Konfigurasikan Daftar Putih Alamat IP untuk Instans ApsaraDB RDS for PostgreSQL - ApsaraDB RDS

Topik ini menjelaskan cara mengonfigurasi daftar putih alamat IP untuk instans ApsaraDB RDS for PostgreSQL. Setelah membuat instans RDS, Anda harus mengonfigurasi daftar putih alamat IP atau grup keamanan agar instans RDS dapat diakses.

Skenario

Daftar putih alamat IP mencakup alamat IP dan blok CIDR yang diberikan akses ke instans RDS. Anda dapat mengonfigurasi daftar putih ini untuk memberikan kontrol akses tingkat lanjut serta perlindungan keamanan bagi instans RDS. Kami menyarankan agar Anda secara berkala memperbarui konfigurasi daftar putih alamat IP.

Berikut adalah skenario umum penggunaan daftar putih alamat IP:

Skenario 1: Setelah membuat instans RDS, tambahkan alamat IP eksternal ke daftar putih alamat IP. Jika tidak, perangkat eksternal tidak akan dapat mengakses instans RDS.
Skenario 2: Saat terjadi pengecualian koneksi database, periksa apakah daftar putih alamat IP telah dikonfigurasi dengan benar.

Tabel berikut menyajikan konfigurasi daftar putih alamat IP dalam berbagai skenario koneksi.

Skema Koneksi	Jenis Jaringan	Konfigurasi Daftar Putih Alamat IP
Menghubungkan instans Elastic Compute Service (ECS) ke instans RDS	Instans ECS dan instans RDS berada di virtual private cloud (VPC) yang sama (disarankan)	Tambahkan alamat IP privat dari instans ECS ke daftar putih alamat IP instans RDS.
	Instans ECS dan instans RDS berada di VPC yang berbeda	Instans di VPC yang berbeda tidak dapat berkomunikasi melalui jaringan internal. Lakukan langkah berikut: Pindahkan instans RDS ke VPC tempat instans ECS berada. Catatan Operasi ini hanya didukung jika instans ECS dan instans RDS berada di wilayah yang sama. Jika berada di wilayah yang berbeda, kami sarankan menggunakan DTS untuk memindahkan instans RDS ke wilayah tempat instans ECS berada. Hal ini memastikan stabilitas layanan database Anda. Untuk informasi lebih lanjut, lihat Migrasikan data antara instans ApsaraDB RDS for PostgreSQL. Tambahkan alamat IP privat instans ECS ke daftar putih alamat IP instans RDS.
Menghubungkan kontainer di kluster ACK ke instans RDS	Kluster ACK dan instans RDS berada di VPC yang sama (disarankan)	Jika plugin jaringan kontainer kluster ACK adalah Flannel, tambahkan alamat IP node tempat aplikasi berjalan. Jika plugin jaringan kontainer kluster ACK adalah Terway, tambahkan alamat IP pod tempat aplikasi berjalan. Anda dapat melihat alamat IP pod dan alamat IP node pada halaman pod kluster ACK.
Menghubungkan kontainer di kluster ACK ke instans RDS	Kluster ACK dan instans RDS berada di VPC yang berbeda	Instans di VPC yang berbeda tidak dapat berkomunikasi melalui jaringan internal. Dalam hal ini, lakukan operasi berikut: Pindahkan instans RDS ke VPC tempat kluster ACK berada. Catatan Operasi ini hanya didukung jika kluster ACK dan instans RDS berada di wilayah yang sama. Jika berada di wilayah yang berbeda, kami sarankan menggunakan DTS untuk memindahkan instans RDS ke wilayah tempat kluster ACK berada. Hal ini memastikan stabilitas layanan database Anda. Untuk informasi lebih lanjut, lihat Migrasikan data antara instans ApsaraDB RDS for PostgreSQL. Tambahkan alamat IP kluster ACK tempat aplikasi berjalan. Jika plugin jaringan kontainer kluster ACK adalah Flannel, tambahkan alamat IP node tempat aplikasi berjalan. Jika plugin jaringan kontainer kluster ACK adalah Terway, tambahkan alamat IP pod tempat aplikasi berjalan.
Menghubungkan host mandiri di luar cloud ke instans RDS	Tidak ada	Tambahkan alamat IP publik host yang dikelola sendiri ke daftar putih alamat IP instans RDS. Aplikasi yang berjalan di host mandiri terhubung ke titik akhir publik instans RDS. Anda dapat menjalankan perintah `curl ipinfo.io/ip` untuk menanyakan alamat IP publik host mandiri. Catatan Jika host mandiri tidak memiliki alamat IP tetap atau alamat IP sering berubah, lihat FAQ untuk solusi.

