Topik ini menjelaskan cara mengonfigurasi, melihat, memodifikasi, dan menonaktifkan daftar putih alamat IP untuk jaringan interkoneksi produk cloud dan virtual private cloud (VPC) ketika fitur daftar putih diaktifkan untuk proyek MaxCompute. Topik ini juga mencakup skenario di mana daftar putih alamat IP perlu dikonfigurasi. Hanya pemilik proyek, peran Super_Administrator, dan peran administrator kustom dengan izin yang sesuai yang dapat mengelola daftar putih alamat IP.
Informasi latar belakang
Berbagai tingkat kontrol akses, seperti model multi-tenant dan mekanisme otentikasi keamanan, digunakan untuk memastikan akses aman ke MaxCompute. Anda hanya dapat melewati otentikasi dan mengakses serta menghitung data berdasarkan izin yang diberikan setelah mendapatkan pasangan AccessKey yang valid.
MaxCompute memungkinkan Anda mengonfigurasi daftar putih alamat IP untuk mengontrol permintaan akses. Setelah mengonfigurasi daftar putih alamat IP untuk proyek MaxCompute, hanya alamat IP dalam daftar putih yang dapat mengakses proyek tersebut. Jika Anda mengakses proyek MaxCompute dari alamat IP yang tidak ada dalam daftar putih, permintaan akses Anda akan ditolak meskipun memiliki pasangan AccessKey yang valid. Anda dapat mengonfigurasi daftar putih alamat IP untuk jaringan interkoneksi produk cloud atau VPC dalam skenario berikut:
Ketika fitur daftar putih tidak diaktifkan untuk proyek MaxCompute, Anda masih dapat mengakses proyek melalui berbagai jenis jaringan, dengan batasan sebagai berikut:
Jaringan interkoneksi produk cloud: Semua IP menggunakan titik akhir jaringan interkoneksi produk cloud dalam akun dan wilayah yang sama dapat mengakses proyek MaxCompute.
VPC: Semua IP menggunakan titik akhir VPC dalam VPC yang sama dapat mengakses proyek MaxCompute.
Jaringan publik: Semua IP menggunakan titik akhir jaringan publik dapat mengakses proyek MaxCompute.
Konfigurasikan daftar putih alamat IP untuk jaringan interkoneksi produk cloud
Jika menggunakan klien MaxCompute untuk mengakses proyek, peroleh alamat IP perangkat tempat klien diterapkan.
Jika menggunakan sistem aplikasi untuk mengakses proyek, peroleh alamat IP server tempat sistem aplikasi diterapkan.
Jika menggunakan server proxy untuk mengakses proyek, peroleh alamat IP server tersebut. Jika menggunakan server proxy multi-hop, peroleh alamat IP server proxy hop terakhir.
Jika Anda adalah pengguna DataWorks, tambahkan alamat IP yang terkait dengan grup sumber daya eksklusif DataWorks ke daftar putih Anda.
Konfigurasikan daftar putih alamat IP untuk VPC
Untuk mengonfigurasi daftar putih alamat IP untuk VPC, ikuti langkah-langkah berikut:
Peroleh ID VPC.
Konfigurasikan titik akhir VPC. Untuk informasi lebih lanjut, lihat Titik Akhir.
Tambahkan semua alamat IP perangkat yang perlu mengakses MaxCompute ke daftar putih. Sebagai contoh, jika ingin menggunakan layanan seperti Data Integration of DataWorks, Data Map of DataWorks, dan Realtime Compute for Apache Flink untuk mengakses MaxCompute, tambahkan alamat IP layanan tersebut ke daftar putih alamat IP.
MaxCompute hanya mendukung daftar putih alamat IP tingkat proyek. Anda dapat menentukan alamat IP dalam format berikut:
Alamat IPv4 atau IPv6. Contoh: 192.168.0.0 atau 2001:db8::.
Alamat IP dengan subnet mask. Contoh: 172.12.0.0/16 atau 2001:db8::/32.
Rentang alamat IP. Contoh: 192.168.10.0-192.168.255.255 atau 2001:db8:1:1:1:1:1:1-2001:db8:4:4:4:4:4:4.
Konfigurasikan Daftar Putih Alamat IP
MaxCompute memungkinkan Anda mengonfigurasi daftar putih alamat IP menggunakan alat baris perintah, seperti klien MaxCompute. Anda juga dapat mengonfigurasi daftar putih alamat IP di Konsol MaxCompute.
