You need to enable JavaScript to run this app.
导航

创建白名单

最近更新时间2023.10.17 15:04:23

首次发布时间2022.09.22 21:18:51

本文介绍如何手动将客户端 IP 地址、地址段或 ECS 安全组 IP 添加到白名单,进而实现成功访问 MySQL 实例。

背景信息

白名单是数据库连接的安全防控手段,只有白名单内的 IP 地址才能访问数据库。MySQL 实例在创建后,不会绑定任何白名单,默认禁止所有 IP 地址访问实例。因此无论是通过 VPC 内网还是通过公网连接访问实例,均需要先配置实例的白名单,才能保证实例可连接。

说明

如果您之前使用过数据库工作台(DBW)提供的会话管理功能,进行了跨服务授权,实例会被 DBW 添加名为 DBW_Sole_Group_Name_For_RDS 的白名单。该白名单包含了 DBW 的后台服务宿主机的 IP 地址,不允许删除。

白名单支持设置 CIDR 格式的 IP 地址段,如:192.168.0.0/24((/)后面可输入 0~31 间的任一整数),允许该网段内 IP 地址访问。

MySQL 安全组已关联 ECS 安全组,在创建白名单时支持添加 ECS 安全组,可以将对应 ECS 安全组下所有的 ECS 实例的 IP 地址导入到该白名单中,使这些 ECS 安全组下的所有 ECS 实例都可以访问该白名单绑定的 MySQL 实例。

白名单需要定期维护,移除不再需要访问 MySQL 实例的 IP 地址,保障数据库连接的安全性。

使用限制

  • 每个租户的每个产品在每个 Region 下最多可以创建 500 个白名单。
  • 每个白名单最多可以包含 1000 个 IP 或 IP 段。
  • 每个白名单最多可以被 500 个实例绑定。
  • 单个实例最多可以绑定 100 个 IP 白名单。
  • 单个白名单单次最多可选择添加 10 个安全组。
  • 单个实例最多支持 1000 个 IP 或 IP 段(绑定的所有白名单中 IP 或 IP 段的总和)。当 IP 地址较多时,建议将零散的 IP 合并为 IP 段。

注意事项

如果设置 0.0.0.0/0,将允许所有地址访问;如果设置 127.0.0.1,将禁止所有地址访问。如果同时设置了 0.0.0.0/0127.0.0.1,则允许所有地址访问。

操作步骤

  1. 登录云数据库 MySQL 版控制台

  2. 在顶部菜单栏的左上角,选择白名单所属的地域。

  3. 在左侧导航栏单击白名单列表

  4. 单击创建白名单。在弹出的创建白名单页面中添加白名单名称描述IP 地址,单击确定

    参数 说明
    白名单名称 必填。命名规则如下:
    • 名称唯一。
    • 以中文、字母或下划线(_)开头。
    • 只能包含中文、字母、数字、下划线(_)和中划线(-)。
    • 长度为 1~128 个字符。
    描述 选填。描述信息可以用于在白名单列表中搜索白名单,描述内容长度应不超过 200 个字符。
    IP 地址 必填。只有添加到白名单中的 IP 地址才可以访问该实例。支持粘贴 IP 地址或地址段,以中英文逗号、空格或换行符隔开。
    添加安全组IP 单击添加安全组IP,勾选需要添加的安全组,将安全组下所有 ECS 的 IP 导入该白名单中。

常见问题

MySQL 实例必须设置白名单吗?
MySQL 实例创建后默认不绑定任何白名单,任何 IP 均无法访问该 MySQL 实例。

单个实例最多可以绑定多少个白名单?
单个实例最多可以绑定 100 个白名单。

每个白名单最多支持多少 IP 或者 IP 段?
每个白名单最多支持 1000 个 IP 或 IP 段。

一个白名单支持绑定到多个实例吗?
支持。一个白名单最多支持绑定到 200 个实例。

相关 API

API
描述
DescribeAllowLists调用 DescribeAllowLists 接口查询当前账号下指定地域内的所有 IP 白名单信息。
DescribeAllowListDetail调用 DescribeAllowListDetail 接口查询目标白名单组的详细信息,包括 IP 地址和绑定的实例详情。
CreateAllowList调用 CreateAllowList 接口创建一个新的 IP 白名单。
ModifyAllowList调用 ModifyAllowList 接口修改目标白名单设置(例如白名单名称、 IP 白名单地址等)。
DeleteAllowList调用 DeleteAllowList 接口删除目标白名单。
AssociateAllowList调用 AssociateAllowList 接口将目标实例绑定到指定 IP 白名单中。
DisassociateAllowList调用 DisassociateAllowList 接口将目标实例从指定 IP 白名单中解绑。