安全组是一种有状态的包含过滤功能的虚拟防火墙,用于设置单台或多台云数据库的网络访问控制,是腾讯云提供的重要的网络安全隔离手段。
安全组是一个逻辑上的分组,您可以将同一地域内具有相同网络安全隔离需求的私有网络云数据库实例加到同一个安全组内 ,暂不支持基础网络云数据库。云数据库与云服务器等共享安全组列表,安全组内基于规则匹配,云数据库不支持的规则自动不生效。
注意:
云数据库安全组目前仅支持私有网络 VPC 内网访问,暂不支持对基础网络的网络控制和外网访问的网络控制。
管理云数据库安全组
2. 在实例管理页面,选择数据安全性>安全组页,可管理云数据库安全组。
注意:
云数据库共享云服务器的安全组规则,您可以根据实际情况在安全组管理页面匹配或调整优先级。
云数据库安全组管理页面不支持创建、删除安全组规则本身;有创建、删除、调整安全组规则,请参考私有网络 管理安全组。 安全组策略
安全组策略分为允许和拒绝流量。您可以通过安全组策略对实例的入流量进行安全过滤,实例可以是私有网络云数据库实例 。
云数据库安全组默认策略
当前购买云数据库且为 VPC 网络时,可以无需关联任何安全组,此时默认策略为“放通全部 IP 和端口”。
安全组模板
安全组支持自定义创建和模板创建,通过配置安全组规则对出入云服务器的数据包进行控制。
放通全部端口:允许全部 IP 访问云数据库。有一定安全风险,请谨慎操作。
安全组规则
安全组规则可控制允许到达与安全组相关联实例的入站流量,以及允许离开实例的出站流量(从上到下依次筛选规则)。默认情况下,新建安全组将 All Drop (拒绝)所有流量。您可以随时修改安全组的规则,新规则保存后立即生效。
对于安全组的每条规则,有以下几项内容:
协议端口:因为云数据库仅能通过指定端口访问,所以安全组设置为非数据库访问端口不会对本实例生效,您可以通过查看实例连接端口来进行配置,如当前访问端口为3306,则端口可以设置为 ALL 或者 TCP:3306。
授权类型:地址段(CIDR/IP)访问;
来源(入站规则)或目标(出站规则),请指定以下选项之一:
用 CIDR 表示法,指定的单个 IP 地址。
用 CIDR 表示法,指定的 IP 地址范围(例如,203.0.113.0/24)。
策略:允许或拒绝。
安全组优先级
您在实例控制台中配置的安全组优先级,数字越小优先级越高。实例绑定多个安全组时,优先级将作为判断该实例总的安全规则的评估依据。
另外,如果实例绑定的多个安全组的最后一条策略是 ALL Traffic 拒绝,那么除了优先级最低的安全组,其它安全组的最后一条策略 ALL Traffic 拒绝将失效。
安全组的限制
安全组适用于私有网络 网络环境 下的云数据库实例。 每个用户在每个地域每个项目下最多可设置50个安全组。
一个安全组入站方向、出站方向的访问策略,各最多可设定100条。由于云数据库没有主动出站流量,因此出站规则对云数据库不生效。
一个云数据库可以加入多个安全组,一个安全组可同时关联多个云数据库,数量无限制。
创建、管理和删除安全组规则
云数据库共享云服务器的安全组规则,您可以根据实际情况在云数据库安全组管理页面匹配或调整优先级。
创建、管理和删除安全组规则请至 安全组管理页面,并参考文档 管理安全组 操作。