Este conteúdo foi traduzido por máquina para sua conveniência e a Huawei Cloud não pode garantir que o conteúdo foi traduzido com precisão. Para exibir o conteúdo original, use o link no canto superior direito para mudar para a página em inglês.
Atualizado em 2023-08-29 GMT+08:00

Configuração de regras de grupo de segurança

Cenários

Um grupo de segurança é um conjunto de regras de controle de acesso para ECSs e instâncias de BD do RDS que têm os mesmos requisitos de proteção de segurança e são mutuamente confiáveis em uma VPC.

Antes de se conectar à instância de BD, você precisa criar regras de grupo de segurança para permitir que endereços IP e portas específicos acessem a instância do RDS.

Verifique em primeiro se o ECS e a instância de BD do RDS estão no mesmo grupo de segurança.

  • Se eles estiverem no mesmo grupo de segurança, eles podem se comunicar uns com os outros por padrão. Nenhuma regra de grupo de segurança precisa ser configurada. Vá para Conexão a uma instância de BD a partir de um ECS do Linux.
  • Se eles estiverem em grupos de segurança diferentes, configure as regras de grupo de segurança para eles, separadamente.
    • Instância de BD do RDS: configure uma regra de entrada para o grupo de segurança ao qual a instância de BD do RDS está associada.
    • ECS: a regra de grupo de segurança padrão permite todos os pacotes de dados de saída. Nesse caso, não é necessário configurar uma regra de grupo de segurança para o ECS. Se nem todo o tráfego de saída for permitido no grupo de segurança, será necessário configurar uma regra de saída para o ECS.

Esta seção descreve como configurar uma regra de entrada para uma instância de BD do RDS.

Para obter detalhes sobre os requisitos das regras de grupo de segurança, consulte a seção Adição de uma regra de grupo de segurança no Guia de usuário da Virtual Private Cloud.

Precauções

A regra de grupo de segurança padrão permite todos os pacotes de dados de saída. ECSs e instâncias de BD do RDS podem acessar umas às outras se estiverem no mesmo grupo de segurança. Depois que um grupo de segurança é criado, você pode configurar regras de grupo de segurança para controlar o acesso de e para as instâncias de BD no grupo de segurança.

  • Por padrão, você pode criar um máximo de 100 grupos de segurança em sua conta de nuvem.
  • Por padrão, você pode adicionar até 50 regras de grupo de segurança a um grupo de segurança.
  • Uma instância do RDS pode ser associada a vários grupos de segurança e um grupo de segurança pode ser associado a várias instâncias do RDS.
  • Muitas regras de grupo de segurança aumentarão a latência do primeiro pacote. É aconselhável criar não mais do que 50 regras para um grupo de segurança.
  • Para habilitar o acesso a uma instância de BD do RDS a partir de recursos fora do grupo de segurança, você precisa configurar uma regra de entrada para o grupo de segurança associado à instância de BD do RDS.

Para garantir a segurança de seus dados e instâncias de BD, é aconselhável usar o princípio do privilégio mínimo para acesso ao banco de dados. Altere a porta do banco de dados (valor padrão: 3306) e defina o endereço IP como o endereço do servidor remoto ou qualquer endereço IP na menor sub-rede do servidor remoto para controlar o acesso do servidor remoto.

O valor padrão de Source é 0.0.0.0/0, indicando que as instâncias de BD do RDS no grupo de segurança podem ser acessadas a partir de qualquer endereço IP.

Para obter detalhes sobre os requisitos das regras de grupo de segurança, consulte a seção Adição de uma regra de grupo de segurança no Guia de usuário da Virtual Private Cloud.

Procedimento

  1. Faça logon no console de gerenciamento.
  2. Clique em no canto superior esquerdo e selecione uma região e um projeto.
  3. Clique em no canto superior esquerdo da página e escolha Databases > Relational Database Service.
  4. Na página Instances, clique no nome da instância de BD.
  5. No painel de navegação, escolha Connectivity & Security. Na área Security Group Rules, clique no nome do grupo de segurança para exibir as regras do grupo de segurança.

    Figura 1 Regras de grupos de segurança

  6. Clique em Add Inbound Rule ou Allow All IP para configurar regras de grupo de segurança.

    Para adicionar mais regras de entrada, clique em .

    Allow All IP permite que todos os endereços IP acessem instâncias de BD do RDS no grupo de segurança, o que representa altos riscos de segurança. Tenha cuidado ao realizar esta operação.

    Figura 2 Adicionar uma regra de entrada
    Tabela 1 Descrição do parâmetro da regra de entrada

    Parâmetro

    Descrição

    Exemplo de valor

    Protocol & Port

    Protocol: protocolo de rede. Opções disponíveis: All, TCP, UDP, ICMP ou GRE.

    Custom TCP

    Port: a porta pela qual o tráfego pode alcançar sua instância de BD.

    As instâncias do RDS for MySQL podem usar a porta de banco de dados 1024 a 65535, excluindo 12017 e 33071, que são reservadas para uso do sistema do RDS.

    3306

    Type

    Tipo do endereço IP.

    • IPv4
    • IPv6

    IPv4

    Source

    Endereço de origem. Pode ser um único endereço IP, um grupo de endereços IP ou um grupo de segurança para permitir o acesso deles à sua instância de BD. Exemplos:

    • Endereço IP único: 192.168.10.10/32 (IPv4); 2002:50::44/128 (IPv6)
    • Todos os endereços IP: 0.0.0.0/0 (IPv4); ::/0 (IPv6)
    • Intervalo de endereços IP: 192.168.1.0/24 (IPv4); 2407:c080:802:469::/64 (IPv6)
    • Grupo de segurança: default_securitygroup

    0.0.0.0/0

    Description

    Informações complementares sobre a regra de grupo de segurança. Este parâmetro é opcional.

    A descrição pode conter no máximo 255 caracteres e não pode conter colchetes angulares (<) ou (>).

    N/D