本文为您介绍如何快速创建IPsec VPN连接。 环境要求 本地数据中心的网关设备必须配置公网IP地址。 本地数据中心的网关设备必须支持IKEv1或IKEv2协议，支持任意一种协议的设备均可以和VPN网关建立IPsec VPN连接。 本地数据中心和天翼云VPC间互通的网段没有重合。 使用流程 1. 创建VPN网关 创建VPN网关并开启IPsec VPN功能，一个VPN网关可以建立多条IPsec连接。 2. 创建用户网关 通过创建用户网关，您可以将本地数据中心VPN网关设备的信息注册到天翼云上。 3. 创建IPsec连接 IPsec连接是指VPN网关和本地数据中心VPN网关设备建立连接后的VPN隧道。只有在建立IPsec隧道后，本地数据中心才能使用VPN网关进行加密通信。 4. 配置VPN网关路由（可选） 当创建的IPsec连接配置的路由模式为“目的路由”时，您需要在VPN网关中配置路由，并发布路由到VPC路由表以实现本地数据中心和VPC的通信。 当创建的IPsec连接配置的路由模式为“感兴趣路由”时，无需执行此操作。 5. 配置本地网关设备 您需要在本地数据中心的网关设备中添加VPN配置。 6. 测试连通性 登录到天翼云VPC内一台弹性云主机实例，通过ping命令，ping本地数据中心内一台服务器的私网IP地址（未禁用ping探测），验证通信是否正常。

本节主要介绍怎么通过SNAT访问公网。 当多个云主机（弹性云主机、物理机）在没有绑定弹性IP的情况下需要访问公网，为了节省弹性IP资源并且避免云主机IP直接暴露在公网上，可以通过NAT网关共享弹性IP的方式访问公网，可以按照下图所示，实现无弹性IP的云主机访问公网。 图 无弹性IP的云主机访问公网流程图

本节主要介绍与其它服务的关系。 云容器引擎需要与其他云服务协同工作，云容器引擎需要获取如下云服务资源的权限。 云主机 ECS 在云容器引擎中具有多个云硬盘的一台云主机就是一个节点，您可以在创建节点时指定云主机的规格。 虚拟私有云 VPC 在云容器引擎中创建的集群需要运行在虚拟私有云中，您创建命名空间时，需要创建或关联VPC，创建在命名空间的容器都运行在VPC之内，从而保障网络安全。 弹性负载均衡 ELB 云容器引擎支持将创建的应用对接到弹性负载均衡，从而提高应用系统对外的服务能力，提高应用程序容错能力。 您可以通过弹性负载均衡，从外部网络访问容器负载。 NAT网关 您可以通过NAT网关设置SNAT规则，使得容器能够访问Internet。 容器镜像服务 SWR 容器镜像服务是一种支持容器镜像全生命周期管理的服务， 提供简单易用、安全可靠的镜像管理功能，帮助用户快速部署容器化服务。 容器镜像服务提供的镜像仓库是用于存储、管理docker容器镜像的场所，可以让使用人员轻松存储、管理、部署docker容器镜像。 您可以使用容器镜像服务中的镜像创建负载。 云硬盘 EVS 在云容器引擎中一个节点就是具有多个云硬盘的一台云主机，您可以在创建节点时指定云硬盘的大小。

本文介绍边缘云专线的基础信息及相关操作。 查看专线配置信息 在ECX控制台可以查看已开通专线的配置信息。 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>边缘云专线】，选择对应的地域，查看当前地域下已开通的专线，专线列表各参数说明参见下表。 3. 单击专线名称可查看更多的专线配置信息，比如交换机端口、交换机是否自动化配置等。 参数 说明 专线名称 自定义名称或者系统默认设置的名称。 业务类型 默认为ECX专线。 专线类型 标准型或NAT型，NAT型需要对专线内网地址做NAT映射。 专线模式 传统模式或三层互联模式，传统模式基于二层实现，三层互联模式可快速定位专线网络问题。 VLAN ID 开通专线时指定的vlan ID。 用户端网段 用户侧的业务网段，该网段可与云内VPC子网通过专线互联实现内网互通。 云端网段 边缘云上的VPC或子网网段，该网段可与用户端网段通过专线互联实现内网互通。 目标NAT网段 三层互联NAT型特有字段，内网网段需转换成的目标NAT网段。 专线状态 专线当前的状态，包括已开通、更新中、删除中、创建中。 是否关联路由 专线创建时路由表是否自动配置专线路由。 专线探测状态 默认状态为关闭，当已配置内网探测且开启探测时状态将显示为开启。 创建时间 专线创建的时间。 更新时间 专线最新更新时间。 专线展开列表参数说明： 参数 说明 可用区 开通专线所在的可用区。 交换机端口 交换机上的实际端口号信息。 外部vlan 仅三层互联专线包括该字段，范围为 0 4094。 是否自动化 包括是或者否，交换机专线配置是否通过系统自动下发。 交换机路由类型 默认路由（推荐）：在交换机上配置目的网段为0.0.0.0/0的静态路由，通过云内专线网关的所有的流量均会发送至客户侧的设备，后续用户端网段变更无需修改交换机配置，仅需在专线网关修改即可，方便管理。 明细路由：在交换机上配置以用户端网段为目的网段的明细路由，通过云内专线网关目的地址为用户端网段的流量才会发送至客户侧的设备，后续用户端网段变更需同步修改交换机配置，管理略微复杂。 默认路由+明细路由：在交换机上同时配置目的网段为用户端网段和0.0.0.0/0的静态路由，默认路由和明细路由同时存在会优先使用明细路由，专线单端口场景下与仅配置默认路由效果相同，专线多端口场景下如果不同端口的路由不一致，会出现负载不均的情况。 交换机配置状态 包括未定义、下发中、执行中、配置成功、配置失败，配置成功为正常状态，下发中、执行中为中间状态，出现配置失败需要找运营人员排查下具体问题。 创建时间 交换机端口配置创建时间。 更新时间 交换机端口配置更新时间。

