topic的每秒输入数据总流量为X(Tm) MB/s，配置的副本数为R(Tm)，配置数据保存时间为Y(Tm)小时，那么整体必须满足： 假设单个磁盘大小为M，该磁盘上有n个Partition（P0,P1……Pn），并且其中第m个Partition的每秒写入数据流量为Q(Pm) MB/s（计算方法：所属Topic的数据流量除以Partition数） 、数据保存时间为T(Pm)小时，那么单个磁盘必须满足： 根据吞吐量粗略计算，假设生产者可以达到的吞吐量为P，消费者可以达到的吞吐量为C，预期Kafka吞吐量为T，那么建议该Topic的Partition数目设置为Max(T/P , T/C)。 在Kafka集群中，分区越多吞吐量越高，但是分区过多也存在潜在影响，例如文件句柄增加、不可用性增加（如：某个节点故障后，部分Partition重选Leader后时间窗口会比较大）及端到端时延增加等。 建议：单个Partition的磁盘占用最大不超过100GB；单节点上Partition数目不超过3000；整个集群的分区总数不超过10000。

用户权限模型 ClickHouse用户权限管理实现了对集群中各个ClickHouse实例上用户、角色、权限的统一管理。通过Manager UI的权限管理模块进行创建用户、创建角色、绑定ClickHouse访问权限配置等操作，通过用户绑定角色的方式，实现用户权限控制。 管理资源：Clickhouse权限管理支持的资源如表1所示。 资源权限：ClickHouse支持的资源权限如表2所示。 本章节不支持 MRS 3.1.0普通模式（未开启Kerberos认证）集群。 表1 ClickHouse支持的权限管理对象 资源列表 是否集成 备注 数据库 是（一级） - 表 是（二级） - 视图 是（二级） 与表一致 表2 资源权限列表 资源对象 可选权限 备注 数据库（DATABASE） CREATE CREATE DATABASE/TABLE/VIEW/DICTIONARY权限 表/视图（TABLE/VIEW） SELECT/INSERT -

操作场景 MRS 3.x及之后版本的集群使用 FusionInsight Manager对集群进行监控、配置和管理。用户在集群安装后可使用账号登录FusionInsight Manager。 当前支持以下几种方式访问FusionInsight Manager，请根据实际情况选择。 通过弹性IP访问FusionInsight Manager。 通过云专线访问FusionInsight Manager。 通过E CS 访问FusionInsight Manager。 其中弹性IP访问和专线访问可以在MRS集群管理控制台上进行切换，具体切换操作步骤如下： 登录MRS管理控制台，单击待操作的MRS集群，在集群“概览”页面单击“集群管理页面”后的，在打开的页面中进行切换。 如果不能正常登录组件的WebUI页面，请参考通过ECS访问FusionInsight Manager方式访问FusionInsight Manager。 集群处于以下状态时无法访问FusionInsight Manager： 启动中、停止中、停止、删除中、已删除、冻结。

通过云专线访问FusionInsight Manager 操作前请确保云专线服务可用，并已打通本地数据中心到线上VPC的连接通道。云专线详情请参考什么是云专线。 登录MRS管理控制台。 单击集群名称进入集群详情页。 在集群详情页面的“概览”页签，单击“集群管理页面”右侧的“前往 Manager”。 “访问方式”选择“专线访问”，并勾选“我确认已打通本地与浮动IP的网络，可使用专线直接访问MRS Manager。”。 浮动IP为MRS为您访问MRS Manager页面自动分配的IP地址，使用专线访问MRS Manager之前您确保云专线服务已打通本地数据中心到线上VPC的连接通道。 单击“确定”，进入MRS Manager登录页面，用户名使用“admin”，密码为创建集群时设置的admin密码。

