IP白名单用于控制哪些IP地址或安全组可以访问PolarDB PostgreSQL版集群。在创建集群之后,您需要将本地环境或ECS实例的IP地址添加至集群的白名单中,才能够访问该集群。
注意事项
PolarDB暂不支持自动获取VPC中的ECS内网IP以供您选择,请手动填写需要访问PolarDB的ECS内网IP。
目前支持创建50个IP白名单,所有IP白名单累积支持添加1000个IP地址或地址段。
ali_dms_group(DMS产品IP地址白名单分组)、hdm_security_ips(DAS产品IP地址白名单分组)、dtspolardb(DTS产品IP地址白名单分组)等分组为使用相关产品时系统自动生成。请勿修改或删除分组,避免影响相关产品的使用。
重要请勿在这些分组里增加您的业务IP,避免相关产品更新时覆盖掉您的业务IP,影响业务正常运行。
您可以通过设置全局IP白名单模板管理全局IP白名单。
使用场景
IP白名单用于控制哪些IP地址或安全组可以访问PolarDB PostgreSQL版集群。设置IP白名单可以让PolarDB PostgreSQL版集群得到高级别的访问安全保护,建议您定期维护白名单。通常需要设置IP白名单的场景如下:
如果您的ECS实例需要访问PolarDB PostgreSQL版集群,可在ECS实例详情页面查看ECS实例的IP地址,并将其填写至IP白名单中。
说明如果您的ECS实例与PolarDB PostgreSQL版集群位于同一VPC内,您可以填写ECS的私网IP地址或其所在VPC网段。
如果您的ECS实例与PolarDB PostgreSQL版集群不在同一VPC内,您可填写ECS的公网IP地址,或添加ECS所在的安全组。此外,您还可以选择将ECS迁移至PolarDB PostgreSQL版集群所在的VPC,随后填写ECS的私网IP地址或所在VPC网段。
如果您本地的服务器、电脑或其他云服务器需要访问PolarDB集群,请将其公网IP地址添加到IP白名单中。
设置IP白名单
登录PolarDB控制台,在左侧导航栏单击集群列表,选择集群所在地域,并单击目标集群ID进入集群详情页。
在左侧导航栏,单击。
在集群白名单页面,您可以新增IP白名单分组或配置已有白名单。
新增IP白名单分组:
单击新增IP白名单分组,在新增IP白名单分组对话框,输入分组名称和允许访问的IP白名单地址。
配置IP白名单分组:
单击目标IP白名单分组名称右侧的配置。在配置白名单对话框,输入允许访问的IP白名单地址。
说明IP白名单分组名称需满足如下要求:
由小写字母、数字、下划线(_)组成。
由字母开头、字母或数字结尾。
长度为2~120个字符。
白名单内IP地址:
可以填写IP地址(如
192.168.0.1)或IP段(如192.168.0.0/24)。多个IP需要用英文逗号隔开,如
192.168.0.1,192.168.0.0/24。127.0.0.1表示禁止任何IP地址访问。0.0.0.0/0表示允许任何IP地址访问数据库集群。该设置将极大降低数据库的安全性,如非必要请勿使用。
每个集群都默认包含一个
default的IP白名单分组,且包含IP地址127.0.0.1,表示任何IP地址均无法访问该集群。
下一步
设置集群白名单以及创建数据库账号后,您就可以连接数据库集群,对数据库进行操作。
常见问题
已将ECS的IP地址添加到IP白名单中,但是还是无法访问。
答:
确认IP白名单是否正确。如果是通过内网地址访问,需添加ECS的私网IP地址。如果是通过公网地址进行访问,需添加ECS的公网IP地址。
确认网络类型是否一致。如果ECS实例的网络类型是经典网络,可参见经典网络迁移到专有网络方案将ECS实例迁移至PolarDB所在的专有网络。
说明如果该ECS 还要访问其他经典网络内网资源,请勿操作,因为迁移后会无法访问经典网络。
或者通过ClassicLink打通经典网络到专有网络的网络。
确认是否位于同一个VPC。如果不是,需要重新购买一个PolarDB,或者通过云企业网来打通两个VPC网络实现访问。
什么原因导致公网连接失败?
答:
如果是ECS通过公网地址进行访问,请确认添加的是ECS的公网IP地址,而不是私网IP地址。
IP白名单设置为0.0.0.0/0,然后尝试访问,如果能成功访问,表示IP白名单中之前填写的公网地址错误。请参见查看或申请连接地址确定真正的公网地址。
如何实现内网连接?
答:ECS和PolarDB内网访问需要满足以下条件:
相同地域。
相同网络类型,如果是VPC,需要在相同VPC下。
ECS内网IP在PolarDB集群IP白名单中。