本文介绍如何手动将客户端 IP 地址、地址段或 ECS 安全组添加到白名单，进而实现成功访问 MySQL 实例。 ## 背景信息白名单是数据库连接的安全防控手段，只有白名单内的 IP 地址才能访问数据库。MySQL 实例在创建后，不会绑定任何白名单，默认禁止所有 IP 地址访问实例。因此无论是通过 VPC 内网还是通过公网连接访问实例，均需要先配置实例的白名单，才能保证实例可连接。白名单支持设置 CIDR 格式的 IP 地址段，如：`192.168.0.0/32`（（/）后面可输入 0~31 间的任一整数），允许该网段内 IP 地址访问。 MySQL 白名单已支持关联 ECS 安全组，支持为 MySQL 白名单绑定 ECS 安全组。绑定 ECS 安全组后，可以将对应 ECS 安全组下所有的 ECS 实例的 IP 地址导入到该白名单中，使这些 ECS 安全组下的所有 ECS 实例都可以访问该白名单绑定的 MySQL 实例。云数据库 MySQL 版支持将某个白名单设置为默认白名单。设置为默认白名单后，在创建新实例、恢复到新实例和购买新实例时，都会自动绑定默认白名单。如果您之前使用过数据库工作台（DBW）提供的会话管理功能，或使用过数据库传输服务（DTS）对 MySQL 实例进行过操作，实例会被添加系统内置白名单。系统内置白名单不支持编辑、解绑或删除。 * DBW 为 MySQL 实例添加的内置白名单名为 `DBW_Sole_Group_Name_For_RDS`。 * DTS 为 MySQL 实例添加的内置白名单名为 `dts_internal_for_EndpointVolcMySQL`。白名单需要定期维护，移除不再需要访问 MySQL 实例的 IP 地址，保障数据库连接的安全性。 ## 使用限制 * 每个租户的每个产品在每个 Region 下最多可以创建 500 个白名单。 * 每个白名单最多可以包含 300 个 IP 地址或 IP 地址段。 * 每个白名单最多可以被 500 个实例绑定。 * 单个实例最多可以绑定 100 个白名单（含系统内置白名单）。 * 每个白名单最多可绑定 10 个安全组。 * 单个实例最多支持 300 个 IP 或 IP 段（绑定的所有白名单中 IP 地址或 IP 地址段的总和，含系统内置白名单中的 IP 地址和 IP 地址）。当 IP 地址较多时，建议将零散的 IP 地址合并为 IP 地址段。 ## 注意事项 * 如果设置 `0.0.0.0/0`，将允许所有地址访问；如果设置 `127.0.0.1`，将禁止所有地址访问。如果同时设置了 `0.0.0.0/0` 和 `127.0.0.1`，则允许所有地址访问。 * 通过跨 VPC 方式访问 MySQL 实例时，需要将 `100.64.0.0/10` 添加至实例白名单。 * 如设定白名单为默认白名单，在创建新实例、恢复到新实例和购买相同配置实例时，如果不做手动设置，都会自动选定默认白名单。由于每个白名单最多可绑定 500 个实例，超过 500 个实例时无法绑定。建议定期查看默认白名单绑定的实例数量，定期更新默认白名单。 * 如设定白名单为默认白名单，该白名单不可直接删除。需先通过编辑白名单修改为普通白名单并解除与实例的绑定后才能删除。 * 如果安全组在被白名单关联之后进行了更新，则需要在白名单列表中单击目标白名单的操作列的**同步安全组**以使该白名单获得安全组更新后的 IP。 * 如果安全组在被白名单关联之后进行了更新，编辑关联了该安全组的白名单后提交时，会自动同步安全组的更新。 * 如果创建白名单时指定其为默认白名单，该白名单会替代原有的默认白名单（如有）。 ## 操作步骤 1. 登录[云数据库 MySQL 版控制台](https://console.volcengine.com/db/rds-mysql)。 2. 在顶部菜单栏的左上角，选择白名单所属的地域。 3. 在左侧导航栏单击**白名单列表**。 4. 单击**创建白名单**。在弹出的创建白名单页面中完成以下设置后，单击**确定**。 |参数 |说明 | |---|---| |白名单名称 |必填。命名规则如下：|\ | ||\ | |* 名称唯一。|\ | |* 以中文、字母或下划线（_）开头。|\ | |* 只能包含中文、字母、数字、下划线（_）和中划线（\-）。|\ | |* 长度为 1~128 个字符。 | |描述 |选填。描述信息可以用于在白名单列表中搜索白名单，描述内容长度应不超过 200 个字符。 | |IP 地址 |必填。只有添加到白名单中的 IP 地址才可以访问该实例。支持粘贴 IP 地址或地址段，以中英文逗号、空格或换行符隔开。 | |默认白名单 |选择是否为默认白名单。可在租户维度设定一个默认白名单，创建 MySQL 实例时将默认选中此白名单。|\ | |:::tip|\ | |一个白名单最多可绑定 500 个实例，超过上限后请修改默认白名单。|\ | ||\ | |:::| |安全组 |支持将云数据库 MySQL 版白名单关联 ECS 安全组。如果在关联后调整了 ECS 安全组，可在云数据库 MySQL 版白名单同步安全组，及时获得最新的 IP 列表。|\ | |单击**选择安全组**，在**编辑安全组**窗口中选择需要绑定的安全组后单击**确定**。支持通过两种模式进行绑定：|\ | ||\ | |* **关联 ECSIP**：允许安全组内的云服务器访问数据库，当前仅支持主网卡的IP信息导入。|\ | |* **入方向 IP**：允许安全组入方向的源地址中 TCP 协议和 ALL 协议涉及的 IP 访问数据库，若源地址中配置为安全组将被忽略。|\ | ||\ | |:::tip|\ | ||\ | |* 可同时通过两种方式关联 ECS 安全组。|\ | |* 采用**入方向 IP** 模式绑定安全组时，如果安全组中某地址的策略为拒绝，那么该地址将不会被加入到 MySQL 白名单。|\ | ||\ | |:::| ## 常见问题 **MySQL 实例必须设置白名单吗？** 如果有设置默认白名单，MySQL 实例在创建后会绑定默认白名单。如果没有设置默认白名单，实例创建后不绑定任何白名单，任何 IP 均无法访问该 MySQL 实例。 **单个实例最多可以绑定多少个白名单？** 单个实例最多可以绑定 100 个白名单。 **每个白名单最多支持多少 IP 或者 IP 段？** 每个白名单最多支持 300 个 IP 或 IP 段。 **一个白名单支持绑定到多个实例吗？** 支持。一个白名单最多支持绑定到 500 个实例。 ## 相关 API |API |描述 | |---|---| |[CreateAllowList](https://www.volcengine.com/docs/6313/145077) |调用 CreateAllowList 接口创建一个新的 IP 白名单。 |