RDS白名单只接受标准IPv4 CIDR或特定IP格式,不支持域名;本地直连填如123.45.67.89/32,同VPC内ECS应填私网网段如172.16.0.0/16,NAT场景需查出口IP添加;修改立即生效但建议重连客户端。
阿里云RDS白名单里填什么IP才生效
填错ip格式是白名单不生效的最常见原因。rds白名单不接受域名、不解析dns,只认标准ipv4 cidr或特定ip格式。
- 如果从本地电脑直连,填
123.45.67.89/32(单IP)或123.45.67.0/24(网段),不能只写123.45.67.89 - 如果用ECS连接,且ECS和RDS在同VPC内,白名单必须填
127.0.0.1或0.0.0.0/0——但这是危险操作;正确做法是把ECS所在安全组的私网网段(如172.16.0.0/16)加进去 - 使用NAT网关或SLB转发时,RDS看到的是NAT出口IP,不是源ECS IP,得去NAT控制台查实际出口IP再添加
- 白名单修改后**立即生效**,无需重启实例,但客户端连接池可能缓存旧连接,建议主动断开重连
如何用SDK或命令行批量更新RDS白名单
手动点控制台改白名单适合临时调试,生产环境必须脚本化,否则容易漏配、误删。
- 推荐用阿里云
aliyun-cli:执行aliyun rds ModifySecurityIps --DBInstanceId <code>rds-xxx--SecurityIPList "10.1.2.0/24,10.1.3.0/24",注意SecurityIPList是覆盖写入,不是追加 - Python SDK中调用
ModifySecurityIpsRequest时,security_ip_list参数必须是字符串拼接,逗号分隔,不能传list对象,否则报InvalidParameter.SecurityIPList - 若需增量更新(比如只加一个IP),得先用
DescribeDBInstanceIPArrayList查出现有列表,拼接后再提交,避免误清空 - 白名单最多支持1000个IP条目,但每条都算一次API调用配额,高频变更建议合并为CIDR段
为什么开了白名单还连不上?检查这三处
连不上不一定是白名单问题,但白名单配置错误往往掩盖了真实瓶颈。
- 确认RDS实例网络类型:
VPC类型的RDS**不走公网白名单**,只认VPC内网IP或已绑定的EIP;经典网络才看“外网地址”对应的白名单 - 检查RDS是否启用了SSL:如果强制SSL(
require_secure_transport=ON),而客户端没配证书或没加?sslMode=REQUIRED参数,会直接拒绝,错误日志里通常只有Access denied,不提SSL - 确认账号权限:白名单只是“放行网络”,不代表账号有库表权限。用
SELECT user(), current_user();确认登录用户是否匹配GRANT语句里的用户名@主机名
云数据库专属连接策略怎么配才不冲突
阿里云RDS的“数据库代理”和“读写分离”功能会引入额外连接节点,白名单规则要同步适配。
- 开启数据库代理后,应用应连接代理地址(形如
proxy-rds-xxx.mysql.rds.aliyuncs.com),此时白名单需加代理节点的IP段——但阿里云不公开代理出口IP,只能填0.0.0.0/0(不推荐)或联系工单获取 - 读写分离地址(
rr-rds-xxx.mysql.rds.aliyuncs.com)背后是多个只读实例,它们各自有独立白名单,必须分别配置,不能只配主实例 - 如果同时用DMS、DataWorks等阿里云服务访问RDS,它们走的是阿里云内网通道,不受白名单限制,但需确保对应服务与RDS在同一地域+同一VPC
白名单本质是网络层过滤,它不管SQL内容、不防注入、也不替代账号权限体系。最常被忽略的是:VPC内网通信默认不校验白名单,所以测试时用公网连通了,切到内网就突然连不上——其实是忘了配VPC网段。
