API 文档

黑石负载均衡

最近更新时间:2020-10-12 11:56:29

概述

黑石负载均衡支持细化到实例级别的权限管理,您可以为人员分配管理特定负载均衡实例的权限;或者特定 VPC 内所有负载均衡或者监听器的管理权限。

预设策略

预设策略,能帮助您快速授权,而不需要编写策略,但授权粒度会粗些,以下是黑石负载均衡的两个预设策略,分别为:

预设策略名 授权范围描述
QcloudBMLBFullAccess 关联后,获得所有黑石负载均衡实例的增、删、改、查等操作的权限。
QcloudBMLBReadOnlyAccess 关联后,只能获得查询黑石负载均衡列表及基本信息的权限。

Action、Resource、Condtion 列表

以下表格,罗列了在编辑黑石负载均衡策略时,需要用到的 action、resource、condition。相关概念请参考 访问管理 章节。

  • Action:即操作,对应的是 API。编写策略时,您可以复制表格里内容并粘贴在 Action 字段中。关联该策略后,即可获得特定 API 的调用权限。
  • Resource:即云资源,当列表中 Action 的鉴权参数不为空时,则表示在调用 API 需要指定云资源,否则不需要指定。编写策略时,您可以复制表格里内容并粘贴在策略生成器的 Resource 字段中。但请记得替换 $VpcId、$lbId 及 $LblistenId 为真实的实例 ID;关联该策略后,即可获得特定资源的操作权限。
    注意:

    部分 API 鉴权时需要不同类型的实例 ID,例如 CreateBmForwardRules,分别需要负载均衡和监听器的实例 ID,这时需要把两种资源描述都写在 Resource 里。

  • Condition:即生效条件。换句话说 Action 和 Resource 需要在特定的生效条件下,才能鉴权通过。您可以灵活使用 condtion 以实现 VPC 或者 Subnet 粒度的权限管理,例如授权人员管理特定子网内的所有监听器。
    注意:

    Describe* 或者 Get* 指查询操作,例如拉取多个实例详情等,查询操作鉴权通过后可能会把所有实例信息都返回,而无法区别哪些是有权限哪些是没有权限的实例。但再修改、删除实例时,会再次鉴权。