如果您已经创建天翼云VPN网关，并且创建了SSL服务端，可以对SSL网关的客户端连接数情况进行监控。 操作场景 查看某个SSL网关的客户端连接数情况。 前提条件 您在该区域下有正常状态的启用了SSL功能的VPN网关，并且创建了SSL服务端。 操作步骤 1. 登录控制中心。 2. 选择“管理与部署”下的“云监控”产品。 3. 选择“云监控服务 ”下的“VPN监控”，进入VPN监控页面。 4. 单击“SSL网关”，进入SSL网关监控列表，可以查看SSL网关名称、企业项目、绑定的资源名称和网关IP等信息。 5. 选择需要查看监控的目标SSL网关，点击“操作”列中的“查看监控图表”按钮。 6. 在SSL网关监控详情页面，上方可以查看SSL网关的详情信息。 7. 在SSL网关监控详情页面，下方可以查看目标SSL网关的SSL客户端连接数等监控指标的数据。还可以选择查询的时间范围，设置自动刷新等。 8. 在SSL网关监控详情页面，针对每一项监控指标，单击图表右上角的“查看”按钮，可以查看该监控指标的详情信息。在该页面，支持修改数据的展示方法（原始值、最大值、最小值、平均值等），支持修改数据的取样间隔（5分钟、20分钟），支持选择查询的时间范围。 9. 选择需要查看监控的目标SSL网关，点击“操作”列中的“创建告警规则”按钮，可以配置告警服务，具体配置请参考“创建告警规则”。

VPC如何访问公网服务？ 虚拟私有云VPC是您在天翼云上申请的隔离的、私密的内网络环境，虚拟私有云VPC和公网环境是隔离的。 当您的业务场景存在单个云主机或多个云主机访问公网的需求时，您可以使用弹性IP或者NAT网关访问公网。两种方式适用的公网访问场景各不相同，具体操作请参考如何使用弹性IP或者NAT网关访问公网。 公网可以访问VPC中的云服务吗？ 您可以使用以下方法从公网访问VPC中的云服务： 默认分配弹性IP 绑定已有弹性IP 配置公网NAT网关 配置公网负载均衡 具体操作可参考常见公网访问方法页面。 对等连接有哪些限制？ 配置对等连接时，不建议两端VPC的网段（CIDR）存在重叠，可能会造成路由冲突，导致配置不生效。 对等连接创建完成后，可以使用“ping”命令检查本端网络是否连通，不支持通过“ping”命令检查对端子网网关是否连通。 如果两个VPC的CIDR有重叠，建立对等连接时，只能针对子网建立对等关系。如果两个VPC下的子网网段有重叠，那么该对等关系可能不生效。建立对等连接时，请确保对等连接两端不包含重叠的子网。 VPC A与VPC B、VPC C分别建立对等连接，如果VPC B和VPC C的网段有重叠，那么VPC A中无法添加具有相同目的网段的路由。 两个VPC之间不能同时建立多个VPC对等连接。 不同区域的VPC不能创建对等连接。 VPC1与VPC2创建对等连接，默认情况下VPC2不能通过VPC1的EIP访问公网。 跨租户申请VPC对等连接，需要对端租户接受后，才能生效。同租户申请对等连接默认已接受。 为了安全起见，请不要接受来自未知帐号的对等连接申请。 对等连接双方帐号都有权限删除对等连接，一方删除对等连接后，对等连接的所有信息会被立刻删除，包括对等连接关联的路由信息。 对等连接建立后，需要在本端VPC、对端VPC分别添加对方子网的路由才能通信。 VPC对等连接路由存在时，VPC无法被删除。

弹性IP 弹性IP（Elastic IP，简称EIP）提供独立的公网IP资源，包括公网IP地址与公网出口带宽服务。可以与弹性云主机、物理机、虚拟IP、弹性负载均衡、NAT网关等资源灵活地绑定及解绑。 一个弹性IP只能绑定一个云资源使用。 图 通过EIP访问公网

