华为云用户手册

CBH控制台功能依赖的角色或策略 表3 表1 CBH控制台依赖服务的角色或策略 控制台功能 依赖服务 需配置角色/策略 创建 堡垒机 弹性云服务器 E CS 虚拟私有云 VPC IAM 用户设置了CBH FullAccess权限后，需要增加ECS CommonOperations和VPC FullAccess后才能在控制台创建 云堡垒机 。 绑定/解绑EIP 弹性公网IP EIP IAM用户设置了CBH FullAccess权限后，需要增加VPC FullAccess后才能在控制台为堡垒机绑定/解绑EIP。 更新堡垒机安全组 虚拟私有云 VPC IAM用户设置了CBH FullAccess权限后，需要增加VPC FullAccess后才能在控制台为堡垒机更新安全组。 云资产委托 数据加密 服务 DEW 弹性云服务器 ECS 云数据库 RDS 统一身份认证 服务 IAM IAM用户设置了CBH FullAccess权限后，参照CBH FullAccess手动添加权限添加相关权限。

CBH FullAccess策略内容 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "cbh:*:*", "vpc:subnets:get", "vpc:publicIps:list", "vpc:vpcs:list", "vpc:securityGroups:get", "vpc:firewallGroups:get", "vpc:firewallPolicies:get", "vpc:firewallRules:get", "vpc:ports:get", "vpc:publicips:update", "vpc:securityGroups:create", "vpc:firewallRules:create", "vpc:firewallPolicies:addRule" "ecs:cloudServerFlavors:get", "evs:types:get" ] } ] }

CBH实例权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 CBH实例部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域（如华北-北京1）对应的项目（cn-north-1）中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问CBH实例时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对CBH实例，管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。CBH实例支持的授权项请参见权限及授权项。 如表1所示，包括了CBH实例的部分系统权限。 表1 CBH实例系统权限 系统角色/策略名称 描述 类别 CBH FullAccess 云堡垒机实例的所有权限（支付权限除外）。 系统策略 CBH ReadOnlyAccess 云堡垒机实例只读权限，拥有该权限的用户仅能查看云堡垒机服务，不具备服务配置和操作权限。 系统策略 您在赋予账号企业项目级的CBH FullAccess权限时，还需要授予账号IAM项目级别的CBH ReadOnlyAccess权限，这样才可以在Console控制台正常使用CBH服务的各项功能。 如表2列出了CBH实例常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表2 常用操作与系统权限的关系 操作 CBH FullAccess CBH ReadOnlyAccess 创建云堡垒机 √ x 变更云堡垒机规格（变更规格） √ x 查询云堡垒机列表 √ √ 升级云堡垒机软件版本 √ x 查询ECS配额 √ x 绑定或解绑EIP √ x 重启云堡垒机 √ x 启动云堡垒机 √ x 关闭云堡垒机 √ x 查看云堡垒机可用区 √ x 检测当前配置是否支持创建IPv6云堡垒机 √ x 检测云堡垒机与License中心之间网络是否连通 √ x 修改云堡垒机网络，确保与License中心网络连通 √ x

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的 云安全 挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的IaaS、PaaS和SaaS类云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。华为云租户的安全责任在于对使用的IaaS、PaaS和SaaS类云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、 虚拟主机 和访客虚拟机的操作系统，虚拟防火墙、API网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题： 安全

操作场景 组织（以下简称Organizations）云服务为企业用户提供多账号关系的管理能力。当您的企业拥有多个分公司、部门或者不同的业务应用，通过Organizations服务，企业可以在云上构建符合自身管理和工作方式的多层级资源结构，同时将多个分散的华为云账号，纳入到构建的多层级组织单元中，实现对多账号的集中和结构化管理。 本章节为您介绍创建组织、组织单元以及邀请账号加入组织的操作，指导您使用组织对多账号进行结构化管理。

