配置云数据库安全组

最近更新时间:2023-04-26 09:20:39

我的收藏
安全组是一种有状态的包含过滤功能的虚拟防火墙,用于设置单台或多台云数据库的网络访问控制,是腾讯云提供的重要的网络安全隔离手段。安全组是一个逻辑上的分组,您可以将同一地域内具有相同网络安全隔离需求的私有网络云数据库实例加到同一个安全组内,暂不支持基础网络云数据库。云数据库与云服务器等共享安全组列表,安全组内基于规则匹配,云数据库不支持的规则自动不生效。
说明
云数据库安全组目前支持私有网络 VPC 内网访问的网络控制,对于广州、上海、北京、成都、南京、香港、重庆、新加坡、美国硅谷、首尔、日本、法兰克福、弗吉尼亚地域开启外网访问的实例,安全组支持外网环境。

管理云数据库安全组

登录 TDSQL MySQL版 控制台,在实例列表,单击实例 ID 进入管理页,选择数据安全性 > 安全组,管理云数据库安全组。
注意
云数据库共享云服务器的安全组规则,您可以根据实际情况在云数据库安全组管理页面匹配或调整优先级。
云数据库安全组管理页面不支持创建、删除安全组规则本身,相关操作请参见 管理安全组




安全组策略

安全组策略分为允许和拒绝流量。您可以通过安全组策略对实例的入流量进行安全过滤,实例可以是私有网络云数据库实例。

云数据库安全组默认策略

当前购买云数据库为 VPC 网络时,可以无需关联任何安全组;此时默认策略为“放通全部 IP 和端口”。

安全组模板

安全组支持自定义创建和模板创建,通过配置安全组规则对出入云服务器的数据包进行控制。

安全组规则

安全组规则可控制允许到达与安全组相关联实例的入站流量,以及允许离开实例的出站流量(从上到下依次筛选规则)。默认情况下,新建安全组将 All Drop (拒绝)所有流量。您可以随时修改安全组的规则,新规则保存后立即生效。 对于安全组的每条规则,有以下几项内容:
协议端口:因为云数据库仅能通过指定端口访问,所以安全组设置为非数据库访问端口不会对本实例生效,您可以通过查看实例连接端口来进行配置,如当前访问端口为3306,则端口可以设置为 ALL 或者 TCP:3306。
授权类型:地址段(CIDR/IP)访问。
来源(入站规则)或目标(出站规则),请指定以下选项之一:
用 CIDR 表示法,指定的单个 IP 地址。
用 CIDR 表示法,指定的 IP 地址范围。
策略:允许或拒绝。

安全组优先级

您在实例控制台中配置的安全组优先级,数字越小优先级越高。实例绑定多个安全组时,优先级将作为判断该实例总的安全规则的评估依据。 另外,如果实例绑定的多个安全组的最后一条策略是 ALL Traffic 拒绝,那么除了优先级最低的安全组,其它安全组的最后一条策略 ALL Traffic 拒绝将失效。

安全组的限制

安全组适用于私有网络 网络环境 下的云数据库实例。
安全组策略目前仅对内网 IP 生效,开启数据库外网访问时请配合 CVM 转发使用,保证业务获得最佳安全保障。
每个用户在同个地域的同个项目下最多可设置50个安全组。
一个安全组入站方向、出站方向的访问策略,各最多可设定100条。由于云数据库没有主动出站流量,因此出站规则对云数据库不生效。
一个云数据库可以加入多个安全组,一个安全组可同时关联多个云数据库,数量无限制。
注意
安全组内实例个数虽无限制,但不宜过多。
功能描述
数量
安全组
50个/地域
访问策略
100条/入站方向,100条/出站方向
实例关联安全组个数
无限制
安全组内实例的个数
无限制

创建、管理和删除安全组规则

云数据库共享云服务器的安全组规则,您可以根据实际情况在云数据库安全组管理页面匹配或调整优先级。创建、管理和删除安全组规则在 安全组管理页面 进行,具体操作请参见 管理安全组