本文为您介绍如何使用IPsec VPN,在本地数据中心IDC与VPC之间建立IPsec连接。 场景示例 以下图组网场景为例，某公司在天翼云创建了VPC，子网网段为192.168.1.0/24和192.168.2.0/24。本地数据中心的网段为172.16.1.0/24，本地网关设备的公网IP为121.XX.XX.113。公司因业务发展，需要将本地数据中心与云上VPC互通。您可以通过IPsec VPN，建立本地数据中心与云上VPC的连接，实现云上和云下的加密通信。 环境要求 本地数据中心的VPN网关设备必须配置公网IP地址。 本地数据中心的VPN网关设备必须支持IKEv1或IKEv2协议，支持任意一种协议的设备均可以和天翼云VPN网关建立IPsec VPN连接。 本地数据中心和天翼云VPC间互通的网段没有重合。 使用流程 1. 创建VPN网关 创建VPN网关并开启IPsec VPN功能，一个VPN网关可以建立多条IPsec连接。 2. 创建用户网关 通过创建用户网关，您可以将本地数据中心VPN网关设备的信息注册到天翼云上。 3. 创建IPsec连接 IPsec连接是指VPN网关和本地数据中心VPN网关设备建立连接后的VPN隧道。只有在建立IPsec隧道后，本地数据中心才能使用VPN网关进行加密通信。 4. 配置VPN网关路由（可选）。 当创建的IPsec连接配置的路由模式为“目的路由”时，您需要在VPN网关中配置路由，并发布路由到VPC路由表以实现本地数据中心和VPC的通信。 当创建的IPsec连接配置的路由模式为“感兴趣路由”时，无需执行此操作。 5. 配置本地网关设备 您需要在本地数据中心的网关设备中添加VPN配置。 6. 测试连通性 登录到天翼云VPC内一台弹性云主机实例，通过ping命令，ping本地数据中心内一台服务器的私网IP地址（未禁用ping探测），验证通信是否正常。

本文为您介绍重点操作验证的定义和重点操作范围。 产品定义 重点操作验证，是天翼云平台为了保障安全，在用户进行重点操作前增加的二次认证，二次认证通过后系统才能执行用户操作。可避免因误操作引起严重后果，提供更高的安全性。 目前二次认证仅支持短信验证码方式认证。若您开启短信验证能力，在控制台进行重点操作时，系统会向您的手机号（绑定天翼云账号的手机号）发送短信验证码，需输入正确的验证码才能执行该重点操作。从而避免您进行误操作，造成云产品数据的丢失；另一方面，确保操作人身份，避免影响业务运行。 重点操作：可能引起服务运行中断、网络中断、数据丢失等情况的操作。 重点操作范围 当您开启操作保护后，进行重点操作时，需要进行身份验证，重点操作范围如下表： （操作范围会不定期更新，敬请关注） 产品名称 功能 上线时间 ::: 弹性云主机 关机 2023年2月10日 弹性云主机 批量关机 2023年2月10日 弹性云主机 重启 2023年2月10日 弹性云主机 批量重启 2023年2月10日 弹性云主机 一键重装 2023年2月10日 弹性云主机 重置密码 2023年2月10日 弹性云主机 批量重置密码 2023年2月10日 弹性云主机 变配 2023年2月10日 弹性云主机 删除（按需） 2023年2月10日 弹性云主机 退订（包周期） 2023年2月10日 弹性云主机 批量删除/退订 2023年2月10日 弹性云主机 弹性IP解绑 2023年2月10日 云硬盘 卸载 2023年2月10日 云硬盘 删除（按需） 2023年2月10日 云硬盘 退订（包周期） 2023年2月10日 虚拟私有云 VPC安全组删除 2023年2月10日 弹性IP 弹性IP解绑 2023年2月10日 弹性IP 弹性IP删除 2023年2月10日 弹性IP 弹性IP退订 2023年2月10日 弹性IP 共享带宽删除 2023年2月10日 弹性负载均衡 弹性负载均衡删除 2023年2月10日 弹性负载均衡 弹性负载均衡退订 2023年2月10日 NAT网关 DNAT规则删除 2023年2月10日 NAT网关 SNAT规则删除 2023年2月10日 VPN连接 VPN删除 2023年2月10日

本文介绍弹性IP的相关功能。 弹性IP概述 弹性公网IP(Elastic IP Address, 简称EIP)是可以单独购买的公网IP地址资源。目前，EIP支持绑定到裸金属实例和NAT网关实例。 创建弹性IP 1. 登录公共算力服务控制台。 2. 单击【网络>弹性IP】进入弹性IP列表，点击【申请弹性IP】。 申请弹性IP参数说明： 参数 说明 名称 名称系统自动生成，支持修改。 计费模式 付费类型：支持包年包月和按需两种付费类型。选择包年包月时，购买时需要配置购买时长。 线路 仅部分资源池支持，购买时需选择运营商线路。 计费项 包年包月支持固定带宽. 带宽大小 选择具体的带宽大小，支持1300Mbps区间的选择。 3. 确认配置费用，点击【立即创建】，将进入天翼云官网的订单页进行资源订购。 绑定 1. 登录公共算力服务控制台。 2. 单击【网络>弹性IP】进入弹性IP列表，单击【绑定】。 3. 支持裸金属、NAT网关实例绑定弹性IP，从列表选择一台实例，点击【确定】完成绑定。

