华为云用户手册

响应参数 状态码：200 表2 响应Body参数 参数 参数类型 描述 tags Array of ResourceTag objects tag对象列表 request_id String 请求ID 表3 ResourceTag 参数 参数类型 描述 key String 功能说明：标签键。 约束：同一资源的key值不能重复。 取值范围：1-128个字符。 最小长度：1 最大长度：128 value String 功能说明：标签值。 取值范围：0-255个字符。 最大长度：255 状态码：400 表4 响应Body参数 参数 参数类型 描述 request_id String 请求ID。 error_msg String 错误消息。 error_code String 错误码。 状态码：401 表5 响应Body参数 参数 参数类型 描述 request_id String 请求ID。 error_msg String 错误消息。 error_code String 错误码。 状态码：403 表6 响应Body参数 参数 参数类型 描述 request_id String 请求ID。 error_msg String 错误消息。 error_code String 错误码。 状态码：404 表7 响应Body参数 参数 参数类型 描述 request_id String 请求ID。 error_msg String 错误消息。 error_code String 错误码。 状态码：500 表8 响应Body参数 参数 参数类型 描述 request_id String 请求ID。 error_msg String 错误消息。 error_code String 错误码。

响应示例 { "port": { "id": "a7d98f3c-b42f-460b-96a1-07601e145961", "name": "port-test", "status": "DOWN", "admin_state_up": true, "fixed_ips": [], "mac_address": "fa:16:3e:01:f7:90", "network_id": "00ae08c5-f727-49ab-ad4b-b069398aa171", "tenant_id": "db82c9e1415a464ea68048baa8acc6b8", "project_id": "db82c9e1415a464ea68048baa8acc6b8", "device_id": "", "device_owner": "", "security_groups": [ "d0d58aa9-cda9-414c-9c52-6c3daf8534e6" ], "extra_dhcp_opts": [], "allowed_address_pairs": [], "binding:vnic_type": "normal", "binding:vif_details": {}, "binding:profile": {}, "port_security_enabled": true, "created_at": "2018-09-20T01:45:26", "updated_at": "2018-09-20T01:45:26" } }

