云数据库安全组

最近更新时间:2019-05-15 12:14:34

操作场景

安全组是一种有状态的包含过滤功能的虚拟防火墙,用于设置单台或多台云数据库的网络访问控制,是腾讯云提供的重要的网络安全隔离手段。安全组是一个逻辑上的分组,您可以将同一地域内具有相同网络安全隔离需求的云数据库实例加到同一个安全组内。云数据库与云服务器等共享安全组列表,安全组内基于规则匹配,具体规则与限制请参见 安全组详细说明

注意:

  1. 云数据库安全组目前仅支持私有网络 VPC 内网访问和外网访问的网络控制,暂不支持对基础网络的网络控制
  2. 仅广州、上海、北京、成都地域支持数据库外网访问的安全组,其他地域暂不支持。
  3. 由于云数据库没有主动出站流量,因此出站规则对云数据库不生效
  4. 云数据库 MySQL 安全组支持主实例、只读实例与灾备实例。
  5. 关于安全组默认提供模板需注意如下:
    • Linux 放通22端口 :仅暴露 SSH 登录的 TCP 22 端口到公网,内网端口全通,此模板对云数据库不生效
    • Windows 放通3389端口:仅暴露 MSTSC 登录的 TCP 3389 端口到公网,内网端口全通,此模板对云数据库不生效
    • 放通全部端口:允许全部 IP 访问云数据库,有一定安全风险。

操作步骤

创建安全组

  1. 登录 云服务器控制台,在左侧栏中,选择【安全组】页。
  2. 单击【新建】,选择【模板】创建或【自定义】创建,输入安全组的名称(例如:my-security-group),选择 所属项目,选填 备注,确认后单击【确定】。

为云数据库配置安全组

安全组 是腾讯云提供的实例级别防火墙,可以对云数据库进行入/出流量控制。您可以在购买实例时绑定安全组,也可以购买实例后在控制台绑定安全组。

注意:

目前云数据库 MySQL 安全组仅支持私有网络云数据库配置。

  1. 登录 云数据库 MySQL 控制台,在实例列表选中需要配置安全组的实例,单击【管理】,选择【安全组】>【配置安全组】页。
  2. 选择需要绑定的安全组,单击【确认】,即可完成安全组绑定云数据库的操作。

删除安全组

  1. 登录云服务器控制台 安全组页面,在列表中安全组项后面选择【更多】>【删除】。
  2. 在弹出的删除安全组页中,单击【确定】。若当前安全组有关联的 CVM 则需要先解除安全组才能进行删除。

克隆安全组

  1. 在云服务器控制台安全组页面中,在列表中安全组项后面选择【更多】>【克隆】。
  2. 在弹出的克隆安全组页中,选定目标地域、目标项目后,单击【确定】。若新安全组需关联 CVM,请重新进行管理安全组内云服务器。

向安全组中添加规则

  1. 在云服务器控制台安全组页面中,选择需要更新的安全组,单击安全组 ID/名称。详细信息窗格内会显示此安全组的详细信息,以及可供您使用入站规则和出站规则的选项卡。
  2. 在入/出站规则选项卡上,单击【添加规则】。
  3. 从选项卡中选择用于入/出站规则的选项,然后填写所需信息。例如,将来源/目标指定为0.0.0.0/0,协议端口指定为TCP:3306,设置策略为 允许,单击【完成】。单击【新增一行】可以同时配置多个规则。

导入导出安全组规则

  1. 在云服务器控制台安全组页面中,选择需要更新的安全组,单击安全组 ID/名称。详细信息窗格内会显示此安全组的详细信息,以及可供您使用入站规则和出站规则的选项卡。
  2. 从选项卡中选择用于入/出站规则的选项,然后单击【导入规则】。
  3. 如原来您已有规则,则推荐您先导出现有规则,因为规则导入将覆盖原有规则,如原来为空规则,则可先导出模板,编辑好模板文件后,再单击【选择文件】选择您的模板文件,单击【开始导入】即可。