本节为您介绍创建静态路由的操作场景、前提条件和操作步骤。 操作场景 用户根据网络规划，配置静态路由规则。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成天翼云智能网关硬件版的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 选择“智能网关”，单击目标智能网关名称，进入智能网关详情页。 5. 在详情页，单击“静态路由 >添加”。 6. 根据页面提示，填写目的网段和下一跳参数。 7. 单击“确定”，完成静态路由规则配置。

本节为您介绍恢复出厂设置的操作场景、前提条件和操作步骤。 操作场景 用户清空设备上的配置信息。恢复出厂设置后，设备将将丢失现有配置信息，需要重新激活方可使用，请谨慎操作。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成天翼云智能网关硬件版创建，且智能网关没有绑定天翼云SDWAN实例。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 选择“智能网关”，单击目标智能网关实例“操作”列的“恢复出厂设置”。 5. 单击“确定”，完成恢复出厂设置操作。

如果您已经创建天翼云VPN网关，可以对VPN网关进行流量监控。 操作场景 用户查看某个VPN网关的流量情况。 前提条件 用户在该区域下有正常状态的VPN网关；如果状态异常，可能会没有监控数据。 操作步骤 1. 登录控制中心。 2. 选择“管理与部署”下的“云监控”产品。 3. 选择“云服务监控 ”下的“VPN监控”，进入VPN监控页面。 4. 单击“VPN网关”，进入VPN网关监控列表，可以查看VPN网关名称、企业项目、绑定的资源名称、网关IP和总带宽等信息。 5. 选择需要查看监控的目标VPN网关，点击“操作”列中的“查看监控图表”按钮。 6. 在VPN监控详情页面，上方可以查看VPN网关的详情信息。 7. 在VPN监控详情页面，下方可以查看目标VPN网关的入方向流量速率、出方向流量速率、入方向数据包速率和出方向数据包速率等监控指标的数据。还可以选择查询的时间范围，设置自动刷新等。 8. 在VPN监控详情页面，针对每一项监控指标，单击图表右上角的“查看”按钮，可以查看该监控指标的详情信息。在该页面，支持修改数据的展示方法（原始值、最大值、最小值、平均值等），支持修改数据的取样间隔（5分钟、20分钟），支持选择查询的时间范围，支持修改数据单位。 9. 选择需要查看监控的目标VPN网关，点击“操作”列中的“创建告警规则”按钮，可以配置告警服务，具体配置请参考“创建告警规则”。

本节为您介绍关闭OSPF动态路由的操作场景、前提条件和操作步骤。 操作场景 用户根据网络规划，不再使用OSPF动态路由。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成天翼云智能网关硬件版的创建，且已开启OSPF动态路由。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 选择“智能网关”，单击目标智能网关名称，进入智能网关详情页。 5. 单击“OSPF >不启用OSPF”，即可关闭OSPF路由。 说明 单击“OSPF >清空配置”，也会使OSPF路由失效。

本节介绍了云容器引擎订购类常见问题。 支持Docker容器运行时吗? 目前只有Kubernetes 1.23版本支持Docker容器运行时，其他高版本只支持Containerd。如需订购集群选择Docker运行时请提工单申请。 集群订购会配置特殊安全组规则吗？ 因为集群订购涉及开通云主机等iaaS资源，系统默认为您的集群内置一条优先级为99的不可见安全组，以确保节点之间能正常通信。您可等集群开通成功后，为安全组设置更高级别的安全组规则，突破此互通安全组的限制。 VPC所在子网与Pod子网有什么区别? Cubecni网络插件使用VPC资源构建underlay容器网络，为Pod创建一个单独的子网，一般建议选择网段掩码不大于19的子网。详细可查看：Cubecni网络插件介绍 集群订购是否必须配置Snat，由容器购买Nat网关？ 非必须，用户如有集群访问公网诉求，可后续直接订购Nat网关，详细可查看：Pod联网案例 集群订购是否必须购买eip，用于通过公网访问apiserver? 非必须，用户如有公网访问apiserver诉求，可后续直接订购eip。如果由容器代客户购买，默认下单5M带宽的弹性ip，由弹性ip产品按量收费。

本节介绍了云容器引擎订购类常见问题。 支持Docker容器运行时吗? 目前只有Kubernetes 1.23版本支持Docker容器运行时，其他高版本只支持Containerd。如需订购集群选择Docker运行时请提工单申请。 集群订购会配置特殊安全组规则吗？ 因为集群订购涉及开通云主机等iaaS资源，系统默认为您的集群内置一条优先级为99的不可见安全组，以确保节点之间能正常通信。您可等集群开通成功后，为安全组设置更高级别的安全组规则，突破此互通安全组的限制。 VPC所在子网与Pod子网有什么区别? Cubecni网络插件使用VPC资源构建underlay容器网络，为Pod创建一个单独的子网，一般建议选择网段掩码不大于19的子网。详细可查看：Cubecni网络插件介绍 集群订购是否必须配置Snat，由容器购买Nat网关？ 非必须，用户如有集群访问公网诉求，可后续直接订购Nat网关，详细可查看：Pod联网案例 集群订购是否必须购买eip，用于通过公网访问apiserver? 非必须，用户如有公网访问apiserver诉求，可后续直接订购eip。如果由容器代客户购买，默认下单5M带宽的弹性ip，由弹性ip产品按量收费。

