当您需要通过公网或私网来访问Kibana服务时,可将待访问设备的IP地址加入到Kibana集群的公网或私网访问白名单中。本文介绍如何配置Kibana集群的公网或私网访问白名单。

前提条件

已创建阿里云Elasticsearch实例。具体操作,请参见创建阿里云Elasticsearch实例

注意事项

配置公网白名单的作用是通过公网访问Kibana服务,不支持通过Kibana控制台访问公网中的服务(例如百度地图、高德地图等),只能访问专有网络中的服务。

设置IP白名单

  1. 登录阿里云Elasticsearch控制台
  2. 在左侧导航栏,单击Elasticsearch实例
  3. 进入目标实例。
    1. 在顶部菜单栏处,选择资源组和地域。
    2. 在左侧导航栏,单击Elasticsearch实例,然后在Elasticsearch实例中单击目标实例ID。
  4. 在左侧导航栏,选择配置与管理 > 可视化控制
  5. Kibana区域,单击修改配置
  6. 访问配置区域,单击Kibana公网访问白名单Kibana私网访问白名单右侧的修改,配置对应的IP白名单。
    说明
    • 配置Kibana私网访问白名单时,需要先打开Kibana私网访问开关(默认关闭)再进行操作。
    • Kibana公网访问默认开启(绿色),关闭Kibana公网访问功能,公网入口隐藏,您将无法通过公网进入Kibana控制台。开启Kibana公网访问功能,仅会触发与Kibana对接的负载均衡SLB端的变更,不会触发Elasticsearch集群变更,所以此操作不会影响Elasticsearch集群。
    • Kibana私网访问默认关闭(灰色),开启Kibana私网访问功能,私网入口显示,您可以通过内网进入Kibana控制台。开启Kibana私网访问功能,仅会触发与Kibana对接的负载均衡SLB端的变更,不会触发Elasticsearch集群变更,所以此操作不会影响Elasticsearch集群。
  7. 在修改白名单面板,单击default分组右侧的配置
    说明
    • Kibana公网访问白名单默认禁止所有公网地址访问,Kibana私网访问白名单默认允许所有私网IPv4地址访问。以443为公网访问端口的Kibana实例,暂不支持Kibana私网访问,仅以5601为公网访问端口的Kibana实例可支持开放私网访问,具体以控制台为准。
    • 您也可以单击新增IP白名单分组,自定义白名单分组名称,详细信息请参见管理IP白名单分组
  8. 在弹出的对话框中,将待访问设备的IP地址添加至白名单中。
    建议您根据下表匹配业务场景获取正确的IP地址,并将其添加至白名单中。
    场景 需获取的IP地址 获取方式
    需要通过内网客户端访问Kibana服务,例如应用部署在与Kibana集群在同一专有网络下的ECS中,此时可通过内网访问。 客户端的私网IP地址。 以ECS为例,获取私网或公网IP地址的方式如下:
    1. 登录ECS管理控制台
    2. 在左侧导航栏单击实例
    3. 在顶部菜单栏选择实例所在地域。
    4. 在实例列表中查看对应实例的私网IP地址和公网IP地址。
    需要通过公网客户端访问Kibana服务,例如应用部署在与Kibana集群不同专有网络下的ECS中,此时可通过公网访问。 客户端的公网IP地址。
    需要通过本地设备访问Kibana服务。 本地设备的公网IP地址。 如果您的本地设备处在家庭网络或公司局域网中,您需要将局域网的公网出口IP地址添加到白名单中,而非本地设备的公网或私网机制。建议您通过浏览器访问myip.ipip.net获取您当前使用的公网IP地址。
    在配置IP白名单时,您需要遵循以下规则:
    • 公网和私网访问白名单都支持配置为单个IP地址或IP网段的形式,格式为192.168.0.1或192.168.0.0/24,多个IP地址之间用英文逗号隔开。127.0.0.1代表禁止所有IPv4地址访问,0.0.0.0/0代表允许所有IPv4地址访问,从安全角度不建议您配置允许所有IPv4地址访问。
      说明
      • 白名单下的IP地址或者IP网段数量最多支持300个。
      • 阿里云Elasticsearch不允许同时配置0.0.0.0/0和一个或多个具体的IP地址或IP网段,否则系统会提示报错。如果您需要配置0.0.0.0/0用来测试,请单独配置。
    • 目前杭州地域支持公网IPv6地址访问,并且可以配置IPv6地址白名单,格式为2401:b180:1000:24::5或2401:b180:1000::/48。::1代表禁止所有IPv6地址访问,::/0代表允许所有IPv6地址访问,从安全角度不建议您配置允许所有IPv6地址访问。
      说明 部分版本的实例不支持将IP白名单配置为::/0,实际请以页面报错提示为准。如果您的IP会随时变化,建议您配置对应网段。
  9. 单击确认
    确认后,如果对应白名单中出现您添加的IP地址,说明配置成功。只有白名单配置成功后,您才可以通过对应的客户端访问Kibana服务。Kibana公网访问权限