响应参数 表6 响应参数 参数名称 类型 说明 port port object ports信息，参见表7。 表7 port对象 属性 类型 说明 id String 端口的ID，最大长度不超过255 【使用说明】在查询端口列表时非必选 name String 端口的名称 network_id String 所属网络的ID admin_state_up Boolean 管理状态 【使用说明】默认为true mac_address String 端口MAC地址，例如："mac_address": "fa:16:3e:9e:ff:55" 【使用说明】只支持系统动态分配，不支持指定 fixed_ips Array of fixed_ip objects 端口IP，参见表8。例如："fixed_ips": [{"subnet_id": "4dc70db6-cb7f-4200-9790-a6a910776bba", "ip_address": "192.169.25.79"}]， "fixed_ips": [{"subnet_id": "1fd001aa-6946-4168-86d9-924c7d3ef8fb", "ip_address": "2a07:b980:4030:14::1"}] device_id String 设备ID 【使用说明】不支持设置和更新，由系统自动维护，该字段非空的端口不允许删除 device_owner String 设备所属（DHCP/Router/ Nova等） 【取值范围】network:dhcp，network:router_interface_distributed，compute:xxx(xxx对应具体的可用区名称，例如compute:aa-bb-cc表示是被可用区aa-bb-cc上的E CS 使用)，neutron:VIP_PORT，neutron:LOADBALANCERV2，neutron:LOADBALANCERV3，network:endpoint_interface，network:nat_gateway, network:ucmp 【使用说明】不支持更新，只允许用户在创建虚拟IP端口时，为虚拟IP端口设置device_owner为neutron:VIP_PORT，当端口的该字段不为空时，仅支持该字段为neutron:VIP_PORT时的端口删除。 该字段非空的端口不允许删除。 tenant_id String 项目ID status String 端口状态，可以为ACTIVE，BUILD，DOWN； 【使用说明】Hana硬直通虚拟机端口状态总为DOWN security_groups Array of strings 扩展属性：安全组的UUID，例如："security_groups": ["a0608cbf-d047-4f54-8b28-cd7b59853fff"] 【使用说明】不支持更新为空。 allowed_address_pairs Array of allowed_address_pairs objects 扩展属性：IP/Mac对列表，allow_address_pair参见表9 【使用说明】 IP地址不允许为 “0.0.0.0/0” 如果allowed_address_pairs配置地址池较大的CIDR（掩码小于24位），建议为该port配置一个单独的安全组 如果allowed_address_pairs的IP地址为“1.1.1.1/0”，表示关闭源目的地址检查开关 硬件SDN环境不支持ip_address属性配置为CIDR格式 为虚拟IP配置后端ECS场景，allowed_address_pairs中配置的IP地址，必须为ECS网卡已有的IP地址，否则可能会导致虚拟IP通信异常 被绑定的云服务器网卡allowed_address_pairs的IP地址填“1.1.1.1/0”。 extra_dhcp_opts Array of extra_dhcp_opt objects 扩展属性：DHCP的扩展Option，参见表10 binding:vif_details binding:vif_details object vif的详细信息，参见表11 binding:profile Object 功能说明：扩展属性，提供用户设置自定义信息。 使用说明： internal_elb字段，布尔类型，普通租户可见。只有在创建内网ELB的虚拟IP的网卡时设置为true。普通租户没有权限更改该字段，由系统维护。【举例】 {"internal_elb": true} disable_security_groups字段，布尔类型，普通租户可见。默认为false高性能通信场景下，允许指定为true普通租户可见。仅支持创建port和读取时指定。当前仅支持指定为true，不支持指定为false。 【举例】 {"disable_security_groups"：true } 当前仅支持指定为true，不支持指定为false，指定为true时，FWaaS功能不生效。 仅对于“华北-北京二”：udp_srvports和tcp_srvports，字段，字符串类型，默认不设置udp_srvports和tcp_srvports字段。允许指定udp_srvports和tcp_srvports字段为端口号，表示这些端口的tcp报文和udp报文可支持高并发连接，但是此类报文不受ACL和安全组规则的限制。udp_srvports和tcp_srvports字段同时支持更新操作。 【格式】 {"tcp_srvports": "port1 port2 port3", "udp_srvports": "port1 port2 port3"} 端口号之间以空格间隔，最多允许指定的端口号总共为15个，端口号范围是1到65535。 【示例】 {"tcp_srvports": "80 443", "udp_srvports": "53"} 示例表示入方向目的端口为80或者443的tcp报文可支持高并发连接。入方向目的端口为53的udp报文可支持高并发连接。但是此类报文不受ACL和安全组规则的限制。 binding:vnic_type String 绑定的vNIC类型 normal: 软交换 port_security_enabled Boolean 端口安全使能标记，如果不使能则安全组和dhcp防欺骗不生效 dns_assignment Array of dns_assignment objects 扩展属性：主网卡默认内网 域名 信息 【使用说明】不支持设置和更新，由系统自动维护 hostname：与端口dns_name一致 ip_address：端口ipv4私有地址 fqdn：为端口创建默认内网fqdn dns_name String 扩展属性：主网卡默认内网DNS名称 【使用说明】不支持设置和更新，由系统自动维护，访问该默认内网域名前，请确保子网使用当前系统提供的DNS project_id String 项目ID，请参见获取项目ID。 created_at String 资源创建时间，UTC时间 格式yyyy-MM-ddTHH:mm:ss updated_at String 资源更新时间，UTC时间 格式yyyy-MM-ddTHH:mm:ss 表8 fixed_ip对象 属性 类型 说明 subnet_id String 所属子网ID 【使用说明】不支持更新 ip_address String 端口IP地址 【使用说明】不支持更新 表9 allowed_address_pairs对象 属性 类型 说明 ip_address String IP地址 【使用说明】不支持0.0.0.0/0 mac_address String MAC地址 表10 extra_dhcp_opt对象 属性 类型 说明 opt_name String Option名称 opt_value String Option值 表11 binding:vif_details对象 名称 参数类型 说明 primary_interface Boolean 取值为true，表示是虚拟机的主网卡。 port_filter Boolean 表示该网络服务提供端口过滤特性，如安全组和反MAC/IP欺骗。 ovs_hybrid_plug Boolean 用于通知像nova这样的API消费者，应该使用OVS的混合插入策略。 表12 dns_assignment对象 名称 参数类型 说明 hostname String 端口hostname。 ip_address String 端口IP地址。 fqdn String 端口内网fqdn。

请求示例 创建端口，所在network id为00ae08c5-f727-49ab-ad4b-b069398aa171，命名为port-test。 POST https://{Endpoint}/v2.0/ports { "port": { "admin_state_up": true, "network_id": "00ae08c5-f727-49ab-ad4b-b069398aa171", "name": "port-test" } }

