更新时间:2023-09-26 GMT+08:00

设置安全组规则

操作场景

安全组是一个逻辑上的分组,为同一个虚拟私有云内具有相同安全保护需求,并相互信任的弹性云服务器云数据库RDS实例提供访问策略。

为了保障数据库的安全性和稳定性,在使用云数据库RDS实例之前,您需要设置安全组,开通需访问数据库的IP地址和端口。

内网连接RDS实例时,设置安全组分为以下两种情况:

  • ECS与RDS实例在相同安全组时,默认ECS与RDS实例互通,无需设置安全组规则,执行通过内网连接RDS for PostgreSQL实例(Linux方式)
  • ECS与RDS实例在不同安全组时,需要为RDS和ECS分别设置安全组规则。
    • 设置RDS安全组规则:为RDS所在安全组配置相应的入方向规则
    • 设置ECS安全组规则:安全组默认规则为出方向上数据报文全部放行,此时,无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通时,需要为ECS所在安全组配置相应的出方向规则。

本节主要介绍如何为RDS实例设置相应的入方向规则。

关于添加安全组规则的详细要求,可参考《虚拟私有云用户指南》的“添加安全组规则”章节。

注意事项

因为安全组的默认规则是在出方向上的数据报文全部放行,同一个安全组内的弹性云服务器云数据库RDS实例可互相访问。安全组创建后,您可以在安全组中定义各种访问规则,当云数据库RDS实例加入该安全组后,即受到这些访问规则的保护。

  • 默认情况下,一个用户可以创建100个安全组。
  • 默认情况下,一个安全组最多只允许拥有50条安全组规则。
  • 一个RDS实例允许绑定多个安全组,一个安全组可以关联多个RDS实例。
  • 为一个安全组设置过多的安全组规则会增加首包延时,因此,建议一个安全组内的安全组规则不超过50条。
  • 当需要从安全组外访问安全组内的云数据库RDS实例时,需要为安全组添加相应的入方向规则

为了保证数据及实例安全,请合理使用权限。建议使用最小权限访问,并及时修改数据库默认端口号(5432),同时将可访问IP地址设置为远程主机地址或远程主机所在的最小子网地址,限制远程主机的访问范围。

源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的云数据库RDS实例。

关于添加安全组规则的详细要求,可参考《虚拟私有云用户指南》的“添加安全组规则”章节。

操作步骤

  1. 登录管理控制台
  2. 单击管理控制台左上角的,选择区域和项目。
  3. 单击页面左上角的,选择“数据库 > 云数据库 RDS”,进入RDS信息页面。
  4. “实例管理”页面,选择目标实例,单击实例名称,进入实例的“基本信息”页面。
  5. 设置安全组规则。

    “连接信息”模块的“安全组”处,单击安全组名称,进入安全组页面。
    图1 连接信息

  6. 在入方向规则页签,单击“添加规则”,添加入方向规则。

    单击“+”可以依次增加多条入方向规则。
    图2 添加入方向规则
    表1 入方向参数说明

    参数

    说明

    取值样例

    优先级

    安全组规则优先级。

    优先级可选范围为1-100,默认值为1,即最高优先级。优先级数字越小,规则优先级级别越高。

    1

    策略

    安全组规则策略。

    优先级相同的情况下,拒绝策略优先于允许策略。

    允许

    协议端口

    网络协议。目前支持“All”、“TCP”、“UDP”、“ICMP”和“GRE”等协议。

    TCP

    端口:允许远端地址访问数据库实例指定端口。

    RDS for PostgreSQL数据库端口范围为2100~9500。

    5432

    类型

    IP地址类型。目前仅支持IPv4。

    IPv4

    源地址

    源地址:可以是IP地址、安全组、IP地址组。用于放通来自IP地址或另一安全组内的实例的访问。例如:

    • 单个IP地址:192.168.10.10/32(IPv4地址)
    • IP地址段:192.168.1.0/24(IPv4地址段)
    • 所有IP地址:0.0.0.0/0(IPv4任意地址)
    • 安全组:sg-abc
    • IP地址组:ipGroup-test

    0.0.0.0/0

    描述

    安全组规则的描述信息,非必填项。

    描述信息内容不能超过255个字符,且不能包含“<”和“>”。

    -