更新时间:2023-08-16 GMT+08:00
IP白名单
IP白名单含义
- IP白名单是通过设置IP白名单的IP范围和访问权限,限制用户的访问和上传下载权限,大大增强仓库的安全性。
- 配置IP白名单仅支持可见范围为私有的仓库,可见范围为公开只读或公开示例模板的仓库均不受该配置限制。
IP白名单格式
IP白名单支持IPv4和IPv6,有3种格式,如下表所示。
格式 |
说明 |
|---|---|
单个IP |
这是最简单的一种IP白名单格式,如将您的个人家庭电脑的IP添加到白名单中,比如:100.*.*.123。 |
IP范围 |
当您拥有不止一台服务器而且IP段是连续的,或者您的IP会在一个网段内动态变化,这时您可以添加一个IP白名单范围,比如:100.*.*.0 - 100.*.*.255。 |
CIDR格式(无类别域间路由) |
|
配置IP白名单
代码托管服务提供多种维度的IP白名单设置,仓库管理者可针对所需要的应用场景选择使用。
若已配置IP白名单的私有仓库切换为公开只读或公开示例模板的仓库,在代码托管仓库页面端或Git客户端也可以上传下载代码。
IP白名单设置请参见访问控制,针对所有云服务的白名单设置,非白名单IP将在登录时就被拦截,无法访问任何云服务。
- 代码托管(单仓库)IP白名单设置:请在具体代码仓库的中设置(支持IPv4和IPv6,具体分类参见IP白名单格式),这种控制类型仅限制名单外的IP对特定仓库的访问、操作限制,以下是对非白名单的访问限制的配置:
允许访问仓库:勾选该选项后,非名单内的IP不可访问该仓库,仓库创建者不受限制。
允许下载代码:勾选该选项后,非名单内的IP禁止代码的在线下载、本地克隆。
允许提交代码:勾选该选项后,非名单内的IP禁止代码的在线修改、在线上传、本地提交;构件工程代码化编排,yaml文件同步功能不受访问控制。
- 提交代码:新建/编辑/删除/上传/重命名文件,新建/删除目录,新建/删除子模块,新建/删除分支,新建/删除tag,解决代码冲突,创建/合入MR,cherrypick,revert,LFS存储,rebase。
- 下载代码:单文件/分支/tag/仓库下载,仓库备份。
- 本地下载:基于SSH协议的下载操作,基于HTTPS协议的下载操作,基于部署密钥的克隆仓库操作。
- 本地提交:基于SSH协议的提交操作,基于HTTPS协议的提交操作。
- 仓库同步操作不受IP白名单影响。
- 租户级IP白名单:当您需要对租户下的所有仓库都统一设置IP白名单时,可以登录您的代码托管服务仓库列表页,单击右上角昵称,单击“租户设置 > 代码托管 > 租户级IP白名单”,进入页面,如下图所示,其配置规则与仓库级IP白名单相同。
只有租户帐号有配置“租户级IP白名单”的权限,单击“新建租户级白名单”旁的扩展按钮
,可勾选“租户优先设置”,Git客户端克隆/界面下载仓库源码逻辑可参考下表。租户优先设置
是否配置租户级白名单
是否配置仓库级白名单
优先级
开启
×
×
不判断白名单,所有IP均可通过。
×
√
以仓库级白名单为准。
√
×
以租户级白名单为准。
√
√
以租户级白名单与仓库级白名单的交集为准。
关闭
×
×
不判断白名单,所有IP均可通过。
×
√
以仓库级白名单为准。
√
×
以租户级白名单为准。
√
√
以仓库级白名单为准。
父主题: 安全管理
