保障资源组与数据源之间网络连通后,您还需保障资源组与数据源之间不会因为白名单的限制而无法进行数据访问,例如,部分数据源设置白名单后会不允许白名单外的IP访问,您需要将资源组的IP添加至数据源的白名单中。本文为您介绍白名单相关问题。

前提条件

您需保障数据源与数据集成资源组间的网络时连通状态:
  • 如果您目前需要连通的数据库网络较复杂(不是同步同阿里云账号下同Region的数据库),您需要根据数据集成资源组网络能力来选择合适的方案访问您特殊场景下的数据库,详情可参见选择网络连通方案
  • 如果您用独享数据集成资源组同步同阿里云账号,同Region下的VPC环境数据库,您购买添加独享数据集成资源组后,还需完成网络配置和工作空间绑定,操作详情可参见新增和使用独享数据集成资源组

如果您已完成网络连通配置,但资源组仍然无法访问您的数据库,则数据库可能开启了白名单配置,限制了数据集成资源组的访问。此时您需要将资源组的相应IP地址段添加至数据库白名单中。

背景信息

如果数据集成资源组和您需要访问的数据源网络已连通,如选择网络连通方案中所述,但资源组仍然无法访问您的数据库,则可能是因为您的数据库有白名单限制,您需要获取资源组的IP地址与网段,添加至数据库的白名单中。

为保证数据源的数据库的安全稳定,大部分数据源开启了白名单的限制(例如,RDS、MongoDB和Redis等常见的数据源),此种场景下,您需要将DataWorks资源组的IP地址或网段添加至数据源的白名单中,对数据集成资源组的访问IP放行。添加白名单时:

使用独享数据集成资源组执行任务需要在数据库添加的IP白名单

  • 如果您使用独享数据集成资源组走VPC内网同步数据,请在数据库白名单列表中添加独享数据集成资源组绑定的交换机网段。获取独享绑定的交换机网段信息如下:
    DataWorks控制台独享资源组页签下,单击目标独享数据集成资源组后的网络设置,查看交换机网段并将其添加至数据库白名单列表中。独享绑定的交换机网段
  • 如果您使用独享数据集成资源组走公网同步数据,请在数据库白名单列表中添加独享数据集成资源组本身的EIP地址。获取独享数据集成资源组EIP地址如下:
    DataWorks控制台独享资源组页签下,单击数据集成资源组后的查看信息,复制对话框中的EIP地址至数据库白名单列表中。查看独享资源组EIP
    说明 如果您之后对独享数据集成资源组进行了扩容操作,请检查此处待添加的EIP是否有变动,为了避免任务执行出错,请在扩容后第一时间更新数据库添加的白名单。

使用公共数据集成(调试)资源组执行任务时需要在数据库添加的IP白名单

使用公共数据集成(调试)资源组时,您需要根据DataWorks所在的地域,添加不同的IP地址段至数据库的白名单中。查看不同地域的IP地址段信息的操作步骤如下:

