文档首页/ 虚拟私有云 VPC/ API参考(联盟区域)/ API V3/ 网络ACL/ 创建网络ACL
更新时间:2026-01-09 GMT+08:00
在线调试
CLI示例
查看PDF
分享

创建网络ACL

功能介绍

网络ACL是一个子网级别的可选安全防护层,用户可以创建网络ACL,设置入方向和出方向规则,并将网络ACL绑定至子网,来精准控制出入子网的流量。

调用方法

请参见如何调用API

URI

POST /v3/{project_id}/vpc/firewalls

表1 路径参数

参数

是否必选

参数类型

描述

project_id

String

参数解释

网络ACL所属的项目ID。

取值范围

不涉及。

请求参数

表2 请求Body参数

参数

是否必选

参数类型

描述

firewall

CreateFirewallOption object

参数解释

创建网络ACL的请求体。

约束限制

不涉及。

取值范围

不涉及。

默认取值

不涉及。

dry_run

Boolean

参数解释

是否只预检此次请求。

约束限制

不涉及。

取值范围

  • true:发送检查请求,不会创建网络ACL。检查项包括是否填写了必需参数、请求格式、业务限制。如果检查不通过,则返回对应错误。如果检查通过,则返回响应码202。

  • false:发送正常请求,并直接创建网络ACL。

默认取值

false
表3 CreateFirewallOption

参数

是否必选

参数类型

描述

name

String

参数解释

网络ACL的名称。

约束限制

1-64个字符,支持数字、字母、中文、_(下划线)、-(中划线)、.(点)。

取值范围

不涉及。

默认取值

不涉及。

description

String

参数解释

网络ACL的描述信息。

约束限制

0-255个字符,不能包含“<”和“>”。

取值范围

不涉及。

默认取值

不涉及。

enterprise_project_id

String

参数解释

网络ACL所属的企业项目ID。

约束限制

  • 最大长度36字节。

  • 带“-”连字符的UUID格式,或者是字符串“0”。

取值范围

不涉及。

默认取值

“0”表示默认企业项目。

tags

Array of RequestTag objects

参数解释

网络ACL的标签信息,包括标签键和标签值,可用来分类和标识资源。详情请参见Tag对象。

约束限制

最大支持20组标签键值对。

取值范围

不涉及。

默认取值

不涉及。

admin_state_up

Boolean

参数解释

网络ACL的管理状态。

约束限制

不涉及。

取值范围

  • true:表示网络ACL处于开启状态。

  • false:表示网络ACL处于关闭状态。

默认取值

true
表4 RequestTag

参数

是否必选

参数类型

描述

key

String

参数解释

标签键。

约束限制

不涉及。

取值范围

  • 最大长度128个unicode字符, key不能为空。

  • 同一资源的key不能重复。

  • 可以包含的字符范围:

    • 英文字母

    • 数字

    • 特殊字符:下划线(_)、点(.)、冒号(:)、加号(+)、中划线(-)、等号(=)

默认取值

不涉及。

value

String

参数解释

标签值。

约束限制

不涉及。

取值范围

  • 每个值最大长度255个unicode字符,value可以为空。

  • 可以包含的字符范围:

    • 英文字母

    • 数字

    • 特殊字符:下划线(_)、冒号(:)、加号(+)、中划线(-)、等号(=)

默认取值

不涉及。

响应参数

状态码:201

表5 响应Body参数

参数

参数类型

描述

firewall

FirewallDetail object

参数解释

创建ACL的响应体。

取值范围

不涉及。

request_id

String

参数解释

请求ID。

取值范围

不涉及。
表6 FirewallDetail

参数

参数类型

描述

id

String

参数解释

网络ACL的资源ID。网络ACL创建成功后,会生成一个网络ACL ID,是网络ACL对应的唯一标识。

取值范围

带“-”的标准UUID格式。

name

String

参数解释

网络ACL的名称。

取值范围

1-64个字符,支持数字、字母、中文、_(下划线)、-(中划线)、.(点)。

description

String

参数解释

网络ACL的描述信息。

取值范围

0-255个字符,不能包含“<”和“>”。

project_id

String

参数解释

网络ACL所属的项目ID。

取值范围

不涉及。

created_at

String

参数解释

网络ACL的创建时间,系统自动生成。

取值范围

UTC时间格式,yyyy-MM-ddTHH:mm:ssZ。

updated_at

String

参数解释

网络ACL的最近一次更新的时间,系统自动生成。

取值范围

UTC时间格式,yyyy-MM-ddTHH:mm:ssZ。

admin_state_up

Boolean

参数解释

网络ACL的管理状态。

取值范围

  • true:表示网络ACL处于开启状态。

  • false:表示网络ACL处于关闭状态。

status

String

参数解释

网络ACL的状态。

取值范围

  • ACTIVE:表示网络ACL已绑定子网。

  • INACTIVE:表示网络ACL未绑定子网。

enterprise_project_id

String

参数解释

网络ACL所属的企业项目ID。

取值范围

最大长度36字节,带“-”连字符的UUID格式,或者是字符串“0”。“0”表示默认企业项目。

tags

Array of ResponseTag objects

参数解释

网络ACL的标签信息,包括标签键和标签值,可用来分类和标识资源。详情请参见Tag对象。

取值范围

不涉及。

associations

Array of FirewallAssociation objects

参数解释

网络ACL绑定的子网列表。

取值范围

不涉及。

ingress_rules

Array of FirewallRuleDetail objects

参数解释

网络ACL入方向规则列表。

取值范围

不涉及。

egress_rules

Array of FirewallRuleDetail objects

参数解释

网络ACL出方向规则列表。

取值范围

不涉及。
表7 ResponseTag

参数

参数类型

描述

key

String

参数解释

标签键。

取值范围

  • 最大长度128个unicode字符, key不能为空。

  • 同一资源的key不能重复。

  • 可以包含的字符范围:

