设置安全组规则
操作场景
安全组是一个逻辑上的分组,为同一个虚拟私有云内具有相同安全保护需求,并相互信任的弹性云服务器和云数据库RDS实例提供访问策略。
为了保障数据库的安全性和稳定性,在使用云数据库RDS实例之前,您需要设置安全组,开通需访问数据库的IP地址和端口。
通过弹性公网IP连接RDS实例时,需要为RDS所在安全组配置相应的入方向规则。
注意事项
因为安全组的默认规则是在出方向上的数据报文全部放行,同一个安全组内的弹性云服务器和云数据库RDS实例可互相访问。安全组创建后,您可以在安全组中定义各种访问规则,当云数据库RDS实例加入该安全组后,即受到这些访问规则的保护。
- 默认情况下,一个用户可以创建100个安全组。
- 默认情况下,一个安全组最多只允许拥有50条安全组规则。
- 一个RDS实例允许绑定多个安全组,一个安全组可以关联多个RDS实例。
- 为一个安全组设置过多的安全组规则会增加首包延时,因此,建议一个安全组内的安全组规则不超过50条。
- 当需要从安全组外访问安全组内的云数据库RDS实例时,需要为安全组添加相应的入方向规则。
为了保证数据及实例安全,请合理使用权限。建议使用最小权限访问,并及时修改数据库默认端口号(3306),同时将可访问IP地址设置为远程主机地址或远程主机所在的最小子网地址,限制远程主机的访问范围。
源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的云数据库RDS实例。
关于添加安全组规则的详细要求,可参考《虚拟私有云用户指南》的“添加安全组规则”章节。
操作步骤
- 登录管理控制台。
- 单击管理控制台左上角的,选择区域和项目。
- 单击页面左上角的,选择“数据库 > 云数据库 RDS”,进入RDS信息页面。
- 在“实例管理”页面,选择目标实例,单击实例名称,进入实例的“概览”页面。
- 在左侧导航栏,单击“连接管理”,在“安全组规则”模块,单击安全组名称,查看安全组规则。
图1 安全组规则
- 单击“添加入方向规则”或者“一键添加”,设置安全组规则。
单击可以依次增加多条入方向规则。
一键添加操作允许所有IP地址访问安全组内的云数据库RDS实例,存在高安全风险,请谨慎选择。
图2 添加入方向规则
表1 入方向参数说明 参数
说明
取值样例
协议端口
网络协议。目前支持“All”、“TCP”、“UDP”、“ICMP”和“GRE”等协议。
自定义TCP
端口:允许远端地址访问数据库实例指定端口。
RDS for MySQL数据库端口设置范围为1024~65535(其中12017和33071被RDS系统占用不可设置)。
3306
类型
IP地址类型。
- IPv4
- IPv6
IPv4
源地址
源地址:可以是IP地址、安全组、IP地址组。用于放通来自IP地址或另一安全组内的实例的访问。例如:
- 单个IP地址:192.168.10.10/32(IPv4地址)、2002:50::44/128(IPv6地址)
- 默认IP地址:默认IP地址可以匹配任意IP地址,比如0.0.0.0/0(IPv4地址)、::/0(IPv6地址)
- IP网段:192.168.1.0/24(IPv4地址段)、2407:c080:802:469::/64(IPv6地址段)
- 安全组:default_securitygroup
0.0.0.0/0
描述
安全组规则的描述信息,非必填项。
描述信息内容不能超过255个字符,且不能包含“<”和“>”。
-