建立RDS執行個體後,您需要設定RDS執行個體的白名單,以允許外部裝置訪問該RDS執行個體。
操作環境
IP白名單指允許訪問RDS執行個體的IP清單。設定IP白名單可以讓RDS執行個體得到進階別的訪問安全保護,建議您定期維護白名單。
通常需要設定IP白名單的情境如下:
情境1
建立RDS執行個體後,您需要將外部IP地址添加至IP白名單中,外部裝置才可以正常訪問該RDS執行個體。
情境2
當資料庫連接異常時,您可以檢查白名單設定是否正確。
不同串連情境下,IP白名單的設定請參見下表。
說明Virtual Private Cloud是阿里雲上一種隔離的網路環境,安全性比傳統的傳統網路更高。
串連情境
網路類型
IP白名單設定
ECS執行個體和RDS執行個體串連
兩個執行個體在相同Virtual Private Cloud內(推薦)
添加ECS執行個體私人IP地址。
兩個執行個體在不同Virtual Private Cloud內
不同專用網路的執行個體無法內網互連,您可以參考如下方案:
切換RDS專用網路,選擇和ECS執行個體相同的VPC。
說明ECS執行個體和RDS執行個體需要處於相同地區才能切換到相同VPC。如果地區不同,為業務穩定,建議您通過DTS將RDS執行個體遷移至ECS執行個體所屬地區。詳情請參見RDS PostgreSQL執行個體間資料移轉。
在IP白名單中添加ECS執行個體私人IP地址。
兩個執行個體均為傳統網路
添加ECS執行個體私人IP地址。
ECS執行個體為傳統網路
RDS執行個體為專用網路
不同網路類型的執行個體無法內網互連,您可以參考如下方案:
將ECS執行個體從傳統網路遷移到專用網路,選擇和RDS執行個體相同的VPC。
說明ECS執行個體和RDS執行個體需要處於相同地區才能切換到相同VPC。如果地區不同,為業務穩定,建議您通過DTS將RDS執行個體遷移至ECS執行個體所屬地區。詳情請參見RDS PostgreSQL執行個體間資料移轉。
在IP白名單中添加ECS執行個體私人IP地址。
ECS執行個體為專用網路
RDS執行個體為傳統網路
不同網路類型的執行個體無法內網互連,您可以參考如下方案:
把RDS執行個體從傳統網路切換為專用網路,選擇和ECS執行個體相同的VPC。
說明ECS執行個體和RDS執行個體需要處於相同地區才能切換到相同VPC。如果地區不同,為業務穩定,建議您通過DTS將RDS執行個體遷移至ECS執行個體所屬地區。詳情請參見RDS PostgreSQL執行個體間資料移轉。
在IP白名單中添加ECS執行個體私人IP地址。
雲外主機串連RDS執行個體
無
在IP白名單中添加雲外主機的公網IP地址。
說明雲外主機的應用程式中使用RDS執行個體的外網串連地址。
定位本地公網IP地址請參見外網無法串連RDS MySQL或MariaDB:如何正確填寫本地裝置的公網IP地址。
注意事項
單個執行個體最多支援50個IP白名單分組。
設定白名單不會影響RDS執行個體的正常運行。
預設的IP白名單分組(default )不能刪除,只能清空。
請勿修改或刪除系統自動產生的分組,避免影響相關產品的使用。例如ali_dms_group(DMS產品IP地址白名單分組)、hdm_security_ips(DAS產品IP地址白名單分組)。
重要為防止誤修改或刪除白名單分組,2020年12月之後的建立執行個體,hdm_security_ips白名單分組對使用者不可見。
預設的IP白名單只包含127.0.0.1,表示任何IP均無法訪問該RDS執行個體。
設定通用模式IP白名單
通用白名單模式不區分傳統網路和專用網路。在通用白名單模式下,設定的IP地址,既可通過傳統網路,也可通過專用網路訪問RDS執行個體。
- 訪問RDS執行個體列表,在上方選擇地區,然後單擊目標執行個體ID。
在左側導覽列單擊白名單與安全性群組。
單擊添加白名單分組,填寫分組名稱或單擊已有分組的修改。
填寫需要訪問該執行個體的IP地址或IP段,然後單擊確定。
說明用英文逗號隔開多個IP地址或IP段,且逗號前後不能有空格,例如
192.168.0.1,172.16.213.9
。單個執行個體最多添加1000個IP地址或IP段。當IP地址較多時,建議將零散的IP合并為IP段,例如
10.10.10.0/24
。
(可選)如果當前執行個體包含唯讀執行個體,可以通過參數白名單同步到唯讀執行個體配置白名單同步,將主執行個體的白名單同步至指定的唯讀執行個體。當有多個唯讀執行個體時,支援多選。
(可選)單擊載入ECS內網IP,將顯示您當前阿里雲帳號下所有ECS執行個體的IP地址,可快速添加ECS私人IP地址到白名單中。
高安全白名單模式IP白名單
本地碟儲存類型即將停止售賣,新購執行個體將為雲端硬碟執行個體,不再支援高安全白名單模式,更多資訊,請參見【停售/下線】2023年09月01日起RDS PostgreSQL停止售賣本地SSD盤。
高安全白名單模式區分傳統網路和專用網路。在高安全白名單模式下,白名單分組需指定網路隔離模式,例如設定在傳統網路的白名單IP地址,不可從專用網路訪問RDS執行個體,反之亦然。
僅本地SSD盤執行個體支援高安全白名單模式,如果執行個體已經是高安全白名單模式,參見下文進行設定即可。如果需要切換為高安全白名單模式,請參見切換為高安全白名單模式。
- 訪問RDS執行個體列表,在上方選擇地區,然後單擊目標執行個體ID。
在左側導覽列單擊白名單與安全性群組。
單擊添加白名單分組,選擇網路隔離模式。
填寫分組名稱。
在組內白名單中,填寫需要訪問該執行個體的IP地址或IP段,然後單擊確定。
說明用英文逗號隔開多個IP地址或IP段,且逗號前後不能有空格,例如
192.168.0.1,172.16.213.9
。單個執行個體最多添加1000個IP地址或IP段。當IP地址較多時,建議將零散的IP合并為IP段,例如10.10.10.0/24。
(可選)如果當前執行個體包含唯讀執行個體,可以通過參數白名單同步到唯讀執行個體配置白名單同步,將主執行個體的白名單同步至指定的唯讀執行個體。當有多個唯讀執行個體時,支援多選。
(可選)單擊載入ECS內網IP,將顯示您當前阿里雲帳號下所有ECS執行個體的IP地址,可快速添加ECS私人IP地址到白名單中。
說明高安全白名單模式請注意選擇網路隔離模式。
下一步
相關API
API | 描述 |
查看RDS執行個體IP白名單 | |
修改RDS執行個體IP白名單 |