tencent cloud

작업 시나리오

보안 그룹은 필터링 기능을 갖춘 일종의 스테이트풀 가상 방화벽으로, 단일 또는 다중 CDB의 네트워크 액세스 제어 설정에 사용되며 Tencent Cloud에서 제공하는 중요한 네트워크 보안 격리 방법입니다. 보안 그룹은 하나의 로직 그룹으로, 한 리전 내에서 같은 수준의 네트워크 보안 격리가 필요한 CDB 인스턴스를 동일한 보안 그룹에 넣을 수 있습니다. CDB, CVM 등은 보안 그룹 리스트를 공유하며, 보안 그룹 안에서 규칙에 따라 매칭됩니다. 구체적인 규칙과 제한에 대한 자세한 내용은 보안 그룹 상세 설명을 참고하십시오.

설명：

• TencentDB for MySQL 보안 그룹은 현재 VPC의 내부 네트워크 및 외부 네트워크 액세스에 대한 제어만 지원하며, 기본 네트워크에 대한 제어는 지원하지 않습니다.
• CDB에는 아웃바운드 트래픽이 없으므로, 아웃바운드 규칙은 CDB에 적용되지 않습니다.
• TencentDB for MySQL 보안 그룹은 마스터 인스턴스, 읽기 전용 인스턴스, 재해 복구 인스턴스를 지원합니다.

CDB 보안 그룹 설정

1단계: 보안 그룹 생성

1. CVM 콘솔에 로그인합니다.
2. 왼쪽 사이드바에서 보안 그룹 탭을 누르고, 리전을 선택한 후, 생성을 클릭합니다.
3. 팝업 창에서 다음과 같은 설정 및 확인을 완료하고, 확인을 클릭합니다.

• 템플릿: 보안 그룹 내의 데이터베이스 인스턴스 수요에 따라 배포되는 서비스로, 아래와 같이 적합한 템플릿을 선택해 보안 그룹 규칙을 설정하는 과정을 간소화할 수 있습니다.

  템플릿	설명	설명
  모든 포트 개방	공용 네트워크와 내부 네트워크에 모든 포트를 개방하도록 기본 설정되어 있으며 보안 리스크가 존재합니다.	-
  22, 80, 443, 3389 포트 및 ICMP 프로토콜 개방	22, 80, 443, 3389 포트 및 ICMP 프로토콜 개방 및 내부 네트워크 전체 개방이 기본 설정되어 있습니다.	이 템플릿은 CDB에 적용되지 않습니다.
  사용자 정의	보안 그룹 생성 후, 필요에 따라 보안 그룹 규칙을 추가합니다. 자세한 방법은 하단의 '보안 그룹 규칙 추가'를 참고하십시오.	-

• 이름: 보안 그룹 이름을 사용자 정의합니다.
• 서브 프로젝트: 기본 프로젝트로 기본 설정되어 있으며, 이후 관리상 편의를 위해 다른 프로젝트로 지정할 수도 있습니다.
• 비고: 사용자 정의 항목으로 이후 관리상 편의를 위해 보안 그룹에 대해 간략한 설명을 남길 수 있습니다.

2단계: 보안 그룹 규칙 추가

1. 보안 그룹 페이지에서 규칙을 설정할 보안 그룹 행 중 작업 열의 규칙 수정을 클릭합니다.
2. 보안 그룹 규칙 페이지에서 인바운드 규칙> 규칙 추가를 선택합니다.
3. 팝업 창에서 규칙을 설정합니다.

• 유형: 사용자 정의로 기본 설정되어 있으며, 다른 시스템의 규칙 템플릿을 선택할 수도 있습니다. MySQL(3306) 템플릿을 권장합니다.
• 출처: 트래픽의 소스(인바운드 규칙) 또는 타깃(아웃바운드 규칙)입니다. 다음 옵션 중 하나를 지정하십시오.

  지정 소스/타깃	설명
  단일 IPv4 주소 또는 IPv4 주소 범위	CIDR 표시법을 사용합니다(예: 203.0.113.0, 203.0.113.0/24 또는 0.0.0.0/0, 이 중 0.0.0.0/0는 모든 IPv4 주소 매칭을 의미).
  단일 IPv6 주소 또는 IPv6 주소 범위	CIDR 표시법을 사용합니다(예: FF05::B5, FF05:B5::/60, ::/0 또는 0::0/0, 이 중 ::/0 또는 0::0/0는 모든 IPv6 주소 매칭을 의미).
  보안 그룹 ID를 참고합니다. 아래의 보안 그룹 ID를 참고할 수 있습니다. 보안 그룹 ID 기타 보안 그룹	현재 보안 그룹은 보안 그룹에 연결된 CVM을 의미합니다. 기타 보안 그룹은 동일 리전 내 동일 프로젝트에 있는 또 다른 보안 그룹 ID를 의미합니다.
  매개변수 템플릿의 IP 주소 객체 또는 IP 주소 그룹 객체 인용	-

• 프로토콜 포트: 프로토콜 유형과 포트 범위를 입력하면 매개변수 템플릿의 프로토콜 포트 또는 프로토콜 포트 그룹을 참조할 수 있습니다.

