ACL
更新时间:2020-07-23
初始化
确认Endpoint
在确认您使用SDK时配置的Endpoint时,可先阅读开发人员指南中关于ACL服务域名的部分,理解Endpoint相关的概念。百度云目前开放了多区域支持,请参考区域选择说明。
目前支持“华北-北京”、“华南-广州”、“华东-苏州”、“香港”、“金融华中-武汉”和“华北-保定”六个区域。对应信息为:
| 访问区域 | 对应Endpoint | 协议 |
|---|---|---|
| BJ | bcc.bj.baidubce.com | HTTP and HTTPS |
| GZ | bcc.gz.baidubce.com | HTTP and HTTPS |
| SU | bcc.su.baidubce.com | HTTP and HTTPS |
| HKG | bcc.hkg.baidubce.com | HTTP and HTTPS |
| FWH | bcc.fwh.baidubce.com | HTTP and HTTPS |
| BD | bcc.bd.baidubce.com | HTTP and HTTPS |
获取密钥
要使用百度云ACL,您需要拥有一个有效的AK(Access Key ID)和SK(Secret Access Key)用来进行签名认证。AK/SK是由系统分配给用户的,均为字符串,用于标识用户,为访问ACL做签名验证。
可以通过如下步骤获得并了解您的AK/SK信息:
新建ACL Client
ACL Client是ACL服务的客户端,为开发者与ACL服务进行交互提供了一系列的方法。
使用AK/SK新建ACL Client
通过AK/SK方式访问ACL,用户可以参考如下代码新建一个ACL Client:
import (
"github.com/baidubce/bce-sdk-go/services/vpc"
)
func main() {
// 用户的Access Key ID和Secret Access Key
ACCESS_KEY_ID, SECRET_ACCESS_KEY := <your-access-key-id>, <your-secret-access-key>
// 用户指定的Endpoint
ENDPOINT := <domain-name>
// 初始化一个ACLClient
aclClient, err := acl.NewClient(AK, SK, ENDPOINT)
}在上面代码中,ACCESS_KEY_ID对应控制台中的“Access Key ID”,SECRET_ACCESS_KEY对应控制台中的“Access Key Secret”,获取方式请参考《操作指南 如何获取AKSK》。第三个参数ENDPOINT支持用户自己指定域名,如果设置为空字符串,会使用默认域名作为VPC的服务地址。
注意:
ENDPOINT参数需要用指定区域的域名来进行定义,如服务所在区域为北京,则为bcc.bj.baidubce.com。
使用STS创建ACL Client
申请STS token
ACL可以通过STS机制实现第三方的临时授权访问。STS(Security Token Service)是百度云提供的临时授权服务。通过STS,您可以为第三方用户颁发一个自定义时效和权限的访问凭证。第三方用户可以使用该访问凭证直接调用百度云的API或SDK访问百度云资源。
通过STS方式访问ACL,用户需要先通过STS的client申请一个认证字符串。
用STS token新建ACL Client
申请好STS后,可将STS Token配置到ACL Client中,从而实现通过STS Token创建ACL Client。
代码示例
GO SDK实现了STS服务的接口,用户可以参考如下完整代码,实现申请STS Token和创建ACL Client对象:
import (
"fmt"
"github.com/baidubce/bce-sdk-go/auth" //导入认证模块
"github.com/baidubce/bce-sdk-go/services/vpc" //导入VPC服务模块
"github.com/baidubce/bce-sdk-go/services/sts" //导入STS服务模块
)
func main() {
// 创建STS服务的Client对象,Endpoint使用默认值
AK, SK := <your-access-key-id>, <your-secret-access-key>
stsClient, err := sts.NewClient(AK, SK)
if err != nil {
fmt.Println("create sts client object :", err)
return
}
// 获取临时认证token,有效期为60秒,ACL为空
stsObj, err := stsClient.GetSessionToken(60, "")
if err != nil {
fmt.Println("get session token failed:", err)
return
}
fmt.Println("GetSessionToken result:")
fmt.Println(" accessKeyId:", stsObj.AccessKeyId)
fmt.Println(" secretAccessKey:", stsObj.SecretAccessKey)
fmt.Println(" sessionToken:", stsObj.SessionToken)
fmt.Println(" createTime:", stsObj.CreateTime)
