设置白名单

新创建的RDS SQL Server实例默认禁止外部设备访问。为了确保安全性,您需要设置IP白名单,仅允许可信IP访问实例。建议在创建实例后立即设置并定期维护白名单,以提升访问安全性。设置白名单操作不会影响RDS实例的正常运行。

其他引擎设置白名单请参见:

使用场景

通常需要设置IP白名单的场景如下:

  • 创建RDS实例后,您需要将外部IP地址添加至白名单中,以便外部设备能够正常访问该实例。

  • 当数据库连接异常时,您可以检查白名单设置是否正确。

不同连接场景下,IP白名单的设置请参见下表。

连接场景

网络类型

IP白名单设置

ECS实例和RDS实例连接

处于相同专有网络VPC内(推荐)

添加ECS实例私有IP地址。

处于不同专有网络VPC

不同专有网络的实例无法内网互通。您可以将两个实例切换至同一个VPC下,然后在IP白名单中添加私有IP地址。

ACK集群的容器和RDS实例连接

处于相同专有网络VPC内(推荐)

  • ACK集群的容器网络插件Flannel时,添加应用程序所在的节点IP。

  • ACK集群的容器网络插件为Terway时,添加应用程序所在的Pod IP。

您可以在目标ACK集群的容器组页面,查Pod IP和节点IP。

处于不同专有网络VPC

不同专有网络的实例无法内网互通。您可以将两个实例切换至同一个VPC下,然后在IP白名单中添加应用程序所在的ACK集群对应的IP地址。

  • ACK集群的容器网络插件为Flannel时,添加应用程序所在的节点IP。

  • ACK集群的容器网络插件为Terway时,添加应用程序所在的Pod IP。

云外主机连接RDS实例

IP白名单中添加云外主机的公网IP地址

说明

云外主机的应用程序中使用RDS实例的外网连接地址。

注意事项

  • 单个实例最多支持50IP白名单分组。

  • 默认的IP白名单分组(default )不能删除,只能清空。默认的IP白名单为127.0.0.1,表示任何IP均无法访问该RDS实例。

  • 请勿修改或删除系统自动生成的分组,避免影响相关产品的使用。例如ali_dms_groupDMS产品IP地址白名单分组)、hdm_security_ipsDAS产品IP地址白名单分组)。

    重要

    为防止误修改或删除白名单分组,202012月之后的新建实例,hdm_security_ips白名单分组对用户不可见。

操作步骤

  1. 访问RDS实例列表,在上方选择地域,然后单击目标实例ID。

  2. 在左侧导航栏单击白名单与安全组

    白名单设置页面,可查看当前的IP白名单模式。

    说明

    较早创建的实例可能采用高安全模式。新创建的实例都采用通用白名单模式。

  3. 单击添加白名单分组,填写分组名称并把应用服务器IP地址添加至白名单中,单击确定

    说明
    • 您也可以单击default分组右侧的修改,变更组内白名单。

    • 多个IP地址用半角逗号(,)隔开,且逗号前后不能有空格,例如192.XXX.XXX.1,172.XXX.XXX.9

    • 单个实例最多添加1000IP地址或IP段。如果IP地址较多时,建议将零散的IP合并为IP段,例如10.10.10.0/24。

    • 如果获取的白名单模式是通用模式,则无额外注意事项。如果是高安全模式,需注意

      • 把公网IP或经典网络ECS实例私网IP添加至经典网络分组。

      • 把专有网络ECS实例私网IP添加至专有网络分组。

  4. (可选)在添加白名单分组弹窗中,单击加载ECS内网IP,可将当前阿里云账号下所有ECS实例的IP地址快速添加到白名单中。添加白名单分组

下一步

连接RDS SQL Server实例

附录:应用服务器IP获取方法

确认您当前的场景,根据场景获取正确的IP地址,并将其添加至白名单。

场景

需获取的IP地址

如何获取

满足内网访问的条件

ACK集群的容器的对应IP

  • ACK集群的容器网络插件Flannel时,添加应用程序所在的节点IP。

  • ACK集群的容器网络插件为Terway时,添加应用程序所在的Pod IP。

您在目标ACK集群的容器组页面,查Pod IP和节点IP。

ECS实例私网IP

  1. 点此打开ECS实例列表

  2. 在顶部选择实例所在地域。

  3. 在实例列表可以看到私网IP和公网IP。

    image

需要通过ECS实例访问RDS实例,但不满足内网访问的条件

ECS实例公网IP

需要通过本地设备访问RDS实例

本地设备公网IP

在本地设备中,使用搜索引擎(如百度)搜索IP。

说明

该方式获取的IP地址若不准确,请通过其他方案获取。

常见问题

通过RDS控制台添加白名单时报错InvalidSecurityIPListLength.Malformed

问题描述

用户通过RDS控制台添加白名单时,可能会出现如下报错:

错误码:InvalidSecurityIPListLength.Malformed
报错信息(中文):安全IP地址不在可用范围内或已被占用。
报错信息(英文):The security ip address is not in the available range or occupied.

image

解决方案

  • 原因1:单个白名单分组中最多支持1000IP地址/段,新增的IP超过了限制。

    解决方案:确保单个白名单分组中的IP地址或IP段数量不超过1000个。建议将零散的IP地址合并为CIDR格式的IP段(如192.168.1.0/24),以减少占用数量。

  • 原因2:添加的IP白名单包含非法地址。

    解决方案:确保输入的IP地址合法,推荐使用标准CIDR格式(如10.23.12.0/24),掩码范围为1~32。若需添加多个IP地址,请使用英文逗号(,)分隔。

  • 原因3:与已存在的白名单存在冲突。例如,在RDS MySQL192.168.1.8会与192.168.1.1/8发生冲突。

    解决方案:根据实际需求合理规划并添加白名单,避免与现有规则产生重叠或冲突。

说明

请勿删除默认分组default(包含127.0.0.1),也不要修改系统分组(如ali_dms_grouphdm_security_ips),以免影响系统功能或连接安全性。

相关API