建立RDS執行個體後,暫時還無法訪問,您需要設定RDS執行個體的白名單,以允許外部裝置訪問該執行個體。
背景資訊
RDS的IP白名單詳細說明如下:
- 添加IP地址,允許這些IP地址訪問該RDS執行個體。 預設的IP白名單只包含127.0.0.1,表示任何裝置均無法訪問該RDS執行個體。
- IP白名單支援通用白名單模式。通用白名單模式中的IP地址既適用於傳統網路,也適用於專用網路。RDS MariaDB執行個體只支援專用網路。
- 設定白名單可以讓RDS執行個體得到進階別的訪問安全保護,建議您定期維護白名單。設定白名單不會影響RDS執行個體的正常運行。
IP白名單注意事項
- 您可以修改或清空預設的IP白名單,但是不能將其刪除。
- 單個執行個體最多支援50個IP白名單分組。
- 單個執行個體最多添加1000個IP或IP段,即所有IP白名單分組內的IP或IP段總和不能超過1000。當IP較多時,建議將零散的IP合并為IP段,例如10.10.10.0/24,(CIDR模式,即無類域間路由,/24表示地址中首碼的長度,範圍為1~32)。
- ali_dms_group(DMS產品IP地址白名單分組)、hdm_security_ips(DAS產品IP地址白名單分組)等分組為使用相關產品時系統自動產生。請勿修改或刪除分組,避免影響相關產品的使用。 重要
- 請勿在這些分組裡增加自己的業務IP,避免相關產品更新時覆蓋掉您的業務IP,影響業務正常運行。
- 為防止誤修改或刪除白名單分組,2020年12月之後的建立執行個體,hdm_security_ips白名單分組對使用者不可見。
通用白名單模式設定IP白名單
- 訪問RDS執行個體列表,在上方選擇地區,然後單擊目標執行個體ID。
- 在左側導覽列中單擊白名單與安全性群組。
- 在白名單設定頁簽中,單擊default白名單分組中的修改。說明 您也可以單擊添加白名單分組建立自訂分組。
- 在修改白名單分組對話方塊中,填寫需要訪問該執行個體的IP地址或IP段,然後單擊確定。說明
- 當您在default分組中添加新的IP地址或IP段後,系統自動刪除預設地址127.0.0.1。
- 若您需要添加多個IP地址或IP段,請用英文逗號隔開(逗號前後都不能有空格),例如
192.168.0.1,172.16.213.9。 - 單擊載入ECS內網IP後,將顯示您當前阿里雲帳號下所有ECS執行個體的IP地址,可快速添加ECS內網IP地址到白名單中。
常見IP白名單設定錯誤案例
- 白名單與安全性群組 > 白名單設定中只有預設地址127.0.0.1。
該地址表示不允許任何裝置訪問RDS執行個體。因此需在白名單中添加對端的IP地址。
- 白名單設定為0.0.0.0。
正確格式為0.0.0.0/0。
重要 0.0.0.0/0表示允許任何裝置訪問RDS執行個體,請謹慎使用。 - 白名單中添加的裝置公網IP地址並非裝置真正的出口IP地址。
原因如下:
- 公網IP地址不固定,可能會變動。
- IP地址查詢工具或網站查詢的公網IP地址不準確。
常見問題
- 設定IP白名單後立刻生效嗎?
設定白名單後需要等待1分鐘左右才會生效。
- 為什麼多了幾個不是我建立的白名單分組?
如果多的分組內IP是內網IP,通常是阿里雲其他產品(例如DMS、DAS)自動產生的輔助控制台某些功能的白名單,不會操作您任何業務資料。
- 不開放外網訪問,僅在內網訪問,會有安全風險嗎?
建議您將RDS執行個體切換為專用網路,這樣只有將相同VPC內的ECS執行個體內網IP添加到RDS執行個體白名單內,該ECS執行個體才能訪問RDS執行個體。