配置云数据库安全组

最近更新时间:2019-09-20 16:00:23

安全组是一种有状态的包含过滤功能的虚拟防火墙,用于设置单台或多台云数据库的网络访问控制,是腾讯云提供的重要的网络安全隔离手段。安全组是一个逻辑上的分组,您可以将同一地域内具有相同网络安全隔离需求的 私有网络云数据库 实例加到同一个安全组内 ,暂不支持基础网络云数据库。云数据库与云服务器等共享安全组列表,安全组内基于规则匹配,云数据库不支持的规则自动不生效。

注意:

云数据库安全组目前仅支持私有网络 VPC 内网访问,暂不支持对基础网络的网络控制和外网访问的网络控制。

管理云数据库安全组

您可以在 MariaDB 控制台 页面的【实例列表】-【数据安全性】-【安全组】中管理云数据库。

注意:

  1. 云数据库共享云服务器的安全组规则,您可以根据实际情况在【云数据库安全组管理页面】匹配或调整优先级。
  2. 云数据库安全组管理页面不支持创建、删除安全组规则本身;有创建、删除、调整安全组规则,请参考私有网络 管理安全组

安全组策略

安全组策略分为允许和拒绝流量。您可以通过安全组策略对实例的入流量进行安全过滤,实例可以是:私有网络云数据库 实例 。

云数据库安全组默认策略

当前购买云数据库且为 VPC 网络时,可以无需关联任何安全组;此时默认策略为“放通全部 IP 和端口”。

安全组模板

安全组支持自定义创建和模板创建,通过配置安全组规则对出入云服务器的数据包进行控制。目前系统提供三个模板:

  • Linux 放通 22 端口:仅暴露 SSH 登录的 TCP 22 端口到公网,内网端口全通,此模板对云数据库不生效
  • Windows 放通 3389 端口:仅暴露 MSTSC 登录的 TCP 3389 端口到公网,内网端口全通,此模板对云数据库不生效
  • 放通全部端口:允许全部 IP 访问云数据库。有一定安全风险,请谨慎操作。

安全组规则

安全组规则可控制允许到达与安全组相关联实例的入站流量,以及允许离开实例的出站流量(从上到下依次筛选规则)。默认情况下,新建安全组将 All Drop (拒绝)所有流量。您可以随时修改安全组的规则,新规则保存后立即生效。
对于安全组的每条规则,有以下几项内容:

  • 协议端口:云数据库协议端口仅支持 ALL,由于 TencentDB 只提供固定端口访问,所以无需指定端口,若指定端口则该条规则对云数据库不生效。
  • 授权类型:地址段(CIDR/IP)访问;
  • 来源(入站规则)或目标(出站规则),请指定以下选项之一:
    • 用 CIDR 表示法,指定的单个 IP 地址。
    • 用 CIDR 表示法,指定的 IP 地址范围(例如,203.0.113.0/24)。
  • 策略:允许或拒绝。

安全组优先级

您在实例控制台中配置的安全组优先级,数字越小优先级越高。实例绑定多个安全组时,优先级将作为判断该实例总的安全规则的评估依据。
另外,如果实例绑定的多个安全组的最后一条策略是【ALL Traffic 拒绝】,那么除了优先级最低的安全组,其它安全组的最后一条策略【ALL Traffic 拒绝】将失效。

安全组的限制

  • 安全组适用于私有网络 网络环境 下的云数据库实例。
  • 每个用户在每个地域每个项目下最多可设置 50 个安全组。
  • 一个安全组入站方向、出站方向的访问策略,各最多可设定 100 条。由于云数据库没有主动出站流量,因此出站规则对云数据库不生效
  • 一个云数据库可以加入多个安全组,一个安全组可同时关联多个云数据库,数量无限制。
注意:

安全组内实例个数虽无限制,但不宜过多。

功能描述 数量
安全组 50 个/地域
访问策略 100 条/入站方向,100 条/出站方向
实例关联安全组个数 无限制
安全组内实例的个数 无限制

创建、管理和删除安全组规则

云数据库共享云服务器的安全组规则,您可以根据实际情况在【云数据库安全组管理页面】匹配或调整优先级。创建、管理和删除安全组规则请至 安全组管理页面,并参考文档 管理安全组 操作。