检索分析服务Elasticsearch版：配置Kibana公网或私网访问白名单

配置Kibana公网访问白名单

通过直接管理IP地址的方式实现对Kibana公网访问的白名单控制。

1. 登录阿里云Elasticsearch控制台。
2. 在左侧导航栏，单击Elasticsearch实例。
3. 进入目标实例。
   1. 在顶部菜单栏处，选择资源组和地域。
   2. 在Elasticsearch实例中单击目标实例ID。

4. 在左侧导航栏，选择配置与管理 > 可视化控制。

5. 在Kibana区域，单击修改配置。

6. 在访问配置区域，单击Kibana公网访问白名单右侧的修改。

   说明

   如果公网访问开关处于关闭状态，您需要先开启该开关。

7. 在修改白名单面板，单击新增IP白名单分组，或单击分组名称右侧的配置。

   说明

   IP白名单分组创建成功后，不支持修改IP白名单分组名称。

8. 在弹出的对话框中，将待访问设备的IP地址添加至白名单中。

   建议您根据下表匹配业务场景，并获取正确的IP地址。

   场景	需获取的IP地址	获取方式
   通过本地设备访问Kibana服务。	本地设备的公网IP地址。 说明 如果您的本地设备处在家庭网络或公司局域网中，需要添加局域网的公网出口IP地址。	在本地设备的浏览器中访问www.cip.cc，或在本地设备中执行curl cip.cc。
   客户端通过公网访问Kibana服务。	客户端的公网IP地址。 例如，某ECS与Kibana在不同的专有网络中，该ECS通过公网访问Kibana时，需要获取该ECS的公网IP地址。	以获取ECS实例的IP地址为例： 登录ECS管理控制台。 在左侧导航栏单击实例。 在顶部菜单栏选择实例所在地域。 在ECS实例列表中查看目标实例的公网IP地址或私网IP地址。

   Kibana访问白名单配置说明：

   • 白名单支持配置IP地址或IP网段，例如192.168.0.1或192.168.0.0/24。

   • 白名单的IP地址或IP网段数量上限为300个，多个IP地址之间用英文逗号（,）隔开。

   • 127.0.0.1代表禁止所有IPv4地址访问，0.0.0.0/0代表允许所有私网IPv4地址访问，从安全角度不建议您配置允许所有IPv4地址访问。

   • 仅杭州地域支持配置公网IPv6地址访问，例如2401:XXXX:1000:24::5或2401:XXXX:1000::/48。

     说明

     • ::1代表禁止所有IPv6地址访问，::/0代表允许所有IPv6地址访问，从安全角度不建议您配置允许所有IPv6地址访问。

     • 部分版本的实例不支持将IP白名单配置为::/0，实际请以配置页面提示为准。

9. 单击确认。

10. （可选）在面板右上角单击图标，返回Kibana配置页面，在访问配置区域查看Kibana公网访问白名单或Kibana私网访问白名单。

    白名单显示不全时，可以将鼠标放在IP地址上查看完整的白名单。白名单中出现您添加的IP地址，说明白名单配置成功。

    

配置Kibana私网访问白名单

Kibana私网访问默认关闭，可按需开启。

Kibana公网端口为5601

如果Kibana公网端口为5601，开启Kibana私网访问后，您可以参考Kibana公网访问白名单的配置过程来配置Kibana私网访问的IP白名单。具体操作，请参见配置Kibana公网访问白名单。

Kibana公网端口为443

如果Kibana公网端口为443，开启Kibana私网访问后，将通过阿里云私网连接（PrivateLink）建立您的专有网络VPC与Kibana服务的私有连接，并通过安全组实现对Kibana私网访问的白名单控制。

1. 登录阿里云Elasticsearch控制台。
2. 在左侧导航栏，单击Elasticsearch实例。
3. 进入目标实例。
   1. 在顶部菜单栏处，选择资源组和地域。
   2. 在Elasticsearch实例中单击目标实例ID。

