设置RDS PostgreSQL的白名单 - 云数据库 RDS

创建RDS PostgreSQL实例后，暂时还无法访问该实例，您需要设置RDS PostgreSQL实例的白名单，即IP白名单或安全组，本文介绍如何设置IP白名单。

操作场景

IP白名单指允许访问RDS实例的IP清单。设置IP白名单可以让RDS实例得到高级别的访问安全保护，建议您定期维护白名单。

通常需要设置IP白名单的场景如下：

场景1：创建RDS实例后，您需要将外部IP地址添加至IP白名单中，外部设备才可以正常访问该RDS实例。
场景2：当数据库连接异常时，您可以检查白名单设置是否正确。

不同连接场景下，IP白名单的设置请参见下表。

连接场景	网络类型	IP白名单设置
ECS实例和RDS实例连接	处于相同专有网络VPC内（推荐）	添加ECS实例私有IP地址。
ECS实例和RDS实例连接	处于不同专有网络VPC内	不同专有网络的实例无法内网互通，您可以参考如下方案：切换RDS专有网络，选择和ECS实例相同的VPC。说明 ECS实例和RDS实例需要处于相同地域才能切换到相同VPC。如果地域不同，为业务稳定，建议您通过DTS将RDS实例迁移至ECS实例所属地域。详情请参见RDS PostgreSQL实例间数据迁移。在IP白名单中添加ECS实例私有IP地址。
ACK集群的容器和RDS实例连接	处于相同专有网络VPC内（推荐）	当ACK集群的容器网络插件为Flannel时，添加应用程序所在的节点IP。当ACK集群的容器网络插件为Terway时，添加应用程序所在的Pod IP。您可以在目标ACK集群的容器组页面，查Pod IP和节点IP。
ACK集群的容器和RDS实例连接	处于不同专有网络VPC内	不同专有网络的实例无法内网互通，您可以参考如下方案：切换RDS专有网络，选择和ACK集群相同的VPC。说明 ACK集群和RDS实例需要处于相同地域才能切换到相同VPC。如果地域不同，为业务稳定，建议您通过DTS将RDS实例迁移至ACK集群所属地域。详情请参见RDS PostgreSQL实例间数据迁移。添加应用程序所在的ACK集群对应的IP地址。当ACK集群的容器网络插件为Flannel时，添加应用程序所在的节点IP。当ACK集群的容器网络插件为Terway时，添加应用程序所在的Pod IP。
云外主机连接RDS实例	无	在IP白名单中添加云外主机的公网IP地址。云外主机的应用程序中使用RDS实例的外网连接地址。通过`curl ipinfo.io/ip`可以查询云外主机公网IP。说明如果云外主机没有固定IP，或者IP地址经常变动，请参见常见问题获取处理方案。

注意事项

单个实例最多支持50个IP白名单分组。
设置白名单不会影响RDS实例的正常运行。
白名单分组仅用于IP地址管理，不会影响实际访问权限。所有分组中的IP地址对RDS实例的访问权限是一致的。
默认的IP白名单分组（default ）不能删除，只能清空。
请勿修改或删除系统自动生成的分组，避免影响相关产品的使用。例如ali_dms_group（DMS产品IP地址白名单分组）、hdm_security_ips（DAS产品IP地址白名单分组）。
重要
为防止误修改或删除白名单分组，2020年12月之后的新建实例，hdm_security_ips白名单分组对用户不可见。
默认的IP白名单仅包含127.0.0.1，表示除了本地IP 127.0.0.1之外，任何其他IP均无法访问该RDS实例。

设置通用模式IP白名单

访问RDS实例列表，在上方选择地域，然后单击目标实例ID。
在左侧导航栏单击白名单与安全组。
单击添加白名单分组，填写分组名称或单击已有分组的修改。
填写需要访问该实例的IP地址或IP段，然后单击确定。
重要
- 用英文逗号隔开多个IP地址或IP段，且逗号前后不能有空格，例如192.168.0.1,172.16.213.9。
- 单个实例最多添加1000个IP地址或IP段。当IP地址较多时，建议将零散的IP合并为IP段，例如10.10.10.0/24。
（可选）如果当前实例包含只读实例，可以通过参数白名单同步到只读实例配置白名单同步，将主实例的白名单同步至指定的只读实例。当有多个只读实例时，支持多选。
（可选）单击加载ECS内网IP，将显示您当前阿里云账号下所有ECS实例的IP地址，可快速将ECS私有IP地址添加到白名单中。

高安全白名单模式IP白名单

说明

云盘实例不支持高安全白名单模式，高性能本地盘存储类型已停止售卖。

高安全白名单模式区分经典网络和专有网络，白名单分组需指定网络隔离模式，例如，经典网络的白名单IP地址不可从专有网络访问RDS实例，反之亦然。

如果高性能本地盘实例已经是高安全白名单模式，参见下文进行设置即可。如果需要切换为高安全白名单模式，请参见切换为高安全白名单模式。

访问RDS实例列表，在上方选择地域，然后单击目标实例ID。
在左侧导航栏单击白名单与安全组。
单击添加白名单分组，选择网络隔离模式。
填写分组名称。
在组内白名单中，填写需要访问该实例的IP地址或IP段，然后单击确定。
重要
- 用英文逗号隔开多个IP地址或IP段，且逗号前后不能有空格，例如192.168.0.1,172.16.213.9。
- 单个实例最多添加1000个IP地址或IP段。当IP地址较多时，建议将零散的IP合并为IP段，例如10.10.10.0/24。

（可选）如果当前实例包含只读实例，可以通过参数白名单同步到只读实例配置白名单同步，将主实例的白名单同步至指定的只读实例。当有多个只读实例时，支持多选。
（可选）单击加载ECS内网IP，将显示您当前阿里云账号下所有ECS实例的IP地址，可快速将ECS私有IP地址添加到白名单中。
说明
高安全白名单模式请注意选择网络隔离模式。

下一步

创建账号和数据库

常见问题

通过RDS控制台添加白名单时报错InvalidSecurityIPListLength.Malformed？

问题描述

用户通过RDS控制台添加白名单时，可能会出现如下报错：

错误码：InvalidSecurityIPListLength.Malformed
报错信息（中文）：安全IP地址不在可用范围内或已被占用。
报错信息（英文）：The security ip address is not in the available range or occupied.

解决方案

原因1：单个白名单分组中最多支持1000个IP地址/段，新增的IP超过了限制。
解决方案：确保单个白名单分组中的IP地址或IP段数量不超过1000个。建议将零散的IP地址合并为CIDR格式的IP段（如192.168.1.0/24），以减少占用数量。
原因2：添加的IP白名单包含非法地址。
解决方案：确保输入的IP地址合法，推荐使用标准CIDR格式（如10.23.12.0/24），掩码范围为1~32。若需添加多个IP地址，请使用英文逗号（,）分隔。
原因3：与已存在的白名单存在冲突。例如，在RDS MySQL中192.168.1.8会与192.168.1.1/8发生冲突。
解决方案：根据实际需求合理规划并添加白名单，避免与现有规则产生重叠或冲突。

说明

请勿删除默认分组default（包含127.0.0.1），也不要修改系统分组（如ali_dms_group或hdm_security_ips），以免影响系统功能或连接安全性。

云数据库 RDS：设置白名单