このトピックでは、ApsaraDB RDS for MariaDBインスタンスのIPアドレスホワイトリストを設定する方法について説明します。 RDSインスタンスのIPアドレスホワイトリストにIPアドレスが追加されたデバイスのみが、RDSインスタンスにアクセスできます。
背景情報
次の情報は、RDSインスタンスのIPアドレスホワイトリストを示しています。
- RDSインスタンスへの接続が許可されているIPアドレスまたはCIDRブロック。 デフォルトラベルのIPアドレスホワイトリストには、127.0.0.1 IPアドレスのみが含まれます。 このIPアドレスは、どのデバイスもRDSインスタンスにアクセスできないことを示します。
- IPアドレスホワイトリストは、標準ホワイトリストモードをサポートしています。 標準のIPアドレスホワイトリストには、クラシックネットワークおよび仮想プライベートクラウド (VPC) のIPアドレスを含めることができます。 MariaDBを実行するRDSインスタンスは、VPCにのみデプロイできます。
- IPアドレスホワイトリストは、RDSインスタンスに高いセキュリティと効率的な保護を提供します。 設定されたIPアドレスのホワイトリストを定期的に更新することを推奨します。 RDSインスタンスのIPアドレスホワイトリストを設定しても、インスタンスのワークロードは影響を受けません。
IPアドレスホワイトリストの設定に関する注意事項
- デフォルトとラベル付けされたIPアドレスホワイトリストを変更または消去できます。 ただし、このIPアドレスホワイトリストは削除できません。
- RDSインスタンスには、最大50のIPアドレスホワイトリストを設定できます。
- RDSインスタンスごとに、合計で最大1,000個のIPアドレスとCIDRブロックを追加できます。 多数のIPアドレスを追加する場合は、これらのIPアドレスをCIDRブロック (10.10.10.0/24など) にマージすることを推奨します。ここで、24は各IPアドレスのプレフィックスが24ビット長であることを示します。 24を1から32の範囲内の値に置き換えることができます。 詳細については、「CIDRブロックに関するFAQ」をご参照ください。
- Alibaba Cloudサービスにアクセスすると、IPアドレスホワイトリストが自動的に作成されます。 作成されたIPアドレスホワイトリストには、サービスを実行するサーバーのIPアドレスが含まれています。 たとえば、Data Management (DMS) はali_dms_groupという名前のIPアドレスホワイトリストを作成し、Database Autonomy Service (DAS) はhdm_security_ipsという名前のIPアドレスホワイトリストを作成します。 サービスを正常に使用できるようにするには、これらのIPホワイトリストを変更または削除しないでください。 重要
- これらのIPホワイトリストにサービスIPアドレスを追加しないでください。 そうしないと、関連サービスの更新時にサービスIPアドレスが上書きされる可能性があります。 その結果、サービスの中断が発生する可能性があります。
- 12月2020日以降にRDSインスタンスが作成された場合、hdm_security_ipsというラベルの付いたIPアドレスホワイトリストはユーザーには表示されません。 これにより、IPアドレスホワイトリストが意図せずに変更または削除されるのを防ぎます。
標準IPアドレスホワイトリストの設定
- [インスタンス] ページに移動します。 上部のナビゲーションバーで、RDSインスタンスが存在するリージョンを選択します。 次に、RDSインスタンスを見つけ、インスタンスのIDをクリックします。
- 左側のナビゲーションウィンドウで、[ホワイトリストとSecGroup] をクリックします。
- [ホワイトリストの設定] タブで、[デフォルト] というラベルの付いたホワイトリストの右側にある [変更] をクリックします。 説明 [ホワイトリストの作成] をクリックして、IPアドレスホワイトリストを作成することもできます。
- [ホワイトリストの編集] ダイアログボックスで、RDSインスタンスへのアクセスが許可されているIPアドレスまたはCIDRブロックを入力し、[OK] をクリックします。 説明
- defaultというラベルの付いたIPアドレスホワイトリストにIPアドレスまたはCIDRブロックを追加すると、このIPアドレスホワイトリストからデフォルトIPアドレス127.0.0.1が自動的に削除されます。
- 複数のIPアドレスまたはCIDRブロックを入力する場合は、コンマ (,) で区切る必要があります。 コンマの前後にスペースを追加しないでください。 例:
192.168.0.1,172.16.213.9
- [ECSインスタンスの内部IPアドレスの追加] をクリックすると、現在のAlibaba Cloudアカウント内に作成されたすべてのElastic Compute Service (ECS) インスタンスのIPアドレスが表示されます。 次に、IPアドレスを選択してIPアドレスホワイトリストに追加できます。
(共通エラーコード 29~31 など)
- RDSインスタンスには、[ホワイトリスト] および [SecGroup] ページの [ホワイトリスト設定] タブにあるデフォルトのIPアドレス127.0.0.1のみを含むIPアドレスホワイトリストが1つだけあります。
IPアドレス127.0.0.1は、RDSインスタンスへのアクセスが許可されていないことを示します。 RDSインスタンスへのアクセスが必要なデバイスのIPアドレスをIPアドレスホワイトリストに追加する必要があります。
- IPアドレスホワイトリストには、0.0.0.0という1つのエントリしか含まれません。
すべてのデバイスからRDSインスタンスへのアクセスを許可する場合は、IPアドレスホワイトリストに0.0.0.0/0エントリを入力します。
重要 すべてのデバイスにRDSインスタンスへのアクセスを許可する場合は、RDSインスタンスのIPアドレスホワイトリストに0.0.0.0/0エントリを追加する必要があります。 注意して進めてください。 - IPアドレスホワイトリストに追加するパブリックIPアドレスは、接続するデバイスの実際の出力IPアドレスではありません。
考えられる原因:
- パブリックIPアドレスが動的に変更されます。
- パブリックIPアドレスの照会に使用されるツールまたはWebサイトは、不正確な結果を返します。
詳細については、「インターネット経由でローカルサーバーからApsaraDB RDS For MySQLインスタンスまたはApsaraDB RDS for MariaDBインスタンスに接続できない理由」をご参照ください。
よくある質問
- IPアドレスホワイトリストを設定した後、IPアドレスホワイトリストはすぐに有効になりますか?
いいえ。IPアドレスホワイトリストを設定した後、IPアドレスホワイトリストが有効になるまでに約1分かかります。
- 作成していない IP アドレスのホワイトリストが存在するのはなぜですか。
これらのIPアドレスホワイトリストにプライベートIPアドレスが含まれている場合、DMSやDASなどの他のAlibaba Cloudサービスによって作成されている可能性があります。 この場合、これらのIPアドレスホワイトリストはビジネスデータに影響を与えず、それ以上の操作は必要ありません。
- インターネットアクセスを無効にし、内部ネットワークアクセスのみを有効にした場合、RDS インスタンスはセキュリティリスクの影響を受けますか。
はい。インターネットアクセスを無効にし、内部ネットワークアクセスのみを有効にすると、RDSインスタンスはセキュリティリスクにさらされます。 RDS インスタンスのネットワークタイプを VPC に変更することを推奨します。 この場合、必要なIPアドレスがIPアドレスホワイトリストに追加された後、同じVPC内のECSインスタンスのみがRDSインスタンスにアクセスできます。