4. 在左侧导航栏，选择配置与管理 > 可视化控制。

5. 在Kibana区域，单击修改配置。

6. 在访问配置区域，打开Kibana私网访问开关。

7. 在开启Kibana私网访问面板，配置终端节点和安全组，并单击确定。

   通过私网连接PrivateLink实现Kibana服务的私网访问，需要为每个Kibana新建并关联一个独立的终端节点。

   说明

   通过PrivateLink私网访问Kibana需要服务关联角色，如果您未创建过相关服务关联角色，系统将自动为您创建。详细信息，请参见阿里云ES服务关联角色。

   参数	描述
   终端节点名称	终端节点名称自动生成，允许修改。
   终端节点网络配置	与Elasticsearch一致：创建终端节点的专有网络和交换机与ES实例一致。 自定义设置：选择创建终端节点的专有网络和交换机。
   安全组	通过安全组规则实现私网访问Kibana的网络策略控制。 选择已创建的安全组。 说明 安全组的端口范围需要包含5601（Kibana私网端口为5601）。修改安全组规则，请前往ECS安全组控制台，请参见修改安全组规则。 安全组的类型包括企业级安全组和普通安全组。Kibana私网访问修改安全组时，仅支持选择相同类型的安全组。例如，开启Kibana私网访问时选择了普通安全组，则仅支持在修改安全组时选择普通安全组。 快速新建安全组： 单击安全组文本框下面的快速创建。 输入安全组名称。 安全组名称自动生成，允许修改。 输入授权IP地址。 IP地址为待授权设备的私网IP地址。例如通过ECS私网访问Kibana服务，需要输入ECS实例的私网IP地址。

   说明

   • 单击确认后，需要等待一段时间，访问配置区域下方出现终端节点列表，表明Kibana私网访问配置成功。

   • 终端节点采用统一格式，创建后仅支持编辑终端节点名称。

   • ES控制台仅支持更换安全组。查询和管理安全组，请前往ECS安全组控制台。

   • 关闭Kibana私网访问开关后，终端节点资源将会自动释放。若再次开启Kibana私网访问，需重新创建终端节点资源，但Kibana访问地址不会发生变化。

常见问题

• Q：开启Kibana私网或公网访问功能，会影响ES集群吗？

  A：不会。开启Kibana私网或公网访问功能，仅会触发与Kibana对接的负载均衡SLB端的变更。

  说明

  首次开启Kibana私网访问会触发Kibana节点重启，但不会触发ES集群变更。

• Q：添加了白名单，但Kibana还是无法访问，该如何处理？

  A：您可以根据以下内容依次进行排查：

  • ES实例需要处于健康状态。

  • IP地址配置可能不正确：如果您通过本地设备访问Kibana服务，在浏览器中访问www.cip.cc，检查获取的IP地址是否在Kibana公网访问白名单中。

  • 您添加的可能是ES实例的访问白名单：登录kibana需要配置kibana公网访问白名单或kibana私网访问白名单，在ES实例的配置与管理 > 可视化控制中修改Kibana白名单配置。

  • 清理浏览器缓存后重试。

  • 重启Kibana节点后重试。

• Q：添加了安全组，且IP地址正确，为什么还是无法访问Kibana？

  A：Kibana私网端口为5601，因此安全组的端口范围需要包含5601。修改安全组规则，请前往ECS安全组控制台，或参见修改安全组规则。

• Q：为什么不支持在ES控制台修改安全组规则？

  A：安全组规则调整将影响所有通过该安全组规则进行访问控制的场景，故不支持在ES控制台修改安全组规则。修改安全组规则，请前往ECS安全组控制台。

• Q：Kibana规格为1核2 GiB，为什么不支持开启Kibana私网访问？

  A：1核2 GiB为测试规格，不推荐在生产中使用，如果您需要通过私网访问Kibana，建议先升配至2核4 GiB及以上规格。具体操作，请参见升配集群。

• 我可以在Kibana控制台中，访问公网中的服务吗（例如百度地图、高德地图等）？

• 为什么7.16版本的Kibana私网域名解析出的IP地址不在我的VPC网络下？

相关文档

• API文档：

  • 开启或关闭Kibana公网或私网访问的API文档：TriggerNetwork

  • 更新Kibana公网或私网访问白名单的API文档：ModifyWhiteIps

• 登录Kibana控制台。

• 在登录或使用Kibana过程中遇到问题，请参见Kibana FAQ。