华为云用户手册

更多操作 您还可以对 CSS 进行以下操作。 表2 CS S管理 操作名称 操作步骤 导入 在CSS页面单击“导入”。 上传文件。 查看导入进度 在CSS页面单击“查看导入进度”。 导出 在CSS页面列表中，勾选需要导出的CSS索引。 单击列表上方的“导出”。 编辑Tags 在CSS页面单击“编辑Tags”。 在“编辑Tags”页面单击“新建Tags”。 输入Tags并单击“保存”。 单击“确定”。 关联Tags 编辑并新建Tags后，在CSS页面列表中，单击待关联Tags索引所在行的“关联Tags”。 选择已新建的Tags。 单击“确定”。 查看索引状态 在CSS页面列表中，单击待查看状态的CSS索引所在行的“索引状态”。 编辑索引 在CSS页面列表中，单击待编辑CSS索引所在行的“编辑”。 删除索引 在CSS页面列表中，单击待删除CSS索引所在行的“删除”。 查看操作历史 在CSS页面列表中，单击待查看操作历史的CSS索引所在行的“操作历史”。 查看历史版本信息 在CSS页面列表中，单击待查看历史版本信息的CSS索引所在行的“历史版本信息”。 （可选）可单击历史版本所在行的“对比当前版本”，查看版本差异。

步骤三：创建视图 单指标查询视图/多指标组合查询视图 如果需要在大盘监控单个指标的报表（如折线型报表），可以创建单指标查询视图。 如果需要在大盘同时监控多个指标（如表格型报表），可以创建多指标组合查询视图。 在“指标仓库”页面，选择需创建视图的逻辑主体，然后单击“新建查询视图”，如图1所示。 图1 新建查询视图 配置查询视图参数，如表3所示，配置完成后，单击“保存”。 表3 新建查询视图参数说明 参数名称 参数说明 类型 视图类型默认为“QUERY”，不可修改。 数据源 选择视图使用的数据表。 英文名称 视图英文名，尽量使用英文简写，不超过50个字符，单词之间使用下划线分隔。 中文名称 视图中文名，不超过20个字符。 描述 输入视图描述内容。 指标 选择需要计算的指标，可选择单指标或者多个指标。 projection 选择是否开启projection。 持久化视图/长期存储视图 持久化视图（自定义汇聚粒度）、长期存储视图（依次执行5分钟、1小时、1天汇聚粒度）可以持久化查询结果。这两种视图需要在查询视图的基础上进行创建。 在“指标仓库”页面，选择需创建视图的逻辑主体，默认显示“关系图模式”，可以单击页面已创建的指标或视图，弹出“指标”页面或“视图”页面。 也可以单击“列表模式”，切换至“列表模式”，在指标列表单击对应指标所在行的“查看详情”，弹出“指标”页面；或者单击“视图”，在视图列表单击对应视图所在行的“查看详情”，弹出“视图”页面。 在“指标”页面，选择已创建的单指标视图或多指标视图，单击视图的“操作”，在下拉列表中选择“创建持久化视图”或者“创建长期存储视图”，如图2所示。 或者在“视图”页面，单击“创建视图”，在下拉列表中选择“创建持久化视图”或者“创建长期存储视图”，如图3所示。 图2 指标详情页 图3 视图详情页 配置如下视图参数，配置完成后，单击“创建”。 配置Basic参数，具体参数如表4所示。 表4 Basic参数说明 参数名称 参数说明 英文名称 视图英文名，尽量使用英文简写，不超过50个字符，单词之间使用下划线分隔。 中文名称 视图中文名，不超过20个字符。 任务名称 汇聚的任务名，默认与视图名一致。 描述 输入描述信息。 类型 根据选择创建的视图类型显示，持久化视图为PERSISTENT，长期存储视图为LONG_TERM。 任务类型 根据视图数据来源显示，不可修改。 调度集群 选择定时调度集群。 执行集群 选择执行汇聚的执行集群。 MPPDB执行集群 （长期存储视图包含该参数）选择执行分钟级、小时级、天级MPPDB汇聚的执行集群。 查询范围 设定任务查询时间范围，不填则默认每分钟执行一次。 例如设置为1小时，则查询时间区间为当前时间减1小时到当前时间（前闭后开）。 Auto Round 设置任务执行时间是否舍去分和秒，默认为“是”。 例如汇聚周期是1小时，那么不管是2:10，还是2:40触发任务，汇聚周期都会自动变为1:00~2:00；如果选否，那么汇聚周期就是1:10~2:10，以及1:40~2:40。 调度（固定时间） 让任务在固定时间执行，一般天级任务会修改此值，例如修改为每天2点执行，不涉及无须选择。 例如设置3小时40分钟，则每天3点40执行任务；设置24小时40分钟，则每天0点40执行任务。 调度（固定间隔） 设置执行任务的时间间隔，一般是小时任务和分钟任务会修改此值，不涉及无须选择。 例如设置6小时，则每6小时执行一次，即0点、6点、12点、18点执行；配合固定时间调度，间隔时间配置为6小时，固定时间配置为10分钟，则每天的0:10、6:10、12:10、18:10执行。 汇聚时间提前 设置汇聚任务执行时选择之前的时间段。 例如汇聚时间提前1小时，每次查询的时间范围自动往前偏移1小时；当查询范围是小时、天的时候，一般不需要配置；分钟汇聚任务，由于延迟原因，一般都需配置。 结果时间偏移 设置汇聚出的结果存入输出表的时间值。 例如结果时间偏移1小时，每次查询的数据存入MPPDB数据库的timestamp自动增加1小时。 配置Rule参数，具体参数如表5所示，配置完成后，单击“Build Statement”。 表5 Rule参数说明 参数名称 参数说明 表类型 默认显示视图数据表类型。 数据源 选择需要汇聚的数据表。 从数据源列表 分表场景时使用，如果选中了数据源A和从数据源列表B，会优先从B表匹配维度。 Indicators 选择汇聚任务需要计算的指标列表。 Order By 选择需要排序的维度。 limit 设置查询返回值个数，上限为200000。 分组维度 选择需要Groupby的维度。 配置Output参数，具体参数如表6所示。 表6 Output参数说明 参数名称 参数说明 输出表类型 选择存放汇聚结果的表（输出表）类型，默认为MPPDB。 集群名 选择输出表所在的集群名。 数据库名 选择输出表所在的数据库名。 表名 选择输出表的表名，选择前需要创建MPPDB表。 列名 选择输出表的所有列名。 查询结果列 汇聚结果的列名。 Column Mappings 根据输出表（MPPDB）选择对应的查询结果列。 单击已创建的持久化视图或长期存储视图，在“视图”页面单击“Start Task”，启动第一层任务。保证期望状态和实际状态都为“Running”，如下图图4所示。 图4 启动任务 单击“Create Hourly Task”，会自动创建小时级的MPPDB汇聚任务和表（TTL 默认1年），自动将5分钟级别的数据roll up成小时级的。再单击“Start Hourly Task”启动该任务，保证期望状态和实际状态都为“Running”。 单击“Create Daily Task”，会自动创建天级的MPPDB汇聚任务和表（TTL 默认2年），自动将小时级别的数据roll up成天级的。再单击“Start Daily Task”启动该任务，保证期望状态和实际状态都为“Running”。