  1. 以开发者身份登录DataWorks控制台
  2. 在左侧导航栏,单击工作空间列表
  3. 单击左上角的区域,切换相应的工作空间区域。
  4. 根据工作空间所在的区域查看相应的资源组IP地址信息,后续需将这些IP地址段添加至数据库的白名单中。
    地域 白名单
    华东1(杭州) 100.64.0.0/10,11.193.102.0/24,11.193.215.0/24,11.194.110.0/24,11.194.73.0/24,118.31.157.0/24,47.97.53.0/24,11.196.23.0/24,47.99.12.0/24,47.99.13.0/24,114.55.197.0/24,11.197.246.0/24,11.197.247.0/24
    华东2(上海) 11.193.109.0/24,11.193.252.0/24,47.101.107.0/24,47.100.129.0/24,106.15.14.0/24,10.117.28.203,10.143.32.0/24,10.152.69.0/24,10.153.136.0/24,10.27.63.15,10.27.63.38,10.27.63.41,10.27.63.60,10.46.64.81,10.46.67.156,11.192.97.0/24,11.192.98.0/24,11.193.102.0/24,11.218.89.0/24,11.218.96.0/24,11.219.217.0/24,11.219.218.0/24,11.219.219.0/24,11.219.233.0/24,11.219.234.0/24,118.178.142.154,118.178.56.228,118.178.59.233,118.178.84.74,120.27.160.26,120.27.160.81,121.43.110.160,121.43.112.137,100.64.0.0/10,10.117.39.238
    华南1(深圳) 100.106.46.0/24,100.106.49.0/24,10.152.27.0/24,10.152.28.0/24,11.192.91.0/24,11.192.96.0/24,11.193.103.0/24,100.64.0.0/10,120.76.104.0/24,120.76.91.0/24,120.78.45.0/24,47.106.63.0/26,47.106.63.128/26,47.106.63.192/26,47.106.63.64/26
    西南1(成都) 11.195.52.0/24,11.195.55.0/24,47.108.22.0/24,100.64.0.0/10
    华北3(张家口) 11.193.235.0/24,47.92.22.0/24,100.64.0.0/10
    中国(香港) 10.152.162.0/24,11.192.196.0/24,11.193.11.0/24,100.64.0.0/10,47.89.61.0/24,47.91.171.0/24,11.193.118.0/24,47.75.228.0/24,47.56.45.0/25,47.244.92.128/25,47.101.109.0/24
    亚太东南1(新加坡) 100.106.10.0/24,100.106.35.0/24,10.151.234.0/24,10.151.238.0/24,10.152.248.0/24,11.192.153.0/24,11.192.40.0/24,11.193.8.0/24,100.64.0.0/10,47.88.147.0/24,47.88.235.0/24,11.193.162.0/24,11.193.163.0/24,11.193.220.0/24,11.193.158.0/24,47.74.162.0/24,47.74.203.0/24,47.74.161.0/24,11.197.188.0/24
    亚太东南2(悉尼) 11.192.100.0/24,11.192.134.0/24,11.192.135.0/24,11.192.184.0/24,11.192.99.0/24,100.64.0.0/10,47.91.49.0/24,47.91.50.0/24,11.193.165.0/24,47.91.60.0/24
    华北2(北京) 100.106.48.0/24,10.152.167.0/24,10.152.168.0/24,11.193.50.0/24,11.193.75.0/24,11.193.82.0/24,11.193.99.0/24,100.64.0.0/10,47.93.110.0/24,47.94.185.0/24,47.95.63.0/24,11.197.231.0/24,11.195.172.0/24,47.94.49.0/24,182.92.144.0/24
    美国西部1(硅谷) 10.152.160.0/24,100.64.0.0/10,47.89.224.0/24,11.193.216.0/24,47.88.108.0/24
    美国东部1(弗吉尼亚) 47.88.98.0/26,47.88.98.64/26,47.88.98.128/26,47.88.98.192/26,47.252.91.0/26,47.252.91.64/26,47.252.91.128/26,47.252.91.192/26,10.128.134.0/24,11.193.203.0/24,11.194.68.0/24,11.194.69.0/24,100.64.0.0/10
    亚太东南3(吉隆坡) 11.193.188.0/24,11.221.205.0/24,11.221.206.0/24,11.221.207.0/24,100.64.0.0/10,11.214.81.0/24,47.254.212.0/24,11.193.189.0/24
    欧洲中部1(法兰克福) 11.192.116.0/24,11.192.168.0/24,11.192.169.0/24,11.192.170.0/24,11.193.106.0/24,100.64.0.0/10,11.192.116.14,11.192.116.142,11.192.116.160,11.192.116.75,11.192.170.27,47.91.82.22,47.91.83.74,47.91.83.93,47.91.84.11,47.91.84.110,47.91.84.82,11.193.167.0/24,47.254.138.0/24
    亚太东北1(日本) 100.105.55.0/24,11.192.147.0/24,11.192.148.0/24,11.192.149.0/24,100.64.0.0/10,47.91.12.0/24,47.91.13.0/24,47.91.9.0/24,11.199.250.0/24,47.91.27.0/24,11.59.59.0/24,47.245.51.128/26,47.245.51.192/26,47.91.0.128/26,47.91.0.192/26
    中东东部1(迪拜) 11.192.107.0/24,11.192.127.0/24,11.192.88.0/24,11.193.246.0/24,47.91.116.0/24,100.64.0.0/10
    亚太南部1(孟买) 11.194.10.0/24,11.246.70.0/24,11.246.71.0/24,11.246.73.0/24,11.246.74.0/24,100.64.0.0/10,149.129.164.0/24,11.194.11.0/24,11.59.62.0/24,147.139.23.0/26,147.139.23.128/26,147.139.23.64/26,149.129.165.192/26
    英国(伦敦) 11.199.93.0/24,100.64.0.0/10
    亚太东南5(雅加达) 11.194.49.0/24,11.200.93.0/24,11.200.95.0/24,11.200.97.0/24,100.64.0.0/10,149.129.228.0/24,10.143.32.0/24,11.194.50.0/24,11.59.135.0/24,147.139.156.0/26,147.139.156.128/26,147.139.156.64/26,149.129.230.192/26
    华北2(政务云) 11.194.116.0/24,100.64.0.0/10,39.107.188.202