准备工作 注册华为账号 并开通华为云且完成企业实名认证。 打开华为云官网，单击“注册”。 根据提示信息完成注册，详细操作请参见“注册华为账号并开通华为云”。 注册成功后，系统会自动跳转至您的个人信息界面。 参考企业账号如何完成实名认证，完成企业账号实名认证。 开通企业中心并成为企业主账号。 如果您想创建组织，则需先开通企业中心并成为企业主账号。 进入“企业中心”控制台。 单击“免费开通”，进入申请开通企业中心页面。 勾选“我已阅读并同意《华为云企业管理服务使用声明》”，并单击“免费开通”。 开通后您将自动成为企业主账号。 为账号充值。 Organizations服务为免费服务，使用Organizations服务的相关功能不收取任何费用。 但当您的账号因欠费受限冻结后，将无法在Organizations控制台执行任何写操作，因此您需要确保账号有足够的余额，避免因账号欠费冻结而无法使用Organizations服务的相关功能，如何充值请参见账户充值。

步骤二：创建组织单元 您可以按各种维度（例如业务范围、账号所有者或账号使用环境）对账号进行分组，相同分组的账号可以使用组织单元（Organizational Units，以下简称OU）进行归类和结构化管理。如下步骤以一个简单的示例来说明如何创建多层级OU，OU最深可嵌套至5层。 在Organizations控制台的“组织管理”页面中，选中根OU（Root），单击“添加”，然后单击“添加组织单元”。 在弹窗中填写OU名称，此处填写“OU1”，单击“确定”完成OU创建。 选中组织单元“OU1”，参考以上步骤，为“OU1”创建子组织单元“OU2”和“OU3”。最终组织结构如下图所示。

步骤三：邀请账号加入组织 此时您已拥有一个组织，且已搭建简单的组织结构，现在可以开始向其中填充账号，本步骤以邀请账号加入组织为例进行说明。您还可以在组织中直接创建新账号加入组织，具体请参见创建账号。 邀请其他成员账号加入组织，要求成员账号需要完成企业或个人实名认证，详情参见：实名认证。 邀请加入组织的成员账号，原财务关系不会调整，保留原有企业主子账号之间的财务模式。 在Organizations控制台的“组织管理”页面中，单击“添加”，然后单击“添加账号”。 在弹窗中输入邀请账号的账号名，例如“Account-1”。单击“确定”，向该账号发出加入组织的邀请。 登录Account-1账号，进入Organizations控制台，单击“接受”，账号Account-1成功加入组织。 参考以上步骤邀请多个账号加入组织。

步骤四：移动账号 邀请进入组织的成员账号会默认放置到根OU（Root）中，登录到组织管理账号后，您可以将组织内的账号移动到其他的OU中，对账号进行分组管理。 使用组织管理账号登录华为云控制台。 进入Organizations控制台的“组织管理”页面，选中要移动的账号，单击“管理”，然后单击“移动账号”。 在弹窗中选中要移动的目标组织单元，例如OU2，在下方文本框中输入“确认”，然后单击“确定”，完成账号移动。 参考以上步骤将其他账号移动至目标组织单元。

系统委托说明 由于ASM在运行中对存储、网络以及监控等各类云服务资源都存在依赖关系，因此当您首次登录ASM控制台时，ASM将自动请求获取当前区域下的云资源权限，从而更好地为您提供服务。服务权限包括： CCE服务 ASM网格基于用户的CCE集群启用网格并提供流量治理能力，因此需要获取CCE集群的权限。 网络类服务 ASM网格支持网格中配置入口网关，发布为对外访问的服务，因此需要获取访问虚拟私有云、弹性负载均衡等服务的权限。 容器与监控类服务 ASM网格支持应用指标上报功能，需要获取访问应用管理服务的权限。

