tencent cloud

云数据库 MySQL

动态与公告
产品动态
产品公告
新手指引
产品简介
产品概述
产品优势
应用场景
数据库架构
隔离策略
经济型实例
产品功能列表
数据库实例
高可用性(多可用区)
地域和可用区
自研内核
内核概述
内核版本更新动态
功能类特性
性能类特性
安全类特性
稳定类特性
TXRocks 引擎
内核问题检查与修复
购买指南
计费概述
选型指南
购买方式
续费说明
欠费说明
退费说明
按量转包年包月
调整实例费用说明
备份空间收费说明
数据库审计计费说明
数据库代理商业化计费和活动说明
数据库代理计费周期说明
查看费用账单
快速入门
入门概述
创建 MySQL 实例
连接 MySQL 实例
SQL 洞察(原数据库审计)
数据库审计简介
查看审计实例列表
开通审计服务
查看审计日志
日志投递
配置事后告警
修改审计规则
修改审计服务
关闭审计服务
审计规则模板
SQL 审计规则(旧版)
查看审计任务
授权子用户使用数据库审计
MySQL 云盘版
MySQL 云盘版概述
创建 MySQL 云盘版实例
维护管理实例
查看实例监控
调整实例配置
其他功能相关操作
迁移或升级至 MySQL 云盘版
操作指南
使用限制
操作总览
维护管理实例
升级实例
CPU 弹性扩容
只读/灾备实例
数据库代理
数据库管理(DMC)
账号管理
参数配置
备份与回档
数据迁移
网络与安全
监控与告警
日志中心
只读分析引擎
标签
实践教程
腾讯云 MySQL 帮助实现 MySQL 5.7升级至 MySQL 8.0
MySQL 5.6升级到 MySQL 5.7方法和说明
云数据库 MySQL 数据库审计等保实践
构建全场景高可用架构
云数据库 MySQL 使用规范
应用程序配置自动重连功能
MySQL 主实例参数修改的影响
MyISAM 自动转换为 InnoDB 引擎限制
为云数据库 MySQL 创建 VPC
使用云数据库 MySQL 提高业务负载能力
两地三中心灾备建设
读写分离扩展云数据库 MySQL 性能
使用 DTS 将 InnoDB 数据迁移至 RocksDB
构建 LAMP 堆栈 Web 应用程序
构建 Drupal 网站
通过 Python 语言使用 MySQL API
主备实例查询数据不一致
白皮书
性能白皮书
安全白皮书
故障处理
连接相关
性能相关
实例数据同步延迟
设置大小写不敏感失败
通过命令获取 slow_query_log_file 失败
API 文档
History
Introduction
API Category
Instance APIs
调用方式
Data Import APIs
Database Proxy APIs
数据库审计相关接口
Security APIs
Task APIs
Backup APIs
Account APIs
Rollback APIs
Parameter APIs
Database APIs
Monitoring APIs
Log-related API
Data Types
Error Codes
常见问题
选型相关
计费相关
备份相关
回档相关
连接登录
参数修改
升级相关
账号权限
性能内存
运维相关
数据迁移
功能特性
控制台相关
日志相关
事件相关
数据库审计
实例切换影响
API 2.0 切换 3.0 指引
相关协议
服务等级协议
服务条款
通用参考
标准与认证
联系我们
词汇表
文档云数据库 MySQL操作指南网络与安全管理云数据库安全组

管理云数据库安全组

PDF
聚焦模式
字号
最后更新时间: 2026-01-12 17:16:52

操作场景

安全组 是一种有状态的包含过滤功能的虚拟防火墙,用于设置单台或多台云数据库的网络访问控制,是腾讯云提供的重要的网络安全隔离手段。安全组是一个逻辑上的分组,您可以将同一地域内具有相同网络安全隔离需求的云数据库实例加到同一个安全组内。云数据库与 云服务器 等共享安全组列表,安全组内基于规则匹配,具体规则与限制请参见 安全组详细说明
说明:
云数据库 MySQL 安全组目前仅支持私有网络 VPC 内网访问和外网访问的网络控制,暂不支持对基础网络的网络控制。
由于云数据库没有主动出站流量,因此出站规则对云数据库不生效。
云数据库 MySQL 安全组支持主实例、只读实例与灾备实例。

为云数据库配置安全组

步骤一:创建安全组

1. 登录 云服务器控制台
2. 在左侧导航选择安全组页,选择地域,单击新建
3. 在弹出的对话框,完成如下配置,确认后单击确定
模板:根据安全组中的数据库实例需要部署的服务,选择合适的模板,简化安全组规则配置。如下表所示:
模板
说明
说明
放通全部端口
默认放通全部端口到公网和内网,具有一定安全风险。
-
放通22,80,443,3389端口和 ICMP 协议
默认放通22,80,443,3389端口和 ICMP 协议,内网全放通。
此模板对云数据库不生效。
自定义
安全组创建成功后,按需自行添加安全组规则。具体操作请参见 添加安全组规则
-
名称:自定义设置安全组名称。
所属项目:默认选择默认项目,可指定为其他项目,便于后期管理。
备注:自定义,简短地描述安全组,便于后期管理。
标签:为安全组配置标签,默认无标签。可按需进行添加,标签详情请参见 标签产品文档

