参数 参数类型 说明 示例 下级对象 ipProtectCount Integer eip已防护数量 ipUnProtectCount Integer eip未防护数量 natProtectCount Integer nat已防护数量 natUnProtectCount Integer nat未防护数量 vpcPeerProtectCount Integer 对等连接已防护数量 vpcPeerUnProtectCount Integer 对等连接未防护数量 cdaProtectCount Integer 云专线已防护数量 cdaUnProtectCount Integer 云专线未防护数量 ecProtectCount Integer 云间高速已防护数量 ecUnProtectCOunt Integer 云间高速未防护数量

本文介绍弹性IP的产品优势。 灵活绑定 支持弹性IP灵活绑定云资源。您可以根据需要把弹性IP绑定到弹性云主机上，以实现随时访问公网的目的，还可以绑定NAT网关实例、弹性负载均衡实例，实现多云主机共享弹性IP访问公网。 如果您遇到实例出现故障的情况，弹性IP支持快速解绑故障实例。解绑故障实例后，此弹性IP支持您再次绑定到正常实例上继续使用， 如果您不再需要弹性IP服务，可以通过释放的方式停止计费。 支持IPv4、IPv6双栈访问公网能力 弹性IP提供IPv4访问公网能力，IPv6带宽提供IPv6访问公网能力，可以满足不同业务场景下的公网带宽需求。 网络适配 不同业务场景对弹性IP所需带宽规格要求不同，您可以根据需要灵活调整网络带宽，实现带宽变配。 独立管理 在天翼云控制台，支持对弹性IP生命周期的独立管理。您可以在控制台自行查看弹性IP的状态、绑定情况、带宽大小、到期时间等基本信息。您还可以对选中的弹性IP进行绑定、解绑。根据弹性公网IP的使用需要，您可以直接在控制台进行续订或释放。 计费多样 弹性公网IP支持多种计费方式，您可以根据需要选择包年包月计费，还可以选择按使用时间或实际产生的流量进行计费。 如果您选择包年包月和按需计费，此时IP地址不收费，只收取独享带宽费用。另外，按需计费的弹性IP可加入共享带宽，一个共享带宽允许多个弹性IP同时加入。弹性IP加入共享带宽后，只收取共享带宽的带宽费用。其他更多计费说明请参见计费模式。

虚拟IP的使用限制 当云主机具有多个网卡，并且这些网卡都归属一个子网时，不推荐使用虚拟IP功能。如果在该场景下使用虚拟IP功能，弹性云主机内部会存在路由冲突，导致虚拟IP通信异常。 虚拟IP是从VPC子网内划分的一个内网地址，因此仅支持将虚拟IP绑定至当前子网内的云主机，不支持跨子网绑定云主机。 使用IPv6地址的虚拟IP仅支持绑定一个网卡。 虚拟IP及扩展弹性网卡不支持直接访问天翼云内网云服务，如内网DNS等。 虚拟IP与弹性IP绑定将受弹性IP相关配额限制，具体可参看弹性IP服务约束与限制内容。 说明 将虚拟IP绑定至ECS时，会将虚拟IP同时关联至ECS的安全组。一个虚拟IP最多可同时关联至10个安全组。 对等连接的使用限制 对等连接仅可以连通同节点内的VPC，不同节点的VPC之间不能创建对等连接。 配置对等连接时，当您的本端VPC和对端VPC存在网段重叠的情况时，那么您的对等连接可能会不生效。 VPCA和VPCB之间创建对等连接，默认情况下，VPCB不能通过VPCA的EIP访问公网。您可以使用NAT网关服务或配置SNAT服务器，使得VPCB下的弹性云主机可以通过VPCA下绑定了EIP的弹性云主机访问Internet。 IPv4/IPv6双栈网络的使用限制 当前IPv4/IPv6双栈网络暂不收费，后续定价会根据中国电信收费策略的变化进行调整。 弹性云主机ECS部分规格支持IPv6网络，只有选择支持IPv6的ECS，才可以使用IPv4/IPv6双栈网络。

第二步：创建云上注册集群，根据具体场景选择本地集群或三方云集群 进入天翼云【分布式容器云平台】产品页面，顶部切换到规划好的资源池，然后选择【集群资源】>【注册集群】，根据实际场景选择注册本地集群或注册三方云集群。 在集群订购页，选择步骤一中规划好的VPC、子网；若规划为公网方式接入注册集群，则还需启用【使用EIP暴露APIServer】，若规划为内网方式则无需启用；其他配置项按需设置即可。 最终根据指引，提交注册集群订购，并在【集群资源】>【集群管理】页面确认订购的注册集群已处于【待接入】状态。 第三步：打通用户集群到云上注册集群的网络连接 根据第一步规划的云上云下网络打通方式，参考下面指引进行实际网络打通： 网络模式 打通方式 公网 该方式要求用户集群具备主动访问公网的能力。 若用户集群为三方云集群，可参考三方云VPC下启用NAT主动访问公网配置指引进行操作；若用户集群为本地集群，则需按照本地实际网络情况进行配置，或联系您的网络管理员进行协助； 专线内网 天翼云提供了专业的云产品能力，来支持用户将云下IDC网络或三方云网络与天翼云上VPC网络内网打通。建议可选产品有： 云专线CDA：提供物理专线连接，具有高带宽、低延迟和高可靠性，适合需要高性能连接的场景。 VPN连接：如果对成本敏感且对带宽要求不高，可以选择VPN连接，通过IPsec协议建立加密隧道，实现安全的连接。 具体产品配置指引，请登录天翼云官网对应产品页查看。 在配置完网络互通策略后，用户可通过ping或telnet 注册集群网关地址，来验证实例的具体联通情况。

