すべてのプロダクト
Search

このプロダクト

    ApsaraDB RDS:IPアドレスのホワイトリストの構成

    ドキュメントセンター

    ApsaraDB RDS:IPアドレスのホワイトリストの構成

    最終更新日:Feb 05, 2025

    このトピックでは、ApsaraDB RDS for MySQLインスタンスのIPアドレスホワイトリストを設定する方法について説明します。RDSインスタンスの作成後、RDSインスタンスのIPアドレスホワイトリストを設定する必要があります。 デバイスは、デバイスのIPアドレスをRDSインスタンスのIPアドレスホワイトリストに追加した後にのみ、RDSインスタンスにアクセスできます。

    前提条件

    RDSインスタンスが作成されました。 詳細については、「ApsaraDB RDS For MySQLインスタンスの作成」をご参照ください。.

    手順

    説明

    RDSインスタンスには、デフォルトでシステムホワイトリストが設定されています。 システムホワイトリストは表示されず、RDSインスタンスのデータベースでO&M操作を実行するためにシステムアカウントによって使用されます。 システムアカウントの詳細については、「システムアカウント」をご参照ください。

    1. [インスタンス] ページに移動します。 上部のナビゲーションバーで、RDS インスタンスが存在するリージョンを選択します。 次に、RDSインスタンスを見つけ、インスタンスのIDをクリックします。

    2. 左側のナビゲーションウィンドウで、ホワイトリストとSecGroupをクリックします。

    3. RDSインスタンスのネットワーク分離モードを表示します。

      説明

      RDSインスタンスがMySQL 5.5、5.6、または5.7を実行し、ローカルディスクを使用している場合、RDSインスタンスのネットワーク分離モードを拡張ホワイトリストモードに変更できます。 他のデータベースエンジンバージョンを実行する、または他のストレージタイプを使用するRDSインスタンスの場合、ネットワーク分離モードは標準ホワイトリストモードに設定されます。

    4. defaultの右側の 変更 をクリックします。 次のいずれかの方法を使用して、RDSインスタンスのIPアドレスホワイトリストを設定できます。

      説明

      グループを追加する をクリックして、ホワイトリスト名を指定することもできます。

      • 方法1: アプリケーションがデプロイされているサーバーのIPアドレスを [IPアドレス] フィールドに追加します。 サーバーのIPアドレスを取得する方法の詳細については、「付録: IPアドレスを取得する方法」をご参照ください。 [ローカルパブリックIPアドレスの読み込み (PCにネットワークプロキシがある場合は、最初にオフにしてください)] をクリックして、ローカルコンピュータのパブリックIPアドレスを追加することもできます。

        説明

        • 複数のIPアドレスとCIDRブロックをIPアドレスホワイトリストに追加する場合は、これらのIPアドレスまたはCIDRブロックをコンマ (,) で区切る必要があります。 コンマの前後にスペースを追加しないでください。

        • RDSインスタンスごとに、合計で最大1,000個のIPアドレスとCIDRブロックを追加できます。 多数のIPアドレスを追加する場合は、IPアドレスを10.10.10.0/24などのCIDRブロックにマージすることを推奨します。

        • RDSインスタンスが拡張ホワイトリストモードで実行されている場合、RDSインスタンスのIPアドレスホワイトリストを設定する際の次の考慮事項に注意する必要があります。

          • クラシックネットワークを使用するElastic Compute Service (ECS) インスタンスのパブリックIPアドレスまたはプライベートIPアドレスを、クラシックネットワークタイプのIPアドレスホワイトリストに追加します。

          • VPCタイプのECSインスタンスのプライベートIPアドレスをVPCネットワークタイプのIPアドレスホワイトリストに追加します。

      • 方法2: [ECSインスタンスの内部IPアドレスの追加] をクリックして、リージョン内のAlibaba Cloudアカウント内に作成されたすべてのECSインスタンスのIPアドレスをロードします。 次に、IPアドレスを選択し、IPアドレスホワイトリストに追加します。加载ECS

      アプリケーションがデプロイされているサーバーは、サーバーのIPアドレスをRDSインスタンスのIPアドレスホワイトリストに追加した後にのみ、RDSインスタンスにアクセスできます。

    5. OKをクリックします。

    次のステップ

    クライアントまたはCLIを使用したApsaraDB RDS for MySQLインスタンスへの接続

    関連ドキュメント

    よくある質問

    • デバイスは自分のRDSインスタンスにアクセスできますが、デバイスのIPアドレスはRDSインスタンスのIPアドレスホワイトリストに追加されません。 これはなぜですか。

      次のいずれかの方法を使用して、問題をトラブルシューティングできます。

      • RDSインスタンスのすべてのIPアドレスホワイトリストを確認します。 IPアドレスホワイトリストの1つに0.0.0.0/0エントリが含まれている場合、このエントリはすべてのIPアドレスからのアクセスを許可するため、RDSインスタンスは危険にさらされています。 0.0.0.0/0エントリを削除し、信頼できるIPアドレスのみをIPアドレスホワイトリストに追加することを推奨します。

      • すべてのセキュリティグループを確認します。 セキュリティグループの1つにデバイスのIPアドレスが含まれている場合、デバイスはRDSインスタンスにアクセスできます。

    • パブリックエンドポイントなしでオンプレミスホストをRDSインスタンスに接続する場合はどうすればよいですか?

