全部產品
Search
文件中心

Hologres:IP白名單

更新時間:Jul 17, 2024

為保障Hologres的安全穩定,Hologres支援在HoloWeb中設定IP白名單來進行訪問管理,本文將指導您在Hologres中設定IP白名單。

注意事項

在HoloWeb中設定IP白名單之前,您需要注意如下事項:

  • 僅Hologres V0.10.14及以上版本(除V2.0.4至V2.0.5版本之外)支援設定IP白名單,請在Hologres管理主控台的執行個體詳情頁或者執行命令select hg_version()查看當前執行個體版本。如果您的執行個體是V0.10.14以下版本,您可以加入HologresDingTalk群反饋申請升級,詳情請參見如何擷取更多的線上支援?

  • 購買Hologres執行個體成功後,若是沒有設定IP白名單, 則預設對所有網路開放。

  • 僅支援執行個體管理員(Superuser)設定IP白名單。

  • 白名單設定針對新建立串連生效,已經建立串連不會因為白名單配置修改自動斷連,如需釋放串連,請參考釋放串連

  • 在HoloWeb配置資料連線時,需要將串連的登入方式設定為目前使用者免密登入,才可以為當前串連配置IP白名單。串連Hologres執行個體配置操作指導,請參見串連Hologres執行個體目前使用者免密登入

  • 設定白名單之後,DataStudio將不能訪問。因此,您需要按照IP白名單的操作指導,將其對應的分組加入到IP白名單,保證正常訪問。

  • 如果Flink和Hologres執行個體網路已連通,但仍然無法訪問您的Hologres,則需要擷取Flink的IP地址與網段,添加至資料庫的白名單中,擷取Flink專案的IP地址與網段,請參見如何設定白名單?

  • 不支援在唯讀從執行個體上設定IP白名單,只能在唯讀從執行個體的主執行個體上設定IP白名單,且唯讀從執行個體的IP白名單和主執行個體必須保持一致。

新增IP白名單

  1. 登入Hologres管理主控台,在頂部功能表列左側,選擇相應的地區。

  2. 單擊左側導覽列的前往HoloWeb,進入HoloWeb開發介面。

  3. HoloWeb頁面,在資訊安全中心頁面的左側導覽列,選擇IP白名單

  4. 在頁面右上方單擊新增IP白名單,配置如下參數資訊。

    IP白名單

    參數

    說明

    分組

    自訂的分組名稱。

    當您將串連的登入方式設定為目前使用者免密登入後,DataWorksData Integration資源群組也必須加入到IP白名單內,否則其功能將不可用。在分組下拉框中選擇各自對應的分組名稱即可。

    資料庫限制

    從下拉框中選擇需要設定白名單的資料庫。如果需要設定當前執行個體所有的自建DB(不含系統DB),可以選擇ALL。

    使用者限制

    從下拉框中選擇需要設定白名單的使用者。如果需要設定當前執行個體所有的使用者,可以選擇ALL。

    IP地址

    設定白名單的IP地址。配置資訊如下:

    • 所有IP地址:填寫為ALL。

    • 指定IP地址:如192.168.0.1,允許192.168.0.1的IP地址訪問。

    • 指定IP段:如192.168.0.0/24,允許從192.168.0.1到192.168.0.255的IP地址訪問。

    • 多個IP設定:換行展示。

  5. 單擊確認,完成配置。白名單設定成功後,可以允許您在IP白名單的範圍內進行操作。

編輯IP白名單

如果您需要修改IP白名單地址資訊,可以對IP白名單進行修改操作。當前僅允許更改IP地址,若是要更改資料庫、使用者限制等資訊,請您建立IP白名單。

說明

僅執行個體管理員(Superuser)可以編輯IP白名單。

  1. HoloWeb頁面,在資訊安全中心頁面的左側導覽列,選擇IP白名單

  2. IP白名單管理頁面,單擊目標IP白名單右側的編輯

  3. 編輯IP白名單頁面,修改IP地址資訊。IP資訊的配置內容,請參見新增IP白名單

  4. 單擊確認,完成配置。

刪除IP白名單

如果您不再需要設定的IP白名單資訊,可以對IP白名單執行刪除操作。如果您刪除所有的IP白名單,則預設不設定白名單。

說明

僅執行個體管理員(Superuser)可以編輯IP白名單。

  1. HoloWeb頁面,在資訊安全中心頁面的左側導覽列,選擇IP白名單

  2. IP白名單管理頁面,單擊目標IP白名單右側的刪除

  3. 單擊確認,刪除完畢。

常見問題

設定白名單報錯。

  • 問題現象:對執行個體設定白名單報錯,報錯資訊如下。

    ERROR: commit ddl phase1 failed: DDLWrite is not allowed on replica
  • 問題原因:不支援在唯讀從執行個體上設定IP白名單。

  • 解決方案:在主執行個體上設定IP白名單,主執行個體和從執行個體共用IP白名單的配置。