创建RDS实例后,您需要设置RDS实例的白名单,以允许外部设备访问该RDS实例。
背景信息
RDS的白名单包括两种类型,IP白名单和安全组,详细说明如下:
- IP白名单
添加IP地址,允许这些IP地址访问该RDS实例。 默认的IP白名单只包含127.0.0.1,表示任何设备均无法访问该RDS实例。
IP白名单分为两种模式,您需要确认实例处于哪种网络隔离模式,根据模式查看相应的操作步骤。
- 通用白名单模式
通用白名单模式中的IP地址既适用于经典网络,也适用于专有网络。这种模式有安全风险,例如期望专有网络内的某个IP访问实例,设置该IP后,经典网络内的这个IP也可以访问实例,因此建议您切换为高安全白名单模式。切换高安全白名单模式请参见切换为高安全白名单模式。
说明 RDS MariaDB实例只支持专有网络。 - 高安全白名单模式
高安全白名单模式中区分经典网络和专有网络,创建IP白名单分组时需要指定网络类型。如果专有网络的IP分组内放行某个IP,则只能通过这个IP在专有网络内访问该RDS实例,无法从经典网络访问该RDS实例。
- 通用白名单模式
- 安全组
安全组是一种虚拟防火墙,用于控制安全组中的ECS实例的出入流量。在RDS白名单中添加安全组后,该安全组中的ECS实例就可以访问RDS实例。
关于安全组的更多信息,请参见创建安全组。
设置白名单可以让RDS实例得到高级别的访问安全保护,建议您定期维护白名单。设置白名单不会影响RDS实例的正常运行。
IP白名单注意事项
- 您可以修改或清空默认的IP白名单,但是不能将其删除。
- 单个实例最多支持50个IP白名单分组。
- 单个实例最多添加1000个IP或IP段,即所有IP白名单分组内的IP或IP段总和不能超过1000。当IP较多时,建议将零散的IP合并为IP段,例如10.10.10.0/24,(CIDR模式,即无类域间路由,/24表示地址中前缀的长度,范围为1~32)。
- ali_dms_group(DMS产品IP地址白名单分组)、hdm_security_ips(DAS产品IP地址白名单分组)等分组为使用相关产品时系统自动生成。请勿修改或删除分组,避免影响相关产品的使用。
注意 请勿在这些分组里增加自己的业务IP,避免相关产品更新时覆盖掉您的业务IP,影响业务正常运行。
高安全白名单模式设置IP白名单
通用白名单模式设置IP白名单
通用白名单模式设置IP白名单
常见IP白名单设置错误案例
该地址表示不允许任何设备访问RDS实例。因此需在白名单中添加对端的IP地址。
中只有默认地址127.0.0.1。
- 白名单设置为0.0.0.0。
正确格式为0.0.0.0/0。
说明 0.0.0.0/0表示允许任何设备访问RDS实例,请谨慎使用。 - 高安全白名单模式时,IP地址填写错误。
如果开启了高安全白名单模式,需进行如下检查:
- 如果使用的是专有网络的内网连接地址,请确保ECS内网IP地址添加到了default 专有网络的分组。
- 如果使用的是经典网络的内网连接地址,请确保ECS内网IP地址添加到了default 经典网络的分组。
- 如果使用ClassicLink访问RDS的专有网络地址,请确保ECS内网IP地址添加到了default 专有网络分组。
- 如果通过公网连接,请确保设备公网IP地址添加到了default 经典网络的分组(专有网络的分组不适用于公网)。
- 白名单中添加的设备公网IP地址并非设备真正的出口IP地址。
原因如下:
- 公网IP地址不固定,可能会变动。
- IP地址查询工具或网站查询的公网IP地址不准确。
安全组注意事项
- 您可以同时设置IP白名单和安全组。IP白名单中的IP地址和安全组中的ECS实例都可以访问该RDS实例。
- 实例最多支持添加10个安全组。
- 白名单中的安全组的更新将实时应用到白名单。
- RDS实例只能添加与自身网络类型相同的安全组,即实例为专有网络VPC时,只能添加VPC类型的安全组;实例为经典网络时,只能添加经典网络类型的安全组。
说明 添加安全组后,如果切换实例网络类型,会导致安全组失效,需要重新添加对应网络类型的安全组。
设置安全组
常见问题
- 设置IP白名单后立刻生效吗?
设置白名单后需要等待1分钟左右才会生效。
- 为什么多了几个不是我创建的白名单分组?
如果多的分组内IP是内网IP,通常是阿里云其他产品(例如DMS、DAS)自动生成的辅助控制台某些功能的白名单,不会操作您任何业务数据。
- 不开放外网访问,仅在内网访问,会有安全风险吗?
建议您将RDS实例切换为专有网络,这样只有将相同VPC内的ECS实例内网IP添加到RDS实例白名单内,该ECS实例才能访问RDS实例。
相关API
API | 描述 |
---|---|
查询IP白名单 | 查看RDS实例IP白名单 |
修改IP白名单 | 修改RDS实例IP白名单 |
在文档使用中是否遇到以下问题
更多建议
匿名提交