：設定白名單

操作環境

IP白名單指允許訪問RDS執行個體的IP清單。設定IP白名單可以讓RDS執行個體得到進階別的訪問安全保護，建議您定期維護白名單。

通常需要設定IP白名單的情境如下：

• 情境1

  建立RDS執行個體後，您需要將外部IP地址添加至IP白名單中，外部裝置才可以正常訪問該RDS執行個體。

• 情境2

  當資料庫連接異常時，您可以檢查白名單設定是否正確。

  不同串連情境下，IP白名單的設定請參見下表。

  說明

  Virtual Private Cloud是阿里雲上一種隔離的網路環境，安全性比傳統的傳統網路更高。

  串連情境	網路類型	IP白名單設定
  ECS執行個體和RDS執行個體串連	兩個執行個體在相同Virtual Private Cloud內（推薦）	添加ECS執行個體私人IP地址。
  	兩個執行個體在不同Virtual Private Cloud內	不同專用網路的執行個體無法內網互連，您可以參考如下方案： 切換RDS專用網路，選擇和ECS執行個體相同的VPC。 說明 ECS執行個體和RDS執行個體需要處於相同地區才能切換到相同VPC。如果地區不同，為業務穩定，建議您通過DTS將RDS執行個體遷移至ECS執行個體所屬地區。詳情請參見RDS PostgreSQL執行個體間資料移轉。 在IP白名單中添加ECS執行個體私人IP地址。
  	兩個執行個體均為傳統網路	添加ECS執行個體私人IP地址。
  	ECS執行個體為傳統網路 RDS執行個體為專用網路	不同網路類型的執行個體無法內網互連，您可以參考如下方案： 將ECS執行個體從傳統網路遷移到專用網路，選擇和RDS執行個體相同的VPC。 說明 ECS執行個體和RDS執行個體需要處於相同地區才能切換到相同VPC。如果地區不同，為業務穩定，建議您通過DTS將RDS執行個體遷移至ECS執行個體所屬地區。詳情請參見RDS PostgreSQL執行個體間資料移轉。 在IP白名單中添加ECS執行個體私人IP地址。
  	ECS執行個體為專用網路 RDS執行個體為傳統網路	不同網路類型的執行個體無法內網互連，您可以參考如下方案： 把RDS執行個體從傳統網路切換為專用網路，選擇和ECS執行個體相同的VPC。 說明 ECS執行個體和RDS執行個體需要處於相同地區才能切換到相同VPC。如果地區不同，為業務穩定，建議您通過DTS將RDS執行個體遷移至ECS執行個體所屬地區。詳情請參見RDS PostgreSQL執行個體間資料移轉。 在IP白名單中添加ECS執行個體私人IP地址。
  雲外主機串連RDS執行個體	無	在IP白名單中添加雲外主機的公網IP地址。 說明 雲外主機的應用程式中使用RDS執行個體的外網串連地址。 定位本地公網IP地址請參見外網無法串連RDS MySQL或MariaDB：如何正確填寫本地裝置的公網IP地址。

注意事項

• 單個執行個體最多支援50個IP白名單分組。

• 設定白名單不會影響RDS執行個體的正常運行。

• 預設的IP白名單分組（default ）不能刪除，只能清空。

• 請勿修改或刪除系統自動產生的分組，避免影響相關產品的使用。例如ali_dms_group（DMS產品IP地址白名單分組）、hdm_security_ips（DAS產品IP地址白名單分組）。

  重要

  為防止誤修改或刪除白名單分組，2020年12月之後的建立執行個體，hdm_security_ips白名單分組對使用者不可見。

• 預設的IP白名單只包含127.0.0.1，表示任何IP均無法訪問該RDS執行個體。

設定通用模式IP白名單

通用白名單模式不區分傳統網路和專用網路。在通用白名單模式下，設定的IP地址，既可通過傳統網路，也可通過專用網路訪問RDS執行個體。

1. 訪問RDS執行個體列表，在上方選擇地區，然後單擊目標執行個體ID。

2. 在左側導覽列單擊白名單與安全性群組。

3. 單擊添加白名單分組，填寫分組名稱或單擊已有分組的修改。

4. 填寫需要訪問該執行個體的IP地址或IP段，然後單擊確定。

   說明

   • 用英文逗號隔開多個IP地址或IP段，且逗號前後不能有空格，例如192.168.0.1,172.16.213.9。

   • 單個執行個體最多添加1000個IP地址或IP段。當IP地址較多時，建議將零散的IP合并為IP段，例如10.10.10.0/24。

5. （可選）如果當前執行個體包含唯讀執行個體，可以通過參數白名單同步到唯讀執行個體配置白名單同步，將主執行個體的白名單同步至指定的唯讀執行個體。當有多個唯讀執行個體時，支援多選。

6. （可選）單擊載入ECS內網IP，將顯示您當前阿里雲帳號下所有ECS執行個體的IP地址，可快速添加ECS私人IP地址到白名單中。

   

高安全白名單模式IP白名單

高安全白名單模式區分傳統網路和專用網路。在高安全白名單模式下，白名單分組需指定網路隔離模式，例如設定在傳統網路的白名單IP地址，不可從專用網路訪問RDS執行個體，反之亦然。

僅本地SSD盤執行個體支援高安全白名單模式，如果執行個體已經是高安全白名單模式，參見下文進行設定即可。如果需要切換為高安全白名單模式，請參見切換為高安全白名單模式。

1. 訪問RDS執行個體列表，在上方選擇地區，然後單擊目標執行個體ID。

2. 在左側導覽列單擊白名單與安全性群組。

3. 單擊添加白名單分組，選擇網路隔離模式。

4. 填寫分組名稱。

5. 在組內白名單中，填寫需要訪問該執行個體的IP地址或IP段，然後單擊確定。

   說明

   • 用英文逗號隔開多個IP地址或IP段，且逗號前後不能有空格，例如192.168.0.1,172.16.213.9。

   • 單個執行個體最多添加1000個IP地址或IP段。當IP地址較多時，建議將零散的IP合并為IP段，例如10.10.10.0/24。

6. （可選）如果當前執行個體包含唯讀執行個體，可以通過參數白名單同步到唯讀執行個體配置白名單同步，將主執行個體的白名單同步至指定的唯讀執行個體。當有多個唯讀執行個體時，支援多選。

7. （可選）單擊載入ECS內網IP，將顯示您當前阿里雲帳號下所有ECS執行個體的IP地址，可快速添加ECS私人IP地址到白名單中。

   說明

   高安全白名單模式請注意選擇網路隔離模式。

   

下一步

建立帳號和資料庫

相關API