操作场景
安全组是一个逻辑上的分组,为同一个虚拟私有云内具有相同安全保护需求,并相互信任的弹性云主机和GaussDB(for MySQL)数据库实例提供访问策略。为了保障数据库的安全性和稳定性,在使用GaussDB(for MySQL)数据库实例之前,您需要设置安全组,开通需访问数据库的IP地址和端口。
内网连接GaussDB(for MySQL)实例时,设置安全组分为以下两种情况:
- ECS与GaussDB(for MySQL)实例在相同安全组时,默认ECS与GaussDB(for MySQL)实例互通,无需设置安全组规则,执行通过内网连接GaussDB(for MySQL)实例。
- ECS与GaussDB(for MySQL)实例在不同安全组时,需要为GaussDB(for MySQL)和ECS分别设置安全组规则。
- 设置GaussDB(for MySQL)安全组规则:为GaussDB(for MySQL)所在安全组配置相应的 入方向规则 。
- 设置ECS安全组规则:安全组默认规则为出方向上数据报文全部放行,此时,无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通时,需要为ECS所在安全组配置相应的出方向规则。
注意事项
因为安全组的默认规则是在出方向上的数据报文全部放行,同一个安全组内的弹性云主机和GaussDB(for MySQL)数据库实例可互相访问。安全组创建后,您可以在安全组中定义各种访问规则,当GaussDB(for MySQL)数据库实例加入该安全组后,即受到这些访问规则的保护。
- 默认情况下,一个租户可以创建500条安全组规则。
- 为一个安全组设置过多的安全组规则会增加首包延时,因此,建议一个安全组内的安全组规则不超过50条。
- 当需要从安全组外访问安全组内的GaussDB(for MySQL)数据库实例时,需要为安全组添加相应的 入方向规则 。
说明为了保证数据及实例安全,请合理使用权限。建议使用最小权限访问,并及时修改数据库默认端口号(3306),同时将可访问IP地址设置为远程主机地址或远程主机所在的最小子网地址,限制远程主机的访问范围。
源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的GaussDB(for MySQL)数据库实例。
操作步骤
步骤 1 登录管理控制台。
步骤 2 单击管理控制台右上角的,选择Region。
步骤 3 在页面左上角单击,选择“数据库 > 云数据库 GaussDB(for MySQL)”。
步骤 4 在“实例管理”页面,选择目标实例,单击实例名称,进入实例的“基本信息”页面。
步骤 5 设置安全组规则。
在“网络信息”模块的“内网安全组”处,单击安全组名称,进入安全组页面。
步骤 6 在“入方向规则”子页签下单击“添加规则”,在“添加入方向规则”弹出框中填选安全组信息,单击“确定”。
单击可以依次增加多条入方向规则。
表 入方向参数说明
参数 说明 取值样例 协议端口 安全组规则作用的协议。
目前支持“全部方通”、“全部TCP”“自定义TCP”、“全部UDP”、“自定义UDP”“ICMP”和“GRE”等协议。
选择“全部放通”,表示全部协议端口。自定义TCP 端口:允许远端地址访问弹性云主机指定端口。 通过内网连接实例时,输入已购买弹性云主机的目标实例的端口。
单个端口:例如22
连续端口:例如22-30
全部端口:为空或1-65535源地址 源地址:可以是IP地址、安全组。
xxx.xxx.xxx.xxx/32(IPv4地址)
xxx.xxx.xxx.0/24(子网)
0.0.0.0/0(任意地址)0.0.0.0/0 描述 安全组规则的描述信息,非必填项。
描述信息内容不能超过255个字符,且不能包含“<”和“>”。- 操作 支持复制或删除一条安全组规则。只有一条安全组规则时不能删除。 -