全部產品
Search

搜尋本產品

    ApsaraDB RDS:設定白名單

    文件中心

    ApsaraDB RDS:設定白名單

    更新時間:Jun 19, 2024

    建立RDS SQL Server執行個體後,暫時還無法訪問該執行個體,您需要設定RDS SQL Server執行個體的白名單,即IP白名單或安全性群組,本文介紹如何設定IP白名單。

    其他引擎設定白名單請參見:

    操作環境

    IP白名單指允許訪問RDS執行個體的IP清單。設定IP白名單可以讓RDS執行個體得到進階別的訪問安全保護,建議您定期維護白名單。

    通常需要設定IP白名單的情境如下:

    • 情境1

      建立RDS執行個體後,您需要將外部IP地址添加至IP白名單中,外部裝置才可以正常訪問該RDS執行個體。

    • 情境2

      當資料庫連接異常時,您可以檢查白名單設定是否正確。

      不同串連情境下,IP白名單的設定請參見下表。

      說明

      Virtual Private Cloud是阿里雲上一種隔離的網路環境,安全性比傳統的傳統網路更高。

      串連情境

      網路類型

      IP白名單設定

      ECS執行個體和RDS執行個體串連

      兩個執行個體在相同Virtual Private Cloud內(推薦)

      添加ECS執行個體私人IP地址。

      兩個執行個體在不同Virtual Private Cloud內

      不同專用網路的執行個體無法內網互連。您可以將兩個執行個體切換至同一個VPC下,然後在IP白名單中添加私人IP地址。

      兩個執行個體均為傳統網路

      添加ECS執行個體私人IP地址。

      ECS執行個體為傳統網路

      RDS執行個體為專用網路

      不同網路類型的執行個體無法內網互連,您可以參考如下方案:

      1. 將ECS執行個體從傳統網路遷移到專用網路,選擇和RDS執行個體相同的VPC。

        說明

        ECS執行個體和RDS執行個體需要處於相同地區才能切換到相同VPC。如果地區不同,為業務穩定,建議您通過DTS將RDS執行個體遷移至ECS執行個體所屬地區。詳情請參見RDS SQL Server執行個體間資料移轉

      2. 在IP白名單中添加ECS執行個體私人IP地址。

      ECS執行個體為專用網路

      RDS執行個體為傳統網路

      不同網路類型的執行個體無法內網互連,您可以參考如下方案:

      1. 把RDS執行個體從傳統網路切換為專用網路,選擇和ECS執行個體相同的VPC。

        說明

        ECS執行個體和RDS執行個體需要處於相同地區才能切換到相同VPC。如果地區不同,為業務穩定,建議您通過DTS將RDS執行個體遷移至ECS執行個體所屬地區。詳情請參見RDS SQL Server執行個體間資料移轉

      2. 在IP白名單中添加ECS執行個體私人IP地址。

      雲外主機串連RDS執行個體

      在IP白名單中添加雲外主機的公網IP地址。

      說明

    注意事項

    • 單個執行個體最多支援50個IP白名單分組。

    • 設定白名單不會影響RDS執行個體的正常運行。

    • 預設的IP白名單分組(default )不能刪除,只能清空。

    • 請勿修改或刪除系統自動產生的分組,避免影響相關產品的使用。例如ali_dms_groupDMS產品IP地址白名單分組)、hdm_security_ipsDAS產品IP地址白名單分組)。

      重要

      為防止誤修改或刪除白名單分組,2020年12月之後的建立執行個體,hdm_security_ips白名單分組對使用者不可見。

    • 預設的IP白名單只包含127.0.0.1,表示任何IP均無法訪問該RDS執行個體。

    操作步驟

    通用白名單模式不區分傳統網路和專用網路。在通用白名單模式下,設定的IP地址,既可通過傳統網路,也可通過專用網路訪問RDS執行個體。

    1. 訪問RDS執行個體列表,在上方選擇地區,然後單擊目標執行個體ID。

    2. 在左側導覽列單擊白名單與安全性群組

      白名單設定頁面,可查看當前的IP白名單模式。

      說明

      較早建立的執行個體可能採用高安全模式。新建立的執行個體都採用通用白名單模式。

    3. 單擊新增白名單分組,填寫分組名稱並把應用伺服器IP地址添加至白名單中,單擊確定

      添加後,該應用伺服器才能訪問RDS執行個體,請根據下表,確認您當前的情境,根據情境擷取正確的IP地址,並將其添加至白名單。

      情境

      需擷取的IP地址

      如何擷取

      滿足內網訪問的條件

      ECS執行個體私網IP

      1. 點此開啟ECS執行個體列表

      2. 在頂部選擇執行個體所在地區。

      3. 在執行個體列表可以看到私網IP和公網IP。

      ECS

      需要通過ECS執行個體訪問RDS執行個體,但不滿足內網訪問的條件

      ECS執行個體公網IP

      需要通過本地裝置訪問RDS執行個體

      本地裝置公網IP

      在本地裝置中,使用搜尋引擎(如百度)搜尋IP。

      說明

      該方式擷取的IP地址可能不準確。

      說明

      • 您也可以單擊default分組右側的修改,變更組內白名單。

      • 多個IP地址用半形逗號(,)隔開,且逗號前後不能有空格,例如192.XXX.XXX.1,172.XXX.XXX.9

      • 單個執行個體最多添加1000個IP地址或IP段。如果IP地址較多時,建議將零散的IP合并為IP段,例如10.10.10.0/24。

      • 如果擷取的白名單模式是通用模式,則無額外注意事項。如果是高安全模式,需注意

        • 把公網IP或傳統網路ECS執行個體私網IP添加至傳統網路分組。

        • 把專用網路ECS執行個體私網IP添加至專用網路分組。

    4. (可選)在新增白名單分組彈窗中,單擊載入ECS內網IP,將顯示您當前阿里雲帳號下所有ECS執行個體的IP地址,可快速添加ECS私人IP地址到白名單中。添加白名單分組

    下一步

    建立資料庫和帳號

    相關API

    API

    描述

    ModifySecurityIps

    修改RDS執行個體IP白名單。

    DescribeDBInstanceIPArrayList

    查詢RDS執行個體IP白名單。