白名单是数据库连接的安全防控手段,只有添加到白名单的 IP 地址才能够成功访问 MySQL 实例。为保证数据库连接的安全性,白名单需要定期维护以清除不再需要访问数据库的 IP 地址。本文介绍编辑白名单的方式以对白名单和白名单中的 IP 地址进行管理。
白名单是数据库连接的安全防控手段,只有白名单内的 IP 地址才能访问数据库。MySQL 实例在创建后,不会绑定任何白名单,默认禁止所有 IP 地址访问实例。因此无论是通过 VPC 内网还是通过公网连接访问实例,均需要先配置实例的白名单,才能保证实例可连接。
白名单支持设置 CIDR 格式的 IP 地址段,如:192.168.0.0/32((/)后面可输入 0~31 间的任一整数),允许该网段内 IP 地址访问。
MySQL 白名单已支持关联 ECS 安全组,支持为 MySQL 白名单绑定 ECS 安全组。绑定 ECS 安全组后,可以将对应 ECS 安全组下所有的 ECS 实例的 IP 地址导入到该白名单中,使这些 ECS 安全组下的所有 ECS 实例都可以访问该白名单绑定的 MySQL 实例。
云数据库 MySQL 版支持将某个白名单设置为默认白名单。设置为默认白名单后,在创建新实例、恢复到新实例和购买新实例时,都会自动绑定默认白名单。
如果您之前使用过数据库工作台(DBW)提供的会话管理功能,或使用过数据库传输服务(DTS)对 MySQL 实例进行过操作,实例会被添加系统内置白名单。系统内置白名单不支持编辑、解绑或删除。
DBW_Sole_Group_Name_For_RDS。dts_internal_for_EndpointVolcMySQL。白名单需要定期维护,移除不再需要访问 MySQL 实例的 IP 地址,保障数据库连接的安全性。
如果您移除了某些 IP 地址,那么这些 IP 将不再能够访问与白名单绑定的这些数据库实例,请谨慎操作。
从移除的 IP 发起的会话与连接不会在服务端主动关闭,可以在会话管理中进行查询和处理。
如果 MySQL 白名单绑定的 ECS 安全组有更新,可直接将更新同步到白名单。更多详细信息,请参见同步安全组。
如白名单绑定的实例状态为运行中,白名单的修改会立即同步到实例。如果白名单绑定的实例状态不满足此条件,系统会在条件满足时自动进行同步。如果在实例状态符合条件后未立即同步,您也可以在白名单详情页面手动同步白名单。
每个白名单最多可以包含 300 个 IP 或 IP 段。当 IP 地址较多时,建议将零散的 IP 合并为 IP 段。
每个白名单最多可绑定 10 个安全组。
如果修改白名单时指定其为默认白名单,该白名单会替代原有的默认白名单(如有)。
在顶部菜单栏的左上角,选择白名单所属的地域。
在左侧导航栏单击白名单列表。
单击目标白名单的操作列的编辑按钮,进入编辑白名单信息页面。
修改白名单的名称、描述、IP 地址、是否为默认白名单、以及安全组信息后,单击确定。
| 参数 | 说明 |
|---|---|
白名单名称 | 必填。命名规则如下:
|
| 描述 | 选填。描述信息可以用于在白名单列表中搜索白名单,描述内容长度应不超过 200 个字符。 |
| IP 地址 | 必填。只有添加到白名单中的 IP 地址才可以访问该实例。支持粘贴 IP 地址或地址段,以中英文逗号、空格或换行符隔开。 |
默认白名单 | 选择是否为默认白名单。可在租户维度设定一个默认白名单,创建 MySQL 实例时将默认选中此白名单。 说明 一个白名单最多可绑定 500 个实例,超过上限后请修改默认白名单。 |
安全组 | 支持将云数据库 MySQL 版白名单关联 ECS 安全组。如果在关联后调整了 ECS 安全组,可在云数据库 MySQL 版白名单同步安全组,及时获得最新的 IP 列表。 单击选择安全组,在编辑安全组窗口中选择需要绑定的安全组。支持通过两种模式进行绑定:
说明
|
说明
单击确定后系统会判断该白名单绑定的安全组是否有更新。如果有更新,则会弹出检测到绑定的安全组存在更新,是否进行同步对话框,在对话框中列出了安全组的 IP 变化。可根据需要选择同步或不同步。
| API | 说明 |
|---|---|
| ModifyAllowList | 调用 ModifyAllowList 接口修改目标白名单设置(例如白名单名称、 IP 白名单地址等)。 |