本节介绍了云容器引擎的价格。 云容器引擎资费 一套云容器引擎集群资费包括：集群管理、计算资源、存储资源、负载均衡资源等。 一、以专有版容器集群为例： 必选项： 集群管理费0元、Master节点、Master节点系统盘、节点池节点、节点池系统盘、节点池节点数据盘、负载均衡ELB（用于内网 API Server绑定使用）。 可选项 ：NAT网关（用于Pod访问外网）、EIP（用于外网 API server绑定使用）、Ingress的ELB及EIP、云日志服务、容器镜像服务企业版等。 二、以托管pro版（管理50节点）为例： 必选项： 集群管理费1263元、节点池节点、节点池系统盘、节点池节点数据盘、负载均衡ELB（用于内网 API Server绑定使用）。 可选项 ：NAT网关（用于Pod访问外网）、EIP（用于外网 API server绑定使用）、Ingress的ELB及EIP、云日志服务、容器镜像服务企业版等。 容器集群管理费： 版本 计费项 计费方式 包月标准价格（元/月） 按需标准价格（元/小时） 专有版 集群管理 按需/包周期 0 0 托管版（单实例） 管理10节点 按需/包周期 0 0 托管版（高可用） 管理50节点 按需/包周期 1263 2.91 托管版（高可用） 管理200节点 按需/包周期 2400 5.64 托管版（高可用） 管理1000节点 按需/包周期 4671 11.07 托管版（高可用） 管理2000节点 按需/包周期 9780.9 20.93 容器集群管理费包一年预付费享受8.3折，包两年预付费享受7折，包三年预付费享受5折。 说明 托管版（单实例）建议个人学习用途，不承诺sla，不建议生产系统使用。

本文为您介绍IPsec VPN常见的应用场景。 IPsec VPN支持在企业本地数据中心或企业办公网络与天翼云VPC（Virtual Private Cloud）之间建立安全可靠的网络连接。 混合组网 您可以通过IPsec VPN隧道连接用户的数据中心和天翼云资源池的VPC网络，快速便捷地利用云上的弹性资源。 通过采用加密的IPsec VPN隧道将用户本地网络和云上VPC互联，利用VPC的弹性伸缩功能，扩展应用计算能力。 云上网络互联 通过IPsec VPN连接不同区域的VPC，使用户的数据和服务在不同地域能够互联互通。 您可以通过IPsec VPN连接天翼云不同区域资源池的VPC，也可以连接天翼云与其他云服务商的网络（前提是对方也具备同等IPsec VPN能力）。 多站点互联 通过IPsec VPN连接，可将多个站点的流量进行汇聚和转发。 您可以通过VPN网关建立多个IPsec连接通道，与企业的多个站点进行连接。 每个站点都可以访问云上VPC资源，实现多站点上云流量的汇聚。 每个站点可以通过VPN网关实现多个站点网络之间的互通。

流量路径 从南往北，从业务VPC1到Internet 1. VPC1 的默认路由表或者自定义路由表均可。 2. 匹配0.0.0.0/0，下一跳为对等连接，将流量发给防火墙VPC。 3. 防火墙VPC收到后匹配防火墙VPC的默认路由表，匹配0.0.0.0/0 下一跳为FWLAN口或者虚拟IP 。 4. 防火墙做SNAT地址转换，将SIP替换成WAN VIP， 并将流量从FWWAN口送出。 5. 防火墙 WAN口绑定了自定义子网路由表，匹配0.0.0.0/0 下一跳为IPv4网关。 6. IPv4网关收到报文后做NAT转换，将SIP从防火墙 的WAN VIP 替换成EIP，送至Internet。 从北往南，从Internet到VPC1的虚拟机 1. 流量的目的地址为EIP，到达IPv4网关后，IPv4网关将目的地址替换成防火墙WAN口IP。 2. 防火墙WAN口收到后，做NAT转换，替换为VPC1的虚拟机IP地址。并从防火墙LAN口送出。 3. 防火墙 LAN口绑定了子网自定义路由表，匹配10.0.0.0/24，下一跳为对等连接，将流量发给VPC1。 4. VPC1默认路由表转发至虚拟机。 场景2：访问其他VPC的流量通过公共VPC防火墙进行清洗 基本场景介绍 业务子网1访问公网的流量进入防火墙VPC 进行流量清洗。 业务 VPC1下的业务子网 1:10.0.0.0/24。 防火墙 VPC下防火墙云主机所在的子网：192.168.0.0/24。

配置DNAT可使您的内部网络对外提供服务，本节为您介绍如何添加DNAT。 操作场景 配置DNAT规则后，用户可以通过Internet访问内部网络，从而使内部网络可对外提供服务。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已完成智能网关的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 选择“智能网关”，单击目标智能网关实例名称，进入智能网关实例详情页。 5. 单击“NAT配置”页签，单击“添加DNAT规则”，进入配置DNAT规则界面。 6. 在配置DNAT规则页面，根据页面提示配置参数，参数信息如下： 参数 描述 DNAT类型 公网DNAT。 连接类型 所有端口 将任何访问外网IP地址的请求转发到内网目标地址上。 具体端口 对外服务端口：内网地址对外映射后服务端口。取值范围：165535。 内网端口：内网地址提供服务真实端口。取值范围：165535。 协议类型：智能网关支持的协议类型请以控制台为准。 本端私网IP DNAT转换后的IP地址。 7. 点击“确认”按钮。