通过ECS访问FusionInsight Manager 进入MRS管理控制台。 在“现有集群”列表中，单击指定的集群名称。 记录集群的“可用区”、“虚拟私有云”、“集群管理页面”、“安全组”。 在管理控制台首页服务列表中选择“弹性云服务器”，进入ECS管理控制台，创建一个新的弹性云服务器。 弹性云服务器的“可用区”、“虚拟私有云”、“安全组”，需要和待访问集群的配置相同。 选择一个Windows系统的公共镜像。例如，选择一个标准镜像“Windows Server 2012 R2 Standard 64bit(40GB)”。 其他配置参数详细信息，请参见购买弹性云服务器。 如果ECS的安全组和Master节点的“默认安全组”不同，用户可以选择以下任一种方法修改配置： 将ECS的安全组修改为Master节点的默认安全组，请参见更改安全组。 在集群Master节点和Core节点的安全组添加两条安全组规则使ECS可以访问集群，“协议”需选择为“TCP”，“端口”需分别选择“28443”和“20009”。请参见创建安全组。 如果界面提示“添加安全组规则失败”，请检查安全组配额是否不足，请增加配额或删除不再使用的安全组规则。 在VPC管理控制台，申请一个弹性IP地址，并与ECS绑定。 具体请参见为弹性云服务器申请和绑定弹性公网IP。 登录弹性云服务器。 登录ECS需要Windows系统的账号、密码，弹性IP地址以及配置安全组规则。具体请参见Windows云服务器登录方式。 在Windows的远程桌面中，打开浏览器访问Manager。 Manager访问地址为“集群管理页面”地址。访问时需要输入集群的用户名和密码，例如“admin”用户。 如果使用其他集群用户访问Manager，第一次访问时需要修改密码。新密码需要满足集群当前的用户密码复杂度策略。请咨询管理员。 默认情况下，在登录时输入5次错误密码将锁定用户，需等待5分钟自动解锁。 注销用户退出Manager时移动鼠标到右上角 ，然后单击“注销”。

操作场景 Hudi提供多种写入方式，具体见hoodie.datasource.write.operation配置项，这里主要介绍UPSERT、INSERT和BULK_INSERT。 INSERT（插入）： 该操作流程和UPSERT基本一致，但是不需要通过索引去查询具体更新的文件分区，因此它的速度比UPSERT快。当数据源不包含更新数据时建议使用该操作，若数据源中存在更新数据，则在 数据湖 中会出现重复数据。 BULK_INSERT（批量插入）：用于初始数据集加载， 该操作会对主键进行排序后直接以写普通parquet表的方式插入Hudi表，该操作性能是最高的，但是无法控制小文件，而UPSERT和INSERT操作使用启发式方法可以很好的控制小文件。 UPSERT（插入更新）： 默认操作类型。Hudi会根据主键进行判断，如果历史数据存在则update如果不存在则insert。因此在对于CDC之类几乎肯定包括更新的数据源，建议使用该操作。 由于INSERT时不会对主键进行排序，所以初始化数据集不建议使用INSERT。 在确定数据都为新数据时建议使用INSERT，当存在更新数据时建议使用UPSERT，当初始化数据集时建议使用BULK_INSERT。

批量写入Hudi表 引入Hudi包生成测试数据，参考快速入门章节的2到4。 写入Hudi表，写入命令中加入参数：option("hoodie.datasource.write.operation", "bulk_insert")，指定写入方式为bulk_insert，如下所示： df.write.format("org.apache.hudi"). options(getQuickstartWriteConfigs). option("hoodie.datasource.write.precombine.field", "ts"). option("hoodie.datasource.write.recordkey.field", "uuid"). option("hoodie.datasource.write.partitionpath.field", ""). option("hoodie.datasource.write.operation", "bulk_insert"). option("hoodie.table.name", tableName). option("hoodie.datasource.write.keygenerator.class", "org.apache.hudi.keygen.NonpartitionedKeyGenerator"). option("hoodie.datasource.hive_sync.enable", "true"). option("hoodie.datasource.hive_sync.partition_fields", ""). option("hoodie.datasource.hive_sync.partition_extractor_class", "org.apache.hudi.hive.NonPartitionedExtractor"). option("hoodie.datasource.hive_sync.table", tableName). option("hoodie.datasource.hive_sync.use_jdbc", "false"). option("hoodie.bulkinsert.shuffle.parallelism", 4). mode(Overwrite). save(basePath) 示例中各参数介绍请参考表1。 使用spark datasource接口更新Mor表，Upsert写入小数据量时可能触发更新数据的小文件合并，使在Mor表的读优化视图中能查到部分更新数据。 当update的数据对应的base文件是小文件时，insert中的数据和update中的数据会被合在一起和base文件直接做合并产生新的base文件，而不是写log。

