安全组
安全组管理
初始化
确认Endpoint
在确认您使用SDK,需要配置Endpoint时,理解Endpoint相关的概念。 百度智能云目前开放了多区域支持,请参考区域选择说明。 目前支持“华北-北京”、“华南-广州”、"华东-苏州"、"香港"、"金融华中-武汉"和"华北-保定"六个区域。对应Endpoint信息为:
| 访问区域 | 对应Endpoint |
|---|---|
| 华北-北京 | bcc.bj.baidubce.com |
| 华南-广州 | bcc.gz.baidubce.com |
| 华东-苏州 | bcc.su.baidubce.com |
| 香港 | bcc.hkg.baidubce.com |
| 金融华中-武汉 | bcc.fwh.baidubce.com |
| 华北-保定 | bcc.bd.baidubce.com |
获取密钥
要使用百度智能云安全组,您需要拥有一个有效的 AK(Access Key ID)和SK(Secret Access Key)用来进行签名认证。AK/SK是由系统分配给用户的,均为字符串,用于标识用户,为访问安全组做签名验证。 可以通过如下步骤获得并了解您的AK/SK信息: 注册百度智能云账号 创建AK/SK
新建BccClient
BccClient是安全组服务的客户端,为开发者与安全组服务进行交互提供了一系列的方法。
通过AK/SK方式访问BccClient
1.在新建BccClient之前,需要先创建配置文件对BccClient进行配置,以下将此配置文件命名为sg_sample_conf.py,具体配置信息如下所示:
#!/usr/bin/env python
#coding=utf-8
#导入Python标准日志模块
import logging
#从Python SDK导入Bcc配置管理模块以及安全认证模块
from baidubce.bce_client_configuration import BceClientConfiguration
from baidubce.auth.bce_credentials import BceCredentials
import baidubce
#设置BccClient的Host,Access Key ID和Secret Access Key
sg_host = ""bcc.bj.baidubce.com"
access_key_id = "AK"
secret_access_key = "SK"
#设置日志文件的句柄和日志级别
logger = logging.getLogger('baidubce.http.bce_http_client')
fh = logging.FileHandler("sample.log")
fh.setLevel(logging.DEBUG)
#设置日志文件输出的顺序、结构和内容
formatter = logging.Formatter('%(asctime)s - %(name)s - %(levelname)s - %(message)s')
fh.setFormatter(formatter)
logger.setLevel(logging.DEBUG)
logger.addHandler(fh)
#创建BceClientConfiguration
config = BceClientConfiguration(credentials=BceCredentials(access_key_id, secret_access_key), endpoint = sg_host)注意: 针对日志文件,Logging有如下级别:DEBUG,INFO,WARNING,ERROR,CRITICAL。
在上面代码中,access_key_id对应控制台中的“Access Key ID”,secret_access_key对应控制台中的“Access Key Secret”,获取方式请参考《操作指南 管理ACCESSKEY》。
上面的方式用户需要自己指定安全组的服务的域名,可以通过赋值给sg_host变量来指定。不指定时无需传入endpoint参数,默认为北京区域http://bcc.bj.baidubce.com。 2.在完成上述配置之后,参考如下代码新建一个BccClient。
#导入BccClient配置文件
import sg_sample_conf
#导入Bcc相关模块
from baidubce import exception
from baidubce.services import bcc
from baidubce.services.bcc.bcc_client import BccClient
from baidubce.services.bcc.bcc_model import SecurityGroupRuleModel
#新建BccClient
sg_client = BccClient(sg_sample_conf.config)安全组管理
- 创建BCC实例时,可以选择默认安全组或者自定义安全组。
- 每个BCC实例必须选择一个安全组。
- 每个BCC实例最多只能与10个安全组关联,如果某个BCC实例关联了多个安全组,则此BCC实例生效的规则是已关联安全组所有规则的合集。
- 用户可以允许所有与此安全组关联的BCC实例彼此之间进行通信,或是与其他安全组关联的实例和与此安全组关联的实例之间进行通信。默认与同一安全组关联的BCC实例彼此间可进行通信。
- 不支持在安全组维度下关联BCC实例,仅可通过BCC实例加入安全组。
- 默认安全组不可删除,可以增、删、改规则。仅默认安全组提供一键恢复初始设置按钮。
默认安全组的规则:
- 入站:允许访问所有端口,即允许外部所有IP的流量进入关联BCC的所有端口。
- 出站:允许访问所有端口,即允许关联BCC的所有端口访问外部所有IP的所有端口。
新建安全组
函数声明
def create_security_group(self, name, rules, vpc_id=None, desc=None, client_token=None, tags=None, config=None):参数含义
