Elasticsearch：配置Kibana公網或私網訪問白名單

配置Kibana公網訪問白名單

通過直接管理IP地址的方式實現對Kibana公網訪問的白名單控制。

1. 登入Elasticsearch控制台。
2. 在左側導覽列，單擊Elasticsearch執行個體。
3. 進入目標執行個體。
   1. 在頂部功能表列處，選擇資源群組和地區。
   2. 在Elasticsearch執行個體中單擊目標執行個體ID。

4. 在左側導覽列，選擇配置與管理 > 可視化控制。

5. 在Kibana地區，單擊修改配置。

6. 在訪問配置地區，單擊Kibana公網訪問白名單右側的修改。

   說明

   如果公網訪問開關處於關閉狀態，您需要先開啟該開關。

7. 在修改白名單面板，單擊新增IP白名單分組，或單擊分組名稱右側的配置。

   說明

   IP白名單分組建立成功後，不支援修改IP白名單分組名稱。

8. 在彈出的對話方塊中，將待訪問裝置的IP地址添加至白名單中。

   建議您根據下表匹配業務情境，並擷取正確的IP地址。

   情境	需擷取的IP地址	擷取方式
   通過本地裝置訪問Kibana服務。	本地裝置的公網IP地址。 說明 如果您的本地裝置處在家用網路或公司區域網路中，需要添加區域網路的公網出口IP地址。	在本地裝置的瀏覽器中訪問www.cip.cc，或在本地裝置中執行curl cip.cc。
   用戶端通過公網訪問Kibana服務。	用戶端的公網IP地址。 例如，某ECS與Kibana在不同的專用網路中，該ECS通過公網訪問Kibana時，需要擷取該ECS的公網IP地址。	以擷取ECS執行個體的IP地址為例： 登入ECS管理主控台。 在左側導覽列單擊執行個體。 在頂部功能表列選擇執行個體所在地區。 在ECS執行個體列表中查看目標執行個體的公網IP地址或私網IP地址。

   Kibana訪問白名單配置說明：

   • 白名單支援配置IP地址或IP網段，例如192.168.0.1或192.168.0.0/24。

   • 白名單的IP地址或IP網段數量上限為300個，多個IP地址之間用英文逗號（,）隔開。

   • 127.0.0.1代表禁止所有IPv4地址訪問，0.0.0.0/0代表允許所有私網IPv4地址訪問，從安全形度不建議您配置允許所有IPv4地址訪問。

   • 僅杭州地區支援配置公網IPv6地址訪問，例如2401:XXXX:1000:24::5或2401:XXXX:1000::/48。

     說明

     • ::1代表禁止所有IPv6地址訪問，::/0代表允許所有IPv6地址訪問，從安全形度不建議您配置允許所有IPv6地址訪問。

     • 部分版本的執行個體不支援將IP白名單配置為::/0，實際請以配置頁面提示為準。

9. 單擊確認。

10. （可選）在面板右上方單擊表徵圖，返回Kibana配置頁面，在訪問配置地區查看Kibana公網訪問白名單或Kibana私網訪問白名單。

    白名單顯示不全時，可以將滑鼠放在IP地址上查看完整的白名單。白名單中出現您添加的IP地址，說明白名單配置成功。

    

配置Kibana私網訪問白名單

Kibana私網訪問預設關閉，可按需開啟。

Kibana公網連接埠為5601

如果Kibana公網連接埠為5601，開啟Kibana私網訪問後，您可以參考Kibana公網訪問白名單的配置過程來配置Kibana私網訪問的IP白名單。具體操作，請參見配置Kibana公網訪問白名單。

Kibana公網連接埠為443

如果Kibana公網連接埠為443，開啟Kibana私網訪問後，將通過阿里雲私網串連（PrivateLink）建立您的Virtual Private Cloud與Kibana服務的私人串連，並通過安全性群組實現對Kibana私網訪問的白名單控制。

1. 登入Elasticsearch控制台。
2. 在左側導覽列，單擊Elasticsearch執行個體。
3. 進入目標執行個體。
   1. 在頂部功能表列處，選擇資源群組和地區。
   2. 在Elasticsearch執行個體中單擊目標執行個體ID。

