为保障Hologres的安全稳定,Hologres支持在HoloWeb中设置IP白名单来进行访问管理,本文将指导您在Hologres中设置IP白名单。
注意事项
在HoloWeb中设置IP白名单之前,您需要注意如下事项:
仅Hologres V0.10.14及以上版本(除V2.0.4至V2.0.5版本之外)支持设置IP白名单,请在Hologres管理控制台的实例详情页或者执行命令
select hg_version()
查看当前实例版本。如果您的实例是V0.10.14以下版本,您可以加入Hologres钉钉群反馈申请升级,详情请参见如何获取更多的在线支持?。购买Hologres实例成功后,若是没有设置IP白名单, 则默认对所有网络开放。
仅支持实例管理员(Superuser)设置IP白名单。
白名单设置针对新创建连接生效,已经建立连接不会因为白名单配置修改自动断连,如需释放连接,请参考释放连接。
在HoloWeb配置数据连接时,需要将连接的登录方式设置为当前用户免密登录,才可以为当前连接配置IP白名单。连接Hologres实例配置操作指导,请参见连接Hologres实例。
设置白名单之后,DataStudio将不能访问。因此,您需要按照IP白名单的操作指导,将其对应的分组加入到IP白名单,保证正常访问。
如果Flink和Hologres实例网络已连通,但仍然无法访问您的Hologres,则需要获取Flink的IP地址与网段,添加至数据库的白名单中,获取Flink项目的IP地址与网段,请参见如何设置白名单?。
不支持在只读从实例上设置IP白名单,只能在只读从实例的主实例上设置IP白名单,且只读从实例的IP白名单和主实例必须保持一致。
新增IP白名单
登录Hologres管理控制台,在顶部菜单栏左侧,选择相应的地域。
单击左侧导航栏的前往HoloWeb,进入HoloWeb开发界面。
在HoloWeb页面,在安全中心页面的左侧导航栏,选择IP白名单。
在页面右上角单击新增IP白名单,配置如下参数信息。
参数
说明
分组
自定义的分组名称。
当您将连接的登录方式设置为当前用户免密登录后,DataWorks数据集成资源组也必须加入到IP白名单内,否则其功能将不可用。在分组下拉框中选择各自对应的分组名称即可。
数据库限制
从下拉框中选择需要设置白名单的数据库。如果需要设置当前实例所有的自建DB(不含系统DB),可以选择ALL。
用户限制
从下拉框中选择需要设置白名单的用户。如果需要设置当前实例所有的用户,可以选择ALL。
IP地址
设置白名单的IP地址。配置信息如下:
所有IP地址:填写为ALL。
指定IP地址:如192.168.0.1,允许192.168.0.1的IP地址访问。
指定IP段:如192.168.0.0/24,允许从192.168.0.1到192.168.0.255的IP地址访问。
多个IP设置:换行展示。
单击确认,完成配置。白名单设置成功后,可以允许您在IP白名单的范围内进行操作。
编辑IP白名单
如果您需要修改IP白名单地址信息,可以对IP白名单进行修改操作。当前仅允许更改IP地址,若是要更改数据库、用户限制等信息,请您新建IP白名单。
仅实例管理员(Superuser)可以编辑IP白名单。
在HoloWeb页面,在安全中心页面的左侧导航栏,选择IP白名单。
在IP白名单管理页面,单击目标IP白名单右侧的编辑。
在编辑IP白名单页面,修改IP地址信息。IP信息的配置内容,请参见新增IP白名单。
单击确认,完成配置。
删除IP白名单
如果您不再需要设置的IP白名单信息,可以对IP白名单执行删除操作。如果您删除所有的IP白名单,则默认不设置白名单。
仅实例管理员(Superuser)可以编辑IP白名单。
在HoloWeb页面,在安全中心页面的左侧导航栏,选择IP白名单。
在IP白名单管理页面,单击目标IP白名单右侧的删除。
单击确认,删除完毕。
常见问题
设置白名单报错。
问题现象:对实例设置白名单报错,报错信息如下。
ERROR: commit ddl phase1 failed: DDLWrite is not allowed on replica
问题原因:不支持在只读从实例上设置IP白名单。
解决方法:在主实例上设置IP白名单,主实例和从实例共享IP白名单的配置。