请求参数 表1 请求参数 参数名称 类型 必选 说明 port port object 是 port对象列表，参见表2。 表2 port对象 属性 是否必选 类型 说明 name 否 String 端口的名称 network_id 是 String 功能说明：端口所属网络的ID。 约束：必须是存在的网络ID。 说明： 网络ID的获取方式： 方法1：登录虚拟私有云服务的控制台界面，单击VPC下的子网，进入子网详情页面，查找网络ID。 方法2：通过虚拟私有云服务的API接口查询，具体操作可参考查询子网列表 admin_state_up 否 Boolean 管理状态 【使用说明】默认为true fixed_ips 否 Array of fixed_ip objects 端口IP，参见表3。例如："fixed_ips": [{"subnet_id": "4dc70db6-cb7f-4200-9790-a6a910776bba", "ip_address": "192.169.25.79"}]， "fixed_ips": [{"subnet_id": "1fd001aa-6946-4168-86d9-924c7d3ef8fb", "ip_address": "2a07:b980:4030:14::1"}] security_groups 否 Array of strings 扩展属性：安全组的UUID，例如："security_groups": ["a0608cbf-d047-4f54-8b28-cd7b59853fff"] 【使用说明】不支持更新为空。 allowed_address_pairs 否 Array of allowed_address_pairs objects 扩展属性：IP/Mac对列表，allow_address_pair参见表4 【使用说明】 IP地址不允许为 “0.0.0.0/0” 如果allowed_address_pairs配置地址池较大的CIDR（掩码小于24位），建议为该port配置一个单独的安全组 如果allowed_address_pairs的IP地址为“1.1.1.1/0”，表示关闭源目的地址检查开关 硬件SDN环境不支持ip_address属性配置为CIDR格式 为虚拟IP配置后端ECS场景，allowed_address_pairs中配置的IP地址，必须为ECS网卡已有的IP地址，否则可能会导致虚拟IP通信异常 被绑定的云服务器网卡allowed_address_pairs的IP地址填“1.1.1.1/0”。 extra_dhcp_opts 否 Array of extra_dhcp_opt objects 扩展属性：DHCP的扩展Option，参见表5 binding:profile 否 Object 功能说明：扩展属性，提供用户设置自定义信息。 使用说明： internal_elb字段，布尔类型，普通租户可见。只有在创建内网ELB的虚拟IP的网卡时设置为true。普通租户没有权限更改该字段，由系统维护。【举例】 {"internal_elb": true} disable_security_groups字段，布尔类型，普通租户可见。默认为false高性能通信场景下，允许指定为true普通租户可见。仅支持创建port和读取时指定。当前仅支持指定为true，不支持指定为false。 【举例】 {"disable_security_groups"：true } 当前仅支持指定为true，不支持指定为false，指定为true时，FWaaS功能不生效。 仅对于“华北-北京二”：udp_srvports和tcp_srvports，字段，字符串类型，默认不设置udp_srvports和tcp_srvports字段。允许指定udp_srvports和tcp_srvports字段为端口号，表示这些端口的tcp报文和udp报文可支持高并发连接，但是此类报文不受ACL和安全组规则的限制。udp_srvports和tcp_srvports字段同时支持更新操作。 【格式】 {"tcp_srvports": "port1 port2 port3", "udp_srvports": "port1 port2 port3"} 端口号之间以空格间隔，最多允许指定的端口号总共为15个，端口号范围是1到65535。 【示例】 {"tcp_srvports": "80 443", "udp_srvports": "53"} 示例表示入方向目的端口为80或者443的tcp报文可支持高并发连接。入方向目的端口为53的udp报文可支持高并发连接。但是此类报文不受ACL和安全组规则的限制。 binding:vnic_type 否 String 绑定的vNIC类型 【使用说明】normal: 软交换 port_security_enabled 否 Boolean 端口安全使能标记。 取值范围：true，允许加入安全组和开启dhcp防欺骗；false，安全组和dhcp防欺骗不生效。 device_owner 否 String 功能说明：端口设备所属 取值范围：目前只支持指定""和"neutron:VIP_PORT"；neutron:VIP_PORT表示创建的是VIP 表3 fixed_ip对象 属性 是否必选 类型 说明 subnet_id 否 String 所属子网ID 【使用说明】不支持更新 ip_address 否 String 端口IP地址 【使用说明】不支持更新 表4 allowed_address_pairs对象 名称 是否必选 参数类型 说明 ip_address 是 String 功能说明：IP地址。 约束：不支持0.0.0.0/0。 如果allowed_address_pairs配置地址池较大的CIDR（掩码小于24位），建议为该port配置一个单独的安全组。 如果allowed_address_pairs的IP地址为“1.1.1.1/0”，表示关闭源目的地址检查开关。 被绑定的云服务器网卡allowed_address_pairs的IP地址填“1.1.1.1/0”。 如果填写allowed_address_pairs参数，则ip_address是必选参数。 mac_address 否 String MAC地址。默认使用当前端口的MAC地址。 表5 extra_dhcp_opt对象 属性 是否必选 类型 说明 opt_name 否 String Option名称 opt_value 否 String Option值

URI GET /v3/{project_id}/vpc/firewalls 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID。 获取方式请参见获取项目ID。 表2 Query参数 参数 是否必选 参数类型 描述 limit 否 Integer 功能说明：每页返回的个数。 取值范围：0~2000。 marker 否 String 分页查询起始的资源ID，为空时查询第一页。 id 否 Array of strings 功能说明：网络ACL唯一标识，填写后接口按照id进行过滤，支持多id同时过滤。 name 否 Array of strings 功能说明：ACL名称，填写后按照名称进行过滤，支持多名称同时过滤。 status 否 String 功能说明：ACL的状态，填写后按照状态进行过滤。 admin_state_up 否 Boolean 功能说明：ACL管理状态，填写后按照管理状态进行过滤。 enterprise_project_id 否 Array of strings 功能说明：企业项目ID。可以使用该字段过滤某个企业项目下的ACL。 取值范围：最大长度36字节，带“-”连字符的UUID格式，或者是字符串“0”。“0”表示默认企业项目。若需要查询当前用户所有企业项目绑定的ACL，请传参all_granted_eps。

响应示例 状态码：200 GET操作正常返回，更多状态码请参见状态码。 { "firewalls" : [ { "id" : "e9a7731d-5bd9-4250-a524-b9a076fd5629", "name" : "network_acl_test1", "description" : "network_acl_test1", "project_id" : "9476ea5a8a9849c38358e43c0c3a9e12", "created_at" : "2022-04-07T07:30:46.000+00:00", "updated_at" : "2022-04-07T07:30:46.000+00:00", "admin_state_up" : true, "enterprise_project_id" : "158ad39a-dab7-45a3-9b5a-2836b3cf93f9", "status" : "ACTIVE", "tags" : [ ], "associations" : [ { "virsubnet_id" : "8359e5b0-353f-4ef3-a071-98e67a34a143" } ] } ] }

