步骤1 登录管理控制台。
步骤2 单击管理控制台左上角的 ,选择区域和项目。
步骤3 在页面左上角单击 ,选择“数据库 > 云数据库 RDS”。进入云数据库 RDS信息页 面。
步骤4 在“实例管理”页面,单击目标实例名称,进入“基本信息”页面。
步骤5 在“数据库信息”模块的“SSL”处,单击 ,下载根证书或捆绑包。
您也可以在左侧导航栏,单击“连接管理”,在“内网连接”或“公网连接”页面 中,在“连接信息”模块“SSL”处,单击 ,下载根证书或捆绑包。
说明
● 云数据库RDS服务在2017年4月提供了20年有效期的新根证书,该证书在实例重启后生效。
请在原有根证书到期前及时更换正规机构颁发的证书,提高系统安全性。
请参见如何确认SSL根证书的有效期。
● 云数据库RDS服务还提供根证书捆绑包下载,其中包含2017年4月之后的新根证书和原有根 证书。
● 推荐使用TLS v1.2及以上协议,低于该版本可能存在安全风险。
----结束
1.12.6 设置安全组规则
操作场景
安全组是一个逻辑上的分组,为同一个虚拟私有云内具有相同安全保护需求,并相互 信任的弹性云服务器和云数据库RDS实例提供访问策略。
为了保障数据库的安全性和稳定性,在使用云数据库RDS实例之前,您需要设置安全 组,开通需访问数据库的IP地址和端口。
● 通过弹性公网IP连接RDS实例时,需要为RDS所在安全组配置相应的入方向规则。
● 通过内网连接RDS实例时,设置安全组分为以下两种情况:
– ECS与RDS实例在相同安全组时,默认ECS与RDS实例互通,无需设置安全组 规则。
– ECS与RDS实例在不同安全组时,需要为RDS和ECS分别设置安全组规则。
▪
设置RDS安全组规则:为RDS所在安全组配置相应的入方向规则。▪
设置ECS安全组规则:安全组默认规则为出方向上数据报文全部放行,此 时,无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且 出方向规则非全放通时,需要为ECS所在安全组配置相应的出方向规则。本节主要介绍如何为RDS实例设置相应的入方向规则。
关于添加安全组规则的详细要求,可参考《虚拟私有云用户指南》的“添加安全组规 则”章节。
注意事项
因为安全组的默认规则是在出方向上的数据报文全部放行,同一个安全组内的弹性云 服务器和云数据库RDS实例可互相访问。安全组创建后,您可以在安全组中定义各种 访问规则,当云数据库RDS实例加入该安全组后,即受到这些访问规则的保护。
● 默认情况下,一个用户可以创建100个安全组。
● 默认情况下,一个安全组最多只允许拥有50条安全组规则。
● 目前一个RDS实例仅允许绑定一个安全组。
● 为一个安全组设置过多的安全组规则会增加首包延时,因此,建议一个安全组内 的安全组规则不超过50条。
● 当需要从安全组外访问安全组内的云数据库RDS实例时,需要为安全组添加相应 的入方向规则。
说明
为了保证数据及实例安全,请合理使用权限。建议使用最小权限访问,并及时修改数据库默认端 口号(3306),同时将可访问IP地址设置为远程主机地址或远程主机所在的最小子网地址,限 制远程主机的访问范围。
源地址默认的IP地址0.0.0.0/0是指允许所有IP地址访问安全组内的云数据库RDS实例。
关于添加安全组规则的详细要求,可参考《虚拟私有云用户指南》的“添加安全组规 则”章节。
操作步骤
步骤1 登录管理控制台。
步骤2 单击管理控制台左上角的 ,选择区域和项目。
步骤3 在页面左上角单击 ,选择“数据库 > 云数据库 RDS”。进入云数据库 RDS信息页 面。
步骤4 在“实例管理”页面,选择目标实例,单击实例名称,进入实例的“基本信息”页 面。
步骤5 设置安全组规则。
● 在“基本信息”页面中,在“连接信息”模块的“安全组”处,单击安全组名 称,进入安全组页面。
图1-62 连接信息
● 您也可以在左侧导航栏,单击“连接管理”,在“安全组规则”模块“当前安全 组”处,单击安全组名称,进入安全组页面。
图1-63 安全组规则
步骤6 在入方向规则页签,单击“添加规则”,添加入方向规则。
您也可以在左侧导航栏,单击“连接管理”,在“安全组规则”模块,单击“添加入 方向规则”或者“一键添加”,设置安全组规则。
单击“+”可以依次增加多条入方向规则。
说明
一键添加操作允许所有IP地址访问安全组内的华为云关系型数据库实例,存在高安全风险,请谨 慎选择。
图1-64 添加入方向规则
表1-17 入方向参数说明
参数 说明 取值样例
协议端口 网络协议。目前支持“All”、
“TCP”、“UDP”、“ICMP”
和“GRE”等协议。
Custom TCP
端口:允许远端地址访问弹性云 服务器指定端口。常用端口请参 见弹性云服务器常用端口。
通过内网连接实例时,输入已购 买的弹性云服务器的目标实例的 端口。
参数 说明 取值样例 源地址 源地址:可以是IP地址、安全组。
例如:
● xxx.xxx.xxx.xxx/32(IPv4地 址)
● xxx.xxx.xxx.0/24(子网)
● 0.0.0.0/0(任意地址)
0.0.0.0/0
描述 安全组规则的描述信息,非必填 项。
描述信息内容不能超过255个字 符,且不能包含“<”和“>”。
---结束
1.13 数据库代理(读写分离)
1.13.1 读写分离简介
读写分离是指通过一个读写分离的连接地址实现读写请求的自动转发。
开通读写分离功能后,如果无只读实例,通过RDS的读写分离连接地址,读写请求均 会自动访问主实例。
开通读写分离功能后,如果存在只读实例,通过RDS的读写分离连接地址,写请求均 会自动访问主实例,读请求按照读权重设置自动访问各个实例。
说明
读写分离地址都是内网地址,只能通过内网连接。
专属计算集群开通读写分离,需要具有相应的操作权限,您可联系华为云客服人员申请。
北京一,上海二开通读写分离,需要具有相应的操作权限,您可以联系华为云客服人员申请。
开启读写分离后暂不支持修改端口,建议先修改完端口之后再启用读写分离。
1.13.2 数据库代理使用规范建议
须知
rdsProxy是数据库代理帐户,属于RDS数据库内置账号,建议您不要创建同名帐户,避 免影响读写分离功能正常运行。
功能限制
● 开启读写分离功能后,删除MySQL主实例,会同步删除只读实例,并关闭读写分 离功能。
● 读写分离不支持MySQL8.0的caching_sha2_password身份认证插件。
● 开启读写分离功能后,主实例和只读实例均不允许修改数据库端口、安全组和内 网地址。
● 读写分离功能不支持SSL加密。
● 读写分离功能不支持压缩协议。
● 读写分离不支持事务隔离级别READ-UNCOMMITTED。
● 如果执行了Multi-Statements,当前连接的后续请求会全部路由到主节点,需断 开当前连接并重新连接才能恢复读写分离。
● 使用读写分离的连接地址时,事务请求都会路由到主实例(可以使用事务拆分功 能对事务中写之前的读请求进行拆分),不保证非事务读的一致性,业务上有读 一致性需求可以封装到事务中。
● 使用读写分离的连接地址时,LAST_INSERT_ID()函数仅支持在事务中使用。