      内部ネットワークを介してオンプレミスホストをRDSインスタンスに接続できます。 詳細については、「データセンターをVPCに接続する」をご参照ください。

    • デバイスのIPアドレスをRDSインスタンスのIPアドレスホワイトリストに追加したオペレーターを表示するにはどうすればよいですか。

      インスタンス詳細ページの左側のナビゲーションウィンドウで、[操作監査] をクリックします。 表示されるページで、ModifySecurityIpsという名前のイベントを見つけ、IPアドレスと操作の詳細を追加したオペレーターを表示します。

    • ユーザーのサーバーに固定IPアドレスが割り当てられていない場合、RDSインスタンスのIPアドレスホワイトリストにサーバーのIPアドレスを追加するにはどうすればよいですか。

      ユーザーのサーバーに固定IPアドレスが割り当てられておらず、RDSインスタンスのIPアドレスホワイトリストに0.0.0.0/0を追加できない場合は、IPアドレスホワイトリストの代わりにID認証を使用してアクセス制御を実装することを推奨します。 たとえば、次のいずれかの方法を使用できます。

      • 動的ドメインネームシステム (DNS) 解決の使用: 動的DNS解決を使用して、動的IPアドレスがマッピングされているドメイン名を取得し、ドメイン名またはドメイン名から解決されたIPアドレスをRDSインスタンスのIPアドレスホワイトリストに追加できます。

      • リバースプロキシまたはロードバランサーの設定: すべてのユーザーリクエストは、リバースプロキシまたはロードバランサーを使用してRDSインスタンスに転送されます。 RDSインスタンスのIPアドレスホワイトリストには、プロキシサーバーの固定IPアドレスのみが追加されます。

      • IPアドレスホワイトリストを定期的に更新する: ISPによってホームブロードバンド用に割り当てられたIPアドレスなど、IPアドレスが特定の範囲内で変更された場合、IPアドレスを定期的に取得してRDSインスタンスのIPアドレスホワイトリストに追加できます。

    付録: アプリケーションが内部ネットワーク経由でRDSインスタンスに接続できるかどうかを確認する

    1. アプリケーションがデプロイされているECSインスタンスのリージョンとネットワークタイプを表示します。 詳細については、「ApsaraDB RDSの使用準備」をご参照ください。

    2. RDSインスタンスのリージョンとネットワークタイプを表示します。

      ApsaraDB RDSコンソールにログインし、[インスタンス] ページに移動します。 上部のナビゲーションバーで、RDS インスタンスが存在するリージョンを選択します。 次に、RDSインスタンスを見つけ、インスタンスのIDをクリックします。 表示されるページで、RDSインスタンスのリージョン、ネットワークタイプ、およびVPC IDを表示できます。RDS实例地域和网络类型

    3. ECSインスタンスとRDSインスタンスが、内部ネットワークを介した通信の次の条件を満たしているかどうかを確認します。

      1. ECSインスタンスとRDSインスタンスは同じリージョンにあります。

      2. ECSインスタンスとRDSインスタンスは、同じタイプのネットワークに存在します。 ECSインスタンスとRDSインスタンスの両方がVPCに存在する場合、これらのインスタンスは同じVPCに存在します。

      説明

      上記のいずれかの条件が満たされない場合、ECSインスタンスは内部ネットワークを介してRDSインスタンスと通信できません。

    付録: IPアドレスを取得する方法

    表 1. IPアドレスの取得

    接続シナリオ

    IPアドレスを取得

    IPアドレスの取得方法

    ECSインスタンスからRDSインスタンスに接続します。 ECSインスタンスとRDSインスタンスが、内部ネットワークを介した通信の条件を満たしていること。

    ECSインスタンスのプライベートIPアドレス

    ECSコンソールにログインし、[インスタンス] ページに移動します。 上部のナビゲーションバーで、ECSインスタンスが存在するリージョンを選択します。 次に、ECSインスタンスのパブリックIPアドレスとプライベートIPアドレスを表示します。公私网IP

    ECSインスタンスからRDSインスタンスに接続します。 ECSインスタンスとRDSインスタンスは、内部ネットワークを介した通信の条件を満たしていません。

    ECSインスタンスのパブリックIPアドレス

    オンプレミスのデバイスからRDSインスタンスに接続します。

    オンプレミスデバイスのパブリックIPアドレス

    オンプレミスのデバイスで、curl ipinfo.io/ipコマンドを実行して、デバイスのパブリックIPアドレスを取得します。

    説明

    この方法を使用して取得するIPアドレスは、アップグレードまたは構成変更後のRDSインスタンスによって異なる場合があります。 オンプレミスデバイスのIPアドレスをRDSインスタンスのホワイトリストに追加した後、RDSインスタンスにアクセスできない場合は、インターネット経由でローカルサーバーからApsaraDB RDS for MySQLインスタンスまたはApsaraDB RDS for MariaDBインスタンスに接続できないのはなぜですか。をご参照ください。

    付録: システムのホワイトリスト

    Data Management (DMS) 、Data Transmission Service (DTS) 、およびDatabase Autonomy Service (DAS) を使用してRDS for MySQLインスタンスにアクセスすると、次のホワイトリストがRDSインスタンスに自動的に追加され、DMS、DTS、およびDASからのアクセスが許可されます。

    ホワイトリスト名

    設定

    dms

    ホワイトリストを使用すると、DMSはRDSインスタンスにログインできます。

    dts

    ホワイトリストを使用すると、DTSはRDSインスタンスからデータを読み書きできます。

    hdm_security_ips

    ホワイトリストを使用すると、DASはRDSインスタンスのデータを取得し、データベースを最適化および保守し、インスタンスに対してセキュリティ関連の操作を実行できます。

    重要

    12月2020日以降にRDSインスタンスが作成された場合、hdm_security_ipsというラベルの付いたIPアドレスホワイトリストはユーザーには表示されません。 これにより、IPアドレスホワイトリストが意図せずに変更または削除されるのを防ぎます。 IPアドレスホワイトリストが変更または削除された場合、関連サービスはRDSインスタンスにアクセスできません。