建立RDS執行個體後,您需要設定RDS執行個體的白名單,以允許外部裝置訪問該RDS執行個體。預設的白名單只包含預設IP地址127.0.0.1,表示任何裝置均無法訪問該RDS執行個體。

設定白名單包括兩種操作:
  • 設定IP名單:添加IP地址,使這些IP地址可以訪問該RDS執行個體。
  • 設定ECS安全性群組:添加ECS安全性群組,使ECS安全性群組內的ECS執行個體可以訪問該RDS執行個體。

白名單可以讓RDS執行個體得到進階別的訪問安全保護,建議您定期維護白名單。設定白名單不會影響RDS執行個體的正常運行。

設定IP白名單

注意事項

  • 預設的IP白名單分組只能被修改或清空,不能被刪除。
  • 設定白名單之前,您需要確認執行個體處於哪種網路隔離模式,根據模式查看相應的操作步驟。


    说明 RDS for MariaDB執行個體所處的內網只支援專用網路

高安全白名單模式操作步驟

  1. 登入RDS管理主控台
  2. 在頁面左上方,選擇執行個體所在地區。
    選擇地區
  3. 找到目標執行個體,單擊執行個體ID。
  4. 在左側導覽列中選擇資料安全性
  5. 白名單設定頁面中,根據以下連線類型進行後續操作。
    • 專用網路下的ECS執行個體串連到RDS執行個體:單擊default 專用網路分組右側的修改
    • 傳統網路下的ECS執行個體串連到RDS執行個體:由於MariaDB執行個體不支援傳統網路,您可以為ECS執行個體申請公網地址,並參考下面外網的執行個體或主機串連到RDS執行個體
    • 外網的執行個體或主機串連到RDS執行個體:單擊default 傳統網路分組右側的修改
    说明
    • 若需要ECS執行個體通過專用網路地址串連到RDS,請確保兩者處於同一地區內,且網路類型相同,否則設定了白名單也無法串連成功。
    • 您也可以單擊添加白名單分組建立自訂分組,根據連線類型選擇專用網路傳統網路 及 外網地址


  6. 在彈出的對話方塊中,填寫需要訪問該執行個體的IP地址或IP段,然後單擊確定
    • 若填寫IP段,如10.10.10.0/24,則表示10.10.10.X的IP地址都可以訪問該RDS執行個體。
    • 若您需要添加多個IP地址或IP段,請用英文逗號隔開(逗號前後都不能有空格),例如192.168.0.1,172.16.213.9。
    • 單擊載入ECS內網IP後,將顯示您當前阿里雲帳號下所有ECS執行個體的IP地址,可快速添加ECS內網IP地址到白名單中。
    说明 當您在default分組中添加新的IP地址或IP段後,預設地址127.0.0.1會被自動刪除。


通用白名單模式操作步驟

  1. 登入RDS管理主控台
  2. 在頁面左上方,選擇執行個體所在地區。
    選擇地區
  3. 找到目標執行個體,單擊執行個體ID。
  4. 在左側導覽列中選擇資料安全性
  5. 白名單設定頁面中,單擊default白名單分組中的修改,如下圖所示。
    说明 您也可以單擊添加白名單分組建立自訂分組。


  6. 修改白名單分組對話方塊中,填寫需要訪問該執行個體的IP地址或 IP 段,然後單擊確定
    • 若填寫IP段,如10.10.10.0/24,則表示10.10.10.X的IP地址都可以訪問該RDS執行個體。
    • 若您需要添加多個IP地址或IP段,請用英文逗號隔開(逗號前後都不能有空格),例如192.168.0.1,172.16.213.9。
    • 單擊載入ECS內網IP後,將顯示您當前阿里雲帳號下所有ECS執行個體的IP地址,可快速添加ECS內網IP地址到白名單中。
    说明 當您在default分組中添加新的IP地址或IP段後,預設地址127.0.0.1會被自動刪除。


常見錯誤案例

  • 由於資料安全性 > 白名單設定中只有預設地址127.0.0.1。該地址表示不允許任何裝置訪問RDS執行個體。因此需在白名單中添加對端的IP地址。
  • 白名單設定成了0.0.0.0,正確格式為0.0.0.0/0。
    说明 0.0.0.0/0表示允許任何裝置訪問RDS執行個體,請謹慎使用。
  • 如果開啟了高安全白名單模式,需進行如下檢查:
    • 如果使用的是專用網路的內網串連地址,請確保ECS內網IP地址添加到了專用網路的分組。
    • 如果使用ClassicLink訪問RDS的專用網路地址,請確保ECS內網IP地址添加到了default 專用網路分組。
    • 如果通過公網串連,請確保裝置公網IP地址添加到了傳統網路的分組(專用網路的分組不適用於公網)。
  • 您在白名單中添加的裝置公網IP地址可能並非裝置真正的出口IP地址。原因如下:

    • 公網IP地址不固定,可能會變動。

    • IP地址查詢工具或網站查詢的公網IP地址不準確。

    解決辦法請參見RDS for MySQL或MariaDB TX如何定位本地公网IP地址

設定ECS安全性群組

ECS安全性群組是一種虛擬防火牆,用於控制安全性群組中的ECS執行個體的出入流量。在RDS白名單中添加ECS安全性群組後,該安全性群組中的ECS執行個體就可以訪問RDS執行個體。

關於ECS安全性群組的更多資訊,請參見建立安全性群組

注意事項

  • 支援ECS安全性群組的地區:杭州、青島、香港。
  • 您可以同時設定IP白名單和ECS安全性群組。IP白名單中的IP地址和安全性群組中的ECS執行個體都可以訪問該RDS執行個體。
  • 目前僅支援添加一個ECS安全性群組。
  • 白名單中的ECS安全性群組的更新將即時應用到白名單。

操作步驟

  1. 登入RDS管理主控台
  2. 在頁面左上方,選擇執行個體所在地區。
    選擇地區
  3. 找到目標執行個體,單擊執行個體ID。
  4. 在左側導覽列中,選擇資料安全性
  5. 單擊添加安全性群組
  6. 選中要添加的安全性群組,單擊確定
    说明 帶有VPC標識的ECS安全性群組為專用網路中的安全性群組。

相關API

API 描述
DescribeDBInstanceIPArrayList 查看RDS執行個體IP白名單
ModifySecurityIps 修改RDS執行個體IP白名單