Topik ini menjelaskan cara mengonfigurasi daftar putih alamat IP untuk instance ApsaraDB RDS for MariaDB TX. Hanya perangkat dengan alamat IP yang termasuk dalam daftar putih alamat IP yang dapat mengakses instance RDS Anda.
Informasi latar belakang
Daftar putih alamat IP memastikan keamanan instance RDS Anda. Informasi berikut menjelaskan daftar putih alamat IP dari instance RDS:
Daftar putih alamat IP berisi alamat IP yang diizinkan untuk mengakses instance RDS Anda. Daftar putih alamat IP yang diberi label default hanya berisi entri 127.0.0.1, yang menunjukkan bahwa tidak ada alamat IP eksternal yang dapat mengakses instance RDS Anda.
Daftar putih alamat IP mendukung mode daftar putih standar. Daftar putih alamat IP standar dapat berisi alamat IP dari jaringan klasik dan virtual private clouds (VPC). Instance RDS yang menjalankan MariaDB hanya dapat ditempatkan di VPC.
Daftar putih alamat IP memberikan keamanan tinggi dan perlindungan efisien untuk instance RDS Anda. Kami merekomendasikan untuk memperbarui daftar putih alamat IP yang telah dikonfigurasi secara teratur.
Batasan
Anda dapat memodifikasi atau menghapus daftar putih alamat IP yang diberi label default. Namun, Anda tidak dapat menghapus daftar putih alamat IP itu sendiri.
Anda dapat mengonfigurasi maksimal 50 daftar putih alamat IP untuk sebuah instance RDS.
Anda dapat menambahkan maksimal 1.000 alamat IP dan blok CIDR ke daftar putih alamat IP dari sebuah instance RDS. Kami merekomendasikan untuk menggabungkan alamat IP diskrit menjadi blok CIDR, seperti 10.10.10.0/24 (mode CIDR).
ali_dms_group (daftar putih alamat IP untuk DMS) dan hdm_security_ips (daftar putih alamat IP untuk DAS) dibuat secara otomatis oleh sistem. Jangan modifikasi atau hapus daftar putih alamat IP ini. Jika tidak, layanan terkait mungkin terpengaruh.
PentingJangan tambahkan alamat IP layanan Anda ke daftar putih alamat IP ini. Jika tidak, alamat IP layanan Anda mungkin tertimpa saat layanan terkait diperbarui, yang berpotensi menyebabkan gangguan layanan.
Untuk mencegah modifikasi atau penghapusan daftar putih alamat IP secara tidak sengaja, daftar putih alamat IP hdm_security_ips tidak terlihat bagi pengguna untuk instance yang dibuat setelah Desember 2020.
Konfigurasikan daftar putih IP
Buka halaman Instances. Di bilah navigasi atas, pilih wilayah tempat instance RDS berada. Kemudian, temukan instance RDS dan klik ID instance tersebut.
Di panel navigasi di sebelah kiri, klik Whitelist and SecGroup.
Pada tab Whitelist Settings, klik Modify untuk daftar putih alamat IP Default.
CatatanAnda juga dapat mengklik Add Whitelist Group untuk membuat daftar putih alamat IP kustom.
Di kotak dialog Modify Whitelist Group, masukkan alamat IP atau blok CIDR yang memerlukan akses ke instance, lalu klik OK.
CatatanSetelah Anda menambahkan alamat IP baru atau blok CIDR ke daftar putih alamat IP default, sistem secara otomatis menghapus entri default 127.0.0.1.
Jika Anda ingin menambahkan beberapa alamat IP atau blok CIDR, pisahkan mereka dengan koma (,) tanpa spasi, seperti
192.168.0.1,172.16.213.9.Setelah Anda mengklik Load ECS Internal IP, alamat IP semua instance ECS yang termasuk dalam Akun Alibaba Cloud Anda akan ditampilkan. Anda dapat dengan cepat menambahkan alamat IP ini ke daftar putih alamat IP.
Saat aplikasi Anda ditempatkan dalam kontainer kluster ACK, Anda perlu menambahkan alamat IP yang berbeda berdasarkan plugin jaringan kontainer.
Jika plugin jaringan kontainer kluster ACK adalah Flannel, tambahkan alamat IP node tempat aplikasi Anda ditempatkan.
Jika plugin jaringan kontainer kluster ACK adalah Terway, tambahkan alamat IP pod tempat aplikasi Anda ditempatkan.
Anda dapat melihat alamat IP pod dan alamat IP node pada halaman pod kluster ACK target.
Kesalahan umum
Tab Whitelist and SecGroup > Whitelist Settings hanya berisi entri default 127.0.0.1.