Action 鉴权参数 功能描述 条件密钥
bmlb:CreateBmLoadBalancer qcs::bmvpc:::unVpcId/$unVpcId
qcs::bmvpc::uin/:unSubnetId/$SubnetId(内网)
创建负载均衡 -
bmlb:ModifyBmLoadBalancerAttributes qcs::bmlb:::loadBalancerId/$Lbid 修改负载均衡属性信息 bmvpc:unVpcId
bmvpc:unSubnetId
bmlb:DeleteBmLoadBalancers qcs::bmlb:::loadBalancerId/$Lbid 删除负载均衡 bmvpc:unVpcId
bmvpc:unSubnetId
bmlb:CreateBmListeners qcs::bmlb:::loadBalancerId/$Lbid 创建负载均衡四层监听器 bmvpc:unVpcId
bmvpc:unSubnetId
bmlb:ModifyBmListener qcs::bmlb:::loadBalancerId/$Lbid
qcs::bmlb:::listenerId/$LlistenId
创建负载均衡四层监听器 bmvpc:unVpcId
bmvpc:unSubnetId
bmlb:BindBmL4ListenerRs qcs::bmlb:::loadBalancerId/$Lbid
qcs::bmlb:::listenerId/$LlistenId
qcs::bm:::instance/$InstanceId
绑定物理服务器到四层监听器 bmvpc:unVpcId
bmvpc:unSubnetId
bmlb:BindBmL4ListenerVmIp qcs::bmlb:::loadBalancerId/$Lbid
qcs::bmlb:::listenerId/$LlistenId
绑定虚机IP到负载均衡四层监听器 bmvpc:unVpcId
bmvpc:unSubnetId
bmlb:ModifyBmL4ListenerBackendWeight qcs::bmlb:::loadBalancerId/$Lbid
qcs::bmlb:::listenerId/$LlistenId
qcs::bm:::instance/$InstanceId
修改负载均衡四层监听器后端实例权重 bmvpc:unVpcId
bmvpc:unSubnetId
bmlb:ModifyBmL4ListenerBackendPort qcs::bmlb:::loadBalancerId/$Lbid
qcs::bmlb:::listenerId/$LlistenId
qcs::bm:::instance/$InstanceId
修改负载均衡四层监听器后端实例端口 bmvpc:unVpcId
bmvpc:unSubnetId
bmlb:UnbindBmL4ListenerRs qcs::bmlb:::loadBalancerId/$Lbid
qcs::bmlb:::listenerId/$LlistenId
qcs::bm:::instance/$InstanceId
解绑负载均衡四层监听器物理服务器 bmvpc:unVpcId
bmvpc:unSubnetId
bmlb:UnbindBmL4ListenerVmIp qcs::bmlb:::loadBalancerId/$Lbid
qcs::bmlb:::listenerId/$LlistenId
解绑负载均衡四层监听器虚机 IP bmvpc:unVpcId
bmvpc:unSubnetId
bmlb:DeleteBmListeners qcs::bmlb:::loadBalancerId/$Lbid
qcs::bmlb:::listenerId/$LlistenId
删除负载均衡四层监听器 bmvpc:unVpcId
bmvpc:unSubnetId
bmlb:CreateBmForwardListeners qcs::bmlb:::loadBalancerId/$Lbid 创建负载均衡七层监听器 bmvpc:unVpcId
bmvpc:unSubnetId
bmlb:ModifyBmForwardListener qcs::bmlb:::loadBalancerId/$Lbid
qcs::bmlb:::listenerId/$LlistenId
修改负载均衡七层监听器 bmvpc:unVpcId
bmvpc:unSubnetId
bmlb:CreateBmForwardRules qcs::bmlb:::loadBalancerId/$Lbid
qcs::bmlb:::listenerId/$LlistenId
创建负载均衡七层转发规则 bmvpc:unVpcId
bmvpc:unSubnetId
bmlb:ModifyBmForwardLocation qcs::bmlb:::loadBalancerId/$Lbid
qcs::bmlb:::listenerId/$LlistenId
修改负载均衡七层转发路径 bmvpc:unVpcId
bmvpc:unSubnetId
bmlb:BindBmLocationInstances qcs::bmlb:::loadBalancerId/$Lbid
qcs::bmlb:::listenerId/$LlistenId
qcs::bm:::instance/$InstanceId
绑定物理服务器到七层转发路径 bmvpc:unVpcId
bmvpc:unSubnetId
bmlb:BindBmL7LocationVmIp qcs::bmlb:::loadBalancerId/$Lbid
qcs::bmlb:::listenerId/$LlistenId
绑定虚机 IP 到负载均衡七层转发路径 bmvpc:unVpcId
bmvpc:unSubnetId
bmlb:ModifyBmLocationBackendWeight qcs::bmlb:::loadBalancerId/$Lbid
qcs::bmlb:::listenerId/$LlistenId
qcs::bm:::instance/$InstanceId
修改负载均衡七层转发路径后端实例权重 bmvpc:unVpcId
bmvpc:unSubnetId
bmlb:ModifyBmLocationBackendPort qcs::bmlb:::loadBalancerId/$Lbid
qcs::bmlb:::listenerId/$LlistenId
qcs::bm:::instance/$InstanceId
修改负载均衡七层转发路径后端实例端口 bmvpc:unVpcId
bmvpc:unSubnetId
bmlb:UnbindBmLocationInstances qcs::bmlb:::loadBalancerId/$Lbid
qcs::bmlb:::listenerId/$LlistenId
qcs::bm:::instance/$InstanceId
解绑物理服务器到七层转发路径 bmvpc:unVpcId
bmvpc:unSubnetId
bmlb:UnbindBmL7LocationVmIp qcs::bmlb:::loadBalancerId/$Lbid
qcs::bmlb:::listenerId/$LlistenId
解绑负载均衡七层转发路径虚机 IP bmvpc:unVpcId
bmvpc:unSubnetId
bmlb:DeleteBmForwardRules qcs::bmlb:::loadBalancerId/$Lbid 删除负载均衡七层转发规则 bmvpc:unVpcId
bmvpc:unSubnetId
bmlb:ModifyBmLoadBalancerChargeMode qcs::bmlb:::loadBalancerId/$Lbid
qcs::bmlb:::listenerId/$LlistenId
更改黑石 LB 的计费方式 bmvpc:unVpcId
bmvpc:unSubnetId
bmlb:ModifyBmL4ListenerBackendProbePort qcs::bmlb:::loadBalancerId/$Lbid
qcs::bmlb:::listenerId/$LlistenId
qcs::bm:::instance/$InstanceId
修改4层 LB 后端实例探测端口 bmvpc:unVpcId
bmvpc:unSubnetId
bmlb:DescribeBmListeners - 获取负载均衡四层监听器 -
bmlb:DescribeBmListenerInfo - 获取负载均衡四层监听器详细信息 -
bmlb:DescribeBmBindInfo - 获取主机的负载均衡的绑定详情 -
bmlb:DescribeBmVportInfo - 获取负载均衡端口信息 -
bmlb:DescribeBmLoadBalancers - 获取负载均衡实例列表 -
bmlb:DescribeBmL4ListenerBackends - 获取负载均衡四层监听器绑定的主机列表 -
bmlb:DescribeBmForwardListeners - 获取负载均衡七层监听器 -
bmlb:DescribeBmForwardListenerInfo - 获取负载均衡七层监听器详细信息 -
bmlb:DescribeBmForwardRules - 获取负载均衡七层转发规则 -
bmlb:DescribeBmLocationBackends - 获取负载均衡七层转发路径绑定的主机列表 -
bmlb:UploadBmCert - 创建负载均衡证书 -
bmlb:GetBmCertDetail - 获取负载均衡证书详情 -
bmlb:ReplaceBmCert - 更新负载均衡证书 qcs::bmlb::uin/:certId/$certId