负载级别配置拦截IP网段 通过配置业务deployment文件，可以在负载级别配置IP网段拦截： 执行kubectl edit deploy –n user_namespace user_deployment 1. 在deployment.spec.template.metadata.annotations中配置IP网段拦截traffic.sidecar.istio.io/includeOutboundIPRanges： 2. 在deployment.spec.template.metadata.annotations中配置IP网段不拦截traffic.sidecar.istio.io/excludeOutboundIPRanges： 上述操作会导致业务容器滚动升级。

操作场景 Istio 为实现服务网格的透明化流量治理，Sidecar默认拦截所有出入流量， 这种设计确保了流量治理无死角、业务零侵入和安全可信。但这种默认拦截机制在实际应用场景下也会带来一些问题： 所有流量都经过Sidecar代理，会导致Sidecar的资源占用（内存、CPU）较高，严重时可能导致业务pod重启甚至服务雪崩。 某些场景下需要直接访问外部服务（如数据库连接池），不能使用默认拦截机制。 因此本章将介绍如何精细化配置流量拦截规则，以解决Istio的默认拦截机制在实际应用场景下的问题。

负载级别指定端口配置出入流量拦截 通过修改业务deployment文件，可以在负载级别配置端口上的出入流量拦截规则： 执行kubectl edit deploy –n user_namespace user_deployment 1. 在deployment.spec.template.metadata.annotations中配置入流量指定端口不拦截traffic.sidecar.istio.io/excludeInboundPorts： 2. 在deployment.spec.template.metadata.annotations中配置入流量指定端口拦截traffic.sidecar.istio.io/includeInboundPorts： 3. 在deployment.spec.template.metadata.annotations中配置出流量指定端口不拦截traffic.sidecar.istio.io/excludeOutboundPorts： 4. 在deployment.spec.template.metadata.annotations中配置出流量指定端口拦截traffic.sidecar.istio.io/includeOutboundPorts： 上述操作会导致业务容器滚动升级。

约束与限制 调度到CCI的实例的存储类型支持ConfigMap、Secret、EmptyDir、DownwardAPI、Projected、PersistentVolumeClaims几种Volume类型，其中Projected和DownwardAPI类型仅bursting 1.3.25版本及以上支持。 EmptyDir：不支持子路径。 PersistentVolumeClaims：只支持SFS、SFS Turbo 云存储 类型，且只支持使用CSI类型的StorageClass。volcano调度器不支持调度所有云存储类型。 Projected：如配置了serviceAccountToken类型的source，那么弹性到CCI后挂载的会是对应service-account-token secret中的token，该token为长期有效的token且没有预期受众，即expirationSeconds和audience两项配置不会生效。