步骤二：创建指标 在“指标仓库”页面，单击已创建的逻辑主体。 单击逻辑主体页面的“新建指标”，选择“新建单个指标”。 配置指标参数，参数说明如表2所示，配置完成后，单击“创建”。 表2 配置指标参数说明 参数名称 参数说明 类型 选择指标类型。 英文名称 自定义英文名称。 中文名称 自定义中文名称。 指标等级 选择指标等级。 描述 输入描述信息。 开放名称 - 指标类型 根据指标的类型分为RequestCount、DelayTime、SuccessRate、FailureRate、Speed、Bandwidth。 逻辑主体 选择指标来源的逻辑主体。 标签列表 - 指标责任人 - 开放状态 - 抽象指标 - 是否多聚合字段 - 聚合类型 选择指标的统计方式。 聚合字段 指标的度量对象。 过滤器 依据业务限定条件，给指标设置过滤规则，支持AND、OR多层嵌套过滤条件，节点类型为NODE。 举例：有5个过滤条件ABCDE，过滤条件汇总后为（A AND B）OR （C AND D AND E），ABCDE即为NODE节点。

方案优势 云下IDC侧的业务网络互访很多是通过IP地址而非域名，上云前如果改造IDC侧网络，会导致上云周期延长、迁移期间业务中断，并且网络改造往往增加运维成本。 使用企业交换机后，上云不用修改IDC侧IP地址，减少业务对环境感知，加快上云进度。 云下IDC侧的每个子网通常承载几十种不同的业务，如果按照子网粒度进行迁移，几十种业务一次性上云存在较大风险，无法满足业务连续性需求。 使用企业交换机后，按照“虚拟机”粒度迁移上云，支持业务系统灰度上云，应对核心业务分批上云，避免业务在迁移过程中受损，减少上云风险。

约束与限制 对于使用 虚拟专用网络 （VPN）对接企业交换机的场景，请您先提交工单给虚拟专用网络服务，确认您的虚拟专用网络是否支持和企业交换机进行VXLAN对接，如果不支持，需要联系客服开通虚拟专用网络的对接企业交换机能力。 对于使用云专线（DC）对接企业交换机的场景，请您先提交工单给云专线服务，确认您的云专线是否支持和企业交换机进行对接，如果不支持，需要联系客服开通云专线的对接企业交换机能力。 如果您的IDC需要与华为云企业交换机对接来建立云下和云上二层网络通信，那么IDC侧的交换机需要支持VXLAN功能。以下为您列举部分支持VXLAN功能的交换机，仅供参考。 华为交换机：Huawei CE58、CE68、CE78、CE88系列支持VXLAN，例如CE6870、CE6875、CE6881、CE6863、CE12800。 其他厂商交换机：例如Cisco Nexus 9300、 锐捷RG-S6250、 H3C S6520。