fmt.Println(" expiration:", stsObj.Expiration)
fmt.Println(" userId:", stsObj.UserId)
// 使用申请的临时STS创建ACL服务的Client对象,Endpoint使用默认值
aclClient, err := vpc.NewClient(stsObj.AccessKeyId, stsObj.SecretAccessKey, "bcc.bj.baidubce.com")
if err != nil {
fmt.Println("create acl client failed:", err)
return
}
stsCredential, err := auth.NewSessionBceCredentials(
stsObj.AccessKeyId,
stsObj.SecretAccessKey,
stsObj.SessionToken)
if err != nil {
fmt.Println("create sts credential object failed:", err)
return
}
aclClient.Config.Credentials = stsCredential
}注意: 目前使用STS配置ACL Client时,无论对应ACL服务的Endpoint在哪里,STS的Endpoint都需配置为http://sts.bj.baidubce.com。上述代码中创建STS对象时使用此默认值。
配置HTTPS协议访问ACL
ACL支持HTTPS传输协议,您可以通过在创建ACL Client对象时指定的Endpoint中指明HTTPS的方式,在ACL GO SDK中使用HTTPS访问ACL服务:
// import "github.com/baidubce/bce-sdk-go/services/vpc"
ENDPOINT := "https://bcc.bj.baidubce.com" //指明使用HTTPS协议
AK, SK := <your-access-key-id>, <your-secret-access-key>
aclClient, _ := acl.NewClient(AK, SK, ENDPOINT)配置ACL Client
如果用户需要配置ACL Client的一些细节的参数,可以在创建ACL Client对象之后,使用该对象的导出字段Config进行自定义配置,可以为客户端配置代理,最大连接数等参数。
使用代理
下面一段代码可以让客户端使用代理访问ACL服务:
// import "github.com/baidubce/bce-sdk-go/services/vpc"
//创建ACL Client对象
AK, SK := <your-access-key-id>, <your-secret-access-key>
ENDPOINT := "bcc.bj.baidubce.com"
client, _ := vpc.NewClient(AK, SK, ENDPOINT)
//代理使用本地的8080端口
client.Config.ProxyUrl = "127.0.0.1:8080"设置网络参数
用户可以通过如下的示例代码进行网络参数的设置:
// import "github.com/baidubce/bce-sdk-go/services/vpc"
AK, SK := <your-access-key-id>, <your-secret-access-key>
ENDPOINT := "bcc.bj.baidubce.com"
client, _ := bcc.NewClient(AK, SK, ENDPOINT)
// 配置不进行重试,默认为Back Off重试
client.Config.Retry = bce.NewNoRetryPolicy()
// 配置连接超时时间为30秒
client.Config.ConnectionTimeoutInMillis = 30 * 1000配置生成签名字符串选项
// import "github.com/baidubce/bce-sdk-go/services/vpc"
AK, SK := <your-access-key-id>, <your-secret-access-key>
ENDPOINT := "bcc.bj.baidubce.com"
client, _ := bcc.NewClient(AK, SK, ENDPOINT)
// 配置签名使用的HTTP请求头为`Host`
headersToSign := map[string]struct{}{"Host": struct{}{}}
client.Config.SignOption.HeadersToSign = HeadersToSign
// 配置签名的有效期为30秒
client.Config.SignOption.ExpireSeconds = 30参数说明
用户使用GO SDK访问ACL时,创建的ACL Client对象的Config字段支持的所有参数如下表所示:
| 配置项名称 | 类型 | 含义 |
|---|---|---|
| Endpoint | string | 请求服务的域名 |
| ProxyUrl | string | 客户端请求的代理地址 |
| Region | string | 请求资源的区域 |
| UserAgent | string | 用户名称,HTTP请求的User-Agent头 |
| Credentials | *auth.BceCredentials | 请求的鉴权对象,分为普通AK/SK与STS两种 |