Batasan

Maksimum 50 daftar putih alamat IP dapat dikonfigurasi untuk instans RDS.
Konfigurasi daftar putih alamat IP tidak akan memengaruhi beban kerja pada instans RDS.
Kelompok daftar putih alamat IP hanya digunakan untuk manajemen alamat IP dan tidak memengaruhi izin akses aktual. Semua alamat IP dalam kelompok daftar putih memiliki izin akses yang sama ke instans RDS.
Daftar putih berlabel default dapat dikosongkan, tetapi tidak dapat dihapus.
Jangan ubah atau hapus daftar putih alamat IP yang dibuat untuk layanan Alibaba Cloud lainnya. Penghapusan daftar putih ini akan menyebabkan layanan Alibaba Cloud terkait tidak dapat terhubung ke instans ApsaraDB RDS Anda. Sebagai contoh, jangan ubah atau hapus ali_dms_group (kelompok daftar putih alamat IP untuk DMS) atau hdm_security_ips (kelompok daftar putih alamat IP untuk DAS).
Penting
Untuk mencegah modifikasi atau penghapusan tidak sengaja, kelompok daftar putih alamat IP hdm_security_ips tidak terlihat oleh pengguna untuk instans yang dibuat setelah Desember 2020.
Daftar putih alamat IP default hanya berisi 127.0.0.1, yang berarti bahwa hanya alamat IP lokal 127.0.0.1 yang dapat mengakses instans RDS.

Konfigurasikan daftar putih alamat IP standar

Kunjungi halaman Instans RDS, pilih wilayah di bagian atas halaman, lalu klik ID instans target.
Di panel navigasi sebelah kiri, klik Daftar Putih dan Grup Keamanan.
Klik Buat Daftar Putih, masukkan Nama Grup, atau klik Ubah untuk kelompok daftar putih alamat IP yang sudah ada.
Masukkan alamat IP atau blok CIDR yang perlu mengakses instans RDS, lalu klik OK.
Penting
- Pisahkan beberapa alamat IP atau blok CIDR dengan koma (,). Jangan tambahkan spasi sebelum atau sesudah koma. Contoh: 192.168.0.1,172.16.213.9.
- Maksimum 1.000 alamat IP dan blok CIDR dapat dikonfigurasi untuk setiap instans RDS. Untuk menentukan banyak alamat IP, kami sarankan Anda menggabungkan alamat IP menjadi blok CIDR, seperti 10.10.10.0/24.
(Opsional) Jika instans saat ini memiliki instans hanya baca, Anda dapat mengonfigurasi parameter Sinkronkan Daftar Putih ke Instans Hanya Baca untuk menyinkronkan daftar putih alamat IP dari instans utama ke instans hanya baca yang ditentukan. Jika beberapa instans RDS hanya baca disambungkan ke instans RDS, Anda dapat memilih lebih dari satu instans RDS hanya baca untuk sinkronisasi.
(Opsional) Klik Muat Alamat IP Internal ECS untuk menampilkan alamat IP dari semua instans ECS yang termasuk dalam akun Alibaba Cloud Anda. Anda dapat dengan cepat menambahkan alamat IP pribadi dari instans ECS ke daftar putih alamat IP.

Konfigurasikan daftar putih alamat IP yang ditingkatkan

Catatan

Instans disk cloud tidak mendukung mode daftar putih yang ditingkatkan. Penyimpanan disk lokal berkinerja tinggi tidak lagi tersedia untuk pembelian.

Mode daftar putih yang ditingkatkan membedakan antara jaringan klasik dan VPC. Anda harus menentukan mode isolasi jaringan untuk setiap kelompok daftar putih alamat IP. Sebagai contoh, alamat IP dalam daftar putih alamat IP untuk jaringan klasik tidak dapat digunakan untuk mengakses instans RDS melalui VPC, dan sebaliknya.

Jika instans disk lokal berkinerja tinggi Anda sudah dalam mode daftar putih yang ditingkatkan, ikuti petunjuk di bagian ini. Untuk beralih ke mode daftar putih yang ditingkatkan, lihat Beralih ke Mode Daftar Putih yang Ditingkatkan.

