配置访问控制

操作场景

全球加速服务的用户可以通过添加白名单和黑名单的方式控制访问全球加速监听器的IP。通过白名单能够设置允许特定IP访问，而禁止其它IP访问。通过黑名单能够设置禁止特定的IP访问，而允许其它IP访问。

同时，用户可以根据业务需求修改或者关闭已经配置完成的访问控制策略。

设置白名单和黑名单存在一定业务风险。设置白名单后，则只有白名单中的IP可以访问全球加速监听器；而设置黑名单后，黑名单中的IP将不能访问全球加速监听器。

约束与限制

• 访问控制只限制实际业务的流量转发，不限制Ping命令操作，被限制的IP仍可以Ping通后端终端节点。

  如果配置白名单后，不在白名单的IP也能访问后端终端节点，可能的原因是该连接为长连接。需要客户端或后端终端节点断开该长连接。

• 一个监听器的访问控制对应的IP地址组包含的IP网段最多为200个，单次最多可添加20个，且不能重复。
• 一个IP地址组最多可作为10个监听器的访问控制策略使用。
• 访问控制策略对新建的连接是实时生效的。

前提条件

已经创建可以作为黑名单或者白名单进行访问控制的IP地址组，创建IP地址组详细请参见创建IP地址组。

待关联的IP地址组的状态必须要“运行中”。

配置访问控制

1. 登录管理控制台。
2. 单击管理控制台左上角的，选择“网络 > 全球加速”。

   进入全球加速服务主页面。

3. 在全球加速服务列表中，通过名称或ID查询需要设置访问控制的全球加速实例。
4. 单击全球加速实例名称，默认进入“详情页”。
5. 选择“监听器”，进入相应页面。

6. 单击目标监听器名称，进入监听器的基本信息页面。
7. 在基本信息页面，单击访问控制右侧的“配置”。
8. 根据界面提示配置相关参数，详细请参见表1。

   表1 访问控制参数说明

   参数	说明
   访问控制开关	当访问策略选择白名单或者黑名单时，可以开启或者关闭访问控制开关。 开启：开启访问控制开关，设置的白名单和黑名单才会生效。 关闭：关闭访问控制开关，设置的白名单和黑名单不生效。
   访问策略	支持选择黑名单、白名单。 白名单：仅允许IP地址组中的IP访问全球加速监听器。 黑名单：不允许IP地址组中的IP访问全球加速监听器。
   IP地址组	选择作为白名单或者黑名单进行访问控制的IP地址组。

9. 配置完成，单击“确定”。