配置实例元数据服务
通过从元数据服务获取实例身份访问令牌来配置元数据服务。 (可选) 根据此令牌生成 IAM 访问令牌,以访问帐户中支持 IAM 的服务。
使用实例身份访问令牌服务访问元数据服务
要访问实例元数据服务,必须首先获取实例身份访问令牌 (JSON Web 令牌)。 稍后可以从实例身份访问令牌生成 IAM 令牌,然后使用该令牌来访问启用 IAM 的服务。
Windows 用户具有设置元数据服务的额外需求。 有关更多信息,请参阅 设置 Windows 服务器以使用元数据服务。
实例身份访问令牌概念
实例身份访问令牌提供用于访问元数据服务的安全凭证。 这是具有一组声明的已签名令牌,这些声明基于有关实例的信息以及令牌请求中传递的信息。 使用实例身份访问令牌功能的最低版本日期为 2022-03-01。
要访问实例身份,请向 元数据服务 API 提出 PUT /instance_identity/v1/token 请求。
curl -X PUT "http://api.metadata.cloud.ibm.com/instance_identity/v1/token?version=2025-04-22" -H "Metadata-Flavor: ibm" -d '{}'
实例与元数据服务之间的通信永远不会离开主机,您可以从实例中获取令牌。 如果在实例上启用了对实例元数据服务的安全访问,请使用 "https "协议而不是 "http "协议。
在请求中,可以指定令牌的过期时间。 默认过期时间为 5 分钟,但您可以指定 5 秒至 1 小时之间的任何值。 请参阅以下启用了安全访问的主机示例。 在示例中,令牌的过期时间被指定为一小时。
curl -X PUT "https://api.metadata.cloud.ibm.com/instance_identity/v1/token?version=2025-04-22" -H "Metadata-Flavor: ibm" -d '{"expires_in": 3600}'
API 响应包含实例身份访问令牌。 使用此令牌来访问元数据服务。
您还可以从此令牌生成 IAM 令牌,并使用 RIAS API 来调用启用 IAM 的服务。 有关更多信息,请参阅 根据实例身份访问令牌生成 IAM 令牌。
获取实例身份访问令牌
使用元数据服务 API,发送 PUT /instance_identity/v1/token 请求,从令牌服务中获取实例身份访问令牌。
在此示例中,cURL 命令的返回值是实例身份访问令牌,该令牌由 jq 抽取并放置在 instance_identity_token 环境变量中。 您可以在 GET 元数据服务调用中指定该变量,以到达元数据端点。 有关更多信息,请参阅 从正在运行的实例检索元数据。
此示例使用 jq 作为解析器,这是根据 MIT 许可证 许可的第三方工具。jq 可能不会在创建实例时在所有可用的 VPC 映像上预安装。 在使用前,您可能需要安装 jq 或使用您选择的其他解析器。
instance_identity_token=`curl -X PUT "https://api.metadata.cloud.ibm.com/instance_identity/v1/token?version=2024-11-12"\
-H "Metadata-Flavor: ibm"\
-d '{
"expires_in": 3600
}' | jq -r '(.access_token)'`
以下 JSON 响应显示实例身份访问令牌字符串,创建日期和时间,到期日期和时间以及设置的到期时间。 请记住,令牌将在 5 分钟后到期。
{
"access_token": "eyJhbGciOiJSUzI1NiIsImtpZCI6IlZTSS1DUl91cy1lYXN0X2I5...",
"created_at": "2024-11-12T11:08:39.363Z",
"expires_at": "2024-11-12T11:13:39.363Z",
"expires_in": 3600
}
从实例身份访问令牌生成 IAM 令牌
要访问帐户中支持 IBM Cloud IAM 的服务,您可以使用可信概要文件信息从实例身份访问令牌生成 IAM 令牌。 生成 IAM 令牌后,可以使用它来访问支持 IAM 的服务,例如 IBM Cloud Object Storage,Cloud Database Service 和 VPC API。 您可以多次复用该令牌。
