配置Kibana公网或私网访问白名单

通过公网或私网访问阿里云Elasticsearch(简称ES)实例的Kibana服务前,需要将待访问设备的IP地址加入Kibana公网或私网访问白名单中。

前提条件

ES实例状态正常。

配置Kibana公网访问白名单

通过直接管理IP地址的方式实现对Kibana公网访问的白名单控制。

  1. 登录阿里云Elasticsearch控制台
  2. 在左侧导航栏,单击Elasticsearch实例
  3. 进入目标实例。
    1. 在顶部菜单栏处,选择资源组和地域。
    2. Elasticsearch实例中单击目标实例ID。
  4. 在左侧导航栏,选择配置与管理 > 可视化控制

  5. Kibana区域,单击修改配置

  6. 访问配置区域,单击Kibana公网访问白名单右侧的修改

    说明

    如果公网访问开关处于关闭状态,您需要先开启该开关。

  7. 在修改白名单面板,单击新增IP白名单分组,或单击分组名称右侧的配置

    说明

    IP白名单分组创建成功后,不支持修改IP白名单分组名称。

  8. 在弹出的对话框中,将待访问设备的IP地址添加至白名单中。

    建议您根据下表匹配业务场景,并获取正确的IP地址。

    场景

    需获取的IP地址

    获取方式

    通过本地设备访问Kibana服务。

    本地设备的公网IP地址。

    说明

    如果您的本地设备处在家庭网络或公司局域网中,需要添加局域网的公网出口IP地址。

    在本地设备的浏览器中访问www.cip.cc,或在本地设备中执行curl cip.cc

    客户端通过公网访问Kibana服务。

    客户端的公网IP地址。

    例如,某ECS与Kibana在不同的专有网络中,该ECS通过公网访问Kibana时,需要获取该ECS的公网IP地址。

    以获取ECS实例的IP地址为例:

    1. 登录ECS管理控制台

    2. 在左侧导航栏单击实例

    3. 在顶部菜单栏选择实例所在地域。

    4. 在ECS实例列表中查看目标实例的公网IP地址或私网IP地址。

    Kibana访问白名单配置说明:

    • 白名单支持配置IP地址或IP网段,例如192.168.0.1或192.168.0.0/24。

    • 白名单的IP地址或IP网段数量上限为300个,多个IP地址之间用英文逗号(,)隔开。

    • 127.0.0.1代表禁止所有IPv4地址访问,0.0.0.0/0代表允许所有私网IPv4地址访问,从安全角度不建议您配置允许所有IPv4地址访问。

    • 仅杭州地域支持配置公网IPv6地址访问,例如2401:XXXX:1000:24::5或2401:XXXX:1000::/48。

      说明
      • ::1代表禁止所有IPv6地址访问,::/0代表允许所有IPv6地址访问,从安全角度不建议您配置允许所有IPv6地址访问。

      • 部分版本的实例不支持将IP白名单配置为::/0,实际请以配置页面提示为准。

  9. 单击确认

  10. (可选)在面板右上角单击image.png图标,返回Kibana配置页面,在访问配置区域查看Kibana公网访问白名单或Kibana私网访问白名单。

    白名单显示不全时,可以将鼠标放在IP地址上查看完整的白名单。白名单中出现您添加的IP地址,说明白名单配置成功。

    Kibana公网访问权限

配置Kibana私网访问白名单

Kibana私网访问默认关闭,可按需开启。

Kibana公网端口为5601

如果Kibana公网端口为5601,开启Kibana私网访问后,您可以参考Kibana公网访问白名单的配置过程来配置Kibana私网访问的IP白名单。具体操作,请参见配置Kibana公网访问白名单

说明

客户端(例如ECS)通过私网访问Kibana服务,白名单需要配置客户端的私网IP地址。

Kibana公网端口为443

如果Kibana公网端口为443,开启Kibana私网访问后,将通过阿里云私网连接(PrivateLink)建立您的专有网络VPC与Kibana服务的私有连接,并通过安全组实现对Kibana私网访问的白名单控制。

说明

PrivateLink终端节点产生的费用目前由阿里云ES承担。关于PrivateLink的更多信息,请参见什么是私网连接

  1. 登录阿里云Elasticsearch控制台
  2. 在左侧导航栏,单击Elasticsearch实例
  3. 进入目标实例。
    1. 在顶部菜单栏处,选择资源组和地域。
    2. Elasticsearch实例中单击目标实例ID。
  4. 在左侧导航栏,选择配置与管理 > 可视化控制