参数 参数类型 说明 示例 下级对象 inFlowMax Long 入向峰值带宽 outFlowMax Long 出向峰值带宽 flowProcessingCapacity Integer 带宽规格 percentage Double 百分比 ipProtectCount Integer 弹性ip未防护数量 ipUnProtectCount Integer 弹性ip已防护数量 natProtectCount Integer 公网nat未防护数量 natUnProtectCount Integer 公网nat已防护数量 ipUsedQuotaCount Integer 公网ip配额已使用数量 ipUnUsedQuotaCount Integer 公网ip配额未使用数量 ipQuotaCount Integer 公网ip配额数量

接口描述 查询vpc列表 接口约束 无 URI GET /v1/eop/vpc 请求参数 query参数 响应参数 参数 参数类型 说明 示例 下级对象 statusCode Integer 状态码 800 message String 消息提示 SUCCESS returnObj Array 返回对象 [] VpcForm VpcForm 参数 参数类型 说明 示例 下级对象 cidr String vpc网段 192.168.0.0/16 createDate String vpc创建时间 20221013T08:22:28Z hasnat Boolean 是否有nat false hasvpn Boolean 是否有vpn false ipv6Enabled Boolean 是否支持ipv6 false name String vpc名称 vpc3t68 regionId String 资源池id 100054c0416811e9a6690242ac110002 resVpcId String vpc id 07a41838845c467db2e8e1001a9fc01f vpcStatus String vpc状态 OK zoneId String 区域id 100054c0416811e9a6690242ac110002 zoneName String 区域名称 保定os 请求示例 /v1/eop/vpc 请求头header 请求体body 响应示例 { "message": "SUCCESS", "returnObj": [ { "cidr": "192.168.0.0/16", "createDate": "20221013T08:22:28Z", "hasnat": false, "hasvpn": false, "ipv6Enabled": false, "name": "vpc3t68", "regionId": "100054c0416811e9a6690242ac110002", "resVpcId": "07a41838845c467db2e8e1001a9fc01f", "vpcStatus": "OK", "zoneId": "100054c0416811e9a6690242ac110002", "zoneName": "保定os" }, { "cidr": "192.168.0.0/16", "createDate": "20220922T01:52:02Z", "hasnat": false, "hasvpn": false, "ipv6Enabled": false, "name": "vpc9bdf0922", "regionId": "100054c0416811e9a6690242ac110002", "resVpcId": "cfcbed30ca9e432daa8b87ef0eb6a9aa", "vpcStatus": "OK", "zoneId": "100054c0416811e9a6690242ac110002", "zoneName": "保定os" } ], "statusCode": 800 }

Web应用防火墙（原生版） Web应用防火墙（原生版）（CTWAF，Web Application Firewall，简称WAF）基于三大引擎（安全模型检测引擎+智能语义检测引擎+机器学习检测引擎），结合设备指纹、无感验证码、动态人机挑战、动态环境验证、随机化混淆策略、AI驱动的实时决策等关键技术，支持多种常见编码自动还原能力，提供深度攻击防逃逸功能，构建完整的动态防御闭环，有效检测 SQL 注入、XSS 等基于形式语言的攻击类型，有效应对自动化工具、0day漏洞攻击等高风险威胁。打造专业的Web安全防护能力。可为用户Web应用提供一站式安全防护，对Web业务流量进行智能全方位检测，有效识别恶意请求特征并防御，避免源站服务器被恶意入侵，保护网站核心业务安全和数据安全。更多信息请参考++Web应用防火墙++ 配置方式： 如果您拥有弹性IP、公网NAT网关、弹性负载均衡等网络资产，并需要进行公网流量出入的互联网边界防护需求，您可以在云防火墙的“互联网边界开关”页面将这些网络资产接入云防火墙，并配置相关的互联网边界访问控制规则。具体操作，请参见++防火墙开关互联网边界防火墙++、++访问控制配置互联网边界防护规则++ 如果您拥有对等连接、云间高速、云专线等网络资产，并需要针对内网互访进行VPC边界防护，您可以在云防火墙的“VPC边界开关”页面将内网互访流量接入云防火墙，并配置相关的VPC边界访问控制规则。具体操作，请参见++防火墙开关VPC边界防火墙++、++访问控制配置VPC边界防护规则++

与VPC的关系 VPC是基于天翼云创建的自定义私有网络，为弹性云主机提供一个逻辑上完全隔离的专有网络，您还可以在VPC中定义安全组、IP地址段、带宽等网络特性。用户可以通过VPC方便地管理、配置内部网络，进行安全、快捷的网络变更，详细内容请参见虚拟私有云。云防火墙目前仅支持VPC内绑定云主机资产的IP南北向的防护，并且需要您在同一个VPC内创建一个子网掩码不大于28的子网网段，用于云防火墙的部署，并确保该子网中不进行任何业务配置，只用于云防火墙的部署。 与弹性IP的关系 弹性IP（Elastic IP，EIP）是可以独立申请的公网IP地址，包括公网IP地址与公网出口带宽服务。可以与云主机、物理机、负载均衡、NAT网关等云产品动态绑定和解绑，实现云资源的互联网访问，详情请参见弹性IP。云防火墙会自动同步用户账号下的弹性IP资产，并显示其防护状态。用户可自主决策是否对弹性IP开启安全防护，首次购买后，您会自动进入防火墙控制台页面，同时防火墙自动为您同步资产，同步完成后，公网IP默认处于关闭防护状态，需要您手动“开启防护”，并去配置相关的规则。公网IP统计了您已开启和未开启防护的公网IP，对应防火墙状态中的“已防护”和“未防护”状态，未防护的统计所有绑定资产类型对应的公网IP。可用授权展示已经购买的云防火墙配额数，每个配额可防护一个VPC，您可以为该VPC中的所有IP开启防护。云防火墙（CFW）与EIP关系如下图：

