Setting IP Filters
IPフィルターを設定する
IPアクセスリストは、どのソースアドレスがあなたのClickHouseサービスに接続できるかを指定することによって、ClickHouseサービスへのトラフィックをフィルタリングします。リストは各サービスのために設定可能です。リストはサービスの展開時に設定することも、その後に設定することもできます。プロビジョニング中にIPアクセスリストを設定しない場合や、初期リストを変更したい場合は、サービスを選択し、次にセキュリティタブを選択することで変更を行うことができます。
ClickHouse CloudサービスのためにIPアクセスリストを作成しないと、そのサービスにはトラフィックが許可されません。
準備
作業を始める前に、アクセスリストに追加するべきIPアドレスまたは範囲を収集してください。リモート作業者、オンコールの場所、VPNなどを考慮に入れてください。IPアクセスリストのユーザーインターフェースでは、個別のアドレスとCIDR表記を受け付けます。
クラスレス・インタードメイン・ルーティング(CIDR)表記を利用すると、従来のクラスA、B、C(8、6、または24)サブネットマスクサイズよりも小さなIPアドレス範囲を指定できます。 ARINなどのいくつかの組織はCIDR計算機を提供していますので、必要な場合は利用してください。また、CIDR表記に関する詳細については、クラスレス・インタードメイン・ルーティング(CIDR) RFCをご覧ください。
IPアクセスリストの作成または変更
ClickHouse Cloudサービスのリストからサービスを選択し、次に設定を選択します。セキュリティセクションの下に、IPアクセスリストがあります。「このサービスに接続できます (どこからでも | x 特定の場所から)」というテキストのハイパーリンクをクリックします。
構成するためのオプションが表示されるサイドバーが表示されます:
- サービスへのすべての場所からの着信トラフィックを許可する
- 特定の場所からのサービスへのアクセスを許可する
- サービスへのすべてのアクセスを拒否する
このスクリーンショットは、"NY Office range"として説明されたIPアドレスの範囲からのトラフィックを許可するアクセスリストを示しています:
可能なアクション
- 追加のエントリを追加するには、+ 新しいIPを追加を使用します。
この例では、London serverの説明を持つ単一のIPアドレスを追加します:
- 既存のエントリを削除します。
クロス(x)をクリックすると、エントリが削除されます。
- 既存のエントリを編集します。
エントリを直接変更します。
- どこからでもアクセスを許可するに切り替えます。
これは推奨されませんが、許可されています。ClickHouseの上に構築されたアプリケーションを公開し、バックエンドのClickHouse Cloudサービスへのアクセスを制限することをお勧めします。
変更を適用するには、保存をクリックする必要があります。
検証
フィルタを作成したら、範囲内からの接続を確認し、許可されていない範囲からの接続が拒否されていることを確認します。curlコマンドを利用して確認できます:
または
制限事項
- 現在、IPアクセスリストはIPv4のみをサポートしています。
