如果您需要对客户端的访问请求进行精确控制时,您可以为监听开启访问控制功能,通过设置白名单仅允许特定的IP地址访问,或者通过设置黑名单仅限制某些IP地址的访问。
访问控制介绍
访问控制功能由访问控制策略组和访问控制方式组成。
访问控制策略组:可以添加多个IP地址条目或IP地址段条目,用于统一管理具有相同安全要求的IP地址。
访问控制方式:您可以针对不同的监听设置访问白名单或黑名单。
白名单:允许特定IP访问全球加速监听。仅转发来自所选访问控制策略组中设置的IP地址或地址段的请求,白名单适用于只允许特定IP访问的场景。
黑名单:禁止特定IP访问全球加速监听。不会转发来自所选访问控制策略组中设置的IP地址或地址段的请求,黑名单适用于只限制某些特定IP访问的场景。
设置白名单存在一定业务风险。一旦设置白名单,就只有白名单中的IP地址可以访问全球加速监听。如果开启了白名单访问,但访问策略组中没有添加任何IP,则全球加速监听会转发全部请求。
如果开启了黑名单访问,但访问策略组中没有添加任何IP,则全球加速监听会转发全部请求。
创建访问控制策略组时,支持选择IPv4版本和IPv6版本。您可以根据接入点加速IP版本,为监听开启对应IP版本的访问控制策略组。
使用限制
按量付费的标准型全球加速实例使用限制
仅智能路由类型监听支持开启访问控制功能。
单个全球加速实例可管理的IP地址条目或IP地址段条目总数上限为600条,包括该实例下所有监听关联的访问策略组条目之和。
对于单个监听,所关联访问控制策略组的IP地址条目或IP地址段条目总数上限计算如下:
该监听端口数量总和(1个端口范围计为1个端口)* 访问控制策略组的条目数
如果监听协议为HTTP/3,则:该监听端口数量总和(1个端口范围计为1个端口)* 访问控制策略组的条目数 * 2
一个访问控制策略组能够关联的监听总数为10。
一个监听最多支持关联一个IPv4版本的访问控制策略组和一个IPv6版本的访问控制策略组。
当加速IP协议为IPv4或IPv6类型,且监听同时关联了一个IPv4和一个IPv6版本的访问控制策略组时,仅可生效与加速IP版本一致的访问控制策略组。
当加速IP协议为双栈类型,且监听同时关联了一个IPv4和一个IPv6版本的访问控制策略组时,2个IP版本的访问控制策略组均可生效。
包年包月的标准型全球加速实例使用限制
仅智能路由类型监听支持开启访问控制功能。
一个监听关联的访问控制策略组包含的IP地址条目或IP地址段条目总数上限为200,且各条目中的IP地址不能重复。
一个访问控制策略组能够关联的监听总数为10。
一个监听最多支持关联一个IPv4版本的访问控制策略组和一个IPv6版本的访问控制策略组。
当加速IP协议为IPv4或IPv6类型,且监听同时关联了一个IPv4和一个IPv6版本的访问控制策略组时,仅可生效与加速IP版本一致的访问控制策略组。
当加速IP协议为双栈类型,且监听同时关联了一个IPv4和一个IPv6版本的访问控制策略组时,2个IP版本的访问控制策略组均可生效。
配置流程
创建访问控制策略组
在开启访问控制前,您需要先创建访问控制策略组。
登录全球加速管理控制台。
在左侧导航栏,选择 。
在访问控制页面,单击创建访问控制策略组。
在创建访问控制策略组对话框,根据以下信息配置访问控制策略组,然后单击确定。
添加策略组条目
创建完访问控制策略组后,每个策略组可添加多个IP地址条目或IP地址段条目,从而实现允许或者限制全球加速监听对这些IP条目访问请求的转发。
登录全球加速管理控制台。
在左侧导航栏,选择 。
找到目标访问控制策略组,在操作列单击管理访问控制策略组。
在访问控制详情页面,可以通过以下两种方式添加策略组条目。
单个添加策略组条目
单击添加条目,在添加策略组条目对话框,输入地址/地址段和备注,单击确定。
批量添加策略组条目
单击批量添加条目,在批量添加条目对话框,按照界面提示批量添加IP地址或IP地址段,单击确定。
为监听开启访问控制
在开启访问控制前,请确保您已创建监听。更多信息,请参见添加和管理智能路由类型监听。
登录全球加速管理控制台。
在实例列表页面,找到目标全球加速实例,然后在操作列单击配置监听。
在监听页签下,单击待开启访问控制的监听ID。
在监听详情页签下的访问控制区域,打开访问控制开关。
在开启访问控制对话框配置以下参数,然后单击确定开启。
配置
说明
访问控制方式
选择一种访问控制方式:
白名单:转发来自所选访问控制策略组中设置的IP地址或地址段的请求。
黑名单:不会转发来自所选访问控制策略组中设置的IP地址或地址段的请求。
警告设置白名单存在一定业务风险。一旦设置白名单,就只有白名单中的IP地址可以访问全球加速监听。如果开启了白名单访问,但访问策略组中没有添加任何IP,则全球加速监听会转发全部请求。
如果开启了黑名单访问,但访问策略组中没有添加任何IP,则全球加速监听会转发全部请求。
选择访问控制策略组
选择一个访问控制策略组。
您还可以单击+添加策略组,一次添加2条访问控制策略组。
为监听解绑访问控制策略组
您可以为监听解绑不再使用的访问控制策略组。
当为监听解绑所有访问控制策略组时,将直接关闭该监听的访问控制。
登录全球加速管理控制台。
在实例列表页面,找到目标全球加速实例,然后在操作列单击配置监听。
在监听页签下,单击待解绑访问控制策略组的监听ID。
在监听详情页签下的访问控制区域,在访问控制策略组右侧单击图标。
在编辑访问控制策略组对话框,找到待解绑的访问控制策略组,在操作列单击解绑,然后单击确定。
为监听关闭访问控制
如果不需要对监听设置访问限制,您可以对监听关闭访问控制。
登录全球加速管理控制台。
在实例列表页面,找到目标全球加速实例,然后在操作列单击配置监听。
在监听页签下,单击待关闭访问控制的监听ID。
在监听详情页签的访问控制区域,关闭访问控制开关。
在弹出的对话框中,单击确定。
删除策略组条目
您可以删除访问控制策略组中的IP地址条目。
登录全球加速管理控制台。
在左侧导航栏,选择 。
找到目标访问控制策略组,在操作列单击管理访问控制策略组。
在目标IP条目的操作列下单击删除,或选中多个IP条目,然后在条目列表下方单击删除。
在弹出的对话框中,单击确定。
删除访问控制策略组
您可以删除不再使用的访问控制策略组。
删除访问控制策略组前,需先与监听解除关联。具体操作,请参见为监听解绑访问控制策略组。
登录全球加速管理控制台。
在左侧导航栏,选择 。
找到目标访问控制策略组,在操作列单击删除。
在弹出的对话框中,单击确定。
相关文档
CreateAcl:创建访问控制策略组。
AddEntriesToAcl:在访问控制策略组中添加IP条目。
AssociateAclsWithListener:将访问控制策略组与监听进行关联。
DissociateAclsFromListener:将访问控制策略组与监听解除关联。
RemoveEntriesFromAcl:删除访问控制策略组中的IP条目。
DeleteAcl:删除访问控制策略组。