方案架构 华为云支持通过企业交换机（Enterprise Switch，ESW） 构建客户IDC和云上二层网络互通，在二层网络内，实现主机粒度迁移，助力客户IDC迁移上云期间业务不中断，不修改IP地址的诉求。 通过企业交换机迁移IDC的组网示例如图2所示，本示例中将IDC内的VM-B在不修改IP的前提下，迁移到云上。迁移过程说明如下： 使用云专线或VPN建立云上与云下IDC隧道子网之间的三层网络通信。因为企业交换机建立二层通信网络时，依赖隧道子网之间的三层网络。 创建企业交换机、建立二层连接、配置VXLAN交换机，建立云上与云下IDC的二层网络通信。 将主机VM-B（10.0.1.8）迁移到云上ECS-B（10.0.1.21），检查好VM-B和ECS-B的网络通信后，待业务低谷时期关闭IDC内的VM-B。 短暂关闭VM-B时，业务主要由IDC内的VM-A（10.0.1.131）承载，因此不会中断业务。 此处为了验证VM-B和ECS-B之前的正常通信，刚迁移上云的ECS-B和VM-B的IP地址不能一样，否则无法正常通信。 关闭IDC内的VM-B后，将云上的ECS-B地址由10.0.1.21改为10.0.1.8，此时业务流量会通过企业交换机转发到云上的ECS-B处理，确保迁移后不改变主机IP地址。 同时，云上的ECS-B和IDC内的VM-A也可以自由互访，就像还位于同一个子网中。 图2 企业交换机迁移组网

示例流程 图1 给用户授予ESW权限流程 创建用户组并授权 在 IAM 控制台创建用户组，并授予VPC只读权限“VPCReadOnlyAccess”。 创建用户并加入用户组 在IAM控制台创建用户，并将其加入1中创建的用户组。 用户登录并验证权限。 新创建的用户登录控制台，切换至授权区域，验证权限： 在“服务列表”中选择企业交换机，进入ESW主界面，单击右上角“购买”，尝试购买企业交换机，如果无法购买企业交换机（假设当前权限仅包含VPCReadOnlyAccess），表示“VPCReadOnlyAccess”已生效。 在“服务列表”中选择弹性云服务器（假设当前策略仅包含VPCReadOnlyAccess），如果提示权限不足，表示“VPCReadOnlyAccess”已生效。

操作步骤（锐捷RG-S6250交换机） 远端隧道网关的配置方法：在VXLAN交换机和企业交换机之间建立VXLAN隧道，以便将云下主机发送的二层报文封装为IP报文后发到企业交换机。VXLAN交换机的下行二层子接口配置VXLAN与VLAN封装规则，用来识别用户网络中的报文所属的VXLAN。 配置前进入全局配置模式。 配置示例： Ruijie#configure 创建VXLAN。 配置示 Ruijie(config)#vxlan 5010 本步骤VXLAN ID 5010，必须和表1创建二层连接时，远端接入信息的隧道号保持一致。 进入loopback接口视图，配置隧道IP。 配置示例： Ruijie(config)#interface loopback 0 Ruijie(config-if-Loopback 0)#ip address 2.2.2.2 255.255.255.255 Ruijie(config-if-Loopback 0)# exi 对于新规划的远端地址，即VXLAN交换机的接口IP地址（包括Loopback接口IP地址），要确认下其到企业交换机隧道子网路由是否可达，如果不通，需要在VXLAN交换机上配置路由。此处VXLAN交换机可以是汇聚交换机或者核心交换机，请根据网络实际规划选择。 创建VXLAN隧道。 创建OverlayTunnel1接口，该接口用于静态创建Overlay隧道。 配置示例： Ruijie(config)#interface overlayTunnel 1 指定Overlay隧道的源IP，即为用于建隧道的loopback口IP地址。 配置示例： Ruijie(config-if-OverlayTunnel 1)#tunnel source 2.2.2.2 指定Overlay隧道的目的IP，即为企业交换机隧道子网IP。 配置示例： Ruijie(config-if-OverlayTunnel 1)#tunnel destination 10.0.6.3 Ruijie(config-if-OverlayTunnel 1)#exit 配置VXLAN实例关联OverlayTunnel接口。 配置示例： Ruijie(config)#vxlan 5010 Ruijie(config-vxlan)#tunnel-interface OverlayTunnel 1 Ruijie(config-vxlan)#exit 同一企业交换机上创建多个(最多6个)二层连接场景，需和此企业交换机建多条VXLAN，可以创建多个VXLAN实例和同一个OverlayTunnel接口关联。如：OverlayTunnel1。 同一VXLAN交换机和多个企业交换机连接场景，此场景比较少用，可以创建多个OverlayTunnel接口与同一个VXLAN关联。如：OverlayTunnel1、OverlayTunnel2。 由于芯片限制，S6250产品VXLAN不支持多条隧道出口为同一个物理出口，并且还需要封装出不同的DMAC+VID信息。详情可咨询锐捷交换机技术支持。 创建二层子接口配置VXLAN与vlan封装规则。 在链路聚合口AggregatePort1创建AggregatePort 1.100子接口，接收vlan为100的数据报文，并封装为VXLAN 5010通过隧道转发。 配置示例： Ruijie(config)#interface AggregatePort 1.100 Ruijie(config-subif-AggregatePort 1.100)#encapsulation dot1q s-vid 100 Ruijie(config-subif-AggregatePort 1.100)#encapsulation vxlan 5010 Ruijie(config-subif-AggregatePort 1.100)#exit 在交换机物理以太接口上创建以太网服务实例，方法类似。 在系统视图下，执行如下命令查看VXLAN的配置状态。 show vxlan 5010 VXLAN配置状态 VXLAN 5010 Symmetric property : FALSE Router Interface : - Extend VLAN : - VTEP Adjacency Count: 1 VTEP Adjacency List : Interface Source IP Destination IP Type ---------------------- --------------- --------------- ------- OverlayTunnel 1 2.2.2.2 10.0.6.3 static

