設定RDS PostgreSQL的白名單 - ApsaraDB RDS

建立RDS PostgreSQL執行個體後，暫時還無法訪問該執行個體，您需要設定RDS PostgreSQL執行個體的白名單，即IP白名單或安全性群組，本文介紹如何設定IP白名單。

操作環境

IP白名單指允許訪問RDS執行個體的IP清單。設定IP白名單可以讓RDS執行個體得到進階別的訪問安全保護，建議您定期維護白名單。

通常需要設定IP白名單的情境如下：

情境1：建立RDS執行個體後，您需要將外部IP地址添加至IP白名單中，外部裝置才可以正常訪問該RDS執行個體。
情境2：當資料庫連接異常時，您可以檢查白名單設定是否正確。

不同串連情境下，IP白名單的設定請參見下表。

串連情境	網路類型	IP白名單設定
ECS執行個體和RDS執行個體串連	處於相同Virtual Private Cloud內（推薦）	添加ECS執行個體私人IP地址。
ECS執行個體和RDS執行個體串連	處於不同Virtual Private Cloud內	不同專用網路的執行個體無法內網互連，您可以參考如下方案：切換RDS專用網路，選擇和ECS執行個體相同的VPC。說明 ECS執行個體和RDS執行個體需要處於相同地區才能切換到相同VPC。如果地區不同，為業務穩定，建議您通過DTS將RDS執行個體遷移至ECS執行個體所屬地區。詳情請參見RDS PostgreSQL執行個體間資料移轉。在IP白名單中添加ECS執行個體私人IP地址。
ACK叢集的容器和RDS執行個體串連	處於相同Virtual Private Cloud內（推薦）	當ACK叢集的容器網路外掛程式為Flannel時，添加應用程式所在的節點IP。當ACK叢集的容器網路外掛程式為Terway時，添加應用程式所在的Pod IP。您可以在目標ACK叢集的容器組頁面，查Pod IP和節點IP。
ACK叢集的容器和RDS執行個體串連	處於不同Virtual Private Cloud內	不同專用網路的執行個體無法內網互連，您可以參考如下方案：切換RDS專用網路，選擇和ACK叢集相同的VPC。說明 ACK叢集和RDS執行個體需要處於相同地區才能切換到相同VPC。如果地區不同，為業務穩定，建議您通過DTS將RDS執行個體遷移至ACK叢集所屬地區。詳情請參見RDS PostgreSQL執行個體間資料移轉。添加應用程式所在的ACK叢集對應的IP地址。當ACK叢集的容器網路外掛程式為Flannel時，添加應用程式所在的節點IP。當ACK叢集的容器網路外掛程式為Terway時，添加應用程式所在的Pod IP。
雲外主機串連RDS執行個體	無	在IP白名單中添加雲外主機的公網IP地址。雲外主機的應用程式中使用RDS執行個體的外網串連地址。通過`curl ipinfo.io/ip`可以查詢雲外主機公網IP。說明如果雲外主機沒有固定IP，或者IP地址經常變動，請參見常見問題擷取處理方案。

注意事項

單個執行個體最多支援50個IP白名單分組。
設定白名單不會影響RDS執行個體的正常運行。
白名單分組僅用於IP地址管理，不會影響實際存取權限。所有分組中的IP地址對RDS執行個體的存取權限是一致的。
預設的IP白名單分組（default ）不能刪除，只能清空。
請勿修改或刪除系統自動產生的分組，避免影響相關產品的使用。例如ali_dms_group（DMS產品IP地址白名單分組）、hdm_security_ips（DAS產品IP地址白名單分組）。
重要
為防止誤修改或刪除白名單分組，2020年12月之後的建立執行個體，hdm_security_ips白名單分組對使用者不可見。
預設的IP白名單僅包含127.0.0.1，表示除了本地IP 127.0.0.1之外，任何其他IP均無法訪問該RDS執行個體。

