静态 IP 地址

将 CTICloud IP 地址加入白名单以实现安全集成。

CTICloud 静态 IP 地址简介

CTICloud 支持用于出站 HTTP 请求的静态 IP 地址。启用后,CTICloud 发送到您服务器的所有 HTTP 请求都将来自固定的一组 IP 地址,这使您能够配置更严格的防火墙规则和网络安全策略。

为什么使用静态 IP 地址

静态 IP 地址可为您的基础设施提供额外一层安全保障,帮助您实现:

  • 控制网络访问 - 将入站流量限制为仅来自受信任的来源
  • 简化防火墙规则 - 定义精确的基于 IP 的访问控制
  • 满足合规要求 - 符合要求进行 IP 白名单控制的安全政策
  • 审计流量来源 - 验证请求确实来自 CTICloud 基础设施
  • 增强安全性 - 防止未经授权的访问到达您的 webhook 端点

CTICloud 的静态 IP 地址

启用静态 IP 地址后,来自 CTICloud 的所有 webhook 请求和 API 回调都将来自以下 IP 地址:

生产环境

  • 主 IP 段: [Your IP Range Here]
  • 备用 IP 段: [Your IP Range Here]

预发/测试环境(可选)

  • 测试 IP 段: [Your Test IP Range Here]

注意:请联系 CTICloud 支持团队,以获取您所在部署区域当前可用的静态 IP 地址列表。

静态 IP 的实现方式

CTICloud 默认对所有出站 HTTP 请求使用静态 IP 地址。您无需进行额外配置,所有 webhook 请求和 API 回调都会自动从我们的固定 IP 地址发出。

配置您的防火墙

为了允许 CTICloud 访问您的 webhook 端点,请将防火墙配置为接受来自我们静态 IP 地址的入站流量:

将您的防火墙配置为允许来自 CTICloud 静态 IP 的入站流量:

# 使用 iptables(Linux)的示例
iptables -A INPUT -s [CTICloud_IP_RANGE] -p tcp --dport 443 -j ACCEPT

# 使用 AWS Security Group 的示例
# 添加入站规则:允许来自 [CTICloud_IP_RANGE] 的 HTTPS(443)流量

最佳实践

在实施静态 IP 白名单时:

  • 先在预发环境测试 - 始终先在非生产环境中验证配置
  • 监控访问日志 - 定期检查日志,确保所有流量均来自预期 IP
  • 及时更新防火墙规则 - 如果 CTICloud 通知您 IP 地址发生变化,请立即更新规则
  • 使用 HTTPS - 静态 IP 是安全增强措施,但不能替代正确的 TLS/SSL 加密
  • 实施身份验证 - 在使用 IP 白名单的同时,继续使用 API Key 和请求签名

区域可用性

静态 IP 地址可能会因部署区域而有所不同:

区域可用性说明
中国(cn-1)可用标准静态 IP 池
国际区域可用请联系支持团队获取具体 IP

故障排查

常见问题

问题:启用静态 IP 后,webhook 请求被拦截

解决方案

  • 确认您的防火墙规则已包含所有 CTICloud IP 段
  • 检查您的服务器是否接受配置端口上的流量
  • 查看云服务提供商中的安全组或 ACL 配置

问题:webhook 投递不稳定

解决方案

  • 确保主 IP 段和备用 IP 段都已加入白名单
  • 检查可能影响来源 IP 的负载均衡器或代理配置
  • 确认您的 webhook 端点返回正常响应(HTTP 200)

安全注意事项

⚠️ 重要安全提示

  • 静态 IP 白名单只是其中一层安全措施,请始终配合多重安全机制使用
  • 校验 webhook 签名以确认请求真实性
  • 使用 API Key 进行身份验证
  • 保持您的 webhook 端点为私有,不可被公开轻易发现
  • 定期轮换 API 凭证

更新与通知

如果由于以下原因需要调整静态 IP 地址,CTICloud 将至少提前 30 天通知您:

  • 基础设施升级
  • 区域扩展
  • 安全增强

通知将发送至您登记的管理员邮箱地址。

需要帮助?

如果您对静态 IP 配置有疑问,或需要获取当前 IP 列表:


参考说明:本文档结构参考了行业中关于静态 IP 文档编写的最佳实践。若需获取最新 IP 地址列表,请联系 CTICloud 支持团队。