API 文档

配置安全组

最近更新时间:2021-11-24 14:56:37

云数据库 MongoDB 支持在控制台配置安全组, 您可以对云数据库进行出入流量控制。

背景信息

安全组 是一种有状态的包含过滤功能的虚拟防火墙,用于设置单台或多台云数据库的网络访问控制,是腾讯云提供的重要的网络安全隔离手段。安全组是一个逻辑上的分组,您可以将同一地域内具有相同网络安全隔离需求的云数据库实例加到同一个安全组内。云数据库与云服务器等共享安全组列表,安全组内基于规则匹配,具体规则与限制请参见 安全组详细说明

注意:

  • 云数据库安全组目前仅支持私有网络 VPC 内网访问的网络控制,暂不支持对基础网络的网络控制。
  • 由于云数据库没有主动出站流量,因此出站规则对云数据库不生效。
  • 云数据库 MongoDB 安全组支持主实例、只读实例与灾备实例。
  • 云数据库 MongoDB 支持安全组功能,安全组功能当前为白名单控制,如您有需要,请 提交工单 申请。

操作步骤

步骤一:创建安全组

  1. 登录 云服务器控制台
  2. 在左侧导航选择安全组,在右侧页面上方选择所属地域,单击新建
  3. 在弹出来的新建安全组对话框中,完成如下配置,单击确定
    • 模板:根据安全组中的数据库实例需要部署的服务,选择合适的模板,简化安全组规则配置。如下表所示:
      模板说明备注
      放通全部端口默认放通全部端口到公网和内网,具有一定安全风险。-
      放通22,80,443,3389端口和ICMP协议默认放通22,80,443,3389端口和 ICMP 协议,内网全放通。此模板对云数据库不生效。
      自定义安全组创建成功后,按需自行添加安全组规则。具体操作请参见下文“添加安全组规则”。-
    • 名称:自定义设置安全组名称。
    • 所属项目:默认选择默认项目,可指定为其他项目,便于后期管理。
    • 备注:自定义,简短地描述安全组,便于后期管理。
  4. 选择高级选项,您可以给安全组设置标签。

步骤二:添加安全组规则

  1. 安全组 页面的安全组列表中,在右上角的搜索框搜索查找需要设置规则的安全组。
  2. 找到需设置规则的安全组,单击其操作列的修改规则
  3. 安全组规则页面的入站规则页签,单击添加规则
  4. 在弹出的添加入站规则对话框中,设置规则。
    • 类型:默认选择“自定义”,您也可以选择其他系统规则模板。
    • 来源:流量的源(入站规则) 或目标(出站规则),请指定以下选项之一:
      指定的源/目标说明
      单个 IPv4 地址或 IPv4 地址范围用 CIDR 表示法(如203.0.113.0203.0.113.0/24或者0.0.0.0/0,其中0.0.0.0/0代表匹配所有 IPv4 地址)。
      单个 IPv6 地址或 IPv6 地址范围用 CIDR 表示法(如FF05::B5FF05:B5::/60::/0或者0::0/0,其中::/0或者0::0/0代表匹配所有 IPv6 地址)。
      引用安全组 ID,您可以引用以下安全组的 ID:
      • 安全组 ID
      • 其他安全组
      • 当前安全组表示与安全组关联的云服务器。
      • 其他安全组表示同一区域中同一项目下的另一个安全组 ID。
      引用 参数模板 中的 IP 地址对象或 IP 地址组对象-
    • 协议端口:填写协议类型和端口范围,您也可以引用 参数模板 中的协议端口或协议端口组。
      说明:

      连接云数据库 MongoDB 须开通27017协议端口。

    • 策略:默认选择“允许”。
      • 允许:放行该端口相应的访问请求。
      • 拒绝:直接丢弃数据包,不返回任何回应信息。
    • 备注:自定义,简短地描述规则,便于后期管理。
  5. 单击完成,完成安全组入站规则的添加。

步骤三:给实例绑定安全组

注意:

目前云数据库 MongoDB 安全组仅支持私有网络云数据库配置。

  1. 登录 MongoDB 控制台
  2. 在左侧导航栏 MongoDB 的下拉列表中,选择副本集实例或者分片实例。副本集实例与分片实例操作类似。
  3. 在右侧实例列表页面上方,选择地域。
  4. 在实例列表中,找到需绑定安全组的实例。
  5. 在目标实例的操作列,选择更多 > 安全组
    或者单击目标实例的名称,选择安全组页签,单击配置安全组
  6. 配置安全组对话框,选择需要绑定的安全组,单击确定

更多操作

调整已绑定安全组的优先级

  1. 登录 MongoDB 控制台
  2. 在左侧导航栏 MongoDB 的下拉列表中,选择副本集实例或者分片实例。副本集实例与分片实例操作类似。
  3. 在右侧实例列表页面上方,选择地域。
  4. 在实例列表中,找到需绑定安全组的实例。
  5. 单击目标实例的 ID,选择安全组页签,可查看到实例当前所有的安全组。
  6. 单击编辑,您可以在操作列,单击或者,调整安全组过滤的优先级。
  7. 单击保存,完成修改。

调整出入站规则

  1. 登录 MongoDB 控制台
  2. 在左侧导航栏 MongoDB 的下拉列表中,选择副本集实例或者分片实例。副本集实例与分片实例操作类似。
  3. 在右侧实例列表页面上方,选择地域。
  4. 在实例列表中,找到需绑定安全组的实例。
  5. 单击目标实例的 ID,选择安全组页签,可查看到实例当前所有的安全组。
  6. 在安全组列表,单击安全组 ID名称,跳转至 安全组 页面。
  7. 找到需修改的安全组规则,在其操作列,单击编辑,可以重新编辑安全组规则。

导入安全组规则

  1. 安全组 页面,选择需要的安全组,单击具体的安全组 ID/名称。
  2. 入站规则或者出站规则页签上,单击导入规则
  3. 在弹出的对话框中,选择已编辑好的入站/出站规则模板文件,单击开始导入
    说明:

    • 如果需要导入规则的安全组下已存在安全组规则,建议您先导出现有规则,否则导入新规则时,将覆盖原有规则。
    • 如果需要导入规则的安全组下没有安全组规则,建议您先下载模板,待编辑好模板文件后,再将文件导入。

克隆安全组

  1. 安全组 页面,在列表的操作列选择更多 > 克隆
  2. 在弹出的对话框中,选定目标地域、目标项目后,单击确定
    若新安全组需关联 CVM,请重新进行管理安全组内云服务器。

删除安全组

  1. 安全组页,选择需要删除的安全组,在操作列选择更多 > 删除
  2. 在弹出的对话框中,单击确定
    若当前安全组有关联的 CVM 则需要先解除安全组才能进行删除。

更多参考

关于安全组,更多的信息,请参见 安全组概述

目录