购买RDS实例后,您需要设置RDS实例的白名单,以允许外部设备访问该RDS实例。默认的白名单只包含默认IP地址127.0.0.1,表示任何设备均无法访问该RDS实例。

设置白名单包括两种操作:
  • 设置IP名单:添加IP地址,使这些IP地址可以访问该RDS实例。
  • 设置ECS安全组:添加ECS安全组,使ECS安全组内的ECS实例可以访问该RDS实例。

白名单可以让RDS实例得到高级别的访问安全保护,建议您定期维护白名单。设置白名单不会影响RDS实例的正常运行。

设置IP白名单

注意事项

  • 默认的IP白名单分组只能被修改或清空,不能被删除。
  • 每个IP白名单分组最多添加1000个IP或IP段。当IP较多时,建议合并为IP段填入,例如192.168.1.0/24。
  • 当未设置白名单登录CloudDBA和DMS时,会提示添加IP才可以正常登录,会自动生成相应的白名单分组。

操作步骤

  1. 登录RDS管理控制台
  2. 在页面左上角,选择实例所在地域。
    地域截图
  3. 找到目标实例,单击实例ID。
  4. 在左侧导航栏中单击数据安全性
  5. 白名单设置页签中,单击default白名单分组中的修改,如下图所示。
    说明 您也可以单击添加白名单分组新建自定义分组。


  6. 修改白名单分组对话框中,填写需要访问该实例的IP地址或 IP 段,然后单击确定
    • 若填写IP段,如10.10.10.0/24,则表示10.10.10.X的IP地址都可以访问该RDS实例。
    • 若您需要添加多个IP地址或IP段,请用英文逗号隔开(逗号前后都不能有空格),例如192.168.0.1,172.16.213.9。
    • 单击加载ECS内网IP后,将显示您当前阿里云账号下所有ECS实例的IP地址,可快速添加ECS内网IP地址到白名单中。
    说明 当您在default分组中添加新的IP地址或IP段后,默认地址127.0.0.1会被自动删除。


常见错误案例

  • 由于数据安全性 > 白名单设置中只有默认地址127.0.0.1。该地址表示不允许任何设备访问RDS实例。因此需在白名单中添加对端的IP地址。
  • 白名单设置成了0.0.0.0,正确格式为0.0.0.0/0。
    说明 0.0.0.0/0表示允许任何设备访问RDS实例,请谨慎使用。
  • 如果开启了高安全白名单模式,需进行如下检查:
    • 如果使用的是专有网络的内网连接地址,请确保ECS内网IP地址添加到了专有网络的分组。
    • 如果使用的是经典网络的内网连接地址,请确保ECS内网IP地址添加到了经典网络的分组。
    • 如果通过公网连接,请确保设备公网IP地址添加到了经典网络的分组(专有网络的分组不适用于公网)。
  • 您在白名单中添加的设备公网IP地址可能并非设备真正的出口IP地址。原因如下:

    • 公网IP地址不固定,可能会变动。

    • IP地址查询工具或网站查询的公网IP地址不准确。

设置ECS安全组

ECS安全组是一种虚拟防火墙,用于控制安全组中的ECS实例的出入流量。在RDS白名单中添加ECS安全组后,该安全组中的ECS实例就可以访问RDS实例。

关于ECS安全组的更多信息,请参见创建安全组

注意事项

  • 支持ECS安全组的RDS版本:MySQL 5.6、PostgreSQL和MariaDB TX。
  • 支持ECS安全组的地域:华东1(杭州)、华北1(青岛)、中国(香港)。
  • 您可以同时设置IP白名单和ECS安全组。IP白名单中的IP地址和安全组中的ECS实例都可以访问该RDS实例。
  • 目前仅支持添加一个ECS安全组。
  • 白名单中的ECS安全组的更新将实时应用到白名单。

操作步骤

  1. 登录RDS管理控制台
  2. 在页面左上角,选择实例所在地域。
    地域截图
  3. 找到目标实例,单击实例ID。
  4. 在左侧导航栏中单击数据安全性
  5. 白名单设置页签中,单击添加安全组
    说明 带有VPC标识的ECS安全组为专有网络中的安全组。
  6. 选中要添加的安全组,单击确定