IP访问控制

如何使用

支持白名单或黑名单方式：

• 白名单: 支持配置 IP 或者 APPID + IP 的白名单访问，不在白名单列表的请求将会被拒绝。
  • IP 白名单，只允许设定的调用来源 IP 的请求被允许。
  • APPID + IP 此APPID只能在设定的 IP 下访问，其他 IP 来源将被拒绝。
• 黑名单: 您可以配置 IP 黑名单，黑名单中 IP 的访问将被 API 网关拒绝。

插件配置

可以选择json或者yaml格式的来配置您的插件，两种格式的schema相同，可以搜索yaml to json转换工具来进行配置格式的转换，yaml格式的模板见下表。

---
type: ALLOW 	  # 控制模式，支持白名单模式'ALLOW'和黑名单模式'REFUSE'
resource: "XFF:-1"   # 可选字段，如果设置本字段，取X-Forwarded-For头中的IP作为判断依据，本示例取XFF头的倒数第一个IP作为客户端源IP判断，
items: 
- blocks:         # IP地址段
  - 61.3.9.0/24   # 使用CIDR方式配置
  appId: 219810   # (可选) 如果配置了appId则该条目仅对该AppId生效
- blocks:         # IP地址
  - 79.11.12.2    # 使用IP地址方式配置
- blocks:         # 用户VPC
  - 100.64.0.0/10    # 专项实例场景，从用户VPC内访问API网关的请求，API网关看到的来源地址处于这个地址段

resource字段为可选字段，如果不填写，取和网关直接连接前一跳的IP作为判断依据。如果填写本字段，允许设置X-Forwarded-For头中的值作为IP判断依据。填写格式为“XFF:index”，index的值为X-Forwarded-For头中IP排序序号，从0开始算，允许负数，比如X-Forwarded-For的值为IP1,IP2,IP3，那么如果index值为0，取IP1，如果index的值为-1，取IP3，也就是倒数第一个IP。

如果API网关前面有WAF等中间件，业务需要实现API级别IP黑白名单能力时，就需要用到本特性。WAF会将他收到的请求的源IP加入到X-Forwarded-For头的最后发送给API网关，API网关去判断X-Forwarded-For头中的这个值就可以。这种情况建议用户使用"XFF:-1"来判断WAF前一跳的IP地址。

需要特别注意最后一点，专项实例场景，API网关允许从用户VPC内发送请求到API网关，此时API网关看到请求地址的来源IP段为100.64.0.0/10，如果您的专项实例需要同时设置允许公网某些IP加上用户VPC内同时访问时，您可以设置100.64.0.0/10作为用户VPC的来源地址。