全部產品
Search
文件中心

:存取控制

更新時間:Jun 30, 2024

如果您需要對用戶端的訪問請求進行精確控制時,您可以為監聽開啟存取控制功能,通過設定白名單僅允許特定的IP地址訪問,或者通過設定黑名單僅限制某些IP地址的訪問。

存取控制介紹

存取控制功能由存取控制策略組和存取控制方式組成。

  • 存取控制策略組:可以添加多個IP地址條目或IP位址區段條目,用於統一管理具有相同安全要求的IP地址。

  • 存取控制方式:您可以針對不同的監聽設定訪問白名單或黑名單。

    • 白名單允許特定IP訪問Global Acceleration監聽。僅轉寄來自所選存取控制策略組中設定的IP地址或位址區段的請求,白名單適用於只允許特定IP訪問的情境。

    • 黑名單禁止特定IP訪問Global Acceleration監聽。不會轉寄來自所選存取控制策略組中設定的IP地址或位址區段的請求,黑名單適用於只限制某些特定IP訪問的情境。

警告
  • 設定白名單存在一定業務風險。一旦設定白名單,就只有白名單中的IP地址可以訪問Global Acceleration監聽。如果開啟了白名單訪問,但存取原則組中沒有添加任何IP,則Global Acceleration監聽會轉寄全部請求。

  • 如果開啟了黑名單訪問,但存取原則組中沒有添加任何IP,則Global Acceleration監聽會轉寄全部請求。

建立存取控制策略組時,支援選擇IPv4版本和IPv6版本。您可以根據存取點加速IP版本,為監聽開啟對應IP版本的存取控制策略組。

使用限制

隨用隨付的標準型Global Acceleration執行個體使用限制

  • 僅智能路由類型監聽支援開啟存取控制功能。

  • 單個Global Accelerator執行個體可管理的IP地址條目或IP位址區段條目總數上限為600條,包括該執行個體下所有監聽關聯的存取原則組條目之和。

    對於單個監聽,所關聯存取控制策略組的IP地址條目或IP位址區段條目總數上限計算如下:

    • 該監聽連接埠數量總和(1個連接埠範圍計為1個連接埠)* 存取控制策略組的條目數

    • 如果監聽協議為HTTP/3,則:該監聽連接埠數量總和(1個連接埠範圍計為1個連接埠)* 存取控制策略組的條目數 * 2

  • 一個存取控制策略組能夠關聯的監聽總數為10。

  • 一個監聽最多支援關聯一個IPv4版本的存取控制策略組和一個IPv6版本的存取控制策略組。

    • 當加速IP協議為IPv4或IPv6類型,且監聽同時關聯了一個IPv4和一個IPv6版本的存取控制策略組時,僅可生效與加速IP版本一致的存取控制策略組。

    • 當加速IP協議為雙棧類型,且監聽同時關聯了一個IPv4和一個IPv6版本的存取控制策略組時,2個IP版本的存取控制策略組均可生效。

訂用帳戶的標準型Global Acceleration執行個體使用限制

  • 僅智能路由類型監聽支援開啟存取控制功能。

  • 一個監聽關聯的存取控制策略組包含的IP地址條目或IP位址區段條目總數上限為200,且各條目中的IP地址不能重複。

  • 一個存取控制策略組能夠關聯的監聽總數為10。

  • 一個監聽最多支援關聯一個IPv4版本的存取控制策略組和一個IPv6版本的存取控制策略組。

    • 當加速IP協議為IPv4或IPv6類型,且監聽同時關聯了一個IPv4和一個IPv6版本的存取控制策略組時,僅可生效與加速IP版本一致的存取控制策略組。

    • 當加速IP協議為雙棧類型,且監聽同時關聯了一個IPv4和一個IPv6版本的存取控制策略組時,2個IP版本的存取控制策略組均可生效。

配置流程

建立存取控制策略組

在開啟存取控制前,您需要先建立存取控制策略組。

  1. 登入Global Acceleration管理主控台

  2. 在左側導覽列,選擇標準型執行個體 > 存取控制

  3. 存取控制頁面,單擊建立存取控制策略組

  4. 建立存取控制策略組對話方塊,根據以下資訊配置存取控制策略組,然後單擊確定

    配置

    說明

    策略組名稱

    自訂存取控制策略組名稱。

    IP版本

    選擇存取控制策略組的IP版本。

    • 選擇IPv4時,該存取控制策略組僅針對加速IP為IPv4地址協議的加速地區生效。

    • 選擇IPv6時,該存取控制策略組僅針對加速IP為IPv6地址協議的加速地區生效。

    資源群組

    選擇存取控制策略組所屬的資源群組。

    該資源群組為當前阿里雲帳號在資源管理中建立的資源群組。更多資訊,請參見建立資源群組

    標籤

    為存取控制策略組添加標籤。

    選擇或輸入標籤鍵標籤值

    如何管理存取控制策略組標籤,請參見標籤管理

添加策略組條目

建立完存取控制策略組後,每個策略組可添加多個IP地址條目或IP位址區段條目,從而實現允許或者限制Global Acceleration監聽對這些IP條目訪問請求的轉寄。

