配置实例公网或私网访问白名单

通过公网或私网访问阿里云Elasticsearch(ES)实例时,需要先将待访问设备的IP地址加入实例的访问白名单中。如果遇到访问ES失败的问题,您也可以优先根据本文检查是否已将正确的IP地址加入到了对应白名单中。

前提条件

已创建阿里云Elasticsearch实例。具体操作,请参见创建阿里云Elasticsearch实例

注意事项

  • 通过公网访问阿里云ES实例,会存在网络安全性较差且网络不稳定的现象。如果您对访问环境的安全性和网络的稳定性要求较高,建议优先使用专有网络进行私网访问。

  • 阿里云Elasticsearch免费提供公网访问,默认带宽为5 Gbps。

操作步骤

  1. 登录阿里云Elasticsearch控制台
  2. 在左侧导航栏,单击Elasticsearch实例
  3. 进入目标实例。
    1. 在顶部菜单栏处,选择资源组和地域。
    2. Elasticsearch实例中单击目标实例ID。
  4. 在左侧导航栏,选择配置与管理 > 安全配置

  5. 集群网络设置区域,单击VPC私网访问白名单公网地址访问白名单右侧的修改

    说明

    公网访问默认关闭,添加公网访问白名单时,需要先打开公网访问开关。

  6. 在修改白名单面板,单击default分组右侧的配置

    说明

    您也可以单击新增IP白名单分组,在新的白名单分组中添加白名单。详细信息请参见

  7. 在弹出的对话框中,将待访问设备的IP地址添加至白名单中。

    建议您根据下表匹配业务场景,并获取正确的IP地址。

    场景

    需获取的IP地址

    获取方式

    通过本地设备访问阿里云ES实例。

    本地设备的公网IP地址。

    说明

    如果您的本地设备处在家庭网络或公司局域网中,需要添加局域网的公网出口IP地址。

    在本地设备的浏览器中访问www.cip.cc,或在本地设备中执行curl cip.cc

    客户端通过公网访问阿里云ES实例。

    客户端的公网IP地址。

    例如,某ECS与ES实例在不同专有网络中,通过该ECS公网访问ES实例时,需要获取该ECS的公网IP地址。

    以获取ECS的私网IP地址或公网IP地址为例:

    1. 登录ECS管理控制台

    2. 在左侧导航栏单击实例

    3. 在顶部菜单栏选择实例所在地域。

    4. 在ECS实例列表中查看目标实例的公网IP地址或私网IP地址。

    客户端通过私网访问阿里云ES实例。

    客户端的私网IP地址。

    例如,某ECS与ES实例在同一专有网络中,通过该ECS私网访问ES实例时,需要获取该ECS的私网IP地址。

    访问白名单配置说明:

    • 白名单支持配置IP地址或IP网段,例如192.168.0.1或192.168.0.0/24。

      说明

      白名单为IP网段的形式时,需要添加掩码计算后子网网段的第一个IP地址。

    • 白名单的IP地址或IP网段数量上限为300个,多个IP地址之间用英文逗号(,)隔开。

    • 如果您的IP地址会随时变化,建议您配置对应IP网段。

    • 公网地址访问白名单默认为127.0.0.1,代表禁止所有IPv4地址访问。

    • VPC私网访问白名单默认为0.0.0.0/0,代表允许所有私网IPv4地址访问,从安全角度不建议您配置允许所有IPv4地址访问。

      说明

      部分版本和地域不支持将IP白名单配置为0.0.0.0/0,实际请以配置页面提示为准。

    • 仅杭州地域支持配置公网IPv6地址访问,例如2401:XXXX:1000:24::5或2401:XXXX:1000::/48。

      说明
      • ::1代表禁止所有IPv6地址访问,::/0代表允许所有IPv6地址访问,从安全角度不建议您配置允许所有IPv6地址访问。

      • 部分版本的实例不支持将IP白名单配置为::/0,实际请以配置页面提示为准。

  8. 单击确认

  9. (可选)在面板右上角单击image.png图标,返回安全配置页面,查看VPC私网访问白名单或公网地址访问白名单。

    白名单显示不全时,可以将鼠标放在IP地址上查看完整的白名单。白名单中出现您添加的IP地址,说明白名单配置成功。白名单配置成功

管理IP白名单分组

以下操作以公网地址访问白名单为例。

操作

步骤

新增IP白名单分组

  1. 安全配置页面,单击公网地址访问白名单右侧的修改

  2. 修改公网访问白名单面板,单击新增IP白名单分组

    说明

    系统默认包含default分组,此分组中包含默认配置的白名单。

  3. 在弹出的对话框中,输入IP白名单分组名称和白名单内IP地址,并单击确认

查看白名单内的IP地址

安全配置页面,查看公网地址访问白名单。

白名单显示不全时,可以将鼠标放在IP地址上查看完整的白名单。

修改IP白名单分组

  1. 安全配置页面,单击公网地址访问白名单右侧的修改

  2. 修改公网访问白名单面板,单击目标IP白名单分组右侧的配置

  3. 在弹出的对话框中,修改白名单内IP地址,并单击确认

    说明

    暂不支持修改IP白名单分组名称

删除IP白名单分组

  1. 安全配置页面,单击公网地址访问白名单右侧的修改

  2. 修改公网访问白名单面板,单击目标IP白名单分组右侧的删除

  3. 在弹出的对话框中,单击确认

常见问题

  • Q:配置了白名单,但Elasticsearch依然无法访问?

    A:可能是白名单配置不正确,请根据上文获取IP地址的方式,检查IP地址是否配置正确。您还可以执行curl命令测试ES实例是否能正常访问,请参见访问Elasticsearch

  • Q:白名单IP地址数量不够用怎么办?

    A:您可以将IP地址合并为IP网段,通过网段的方式减少白名单IP地址的个数。

相关文档