响应示例 { "port": { "id": "791870bd-36a7-4d9b-b015-a78e9b06af08", "name": "port-test", "status": "DOWN", "admin_state_up": true, "fixed_ips": [], "mac_address": "fa:16:3e:01:e0:b2", "network_id": "00ae08c5-f727-49ab-ad4b-b069398aa171", "tenant_id": "db82c9e1415a464ea68048baa8acc6b8", "project_id": "db82c9e1415a464ea68048baa8acc6b8", "device_id": "", "device_owner": "", "security_groups": [ "d0d58aa9-cda9-414c-9c52-6c3daf8534e6" ], "extra_dhcp_opts": [], "allowed_address_pairs": [], "binding:vnic_type": "normal", "binding:vif_details": {}, "binding:profile": {}, "port_security_enabled": true, "created_at": "2018-09-13T01:43:41", "updated_at": "2018-09-13T01:43:41" } }

响应参数 表2 响应参数 参数名称 类型 说明 port port object port对象列表，参见表3。 表3 port对象 属性 类型 说明 id String 功能说明：端口的ID，最大长度不超过255。 使用说明：在查询端口列表时非必选。 name String 端口的名称。 network_id String 所属网络的ID。 admin_state_up Boolean 功能说明：端口的管理状态。 使用说明：默认为true。 mac_address String 功能说明：端口MAC地址，例如："mac_address": "fa:16:3e:9e:ff:55"。 使用说明：只支持系统动态分配，不支持指定。 fixed_ips Array of fixed_ip objects 功能说明：端口IP，参见表4。 例如："fixed_ips": [{"subnet_id": "4dc70db6-cb7f-4200-9790-a6a910776bba", "ip_address": "192.169.25.79"}]， "fixed_ips": [{"subnet_id": "1fd001aa-6946-4168-86d9-924c7d3ef8fb", "ip_address": "2a07:b980:4030:14::1"}]。 device_id String 功能说明：设备ID。 使用说明：不支持设置和更新，由系统自动维护，该字段非空的端口不允许删除。 device_owner String 功能说明：设备所属（DHCP/Router/ Nova等）。 取值范围：network:dhcp，network:router_interface_distributed，compute:xxx(xxx对应具体的可用区名称，例如compute:aa-bb-cc表示是被可用区aa-bb-cc上的ECS使用)，neutron:VIP_PORT，neutron:LOADBALANCERV2，neutron:LOADBALANCERV3，network:endpoint_interface，network:nat_gateway，network:ucmp。 使用说明： 不支持更新，只允许用户在创建虚拟IP端口时，为虚拟IP端口设置device_owner为neutron:VIP_PORT，当端口的该字段不为空时，仅支持该字段为neutron:VIP_PORT时的端口删除。 该字段非空的端口不允许删除。 tenant_id String 项目ID status String 功能说明：端口状态。 取值范围：ACTIVE，BUILD，DOWN。 使用说明：Hana硬直通虚拟机端口状态总为DOWN。 security_groups Array of strings 功能说明：扩展属性，安全组的UUID，例如："security_groups": ["a0608cbf-d047-4f54-8b28-cd7b59853fff"]。 使用说明：不支持更新为空。 allowed_address_pairs Array of allowed_address_pairs objects 功能说明：扩展属性，IP/Mac对列表，allow_address_pair参见表5。 使用说明： IP地址不允许为 “0.0.0.0/0” 如果allowed_address_pairs配置地址池较大的CIDR（掩码小于24位），建议为该port配置一个单独的安全组 如果allowed_address_pairs的IP地址为“1.1.1.1/0”，表示关闭源目的地址检查开关。 硬件SDN环境不支持ip_address属性配置为CIDR格式 为虚拟IP配置后端ECS场景，allowed_address_pairs中配置的IP地址，必须为ECS网卡已有的IP地址，否则可能会导致虚拟IP通信异常。 被绑定的云服务器网卡allowed_address_pairs的IP地址填“1.1.1.1/0”。 extra_dhcp_opts Array of extra_dhcp_opt objects 扩展属性：DHCP的扩展Option，参见表6。 binding:vif_details binding:vif_details object vif的详细信息， 参见表8 binding:profile binding:profile object 功能说明：扩展属性，提供用户设置自定义信息。 使用说明： internal_elb字段，布尔类型，普通租户可见。只有在创建内网ELB的虚拟IP的网卡时设置为true。普通租户没有权限更改该字段，由系统维护。【举例】 {"internal_elb": true} disable_security_groups字段，布尔类型，普通租户可见。默认为false高性能通信场景下，允许指定为true普通租户可见。仅支持创建port和读取时指定。当前仅支持指定为true，不支持指定为false。 【举例】 {"disable_security_groups"：true } 当前仅支持指定为true，不支持指定为false，指定为true时，FWaaS功能不生效。 仅对于“华北-北京二”：udp_srvports和tcp_srvports，字段，字符串类型，默认不设置udp_srvports和tcp_srvports字段。允许指定udp_srvports和tcp_srvports字段为端口号，表示这些端口的tcp报文和udp报文可支持高并发连接，但是此类报文不受ACL和安全组规则的限制。udp_srvports和tcp_srvports字段同时支持更新操作。 【格式】 {"tcp_srvports": "port1 port2 port3", "udp_srvports": "port1 port2 port3"} 端口号之间以空格间隔，最多允许指定的端口号总共为15个，端口号范围是1到65535。 【示例】 {"tcp_srvports": "80 443", "udp_srvports": "53"} 示例表示入方向目的端口为80或者443的tcp报文可支持高并发连接。入方向目的端口为53的udp报文可支持高并发连接。但是此类报文不受ACL和安全组规则的限制。 binding:vnic_type String 功能说明：绑定的vNIC类型。 取值范围： normal: 软交换。 port_security_enabled Boolean 端口安全使能标记。 取值范围：true，允许加入安全组和开启dhcp防欺骗；false，安全组和dhcp防欺骗不生效。 dns_assignment Array of dns_assignment objects 功能说明：扩展属性，主网卡默认内网域名信息。 使用说明：不支持设置和更新，由系统自动维护。 取值范围： hostname：与端口dns_name一致。 ip_address：端口ipv4私有地址。 fqdn：为端口创建默认内网fqdn。 dns_name String 功能说明：扩展属性，主网卡默认内网DNS名称。 使用说明：不支持设置和更新，由系统自动维护，访问该默认内网域名前，请确保子网使用当前系统提供的DNS。 project_id String 项目ID，请参见获取项目ID。 created_at String 功能说明：资源创建时间，UTC时间。 格式：yyyy-MM-ddTHH:mm:ss。 updated_at String 功能说明：资源更新时间，UTC时间。 格式：yyyy-MM-ddTHH:mm:ss。 表4 fixed_ip对象 属性 类型 说明 subnet_id String 功能说明：所属子网ID。 使用说明：不支持更新。 ip_address String 功能说明：端口IP地址。 使用说明：不支持更新。 表5 allowed_address_pairs对象 名称 是否必选 参数类型 说明 ip_address 是 String 功能说明：IP地址。 约束：不支持0.0.0.0/0。 如果allowed_address_pairs配置地址池较大的CIDR（掩码小于24位），建议为该port配置一个单独的安全组。 如果allowed_address_pairs的IP地址为“1.1.1.1/0”，表示关闭源目的地址检查开关。 被绑定的云服务器网卡allowed_address_pairs的IP地址填“1.1.1.1/0”。 如果填写allowed_address_pairs参数，则ip_address是必选参数。 mac_address 否 String MAC地址。默认使用当前端口的MAC地址。 表6 extra_dhcp_opt对象 属性 类型 说明 opt_name String Option名称。 opt_value String Option值。 表7 dns_assignment对象 名称 参数类型 说明 hostname String 端口hostname。 ip_address String 端口IP地址。 fqdn String 端口内网fqdn。 表8 binding:vif_details对象 名称 参数类型 说明 primary_interface Boolean 取值为true，表示是虚拟机的主网卡。 port_filter Boolean 表示该网络服务提供端口过滤特性，如安全组和反MAC/IP欺骗。 ovs_hybrid_plug Boolean 用于通知像nova这样的API消费者，应该使用OVS的混合插入策略。

