建立RDS MySQL執行個體後,需要將IP地址添加到白名單,該IP地址所屬的裝置才能訪問該RDS執行個體。
前提條件
操作步驟
RDS預設已設定系統白名單,該白名單不顯示,用於允許系統帳號對資料庫的維護操作,關於系統帳號的更多資訊,請參見系統帳號說明。
訪問RDS執行個體列表,在上方選擇地區,然後單擊目標執行個體ID。
在左側導覽列中,單擊白名單與安全性群組。
確認IP白名單模式。
說明版本為MySQL 5.1、5.5、5.6、5.7,儲存類型為本地SSD盤的執行個體可以切換為高安全模式。其他版本的執行個體都採用通用模式。
單擊default分組右側的 修改 ,可通過如下兩種方法,在彈出的對話方塊中添加IP白名單。
說明如有需要,也可以單擊新增白名單分組,並自訂一個分組名稱。
方法一:把應用伺服器IP地址添加至組內白名單框中。查看應用伺服器IP,請參見附錄:如何擷取應用伺服器IP地址。您也可以單擊載入本機公網IP(如本機開啟了網路代理程式,請先關閉),直接添加本機公網IP。
說明多個IP地址用英文逗號隔開,且逗號前後不能有空格。
單個執行個體最多添加1000個IP地址或IP段。如果IP地址較多,建議將零散的IP合并為IP段,例如10.10.10.0/24。
如果第3步擷取的白名單模式是通用模式,則無額外注意事項。如果是高安全模式,需注意:
把公網IP或傳統網路ECS執行個體私網IP添加至傳統網路分組。
把專用網路ECS執行個體私網IP添加至專用網路分組。
方法二:單擊載入ECS內網IP,將顯示您當前阿里雲帳號以及當前地區下所有ECS執行個體的IP地址,您可快速添加ECS內網IP地址到白名單中。
添加後,該應用伺服器才能訪問RDS執行個體。
單擊確定。
下一步
相關文檔
常見問題
Q:為什麼沒有添加到白名單中的IP地址也可以訪問RDS?
A:您可以按照以下3種方法排查:
檢查所有的白名單分組,如果某個白名單分組包含該IP地址,則可以訪問RDS。
檢查所有的白名單分組,如果某個白名單分組中包含0.0.0.0/0,則表示所有IP地址都可以訪問RDS。
檢查所有的安全性群組,如果某個安全性群組包含該IP地址,則可以訪問RDS。
Q:如果在不開通外網的情況下,讓本機可以訪問RDS?
A:需要打通內網,詳情請參見串連本地IDC。
Q:白名單裡出現了一些IP地址,如何查看添加這些IP地址的操作者?
A:在執行個體詳情頁左側,單擊Action Trail,在頁面中的事件名稱輸入ModifySecurityIps,便可以查看到添加IP地址的操作者和操作詳情。
Q:如果使用者側應用沒有固定IP,怎麼加入到資料庫白名單裡?
A:如果使用者沒有固定IP,無法設定
0.0.0.0/0,建議使用者基於身分識別驗證而非IP的存取控制。例如,通過應用代理轉寄,帳號檢測過濾等。
附錄:確認是否滿足內網訪問的條件
附錄:如何擷取應用伺服器IP地址
表 1. 如何擷取應用伺服器IP地址
情境 | 需擷取的IP地址 | 如何擷取 |
滿足內網訪問的條件 | ECS執行個體私網IP |
|
需要通過ECS執行個體訪問RDS執行個體,但不滿足內網訪問的條件 | ECS執行個體公網IP | |
需要通過本地裝置訪問RDS執行個體 | 本地裝置公網IP | 在本地裝置,使用搜尋引擎(如百度)搜尋IP。 說明 該方式擷取的IP地址可能不準確,準確的查詢方式請參見外網無法串連RDS MySQL或MariaDB:如何正確填寫本地裝置的公網IP地址。 |
附錄:系統預設白名單
當DMS、DTS、DAS服務與RDS MySQL互動使用時,系統將預設為RDS MySQL執行個體添加如下白名單分組,用於上述服務可以正常訪問RDS MySQL執行個體。
分組名稱 | 說明 |
dms | 當使用DMS登入RDS MySQL執行個體時,系統預設為RDS MySQL執行個體添加的白名單,以便DMS能夠正常訪問RDS MySQL執行個體。 |
dts | 當使用DTS傳輸RDS MySQL執行個體資料時,系統預設為RDS MySQL執行個體添加的白名單,以便向RDS MySQL執行個體讀取或寫入資料。 |
hdm_security_ips | 當RDS MySQL使用DAS服務時,系統預設為RDS MySQL執行個體添加的白名單,以便DAS服務擷取RDS MySQL執行個體資料,對資料庫進行最佳化、營運和安全管理。 重要 對於2020年12月之後的建立執行個體,hdm_security_ips白名單分組對使用者不可見,防止誤修改或刪除分組,影響相關服務的使用。 |