配置实例公网或私网访问白名单

更新时间: 2023-12-05 18:15:54

当您需要通过公网或私网来访问阿里云Elasticsearch实例时,可将待访问设备的IP地址加入到实例的公网或私网访问白名单组中。本文介绍如何配置Elasticsearch实例的公网或私网访问白名单。

前提条件

已创建阿里云Elasticsearch实例。具体操作,请参见创建阿里云Elasticsearch实例

注意事项

通过公网访问阿里云Elasticsearch实例,会存在网络安全性较差且网络不稳定的现象。如果您对访问环境的安全性和网络的稳定性要求较高,建议优先使用专有网络进行访问。

设置IP白名单

  1. 登录阿里云Elasticsearch控制台
  2. 在左侧导航栏,单击Elasticsearch实例
  3. 进入目标实例。
    1. 在顶部菜单栏处,选择资源组和地域。
    2. Elasticsearch实例中单击目标实例ID。
  4. 在左侧导航栏,选择配置与管理 > 安全配置

  5. 集群网络设置区域,单击VPC私网访问白名单公网地址访问白名单右侧的修改,配置对应的IP白名单。

    说明

    配置公网地址访问白名单时,需要先打开公网访问开关(默认关闭)再进行操作。

  6. 在修改白名单面板,单击default分组右侧的配置

    说明
    • 公网地址访问白名单默认禁止所有公网地址访问,VPC私网访问白名单默认允许所有私网IPv4地址访问。

    • 您也可以单击新增IP白名单分组,自定义白名单分组名称,详细信息请参见管理IP白名单分组

  7. 在弹出的对话框中,将待访问设备的IP地址添加至白名单中。

    建议您根据下表匹配业务场景获取正确的IP地址,并将其添加至白名单中。

    场景

    需获取的IP地址

    获取方式

    需要通过内网客户端访问阿里云Elasticsearch实例,例如应用部署在与阿里云Elasticsearch实例在同一专有网络下的ECS中,此时可通过内网访问。

    客户端的私网IP地址。

    以ECS为例,获取私网或公网IP地址的方式如下:

    1. 登录ECS管理控制台

    2. 在左侧导航栏单击实例

    3. 在顶部菜单栏选择实例所在地域。

    4. 在实例列表中查看对应实例的私网IP地址和公网IP地址。

    需要通过公网客户端访问阿里云Elasticsearch实例,例如应用部署在与阿里云Elasticsearch实例不同专有网络下的ECS中,此时可通过公网访问。

    客户端的公网IP地址。

    需要通过本地设备访问阿里云Elasticsearch实例。

    本地设备的公网IP地址。

    如果您的本地设备处在家庭网络或公司局域网中,您需要将局域网的公网出口IP地址添加到白名单中,而非本地设备的公网或私网机制。建议您通过浏览器访问myip.ipip.net获取您当前使用的公网IP地址。

    在配置IP白名单时,您需要遵循以下规则:

    • 公网和私网访问白名单都支持配置为单个IP地址或IP网段的形式,格式为192.168.0.1或192.168.0.0/24,多个IP地址之间用英文逗号隔开。127.0.0.1代表禁止所有IPv4地址访问,0.0.0.0/0代表允许所有IPv4地址访问,从安全角度不建议您配置允许所有IPv4地址访问。

      说明
      • 白名单下的IP地址或者IP网段数量上限:

        • 云原生管控实例:50个。

        • 非云原生管控实例:300个。

      • 如果您设置的白名单为IP网段的形式,那么您填写的IP地址需要为掩码计算后子网网段的第一个IP地址。

      • 阿里云Elasticsearch 7.16等部分版本和部分地域(成都、广州、乌兰察布)的实例不支持将IP白名单配置为0.0.0.0/0,实际请以页面报错提示为准。如果您的IP地址会随时变化,建议您配置对应网段。

      • 阿里云Elasticsearch不允许同时配置0.0.0.0/0和一个或多个具体的IP地址或IP网段,否则系统会提示报错。如果您需要配置0.0.0.0/0用来测试,请单独配置。

