PolarDB for PostgreSQL クラスターを作成した後、IPアドレスホワイトリストを設定し、クラスターの初期アカウントを作成する必要があります。 その後、クラスターに接続してデータベースを管理できます。
考慮事項
デフォルトでは、IPアドレス127.0.0.1のみがクラスターのホワイトリストとして指定されています。 このホワイトリストは、すべてのIPアドレスからの接続をブロックします。
クラスターのホワイトリストとして % または0.0.0.0/0を指定した場合、ホワイトリストはすべてのIPアドレスからの接続を許可します。 ただし、この設定はデータベースのセキュリティを侵害します。 この設定は使用しないことを推奨します。
PolarDBクラスターは、Virtual Private Cloud (VPC) 内のElastic Compute Service (ECS) インスタンスの内部IPアドレスを自動的に取得できません。 内部IPアドレスをクラスターのホワイトリストに追加する必要があります。
特定のサービスを使用すると、次のホワイトリストが自動的に作成されます。ali_dms_group (DMSの場合) 、hdm_security_ips (DASの場合) 、およびdtspolardb (DTSの場合) 。 これらのホワイトリストを変更または削除しないでください。 それ以外の場合、関連サービスはクラスターに接続できません。
説明これらのIPホワイトリストにサービスIPアドレスを追加しないでください。 そうしないと、関連サービスの更新時にサービスIPアドレスが上書きされる可能性があります。 その結果、サービスの中断が発生する可能性があります。
IPホワイトリストテンプレートを使用して、グローバルIPホワイトリスト設定を管理できます。 詳細については、「グローバルIPホワイトリストテンプレートの設定」「」をご参照ください。
IPアドレスのホワイトリストの設定
PolarDBコンソールにログインします。
左上隅で、クラスターがデプロイされているリージョンを選択します。
クラスターを見つけて、そのIDをクリックします。
左側のナビゲーションウィンドウで、 を選択します。
[ホワイトリスト] ページで、[IPホワイトリストの追加] をクリックしてIPホワイトリストを追加するか、[変更] をクリックして既存のIPホワイトリストを変更します。
IPホワイトリストの追加
[IPホワイトリストの追加] をクリックします。
[IPホワイトリストの追加] パネルで、IPホワイトリストの名前を指定し、クラスターへのアクセスを許可するIPアドレスを入力します。
説明IPホワイトリストの名前は、次の要件を満たす必要があります。
名前には、小文字、数字、およびアンダースコア (_) を使用できます。
名前は文字で始まり、文字または数字で終わる必要があります。
名前は2〜120文字である必要があります。
IPホワイトリストの変更
IPホワイトリスト名の右側で、[変更] をクリックします。
[ホワイトリストの変更] パネルで、クラスターへのアクセスを許可するIPアドレスを入力します。
説明IPアドレス
127.0.0.1
のみを含むデフォルト
のIPホワイトリストは、クラスターごとに自動的に作成されます。 このIPホワイトリストは、すべてのIPアドレスをブロックします。IPホワイトリストをパーセント記号 (
%
) または0.0.0.0/0
に設定すると、すべてのIPアドレスがクラスターにアクセスできます。 データベースのセキュリティが損なわれるため、必要な場合を除き、この構成を使用しないことを推奨します。
OK をクリックします。
説明最大50のIPホワイトリストを作成し、最大1,000のIPアドレスまたはCIDRブロックを50のIPホワイトリストに追加できます。
次のステップ
ホワイトリストを設定してデータベースアカウントを作成したら、クラスターに接続してデータベースを管理できます。
よくある質問
Q: ECSインスタンスのIPアドレスをApsara PolarDBクラスターのIPアドレスホワイトリストに追加しましたが、それでもECSインスタンスからクラスターに接続できません。 対処方法を教えてください。
A: この問題を解決するには、次のタスクを実行します。
IPアドレスホワイトリストが有効かどうかを確認してください。 内部エンドポイントを介してクラスターに接続する場合、ECSインスタンスの内部IPアドレスをホワイトリストに追加する必要があります。 パブリックエンドポイントを介してクラスターに接続する場合、ECSインスタンスのパブリックIPアドレスをホワイトリストに追加する必要があります。
両方のインスタンスが同じタイプのネットワークで実行されているかどうかを確認します。 ECSインスタンスがクラシックネットワークで実行されている場合、クラスターが配置されているVPCネットワークにECSインスタンスを移行できます。 詳細については、 「移行ソリューションの概要」をご参照ください。
説明ECSインスタンスをクラシックネットワークにある他の内部リソースに接続する場合は、ECSインスタンスをVPCネットワークに移行しないでください。 それ以外の場合、ECSインスタンスは移行後にこれらの内部リソースに接続できません。
ClassicLink機能を使用してクラシックネットワークをVPCネットワークに接続することもできます。
両方のインスタンスが同じVPCネットワークで実行されているかどうかを確認します。 同じVPCで実行されない場合は、新しいPolarDBクラスターを購入するか、 Cloud Enterprise Networkサービスを有効にしてこれらのVPCに接続します。
Q: パブリックエンドポイントを介したクラスターへの接続の失敗に対処するにはどうすればよいですか?
A: 問題を解決するには、次のタスクを実行します。
パブリックエンドポイントを介してECSインスタンスからクラスターに接続する場合は、ECSインスタンスのパブリックIPアドレスをクラスターのIPアドレスホワイトリストに追加してください。
クラスターのIPアドレスホワイトリストとして0.0.0.0/0を指定し、クラスターへの接続を試みます。 クラスターに接続できる場合、IPアドレスホワイトリストとして指定したパブリックエンドポイントが正しくありません。 パブリックエンドポイントを確認する必要があります。 詳細については、「エンドポイントの表示または申請」をご参照ください。
Q: 内部エンドポイントを介してPolarDBクラスターに接続するにはどうすればよいですか?
A: 内部エンドポイントを介してECSインスタンスからPolarDBクラスターに接続する場合は、次の条件を満たす必要があります。
両方のインスタンスが同じリージョンにある必要があります。
両方のインスタンスを同じタイプのネットワークで実行する必要があります。 ネットワークがVPCネットワークの場合、同じVPCネットワークを実行する必要があります。
ECSインスタンスの内部IPアドレスは、クラスターのIPアドレスホワイトリストにリストされています。