配置 TiDB Cloud Starter 或 Essential 公共端点的防火墙规则
本文档介绍了 TiDB Cloud Starter 和 TiDB Cloud Essential 实例的公共连接选项。你将学习如何安全地管理可通过互联网访问的 TiDB Cloud Starter 或 Essential 实例的关键概念。
公共端点
在你的 TiDB Cloud Starter 或 Essential 实例上配置公共访问后,可以通过公共端点访问该实例。也就是说,TiDB Cloud Starter 或 Essential 实例可以通过互联网访问。公共端点是一个可被公开解析的 DNS 地址。术语 “authorized network” 指的是你选择允许访问 TiDB Cloud Starter 或 Essential 实例的一组 IP 地址范围。这些权限通过 firewall rules 强制执行。
公共访问的特性
- 只有指定的 IP 地址可以访问你的 TiDB Cloud Starter 或 Essential 实例。
- 默认情况下,允许所有 IP 地址(
0.0.0.0 - 255.255.255.255)访问。 - 你可以在 TiDB Cloud Starter 或 Essential 实例创建后更新允许的 IP 地址。
- 默认情况下,允许所有 IP 地址(
- 你的 TiDB Cloud Starter 或 Essential 实例拥有一个可被公开解析的 DNS 名称。
- 进出你 TiDB Cloud Starter 或 Essential 实例的网络流量通过 公有互联网 路由,而不是私有网络。
防火墙规则
通过 firewall rules 授权 IP 地址访问。如果连接请求来自未被批准的 IP 地址,客户端将收到错误提示。
你最多可以创建 200 条 IP 防火墙规则。
允许 AWS 访问
如果你的 TiDB Cloud Starter 实例托管在 AWS 上,你可以参考官方 AWS IP address list 启用来自 所有 AWS IP 地址 的访问。
TiDB Cloud 会定期更新该列表,并使用保留 IP 地址 169.254.65.87 代表所有 AWS IP 地址。
创建和管理防火墙规则
本节介绍如何为 TiDB Cloud Starter 或 TiDB Cloud Essential 实例管理防火墙规则。启用公共端点后,只有在防火墙规则中指定的 IP 地址才能连接到你的实例。
要为 TiDB Cloud Starter 或 TiDB Cloud Essential 实例添加防火墙规则,请按照以下步骤操作:
进入 My TiDB 页面,然后点击目标 TiDB Cloud Starter 或 Essential 实例的名称,进入其概览页面。
在左侧导航栏,点击 Settings > Networking。
在 Networking 页面,如果 Public Endpoint 处于禁用状态,请先启用。
(可选)对于新创建的 TiDB Cloud Starter 或 TiDB Cloud Essential 实例,TiDB Cloud 默认启用 Allow_all_public_connections。如果你想将访问限制为特定 IP 地址或地址范围,请点击 Allow_all_public_connections 所在行中的 ...,然后点击 Delete。
在 Authorized Networks 区域,点击 Add rule,然后添加你想要允许的 IP 地址或 IP 地址范围。
若要添加你当前电脑的 IP 地址,点击 Add Current IP。这会自动使用 TiDB Cloud 识别到的你电脑的公网 IP 地址创建一条防火墙规则。
如果你的 TiDB Cloud Starter 或 Essential 实例托管在 AWS 上,若要允许所有 AWS IP 地址访问,请点击 Add AWS Access。这会自动创建一条包含所有 AWS IP 范围的防火墙规则。TiDB Cloud 使用保留 IP 地址 169.254.65.87 表示 AWS IP 范围,并根据官方的 AWS IP address list 定期更新该列表。
若要添加更多地址范围,请指定单个 IP 地址或一段 IP 地址范围。如果你只想将规则限制为单个 IP 地址,请在 Start IP Address 和 End IP Address 字段中输入相同的 IP 地址。
点击 Save。