全球加速提供监听级别的访问控制。您可以针对不同的监听实例配置不同的访问控制方式和访问控制策略组。

访问控制介绍

访问控制功能由访问控制方式和访问控制策略组组成,访问控制方式包括白名单和黑名单,访问控制策略组可以添加多个IP地址条目或IP地址段条目。您可以针对不同的监听设置访问白名单或黑名单:
  • 白名单:仅转发来自所选访问控制策略组中设置的IP地址或地址段的所有请求,白名单适用于只允许特定IP访问的场景。
  • 黑名单:来自所选访问控制策略组中设置的IP地址或地址段的所有请求都不会转发,黑名单适用于应用只限制某些特定IP访问的场景。
注意
  • 设置白名单存在一定业务风险。一旦设置白名单,就只有白名单中的IP地址可以访问全球加速监听。如果开启了白名单访问,但访问策略组中没有添加任何IP,则全球加速监听会屏蔽所有转发请求。
  • 如果开启了黑名单访问,但访问策略组中没有添加任何IP,则全球加速监听会转发全部请求。

创建访问控制策略组时,支持选择IPv4版本和IPv6版本。您可以根据接入点加速IP版本,为监听开启对应IP版本的访问控制策略组。

访问控制

使用限制

  • 一个监听挂载的访问控制策略组包含的访问控制条目IP总数上限为200,且控制条目IP不能重复。
  • 一个访问控制策略组能够关联的监听总数为10。
  • 一个监听最多只支持添加2个访问控制策略组,且必须分别为IPv4和IPv6版本的访问控制策略组,不能同时为IPv4访问控制策略组或IPv6访问控制策略组。
  • 当监听同时添加了一个IPv4和一个IPv6版本的访问控制策略组时,仅可生效与加速IP版本一致的访问控制策略组。

配置流程

访问控制配置流程如下图所示:

访问控制配置流程
访问控制配置流程说明如下:
  1. 创建访问控制策略组:在开启访问控制前,需要先创建访问控制策略组。
  2. 添加策略组条目:每个策略组可以添加多个IP地址条目或IP地址段条目。
  3. 为监听开启访问控制:为监听开启访问控制,选择访问控制方式,并绑定访问控制策略组。

创建访问控制策略组

在开启访问控制前,您需要先配置访问控制策略组。

  1. 登录全球加速管理控制台
  2. 在左侧导航栏,单击访问控制
  3. 访问控制页面,单击创建访问控制策略组,输入策略组名称并选择IP版本
    您可以根据需求选择访问控制策略组的IP版本,包括IPv4IPv6
    • 选择IPv4时,该访问控制策略组仅针对加速IP为IPv4地址协议的加速地域生效。
    • 选择IPv6时,该访问控制策略组仅针对加速IP为IPv6地址协议的加速地域生效。
  4. 单击确定

添加策略组条目

创建完访问控制策略组后,每个策略组可添加多个IP地址条目或IP地址段条目,从而实现允许或者限制全球加速监听对这些IP条目访问请求的转发。

  1. 登录全球加速管理控制台
  2. 在左侧导航栏,单击访问控制
  3. 找到目标访问控制策略组,在操作列单击管理访问控制策略组
  4. 添加策略组条目。
    • 单个添加策略组条目

      单击添加条目,在添加策略组条目对话框,输入要添加的IP地址或IP地址段条目和备注,单击确定

      备注长度为2~256个字符,支持中文、字母、数字、短划线(-)、正斜线(/)、半角句号(.)、下划线(_)、半角逗号(,)、半角分号(;)和at(@)。单个添加策略组条目
    • 批量添加策略组条目

      单击批量添加条目,在批量添加策略组条目对话框,批量添加IP地址或IP地址段,单击确定

      在添加条目时注意:
      • 每个条目一行,以回车分隔。
      • 每个条目中IP地址或IP地址段与备注之间用竖线(|)分隔,例如:47.57.XX.XX|备注。
      • 备注长度为2~256个字符,支持中文、字母、数字、短划线(-)、正斜线(/)、半角句号(.)、下划线(_)、半角逗号(,)、半角分号(;)和at(@)。
      批量添加策略条目

为监听开启访问控制

全球加速提供监听级别的访问控制。您可以针对不同的监听设置访问白名单或黑名单。

在开启访问控制前,请确保您已创建监听。更多信息,请参见添加监听

  1. 登录全球加速管理控制台
  2. 实例列表页面,找到目标全球加速实例,然后在操作列单击配置监听
  3. 监听页签下,单击待开启访问控制的监听ID。
  4. 监听详情页签下,打开访问控制开关。
  5. 开启访问控制对话框配置以下参数,然后单击确定开启
    配置 说明
    访问控制方式 选择一种访问控制方式:
    • 白名单:转发来自所选访问控制策略组中设置的IP地址或地址段的请求。
    • 黑名单:来自所选访问控制策略组中设置的IP地址或地址段的所有请求都不会转发。
    注意
    • 设置白名单存在一定业务风险。一旦设置白名单,就只有白名单中的IP地址可以访问全球加速监听。如果开启了白名单访问,但访问策略组中没有添加任何IP,则全球加速监听会屏蔽所有转发请求。
    • 如果开启了黑名单访问,但访问策略组中没有添加任何IP,则全球加速监听会转发全部请求。
    选择访问控制策略组 选择一个访问控制策略组。

删除策略组条目

您可以删除访问控制策略组中的IP地址条目。

  1. 登录全球加速管理控制台
  2. 在左侧导航栏,单击访问控制
  3. 找到目标访问控制策略组,在操作列单击管理访问控制策略组
  4. 在目标IP条目的操作列下单击删除,或选中多个IP条目,然后在条目列表下方单击删除
  5. 在弹出的对话框中,单击确定

关闭访问控制

如果不需要对监听设置访问限制,您可以对监听关闭访问控制。

  1. 登录全球加速管理控制台
  2. 实例列表页面,找到目标全球加速实例,然后在操作列单击配置监听
  3. 监听页签下,单击待关闭访问控制的监听ID。
  4. 监听详情页签下,关闭访问控制开关。