Перейти к основному содержимому
Перейти к основному содержимому

Настройка IP-фильтров

Настройка IP-фильтров

IP-списки доступа фильтруют трафик к вашим службам ClickHouse, указывая, какие исходные адреса имеют право подключаться к вашей службе ClickHouse. Списки настраиваются для каждой службы. Списки можно настроить во время развертывания службы или позже. Если вы не настраиваете IP-список доступа во время подготовки, или если хотите внести изменения в ваш первоначальный список, вы можете сделать это, выбрав службу, а затем вкладку Безопасность.

к сведению

Если вы пропустите создание IP-списка доступа для службы ClickHouse Cloud, то никакой трафик не будет разрешен к этой службе.

Подготовка

Прежде чем начать, соберите IP-адреса или диапазоны, которые должны быть добавлены в список доступа. Учитывайте удаленных сотрудников, места дежурства, VPN и т.д. Интерфейс пользователя IP-списка доступа принимает отдельные адреса и нотацию CIDR.

Нотация безклассовой междоменной маршрутизации (CIDR) позволяет указывать диапазоны IP-адресов, меньшие, чем традиционные размеры маски подсети классов A, B или C (8, 6 или 24). ARIN и несколько других организаций предоставляют калькуляторы CIDR, если вам это нужно, и если вы хотите получить больше информации о нотации CIDR, пожалуйста, смотрите Безклассовая междоменная маршрутизация (CIDR) RFC.

Создание или изменение IP-списка доступа

Из списка служб ClickHouse Cloud выберите службу, а затем выберите Настройки. В разделе Безопасность вы найдете IP-список доступа. Нажмите на гиперссылку, где написано: Вы можете подключаться к этой службе из (откуда угодно | x конкретные места)

Появится боковая панель с вариантами конфигурации:

  • Разрешить входящий трафик с любого места к службе
  • Разрешить доступ из конкретных мест к службе
  • Запретить доступ ко всей службе

Этот снимок экрана показывает список доступа, который позволяет трафик из диапазона IP-адресов, описанный как "Диапазон офиса NY":

Возможные действия

  1. Чтобы добавить дополнительную запись, вы можете использовать + Добавить новый IP

    В этом примере добавляется один IP-адрес с описанием Лондонский сервер:

  1. Удалить существующую запись

    Нажатие на крестик (x) может удалить запись

  2. Изменить существующую запись

    Прямое изменение записи

  3. Переключиться на доступ из Любого места

    Это не рекомендуется, но это разрешено. Мы рекомендуем вам открывать приложение, построенное на основе ClickHouse, для публики и ограничивать доступ к службе ClickHouse Cloud на стороне бэкенда.

Чтобы применить изменения, которые вы внесли, вы должны нажать Сохранить.

Проверка

После создания фильтра подтвердите возможность подключения из указанного диапазона и убедитесь, что подключения извне разрешенного диапазона отклоняются. Простая команда curl может быть использована для проверки:

или

Ограничения

  • В настоящее время IP-списки доступа поддерживают только IPv4