创建RDS实例后,您需要设置RDS实例的白名单,以允许外部设备访问该RDS实例。

背景信息

IP白名单可以让RDS实例得到高级别的访问安全保护,建议您定期维护IP白名单。设置IP白名单不会影响RDS实例的正常运行。

说明 默认的IP白名单只包含默认IP地址127.0.0.1,表示任何设备均无法访问该RDS实例。

IP白名单注意事项

  • 可以修改或清空默认的IP白名单,但是不能将其删除。
  • 实例最多支持200个IP白名单分组。
  • 每个IP白名单分组最多添加1000个IP或IP段。当IP较多时,建议合并为IP段填入,例如192.168.1.0/24。
  • 当未设置白名单登录DMS时,DMS会提示添加IP才可以正常登录,会自动生成相应的IP白名单分组。
  • ali_dms_groupDMS产品IP地址白名单分组)、hdm_security_ipsDAS产品IP地址白名单分组)等分组为使用相关产品时系统自动生成。请勿修改或删除分组,避免影响相关产品的使用。
    说明 请勿在这些分组里增加自己的业务IP,避免相关产品更新时覆盖掉您的业务IP,影响业务正常运行。
    系统分组

操作步骤

  1. 登录RDS管理控制台
  2. 在页面左上角,选择实例所在地域。
    选择地域
  3. 找到目标实例,单击实例ID。
  4. 在左侧导航栏中单击数据安全性
  5. 白名单设置页面中,单击default白名单分组中的修改
    说明 您也可以单击添加白名单分组新建自定义分组。
  6. 修改白名单分组对话框中,填写需要访问该实例的IP地址或IP段,然后单击确定
    说明
    • 当您在default分组中添加新的IP地址或IP段后,系统自动删除默认地址127.0.0.1。
    • 若填写IP段,如10.10.10.0/24,则表示10.10.10.X的IP地址都可以访问该RDS实例。
    • 若您需要添加多个IP地址或IP段,请用英文逗号隔开(逗号前后都不能有空格),例如192.168.0.1,172.16.213.9。
    • 单击加载ECS内网IP后,将显示您当前阿里云账号下所有ECS实例的IP地址,可快速添加ECS内网IP地址到白名单中。

常见错误案例

  • 数据安全性 > 白名单设置中只有默认地址127.0.0.1。

    该地址表示不允许任何设备访问RDS实例。因此需在白名单中添加对端的IP地址。

  • 白名单设置为0.0.0.0。

    正确格式为0.0.0.0/0。

    说明 0.0.0.0/0表示允许任何设备访问RDS实例,请谨慎使用。
  • 白名单中添加的设备公网IP地址可能并非设备真正的出口IP地址。原因如下:
    • 公网IP地址不固定,可能会变动。
    • IP地址查询工具或网站查询的公网IP地址不准确。

    解决办法请参见SQL Server如何获取客户端IP

常见问题

  • 设置IP白名单后立刻生效吗?

    设置白名单后需要等待1分钟左右才会生效。

  • 为什么多了几个不是我创建的白名单分组?

    如果多的分组内IP是内网IP,通常是阿里云其他产品(例如DMS、DAS)自动生成的辅助控制台某些功能的白名单,不会操作您任何业务数据。

    hdm白名单
  • 不开放外网访问,仅在内网访问,会有安全风险吗?

    建议您将RDS实例切换为专有网络,这样只有将相同VPC内的ECS实例内网IP添加到RDS实例白名单内,该ECS实例才能访问RDS实例。

相关API

API 描述
DescribeDBInstanceIPArrayList 查看RDS实例IP白名单
ModifySecurityIps 修改RDS实例IP白名单