Este conteúdo foi traduzido por máquina para sua conveniência e a Huawei Cloud não pode garantir que o conteúdo foi traduzido com precisão. Para exibir o conteúdo original, use o link no canto superior direito para mudar para a página em inglês.
Atualizado em 2023-08-29 GMT+08:00

Configuração de regras de grupo de segurança

Cenários

Um grupo de segurança é um conjunto de regras de controle de acesso para ECSs e instâncias de BD do RDS que têm os mesmos requisitos de proteção de segurança e são mutuamente confiáveis em uma VPC.

Esta seção descreve como criar um grupo de segurança para permitir que endereços IP e portas específicos acessem ao RDS.

Quando você tenta se conectar a uma instância de BD do RDS por meio de um EIP, é necessário configurar uma regra de entrada para o grupo de segurança associado à instância de BD.

Precauções

A regra de grupo de segurança padrão permite todos os pacotes de dados de saída. ECSs e instâncias de BD do RDS podem acessar um aos outros se estiverem no mesmo grupo de segurança. Depois que um grupo de segurança é criado, você pode configurar regras de grupo de segurança para controlar o acesso de e para as instâncias de BD no grupo de segurança.

  • Por padrão, você pode criar um máximo de 100 grupos de segurança em sua conta de nuvem.
  • Por padrão, você pode adicionar até 50 regras de grupo de segurança a um grupo de segurança.
  • Uma instância de BD do RDS pode ser associada a vários grupos de segurança.
  • Muitas regras de grupo de segurança aumentarão a latência do primeiro pacote. É aconselhável criar não mais do que 50 regras para um grupo de segurança.
  • Para habilitar o acesso a uma instância de BD do RDS a partir de recursos fora do grupo de segurança, você precisa configurar uma regra de entrada para o grupo de segurança associado à instância de BD do RDS.

Para garantir a segurança de seus dados e instâncias de BD, é aconselhável usar o princípio do privilégio mínimo para acesso ao banco de dados. Altere a porta do banco de dados (valor padrão: 1433) e defina o endereço IP como o endereço do servidor remoto ou qualquer endereço IP na menor sub-rede do servidor remoto para controlar o acesso do servidor remoto.

O valor padrão de Source é 0.0.0.0/0, indicando que as instâncias de BD do RDS no grupo de segurança podem ser acessadas a partir de qualquer endereço IP.

Para obter detalhes sobre os requisitos das regras de grupo de segurança, consulte a seção Adição de uma regra de grupo de segurança no Guia de usuário da Virtual Private Cloud.

Procedimento

  1. Faça logon no console de gerenciamento.
  2. Clique em no canto superior esquerdo e selecione uma região e um projeto.
  3. Clique em no canto superior esquerdo da página e escolha Databases > Relational Database Service.
  4. Na página Instances, clique no nome da instância de BD.
  5. Configure regras de grupos de segurança.

    Na área Connection Information da página Basic Information, clique no grupo de segurança.
    Figura 1 Informações de conexão

  6. Na guia Inbound Rules, clique em Add Rule. Na caixa de diálogo exibida, defina os parâmetros necessários para adicionar uma regra de entrada.

    Você pode clicar em + para adicionar mais regras de entrada.
    Figura 2 Adicionar uma regra de entrada
    Tabela 1 Descrição do parâmetro da regra de entrada

    Parâmetro

    Descrição

    Exemplo de valor

    Priority

    Prioridade de regra de grupo de segurança.

    Intervalo de valor: de 1 a 100. A prioridade padrão é 1 e tem a prioridade mais alta. A regra de grupo de segurança com um valor menor tem uma prioridade mais alta.

    1

    Action

    Ações de regra de grupo de segurança.

    Uma regra com uma ação de negação substitui outra com uma ação de permitir se as duas regras tiverem a mesma prioridade.

    Allow

    Protocol & Port

    Protocol: protocolo de rede. Opções disponíveis: All, TCP, UDP, ICMP ou GRE.

    TCP

    Port: a porta pela qual o tráfego pode alcançar sua instância de BD.

    Uma instância do RDS for SQL Server pode usar a porta de banco de dados padrão 1433 ou qualquer porta do intervalo 2100-9500 (excluindo 5355 e 5985). Se sua instância usa 019 Enterprise Edition, 2019 Standard Edition, 2019 Web Edition, 2017 Enterprise Edition, 2017 Standard Edition ou 2017 Web Edition, as portas 5050, 5353 e 5986 não podem ser especificadas para ela.

    1433

    Type

    Tipo do endereço IP. No momento, apenas IPv4 é suportado.

    IPv4

    Source

    Endereço de origem. Pode ser um único endereço IP, um grupo de endereços IP ou um grupo de segurança para permitir o acesso deles à sua instância de BD. Exemplos:

    • Endereço IP único: 192.168.10.10/32 (endereço IPv4)
    • Segmento do endereço IP: 192.168.1.0/24 (segmento de endereço IPv4)
    • Todos os endereços IP: 0.0.0.0/0 (qualquer endereço IPv4)
    • Grupo de segurança: sg-abc
    • Grupo de endereço IP: ipGroup-test

    0.0.0.0/0

    Description

    Informações complementares sobre a regra de grupo de segurança. Este parâmetro é opcional.

    A descrição pode conter no máximo 255 caracteres e não pode conter colchetes angulares (<) ou (>).

    -