白名单是数据库连接的安全防控手段,只有添加到白名单的 IP 地址才能够成功访问 SQL Server 实例。为保证数据库连接的安全性,白名单需要定期维护以清除不再需要访问数据库的 IP 地址。本文介绍编辑白名单的方式以对白名单和白名单中的 IP 地址进行管理。
白名单是数据库连接的安全防控手段,只有白名单内的 IP 地址才能访问数据库。SQL Server 实例在创建后,不会绑定任何白名单,默认禁止所有 IP 地址访问实例。因此无论是通过私网还是通过公网连接访问实例,均需要先配置实例的白名单,才能保证实例可连接。 白名单支持设置 CIDR 格式的 IP 地址段,如:192.168.0.0/32((/)后面可输入 0~31 间的任一整数),允许该网段内 IP 地址访问。
SQL Server 白名单已支持关联 ECS 安全组,支持为 SQL Server 白名单绑定 ECS 安全组。绑定 ECS 安全组后,可以将对应 ECS 安全组下所有的 ECS 实例的 IP 地址导入到该白名单中,使这些 ECS 安全组下的所有 ECS 实例都可以访问该白名单绑定的 SQL Server 实例。
云数据库 SQL Server 版支持将某个白名单设置为默认白名单。设置为默认白名单后,在创建新实例、恢复到新实例和购买新实例时,都会自动绑定默认白名单。
如果您之前使用过数据库工作台(DBW)提供的会话管理功能,或使用过数据库传输服务(DTS)对 SQL Server 实例进行过操作,实例会被添加系统内置白名单。系统内置白名单不支持编辑、解绑或删除。
DBW 为 SQL Server 实例添加的内置白名单名为 DBW_Sole_Group_Name_For_mssql。
DTS 为 SQL Server 实例添加的内置白名单名为 dts_internal_for_EndpointVolcMSSQL。
白名单需要定期维护,移除不再需要访问 SQL Server 实例的 IP 地址,保障数据库连接的安全性。
如果您移除了某些 IP 地址,则表示这些 IP 将不能再访问与白名单绑定的这些数据库实例,请谨慎操作。
从移除的 IP 发起的会话与连接不会在服务端主动关闭,可以在会话管理中进行查询和处理。
如果 SQL Server 白名单绑定的 ECS 安全组有更新,可直接将更新同步到白名单。更多详细信息,请参见同步安全组。
单个实例最多可通过白名单绑定不超过 300 个 IP 或 IP 段。
每个白名单最多可以被 500 个实例绑定。
每个白名单最多支持关联 10 个 ECS 安全组。
单个实例最多可以绑定 100 个 IP 白名单,每个白名单最多支持 300 个 IP 或 IP 段。当 IP 地址较多时,建议将零散的 IP 合并为 IP 段,例如 10.10.10.0/24。
如果修改白名单时指定其为默认白名单,该白名单会替代原有的默认白名单(如有)。
在顶部菜单栏的左上角,选择目标项目和地域。
在左侧导航栏单击白名单列表。
在白名单列表页面,单击目标白名单操作列的编辑。
在编辑白名单信息控制面板,按需设置白名单信息,具体参数配置如下表所示。
| 参数 | 说明 |
|---|---|
白名单名称 | 按需修改白名单的名称。命名规则如下:
说明 您也可以直接在白名单列表页面,将鼠标放置在目标白名单名称上,单击名称旁边的编辑图标,在弹出的输入框输入新的白名单名称后单击确定后修改白名单的名称。 |
| 描述 | 按需修改白名单的描述,该信息可以用于在白名单列表中搜索白名单,描述内容长度应不超过 200 个字符。 |
IP 地址 | 按需修改访问实例的 IP 地址。支持粘贴 IP 地址或地址段,以中英文逗号、空格或换行符隔开。 说明
|
默认白名单 | 选择是否为默认白名单。可在租户维度设定一个默认白名单,创建云数据库 SQL Server 版实例时将默认选中此白名单。 说明 一个白名单最多可绑定 500 个实例,超过上限后请修改默认白名单。 |
安全组 | 按需设置白名单关联的安全组。支持将云数据库 SQL Server 版白名单关联 ECS 安全组。单击选择安全组,在编辑安全组对话框按需选择绑定安全组的模式。支持通过以下模式进行绑定:
说明
|
单击确定。
说明
单击确定后系统会判断该白名单绑定的安全组是否有更新。如果有更新,则在检测到绑定的安全组存在更新,是否进行同步对话框列出安全组的 IP 变化。请按需选择同步或不同步:
同步:系统将自动识别白名单绑定的安全组的 IP 变化并更新到白名单,请确认同步后是否会影响业务,需谨慎操作。
不同步:则忽略这些 IP 变化,在白名单中保留安全组中原有的 IP。
修改成功后,本次修改将会应用到所有绑定到该白名单绑定的所有实例。