设置白名单
创建RDS实例后,您需要设置RDS实例的白名单,以允许外部设备访问该RDS实例。
创建RDS实例后,您需要设置RDS实例的白名单,以允许外部设备访问该RDS实例。默认的白名单只包含默认IP地址127.0.0.1,表示任何设备均无法访问该RDS实例。
白名单可以让RDS实例得到高级别的访问安全保护,建议您定期维护白名单。设置白名单不会影响RDS实例的正常运行。
注意事项
- 默认的IP白名单分组只能被修改或清空,不能被删除。
- 每个IP白名单分组最多添加1000个IP或IP段。当IP较多时,建议合并为IP段填入,例如192.168.1.0/24。
- 当未设置白名单登录DMS时,会提示添加IP才可以正常登录,会自动生成相应的白名单分组。
- 设置白名单之前,您需要确认实例处于哪种网络隔离模式,根据模式查看相应的操作步骤。
说明 RDS实例所处的内网分为经典网络和专有网络两种。
- 经典网络:传统的网络类型。
- 专有网络:也称为VPC(Virtual Private Cloud)。VPC是一种隔离的网络环境,安全性和性能均高于传统的经典网络。
操作步骤
高安全白名单模式操作步骤
- 登录RDS管理控制台。
- 在页面左上角,选择实例所在地域。
- 找到目标实例,单击实例ID。
- 在左侧导航栏中选择数据安全性。
- 在白名单设置页面中,根据以下连接类型进行后续操作。
- 专有网络下的ECS实例连接到RDS实例:单击default 专有网络分组右侧的修改。
- 经典网络下的ECS实例连接到RDS实例:单击default 经典网络分组右侧的修改。
- 外网的实例或主机连接到RDS实例:单击default 经典网络分组右侧的修改。
说明- 若需要ECS实例通过内网地址(专有网络地址和经典网络地址)连接到RDS,请确保两者处于同一地域内,且网络类型相同,否则设置了白名单也无法连接成功。
- 您也可以单击添加白名单分组新建自定义分组,根据连接类型选择专有网络或经典网络 及 外网地址。
- 在弹出的对话框中,填写需要访问该实例的IP地址或IP段,然后单击确定。
- 若填写IP段,如10.10.10.0/24,则表示10.10.10.X的IP地址都可以访问该RDS实例。
- 若您需要添加多个IP地址或IP段,请用英文逗号隔开(逗号前后都不能有空格),例如192.168.0.1,172.16.213.9。
- 单击加载ECS内网IP后,将显示您当前阿里云账号下所有ECS实例的IP地址,可快速添加ECS内网IP地址到白名单中。
说明 当您在default分组中添加新的IP地址或IP段后,默认地址127.0.0.1会被自动删除。
通用白名单模式操作步骤
- 登录RDS管理控制台。
- 在页面左上角,选择实例所在地域。
- 找到目标实例,单击实例ID。
- 在左侧导航栏中选择数据安全性。
- 在白名单设置页面中,单击default白名单分组中的修改,如下图所示。
说明 您也可以单击添加白名单分组新建自定义分组。
- 在修改白名单分组对话框中,填写需要访问该实例的IP地址或 IP 段,然后单击确定。
- 若填写IP段,如10.10.10.0/24,则表示10.10.10.X的IP地址都可以访问该RDS实例。
- 若您需要添加多个IP地址或IP段,请用英文逗号隔开(逗号前后都不能有空格),例如192.168.0.1,172.16.213.9。
- 单击加载ECS内网IP后,将显示您当前阿里云账号下所有ECS实例的IP地址,可快速添加ECS内网IP地址到白名单中。
说明 当您在default分组中添加新的IP地址或IP段后,默认地址127.0.0.1会被自动删除。
常见错误案例
- 由于数据安全性 > 白名单设置中只有默认地址127.0.0.1。该地址表示不允许任何设备访问RDS实例。因此需在白名单中添加对端的IP地址。
- 白名单设置成了0.0.0.0,正确格式为0.0.0.0/0。
说明 0.0.0.0/0表示允许任何设备访问RDS实例,请谨慎使用。
- 如果开启了高安全白名单模式,需进行如下检查:
- 如果使用的是专有网络的内网连接地址,请确保ECS内网IP地址添加到了专有网络的分组。
- 如果使用的是经典网络的内网连接地址,请确保ECS内网IP地址添加到了经典网络的分组。
- 如果使用ClassicLink访问RDS的专有网络地址,请确保ECS内网IP地址添加到了default 专有网络分组。
- 如果通过公网连接,请确保设备公网IP地址添加到了经典网络的分组(专有网络的分组不适用于公网)。
- 您在白名单中添加的设备公网IP地址可能并非设备真正的出口IP地址。原因如下:
-
公网IP地址不固定,可能会变动。
-
IP地址查询工具或网站查询的公网IP地址不准确。
-
相关API
API | 描述 |
---|---|
DescribeDBInstanceIPArrayList | 查看RDS实例IP白名单 |
ModifySecurityIps | 修改RDS实例IP白名单 |
版权声明
本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。
评论