文档首页/云数据库 TaurusDB/用户指南/连接实例/连接信息管理/设置TaurusDB安全组规则
更新时间:2026-03-09 GMT+08:00
查看PDF
分享

设置TaurusDB安全组规则

操作场景

安全组是一个逻辑上的分组,为同一个虚拟私有云内具有相同安全保护需求,并相互信任的弹性云服务器和TaurusDB数据库实例提供访问策略。为了保障数据库的安全性和稳定性,在使用TaurusDB数据库实例之前,您需要设置安全组,开通需访问数据库的IP地址和端口。

内网连接TaurusDB实例时,设置安全组分为以下两种情况:

  • ECS与TaurusDB实例在相同安全组时,默认ECS与TaurusDB实例互通,无需设置安全组规则。
  • ECS与TaurusDB实例在不同安全组时,需要为TaurusDB和ECS分别设置安全组规则。
    • 设置TaurusDB安全组规则:为TaurusDB所在安全组配置相应的入方向规则
    • 设置ECS安全组规则:安全组默认规则为出方向上数据报文全部放行,此时,无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通时,需要为ECS所在安全组配置相应的出方向规则。

本节主要介绍如何为TaurusDB实例设置相应的入方向规则。

关于添加安全组规则的详细要求,可参考《虚拟私有云用户指南》的“添加安全组规则”章节。

前提条件

购买实例时已绑定内网安全组。

注意事项

因为安全组的默认规则是在出方向上的数据报文全部放行,同一个安全组内的弹性云服务器和TaurusDB数据库实例可互相访问。安全组创建后,您可以在安全组中定义各种访问规则,当TaurusDB数据库实例加入该安全组后,即受到这些访问规则的保护。

  • 默认情况下,一个租户可以创建500条安全组规则。
  • 为一个安全组设置过多的安全组规则会增加首包延时,因此,建议一个安全组内的安全组规则不超过50条。
  • 目前一个实例仅允许绑定一个安全组。
  • 当需要从安全组外访问安全组内的TaurusDB数据库实例时,需要为安全组添加相应的入方向规则
  • 为了保证数据及实例安全,请合理使用权限。建议使用最小权限访问,并及时修改数据库默认端口号(3306),同时将可访问IP地址设置为远程主机地址或远程主机所在的最小子网地址,限制远程主机的访问范围。

    源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的TaurusDB数据库实例。

操作步骤

  1. 登录TaurusDB管理控制台
  2. 单击管理控制台左上角的,选择区域和项目。
  3. “实例管理”页面,选择目标实例,单击实例名称,进入实例概览页面。
  4. 设置安全组规则。

    “网络信息”模块的“内网安全组”处,单击安全组名称,进入安全组页面。

    图1 设置安全组规则

  5. “入方向规则”子页签下单击“添加规则”,在“添加入方向规则”弹出框中填选安全组信息,单击“确定”

    单击可以依次增加多条入方向规则。

    图2 添加入方向规则

    表1 入方向参数说明

    参数

    说明

    取值样例

    优先级

    安全组规则优先级。

    优先级可选范围为1-100,默认值为1,即最高优先级。优先级数字越小,规则优先级级别越高。

    1

    策略

    安全组规则策略,支持的策略如下:
    • 如果“策略”设置为允许,表示允许源地址访问安全组内云服务器的指定端口。
    • 如果“策略”设置为拒绝,表示拒绝源地址访问安全组内云服务器的指定端口。

    安全组规则匹配流量时,首先按照优先级进行排序,其次按照策略排序,拒绝策略高于允许策略。

    允许

    类型

    源地址支持的IP地址类型,如下:

    • IPv4
    • IPv6

    IPV4

    协议端口

    安全组规则中用来匹配流量的网络协议类型,目前支持TCP、UDP、ICMP和GRE协议。

    自定义TCP

    安全组规则中用来允许远端地址访问数据库实例指定端口。

    TaurusDB数据库端口设置范围为1025~65534,其中5342、5343、5344、5345、12017、20000、20201、20202、33060、33062和33071被系统占用不可设置。

    端口填写支持下格式:
    • 单个端口:例如22
    • 连续端口:例如22-30
    • 多个端口:例如22,23-30,一次最多支持20个不连续端口组, 端口组之间不能重复。
    • 全部端口:为空或1-65535

    3306

    源地址

    在入方向规则中,用来匹配外部请求的源地址,支持以下格式:

    • IP地址:表示源地址为某个固定的IP地址。当源地址选择IP地址时,您可以在一个框内同时输入或者粘贴多个IP地址,不同IP地址以“,”隔开。一个IP地址生成一条安全组规则。
      • 单个IP地址:IP地址/掩码。

        单个IPv4地址示例为192.168.10.10/32。

        单个IPv6地址示例为2002:50::44/128。

      • IP网段:IP地址/掩码。

        IPv4网段示例为192.168.52.0/24。

        IPv6网段示例为2407:c080:802:469::/64。

      • 所有IP地址:

        0.0.0.0/0表示匹配所有IPv4地址。

        ::/0表示匹配所有IPv6地址。

    • 安全组:表示源地址为另外一个安全组,您可以在下拉列表中,选择同一个区域内的其他安全组。当安全组A内有实例a,安全组B内有实例b,在安全组A的入方向规则中,放通源地址为安全组B的流量,则来自实例b的内网访问请求被允许进入实例a。
    • IP地址组:表示源地址为一个IP地址组,IP地址组是一个或者多个IP地址的集合。您可以在下拉列表中,选择可用的IP地址组。对于安全策略相同的IP网段和IP地址,此处建议您使用IP地址组简化管理

      如果没有可用的IP地址组,请您参见创建IP地址组进行创建。

    IP地址:

    192.168.52.0/24,10.0.0.0/24

    描述

    安全组规则的描述信息,非必填项。

    描述信息内容不能超过255个字符,且不能包含“<”和“>”。

    -

    操作

    支持复制或删除一条安全组规则。只有一条安全组规则时不能删除。

    -

  6. 若您已开启高危操作保护,在“身份验证”弹出框中单击“获取验证码”,正确输入验证码并单击“确定”,页面自动关闭。

    通过进行二次认证再次确认您的身份,进一步提高账号安全性,有效保护您安全使用云产品。关于如何开启操作保护,具体请参考《统一身份认证服务用户指南》的内容。

父主题: 连接信息管理

相关文档