创建PolarDB MySQL数据库集群后,您需要设置集群的IP白名单,并创建集群的初始账号,才能连接和使用该集群。

背景信息

设置集群白名单包括两种操作:
  • 设置IP白名单

    添加IP地址,允许这些IP地址访问该集群。 默认的IP白名单只包含默认IP地址127.0.0.1,表示任何设备均无法访问该集群。只有已添加到IP白名单中的IP地址才可以访问该集群。

  • 设置安全组

    ECS安全组是一种虚拟防火墙,用于控制安全组中的ECS实例的出入流量。在PolarDB集群白名单中添加ECS安全组后,该安全组中的ECS实例就可以访问PolarDB集群。

    关于ECS安全组的更多信息,请参见创建安全组

注意事项

  • 默认情况下,IP白名单只包含IP地址127.0.0.1,表示任何IP地址均无法访问该数据库集群。
  • 若将IP白名单设置为%或者0.0.0.0/0,表示允许任何IP地址访问数据库集群。该设置将极大降低数据库的安全性,如非必要请勿使用。
  • PolarDB暂不支持自动获取VPC中的ECS内网IP以供您选择,请手动填写需要访问PolarDB的ECS内网IP。
  • 您可以同时设置IP白名单和ECS安全组。IP白名单中的IP地址和安全组中的ECS实例都可以访问该PolarDB集群。
  • 目前仅PolarDB MySQL支持设置安全组,最多可以添加10个安全组。
  • 目前支持创建50个IP白名单,所有IP白名单累积支持添加1000个IP地址或地址段。
  • ali_dms_groupDMS产品IP地址白名单分组)、hdm_security_ipsDAS产品IP地址白名单分组)、dtspolardbDTS产品IP地址白名单分组)等分组为使用相关产品时系统自动生成。请勿修改或删除分组,避免影响相关产品的使用。
    注意 请勿在这些分组里增加自己的业务IP,避免相关产品更新时覆盖掉您的业务IP,影响业务正常运行。
    白名单

设置白名单

  1. 登录PolarDB控制台
  2. 在控制台左上角,选择集群所在地域。
  3. 找到目标集群,单击集群ID。
  4. 在左侧导航栏,单击配置与管理 > 集群白名单
  5. 集群白名单页面,您可以新增IP白名单分组配置已有白名单。
    配置
    • 新增白名单分组
      1. 单击新增IP白名单分组
      2. 新增IP白名单分组面板,输入分组名称和允许访问的IP白名单地址。新增
        说明 IP白名单分组名称需满足如下要求:
        • 由小写字母、数字、下划线(_)组成。
        • 由字母开头,字母或数字结尾。
        • 长度为2~120个字符。
    • 配置白名单
      1. 单击目标IP白名单分组名称右侧的配置
      2. 配置白名单面板,输入允许访问的IP白名单地址。配置
  6. 单击确定即可。
    • 如果您的ECS实例需要访问PolarDB,可在ECS实例详情页面的配置信息区域,查看ECS实例的IP地址,然后填写到白名单中。
      说明 如果ECS与PolarDB位于同一地域(例如,华东1),填写ECS的私网IP地址;如果ECS与PolarDB位于不同的地域,填写ECS的公网IP地址,或者将ECS迁移到PolarDB所在地域后填写ECS私网IP地址。
    • 如果您本地的服务器、电脑或其它云服务器需要访问PolarDB,请将其IP地址添加到白名单中。

设置安全组

  1. 登录PolarDB控制台
  2. 在控制台左上角,选择集群所在地域。
  3. 找到目标集群,单击集群ID。
  4. 在左侧导航栏,单击配置与管理 > 集群白名单
  5. 集群白名单页面,您可以单击选择安全组或目标安全组操作栏中的配置按钮来更改安全组设置。
    安全组
  6. 在弹出的选择安全组面板,选中目标安全组,单击确定即可。
    选中
    说明 关于如何创建ECS安全组,请参见创建安全组

下一步

设置白名单以及创建数据库账号后,您就可以连接数据库集群,对数据库进行操作。

常见问题

  • Q:如何指定服务器只能访问集群中的某个节点?

    A:使用自定义集群地址访问集群,就只能访问集群中的特定节点。

  • Q:IP白名单最多支持填写多少个IP地址?

    A:IP白名单最多可以填写1000个IP地址或地址组。安全组关联的IP不受此限制。

  • Q:已添加ECS的IP地址到IP白名单中,为何还是无法访问集群?
    A:请按以下步骤进行排查:
    1. 确认IP白名单是否正确。如果是通过内网地址访问,需添加ECS的私网IP地址。如果是通过公网地址进行访问,需添加ECS的公网IP地址。
    2. 确认网络类型是否一致。如果ECS实例的网络类型是经典网络,可参见经典网络迁移到专有网络方案将ECS实例迁移至PolarDB所在的专有网络。
      说明 如果该ECS 还要访问其他经典网络内网资源,请勿操作,因为迁移后会无法访问经典网络。

      或者通过Classlink打通经典网络到专有网络的网络。

    3. 确认是否位于同一个VPC。如果不是,需要重新购买一个PolarDB,或者通过云企业网来打通两个VPC网络实现访问。
  • Q:什么原因会导致公网连接失败?
    A:公网连接失败的原因如下所示:
    1. 如果是ECS通过公网地址进行访问,请确认添加的是ECS的公网IP地址,而不是私网IP地址。
    2. IP白名单设置为0.0.0.0/0,然后尝试访问,如果能成功访问,表示IP白名单中之前填写的公网地址错误。请参见查看或申请连接地址确定真正的公网地址。
  • Q:如何限制某个用户只能从特定的IP地址访问PolarDB
    A:您可以使用以下命令创建高权限账号,并使用高权限账号对普通账号限定访问IP。命令行

相关API

API 描述
DescribeDBClusterAccessWhitelist 查看允许访问数据库集群的IP名单。
ModifyDBClusterAccessWhitelist 修改允许访问数据库集群的IP名单。