在函数详情页的网络配置部分，可以开启【允许函数默认网卡访问公网】；当公网访问被启用时，您的函数便能够发起对外的互联网请求。详细操作请参考 网络配置。 此外，您还可以在您的VPC中建立一个公网NAT（网络地址转换）服务；如果您允许函数访问您的VPC资源，即使您禁止函数通过默认网卡访问公网，函数仍然可以通过VPC内部的公网NAT服务来实现对公网的访问。这种方法可以在确保安全性的同时，让您的函数访问必要的互联网资源。

本文介绍如何重装裸金属资源，对您的资源进行管理。 重装操作系统注意事项 基于安全考虑，装机镜像默认开启系统防火墙，如未通过NAT网关实现出入网，裸金属资源无安全组能力，需运营运营人员修改系统防火墙配置，此时可联系您的客户经理，与我们取得联系。 重装操作系统操作步骤 1. 登录ECX控制台。 2. 点击左侧导航栏【边缘裸金属>裸金属服务器】，选择需要操作的实例。 3. 点击【更多】选项，选择【重装】按钮，跳转到选中实例的重装页面。 4. 如有多台实例需要重装，可勾选实例后单击【批量操作】按钮，在下拉列表中单击【重装】，跳转到实例的重装页面。 5. 选择操作系统、输入或随机生成账号密码，其中系统镜像可选择公有镜像或自定义镜像。 6. 配置系统盘名称，选择是否修改磁盘分区，如选择启用，则需调整分区大小及文件系统类型，如否，直接进入下一步。 7. 配置重装后的网络模式：可选择沿用原有网络，不做任何网络配置变更重装；或配置新网络，支持配置所使用的网卡类型及组网策略，但需要保证公网IP的使用情况与重装前保持一致。 8. 系统重装后，原数据会全部丢失，如需继续点击【确定】按钮即可，实例状态将变为“装机中”，如需重新选择镜像，可点击【上一步】重新选择镜像。

本章节介绍了源站服务器部署在天翼云弹性云服务器（以下简称ECS）或天翼云弹性负载均衡（以下简称ELB）时，如何判断源站存在泄漏风险，以及如何配置访问控制策略保护源站安全。 网站已接入Web应用防火墙（Web Application Firewall，简称WAF）进行安全防护后，您可以通过设置源站服务器的访问控制策略，只放行WAF回源IP段，防止黑客获取您的源站IP后绕过WAF直接攻击源站。 说明 网站已接入WAF进行安全防护后，无论您是否配置源站保护，都不影响正常业务的转发。没有配置源站保护可能导致攻击者在源站IP暴露的情况下，绕过WAF直接攻击您的源站。 如果在ECS前使用了NAT网关做转发，也需要设置ECS入方向规则在ECS的安全组配置只允许放行WAF的回源IP地址段，保护源站安全。 操作须知 在配置源站保护前，请确保该ECS或ELB实例上的所有网站域名都已经接入WAF，保证网站能正常访问。 配置安全组存在一定风险，避免出现以下问题： 您的网站设置了Bypass回源，但未取消安全组和网络ACL等配置，这种情况下，可能会导致源站无法从公网访问。 当WAF有新增的回源网段时，如果源站已配置安全组防护，可能会导致频繁出现5xx错误。 如何判断源站存在泄露风险 您可以在非天翼云环境直接使用Telnet工具连接源站公网IP地址的业务端口（或者直接在浏览器中输入访问Web应用的IP），查看是否建立连接成功。 如果可以连通：表示源站存在泄露风险，一旦黑客获取到源站公网IP就可以绕过WAF直接访问。 如果无法连通：表示当前不存在源站泄露风险。

访问控制日志 字段 类型 描述 ruleid string 触发规则的ID srcip string 源IP地址。 srcport string 源端口号。 dstip string 目的IP地址。 dstport string 目的端口号。 srcregionname string 源地区名称。 srcregionid string 源地区ID。 dstregionname string 目的地区名称。 dstregionid string 目的地区ID。 logtype string 日志类型。 internet：互联网边界流量日志 nat：NAT边界流量日志 vpc：VPC间流量日志 dsthost string 目的域名。 vsys long 防火墙防护方向。 1：南北向 2：东西向 protocol string 协议类型。 app string 应用类型。 direction string 流量方向。 out2in：入方向 in2out：出方向 action string 防火墙当前的响应动作。 permit：放行 deny：阻断 hittime long 访问发生的时间。 流量日志 字段 类型 描述 srcip string 源IP地址。 srcport string 源端口号。 dstip string 目的IP地址。 dstport string 目的端口号。 protocol string 协议类型。 app string 应用类型。 direction string 流量方向。 out2in：入方向 in2out：出方向 action string 防火墙当前的响应动作。 permit：放行 deny：阻断 srcregionname string 源地区名称。 srcregionid string 源地区ID。 srcvpc string 源IP地址所在VPC的ID dstregionname string 目的地区名称。 dstregionid string 目的地区ID。 dstvpc string 目的IP地址所在VPC的ID logtype string 日志类型。 internet：互联网边界流量日志 nat：NAT边界流量日志 vpc：VPC间流量日志 dsthost string 目的域名。 vsys long 防火墙防护方向。 1：南北向 2：东西向 hittime long 访问发生的时间。 tosbytes long 客户端向服务端发送的字节数。 tocbytes long 服务端向客户端发送的字节数。 tospkts long 客户端向服务端发送的报文数。 tocpkts long 服务端向客户端发送的报文数。 bytes long 防护流量的字节数。 packets long 防护流量的报文数。 starttime long 流开始时间 endtime long 流结束时间

