Konfigurasikan daftar putih alamat IP untuk instans ApsaraDB RDS untuk SQL Server - ApsaraDB RDS

Secara default, instans baru RDS SQL Server tidak dapat diakses dari perangkat eksternal. Untuk memastikan keamanan, Anda harus mengonfigurasi daftar putih alamat IP agar hanya alamat IP tepercaya yang dapat mengakses instans RDS tersebut. Setelah membuat instans RDS, segera konfigurasikan daftar putih alamat IP dan peliharalah secara berkala untuk meningkatkan keamanan akses. Saat mengonfigurasi daftar putih alamat IP, instans RDS akan tetap beroperasi seperti biasa.

Untuk mengonfigurasi daftar putih untuk mesin lainnya, lihat:

Skenario

Anda perlu mengonfigurasi daftar putih alamat IP dalam skenario berikut:

Setelah membuat instans RDS, tambahkan alamat IP eksternal ke daftar putih untuk mengizinkan perangkat eksternal mengakses instans tersebut.
Jika instans RDS tidak dapat dihubungkan, periksa apakah daftar putih alamat IP telah dikonfigurasi dengan benar.

Tabel berikut menunjukkan konfigurasi daftar putih alamat IP untuk berbagai skenario koneksi.

Jenis Koneksi	Jenis Jaringan	Pengaturan Daftar Putih Alamat IP
Menghubungkan instans Elastic Compute Service (ECS) ke instans RDS	Instans ECS dan instans RDS berada dalam virtual private cloud (VPC) yang sama. Ini adalah skenario koneksi yang direkomendasikan.	Tambahkan alamat IP pribadi dari instans ECS ke daftar putih alamat IP dari instans RDS.
	Instans ECS dan instans RDS berada dalam VPC yang berbeda.	Instans dalam VPC yang berbeda tidak dapat berkomunikasi melalui jaringan internal. Pastikan bahwa instans ECS dan instans RDS berada dalam VPC yang sama, lalu tambahkan alamat IP pribadi dari instans ECS ke daftar putih alamat IP dari instans RDS.
Menghubungkan kontainer dalam kluster ACK ke instans RDS	Kluster ACK dan instans RDS berada dalam virtual private cloud (VPC) yang sama. Ini adalah skenario koneksi yang direkomendasikan.	Jika plugin jaringan kontainer dari kluster ACK adalah Flannel, tambahkan alamat IP node tempat aplikasi berada. Jika plugin jaringan kontainer dari kluster ACK adalah Terway, tambahkan alamat IP Pod tempat aplikasi berada. Anda dapat melihat alamat IP Pod dan alamat IP node pada halaman pod dari kluster ACK target.
Menghubungkan kontainer dalam kluster ACK ke instans RDS	Kluster ACK dan instans RDS berada dalam VPC yang berbeda.	Instans dalam VPC yang berbeda tidak dapat berkomunikasi melalui jaringan internal. Pastikan bahwa kluster ACK dan instans RDS berada dalam VPC yang sama, lalu tambahkan alamat IP dari kluster ACK tempat aplikasi berada ke daftar putih alamat IP dari instans RDS. Jika plugin jaringan kontainer dari kluster ACK adalah Flannel, tambahkan alamat IP node tempat aplikasi berada. Jika plugin jaringan kontainer dari kluster ACK adalah Terway, tambahkan alamat IP Pod tempat aplikasi berada.
Menghubungkan host mandiri di luar cloud ke instans RDS	N/A	Tambahkan alamat IP publik dari host mandiri di luar cloud ke daftar putih alamat IP dari instans RDS. Catatan Aplikasi yang berjalan pada host mandiri terhubung ke titik akhir publik dari instans RDS Anda.

Catatan Penggunaan

Maksimal 50 daftar putih alamat IP dapat dikonfigurasi untuk setiap instans RDS.
Anda dapat menghapus entri dalam daftar putih alamat IP yang diberi label default, tetapi tidak dapat menghapus daftar putih tersebut. Daftar putih alamat IP yang diberi label default hanya berisi alamat IP 127.0.0.1, yang menunjukkan bahwa tidak ada alamat IP yang dapat mengakses instans RDS.
Jangan modifikasi atau hapus daftar putih alamat IP yang dibuat secara otomatis untuk layanan Alibaba Cloud lainnya. Jika Anda menghapus daftar putih alamat IP yang dibuat secara otomatis untuk layanan Alibaba Cloud, layanan tersebut tidak dapat terhubung ke instans RDS. Sebagai contoh, daftar putih alamat IP yang diberi label ali_dms_group dibuat untuk Data Management (DMS), dan daftar putih alamat IP yang diberi label hdm_security_ips dibuat untuk DAS.
Penting
Jika instans RDS dibuat setelah Desember 2020, daftar putih alamat IP yang diberi label hdm_security_ips tidak terlihat oleh pengguna. Hal ini mencegah daftar putih alamat IP dimodifikasi atau dihapus secara tidak sengaja.

