Serverless应用添加白名单-检索分析服务 Elasticsearch版(ES)-阿里云帮助中心

如果您需要通过公网或私网访问Elasticsearch Serverless（简称ES Serverless）服务的应用或应用的Kibana，需要开启并配置Serverless应用及Kibana的公网或私网访问。开启公网访问需要设置访问白名单，开启私网访问需要为应用关联终端节点并配置访问白名单。

背景信息

公网访问通过公共互联网访问Serverless应用，访问方式便捷，但可能存在网络安全性较差、网络不稳定的现象。

私网访问通过阿里云私网连接（PrivateLink）建立您的专有网络VPC与Serverless应用的私有连接，可以避免公网访问带来的潜在安全风险。关于PrivateLink的更多信息，请参见什么是私网连接。

开启应用私网访问时，需要创建并关联一个Serverless托管的终端节点，以实现VPC和ES Serverless服务的私网连接。
由ES Serverless托管创建的PrivateLink终端节点所产生的实例及流量费用，由阿里云ES作为服务提供方承担，用户无需付费。

操作步骤

配置公网访问应用

登录Elasticsearch Serverless控制台，在顶部菜单栏切换至目标地域。
在左侧导航栏单击应用管理，进入应用列表。
单击目标应用名称，进入应用详情页。
打开公网访问应用或公网访问Kibana开关。
说明
如果对应开关已打开，单击对应开关后的白名单设置，修改白名单。

在弹出的对话框中，添加待访问设备的白名单IP地址。

建议您根据下表匹配业务场景，获取正确的IP地址，并将其添加至对应白名单中。

场景

需获取的IP地址

获取方式

通过本地设备公网访问Serverless应用的Kibana服务。

本地设备的IP地址。

说明

如果您的本地设备处在家庭网络或公司局域网中，需要添加局域网的公网出口IP地址。

在本地设备的浏览器中访问www.cip.cc，或在本地设备中执行curl cip.cc。

您还可以单击添加当前IP地址，将当前设备的IP地址自动添加到白名单中。使用该功能前必须先关闭本地代理。

客户端通过公网访问Serverless应用。

客户端的公网IP地址。

以获取ECS实例的IP地址为例：

登录ECS管理控制台。
在左侧导航栏单击实例。
在顶部菜单栏选择实例所在地域。
在ECS实例列表中查看目标实例的公网IP地址或私网IP地址。

说明

不支持公网IPv6地址。
IP白名单组最多支持200个，每组白名单下的IP地址或者IP网段数量最多支持1000个。

支持配置单个IP地址（例如，192.168.0.1）、IP网段（例如，192.168.0.0/24）和多个IP地址，多个IP地址之间用英文逗号（,）隔开。
- 如果白名单为IP网段，您需要填写的IP地址为掩码计算后子网网段的第一个IP地址。
- 127.0.0.1表示禁止所有IPv4地址访问。
- 0.0.0.0/0表示允许所有IPv4地址访问，该设置将降低应用数据安全性，请谨慎使用。

单击确定。

配置私网访问应用

登录Elasticsearch Serverless控制台，在顶部菜单栏切换至目标地域。
在左侧导航栏单击应用管理，进入应用列表。
单击目标应用名称，进入应用详情页。
打开私网访问应用或私网访问Kibana开关。
说明
如果对应开关已打开，单击对应开关后的私网白名单设置修改私网访问的白名单，或者单击对应开关后的私网访问设置，修改应用关联的终端节点。

在弹出的对话框中，选择已有的私网终端节点。

专有网络根据选择的私网终端节点自动加载。

您也可以单击私网终端节点文本框下的新建终端节点，新建一个终端节点。

参数说明：

说明

通过PrivateLink实现私网访问需要通过RAM角色扮演（服务关联角色）的方式访问Privatelink等其他云服务的资源。如果您未创建过相关服务关联角色，系统将自动为您创建。更多信息，请参见ES Serverless服务关联角色介绍。