本文介绍ECI实例概述。 每个ECI实例对应一个容器组，由vCPU、内存、网络等基础组件组成，用于运行一个或多个容器。本文介绍ECI实例的基本配置、创建方式和生命周期等。 说明 弹性容器实例产品具备高弹性、低成本、高并发等特性，适用于在线业务弹性扩容、在线业务托管、AI和大数据处理等业务，有短期创建大量资源、快速使用并释放的场景。 为了避免频繁创建删除操作的消息提示对您造成困扰，弹性容器实例产品将消息提示策略进行优化：除了第一次创建弹性容器实例时，系统会向您发送的邮件、短信、站内信提示，其余创建删除操作，系统将停止发送消息提示，请您随时留意控制台资源情况。 基本配置 ECI实例包含实例规格、容器镜像、网络、存储等基础组件，您可以方便地定制、更改实例的配置。您对该ECI实例拥有完全的控制权，不需要进行底层服务器的管理和配置操作，只需要提供打包好的容器镜像，即可运行容器。 实例规格：一个ECI实例主要包括vCPU和内存规格。创建实例时，可以指定ECI规格（直接指定vCPU和内存），也可以指定ECS规格来满足GPU、增强网络能力等特殊需求。 容器镜像：一个ECI实例由一个或者多个容器组成，部署容器应用时，需要准备好容器镜像。容器镜像包含容器应用运行所需的程序、库文件、配置等。拉取镜像时，需要保证网络畅通，推荐您使用镜像缓存功能来节约实例的启动耗时。 网络：一个ECI实例将占用所属VPC下的子网的一个弹性网卡资源，默认具备一个内网IP地址。如果需要连接公网，例如需要拉取公网镜像。则需要为ECI实例绑定EIP，或者为所属VPC绑定NAT网关。 存储：一个ECI实例默认有40 GiB的临时存储空间，您可以根据需要增加临时存储空间。如果想要保留存储的文件，建议使用外挂数据卷，支持挂载云盘、弹性文件和对象存储等天翼云存储数据卷。

使用虚拟私有云（VPC）实现网络隔离 虚拟私有云（VPC）是天翼云为用户提供的独立隔离虚拟网络环境，用户可完全掌控网络配置，是实现云上网络安全隔离的核心基础。VPC丰富的功能帮助您灵活管理云上网络，包括创建子网、设置安全组和网络ACL、管理路由表、申请弹性公网IP和带宽等。此外，您还可以通过云专线、VPN等服务将VPC与传统的数据中心互联互通，灵活整合资源，构建混合云网络。创建在VPC中的云主机可以依赖VPC的能力实现网络隔离，主要包括： 每个VPC实例是一个二层隔离的网络，VPC内部内网互通。在不采用对等连接、云间高速等方式建立VPC与外部网络内网互通的情况下，不同VPC之间默认无法内网互通。VPC中的云主机互访通过内网地址互通，可以实现最大化与外部网络隔离。 VPC内可以创建多个子网，将VPC划分为多个网段。不同子网之间可以通过子网路由表对路由进行管理，控制流量路径。 更多信息，请参见 ++虚拟私有云产品定义++和++创建虚拟私有云VPC++。 通过子网划分实现业务隔离 合理的子网规划是提升网络安全与管理效率的关键，通过按业务属性、安全等级划分子网，可实现精细化网络管控。 子网划分原则：按业务功能划分。将 Web 服务、应用服务、数据库服务分别部署在独立子网（如 Web 子网、应用子网、数据库子网），避免单一子网故障影响全业务。 按安全等级划分：将核心业务（如数据库、支付系统）部署在高安全等级子网，限制公网访问；将边缘服务（如负载均衡、CDN 节点）部署在低安全等级子网，作为业务对外访问入口，降低核心业务暴露风险。 预留地址空间：子网划分时预留 20% 左右的 IP 地址空间，为后续业务扩展与资源扩容提供支持，避免子网地址耗尽导致的网络调整成本。 子网级管控措施： （1）路由控制：为不同子网关联独立路由表，例如，数据库子网路由表仅保留内网路由，禁止直接访问公网； （2）Web 子网路由表配置指向 NAT 网关的默认路由，实现公网访问控制。 更多信息，请参见 ++创建子网++和++网络ACL简介++。