约束与限制 如果您的IDC需要与华为云企业交换机对接来建立云下和云上二层网络通信，那么IDC侧的交换机需要支持VXLAN功能，建议您新购VXLAN交换机与ESW对接。如果有高可靠性要求，建议VXLAN交换机组进行容灾部署。 以下为您列举部分支持VXLAN功能的交换机，仅供参考。 华为交换机：Huawei CE58、CE68、CE78、CE88系列支持VXLAN，例如CE6870、CE6875、CE6881、CE6863、CE12800。 其他厂商交换机：例如Cisco Nexus 9300、 锐捷RG-S6250、 H3C S6520。

操作步骤（华为CE6850交换机） 远端隧道网关的配置方法：配置IDC隧道交换机，将二层子网VLAN的流量引流到隧道。 目前大部分CE交换机不支持三层子接口转发已经封装的VXLAN报文，因此VXLAN上行（对接线上企业交换机）不能使用三层子接口，可使用VLANIF接口替代。 登录隧道交换机，执行命令system-view，进入系统视图。 进入loopback 0接口视图，配置隧道IP。 配置示例： interface loopback 0 ip address 2.2.2.2 255.255.255.255 执行命令quit，退出接口视图，返回到系统视图。 执行命令bridge-domain，进入BD视图，配置BD所对应VXLAN的VNI。 配置示例： bridge-domain 10 vxlan vni 5010 执行命令quit，退出BD视图，返回到系统视图。 创建二层子接口，通过子接口将二层网络指定的VLAN引流到隧道。 配置示例： interface 10ge 1/0/2.1 mode l2 encapsulation dot1q vid 100 bridge-domain 10 执行命令interface nve，创建NVE接口，并进入NVE接口视图，配置VXLAN隧道源端VTEP的IP地址：2.2.2.2。 配置示例： interface nve1 source 2.2.2.2 在NVE接口视图下，执行命令vni，配置VNI的头端复制列表。 配置示例： vni 5010 head-end peer-list 10.0.6.3 在系统视图下，执行如下命令查看VXLAN的配置状态。 display vxlan vni 5010 verbose 图2 VXLAN配置状态 up表示隧道状态正常。

操作场景 本指导用户在云下IDC侧的VXLAN隧道交换机上配置隧道网关，建立远端二层连接子网在IDC侧的VXLAN隧道。 本文针对用户IDC的常见组网场景提供配置参考，以华为CE6850交换机、锐捷RG-S6250交换机、H3C S6520交换机为例，如需更多配置排查，相关命令可参考实际交换机型号的产品文档。 操作步骤（华为CE6850交换机） 操作步骤（锐捷RG-S6250交换机） 操作步骤（H3C S6520交换机）

ESW权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 ESW部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域（如华北-北京1）对应的项目（cn-north-1）中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问ESW时，需要先切换至授权区域。 ESW服务没有独立的系统权限，和VPC共用一套系统权限，VPC系统权限如表1所示，包括了VPC的所有系统角色。由于华为云各服务之间存在业务交互关系，VPC的角色依赖其他服务的角色实现功能。因此给用户授予VPC的角色时，需要同时授予依赖的角色，VPC的权限才能生效。 表1 VPC系统权限 策略名称 描述 策略类别 依赖关系 VPC FullAccess 虚拟私有云的所有执行权限。 系统策略 如果您需要使用VPC流日志功能，则依赖 云日志 服务的只读权限LTS ReadOnlyAccess。 VPC ReadOnlyAccess 虚拟私有云的只读权限。 系统策略 无 VPC Administrator 虚拟私有云的大部分操作权限，不包括创建、修改、删除、查看安全组以及安全组规则。 拥有该权限的用户必须同时拥有Tenant Guest权限。 系统角色 依赖Tenant Guest策略，在同项目中勾选依赖的策略。

