阿里云弹性伸缩可以自动管理rds白名单吗?

来源:蜘蛛抓取(WebSpider) 时间:2022-06-15 01:37 标签: 阿里云服务器ip白名单

【RDS教程】之客户端如何连接RDS及访问权限设置?

首先,您得选择是通过内网还是外网来连接您的RDS。如果您的RDS实例是搭配ECS使用的,且RDS与ECS处在同一地域,则选择内网连接方式,可以降低访问时延,且流量免费。其他情况您就需使用外网地址来连接RDS实例。具体操作见《如何选择内外网连接》        其次,您要设置好RDS的访问权限。访问权限,也就是我们所谓的白名单可以让RDS实例得到最高级的访问安全保护,建议您在购买RDS实例后立即对IP白名单进行设置。默认IP名单为“%”,代表全网段均可访问,不受限制。具体操作见《IP白名单设置》        在确定了连接方式、设定完访问权限后,您就可以开始连接RDS了。

用户指南-数据库代理-设置白名单

创建RDS实例后,您需要设置RDS实例的白名单,以允许外部设备访问该RDS实例。默认的白名单只包含默认IP地址/topic/download?id=141

RDS设置了ip内网白名单,但是没有生效;生效了外网ip白名单

RDS设置了ip内网白名单,但是没有生效;生效了外网ip白名单 我在ECS上连接RDS用(RDS的)内网IP不能连接,用RDS的外网IP可以连接; 我想在ECS上连接RDS的内网ip

