前提條件

• 由于阿里云賬號（主賬號）具有資源的所有權限，一旦發生泄露將面臨重大風險。建議您使用RAM用戶，并為該RAM用戶創建AccessKey，具體操作方式請參見創建RAM用戶和創建AccessKey。

• 為RAM用戶授予最小權限時，請使用以下示例。需要為該RAM用戶授予云防火墻CloudFirewall的相關權限。具體操作方式請參見為RAM用戶授權。

  {
      "Version": "1",
      "Statement": [
          {
              "Effect": "Allow",
              "Action": [
                  "yundun-cloudfirewall:*",
                  "yundun-ndr:*"
              ],
              "Resource": "*"
          }
      ]
  }

• 準備Terraform運行環境，您可以選擇以下任一方式來使用Terraform。

  在Explorer中使用Terraform：阿里云提供了Terraform的在線運行環境，您無需安裝Terraform，登錄后即可在線使用和體驗Terraform。適用于零成本、快速、便捷地體驗和調試Terraform的場景。

  Cloud Shell：阿里云Cloud Shell中預裝了Terraform的組件，并已配置好身份憑證，您可直接在Cloud Shell中運行Terraform的命令。適用于低成本、快速、便捷地訪問和使用Terraform的場景。

  在本地安裝和配置Terraform：適用于網絡連接較差或需要自定義開發環境的場景。

  重要

  請確保Terraform版本不低于v0.12.28。如需檢查現有版本，請運行terraform --version命令。

使用的資源

alicloud_cloud_firewall_control_policy_order：云防火墻訪問控制策略優先級。

本示例將調整互聯網防火墻訪問控制策略優先級。

1. 創建一個工作目錄，并且在工作目錄中創建以下名為main.tf的配置文件。main.tfTerraform主文件，定義了將要部署的資源。在此之前，請確保您已配置互聯網訪問控制策略：

   resource "alicloud_cloud_firewall_control_policy" "example" {
     # 訪問控制策略支持的應用類型。有效值：ANY, HTTP, HTTPS, MQTT, Memcache, MongoDB, MySQL, RDP, Redis, SMTP, SMTPS, SSH, SSL, VNC。
     application_name = "ANY"
     # 云防火墻對流量執行的操作。有效值：accept, drop, log。
     acl_action       = "accept"
     # 描述
     description      = "Created_by_terraform"
     # 訪問控制策略中的目標地址類型。有效值：net, group, domain, location。
     destination_type = "net"
     # 訪問控制策略中的目標地址。
     destination      = "100.1.1.0/24"
     # 訪問控制策略適用的流量方向。有效值：in, out。
     direction        = "out"
     # 訪問控制策略支持的協議類型。有效值：ANY, TCP, UDP, ICMP。
     proto            = "ANY"
     # 訪問控制策略中的源地址。
     source           = "1.2.3.0/24"
     # 訪問控制策略中的源地址類型。有效值：net, group, location。
     source_type      = "net"
   }

   # 調整互聯網防火墻訪問控制策略優先級
   resource "alicloud_cloud_firewall_control_policy_order" "example" {
     # 訪問控制策略的唯一 ID
     acl_uuid = alicloud_cloud_firewall_control_policy.example.acl_uuid
     # 適用于哪個方向流量的訪問控制策略。有效值：in, out。
     direction = "out"
     # 訪問控制策略的優先級。優先級值從 1 開始。較小的優先級值表示較高的優先級。注意： 值 -1 表示最低優先級。
     order     = 1
   }

2. 執行以下命令，初始化Terraform運行環境。

   terraform init

   返回如下信息，表示Terraform初始化成功。

   Initializing provider plugins...
   - Finding latest version of hashicorp/alicloud...
   - Installing hashicorp/alicloud v1.231.0...
   - Installed hashicorp/alicloud v1.231.0 (signed by HashiCorp)
   
   Terraform has created a lock file .terraform.lock.hcl to record the provider
   selections it made above. Include this file in your version control repository
   so that Terraform can guarantee to make the same selections by default when
   you run "terraform init" in the future.
   
   Terraform has been successfully initialized!
   