提出 POST /instance_identity/v1/iam_token 请求,并指定受信任配置文件的 ID。 此请求使用实例身份访问令牌和链接到虚拟服务器实例的可信概要文件来生成 IAM 访问令牌。 可以在创建实例时链接可信概要文件,也可以在请求主体中提供可信概要文件。
不推荐使用用于传递实例身份访问令牌和生成 IAM 令牌的 IAM API。 Beta 用户必须迁移到元数据服务 API,才能使用 POST /instance_identity/v1/iam_token 生成 IAM 令牌。
示例请求:
iam_token=`curl -X POST "$vpc_metadata_api_endpoint/instance_identity/v1/iam_token?version=2024-11-12"\
-H "Authorization: Bearer $instance_identity_token"\
-d '{
"trusted_profile": {
"id": "Profile-8dd84246-7df4-4667-94e4-8cede51d5ac5"
}
}' | jq -r '(.access_token)'`
JSON 响应显示 IAM 令牌。
{
"access_token": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ0aGVfYmVzdCI6I8...",
"created_at": "2024-11-12T14:10:15Z",
"expires_at": "2024-11-12T15:10:15Z",
"expires_in": 3600
}
有关可信概要文件的更多信息,请参阅 使用可信概要文件来调用启用 IAM 的服务。
使用实例身份访问令牌生成实例身份证书
需要实例身份证书才能在虚拟服务器实例与 IBM Cloud® File Storage for VPC 共享之间的传输中成功启用和使用加密。 要为实例生成实例身份证书,请使用实例身份访问令牌和证书签名请求 (CSR) 进行 POST /instance_identity/v1/certificates 调用。
您可以从开放式源代码命令行工具箱 OpenSSL获取证书签名请求 (CSR)。
-
以下命令使用 openssl 生成 证书签名请求 (CSR) 和 RSA 密钥对。 运行该命令时,请将国家或地区代码
US替换为'/C=US'中的两位数国家或地区代码。openssl req -sha256 -newkey rsa:4096 -subj '/C=US' -out ./sslcert.csr -keyout file.key -nodes如果要使用其他软件来创建 CSR,那么可能会提示您输入有关位置的信息,例如国家或地区代码 (C),状态 (ST),位置 (L),组织名称 (O) 和组织单元 (OU)。 可以使用这些命名属性中的任何一个。 将拒绝任何其他命名属性,例如公共名称。 指定了公共名称的 CSR 将被拒绝,因为当您向元数据 API 发出请求时,系统会将实例标识值应用于实例身份证书的主题公共名称。 具有扩展的 CSR 也将被拒绝。
-
在使用以下命令对元数据服务进行 API 调用之前,请先格式化 csr。
awk 'NF {sub(/\r/, ""); printf "%s\\n",$0;}' sslcert.csr
然后,您可以向元数据服务发出 API 请求。 请参阅以下示例。 csr 值是必需的,expires_in 值是可选的。 到期的缺省值为 3600,等于 1 小时。
curl -X POST "$vpc_metadata_api_endpoint/instance_identity/v1/certificates?version=2024-11-12" \
-H "Authorization: Bearer $instance_identity_token" \
-d '{ "csr": "-----BEGIN CERTIFICATE REQUEST-----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\nTQ==\n-----END CERTIFICATE REQUEST-----\n"}'
成功响应将返回新证书及其标识,创建时间和到期时间等信息。
{
"certificates": [
"-----BEGIN CERTIFICATE-----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\nzXuEUsCxzTyWRTm8GA==\n-----END CERTIFICATE-----\n",