参数 描述 样例 实例名称 长度为164字符，以大小写字母或中文开头，可包含数字、"."、""、"" Test01 区域 所属位置信息 中国内地 基础带宽 带宽大小 5Mbps 网关形态 可选择硬件版、软件版 硬件版 是否购买设备 是否需要从天翼云购买设备 是 设备类型 智能网关硬件版本可选四种型号：经济版、标准版、企业版、企业增强版 经济版 地址信息 请准确填写硬件设备的装机地址信息，提交订单后不支持更改 北京市海淀区花园路街道100号 增值业务 可选5G服务、WIFI服务、LTE服务 5G服务 企业项目 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理 default

操作场景 某企业已经在天翼云地域A的VPC中部署了应用服务，并且已经通过专线接入了本地网络中。为了构建一个高可用网络且不改变本地网络的现有架构，智能网关采用旁挂模式作为专线的备份链路，将地域A的本地网络接入天翼云，实现本地网络和云上资源互通。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经在地域A创建了VPC，具体操作，请参见创建虚拟私有云VPC。 您已完成云专线的创建，具体操作，请参见云专线快速入门。 您已经完成云间高速（标准版）的创建，具体操作，请参见创建云间高速（标准版）实例。 操作步骤 步骤一：购买智能网关 您可以通过天翼云官网自行购买智能网关实例，也可以联系客户经理购买智能网关实例。通过天翼云官网自行下单，操作步骤如下： 1. 登录天翼云SDWAN控制台，选择“智能网关”，在“智能网关”页面单击“创建智能网关”，选择“创建智能网关”。 2. 根据页面提示配置参数，部分参数信息可参考如下： 参数 描述 实例名称 智能网关实例名称，长度为164字符，以大小写字母或中文开头，可包含数字、“.”、 “”、“”。 区域 所属位置信息。 基础带宽 带宽大小。 网关形态 可选择硬件版、软件版，这里我们选择硬件版。 是否购买设备 表示是否需要从天翼云购买设备。选择“是”，则天翼云会为您准备一台设备；选择“否”，则需要用户自备设备。 设备类型 购买设备时，需要选择设备的型号。可以选择经济版、标准版、企业版、企业增强版。 使用方式 表示设备的使用方式。选择单机。 地址信息 表示设备的装机地址。请准确填写地址信息。 3. 单击“提交订单”。确认订单信息无误后，勾选“我已阅读并同意相关协议《天翼云SDWAN产品服务协议》”，单击“确认下单”。 4. 订单支付成功后，完成购买。

本文介绍配置本地网关设备相关问题。 使用VPN网关IPsec VPN功能过程中，您需要在本地网关设备添加VPN配置才能与天翼云成功建立IPsec VPN连接。 请参见用户指南> strongSwan配置 请参见用户指南> Juniper防火墙配置 请参见用户指南>思科防火墙配置

排查项三：负载均衡IP+端口 如果使用负载均衡IP+端口不能访问，但节点IP+端口可以访问。 请排查： 相关端口或URL的后端服务器组是否符合预期。 节点上的安全组是否对ELB暴露了相关的协议或端口。 四层ELB的健康检查是否开启（未开启的话，请开启）。 七层ELB的访问方式中使用的证书是否过期。 常见问题： 1. 发布四层ELB时，如果客户在界面未开启健康检查，ELB可能会将流量转发到异常的节点。 2. UDP协议的访问，需要放通节点的ICMP协议。 3. pod的label与service的label不匹配（kubectl或API创建）。 排查项四：NAT网关+端口 配置在NAT后端的服务器，通常不配置EIP，不然可能会出现网络丢包等异常。 排查项五：检查容器所在节点安全组是否放通 用户可单击服务列表中的“网络 > 虚拟私有云 VPC”，在网络控制台单击“访问控制 > 安全组”，找到CCE集群对应的安全组规则进行修改和加固。 CCE集群： Node节点的安全组名称是： {集群名}ccenode{随机字符} 。 请排查： 从集群外访问集群内负载时，来访者的IP地址、端口、协议需在集群安全组的入方向规则中开放。 集群内的工作负载访问外部时，访问的地址、端口、协议需在集群安全组的出方向规则中开放。 更多安全组配置信息请参见集群安全组规则配置 三、 为什么容器无法连接互联网？ 当容器无法连接互联网时，请排查容器所在节点能否连接互联网。 排查项一：节点能否连接互联网 步骤 1 登录ECS控制台。 步骤 2 查看节点对应的弹性云服务器是否已绑定弹性IP或者配置NAT网关。 如下图，若弹性IP一栏有IP地址，表示已绑定弹性IP；若没有，请为弹性云服务器绑定弹性IP。 节点是否已绑定弹性IP