Konfigurasikan Daftar Putih Alamat IP di Klien MaxCompute
Parameter odps.security.ip.whitelist menentukan daftar putih alamat IP untuk Internet dan jaringan interkoneksi produk cloud. Parameter odps.security.vpc.whitelist menentukan daftar putih alamat IP untuk VPC. Untuk informasi lebih lanjut tentang sintaks perintah dan parameter, lihat Lihat properti proyek.
Anda dapat menjalankan perintah di klien MaxCompute untuk menambahkan alamat IP yang diperlukan ke daftar putih alamat IP.
Jika hanya mengonfigurasi daftar putih alamat IP untuk Internet dan jaringan interkoneksi produk cloud, hanya alamat IP dalam daftar putih yang diizinkan untuk mengakses MaxCompute melalui Internet dan jaringan interkoneksi produk cloud. Permintaan akses melalui VPC ditolak. Contoh perintah:
setproject odps.security.ip.whitelist=192.168.0.0 odps.security.vpc.whitelist=\N;Jika hanya ingin membatasi akses non-VPC tanpa memberlakukan pembatasan pada akses jaringan VPC, gunakan wildcard VPC *:
setproject odps.security.ip.whitelist=192.168.0.0 odps.security.vpc.whitelist=*;Saat mengonfigurasi daftar putih alamat IP untuk Internet dan jaringan interkoneksi produk cloud, tambahkan alamat IP perangkat tempat klien MaxCompute diinstal ke daftar putih. Jika tidak, permintaan akses Anda akan ditolak.
Jika hanya mengonfigurasi daftar putih alamat IP untuk VPC, hanya alamat IP dalam daftar putih yang diizinkan untuk mengakses MaxCompute melalui VPC. Permintaan akses melalui Internet dan jaringan interkoneksi produk cloud ditolak. Contoh perintah:
setproject odps.security.ip.whitelist=\N odps.security.vpc.whitelist=<ID of the VPC>[192.168.0.10,192.168.0.20];Jika hanya ingin mengonfigurasi akses untuk VPC secara sementara tanpa memblokir akses dari jaringan non-VPC, gunakan wildcard IP 0.0.0.0/0:
setproject odps.security.ip.whitelist=0.0.0.0/0 odps.security.vpc.whitelist=<ID of the VPC>[192.168.0.10,192.168.0.20];Jika mengonfigurasi daftar putih alamat IP untuk Internet, jaringan interkoneksi produk cloud, dan VPC, alamat IP dalam daftar putih untuk Internet, jaringan interkoneksi produk cloud, dan VPC diizinkan untuk mengakses MaxCompute melalui Internet, jaringan interkoneksi produk cloud, dan VPC. Contoh perintah:
setproject odps.security.ip.whitelist=192.168.0.0 odps.security.vpc.whitelist=<ID of the VPC>[192.168.0.10,192.168.0.20];Jika mengonfigurasi daftar putih alamat IP untuk Internet, jaringan interkoneksi produk cloud, dan VPC bersama dengan beberapa alamat IP dari Internet, jaringan interkoneksi produk cloud, dan VPC, jalankan perintah berikut:
● setproject odps.security.ip.whitelist=192.168.0.0,192.168.0.10 odps.security.vpc.whitelist=<ID of the VPC1>[192.168.0.10,192.168.0.20],<ID of the VPC2>;Pisahkan beberapa alamat IP dari Internet dan jaringan interkoneksi produk cloud menggunakan koma (,). Alamat IP dari sebuah VPC berformat
ID dari VPC[alamat IP]. Untuk menambahkan semua alamat IP dari sebuah VPC ke daftar putih, cukup masukkan ID dari VPC.
Daftar putih alamat IP mulai berlaku 5 menit setelah dikonfigurasi.
Konfigurasikan Daftar Putih Alamat IP di Konsol MaxCompute
Masuk ke Konsol MaxCompute dan pilih wilayah. Di panel navigasi sebelah kiri, klik Projects. Pada halaman Proyek, temukan proyek yang diinginkan dan klik Manage di kolom Actions. Pada tab Parameter Configuration halaman detail proyek, klik Edit di bagian IP Address Whitelist.