若您要使用云数据库RDS,可以通过客户端或阿里云数据管理(DMS)连接RDS实例。本章将介绍如何通过DMS和pgAdmind 4客户端连接RDS实例。 背景信息 您可以通过 RDS管理控制台先登录DMS,然后再连接需要访问的RDS实例。 数据管理(Data Management,简称DMS)是一种集数据管理、结构管理、访问安全、BI图表、数据趋势、数据轨迹、性能与优化和服务器管理于一体的数据管理服务。支持MySQL、SQL Server、PostgreSQL、MongoDB、Redis等关系型数据库和NoSQL的数据库管理,同时还支持Linux服务器管理。 您也可以使用客户端连接RDS实例。由于RDS提供的关系型数据库服务与原生的数据库服务完全兼容,所以对用户而言,连接数据库的方式也基本类似。本文以pgAdmind 4客户端为例介绍RDS实例的连接方法,其它客户端可参见此方法。用客户端连接RDS实例时,请注意 设置内外网地址: 若您的客户端部署在与要访问的RDS实例在同一地域的ECS上且RDS实例与ECS的网络类型相同时,请使用内网地址。其它情况请使用外网地址。 通过DMS连接实例 关于如何通过DMS连接RDS实例的方法,请参见 通过DMS登录RDS数据库。 通过客户端登录 将要访问RDS实例的IP地址加入RDS白名单中。关于如何设置白名单,请参见设置白名单。启动pgAdmin 4客户端。右击Servers,选择创建 > 服务器,如下图所示。参数说明: 主机名称/地址:若使用内网连接,需输入RDS实例的内网地址。若使用外网连接,需输入RDS实例的外网地址。查看RDS实例的内外网地址及端口信息的步骤如下:登录RDS管理控制台。选择目标实例所在地域。单击目标实例的ID,进入基本信息页面。在基本信息栏中,即可查看内外网地址及内外网端口信息。 端口:若使用内网连接,需输入RDS实例的内网端口。若使用外网连接,需输入RDS实例的外网端口。 用户名:RDS实例的初始账号名称。 密码:RDS实例的初始账号所对应的密码。单击保存。若连接信息无误,选择Servers > 服务器名称 > 数据库 > postgres,会出现如下界面,则表示连接成功。 /etc/f配置文件里设置了默认端口为3307,可用户要连接的实例的端口为3306,用户在mysql登录的时候没有设置-P参数,因此出现连接错误: 指定正确端口即可访问: f下指定连接信息不正确 用户在mysql客户端访问RDS实例的时候,一般常见需要如下几个参数:-u 用户名 –p 密码(可非显示输入) -h 实例地址 –P 端口(默认3306)等,mysql客户端在进行登录的时候对于没有明确设置的参数通过读取配置文件(通常情况下为) /etc/f配置文件里设置了默认端口为3307,可用户要连接的实例的端口为3306,用户在mysql登录的时候没有设置-P参数,因此出现连接错误: 指定正确端口即可访问: 端口(默认3306)等,mysql客户端在进行登录的时候对于没有明确设置的参数通过读取配置文件(通常情况下为) /etc/f配置文件里设置了默认端口为3307,可用户要连接的实例的端口为3306,用户在mysql登录的时候没有设置-P参数,因此出现连接错误: 指定正确端口即可访问: 1.1.4 Iptables防火墙配置 RDS白名单是属于RDS侧的访问控制,防火墙是属于用户侧的访问控制,如果用户是使用ECS进行访问,还需要首先在ECS上设置相应的安全组,本文暂以用户用Linux访问RDS进行说明,如用户开启了Iptables,可通过iptables –L进行访问策略查看,Iptables可通过IP、协议、端口三个维度进行访问限制,因此用户需要在Iptables中设置相应的策略,用户也可选择关闭Iptables,可通过service iptables stop进行关闭。 1.1.5 用户本地DNS缓存或者绑定Host 用户DNS缓存问题或者hosts文件中配置中问题,和上述第二个原因很类似,都属于域名解析类问题,Linux下清除域名缓存可通过service nscd restart的方式,/etc/hosts文件主要是用户在文件中将连接地址和IP进行绑定,因此在实例进行切换时导致访问失败,通常不建议用户这么做,建议还是以RDS提供的连接地址的形式进行访问。 1.2 用户应用代码配置问题 1.2.1 代码中连接信息配置不对 遇到比较多的情况是用户的代码中连接地址配置错误、账户信息配置错误,或者上述提到比较多的,在代码中是以IP进行访问等,这种情况下,一般建议用户先通过mysql客户端的形式进行RDS登录,如能正常登录,建议用户检查下自己代码中关于连接部分的设置。 1.2.2 代码中连接参数设置不合理 用户代码中不合理的连接设置,导致大部分连接没有及时关闭,进而消耗RDS资源,最终引发连接数打满的情况。建议用户调整应用代码中关于连接部分的设置。 1.3 用户ECS侧问题 通常阿里云的用户都会通过ECS进行RDS访问,可能会因为争抢、OOM等原因导致RDS访问失败,也会存在源端因CPU打满、网卡打满(这里不局限于ECS)等情况产生的网络丢包现象而引起的连接闪断现象。 1.4 用户业务引起的RDS连接报错 1.4.1 慢查询引起CPU使用率增高导致连接堆积 用户代码中存在性能较差的SQL导致RDS出现慢大量SQL,CPU打满,引发连接堆积RDS无法响应的现象,通常建议用户通过CloudDBA中的诊断慢SQL功能对慢SQL进行诊断并调整优化。 1.4.2 当前实例规格不满足业务增长 用户的业务正常增长,但是当前实例规格无法满足业务的合理增长,RDS是可以在线升级配置的, 因此建议用户升级配置,升配过程中可能会有一次30s左右的闪断,建议用户做好连接重连机制,保证用户业务的正常运行,具体信息请参考:RDS使用须知。 1.5 用户RDS使用问题 1.5.1 RDS相关连接参数设置不合理 用户存在相关参数设置不合理的情况,例如用户有session在执行长时间的read或者write操作时,net_read_timeout和net_write_timeout设置过低导致连接中断。建议用户结合业务和SQL实际运行情况调整RDS参数值。 1.5.2 实例被锁定 用户RDS实例因为磁盘空间超出购买规格限制而被锁定,在实例锁定期间,应用无法对RDS数据库进行读写操作。建议用户提前设置好RDS磁盘空间监控,在达到空间监控阀值进行预警,具体处理办法请参考: MySQL实例空间使用率过高的原因和解决方法 2、 外部原因 2.1 阿里云与其他云厂商服务器之间的互访 用户的RDS实例在阿里云上,但是应用端在其他云厂商如AWS或IDC机房里,目前出现过阿里云RDS在与AWS网络互访出现问题导致RDS访问报错的情况,或者用户应用端在IDC机房,走公网访问RDS,由于公网网络质量原因导致的RDS访问丢包现象。 2.2 用户在阿里云内的跨区访问中发生的网络不稳定 用户ECS实例与RDS实例均在阿里云上,但是RDS实例与ECS不在同一个Region中,非同一个Region相互间访问需要走公网,因此也存在因公网网络质量原因导致的RDS访问丢包现象。建议用户在架构上合理搭配,尽量ECS和RDS在同一可用区,避免跨可用区甚至跨地域的情况发生。 以上是常见的RDS连接出错可能产生的原因,并不是产生报错的全部原因。但是大部分的连接问题都可以在上面的可能原因中找到对应情况。在诊断RDS连接报错时,通常可通过如下几个步骤进行排查: 1、ping URL 验证DNS服务是否正常 2、telnet URL port 再次验证DNS服务,同时看端口能否通,(在高安全访问模式下,telnet能通不代表RDS一定能正常服务) 3、telnet vip port 验证4层服务是否OK 4、mysql –u –h –p –P 查下7层是否能联通,(需要用户使用官方的mysql客户端) 5、如果上面都没有问题,建议用户在源端进行抓包,分析下网络包看下是否建连成功

