PolarDB クラスターの IP アドレスホワイトリストを設定する - PolarDB

PolarDB for PostgreSQL (Compatible with Oracle) クラスターに接続する前に、IP アドレスホワイトリストを構成して、クラスターへのアクセスを許可する IP アドレスを指定します。デフォルトでは、127.0.0.1 のみが許可されており、すべての外部接続がブロックされます。

注意事項

デフォルトのホワイトリスト default には 127.0.0.1 のみが含まれており、すべての外部接続がブロックされます。アクセスを許可するには、クライアントまたはアプリケーションの IP アドレスをホワイトリストに追加してください。
ホワイトリストを % または 0.0.0.0/0 に設定すると、インターネット上の任意の IP アドレス（他のユーザーからの接続を含む）からの接続が許可されます。この設定は、絶対に必要でない限り避けてください。クラスターが不正アクセスにさらされるリスクがあります。
PolarDB は、Virtual Private Cloud (VPC) 内の Elastic Compute Service (ECS) インスタンスの内部 IP アドレスを自動検出できません。これらのアドレスは、手動でホワイトリストに追加してください。
以下のホワイトリストは、Alibaba Cloud サービスによって自動的に作成されます。これらのホワイトリストを変更または削除すると、関連するサービスがクラスターにアクセスできなくなるため、変更・削除しないでください。また、ご自身のサービスの IP アドレスをこれらのホワイトリストに追加しないでください。関連するサービスが更新された場合、これらのホワイトリストが上書きされ、サービス中断が発生する可能性があります。
ホワイトリスト名 作成元
ali_dms_group Data Management Service (DMS)
hdm_security_ips Database Autonomy Service (DAS)
dtspolardb Data Transmission Service (DTS)
IP ホワイトリストの構成を複数のクラスター間で一元管理するには、IP ホワイトリストテンプレートを使用します。詳細については、「」をご参照ください。

ホワイトリスト名	作成元
`ali_dms_group`	Data Management Service (DMS)
`hdm_security_ips`	Database Autonomy Service (DAS)
`dtspolardb`	Data Transmission Service (DTS)

前提条件

開始する前に、以下の条件を満たしていることを確認してください。

PolarDB for PostgreSQL (Compatible with Oracle) クラスター
PolarDB コンソールへのアクセス権限

IP アドレスホワイトリストの設定

各クラスターでは、最大 50 個の IP ホワイトリストを設定でき、合計で最大 1,000 個の IP アドレスまたは CIDR ブロックを登録できます。

PolarDB コンソールにログインします。
画面左上隅から、クラスターがデプロイされているリージョンを選択します。
対象のクラスターを見つけ、その ID をクリックします。
左側のナビゲーションウィンドウで、設定項目と管理 > ホワイトリスト を選択します。
ホワイトリスト ページで、ホワイトリストを追加または変更します。
- ホワイトリストの追加： IP ホワイトリストの追加 をクリックします。表示される IP ホワイトリストの追加 パネルで、ホワイトリスト名とクラスターへのアクセスを許可する IP アドレスを入力します。ホワイトリスト名は、以下の要件を満たす必要があります。
  - 小文字の英字、数字、およびアンダースコア (_) のみを使用可能
  - 先頭は英字で始まり、末尾は英字または数字で終わる
  - 長さは 2～120 文字
- ホワイトリストの変更：ホワイトリスト名の横にある変更をクリックします。表示される ホワイトリストの変更 パネルで、IP アドレスを更新します。
OK をクリックします。

次のステップ

ホワイトリストの設定後、データベースアカウントを作成してからクラスターに接続します。

よくある質問

ECS インスタンスの IP アドレスをホワイトリストに追加しましたが、クラスターに接続できません。

以下の点を確認してください。

正しい IP アドレスの種類であるかを確認します。 内部エンドポイント経由で接続する場合は、ECS インスタンスの内部 IP アドレスをホワイトリストに追加してください。パブリックエンドポイント経由で接続する場合は、代わりにパブリック IP アドレスを追加してください。
両方のインスタンスが同じネットワークタイプであることを確認します。 ECS インスタンスがクラシックネットワークで実行されている場合は、クラスターが配置されている VPC に移行してください。『移行ソリューションの概要』をご参照ください。
説明
ECS インスタンスがクラシックネットワーク内の他のリソースへの接続を維持する必要がある場合は、インスタンスを移行しないでください。代わりに、ClassicLink 機能を使用してクラシックネットワークを VPC に接続します。
VPC が同じであることを確認します。 異なる VPC にある場合は、同じ VPC 内で新しい PolarDB クラスターを購入するか、Cloud Enterprise Network (CEN) を使用して VPC を接続します。

パブリックエンドポイント経由でクラスターに接続できません。

以下の点を確認してください。

ECS インスタンスからパブリックエンドポイント経由でクラスターに接続する場合、ECS インスタンスのパブリック IP アドレスがクラスターの IP アドレスホワイトリストに追加されていることを確認してください。
それでも接続できない場合は、一時的にホワイトリストを 0.0.0.0/0 に設定して再試行してください。接続が成功した場合、当初追加した IP アドレスが誤っている可能性があります。パブリックエンドポイントの構成を確認してください。詳細については、「エンドポイントの表示または申請」をご参照ください。

内部エンドポイント経由での接続にはどのような条件が必要ですか？

ECS インスタンスから内部エンドポイント経由で接続するには、以下の 3 つの条件をすべて満たす必要があります。

ECS インスタンスとクラスターが同一のリージョンにあること。
両方のインスタンスが同一のネットワークタイプで実行されていること。ネットワークが VPC の場合、同一の VPC 内にある必要があります。
ECS インスタンスの内部 IP アドレスがクラスターのホワイトリストに追加されていること。