访问MRS Manager 登录MRS管理控制台页面。 单击“现有集群”，在集群列表中单击指定的集群名称，进入集群信息页面。 单击“前往 Manager”，打开“访问MRS Manager页面”。 若用户创建集群时已经绑定弹性公网IP，如图1所示： 选择待添加的安全组规则所在安全组，该安全组在创建群时配置。 添加安全组规则，默认填充的是用户访问公网IP地址9022端口的规则，如需开放多个IP段为可信范围用于访问MRS Manager页面，请参考6～9。如需对安全组规则进行查看，修改和删除操作，请单击“管理安全组规则”。 自动获取的访问公网IP与用户本机IP不一致，属于正常现象，无需处理。 9022端口为knox的端口，需要开启访问knox的9022端口权限，才能访问MRS Manager服务。 勾选“我确认xx.xx.xx.xx为可信任的公网访问IP，并允许从该IP访问MRS Manager页面。” 图1 添加访问MRS Manager的安全组规则 若用户创建集群时暂未绑定弹性公网IP，如图2所示： 在弹性公网IP下拉框中选择可用的弹性公网IP或单击“管理弹性公网IP”购买弹性公网IP。 选择待添加的安全组规则所在安全组，该安全组在创建群时配置。 添加安全组规则，默认填充的是用户访问公网IP地址9022端口的规则，如需开放多个IP段为可信范围用于访问MRS Manager页面，请参考6～9。如需对安全组规则进行查看，修改和删除操作，请单击“管理安全组规则”。 自动获取的访问公网IP与用户本机IP不一致，属于正常现象，无需处理。 9022端口为knox的端口，需要开启访问knox的9022端口权限，才能访问MRS Manager服务。 勾选“我确认xx.xx.xx.xx为可信任的公网访问IP，并允许从该IP访问MRS Manager页面。” 图2 绑定弹性公网IP 单击“确定”，进入MRS Manager登录页面。 输入默认用户名“admin”及创建集群时设置的密码，单击“登录”进入MRS Manager页面。 在MRS管理控制台，在“现有集群”列表，单击指定的集群名称，进入集群信息页面。 如需给其他用户开通访问MRS Manager的权限，请执行6-9，添加对应用户访问公网的IP地址为可信范围。 单击弹性公网IP后边的“添加安全组规则”，如图3所示。 图3 集群详情 进入“添加安全组规则”页面，添加需要开放权限用户访问公网的IP地址段并勾选“我确认这里设置的授权对象是可信任的公网访问IP范围，禁止使用0.0.0.0/0,否则会有安全风险。”如图4所示。 图4 添加安全组规则 默认填充的是用户访问公网的IP地址，用户可根据需要修改IP地址段，如需开放多个IP段为可信范围，请重复执行6-9。如需对安全组规则进行查看，修改和删除操作，请单击“管理安全组规则”。 单击“确定”完成安全组规则添加。

为其他用户开通访问MRS Manager的权限 在MRS管理控制台，在“现有集群”列表，单击指定的集群名称，进入集群信息页面。 单击弹性公网IP后边的“添加安全组规则”，如图5所示。 图5 集群详情 进入“添加安全组规则”页面，添加需要开放权限用户访问公网的IP地址段并勾选“我确认这里设置的授权对象是可信任的公网访问IP范围，禁止使用0.0.0.0/0,否则会有安全风险。”如图6所示。 图6 添加安全组规则 默认填充的是用户访问公网的IP地址，用户可根据需要修改IP地址段，如需开放多个IP段为可信范围，请重复执行1-4。如需对安全组规则进行查看，修改和删除操作，请单击“管理安全组规则”。 单击“确定”完成安全组规则添加。

操作场景 Yarn NodeManager定义的存储目录不正确或Yarn的存储规划变化时，MRS集群管理员需要在Manager中修改NodeManager的存储目录，以保证Yarn正常工作。NodeManager的存储目录包含本地存放目录“yarn.nodemanager.local-dirs”和日志目录“yarn.nodemanager.log-dirs”。适用于以下场景： 更改NodeManager角色的存储目录，所有NodeManager实例的存储目录将同步修改。 更改NodeManager单个实例的存储目录，只对单个实例生效，其他节点NodeManager实例存储目录不变。

