IP白名單用於控制哪些IP地址或安全性群組可以訪問PolarDB PostgreSQL版叢集。在建立叢集之後,您需要將本地環境或ECS執行個體的IP地址添加至叢集的白名單中,才能夠訪問該叢集。
注意事項
PolarDB暫不支援自動擷取VPC中的ECS內網IP以供您選擇,請手動填寫需要訪問PolarDB的ECS內網IP。
目前支援建立50個IP白名單,所有IP白名單累積支援添加1000個IP地址或位址區段。
ali_dms_group(DMS產品IP地址白名單分組)、hdm_security_ips(DAS產品IP地址白名單分組)、dtspolardb(DTS產品IP地址白名單分組)等分組為使用相關產品時系統自動產生。請勿修改或刪除分組,避免影響相關產品的使用。
重要請勿在這些分組裡增加您的業務IP,避免相關產品更新時覆蓋掉您的業務IP,影響業務正常運行。
您可以通過設定全域IP白名單模板管理全域IP白名單。
使用情境
IP白名單用於控制哪些IP地址或安全性群組可以訪問PolarDB PostgreSQL版叢集。設定IP白名單可以讓PolarDB PostgreSQL版叢集得到進階別的訪問安全保護,建議您定期維護白名單。通常需要設定IP白名單的情境如下:
如果您的ECS執行個體需要訪問PolarDB PostgreSQL版叢集,可在ECS執行個體詳情頁面查看ECS執行個體的IP地址,並將其填寫至IP白名單中。
說明如果您的ECS執行個體與PolarDB PostgreSQL版叢集位於同一VPC內,您可以填寫ECS的私網IP地址或其所在VPC網段。
如果您的ECS執行個體與PolarDB PostgreSQL版叢集不在同一VPC內,您可填寫ECS的公網IP地址,或添加ECS所在的安全性群組。此外,您還可以選擇將ECS遷移至PolarDB PostgreSQL版叢集所在的VPC,隨後填寫ECS的私網IP地址或所在VPC網段。
如果您本地的伺服器、電腦或其他雲端服務器需要訪問PolarDB叢集,請將其公網IP地址添加到IP白名單中。
設定IP白名單
登入PolarDB控制台,在左側導覽列單擊叢集列表,選擇叢集所在地區,並單擊目的地組群ID進入叢集詳情頁。
在左側導覽列,單擊。
在叢集白名單頁面,您可以新增IP白名單分組或配置已有白名單。
新增IP白名單分組:
單擊新增IP白名單分組,在新增IP白名單分組對話方塊,輸入分組名稱和允許訪問的IP白名單地址。
配置IP白名單分組:
單擊目標IP白名單分組名稱右側的配置。在配置白名單對話方塊,輸入允許訪問的IP白名單地址。
說明IP白名單分組名稱需滿足如下要求:
由小寫字母、數字、底線(_)組成。
由字母開頭、字母或數字結尾。
長度為2~120個字元。
白名單內IP地址:
可以填寫IP地址(如
192.168.0.1)或IP段(如192.168.0.0/24)。多個IP需要用英文逗號隔開,如
192.168.0.1,192.168.0.0/24。127.0.0.1表示禁止任何IP地址訪問。0.0.0.0/0表示允許任何IP地址訪問資料庫叢集。該設定將極大降低資料庫的安全性,如非必要請勿使用。
每個叢集都預設包含一個
default的IP白名單分組,且包含IP地址127.0.0.1,表示任何IP地址均無法訪問該叢集。
下一步
設定叢集白名單以及建立資料庫帳號後,您就可以串連資料庫叢集,對資料庫進行操作。
常見問題
已將ECS的IP地址添加到IP白名單中,但是還是無法訪問。
答:
確認IP白名單是否正確。如果是通過內網地址訪問,需添加ECS的私網IP地址。如果是通過公網地址進行訪問,需添加ECS的公網IP地址。
確認網路類型是否一致。如果ECS執行個體的網路類型是傳統網路,可參見傳統網路遷移到專用網路方案將ECS執行個體遷移至PolarDB所在的專用網路。
說明如果該ECS 還要訪問其他傳統網路內網資源,請勿操作,因為遷移後會無法訪問傳統網路。
或者通過ClassicLink打通傳統網路到專用網路的網路。
確認是否位於同一個VPC。如果不是,需要重新購買一個PolarDB,或者通過雲企業網來打通兩個VPC網路實現訪問。
什麼原因導致公網串連失敗?
答:
如果是ECS通過公網地址進行訪問,請確認添加的是ECS的公網IP地址,而不是私網IP地址。
IP白名單設定為0.0.0.0/0,然後嘗試訪問,如果能成功訪問,表示IP白名單中之前填寫的公網地址錯誤。請參見查看或申請串連地址確定真正的公網地址。
如何?內網串連?
答:ECS和PolarDB內網訪問需要滿足以下條件:
相同地區。
相同網路類型,如果是VPC,需要在相同VPC下。
ECS內網IP在PolarDB叢集IP白名單中。