普通安全组
初始化
确认Endpoint
在您使用SDK之前,可先阅读开发人员指南中关于普通安全组访问域名的部分,理解Endpoint相关的概念。百度智能云目前开放了多区域支持,请参考区域选择说明。
目前支持“华北-北京”、“华南-广州”、“华东-苏州”、“香港”、“金融华中-武汉”和“华北-保定”六个区域。对应信息为:
访问区域 | 对应Endpoint | 协议 |
---|---|---|
BJ | bcc.bj.baidubce.com | HTTP and HTTPS |
GZ | bcc.gz.baidubce.com | HTTP and HTTPS |
SU | bcc.su.baidubce.com | HTTP and HTTPS |
HKG | bcc.hkg.baidubce.com | HTTP and HTTPS |
FWH | bcc.fwh.baidubce.com | HTTP and HTTPS |
BD | bcc.bd.baidubce.com | HTTP and HTTPS |
获取密钥
要使用百度智能云普通安全组,您需要拥有一个有效的AK(Access Key ID)和SK(Secret Access Key)用来进行签名认证。AK/SK是由系统分配给用户的,均为字符串,用于标识用户,为访问普通安全组做签名验证。
可以通过如下步骤获得并了解您的AK/SK信息:
新建Sg Client
Sg Client是普通安全组服务的客户端,为开发者与普通安全组服务进行交互提供了一系列的方法。
使用AK/SK新建Sg Client
通过AK/SK方式访问普通安全组,用户可以参考如下代码新建一个Sg Client:
import (
"github.com/baidubce/bce-sdk-go/services/bcc"
)
func main() {
// 用户的Access Key ID和Secret Access Key
ACCESS_KEY_ID, SECRET_ACCESS_KEY := <your-access-key-id>, <your-secret-access-key>
// 用户指定的Endpoint
ENDPOINT := <domain-name>
// 初始化一个sgClient
sgClient, err := bcc.NewClient(AK, SK, ENDPOINT)
}
在上面代码中,ACCESS_KEY_ID
对应控制台中的“Access Key ID”,SECRET_ACCESS_KEY
对应控制台中的“Access Key Secret”,获取方式请参考《操作指南 如何获取AKSK》。第三个参数ENDPOINT
支持用户自己指定域名,如果设置为空字符串,会使用默认域名作为Sg的服务地址。
注意:
ENDPOINT
参数需要用指定区域的域名来进行定义,如服务所在区域为北京,则为http://bcc.bj.baidubce.com
。
使用STS创建Sg Client
申请STS token
Sg可以通过STS机制实现第三方的临时授权访问。STS(Security Token Service)是百度智能云提供的临时授权服务。通过STS,您可以为第三方用户颁发一个自定义时效和权限的访问凭证。第三方用户可以使用该访问凭证直接调用百度智能云的API或SDK访问百度智能云资源。
通过STS方式访问普通安全组,用户需要先通过STS的client申请一个认证字符串。
用STS token新建Sg Client
申请好STS后,可将STS Token配置到Sg Client中,从而实现通过STS Token创建Sg Client。
代码示例
GO SDK实现了STS服务的接口,用户可以参考如下完整代码,实现申请STS Token和创建Sg Client对象:
import (
"fmt"
"github.com/baidubce/bce-sdk-go/auth" //导入认证模块
"github.com/baidubce/bce-sdk-go/services/bcc" //导入BCC服务模块
"github.com/baidubce/bce-sdk-go/services/sts" //导入STS服务模块
)
func main() {
// 创建STS服务的Client对象,Endpoint使用默认值
AK, SK := <your-access-key-id>, <your-secret-access-key>
stsClient, err := sts.NewClient(AK, SK)
if err != nil {
fmt.Println("create sts client object :", err)
return
}
// 获取临时认证token,有效期为60秒,ACL为空
stsObj, err := stsClient.GetSessionToken(60, "")
if err != nil {
fmt.Println("get session token failed:", err)
return
}
fmt.Println("GetSessionToken result:")
fmt.Println(" accessKeyId:", stsObj.AccessKeyId)
fmt.Println(" secretAccessKey:", stsObj.SecretAccessKey)
fmt.Println(" sessionToken:", stsObj.SessionToken)
fmt.Println(" createTime:", stsObj.CreateTime)
fmt.Println(" expiration:", stsObj.Expiration)
fmt.Println(" userId:", stsObj.UserId)
// 使用申请的临时STS创建BCC服务的Client对象,Endpoint使用默认值
sgClient, err := bcc.NewClient(stsObj.AccessKeyId, stsObj.SecretAccessKey, "bcc.bj.baidubce.com")
if err != nil {
fmt.Println("create bcc client failed:", err)
return
}
stsCredential, err := auth.NewSessionBceCredentials(
stsObj.AccessKeyId,
stsObj.SecretAccessKey,
stsObj.SessionToken)
if err != nil {
fmt.Println("create sts credential object failed:", err)
return
}
sgClient~~~~.Config.Credentials = stsCredential
}
注意: 目前使用STS配置Sg Client时,无论对应普通安全组服务的Endpoint在哪里,STS的Endpoint都需配置为http://sts.bj.baidubce.com ,上述代码中创建STS对象时使用此默认值。