| SignOption | *auth.SignOptions | 认证字符串签名选项 |
| Retry | RetryPolicy | 连接重试策略 |
| ConnectionTimeoutInMillis | int | 连接超时时间,单位毫秒,默认20分钟 |
说明:
Credentials字段使用auth.NewBceCredentials与auth.NewSessionBceCredentials函数创建,默认使用前者,后者为使用STS鉴权时使用,详见“使用STS创建ACL Client”小节。SignOption字段为生成签名字符串时的选项,详见下表说明:
| 名称 | 类型 | 含义 |
|---|---|---|
| HeadersToSign | map[string]struct{} | 生成签名字符串时使用的HTTP头 |
| Timestamp | int64 | 生成的签名字符串中使用的时间戳,默认使用请求发送时的值 |
| ExpireSeconds | int | 签名字符串的有效期 |
其中,HeadersToSign默认为`Host`,`Content-Type`,`Content-Length`,`Content-MD5`;TimeStamp一般为零值,表示使用调用生成认证字符串时的时间戳,用户一般不应该明确指定该字段的值;ExpireSeconds默认为1800秒即30分钟。Retry字段指定重试策略,目前支持两种:NoRetryPolicy和BackOffRetryPolicy。默认使用后者,该重试策略是指定最大重试次数、最长重试时间和重试基数,按照重试基数乘以2的指数级增长的方式进行重试,直到达到最大重试测试或者最长重试时间为止。
ACL管理
访问控制列表(Access Control List,ACL)作为应用在子网上的防火墙组件帮助用户实现子网级别的安全访问控制。
查询ACL
使用以下代码可以完成acl信息的查询。
//import "github.com/baidubce/bce-sdk-go/services/vpc"
result, err := client.ListAclEntrys(vpcId)
if err != nil {
fmt.Println("list acl entrys error: ", err)
return
}
// 查询得到acl所属的vpc id
fmt.Println("acl entrys of vpcId: ", result.VpcId)
// 查询得到acl所属的vpc名称
fmt.Println("acl entrys of vpcName: ", result.VpcName)
// 查询得到acl所属的vpc网段
fmt.Println("acl entrys of vpcCidr: ", result.VpcCidr)
// 查询得到acl的详细信息
for _, acl := range result.AclEntrys {
fmt.Println("subnetId: ", acl.SubnetId)
fmt.Println("subnetName: ", acl.SubnetName)
fmt.Println("subnetCidr: ", acl.SubnetCidr)
fmt.Println("aclRules: ", acl.AclRules)
}根据该接口得到的AclEntry列表,包括subnetId、subnetName、subnetCidr、aclRules。
添加ACL规则
根据以下代码可以创建acl规则。
//import "github.com/baidubce/bce-sdk-go/services/vpc"
requests := []vpc.AclRuleRequest{
{
// 设置acl规则所属的子网id
SubnetId: "sbn-e4cg8e8zkizs",
// 设置acl规则的协议
Protocol: vpc.ACL_RULE_PROTOCOL_TCP,
// 设置acl规则的源ip
SourceIpAddress: "192.168.2.0",
// 设置acl规则的目的ip
DestinationIpAddress: "192.168.0.0/24",
// 设置acl规则的源端口
SourcePort: "8888",
// 设置acl规则的目的端口
DestinationPort: "9999",
// 设置acl规则的优先级
Position: 12,
// 设置acl规则的方向
Direction: vpc.ACL_RULE_DIRECTION_INGRESS,
// 设置acl规则的策略
Action: vpc.ACL_RULE_ACTION_ALLOW,
// 设置acl规则的描述信息
Description: "test",
},
}
args := &vpc.CreateAclRuleArgs{
AclRules: requests,
}
if err := client.CreateAclRule(args); err != nil {
fmt.Println("create acl rule error: ", err)
return
}
fmt.Println("create acl rule success.")使用该接口可以一次创建多条acl规则,对规则参数中的注意事项描述如下:
- protocol: 支持的协议包括all tcp udp icmp
- sourcePort: 源端口,例如1-65535,或8080
- destinationPort: 目的端口,例如1-65535,或8080
- position: 优先级 1-5000且不能与已有条目重复。数值越小,优先级越高,规则匹配顺序为按优先级由高到低匹配