负载Hostpath配置方式 操作场景 在使用CCE或者其他K8s集群时，用户使用HostPath类型存储。但CCI是共享集群，不开放HostPath能力，因此使用HostPath的Pod通过bursting弹到CCI时，会被拦截。如无法改变Pod spec.volumes中配置的HostPath，可通过配置Annotation的形式，允许让使用HostPath的Pod弹性到CCI上，bursting在校验时需要去掉Pod中的HostPath或者将HostPath替换为emptyDir。 约束与限制 EmptyDir的sizeLimit需为1Gi的整数倍，且不能大于Pod CPU核数的10倍。 LocalDir和flexVolume当前暂不支持。 操作步骤 通过在Pod.Annotations中加入注解可以做到hostPath转emptydir。 单个hostPath替换为emptyDir配置方式： "coordinator.cci.io/hostpath-replacement": '[{"name":"source-hostpath-volume-3","policyType":"replaceByEmptyDir","emptyDir":{"sizeLimit":"10Gi"}}]' 单个hostPath忽略： "coordinator.cci.io/hostpath-replacement": '[{"name":"source-hostpath-volume-1","policyType":"remove"}]' 全部HostPath都忽略： "coordinator.cci.io/hostpath-replacement": '[{"name":"*","policyType":"remove"}]' 多个HostPath差异化替换策略： "coordinator.cci.io/hostpath-replacement": '[{"name":"source-hostpath-volume-1","policyType":"remove"},{"name":"source-hostpath-volume-3","policyType":"replaceByEmptyDir","emptyDir":{"sizeLimit":"10Gi"}}]' 对于path为/etc/localtime的HostPath存储，会被单个HostPath替换的策略（策略name为具体的volume name）替换，不会被全部HostPath替换的策略（策略name为"*"）替换。 参考deployment yaml示例： apiVersion: apps/v1 kind: Deployment metadata: annotations: description: '' labels: virtual-kubelet.io/burst-to-cci: enforce appgroup: '' version: v1 name: test namespace: default spec: replicas: 2 selector: matchLabels: app: test version: v1 template: metadata: labels: app: test version: v1 annotations: coordinator.cci.io/hostpath-replacement: '[{"name": "test-log2", "policyType": "remove"}, {"name": "test-log", "policyType": "replaceByEmptyDir", "emptyDir":{"sizeLimit":"10Gi"}}, {"name": "test-log1", "policyType": "remove" }]' spec: containers: - name: container-1 image: nginx imagePullPolicy: IfNotPresent resources: requests: cpu: 250m memory: 512Mi limits: cpu: 250m memory: 512Mi volumeMounts: - name: test-log mountPath: /tmp/log - name: test-log1 mountPath: /tmp/log1 - name: test-log2 mountPath: /tmp/log2 volumes: - hostPath: path: /var/paas/sys/log/virtual-kubelet type: "" name: test-log - hostPath: path: /var/paas/sys/log type: "" name: test-log1 - hostPath: path: /var/paas/sys/log2 type: "" name: test-log2

支持的存储类型 用户在配置负载存储类型时，CCE的console有如下选项。 弹性CCI的负载对存储类型的支持情况如下： volume类型 是否支持 特殊场景说明 HostPath 否 CCI是共享集群，不直接开放HostPath能力。 1.5.9及以上版本可支持配置path为/etc/localtime的HostPath存储，配置后CCI侧容器中挂载的时区将会与CCE节点的时区一致。 ConfigMap 是 - Secret 是 - EmptyDir 是 挂载EmptyDir不支持子路径。 EmptyDir的sizeLimit需为1Gi的整数倍，且不能大于Pod CPU核数的10倍。 DownwardAPI 是 - Projected 是 如配置了serviceAccountToken类型的source，弹性到CCI后会挂载对应service-account-token secret中的token，该token为长期有效，且token没有预期受众，即expirationSeconds和audience两项配置不会生效。 PersistentVolumeClaims 是 只支持SFS、SFS Turbo云存储类型，且只支持使用CSI类型的StorageClass。

使用SWR拉取用户业务镜像 方式一：通过console选取SWR镜像 用户镜像上传SWR。使用方式请参考：SWR官方文档。 在华为云CCE控制台创建负载选择镜像。 对接到SWR中的镜像。请确保您的SWR仓库中已正确上传了镜像，SWR服务使用详情请参见：SWR官方文档。 方式二：通过在CCE集群node选取SWR镜像 登录CCE集群节点。 查看SWR镜像仓库中的镜像地址。 获取镜像地址：swr.***.com/cci-test/nginx:1.0.0.x86_64_test。 配置工作负载yaml。 apiVersion: apps/v1 kind: Deployment metadata: name: test namespace: default labels: virtual-kubelet.io/burst-to-cci: 'auto' # 弹性到CCI spec: replicas: 2 selector: matchLabels: app: test template: metadata: labels: app: test spec: containers: - image: swr.***.com/cci-test/nginx:1.0.0.x86_64_test name: container-0 resources: requests: cpu: 250m memory: 512Mi limits: cpu: 250m memory: 512Mi volumeMounts: [] imagePullSecrets: - name: default-secret 部署工作负载。 kubectl apply -f dep.yaml