Prosedur

Buka halaman Instans. Di bilah navigasi atas, pilih wilayah tempat instans RDS berada, lalu temukan instans RDS dan klik ID-nya.
Di panel navigasi di sebelah kiri, klik Whitelist and SecGroup.
Di tab Whitelist Settings, Anda dapat melihat mode dari daftar putih alamat IP.
Catatan
Instans RDS yang sudah ada mungkin berjalan dalam mode daftar putih yang ditingkatkan. Semua instans RDS baru berjalan dalam mode daftar putih standar.
Klik Create Whitelist. Di kotak dialog yang muncul, konfigurasikan parameter Whitelist Name, tambahkan alamat IP dari server aplikasi ke daftar putih, lalu klik OK.
Catatan
- Anda juga dapat mengklik Modify di sebelah kanan grup default untuk mengubah daftar putih dalam grup tersebut.
- Pisahkan beberapa alamat IP dan blok CIDR dengan koma (,). Jangan tambahkan spasi sebelum atau sesudah setiap koma. Contoh: 192.XXX.XXX.1,172.XXX.XXX.9.
- Maksimal 1.000 alamat IP dan blok CIDR dapat dikonfigurasi untuk setiap instans RDS. Jika Anda ingin menambahkan banyak alamat IP, kami menyarankan Anda menggabungkan alamat IP tersebut menjadi blok CIDR, seperti 10.10.10.0/24.
- Jika instans RDS berjalan dalam mode daftar putih standar, Anda tidak perlu memperhatikan pertimbangan khusus saat mengonfigurasi daftar putih alamat IP. Jika instans RDS berjalan dalam mode daftar putih yang ditingkatkan, Anda harus memperhatikan pertimbangan berikut saat mengonfigurasi daftar putih alamat IP:
  - Tambahkan alamat IP publik dari instans ECS atau alamat IP pribadi dari instans ECS tipe jaringan klasik ke daftar putih alamat IP dari jenis jaringan klasik.
  - Tambahkan alamat IP pribadi dari instans ECS tipe VPC ke daftar putih alamat IP dari jenis jaringan VPC.
Opsional. Di kotak dialog Create Whitelist, klik Add Internal IP Address of ECS Instance. Di kotak dialog yang muncul, lihat alamat IP dari semua instans ECS yang dibuat dalam akun Alibaba Cloud Anda, lalu tambahkan alamat IP yang diperlukan ke daftar putih alamat IP yang ingin Anda konfigurasi.

Apa yang Harus Dilakukan Selanjutnya

Hubungkan ke instans ApsaraDB RDS untuk SQL Server

Lampiran: Memperoleh Alamat IP dari Server Aplikasi

Anda harus memperoleh alamat IP yang benar berdasarkan skenario bisnis Anda dan menambahkan alamat IP tersebut ke daftar putih alamat IP. Tabel berikut menjelaskan alamat IP yang diperlukan dalam berbagai skenario.

Skema	Alamat IP yang harus diperoleh	Cara Memperoleh
Persyaratan untuk akses jaringan internal	Alamat IP yang sesuai dari kontainer dalam kluster ACK	Jika plugin jaringan kontainer dari kluster ACK adalah Flannel, tambahkan alamat IP node tempat aplikasi berada. Jika plugin jaringan kontainer dari kluster ACK adalah Terway, tambahkan alamat IP Pod tempat aplikasi berada. Anda dapat melihat alamat IP Pod dan alamat IP node pada halaman pod dari kluster ACK target.
Persyaratan untuk akses jaringan internal	Alamat IP pribadi dari instans ECS	Masuk ke konsol ECS dan buka halaman Instans. Di bilah navigasi atas, pilih wilayah tempat instans ECS berada. Lihat alamat IP publik dan alamat IP pribadi dari instans ECS.
Anda ingin terhubung ke instans RDS dari instans ECS yang tidak dapat diakses melalui jaringan internal.	Alamat IP publik dari instans ECS
Anda ingin terhubung ke instans RDS dari perangkat lokal.	Alamat IP publik dari perangkat lokal	Di perangkat lokal, gunakan mesin pencari seperti Google untuk mencari IP. Catatan Alamat IP yang diperoleh menggunakan metode ini mungkin tidak akurat. Anda dapat menggunakan metode lain untuk memperoleh alamat IP.

FAQ

Kesalahan InvalidSecurityIPListLength.Malformed saat menambahkan daftar putih melalui konsol RDS?

Deskripsi Masalah

Saat pengguna menambahkan daftar putih melalui konsol RDS, kesalahan berikut mungkin terjadi:

Kode Kesalahan: InvalidSecurityIPListLength.Malformed
Pesan Kesalahan (Cina): Alamat IP keamanan tidak berada dalam rentang yang tersedia atau sedang digunakan.
Pesan Kesalahan (Inggris): Alamat IP keamanan tidak berada dalam rentang yang tersedia atau sedang digunakan.

Solusi

Penyebab 1: Grup daftar putih tunggal mendukung maksimal 1.000 alamat IP/segmen, dan alamat IP baru yang ditambahkan melebihi batas ini.
Solusi: Pastikan jumlah alamat IP atau segmen IP dalam grup daftar putih tunggal tidak melebihi 1.000. Kami menyarankan Anda menggabungkan alamat IP tersebar menjadi format CIDR (seperti 192.168.1.0/24) untuk mengurangi jumlah entri.
Penyebab 2: Daftar putih IP yang ditambahkan berisi alamat yang tidak valid.
Solusi: Pastikan alamat IP yang dimasukkan valid. Gunakan format CIDR standar (seperti 10.23.12.0/24), dengan rentang masker dari 1 hingga 32. Untuk menambahkan beberapa alamat IP, gunakan koma (,) untuk memisahkannya.
Penyebab 3: Ada konflik dengan daftar putih yang ada. Sebagai contoh, dalam RDS MySQL, 192.168.1.8 akan bertentangan dengan 192.168.1.1/8.
Solusi: Rencanakan dan tambahkan daftar putih secara masuk akal sesuai kebutuhan aktual, hindari tumpang tindih atau konflik dengan aturan yang sudah ada.

Catatan

Jangan hapus grup default default (berisi 127.0.0.1), dan jangan ubah grup sistem (seperti ali_dms_group atau hdm_security_ips) untuk menghindari mempengaruhi fungsi sistem atau keamanan koneksi.

ApsaraDB RDS：Konfigurasikan daftar putih alamat IP