本文介紹設定白名單時的案例和問題。
常見錯誤案例
錯誤案例 | 說明 | 解決辦法 |
沒有設定IP白名單,即白名單中只有127.0.0.1。 | 該地址表示不允許任何IP地址訪問RDS執行個體。 | 在IP白名單中添加外部IP地址。 |
測試連接執行個體時,添加的IP地址是0.0.0.0。 | IP地址格式錯誤。 | 修改為0.0.0.0/0。 警告 0.0.0.0/0表示允許任何IP訪問RDS執行個體,只建議在測試時使用,請勿線上上業務執行個體中設定IP白名單為0.0.0.0/0。 |
IP白名單中添加的裝置公網IP地址錯誤。 |
| |
高安全模式的IP白名單中,網路類型錯誤。 | 高安全白名單模式會區分傳統網路和專用網路。 | 在正確的網路類型分組內填寫IP地址。例如,在專用網路的IP白名單分組內添加某個IP地址,則這個IP地址只能在專用網路內訪問該RDS執行個體。 |
常見問題
Q:可以同時設定IP白名單和安全性群組嗎?
A:可以。IP白名單中的IP地址和安全性群組中的ECS執行個體都可以訪問該RDS執行個體。
Q:設定IP白名單後立刻生效嗎?
A:等待1分鐘左右才會生效。
Q:ali_dms_group和hdm_security_ips白名單分組是什嗎?
A:您在Data Management和資料庫自治服務DAS中接入RDS執行個體時,經過您的授權後,系統會產生ali_dms_group和hdm_security_ips白名單分組。請勿修改或刪除這些分組,避免影響相關服務的使用。這些服務不會操作您任何業務資料。
重要為防止誤修改或刪除白名單分組,2020年12月之後的建立執行個體,hdm_security_ips白名單分組對使用者不可見。
Q:如果使用者側應用沒有固定IP,或者IP地址經常變動,如何將其加入到資料庫白名單中?
A:建議基於身分識別驗證而非IP的存取控制。例如,使用如下方式:
使用動態DNS服務:通過動態DNS擷取動態IP對應的網域名稱,並將該網域名稱或其解析出的IP地址加入資料庫白名單。
設定反向 Proxy或負載平衡器:所有使用者側應用請求通過反向 Proxy伺服器或負載平衡器轉寄到資料庫,僅將Proxy 伺服器的固定IP地址加入資料庫白名單。
定期更新白名單或者使用IP位址區段:對於IP地址在一定範圍內變化的情況(如家庭寬頻IP由ISP分配),定期擷取這些IP地址並更新至白名單中。或者,可以將涵蓋這些IP地址的網段添加至白名單中。例如,192.168.0.0/16表示所有以192.168開頭的IP地址(即192.168.XXX.XXX)均可進行訪問。