Alamat IP Internet dan jaringan interkoneksi produk cloud: Pisahkan alamat IP dengan koma (,). Jika hanya mengonfigurasi daftar putih alamat IP untuk Internet dan jaringan interkoneksi produk cloud, hanya alamat IP dalam daftar putih yang diizinkan untuk mengakses MaxCompute melalui Internet dan jaringan interkoneksi produk cloud. Permintaan akses melalui VPC ditolak. Jika tidak ingin memberlakukan pembatasan apa pun pada akses jaringan VPC, konfigurasikan wildcard VPC * untuk "Alamat IP VPC".
Alamat IP VPC: Pisahkan alamat IP VPC dengan koma (,). Jika hanya mengonfigurasi daftar putih alamat IP untuk VPC, hanya alamat IP dalam daftar putih yang diizinkan untuk mengakses MaxCompute melalui VPC. Permintaan akses melalui Internet dan jaringan interkoneksi produk cloud ditolak. Contoh:
<ID of the VPC1>[192.168.0.10,192.168.0.20],<ID of the VPC2>. Jika hanya ingin mengonfigurasi akses untuk VPC secara sementara tanpa memblokir akses dari jaringan non-VPC, konfigurasikan wildcard IP 0.0.0.0/0 untuk "Alamat IP Internet dan Jaringan Interkoneksi Produk Cloud".
Lihat Daftar Putih Alamat IP
Jalankan perintah setproject; untuk melihat daftar putih alamat IP. Nilai parameter odps.security.ip.whitelist dan odps.security.vpc.whitelist adalah alamat IP dalam daftar putih. Jika parameter odps.security.ip.whitelist atau odps.security.vpc.whitelist dibiarkan kosong, daftar putih yang sesuai dengan parameter kosong tidak dikonfigurasi.
setproject;Hasil berikut dikembalikan:
odps.security.ip.whitelist=192.168.0.0
odps.security.vpc.whitelist=<ID of the VPC>[192.168.0.10,192.168.0.20]Jika menggunakan daftar putih alamat IP yang dikonfigurasi untuk VPC menggunakan ID wilayah tempat VPC berada dan ID numerik VPC, hasil berikut dikembalikan:
odps.security.vpc.whitelist=cn-beijing_125179[192.168.0.10,192.168.0.20]Bagian ID wilayah hanya berfungsi sebagai pengenal, sehingga cn-beijing_1234, cn_1234, cn-shanghai_1234, dan 1234 dianggap sama. Ini juga berlaku saat menggunakan ID instance VPC yang sesuai. Sangat disarankan untuk beralih menggunakan ID instance VPC demi konsistensi. Jika beberapa format digunakan untuk mengonfigurasi daftar IP untuk VPC yang sama, daftar IP efektif akan menjadi gabungan dari semua konfigurasi, artinya mereka dapat berkoeksistensi dan berfungsi dengan baik. Jika perlu memverifikasi pemetaan antara ID numerik dan ID instance VPC dalam konfigurasi lama, Anda dapat mengirimkan tiket untuk meminta bantuan.
Modifikasi Daftar Putih Alamat IP
Jalankan perintah setproject untuk memodifikasi daftar putih alamat IP. Setelah daftar putih dimodifikasi, daftar putih alamat IP asli menjadi tidak valid. Sistem mengelola permintaan akses berdasarkan daftar putih alamat IP baru.
Jika menambahkan ke konfigurasi yang ada, Anda tidak hanya harus menentukan bagian baru di sini. Sebaliknya, Anda perlu memberikan konfigurasi lengkap yang diperbarui, yang mencakup pengaturan asli dan bagian baru yang ditambahkan.
Modifikasi konfigurasi daftar putih alamat IP untuk Internet dan jaringan interkoneksi produk cloud.
setproject odps.security.ip.whitelist=192.168.0.10;Modifikasi konfigurasi daftar putih alamat IP untuk VPC.
setproject odps.security.vpc.whitelist=<ID of the VPC>[192.168.10.10,192.168.0.20]
Nonaktifkan Fitur Daftar Putih Alamat IP
Jalankan perintah berikut untuk menonaktifkan fitur daftar putih alamat IP. Jika fitur ini dinonaktifkan, permintaan akses melalui Internet, jaringan interkoneksi produk cloud, dan VPC tidak dibatasi.
setproject odps.security.ip.whitelist= odps.security.vpc.whitelist= ;Untuk menonaktifkan fitur, Anda harus membuat daftar putih alamat IP untuk Internet, jaringan interkoneksi produk cloud, dan VPC kosong.
