更新时间:2025-08-19 GMT+08:00

创建安全组规则

功能介绍

安全组中包括入方向规则和出方向规则,通过创建安全组规则来控制安全组内实例入方向和出方向的网络流量。

调用方法

请参见如何调用API

URI

POST /v3/{project_id}/vpc/security-group-rules

表1 路径参数

参数

是否必选

参数类型

描述

project_id

String

  • 参数解释:安全组规则所属的项目ID。获取方式请参见获取项目ID

  • 取值范围:无

请求参数

表2 请求Body参数

参数

是否必选

参数类型

描述

dry_run

Boolean

  • 参数解释:是否只预检此次请求。

  • 约束限制:无

  • 取值范围:

    • true:发送检查请求,不会创建安全组规则。检查项包括是否填写了必需参数、请求格式、业务限制。如果检查不通过,则返回对应错误。如果检查通过,则返回响应码202。

    • false:发送正常请求,并直接创建安全组规则。

  • 默认取值:false

security_group_rule

CreateSecurityGroupRuleOption object

  • 参数解释:创建安全组规则的请求体。

  • 约束限制:无

  • 取值范围:无

  • 默认取值:无

表3 CreateSecurityGroupRuleOption

参数

是否必选

参数类型

描述

security_group_id

String

  • 参数解释:安全组规则所属的安全组ID。

  • 约束限制:无

  • 取值范围:无

  • 默认取值:无

description

String

  • 参数解释:安全组规则的描述信息。

  • 约束限制:0-255个字符,不能包含“<”和“>”。

  • 取值范围:无

  • 默认取值:无

direction

String

  • 参数解释:安全组规则的出入控制方向。

  • 约束限制:无

  • 取值范围:

    • ingress:表示入方向。

    • egress:表示出方向。

  • 默认取值:无

ethertype

String

  • 参数解释:安全组规则的IP地址协议类型。

  • 约束限制:无

  • 取值范围:

    • IPv4

    • IPv6

  • 默认取值:IPv4

protocol

String

  • 参数解释:安全组规则的通信协议类型。

  • 约束限制:

    • 为空表示支持所有协议。

    • 协议为icmpv6时,网络类型应该为IPv6。

    • 协议为icmp时,网络类型应该为IPv4。

  • 取值范围:

    • icmp

    • tcp

    • udp

    • icmpv6

    • IP协议号(0~255)

  • 默认取值:无

multiport

String

  • 参数解释:安全组规则的端口取值范围。

  • 约束限制:端口值的范围是1~65535。

  • 取值范围:支持单端口(80),连续端口(1-30)以及不连续端口(22,3389,80)。

  • 默认取值:无

remote_ip_prefix

String

  • 参数解释:安全组规则的远端IP地址,当direction是egress时,该地址表示出方向的目的地址,为安全组内实例访问的远端地址;当direction是ingress时,该地址表示入方向的源地址,为访问安全组内实例的远端地址。

  • 约束限制:

    • 与remote_group_id、remote_address_group_id功能互斥。

    • 为空,表示没有限制远端IP地址,规则action为allow时允许所有远端地址的流量,规则action为deny时拒绝所有远端地址的流量。

  • 取值范围:

    • IP地址,请求如果传入IP地址,会自动转换为末尾带/32的格式,如192.168.21.45/32。

    • cidr格式。

  • 默认取值:无

remote_group_id

String

  • 参数解释:安全组规则的远端安全组ID,如果规则的action是allow,表示允许该安全组内的流量;如果规则的action是deny,表示拒绝该安全组内的流量。

  • 约束限制:与remote_ip_prefix,remote_address_group_id功能互斥。

  • 取值范围:租户下存在的安全组ID。

  • 默认取值:无

remote_address_group_id

String

  • 参数解释:安全组规则的远端地址组ID。

  • 约束限制:与remote_ip_prefix,remote_group_id功能互斥。

  • 取值范围:租户下存在的地址组ID。

  • 默认取值:无

action

String

  • 参数解释:安全组规则的生效策略。

  • 约束限制:无

  • 取值范围:

    • allow:表示允许。

    • deny:表示拒绝。

  • 默认取值:allow

priority

String

  • 参数解释:安全组规则的生效优先级。

  • 约束限制:无

  • 取值范围:1~100,1代表最高优先级。

  • 默认取值:1

enabled

Boolean

  • 参数解释:是否启用安全组规则。

  • 约束限制:无

  • 取值范围:

    • true:表示启用此安全组规则。

    • false:表示停用此安全组规则。

  • 默认取值:true

响应参数

状态码:201

表4 响应Body参数

参数

参数类型

描述

request_id

String

  • 参数解释:请求ID。

  • 取值范围:无

security_group_rule

SecurityGroupRule object

  • 参数解释:创建安全组规则的响应体。

  • 取值范围:无

表5 SecurityGroupRule

参数

参数类型

描述

id

String

  • 参数解释:安全组规则的资源ID。安全组规则创建成功后,会生成一个安全组规则ID,是安全组规则对应的唯一标识。

  • 取值范围:带“-”的标准UUID格式。

description

String

  • 参数解释:安全组规则的描述信息。

  • 取值范围:0-255个字符,不能包含“<”和“>”。

security_group_id

String

  • 参数解释:安全组规则所属的安全组ID。

  • 取值范围:无

direction

String

  • 参数解释:安全组规则的出入控制方向。

  • 取值范围:

    • ingress:表示入方向。

    • egress:表示出方向。

protocol

String

  • 参数解释:安全组规则的通信协议类型。

  • 取值范围:

    • icmp

    • tcp

    • udp

    • icmpv6

    • IP协议号

ethertype

String

  • 参数解释:安全组规则的IP地址协议类型。

  • 取值范围:

    • IPv4

    • IPv6

multiport

String

  • 参数解释:安全组规则的端口取值范围。

  • 取值范围:支持单端口(80),连续端口(1-30)以及不连续端口(22,3389,80)。

action

String

  • 参数解释:安全组规则的生效策略。

  • 取值范围:

    • allow:表示允许。

    • deny:表示拒绝。

priority

Integer

  • 参数解释:安全组规则的生效优先级。

  • 取值范围:1~100,1代表最高优先级。

remote_group_id

String

  • 参数解释:安全组规则的远端安全组ID,如果规则的action是allow,表示允许该安全组内的流量;如果规则的action是deny,表示拒绝该安全组内的流量。

  • 取值范围:租户下存在的安全组ID。

remote_ip_prefix

String

  • 参数解释:安全组规则的远端IP地址。

    • 当direction是egress时,该地址表示出方向的目的地址,为安全组内实例访问的远端地址。

    • 当direction是ingress时,该地址表示入方向的源地址,为访问安全组内实例的远端地址。

  • 取值范围:cidr格式,请求如果传入IP地址,会自动转换为末尾带/32的格式,如192.168.21.45/32。

remote_address_group_id

String

  • 参数解释:安全组规则的远端地址组ID。

  • 取值范围:租户下存在的地址组ID。

created_at

String

  • 参数解释:安全组规则的创建时间。

  • 取值范围:UTC时间格式,yyyy-MM-ddTHH:mm:ssZ。

updated_at

String

  • 参数解释:安全组规则的更新时间。

  • 取值范围:UTC时间格式,yyyy-MM-ddTHH:mm:ssZ。

project_id

String

  • 参数解释:安全组规则所属项目ID。

  • 取值范围:无

enabled

Boolean

  • 参数解释:是否启用安全组规则。

  • 取值范围:

    • true:表示启用此安全组规则。

    • false:表示停用此安全组规则。

状态码:202

表6 响应Body参数

参数

参数类型

描述

request_id

String

  • 参数解释:请求ID。

  • 取值范围:无

error_msg

String

  • 参数解释:错误消息。

  • 取值范围:无

error_code

String

  • 参数解释:错误码。

  • 取值范围:无

请求示例

创建一条入方向安全组规则,所在安全组id为0552091e-b83a-49dd-88a7-4a5c86fd9ec3。

POST https://{Endpoint}/v3/{project_id}/vpc/security-group-rules

{
  "security_group_rule" : {
    "security_group_id" : "0552091e-b83a-49dd-88a7-4a5c86fd9ec3",
    "direction" : "ingress",
    "protocol" : "tcp",
    "description" : "security group rule description",
    "action" : "allow",
    "priority" : 1,
    "multiport" : "33",
    "remote_ip_prefix" : "10.10.0.0/16"
  }
}

