如果您需要對用戶端的訪問請求進行精確控制時,您可以為監聽開啟存取控制功能,通過設定白名單僅允許特定的IP地址訪問,或者通過設定黑名單僅限制某些IP地址的訪問。
存取控制介紹
存取控制功能由存取控制策略組和存取控制方式組成。
存取控制策略組:可以添加多個IP地址條目或IP位址區段條目,用於統一管理具有相同安全要求的IP地址。
存取控制方式:您可以針對不同的監聽設定訪問白名單或黑名單。
白名單:允許特定IP訪問Global Acceleration監聽。僅轉寄來自所選存取控制策略組中設定的IP地址或位址區段的請求,白名單適用於只允許特定IP訪問的情境。
黑名單:禁止特定IP訪問Global Acceleration監聽。不會轉寄來自所選存取控制策略組中設定的IP地址或位址區段的請求,黑名單適用於只限制某些特定IP訪問的情境。
設定白名單存在一定業務風險。一旦設定白名單,就只有白名單中的IP地址可以訪問Global Acceleration監聽。如果開啟了白名單訪問,但存取原則組中沒有添加任何IP,則Global Acceleration監聽會轉寄全部請求。
如果開啟了黑名單訪問,但存取原則組中沒有添加任何IP,則Global Acceleration監聽會轉寄全部請求。
建立存取控制策略組時,支援選擇IPv4版本和IPv6版本。您可以根據存取點加速IP版本,為監聽開啟對應IP版本的存取控制策略組。
使用限制
隨用隨付的標準型Global Acceleration執行個體使用限制
僅智能路由類型監聽支援開啟存取控制功能。
單個Global Accelerator執行個體可管理的IP地址條目或IP位址區段條目總數上限為600條,包括該執行個體下所有監聽關聯的存取原則組條目之和。
對於單個監聽,所關聯存取控制策略組的IP地址條目或IP位址區段條目總數上限計算如下:
該監聽連接埠數量總和(1個連接埠範圍計為1個連接埠)* 存取控制策略組的條目數
如果監聽協議為HTTP/3,則:該監聽連接埠數量總和(1個連接埠範圍計為1個連接埠)* 存取控制策略組的條目數 * 2
一個存取控制策略組能夠關聯的監聽總數為10。
一個監聽最多支援關聯一個IPv4版本的存取控制策略組和一個IPv6版本的存取控制策略組。
當加速IP協議為IPv4或IPv6類型,且監聽同時關聯了一個IPv4和一個IPv6版本的存取控制策略組時,僅可生效與加速IP版本一致的存取控制策略組。
當加速IP協議為雙棧類型,且監聽同時關聯了一個IPv4和一個IPv6版本的存取控制策略組時,2個IP版本的存取控制策略組均可生效。
訂用帳戶的標準型Global Acceleration執行個體使用限制
僅智能路由類型監聽支援開啟存取控制功能。
一個監聽關聯的存取控制策略組包含的IP地址條目或IP位址區段條目總數上限為200,且各條目中的IP地址不能重複。
一個存取控制策略組能夠關聯的監聽總數為10。
一個監聽最多支援關聯一個IPv4版本的存取控制策略組和一個IPv6版本的存取控制策略組。
當加速IP協議為IPv4或IPv6類型,且監聽同時關聯了一個IPv4和一個IPv6版本的存取控制策略組時,僅可生效與加速IP版本一致的存取控制策略組。
當加速IP協議為雙棧類型,且監聽同時關聯了一個IPv4和一個IPv6版本的存取控制策略組時,2個IP版本的存取控制策略組均可生效。
配置流程
建立存取控制策略組
在開啟存取控制前,您需要先建立存取控制策略組。
在左側導覽列,選擇 。
在存取控制頁面,單擊建立存取控制策略組。
在建立存取控制策略組對話方塊,根據以下資訊配置存取控制策略組,然後單擊確定。
添加策略組條目