本文介绍如何基于Serverless集群快速部署Stable Diffusion应用。 基于 Serverless集群，你可以通过控制台或 kubectl 两种方式快速部署 Stable Diffusion 应用。本指南将带你完成部署，助你轻松通过外部端点访问 Stable Diffusion，开启 AIGC 文生图之旅。 前提条件 确保您已经成功创建了Serverless集群，并且能通过公网访问集群。 确保Serverless集群所在VPC已经开启公网NAT网关，Stable Diffusion 应用能访问公网。 背景信息 Stable Diffusion 是一种强大的、开源的潜在文生图扩散模型 (Latent TexttoImage Diffusion Model)。它由 Stability AI 公司及其合作者于 2022 年发布，并迅速成为人工智能生成内容 (AIGC) 领域中最具代表性的模型之一。其核心功能是根据用户提供的文本描述（Prompt），通过一个复杂的算法过程，生成与之相符的高质量、细节丰富的图像。 注意 天翼云不对第三方模型“Stable Diffusion”的合法性、安全性、准确性进行任何保证，天翼云不对由此引发的任何损害承担责任。 您应自觉遵守第三方模型“Stable Diffusion”的用户协议、使用规范和相关法律法规，并就使用第三方模型的合法性、合规性自行承担相关责任。 操作步骤 步骤一：创建 Stable Diffusion应用 您可以通过控制台部署Stable Diffusion应用，也可以通过kubectl工具连接sce集群来创建Stable Diffusion应用。 1. 登录管理控制台，在左侧菜单栏选择“集群”。 2. 在集群列表页面，选择目标集群名称，然后在左侧菜单栏，选择“工作负载 ”下的“无状态”，选择“创建Deployment”。 3. 在创建Deployment页面，填写Deployment名称、副本数量等。 4. 在实例内容器项填写容器名称、镜像、镜像版本、cpu/内存限制等。 其中Stable Diffusion镜像要提前上传到容器镜像服务实例，点击选择镜像选择Stable Diffusion镜像即可。 5. 开启“容器健康检查”，勾选“就绪检查”。 6. 在服务配置项，创建服务，选择负载均衡类型，公网访问，配置容器端口、服务端口，点击“确定”。 7. 点击创建工作负载，等待Pod状态变为Running，Stable Diffusion应用部署完成。

本文将帮助您了解什么是IPv4网关,以及IPv4网关的使用限制、配额限制等内容。 什么是IPv4网关 IPv4网关是连接虚拟私有云和公网的网络组件。虚拟私有云访问IPv4公网的流量经过IPv4网关，由IPv4网关实现路由转发以及私网地址到公网地址的转换，最终实现对公网的访问。 地域支持情况 天翼云部分资源池支持IPv4网关功能，实际情况以控制台展现为准。 使用限制 VPC创建后默认生成一个IPv4网关和指向IPv4网关的缺省路由规则。 IPv4网关当前仅支持IPv4流量。 一个VPC下只支持创建一个IPv4网关，且一个IPv4网关仅能关联一个VPC。 一个IPv4网关仅能绑定一张网关路由表。 VPC删除时会连带删除IPv4网关。 配额限制 资源 默认限制 提升配额 单个VPC支持的IPv4网关个数 1个 无法提升 单个IPv4网关支持的网关路由表个数 1个 无法提升

本文向您介绍如何查看已创建的企业版VPN网关。 场景描述 用户创建VPN网关后，可以查看已创建的VPN网关。 操作步骤 1. 登录管理控制台，单击“网络 > VPN”进入VPN控制台。 2. 在左侧导航栏，单击“虚拟专用网络 > 企业版VPN网关”。 3. 在“VPN网关”页面，查看VPN网关列表信息。 4. 单击VPN网关的名称，查看VPN网关详情。 公网类型网关：可查看基本信息和弹性公网IP。 私网类型网关：可查看基本信息和高级配置。 国密型网关：可查看基本信息和证书信息。 说明 在VPN网关列表中，选择目标VPN网关所在行，单击网关IP列的，查看该VPN网关带宽和流量的监控信息。

本文将为您介绍创建和管理专线网关的操作步骤。 前提条件 已创建物理专线，具体操作说明详见创建物理专线。 操作步骤 创建专线网关 1、登录云专线控制台，在左侧导航栏中，单击【专线网关】。 2、在专线网关页面，单击【创建专线网关】，配置以下参数信息，然后单击【确定】。 配置 说明 专线网关名称 输入专线网关的名称，默认自动生成。 取值范围为164个字符，支持中英文数字、特殊符号（@、、、$、.）。 企业项目 选择企业项目，默认为default。 说明 企业项目是对多个资源实例进行归类管理的单位，不同云服务区域的资源和项目可以归到一个企业项目中。 查看专线网关 1、登录云专线控制台，在左侧导航栏中，单击【专线网关】。 2、在专线网关页面，选择目标专线网关，在操作列中单击【详情】。 3、在专线网关详情页，可以查看物理专线、客户侧路由和VPC等配置信息。 修改专线网关 1、登录云专线控制台，在左侧导航栏中，单击【专线网关】。 2、在专线网关页面，选择目标专线网关，在操作列中单击【详情】。 3、在专线网关详情页，选中专线网关名称，单击编辑标识。 4、修改成功后，单击对勾标识。 删除专线网关 1、登录云专线控制台，在左侧导航栏中，单击【专线网关】。 2、在专线网关页面，选择目标专线网关，在操作列中单击【删除】。 3、在弹出的对话框，单击【确定】。 说明 删除专线网关前，请确认已经删除了专线网关详情页中的相关配置，包括物理专线、客户侧路由、VPC等页签中的配置内容。

指标 说明 入流量 请求进入网关的带宽。 出流量 网关应答的带宽。 配置中心连接状态 网关和控制面连接状态，1为正常，0位异常。 请求成功率 网关返回HTTP 2XX的比例。 404比例 网关返回HTTP 404的比例。 5XX比例 网关返回HTTP 5XX的比例。 失败率 网关返回HTTP 4XX和5XX的比例。 平均延迟 网关收到请求到返回应答的平均时延（ms）。 P50延迟 网关处理请求50分位耗时。 P95延迟 网关处理请求95分位耗时。 P99延迟 网关处理请求99分位耗时。 QPS 网关每秒处理请求数。 连接数 网关连接数统计。