AK/SK认证 AK/SK签名认证方式仅支持消息体大小在12MB以内，12MB以上的请求请使用Token认证。 AK/SK认证就是使用AK/SK对请求进行签名，在请求时将签名信息添加到消息头，从而通过身份认证。 AK（Access Key ID）：访问密钥ID。与私有访问密钥关联的唯一标识符；访问密钥ID和私有访问密钥一起使用，对请求进行加密签名。 SK（Secret Access Key）：私有访问密钥。与访问密钥ID结合使用，对请求进行加密签名，可标识发送方，并防止请求被修改。 使用AK/SK认证时，您可以基于签名算法使用AK/SK对请求进行签名，也可以使用专门的签名SDK对请求进行签名。详细的签名方法和SDK使用方法请参见API签名指南。 签名SDK只提供签名功能，与服务提供的SDK不同，使用时请注意。

Token认证 Token的有效期为24小时，需要使用一个Token鉴权时，可以先缓存起来，避免频繁调用。 Token在计算机系统中代表令牌（临时）的意思，拥有Token就代表拥有某种权限。Token认证就是在调用API的时候将Token加到请求消息头中，从而通过身份认证，获得操作API的权限。Token可通过调用获取用户Token接口获取。 调用VPC API需要项目级别的Token，即调用获取用户Token接口时，请求body中auth.scope的取值需要选择project，如下所示。 { "auth": { "identity": { "methods": [ "password" ], "password": { "user": { "name": "username", // IAM 用户名 "password": "********", //IAM用户密码 "domain": { "name": "domainname" //IAM用户所属账号名 } } } }, "scope": { "project": { "name": "xxxxxxxx" //项目名称 } } } } 获取Token 后，再调用其他接口时，您需要在请求消息头中添加“X-Auth-Token”，其值即为Token。例如Token值为“ABCDEFG....”，则调用接口时将“X-Auth-Token: ABCDEFG....”加到请求消息头即可，如下所示。 1 2 3 GET https://iam.cn-north-1.myhuaweicloud.com/v3/auth/projects Content-Type: application/json X-Auth-Token: ABCDEFG.... 您还可以通过这个视频教程了解如何使用Token认证：https://bbs.huaweicloud.com/videos/101333。

