Настройка фильтров IP
Установка IP-фильтров
Списки доступа по IP фильтруют трафик к сервисам ClickHouse или API ключам, указывая, какие IP-адреса могут подключаться. Эти списки настраиваются для каждого сервиса и каждого API ключа. Списки могут быть настроены во время создания сервиса или API ключа, или позже.
Если вы пропустите создание списка доступа по IP для сервиса ClickHouse Cloud, то никакой трафик к сервису не будет разрешен. Если списки доступа по IP для сервисов ClickHouse настроены на Allow from anywhere, ваш сервис может периодически перемещаться из неактивного состояния в активное из-за интернет-роботов и сканеров, которые ищут общедоступные IP, что может привести к неожиданным расходам.
Подготовка
Перед тем как начать, соберите IP-адреса или диапазоны, которые должны быть добавлены в список доступа. Учитывайте удаленных сотрудников, места дежурства, VPN и т.д. Интерфейс списка доступа по IP принимает как индивидуальные адреса, так и нотацию CIDR.
Нотация классовой междоменной маршрутизации (CIDR) позволяет указывать диапазоны IP-адресов, меньшие, чем традиционные размеры маски подсети классов A, B или C (8, 6 или 24). ARIN и несколько других организаций предлагают калькуляторы CIDR, если вам нужен такой инструмент, и если вы хотите получить более подробную информацию о нотации CIDR, ознакомьтесь с RFC Classless Inter-domain Routing (CIDR).
Создание или изменение списка доступа по IP
Списки доступа по IP применяются только к подключениям из публичного интернета, вне PrivateLink.
Если вам нужен только трафик из PrivateLink, установите DenyAll в списке разрешенных IP.
Список доступа по IP для сервисов ClickHouse
При создании сервиса ClickHouse настройка по умолчанию для списка разрешенных IP - 'Allow from nowhere.'
В списке сервисов ClickHouse Cloud выберите сервис, затем выберите Настройки. В разделе Безопасность вы найдете список доступа по IP. Нажмите на кнопку Добавить IP.
Появится боковая панель с параметрами для настройки:
- Разрешить входящий трафик из любой точки в сервис
- Разрешить доступ из конкретных мест в сервис
- Запретить весь доступ к сервису
Список доступа по IP для API ключей
При создании API ключа настройка по умолчанию для списка разрешенных IP - 'Allow from anywhere.'
В списке API ключей нажмите на три точки рядом с API ключом в колонке Действия и выберите Редактировать. Внизу экрана вы найдете список доступа по IP и параметры для настройки:
- Разрешить входящий трафик из любой точки в сервис
- Разрешить доступ из конкретных мест в сервис
- Запретить весь доступ к сервису
Этот скриншот показывает список доступа, который позволяет трафик из диапазона IP-адресов, описанный как "NY Office range":
Возможные действия
- Чтобы добавить дополнительную запись, вы можете использовать + Добавить новый IP
В этом примере добавляется один IP-адрес с описанием London server:
- Удалить существующую запись
Нажатие на крестик (x) удаляет запись
- Изменить существующую запись
Прямое редактирование записи
- Переключиться на разрешение доступа из Anywhere
Это не рекомендуется, но это разрешено. Мы рекомендуем экспонировать приложение, построенное на базе ClickHouse, для публичного доступа и ограничить доступ к бэкенд-сервису ClickHouse Cloud.
Чтобы применить сделанные изменения, необходимо нажать Сохранить.
Проверка
Как только вы создадите свой фильтр, подтвердите подключение к сервису из разрешенного диапазона и убедитесь, что соединения из вне разрешенного диапазона отклоняются. Простой командой curl можно проверить:
или
Ограничения
- В настоящее время списки доступа по IP поддерживают только IPv4