使用限制 ESW不支持IPv6报文，且不支持云下往云上转发未知单播、广播、组播（除VRRP协议外）的IP报文。 不支持云下服务器访问云上的高级网络功能，如VPC对等连接、VPC路由表、ELB以及NAT网关等。 对于使用云专线（DC）对接企业交换机的场景，请您先提交工单给云专线服务，确认您的云专线是否支持和企业交换机进行对接，若不支持，需要联系客服开通云专线的对接企业交换机能力。 对于使用虚拟专用网络（VPN）对接企业交换机的场景，请您先提交工单给虚拟专用网络服务，确认您的虚拟专用网络是否支持和企业交换机进行VXLAN对接，若不支持，需要联系客服开通虚拟专用网络的对接企业交换机能力。 ESW支持对接VPN场景是指经典型VPN，不支持对接专业版VPN和共享型VPN。 云上和云下二层网络互通后，云下子网网关地址要和云上子网网关地址保持一致，否则可能导致云下子网网关地址和云上虚拟机的IP地址冲突，引发通信异常。 每个企业交换机最多支持10000个IP二层互通（即包含通过该企业交换机打通的所有二层网段IP），且最多同时支持连接1000个云下二层网段IP。 使用企业交换机建立云上与云下之间的二层网络时，客户侧负责建设IDC机房的VXLAN网络，包括VXLAN交换机准备、物理网络连通、对接云专线或者虚拟专用网络等。 ESW支持MAC Proxy转发能力，通过ARP报文代理，使云上和云下主机相互不可见对端的实际MAC地址。在业务报文转发时，云上主机收到的云下报文源MAC是二层连接主接口的MAC，云下主机收到的云上报文源MAC是实例隧道口的MAC。如果您的业务场景需要感知实际主机MAC或者有基于MAC的安全策略等，不支持使用ESW。 通常，服务器端会通过ARP学习确定回复报文的目的MAC地址，但是某些主机或硬件设备（如F5负载均衡器）配置了原路径返回能力，回复报文的目的MAC地址取自请求报文的源MAC地址，当通过ESW实现云上云下三层访问场景时，可能会出现网络不通问题，请提前排查。 例如，先通过ESW打通云上和云下192.168.3.0/24网段，当云上主机192.168.2.2/24需要跨网段访问云下主机192.168.3.3/24时，云上请求报文会先通过VPC路由，再经过ESW送往云下主机，云下对应回复报文走路由发回云上，可以经过云专线/VPN。如果云下主机配置了原路径返回，云下回复报文的目的MAC地址不是192.168.3.0/24的网关MAC地址，是取对应请求报文的源MAC地址，即ESW的MAC地址。这样云下回复报文的目的MAC地址错误，导致网络不通。 ESW使用VXLAN协议时，VXLAN协议头占用50个字节，报文长度会增加。请您确保VXLAN报文经过的线下网络设备支持大帧（Jumbo Frames，即MTU大于1500字节的以太网帧）通过，否则会导致大包不通。 不同设备厂商处理大帧的方式不同，其中部分厂商默认大帧放通，例如华为。部分厂商默认大帧不放通，例如思科。 如果您的IDC需要与华为云企业交换机对接来建立云下和云上二层网络通信，那么IDC侧的交换机需要支持VXLAN功能。以下为您列举部分支持VXLAN功能的交换机，仅供参考。 华为交换机：Huawei CE58、CE68、CE78、CE88系列支持VXLAN，例如CE6870、CE6875、CE6881、CE6863、CE12800。 其他厂商交换机：例如Cisco Nexus 9300、 锐捷RG-S6250、 H3C S6520。

配额限制 表1 企业交换机配额限制 规格项 默认配额 申请更多配额 每个租户支持创建的企业交换机数量 5个 申请更多配额，请参见提交工单 每个企业交换机支持绑定的VPC数量 1个 不支持修改 每个VPC的子网支持连通的二层连接数量 1个 不支持修改 每个“基础型”企业交换机支持建立的二层连接数量 1个 不支持修改 每个“标准型”企业交换机支持建立的二层连接数量 3个 不支持修改 每个“增强型”企业交换机支持建立的二层连接数量 6个 不支持修改

计费模式 企业交换机支持包年/包月、按需付费两种计费方式。企业交换机的计费情况详细介绍见表1： 表1 企业交换机计费情况说明 计费模式 计费说明 操作ESW对计费项的影响 包年/包月 购买包年/包月ESW时，需要一次性支付选定周期内企业交换机实例的费用，不同规格包周期费用不同，具体以页面实际结算为准。包周期计费企业交换机规格如下： “基础型”规格 “标准型”规格 “增强型”规格 购买后支持退订，扣除实际使用的费用和部分优惠费用，请以实际扣费为准。 按需计费 按需计费的企业交换机：后付费。创建企业交换机实例成功后即开始计费。按秒计费，按小时结算，不足一小时以实际使用时长为准。按需计费企业交换机规格如下： “基础型”规格 “标准型”规格 “增强型”规格 -

