データベース、データサービス、特定のネットワーク環境にあるその他のデータなどのデータソースとリソースグループ間のネットワーク接続を確立した後、データソースに対して特定のIPアドレスからのアクセスのみを許可するIPアドレスホワイトリストが設定されているため、リソースグループがデータソースにアクセスできない場合があります。この場合、リソースグループのIPアドレスまたはCIDRブロックをデータソースのIPアドレスホワイトリストに追加する必要があります。このトピックでは、IPアドレスホワイトリストの設定方法について説明します。
背景情報
リソースグループとデータソース間のネットワーク接続の確立で説明されているように、リソースグループとデータソース間のネットワーク接続が確立されているにもかかわらず、リソースグループがデータソースにアクセスできない場合は、一部のIPアドレスからのアクセスを拒否するIPアドレスホワイトリストがデータソースに設定されている可能性があります。この場合、リソースグループのIPアドレスまたはCIDRブロックを取得して、データソースのIPアドレスホワイトリストに追加する必要があります。
前提条件
リソースグループとデータソース間のネットワーク接続が確立されていること。詳細については、リソースグループとデータソース間のネットワーク接続の確立をご参照ください。
リソースグループのIPアドレスまたはCIDRブロックの取得
仮想プライベートクラウド(VPC)経由でデータソースにアクセスする場合は、サーバーレスリソースグループが関連付けられているvSwitchのCIDRブロックをデータソースのIPアドレスホワイトリストに追加する必要があります。
DataWorksコンソールの [リソースグループ] ページの [専用リソースグループ] タブで、目的のリソースグループを見つけ、[アクション] 列の [ネットワーク設定] をクリックします。表示されるページの [VPCバインディング] タブで、関連するvSwitchの [CIDRブロック] を表示して記録します。次に、CIDRブロックをデータソースのIPアドレスホワイトリストに追加します。
インターネット経由でデータソースにアクセスする場合は、次のいずれかの操作を実行して、データソースのIPアドレスホワイトリストを設定する必要があります。
サーバーレスリソースグループを使用する場合は、リソースグループが関連付けられているVPCに設定されているEIPをデータソースのIPアドレスホワイトリストに追加する必要があります。
VPCコンソールの インターネットNATゲートウェイ ページで、設定されているソースネットワークアドレス変換(SNAT)エントリを見つけ、関連するvSwitchに関連付けられているパブリックIPアドレスを取得します。次に、パブリックIPアドレスをデータソースのIPアドレスホワイトリストに追加します。
旧バージョンのリソースグループを使用する場合は、リソースグループのEIPをデータソースのIPアドレスホワイトリストに追加する必要があります。
DataWorksコンソールの [リソースグループ] ページの [専用リソースグループ] タブで、目的のリソースグループを見つけ、[アクション] 列の [詳細] をクリックします。表示されるページの [基本情報] セクションで、[eipaddress] パラメーターの横に表示されているEIPを表示して記録します。次に、EIPをデータソースのIPアドレスホワイトリストに追加します。
付録
IPアドレスホワイトリストを設定する際の注意事項
リソースグループがAlibaba Cloudの他のクラウドサービスにアクセスする必要がある場合は、各クラウドサービスのヘルプセンターにアクセスして、IPアドレスホワイトリストを設定する際の注意事項を確認してください。
たとえば、リソースグループのIPアドレスまたはCIDRブロックをApsaraDB RDSインスタンスのIPアドレスホワイトリストに追加する場合は、このセクションで説明されている注意事項を理解している必要があります。このセクションでは、特に注意が必要な項目のみを説明します。詳細については、ApsaraDB RDSとはをご参照ください。
ApsaraDB RDSは、標準IPアドレスホワイトリストと拡張IPアドレスホワイトリストをサポートしています。
ApsaraDB RDSインスタンスに標準IPアドレスホワイトリストを設定する場合は、次の項目に注意する必要があります。
クラシックネットワークとVPCの両方からのIPアドレスを同じIPアドレスホワイトリストに追加できます。
異なる種類のリソースグループのIPアドレスは、異なるIPアドレスホワイトリストに追加することをお勧めします。
説明標準IPアドレスホワイトリスト内のIPアドレスは、クラシックネットワークとVPCの両方でApsaraDB RDSインスタンスにアクセスするために使用できます。
ApsaraDB RDSインスタンスに拡張IPアドレスホワイトリストを設定する場合は、次の項目に注意する必要があります。
クラシックネットワークとVPCからのIPアドレスは、異なるIPアドレスホワイトリストに追加する必要があります。
説明各拡張IPアドレスホワイトリストのネットワーク分離モードを指定する必要があります。たとえば、VPC経由でApsaraDB RDSインスタンスへの拡張IPアドレスホワイトリストで、クラシックネットワークのIPアドレスからのアクセスを拒否するように設定できます。また、クラシックネットワーク経由でApsaraDB RDSインスタンスへの拡張IPアドレスホワイトリストで、VPC IPアドレスからのアクセスを拒否するように設定することもできます。
Data Integrationの専用リソースグループを使用してVPC経由でApsaraDB RDSインスタンスにアクセスする場合は、VPCタイプのIPアドレスホワイトリストが使用されます。
インターネット経由でApsara RDSインスタンスにアクセスする場合は、クラシックネットワークタイプのIPアドレスホワイトリストが使用されます。
ApsaraDB RDSインスタンスの標準IPアドレスホワイトリストを拡張IPアドレスホワイトリストに変更する場合は、次の項目に注意してください。
標準IPアドレスホワイトリストは、同じIPアドレスまたはCIDRブロックを含む2つの拡張IPアドレスホワイトリストに複製されます。2つの拡張IPアドレスホワイトリストは、異なるネットワーク分離モードを持ちます。
その他の注意事項:
ApsaraDB RDSインスタンスにIPアドレスホワイトリストを設定しても、インスタンスのワークロードは中断されません。
defaultというラベルが付いたIPアドレスホワイトリストはクリアできますが、削除することはできません。
他のAlibaba Cloudサービス用に自動的に生成されたIPアドレスホワイトリストは、変更または削除しないでください。これらのIPアドレスホワイトリストを削除すると、関連するAlibaba CloudサービスはApsaraDB RDSインスタンスに接続できなくなります。たとえば、ali_dms_groupデータ管理(DMS) 用に自動的に生成された hdm_security_ipsDatabase Autonomy Service (DAS) というIPアドレスホワイトリスト、または 用に自動的に生成された [hdm_security_ips] というIPアドレスホワイトリストを削除すると、DMSまたはDASはApsaraDB RDSインスタンスにアクセスできなくなります。
説明DataWorks用に他のホワイトリストとは独立したIPアドレスホワイトリストを作成することをお勧めします。
関連情報
リソースグループがElastic Compute Service(ECS)インスタンスにデプロイされたセルフマネージドデータベースにアクセスする必要がある場合は、ECSインスタンスのセキュリティグループを設定する必要があります。これにより、リソースグループがデータベースからデータを読み取り、データベースにデータを書き込むことができるようになります。詳細については、セルフマネージドデータストアが存在するECSインスタンスのセキュリティグループの設定をご参照ください。
リソースグループとデータソース間のネットワーク接続を確立する方法の詳細については、リソースグループとデータソース間のネットワーク接続の確立をご参照ください。