配置option 开发过程中，您有任何问题可以在github上提交issue，或者在华为云 对象存储服务 论坛中发帖求助。 在调用C SDK的功能函数时，都要传入obs_options参数，您可通过init_obs_options函数初始化obs_options配置，通过obs_options设置AK、SK、Endpoint、bucket、超时时间、临时鉴权。obs_options主要包括obs_bucket_context和obs_http_request_option两个结构，可以设置的参数见下表： 表1 obs_options.obs_bucket_context参数 参数 描述 默认值 建议值 host_name 请求使用的主机名，是指存放资源的服务器的域名，就是终端节点endpoint。 NULL - bucket_name 操作的桶名。 NULL - protocol 请求使用的协议类型: http、https。（出于安全性考虑，建议使用https协议） HTTPS协议：OBS_PROTOCOL_HTTPS OBS_PROTOCOL_HTTPS access_key 连接对象存储服务的AK NULL - secret_access_key 鉴权使用的SK，可用于字符串的签名。 NULL - obs_storage_class 在PUT，POST请求中，需要配置存储类型时设置此参数。 标准存储：OBS_STORAGE_CLASS_STANDARD 默认值 token 临时访问密钥的SecurityToken。 NULL - bucket_type 创桶时，指定是对象桶还是并行文件系统 对象桶：OBS_BUCKET_OBJECT - bucket_list_type 列举桶时，确定列举桶的类型：所有桶、对象桶、并行文件系统 所有桶：OBS_BUCKET_LIST_ALL - 表2 obs_options.obs_http_request_option参数 参数 描述 默认值 建议值 connect_time 建立HTTP/HTTPS连接的超时时间（单位：毫秒）。默认为60000毫秒。 60000 [10000, 60000] max_connected_time 请求超时时间（单位：秒）。0代表永远不会断开链接。 0 0 proxy_auth 代理认证信息，格式username:password NULL - proxy_host 代理服务器 NULL - 如网络状况不佳，建议增大connect_time和max_connected_time的值。 父主题： 初始化

设置方式 修改lib目录下的OBS.ini，配置日志的大小、个数以及级别（其中*_Run参数的配置为最常用的配置项）： ;Every line must be less than 1024 [LogConfig] ;Log Size: unit=KB, 10MB = 10KB * 1024 = 10240KB LogSize_Interface=10240 LogSize_Operation=10240 LogSize_Run=10240 ;Log Num LogNum_Interface=10 LogNum_Operation=10 LogNum_Run=10 ;Log level: debug = 0,info = 1,warn = 2,error = 3 LogLevel_Interface=0 LogLevel_Operation=0 LogLevel_Run=0 ;LogFilePermission LogFilePermission=0600 [ProductConfig] ;Product Name sdkname=eSDK-OBS-API-Linux-C [LogPath] ;Log Path is relative to the path of configuration file LogPath=../logs

其他日志相关配置 Windows下，OBS.ini中LogPath字段可以以wchar_t格式读取，需要通过设置文件路径编码来实现，案例如下： set_file_path_code(UNICODE_CODE);//默认是ANSI_CODE 设置后，以下方法的本地文件路径也需要是wchar_t类型（参数是以char*格式传入，内部处理逻辑是wchar_t） 表1 影响函数 说明 download_file 参数download_file_config的downLoad_file、check_point_file成员需要是wchar_t类型，以char*格式传入 upload_file 参数upload_file_config的upload_file、check_point_file成员需要是wchar_t类型，以char*格式传入 set_obs_log_path 参数log_path需要是wchar_t类型，以char*格式传入

日志级别 当系统出现问题需要定位且当前的日志无法满足要求时，可以通过修改日志的级别来获取更多的信息。其中DEBUG(0)日志信息最丰富，ERROR(3)日志信息最少。 具体说明如下： DEBUG(0)：调试级别，如果设置为这个级别，除了打印INFO级别的信息外，还将打印其它帮助调试的信息等。 INFO(1)：信息级别，如果设置为这个级别，除了打印WARN级别的信息外，还将打印OBS接口的调用过程和关键信息等。 WARN(2)：告警级别，如果设置为这个级别，除了打印ERROR级别的信息外，还将打印一些关键事件的信息，如curl_global_init初始化失败等。 ERROR(3)：错误级别，如果设置为这个级别，仅打印发生异常时的错误信息。

