hhdb数据库介绍(10-41)

安全

黑白名单

管理平台支持黑名单、白名单功能，可限制白名单之外的主机连接计算节点服务，同时限制黑名单之内的主机连接计算节点服务。

• 用黑/白名单功能需要先在“安全->黑白名单”中开启黑/白名单开关。
• 每个黑/白名单组都有对应的开关按钮，可以只开启或关闭某一个组，不影响其他组。
• 开启和关闭黑/白名单开关或添加、修改、删除白名单信息需通过“仅加载当前页面配置”或“动态加载”使其生效。
• 当黑/白名单组有变动时，按钮会出现气泡提示，加载成功后气泡消失。“仅加载当前页面配置”按钮只对黑/白名单设置起作用，对其他页面修改设置无效，其他页面仍需要点击右上角菜单栏“同步加载”按钮。
• 添加可以访问计算节点的主机，则白名单之外的主机连接计算节点时都会被拦截。拦截记录可以在“事件->审计日志->安全防护”中查看。

特殊说明：

• 目前只能配置IP格式的主机，暂不支持域名格式。

• 管理平台会默认在白名单功能中内置一个“组名”为“MANAGEMENT”的白名单组，内部包含当前管理平台所在服务器IP地址。该白名单组不能在页面中进行删除、修改。

• 当计算节点集群要更换管理平台时，必须先将新的管理平台服务器IP加入到计算节点白名单中，否则新管理平台的IP不在白名单范围内会导致新管理平台无法连接计算节点。

• 集群部署/单机部署/集群组添加/服务器页面中所有目标对象主机名（IP）均会自动加入白名单（服务器主机名对象包括计算节点、存储节点、LVS/KEEPALIVED、VIP、平台配置库、计算节点配置库、审计日志库、127.0.0.1等），定义为INTERNAL-GROUP组。

• 管理平台会自动识别当前集群内配置的所有IP地址，不允许添加以下IP进到黑名单：计算节点IP、存储节点IP、LVS/KEEPALIVED、VIP、平台配置库、计算节点配置库、审计日志库、127.0.0.1。

• 对于已连接到计算节点的IP主机，再去设置此IP为黑名单时，此IP主机依旧可以继续操作，因为已有连接绑定的属性不会发生变化，直到退出再次连接才会生效黑名单的拦截功能。