全部产品
Search
文档中心

全球加速:访问控制

更新时间:Jun 07, 2024

如果您需要对客户端的访问请求进行精确控制时,您可以为监听开启访问控制功能,通过设置白名单仅允许特定的IP地址访问,或者通过设置黑名单仅限制某些IP地址的访问。

访问控制介绍

访问控制功能由访问控制策略组和访问控制方式组成。

  • 访问控制策略组:可以添加多个IP地址条目或IP地址段条目,用于统一管理具有相同安全要求的IP地址。

  • 访问控制方式:您可以针对不同的监听设置访问白名单或黑名单。

    • 白名单允许特定IP访问全球加速监听。仅转发来自所选访问控制策略组中设置的IP地址或地址段的请求,白名单适用于只允许特定IP访问的场景。

    • 黑名单禁止特定IP访问全球加速监听。不会转发来自所选访问控制策略组中设置的IP地址或地址段的请求,黑名单适用于只限制某些特定IP访问的场景。

警告
  • 设置白名单存在一定业务风险。一旦设置白名单,就只有白名单中的IP地址可以访问全球加速监听。如果开启了白名单访问,但访问策略组中没有添加任何IP,则全球加速监听会转发全部请求。

  • 如果开启了黑名单访问,但访问策略组中没有添加任何IP,则全球加速监听会转发全部请求。

创建访问控制策略组时,支持选择IPv4版本和IPv6版本。您可以根据接入点加速IP版本,为监听开启对应IP版本的访问控制策略组。

image

使用限制

按量付费的标准型全球加速实例使用限制

  • 仅智能路由类型监听支持开启访问控制功能。

  • 单个全球加速实例可管理的IP地址条目或IP地址段条目总数上限为600条,包括该实例下所有监听关联的访问策略组条目之和。

    对于单个监听,所关联访问控制策略组的IP地址条目或IP地址段条目总数上限计算如下:

    • 该监听端口数量总和(1个端口范围计为1个端口)* 访问控制策略组的条目数

    • 如果监听协议为HTTP/3,则:该监听端口数量总和(1个端口范围计为1个端口)* 访问控制策略组的条目数 * 2

  • 一个访问控制策略组能够关联的监听总数为10。

  • 一个监听最多支持关联一个IPv4版本的访问控制策略组和一个IPv6版本的访问控制策略组。

    • 当加速IP协议为IPv4或IPv6类型,且监听同时关联了一个IPv4和一个IPv6版本的访问控制策略组时,仅可生效与加速IP版本一致的访问控制策略组。

    • 当加速IP协议为双栈类型,且监听同时关联了一个IPv4和一个IPv6版本的访问控制策略组时,2个IP版本的访问控制策略组均可生效。

包年包月的标准型全球加速实例使用限制

  • 仅智能路由类型监听支持开启访问控制功能。

  • 一个监听关联的访问控制策略组包含的IP地址条目或IP地址段条目总数上限为200,且各条目中的IP地址不能重复。

  • 一个访问控制策略组能够关联的监听总数为10。

  • 一个监听最多支持关联一个IPv4版本的访问控制策略组和一个IPv6版本的访问控制策略组。

    • 当加速IP协议为IPv4或IPv6类型,且监听同时关联了一个IPv4和一个IPv6版本的访问控制策略组时,仅可生效与加速IP版本一致的访问控制策略组。

    • 当加速IP协议为双栈类型,且监听同时关联了一个IPv4和一个IPv6版本的访问控制策略组时,2个IP版本的访问控制策略组均可生效。

配置流程

image

创建访问控制策略组

在开启访问控制前,您需要先创建访问控制策略组。

  1. 登录全球加速管理控制台

  2. 在左侧导航栏,选择标准型实例 > 访问控制

  3. 访问控制页面,单击创建访问控制策略组

  4. 创建访问控制策略组对话框,根据以下信息配置访问控制策略组,然后单击确定

    配置

    说明

    策略组名称

    自定义访问控制策略组名称。

    IP版本

    选择访问控制策略组的IP版本。

    • 选择IPv4时,该访问控制策略组仅针对加速IP为IPv4地址协议的加速地域生效。

    • 选择IPv6时,该访问控制策略组仅针对加速IP为IPv6地址协议的加速地域生效。

    资源组

    选择访问控制策略组所属的资源组。

    该资源组为当前阿里云账号在资源管理中创建的资源组。更多信息,请参见创建资源组

    标签

    为访问控制策略组添加标签。

    选择或输入标签键标签值

    如何管理访问控制策略组标签,请参见标签管理

添加策略组条目

创建完访问控制策略组后,每个策略组可添加多个IP地址条目或IP地址段条目,从而实现允许或者限制全球加速监听对这些IP条目访问请求的转发。

  1. 登录全球加速管理控制台

  2. 在左侧导航栏,选择标准型实例 > 访问控制

  3. 找到目标访问控制策略组,在操作列单击管理访问控制策略组

  4. 在访问控制详情页面,可以通过以下两种方式添加策略组条目。

    • 单个添加策略组条目

      单击添加条目,在添加策略组条目对话框,输入地址/地址段备注,单击确定

    • 批量添加策略组条目

      单击批量添加条目,在批量添加条目对话框,按照界面提示批量添加IP地址或IP地址段,单击确定

为监听开启访问控制

在开启访问控制前,请确保您已创建监听。更多信息,请参见添加和管理智能路由类型监听

  1. 登录全球加速管理控制台

  2. 实例列表页面,找到目标全球加速实例,然后在操作列单击配置监听

  3. 监听页签下,单击待开启访问控制的监听ID。

  4. 监听详情页签下的访问控制区域,打开访问控制开关。

  5. 开启访问控制对话框配置以下参数,然后单击确定开启

    配置

    说明

    访问控制方式

    选择一种访问控制方式:

    • 白名单:转发来自所选访问控制策略组中设置的IP地址或地址段的请求。

    • 黑名单:不会转发来自所选访问控制策略组中设置的IP地址或地址段的请求。

    警告
    • 设置白名单存在一定业务风险。一旦设置白名单,就只有白名单中的IP地址可以访问全球加速监听。如果开启了白名单访问,但访问策略组中没有添加任何IP,则全球加速监听会转发全部请求。

    • 如果开启了黑名单访问,但访问策略组中没有添加任何IP,则全球加速监听会转发全部请求。

    选择访问控制策略组

    选择一个访问控制策略组。

    您还可以单击+添加策略组,一次添加2条访问控制策略组。

为监听解绑访问控制策略组

您可以为监听解绑不再使用的访问控制策略组。

当为监听解绑所有访问控制策略组时,将直接关闭该监听的访问控制。

  1. 登录全球加速管理控制台

  2. 实例列表页面,找到目标全球加速实例,然后在操作列单击配置监听

  3. 监听页签下,单击待解绑访问控制策略组的监听ID。

  4. 监听详情页签下的访问控制区域,在访问控制策略组右侧单击编辑图标。

  5. 编辑访问控制策略组对话框,找到待解绑的访问控制策略组,在操作列单击解绑,然后单击确定

为监听关闭访问控制

如果不需要对监听设置访问限制,您可以对监听关闭访问控制。

  1. 登录全球加速管理控制台

  2. 实例列表页面,找到目标全球加速实例,然后在操作列单击配置监听

  3. 监听页签下,单击待关闭访问控制的监听ID。

  4. 监听详情页签的访问控制区域,关闭访问控制开关。

  5. 在弹出的对话框中,单击确定

删除策略组条目

您可以删除访问控制策略组中的IP地址条目。

  1. 登录全球加速管理控制台

  2. 在左侧导航栏,选择标准型实例 > 访问控制

  3. 找到目标访问控制策略组,在操作列单击管理访问控制策略组

  4. 在目标IP条目的操作列下单击删除,或选中多个IP条目,然后在条目列表下方单击删除

  5. 在弹出的对话框中,单击确定

删除访问控制策略组

您可以删除不再使用的访问控制策略组。

删除访问控制策略组前,需先与监听解除关联。具体操作,请参见为监听解绑访问控制策略组

  1. 登录全球加速管理控制台

  2. 在左侧导航栏,选择标准型实例 > 访问控制

  3. 找到目标访问控制策略组,在操作列单击删除

  4. 在弹出的对话框中,单击确定

相关文档