如何为企业交换机续费，帐号欠费后会有什么影响？ 当您的帐号欠费后，为防止相关资源被冻结或者释放对您的业务产生影响，请您及时在约定时间内支付欠款，详细操作请参考欠费还款。 当您的帐号欠费后，会对您的资源使用产生如下影响： 包年/包月资源：当您的包年/包月资源到期未续费，首先会进入宽限期。如果您在宽限期内仍未续订包年/包月资源，那么就会进入保留期。 您无法对处于宽限期或者保留期的包年/包月资源执行任何操作，因此，为了确保您的业务不受影响，请您在资源到期前，及时续费，详细操作请参考续费管理。 按需计费资源：当您的按需资源欠费时，首先会进入宽限期。如果您在宽限期内仍未缴清按需资源的欠费，那么就会进入保留期。 您可以对处于宽限期的按需计费资源正常执行操作，当进入保留期后，您无法对该资源执行任何操作。 关于宽限期和保留期的详细内容，请参见宽限期保留期。

哪些产品支持基于标签进行成本分析？ 目前只有部分产品支持标签管理，您可以在创建资源时为资源添加标签。支持标签的产品明细请参见标签与其他云服务的关系。 资源开通成功后，携带的标签才会在“费用中心”的账单管理页面展示。 如果在创建资源时已经为资源添加了标签，但是在下单2小时后仍未在“费用中心”的账单管理页面查看到该标签，您可以在新建工单页面提交工单，联系客服人员处理。提交工单的详细步骤可参见提交工单。 在“产品类”区域选择需要查找的资源对应的产品类型，以“弹性 云服务器ECS ”为例说明。 选择问题类型为“计费相关”。 在输入框中输入问题，例如：云服务的费用没有携带资源标签，单击“发送”。 如仍然无法搜索到答案，请单击“转人工”。 输入具体问题，勾选“工单服务协议”，单击“提交”。 父主题： 成本标签

什么是成本单元，工作原理是什么？ 成本单元是一种基于规则引擎自动归集客户成本的工具。客户可以根据关联账号、产品类型、账单类型、成本标签、企业项目甚至是其他成本单元自定义条件规则，将名下的成本按照实际需求归集到有意义的分类。企业通常对业务有多种查看视角，比如部门、项目、应用等，客户可以创建多个成本单元来匹配这些视角。 客户还可以使用成本单元来拆分公共成本，比如多个部门共享的网络、存储或资源包带来的云成本，或无法直接通过企业项目、成本标签分配的云成本，支持按自定义拆分规则，二次分配到指定的分类上。当前支持拆分的成本类型包括：原始成本净值（对应实付金额）、摊销成本净值（对应实付金额的摊销）。 成本单元从当月月初开始生效。如果您在月中新增或修改了成本单元，将追溯月初至今的成本数据。成本单元的应用有4小时的延迟，客户创建成本单元后，可以基于成本单元进行成本分析、成本监控和预算管理。客户可以使用成本单元汇总和过滤成本和使用量数据。同时，在客户导出的成本明细数据中，每个成本单元都会作为单独一列呈现，您可以了解成本单元在成本明细中的详细应用情况。 父主题： 成本单元

为什么页面数据存在微小的数据差异？ 成本中心计算摊销成本时，数据精度均为小数点后8位。页面展示的摊销成本，均按照四舍五入取小数点后2位，因此可能导致汇总数据和明细数据之间存在微小的精度差异。 示例：当前查询条件中，汇总的“未覆盖的按需支出”为258507.64元，未覆盖的按需支出明细为7.2+22+253572.01+4906.44=258507.65元，两者之间存在0.01元的精度差。 原因：实际进行计算时，精确的按需支出明细分别为7.20000000、22.00000000、253572.00780912和4906.43515552，四舍五入后页面展示为：7.2、22、253572.01、4906.44，汇总结果为258507.65。 汇总的按需支出为7.20000000+22.00000000+253572.00780912+4906.43515552=258507.64296464，四舍五入后页面展示为258507.64。 父主题： 概述

