You need to enable JavaScript to run this app.
导航
云数据库 MySQL 版
  • 文档首页
    • /
  • 云数据库 MySQL 版

创建白名单

最近更新时间2024.03.25 21:38:30

首次发布时间2021.12.09 16:03:45

我的收藏

本文介绍如何手动将客户端 IP 地址、地址段或 ECS 安全组添加到白名单,进而实现成功访问 MySQL 实例。

背景信息

白名单是数据库连接的安全防控手段,只有白名单内的 IP 地址才能访问数据库。MySQL 实例在创建后,不会绑定任何白名单,默认禁止所有 IP 地址访问实例。因此无论是通过 VPC 内网还是通过公网连接访问实例,均需要先配置实例的白名单,才能保证实例可连接。

说明

如果您之前使用过数据库工作台(DBW)提供的会话管理功能,进行了跨服务授权,实例会被 DBW 添加名为 DBW_Sole_Group_Name_For_RDS 的白名单。该白名单包含了 DBW 的后台服务宿主机的 IP 地址,不允许删除。

白名单支持设置 CIDR 格式的 IP 地址段,如:192.168.0.0/24((/)后面可输入 0~31 间的任一整数),允许该网段内 IP 地址访问。

MySQL 白名单已支持关联 ECS 安全组,支持为 MySQL 白名单绑定 ECS 安全组。绑定 ECS 安全组后,可以将对应 ECS 安全组下所有的 ECS 实例的 IP 地址导入到该白名单中,使这些 ECS 安全组下的所有 ECS 实例都可以访问该白名单绑定的 MySQL 实例。

云数据库 MySQL 版支持将某个白名单设置为默认白名单。设置为默认白名单后,在创建新实例、恢复到新实例和购买新实例时,都会自动绑定默认白名单。

白名单需要定期维护,移除不再需要访问 MySQL 实例的 IP 地址,保障数据库连接的安全性。

使用限制

  • 每个租户的每个产品在每个 Region 下最多可以创建 500 个白名单。
  • 每个白名单最多可以包含 300 个 IP 或 IP 段。
  • 每个白名单最多可以被 500 个实例绑定。
  • 单个实例最多可以绑定 100 个 IP 白名单。
  • 每个白名单最多可绑定 10 个安全组。
  • 单个实例最多支持 300 个 IP 或 IP 段(绑定的所有白名单中 IP 或 IP 段的总和)。当 IP 地址较多时,建议将零散的 IP 合并为 IP 段。

注意事项

  • 如果设置 0.0.0.0/0,将允许所有地址访问;如果设置 127.0.0.1,将禁止所有地址访问。如果同时设置了 0.0.0.0/0127.0.0.1,则允许所有地址访问。

  • 通过跨 VPC 方式访问 MySQL 实例时,需要将 100.64.0.0/10 添加至实例白名单。

  • 如设定白名单为默认白名单,在创建新实例、恢复到新实例和购买相同配置实例时,如果不做手动设置,都会自动选定默认白名单。由于每个白名单最多可绑定 500 个实例,超过 500 个实例时无法绑定。建议定期查看默认白名单绑定的实例数量,定期更新默认白名单。

  • 如设定白名单为默认白名单,该白名单不可直接删除。需先通过编辑白名单修改为普通白名单并解除与实例的绑定后才能删除。

  • 如果安全组在被白名单关联之后进行了更新,则需要在白名单列表中单击目标白名单的操作列的同步安全组以使该白名单获得安全组更新后的 IP。

  • 如果安全组在被白名单关联之后进行了更新,编辑关联了该安全组的白名单后提交时,会自动同步安全组的更新。

  • 如果创建白名单时指定其为默认白名单,该白名单会替代原有的默认白名单(如有)。

操作步骤

  1. 登录云数据库 MySQL 版控制台

  2. 在顶部菜单栏的左上角,选择白名单所属的地域。

  3. 在左侧导航栏单击白名单列表

  4. 单击创建白名单。在弹出的创建白名单页面中添加白名单名称描述IP 地址,单击确定

    参数说明

    白名单名称

    必填。命名规则如下:

    • 名称唯一。
    • 以中文、字母或下划线(_)开头。
    • 只能包含中文、字母、数字、下划线(_)和中划线(-)。
    • 长度为 1~128 个字符。
    描述选填。描述信息可以用于在白名单列表中搜索白名单,描述内容长度应不超过 200 个字符。
    IP 地址必填。只有添加到白名单中的 IP 地址才可以访问该实例。支持粘贴 IP 地址或地址段,以中英文逗号、空格或换行符隔开。
    默认白名单选择是否为默认白名单。
    添加安全组IP单击添加安全组IP,勾选需要添加的安全组,将安全组下所有 ECS 的 IP 导入该白名单中。

    安全组

    支持将云数据库 MySQL 版白名单关联 ECS 安全组。如果在关联后调整了 ECS 安全组,可在云数据库 MySQL 版白名单同步安全组,及时获得最新的 IP 列表。
    单击选择安全组,在编辑安全组窗口中选择需要绑定的安全组。支持通过两种模式进行绑定:

    • 关联 ECSIP:允许安全组内的云服务器访问数据库,当前仅支持主网卡的IP信息导入。
    • 关联入方向 IP:允许安全组入方向的源地址中 TCP 协议涉及的 IP 访问数据库,若源地址中配置为安全组将被忽略。

    说明

    • 可同时通过两种方式关联 ECS 安全组。
    • 采用关联入方向 IP 方式绑定安全组时,如果安全组中某地址的策略为拒绝,那么该地址将不会被加入到 MySQL 白名单。

常见问题

MySQL 实例必须设置白名单吗?
如果有设置默认白名单,MySQL 实例在创建后会绑定默认白名单。如果没有设置默认白名单,实例创建后不绑定任何白名单,任何 IP 均无法访问该 MySQL 实例。

单个实例最多可以绑定多少个白名单?
单个实例最多可以绑定 100 个白名单。

每个白名单最多支持多少 IP 或者 IP 段?
每个白名单最多支持 300 个 IP 或 IP 段。

一个白名单支持绑定到多个实例吗?
支持。一个白名单最多支持绑定到 500 个实例。

相关 API

API
描述
DescribeAllowLists调用 DescribeAllowLists 接口查询当前账号下指定地域内的所有 IP 白名单信息。
DescribeAllowListDetail调用 DescribeAllowListDetail 接口查询目标白名单组的详细信息,包括 IP 地址和绑定的实例详情。
CreateAllowList调用 CreateAllowList 接口创建一个新的 IP 白名单。
ModifyAllowList调用 ModifyAllowList 接口修改目标白名单设置(例如白名单名称、 IP 白名单地址等)。
DeleteAllowList调用 DeleteAllowList 接口删除目标白名单。
AssociateAllowList调用 AssociateAllowList 接口将目标实例绑定到指定 IP 白名单中。
DisassociateAllowList调用 DisassociateAllowList 接口将目标实例从指定 IP 白名单中解绑。