  5. Kibana区域,单击修改配置

  6. 访问配置区域,打开Kibana私网访问开关。

  7. 开启Kibana私网访问面板,配置终端节点和安全组,并单击确定

    通过私网连接PrivateLink实现Kibana服务的私网访问,需要为每个Kibana新建并关联一个独立的终端节点。

    说明

    通过PrivateLink私网访问Kibana需要服务关联角色,如果您未创建过相关服务关联角色,系统将自动为您创建。详细信息,请参见阿里云ES服务关联角色

    参数

    描述

    终端节点名称

    终端节点名称自动生成,允许修改。

    终端节点网络配置

    • 与Elasticsearch一致:创建终端节点的专有网络和交换机与ES实例一致。

    • 自定义设置:选择创建终端节点的专有网络和交换机。

    安全组

    通过安全组规则实现私网访问Kibana的网络策略控制。

    • 选择已创建的安全组。

      说明
      • 安全组的端口范围需要包含5601(Kibana私网端口为5601)。修改安全组规则,请前往ECS安全组控制台,请参见修改安全组规则

      • 安全组的类型包括企业级安全组和普通安全组。Kibana私网访问修改安全组时,仅支持选择相同类型的安全组。例如,开启Kibana私网访问时选择了普通安全组,则仅支持在修改安全组时选择普通安全组。

    • 快速新建安全组:

      1. 单击安全组文本框下面的快速创建

      2. 输入安全组名称。

        安全组名称自动生成,允许修改。

      3. 输入授权IP地址。

        IP地址为待授权设备的私网IP地址。例如通过ECS私网访问Kibana服务,需要输入ECS实例的私网IP地址。

    说明
    • 单击确认后,需要等待一段时间,访问配置区域下方出现终端节点列表,表明Kibana私网访问配置成功。

    • 终端节点采用统一格式,创建后仅支持编辑终端节点名称。

    • ES控制台仅支持更换安全组。查询和管理安全组,请前往ECS安全组控制台

    • 关闭Kibana私网访问开关后,终端节点资源将会自动释放。若再次开启Kibana私网访问,需重新创建终端节点资源,但Kibana访问地址不会发生变化。

常见问题

  • Q:开启Kibana私网或公网访问功能,会影响ES集群吗?

    A:不会。开启Kibana私网或公网访问功能,仅会触发与Kibana对接的负载均衡SLB端的变更。

    说明

    首次开启Kibana私网访问会触发Kibana节点重启,但不会触发ES集群变更。

  • Q:添加了白名单,但Kibana还是无法访问,该如何处理?

    A:您可以根据以下内容依次进行排查:

    • ES实例需要处于健康状态。

    • IP地址配置可能不正确:如果您通过本地设备访问Kibana服务,在浏览器中访问www.cip.cc,检查获取的IP地址是否在Kibana公网访问白名单中。

    • 您添加的可能是ES实例的访问白名单:登录kibana需要配置kibana公网访问白名单或kibana私网访问白名单,在ES实例的配置与管理 > 可视化控制中修改Kibana白名单配置。

    • 清理浏览器缓存后重试。

    • 重启Kibana节点后重试。

  • Q:添加了安全组,且IP地址正确,为什么还是无法访问Kibana?

    A:Kibana私网端口为5601,因此安全组的端口范围需要包含5601。修改安全组规则,请前往ECS安全组控制台,或参见修改安全组规则

  • Q:为什么不支持在ES控制台修改安全组规则?

    A:安全组规则调整将影响所有通过该安全组规则进行访问控制的场景,故不支持在ES控制台修改安全组规则。修改安全组规则,请前往ECS安全组控制台

  • Q:Kibana规格为1核2 GiB,为什么不支持开启Kibana私网访问?

    A:1核2 GiB为测试规格,不推荐在生产中使用,如果您需要通过私网访问Kibana,建议先升配至2核4 GiB及以上规格。具体操作,请参见升配集群

  • 我可以在Kibana控制台中,访问公网中的服务吗(例如百度地图、高德地图等)?

  • 为什么7.16版本的Kibana私网域名解析出的IP地址不在我的VPC网络下?

相关文档