本节为您介绍解除OSPF路由主备的操作场景、前提条件、操作步骤。 操作场景 用户解除OSPF路由主备关系。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成天翼云智能网关硬件版的创建，且完成OSPF路由主备的设置。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 选择“OSPF路由备份”，单击目标主备关系“操作”列的“解除”。 5. 单击“确定”，解除目标主备关系。 说明 支持批量删除OSPF路由主备关系，勾选待删除的主备关系条目，单击列表上方的“解除”。在“解除主备关系”弹框中，单击“确定”，即可删除选中的所有主备关系条目。

本章节主要描述订单及费用查询的快速入门。 查看资源 可以通过ECX控制台，查看开通的资源实例情况。 边缘虚拟机：控制台边缘虚拟机实例 。 边缘裸金属：控制台边缘裸金属裸金属服务器。 边缘存储：根据选购的存储类型不同，在控制台边缘存储本地盘、云硬盘、本地裸盘、文件存储等板块中查看。 边缘网络：根据选购的网络产品不同，在控制台边缘网络公网访问公网IP、控制台边缘网络公网访问共享带宽、控制台边缘网络公网访问IPv6网关、控制台边缘网络NAT网关、控制台边缘网络弹性负载均衡等板块中查看。 切换不同节点，查看在不同节点开通的资源实例情况。 查看订单 在天翼云官网我的费用中心订单管理中查看。 订单与资源实例的区别：一个订单中可能包含多种、多个资源实例。资源实例开通、升配、续订、退订都会产生新的订单。在ECX控制台查看到的订单号为资源的开通订单号。 您可以在ECX控制台查看资源的计费资源ID，在ECX控制台费用板块、官网首页我的费用中心板块中，通过该ID查询到相应的订单记录。 部分资源实例在我的订单中不展示，有效的资源实例以控制台中展示的为准。

智能网关硬件版可以帮您连接本地网络至天翼云，且还能够实现两个地域的分支机构与企业总部互通。本节带您了解如何购买智能网关硬件版。 操作场景 您可以在天翼云官网创建智能网关实例，进一步通过绑定天翼云SDWAN实例，实现网络互联、入云。您也可以联系客户经理开通智能网关。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 单击“智能网关”，在智能网关列表页面，单击“创建智能网关”按钮，进入创建智能网关页面。 5. 根据页面提示配置参数，参数信息可参考如下： 参数 描述 例子 实例名称 长度为164字符，以大小写字母或中文开头，可包含数字、"."、""、""。 Test01 区域 所属位置信息。 中国内地 基础带宽 带宽大小。 5Mbps 网关形态 可选择硬件版、软件版。 硬件版 是否购买设备 是否需要购买天翼云设备。 是 设备类型 智能网关硬件版本分为四种型号：经济版、标准版、企业版、企业增强版。不同型号的规格详情请参考产品介绍页面。 经济版 地址信息 请准确填写地址信息，提交订单后不支持更改。 请准确填写您的地址信息 增值业务 包括5G服务、WIFI服务、LTE服务。 根据实际需求进行选择 企业项目 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 default 6. 单击“提交订单”。 7. 确认订单信息无误后，勾选“服务协议”，单击“确认下单”。 8. 订单支付成功后，完成购买。

本文为您介绍如何购买智能网关（vCPE）。 操作场景 您可以在智能网关管理控制台购买智能网关vCPE实例，也可联系客户经理开通vCPE实例。创建后您可以通过vCPE实例管理部署了智能网关vCPE镜像的云主机。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 单击“智能网关”，在智能网关列表页面，单击“创建智能网关”按钮，进入创建智能网关页面。 5. 根据页面提示配置参数，参数信息如下： 参数 描述 例子 实例名称 长度为164字符，以大小写字母或中文开头，可包含数字、"."、""、"" Test01 区域 所属位置信息 中国内地 基础带宽 带宽大小 5Mbps 网关形态 可选择硬件版、软件版 软件版 设备类型 vCPE vCPE 使用方式 可选择单机、双机备份 单机 购买数量 购买智能网关的个数 1 企业项目 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理 default 6. 单击“提交订单按钮”。

本文介绍了云防火墙(原生版)产品的标准资费和续费、变配、退订规则。 计费方式 云防火墙（原生版）产品提供包年包月计费方式。 N100标准资费 说明 如下费用仅为N100实例的费用。 购买云防火墙（原生版）N100型实例时，还需要同时购买实例所依赖的基础资源（包括弹性云主机、弹性IP等），基础资源与实例一起计费，统一下单。相关基础资源的价格请以对应产品的实际定价为准，详细说明请参见云主机计费说明、弹性IP计费说明。 2025年9月15日起天翼云全量一类节点和港澳及海外节点按量弹性 IP 保有费收费规则变更，EIP 绑定虚拟 IP，EIP 绑定负载均衡、NAT 网关，EIP 绑定主机的辅助网卡等按量 EIP 没有直接绑定到云主机/物理机主网卡的场景均需支付保有费 ，详情请参见产品公告。 版本 公网流量处理峰值 架构 标准资费（元/月） 高级版 100Mbps 单机 1300 高级版 100Mbps 主备 2300 高级版 200Mbps 单机 2800 高级版 200Mbps 主备 5550 高级版 2Gbps 单机 5600 高级版 2Gbps 主备 11000