参数	说明
终端节点名称	输入终端节点的名称，创建后不允许修改。终端节点名称需满足以下条件：长度为2~128个字符。以英文大小写字母或中文开头。可包含数字、下划线（_）和连字符（-）。
选择专有网络	选择所属地域下的专有网络。说明专有网络是一种隔离的网络环境，安全性和性能均高于传统的经典网络。如果没有合适的专有网络VPC，您可前往专有网络控制台创建。
选择交换机	选择可用区和交换机。交换机只显示专有网络中与所选可用区相同的交换机。为实现业务的高可用和稳定性保障，建议至少选择两个可用区。若没有合适的交换机，您可前往专有网络控制台创建。仅支持部分可用区，实际以控制台为准。杭州：可用区G、H、I 北京：可用区G、H、I 上海：可用区B、G、F 深圳：可用区D、E、F

添加待访问设备的白名单IP地址。

建议您根据下表匹配业务场景，获取正确的IP地址，并将其添加至对应白名单中。

场景

需获取的IP地址

获取方式

通过本地设备私网访问Serverless应用的Kibana服务。

本地设备的IP地址。

说明

如果您的本地设备处在家庭网络或公司局域网中，需要添加局域网的公网出口IP地址。

在本地设备的浏览器中访问www.cip.cc，或在本地设备中执行curl cip.cc。

您还可以单击添加当前IP地址，将当前设备的IP地址自动添加到白名单中。使用该功能前必须先关闭本地代理。

客户端通过私网访问Serverless应用。

客户端的私网IP地址。

以获取ECS实例的IP地址为例：

登录ECS管理控制台。
在左侧导航栏单击实例。
在顶部菜单栏选择实例所在地域。
在ECS实例列表中查看目标实例的公网IP地址或私网IP地址。

说明

仅支持添加在固定私网网段的IP地址。例如，10.0.0.0/8，172.16.0.0/12，192.168.0.0/16，127.0.0.1，0.0.0.0/0等。
- 127.0.0.1表示禁止所有IPv4地址访问。
- 0.0.0.0/0表示允许所有IPv4地址访问，该设置将降低应用数据安全性，请谨慎使用。
白名单将添加到与专有网络同名的私网白名单分组中，您可在添加完成后自行修改白名单。

单击确认。

管理公网或私网访问配置

在应用管理页面的应用列表中，单击目标应用名称，进入目标应用详情页面。

项目

操作

修改白名单

单击公网访问应用、私网访问应用、公网访问Kibana或私网访问Kibana开关后的白名单设置。
说明
如果对应访问开关没有开启，请参见上文的操作步骤。
在修改访问白名单面板，单击分组右侧的配置。
您也可以单击新增IP白名单分组，在新的分组中增加白名单。
修改白名单内IP地址后，单击保存。
修改后的IP地址显示在对应分组的下方，表明白名单修改成功。
单击确定。

说明

如果您仅需要增加私网访问白名单，也可以通过添加应用关联的终端节点来实现。

管理终端节点

在Elasticsearch Serverless服务控制台的左侧导航栏，单击VPC终端节点，进入VPC终端节点管理页面。

项目	操作
查看终端节点信息	在VPC终端节点页面：在终端节点列表中，查看各节点的专有网络、可用性状态和连接状态。单击目标终端节点ID，在专有网络控制台查看该终端节点的详细信息。单击目标专有网络ID，在专有网络控制台查看该专有网络的详细信息。
新建终端节点	在VPC终端节点页面，单击新建终端节点。输出终端节点名称，选择专有网络和交换机后，单击确认。说明创建完成后，终端节点的状态为创建中，预计等待1-3分钟节点状态变为可用。
修改终端节点信息	在VPC终端节点页面，单击目标终端节点操作列上的修改，修改终端节点的名称和交换机，终端节点的专有网络不允许修改。
删除终端节点	在VPC终端节点页面，单击目标终端节点操作列上的删除，删除终端节点。说明如果终端节点被一个或多个应用关联，不允许直接删除，需要先在应用中移除该终端节点。具体操作，请参见移除应用关联的终端节点。

配置Serverless应用公网或私网访问