建立完存取控制策略組後,每個策略組可添加多個IP地址條目或IP位址區段條目,從而實現允許或者限制Global Acceleration監聽對這些IP條目訪問請求的轉寄。
在左側導覽列,選擇 。
找到目標存取控制策略組,在操作列單擊管理存取控制策略組。
在存取控制詳情頁面,可以通過以下兩種方式添加策略組條目。
單個添加策略組條目
單擊添加條目,在添加策略組條目對話方塊,輸入地址/位址區段和備忘,單擊確定。
大量新增策略組條目
單擊大量新增條目,在大量新增條目對話方塊,按照介面提示大量新增IP地址或IP位址區段,單擊確定。
為監聽開啟存取控制
在開啟存取控制前,請確保您已建立監聽。更多資訊,請參見添加和管理智能路由類型監聽。
在執行個體列表頁面,找到目標Global Acceleration執行個體,然後在操作列單擊配置監聽。
在監聽頁簽下,單擊待開啟存取控制的監聽ID。
在監聽詳情頁簽下的存取控制地區,開啟存取控制開關。
在開啟存取控制對話方塊配置以下參數,然後單擊確定開啟。
配置
說明
存取控制方式
選擇一種存取控制方式:
白名單:轉寄來自所選存取控制策略組中設定的IP地址或位址區段的請求。
黑名單:不會轉寄來自所選存取控制策略組中設定的IP地址或位址區段的請求。
警告設定白名單存在一定業務風險。一旦設定白名單,就只有白名單中的IP地址可以訪問Global Acceleration監聽。如果開啟了白名單訪問,但存取原則組中沒有添加任何IP,則Global Acceleration監聽會轉寄全部請求。
如果開啟了黑名單訪問,但存取原則組中沒有添加任何IP,則Global Acceleration監聽會轉寄全部請求。
選擇存取控制策略組
選擇一個存取控制策略組。
您還可以單擊+添加策略組,一次添加2條存取控制策略組。
為監聽解除綁定存取控制策略組
您可以為監聽解除綁定不再使用的存取控制策略組。
當為監聽解除綁定所有存取控制策略組時,將直接關閉該監聽的存取控制。
在執行個體列表頁面,找到目標Global Acceleration執行個體,然後在操作列單擊配置監聽。
在監聽頁簽下,單擊待解除綁定存取控制策略組的監聽ID。
在監聽詳情頁簽下的存取控制地區,在存取控制策略組右側單擊表徵圖。
在編輯存取控制策略組對話方塊,找到待解除綁定的存取控制策略組,在操作列單擊解除綁定,然後單擊確定。
為監聽關閉存取控制
如果不需要對監聽設定訪問限制,您可以對監聽關閉存取控制。
在執行個體列表頁面,找到目標Global Acceleration執行個體,然後在操作列單擊配置監聽。
在監聽頁簽下,單擊待關閉存取控制的監聽ID。
在監聽詳情頁簽的存取控制地區,關閉存取控制開關。
在彈出的對話方塊中,單擊確定。
刪除策略組條目
您可以刪除存取控制策略組中的IP地址條目。
在左側導覽列,選擇 。
找到目標存取控制策略組,在操作列單擊管理存取控制策略組。
在目標IP條目的操作列下單擊刪除,或選中多個IP條目,然後在條目列表下方單擊刪除。
在彈出的對話方塊中,單擊確定。
刪除存取控制策略組
您可以刪除不再使用的存取控制策略組。
刪除存取控制策略組前,需先與監聽解除關聯。具體操作,請參見為監聽解除綁定存取控制策略組。
在左側導覽列,選擇 。
找到目標存取控制策略組,在操作列單擊刪除。
在彈出的對話方塊中,單擊確定。
相關文檔
CreateAcl:建立存取控制策略組。
AddEntriesToAcl:在存取控制策略組中添加IP條目。
AssociateAclsWithListener:將存取控制策略組與監聽進行關聯。
DissociateAclsFromListener:將存取控制策略組與監聽解除關聯。
RemoveEntriesFromAcl:刪除存取控制策略組中的IP條目。
DeleteAcl:刪除存取控制策略組。