設定叢集白名單 - PolarDB

IP白名單用於控制哪些IP地址或安全性群組可以訪問PolarDB MySQL版叢集。在建立叢集之後，您需要將本地環境或ECS執行個體的IP地址添加至叢集的白名單中，才能夠訪問該叢集。

注意事項

PolarDB暫不支援自動擷取VPC網路中的ECS私網IP以供您選擇，請在白名單中手動填寫需要訪問PolarDB MySQL版叢集的ECS私網IP。
您可以同時設定IP白名單和安全性群組。IP白名單和安全性群組中的ECS執行個體都可以訪問該PolarDB MySQL版叢集。
ali_dms_group（DMS產品IP地址白名單分組）、hdm_security_ips（DAS產品IP地址白名單分組）、dtspolardb（DTS產品IP地址白名單分組）等分組為使用相關產品時系統自動產生。請勿修改或刪除分組，避免影響相關產品的使用。
重要
請勿在這些分組裡增加自己的業務IP，避免相關產品更新時覆蓋掉您的業務IP，影響業務正常運行。
當前僅支援建立50個IP白名單分組，且所有IP白名單分組累積支援添加1000個IP地址或位址區段。

使用情境

IP白名單用於控制哪些IP地址或安全性群組可以訪問PolarDB MySQL版叢集。設定IP白名單可以讓PolarDB MySQL版叢集得到進階別的訪問安全保護，建議您定期維護白名單。通常需要設定IP白名單的情境如下：

如果您的ECS執行個體需要訪問PolarDB MySQL版叢集，可在ECS執行個體詳情頁面查看ECS執行個體的IP地址，並將其填寫至IP白名單中。
說明
- 如果您的ECS執行個體與PolarDB MySQL版叢集位於同一VPC內，您可以填寫ECS的私網IP地址或其所在VPC網段。
- 如果您的ECS執行個體與PolarDB MySQL版叢集不在同一VPC內，您可填寫ECS的公網IP地址，或添加ECS所在的安全性群組。此外，您還可以選擇將ECS遷移至PolarDB MySQL版叢集所在的VPC，隨後填寫ECS的私網IP地址或所在VPC網段。
如果您本地的伺服器、電腦或其他雲端服務器需要訪問PolarDB叢集，請將其公網IP地址添加到IP白名單中。

設定IP白名單

登入PolarDB控制台，選擇叢集所在地區，在叢集列表中單擊目的地組群ID進入詳情頁。
在左側導覽列，單擊配置與管理 > 叢集白名單。
在叢集白名單頁面，您可以新增IP白名單分組或配置已有白名單分組。
- 新增IP白名單分組：
  單擊新增IP白名單分組，在新增IP白名單分組對話方塊，輸入分組名稱和允許訪問的IP白名單地址。
- 配置IP白名單分組：
  單擊目標IP白名單分組名稱右側的配置。在配置白名單對話方塊，輸入允許訪問的IP白名單地址。
說明
- IP白名單分組名稱需滿足如下條件：
  由小寫字母、數字、底線（_）組成。
  由字母開頭、字母或數字結尾。
  長度為2~120個字元。
- 白名單內IP地址：
  可以填寫IP地址（如192.168.0.1）或IP段（如192.168.0.0/24）。
  多個IP需要用英文逗號隔開，如192.168.0.1,192.168.0.0/24。
  127.0.0.1表示禁止任何IP地址訪問。
  0.0.0.0/0表示允許任何IP地址訪問資料庫叢集。該設定將極大降低資料庫的安全性，如非必要請勿使用。
- 每個叢集都預設包含一個default的IP白名單分組，且包含IP地址127.0.0.1，表示任何IP地址均無法訪問該叢集。