约束与限制 metrics-server无法采集到通过bursting插件弹性到CCI 2.0上的Pod的监控数据，可能会影响HPA工作。如果HPA无法正常工作，请参考弹性伸缩进行处理。 从CCE bursting弹到CCI 2.0的pod，与从CCI 2.0前端或API创建的pod，如非必要，命名空间和pod名请勿同时重复，这将导致CCI 2.0侧的pod监控数据异常。从CCE侧查看pod的监控不受影响。

响应示例 状态码：201 Created { "traffic_mirror_session" : { "name" : "test-session", "created_at" : "2023-03-23T10:53:12.000+00:00", "updated_at" : "2023-03-23T10:53:12.000+00:00", "id" : "16538eda-7e94-4b90-b5f3-a653f62dc817", "project_id" : "7365fcd452924e398ec4cc1fe39c0d12", "description" : "", "traffic_mirror_filter_id" : "b765ba87-c0b4-4f1a-9ec3-d5b1d1ddb137", "traffic_mirror_sources" : [ "6134900d-31a6-4b71-8453-dbca7f26982a" ], "traffic_mirror_target_id" : "c9f8acef-d550-4fbe-be7c-e8bfd3501dc1", "traffic_mirror_target_type" : "eni", "virtual_network_id" : 1, "packet_length" : 96, "priority" : 11, "enabled" : true, "type" : "eni" }, "request_id" : "9a880225-1d2f-461e-8d8e-1866bfda77db" }

请求示例 创建流量镜像会话，命名为test-session POST http://{endpoint}/v3/{project_id}/vpc/traffic-mirror-sessions { "traffic_mirror_session" : { "name" : "test-session", "traffic_mirror_filter_id" : "b765ba87-c0b4-4f1a-9ec3-d5b1d1ddb137", "traffic_mirror_sources" : [ "6134900d-31a6-4b71-8453-dbca7f26982a" ], "traffic_mirror_target_id" : "c9f8acef-d550-4fbe-be7c-e8bfd3501dc1", "traffic_mirror_target_type" : "eni", "priority" : 11 } }

响应示例 状态码：200 OK { "traffic_mirror_filter" : { "id" : "59d2b2e7-0d35-41f7-a12e-f7699366cd21", "project_id" : "49a42f378df747bf8b8f6a70e25b63fb", "name" : "test1", "description" : "new_filter", "ingress_rules" : [ ], "egress_rules" : [ ], "created_at" : "2022-08-29T06:22:01.000+00:00", "updated_at" : "2022-08-29T06:22:01.000+00:00" }, "request_id" : "f05abcd9-fa75-43a5-a795-b3d8e8b7a9e9" }

URI GET /v3/{project_id}/vpc/vpcs 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID。 获取方式请参见获取项目ID。 表2 Query参数 参数 是否必选 参数类型 描述 limit 否 Integer 功能说明：每页返回的个数。 取值范围：0-2000。 marker 否 String 功能说明：分页查询起始的资源ID，为空时查询第一页。 id 否 Array of strings 功能说明：VPC资源ID，可以使用该字段过滤VPC。 name 否 Array of strings 功能说明：VPC的name信息，可以使用该字段过滤VPC。 description 否 Array of strings 功能说明：VPC的描述信息，可以使用该字段过滤VPC。 cidr 否 Array of strings 功能说明：VPC的CIDR，可以使用该字段过滤VPC。

请求示例 查询VPC列表。 GET https://{Endpoint}/v3/{project_id}/vpc/vpcs 使用ID过滤查询VPC列表。 GET https://{Endpoint}/v3/{project_id}/vpc/vpcs?id=01ab4be1-4447-45fb-94be-3ee787ed4ebe&id=02cd5ef2-4447-36fb-75be-3ee787ed6adf 使用name过滤查询VPC列表。 GET https://{Endpoint}/v3/{project_id}/vpc/vpcs?name=vpc-test 分页查询VPC列表。 GET https://{Endpoint}/v3/{project_id}/vpc/vpcs?limit=2&marker=01ab4be1-4447-45fb-94be-3ee787ed4ebe

