Elasticsearch 中如何限制和指定 IP 地址的访问？

在现代的微服务架构中，保护系统不受未授权访问是非常重要的，尤其是在网关层。极限网关（INFINI Gateway）作为我们服务架构的入口，它的安全性直接影响到整个系统的稳定与安全。

极限网关提供了强大的 IP 访问控制 功能，允许你灵活地控制哪些 IP 可以访问你的服务，以及哪些 IP 必须被拒绝。

注意：开源非付费版本 Elasticsearch 不具备这个功能。

本文将带你一步步了解如何使用极限网关来限制或指定允许/拒绝的 IP 地址，帮助你增强网关的安全性。

1. 什么是 IP 访问控制？

IP 访问控制是一种安全机制，它允许你基于客户端的 IP 地址来决定是否允许访问你的服务。极限网关通过 ip_access_control 配置来启用和管理这一功能。你可以通过配置以下两种方式来管理客户端的访问：

白名单：只允许指定的 IP 地址访问。黑名单：拒绝指定的 IP 地址访问。

这两种方式可以单独使用，也可以结合使用，确保只有可信的 IP 地址能够访问你的服务。

2. 如何配置 IP 访问控制？

在极限网关中，配置 IP 访问控制非常简单。你只需要在路由配置中增加 ip_access_control 节点，启用控制功能，并指定需要允许或拒绝的 IP 地址。

启用 IP 访问控制

下面是一个简单的示例，展示如何启用 IP 访问控制：

在上面的配置中，enabled: true 就是启用 IP 访问控制的关键。之后，你可以选择进一步配置允许或拒绝的 IP 地址。

3. 配置白名单：只允许特定 IP 访问

如果你希望只允许某些特定 IP 地址能够访问你的服务，可以使用 白名单 配置。这意味着，只有列出的 IP 地址可以访问你的网关服务，其他 IP 地址会被自动拒绝。

假设你只希望 IP 地址 133.37.55.22 能够访问服务，其他的 IP 都不能访问，配置示例如下：

在上面的配置中，client_ip.permitted 下列出了被允许访问的 IP 地址。只有 IP 地址为 133.37.55.22 的请求会通过，其他 IP 地址的请求都会被自动拒绝。

实际案例配置截图：

0

验证结果如下：

0

0

0

4. 配置黑名单：拒绝特定 IP 访问

如果你希望某些特定 IP 地址不能访问你的网关服务，可以使用 黑名单 配置。这意味着，列出的 IP 地址会被拒绝访问，而其他未列出的 IP 地址将能够正常访问。

例如，假设你希望拒绝 IP 地址 133.37.55.22 访问服务，配置示例如下：

在这个配置中，client_ip.denied 下列出了被拒绝访问的 IP 地址。任何来自 133.37.55.22 的请求都会被网关直接拒绝，其他 IP 地址的请求则不会受到影响。

实际案例配置截图参考：

图片

实际验证截图如下：

图片

由于 IP 地址被设置为黑名单，导致客户端写入报错。

5. 配置同时使用白名单和黑名单

你也可以将 白名单和 黑名单 结合起来使用。例如，允许某些特定 IP 地址访问，同时拒绝某些其他的 IP 地址。

假设你想允许 133.37.55.22 访问，但拒绝 192.168.1.1 的访问，配置如下：

在这个配置中，133.37.55.22 会被允许访问，而 192.168.1.1 会被拒绝访问。

6. 使用 IP 地址访问控制的场景

1）保护敏感服务： 如果你有一些只允许特定客户端访问的敏感服务，可以通过白名单来确保只有合法的客户端能够访问。

2）防止恶意访问： 黑名单可以帮助你封堵已知的恶意 IP 地址，防止攻击者通过尝试访问网关来对系统造成危害。

3）灵活的访问管理： 你可以根据业务需求动态地调整允许或拒绝的 IP 地址，确保网关始终处于安全状态。

7. 小结

IP 访问控制是极限网关提供的一项非常实用的安全功能，它能帮助你控制谁能够访问你的服务。通过简单的配置，你可以指定哪些 IP 地址可以访问（白名单），以及哪些 IP 地址不能访问（黑名单）。合理使用这项功能，可以有效地提高系统的安全性，防止未经授权的访问。