设置GaussDB实例安全组规则

设置GaussDB实例安全组规则

操作场景

安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，并相互信任的弹性云服务器和GaussDB实例提供访问策略。

如果账号已经申请创建时支持不指定安全组的白名单，则不需要执行本章节，而且在实例详情页也不会有内网安全组信息。

为了保障数据库的安全性和稳定性，在使用GaussDB实例之前，您需要设置安全组，开通需访问数据库的IP地址和端口。

内网连接GaussDB实例时，设置安全组分为以下两种情况：
ECS与GaussDB实例在相同安全组时，默认ECS与GaussDB实例互通，无需设置安全组规则。
ECS与GaussDB实例在不同安全组时，需要为GaussDB和ECS分别设置安全组规则。
设置GaussDB安全组规则：为GaussDB所在安全组配置相应的入方向规则。
设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通时，需要为ECS所在安全组配置相应的出方向规则。
通过弹性公网IP连接实例时，需要为GaussDB所在安全组配置相应的入方向规则。
本节主要介绍如何为GaussDB实例设置相应的入方向规则。

关于添加安全组规则的详细要求，可参考《虚拟私有云用户指南》的“添加安全组规则”章节。

注意事项

因为安全组的默认规则是在出方向上的数据报文全部放行，同一个安全组内的弹性云服务器和GaussDB实例可互相访问。安全组创建后，您可以在安全组中定义各种访问规则，当GaussDB实例加入该安全组后，即受到这些访问规则的保护。

默认情况下，一个租户可以创建500条安全组规则。
建议一个安全组内的安全组规则不超过50条。
当需要从安全组外访问安全组内的GaussDB实例时，需要为安全组添加相应的入方向规则。
所有鲲鹏云服务器规格不支持配置不连续端口。
如果您在鲲鹏云服务器中添加安全组规则时，使用了不连续端口号，那么除了该条规则不会生效，该规则后的其他规则也不会生效。比如：

您先配置了安全组规则A（不连续端口号22，24），再配置了下一条安全规则B（独立端口号9096），则安全组规则A和B均不会生效。

出方向规则通常不适用于数据库实例。仅在数据库实例充当客户端时，出方向规则才适用。

数据库实例位于VPC（虚拟私有云 Virtual Private Cloud）中但不可公开访问，则您还可以使用VPN连接。

创建分布式版实例时，如果需要修改内网安全组，请确保入方向规则TCP协议端口包含：40000-60480,20050,5000-5001,2379-2380,6000,6500， - ( + 100)。（例如设置的数据库端口为8000，则安全组中需要包含8000-8100）。
创建集中式版实例时，如果需要修改内网安全组，请确保入方向规则TCP协议端口包含：20050，5000-5001，2379-2380，6000，6500， - ( + 100)。（例如设置的数据库端口为8000，则安全组中需要包含8000-8100）。

操作步骤

登录管理控制台。
单击管理控制台左上角的，选择区域和项目。
在页面左上角单击，选择“数据库 > 云数据库 GaussDB”，进入云数据库 GaussDB信息页面。
在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页面。
设置安全组规则。
在“网络信息”模块，单击安全组名称，进入安全组页面。
点击放大
在“入方向规则”子页签下单击“添加规则”，在“添加入方向规则”弹出框中填写安全组信息，单击“确定”。
单击“+”可以依次增加多条入方向规则。