    • 目前杭州地域支持公网IPv6地址访问,并且可以配置IPv6地址白名单,格式为2401:b180:1000:24::5或2401:b180:1000::/48。::1代表禁止所有IPv6地址访问,::/0代表允许所有IPv6地址访问,从安全角度不建议您配置允许所有IPv6地址访问。

      说明

      部分版本的实例不支持将IP白名单配置为::/0,实际请以页面报错提示为准。如果您的IP会随时变化,建议您配置对应网段。

  8. 单击确认

    确认后,如果对应白名单中出现您添加的IP地址,说明配置成功。只有白名单配置成功后,您才可以通过对应的客户端访问阿里云Elasticsearch实例。白名单配置成功

管理IP白名单分组

以下操作以配置VPC私网访问白名单为例。

新增IP白名单分组

  1. 安全配置页面,单击VPC私网访问白名单右侧的修改

  2. 修改VPC私网访问白名单面板,单击新增IP白名单分组

  3. 新增IP白名单分组对话框中,输入IP白名单分组名称白名单内IP地址

    创建白名单分组

    参数

    说明

    IP白名单分组名称

    可自定义,需由小写字母、数字、下划线(_)组成,字母开头,字母或数字结尾,长度为2~120个字符。

    白名单内IP地址

    • 公网和私网访问白名单都支持配置为单个IP地址或IP网段的形式,格式为192.168.0.1或192.168.0.0/24,多个IP地址之间用英文逗号隔开。127.0.0.1代表禁止所有IPv4地址访问,0.0.0.0/0代表允许所有IPv4地址访问,从安全角度不建议您配置允许所有IPv4地址访问。

      说明
      • 白名单下的IP地址或者IP网段数量上限:

        • 云原生管控实例:50个。

        • 非云原生管控实例:300个。

      • 如果您设置的白名单为IP网段的形式,那么您填写的IP地址需要为掩码计算后子网网段的第一个IP地址。

      • 阿里云Elasticsearch 7.16等部分版本和部分地域(成都、广州、乌兰察布)的实例不支持将IP白名单配置为0.0.0.0/0,实际请以页面报错提示为准。如果您的IP地址会随时变化,建议您配置对应网段。

      • 阿里云Elasticsearch不允许同时配置0.0.0.0/0和一个或多个具体的IP地址或IP网段,否则系统会提示报错。如果您需要配置0.0.0.0/0用来测试,请单独配置。

    • 目前杭州地域支持公网IPv6地址访问,并且可以配置IPv6地址白名单,格式为2401:b180:1000:24::5或2401:b180:1000::/48。::1代表禁止所有IPv6地址访问,::/0代表允许所有IPv6地址访问,从安全角度不建议您配置允许所有IPv6地址访问。

      说明

      部分版本的实例不支持将IP白名单配置为::/0,实际请以页面报错提示为准。如果您的IP会随时变化,建议您配置对应网段。

    说明

    系统默认包含default分组,此分组里包含之前已经创建的白名单和默认配置的白名单。

  4. 单击确认

    确认后,系统会在当前页面显示您创建的IP白名单分组,并且您可以查看、修改或删除该白名单分组。创建结果

查看白名单内的IP地址

  1. 安全配置页面,单击VPC私网访问白名单右侧的修改

  2. 修改VPC私网访问白名单面板,单击目标IP白名单分组名称。

  3. 在当前页面查看IP白名单分组中所包含的IP地址。

修改IP白名单分组

  1. 安全配置页面,单击VPC私网访问白名单右侧的修改

  2. 修改VPC私网访问白名单面板,单击目标IP白名单分组右侧的配置

  3. 在弹出的对话框中,修改白名单内IP地址内容。

    说明

    不支持修改IP白名单分组名称

  4. 单击确认

删除IP白名单分组

  1. 安全配置页面,单击VPC私网访问白名单右侧的修改

  2. 修改VPC私网访问白名单面板,单击目标IP白名单分组右侧的删除

  3. 单击确认

相关文档

常见问题

如何通过外网连接ES实例?

阿里云首页 检索分析服务Elasticsearch版 相关技术圈