响应示例

状态码:201

POST操作正常返回,更多状态码请参见状态码

  • {
      "request_id" : "1666b2708aaf849337572d6846dce781",
      "security_group_rule" : {
        "id" : "f626eb24-d8bd-4d26-ae0b-c16bb65730cb",
        "project_id" : "060576782980d5762f9ec014dd2f1148",
        "security_group_id" : "0552091e-b83a-49dd-88a7-4a5c86fd9ec3",
        "direction" : "ingress",
        "protocol" : "tcp",
        "description" : "security group rule description",
        "created_at" : "2020-08-13T07:12:36.000+00:00",
        "updated_at" : "2020-08-13T07:12:36.000+00:00",
        "ethertype" : "IPv4",
        "remote_ip_prefix" : "10.10.0.0/16",
        "multiport" : 33,
        "action" : "allow",
        "priority" : 1,
        "remote_group_id" : null,
        "remote_address_group_id" : null,
        "enabled" : true
      }
    }

状态码:202

API V3的指定预检请求正常返回,更多状态码请参见状态码

{
  "error_msg" : "Request validation has been passed with dry run...",
  "error_code" : "SYS.0202",
  "request_id" : "cfd81aea3f59eac7128dba4b36d516c8"
}

SDK代码示例

SDK代码示例如下。

创建一条入方向安全组规则,所在安全组id为0552091e-b83a-49dd-88a7-4a5c86fd9ec3。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
package com.huaweicloud.sdk.test;

import com.huaweicloud.sdk.core.auth.ICredential;
import com.huaweicloud.sdk.core.auth.BasicCredentials;
import com.huaweicloud.sdk.core.exception.ConnectionException;
import com.huaweicloud.sdk.core.exception.RequestTimeoutException;
import com.huaweicloud.sdk.core.exception.ServiceResponseException;
import com.huaweicloud.sdk.vpc.v3.region.VpcRegion;
import com.huaweicloud.sdk.vpc.v3.*;
import com.huaweicloud.sdk.vpc.v3.model.*;


public class CreateSecurityGroupRuleSolution {

    public static void main(String[] args) {
        // The AK and SK used for authentication are hard-coded or stored in plaintext, which has great security risks. It is recommended that the AK and SK be stored in ciphertext in configuration files or environment variables and decrypted during use to ensure security.
        // In this example, AK and SK are stored in environment variables for authentication. Before running this example, set environment variables CLOUD_SDK_AK and CLOUD_SDK_SK in the local environment
        String ak = System.getenv("CLOUD_SDK_AK");
        String sk = System.getenv("CLOUD_SDK_SK");
        String projectId = "{project_id}";

        ICredential auth = new BasicCredentials()
                .withProjectId(projectId)
                .withAk(ak)
                .withSk(sk);

        VpcClient client = VpcClient.newBuilder()
                .withCredential(auth)
                .withRegion(VpcRegion.valueOf("<YOUR REGION>"))
                .build();
        CreateSecurityGroupRuleRequest request = new CreateSecurityGroupRuleRequest();
        CreateSecurityGroupRuleRequestBody body = new CreateSecurityGroupRuleRequestBody();
        CreateSecurityGroupRuleOption securityGroupRulebody = new CreateSecurityGroupRuleOption();
        securityGroupRulebody.withSecurityGroupId("0552091e-b83a-49dd-88a7-4a5c86fd9ec3")
            .withDescription("security group rule description")
            .withDirection("ingress")
            .withProtocol("tcp")
            .withMultiport("33")
            .withRemoteIpPrefix("10.10.0.0/16")
            .withAction("allow")
            .withPriority("1");
        body.withSecurityGroupRule(securityGroupRulebody);
        request.withBody(body);
        try {
            CreateSecurityGroupRuleResponse response = client.createSecurityGroupRule(request);
            System.out.println(response.toString());
        } catch (ConnectionException e) {
            e.printStackTrace();
        } catch (RequestTimeoutException e) {
            e.printStackTrace();
        } catch (ServiceResponseException e) {
            e.printStackTrace();
            System.out.println(e.getHttpStatusCode());
            System.out.println(e.getRequestId());
            System.out.println(e.getErrorCode());
            System.out.println(e.getErrorMsg());
        }
    }
}

