1、背景:我们测试环境微服务部署在阿里云上面,但是类似MySQL的中间件是部署在本地机房的,这就需要把MySQL开放到公网上可以访问(实际上通过虚拟网等方案也可以实际,但是有固定IP就直接开放了),昨天开放了之后,就看到有一堆境外的IP在尝试登陆,实际上我们的密码也不复杂,就存在一定的风险,琢磨着怎样配置,只允许局域网和云端访问我们的MySQL,还琢磨成功了。记录一下
2、暴露服务:通过nat把公网的3306端口映射到服务器的3306端口
3、配置安全策略
3.1 先配置,允许来源阿里云、和192.168.0.0/16访问全部的资源,如图:
3.2 配置任何来源的任何端口访问3306端口
这个的排序要在3.1之后,才能保证允许通的服务能通。
完整的策略就长这个样子:
第一个是本地开放的3389端口经常被扫描,就把对应的扫描网段拉了黑名单了。