为了数据库的安全稳定,在开始使用RDS实例前,您需要将访问数据库的IP地址或者IP段加到目标实例的白名单中。正确使用白名单可以让RDS得到高级别的访问安全保护,建议您定期维护白名单。本文将主要介绍设置白名单的操作步骤。

背景信息

访问数据库有如下三种情况,关于不同连接类型(内网和外网)的适用场景,请参见设置内外网地址中的背景信息介绍。

  • 外网访问RDS数据库

  • 内网访问RDS数据库

  • 内外网同时访问RDS数据库

在您设置实例的连接类型之前,您需要先将应用服务或ECS的IP地址或IP段添加到RDS实例的白名单中。当您设置好白名单后,系统会自动为您生成内网地址。若您需要使用外网地址,请申请外网地址

说明
如果将应用服务IP加入白名单后,还是无法连接RDS,请获取应用服务真实IP。

注意事项

  • 系统会给每个实例创建一个默认的default白名单分组,该白名单分组只能被修改或清空,但不能被删除。

  • 对于新建的RDS实例,系统默认会将回送地址127.0.0.1添加到default白名单分组中,IP地址127.0.0.1代表禁止所有IP地址或IP段访问该RDS实例。所以,在您设置白名单时,需要先将127.0.0.1删除,然后再添加您允许访问该RDS实例的IP地址或IP段。

  • 若将白名单设置为%或者0.0.0.0/0,代表允许任何IP访问RDS实例。该设置将极大降低数据库的安全性,如非必要请勿使用。

操作步骤

  1. 登录RDS管理控制台
  2. 选择目标实例所在地域。
  3. 单击目标实例的ID,进入基本信息页面。
  4. 在左侧导航栏中选择数据安全性,进入数据安全性页面。
  5. 白名单设置标签页面中,单击default白名单分组中的修改,如下图所示。
    说明
    若您想使用自定义分组,请先单击default白名单分组中清空以删除默认分组中的IP地址127.0.0.1,单击添加白名单分组新建自定义分组,其余操作步骤与下述步骤相似。


  6. 修改白名单分组页面,在组内白名单栏中填写需要访问该实例的IP地址或IP段。若您需要添加ECS的内网IP,请单击加载ECS内网IP,然后根据提示选择IP。如下图所示。
    说明
    当您在default分组中添加新的IP地址或IP段后,回送地址127.0.0.1会被自动删除


    参数说明:

    • 分组名称:长度为2~32个字符,由小写字母、数字或下划线组成,开头需为小写字母,结尾需为字母或数字。在白名单分组创建成功后,该名称将不能被修改。

    • 组内白名单:填写允许访问RDS实例的IP地址或者IP段。

      • 若填写IP段,如10.10.10.0/24,则表示10.10.10.X的IP地址都可以访问该RDS实例。

      • 若您需要添加多个IP,请用英文逗号隔开(逗号前后都不能加空格),例如192.168.0.1,172.16.213.9。

      • 在每个白名单分组中,MySQL、PostgreSQL和PPAS类型的RDS实例可以添加1000个IP,SQL Server类型的RDS实例可以添加800个IP。

    • 加载ECS内网IP:单击该按钮后,将显示同账号下每个ECS实例对应的IP地址,可用于快速添加ECS内网IP到白名单中。

  7. 单击确定

修改或删除白名单分组

您可以根据业务需求修改或删除白名单分组,操作步骤如下:

  1. 登录RDS管理控制台
  2. 选择目标实例所在地域。
  3. 单击目标实例的ID,进入基本信息页面。
  4. 在左侧导航栏中选择数据安全性,进入数据安全性页面。
  5. 白名单设置标签页面中,单击目标白名单分组中的修改删除
  6. 完成修改白名单或确认要删除该白名单分组后,单击确定