本文中含有需要您注意的重要提示信息,忽略該信息可能對您的業務造成影響,請務必仔細閱讀。
如果您需要對客戶端的訪問請求進行精確控制時,您可以為監聽開啟訪問控制功能,通過設置白名單僅允許特定的IP地址訪問,或者通過設置黑名單僅限制某些IP地址的訪問。
訪問控制介紹
訪問控制功能由訪問控制策略組和訪問控制方式組成。
訪問控制策略組:可以添加多個IP地址條目或IP地址段條目,用于統一管理具有相同安全要求的IP地址。
訪問控制方式:您可以針對不同的監聽設置訪問白名單或黑名單。
白名單:允許特定IP訪問全球加速監聽。僅轉發來自所選訪問控制策略組中設置的IP地址或地址段的請求,白名單適用于只允許特定IP訪問的場景。
黑名單:禁止特定IP訪問全球加速監聽。不會轉發來自所選訪問控制策略組中設置的IP地址或地址段的請求,黑名單適用于只限制某些特定IP訪問的場景。
設置白名單存在一定業務風險。一旦設置白名單,就只有白名單中的IP地址可以訪問全球加速監聽。如果開啟了白名單訪問,但訪問策略組中沒有添加任何IP,則全球加速監聽會轉發全部請求。
如果開啟了黑名單訪問,但訪問策略組中沒有添加任何IP,則全球加速監聽會轉發全部請求。
創建訪問控制策略組時,支持選擇IPv4版本和IPv6版本。您可以根據接入點加速IP版本,為監聽開啟對應IP版本的訪問控制策略組。
使用限制
按量付費的標準型全球加速實例使用限制
僅智能路由類型監聽支持開啟訪問控制功能。
單個全球加速實例可管理的IP地址條目或IP地址段條目總數上限為600條,包括該實例下所有監聽關聯的訪問策略組條目之和。
對于單個監聽,所關聯訪問控制策略組的IP地址條目或IP地址段條目總數上限計算如下:
該監聽端口數量總和(1個端口范圍計為1個端口)* 訪問控制策略組的條目數
如果監聽協議為HTTP/3,則:該監聽端口數量總和(1個端口范圍計為1個端口)* 訪問控制策略組的條目數 * 2
一個訪問控制策略組能夠關聯的監聽總數為10。
一個監聽最多支持關聯一個IPv4版本的訪問控制策略組和一個IPv6版本的訪問控制策略組。
當加速IP協議為IPv4或IPv6類型,且監聽同時關聯了一個IPv4和一個IPv6版本的訪問控制策略組時,僅可生效與加速IP版本一致的訪問控制策略組。
當加速IP協議為雙棧類型,且監聽同時關聯了一個IPv4和一個IPv6版本的訪問控制策略組時,2個IP版本的訪問控制策略組均可生效。
包年包月的標準型全球加速實例使用限制
僅智能路由類型監聽支持開啟訪問控制功能。
一個監聽關聯的訪問控制策略組包含的IP地址條目或IP地址段條目總數上限為200,且各條目中的IP地址不能重復。
一個訪問控制策略組能夠關聯的監聽總數為10。
一個監聽最多支持關聯一個IPv4版本的訪問控制策略組和一個IPv6版本的訪問控制策略組。
當加速IP協議為IPv4或IPv6類型,且監聽同時關聯了一個IPv4和一個IPv6版本的訪問控制策略組時,僅可生效與加速IP版本一致的訪問控制策略組。
當加速IP協議為雙棧類型,且監聽同時關聯了一個IPv4和一個IPv6版本的訪問控制策略組時,2個IP版本的訪問控制策略組均可生效。
配置流程
創建訪問控制策略組
在開啟訪問控制前,您需要先創建訪問控制策略組。
登錄全球加速管理控制臺。
在左側導航欄,選擇。
在訪問控制頁面,單擊創建訪問控制策略組。
在創建訪問控制策略組對話框,根據以下信息配置訪問控制策略組,然后單擊確定。
添加策略組條目
創建完訪問控制策略組后,每個策略組可添加多個IP地址條目或IP地址段條目,從而實現允許或者限制全球加速監聽對這些IP條目訪問請求的轉發。
