您可以为监听开启访问控制功能,通过设置访问白名单或黑名单,实现客户端请求的精确控制。
访问控制介绍
访问控制功能由访问控制策略组和访问控制方式组组成。
- 访问控制策略组:可以添加多个IP地址条目或IP地址段条目。
- 访问控制方式:您可以针对不同的监听设置访问白名单或黑名单。
- 白名单:仅转发来自所选访问控制策略组中设置的IP地址或地址段的所有请求,白名单适用于只允许特定IP访问的场景。
- 黑名单:来自所选访问控制策略组中设置的IP地址或地址段的所有请求都不会转发,黑名单适用于只限制某些特定IP访问的场景。
警告
- 设置白名单存在一定业务风险。一旦设置白名单,就只有白名单中的IP地址可以访问全球加速监听。如果开启了白名单访问,但访问策略组中没有添加任何IP,则全球加速监听会屏蔽所有转发请求。
- 如果开启了黑名单访问,但访问策略组中没有添加任何IP,则全球加速监听会转发全部请求。
创建访问控制策略组时,支持选择IPv4版本和IPv6版本。您可以根据接入点加速IP版本,为监听开启对应IP版本的访问控制策略组。
使用限制
- 仅智能路由类型监听支持开启访问控制功能。
- 一个监听关联的访问控制策略组包含的IP地址条目或IP地址段条目总数上限为200,且各条目中的IP地址不能重复。
- 一个访问控制策略组能够关联的监听总数为10。
- 一个监听最多支持关联一个IPv4版本的访问控制策略组和一个IPv6版本的访问控制策略组。当监听同时关联了一个IPv4和一个IPv6版本的访问控制策略组时,仅可生效与加速IP版本一致的访问控制策略组。
配置流程
创建访问控制策略组
在开启访问控制前,您需要先创建访问控制策略组。
添加策略组条目
创建完访问控制策略组后,每个策略组可添加多个IP地址条目或IP地址段条目,从而实现允许或者限制全球加速监听对这些IP条目访问请求的转发。
- 登录全球加速管理控制台。
- 在左侧导航栏,单击访问控制。
- 找到目标访问控制策略组,在操作列单击管理访问控制策略组。
- 在访问控制详情页面,可以通过以下两种方式添加策略组条目。
- 单个添加策略组条目
单击添加条目,在添加策略组条目对话框,输入地址/地址段和备注,单击确定。
- 批量添加策略组条目
单击批量添加条目,在批量添加策略组条目对话框,按照界面提示批量添加IP地址或IP地址段,单击确定。
- 单个添加策略组条目
为监听开启访问控制
在开启访问控制前,请确保您已创建监听。更多信息,请参见添加和管理智能路由类型监听。
为监听解绑访问控制策略组
您可以为监听解绑不再使用的访问控制策略组。
当为监听解绑所有访问控制策略组时,将直接关闭该监听的访问控制。
- 登录全球加速管理控制台。
- 在实例列表页面,找到目标全球加速实例,然后在操作列单击配置监听。
- 在监听页签下,单击待解绑访问控制策略组的监听ID。
- 在监听详情页签下的访问控制区域,在访问控制策略组右侧单击
图标。 - 在编辑访问控制策略组对话框,找到待解绑的访问控制策略组,在操作列单击解绑,然后单击确定。
为监听关闭访问控制
如果不需要对监听设置访问限制,您可以对监听关闭访问控制。
- 登录全球加速管理控制台。
- 在实例列表页面,找到目标全球加速实例,然后在操作列单击配置监听。
- 在监听页签下,单击待关闭访问控制的监听ID。
- 在监听详情页签的访问控制区域,关闭访问控制开关。
- 在弹出的对话框中,单击确定。
删除策略组条目
您可以删除访问控制策略组中的IP地址条目。
- 登录全球加速管理控制台。
- 在左侧导航栏,单击访问控制。
- 找到目标访问控制策略组,在操作列单击管理访问控制策略组。
- 在目标IP条目的操作列下单击删除,或选中多个IP条目,然后在条目列表下方单击删除。
- 在弹出的对话框中,单击确定。
删除访问控制策略组
您可以删除不再使用的访问控制策略组。
删除访问控制策略组前,需先与监听解除关联。具体操作,请参见为监听解绑访问控制策略组。
- 登录全球加速管理控制台。
- 在左侧导航栏,单击访问控制。
- 找到目标访问控制策略组,在操作列单击删除。
- 在弹出的对话框中,单击确定。
相关文档
- CreateAcl:创建访问控制策略组。
- AddEntriesToAcl:在访问控制策略组中添加IP条目。
- AssociateAclsWithListener:将访问控制策略组与监听进行关联。
- DissociateAclsFromListener:将访问控制策略组与监听解除关联。
- RemoveEntriesFromAcl:删除访问控制策略组中的IP条目。
- DeleteAcl:删除访问控制策略组。