更新时间:2026-02-12 GMT+08:00
为GaussDB绑定或解绑NAT网关地址
操作场景
在公网访问场景中,用户需要通过弹性公网IP实现外部网络对数据库实例的连接。然而,直接绑定弹性公网IP的传统方式存在安全风险,若安全策略配置不完善或存在安全漏洞,攻击者可能窃取访问凭证,进而对数据库资源实施恶意操作。
为解决这一安全隐患,GaussDB提供绑定NAT网关地址的功能,通过引入NAT网关将EIP绑定逻辑升级为通过公网NAT网关创建单向DNAT规则,仅允许预设端口的入向流量穿透至数据库实例内网IP,从而在保障业务需求的同时,有效隔离潜在攻击路径并降低凭据泄露风险。
若您的实例不再需要使用弹性公网IP进行连接,您可以解绑NAT网关地址。
注意事项
- 绑定NAT网关功能当前属于白名单特性,如需使用该功能,您可以在管理控制台右上角,选择“新建工单”,提交开通白名单的申请。
- GaussDB FullAccess的系统策略不包含绑定和解绑NAT网关地址依赖的权限项,您需要额外创建自定义权限策略并进行授权。详情请参考权限管理。
- 为确保数据库可正常访问,请确认数据库所使用的安全组开通了数据库端口的访问权限,假设数据库端口是8000,那么需要确保安全组的入方向规则已放开访问者网络的IP和8000端口。数据库端口可在实例基本信息页面的网络信息模块获取。如何设置安全组请参考设置GaussDB实例安全组规则。
- 需要提前创建公网NAT网关,并确保该NAT网关的虚拟私有云和子网与GaussDB实例的虚拟私有云和子网保持一致。如何创建公网NAT网关请参见购买公网NAT网关。
- 同一个VPC可以创建多个公网NAT,仅第一个公网NAT创建后会自动在VPC关联目的地址为0.0.0.0/0的默认路由,后续创建的NAT网关不会自动关联到该路由,需要手动配置路由关联到NAT网关。配置步骤请参考设置路由。
- 使用NAT网关通过JDBC连接分布式实例时,不支持使用“autoBalance”参数。
- GaussDB实例绑定NAT网关后,不得在NAT网关的DNAT规则页面删除对应规则,若删除后GaussDB页面不会同步删除且会导致弹性公网IP无法连接数据库实例。
计费说明
NAT网关和弹性公网IP需要单独付费。NAT网关的详细收费标准请参考NAT网关价格详情。弹性公网IP的详细收费标准请参考弹性公网IP价格详情。
操作步骤
- 登录云数据库GaussDB控制台。
- 在“实例管理”页面,选择指定的实例,单击实例名称,进入实例基本信息页面。
- 在“节点列表”模块,单击操作列的“绑定网关地址”。
若为分布式版实例,请先切换为“CN节点”,再进行绑定操作。图1 绑定网关地址(分布式版实例)
图2 绑定网关地址(集中式版实例)
- 在弹出框中选择需要绑定的网关和弹性公网IP,输入端口号,单击“确定”。
图3 绑定网关地址
- 在“节点列表”模块的“网关”列,查看绑定结果。若“网关”列显示IP:端口信息,则表示绑定成功。
“网关”列显示的IP为绑定的弹性公网IP,端口号为绑定网关地址时设置的对外提供服务的端口号。
图4 查看绑定结果
- 登录云数据库GaussDB控制台。
- 对于已绑定网关地址的实例,在“实例管理”页面,选择指定实例,单击实例名称,进入实例基本信息页面。
- 在“节点列表”模块,单击操作列的“解绑网关地址”。
若为分布式版实例,请先切换为“CN节点”,再单击操作列的“解绑网关地址”。
图5 解绑网关地址(分布式版实例)
图6 解绑网关地址(集中式版实例)
- 在弹出框中单击“确定”,解绑网关地址。
- 若您已开启高危操作保护,在“身份验证”弹出框中单击“获取验证码”,正确输入验证码并单击“确定”,页面自动关闭。
通过进行二次认证再次确认您的身份,进一步提高账号安全性,有效保护您安全使用云产品。关于如何开启操作保护,具体请参考《统一身份认证服务用户指南》的内容。
- 在“节点列表”模块的“网关”列,查看解绑结果。若“网关”列显示为空,则表示解绑成功。
如需重新绑定,请参见绑定NAT网关地址。