"-----BEGIN CERTIFICATE-----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\nsLotlbzDpim/gYiJCHgW3POlsLE=\n-----END CERTIFICATE-----\n"
],
"created_at": "2024-11-12T13:50:14Z",
"expires_at": "2024-11-12T14:50:14Z",
"expires_in": 3600,
"id": "9fd84246-7df4-4667-94e4-8ecde51d5ac5"
}
有关更多信息,请参阅 Encryption in Transit-Securing mount connections between file share and host。
为实例创建可信概要文件
计算资源身份的可信概要文件可帮助您将 IBM Cloud® IAM 身份分配给 IBM Cloud® 资源,例如虚拟服务器实例。 您可以从实例调用任何启用 IAM 的服务,而不必管理 IAM 私钥并将其分发到实例。 从实例身份访问令牌生成 IAM 令牌并将其链接到实例时,可以创建可信概要文件。 有关更多信息,请参阅 使用可信概要文件来调用启用 IAM 的服务。
启用或禁用实例元数据服务
实例元数据服务默认为禁用。 要从实例检索元数据,请使用 VPC UI,CLI 或 API 在新实例或现有实例上启用服务。
使用 UI 启用或禁用实例元数据
从 IBM Cloud® 控制台,可以启用或禁用实例元数据服务。
使用 UI 为现有实例启用元数据服务
使用 UI 在现有实例上启用元数据服务。
-
转至实例列表。 在 IBM Cloud 控制台,单击 导航菜单 图标
> 基础架构 
> 计算 > 虚拟服务器实例。 -
单击实例的名称以转至详细信息页面。
-
在详细信息页面上,滚动到 元数据。
-
单击开关 (显示为绿色)。
使用 UI 创建新实例时启用元数据服务
以下过程显示了如何在创建新的虚拟服务器实例时启用元数据服务。
-
在 IBM Cloud 控制台,单击 导航菜单 图标
> 基础架构 > 计算 > 虚拟服务器实例。 -
单击创建。
-
供应实例。
-
浏览至 高级选项 并启用 元数据。
有关创建虚拟服务器实例的更多信息,请参阅 使用 UI 创建虚拟服务器实例。
使用 UI 禁用元数据服务
此过程显示如何对已启用元数据服务的实例禁用该服务。 缺省情况下,创建新实例时将禁用元数据服务。
-
在 IBM Cloud 控制台,单击 导航菜单 图标
> 基础架构 > 计算 > 虚拟服务器实例。 -
单击列表中的实例以转至其详细信息页面。
-
在 元数据下,单击关闭的切换按钮 (显示为灰色)。
使用 UI 在实例模板上启用或禁用元数据服务
创建 实例模板 时,缺省情况下会禁用启用元数据服务切换。 单击开关以启用服务。
查看现有实例模板的详细信息时,页面会指示是否为该模板启用了元数据。 创建模板后,无法更改实例模板元数据设置。
从 CLI 启用或禁用实例元数据
在创建新实例时或在现有实例上使用 CLI 来启用元数据服务。
开始之前:
-
在使用 CLI 之前,您必须安装 IBM Cloud CLI 和 VPC CLI 插件。 有关更多信息,请参阅 CLI 先决条件。
-
确保您已创建 IBM Cloud VPC。
使用 CLI 创建实例时启用或禁用元数据服务
运行 ibmcloud is instance-create 命令并将 metadata-service 属性设置为 true。 元数据服务默认为禁用。 在响应中,您将看到 Metadata service enabled 设置为 true。
ibmcloud is instance-create test-instance-1 7002c1cd-9b0b-43ee-8112-5124dedbe84b us-south-1 bx2-2x8 0711-08206578-d749-49ea-86c9-1014622d1c6f --image-id 9f0050d0-636b-4fe6-82ea-931664fd9d91 --metadata-service true
Creating instance test under account VPC1 as user myuser@mycompany.com...