  1. 登入Global Acceleration管理主控台

  2. 在左側導覽列,選擇標準型執行個體 > 存取控制

  3. 找到目標存取控制策略組,在操作列單擊管理存取控制策略組

  4. 在存取控制詳情頁面,可以通過以下兩種方式添加策略組條目。

    • 單個添加策略組條目

      單擊添加條目,在添加策略組條目對話方塊,輸入地址/位址區段備忘,單擊確定

    • 大量新增策略組條目

      單擊大量新增條目,在大量新增條目對話方塊,按照介面提示大量新增IP地址或IP位址區段,單擊確定

為監聽開啟存取控制

在開啟存取控制前,請確保您已建立監聽。更多資訊,請參見添加和管理智能路由類型監聽

  1. 登入Global Acceleration管理主控台

  2. 執行個體列表頁面,找到目標Global Acceleration執行個體,然後在操作列單擊配置監聽

  3. 監聽頁簽下,單擊待開啟存取控制的監聽ID。

  4. 監聽詳情頁簽下的存取控制地區,開啟存取控制開關。

  5. 開啟存取控制對話方塊配置以下參數,然後單擊確定開啟

    配置

    說明

    存取控制方式

    選擇一種存取控制方式:

    • 白名單:轉寄來自所選存取控制策略組中設定的IP地址或位址區段的請求。

    • 黑名單:不會轉寄來自所選存取控制策略組中設定的IP地址或位址區段的請求。

    警告
    • 設定白名單存在一定業務風險。一旦設定白名單,就只有白名單中的IP地址可以訪問Global Acceleration監聽。如果開啟了白名單訪問,但存取原則組中沒有添加任何IP,則Global Acceleration監聽會轉寄全部請求。

    • 如果開啟了黑名單訪問,但存取原則組中沒有添加任何IP,則Global Acceleration監聽會轉寄全部請求。

    選擇存取控制策略組

    選擇一個存取控制策略組。

    您還可以單擊+添加策略組,一次添加2條存取控制策略組。

為監聽解除綁定存取控制策略組

您可以為監聽解除綁定不再使用的存取控制策略組。

當為監聽解除綁定所有存取控制策略組時,將直接關閉該監聽的存取控制。

  1. 登入Global Acceleration管理主控台

  2. 執行個體列表頁面,找到目標Global Acceleration執行個體,然後在操作列單擊配置監聽

  3. 監聽頁簽下,單擊待解除綁定存取控制策略組的監聽ID。

  4. 監聽詳情頁簽下的存取控制地區,在存取控制策略組右側單擊編輯表徵圖。

  5. 編輯存取控制策略組對話方塊,找到待解除綁定的存取控制策略組,在操作列單擊解除綁定,然後單擊確定

為監聽關閉存取控制

如果不需要對監聽設定訪問限制,您可以對監聽關閉存取控制。

  1. 登入Global Acceleration管理主控台

  2. 執行個體列表頁面,找到目標Global Acceleration執行個體,然後在操作列單擊配置監聽

  3. 監聽頁簽下,單擊待關閉存取控制的監聽ID。

  4. 監聽詳情頁簽的存取控制地區,關閉存取控制開關。

  5. 在彈出的對話方塊中,單擊確定

刪除策略組條目

您可以刪除存取控制策略組中的IP地址條目。

  1. 登入Global Acceleration管理主控台

  2. 在左側導覽列,選擇標準型執行個體 > 存取控制

  3. 找到目標存取控制策略組,在操作列單擊管理存取控制策略組

  4. 在目標IP條目的操作列下單擊刪除,或選中多個IP條目,然後在條目列表下方單擊刪除

  5. 在彈出的對話方塊中,單擊確定

刪除存取控制策略組

您可以刪除不再使用的存取控制策略組。

刪除存取控制策略組前,需先與監聽解除關聯。具體操作,請參見為監聽解除綁定存取控制策略組

  1. 登入Global Acceleration管理主控台

  2. 在左側導覽列,選擇標準型執行個體 > 存取控制

  3. 找到目標存取控制策略組,在操作列單擊刪除

  4. 在彈出的對話方塊中,單擊確定

相關文檔