请参考OpenAPI文档:https://cloud.baidu.com/doc/VPC/s/Gkmd207ou
返回值
操作成功:
{
"securityGroupId": "g-nky7qeom"
}操作失败:
抛出异常,异常列表参考:https://cloud.baidu.com/doc/VPC/s/sjwvyuhe7
代码示例
具体代码示例参考:example_create_security_group.py
列举安全组列表
函数声明
def list_security_groups(self, instance_id=None, vpc_id=None, marker=None, max_keys=None, config=None):参数含义
请参考OpenAPI文档:https://cloud.baidu.com/doc/VPC/s/Okmd24kom
返回值
操作成功:
{
"nextMarker": "",
"marker": "",
"maxKeys": 1000,
"securityGroups": [
{
"desc": "",
"id": "g-4NxWoxeq",
"name": "common2",
"vpcId":"vpc-9xuevtmc6u",
"createdTime":"2019-09-24T08:25:59Z",
"sgVersion": 0,
"rules": [
{
"destGroupId": "",
"destIp": "all",
"direction": "egress",
"ethertype": "IPv4",
"portRange": "1-65535",
"protocol": "all",
"remark": "bae",
"securityGroupId": "g-4NxWoxeq",
"securityGroupRuleId": "r-gkv8yupumvx2",
"createdTime": "2020-07-27T13:00:52Z",
"updatedTime": "2020-07-27T13:00:52Z"
}
],
"tags":[
{
"tagKey": tagKey,
"tagValue": tagValue
}
]
}
],
"isTruncated": false
}操作失败:
抛出异常,异常列表参考:https://cloud.baidu.com/doc/VPC/s/sjwvyuhe7
代码示例
具体代码示例参考:example_get_security_group_list.py
删除安全组
函数声明
def delete_security_group(self, security_group_id, config=None):参数含义
请参考OpenAPI文档:https://cloud.baidu.com/doc/VPC/s/Dkmd22the
返回值
操作成功:
{}操作失败:
抛出异常,异常列表参考:https://cloud.baidu.com/doc/VPC/s/sjwvyuhe7
代码示例
具体代码示例参考:example_delete_security_group.py
授权安全组规则
函数声明
def authorize_security_group_rule(self, security_group_id, rule, client_token=None, config=None):参数含义
请参考OpenAPI文档:https://cloud.baidu.com/doc/VPC/s/Mkmd2b0na
返回值
操作成功:
{}操作失败:
抛出异常,异常列表参考:https://cloud.baidu.com/doc/VPC/s/sjwvyuhe7
代码示例
具体代码示例参考:example_authorize_security_group_rule.py
撤销安全组规则
函数声明
def revoke_security_group_rule(self, security_group_id, rule, client_token=None, config=None):参数含义
请参考OpenAPI文档:https://cloud.baidu.com/doc/VPC/s/jkmd281hj
返回值
操作成功:
{}操作失败:
抛出异常,异常列表参考:https://cloud.baidu.com/doc/VPC/s/sjwvyuhe7
代码示例
具体代码示例参考:example_revoke_security_group_rule.py
更新安全组规则
函数声明
def update_security_group_rule(self, security_group_rule_id, remark=None, direction=None,
protocol=None, portrange=None, source_ip=None,
sourcegroup_id=None, dest_ip=None, destgroup_id=None,
config=None):参数含义
请参考OpenAPI文档:https://cloud.baidu.com/doc/VPC/s/Hkmd2fk5t
返回值
操作成功:
{}操作失败:
抛出异常,异常列表参考:https://cloud.baidu.com/doc/VPC/s/sjwvyuhe7
代码示例
具体代码示例参考:example_update_security_group_rule.py
删除安全组规则
函数声明
def delete_security_group_rule(self, security_group_rule_id, config=None):参数含义
请参考OpenAPI文档:https://cloud.baidu.com/doc/VPC/s/0kmd2duok
返回值
操作成功:
{}操作失败:
抛出异常,异常列表参考:https://cloud.baidu.com/doc/VPC/s/sjwvyuhe7