ID 264060c2-e5e9-44d4-994f-eea4a6688172
Name test-instance-1
CRN crn:v1:public:is:us-south-1:a/a1234567::instance:264060c2-e5e9-44d4-994f-eea4a6688172
Status pending
Startable true
Profile bx2-2x8
Architecture amd64
vCPUs 2
Memory(GiB) 8
Bandwidth(Mbps) 4000
Metadata service enabled true
Image ID Name
9f0050d0-636b-4fe6-82ea-931664fd9d91 ibm-ubuntu-20-04-minimal-amd64-1
VPC ID Name
7002c1cd-9b0b-43ee-8112-5124dedbe84b test-vpc1
Zone us-south-1
Resource group ID Name
21cabbd983d9c4beb82690daab08717e8 Default
Created 2022-08-08T22:12:11+05:30
Boot volume ID Name Attachment ID Attachment name
- PROVISIONING 954c1c47-906d-423f-a8c8-dd3adfafd278 my-vol-attachment1
通过 CLI 对现有实例启用或禁用元数据服务
运行 ibmcloud is instance-update 命令并指定实例标识。 要启用元数据服务,请将 metadata-service 参数设置为 true; 要禁用,请将其设置为 false。 用于启用服务的示例命令如下所示:
ibmcloud is instance-update e219a883-41f2-4680-810e-ee63ade35f98 --metadata-service true
使用 CLI 创建新实例模板时启用或禁用元数据服务
从 CLI 创建 实例模板 时,可以指示是否收集基于此模板创建的实例的元数据。
使用 ibmcloud is instance-create-from-template 命令并指定 metadata-service true 以启用或 metadata-service false 以禁用。 设置模板值后,无法对其进行更改。
例如,要在启用元数据服务的情况下创建实例模板,请运行以下命令:
ibmcloud is instance-template-create my-template-name {template_id} us-south-1 mx2-2x16 {subnet_id} --image-id {image_id} --metadata-service true
根据此模板创建实例时,请再次指定 metadata-service true 以在新实例上启用服务:
ibmcloud is instance-create-from-template --template-id {template_id} --name my-instance --metadata-service true
如果通过运行 ibmcloud is instance-template-create-override-source-template 命令覆盖实例模板,那么可以通过将 metadata-service 参数与 true 或 false 一起指定来启用或禁用元数据服务。
有关这些命令的更多信息,请参阅 VPC CLI 参考。 有关从 CLI 创建实例模板的更多信息,请参阅 创建实例模板。
从 API 启用或禁用实例元数据
使用 API 创建新实例时启用或禁用元数据服务
缺省情况下,当您通过发出 POST /instances 调用来创建新实例时,将禁用元数据服务。
您可以通过指定 metadata_service 参数并将 enabled 设置为 true 来启用服务。
此示例显示在创建实例时启用元数据服务:
curl -X POST "$vpc_api_endpoint/v1/instances?version=2024-11-12&generation=2"\
-H "Authorization: Bearer $iam_token"\
-d '{
"image": {
"id": "9aaf3bcb-dcd7-4de7-bb60-24e39ff9d366"
},
"keys": [
{
"id": "363f6d70-0000-0001-0000-00000013b96c"
}
],
"name": "my-instance",
"metadata_service": {
"enabled": true
},
.
.
.