配置HTTPS协议访问普通安全组
普通安全组支持HTTPS传输协议,您可以通过在创建Sg Client对象时指定的Endpoint中指明HTTPS的方式,在Sg GO SDK中使用HTTPS访问普通安全组服务:
// import "github.com/baidubce/bce-sdk-go/services/bcc"
ENDPOINT := "https://bcc.bj.baidubce.com" //指明使用HTTPS协议
AK, SK := <your-access-key-id>, <your-secret-access-key>
sgClient, _ := bcc.NewClient(AK, SK, ENDPOINT)
配置Sg Client
如果用户需要配置Sg Client的一些细节的参数,可以在创建Sg Client对象之后,使用该对象的导出字段Config
进行自定义配置,可以为客户端配置代理,最大连接数等参数。
使用代理
下面一段代码可以让客户端使用代理访问普通安全组服务:
// import "github.com/baidubce/bce-sdk-go/services/bcc"
//创建Sg Client对象
AK, SK := <your-access-key-id>, <your-secret-access-key>
ENDPOINT := "bcc.bj.baidubce.com"
client, _ := bcc.NewClient(AK, SK, ENDPOINT)
//代理使用本地的8080端口
client.Config.ProxyUrl = "127.0.0.1:8080"
设置网络参数
用户可以通过如下的示例代码进行网络参数的设置:
// import "github.com/baidubce/bce-sdk-go/services/bcc"
AK, SK := <your-access-key-id>, <your-secret-access-key>
ENDPOINT := "bcc.bj.baidubce.com"
client, _ := bcc.NewClient(AK, SK, ENDPOINT)
// 配置不进行重试,默认为Back Off重试
client.Config.Retry = bce.NewNoRetryPolicy()
// 配置连接超时时间为30秒
client.Config.ConnectionTimeoutInMillis = 30 * 1000
配置生成签名字符串选项
// import "github.com/baidubce/bce-sdk-go/services/bcc"
AK, SK := <your-access-key-id>, <your-secret-access-key>
ENDPOINT := "bcc.bj.baidubce.com"
client, _ := bcc.NewClient(AK, SK, ENDPOINT)
// 配置签名使用的HTTP请求头为`Host`
headersToSign := map[string]struct{}{"Host": struct{}{}}
client.Config.SignOption.HeadersToSign = HeadersToSign
// 配置签名的有效期为30秒
client.Config.SignOption.ExpireSeconds = 30
参数说明
用户使用GO SDK访问普通安全组时,创建的Sg Client对象的Config
字段支持的所有参数如下表所示:
配置项名称 | 类型 | 含义 |
---|---|---|
Endpoint | string | 请求服务的域名 |
ProxyUrl | string | 客户端请求的代理地址 |
Region | string | 请求资源的区域 |
UserAgent | string | 用户名称,HTTP请求的User-Agent头 |
Credentials | *auth.BceCredentials | 请求的鉴权对象,分为普通AK/SK与STS两种 |
SignOption | *auth.SignOptions | 认证字符串签名选项 |
Retry | RetryPolicy | 连接重试策略 |
ConnectionTimeoutInMillis | int | 连接超时时间,单位毫秒,默认20分钟 |
说明:
Credentials
字段使用auth.NewBceCredentials
与auth.NewSessionBceCredentials
函数创建,默认使用前者,后者为使用STS鉴权时使用,详见“使用STS创建Sg Client”小节。SignOption
字段为生成签名字符串时的选项,详见下表说明:
名称 | 类型 | 含义 |
---|---|---|
HeadersToSign | map[string]struct{} | 生成签名字符串时使用的HTTP头 |
Timestamp | int64 | 生成的签名字符串中使用的时间戳,默认使用请求发送时的值 |
ExpireSeconds | int | 签名字符串的有效期 |
其中,HeadersToSign默认为`Host`,`Content-Type`,`Content-Length`,`Content-MD5`;TimeStamp一般为零值,表示使用调用生成认证字符串时的时间戳,用户一般不应该明确指定该字段的值;ExpireSeconds默认为1800秒即30分钟。
Retry
字段指定重试策略,目前支持两种:NoRetryPolicy
和BackOffRetryPolicy
。默认使用后者,该重试策略是指定最大重试次数、最长重试时间和重试基数,按照重试基数乘以2的指数级增长的方式进行重试,直到达到最大重试测试或者最长重试时间为止。
普通安全组管理
创建普通安全组
函数声明
func (c *Client) CreateSecurityGroup(args *api.CreateSecurityGroupArgs) (*api.CreateSecurityGroupResult, error)
参数含义
请参考OpenAPI文档:https://cloud.baidu.com/doc/VPC/s/Gkmd207ou
返回值
操作成功:
{
"securityGroupId": "g-nky7qeom"
}
操作失败:
抛出异常,异常列表参考:https://cloud.baidu.com/doc/VPC/s/sjwvyuhe7
代码示例
具体代码示例参考:example_create_securitygroup.go
查询普通安全组列表
函数声明
func (c *Client) ListSecurityGroup(queryArgs *api.ListSecurityGroupArgs) (*api.ListSecurityGroupResult, error)
参数含义