响应示例 状态码：200 GET操作正常返回，更多状态码请参见状态码。 { "request_id" : "9c1838ba498249547be43dd618b58d27", "vpcs" : [ { "id" : "01da5a65-0bb9-4638-8ab7-74c64e24a9a7", "name" : "API-PERF-TEST-14bd44c121", "description" : "", "cidr" : "192.168.0.0/16", "extend_cidrs" : [ ], "status" : "ACTIVE", "project_id" : "087679f0aa80d32a2f4ec0172f5e902b", "enterprise_project_id" : "0", "tags" : [ ], "created_at" : "2020-06-16T02:32:18Z", "updated_at" : "2020-06-16T02:32:18Z", "cloud_resources" : [ { "resource_type" : "routetable", "resource_count" : 1 }, { "resource_type" : "virsubnet", "resource_count" : 0 } ] }, { "id" : "43fd79b0-f7d7-4e9b-828b-2d4d7bfae428", "name" : "API-PERF-TEST_m2n33", "description" : "", "cidr" : "192.168.0.0/16", "extend_cidrs" : [ ], "status" : "ACTIVE", "project_id" : "087679f0aa80d32a2f4ec0172f5e902b", "enterprise_project_id" : "0", "tags" : [ ], "created_at" : "2020-06-15T06:29:40Z", "updated_at" : "2020-06-15T06:29:41Z", "cloud_resources" : [ { "resource_type" : "routetable", "resource_count" : 1 }, { "resource_type" : "virsubnet", "resource_count" : 1 } ] }, { "id" : "5ed053ba-b46c-4dce-a1ae-e9d8a7015f21", "name" : "API-PERF-TEST-c34b1c4b12", "description" : "", "cidr" : "192.168.0.0/16", "extend_cidrs" : [ ], "status" : "ACTIVE", "project_id" : "087679f0aa80d32a2f4ec0172f5e902b", "enterprise_project_id" : "0", "tags" : [ ], "created_at" : "2020-06-16T02:32:33Z", "updated_at" : "2020-06-16T02:32:33Z", "cloud_resources" : [ { "resource_type" : "routetable", "resource_count" : 1 }, { "resource_type" : "virsubnet", "resource_count" : 0 } ] } ], "page_info" : { "previous_marker" : "01da5a65-0bb9-4638-8ab7-74c64e24a9a7", "current_count" : 3 } }

请求示例 更新id为2be868f2-f7c9-48db-abc0-eea0b9105b0d的辅助弹性网卡，更新关联的安全组列表。 PUT https://{Endpoint}/v3/8c6fb137a48a428aaf9a0229dca4edb3/vpc/sub-network-interfaces/2be868f2-f7c9-48db-abc0-eea0b9105b0d { "sub_network_interface" : { "security_groups" : [ "6727c950-9f01-47a2-a7aa-7d3686c4c95b" ], "allowed_address_pairs" : [ { "ip_address" : "1.1.1.1/0" } ] } }

响应示例 状态码：200 PUT操作正常返回，更多状态码请参见状态码。 { "sub_network_interface" : { "id" : "4c2b455a-4c75-4c4d-bada-727be4d0f7b5", "project_id" : "6b32266bded64091a138e9ec19cff361", "virsubnet_id" : "3c15c3b0-0df4-4115-9c18-e67a8a0d7702", "private_ip_address" : "192.168.0.160", "ipv6_ip_address" : null, "mac_address" : "fa:16:3e:26:7e:1e", "parent_device_id" : "285b2e45-2968-4f4c-8992-54e0d4c8da1d", "security_enabled" : false, "security_groups" : [ ], "allowed_address_pairs" : [ ], "vpc_id" : "c10e1e02-9db2-4bd0-89ef-52536952627e", "instance_id" : "", "instance_type" : "", "description" : "aaa", "parent_id" : "00336617-4552-48c5-9856-f539f4e9aca2", "vlan_id" : 3413, "state" : null, "tags" : [ ], "scope" : "center", "created_at" : "2025-02-10T08:21:16Z" }, "request_id" : "d346a69661d82c7b14bdc7ac0cd62cbd" }