}'
当您启用服务时,响应会显示元数据参数设置为 true。 您还可以通过发出 GET /instance/{id} 调用来验证元数据服务设置。
从 API 为现有实例启用或禁用元数据服务
要从现有实例启用或禁用服务,请发出 PATCH /instance/{instance_id} 调用并指定 metadata_service 参数。 默认情况下,enabled 属性设置为 false。 要启用该服务,请将其设置为 true。
此示例调用显示了如何为实例启用元数据服务:
curl -X PATCH "$vpc_api_endpoint/v1/instances/$instance_id?version=2024-11-12&generation=2"\
-H "Authorization: Bearer $iam_token"\
-d '{
"metadata_service": {
"enabled": true
}
}'
当您启用服务时,响应会显示元数据参数设置为 true。 您还可以通过发出 GET /instance/{id} 调用来验证元数据服务设置。
使用 API 创建新实例模板时启用或禁用元数据服务
创建实例模板时,可以通过发出 POST /instance/templates 调用来设置此值。 默认情况下,enabled 属性设置为 false。 要将其启用,请将其设置为 true。
例如
curl -X POST "$vpc_api_endpoint/v1/instance/templates?version=2024-11-12&generation=2"\
-H "Authorization: Bearer $iam_token"\
-d '{
"image": {
"id": "3f9a2d96-830e-4100-9b4c-663225a3f872"
},
"keys": [
{
"id": "363f6d70-0000-0001-0000-00000013b96c"
}
],
"name": "my-instance-template",
"metadata_service": {
"enabled": true
},
"primary_network_interface": {
"subnet": {
"id": "0d933c75-492a-4756-9832-1200585dfa79"
}
},
"profile": {
"name": "bx2-2x8"
},
"vpc": {
"id": "dc201ab2-8536-4904-86a8-084d84582133"
},
"zone": {
"name": "us-south-1"
}
}'
创建实例模板后,无法使用 API 来更改 metadata-service 设置。 如果对模板禁用了此功能,请在 metadata-service 已启用设置为 true 的情况下创建新的实例模板。
使用 UI 配置元数据设置
您可以使用 UI 来配置元数据服务的功能部件。 启用元数据服务后,展开元数据窗口以访问元数据服务设置。
使用 UI 选择可信概要文件
您可以为实例元数据服务选择现有可信概要文件。
供应实例时选择可信概要文件 要选择可信概要文件,请浏览至“缺省可信概要文件”选项,并从预先存在的可信概要文件列表中选择可信概要文件。
有关更多信息,请参阅 为实例创建可信概要文件。
使用 UI 切换自动链接
您可以切换实例元数据服务的自动链接。 启用自动链接时,当供应实例时,指定的可信概要文件将自动链接到虚拟服务器实例。 在使用自动链接供应的实例上,可信概要文件可供实例在启动时立即使用。 禁用自动链接时,必须将指定的受信任配置文件链接到实例,实例才能使用该配置文件。
供应实例时切换自动链接 要在供应实例时切换自动链接,请浏览至实例供应页面上“元数据”窗口中的“安全访问”设置。 切换安全访问开关,使其显示 Enabled。
使用 UI 启用安全访问
您可以启用对实例元数据服务的安全访问。 启用安全访问后,元数据服务只能通过加密的 HTTP 安全协议 ( HTTPS ) 访问虚拟服务器实例。 当安全访问被禁用时,元数据服务只能通过未加密的 HTTP 协议由虚拟服务器实例访问。 安全访问默认为禁用。
在以下场景中可能需要其他属性:
- 您正在使用 IBM Cloud CLI Virtual Server Instance for VPC 计算资源身份登录方法。 有关更多信息,请参阅 以虚拟服务器实例计算资源身份登录。
- 您正在实例中使用带有 VPC 实例认证 的 IBM Cloud SDK,并且已启用对实例元数据服务的安全访问。 有关更多信息,请参阅 IBM Cloud Go SDK
在供应实例时启用安全访问
要在供应实例时启用安全访问,请在从“VPC 的虚拟服务器实例”页面 创建 实例时浏览到“元数据”窗口中的“安全访问”设置。 切换安全访问开关,使其显示 Enabled。
对现有实例启用安全访问
要对现有实例启用安全访问,请浏览至实例的“实例详细信息”页面上的“安全访问”设置。
使用 UI 设置元数据中继段限制
您可以设置来自元数据服务的 IP 响应包的中继段限制。 中继段限制可以是从 1 (缺省值) 到 64 的任何值。 必须启用元数据服务。
在供应实例时设置元数据中继段限制
要在供应实例时设置中继段限制,请在从“VPC 的虚拟服务器实例”页面 创建 实例时转至“元数据”窗口中的中继段限制设置。 指定介于 1 与 64 之间的中继段限制值。
对现有实例设置元数据中继段限制
要在现有实例上设置跳转限制,请前往实例详情页面上的跳转限制设置。 指定介于 1 与 64 之间的中继段限制值。
使用 CLI 配置元数据设置
