您可以在 IP 许可名单页面中指定可访问 Looker 实例的 IP 地址列表。如需查看要根据您所在区域允许的特定 IP 地址的列表,请参阅启用安全的数据库访问权限。启用 IP 许可名单后,Looker 实例会在应用级过滤 IP 地址,仅允许来自许可名单中的 IP 地址的连接。Looker 会拒绝来自所有其他 IP 地址的连接尝试。当 IP 许可名单处于停用状态时,您的 Looker 实例可以接受来自任何 IP 地址的连接。
IP 许可名单页面仅适用于 Looker 托管的实例。客户自托管实例不会在管理菜单中看到此选项。如需查看 IP 许可名单页面,请在管理菜单的服务器部分中选择 IP 许可名单。
IP 许可名单页面列出了用于配置哪些 IP 地址和子网掩码可以访问 Looker 实例的规则。每条规则还定义了来自这些 IP 地址的用户是否只能通过 Looker 界面登录、只能通过 Looker API 登录,还是可以通过这两种方式登录。
除了查看现有的 IP 许可清单规则之外,您还可以执行以下任务:
- 使用启用许可名单设置启用或停用 IP 许可名单。当许可名单处于有效状态时,只有来自列出的 IP 地址的用户才能连接。
- 定义新规则,将更多 IP 地址添加到许可名单。
- 启用、停用、修改或删除现有规则。
- 授予对基本 Google Cloud 服务的访问权限。
启用 IP 许可名单设置
如果未为 Looker 实例定义任何 IP 许可名单规则,IP 许可名单页面会显示以下消息:“您的 IP 地址未列入许可名单。”您必须先为用于访问 Looker 实例的 IP 地址定义 IP 许可清单规则,然后才能开启启用许可清单设置。
如需将您的 IP 地址添加到实例许可名单中,请按以下步骤操作:
- 选择您的 IP 地址未列入许可名单文本。Looker 会显示一个对话框,其中显示您的来源公共 IP 地址以及以下消息:“目前没有已启用的规则允许通过您的 IP 地址进行访问。您必须先创建或启用规则以将自己列入许可名单,然后才能启用 IP 许可名单功能。检测到的 IP 地址为 192.168.1.1。”
- 复制检测到的 IP 地址。
- 添加包含您的 IP 地址的规则。
- 保存规则后,开启启用许可名单设置。
- (可选)启用允许 Google Cloud 服务设置,以授予基本 Google Cloud 服务对实例的访问权限。
添加新规则
选择添加规则,将 IP 地址或地址范围添加到许可名单中。Looker 会显示新的 IP 许可名单规则对话框。如需添加新规则,请按以下步骤操作:
- 在标签字段中,输入新规则的名称。
- 在 IP 范围字段中,使用 IP 地址和子网掩码输入一系列获批的 IP 地址,如 CIDR 表示法中所述。
- 在界面或 API?下拉菜单中,指定新规则是仅适用于来自 Looker 界面的登录尝试,还是仅适用于来自 Looker API 的登录尝试,亦或是同时适用于来自这两个来源的登录尝试。
- 选择保存。
注意事项
配置 IP 许可名单时,请注意以下事项:
- 添加 50 条以上的规则可能会对 Looker 的性能产生负面影响。
- 启用 IP 许可名单后,某些 Looker Action Hub 功能(例如 Slack 集成和已启用 OAuth 的操作)将无法正常运行。
- 如需将 Git 拉取请求与任何 LookML 项目集成,您需要将 Git 提供商发出出站请求所用的 IP 地址范围添加到许可名单中。例如,GitHub IP 地址可从其元 API 端点获取。IP 地址可能会发生变化,并且对于其他 Git 提供商会有所不同。