Alamat IP 127.0.0.1 menunjukkan bahwa tidak ada perangkat yang diizinkan untuk mengakses instance RDS. Anda harus menambahkan alamat IP perangkat yang memerlukan akses ke instance RDS Anda ke daftar putih alamat IP.
Daftar putih alamat IP hanya berisi satu entri, 0.0.0.0.
Format yang benar adalah 0.0.0.0/0.
PentingJika Anda ingin mengizinkan semua perangkat untuk mengakses instance RDS, Anda harus menambahkan entri 0.0.0.0/0 ke daftar putih alamat IP instance RDS. Lanjutkan dengan hati-hati saat menambahkan entri ini.
Alamat IP publik yang Anda tambahkan ke daftar putih alamat IP bukan alamat IP keluar aktual dari perangkat yang ingin Anda hubungkan.
Penyebab yang mungkin:
Alamat IP publik berubah secara dinamis.
Alat atau situs web yang digunakan untuk menanyakan alamat IP publik mengembalikan hasil yang tidak akurat.
Untuk informasi lebih lanjut, lihat Tidak dapat terhubung ke instance ApsaraDB RDS for MySQL atau MariaDB dari jaringan eksternal: Cara mengonfigurasi dengan benar alamat IP publik perangkat lokal.
FAQ
T: Apakah daftar putih alamat IP langsung berlaku setelah saya mengonfigurasinya?
A: Tidak, setelah Anda mengonfigurasi daftar putih alamat IP, dibutuhkan sekitar 1 menit untuk mulai berlaku.
T: Mengapa saya menemukan daftar putih alamat IP yang tidak saya buat?
A: Jika entri dalam daftar putih alamat IP adalah alamat IP pribadi, daftar putih alamat IP tersebut dibuat secara otomatis oleh layanan Alibaba Cloud lainnya, seperti DMS dan DAS. Dalam kasus ini, daftar putih alamat IP tidak memengaruhi data layanan Anda, dan tidak diperlukan tindakan lebih lanjut.
T: Jika saya menonaktifkan akses Internet dan hanya mengaktifkan akses jaringan internal, apakah instance RDS saya terpapar risiko keamanan?
A: Ya, jika Anda menonaktifkan akses Internet dan hanya mengaktifkan akses jaringan internal, instance RDS Anda masih terpapar risiko keamanan. Kami merekomendasikan untuk mengubah jenis jaringan instance RDS Anda menjadi VPC. Dalam kasus ini, hanya instance ECS dalam VPC yang sama yang dapat mengakses instance RDS Anda.
T: Mengapa saya menerima pesan kesalahan
InvalidSecurityIPListLength.Malformedsaat saya menambahkan daftar putih alamat IP di Konsol RDS?Deskripsi masalah
Saat Anda menambahkan daftar putih alamat IP di Konsol RDS, Anda mungkin menerima pesan kesalahan berikut:
Kode kesalahan: InvalidSecurityIPListLength.Malformed Pesan kesalahan (Cina): Alamat IP keamanan tidak dalam rentang yang tersedia atau sedang digunakan. Pesan kesalahan (Inggris): The security IP address is not in the available range or is occupied.Solusi
Penyebab 1: Maksimal 1.000 alamat IP atau blok CIDR dapat ditambahkan ke daftar putih alamat IP. Jumlah alamat IP atau blok CIDR yang ingin Anda tambahkan melebihi batas ini.
Solusi: Pastikan jumlah alamat IP atau blok CIDR dalam daftar putih alamat IP tidak melebihi 1.000. Kami merekomendasikan Anda menggabungkan alamat IP diskrit menjadi blok CIDR, seperti
192.168.1.0/24, untuk mengurangi jumlah entri.Penyebab 2: Daftar putih alamat IP berisi alamat IP yang tidak valid.
Solusi: Pastikan alamat IP yang Anda masukkan valid. Kami merekomendasikan Anda menggunakan format CIDR standar, seperti
10.23.12.0/24. Subnet mask harus berada dalam rentang 1 hingga 32. Jika Anda ingin menambahkan beberapa alamat IP, pisahkan mereka dengan koma (,).Penyebab 3: Daftar putih alamat IP bertentangan dengan daftar putih alamat IP yang sudah ada. Misalnya, dalam instance ApsaraDB RDS for MySQL,
192.168.1.8bertentangan dengan192.168.1.1/8.Solusi: Rencanakan dan tambahkan daftar putih alamat IP sesuai kebutuhan untuk menghindari tumpang tindih atau konflik dengan aturan yang sudah ada.
CatatanJangan hapus daftar putih alamat IP default
default(yang berisi127.0.0.1). Jangan modifikasi daftar putih alamat IP sistem, sepertiali_dms_groupatauhdm_security_ips. Jika tidak, fitur sistem atau keamanan koneksi mungkin terpengaruh.