使用前需知 开发过程中，您有任何问题可以在github上提交issue，或者在华为云对象存储服务论坛中发帖求助。 请确认您已经熟悉OBS的基本概念，如桶（Bucket）、对象（Object）、访问密钥（AK和SK）等。 使用OBS客户端进行接口调用操作完成后，没有返回异常，则表明接口调用成功；如果返回异常，则说明操作失败，此时应从SDK错误处理中获取错误信息。 当前各区域特性开放不一致，部分特性只在部分区域开放，使用过程中如果接口HTTP状态码为405，请确认该区域是否支持该功能特性。 父主题： 快速入门

参数描述 字段名 类型 约束 说明 option 请求桶的上下文，配置option 必选 桶参数。 key char * 必选 对象名。 content_length uint64_t 必选 对象内容长度。 position char * 必选 修改写的起始位置。 put_properties obs_put_properties* 必选 上传对象属性。 encryption_params server_side_encryption_params * 可选 上传对象加密设置。 handler obs_modify_object_handler * 必选 回调函数。 callback_data void * 可选 回调数据。

配置SDK日志 开发过程中，您有任何问题可以在github上提交issue，或者在华为云对象存储服务论坛中发帖求助。 OBS C SDK的日志路径是通过OBS.ini中LogPath字段指定的，日志默认生成于与C SDK动态库lib目录同级的logs目录中，OBS.ini文件应与动态库（libeSDKLogAPI.so）同一目录。 OBS C SDK支持通过set_obs_log_path来指定日志路径，该方法存在两个参数，第一个参数为指定的路径，第二个参数为判断设定路径方式的信号，当该信号为True时，SDK将在第一个参数给定的路径下寻找OBS.ini进行日志配置，当该信号为Fasle时，SDK将在第一个参数给定的路径下生成OBS.ini和日志文件。 父主题： 初始化

参数描述 字段名 类型 约束 说明 option 请求桶的上下文，配置option 必选 桶参数。 key char * 必选 对象名。 content_length uint64_t 必选 对象内容长度。 position char * 必选 追加写的起始位置。 put_properties obs_put_properties* 必选 上传对象属性。 encryption_params server_side_encryption_params * 可选 上传对象加密设置。 handler obs_append_object_handler * 必选 回调函数。 callback_data void * 可选 回调数据。

修订记录 发布日期 修订记录 2024-04-22 第十次正式发布。 新增章节： 自定义域名相关说明 c sdk通过自定义域名访问obs 2023-11-01 第九次正式发布。 刷新章节： OBS服务环境搭建 配置SDK日志 断点续传下载 日志分析 2022-12-15 第八次正式发布。 新增章节： 常见编译问题 代理设置失效 2021-03-26 第七次正式发布。 新增章节： 常见问题。 2019-11-20 第六次正式发布。 调整以下章节的位置： 示例程序 技术支持渠道 2019-11-11 第五次正式发布 新增章节：修改写、重命名对象或目录、截断对象； 创建桶章节增加创建并行文件系统的桶的说明。 2019-08-27 第四次正式发布 新增章节创建文件夹 2019-03-30 第三次正式发布。 OBS服务环境搭建，增加临时访问密钥相关内容。 2018-08-31 第二次正式发布。 完成接口重构。 2018-06-04 第一次正式发布。

自定义域名访问介绍与配置 当以自定义域名访问OBS桶时，需要先将该自定义域名同对应OBS桶访问域名进行绑定，相关配置请参见自定义域名绑定简介，自定义域名绑定配置。 当在自定义域名上配置了 CDN加速 服务，即自定义域名为CDN服务的加速域名时，需要额外对CDN服务进行配置，以保证可以正常采用自定义域名访问OBS服务。 以华为云CDN服务为例，相关配置如下所示： 登录华为云CDN服务，从CDN服务左侧列表中选择域名管理项，在该项中可以查看到所有配置的CDN服务域名信息。 配置源站。单击要使用的自定义域名项，进入域名配置界面，编辑源站配置，选择主源站类型为源站域名类型，对应源站为要访问的OBS桶域名。 配置回源HOST。回源HOST必须指定为加速域名即访问OBS服务时访问的自定义域名，否则可能会出现回源鉴权失败的问题。