    • 英文字母

    • 数字

    • 特殊字符:下划线(_)、点(.)、冒号(:)、加号(+)、中划线(-)、等号(=)

value

String

参数解释

标签值。

取值范围

  • 每个值最大长度255个unicode字符,value可以为空。

  • 可以包含的字符范围:

    • 英文字母

    • 数字

    • 特殊字符:下划线(_)、冒号(:)、加号(+)、中划线(-)、等号(=)
表8 FirewallAssociation

参数

参数类型

描述

virsubnet_id

String

参数解释

网络ACL绑定的子网ID。

取值范围

  • 网络ACL的type为normal时,只支持绑定普通子网;

  • 网络ACL的type为CloudDCN时,只支持绑定CloudDCN子网。
表9 FirewallRuleDetail

参数

参数类型

描述

id

String

参数解释

网络ACL规则的资源ID。网络ACL规则创建成功后,会生成一个网络ACL规则ID,是网络ACL规则对应的唯一标识。

取值范围

带“-”的标准UUID格式。

name

String

参数解释

网络ACL规则的名称。

取值范围

0-255个字符,支持数字、字母、中文、_(下划线)、-(中划线)、.(点)。

description

String

参数解释

网络ACL规则的描述信息。

取值范围

0-255个字符,不能包含“<”和“>”。

action

String

参数解释

网络ACL规则对流量执行的操作放通或拒绝。

取值范围

  • allow:流量放通。

  • deny:流量拒绝。

project_id

String

参数解释

网络ACL规则所属的项目ID。

取值范围

不涉及。

protocol

String

参数解释

网络ACL规则的通信协议类型。

取值范围

  • tcp

  • udp

  • icmp

  • icmpv6

  • IP协议号(0-255)

  • any,表示全部协议

ip_version

Integer

参数解释

网络ACL规则的IP地址协议类型。

取值范围

  • 4:表示IPv4的网络ACL规则。

  • 6:表示IPv6的网络ACL规则。

source_ip_address

String

参数解释

网络ACL规则的源IP地址或源IP网段。

取值范围

source_ip_address和source_address_group_id不能同时设置。

destination_ip_address

String

参数解释

网络ACL规则的目的IP地址或目的IP网段。

取值范围

destination_ip_address和destination_address_group_id不能同时设置。

source_port

String

参数解释

网络ACL规则的源端口。

取值范围

  • 单个端口:例如22

  • 连续端口:例如22-30

  • 多个端口:例如22,23-30,一次最多支持20个不连续端口组, 端口组之间不能重复。

  • 全部端口:为空或1-65535

destination_port

String

参数解释

网络ACL规则的目的端口。

取值范围

  • 单个端口:例如22

  • 连续端口:例如22-30

  • 多个端口:例如22,23-30,一次最多支持20个不连续端口组, 端口组之间不能重复。

  • 全部端口:为空或1-65535

source_address_group_id

String

参数解释

网络ACL规则源地址对应的IP地址组ID。

取值范围

source_ip_address和source_address_group_id不能同时设置。

destination_address_group_id

String

参数解释

网络ACL规则目的地址对应的IP地址组ID。

取值范围

destination_ip_address和destination_address_group_id不能同时设置。

enabled

Boolean

参数解释

是否启用网络ACL规则。

取值范围

  • true:默认值,表示启用网络ACL规则。

  • false:表示停用网络ACL规则。

请求示例

创建网络ACL,命名为network_acl_test1。

POST https://{Endpoint}/v3/{project_id}/vpc/firewalls

{
  "firewall" : {
    "name" : "network_acl_test1",
    "description" : "network_acl_test1",
    "enterprise_project_id" : "158ad39a-dab7-45a3-9b5a-2836b3cf93f9"
  }
}

响应示例

状态码:201

POST操作正常返回,更多状态码请参见状态码

{
  "firewall" : {
    "id" : "e9a7731d-5bd9-4250-a524-b9a076fd5629",
    "name" : "network_acl_test1",
    "description" : "network_acl_test1",
    "project_id" : "9476ea5a8a9849c38358e43c0c3a9e12",
    "created_at" : "2022-04-07T07:30:46.000+00:00",
    "updated_at" : "2022-04-07T07:30:46.000+00:00",
    "admin_state_up" : true,
    "enterprise_project_id" : "158ad39a-dab7-45a3-9b5a-2836b3cf93f9",
    "status" : "ACTIVE",
    "tags" : [ ],
    "ingress_rules" : [ ],
    "egress_rules" : [ ],
    "associations" : [ ]
  }
}

状态码

状态码

描述

201

POST操作正常返回,更多状态码请参见状态码

错误码

请参见错误码

父主题: 网络ACL