URI GET /v3/{project_id}/vpc/address-groups 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID。 获取方式请参见获取项目ID。 表2 Query参数 参数 是否必选 参数类型 描述 limit 否 Integer 功能说明：每页返回的个数。 取值范围：0~2000。 marker 否 String 分页查询起始的资源ID，为空时查询第一页。 id 否 Array of strings 地址组唯一标识，填写后接口按照id进行过滤，支持多ID同时过滤。 name 否 Array of strings 地址组名称，填写后按照名称进行过滤，支持多名称同时过滤。 ip_version 否 Integer 功能说明：IP地址组ip版本，填写后按照ip版本进行过滤。 取值范围：4、6。 description 否 Array of strings 地址组描述信息，填写后按照地址组描述信息过滤，支持多描述同时过滤。 enterprise_project_id 否 String 功能说明：企业项目ID。可以使用该字段过滤某个企业项目下的IP地址组。 取值范围：最大长度36字节，带“-”连字符的UUID格式，或者是字符串“0”。“0”表示默认企业项目。若需要查询当前用户所有企业项目绑定的IP地址组，请传参all_granted_eps。 最大长度：36

响应示例 状态码：200 GET操作正常返回，更多状态码请参见状态码。 { "address_groups" : [ { "id" : "dd18a501-fcd5-4adc-acfe-b0e2384baf08", "name" : "AutoTester746010.580123789", "tenant_id" : "b2782e6708b8475c993e6064bc456bf8", "ip_version" : 4, "max_capacity" : 20, "ip_set" : [ "192.168.5.0/24", "192.168.3.20-192.168.3.100", "192.168.3.40", "192.168.3.2" ], "ip_extra_set" : [ { "ip" : "192.168.5.0/24", "remarks" : null }, { "ip" : "192.168.3.20-192.168.3.100", "remarks" : null }, { "ip" : "192.168.3.40", "remarks" : null }, { "ip" : "192.168.3.2", "remarks" : null } ], "enterprise_project_id" : "0aad99bc-f5f6-4f78-8404-c598d76b0ed2", "created_at" : "2019-06-28T02:06:38.000+00:00", "updated_at" : "2019-06-28T02:06:38.000+00:00", "description" : "test", "status" : "NORMAL", "status_message" : "" } ], "page_info" : { "previous_marker" : "dd18a501-fcd5-4adc-acfe-b0e2384baf08", "current_count" : 1 }, "request_id" : "e51fa17c-3259-4122-afb1-9c03d4ef5408" }

响应示例 状态码：200 OK { "traffic_mirror_filter_rule" : { "created_at" : "2023-02-23T16:08:45.000+00:00", "updated_at" : "2023-02-23T16:17:12.000+00:00", "id" : "2230d5a2-1868-4264-b917-0e06fa132898", "project_id" : "7365fcd452924e398ec4cc1fe39c0d12", "description" : 123, "traffic_mirror_filter_id" : "417d7317-6c17-4428-a0f3-997d3e2293a0", "direction" : "ingress", "protocol" : "TCP", "ethertype" : "IPv4", "source_cidr_block" : "8.8.8.8/32", "destination_cidr_block" : "9.9.9.9/32", "destination_port_range" : "10-65535", "action" : "accept", "priority" : 20 }, "request_id" : "ca9682cf-0680-469f-bb04-5b0f17b075d0" }

URI GET /v3/{project_id}/vpc/traffic-mirror-filter-rules/{traffic_mirror_filter_rule_id} 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID。 获取方式请参见获取项目ID。 traffic_mirror_filter_rule_id 是 String 流量镜像筛选规则ID