文档

设置白名单

更新时间:

创建RDS SQL Server实例后,暂时还无法访问该实例,您需要设置RDS SQL Server实例的白名单,即IP白名单或安全组,本文介绍如何设置IP白名单。

其他引擎设置白名单请参见:

操作场景

IP白名单指允许访问RDS实例的IP清单。设置IP白名单可以让RDS实例得到高级别的访问安全保护,建议您定期维护白名单。

通常需要设置IP白名单的场景如下:

  • 场景1

    创建RDS实例后,您需要将外部IP地址添加至IP白名单中,外部设备才可以正常访问该RDS实例。

  • 场景2

    当数据库连接异常时,您可以检查白名单设置是否正确。

    不同连接场景下,IP白名单的设置请参见下表。

    说明

    专有网络VPC是阿里云上一种隔离的网络环境,安全性比传统的经典网络更高。

    连接场景

    网络类型

    IP白名单设置

    ECS实例和RDS实例连接

    两个实例在相同专有网络VPC内(推荐)

    添加ECS实例私有IP地址。

    两个实例在不同专有网络VPC内

    不同专有网络的实例无法内网互通。您可以将两个实例切换至同一个VPC下,然后在IP白名单中添加私有IP地址。

    两个实例均为经典网络

    添加ECS实例私有IP地址。

    ECS实例为经典网络

    RDS实例为专有网络

    不同网络类型的实例无法内网互通,您可以参考如下方案:

    1. 将ECS实例从经典网络迁移到专有网络,选择和RDS实例相同的VPC。

      说明

      ECS实例和RDS实例需要处于相同地域才能切换到相同VPC。如果地域不同,为业务稳定,建议您通过DTS将RDS实例迁移至ECS实例所属地域。详情请参见RDS SQL Server实例间数据迁移

    2. 在IP白名单中添加ECS实例私有IP地址。

    ECS实例为专有网络

    RDS实例为经典网络

    不同网络类型的实例无法内网互通,您可以参考如下方案:

    1. 把RDS实例从经典网络切换为专有网络,选择和ECS实例相同的VPC。

      说明

      ECS实例和RDS实例需要处于相同地域才能切换到相同VPC。如果地域不同,为业务稳定,建议您通过DTS将RDS实例迁移至ECS实例所属地域。详情请参见RDS SQL Server实例间数据迁移

    2. 在IP白名单中添加ECS实例私有IP地址。

    云外主机连接RDS实例

    在IP白名单中添加云外主机的公网IP地址。

    说明

注意事项

  • 单个实例最多支持50个IP白名单分组。

  • 设置白名单不会影响RDS实例的正常运行。

  • 默认的IP白名单分组(default )不能删除,只能清空。

  • 请勿修改或删除系统自动生成的分组,避免影响相关产品的使用。例如ali_dms_groupDMS产品IP地址白名单分组)、hdm_security_ipsDAS产品IP地址白名单分组)。

    重要

    为防止误修改或删除白名单分组,2020年12月之后的新建实例,hdm_security_ips白名单分组对用户不可见。

  • 默认的IP白名单只包含127.0.0.1,表示任何IP均无法访问该RDS实例。

操作步骤

通用白名单模式不区分经典网络和专有网络。在通用白名单模式下,设置的IP地址,既可通过经典网络,也可通过专有网络访问RDS实例。

  1. 访问RDS实例列表,在上方选择地域,然后单击目标实例ID。
  2. 在左侧导航栏单击白名单与安全组

    白名单设置页面,可查看当前的IP白名单模式。

    说明

    较早创建的实例可能采用高安全模式。新创建的实例都采用通用白名单模式。

  3. 单击添加白名单分组,填写分组名称并把应用服务器IP地址添加至白名单中,单击确定

    添加后,该应用服务器才能访问RDS实例,请根据下表,确认您当前的场景,根据场景获取正确的IP地址,并将其添加至白名单。

    场景

    需获取的IP地址

    如何获取

    满足内网访问的条件

    ECS实例私网IP

    1. 点此打开ECS实例列表

    2. 在顶部选择实例所在地域。

    3. 在实例列表可以看到私网IP和公网IP。

    ECS

    需要通过ECS实例访问RDS实例,但不满足内网访问的条件

    ECS实例公网IP

    需要通过本地设备访问RDS实例

    本地设备公网IP

    在本地设备中,使用搜索引擎(如百度)搜索IP。

    说明

    该方式获取的IP地址可能不准确。

    说明
    • 您也可以单击default分组右侧的修改,变更组内白名单。

    • 多个IP地址用半角逗号(,)隔开,且逗号前后不能有空格,例如192.XXX.XXX.1,172.XXX.XXX.9

    • 单个实例最多添加1000个IP地址或IP段。如果IP地址较多时,建议将零散的IP合并为IP段,例如10.10.10.0/24。

    • 如果获取的白名单模式是通用模式,则无额外注意事项。如果是高安全模式,需注意

      • 把公网IP或经典网络ECS实例私网IP添加至经典网络分组。

      • 把专有网络ECS实例私网IP添加至专有网络分组。

  4. (可选)在添加白名单分组弹窗中,单击加载ECS内网IP,将显示您当前阿里云账号下所有ECS实例的IP地址,可快速添加ECS私有IP地址到白名单中。添加白名单分组

下一步

创建数据库和账号

相关API

API

描述

ModifySecurityIps

修改RDS实例IP白名单。

DescribeDBInstanceIPArrayList

查询RDS实例IP白名单。