VPN连接限制 表3 VPN连接限制 VPN网关类型 资源 默认限制 如何提升配额 企业版VPN 每VPN连接支持配置的策略规则数量 5 不支持修改。 每VPN连接支持配置的对端子网数量 50 经典版VPN 每租户在每区域支持创建的VPN连接数量 12 不支持修改。 多子网场景下，VPN连接建议使用路由模式。策略模式/策略模板模式下，VPN网关默认为每对本地子网和对端子网创建一个通信隧道，当一条策略模式连接的本地或对端为多子网场景下实际占用了多个通信隧道。 VPN网关每个网关IP和对端网关建连时，最大提供100个通信隧道。 路由模式下，每个VPN连接占用网关IP的1个通信隧道。 策略模式/策略模板模式下，每个VPN连接占用网关IP的M*N个通信隧道。M为本端待通信子网数，N为对端待通信子网数。 当所有涉及该网关IP的VPN连接模式占用的通信隧道超过100个时，会导致超出部分对应的VPN连接创建失败。 使用策略模式创建VPN连接时，若添加多条策略规则，不同策略规则的源、目的网段需要避免出现重叠，以免造成数据流误匹配或IPsec隧道震荡。

VPN网关限制 表1 VPN网关限制 VPN网关类型 资源 默认限制 如何提升配额 企业版VPN 每租户在每区域支持创建的VPN网关数量 50 如果您只有一个VPC，则该VPC最大创建50个VPN网关。 如果您有多个VPC，则多个VPC创建的VPN网关数量最大为50个。 申请更多配额，请参见提交工单。 每VPN网关支持配置的VPN连接组数量 100 如果VPN网关支持非固定IP接入，则该VPN网关支持配置的非固定IP接入、固定IP接入的VPN连接组数量合计最多为100个。 不支持修改。 每VPN网关支持配置的本地子网数量 50 不支持修改。 每VPN网关支持通过每连接接收对端网关发布的BGP路由数量 100 不支持修改。 经典版VPN 每租户在每区域支持创建的VPN网关数量 2 每个VPC最多创建1个VPN网关。 申请更多配额，请参见提交工单。 VPN网关TCP协议的最大报文长度默认设置为1300字节。

对端网关限制 表2 对端网关限制 VPN网关类型 资源 默认限制 如何提升配额 企业版VPN 每租户在每区域支持创建的对端网关数量 100 申请更多配额，请参见提交工单。 请结合组网情况开启对端网关NAT穿越功能。 如果组网为”VPN网关--公网--NAT设备--对端网关”，即对端网关通过NAT设备连接到公网，则对端网关需要开启NAT穿越功能。 如果组网为”VPN网关--公网--对端网关”，即对端网关直接连接到公网，则对端网关无需开启NAT穿越功能。 对端网关必须使能DPD（Dead Peer Detection，失效对等体检测）。 对端网关必须支持IPsec Tunnel接口，并使能对应的安全策略。 静态路由模式连接开启NQA（Network Quality Analysis，网络质量分析）时，对端网关的IPsec Tunnel接口必须配置IP地址，并响应ICMP请求。 对端网关TCP协议的最大报文段长度建议设置为小于1399，避免因增加IPsec认证头开销导致分片的问题。

计费项 表1 VPN计费项 计费方式 计费项一-VPN网关 计费项二-VPN连接 计费项三-EIP带宽 计费项四-ER费用 计费公式 包年/包月 VPN网关费用 VPN连接费用 EIP带宽费用 仅网络类型采用公网时涉及。 EIP带宽费用的计费方式支持包年/包月或按需计费。 ER费用包括ER连接费用和ER流量费用 仅关联模式采用企业路由器时涉及。 VPN网关费用+VPN连接费用+EIP带宽费用+ER费用 按需计费 VPN网关费用（按小时） VPN连接费用（按小时） VPN网关费用（按小时）+VPN连接费用（按小时）+EIP带宽费用+ER费用 VPN的计费项主要包含下面几个部分： VPN网关：单个VPN网关的使用费用。VPN网关资源隔离、独享转发实例，性能不受其它租户的影响。 支持多种网关规格，您可根据业务需要选择不同规格的实例。 VPN连接：指VPN网关和对端网关的连接费用。 通过包年/包月计费模式购买时，默认包含10个VPN连接组。VPN网关与同一对端网关的两条VPN连接为一个VPN连接组。如果您需要更多的VPN连接组，则超过10个部分需要额外购买。VPN连接组以10个为单位进行销售。 通过按需计费模式购买时，支持按个为单位购买连接组，费用计算公式为：VPN连接组费用=连接组单价（/小时）*使用时长（小时）。 EIP带宽：指用户创建实例时绑定的EIP所耗费的带宽费用。 VPN双活网关默认使用2个EIP，您需要为每个EIP购买带宽。 支持使用已有EIP作为VPN网关的EIP。如果使用已有EIP，EIP费用不会重复收费。 EIP带宽费用详情请参见弹性公网IP产品价格详情。 ER费用：指VPN网关关联企业路由器时产生的ER连接费用和ER流量费用。 ER费用详情请参见ER产品价格计算器。 VPN费用详情请参见产品价格详情。