   You may now begin working with Terraform. Try running "terraform plan" to see
   any changes that are required for your infrastructure. All Terraform commands
   should now work.
   
   If you ever set or change modules or backend configuration for Terraform,
   rerun this command to reinitialize your working directory. If you forget, other
   commands will detect it and remind you to do so if necessary.

3. 創建執行計劃，并預覽變更。

   terraform plan

4. 執行以下命令，調整互聯網防火墻訪問控制策略優先級。

   terraform apply

   在執行過程中，根據提示輸入yes并按下Enter鍵，等待命令執行完成，若出現以下信息，則表示調整互聯網防火墻訪問控制策略優先級成功。

   Terraform used the selected providers to generate the following execution plan. Resource actions are indicated with the following symbols:
     + create
   
   Terraform will perform the following actions:
   
     # alicloud_cloud_firewall_control_policy_order.example will be created
     + resource "alicloud_cloud_firewall_control_policy_order" "example" {
         + acl_uuid  = "ef9bdf22-07d4-4080-8ec0-824ec3f0c*"
         + direction = "out"
         + id        = (known after apply)
         + order     = 1
       }
   
   Plan: 1 to add, 0 to change, 0 to destroy.
   
   Do you want to perform these actions?
     Terraform will perform the actions described above.
     Only 'yes' will be accepted to approve.
   
     Enter a value: yes
   
   alicloud_cloud_firewall_control_policy_order.example: Creating...
   alicloud_cloud_firewall_control_policy_order.example: Creation complete after 1s [id=ef9bdf22-07d4-4080-8ec0-824ec3f0c***:out]
   
   Apply complete! Resources: 1 added, 0 changed, 0 destroyed.

5. 驗證結果

   • 您可以使用以下命令查詢Terraform已創建的資源詳細信息。

     terraform show

     # alicloud_cloud_firewall_control_policy_order.example:
     resource "alicloud_cloud_firewall_control_policy_order" "example" {
         acl_uuid  = "ef9bdf22-07d4-4080-8ec0-824ec3f0c***"
         direction = "out"
         id        = "ef9bdf22-07d4-4080-8ec0-824ec3f0c***:out"
         order     = 1
     }

   • 登錄云防火墻控制臺，在訪問控制>互聯網邊界頁面搜索策略ID查看訪問控制策略的優先級。

清理資源

當您不再需要上述通過Terraform創建或管理的資源時，請運行以下命令以釋放資源。關于terraform destroy的更多信息，請參見Terraform常用命令。

terraform destroy

resource "alicloud_cloud_firewall_control_policy" "example" {
  # 訪問控制策略支持的應用類型。有效值：ANY, HTTP, HTTPS, MQTT, Memcache, MongoDB, MySQL, RDP, Redis, SMTP, SMTPS, SSH, SSL, VNC。
  application_name = "ANY"
  # 云防火墻對流量執行的操作。有效值：accept, drop, log。
  acl_action       = "accept"
  # 描述
  description      = "Created_by_terraform"
  # 訪問控制策略中的目標地址類型。有效值：net, group, domain, location。
  destination_type = "net"
  # 訪問控制策略中的目標地址。
  destination      = "100.1.1.0/24"
  # 訪問控制策略適用的流量方向。有效值：in, out。
  direction        = "out"
  # 訪問控制策略支持的協議類型。有效值：ANY, TCP, UDP, ICMP。
  proto            = "ANY"
  # 訪問控制策略中的源地址。
  source           = "1.2.3.0/24"
  # 訪問控制策略中的源地址類型。有效值：net, group, location。
  source_type      = "net"
}
# 調整互聯網防火墻訪問控制策略優先級
resource "alicloud_cloud_firewall_control_policy_order" "example" {
  # 訪問控制策略的唯一 ID
  acl_uuid = alicloud_cloud_firewall_control_policy.example.acl_uuid
  # 適用于哪個方向流量的訪問控制策略。有效值：in, out。
  direction = "out"
  # 訪問控制策略的優先級。優先級值從 1 開始。較小的優先級值表示較高的優先級。注意： 值 -1 表示最低優先級。
  order     = 1
}