新建立的RDS SQL Server執行個體預設禁止外部裝置訪問。為了確保安全性,您需要設定IP白名單,僅允許可信IP訪問執行個體。建議在建立執行個體後立即設定並定期維護白名單,以提升訪問安全性。設定白名單操作不會影響RDS執行個體的正常運行。
其他引擎設定白名單請參見:
使用情境
通常需要設定IP白名單的情境如下:
建立RDS執行個體後,您需要將外部IP地址添加至白名單中,以便外部裝置能夠正常訪問該執行個體。
當資料庫連接異常時,您可以檢查白名單設定是否正確。
不同串連情境下,IP白名單的設定請參見下表。
串連情境 | 網路類型 | IP白名單設定 |
ECS執行個體和RDS執行個體串連 | 處於相同Virtual Private Cloud內(推薦) | 添加ECS執行個體私人IP地址。 |
處於不同Virtual Private Cloud內 | 不同專用網路的執行個體無法內網互連。您可以將兩個執行個體切換至同一個VPC下,然後在IP白名單中添加私人IP地址。 | |
ACK叢集的容器和RDS執行個體串連 | 處於相同Virtual Private Cloud內(推薦) |
您可以在目標ACK叢集的容器組頁面,查Pod IP和節點IP。 |
處於不同Virtual Private Cloud內 | 不同專用網路的執行個體無法內網互連。您可以將兩個執行個體切換至同一個VPC下,然後在IP白名單中添加應用程式所在的ACK叢集對應的IP地址。
| |
雲外主機串連RDS執行個體 | 無 | 在IP白名單中添加雲外主機的公網IP地址。 說明 雲外主機的應用程式中使用RDS執行個體的外網串連地址。 |
注意事項
單個執行個體最多支援50個IP白名單分組。
預設的IP白名單分組(default )不能刪除,只能清空。預設的IP白名單為127.0.0.1,表示任何IP均無法訪問該RDS執行個體。
請勿修改或刪除系統自動產生的分組,避免影響相關產品的使用。例如ali_dms_group(DMS產品IP地址白名單分組)、hdm_security_ips(DAS產品IP地址白名單分組)。
重要為防止誤修改或刪除白名單分組,2020年12月之後的建立執行個體,hdm_security_ips白名單分組對使用者不可見。
操作步驟
訪問RDS執行個體列表,在上方選擇地區,然後單擊目標執行個體ID。
在左側導覽列單擊白名單與安全性群組。
在白名單設定頁面,可查看當前的IP白名單模式。
說明較早建立的執行個體可能採用高安全模式。新建立的執行個體都採用通用白名單模式。
單擊新增白名單分組,填寫分組名稱並把應用伺服器IP地址添加至白名單中,單擊確定。
說明您也可以單擊default分組右側的修改,變更組內白名單。
多個IP地址用半形逗號(,)隔開,且逗號前後不能有空格,例如
192.XXX.XXX.1,172.XXX.XXX.9。單個執行個體最多添加1000個IP地址或IP段。如果IP地址較多時,建議將零散的IP合并為IP段,例如10.10.10.0/24。
如果擷取的白名單模式是通用模式,則無額外注意事項。如果是高安全模式,需注意:
把公網IP或傳統網路ECS執行個體私網IP添加至傳統網路分組。
把專用網路ECS執行個體私網IP添加至專用網路分組。
(可選)在新增白名單分組彈窗中,單擊載入ECS內網IP,可將當前阿里雲帳號下所有ECS執行個體的IP地址快速添加到白名單中。
下一步
附錄:應用伺服器IP擷取方法
確認您當前的情境,根據情境擷取正確的IP地址,並將其添加至白名單。
情境 | 需擷取的IP地址 | 如何擷取 |
滿足內網訪問的條件 | ACK叢集的容器的對應IP |
您在目標ACK叢集的容器組頁面,查Pod IP和節點IP。 |
ECS執行個體私網IP |
| |
需要通過ECS執行個體訪問RDS執行個體,但不滿足內網訪問的條件 | ECS執行個體公網IP | |
需要通過本地裝置訪問RDS執行個體 | 本地裝置公網IP | 在本地裝置中,使用搜尋引擎(如百度)搜尋IP。 說明 該方式擷取的IP地址若不準確,請通過其他方案擷取。 |