变更配置 VPN计费方式变更当前支持以下几种情况： VPN网关按需转包年/包月，具体变更步骤请参见按需VPN网关转包年/包月。 包年/包月EIP带宽升配/降配，具体变更步骤请参见包年/包月EIP带宽升配/降配。 包年/包月VPN连接组数升配/降配，具体变更步骤请参见包年/包月VPN连接组数升配/降配。 更多EIP配置变更场景（如按需按流量计费转按需按带宽计费等），请在EIP控制台界面进行变更操作，详细请参见弹性公网IP产品价格详情。

IPsec VPN IPsec VPN是一种加密的隧道技术，通过使用加密的安全服务在不同的网络之间建立保密而安全的通讯隧道。 如图1所示，假设您在云上已经申请了VPC，并申请了2个子网（192.168.1.0/24，192.168.2.0/24），同时您在自己的数据中心也有2个子网（192.168.3.0/24，192.168.4.0/24），那么您可以通过VPN使VPC内的子网与数据中心的子网互相通信。 图1 IPsec VPN 支持站点到站点VPN（Site-to-Site VPN），可实现VPC子网和数据中心局域网互访。 父主题： 基本概念

IPsec VPN IPsec VPN是一种加密的隧道技术，通过使用加密的安全服务在不同的网络之间建立保密而安全的通讯隧道。 如图1所示，假设您在云上已经申请了VPC，并申请了2个子网（192.168.1.0/24，192.168.2.0/24），同时您在自己的数据中心也有2个子网（192.168.3.0/24，192.168.4.0/24），那么您可以通过VPN使VPC内的子网与数据中心的子网互相通信。 图1 IPsec VPN 支持站点到站点VPN（Site-to-Site VPN），可实现VPC子网和数据中心局域网互访。 父主题： 基本概念

产品概述 虚拟专用网络 （Virtual Private Network，以下简称VPN），用于在企业用户本地网络、数据中心与云上网络之间搭建安全、可靠、高性价比的加密连接通道。 VPN仅支持建立非跨境连接，不支持建立跨境连接。 VPN由VPN网关、对端网关和VPN连接组成。 VPN网关提供了VPC的公网出口，与用户数据中心的对端网关对应。 VPN连接通过加密技术，将VPN网关与对端网关相关联，使数据中心与VPC通信，更快速、更安全地构建混合云环境。 VPN组网图如图1所示。 图1 VPN组网图

企业版VPN和经典版VPN的区别 表1 企业版VPN和经典版VPN的区别 类别 对比项 企业版VPN 经典版VPN 租户隔离 租户独享网关 支持 不支持 功能&特性 策略模式 支持 支持 路由模式 静态路由/BGP路由 不支持 VPN Hub 支持 不支持 企业路由器 支持 不支持 网络类型 公网/私网 公网 容量&性能 子网数量 路由模式：50 策略模式：5 策略模式：5 更多信息，请参见表 企业版VPN不同规格的区别。 可靠性 网关保护方式 主备/双活 - 网关跨AZ部署 支持 不支持 双线路双活 支持 不支持 与专线互备 支持 不支持

企业版VPN和经典版VPN的区别 表1 企业版VPN和经典版VPN的区别 类别 对比项 企业版VPN 经典版VPN 租户隔离 租户独享网关 支持 不支持 功能&特性 策略模式 支持 支持 路由模式 静态路由/BGP路由 不支持 VPN Hub 支持 不支持 企业路由器 支持 不支持 网络类型 公网/私网 公网 容量&性能 子网数量 路由模式：50 策略模式：5 策略模式：5 更多信息，请参见表 企业版VPN不同规格的区别。 可靠性 网关保护方式 主备/双活 - 网关跨AZ部署 支持 不支持 双线路双活 支持 不支持 与专线互备 支持 不支持