设置 IP 过滤器
设置 IP 过滤器
IP 访问列表通过指定哪些源地址可以连接到您的 ClickHouse 服务来过滤您的 ClickHouse 服务的流量。这些列表是每个服务的可配置选项。列表可以在服务部署期间或之后进行配置。如果您在配置过程中没有配置 IP 访问列表,或者您想更改初始列表,那么您可以通过选择服务,然后选择**安全**选项卡来进行更改。
如果您跳过 ClickHouse Cloud 服务的 IP 访问列表的创建,则将不允许任何流量进入服务。
准备
在开始之前,收集应添加到访问列表的 IP 地址或范围。考虑远程工作者、值班地点、VPN 等。IP 访问列表用户界面接受单个地址和 CIDR 表示法。
无类别域间路由 (CIDR) 表示法允许您指定比传统 A、B 或 C 类(8、6 或 24)子网掩码大小更小的 IP 地址范围。 ARIN 和其他几个组织提供了 CIDR 计算器,如果您需要一个,以及如果您想了解更多关于 CIDR 表示法的信息,请参阅 无类别域间路由 (CIDR) RFC。
创建或修改 IP 访问列表
从您的 ClickHouse Cloud 服务列表中选择服务,然后选择**设置**。在**安全**部分,您将找到 IP 访问列表。点击链接,其中文本显示为:您可以从 (任何地方 | x 个特定位置)连接到此服务
将出现一个侧边栏,其中包含用于配置的选项
- 允许来自任何地方的传入流量进入服务
- 允许从特定位置访问服务
- 拒绝所有对服务的访问
此屏幕截图显示了一个访问列表,该列表允许来自一系列 IP 地址的流量,描述为“纽约办公室范围”
可能的动作
要添加其他条目,可以使用+ 添加新的 IP
此示例添加了一个单个 IP 地址,并附带描述
伦敦服务器
删除现有条目
单击交叉(x)可以删除条目
编辑现有条目
直接修改条目
切换到允许从任何地方访问
不建议这样做,但允许这样做。我们建议您将构建在 ClickHouse 之上的应用程序公开,并限制对后端 ClickHouse Cloud 服务的访问。
要应用您所做的更改,您必须单击**保存**。
验证
创建过滤器后,确认从范围内的连接,并确认来自允许范围之外的连接被拒绝。可以使用简单的 curl
命令进行验证
curl https://<HOSTNAME>.clickhouse.cloud:8443
curl: (35) error:02FFF036:system library:func(4095):Connection reset by peer
或
curl: (35) LibreSSL SSL_connect: SSL_ERROR_SYSCALL in connection to HOSTNAME.clickhouse.cloud:8443
curl https://<HOSTNAME>.clickhouse.cloud:8443
Ok.
限制
- 目前,IP 访问列表仅支持 IPv4