文档首页/ 文档数据库服务 DDS/ 用户指南/ 连接DDS实例/ 连接DDS单节点实例/ 公网连接单节点实例/ 绑定或解绑公网网关
更新时间:2026-01-23 GMT+08:00
查看PDF
分享

绑定或解绑公网网关

操作场景

在公网访问场景中,用户需要通过弹性公网IP实现外部网络与数据库实例的连接。然而,传统的直接绑定弹性公网IP的方式存在安全风险,如果安全策略配置不完善或存在安全漏洞,攻击者可能窃取访问凭证,进而对数据库资源进行恶意操作。

为了解决这一安全隐患,DDS支持绑定或解绑公网网关,将绑定弹性公网IP逻辑升级为通过公网NAT网关创建单向DNAT规则,仅允许预设端口的入向流量穿透至数据库实例的内网IP,从而在满足业务需求的同时,有效隔离潜在的攻击路径并降低凭据泄露的风险。

如果您的实例不再需要通过弹性公网IP进行连接,您可以解绑公网网关。请在评估业务需求后谨慎操作。

前提条件

  • 需要提前创建公网NAT网关,并确保该NAT网关的虚拟私有云和子网与DDS实例的虚拟私有云和子网保持一致。如何创建公网NAT网关请参见购买公网NAT网关

权限要求

  • 如果用户通过主账号绑定网关地址,不需要任何额外配置。如果是IAM子用户并且是第一次操作绑定网关地址,则需要给子用户配置相应权限。
  • 为DDS绑定DNAT网关,策略授权时推荐您选择IAM项目授权,不支持通过企业项目授权。
  • 绑定网关地址时必须拥有如下权限:
    表1 基于角色或策略(IAM 3.0)

    云服务

    权限

    文档数据库服务 (DDS)
    • dds:instance:bindPublicGateway
    • dds:instance:unbindPublicGateway
    • dds:instance:list

    NAT网关 (NAT)
    • nat:dnatRules:create
    • nat:natGateways:list
    • nat:snatRules:list
    • nat:dnatRules:delete
    • nat:natGateways:get
    • nat:dnatRules:get
    • nat:dnatRules:update
    • nat:dnatRules:list

    如不满足,请创建自定义策略

    表2 基于身份策略(IAM 5.0)

    云服务

    权限

    文档数据库服务 (DDS)
    • dds:instance:bindPublicGateway
    • dds:instance:unbindPublicGateway
    • dds:instance:list

    NAT网关 (NAT)
    • nat:dnatRules:create
    • nat:dnatRules:delete
    • nat:dnatRules:get
    • nat:dnatRules:list
    • nat:dnatRules:update
    • nat:natGateways:get
    • nat:natGateways:list
    • nat:natGateways:listTags
    • nat:snatRules:list

    弹性公网IP (EIP)
    • eip:publicIps:associateInstance
    • eip:publicIps:disassociateInstance

    如不满足,请创建自定义策略并附加至主体

注意事项

  • 您需要设置安全组,开通需访问数据库的IP地址和端口,才可以访问数据库实例。在访问数据库前,您需要将访问数据库的IP地址,或者IP段加安全组入方向的访问规则,操作请参见设置安全组规则
  • 绑定网关地址后,如果无法访问数据库,可参考公网NAT网关配置完成后,网络不通如何处理排查。

约束限制

  • 对于已绑定弹性公网IP的实例节点,需解绑弹性公网IP后才可绑定公网网关地址。
  • 实例节点绑定公网网关后,不能在NAT网关的DNAT规则页面删除对应规则,若删除后DDS页面不会同步删除且会导致弹性公网IP无法连接数据库实例。

计费说明

绑定公网网关

  1. 登录管理控制台
  2. 单击管理控制台左上方的,选择区域和项目。
  3. 在页面左上角单击,选择数据库 > 文档数据库服务 DDS,进入文档数据库服务信息页面。
  4. “实例管理”页面,选择指定的单节点实例,单击实例名称,进入基本信息页面。
  5. 在左侧导航树,单击“连接管理 > 公网连接”。在“基本信息”区域的目标节点上,单击“绑定网关地址”。

    图1 绑定公网网关

    您也可以在实例“基本信息”页面的节点信息区域,选择指定目标节点,单击操作列下的“绑定网关地址”。

    图2 绑定网关地址

  6. 在弹框中,选择公网网关、弹性公网IP,输入端口号,单击“确定”。

    图3 绑定网关地址

    表3 参数说明

    参数

    说明

    公网网关

    公网NAT网关的名称。

    如果没有可用的网关地址,单击“公网网关”,跳转到网络控制台购买公网NAT网关

    弹性公网IP

    需要绑定的弹性公网IP。仅支持选择未被实例节点绑定的弹性公网IP。

    如果没有可用的弹性公网IP,单击“弹性公网IP”,创建新的弹性公网IP。

    端口号

    对外提供服务的端口号,可通过弹性公网IP加该端口号的方式连接数据库实例节点,取值范围1~65535。

  7. 在目标节点的“公网网关”列,查看绑定成功的公网网关,包括绑定的公网NAT网关名、弹性公网IP、端口号。

    如需关闭,请参见解绑公网网关

    图4 查看绑定结果

解绑公网网关

  1. 登录管理控制台
  2. 单击管理控制台左上方的,选择区域和项目。
  3. 在页面左上角单击,选择数据库 > 文档数据库服务 DDS,进入文档数据库服务信息页面。
  4. 对于已绑定NAT网关的节点,在“实例管理”页面,选择指定的单节点实例,单击实例名称,进入基本信息页面。
  5. 在左侧导航树,单击“连接管理 > 公网连接”。在“基本信息”区域的目标节点上,单击“解绑网关地址”。

    图5 解绑公网网关

    您也可以在“基本信息”页面的节点信息区域,选择指定目标节点,单击操作列的“解绑网关地址”。

    图6 解绑网关地址

  6. 在弹框中,确认解绑信息,单击“确定”,解绑网关地址。
  7. 在“节点信息”模块的“公网网关”列,查看解绑结果。若“公网网关”列显示为未绑定,则表示解绑成功。

    如需重新绑定,请参见绑定公网网关

相关文档