跳过到主要内容

设置 IP 过滤器

设置 IP 过滤器

IP 访问列表通过指定哪些源地址可以连接到您的 ClickHouse 服务来过滤您的 ClickHouse 服务的流量。这些列表是每个服务的可配置选项。列表可以在服务部署期间或之后进行配置。如果您在配置过程中没有配置 IP 访问列表,或者您想更改初始列表,那么您可以通过选择服务,然后选择**安全**选项卡来进行更改。

信息

如果您跳过 ClickHouse Cloud 服务的 IP 访问列表的创建,则将不允许任何流量进入服务。

准备

在开始之前,收集应添加到访问列表的 IP 地址或范围。考虑远程工作者、值班地点、VPN 等。IP 访问列表用户界面接受单个地址和 CIDR 表示法。

无类别域间路由 (CIDR) 表示法允许您指定比传统 A、B 或 C 类(8、6 或 24)子网掩码大小更小的 IP 地址范围。 ARIN 和其他几个组织提供了 CIDR 计算器,如果您需要一个,以及如果您想了解更多关于 CIDR 表示法的信息,请参阅 无类别域间路由 (CIDR) RFC。

创建或修改 IP 访问列表

从您的 ClickHouse Cloud 服务列表中选择服务,然后选择**设置**。在**安全**部分,您将找到 IP 访问列表。点击链接,其中文本显示为:您可以从 (任何地方 | x 个特定位置)连接到此服务

将出现一个侧边栏,其中包含用于配置的选项

  • 允许来自任何地方的传入流量进入服务
  • 允许从特定位置访问服务
  • 拒绝所有对服务的访问

此屏幕截图显示了一个访问列表,该列表允许来自一系列 IP 地址的流量,描述为“纽约办公室范围”

Existing access list

可能的动作

  1. 要添加其他条目,可以使用+ 添加新的 IP

    此示例添加了一个单个 IP 地址,并附带描述 伦敦服务器

    Add a single IP to access list

  2. 删除现有条目

    单击交叉(x)可以删除条目

  3. 编辑现有条目

    直接修改条目

  4. 切换到允许从任何地方访问

    不建议这样做,但允许这样做。我们建议您将构建在 ClickHouse 之上的应用程序公开,并限制对后端 ClickHouse Cloud 服务的访问。

要应用您所做的更改,您必须单击**保存**。

验证

创建过滤器后,确认从范围内的连接,并确认来自允许范围之外的连接被拒绝。可以使用简单的 curl 命令进行验证

尝试从允许列表之外拒绝
curl https://<HOSTNAME>.clickhouse.cloud:8443
curl: (35) error:02FFF036:system library:func(4095):Connection reset by peer

curl: (35) LibreSSL SSL_connect: SSL_ERROR_SYSCALL in connection to HOSTNAME.clickhouse.cloud:8443
尝试从允许列表内允许
curl https://<HOSTNAME>.clickhouse.cloud:8443
Ok.

限制

  • 目前,IP 访问列表仅支持 IPv4