RDS執行個體的IP白名單可以從通用白名單模式切換為高安全白名單模式,高安全白名單模式會區分傳統網路的IP白名單和專用網路的IP白名單。
前提條件
執行個體儲存類型為本地SSD盤。
執行個體版本為MySQL 5.1、5.5、5.6、5.7。
背景資訊
RDS執行個體的IP白名單分為兩種模式:
通用白名單模式
該模式下,IP白名單分組間網路不隔離,即不區分網路類型。白名單中的IP地址,可同時適用於傳統網路和專用網路。
高安全白名單模式
該模式下,IP白名單分組間網路隔離,即區分網路類型,可分為適用於傳統網路的白名單分組和適用於專用網路的白名單分組。您在建立IP白名單分組時需要先指定網路類型。
切換為高安全白名單模式後的變化
對於專用網路的執行個體,原有的IP白名單將全量複製為一個適用於專用網路的IP白名單分組。
對於傳統網路的執行個體,原有的IP白名單將全量複製為一個適用於傳統網路的IP白名單分組。
對於處於混訪模式(專用網路+傳統網路)的執行個體,原有的IP白名單將全量複製為兩個完全相同的IP白名單分組,分別適用於專用網路和傳統網路。
切換為高安全模式不會影響白名單中的ECS安全性群組。
切換為高安全模式耗時約三分鐘,切換期間不影響應用串連。
注意事項
切換為高安全白名單模式後無法切換回通用白名單模式。
高安全白名單模式下,傳統網路白名單分組也適用於公網訪問。如果有公網裝置要訪問RDS執行個體,請將公網裝置IP地址添加到傳統網路白名單分組。
操作步驟
- 訪問RDS執行個體列表,在上方選擇地區,然後單擊目標執行個體ID。
在左側導覽列中,單擊白名單與安全性群組。
在白名單設定頁簽中,單擊切換高安全白名單模式(推薦)。
在彈出的對話方塊中,單擊確認切換。
常見問題
高安全白名單模式時,從外網訪問執行個體,需要將公網IP添加到哪個分組?
需要添加到傳統網路類型的分組。
高安全白名單模式的優勢在哪裡?
優勢在於區分網路類型。例如在專用網路中允許某個IP訪問,該IP僅能在專用網路內訪問執行個體,公網中相同的IP無法訪問執行個體,增加了執行個體的安全性。