您可以使用 CLI 来启用和禁用元数据服务的功能。
以下示例显示了启用了元数据服务的实例。
$ ibmcloud is instance instance-name -q
ID 0716_9cc6d74d-4b77-4cca-b1f4-31cc6edefe01
Name instance-name
CRN crn:v1:bluemix:public:is:us-south-1:a/a1234567::instance:0716_9cc6d74d-4b77-4cca-b1f4-31cc6edefe01
Status running
Availability policy on host failure restart
Startable true
Profile bx2-2x8
Architecture amd64
vCPUs 2
Memory(GiB) 8
Bandwidth(Mbps) 4000
Volume bandwidth(Mbps) 1000
Network bandwidth(Mbps) 3000
Lifecycle Reasons Code Message
- -
Lifecycle State stable
Metadata service Enabled Protocol Response hop limit
false http 1
Image ID Name
r006-1025e040-7d6f-408c-b4db-6156dc986fc7 ibm-ubuntu-22-04-1-minimal-amd64-2
Numa Count 1
VPC ID Name
r006-ac1c1ae4-5573-42eb-9194-854c9a3d5555 fode
.
.
.
禁用自动链接
您可以在供应实例时禁用实例元数据服务的自动链接。 缺省情况下,当选择可信概要文件时,将启用自动链接。 启用自动链接时,当供应实例时,指定的可信概要文件将自动链接到虚拟服务器实例。 使用可信概要文件的自动链接供应的实例在启动时可供实例立即使用。 禁用自动链接时,必须将指定的受信任配置文件链接到实例,实例才能使用该配置文件。
要禁用自动链接,请在供应实例时将 --default-trusted-profile-auto-link 选项设置为 true。 以下示例显示了自动链接设置为 false 的供应命令实例。
ibmcloud is instance-create .... --default-trusted-profile "Profile-9fd84246-7df4-4667-94e4-8ecde51d5ac5" --default-trusted-profile-auto-link false
使用 CLI 启用安全访问
您可以启用对实例元数据服务的安全访问。 启用安全访问后,元数据服务只能通过加密的 HTTP 安全协议 ( HTTPS ) 访问虚拟服务器实例。 当安全访问被禁用时,元数据服务只能通过未加密的 HTTP 协议由虚拟服务器实例访问。 安全访问默认为禁用。
在以下场景中可能需要某些属性:
- 您正在使用 IBM Cloud CLI Virtual Server Instance for VPC 计算资源身份登录方法。 有关更多信息,请参阅 以虚拟服务器实例计算资源身份登录。
- 您正在实例中使用带有 VPC 实例认证 的 IBM Cloud SDK,并且已启用对实例元数据服务的安全访问。 有关更多信息,请参阅 IBM Cloud Go SDK。
在供应实例时启用安全访问
要在供应实例时启用安全访问,请在使用 instance-create 命令时指定 --metadata-service-protocol 选项的值。 对于安全访问,请指定 https。 缺省设置为未加密 http。
ibmcloud is instance-create INSTANCE_NAME VPC ZONE_NAME PROFILE_NAME SUBNET ... [--metadata-service-protocol http | https] ...
--metadata-service-protocol value : The communication protocol to use for the metadata service
endpoint. Applies only when the metadata service is enabled. One of: http, https. (default: "http")
要对现有实例启用安全访问,请在使用 instance-update 命令时为 metadata service 的 protocol 子属性指定值。
使用 CLI 设置元数据中继段限制
通过对实例的 Metadata service 属性的 Response hop limit 子属性指定介于 1 (缺省值) 与 64 之间的中继段限制值,可以为来自元数据服务的 IP 响应包设置中继段限制。
在供应实例时设置元数据中继段限制
要在供应实例时设置元数据中继段限制,请在使用 instance-create 命令时为 --metadata-service-response-hop-limit 选项指定 1 (缺省值) 和 64 之间的中继段限制值。
ibmcloud is instance-create INSTANCE_NAME VPC ZONE_NAME PROFILE_NAME SUBNET ... [--metadata-service-response-hop-limit METADATA-SERVICE-RESPONSE-HOP-LIMIT] ...
