本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。
本文介绍设置白名单时的案例和问题。
常见错误案例
错误案例 | 说明 | 解决办法 |
没有设置IP白名单,即白名单中只有127.0.0.1。 | 该地址表示不允许任何IP地址访问RDS实例。 | 在IP白名单中添加外部IP地址。 |
测试连接实例时,添加的IP地址是0.0.0.0。 | IP地址格式错误。 | 修改为0.0.0.0/0。 警告 0.0.0.0/0表示允许任何IP访问RDS实例,只建议在测试时使用,请勿在线上业务实例中设置IP白名单为0.0.0.0/0。 |
IP白名单中添加的设备公网IP地址错误。 |
| |
高安全模式的IP白名单中,网络类型错误。 | 高安全白名单模式会区分经典网络和专有网络。 | 在正确的网络类型分组内填写IP地址。例如,在专有网络的IP白名单分组内添加某个IP地址,则这个IP地址只能在专有网络内访问该RDS实例。 |
常见问题
Q:可以同时设置IP白名单和安全组吗?
A:可以。IP白名单中的IP地址和安全组中的ECS实例都可以访问该RDS实例。
Q:设置IP白名单后立刻生效吗?
A:等待1分钟左右才会生效。
Q:ali_dms_group和hdm_security_ips白名单分组是什么?
A:您在数据管理DMS和数据库自治服务DAS中接入RDS实例时,经过您的授权后,系统会生成ali_dms_group和hdm_security_ips白名单分组。请勿修改或删除这些分组,避免影响相关服务的使用。这些服务不会操作您任何业务数据。
重要为防止误修改或删除白名单分组,2020年12月之后的新建实例,hdm_security_ips白名单分组对用户不可见。
Q:如果用户侧应用没有固定IP,或者IP地址经常变动,如何将其加入到数据库白名单中?
A:建议基于身份验证而非IP的访问控制。例如,使用如下方式:
使用动态DNS服务:通过动态DNS获取动态IP对应的域名,并将该域名或其解析出的IP地址加入数据库白名单。
设置反向代理或负载均衡器:所有用户侧应用请求通过反向代理服务器或负载均衡器转发到数据库,仅将代理服务器的固定IP地址加入数据库白名单。
定期更新白名单或者使用IP地址段:对于IP地址在一定范围内变化的情况(如家庭宽带IP由ISP分配),定期获取这些IP地址并更新至白名单中。或者,可以将涵盖这些IP地址的网段添加至白名单中。例如,192.168.0.0/16表示所有以192.168开头的IP地址(即192.168.XXX.XXX)均可进行访问。