本节介绍翼甲控制台的IPsec VPN操作。 IPsec VPN 是采用IPSec协议来实现远程接入的一种VPN技术，IPSec全称为Internet Protocol Security，是由Internet Engineering Task Force (IETF) 定义的安全标准框架，在公网上为两个私有网络提供安全通信通道，通过加密通道保证连接的安全——在两个公共网关间提供私密数据封包服务。 IPsec协议为IP层上的网络数据安全提供了一整套安全体系结构，包括安全协议AH（Authentication Header，认证头）和ESP（Encapsulating Security Payload，封装安全载荷）、IKE（Internet Key Exchange，互联网密钥交换）以及用于网络认证及加密的一些算法等。其中，AH协议和ESP协议用于提供安全服务， IKE协议用于密钥交换。 IPsec VPN隧道 （1）添加IPsec VPN隧道：点击“添加”可添加IPsec VPN隧道。 启用：配置完成，保存翼甲云防火墙配置后立即生效 描述：输入IPsec连接的描述。 连接类型：可选隧道模式和传输模式。 IKE版本：可选IKEv1和IKEv2。 接口：单带宽时选择外网口会自动补全外部IP，也可选择自定义外部IP。 外部IP：翼甲云防火墙外网口IP。 远程主机：对端公网IP。 本地网络：输入翼甲云防火墙侧VPC所属网段。 远程网络：输入本地网关设备侧的网段。 共享密钥：输入共享密钥，该值必须与本地网关设备的预共享密钥一致。 阶段1 IKE/ISAKMP手动配置：手动配置阶段1参数，该值必须与本地网关设备的参数一致。 阶段2 ESP手动配置：手动配置第2阶段参数，该值必须与本地网关设备的参数一致。 在创建IPsec连接页面，根据页面信息配置IPsec参数，然后点击完成。 至此翼甲云防火墙侧的IPSec vpn配置完毕。 步骤2：配置安全组 确保vpc的桌面安全组规则允许本地网络网段访问。 步骤3：配置本地网关设备侧IPSec vpn （2）刷新：点击“刷新”可刷新并查看当前IPsec VPN隧道激活情况。 （3）导出：点击“导出”，可将IPsec VPN隧道以JSON文件的形式进行导出。 （4）导入：将IPsec VPN隧道以JSON文件的格式编辑后，点击“批量删除”，可批量导入静态DNS条目。 （5）删除：点选IPsec VPN隧道并点击“批量删除”，可对所选条目进行批量删除；在单条IPsec VPN条目最右侧操作列点击“删除”可删除当前条目。 （6）编辑：在已创建隧道的最右侧操作列，点击“编辑”，可对单条内容配置进行编辑。 （7）复制：在已创建隧道最右侧操作列，点击“复制”，将会弹出复制确认框，用户可基于当前条目的字段进行二次编辑，点击确认后可创建条目。

本节介绍翼甲控制台的访问控制操作介绍。 网络规则 SNAT规则 通过设置SNAT规则，可对从翼甲卫士出去的业务流量做源地址映射。 （1）规则添加：点击“添加规则”按键，可添加新的SNAT规则，添加规则所需字段包括：描述，源IP，源端口，目的IP，目的端口，协议（支持ICMP,TCP,UDP三种协议），是否开启NAT转换，启用状态。 NAT转换说明：不做NAT转换，符合特定条件的报文不做NAT地址转换；开启NAT转换，报文的源地址将会自动替换成外网口的IP地址，如果外网有多个IP地址，将会随机自动选择一个。 （2）规则删除：在规则列表首列点选规则，点击“批量删除”，可完成对规则的批量删除；在单条规则的最右侧操作列，点击“删除”，可完成对单条规则的删除。 （3）规则编辑：在已创建规则的最右侧操作列，点击“编辑”，可对单条规则的内容配置及启用状态进行编辑。 （4）规则复制：在已创建规则的最右侧操作列，点击“复制”，将会弹出“复制规则”确认框，用户可基于当前规则的字段进行二次编辑，点击确认后可创建规则。 （5）优先级调整：在已创建规则的最右侧操作列，点击“移动”，可对规则的优先级进行调整，1为最高优先级，按序数递增，优先级递减。 （6）规则导出：点击“导出”，可导出规则信息的JSON文件。 （7）规则导入：将规则以JSON文件的格式编辑好后（可参照导出文件的模板），点击“导入”即可完成规则批量导入。

本节为您介绍删除静态路由的操作场景、前提条件和操作步骤。 操作场景 用户根据网络规划，删除静态路由规则。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成天翼云智能网关硬件版、静态路由规则的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 选择“智能网关”，单击目标智能网关名称，进入智能网关详情页。 5. 单击“静态路由”页签，然后单击目标静态路由条目“操作”列的“删除”。 6. 单击“确定”，完成静态路由规则删除。 说明 支持批量删除，勾选待删除的静态路由条目，单击列表上方的“删除”。在“删除提示”框中，单击“确定”，即可删除选中的所有静态路由条目。