场景示例B 根据分摊金额查看账单金额。 客户在成本中心的“成本分析”页面查看到07月存在9.19元的云硬盘摊销成本，想要查看原始订单消费情况。 在当前页面导出的07月的摊销成本明细。 通过产品类型筛选当前分摊月的成本详情。 绿色框中是成本分摊到07月的所有订单号，红色框中是分摊月中的成本构成： 第一行订单原始成本为3.5，表示订单金额为3.5，期初分摊为0，本月分摊金额为3.390625，期末未分摊0.109375，0+3.390625+0.109375=3.5。 第二行订单原始成本为7，表示订单金额为7，期初分摊为0，本月分摊金额为5.6875，期末未分摊1.3125，0+5.6875+1.3125=7。 第三行订单原始成本为3.5，表示订单金额为3.5，期初分摊为3.3870966，本月分摊金额为0.11290322，期末未分摊0，3.3870966+0.11290322+0=3.5。 当月摊销金额=3.390625+5.6875+0.11290322=9.19102822，截取分之后的小数后，“成本分析”页面展示的摊销金额为9.19元。

如何查看指定周期内的摊销成本？ 包年包月产品的每天应摊成本= 订单金额 / 订单生效周期的天数(即从订单生效到失效的总天数)。客户想看查看指定周期内的摊销成本时，在“成本分析”页面设置指定周期即可。 示例：客户2023.08.01购买的包月产品，总金额为3.5元，每天应摊成本=3.5÷31=0.11元。假设查看周期为2023.08.02~2023.08.08，则摊销成本总计=0.11*7=0.77元。 父主题： 成本分析

如何访问弹性公网IP 通过管理控制台、基于HTTPS请求的API（Application Programming Interface）两种方式访问弹性公网IP。 管理控制台方式 管理控制台是网页形式的，您可以使用直观的界面进行相应的操作。登录管理控制台，从主页选择“弹性公网IP”。 API方式 如果用户需要将云平台上的弹性公网IP集成到第三方系统，用于二次开发，请使用API方式访问弹性公网IP，具体操作请参见《弹性公网IP API参考》。

EIP权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 目前EIP服务权限包含于VPC权限中。 VPC部署时通过物理区域划分。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域（如华东-上海一）对应的项目（cn-east-3）中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问VPC时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对VPC服务，管理员能够控制IAM用户仅能对某一类网络资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分，虚拟私有云（VPC）支持的API授权项请参见策略及授权项说明。 如表1所示，包括了VPC的所有系统权限。 表1 VPC系统权限 策略名称 描述 策略类别 依赖关系 VPC FullAccess 虚拟私有云的所有执行权限。 系统策略 如果您需要使用VPC流日志功能，则依赖云日志服务的只读权限LTS ReadOnlyAccess。 VPC ReadOnlyAccess 虚拟私有云的只读权限。 系统策略 无 VPC Administrator 虚拟私有云的大部分操作权限，不包括创建、修改、删除、查看安全组以及安全组规则。 拥有该权限的用户必须同时拥有Tenant Guest权限。 系统角色 依赖Tenant Guest策略，在同项目中勾选依赖的策略。 表2列出了VPC常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表2 常用操作与系统权限的关系 操作 VPC ReadOnlyAccess VPC Administrator VPC FullAccess 创建EIP x x √ 查看EIP √ x √ 删除EIP x x √ 绑定/解绑EIP x x √ EIP插入/移除共享带宽 x x √ 创建带宽 x x √ 查看带宽 √ x √ 修改带宽 x x √ 删除带宽 x x √

绑定NAT网关 场景描述 NAT网关通过与弹性公网IP绑定，可以使多个云主机（弹性云服务器、裸金属服务器等）共享弹性公网IP访问Internet或使云主机提供互联网服务。 创建SNAT规则，为VPC内指定子网中的云产品提供共享弹性公网IP访问互联网的服务。 创建DNAT规则，用于VPC内云主机对外提供服务。 搭配服务 NAT网关、云主机（弹性云服务器、裸金属服务器）、虚拟私有云。 图2 绑定NAT网关规则

弹性公网IP 关于弹性公网IP的使用，您需要注意以下几点： 一个弹性公网IP只能绑定一个云资源使用，且弹性公网IP和云资源必须在同一个区域，不支持跨区域使用弹性公网IP。 不同区域用户，可申请的EIP配额不同，可参考怎样查看和申请扩大我的配额？来查看您的EIP配额以及申请扩大您的EIP配额。 申请提升配额，要求该账户下存在有效订单和持续使用的云服务资源，如您的账户之前存在多次订购资源后即时释放的情况，不能提升配额。 对于长期闲置的EIP资源配额，华为云将降低配额至默认值，如需提升配额，您可通过提交工单申请。 如您违反适用法律法规的要求使用华为云EIP资源，华为云有权收回EIP资源，并暂停向您提供服务。 只有未绑定状态的EIP才能进行绑定操作。 通用可用区的EIP不支持绑定至边缘可用区的实例，边缘可用区的EIP也不支持绑定至通用可用区的实例。 关于边缘可用区和普通可用区的区别请参考《智能边缘小站用户指南》。 按需计费的带宽上限以页面显示为准，如果您需要更大的带宽，请提交工单申请或联系您的客户经理。 当带宽严重超限或受到攻击时（一般是受到了DDoS攻击），EIP会被封堵，但不影响对EIP资源的绑定、解绑等操作。 未绑定的弹性公网IP地址才可释放，已绑定的弹性公网IP地址需要先解绑定后才能释放。 弹性公网IP释放后，如果被其他用户使用，则无法找回。

