设置 IP 过滤器
设置 IP 过滤器
IP 访问列表通过指定允许哪些源地址连接到您的 ClickHouse 服务来过滤到您的 ClickHouse 服务的流量。列表可以为每个服务配置。列表可以在服务部署期间或之后配置。如果您在配置期间未配置 IP 访问列表,或者您想更改您的初始列表,那么您可以通过选择服务,然后选择安全选项卡来进行这些更改。
如果您跳过为 ClickHouse 云服务创建 IP 访问列表,则不允许任何流量进入该服务。
准备
在开始之前,收集应添加到访问列表的 IP 地址或范围。考虑远程工作人员、随叫随到的地点、VPN 等。IP 访问列表用户界面接受单个地址和 CIDR 表示法。
无类别域间路由 (CIDR) 表示法允许您指定小于传统的 A、B 或 C 类(8、6 或 24)子网掩码大小的 IP 地址范围。 ARIN 和其他几个组织提供 CIDR 计算器(如果您需要),如果您想了解更多关于 CIDR 表示法的信息,请参阅无类别域间路由 (CIDR) RFC。
创建或修改 IP 访问列表
从您的 ClickHouse 云服务列表中选择服务,然后选择设置。在安全部分下,您将找到 IP 访问列表。单击文本显示为:您可以通过以下位置连接到此服务的超链接(任何位置 | x 个特定位置)
将出现一个侧边栏,其中包含供您配置的选项
- 允许来自任何位置的传入流量访问该服务
- 允许从特定位置访问该服务
- 拒绝所有访问该服务
此屏幕截图显示了一个访问列表,该列表允许来自一系列 IP 地址的流量,描述为“纽约办公室范围”
可能的操作
- 要添加其他条目,您可以使用 + 添加新 IP
此示例添加了一个 IP 地址,描述为 伦敦服务器
- 删除现有条目
单击叉号 (x) 可以删除条目
- 编辑现有条目
直接修改条目
- 切换为允许从任何位置访问
不建议这样做,但它是允许的。我们建议您将构建在 ClickHouse 之上的应用程序公开给公众,并限制对后端 ClickHouse 云服务的访问。
要应用您所做的更改,您必须单击保存。
验证
创建过滤器后,确认来自允许范围内的连接,并确认来自允许范围外的连接被拒绝。可以使用简单的 curl 命令来验证
curl https://<HOSTNAME>.clickhouse.cloud:8443
curl: (35) error:02FFF036:system library:func(4095):Connection reset by peer
或
curl: (35) LibreSSL SSL_connect: SSL_ERROR_SYSCALL in connection to HOSTNAME.clickhouse.cloud:8443
curl https://<HOSTNAME>.clickhouse.cloud:8443
Ok.
限制
- 目前,IP 访问列表仅支持 IPv4