- direction: 规则的入站ingress, 规则的出站egress
- action: 支持的策略包括allow和deny
查询ACL规则
使用以下代码可以查询acl规则信息。
//import "github.com/baidubce/bce-sdk-go/services/vpc"
args := &vpc.ListAclRulesArgs{
// 设置acl所属子网的id
SubnetId: subnetId,
// 设置批量获取列表的查询的起始位置
Marker: marker,
// 设置每页包含的最大数量
MaxKeys: maxKeys,
}
result, err := client.ListAclRules(args)
if err != nil {
fmt.Println("list acl rules error: ", err)
return
}
// 返回标记查询的起始位置
fmt.Println("acl list marker: ", result.Marker)
// true表示后面还有数据,false表示已经是最后一页
fmt.Println("acl list isTruncated: ", result.IsTruncated)
// 获取下一页所需要传递的marker值。当isTruncated为false时,该域不出现
fmt.Println("acl list nextMarker: ", result.NextMarker)
// 每页包含的最大数量
fmt.Println("acl list maxKeys: ", result.MaxKeys)
// 获取acl的列表信息
for _, acl := range result.AclRules {
fmt.Println("acl rule id: ", acl.Id)
fmt.Println("acl rule subnetId: ", acl.SubnetId)
fmt.Println("acl rule description: ", acl.Description)
fmt.Println("acl rule protocol: ", acl.Protocol)
fmt.Println("acl rule sourceIpAddress: ", acl.SourceIpAddress)
fmt.Println("acl rule destinationIpAddress: ", acl.DestinationIpAddress)
fmt.Println("acl rule sourcePort: ", acl.SourcePort)
fmt.Println("acl rule destinationPort: ", acl.DestinationPort)
fmt.Println("acl rule position: ", acl.Position)
fmt.Println("acl rule direction: ", acl.Direction)
fmt.Println("acl rule action: ", acl.Action)
}注意:
- 使用该接口时,必需提供subnetId参数,以获取特定子网的acl规则列表信息。
- 系统为用户创建了2条默认ACL规则(无id)。其中入站和出站各一条,规则内容均为全入全出。默认规则,不支持更改和删除。
更新ACL规则
使用以下代码可以实现对特定acl规则的更新操作。
//import "github.com/baidubce/bce-sdk-go/services/vpc"
args := &vpc.UpdateAclRuleArgs{
// 设置acl的最新协议
Protocol: vpc.ACL_RULE_PROTOCOL_TCP,
// 设置acl的源ip
SourceIpAddress: "192.168.2.0",
// 设置acl的目的ip
DestinationIpAddress: "192.168.0.0/24",
// 设置acl的源端口
SourcePort: "3333",
// 设置acl的目的端口
DestinationPort: "4444",
// 设置acl的优先级
Position: 12,
// 设置acl的策略
Action: vpc.ACL_RULE_ACTION_ALLOW,
// 设置acl最新的描述信息
Description: "test",
}
if err := client.UpdateAclRule(aclRuleId, args); err != nil {
fmt.Println("update acl rule error: ", err)
return
}
fmt.Printf("update acl rule %s success.", aclRuleId)以上接口可用于对acl规则各个字段的更新过程。
删除ACL规则
使用以下代码可以删除指定的acl规则。
//import "github.com/baidubce/bce-sdk-go/services/vpc"
if err := client.DeleteAclRule(aclRuleId, clientToken); err != nil {
fmt.Println("delete acl rule error: ", err)
return
}
fmt.Printf("delete acl rule %s success.", aclRuleId)注意: 参数中的clientToken表示幂等性Token,是一个长度不超过64位的ASCII字符串,详见ClientToken幂等性