CREATE NETWORK POLICY

功能概述

创建网络策略，通过 IP 白名单和黑名单限制对 Lakehouse 实例的访问来源。需要实例管理员（instance_admin）权限。

语法

CREATE [ OR REPLACE ] NETWORK POLICY <name> ALLOWED_IP_LIST = ( [ '<ip_address>' [ , '<ip_address>' , ... ] ] ) [ BLOCKED_IP_LIST = ( [ '<ip_address>' [ , '<ip_address>' , ... ] ] ) ]

参数说明

• <name>

  <name>
  ：网络策略名称，同一实例内不可重复。

• ALLOWED_IP_LIST

  ALLOWED_IP_LIST
  ：IP 白名单，支持 IPv4 地址或 CIDR 格式（如

  192.168.1.0/24

  192.168.1.0/24
  ）。列表为空时表示允许所有 IP。不支持

  0.0.0.0/0

  0.0.0.0/0
  。

• BLOCKED_IP_LIST

  BLOCKED_IP_LIST
  ：IP 黑名单，可选。黑名单优先于白名单，命中黑名单的 IP 始终被拒绝。

0.0.0.0/0

创建成功后策略默认为激活（active）状态。

使用示例

-- 只允许指定 IP 段访问 CREATE NETWORK POLICY office_policy ALLOWED_IP_LIST = ('192.168.1.0/24', '10.0.0.1'); -- 允许某网段，同时屏蔽其中一个 IP CREATE NETWORK POLICY corp_policy ALLOWED_IP_LIST = ('192.168.11.1', '192.168.11.2', '10.0.0.1/24') BLOCKED_IP_LIST = ('192.168.11.99'); -- 覆盖已有策略 CREATE OR REPLACE NETWORK POLICY office_policy ALLOWED_IP_LIST = ('10.0.0.0/8');

注意事项

• 所有 NETWORK POLICY 操作均需要实例管理员（instance_admin）权限。
• 如果将当前访问 IP 加入黑名单，策略生效后将立即断开当前连接，请谨慎操作。
• 多条策略并行生效时，系统对所有生效策略的白名单和黑名单分别取并集后再应用。

相关文档

• ALTER NETWORK POLICY — 修改策略内容或激活/停用
• DROP NETWORK POLICY — 删除策略
• SHOW NETWORK POLICY — 查看所有策略
• DESC NETWORK POLICY — 查看策略详情
• 网络策略 — 工作原理与使用指南