Condition(生效条件)

灵活使用 Condtion,即可做到 VPC 或者 Subnet 粒度的权限管理,例如授权管理特定 VPC 内的所有负载均衡

注意:

在使用 Condtion时,要做到 Vpc 或者 Subetnet 粒度的授权,策略的 Resource 字段建议只需填写 *

书写规范

"condition":
{
"Option1":{"key1":["value1","value2"]),"key2":["value1","value2"])},
"Option2":{"key1":["value1","value2"]),"key2":["value1","value2"])}
}

Option 即操作符,理解为传入的鉴权参数和 key 的运算规则。Key 和 Value 是对应的,以下是对应关系。传入的鉴权参数经过运算后应该满足 key 和 value 的要求。

keyvalue
bmvpc:unVpcIdvpc-yyyyyy(VPC 的实例 ID)
bmvpc:unSubnetIdsubnet-xxxxx(Subnet 的实例 ID)

操作符(Option)

黑石负载均衡只推荐使用 string_equal 以及 for_all_value:string_equal_if_exist

  • string_equal,用于 condition 只有一个 key 和一个 value 的情况,要求传入的鉴权参数满足 key:value,可以做到特定 VPC 或者 subnet 的授权。
  • for_all_value:string_equal_if_exist,用于 condition 有一个 key 多个 value 的情况 key:value1,value2,可以做到多个 VPC 或者 subnet 的授权。

例子

策略如下:

{
"version":"2.0",
"statement":[
{
"effect":"allow",
"action":[
"bmlb:BindBmL4ListenerRs"
],
"resource":[
"qcs::bmlb:::loadBalancerId/lb-dtrzsshx",
"qcs::bmlb:::listenerId/lbl-6l1q8cdf",
"qcs::bm:::instance/*"
],
"condition":{
"for_all_value:string_equal_if_exist":{
"bmvpc:unSubnetId":[
"subnet-1so5ae8m",
"subnet-jv24ivq0"
]
}
}
}
]
}

场景:调用 BindBmL4ListenerRs,为内网 LB 监听器 lbl-6l1q8cdf 绑定同 vpc 的物理服务器 cpm-6y3le68b 时。

  1. 鉴权逻辑发现关联了 effect:allow 的策略且 action:bm:BindBmL4ListenerRs 和 lb、listen、cpm 等实例
  2. 但前提是,上述三种资源需要在 subnet-1so5ae8m 或者 subnet-jv24ivq0 才能鉴权通过。

最佳实践

本章节,我们举例两个场景的策略内容和评估逻辑,帮助您了解如何实现黑石服务器的权限分配。

  • 场景 1:授权在 vpc-muinpf9p 里创建一个外网监听器
  • 场景 2:授权在 subnet-c6bzyq4a 里的所有内网负载均衡七层监听器创建七层转发路径

场景1

策略如下:

{
"version":"2.0",
"statement":[
{
"effect":"allow",
"action":[
"bmlb:CreateBmLoadBalancer"
],
"resource":[
"qcs::bmvpc:::unVpcId/vpc-muinpf9p"
]
}
]
}

评估逻辑:

调用 CreateBmLoadBalancer时,CAM 判断传入的 VpcId 参数是否为 vpc-muinpf9p,【是】则鉴权通过,【否】则鉴权失败。

场景2

策略如下:

{
"version":"2.0",
"statement":[
{
"effect":"allow",
"action":[
"bmlb:CreateBmForwardRules"
],
"resource":[
"qcs::bmlb:::loadBalancerId/*",
"qcs::bmlb:::listenerId/*"
],
"condition":{
"string_equal":{
"bmvpc:unSubnetId":"subnet-c6bzyq4a"
}
}
}
]
}

评估逻辑:
当调用 CreateBmForwardRules时,CAM 会对传入 loadBalancerId 和 listenerId 做鉴权,发现满足 resource(*)的要求。
但要求两个资源都在子网 subnet-c6bzyq4a 里,【是】则鉴权通过,【否】则鉴权失败。

目录