创建RDS实例后,您需要设置RDS实例的白名单,以允许外部设备访问该RDS实例。
背景信息
RDS的白名单包括两种类型,IP白名单和安全组,详细说明如下:
- IP白名单
添加IP地址,允许这些IP地址访问该RDS实例。 默认的IP白名单只包含默认IP地址127.0.0.1,表示任何设备均无法访问该RDS实例。
IP白名单分为两种模式,您需要确认实例处于哪种网络隔离模式,根据模式查看相应的操作步骤。
- 通用白名单模式
通用白名单模式中的IP地址不区分经典网络和专有网络(既适用于经典网络也适用于专有网络)。有安全风险,建议切换为高安全模式。
说明 RDS MariaDB实例只支持专有网络。
- 高安全白名单模式
高安全白名单模式中区分经典网络和专有网络,创建IP白名单分组时需要指定网络类型。例如专有网络的IP分组内放通某个IP,这个IP只能在专有网络内访问RDS实例,无法从经典网络访问RDS实例。
- 通用白名单模式
- 安全组
安全组是一种虚拟防火墙,用于控制安全组中的ECS实例的出入流量。在RDS白名单中添加安全组后,该安全组中的ECS实例就可以访问RDS实例。
关于安全组的更多信息,请参见创建安全组。
白名单可以让RDS实例得到高级别的访问安全保护,建议您定期维护白名单。设置白名单不会影响RDS实例的正常运行。
IP白名单注意事项
- 可以修改或清空默认的IP白名单,但是不能将其删除。
- 实例最多支持200个IP白名单分组。
- 每个实例最多添加1000个IP或IP段,即所有IP白名单分组内的IP或IP段总和不能超过1000。当IP较多时,建议合并为IP段填入,例如192.168.1.0/24。
- 当未设置白名单登录DMS时,DMS会提示添加IP才可以正常登录,会自动生成相应的IP白名单分组。
- ali_dms_group(DMS产品IP地址白名单分组)、hdm_security_ips(DAS产品IP地址白名单分组)等分组为使用相关产品时系统自动生成。请勿修改或删除分组,避免影响相关产品的使用。
说明 请勿在这些分组里增加自己的业务IP,避免相关产品更新时覆盖掉您的业务IP,影响业务正常运行。
高安全白名单模式设置IP白名单
- 在页面左上角,选择实例所在地域。
- 根据以下连接场景进行后续操作。
连接场景 操作 ECS实例和RDS实例在相同专有网络VPC内(推荐) - 在白名单设置页面单击default 专有网络分组右侧的修改。
- 在弹出的对话框中,填写ECS实例的内网IP地址,然后单击确定。
说明 ECS实例上的应用程序中使用RDS实例的内网连接地址。
ECS实例和RDS实例在不同专有网络VPC内 - 在RDS实例的数据库连接页面单击切换为经典网络并确定。
- 切换完成后单击切换为专有网络,选择和ECS实例相同的VPC。
说明 ECS实例和RDS实例需要处于相同地域才能切换到相同VPC。如果地域不同,为业务稳定,建议您通过DTS将RDS实例迁移至ECS实例所属地域。详情请参见RDS实例间数据迁移。
- 在RDS实例的白名单设置页面单击default 专有网络分组右侧的修改。
- 在弹出的对话框中,填写ECS实例的内网IP地址,然后单击确定。
说明 应用程序中使用RDS实例的内网连接地址。
ECS实例为经典网络 RDS实例为专有网络
- 将ECS实例迁移至RDS实例所属的专有网络中,详情请参见ECS实例迁移。
说明 ECS实例和RDS实例需要处于相同地域才能切换到相同VPC。如果地域不同,为业务稳定,建议您通过DTS将RDS实例迁移至ECS实例所属地域。详情请参见RDS实例间数据迁移。
- 在RDS实例的白名单设置页面单击default 专有网络分组右侧的修改。
- 在弹出的对话框中,填写ECS实例的内网IP地址,然后单击确定。
说明 应用程序中使用RDS实例的内网连接地址。
云外主机连接RDS实例 - 在白名单设置页面单击default 经典网络分组右侧的修改。
- 在弹出的对话框中,填写云外主机的公网IP地址,然后单击确定。
说明
- 云外主机的应用程序中使用RDS实例的外网连接地址。
- 定位本地公网IP地址请参见RDS MySQL/MariaDB如何确定外部服务器/客户端的公网IP地址
说明- 您可以单击添加白名单分组新建自定义分组,根据连接类型选择专有网络或经典网络 及 外网地址。
- 若填写IP段,如10.10.10.0/24,则表示10.10.10.X的IP地址都可以访问该RDS实例。