简介: 最近做了一次阿里云技术培训,将其中的ESS弹性伸缩相关的内容整理出来分享给大家。

ESS弹性伸缩是阿里云计算ACP考试的必考内容(约占10%),但绝大多数的阿里云用户都没有将ESS弹性伸缩应用到实际项目中去的机会,很多的ACP考生都缺乏对ESS的足够使用经验,对ESS的理解难免存在盲点,ACP考试时在ESS部分的考题丢分甚至是在这上面的人不在少数。最近正好讲授了一次为期七天的阿里云技术培训,在学员的要求下对ESS的内容专门抽出了一讲来介绍,本着让一次性的工作发挥出更大价值的角度出发,把培训的相关内容再用文字整理出来分享给对ESS感兴趣或者要考ACP的同学。

下面这张来自于阿里云官网的架构图可是说是浓缩了ESS的精华,透过这张图就可以基本上掌握ESS核心的概念了。

  • 弹性伸缩,一定要伸缩的,伸缩任务的触发机制有四种,这张图都有了,分别是定时任务触发自定义任务触发(手动或API调用)、健康检查任务触发(监控服务器是否处于运行状态)、云监控任务触发(根据阿里云监控对CPU、内存、网络等ECS服务状态的监控结果进行触发)。
  • 假如因为某种任务触发了弹性伸缩动作,伸缩活动执行程序就会根据伸缩组中的伸缩规则和伸缩配置进行伸缩活动,这里的关键知识点就是伸缩规则(加一台、减一台、调整到N台这些)和伸缩配置(镜像、实例类型等)这些都是从属于伸缩组的概念,而上面的四种任务触发机制是独立于伸缩组之外的。
  • 创建了伸缩活动,就会涉及到冷却时间这个概念,在ESS中冷却时间是指成功执行伸缩活动后的一段锁定时间,可以通过两种方式来 设置冷却时间,一种是在伸缩组中指定一个默认的冷却时间,另一种是在伸缩规则中指定该规则触发后的冷却时间,但也可以不指定而直接使用伸缩组中的默认时间。针对冷却时间这个概念,很多人不知道的是:手动执行任务、定时任务、健康检查任务触发的伸缩活动可以不理会冷却时间而直接执行。
  • 伸缩活动除了对伸缩组内的ECS数量产生影响,还会自动添加RDS白名单和SLB的后端服务器,对应的RDS和SLB在创建伸缩组的时候指定,并且RDS和SLB是可选的,ESS最主要的处理对象就是ECS实例,添加和减少ECS实例的数量要满足伸缩组有关最大实例数和最小实例数的限制,这里有一个例外是健康检查任务触发的伸缩活动中,移除不健康ECS实例,不受最小实例数限制,在移除不健康ECS实例后,有可能导致伸缩组的总实例数少于最小实例数,此时伸缩弹性服务会自动创建所需数量的ECS实例使得伸缩组的总实例数满足最小实例数设定。

以下是ESS相关概念之间的关系图示:

在掌握了这些相关概念之后,ESS弹性伸缩的配置使用流程如下图所示:

