设置 IP 过滤器

IP 访问列表通过指定哪些源地址可以连接到您的 ClickHouse 服务来过滤您的 ClickHouse 服务的流量。这些列表是每个服务的可配置选项。列表可以在服务部署期间或之后进行配置。如果您在配置过程中没有配置 IP 访问列表，或者您想更改初始列表，那么您可以通过选择服务，然后选择**安全**选项卡来进行更改。

信息

如果您跳过 ClickHouse Cloud 服务的 IP 访问列表的创建，则将不允许任何流量进入服务。

准备

在开始之前，收集应添加到访问列表的 IP 地址或范围。考虑远程工作者、值班地点、VPN 等。IP 访问列表用户界面接受单个地址和 CIDR 表示法。

无类别域间路由 (CIDR) 表示法允许您指定比传统 A、B 或 C 类（8、6 或 24）子网掩码大小更小的 IP 地址范围。 ARIN 和其他几个组织提供了 CIDR 计算器，如果您需要一个，以及如果您想了解更多关于 CIDR 表示法的信息，请参阅无类别域间路由 (CIDR) RFC。

创建或修改 IP 访问列表

从您的 ClickHouse Cloud 服务列表中选择服务，然后选择**设置**。在**安全**部分，您将找到 IP 访问列表。点击链接，其中文本显示为：您可以从 （任何地方 | x 个特定位置）连接到此服务

将出现一个侧边栏，其中包含用于配置的选项

允许来自任何地方的传入流量进入服务
允许从特定位置访问服务
拒绝所有对服务的访问

此屏幕截图显示了一个访问列表，该列表允许来自一系列 IP 地址的流量，描述为“纽约办公室范围”

Existing access list

可能的动作

要添加其他条目，可以使用+ 添加新的 IP
此示例添加了一个单个 IP 地址，并附带描述 伦敦服务器
删除现有条目
单击交叉（x）可以删除条目
编辑现有条目
直接修改条目
切换到允许从任何地方访问
不建议这样做，但允许这样做。我们建议您将构建在 ClickHouse 之上的应用程序公开，并限制对后端 ClickHouse Cloud 服务的访问。

要应用您所做的更改，您必须单击**保存**。

验证

创建过滤器后，确认从范围内的连接，并确认来自允许范围之外的连接被拒绝。可以使用简单的 curl 命令进行验证

尝试从允许列表之外拒绝
curl https://<HOSTNAME>.clickhouse.cloud:8443

curl: (35) error:02FFF036:system library:func(4095):Connection reset by peer

或

curl: (35) LibreSSL SSL_connect: SSL_ERROR_SYSCALL in connection to HOSTNAME.clickhouse.cloud:8443

尝试从允许列表内允许
curl https://<HOSTNAME>.clickhouse.cloud:8443

Ok.

限制

目前，IP 访问列表仅支持 IPv4