通过设置Nacos实例的白名单,您可以限制一定范围内的IP地址(通过单个IP地址或指定网段)来访问该实例,提高实例的安全性。在设置白名单时,需要获取发起访问设备的公网IP地址,确保配置白名单后,设备能够正确通过公网访问Nacos实例,在提升安全性的同时不影响使用。
前提条件
使用限制
MSE注册配置中心不支持设置内网白名单。
由于公网IP地址可能会发生变化,您需要定期检查并更新白名单中的IP地址,以确保授权的设备可以访问Nacos实例。
对于未开启鉴权的实例,公网白名单的掩码要求大于16,防止网段范围过大带来安全隐患。
操作步骤
登录MSE注册配置中心管理控制台,并在顶部菜单栏选择地域。
在左侧导航栏,选择注册配置中心 > 实例列表。
在实例列表页面,单击具体实例名称。
在基础信息页面,单击公网白名单设置所在行的编辑按钮。
在公网白名单设置对话框中,输入允许访问该实例的公网IP地址段,并单击确定。
如果公网白名单配置内容为空,表示本地所有地址均可访问该实例。
重要此时Nacos实例将完全暴露在公网下,若未开启Nacos引擎鉴权,可能导致关键数据泄露。请确认后再清空配置内容,建议您在清空配置内容前开启鉴权。关于如何开启鉴权,请参见Nacos Client访问鉴权。
如果填写了公网IP地址及掩码,表示仅允许所设置的公网IP地址或地址段访问该实例。
白名单公网IP地址格式:X.X.X.X/X,斜杠后为掩码。若MSE公网IP地址设置为127.0.0.1/32,表示禁止所有地址的访问。
白名单允许配置多个公网IP地址或地址段,每个地址或地址段之间用英文半角逗号(,)分隔。地址段子网掩码范围为1~32,主机位必须为0。
公网IP地址查询方法
curl ipinfo.io
curl ip.cn
curl cip.cc
curl ifconfig.me
curl myip.ipip.net
配置示例
例如,使用curl cip.cc
查询您的公网IP地址,如下图所示。
在MSE实例中将查询到的公网IP地址配置白名单。
配置完成后,您便可通过公网IP地址访问该实例。