创建一条入方向安全组规则,所在安全组id为0552091e-b83a-49dd-88a7-4a5c86fd9ec3。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
# coding: utf-8

import os
from huaweicloudsdkcore.auth.credentials import BasicCredentials
from huaweicloudsdkvpc.v3.region.vpc_region import VpcRegion
from huaweicloudsdkcore.exceptions import exceptions
from huaweicloudsdkvpc.v3 import *

if __name__ == "__main__":
    # The AK and SK used for authentication are hard-coded or stored in plaintext, which has great security risks. It is recommended that the AK and SK be stored in ciphertext in configuration files or environment variables and decrypted during use to ensure security.
    # In this example, AK and SK are stored in environment variables for authentication. Before running this example, set environment variables CLOUD_SDK_AK and CLOUD_SDK_SK in the local environment
    ak = os.environ["CLOUD_SDK_AK"]
    sk = os.environ["CLOUD_SDK_SK"]
    projectId = "{project_id}"

    credentials = BasicCredentials(ak, sk, projectId)

    client = VpcClient.new_builder() \
        .with_credentials(credentials) \
        .with_region(VpcRegion.value_of("<YOUR REGION>")) \
        .build()

    try:
        request = CreateSecurityGroupRuleRequest()
        securityGroupRulebody = CreateSecurityGroupRuleOption(
            security_group_id="0552091e-b83a-49dd-88a7-4a5c86fd9ec3",
            description="security group rule description",
            direction="ingress",
            protocol="tcp",
            multiport="33",
            remote_ip_prefix="10.10.0.0/16",
            action="allow",
            priority="1"
        )
        request.body = CreateSecurityGroupRuleRequestBody(
            security_group_rule=securityGroupRulebody
        )
        response = client.create_security_group_rule(request)
        print(response)
    except exceptions.ClientRequestException as e:
        print(e.status_code)
        print(e.request_id)
        print(e.error_code)
        print(e.error_msg)

创建一条入方向安全组规则,所在安全组id为0552091e-b83a-49dd-88a7-4a5c86fd9ec3。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
package main

import (
	"fmt"
	"github.com/huaweicloud/huaweicloud-sdk-go-v3/core/auth/basic"
    vpc "github.com/huaweicloud/huaweicloud-sdk-go-v3/services/vpc/v3"
	"github.com/huaweicloud/huaweicloud-sdk-go-v3/services/vpc/v3/model"
    region "github.com/huaweicloud/huaweicloud-sdk-go-v3/services/vpc/v3/region"
)

func main() {
    // The AK and SK used for authentication are hard-coded or stored in plaintext, which has great security risks. It is recommended that the AK and SK be stored in ciphertext in configuration files or environment variables and decrypted during use to ensure security.
    // In this example, AK and SK are stored in environment variables for authentication. Before running this example, set environment variables CLOUD_SDK_AK and CLOUD_SDK_SK in the local environment
    ak := os.Getenv("CLOUD_SDK_AK")
    sk := os.Getenv("CLOUD_SDK_SK")
    projectId := "{project_id}"

    auth := basic.NewCredentialsBuilder().
        WithAk(ak).
        WithSk(sk).
        WithProjectId(projectId).
        Build()

    client := vpc.NewVpcClient(
        vpc.VpcClientBuilder().
            WithRegion(region.ValueOf("<YOUR REGION>")).
            WithCredential(auth).
            Build())

    request := &model.CreateSecurityGroupRuleRequest{}
	descriptionSecurityGroupRule:= "security group rule description"
	protocolSecurityGroupRule:= "tcp"
	multiportSecurityGroupRule:= "33"
	remoteIpPrefixSecurityGroupRule:= "10.10.0.0/16"
	actionSecurityGroupRule:= "allow"
	prioritySecurityGroupRule:= "1"
	securityGroupRulebody := &model.CreateSecurityGroupRuleOption{
		SecurityGroupId: "0552091e-b83a-49dd-88a7-4a5c86fd9ec3",
		Description: &descriptionSecurityGroupRule,
		Direction: "ingress",
		Protocol: &protocolSecurityGroupRule,
		Multiport: &multiportSecurityGroupRule,
		RemoteIpPrefix: &remoteIpPrefixSecurityGroupRule,
		Action: &actionSecurityGroupRule,
		Priority: &prioritySecurityGroupRule,
	}
	request.Body = &model.CreateSecurityGroupRuleRequestBody{
		SecurityGroupRule: securityGroupRulebody,
	}
	response, err := client.CreateSecurityGroupRule(request)
	if err == nil {
        fmt.Printf("%+v\n", response)
    } else {
        fmt.Println(err)
    }
}

更多编程语言的SDK代码示例,请参见API Explorer的代码示例页签,可生成自动对应的SDK代码示例。

状态码

状态码

描述

201

POST操作正常返回,更多状态码请参见状态码

202

API V3的指定预检请求正常返回,更多状态码请参见状态码

错误码

请参见错误码