跳至主要内容

IP 访问控制列表

设置 IP 访问控制列表

IP 访问控制列表通过指定哪些源地址允许连接到您的 ClickHouse 服务来过滤到您的 ClickHouse 服务的流量。这些列表可以为每个服务配置。列表可以在服务部署期间或之后配置。如果您在配置期间没有配置 IP 访问控制列表,或者您想更改初始列表,那么您可以通过选择服务,然后选择“安全”选项卡来进行更改。

信息

如果您跳过 ClickHouse 云服务的 IP 访问控制列表的创建,则不允许任何流量访问该服务。

准备

在开始之前,收集应添加到访问列表中的 IP 地址或范围。考虑远程工作人员、值班地点、VPN 等。IP 访问控制列表用户界面接受单个地址和 CIDR 表示法。

无类别域间路由 (CIDR) 表示法允许您指定比传统 A 类、B 类或 C 类 (8、6 或 24) 子网掩码大小更小的 IP 地址范围。 ARIN 和其他几个组织提供 CIDR 计算器(如果您需要一个),如果您想了解有关 CIDR 表示法的更多信息,请参阅 无类别域间路由 (CIDR) RFC。

创建或修改 IP 访问控制列表

从您的 ClickHouse 云服务列表中选择服务,然后选择“设置”。这将显示现有的 IP 访问控制列表,该列表可能设置为

  • 允许来自任何地方的传入流量访问该服务
  • 允许来自特定位置的访问访问该服务
  • 拒绝所有访问该服务

此屏幕截图显示了一个访问列表,该列表允许来自 IP 地址范围的流量,描述为“纽约办公室范围”。

Existing access list

可能的动作

  1. 要添加其他条目,您可以使用“+ 添加条目”。

    此示例添加了一个单个 IP 地址,并带有“伦敦服务器”的描述。

    Add a single IP to access list

  2. 删除现有条目

    单击垃圾桶图标将删除条目。

  3. 编辑现有条目

    单击铅笔图标允许编辑条目。

  4. 切换到允许来自“任何地方”的访问

    不建议这样做,但允许这样做。我们建议您将构建在 ClickHouse 之上的应用程序公开,并限制对后端 ClickHouse 云服务的访问。

验证

创建过滤器后,确认来自范围内的连接,并确认来自允许范围之外的连接被拒绝。可以使用简单的 curl 命令进行验证。

尝试从允许列表之外拒绝
curl https://<HOSTNAME>.clickhouse.cloud:8443
curl: (35) error:02FFF036:system library:func(4095):Connection reset by peer

或者

curl: (35) LibreSSL SSL_connect: SSL_ERROR_SYSCALL in connection to HOSTNAME.clickhouse.cloud:8443
尝试从允许列表内允许
curl https://<HOSTNAME>.clickhouse.cloud:8443
Ok.

导入和导出过滤器

从“安全”选项卡,您还可以共享(导入或导出)您的过滤器。

No traffic permitted

注意

如果您导入过滤器,它们将被追加到现有过滤器列表。

以下是一个导出过滤器列表的示例。

{
    "addresses": [
        {
            "address": "45.47.199.79",
            "description": "Home IP"
        }
    ]
}
信息

如果您没有配置 IP 访问控制列表,则将无法访问您的 ClickHouse 云服务。

限制

  • 目前,IP 访问控制列表仅支持 IPv4。