設定通用模式IP白名單

訪問RDS執行個體列表，在上方選擇地區，然後單擊目標執行個體ID。
在左側導覽列單擊白名單與安全性群組。
單擊添加白名單分組，填寫分組名稱或單擊已有分組的修改。
填寫需要訪問該執行個體的IP地址或IP段，然後單擊確定。
重要
- 用英文逗號隔開多個IP地址或IP段，且逗號前後不能有空格，例如192.168.0.1,172.16.213.9。
- 單個執行個體最多添加1000個IP地址或IP段。當IP地址較多時，建議將零散的IP合并為IP段，例如10.10.10.0/24。
（可選）如果當前執行個體包含唯讀執行個體，可以通過參數白名單同步到唯讀執行個體配置白名單同步，將主執行個體的白名單同步至指定的唯讀執行個體。當有多個唯讀執行個體時，支援多選。
（可選）單擊載入ECS內網IP，將顯示您當前阿里雲帳號下所有ECS執行個體的IP地址，可快速將ECS私人IP地址添加到白名單中。

高安全白名單模式IP白名單

說明

雲端硬碟執行個體不支援高安全白名單模式，高效能本地碟儲存類型已停止售賣。

高安全白名單模式區分傳統網路和專用網路，白名單分組需指定網路隔離模式，例如，傳統網路的白名單IP地址不可從專用網路訪問RDS執行個體，反之亦然。

如果高效能本地碟執行個體已經是高安全白名單模式，參見下文進行設定即可。如果需要切換為高安全白名單模式，請參見切換為高安全白名單模式。

訪問RDS執行個體列表，在上方選擇地區，然後單擊目標執行個體ID。
在左側導覽列單擊白名單與安全性群組。
單擊添加白名單分組，選擇網路隔離模式。
填寫分組名稱。
在組內白名單中，填寫需要訪問該執行個體的IP地址或IP段，然後單擊確定。
重要
- 用英文逗號隔開多個IP地址或IP段，且逗號前後不能有空格，例如192.168.0.1,172.16.213.9。
- 單個執行個體最多添加1000個IP地址或IP段。當IP地址較多時，建議將零散的IP合并為IP段，例如10.10.10.0/24。

（可選）如果當前執行個體包含唯讀執行個體，可以通過參數白名單同步到唯讀執行個體配置白名單同步，將主執行個體的白名單同步至指定的唯讀執行個體。當有多個唯讀執行個體時，支援多選。
（可選）單擊載入ECS內網IP，將顯示您當前阿里雲帳號下所有ECS執行個體的IP地址，可快速將ECS私人IP地址添加到白名單中。
說明
高安全白名單模式請注意選擇網路隔離模式。

下一步

建立帳號和資料庫

常見問題

通過RDS控制台添加白名單時報錯InvalidSecurityIPListLength.Malformed？

問題描述

使用者通過RDS控制台添加白名單時，可能會出現如下報錯：

錯誤碼：InvalidSecurityIPListLength.Malformed
報錯資訊（中文）：安全IP地址不在可用範圍內或已被佔用。
報錯資訊（英文）：The security ip address is not in the available range or occupied.

解決方案

原因1：單個白名單分組中最多支援1000個IP地址/段，新增的IP超過了限制。
解決方案：確保單個白名單分組中的IP地址或IP段數量不超過1000個。建議將零散的IP地址合并為CIDR格式的IP段（如192.168.1.0/24），以減少佔用數量。
原因2：添加的IP白名單包含非法地址。
解決方案：確保輸入的IP地址合法，推薦使用標準CIDR格式（如10.23.12.0/24），掩碼範圍為1~32。若需添加多個IP地址，請使用英文逗號（,）分隔。
原因3：與已存在的白名單存在衝突。例如，在RDS MySQL中192.168.1.8會與192.168.1.1/8發生衝突。
解決方案：根據實際需求合理規劃並添加白名單，避免與現有規則產生重疊或衝突。

說明

請勿刪除預設分組default（包含127.0.0.1），也不要修改系統分組（如ali_dms_group或hdm_security_ips），以免影響系統功能或串連安全性。

ApsaraDB RDS：設定白名單