跳到主要内容
跳到主要内容

设置 IP 过滤器

设置 IP 过滤器

IP 访问列表通过指定哪些源地址被允许连接到您的 ClickHouse 服务来过滤流量。每个服务的列表都是可配置的。列表可以在服务部署期间或之后进行配置。如果您在配置过程中未设置 IP 访问列表,或如果您想对初始列表进行更改,则可以通过选择服务,然后选择 Security 选项卡来进行更改。

信息

如果您跳过了 ClickHouse Cloud 服务的 IP 访问列表的创建,则该服务将不允许任何流量。

准备

在开始之前,请收集应添加到访问列表中的 IP 地址或范围。请考虑到远程工作者、值班位置、VPN 等。IP 访问列表用户界面接受单个地址和 CIDR 符号表示法。

无类域间路由(CIDR)符号表示法,允许您指定小于传统 A 类、B 类或 C 类(8、6 或 24)子网掩码大小的 IP 地址范围。如果您需要,ARIN 和其他几个组织提供 CIDR 计算器。如果您想了解更多有关 CIDR 符号表示法的信息,请参见 无类域间路由(CIDR) RFC。

创建或修改 IP 访问列表

从您的 ClickHouse Cloud 服务列表中选择服务,然后选择 Settings。在 Security 部分,您将找到 IP 访问列表。单击超链接,其文本为:You can connect to this service from (anywhere | x specific locations)

将出现一个侧边栏,供您配置选项:

  • 允许来自任何地方到该服务的流量
  • 允许从特定位置访问该服务
  • 拒绝对该服务的所有访问

此屏幕截图显示了一个访问列表,它允许来自一系列 IP 地址的流量,该范围被描述为“NY Office range”:

Existing access list in ClickHouse Cloud

可能的操作

  1. 要添加额外条目,您可以使用 + Add new IP

    此示例添加了一个单一的 IP 地址,并带有 London server 的描述:

Adding a single IP to the access list in ClickHouse Cloud
  1. 删除现有条目

    单击叉号 (x) 可以删除一个条目

  2. 编辑现有条目

    直接修改条目

  3. 切换到允许来自 Anywhere 的访问

    这并不推荐,但它是允许的。我们建议您将基于 ClickHouse 构建的应用程序公开,并限制对后端 ClickHouse Cloud 服务的访问。

要应用您所做的更改,您必须单击 Save

验证

一旦创建了过滤器,请确认在范围内的连通性,并确认来自允许范围之外的连接被拒绝。可以使用简单的 curl 命令来验证:

限制

  • 目前,IP 访问列表仅支持 IPv4