管理IP白名单分组

以下操作以配置Kibana公网访问白名单为例。

新增IP白名单分组

  1. Kibana配置页面的访问配置区域,单击Kibana公网访问白名单右侧的修改
  2. 修改Kibana公网访问白名单面板,单击新增IP白名单分组
  3. 新增IP白名单分组对话框中,输入IP白名单分组名称白名单内IP地址
    新增IP白名单
    参数 说明
    IP白名单分组名称 可自定义,需由小写字母、数字、下划线(_)组成,字母开头,字母或数字结尾,长度为2~120个字符。
    白名单内IP地址
    • 公网和私网访问白名单都支持配置为单个IP地址或IP网段的形式,格式为192.168.0.1或192.168.0.0/24,多个IP地址之间用英文逗号隔开。127.0.0.1代表禁止所有IPv4地址访问,0.0.0.0/0代表允许所有IPv4地址访问,从安全角度不建议您配置允许所有IPv4地址访问。
      说明
      • 白名单下的IP地址或者IP网段数量最多支持300个。
      • 阿里云Elasticsearch不允许同时配置0.0.0.0/0和一个或多个具体的IP地址或IP网段,否则系统会提示报错。如果您需要配置0.0.0.0/0用来测试,请单独配置。
    • 目前杭州地域支持公网IPv6地址访问,并且可以配置IPv6地址白名单,格式为2401:b180:1000:24::5或2401:b180:1000::/48。::1代表禁止所有IPv6地址访问,::/0代表允许所有IPv6地址访问,从安全角度不建议您配置允许所有IPv6地址访问。
      说明 部分版本的实例不支持将IP白名单配置为::/0,实际请以页面报错提示为准。如果您的IP会随时变化,建议您配置对应网段。
    说明 系统默认包含default分组,此分组里包含之前已经创建的白名单和默认配置的白名单。
  4. 单击确认
    确认后,系统会在当前页面显示您创建的IP白名单分组,并且您可以查看、修改或删除该白名单分组。创建结果

查看白名单内的IP地址

  1. Kibana配置页面的访问配置区域,单击Kibana公网访问白名单右侧的修改
  2. 修改Kibana公网访问白名单面板,单击目标IP白名单分组名称。
  3. 在当前页面查看IP白名单分组中所包含的IP地址。

修改IP白名单分组

  1. Kibana配置页面的访问配置区域,单击Kibana公网访问白名单右侧的修改
  2. 修改Kibana公网访问白名单面板,单击目标IP白名单分组右侧的配置
  3. 在弹出的对话框中,修改白名单内IP地址内容。
    说明 不支持修改IP白名单分组名称
  4. 单击确认

删除IP白名单分组

  1. Kibana配置页面的访问配置区域,单击Kibana公网访问白名单右侧的修改
  2. 修改Kibana公网访问白名单面板,单击目标IP白名单分组右侧的删除
  3. 单击确认

相关文档

  • 开启或关闭Kibana公网或私网访问的API文档:TriggerNetwork
  • 更新Kibana公网或私网访问白名单的API文档:ModifyWhiteIps

常见问题