在开始使用 RDS 实例前,您需要设置可以访问 RDS 实例的白名单。默认情况下,RDS 实例的白名单中只包含默认 IP 地址 127.0.0.1 且无安全组,表示任何服务器均无法访问该 RDS 实例。

设置白名单后,只有以下服务器才能访问RDS实例:

  • 白名单中 IP 地址所属的服务器
  • 白名单中 ECS 安全组内的 ECS 实例

安全组是一种虚拟防火墙,可以包含单台或多台 ECS 实例,控制这些实例在出入方向的流量。关于 ECS 安全组的更多信息,请参考创建安全组

正确使用白名单可以让 RDS 得到高级别的访问安全保护,建议您定期维护白名单。设置白名单仅影响服务器对 RDS 实例的访问,不会影响 RDS 实例的正常运行。本文主要介绍设置白名单的操作步骤。

IP白名单注意事项

  • 实例的默认 IP 白名单分组只能被修改或清空,不能被删除。

  • 若将白名单设置为 % 或者 0.0.0.0/0,代表允许任何 IP 地址访问 RDS 实例。该设置将极大降低数据库的安全性,如非必要请勿使用。

  • 当您设置好白名单后,系统会自动为您生成实例的内网地址。若您需要使用外网地址,请设置内外网地址

  • 如果将应用服务 IP 加入白名单后,还是无法连接 RDS ,请参见RDS for MySQL 如何定位本地 IP,获取应用服务真实 IP。

设置 IP 白名单

  1. 登录 RDS 管理控制台
  2. 选择目标实例所在地域。
  3. 单击目标实例的 ID,进入基本信息页面。
  4. 在左侧导航栏中选择数据安全性,进入数据安全性页面。
  5. 白名单设置页面中,单击 default 白名单分组中的修改,如下图所示。
    说明
    若您想使用自定义分组,请先单击 default 白名单分组中清空以删除默认分组中的 IP 地址 127.0.0.1,然后单击添加白名单分组新建自定义分组,其余操作步骤与下述步骤相似。


  6. 修改白名单分组页面,在组内白名单栏中填写需要访问该实例的 IP 地址或 IP 段。若您需要添加 ECS 的内网 IP,请单击加载 ECS 内网 IP,选择 IP,点击确定。如下图所示。
    说明
    当您在 default 分组中添加新的 IP 地址或 IP 段后,默认地址 127.0.0.1 会被自动删除。


    参数说明:

    • 分组名称:长度为 2~32 个字符,由小写字母、数字或下划线组成,开头需为小写字母,结尾需为字母或数字。在白名单分组创建成功后,该名称将不能被修改。

    • 组内白名单:填写允许访问RDS实例的 IP 地址或者 IP 段。

      • 若填写 IP 段,如 10.10.10.0/24,则表示 10.10.10.X 的 IP 地址都可以访问该RDS实例。

      • 若您需要添加多个 IP 地址,请用英文逗号隔开(逗号前后都不能加空格),例如192.168.0.1,172.16.213.9。

      • 在每个白名单分组中,MySQL、PostgreSQL 和 PPAS 类型的 RDS 实例可以添加 1000 个 IP 地址,SQL Server 类型的 RDS 实例可以添加 800 个 IP 地址。

    • 加载 ECS 内网 IP:单击该按钮后,将显示同账号下每个 ECS 实例对应的 IP 地址,可用于快速添加 ECS 内网 IP 地址到白名单中。

添加 ECS 安全组注意事项

您可以同时设置 IP 白名单和 ECS 安全组。IP 白名单中的服务器和安全组中的 ECS 实例均可以访问RDS实例。

  • 目前仅 MySQL 5.6 版本以及杭州、青岛、香港地域支持 ECS 安全组。

  • 目前仅支持添加一个安全组。

  • 对白名单中的 ECS 安全组的更新将实时应用到白名单中。

添加 ECS 安全组

  1. 登录RDS 管理控制台
  2. 选择目标实例所在地域。
  3. 单击目标实例的 ID,进入基本信息页面。
  4. 在左侧导航栏中选择数据安全性,进入数据安全性页面。
  5. 白名单设置页面中,单击添加安全组
    说明
    带有 VPC 标识的 ECS 安全组为专有网络中的安全组。
  6. 选中要添加的安全组,单击确定