- 若您需要添加多个IP地址或IP段,请用英文逗号隔开(逗号前后都不能有空格),例如192.168.0.1,172.16.213.9。
- 单击加载ECS内网IP后,将显示您当前阿里云账号下所有ECS实例的IP地址,可快速添加ECS内网IP地址到白名单中。
通用白名单模式设置IP白名单
- 在页面左上角,选择实例所在地域。
- 在白名单设置页面中,单击default白名单分组中的修改。
说明 您也可以单击添加白名单分组新建自定义分组。 - 在修改白名单分组对话框中,填写需要访问该实例的IP地址或IP段,然后单击确定。 说明
- 当您在default分组中添加新的IP地址或IP段后,系统自动删除默认地址127.0.0.1。
- 若填写IP段,如10.10.10.0/24,则表示10.10.10.X的IP地址都可以访问该RDS实例。
- 若您需要添加多个IP地址或IP段,请用英文逗号隔开(逗号前后都不能有空格),例如192.168.0.1,172.16.213.9。
- 单击加载ECS内网IP后,将显示您当前阿里云账号下所有ECS实例的IP地址,可快速添加ECS内网IP地址到白名单中。
通用白名单模式设置IP白名单
- 在页面左上角,选择实例所在地域。
- 在白名单设置页面中,单击default白名单分组中的修改。说明 您也可以单击添加白名单分组新建自定义分组。
- 在修改白名单分组对话框中,填写需要访问该实例的IP地址或IP段,然后单击确定。 说明
- 当您在default分组中添加新的IP地址或IP段后,系统自动删除默认地址127.0.0.1。
- 若填写IP段,如10.10.10.0/24,则表示10.10.10.X的IP地址都可以访问该RDS实例。
- 若您需要添加多个IP地址或IP段,请用英文逗号隔开(逗号前后都不能有空格),例如192.168.0.1,172.16.213.9。
- 单击加载ECS内网IP后,将显示您当前阿里云账号下所有ECS实例的IP地址,可快速添加ECS内网IP地址到白名单中。
常见IP白名单设置错误案例
- 中只有默认地址127.0.0.1。
该地址表示不允许任何设备访问RDS实例。因此需在白名单中添加对端的IP地址。
- 白名单设置为0.0.0.0。
正确格式为0.0.0.0/0。
说明 0.0.0.0/0表示允许任何设备访问RDS实例,请谨慎使用。 - 高安全白名单模式时,IP地址填写错误。
如果开启了高安全白名单模式,需进行如下检查:
- 如果使用的是专有网络的内网连接地址,请确保ECS内网IP地址添加到了default 专有网络的分组。
- 如果使用的是经典网络的内网连接地址,请确保ECS内网IP地址添加到了default 经典网络的分组。
- 如果使用ClassicLink访问RDS的专有网络地址,请确保ECS内网IP地址添加到了default 专有网络分组。
- 如果通过公网连接,请确保设备公网IP地址添加到了default 经典网络的分组(专有网络的分组不适用于公网)。
- 白名单中添加的设备公网IP地址并非设备真正的出口IP地址。
原因如下:
- 公网IP地址不固定,可能会变动。
- IP地址查询工具或网站查询的公网IP地址不准确。
安全组注意事项
- 您可以同时设置IP白名单和安全组。IP白名单中的IP地址和安全组中的ECS实例都可以访问该RDS实例。
- 实例最多支持添加10个安全组。
- 白名单中的安全组的更新将实时应用到白名单。
- RDS实例只能添加与自身网络类型相同的安全组,即实例为专有网络VPC时,只能添加VPC类型的安全组;实例为经典网络时,只能添加经典网络类型的安全组。
说明 添加安全组后,如果切换实例网络类型,会导致安全组失效,需要重新添加对应网络类型的安全组。
设置安全组
- 在页面左上角,选择实例所在地域。
常见问题
- 设置IP白名单后立刻生效吗?
设置白名单后需要等待1分钟左右才会生效。
- 为什么多了几个不是我创建的白名单分组?
如果多的分组内IP是内网IP,通常是阿里云其他产品(例如DMS、DAS)自动生成的辅助控制台某些功能的白名单,不会操作您任何业务数据。
- 不开放外网访问,仅在内网访问,会有安全风险吗?
建议您将RDS实例切换为专有网络,这样只有将相同VPC内的ECS实例内网IP添加到RDS实例白名单内,该ECS实例才能访问RDS实例。
相关API
| API | 描述 |
|---|---|
| 查询IP白名单 | 查看RDS实例IP白名单 |
| 修改IP白名单 | 修改RDS实例IP白名单 |
在文档使用中是否遇到以下问题
更多建议
匿名提交