本章节为您介绍如何快速使用综合安全网关服务。 步骤一：新增网关服务证书 说明 一个综合安全网关实例仅支持创建一个网关服务证书，若您的服务已创建证书则无法再新增。 1. 登录综合安全网关实例。 2. 在左侧导航栏选择“SSL网关服务 > 网关服务证书”，单击页面左上角的“新增证书”按钮。 3. 在弹出的“新增网关服务证书”对话框中，选择需要新增的证书规格。 4. 选择完成后，单击“确定”完成证书新增。 步骤二：生成证书CSR 1. 登录综合安全网关实例。 2. 在左侧导航栏选择“SSL网关服务 > 网关服务证书”。 3. 选择需要生成CSR的证书，单击“操作”列的“CSR请求”按钮。 4. 在弹出的对话框中配置CSR相关内容。 5. 配置完成后，单击“生成证书请求”，会在“证书请求”栏中生成CSR。 6. 根据您业务自身需求选择复制保存或者下载文件保存。 步骤三：新增网关服务并配置 1. 登录综合安全网关实例。 2. 在左侧导航栏选择“SSL网关服务 > 网关服务管理”，在页面左上角单击“开通网关服务”。 3. 在弹出的“新增网关服务”的对话框中配置网关服务参数。 4. 确认填写的内容后，单击“确定”完成新增网关服务。 5. 配置完成后返回到“网关服务管理”页面，单击“操作”列的“配置”按钮开始配置网关。 6. 在弹出的“配置网关服务”对话框中，配置相关参数。

Service Service是用来解决Pod访问问题的。每个Service有一个固定IP地址，Service将访问流量转发给Pod，而且Service可以给这些Pod做负载均衡。 图 通过Service访问Pod 根据创建Service的类型不同，可分成如下模式： ClusterIP：用于在集群内部互相访问的场景，通过ClusterIP访问Service。 NodePort：用于从集群外部访问的场景，通过节点上的端口访问Service。 LoadBalancer：用于从集群外部访问的场景，其实是NodePort的扩展，通过一个特定的LoadBalancer访问Service，这个LoadBalancer将请求转发到节点的NodePort，而外部只需要访问LoadBalancer。 Service的详细介绍请参见Service概述。 lngress Service是基于四层TCP和UDP协议转发的，而Ingress可以基于七层的HTTP和HTTPS协议转发，可以通过域名和路径做到更细粒度的划分，如下图所示。 图 IngressService Ingress的详细介绍请参见Ingress概述。 网络访问场景 负载网络访问可以分为如下几种场景。 集群内部访问：创建ClusterIP类型的Service，通过Service访问负载。 外部访问负载：从外部访问负载推荐使用Service（NodePort类型或LoadBalancer类型）或Ingress访问。 公网访问负载需要节点或LoadBalancer绑定公网IP。 内网访问负载通过节点或LoadBalancer内网IP即可。如果跨VPC需要通过对等连接等手段打通不同VPC网络。 负载访问外部： 负载访问内网：负载访问内网地址，在不同容器网络模型下有不同的表现，需要注意在对端安全组放通容器网段，具体请参见容器如何访问VPC内部网络。 负载访问公网：访问公网有几种方法可以实现，一是让容器所在节点绑定公网IP（容器网络模型为VPC网络或容器隧道网络），另一个是通过NAT网关配置SNAT规则，具体请参见从容器访问公网。 图 网络访问示意图

查看网关服务详情 1. 登录综合安全网关实例。 2. 在左侧导航栏选择“SSL网关服务 > 网关服务管理”，选择需要查看详情的网关服务，单击“操作”列的“详情”即可查看网关服务详情。 删除网关服务 注意 删除后的网关数据无法恢复，请您谨慎进行删除操作。 1. 登录综合安全网关实例。 2. 在左侧导航栏选择“SSL网关服务 > 网关服务管理”，选择需要删除的网关服务，单击“操作”列的“删除”。 3. 在弹出的对话框中，单击“确定”即可完成删除。

参数 类型 描述 是否必须 serverId String 要修改的服务器ID。 是 targetPortalIP.ips Array of ip iSCSI目标门户IP属性集合，详见“ 表1 请求参数targetPortalIP.ip说明 ”。 说明 若服务器与客户端不在同一网段（如服务器位于内网，客户端位于外网），通过NAT设备（如路由器）进行连接，则需要将NAT设备的外网地址和端口添加到服务器，从而使得外网的客户端可以正常与该服务器的target建立iSCSI连接。 否 targetPortalIP.status String 是否启用iSCSI目标门户IP。 取值： Enabled：启用。 Disabled：禁用。 是 defaultPath String 设置默认的数据目录（仅单机版本支持）。 数据目录必须是已经添加到HBlock系统中，并且状态为Normal的数据目录。 否 portRange String 指定端口范围，用于相关服务。 取值：整型，取值范围为[1, 65535]，port1为端口范围最小值，port2为端口范围最大值，且port1 < port2。 说明 建议指定的端口范围至少包含500个端口。 否

接口功能介绍 确认手动引流配置完成 接口约束 传参规范 URI POST /vfw/v2assertopenprotect 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 urlType 是 String 请求地址类型 CTAPI regionId 是 String 资源池id 100054c0416811e9a6690242ac110002 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 vpcId 是 String 开启防护的vpc scenarioType 是 String 类型nat;vpcPeer对等连接;cda云专线;ec云间高速 scenarioId 是 String 场景id，列表获取 响应参数 参数 参数类型 说明 示例 下级对象 statusCode String 状态码 message String 返回信息 成功 error String 错误码：CFW0000 :成功!;CFW0001:参数错误！;CFW0002：业务错误！ CFW0000 returnObj Object 接口返回结果 null 枚举参数 无 请求示例 请求url 无 请求头header { "regionid": "100054c0416811e9a6690242ac110002", "urlType": "CTAPI" } 请求体body { "vpcId": "vpcr5ka3qk24m", "scenarioType": "nat", "scenarioId": "natgwc4gcnb45fn" }