步骤二:添加安全组规则

1. 安全组页,在需要设置规则的安全组行中,单击操作列的修改规则
2. 在安全组规则页面,选择入站规则 > 添加规则
3. 在弹出的对话框中,设置规则。
类型:默认选择自定义,您也可以选择其他系统规则模板,推荐选择 MySQL(3306) 模板。
来源:流量的源(入站规则) 或目标(出站规则),请指定以下选项之一:
指定的源/目标
说明
单个 IPv4 地址或 IPv4 地址范围
用 CIDR 表示法(如203.0.113.0203.0.113.0/24或者0.0.0.0/0,其中0.0.0.0/0代表匹配所有 IPv4 地址)。
单个 IPv6 地址或 IPv6 地址范围
用 CIDR 表示法(如FF05::B5FF05:B5::/60::/0或者0::0/0,其中::/0或者0::0/0代表匹配所有 IPv6 地址)。
引用安全组 ID,您可以引用以下安全组的 ID:
安全组 ID
其他安全组
当前安全组表示与安全组关联的云服务器。
其他安全组表示同一区域中同一项目下的另一个安全组 ID。
引用 参数模板 中的 IP 地址对象或 IP 地址组对象
-
协议端口:填写协议类型和端口范围,您也可以引用 参数模板 中的协议端口或协议端口组。
注意:
连接云数据库 MySQL,须放通 MySQL 实例端口。您可登录 MySQL 控制台 单击实例 ID 进入详情页查看端口。
MySQL 内网默认端口为3306,同时支持自定义端口,若修改过默认端口号,安全组中需放通 MySQL 新端口信息。
MySQL 外网端口由系统自动分配,不支持自定义,外网开启后将受到安全组网络访问策略的控制,配置安全策略时需放通内网访问端口3306。
MySQL 控制台安全组页面设置的安全组规则,对内网地址和外网地址(若开启后),均统一生效。
策略:默认选择允许
允许:放行该端口相应的访问请求。
拒绝:直接丢弃数据包,不返回任何回应信息。
备注:自定义,简短地描述规则,便于后期管理。
4. 单击完成,完成安全组入站规则的添加。

案例

场景:您创建了一台云数据库 MySQL,并希望通过云服务器 CVM 访问云数据库 MySQL。 解决方法:添加安全组规则时,在类型中选择 MySQL(3306),开通3306协议端口。
您还可以根据实际需求,放通全部 IP 或指定 IP(IP 段),配置可通过 CVM 访问云数据库 MySQL 的 IP 来源。
方向
类型
来源
协议端口
策略
入方向
MySQL(3306)
全部 IP:0.0.0.0/0
指定 IP:输入您指定的 IP 或 IP 段
TCP:3306
允许

步骤三:配置安全组

安全组是腾讯云提供的实例级别防火墙,可以对云数据库进行入流量控制。您可以在购买实例时绑定安全组,也可以购买实例后在控制台绑定安全组。
注意:
目前云数据库 MySQL 安全组仅支持私有网络云数据库配置。
1. 登录 MySQL 控制台,在实例列表,单击实例 ID,进入实例管理页面。
2. 在实例管理页面,选择安全组页,单击配置安全组

3. 在弹出的对话框,选择需要绑定的安全组,单击确认,即可完成安全组绑定云数据库的操作。

导入安全组规则

1. 安全组页,选择需要的安全组,单击安全组 ID/名称
2. 在入/出站规则页签,单击导入规则
3. 在弹出的对话框,选择已编辑好的入站/出站规则模板文件,单击开始导入
说明:
如果需要导入规则的安全组下已存在安全组规则,建议您先导出现有规则,否则导入新规则时,将覆盖原有规则。

克隆安全组

1. 安全组页,在列表的操作列选择更多 > 克隆
2. 在弹出的对话框,选定目标地域、目标项目后,单击确定。若新安全组需关联 CVM,请重新进行管理安全组内云服务器。

删除安全组

1. 安全组页,选择需要删除的安全组,在操作列选择更多 > 删除
2. 在弹出的对话框,单击确定。若当前安全组有关联的 CVM 则需要先解除安全组才能进行删除。
上一篇: 控制台示例下一篇: 切换网络

帮助和支持

本页内容是否解决了您的问题?

填写满意度调查问卷,共创更好文档体验。

文档反馈