常見問題

ECS無法串連PolarDB叢集

請您按以下步驟進行排查：

檢查PolarDB叢集的運行狀態是否為運行中。
檢查資料庫連接地址、連接埠、帳號及密碼是否正確。更多資訊，請參見擷取資料庫連接地址。
檢查網路因素，您可以在ECS內執行ping 資料庫連接地址或telnet 資料庫連接地址連接埠來測試網路連通性。
若您使用的是私網地址：
1. 檢查ECS與PolarDB叢集是否位於同一VPC下。若不在同一VPC下，則無法使用私網地址。您可以使用以下任意一種解決方案使ECS與PolarDB叢集位於同一VPC下：
  - 切換ECS所在的VPC。
  - 若PolarDB叢集使用的是預設VPC，可以切換PolarDB叢集所在的VPC。更多資訊，請參見修改預設VPC和交換器。
  - 使用雲企業網實現VPC之間的互連。更多資訊，請參見同地區VPC互連。
2. 檢查ECS的私網IP地址、IP段或安全性群組是否已添加至PolarDB叢集的白名單中。更多資訊，請參見設定叢集白名單。
若您使用的是公網地址，檢查ECS的公網IP地址或安全性群組是否已添加至PolarDB叢集的白名單中。更多資訊，請參見設定叢集白名單。

說明

暫不支援使用虛擬機器主機和輕量伺服器使用私網地址串連PolarDB叢集。

本地環境無法串連PolarDB叢集

請您按以下步驟進行排查：

檢查PolarDB叢集的運行狀態是否為運行中。
檢查資料庫連接地址、連接埠、帳號及密碼是否正確。更多資訊，請參見擷取資料庫連接地址。
說明
資料庫連接地址需為公網地址。若您使用的是ECS並與PolarDB叢集位於同一VPC下，可以使用私網地址。
檢查網路因素，您可以在本地環境執行ping <資料庫連接地址>或telnet <資料庫連接地址> <連接埠>來測試網路連通性。
檢查本地環境的公網IP地址或IP段是否已添加至PolarDB叢集的白名單中。更多資訊，請參見設定叢集白名單。
本地環境的公網IP地址擷取方法如下：
- Linux作業系統：開啟終端，輸入curl ifconfig.me命令後斷行符號。
- Windows作業系統：開啟命令提示字元，輸入curl ip.me命令後斷行符號。
- macOS作業系統：開啟終端，輸入curl ifconfig.me命令後斷行符號。
若您的本網環境存在代理等情況，以上方式擷取的IP可能並非您的真實公網IP。您可以將IP段0.0.0.0/0添加至PolarDB叢集白名單中，成功串連叢集後，執行SHOW PROCESSLIST;命令擷取真實公網IP地址，並將其加入到叢集白名單中。隨後刪除白名單中的IP段0.0.0.0/0。

無法串連PolarDB叢集，報錯：Can't connect to MySQL server on 'xxx'或Connection timed out

可能是您當前環境的公網IP地址或IP段未被添加至PolarDB叢集的白名單中，或您填寫的公網IP地址或IP段存在錯誤。

本地環境的公網IP地址擷取方法如下：

Linux作業系統：開啟終端，輸入curl ifconfig.me命令後斷行符號。
Windows作業系統：開啟命令提示字元，輸入curl ip.me命令後斷行符號。
macOS作業系統：開啟終端，輸入curl ifconfig.me命令後斷行符號。

若您的本網環境存在代理等情況，以上方式擷取的IP可能並非您的真實公網IP。您可以將IP段0.0.0.0/0添加至PolarDB叢集白名單中，成功串連叢集後，執行SHOW PROCESSLIST;命令擷取真實公網IP地址，並將其加入到叢集白名單中。隨後刪除白名單中的IP段0.0.0.0/0。

更多IP白名單問題，請參見排查IP白名單問題。

API	描述
DescribeDBClusterAccessWhitelist	查看允許訪問資料庫叢集的IP名單。
ModifyDBClusterAccessWhitelist	修改允許訪問資料庫叢集的IP名單。

PolarDB：設定叢集白名單