接口功能介绍 关闭vpc资产防护 接口约束 传参规范 URI POST /vfw/v2assertcloseprotect 路径参数 无 Query参数 无 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 urlType 是 String 请求地址类型 CTAPI regionId 是 String 资源池id 100054c0416811e9a6690242ac110002 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 vpcId 是 String 开启防护的vpc scenarioType 是 String 类型nat;vpcPeer对等连接;cda云专线;ec云间高速 scenarioId 是 String 场景id，列表获取 响应参数 参数 参数类型 说明 示例 下级对象 statusCode String 状态码 message String 返回信息 成功 error String 错误码：CFW0000 :成功!;CFW0001:参数错误！;CFW0002：业务错误！ CFW0000 returnObj Object 接口返回结果 null 枚举参数 无 请求示例 请求url 无 请求头header { "regionid": "100054c0416811e9a6690242ac110002", "urlType": "CTAPI" } 请求体body { "vpcId": "vpcr5ka3qk24m", "scenarioType": "nat", "scenarioId": "natgwc4gcnb45fn" }

本节主要介绍怎么申请弹性IP。 操作场景 通过申请弹性IP来实现VPC中的云主机通过NAT的方式为互联网提供服务。 操作步骤 1. 登录管理控制台。 2. 在系统首页，选择“网络 > 弹性IP”。 3. 在“弹性IP”界面，单击“购买弹性IP”。 4. 单击“立即申请”。 5. 根据界面提示配置参数

本章节介绍网关规则相关操作 概述 网关规则定义和配置应用服务网格中的入口或出口网关，控制着外部流量如何进入网格以及网格内访问外部，本文介绍网关相关操作。 使用yaml创建网关规则 1. 登录应用网格控制台，单击应用网格实例列表中的网格名称。 2. 在左侧导航栏中，选择网关>网关规则。 3. 选择对应的命名空间后，点击创建网关规则按钮。 4. 在创建页面选择场景模板，然后在yaml文本框中按需修改网关规则的配置。 5. 最后点击创建按钮，完成创建。 网关规则操作 网关规则创建完成后，可在网关规则页面查看选中命名空间内的网关规则列表，并进行以下操作。 1. 查看或修改yaml：单击所需查看的网关规则所在行右侧的管理按钮，可在yaml文本框中查看并修改网关规则的yaml。完成yaml修改后，点击确定按钮即可提交修改。 2. 删除网关规则：单击所需删除的网关规则所在行右侧的删除按钮，然后在确认对话框中，单击确认按钮。 网关规则CRD说明 Gateway 描述了在网格边缘操作的L4L6 负载均衡器，接收传入或传出的 HTTP/TCP 连接。规范描述了一组应该暴露的端口、要使用的协议类型、用于负载均衡器的 SNI 配置等。可以将 VirtualService 绑定到网关，以控制到达特定主机或网关端口的流量转发。

场景描述 当无需使用VPN网关时，可以删除VPN网关。 约束与限制 在VPN网关状态处于“创建中”、“更新中”、“删除中”三种状态时，不能进行VPN网关删除操作。 如果VPN网关下存在VPN连接，则无法直接删除VPN网关。您需要先删除VPN网关下的所有VPN连接，然后再删除VPN网关。 如何删除VPN连接，请参见“企业版VPN连接管理”。 如果VPN网关绑定的EIP计费模式为包周期，删除VPN网关时会同步解绑EIP。解绑后弹性公网IP继续保留，若不再使用可在网关删除后释放。 操作步骤 1. 登录管理控制台，单击“网络 > VPN”进入VPN控制台。 2. 在左侧导航栏，单击“虚拟专用网络 > 企业版VPN网关”。 3. 在“VPN网关”界面需要删除的VPN网关所在行，选择“更多 > 删除”。 4. 单击“是”，完成删除。

本章节向您主要介绍如何删除VPN网关。 操作场景 当无需使用VPN网关时，可删除VPN网关。 已被VPN连接使用的VPN网关不可删除，请先删除相关的VPN连接，再删除VPN网关。 说明 创建按需网关时强制创建VPN连接，无法直接手动删除。如果您购买的是按需VPN网关，您可以删除VPN网关下的所有VPN连接，VPN网关将会自动被删除。 操作步骤 1. 登陆管理控制台。 2. 在管理控制台上方选择区域和项目。 3. 在左侧导航栏选择“虚拟专用网络 > VPN网关”。 4. 在“VPN网关”界面所需删除的VPN网关所在行，选择“更多 > 删除”。 5. 单击“是”。

参数 是否必填 参数类型 说明 示例 下级对象 vpcId 是 String natId scenarioType 是 String 场景类型nat;vpcPeer对等连接;cda云专线;ec云间高速 scenarioId 是 String 场景id

