建立RDS MySQL執行個體後,需要將IP地址添加到白名單,該IP地址所屬的裝置才能訪問該RDS執行個體。
前提條件
操作步驟
RDS預設已設定系統白名單,該白名單不顯示,用於允許系統帳號對資料庫的維護操作,詳情請參見系統帳號說明。
訪問RDS執行個體列表,在上方選擇地區,然後單擊目標執行個體ID。
在左側導覽列中,單擊白名單與安全性群組。
確認IP白名單模式。
說明版本為MySQL5.5、5.6、5.7且儲存類型為本地SSD盤的執行個體可以切換為高安全模式。其他版本或儲存類型的執行個體都採用通用模式。
單擊default分組右側的 修改 ,在彈出的對話方塊中添加IP白名單。
說明如有需要,也可以單擊新增白名單分組,並自訂一個分組名稱。
方法一:將應用伺服器IP地址添加至組內白名單框中。查看應用伺服器IP,請參見附錄:如何擷取應用伺服器IP地址。您也可以單擊載入本機公網IP(如本機開啟了網路代理程式,請先關閉),直接添加本機公網IP。
說明多個IP地址用英文逗號隔開,且逗號前後不能有空格。
單個執行個體最多添加1000個IP地址或IP段。如果IP地址較多,建議將零散的IP合并為IP段,例如10.10.10.0/24。
如果白名單模式是高安全模式,則需注意:
把公網IP或傳統網路ECS執行個體的私網IP添加至傳統網路分組。
把專用網路ECS執行個體私網IP添加至專用網路分組。
方法二:單擊載入ECS內網IP,顯示當前阿里雲帳號以及當前地區下所有ECS執行個體的IP地址,快速添加ECS內網IP地址到白名單中。
添加後,該應用伺服器才能訪問RDS執行個體。
單擊確定。
下一步
相關文檔
常見問題
Q:為什麼沒有添加到白名單中的IP地址也可以訪問RDS?
A:您可以按照以下方法排查:
檢查所有的白名單分組,確認是否包含0.0.0.0/0。0.0.0.0/0表示允許所有IP訪問RDS,存在安全風險,建議刪除並僅設定可信任的IP地址。
檢查所有的安全性群組,確認是否包含該IP地址。如果某個安全性群組包含該IP地址,則可以訪問RDS。
Q:如果在不開通外網的情況下,讓本機可以訪問RDS?
A:需要打通內網,詳情請參見串連本地IDC。
Q:白名單裡出現了一些IP地址,如何查看添加這些IP地址的操作者?
A:在執行個體詳情頁左側,單擊Action Trail,在事件名稱中輸入ModifySecurityIps,即可查看添加IP地址的操作者和操作詳情。
Q:如果使用者側應用沒有固定IP,怎麼加入到資料庫白名單裡?
A:如果使用者沒有固定IP,無法設定
0.0.0.0/0
,建議基於身分識別驗證而非IP的存取控制。例如,使用如下方式:使用動態DNS服務:通過動態DNS擷取動態IP對應的網域名稱,並將該網域名稱或其解析出的IP地址加入資料庫白名單。
設定反向 Proxy或負載平衡器:所有使用者側應用請求通過反向 Proxy伺服器或負載平衡器轉寄到資料庫,僅將Proxy 伺服器的固定IP地址加入資料庫白名單。
定期更新白名單:對於IP地址在一定範圍內變化的情況(如家庭寬頻IP由ISP分配),定期擷取這些IP地址並更新至白名單中。
附錄:確認是否滿足內網訪問的條件
附錄:如何擷取應用伺服器IP地址
表 1. 如何擷取應用伺服器IP地址
情境 | 需擷取的IP地址 | 如何擷取 |
滿足內網訪問的條件 | ECS執行個體私網IP | 點此開啟ECS執行個體列表,選擇地區,在執行個體列表查看私網IP和公網IP。 |
需要通過ECS執行個體訪問RDS執行個體,但不滿足內網訪問的條件 | ECS執行個體公網IP | |
需要通過本地裝置訪問RDS執行個體 | 本地裝置公網IP | 通過 說明 公網IP在資料庫升級或變更操作時可能會發生變化。如果已經將本地IP地址添加到白名單中,但仍然無法串連,請參見外網無法串連RDS MySQL或MariaDB:如何正確填寫本地裝置的公網IP地址處理。 |
附錄:系統預設白名單
當DMS、DTS、DAS服務與RDS MySQL互動時,系統會自動添加以下白名單分組,以確保正常訪問。
分組名稱 | 說明 |
dms | 用於DMS登入RDS MySQL執行個體。 |
dts | 用於DTS傳輸資料。 |
hdm_security_ips | 用於DAS服務擷取資料、最佳化、營運和安全管理。 重要 對於2020年12月之後的建立執行個體,hdm_security_ips白名單分組對使用者不可見,防止誤修改或刪除分組,影響相關服務的使用。 |