    如果IP地址段添加不成功,请添加下述IP地址:11.194.116.160,11.194.116.161,11.194.116.162,11.194.116.163,11.194.116.164,11.194.116.165,11.194.116.167,11.194.116.169,11.194.116.170,11.194.116.171,11.194.116.172,11.194.116.173,11.194.116.174,11.194.116.175,39.107.188.0/24

    华东2(上海)金融云 140.205.46.128/25,140.205.48.0/25,140.205.48.128/25,140.205.49.0/25,140.205.49.128/25,11.192.156.0/25,11.192.157.0/25,11.192.164.0/25,11.192.165.0/25,11.192.166.0/25,11.192.167.0/25,106.11.245.0/26,106.11.245.128/26,106.11.245.192/26,106.11.245.64/26,140.205.39.0/24,106.11.225.0/24,106.11.226.0/24,106.11.227.0/24,106.11.242.0/24,100.104.8.0/24

使用自定义数据集成资源组执行任务时需要在数据库添加的IP白名单

使用自定义数据集成资源组执行数据同步任务时,请添加自定义数据集成资源组的机器IP至数据库的白名单内。

说明 自定义数据集成资源组扩容后,为避免任务由于白名单问题导致报错,请第一时间将扩容机器ip添加到数据库白名单列表中。

云产品白名单配置注意事项

以阿里云云数据库RDS为例,您需要添加数据集成资源组相应的IP地址段到数据库白名单列表中,在配置白名单前您可以先了解以下问题。

目前云产品支持通用模式IP白名单和高安全模式IP白名单配置,您添加白名单时配置的白名单分组可能会影响数据集成资源组与数据库的网络连通:

  • 如果您目前数据库设置的为通用模式IP白名单:
    • 通用模式IP白名单不区分经典网络和专有网络白名单分组。
    • 公共数据集成(调试)资源组、独享数据集成资源组、自定义资源数据集成组使用同样的白名单分组配置。
      说明 在通用白名单模式下,设置的IP地址,既可通过经典网络,也可通过专有网络访问RDS实例。
  • 如果您目前数据库设置的为高安全模式IP白名单模式:
    • 高安全模式区分经典网络和专有网络白名单分组。
      说明 在高安全白名单模式下,白名单分组需指定网络隔离模式,例如设置在经典网络的白名单IP地址,不可从专有网络访问RDS实例,反之亦然。
    • 使用独享资源组VPC内网直接连接数据库,使用专有网络白名单分组。
    • 使用公共数据集成(调试)访问 vpc 网络数据源(例如,实例模式配置的专有网络 RDS MySQL),使用专有网络白名单分组。
    • 使用公网连接地址直接访问数据库,走的是经典网络白名单分组。
  • 如果您在数据库将白名单模式从通用模式IP白名单模式 切换为高安全模式IP白名单模式:

    RDS会将通用模式IP白名单复制分为2份,分别放到经典网络和专有网络白名单分组类型里面。

其他白名单配置注意事项:

  • 设置白名单不会影响RDS实例的正常运行。
  • 默认的IP白名单分组(default )不能删除,只能清空。
  • 请勿修改或删除系统自动生成的分组,避免影响相关产品的使用。例如ali_dms_groupDMS产品IP地址白名单分组)、hdm_security_ipsDAS产品IP地址白名单分组)。
    说明 建议您在数据库配置白名单时,单独为DataWorks白名单新建一个白名单分组。
  • 默认的IP白名单只包含127.0.0.1,表示任何IP均无法访问该RDS实例。

RDS白名单配置详情可参见设置IP白名单。其他类型的数据源类似,可参考各数据源数据库的白名单配置步骤,分别添加对应的白名单。

后续步骤

如果您的数据库是ECS自建数据库,那么完成白名单配置后,您还需要配置自建数据库的安全组,才能保障资源组能正常读写数据库的数据,详情可参见ECS自建数据库的安全组配置