IP访问控制API网关提供的 API 安全防护组件之一,负责控制 API 的调用来源 IP (支持IP段)。您可以通过配置某个 API 的 IP 白名单/黑名单来允许/拒绝某个来源的API请求。

IP访问控制现在合并进了插件体系。现存的控制台界面与接口仍然可以使用,IP访问控制策略IP访问控制插件属于同一种插件类型,受到同类型插件绑定的限制。

使用原有的IP访问控制接口或控制台创建或更改IP访问控制,会同步数据至插件系统,但不会反向同步。

如何使用

支持白名单或黑名单方式:

  • 白名单: 支持配置 IP 或者 APPID + IP 的白名单访问,不在白名单列表的请求将会被拒绝。
    • IP 白名单,只允许设定的调用来源 IP 的请求被允许。
    • APPID + IP 此APPID只能在设定的 IP 下访问,其他 IP 来源将被拒绝。
  • 黑名单: 您可以配置 IP 黑名单,黑名单中 IP 的访问将被 API 网关拒绝。

插件配置

可以选择json或者yaml格式的来配置您的插件,两种格式的schema相同,可以搜索yaml to json转换工具来进行配置格式的转换,yaml格式的模板见下表。

---
type: ALLOW 	  # 控制模式,支持白名单模式'ALLOW'和黑名单模式'REFUSE'
items:			
- blocks:         # IP地址段
  - 61.3.9.0/24   # 使用CIDR方式配置
  appId: 219810   # (可选) 如果配置了appId则该条目仅对该AppId生效
- blocks:         # IP地址
  - 79.11.12.2    # 使用IP地址方式配置
- blocks:         # 用户VPC
  - 100.64.0.0/10    # 专项实例场景,从用户VPC内访问API网关的请求,API网关看到的来源地址处于这个地址段

需要特别注意最后一点,专项实例场景,API网关允许从用户VPC内发送请求到API网关,此时API网关看到请求地址的来源IP段为100.64.0.0/10,如果您的专项实例需要同时设置允许公网某些IP加上用户VPC内同时访问时,您可以设置100.64.0.0/10作为用户VPC的来源地址。