ApsaraDB RDS for MySQL インスタンス向け IP アドレスホワイトリストの設定 - ApsaraDB RDS

ApsaraDB RDS for MySQL または Serverless ApsaraDB RDS for MySQLインスタンスを作成した後は、IP アドレスをホワイトリストに追加する必要があります。これらの IP アドレスを使用するデバイスのみが、RDS インスタンスにアクセスできます。

前提条件

ApsaraDB RDS for MySQL インスタンスを作成済みです

操作手順

説明

RDS には、表示されないデフォルトのシステムホワイトリストが存在します。このホワイトリストにより、システムアカウントがデータベースのメンテナンス操作を実行できます。詳細については、「システムアカウントの説明」をご参照ください。

[RDS インスタンスリスト] にアクセスし、上部でリージョンを選択し、ターゲットインスタンス ID をクリックします。
左側のナビゲーションウィンドウで、[ホワイトリストとセキュリティグループ] をクリックします。
IP アドレスホワイトリストモードを確認します。
説明
MySQL 5.5、5.6、5.7 を実行し、ローカル SSD を使用するインスタンスは、強化セキュリティモードに切り替えることができます。その他のインスタンスは標準モードを使用します。
デフォルト グループの右側にある変更をクリックし、表示されるダイアログボックスで IP アドレスをホワイトリストに追加します。
説明
- 必要に応じて、グループを追加する をクリックして、カスタムグループ名を指定することもできます。
- グループは IP アドレス管理専用であり、実際のアクセス権限には影響しません。すべてのグループに登録された IP アドレスは、RDS インスタンスに対して同一のアクセス権限を持ちます。
- 方法 1：アプリケーションサーバの IP アドレスを IP アドレス フィールドに追加します。「付録：IP アドレスの取得方法」を参照して、アプリケーションサーバの IP アドレスを確認してください。また、ローカルパブリック IP アドレスの読み込み（PC にネットワークプロキシが設定されている場合は、事前に無効化してください） をクリックすることで、ご利用のコンピュータのパブリック IP アドレスを直接追加することもできます。
  説明
  複数の IP アドレスおよび CIDR ブロックを IP アドレスホワイトリストに追加する場合、これらの IP アドレスまたは CIDR ブロックはカンマ (,) で区切る必要があります。カンマの前後に半角スペースを挿入しないでください。
  RDS インスタンスごとに、合計で最大 1,000 個の IP アドレスおよび CIDR ブロックをホワイトリストに追加できます。多数の IP アドレスを追加する場合は、CIDR ブロック（例：`10.10.10.0/24`）に統合することを推奨します。
  ホワイトリストモードが 強化セキュリティモード の場合、以下の点に注意してください：
  クラシックネットワーク グループには、パブリック IP アドレス を追加します。
  VPC 内の ECS インスタンスのプライベート IP アドレスは、VPC グループに追加します。
- 方法 2：ECS インスタンスの内部 IP アドレスの追加 をクリックすると、現在のリージョンでご利用の Alibaba Cloud アカウントに属するすべての ECS インスタンスの IP アドレスが表示されます。これらの IP アドレスをホワイトリストに迅速に追加できます。
アプリケーションがデプロイされているサーバの IP アドレスを RDS インスタンスの IP アドレスホワイトリストに追加した後でなければ、そのサーバ上のアプリケーションは RDS インスタンスにアクセスできません。
[OK] をクリックします。

次のステップ

コマンドラインまたはクライアントを使用した ApsaraDB RDS for MySQL インスタンスへの接続

参考情報

よくある質問

Q：ホワイトリストに登録されていない IP アドレスから RDS インスタンスにアクセスできてしまうのはなぜですか？
A：以下の方法でトラブルシューティングを行ってください。
- すべてのホワイトリストグループを確認し、`0.0.0.0/0` が含まれていないかをチェックします。`0.0.0.0/0` はすべての IP アドレスからのアクセスを許可する設定であり、セキュリティリスクを引き起こす可能性があります。このエントリは削除し、信頼できる IP アドレスのみをホワイトリストに登録することを推奨します。
- すべてのセキュリティグループを確認し、該当の IP アドレスが含まれているかをチェックします。セキュリティグループに IP アドレスが含まれている場合、その IP アドレスから RDS インスタンスにアクセスできます。
Q：インターネット接続を有効化せずに、自宅のコンピュータから RDS インスタンスにアクセスするにはどうすればよいですか？
A：内部ネットワーク接続を確立する必要があります。詳細については、「VPC をオンプレミスデータセンター、オフィス端末、または他社クラウドと接続する」をご参照ください。
Q：アプリケーションの IP アドレスが頻繁に変更され、固定されていません。このような場合、RDS データベースのホワイトリストをどのように設定すればよいですか？
A：固定 IP アドレスがない場合、セキュリティ上の理由から、すべての IP アドレスからのアクセスを許可する `0.0.0.0/0` の設定は推奨されません。代わりに、IP アドレスに基づくアクセス制御ではなく、ID を基準としたアクセス制御を採用することを推奨します。具体的には、以下の方法があります。
- 動的 DNS サービスの利用：動的 DNS サービスを通じて動的 IP アドレスにドメイン名を割り当て、そのドメイン名または解決された IP アドレスをデータベースのホワイトリストに追加します。
- リバースプロキシまたは Server Load Balancer の構築：すべてのユーザー向けアプリケーションリクエストをリバースプロキシサーバーまたは Server Load Balancer を介してデータベースに転送し、プロキシサーバーの固定 IP アドレスのみをデータベースのホワイトリストに追加します。
- ホワイトリストの定期的な更新：ISP が提供するホームブロードバンドなどの一定範囲内で変化する IP アドレスについては、定期的にその IP アドレスを取得し、ホワイトリストを更新します。
Q：RDS コンソールからホワイトリストを追加する際に、エラー InvalidSecurityIPListLength.Malformed が発生するのはなぜですか？
障害の概要
RDS コンソールからホワイトリストを追加する際に、以下のエラーが発生することがあります。
```
エラーコード：InvalidSecurityIPListLength.Malformed
エラーメッセージ：セキュリティ IP アドレスが有効な範囲外であるか、既に使用されています。
```
解決方法
- 原因 1：単一のホワイトリストグループでは最大 1,000 個の IP アドレス／CIDR ブロックがサポートされており、新規追加する IP アドレスがこの上限を超えています。
  解決策: 単一のホワイトリストグループ内の IP アドレスまたは CIDR ブロックの数が 1,000 を超えないようにしてください。散在する IP アドレスを CIDR フォーマット（例： 192.168.1.0/24）にマージすることを推奨します。これにより、エントリ数を削減できます。
- 原因 2：IP アドレスホワイトリストに無効なアドレスが含まれています。
  解決方法: 入力する IP アドレスが有効であることを確認してください。標準の CIDR フォーマット（例： 10.23.12.0/24）を使用することを推奨します。マスク範囲は 1 ～ 32 です。複数の IP アドレスを追加する場合は、カンマ (,) で区切ってください。
- 原因 3：既存のホワイトリストエントリとの競合が発生しています。たとえば、ApsaraDB RDS for MySQL では、`192.168.1.8` と `192.168.1.1/8` が競合します。
  解決方法：実際の要件に基づいてホワイトリストエントリを適切に設計・追加し、既存のルールとの重複や競合を回避してください。
説明
デフォルトグループ `default`（`127.0.0.1` を含む）や、`ali_dms_group`、`hdm_security_ips` などのシステムグループは、システム機能や接続セキュリティに影響を与えるため、削除または変更しないでください。

