ApsaraDB RDS：設定IP白名單

操作步驟

1. 訪問RDS執行個體列表，在上方選擇地區，然後單擊目標執行個體ID。

2. 在左側導覽列中，單擊白名單與安全性群組。

3. 確認IP白名單模式。

   說明

   版本為MySQL 5.1、5.5、5.6、5.7，儲存類型為本地SSD盤的執行個體可以切換為高安全模式。其他版本的執行個體都採用通用模式。

4. 單擊default分組右側的 修改 ，可通過如下兩種方法，在彈出的對話方塊中添加IP白名單。

   說明

   如有需要，也可以單擊新增白名單分組，並自訂一個分組名稱。

   • 方法一：把應用伺服器IP地址添加至組內白名單框中。查看應用伺服器IP，請參見附錄：如何擷取應用伺服器IP地址。您也可以單擊載入本機公網IP（如本機開啟了網路代理程式，請先關閉），直接添加本機公網IP。

     說明

     • 多個IP地址用英文逗號隔開，且逗號前後不能有空格。

     • 單個執行個體最多添加1000個IP地址或IP段。如果IP地址較多，建議將零散的IP合并為IP段，例如10.10.10.0/24。

     • 如果第3步擷取的白名單模式是通用模式，則無額外注意事項。如果是高安全模式，需注意：

       • 把公網IP或 傳統網路 ECS執行個體私網IP添加至傳統網路分組。

       • 把專用網路ECS執行個體私網IP添加至專用網路分組。

   • 方法二：單擊載入ECS內網IP，將顯示您當前阿里雲帳號以及當前地區下所有ECS執行個體的IP地址，您可快速添加ECS內網IP地址到白名單中。

   添加後，該應用伺服器才能訪問RDS執行個體。

5. 單擊確定。

下一步

通過命令列、用戶端串連RDS MySQL執行個體

相關文檔

• API：ModifySecurityIps

• API：DescribeDBInstanceIPArrayList

• 其它引擎請參見：

  • SQL Server設定白名單

  • PostgreSQL設定白名單

  • MariaDB設定白名單

常見問題

• Q：為什麼沒有添加到白名單中的IP地址也可以訪問RDS?

  A：您可以按照以下3種方法排查：

  • 檢查所有的白名單分組，如果某個白名單分組包含該IP地址，則可以訪問RDS。

  • 檢查所有的白名單分組，如果某個白名單分組中包含0.0.0.0/0，則表示所有IP地址都可以訪問RDS。

  • 檢查所有的安全性群組，如果某個安全性群組包含該IP地址，則可以訪問RDS。

• Q：如果在不開通外網的情況下，讓本機可以訪問RDS？

  A：需要打通內網，詳情請參見串連本地IDC。

• Q：白名單裡出現了一些IP地址，如何查看添加這些IP地址的操作者？

  A：在執行個體詳情頁左側，單擊Action Trail，在頁面中的事件名稱輸入ModifySecurityIps，便可以查看到添加IP地址的操作者和操作詳情。

• Q：如果使用者側應用沒有固定IP，怎麼加入到資料庫白名單裡？

  A：如果使用者沒有固定IP，無法設定0.0.0.0/0，建議使用者基於身分識別驗證而非IP的存取控制。例如，通過應用代理轉寄，帳號檢測過濾等。

附錄：確認是否滿足內網訪問的條件

1. 查看 ECS 執行個體的地區和 網路類型 ，具體參見準備工作。
2. 查看RDS執行個體的地區和網路類型。
   訪問RDS執行個體列表，在上方選擇目標執行個體所在地區，找到目標執行個體，即可看到地區、網路類型、VPC ID。
3. 確認是否滿足內網訪問的條件：
   1. ECS執行個體與RDS執行個體位於同一地區。
   2. ECS執行個體與RDS執行個體的網路類型相同。如果都是專用網路，專用網路ID也需要相同。
   說明 任意一項不滿足，就無法通過內網訪問RDS。

附錄：如何擷取應用伺服器IP地址

附錄：系統預設白名單

當DMS、DTS、DAS服務與RDS MySQL互動使用時，系統將預設為RDS MySQL執行個體添加如下白名單分組，用於上述服務可以正常訪問RDS MySQL執行個體。