  • 第一步创建伸缩组,必选的配置有最大、最小实例数、将来创建ECS实例所使用的专有网络、虚拟交换机,可选的配置有关联的RDS和SLB。
  • 第二步创建伸缩配置,设置伸缩活动中使用的ECS的实例类型、规格、系统镜像,最后还要让伸缩配置生效,在一个ESS伸缩组中可以同时有十个伸缩配置,但只能有一个是生效的配置。
  • 第三步生效伸缩组,伸缩组在创建完成后并没有直接生效,而是需要手动进行生效操作,在将伸缩组生效后将根据最小实例数自动生成所需数量的ECS并加入到伸缩组中,生成的ECS实例的类型、规格、镜像与当前生效的伸缩配置一致。在这一步还可以手工添加其他ECS实例到伸缩组,也可以将不需要的ECS从伸缩组中移除。
  • 第四步创建伸缩规则,有简单规则和其他类型的规则可选,简单规则就是增加或减少以及设置到指定的数量,目标追踪规则与其说是伸缩规则倒不如说是一种报警任务,因为创建目标追踪规则后将自动创建和关联报警任务,当伸缩组的监控指标低于追踪的目标值将自动减少ECS实例,当伸缩组的监控指标高于追踪的目标值将自动增加ECS实例。
  • 第五步创建触发任务,可以创建定时任务和报警任务,定时任务只需要设定在某个时间,对某个伸缩组执行一条伸缩规则。报警任务则可以将伸缩组整体的某个监控指标(例如CPU、内存、网络流量等)作为判断依据,设置大于或者小于某个值后执行增加或者减少ECS实例数的伸缩组规则。

除了以上这些关于ESS的概念和使用流程之外,还需要掌握以下这些知识要点:

  • 假如手工将提前创建的包年包月的ECS移入到了伸缩组中,自然不希望ESS将这些实例移除,可以确认下伸缩组的移除策略的第一条是否是最早伸缩配置对应的实例(OldestScalingConfiguration),并且为了保证移入的ECS实例数量满足伸缩组的最小实例数要求,还需要确认伸缩组的最小实例数大于手工移入的实例数。假如这些手工加入伸缩组的ECS实例的运行出现了故障,还是会被ESS的健康检查机制所发现,一旦发现了有实例故障不论是自动加入的ECS实例还是手工加入的实例,ESS首先会尝试对故障的ECS进行重启,重启成功则实例可以继续留在伸缩组,重启失败的实例将被移除
  • 除了通过移除策略保证手工添加的ECS不被移除,还可以通过将这些手工移入的ECS实例的状态设置为保护中,处于保护中的ECS实例将不再被ESS的监控机制跟踪和监控,自然也就不会被自动移除,在关联SLB中的权重也不会发生变化。
  • 在ESS中和保护状态类似的ECS状态是备用中,处于备用状态的ECS实例也不会被ESS的监控机制跟踪和移除,但在关联SLB中的权重会变成0,也就是不会被分配任何流量。
  • 除了备用中和保护中,ESS中的ECS实例还有一种状态叫做挂起中,某些ECS实例需要关联到Redis等其他的阿里云服务器,而ESS目前还不支持对这些服务的自动操作,就可以通过设置一个生命周期挂钩将伸缩事件关联到某个消息主题,通过订阅该消息的管理程序来自动完成Redis服务的关联操作。

我要总结的ESS知识点就这些了,希望对你有用。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《》和《》。如果您发现本社区中有涉嫌抄袭的内容,填写进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

虽然0.0.0.0/0使用非常方便,但是发现很多同学使用它来做内网互通,这是有安全风险的,实例有可能会在经典网络被内网IP访问到。下面介绍一下四种安全的内网互联设置方法。 购买前请先:领取阿里云幸运券,有很多优惠,可到下文中领取。

阿里云安全组设置详细图文教程(收藏起来) 阿里云服务器安全组设置规则分享,阿里云服务器安全组如何放行端口设置教程。阿里云会要求客户设置安全组,如果不设置,阿里云会指定默认的安全组。那么,这个安全组是什么呢?顾名思义,就是为了服务器安全设置的。安全组其实就是一个虚拟的防火墙,可以让用户从端口、IP的维度来筛选对应服务器的访问者,从而形成一个云上的安全域。

阿里云服务器初级使用者可能面临的问题之一. 使用tomcat或者其他服务器软件设置端口号后,比如 一些不是默认的, mysql的 3306, mssql的1433,有时候打不开网页, 原因是没有在ecs安全组去设置这个端口号. 解决: 点击ecs下网络和安全下的安全组 在弹出的安全组中,如果没有就新建安全组,然后点击配置规则 最后如上图点击添加...或快速创建.   have fun!  将编程看作是一门艺术,而不单单是个技术。

我要回帖

更多关于 阿里云服务器ip白名单 的文章

 

随机推荐