Kunjungi halaman Instans RDS, pilih wilayah di bagian atas halaman, lalu klik ID dari instans target.
Di panel navigasi di sebelah kiri, klik Daftar Putih dan Grup Keamanan.
Klik Create Whitelist, lalu pilih Network Isolation Mode.
Masukkan Nama Grup.
Di bidang Alamat IP, masukkan alamat IP atau blok CIDR yang perlu mengakses instans RDS, lalu klik OK.
Penting
- Pisahkan beberapa alamat IP atau blok CIDR dengan koma (,). Jangan tambahkan spasi sebelum atau sesudah koma. Contoh: 192.168.0.1,172.16.213.9.
- Maksimum 1.000 alamat IP dan blok CIDR dapat dikonfigurasi untuk setiap instans RDS. Untuk menentukan banyak alamat IP, kami sarankan Anda menggabungkan alamat IP menjadi blok CIDR, seperti 10.10.10.0/24.

(Opsional) Jika instans saat ini memiliki instans hanya baca, Anda dapat mengonfigurasi parameter Sinkronkan Daftar Putih ke Instans Hanya Baca untuk menyinkronkan daftar putih alamat IP dari instans utama ke instans hanya baca yang ditentukan. Jika beberapa instans RDS hanya baca disambungkan ke instans RDS, Anda dapat memilih lebih dari satu instans RDS hanya baca untuk sinkronisasi.
(Opsional) Klik Muat Alamat IP Internal ECS untuk menampilkan alamat IP dari semua instans ECS yang termasuk dalam akun Alibaba Cloud Anda. Anda dapat dengan cepat menambahkan alamat IP pribadi dari instans ECS ke daftar putih alamat IP.
Catatan
Jika mode daftar putih yang ditingkatkan diaktifkan untuk instans RDS, Anda harus memilih mode isolasi jaringan.

Apa yang harus dilakukan selanjutnya

Buat Basis Data dan Akun

FAQ

Mengapa saya menerima kesalahan InvalidSecurityIPListLength.Malformed ketika menambahkan daftar putih alamat IP di konsol RDS?

Deskripsi masalah

Anda mungkin menerima kesalahan berikut saat menambahkan daftar putih alamat IP di konsol RDS:

Kode kesalahan: InvalidSecurityIPListLength.Malformed
Pesan kesalahan: Alamat IP keamanan tidak berada dalam rentang yang tersedia atau sedang digunakan.

Solusi

Penyebab 1: Maksimum 1.000 alamat IP atau blok CIDR dapat ditambahkan ke kelompok daftar putih alamat IP tunggal. Jumlah alamat IP yang ingin Anda tambahkan melebihi batas ini.
Solusi: Pastikan jumlah alamat IP atau blok CIDR dalam kelompok daftar putih alamat IP tunggal tidak melebihi 1.000. Kami sarankan menggabungkan alamat IP individual menjadi blok CIDR (seperti 192.168.1.0/24) untuk mengurangi jumlah entri.
Penyebab 2: Daftar putih alamat IP yang ingin Anda tambahkan berisi alamat IP tidak valid.
Solusi: Pastikan alamat IP yang Anda masukkan valid. Gunakan format CIDR standar (seperti 10.23.12.0/24). Rentang masker harus antara 1 hingga 32. Untuk menambahkan beberapa alamat IP, pisahkan mereka dengan koma (,).
Penyebab 3: Daftar putih alamat IP bertentangan dengan daftar putih alamat IP yang sudah ada. Sebagai contoh, di RDS MySQL, 192.168.1.8 bertentangan dengan 192.168.1.1/8.
Solusi: Rencanakan dan tambahkan daftar putih alamat IP sesuai kebutuhan aktual Anda untuk menghindari tumpang tindih atau konflik dengan aturan yang sudah ada.

Catatan

Jangan hapus grup default default (yang berisi 127.0.0.1), dan jangan ubah grup sistem (seperti ali_dms_group atau hdm_security_ips) untuk menghindari memengaruhi fungsi sistem atau keamanan koneksi.

Operasi API terkait

Anda dapat memanggil operasi API DescribeDBInstanceIPArrayList untuk melihat daftar putih alamat IP dari instans RDS.
Anda dapat memanggil operasi API ModifySecurityIps untuk memodifikasi daftar putih alamat IP dari instans RDS.