--metadata-service-response-hop-limit value : The hop limit (IP time to live) for IP response packets
from the metadata service. (default: 1)
使用 API 配置元数据设置
您可以使用 API 来启用和禁用元数据服务的功能。
使用 API 禁用自动链接
您可以在供应实例时禁用实例元数据服务的自动链接。 选择可信概要文件时,将自动启用自动链接。 启用自动链接时,当供应实例时,指定的可信概要文件将自动链接到虚拟服务器实例。 与使用自动链接供应的实例关联的可信概要文件在启动时立即可供该实例使用。 禁用自动链接时,必须将指定的受信任配置文件链接到实例,实例才能使用该配置文件。
要使用 API 禁用自动链接,必须将 default_trusted_profile 属性的 auto_link 值设置为 false。 以下示例显示禁用了 auto_link 选项的 default_trusted_profile 属性。
"default_trusted_profile": {
"auto_link": false,
"target": {
"id": "Profile-9fd84246-7df4-4667-94e4-8ecde51d5ac5"
}
},
使用 API 启用安全访问
您可以启用对实例元数据服务的安全访问。 启用安全访问后,元数据服务只能通过加密的 HTTP 安全协议 ( HTTPS ) 访问虚拟服务器实例。 当安全访问被禁用时,元数据服务只能通过未加密的 HTTP 协议由虚拟服务器实例访问。 安全访问默认为禁用。 在以下场景中可能需要某些属性:
- 您正在使用 IBM Cloud CLI Virtual Server Instance for VPC 计算资源身份登录方法。 有关更多信息,请参阅 以虚拟服务器实例计算资源身份登录。
- 您正在实例中使用带有 VPC 实例认证 的 IBM Cloud SDK,并且已启用对实例元数据服务的安全访问。 有关更多信息,请参阅 IBM Cloud Go SDK。
在供应实例时启用安全访问
要启用安全访问,使用 POST /instances 方法供应实例时,请为实例的 metadata_service.protocol 属性指定值。 对于安全访问,请指定 https。 缺省设置为未加密 http。
对现有实例启用安全访问
要对现有实例启用安全访问,请使用 PATCH /instances/{id} 方法来更新实例。 为实例的 metadata_service.protocol 属性指定值。 对于安全访问,请指定 https。 缺省设置为未加密 http。
使用 API 设置元数据中继段限制
您可以使用 metadata_service.response_hop_limit 属性来设置来自元数据服务的 IP 响应包的中继段限制
仅当通过将 metadata_service.enabled 设置为 true 来启用元数据服务时,此属性才适用。 缺省值为 false。
在供应实例时设置元数据中继段限制
要在供应实例时设置响应,请调用 POST /instances method 方法,并指定 1 (缺省值) 和 64 之间的 metadata_service.response_hop_limit 属性值。
仅当通过将 metadata_service.enabled 设置为 true 来启用元数据服务时,此属性才适用。 缺省值为 false。
对现有实例设置元数据中继段限制
要对现有实例设置响应中继段限制,请调用 PATCH /instances/{id} 方法,并指定 1 (缺省值) 与 64 之间的 metadata_service.response_hop_limit 属性值。
实例元数据的活动跟踪事件
当您获得 实例访问身份令牌 并 使用服务 时,就会触发活动跟踪事件。 有关这些事件的更多信息,请参阅 实例元数据服务事件。
后续步骤
创建实例身份访问令牌并启用元数据服务后,可以检索实例,SSH 密钥和放置组的元数据。 有关更多信息,请参阅 使用实例元数据服务。