付録：アプリケーションが内部ネットワーク経由で RDS インスタンスに接続可能かの確認

アプリケーションがデプロイされている ECS インスタンスのリージョンおよびネットワークタイプを確認します。詳細については、「ApsaraDB RDS の使用準備」をご参照ください。
RDS インスタンスのリージョンとネットワークタイプを確認する
ApsaraDB RDS コンソールにログインし、インスタンスページに移動します。上部のナビゲーションバーで、RDS インスタンスが存在するリージョンを選択します。その後、対象の RDS インスタンスを見つけ、その ID をクリックします。表示されるページで、RDS インスタンスのリージョン、ネットワークタイプ、VPC ID を確認できます。
ECS インスタンスと RDS インスタンスが内部ネットワーク経由で通信するための、以下の条件を満たしているか確認します：
1. ECS インスタンスと RDS インスタンスは、同じリージョンにあります。
2. ECS インスタンスと RDS インスタンスは同じタイプのネットワークに存在します。ECS インスタンスと RDS インスタンスの両方が VPC に存在する場合、これらのインスタンスは同じ VPC に存在します。
説明
上記のいずれかの条件を満たさない場合、ECS インスタンスは内部ネットワーク経由で RDS インスタンスと通信できません。

付録：IP アドレスの取得方法

表 1. IP アドレスの取得方法

シナリオ	取得する IP アドレス	取得方法
プライベートネットワークアクセスの要件	ACK クラスター内のコンテナの IP アドレス	ACK クラスターの CNI プラグインが Flannel の場合、アプリケーションが配置されているノードの IP アドレスを追加します。 ACK クラスターの CNI プラグインが Terway の場合、アプリケーションが配置されている Pod の IP アドレスを追加します。 Pod の IP アドレスおよびノードの IP アドレスは、対象の ACK クラスターの Pod ページで確認できます。
プライベートネットワークアクセスの要件	ECS インスタンスのプライベート IP アドレス	ECS インスタンス一覧を開くをクリックし、リージョンを選択して、インスタンス一覧からプライベート IP アドレスおよびパブリック IP アドレスを確認します。
プライベートネットワークアクセスの要件を満たしていない場合	ECS インスタンスのパブリック IP アドレス
オンプレミスデバイスから RDS インスタンスに接続したい場合	オンプレミスデバイスのパブリック IP アドレス	ローカルクライアントのパブリック IP アドレスを、``curl ipinfo.io/ip``（推奨）または ``curl ifconfig.me`` を実行して照会します。説明パブリック IP アドレスは、データベースのスペックアップや設定変更時に変更されることがあります。ローカル IP アドレスをホワイトリストに追加したにもかかわらず接続できない場合は、「インターネット経由で ApsaraDB RDS for MySQL または ApsaraDB RDS for MariaDB インスタンスに接続できない場合：オンプレミスデバイスのパブリック IP アドレスを正しく入力する方法」を参照してトラブルシューティングを行ってください。

付録：システムホワイトリスト

DMS、DTS、DAS サービスが ApsaraDB RDS for MySQL と連携する際、正常なアクセスを確保するために、システムが自動的に以下のホワイトリストグループを追加します。

グループ名	説明
dms	DMS による ApsaraDB RDS for MySQL インスタンスへの接続に使用されます。
dts	DTS によるデータ転送に使用されます。
hdm_security_ips	DAS によるデータ取得、最適化、メンテナンス、セキュリティ管理に使用されます。重要 2020 年 12 月以降に作成されたインスタンスでは、関連サービスの利用に影響を与える誤操作を防ぐため、`hdm_security_ips` ホワイトリストグループはユーザーに非表示になっています。