通过公网或私网访问阿里云Elasticsearch(简称ES)实例的Kibana服务前,需要将待访问设备的IP地址加入Kibana公网或私网访问白名单中。
前提条件
ES实例状态正常。
配置Kibana公网访问白名单
通过直接管理IP地址的方式实现对Kibana公网访问的白名单控制。
- 登录阿里云Elasticsearch控制台。
- 在左侧导航栏,单击Elasticsearch实例。
- 进入目标实例。
- 在顶部菜单栏处,选择资源组和地域。
- 在Elasticsearch实例中单击目标实例ID。
在左侧导航栏,选择 。
在Kibana区域,单击修改配置。
在访问配置区域,单击Kibana公网访问白名单右侧的修改。
说明如果公网访问开关处于关闭状态,您需要先开启该开关。
在修改白名单面板,单击新增IP白名单分组,或单击分组名称右侧的配置。
说明IP白名单分组创建成功后,不支持修改IP白名单分组名称。
在弹出的对话框中,将待访问设备的IP地址添加至白名单中。
建议您根据下表匹配业务场景,并获取正确的IP地址。
场景
需获取的IP地址
获取方式
通过本地设备访问Kibana服务。
本地设备的公网IP地址。
说明如果您的本地设备处在家庭网络或公司局域网中,需要添加局域网的公网出口IP地址。
在本地设备的浏览器中访问www.cip.cc,或在本地设备中执行
curl cip.cc
。客户端通过公网访问Kibana服务。
客户端的公网IP地址。
例如,某ECS与Kibana在不同的专有网络中,该ECS通过公网访问Kibana时,需要获取该ECS的公网IP地址。
以获取ECS实例的IP地址为例:
登录ECS管理控制台。
在左侧导航栏单击实例。
在顶部菜单栏选择实例所在地域。
在ECS实例列表中查看目标实例的公网IP地址或私网IP地址。
Kibana访问白名单配置说明:
白名单支持配置IP地址或IP网段,例如192.168.0.1或192.168.0.0/24。
白名单的IP地址或IP网段数量上限为300个,多个IP地址之间用英文逗号(,)隔开。
127.0.0.1
代表禁止所有IPv4地址访问,0.0.0.0/0
代表允许所有私网IPv4地址访问,从安全角度不建议您配置允许所有IPv4地址访问。仅杭州地域支持配置公网IPv6地址访问,例如2401:XXXX:1000:24::5或2401:XXXX:1000::/48。
说明::1
代表禁止所有IPv6地址访问,::/0
代表允许所有IPv6地址访问,从安全角度不建议您配置允许所有IPv6地址访问。部分版本的实例不支持将IP白名单配置为
::/0
,实际请以配置页面提示为准。
单击确认。
(可选)在面板右上角单击图标,返回Kibana配置页面,在访问配置区域查看Kibana公网访问白名单或Kibana私网访问白名单。
白名单显示不全时,可以将鼠标放在IP地址上查看完整的白名单。白名单中出现您添加的IP地址,说明白名单配置成功。
配置Kibana私网访问白名单
Kibana私网访问默认关闭,可按需开启。
Kibana公网端口为5601
如果Kibana公网端口为5601,开启Kibana私网访问后,您可以参考Kibana公网访问白名单的配置过程来配置Kibana私网访问的IP白名单。具体操作,请参见配置Kibana公网访问白名单。
客户端(例如ECS)通过私网访问Kibana服务,白名单需要配置客户端的私网IP地址。
Kibana公网端口为443
如果Kibana公网端口为443,开启Kibana私网访问后,将通过阿里云私网连接(PrivateLink)建立您的专有网络VPC与Kibana服务的私有连接,并通过安全组实现对Kibana私网访问的白名单控制。
PrivateLink终端节点产生的费用目前由阿里云ES承担。关于PrivateLink的更多信息,请参见什么是私网连接。
- 登录阿里云Elasticsearch控制台。
- 在左侧导航栏,单击Elasticsearch实例。
- 进入目标实例。
- 在顶部菜单栏处,选择资源组和地域。
- 在Elasticsearch实例中单击目标实例ID。
在左侧导航栏,选择 。
在Kibana区域,单击修改配置。
在访问配置区域,打开Kibana私网访问开关。
在开启Kibana私网访问面板,配置终端节点和安全组,并单击确定。
通过私网连接PrivateLink实现Kibana服务的私网访问,需要为每个Kibana新建并关联一个独立的终端节点。
说明通过PrivateLink私网访问Kibana需要服务关联角色,如果您未创建过相关服务关联角色,系统将自动为您创建。详细信息,请参见阿里云ES服务关联角色。
参数
描述
终端节点名称
终端节点名称自动生成,允许修改。
终端节点网络配置
与Elasticsearch一致:创建终端节点的专有网络和交换机与ES实例一致。
自定义设置:选择创建终端节点的专有网络和交换机。
安全组
通过安全组规则实现私网访问Kibana的网络策略控制。
选择已创建的安全组。
快速新建安全组:
单击安全组文本框下面的快速创建。
输入安全组名称。
安全组名称自动生成,允许修改。
输入授权IP地址。
IP地址为待授权设备的私网IP地址。例如通过ECS私网访问Kibana服务,需要输入ECS实例的私网IP地址。
说明单击确认后,需要等待一段时间,访问配置区域下方出现终端节点列表,表明Kibana私网访问配置成功。
终端节点采用统一格式,创建后仅支持编辑终端节点名称。
ES控制台仅支持更换安全组。查询和管理安全组,请前往ECS安全组控制台。
关闭Kibana私网访问开关后,终端节点资源将会自动释放。若再次开启Kibana私网访问,需重新创建终端节点资源,但Kibana访问地址不会发生变化。
常见问题
Q:开启Kibana私网或公网访问功能,会影响ES集群吗?
A:不会。开启Kibana私网或公网访问功能,仅会触发与Kibana对接的负载均衡SLB端的变更。
说明首次开启Kibana私网访问会触发Kibana节点重启,但不会触发ES集群变更。
Q:添加了白名单,但Kibana还是无法访问,该如何处理?
A:您可以根据以下内容依次进行排查:
ES实例需要处于健康状态。
IP地址配置可能不正确:如果您通过本地设备访问Kibana服务,在浏览器中访问www.cip.cc,检查获取的IP地址是否在Kibana公网访问白名单中。
您添加的可能是ES实例的访问白名单:登录kibana需要配置kibana公网访问白名单或kibana私网访问白名单,在ES实例的
中修改Kibana白名单配置。清理浏览器缓存后重试。
重启Kibana节点后重试。
Q:添加了安全组,且IP地址正确,为什么还是无法访问Kibana?
A:Kibana私网端口为5601,因此安全组的端口范围需要包含5601。修改安全组规则,请前往ECS安全组控制台,或参见修改安全组规则。
Q:为什么不支持在ES控制台修改安全组规则?
A:安全组规则调整将影响所有通过该安全组规则进行访问控制的场景,故不支持在ES控制台修改安全组规则。修改安全组规则,请前往ECS安全组控制台。
Q:Kibana规格为1核2 GiB,为什么不支持开启Kibana私网访问?
A:1核2 GiB为测试规格,不推荐在生产中使用,如果您需要通过私网访问Kibana,建议先升配至2核4 GiB及以上规格。具体操作,请参见升配集群。
相关文档
API文档:
开启或关闭Kibana公网或私网访问的API文档:TriggerNetwork
更新Kibana公网或私网访问白名单的API文档:ModifyWhiteIps
在登录或使用Kibana过程中遇到问题,请参见Kibana FAQ。