為保障Hologres的安全穩定,Hologres支援在HoloWeb中設定IP白名單來進行訪問管理,本文將指導您在Hologres中設定IP白名單。
注意事項
在HoloWeb中設定IP白名單之前,您需要注意如下事項:
僅Hologres V0.10.14及以上版本(除V2.0.4至V2.0.5版本之外)支援設定IP白名單,請在Hologres管理主控台的執行個體詳情頁或者執行命令
select hg_version()
查看當前執行個體版本。如果您的執行個體是V0.10.14以下版本,您可以加入HologresDingTalk群反饋申請升級,詳情請參見如何擷取更多的線上支援?。購買Hologres執行個體成功後,若是沒有設定IP白名單, 則預設對所有網路開放。
僅支援執行個體管理員(Superuser)設定IP白名單。
白名單設定針對新建立串連生效,已經建立串連不會因為白名單配置修改自動斷連,如需釋放串連,請參考釋放串連。
在HoloWeb配置資料連線時,需要將串連的登入方式設定為目前使用者免密登入,才可以為當前串連配置IP白名單。串連Hologres執行個體配置操作指導,請參見串連Hologres執行個體。
設定白名單之後,DataStudio將不能訪問。因此,您需要按照IP白名單的操作指導,將其對應的分組加入到IP白名單,保證正常訪問。
如果Flink和Hologres執行個體網路已連通,但仍然無法訪問您的Hologres,則需要擷取Flink的IP地址與網段,添加至資料庫的白名單中,擷取Flink專案的IP地址與網段,請參見如何設定白名單?。
不支援在唯讀從執行個體上設定IP白名單,只能在唯讀從執行個體的主執行個體上設定IP白名單,且唯讀從執行個體的IP白名單和主執行個體必須保持一致。
新增IP白名單
登入Hologres管理主控台,在頂部功能表列左側,選擇相應的地區。
單擊左側導覽列的前往HoloWeb,進入HoloWeb開發介面。
在HoloWeb頁面,在資訊安全中心頁面的左側導覽列,選擇IP白名單。
在頁面右上方單擊新增IP白名單,配置如下參數資訊。
參數
說明
分組
自訂的分組名稱。
當您將串連的登入方式設定為目前使用者免密登入後,DataWorksData Integration資源群組也必須加入到IP白名單內,否則其功能將不可用。在分組下拉框中選擇各自對應的分組名稱即可。
資料庫限制
從下拉框中選擇需要設定白名單的資料庫。如果需要設定當前執行個體所有的自建DB(不含系統DB),可以選擇ALL。
使用者限制
從下拉框中選擇需要設定白名單的使用者。如果需要設定當前執行個體所有的使用者,可以選擇ALL。
IP地址
設定白名單的IP地址。配置資訊如下:
所有IP地址:填寫為ALL。
指定IP地址:如192.168.0.1,允許192.168.0.1的IP地址訪問。
指定IP段:如192.168.0.0/24,允許從192.168.0.1到192.168.0.255的IP地址訪問。
多個IP設定:換行展示。
單擊確認,完成配置。白名單設定成功後,可以允許您在IP白名單的範圍內進行操作。
編輯IP白名單
如果您需要修改IP白名單地址資訊,可以對IP白名單進行修改操作。當前僅允許更改IP地址,若是要更改資料庫、使用者限制等資訊,請您建立IP白名單。
僅執行個體管理員(Superuser)可以編輯IP白名單。
在HoloWeb頁面,在資訊安全中心頁面的左側導覽列,選擇IP白名單。
在IP白名單管理頁面,單擊目標IP白名單右側的編輯。
在編輯IP白名單頁面,修改IP地址資訊。IP資訊的配置內容,請參見新增IP白名單。
單擊確認,完成配置。
刪除IP白名單
如果您不再需要設定的IP白名單資訊,可以對IP白名單執行刪除操作。如果您刪除所有的IP白名單,則預設不設定白名單。
僅執行個體管理員(Superuser)可以編輯IP白名單。
在HoloWeb頁面,在資訊安全中心頁面的左側導覽列,選擇IP白名單。
在IP白名單管理頁面,單擊目標IP白名單右側的刪除。
單擊確認,刪除完畢。
常見問題
設定白名單報錯。
問題現象:對執行個體設定白名單報錯,報錯資訊如下。
ERROR: commit ddl phase1 failed: DDLWrite is not allowed on replica
問題原因:不支援在唯讀從執行個體上設定IP白名單。
解決方案:在主執行個體上設定IP白名單,主執行個體和從執行個體共用IP白名單的配置。