TDSQL·专家篇·配置云数据库安全组

安全组是一种有状态的包含过滤功能的虚拟防火墙，用于设置单台或多台云数据库的网络访问控制，是腾讯云提供的重要的网络安全隔离手段。
安全组是一个逻辑上的分组，您可以将同一地域内具有相同网络安全隔离需求的私有网络云数据库实例加到同一个安全组内 ，暂不支持基础网络云数据库。云数据库与云服务器等共享安全组列表，安全组内基于规则匹配，云数据库不支持的规则自动不生效。

注意：

云数据库安全组目前仅支持私有网络 VPC 内网访问，暂不支持对基础网络的网络控制和外网访问的网络控制。

管理云数据库安全组

1. 登录 MariaDB 控制台，在实例列表，单击实例 ID，进入实例管理页面。
2. 在实例管理页面，选择数据安全性 > 安全组页，可管理云数据库安全组。

   注意：

    

   1. 云数据库共享云服务器的安全组规则，您可以根据实际情况在安全组管理页面匹配或调整优先级。
   2. 云数据库安全组管理页面不支持创建、删除安全组规则本身；有创建、删除、调整安全组规则，请参考私有网络 管理安全组。

安全组策略

安全组策略分为允许和拒绝流量。您可以通过安全组策略对实例的入流量进行安全过滤，实例可以是私有网络云数据库实例 。

云数据库安全组默认策略

当前购买云数据库且为 VPC 网络时，可以无需关联任何安全组，此时默认策略为“放通全部 IP 和端口”。

安全组模板

安全组支持自定义创建和模板创建，通过配置安全组规则对出入云服务器的数据包进行控制。
放通全部端口：允许全部 IP 访问云数据库。有一定安全风险，请谨慎操作。

安全组规则

安全组规则可控制允许到达与安全组相关联实例的入站流量，以及允许离开实例的出站流量（从上到下依次筛选规则）。默认情况下，新建安全组将 All Drop （拒绝）所有流量。您可以随时修改安全组的规则，新规则保存后立即生效。
对于安全组的每条规则，有以下几项内容：

• 协议端口：因为云数据库仅能通过指定端口访问，所以安全组设置为非数据库访问端口不会对本实例生效，您可以通过查看实例连接端口来进行配置，如当前访问端口为3306，则端口可以设置为 ALL 或者 TCP:3306。
• 授权类型：地址段（CIDR/IP）访问；
• 来源（入站规则）或目标（出站规则），请指定以下选项之一：
  • 用 CIDR 表示法，指定的单个 IP 地址。
  • 用 CIDR 表示法，指定的 IP 地址范围（例如，203.0.113.0/24）。
• 策略：允许或拒绝。

·····

更多请见：https://cloud.tencent.com/document/product/237/30941