全部产品
弹性计算 会员服务 网络 安全 移动云 数加·大数据分析及展现 数加·大数据应用 管理与监控 云通信 阿里云办公 培训与认证 更多
存储与CDN 数据库 域名与网站(万网) 应用服务 数加·人工智能 数加·大数据基础服务 互联网中间件 视频服务 开发者工具 解决方案 物联网 智能硬件
云数据库 RDS 版

设置白名单

更新时间:2018-02-19 14:20:49

在开始使用 RDS 实例前,您需要设置可以访问 RDS 实例的白名单,包括IP白名单和ECS安全组。默认情况下,白名单中只包含默认 IP 地址 127.0.0.1 且无安全组,表示任何服务器均无法访问该 RDS 实例。

设置白名单后,只有以下服务器能访问 RDS 实例:

  • 白名单中 IP 地址所属的服务器
  • 白名单中 ECS 安全组内的 ECS 实例

安全组是一种虚拟防火墙,可以包含单台或多台 ECS 实例,控制这些实例在出入方向的流量。关于 ECS 安全组的更多信息,请参考创建安全组

正确使用白名单可以让 RDS 得到高级别的访问安全保护,建议您定期维护白名单。设置白名单仅影响服务器对 RDS 实例的访问,不会影响 RDS 实例的正常运行。本文主要介绍设置白名单的操作步骤。

设置 IP 白名单

注意事项

  • 实例的默认 IP 白名单分组只能被修改或清空,不能被删除。

  • 若将白名单设置为 % 或者 0.0.0.0/0,代表允许任何 IP 地址访问 RDS 实例。该设置将极大降低数据库的安全性,如非必要请勿使用。

  • 当您设置好白名单后,系统会自动为您生成实例的内网地址。若您需要使用外网地址,请申请外网地址

  • 如果将应用服务 IP 加入白名单后,还是无法连接 RDS ,请参见RDS for MySQL 如何定位本地 IP,获取应用服务真实 IP。

步骤

  1. 登录 RDS 管理控制台

  2. 选择目标实例所在地域。

  3. 单击目标实例的 ID,进入基本信息页面。

  4. 在左侧导航栏中选择数据安全性,进入数据安全性页面。

  5. 白名单设置标签页面中,单击 default 白名单分组中的修改,如下图所示。

    提示:若您想使用自定义分组,请先单击 default 白名单分组中清空以删除默认分组中的 IP 地址 127.0.0.1,然后单击添加白名单分组新建自定义分组,其余操作步骤与下述步骤相似。

    修改默认的白名单

  6. 修改白名单分组页面,在组内白名单栏中填写需要访问该实例的 IP 地址或 IP 段。若您需要添加 ECS 的内网 IP,请单击加载 ECS 内网 IP,选择 IP,然后点击确定。如下图所示。

    说明:当您在 default 分组中添加新的 IP 地址或 IP 段后,默认地址 127.0.0.1 会被自动删除。

    设置白名单

    参数说明:

    • 分组名称:长度为 2~32 个字符,由小写字母、数字或下划线组成,开头需为小写字母,结尾需为字母或数字。在白名单分组创建成功后,该名称将不能被修改。

    • 组内白名单:填写允许访问RDS实例的 IP 地址或者 IP 段。

      • 若填写 IP 段,如 10.10.10.0/24,则表示 10.10.10.X 的 IP 地址都可以访问该RDS实例。

      • 若您需要添加多个 IP 地址,请用英文逗号隔开(逗号前后都不能加空格),例如192.168.0.1,172.16.213.9。

      • 在每个白名单分组中,MySQL、PostgreSQL 和 PPAS 类型的 RDS 实例可以添加 1000 个 IP 地址,SQL Server 类型的 RDS 实例可以添加 800 个 IP 地址。

    • 加载 ECS 内网 IP:单击该按钮后,将显示同账号下每个 ECS 实例对应的 IP 地址,可用于快速添加 ECS 内网 IP 地址到白名单中。

添加 ECS 安全组

您可以同时设置 IP 白名单和 ECS 安全组。IP 白名单中的服务器和安全组中的 ECS 实例均可以访问RDS实例。

注意事项

  • 目前仅 MySQL 5.6 版本以及杭州、青岛、香港地域支持 ECS 安全组。

  • 目前仅支持添加一个安全组。

  • 对白名单中的 ECS 安全组的更新将实时应用到白名单中。

步骤

  1. 登录 RDS 管理控制台

  2. 选择目标实例所在地域。

  3. 单击目标实例的 ID,进入基本信息页面。

  4. 在左侧导航栏中选择数据安全性,进入数据安全性页面。

  5. 白名单设置标签页面中,单击添加安全组

    注:带有 VPC 标识的 ECS 安全组为专有网络中的安全组。

  6. 选中要添加的安全组,单击确定

本文导读目录