请参考OpenAPI文档:https://cloud.baidu.com/doc/VPC/s/Okmd24kom
返回值
操作成功:
{
"nextMarker": "",
"marker": "",
"maxKeys": 1000,
"securityGroups": [
{
"desc": "",
"id": "g-4NxWoxeq",
"name": "common2",
"vpcId":"vpc-9xuevtmc6u",
"createdTime":"2019-09-24T08:25:59Z",
"sgVersion": 0,
"rules": [
{
"destGroupId": "",
"destIp": "all",
"direction": "egress",
"ethertype": "IPv4",
"portRange": "1-65535",
"protocol": "all",
"remark": "bae",
"securityGroupId": "g-4NxWoxeq",
"securityGroupRuleId": "r-gkv8yupumvx2",
"createdTime": "2020-07-27T13:00:52Z",
"updatedTime": "2020-07-27T13:00:52Z"
}
],
"tags":[
{
"tagKey": tagKey,
"tagValue": tagValue
}
]
}
],
"isTruncated": false
}
操作失败:
抛出异常,异常列表参考:https://cloud.baidu.com/doc/VPC/s/sjwvyuhe7
代码示例
具体代码示例参考:example_get_securitygrouplist.go
删除普通安全组
函数声明
func (c *Client) DeleteSecurityGroup(securityGroupId string) error
参数含义
请参考OpenAPI文档:https://cloud.baidu.com/doc/VPC/s/Dkmd22the
返回值
操作成功:
{}
操作失败:
抛出异常,异常列表参考:https://cloud.baidu.com/doc/VPC/s/sjwvyuhe7
代码示例
具体代码示例参考:example_delete_securitygroup.go
授权普通安全组规则
func (c *Client) AuthorizeSecurityGroupRule(securityGroupId string, args *api.AuthorizeSecurityGroupArgs) error
参数含义
请参考OpenAPI文档:https://cloud.baidu.com/doc/VPC/s/Mkmd2b0na
返回值
操作成功:
{}
操作失败:
抛出异常,异常列表参考:https://cloud.baidu.com/doc/VPC/s/sjwvyuhe7
代码示例
具体代码示例参考:example_authorize_securitygrouprule.go
更新普通安全组规则
func (c *Client) UpdateSecurityGroupRule(args *api.UpdateSecurityGroupRuleArgs) error
参数含义
请参考OpenAPI文档:https://cloud.baidu.com/doc/VPC/s/Hkmd2fk5t
返回值
操作成功:
{}
操作失败:
抛出异常,异常列表参考:https://cloud.baidu.com/doc/VPC/s/sjwvyuhe7
代码示例
具体代码示例参考:example_update_securitygrouprule.go
撤销普通安全组规则
func (c *Client) RevokeSecurityGroupRule(securityGroupId string, args *api.RevokeSecurityGroupArgs) error
参数含义
请参考OpenAPI文档:https://cloud.baidu.com/doc/VPC/s/jkmd281hj
返回值
操作成功:
{}
操作失败:
抛出异常,异常列表参考:https://cloud.baidu.com/doc/VPC/s/sjwvyuhe7
代码示例
具体代码示例参考:example_revoke_securitygrouprule.go
删除普通安全组规则
func (c *Client) DeleteSecurityGroupRule(args *api.DeleteSecurityGroupRuleArgs) error
参数含义
请参考OpenAPI文档:https://cloud.baidu.com/doc/VPC/s/0kmd2duok
返回值
操作成功:
{}
操作失败:
抛出异常,异常列表参考:https://cloud.baidu.com/doc/VPC/s/sjwvyuhe7
代码示例
具体代码示例参考:example_delete_securitygrouprule.go
查询普通安全组详情
func (c *Client) GetSecurityGroupDetail(securityGroupId string) (*api.GetSecurityGroupDetailResult, error)
参数含义
请参考OpenAPI文档:https://cloud.baidu.com/doc/VPC/s/4m20c3qkh
返回值
操作成功:
{
"id": "g-hwvydg4q1xc6",
"name": "默认安全组",
"vpcId": "vpc-e333ceph7axf",
"desc": "default",
"createdTime": "2024-09-19T07:43:46Z",
"sgVersion": 0,
"bindInstanceNum": 1,
"rules": [
{
"remark": "",
"direction": "ingress",
"ethertype": "IPv4",
"portRange": "1-65535",
"securityGroupUuid": "",
"sourceIp": "all",
"destGroupId": "",
"destIp": "",
"securityGroupId": "g-hwvydg4q1xc6",
"securityGroupRuleId": "r-kkd0nr2v1hva",
"createdTime": "2024-09-19T07:43:46Z",
"updatedTime": "2024-09-19T07:43:46Z",
"protocol": "all"
}
],
"tags": [
]
}
操作失败:
抛出异常,异常列表参考:https://cloud.baidu.com/doc/VPC/s/sjwvyuhe7
代码示例
具体代码示例参考:example_get_securitygroupdetail.go