為了資料庫的安全穩定,在開始使用RDS前,需要將待訪問資料庫的IP地址或者IP段加到RDS執行個體的白名單中。正確使用白名單可使RDS得到進階別的訪問安全保護,建議您定期維護白名單。

背景資訊

訪問資料庫有如下三種情況,關於不同連線類型(內網和外網)的適用場景,請參見設定串連地址中的背景資訊介紹。

  • 外網訪問RDS資料庫

  • 內網訪問RDS資料庫

  • 內外網同時訪問RDS資料庫

在您設定執行個體的連線類型之前,您需要先將應用服務或ECS的IP地址或IP段添加到RDS執行個體的白名單中。當您設定好白名單後,系統會自動為您生成內網地址。若您需要使用外網地址,請參見申請外網地址

说明 如果將應用服務IP加入白名單後,還是無法串連RDS,請參見RDS for MySQL 如何定位本地IP,獲取應用服務真實IP。

注意事項

  • 系統會給每個執行個體建立一個預設的default白名單分組,該白名單分組只能被修改或清空,不能被刪除。

  • 對於新建的RDS執行個體,系統預設會將傳回位址127.0.0.1添加到default白名單分組中,IP地址127.0.0.1代表禁止所有IP地址或IP段訪問該RDS執行個體。所以,在您設定白名單時,需要先將127.0.0.1刪除,再添加您允許訪問該RDS執行個體的IP地址或IP段。

  • 若將白名單設定為%或者0.0.0.0/0,代表允許任何IP訪問RDS執行個體。該設定將極大降低資料庫的安全性,請勿使用。

操作步驟

  1. 登入RDS管理主控台
  2. 選擇目標執行個體所在地域。
  3. 單擊目標執行個體的ID,進入基本資料頁面。
  4. 在左側導覽列中選擇資料安全性,進入資料安全性頁面。
  5. 白名單設定標籤頁面中,單擊default白名單分組中的修改,如下圖所示。
    说明 若您想使用自訂分組,請先單擊default白名單分組中的清空刪除預設分組中的IP地址127.0.0.1,單擊添加白名單分組新建自訂分組,後續操作步驟與下述步驟相似。


  6. 修改白名單分組頁面,在組內白名單欄中填寫需要訪問該執行個體的IP地址或IP段。若您需要添加ECS的內網IP,請單擊載入ECS內網IP,然後根據提示選擇IP。如下圖所示。
    说明 當您在default分組中添加新的IP地址或IP段後,傳回位址127.0.0.1會被自動刪除。


    參數說明:

    • 分組名稱:長度為2~32個字元,由小寫字母、數字或底線組成,開頭需為小寫字母,結尾需為字母或數字。在白名單分組建立成功後,該名稱將不能被修改,但可以刪除白名單分組。

    • 組內白名單:填寫允許訪問RDS執行個體的IP地址或者IP段。

      • 若填寫IP段,如10.10.10.0/24,則表示10.10.10.X的IP地址都可以訪問該RDS執行個體。

      • 若您需要添加多個IP,請用英文逗號隔開(逗號前後都不能加空格),例如192.168.0.1,172.16.213.9。

      • 在每個白名單分組中,MySQL、PostgreSQL和PPAS類型的RDS執行個體可以添加1000個IP,SQL Server類型的RDS執行個體可以添加800個IP。

    • 載入ECS內網IP:單擊該按鈕後,將顯示同帳號下每個ECS執行個體對應的IP地址,可用於快速添加ECS內網IP到白名單中。

  7. 單擊確定

修改或刪除白名單分組

您可以根據業務需求修改或刪除白名單分組,操作步驟如下:

  1. 登入RDS管理主控台
  2. 選擇目標執行個體所在地域。
  3. 單擊目標執行個體的ID,進入基本資料頁面。
  4. 在左側導覽列中選擇資料安全性,進入資料安全性頁面。
  5. 白名單設定標籤頁面中,單擊目標白名單分組中的修改刪除
  6. 完成修改白名單或確認要刪除該白名單分組後,單擊確定