企业级云上网络构建之北京杭州互联:5.杭州生产环境数据库服务访问控制
58阅读
0评论
0点赞
本文详细介绍了如何配置杭州生产环境数据库服务器组的访问控制,包括设置安全组以允许特定Web服务器访问数据库服务、创建远程登录用户以及配置网络ACL等步骤,确保了数据库服务的安全性和可用性。
本章节将详细介绍如何设置杭州生产环境数据库服务器组的访问控制,确保只有特定的Web服务器能够访问数据库服务。具体操作步骤如下:
一、配置数据库安全组:SG-DB01
步骤1: 配置入方向规则
-
打开安全组页面:复制并粘贴以下链接至远程桌面中的浏览器,进入阿里云服务器ECS控制台的安全组页面,找到数据库服务器所在的安全组
SG-DB01
,点击右侧的“配置规则”。https://ecs.console.aliyun.com/securityGroup/region/cn-hangzhou
-
添加入方向规则:在入方向规则配置中,手动添加一条规则,允许从Web服务器
ECS-WEB01
(IP:192.168.1.1
)访问MySQL(端口:3306
)服务。- 规则详情:允许,1,自定义TCP,目的端口:MySQL(3306),源:192.168.1.1
- 完成配置:点击“保存”完成配置。
步骤2: 登录数据库服务
- 远程连接云服务器:点击左侧实例与镜像中的“实例”页面,找到云服务器
ECS-DB01
,通过Workbench进行远程连接。 - 登录数据库服务:远程连接成功后,通过命令
mysql -uroot -p
登录数据库服务,输入正确密码(初始管理员root用户密码为Test123!
)后,显示“mysql>”,即可输入SQL命令进行数据库操作。
步骤3: 创建远程登录用户
- 创建用户:成功登录MySQL后,执行以下命令创建一个可远程登录的web用户。
create user 'webuser'@'192.168.1.1' identified with mysql_native_password by 'Test_123'; flush privileges;
步骤4: 测试远程访问
- 远程连接Web服务器:测试通过
ECS-WEB01
远程访问ECS-DB01
的MySQL服务,远程连接ECS-WEB01
实例。 - 安装MySQL客户端:远程连接成功后,通过命令
yum install -y mysql
安装MySQL客户端。 - 测试登录MySQL服务:通过命令
mysql -h192.168.100.1 -uwebuser -pTest_123
测试是否能够成功登录ECS-DB01
中的MySQL服务。
二、配置数据库服务器的网络ACL:ACL-DB
步骤1: 创建网络ACL
-
打开网络ACL页面:复制并粘贴以下链接至远程桌面中的浏览器,进入专有网络VPC控制台中的网络ACL页面(杭州地域),点击“创建网络ACL”。
https://vpc.console.aliyun.com/nacl/cn-hangzhou/nacls
-
配置网络ACL:在弹出的“创建网络ACL”页面中,进行如下配置后,点击“确定”。
- 所属网络ACL:
VPC-PRD
- 名称:
ACL-DB
- 所属网络ACL:
步骤2: 关联交换机
-
关联交换机:找到刚刚创建的网络ACL:
ACL-DB
,点击右侧操作列中的“关联交换机”,选择ECS-DB01
所在的交换机VSW-DB01
,点击“确定关联”。
步骤3: 配置入方向规则
-
设置入方向规则:在
ACL-DB
的配置页面中点击“入方向规则”,点击“管理入方向规则”。添加以下两条规则:- 规则1:优先级1,策略允许,协议类型TCP,源地址192.168.1.1/32,目的端口3306/3306
- 规则2:优先级2,策略拒绝,协议类型ALL,源地址0.0.0.0/0
步骤4: 配置出方向规则
-
设置出方向规则:在
ACL-DB
的配置页面中点击“出方向规则”,点击“管理出方向规则”。添加以下两条规则:- 规则1:优先级1,策略允许,协议类型TCP,目的地址192.168.1.1/32,目的端口1/65535
- 规则2:优先级2,策略拒绝,协议类型ALL,目的地址0.0.0.0/0
步骤5: 测试连接
- 重新测试连接:重新远程连接
ECS-WEB01
,并通过命令mysql -h192.168.100.1 -uwebuser -pTest_123
测试是否能够成功登录ECS-DB01
中的MySQL服务。
以上步骤完成后,确认在成功设置了安全组SG-DB01
、网络ACLACL-DB
后仍然可以通过ECS-WEB01
成功连接ECS-DB01
的数据库。
评论(0)
暂无评论,期待您的发言...
发表评论