请求示例 解绑网络ACL e9a7731d-5bd9-4250-a524-b9a076fd5629 和子网 8359e5b0-353f-4ef3-a071-98e67a34a143、d9994dcf-ef6d-47ec-9ac9-a62d4fd5e163。 PUT https://{Endpoint}/v3/{project_id}/vpc/firewalls/e9a7731d-5bd9-4250-a524-b9a076fd5629/disassociate-subnets { "subnets" : [ { "virsubnet_id" : "8359e5b0-353f-4ef3-a071-98e67a34a143" }, { "virsubnet_id" : "d9994dcf-ef6d-47ec-9ac9-a62d4fd5e163" } ] }

响应示例 状态码：200 PUT操作正常返回，更多状态码请参见状态码。 { "firewall" : { "id" : "e9a7731d-5bd9-4250-a524-b9a076fd5629", "name" : "network_acl_test1", "description" : "network_acl_test1", "project_id" : "9476ea5a8a9849c38358e43c0c3a9e12", "created_at" : "2022-04-07T07:30:46.000+00:00", "updated_at" : "2022-04-07T07:30:46.000+00:00", "admin_state_up" : true, "enterprise_project_id" : "158ad39a-dab7-45a3-9b5a-2836b3cf93f9", "status" : "INACTIVE", "tags" : [ ], "ingress_rules" : [ { "id" : "e9a7731d-5bd9-4250-a524-b9a076fd5629", "name" : "network_acl_rule test", "description" : "network_acl_rule test", "action" : "allow", "project_id" : "9476ea5a8a9849c38358e43c0c3a9e12", "protocol" : "tcp", "ip_version" : 4, "source_ip_address" : "192.168.3.0/24", "destination_ip_address" : "192.168.6.0/24", "source_port" : "30-40,60-90", "destination_port" : "40-60,70-90" } ], "egress_rules" : [ { "id" : "f9a7731d-5bd9-4250-a524-b9a076fd5629", "name" : "network_acl_rule test", "description" : "network_acl_rule test", "action" : "allow", "project_id" : "9476ea5a8a9849c38358e43c0c3a9e12", "protocol" : "tcp", "ip_version" : 4, "source_ip_address" : "192.168.3.0/24", "destination_ip_address" : "192.168.6.0/24", "source_port" : "30-40,60-90", "destination_port" : "40-60,70-90" } ], "associations" : [ ] } }

请求参数 表2 请求Body参数 参数 是否必选 参数类型 描述 subnets 是 Array of FirewallAssociation objects 解绑ACL的子网列表。 表3 FirewallAssociation 参数 是否必选 参数类型 描述 virsubnet_id 是 String 功能说明：ACL绑定的子网ID。 约束：ACL的type为normal，只支持绑定普通子网；ACL的type为clouddcn，只支持绑定clouddcn子网。

应用场景分析 SparkPack ERP(SAP Business One)和泛微OA系统需要互通的场景分为以下3类： (1) 数据从ERP同步到泛微OA，比如物料主数据/客户； (2) 数据从泛微OA同步到ERP，比如销售订单/供应商； (3) 单据从ERP同步到泛微OA进行审批，审批完成后，审批结果从OA发送到ERR，更新单据审批状态，比如采购申请。 父主题： SparkPack(B1)和EcologyOA集成

Flexus L实例 权限 默认情况下，新建的IAM用户没有任何权限，您需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 Flexus L实例为全局级服务。授权时，在全局级服务中设置权限，访问Flexus L实例时，不需要切换区域。 表1列出了Flexus L实例的系统策略。 表1 Flexus L实例系统策略 策略名称 描述 策略内容 CORS FullAccess 管理员权限，拥有该权限的用户可以拥有Flexus L实例组合产品中各服务支持的全部权限，包括各服务的创建、删除、查询、变更规格等操作。 CORS FullAccess策略内容 CORS ReadOnlyAccess 普通用户权限，拥有该权限的用户仅可以执行查询操作。 CORS ReadOnlyAccess策略内容

CORS ReadOnlyAccess策略内容 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "cors:*:get", "cors:*:list" ] } ] }

SSH/TELNET协议类型主机会话 表2 Linux运维操作说明 参数 说明 编码 字符协议支持多种编码格式。 复制/粘贴 选中字符，按“Ctrl+C”进行复制，按“Ctrl+V”进行粘贴。 预置命令 对于字符较长，且经常输入的命令，可以提前预置。 终端类型 字符协议支持切换终端类型，包括Linux和Xterm两种类型。 群发键 开启群发可同时对多个会话进行命令输入。 字体大小 设置字体大小：大、中、小。 复制窗口 可复制当前会话窗口。 全屏 可开启窗口全屏。 图6 SSH主机会话窗口