带宽 共享带宽只能加入按需计费的EIP。 共享带宽支持按带宽计费、增强型95计费。按带宽计费5Mbit/s起售，增强型95计费300Mbit/s起售。 共享带宽可支持加入20个EIP，如果您需要加入更多EIP，请提交工单申请。 通用可用区的共享带宽不支持添加边缘可用区的EIP，边缘可用区的共享带宽也不支持添加通用可用区的EIP。 关于边缘可用区和普通可用区的区别请参考《智能边缘小站用户指南》。 每个用户最多申请5个共享带宽，如果您需要更多共享带宽，请提交工单申请。 对包年包月EIP使用的独享带宽，在当前带宽周期内只能提升带宽上限不能降低带宽上限，如果需要降低带宽规格，请在当前带宽周期到期后，重新续费时降低带宽规格。 共享带宽和独享带宽均不支持跨账号使用。 为了保证云上资源管控通道的稳定，弹性公网IP对22、500、3389、4500等端口设定了特殊的限速保护规则。 入云方向是指Internet流入华为云内方向，出云方向是指华为云内流出到Internet方向。 2020年7月31日 00:00（北京时间）之后，华北-北京四、华东-上海一、华南-广州、西南-贵阳一、华北-乌兰察布一等所有中国大陆区域针对公网带宽进行限速规则调整。 2021年12月10日 00:00（北京时间）之后，中国-香港、亚太-曼谷、亚太-新加坡、非洲-约翰内斯堡、拉美-墨西哥城二、拉美-圣保罗一、拉美-圣地亚哥等区域针对公网带宽进行限速规则调整。 调整后的规则如下： 如果您购买/修改后的带宽大小小于或等于10Mbit/s，则入云方向带宽为10Mbit/s，出云方向带宽大小为购买/修改后的带宽大小。 如果您购买/修改后的带宽大小大于10Mbit/s，则出云方向和入云方向带宽相同，都等于购买/修改后的带宽大小。 增强型95计费取入云方向和出云方向中较大的带宽平均值作为采样点的带宽值进行收费。

共享流量包 共享流量包费用为一次性支付，即刻生效，不支持指定生效日期。 共享流量包一旦购买不支持修改和退订，到期后也不支持续订。 共享流量包支持包月和包年，到期后剩余的流量将无法再使用。 共享流量包只能针对按需计费（按流量计费）的带宽生效，且需要区分动态BGP和静态BGP类型。动态BGP共享流量包适用于动态BGP按需计费（按流量计费）的独享带宽，静态BGP共享流量包适用于静态BGP按需计费（按流量计费）的独享带宽。 共享流量包不支持对指定的某一个EIP带宽生效。 共享流量包不支持对共享带宽生效。 共享流量包不支持用于优选BGP类型的EIP。

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的 云安全 挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 类云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。华为云租户的安全责任在于对使用的 IaaS、PaaS 和 SaaS 类云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、 虚拟主机 和访客虚拟机的操作系统，虚拟防火墙、API 网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题： 安全

什么是成本标签 您可以将标签激活为成本标签，以方便您对华为云成本进行分类和跟踪。只有激活后的标签，才会应用在成本数据上。激活成本标签的具体操作请参见激活成本标签。 成本标签的来源主要包括如下两种： 费用：即用户在创建资源时添加的标签，一般在创建并产生费用24小时后才会显示在“成本标签”页面。 预定义标签：即用户在“标签管理服务”控制台中创建的预定义标签，该标签创建后实时展示在“成本标签”页面。 成本标签的应用 您可以在“成本分析”页面使用成本标签汇总或者过滤成本数据，也可以在预算管理中跟踪指定标签的成本和用量情况。 成本标签的限制 当前已支持标签集中管理的云服务请参见标签与其他云服务的关系。 应用到成本数据上的成本标签存在最多48小时的延迟，示例： 用户激活成本标签“groupA”； 用户创建订单时设置了标签“groupA”； 可能在订单创建45小时后，才能在成本中心通过标签“groupA”查询对应的成本数据。

什么是标签 标签用于标记云资源，如实例、镜像和磁盘等。如果您的账户下有多种云资源，并且不同云资源之间有多种关联，您可以使用标签按各种维度（例如用途、所有者或环境）对云资源进行分类。 图1 标签示例 在此示例中，您为每个云资源分配了两个标签，每个标签都包含您定义的一个“键”和一个“值”，一个标签使用键为“所有者”，另一个使用键为“用途”，每个标签都拥有相关的值。标签的设计原则请参见标签设计原则和命名示例。 您可以根据为云资源添加的标签快速搜索和筛选特定的云资源。例如，您可以为账户中的云资源定义一组标签，以跟踪每个云资源的所有者和用途，使资源管理变得更加轻松。