RDS数据库如何设置白名单？

设置IP白名单

注意事项

• 默认的IP白名单分组只能被修改或清空，不能被删除。

• 当未设置白名单登录CloudDBA和DMS时，会提示添加IP才可以正常登录，会自动生成相应的白名单分组。

• 设置白名单之前，您需要确认实例处于哪种网络隔离模式，根据模式查看相应的操作步骤。

说明 RDS实例所处的内网分为 经典网络和 专有网络两种。

• 经典网络：IP地址由阿里云自动分配，配置简便，使用方便，适合对操作易用性要求比较高、需要快速使用的用户。

• 专有网络：由用户自定义网络拓扑和 IP 地址，支持通过专线连接，适合于熟悉网络管理的用户。

高安全白名单模式操作步骤

1. 登录RDS管理控制台。

2. 在页面左上角，选择实例所在地域。
   
   

3. 找到目标实例，单击实例ID。

4. 在左侧导航栏中选择数据安全性。

5. 在白名单设置页面中，根据以下连接类型进行后续操作。

   说明

   
   
   

• 若需要ECS实例通过内网地址（专有网络地址和经典网络地址）连接到RDS，请确保两者处于同一地域内，且网络类型相同，否则设置了白名单也无法连接成功。

• 您也可以单击添加白名单分组新建自定义分组，根据连接类型选择专有网络或经典网络 及 外网地址。

• 专有网络下的ECS实例连接到RDS实例：单击default 专有网络分组右侧的修改。

• 经典网络下的ECS实例连接到RDS实例：单击default 经典网络分组右侧的修改。

• 外网的实例或主机连接到RDS实例：单击default 经典网络分组右侧的修改。

6. 在在弹出的对话框中，填写需要访问该实例的IP地址或 IP 段，然后单击确定。

   说明 当您在 default分组中添加新的IP地址或IP段后，默认地址127.0.0.1会被自动删除。

   
   
   

• 若填写IP段，如10.10.10.0/24，则表示10.10.10.X的IP地址都可以访问该RDS实例。

• 若您需要添加多个IP地址或IP段，请用英文逗号隔开（逗号前后都不能有空格），例如192.168.0.1,172.16.213.9。

• 单击加载ECS内网IP后，将显示您当前阿里云账号下所有ECS实例的IP地址，可快速添加ECS内网IP地址到白名单中。

通用白名单模式操作步骤

1. 登录RDS管理控制台。

2. 在页面左上角，选择实例所在地域。

3. 找到目标实例，单击实例ID。

4. 在左侧导航栏中选择数据安全性。

5. 在白名单设置页面中，单击default白名单分组中的修改，如下图所示。

   说明 您也可以单击 添加白名单分组新建自定义分组。

   
   
   

6. 在修改白名单分组对话框中，填写需要访问该实例的IP地址或 IP 段，然后单击确定。

   说明 当您在 default分组中添加新的IP地址或IP段后，默认地址127.0.0.1会被自动删除。

   
   
   

• 若填写IP段，如10.10.10.0/24，则表示10.10.10.X的IP地址都可以访问该RDS实例。

• 若您需要添加多个IP地址或IP段，请用英文逗号隔开（逗号前后都不能有空格），例如192.168.0.1,172.16.213.9。

• 单击加载ECS内网IP后，将显示您当前阿里云账号下所有ECS实例的IP地址，可快速添加ECS内网IP地址到白名单中。

常见错误案例

• 由于数据安全性 > 白名单设置中只有默认地址127.0.0.1。该地址表示不允许任何设备访问RDS实例。因此需在白名单中添加对端的IP地址。

• 白名单设置成了0.0.0.0，正确格式为0.0.0.0/0。

  说明 0.0.0.0/0表示允许任何设备访问RDS实例，请谨慎使用。

• 如果开启了高安全白名单模式，需进行如下检查：

• 如果使用的是专有网络的内网连接地址，请确保ECS内网IP地址添加到了default 专有网络的分组。

• 如果使用的是经典网络的内网连接地址，请确保ECS内网IP地址添加到了default 经典网络的分组。

• 如果通过公网连接，请确保设备公网IP地址添加到了default 经典网络的分组（专有网络的分组不适用于公网）。

• 您在白名单中添加的设备公网IP地址可能并非设备真正的出口IP地址。原因如下：

  解决办法请参见RDS for MySQL或MariaDB TX如何定位本地公网IP地址。

• 公网IP地址不固定，可能会变动。

• IP地址查询工具或网站查询的公网IP地址不准确。

设置ECS安全组

ECS安全组是一种虚拟防火墙，用于控制安全组中的ECS实例的出入流量。在RDS白名单中添加ECS安全组后，该安全组中的ECS实例就可以访问RDS实例。

关于ECS安全组的更多信息，请参见创建安全组。

注意事项

• 支持ECS安全组的RDS版本：MySQL 5.6/5.7。

• 您可以同时设置IP白名单和ECS安全组。IP白名单中的IP地址和安全组中的ECS实例都可以访问该RDS实例。

• 目前仅支持添加一个ECS安全组。

• 白名单中的ECS安全组的更新将实时应用到白名单。

操作步骤

1. 登录RDS管理控制台。

2. 选择目标实例所在地域。

3. 单击目标实例的ID，进入基本信息页面。

4. 在左侧导航栏中选择数据安全性。

5. 在白名单设置页面中，单击添加安全组。

   说明 带有VPC标识的ECS安全组为专有网络中的安全组。

6. 选中要添加的安全组，单击确定。