RDP/VNC协议类型主机会话 表3 Windows主机运维操作说明 参数 说明 复制/粘贴 远程文本：选中字符， 需按两次“Ctrl+C”复制，按“Ctrl+V”粘贴。 远程机器文件：选中文本或图像，“Ctrl+B”复制，“Ctrl+G”粘贴。 说明： Web浏览器运维支持复制/粘贴大量字符不乱码，本地到远端最多8万字符，远端到本地最多100万字节。 分辨率 可切换当前操作界面分辨率，切换途中会重新创建连接。 切换鼠标 可分别切换为本地鼠标和远程鼠标。 Windows键 适用于Win快捷键操作。 锁屏键 “Ctrl+Alt+Delete”。 复制窗口 可复制当前会话窗口。 全屏 可开启窗口全屏。 图7 RDP主机会话窗口

约束限制 应用运维仅支持通过Web浏览器方式登录进行运维。 支持复制/粘贴大量字符不乱码，本地到远端最多8万字符，远端到本地最多100万字节。 文件管理 不支持批量编辑文件或文件夹。 文件传输 系统默认支持上传最大100G的单个文件，但实际上传单个文件大小，受“个人网盘空间”大小和使用浏览器限制。 空间不足会导致上传失败，需清理磁盘或扩充磁盘容量。 不支持下载文件夹。 应用运维的目标地址只有“主机网盘”。

操作步骤 使用管理员账号登录服务器。 在服务器中，下载RemoteaProxyInstaller_xxx.zip（xxx为版本号）压缩包。 下载RemoteaProxy2.0.0版本（适配3.3.26-3.3.61.0的 堡垒机 版本） 服务器需要有公网访问权限（绑定弹性EIP）。 在应用服务器中，将RemoteaProxyInstaller_xxx.zip（xxx为版本号）压缩包进行解压。 双击“RemoteaProxyInstaller_xxx.msi”（xxx为版本号）启动安装。 安装时请选择默认的安装路径。 安装完成后，单击“关闭”。

配置SSO单点客户端 以Navicat客户端为例，示例配置客户端路径。 打开本地SsoDBSettings单点登录工具。 图1 单点登录工具界面 在“Navicat路径”栏后，单击路径配置。 根据本地Navicat客户端安装的绝对路径，选中Navicat工具的exe文件后，单击“打开”。 图2 查找本地工具绝对路径 返回SsoDBSettings单点登录工具配置界面，可查看已选择的Navicat客户端路径。 图3 确认配置路径 单击“保存”，返回堡垒机“主机运维”列表页面，即可登录数据库资源。

约束限制 FTP/SFTP协议的运维方式选择主从账号时，该协议资源的登录账户只能选择“登录方式”为“自动登录”的资源账户，且不能是Empty资源账户。 仅FTP、SFTP、SCP协议主机支持通过Web浏览器登录，且登录资源的客户端工具的版本要求如下： 表1 工具支持情况 协议主机 登录资源的客户端工具的版本要求 SFTP协议 Xftp 6及以上、WinSCP 5.14.4及以上、FlashFXP 5.4及以上 FTP协议 Xftp 6及以上、WinSCP 5.14.4及以上、FlashFXP 5.4及以上、FileZilla 3.46.3及以上 表2 客户端运维支持服务器情况 算法类型 SSH客户端运维 Key exchange diffie-hellman-group-exchange-sha256 diffie-hellman-group-exchange-sha1 diffie-hellman-group14-sha1 diffie-hellman-group1-sha1 ecdh-sha2-nistp521 ecdh-sha2-nistp384 ecdh-sha2-nistp256 Encryption aes128-ctr aes192-ctr aes256-ctr aes128-cbc aes192-cbc aes256-cbc 3des-cbc blowfish-cbc arcfour128 arcfour256 HMAC hmac-md5 hmac-md5-96 hmac-sha1 hmac-sha1-96 hmac-sha2-256 hmac-sha2-512 Host Key ssh-rsa ssh-dss rsa-sha2-256 rsa-sha2-512 ecdsa-sha2-nistp256 ecdsa-sha2-nistp384 ecdsa-sha2-nistp521

前提条件 已获取“主机运维”模块管理权限。 已获取资源访问控制权限，即已被关联访问控制策略或访问授权工单已审批通过。 已在本地安装客户端工具。 资源主机网络连接正常，且资源账户登录账号和密码无误。 已在端口配置中打开FTP开关，开放2222（SFTP协议端口）、2121（FTP协议端口），具体操作详见配置系统运维端口。 FTP/SFTP协议的运维方式选择客户端时，已在本地完成配置SSO单点客户端。