Konfigurasikan Alamat IP untuk Mengizinkan Akses dari Layanan Alibaba Cloud ke MaxCompute
Gunakan perintah berikut untuk mengonfigurasi semua layanan Alibaba Cloud agar dapat mengakses MaxCompute menggunakan jaringan internal atau jaringan VPC:
setproject odps.security.ip.whitelist=192.168.0.0/16,172.16.0.0/12,10.0.0.0/8,11.0.x.x/8,33.0.x.x/8,100.64.0.0/10 odps.security.vpc.whitelist=<regionname>_*,cn_*;odps.security.ip.whitelist: daftar putih alamat IP untuk Internet dan jaringan interkoneksi produk cloud. Anda dapat merujuk ke konfigurasi parameter ini dalam perintah sebelumnya. Anda juga dapat menambahkan alamat IP berdasarkan kebutuhan bisnis Anda.
ID Wilayah
Tabel berikut menjelaskan ID wilayah Alibaba Cloud.
Wilayah | ID Wilayah |
Cina (Hangzhou) | cn-hangzhou |
Cina (Shanghai) | cn-shanghai |
Cina (Beijing) | cn-beijing |
Cina (Zhangjiakou) | cn-zhangjiakou |
Cina (Ulanqab) | cn-wulanchabu |
Cina (Shenzhen) | cn-shenzhen |
Cina (Chengdu) | cn-chengdu |
Cina (Hong Kong) | cn-hongkong |
Cina Timur 2 Keuangan | cn-shanghai-finance-1 |
Cina Utara 2 Ali Gov 1 | cn-north-2-gov-1 |
Cina Selatan 1 Keuangan | cn-shenzhen-finance-1 |
Jepang (Tokyo) | ap-northeast-1 |
Singapura | ap-southeast-1 |
Malaysia (Kuala Lumpur) | ap-southeast-3 |
Indonesia (Jakarta) | ap-southeast-5 |
Jerman (Frankfurt) | eu-central-1 |
Inggris (London) | eu-west-1 |
AS (Silicon Valley) | us-west-1 |
AS (Virginia) | us-east-1 |
UEA (Dubai) | me-east-1 |
Contoh Kesalahan yang Dilaporkan Karena Fitur Daftar Putih
Pesan kesalahan berikut muncul ketika daftar putih alamat IP dikonfigurasi untuk Internet dan jaringan interkoneksi produk cloud:
FAILED: Access denied by project ip white list: sourceIP:'xxxxx' is not in white list. project:xxxPesan kesalahan di atas dilaporkan jika alamat IP dari mana permintaan akses dikirim tidak ada dalam daftar putih alamat IP untuk Internet dan jaringan interkoneksi produk cloud. Dalam pesan kesalahan, sourceIP menunjukkan alamat IP dari mana permintaan akses dikirim, dan
project: xxxmenunjukkan informasi proyek.Untuk menyelesaikan masalah ini, tambahkan alamat IP yang ditentukan oleh
sourceIPke daftar putih alamat IP untuk Internet dan jaringan interkoneksi produk cloud proyek Anda.Pesan kesalahan berikut dilaporkan ketika daftar putih alamat IP dikonfigurasi untuk VPC:
VPC tidak ada dalam daftar putih VPC:
FAILED: Access denied by project vpc white list: vpc:'vpc-xxx' not in vpc white list, ip: 'xxxx'.project:xxxIni menunjukkan bahwa VPC dari mana permintaan akses diinisiasi tidak termasuk dalam daftar putih VPC. Proyek yang sesuai ditampilkan sebagai "project: xxx" dalam pesan kesalahan.
Anda harus menambahkan ID instance VPC ke daftar putih IP VPC proyek yang sesuai.
Jika VPC ada dalam daftar putih IP VPC, tetapi alamat IP tidak termasuk dalam daftar IP yang diizinkan oleh VPC:
FAILED: Access denied by project vpc white list: sourceIP:'xxxxx' from vpc 'vpc-xxx' is not in vpc white list. project: xxxIni menunjukkan bahwa VPC sumber permintaan saat ini ada dalam daftar putih, tetapi alamat IP dari mana permintaan diinisiasi tidak termasuk dalam daftar IP yang diizinkan untuk VPC tersebut. Proyek yang sesuai ditampilkan sebagai "project: xxx" dalam pesan kesalahan.
Anda harus menambahkan alamat IP ini ke daftar putih IP VPC proyek yang sesuai.