  주의：

  TencentDB for MySQL에 연결하려면 MySQL 인스턴스 포트를 개방해야 합니다. MySQL 콘솔에 로그인한 뒤, 인스턴스 ID를 클릭하여 인스턴스 상세 페이지에서 포트를 조회할 수 있습니다.
  

  • MySQL 내부 네트워크의 기본 포트는 3306이며 사용자 정의 포트도 지원합니다. 기본 포트 번호를 수정했다면, 보안 그룹에서 MySQL의 새로운 포트 정보를 다시 개방해야 합니다.
  • MySQL 외부 네트워크 포트는 시스템에 의해 자동으로 할당되며 사용자 정의를 지원하지 않습니다. 외부 네트워크 활성화 후 보안 그룹의 네트워크 액세스 정책에 의해 제어됩니다. 보안 정책 구성 시 내부 네트워크 액세스 포트 3306을 개방해야 합니다.
  • MySQL 콘솔의 보안 그룹 페이지에 설정된 보안 그룹 규칙은 내부 네트워크 주소와 외부 네트워크 주소(활성화된 경우) 모두에 대해 동일 적용됩니다.

• 정책: 허용으로 기본 설정됩니다.
  • 허용: 이 포트에 해당하는 액세스 요청을 허용합니다.
  • 거부: 즉시 데이터 패킷을 거부하고, 어떠한 응답 정보도 반환하지 않습니다.
• 비고: 사용자 정의 항목으로, 이후 관리상 편의를 위해 규칙에 대해 간략한 설명을 남길 수 있습니다.

4. 완료를 클릭하여 보안 그룹 인바운드 규칙 추가를 완료합니다.

사례

시나리오: TencentDB for MySQL을 생성한 후, CVM을 통해 TencentDB for MySQL에 액세스하려는 경우.
해결 방법: 보안 그룹 규칙을 추가할 때 유형에서 MySQL(3306)을 선택하여 3306번 프로토콜 포트를 활성화합니다.
이외에도 실제 필요에 따라 전체 IP 또는 지정 IP(IP대역)를 개방하여, CVM을 통해 TencentDB for MySQL의 IP 출처에 액세스하도록 설정할 수 있습니다.

3단계: 보안 그룹 설정

보안 그룹은 Tencent Cloud에서 제공하는 인스턴스 레벨 방화벽으로, CDB의 인바운드 트래픽을 제어할 수 있습니다. 인스턴스 구매 시 보안 그룹을 바인딩하거나 구매 이후 콘솔에서 바인딩할 수 있습니다.

주의：

현재 TencentDB for MySQL의 보안 그룹은 VPC CDB 설정만 지원합니다.

1. MySQL 콘솔에 로그인한 후, 인스턴스 리스트에서 인스턴스 ID를 클릭하여 인스턴스 관리 페이지로 이동합니다.
2. 인스턴스 관리 페이지에서 보안 그룹 탭을 선택하고 보안 그룹 설정을 클릭합니다.
3. 팝업 창에서 바인딩할 보안 그룹을 선택하고 확인을 클릭하면 보안 그룹을 CDB에 바인딩할 수 있습니다.

보안 그룹 규칙 가져오기

1. 보안 그룹 페이지에서 필요한 보안 그룹을 선택하고 보안 그룹 ID/이름을 클릭합니다.
2. 인바운드/아웃바운드 규칙 탭에서 규칙 가져오기를 클릭합니다.
3. 팝업 창에서 편집이 완료된 인바운드/아웃바운드 규칙 템플릿 파일을 선택하고 가져오기를 클릭합니다.

   설명：

   이미 규칙이 있는 보안 그룹에 새 규칙을 가져오면 기존 규칙을 덮어쓰므로, 새로 가져오기 전에 기존 규칙을 먼저 내보내기 하는 것을 권장합니다.

보안 그룹 클론

1. 보안 그룹 페이지로 이동하고, 리스트의 작업 열에서 더보기>클론을 선택합니다.
2. 팝업 창에서 타깃 리전, 타깃 프로젝트를 선택한 다음 확인을 클릭합니다. 새 보안 그룹에 CVM을 연결해야 하는 경우, 다시 보안 그룹 관리로 이동해 CVM을 연결하시기 바랍니다.

보안 그룹 삭제

1. 보안 그룹 페이지에서 삭제할 보안 그룹을 선택하고, 작업 열에서 더보기>삭제를 클릭합니다.
2. 팝업 창의 확인을 클릭합니다. 현재 보안 그룹에 연결된 CVM이 있다면 먼저 보안 그룹 연결을 해제해야 삭제할 수 있습니다.