开放端口要求 为避免网络故障或网络配置问题影响登录系统，请管理员优先检查网络ACL配置是否允许访问堡垒机，并参考表1配置实例安全组。 堡垒机跨版本升级会自动开放80、8080、443、2222共四个端口，升级完成后若不需要使用请第一时间关闭。 堡垒机主备实例跨版本升级还会自动开放22、31036、31679、31873共四个端口，升级完成后保持31679开放即可，其余端口若不需要使用请第一时间关闭。 表1 入/出方向规则配置参考 场景描述 方向 协议/应用 端口 通过Web浏览器登录堡垒机（HTTP、HTTPS） 入方向 TCP 80、443、8080 通过MSTSC客户端登录堡垒机 入方向 TCP 53389 通过SSH客户端登录堡垒机 入方向 TCP 2222 通过FTP客户端登录堡垒机 入方向 TCP 2121、20000-21000 通过SFTP客户端登录堡垒机 入方向 TCP 2222 通过堡垒机的SSH协议远程访问Linux云服务器 出方向 TCP 22 通过堡垒机的RDP协议远程访问Windows云服务器 出方向 TCP 3389 通过堡垒机访问Oracle数据库 入方向 TCP 1521 通过堡垒机访问Oracle数据库 出方向 TCP 1521 通过堡垒机访问MySQL数据库 入方向 TCP 33306 通过堡垒机访问MySQL数据库 出方向 TCP 3306 通过堡垒机访问SQL Server数据库 入方向 TCP 1433 通过堡垒机访问SQL Server数据库 出方向 TCP 1433 通过堡垒机访问DB数据库 入方向 TCP 50000 通过堡垒机访问DB数据库 出方向 TCP 50000 通过堡垒机访问 GaussDB数据库 入方向 TCP 18000 通过堡垒机访问 GaussDB 数据库 出方向 TCP 8000，18000 License注册许可服务器 出方向 TCP 9443 华为云服务 出方向 TCP 443 同一安全组内通过SSH客户端登录堡垒机 出方向 TCP 2222 短信服务 出方向 TCP 10743、443 DNS域名解析 出方向 UDP 53 通过堡垒机访问PGSQL数据库 入方向 TCP 15432 通过堡垒机访问PGSQL数据库 出方向 TCP 5432 通过堡垒机访问DM数据库 入方向 TCP 15236 通过堡垒机访问DM数据库 出方向 TCP 5236

登录方式 用户账号配置多因子认证后，静态密码登录方式失效。 表2 登录方式说明 登录方式 登录说明 静态密码 输入用户登录名和密码。 手机短信 输入用户登录名和密码，单击“获取验证码”，并输入短信验证码。 手机令牌 输入用户登录名和密码，并输入手机令牌的动态验证码（每隔一段时间就会变化）。 USBKey 接入并选择已签发的USBKey，并输入对应的PIN码。 动态令牌 输入用户登录名和密码，并输入动态令牌的动态口令（每隔一段时间就会变化）。 邮箱认证 输入用户登录名和密码，并输入邮箱验证码（单次邮箱验证码有效期为120秒）。

认证类型 AD域、RADIUS、LDAP、Azure AD、SAML远程认证使用远程服务上的已有用户密码。 表3 认证类型说明 认证类型 认证说明 本地认证 用户登录密码为系统配置静态密码。 可选择多因子认证方式登录。 可重置用户密码、个人找回密码、个人修改密码。 AD域认证 用户登录密码为AD域用户密码。 可选择多因子认证方式登录。 不能通过系统修改用户密码。 RADIUS认证 用户登录密码为RADIUS服务器用户密码。 可选择多因子认证方式登录。 不能通过系统修改用户密码。 LDAP认证 用户登录密码为LDAP服务器用户密码。 可选择多因子认证方式登录。 不能通过系统修改用户密码。 Azure AD认证 用户登录密码为Microsoft用户账号密码。 需跳转到Microsoft登录页面，输入用户账户信息登录。 不能选择多因子认证方式登录。 不能通过系统修改用户密码。 SAML认证 用户登录密码为SAML服务器用户密码。 可选择多因子认证方式登录。 不能通过系统修改用户密码。

资源标签设置 通过给主机资源自定义标签可实现资源的分类，达到快速运维的目的。 进入主机资源列表后选择目标资源，在相应“标签”列单击，弹出标签编辑窗口。 如需批量添加，勾选多个目标资源后，单击列表左下角“添加标签”。 输入标签类型回车选定标签，或选择已有标签类型。 单击“确认”，添加完成，返回主机运维列表，即可查看资源已添加的标签。 如需删除资源标签，选择一个或多个目标资源，单击列表左下角“删除标签”，弹出删除标签确认窗口，确认信息无误后，单击“确认”，完成标签的删除。

Web运维配置 在主机资源运维页面可设置RDP、SSH、FTP/SFTP协议的运维方式。 进入主机运维页面后，单击右上角的“Web运维配置”。 在弹窗中选择需要设置的资源协议后再选择运维方式。 当前支持的协议有RDP、SSH、FTP/SFTP。 RDP、SSH：支持H5页面和客户端运维方式。 FTP/SFTP：支持主从账号和客户端运维方式。 运维方式包含H5页面、客户端、主从账号，不同协议支持的运维方式也不一样。 H5页面运维：通过浏览器页面进行资源运维。 客户端运维：通过堡垒机自动启用安装的客户端进行资源的运维。 主从账号运维：通过堡垒机获取目标资源的账号密码，手动启动客户端进行登录后对资源实现运维。 设置RDP协议时，支持“连接模式”的设置，详情可参见开启RDP强制登录。 运维方式选择后，确认无误单击“确定”，完成设置。

操作步骤 使用管理员账号登录服务器。 在服务器中，下载RemoteaProxyInstaller_xxx.zip（xxx为版本号）压缩包。 下载RemoteaProxy2.0.0版本（适配3.3.26-3.3.61.0的堡垒机版本） 服务器需要有公网访问权限（绑定弹性EIP）。 在应用服务器中，将RemoteaProxyInstaller_xxx.zip（xxx为版本号）压缩包进行解压。 双击“RemoteaProxyInstaller_xxx.msi”（xxx为版本号）启动安装。 安装时请选择默认的安装路径。 安装完成后，单击“关闭”。