保障资源组与数据源(目标网络环境下的数据库、数据服务或其他数据)连通后,您还需保障资源组与数据源之间的数据交互不会因为白名单的限制而无法进行数据访问,例如,部分数据源设置白名单后会不允许白名单外的IP访问,您需要将资源组的网段添加至数据源的白名单中。
背景信息
如果资源组和您需要访问的数据源已连通,如网络连通方案中所述,但资源组仍然无法与数据源进行数据交互,则可能是因为您的数据源开启了白名单限制,您需要将资源组的IP地址或网段,添加至数据源的白名单中。
前提条件
数据源与资源组间的网络已连通,具体操作,请参见网络连通方案。
资源组IP网段获取
通过内网访问,请将资源组绑定的交换机网段IP添加到数据源的白名单列表。
在DataWorks控制台的资源组页面独享资源组页签下,单击目标资源组后的网络设置,查看交换机网段并将其添加至数据源的白名单列表中。
通过公网访问:
Serverless资源组:请将Serverless资源组绑定VPC配置的EIP添加至数据源的白名单列表中。
在公网NAT网关控制台,找到配置好的SNAT条目,获取对应交换机绑定的公网IP地址。
旧版资源组:请添加资源组本身的EIP至数据源的白名单列表中。
在DataWorks控制台的资源组页面的独享资源组页签下,单击目标资源组后操作栏中的详情,进入资源组详情页面,获取基础信息对话框中的EIP地址。
附录
云产品白名单配置注意事项
如果资源组需要访问阿里云的其他云产品,请前往各云产品帮助中心查看其添加白名单的注意事项。
例如,在阿里云云数据库RDS中添加白名单时,需要注意以下内容(仅列举部分内容,实际请以云数据库RDS文档为准):
RDS经典网络实例支持通用模式IP白名单和高安全模式IP白名单,注意事项如下:
如果您目前数据库设置的为通用模式IP白名单:
通用模式IP白名单不区分经典网络和专有网络白名单分组。
不同类型的资源组需要添加的白名单,建议放在不同的白名单分组中,以免混淆。
说明在通用白名单模式下,设置的IP地址,既可通过经典网络,也可通过专有网络访问RDS实例。
如果您目前数据库设置的为高安全模式IP白名单模式:
高安全模式区分经典网络和专有网络白名单分组。
说明在高安全白名单模式下,白名单分组需指定网络隔离模式,例如设置在经典网络的白名单IP地址,不可从专有网络访问RDS实例,反之亦然。
使用独享资源组VPC内网直接连接数据库,使用专有网络白名单分组。
使用公网连接地址直接访问数据库,走的是经典网络白名单分组。
如果您在数据库将白名单模式从通用模式IP白名单模式切换为高安全模式IP白名单模式:
RDS会将通用模式IP白名单复制分为2份,分别放到经典网络和专有网络白名单分组类型里面。
其他注意事项:
设置白名单不会影响RDS实例的正常运行。
默认的IP白名单分组(default )不能删除,只能清空。
请勿修改或删除系统自动生成的分组,避免影响相关产品的使用。例如ali_dms_group(DMS产品IP地址白名单分组)、hdm_security_ips(DAS产品IP地址白名单分组)。
说明建议您在数据库配置白名单时,单独为DataWorks白名单新建一个白名单分组。
相关文档
如果您的资源组与阿里云ECS中的自建数据库进行数据交互,那么完成白名单配置后,您还需要配置自建数据库的安全组,才能保障资源组能正常读写数据库的数据,详情可参见附录:ECS自建数据库的安全组配置。
数据源与资源组间的更多网络连通方案,请参见网络连通方案。