页面 控制台接口 权限三元组 IAM（资源池/全局） VPN网关 VPN网关列表 创建VPN网关 vpn vpnGw create ✓ VPN网关 VPN网关列表 查看VPN网关列表 vpn vpnGw list ✓ VPN网关 VPN网关列表 查看VPN网关详情 vpn vpnGw get ✓ VPN网关 VPN网关列表 VPN网关子网变更 vpn vpnSubnets modify ✓ VPN网关 VPN网关列表 变配VPN网关IPsec功能 vpn vpnGwIpsec modify ✓ VPN网关 VPN网关列表 变配VPN网关SSL功能 vpn vpnGwSsl modify ✓ VPN网关 VPN网关列表 退订VPN网关 vpn vpnGwIpsec delete ✓ VPN网关 VPN网关列表 续订VPN网关IPsec功能 vpn vpnGwIpsec renew ✓ VPN网关 VPN网关列表 续订VPN网关ssl功能 vpn vpnGwSsl renew ✓ VPN网关 VPN网关列表 VPN网关到期转按需 vpn vpnGwIpsec ondemand ✓ VPN网关 VPN网关列表 VPN网关按需转包周期 vpn vpnGwIpsec oncycle ✓ VPN网关 VPN网关详情 添加策略路由 vpn vpnGwRoutPol add ✓ VPN网关 VPN网关详情 发布策略路由 vpn vpnGwRoutPol publish ✓ VPN网关 VPN网关详情 撤回策略路由 vpn vpnGwRoutPol withdraw ✓ VPN网关 VPN网关详情 删除策略路由 vpn vpnGwRoutPol delete ✓ VPN网关 VPN网关详情 添加目的路由 vpn vpnGwRoutDst add ✓ VPN网关 VPN网关详情 发布目的路由 vpn vpnGwRoutDst publish ✓ VPN网关 VPN网关详情 撤回目的路由 vpn vpnGwRoutDst withdraw ✓ VPN网关 VPN网关详情 删除目的路由 vpn vpnGwRoutDst delete ✓ IPsec VPN 用户网关 查看用户网关列表 vpn ipsecUsrGw list ✓ IPsec VPN 用户网关 创建用户网关 vpn ipsecUsrGw create ✓ IPsec VPN 用户网关 修改用户网关 vpn ipsecUsrGw modify ✓ IPsec VPN 用户网关 删除用户网关 vpn ipsecUsrGw delete ✓ IPsec VPN IPsec连接 查看IPsec连接列表 vpn ipsecCon list ✓ IPsec VPN IPsec连接 创建IPsec连接 vpn ipsecCon create ✓ IPsec VPN IPsec连接 修改IPsec连接 vpn ipsecCon modify ✓ IPsec VPN IPsec连接 删除IPsec连接 vpn ipsecCon delete ✓ IPsec VPN IPsec连接 证书下载 vpn ipsecConCert download ✓ IPsec VPN IPsec连接 查看策略详情 vpn ipsecConCfg download ✓ IPsec VPN IPsec连接 下载对端配置 vpn ipsecConCfg download ✓ IPsec VPN IPsec连接 查看IPsec连接日志 vpn ipsecConLog get ✓ IPsec VPN IPsec连接 配置IPsec连接健康检查 vpn ipsecConhlth modify ✓ IPsec VPN IPsec连接 启用IPsec连接限速 vpn ipsecConQos set ✓ IPsec VPN IPsec连接 修改IPsec连接限速 vpn ipsecConQos modify ✓ IPsec VPN IPsec连接 删除IPsec连接限速 vpn ipsecConQos delete ✓ SSL VPN SSL服务端 查看SSL服务端列表 vpn sslSvr list ✓ SSL VPN SSL服务端 创建SSL服务端 vpn sslSvr create ✓ SSL VPN SSL服务端 修改SSL服务端 vpn sslSvr modify ✓ SSL VPN SSL服务端 删除SSL服务端 vpn sslSvr delete ✓ SSL VPN SSL客户端 查看SSL客户端列表 vpn sslClt list ✓ SSL VPN SSL客户端 创建SSL客户端 vpn sslClt create ✓ SSL VPN SSL客户端 删除SSL客户端 vpn sslClt delete ✓ SSL VPN SSL客户端 断开SSL客户端 vpn sslClt offline ✓ SSL VPN SSL客户端 配置SSL客户端限速 vpn sslCltQos modify ✓ SSL VPN SSL客户端 管理SSL客户端密码 vpn sslCltPwd modify ✓ SSL VPN SSL客户端 证书下载 vpn vpnCert download ✓ SSL VPN SSL客户端 查看SSL客户端日志 vpn sslCltLog get ✓ 证书管理 证书管理 查看VPN证书列表 vpn vpnCert list ✓ 证书管理 证书管理 上传VPN证书 vpn vpnCert upload ✓ 证书管理 证书管理 删除VPN证书 vpn vpnCert delete ✓ 证书管理 证书管理 下载VPN证书 vpn vpnCert download ✓

本章节向您主要介绍如何修改VPN网关相关信息与参数。 修改VPN网关基本信息 操作场景 用户根据需要修改VPN网关名称和描述信息。 操作步骤 1. 登陆管理控制台。 2. 在管理控制台上方选择区域和项目。 3. 在左侧导航栏选择“虚拟专用网络 > VPN网关”。 4. 在“VPN网关”界面目标VPN网关所在行，选择“更多 ＞ 修改基本信息”。 5. 根据界面参数，修改VPN网关的名称和描述信息。 6. 单击“确定”。 修改VPN网关带宽 操作场景 当VPN网关带宽不能满足需求时，可修改VPN网关带宽。 操作步骤 1. 登录管理控制台。 2. 在管理控制台上方选择区域和项目。 3. 在系统首页，单击“网络 > 虚拟专用网络”。 4. 在左侧导航栏选择“虚拟专用网络 > VPN网关”。 5. 在“VPN网关”界面目标VPN网关所在行，选择“更多 ＞ 修改带宽”。 6. 根据界面参数，重新选择合适的带宽。 7. 单击“提交”。