創建RDS實例后,您需要設置RDS實例的IP白名單,以允許外部設備訪問該RDS實例。RDS MarialDB的IP白名單僅支持通用模式。
背景信息
RDS的IP白名單詳細說明如下:
添加IP地址,允許這些IP地址訪問該RDS實例。 默認的IP白名單只包含127.0.0.1,表示任何設備均無法訪問該RDS實例。
IP白名單支持通用白名單模式。通用白名單模式中的IP地址既適用于經典網絡,也適用于專有網絡。RDS MariaDB實例只支持專有網絡。
設置白名單可以讓RDS實例得到高級別的訪問安全保護,建議您定期維護白名單。設置白名單不會影響RDS實例的正常運行。
IP白名單注意事項
您可以修改或清空默認的IP白名單,但是不能將其刪除。
單個實例最多支持50個IP白名單分組。
單個實例最多添加1000個IP或IP段,即所有IP白名單分組內的IP或IP段總和不能超過1000。當IP較多時,建議將零散的IP合并為IP段,例如10.10.10.0/24,(CIDR模式,即無類域間路由,/24表示地址中前綴的長度,范圍為1~32)。
ali_dms_group(DMS產品IP地址白名單分組)、hdm_security_ips(DAS產品IP地址白名單分組)等分組為使用相關產品時系統自動生成。請勿修改或刪除分組,避免影響相關產品的使用。
重要請勿在這些分組里增加自己的業務IP,避免相關產品更新時覆蓋掉您的業務IP,影響業務正常運行。
為防止誤修改或刪除白名單分組,2020年12月之后的新建實例,hdm_security_ips白名單分組對用戶不可見。
通用白名單模式設置IP白名單
- 訪問RDS實例列表,在上方選擇地域,然后單擊目標實例ID。
在左側導航欄中單擊白名單與安全組。
在白名單設置頁簽中,單擊default白名單分組中的修改。
說明您也可以單擊添加白名單分組新建自定義分組。
在修改白名單分組對話框中,填寫需要訪問該實例的IP地址或IP段,然后單擊確定。
說明當您在default分組中添加新的IP地址或IP段后,系統自動刪除默認地址127.0.0.1。
若您需要添加多個IP地址或IP段,請用英文逗號隔開(逗號前后都不能有空格),例如
192.168.0.1,172.16.213.9。單擊加載ECS內網IP后,將顯示您當前阿里云賬號下所有ECS實例的IP地址,可快速添加ECS內網IP地址到白名單中。
常見IP白名單設置錯誤案例
白名單與安全組 > 白名單設置中只有默認地址127.0.0.1。
該地址表示不允許任何設備訪問RDS實例。因此需在白名單中添加對端的IP地址。
白名單設置為0.0.0.0。
正確格式為0.0.0.0/0。
重要0.0.0.0/0表示允許任何設備訪問RDS實例,請謹慎使用。
白名單中添加的設備公網IP地址并非設備真正的出口IP地址。
原因如下:
公網IP地址不固定,可能會變動。
IP地址查詢工具或網站查詢的公網IP地址不準確。
常見問題
設置IP白名單后立刻生效嗎?
設置白名單后需要等待1分鐘左右才會生效。
為什么多了幾個不是我創建的白名單分組?
如果多的分組內IP是內網IP,通常是阿里云其他產品(例如DMS、DAS)自動生成的輔助控制臺某些功能的白名單,不會操作您任何業務數據。
不開放外網訪問,僅在內網訪問,會有安全風險嗎?
建議您將RDS實例切換為專有網絡,這樣只有將相同VPC內的ECS實例內網IP添加到RDS實例白名單內,該ECS實例才能訪問RDS實例。