4. 在左側導覽列，選擇配置與管理 > 可視化控制。

5. 在Kibana地區，單擊修改配置。

6. 在訪問配置地區，開啟Kibana私網訪問開關。

7. 在開啟Kibana私網訪問面板，配置終端節點和安全性群組，並單擊確定。

   通過私網串連PrivateLink實現Kibana服務的私網訪問，需要為每個Kibana建立並關聯一個獨立的終端節點。

   說明

   通過PrivateLink私網訪問Kibana需要服務關聯角色，如果您未建立過相關服務關聯角色，系統將自動為您建立。詳細資料，請參見阿里雲ES服務關聯角色。

   參數	描述
   終端節點名稱	終端節點名稱自動產生，允許修改。
   終端節點網路設定	與Elasticsearch一致：建立終端節點的專用網路和交換器與ES執行個體一致。 自訂設定：選擇建立終端節點的專用網路和交換器。
   安全性群組	通過安全性群組規則實現私網訪問Kibana的網路原則控制。 選擇已建立的安全性群組。 說明 安全性群組的連接埠範圍需要包含5601（Kibana私網連接埠為5601）。修改安全性群組規則，請前往ECS安全性群組控制台，請參見修改安全性群組規則。 安全性群組的類型包括企業級安全性群組和普通安全性群組。Kibana私網訪問修改安全性群組時，僅支援選擇相同類型的安全性群組。例如，開啟Kibana私網訪問時選擇了普通安全性群組，則僅支援在修改安全性群組時選擇普通安全性群組。 快速建立安全性群組： 單擊安全性群組文字框下面的快速建立。 輸入安全性群組名稱。 安全性群組名稱自動產生，允許修改。 輸入授權IP地址。 IP地址為待授權裝置的私網IP地址。例如通過ECS私網訪問Kibana服務，需要輸入ECS執行個體的私網IP地址。

   說明

   • 單擊確認後，需要等待一段時間，訪問配置地區下方出現終端節點列表，表明Kibana私網訪問配置成功。

   • 終端節點採用統一格式，建立後僅支援編輯終端節點名稱。

   • ES控制台僅支援更換安全性群組。查詢和管理安全性群組，請前往ECS安全性群組控制台。

   • 關閉Kibana私網訪問開關後，終端節點資源將會自動釋放。若再次開啟Kibana私網訪問，需重新建立終端節點資源，但Kibana訪問地址不會發生變化。

常見問題

• Q：開啟Kibana私網或公網訪問功能，會影響ES叢集嗎？

  A：不會。開啟Kibana私網或公網訪問功能，僅會觸發與Kibana對接的Server Load Balancer端的變更。

  說明

  首次開啟Kibana私網訪問會觸發Kibana節點重啟，但不會觸發ES叢集變更。

• Q：添加了白名單，但Kibana還是無法訪問，該如何處理？

  A：您可以根據以下內容依次進行排查：

  • ES執行個體需要處於健康狀態。

  • IP地址配置可能不正確：如果您通過本地裝置訪問Kibana服務，在瀏覽器中訪問www.cip.cc，檢查擷取的IP地址是否在Kibana公網訪問白名單中。

  • 您添加的可能是ES執行個體的訪問白名單：登入kibana需要配置kibana公網訪問白名單或kibana私網訪問白名單，在ES執行個體的配置與管理 > 可視化控制中修改Kibana白名單配置。

  • 清理瀏覽器緩衝後重試。

  • 重啟Kibana節點後重試。

• Q：添加了安全性群組，且IP地址正確，為什麼還是無法訪問Kibana？

  A：Kibana私網連接埠為5601，因此安全性群組的連接埠範圍需要包含5601。修改安全性群組規則，請前往ECS安全性群組控制台，或參見修改安全性群組規則。

• Q：為什麼不支援在ES控制台修改安全性群組規則？

  A：安全性群組規則調整將影響所有通過該安全性群組規則進行存取控制的情境，故不支援在ES控制台修改安全性群組規則。修改安全性群組規則，請前往ECS安全性群組控制台。

• Q：Kibana規格為1核2 GiB，為什麼不支援開啟Kibana私網訪問？

  A：1核2 GiB為測試規格，不推薦在生產中使用，如果您需要通過私網訪問Kibana，建議先升配至2核4 GiB及以上規格。具體操作，請參見升配叢集。

• 我可以在Kibana控制台中，訪問公網中的服務嗎（例如百度地圖、高德地圖等）？

• 為什麼7.16版本的Kibana私網網域名稱解析出的IP地址不在我的VPC網路下？

相關文檔

• API文檔：

  • 開啟或關閉Kibana公網或私網訪問的API文檔：TriggerNetwork

  • 更新Kibana公網或私網訪問白名單的API文檔：ModifyWhiteIps

• 登入Kibana控制台。

• 在登入或使用Kibana過程中遇到問題，請參見Kibana FAQ。