登錄全球加速管理控制臺。
在左側導航欄,選擇。
找到目標訪問控制策略組,在操作列單擊管理訪問控制策略組。
在訪問控制詳情頁面,可以通過以下兩種方式添加策略組條目。
單個添加策略組條目
單擊添加條目,在添加策略組條目對話框,輸入地址/地址段和備注,單擊確定。
批量添加策略組條目
單擊批量添加條目,在批量添加條目對話框,按照界面提示批量添加IP地址或IP地址段,單擊確定。
為監聽開啟訪問控制
在開啟訪問控制前,請確保您已創建監聽。更多信息,請參見添加和管理智能路由類型監聽。
登錄全球加速管理控制臺。
在實例列表頁面,找到目標全球加速實例,然后在操作列單擊配置監聽。
在監聽頁簽下,單擊待開啟訪問控制的監聽ID。
在監聽詳情頁簽下的訪問控制區域,打開訪問控制開關。
在開啟訪問控制對話框配置以下參數,然后單擊確定開啟。
配置
說明
訪問控制方式
選擇一種訪問控制方式:
白名單:轉發來自所選訪問控制策略組中設置的IP地址或地址段的請求。
黑名單:不會轉發來自所選訪問控制策略組中設置的IP地址或地址段的請求。
警告設置白名單存在一定業務風險。一旦設置白名單,就只有白名單中的IP地址可以訪問全球加速監聽。如果開啟了白名單訪問,但訪問策略組中沒有添加任何IP,則全球加速監聽會轉發全部請求。
如果開啟了黑名單訪問,但訪問策略組中沒有添加任何IP,則全球加速監聽會轉發全部請求。
選擇訪問控制策略組
選擇一個訪問控制策略組。
您還可以單擊+添加策略組,一次添加2條訪問控制策略組。
為監聽解綁訪問控制策略組
您可以為監聽解綁不再使用的訪問控制策略組。
當為監聽解綁所有訪問控制策略組時,將直接關閉該監聽的訪問控制。
登錄全球加速管理控制臺。
在實例列表頁面,找到目標全球加速實例,然后在操作列單擊配置監聽。
在監聽頁簽下,單擊待解綁訪問控制策略組的監聽ID。
在監聽詳情頁簽下的訪問控制區域,在訪問控制策略組右側單擊
圖標。在編輯訪問控制策略組對話框,找到待解綁的訪問控制策略組,在操作列單擊解綁,然后單擊確定。
為監聽關閉訪問控制
如果不需要對監聽設置訪問限制,您可以對監聽關閉訪問控制。
登錄全球加速管理控制臺。
在實例列表頁面,找到目標全球加速實例,然后在操作列單擊配置監聽。
在監聽頁簽下,單擊待關閉訪問控制的監聽ID。
在監聽詳情頁簽的訪問控制區域,關閉訪問控制開關。
在彈出的對話框中,單擊確定。
刪除策略組條目
您可以刪除訪問控制策略組中的IP地址條目。
登錄全球加速管理控制臺。
在左側導航欄,選擇。
找到目標訪問控制策略組,在操作列單擊管理訪問控制策略組。
在目標IP條目的操作列下單擊刪除,或選中多個IP條目,然后在條目列表下方單擊刪除。
在彈出的對話框中,單擊確定。
刪除訪問控制策略組
您可以刪除不再使用的訪問控制策略組。
刪除訪問控制策略組前,需先與監聽解除關聯。具體操作,請參見為監聽解綁訪問控制策略組。
登錄全球加速管理控制臺。
在左側導航欄,選擇。
找到目標訪問控制策略組,在操作列單擊刪除。
在彈出的對話框中,單擊確定。
相關文檔
CreateAcl:創建訪問控制策略組。
AddEntriesToAcl:在訪問控制策略組中添加IP條目。
AssociateAclsWithListener:將訪問控制策略組與監聽進行關聯。
DissociateAclsFromListener:將訪問控制策略組與監聽解除關聯。
RemoveEntriesFromAcl:刪除訪問控制策略組中的IP條目。
DeleteAcl:刪除訪問控制策略組。