ApsaraDB RDS for MySQL インスタンスの IP アドレスホワイトリストの設定 - ApsaraDB RDS

ApsaraDB RDS for MySQL インスタンスを作成した後、ホワイトリストに IP アドレスを追加する必要があります。これらの IP アドレスを使用するデバイスのみが RDS インスタンスにアクセスできます。

前提条件

ApsaraDB RDS for MySQL インスタンス

操作手順

説明

RDS には、表示されないデフォルトのシステムホワイトリストがあります。このホワイトリストにより、システムアカウントはデータベースのメンテナンス操作を実行できます。詳細については、「システムアカウントの説明」をご参照ください。

RDS インスタンスリストにアクセスし、上部でリージョンを選択してから、対象インスタンスの ID をクリックします。
左側のナビゲーションウィンドウで、[ホワイトリストとセキュリティグループ] をクリックします。
IP アドレスホワイトリストのモードを確認します。
説明
ローカル SSD を使用する MySQL 5.5、5.6、または 5.7 を実行するインスタンスは、拡張セキュリティモードに切り替えることができます。その他のインスタンスは標準モードを使用します。
default グループの右側にある変更をクリックし、表示されるダイアログボックスでホワイトリストに IP アドレスを追加します。
説明
- 必要に応じて、グループを追加する をクリックして、カスタムグループ名を指定することもできます。
- グループは IP アドレスの管理にのみ使用され、実際のアクセス権限には影響しません。すべてのグループの IP アドレスは、RDS インスタンスに対して同じアクセス権限を持ちます。
- 方法 1：アプリケーションサーバーの IP アドレスを [IP アドレス] フィールドに追加します。アプリケーションサーバーの IP アドレスを確認するには、「付録：IP アドレスの取得方法」をご参照ください。 [ローカルのパブリック IP アドレスを読み込む (PC でネットワークプロキシを使用している場合は、まず無効にしてください)] をクリックして、お使いのコンピューターのパブリック IP アドレスを直接追加することもできます。
  説明
  IP アドレスホワイトリストに複数の IP アドレスと CIDR ブロックを追加する場合は、これらの IP アドレスまたは CIDR ブロックをカンマ (,) で区切る必要があります。カンマの前後にスペースを追加しないでください。
  各 RDS インスタンスに、合計で最大 1,000 個の IP アドレスと CIDR ブロックを追加できます。多数の IP アドレスを追加する場合は、IP アドレスを 10.10.10.0/24 などの CIDR ブロックにマージすることを推奨します。
  ホワイトリストモードが拡張セキュリティモードの場合は、次の点にご注意ください：
  パブリック IP アドレスをクラシックネットワークグループに追加します。
  VPC 内の ECS インスタンスのプライベート IP アドレスを VPC グループに追加します。
- 方法 2：[ECS インスタンスの内部 IP アドレスを追加] をクリックすると、現在のリージョンにある Alibaba Cloud アカウントに属するすべての ECS インスタンスの IP アドレスが表示されます。これらの IP アドレスをホワイトリストにすばやく追加できます。
アプリケーションがデプロイされているサーバーから RDS インスタンスにアクセスするには、そのサーバーの IP アドレスを RDS インスタンスの IP アドレスホワイトリストに追加する必要があります。
[OK] をクリックします。

次のステップ

コマンドラインまたはクライアントを使用して ApsaraDB RDS for MySQL インスタンスに接続する

よくある質問

Q：ホワイトリストに追加されていない IP アドレスが RDS インスタンスにアクセスできるのはなぜですか。
A：次の方法で問題をトラブルシューティングできます：
- すべてのホワイトリストグループをチェックして、0.0.0.0/0 が含まれているかどうかを確認します。 IP アドレス 0.0.0.0/0 は、すべての IP アドレスが RDS インスタンスにアクセスできることを示します。これはセキュリティリスクをもたらします。この IP アドレスを削除し、信頼できる IP アドレスのみを追加することを推奨します。
- すべてのセキュリティグループをチェックして、IP アドレスが含まれているかどうかを確認します。セキュリティグループに IP アドレスが含まれている場合、その IP アドレスを使用して RDS インスタンスにアクセスできます。
Q：インターネットアクセスを有効にせずに、コンピューターから RDS インスタンスにアクセスするにはどうすればよいですか。
A：プライベートネットワーク接続を確立する必要があります。詳細については、「VPC をオンプレミスのデータセンター、オフィスターミナル、または他のクラウドに接続する」をご参照ください。
Q：アプリケーションの IP アドレスが頻繁に変更され、固定されていません。この場合、RDS データベースのホワイトリストをどのように設定すればよいですか。
A：固定 IP アドレスがない場合、0.0.0.0/0 (すべての IP アドレスが RDS インスタンスにアクセスできるようにしますが、セキュリティ上の理由から推奨されません) を設定することはできません。 IP ベースのアクセス制御の代わりに、ID ベースのアクセス制御を使用することを推奨します。たとえば、次の方法を使用できます：
- 動的 DNS サービスの使用：動的 DNS サービスを介して動的 IP アドレスのドメイン名を取得し、そのドメイン名または解決された IP アドレスをデータベースのホワイトリストに追加します。
- リバースプロキシまたは Server Load Balancer の設定：すべてのユーザーアプリケーションリクエストをリバースプロキシサーバーまたは Server Load Balancer を介してデータベースに転送し、プロキシサーバーの固定 IP アドレスのみをデータベースのホワイトリストに追加します。
- ホワイトリストの定期的な更新：特定の範囲内で変更される IP アドレス (ISP によって割り当てられる家庭用ブロードバンド IP アドレスなど) については、これらの IP アドレスを定期的に取得し、ホワイトリストで更新します。
Q：RDS コンソールでホワイトリストを追加する際に、エラー InvalidSecurityIPListLength.Malformed が表示されるのはなぜですか。
問題の説明
RDS コンソールでホワイトリストを追加する際に、次のエラーが発生することがあります：
```
エラーコード：InvalidSecurityIPListLength.Malformed
エラーメッセージ：セキュリティ IP アドレスが利用可能な範囲にないか、占有されています。
```
ソリューション
- 原因 1：単一のホワイトリストグループは最大 1,000 個の IP アドレス/CIDR ブロックをサポートしており、新しい IP アドレスがこの制限を超えています。
  解決策：単一のホワイトリストグループ内の IP アドレスまたは CIDR ブロックの数が 1,000 を超えないようにしてください。散在する IP アドレスを CIDR フォーマット (192.168.1.0/24 など) にマージして、エントリ数を減らすことを推奨します。
- 原因 2：IP アドレスホワイトリストに無効なアドレスが含まれています。
  解決策：入力する IP アドレスが有効であることを確認してください。マスク範囲が 1 から 32 の標準 CIDR フォーマット (10.23.12.0/24 など) を使用することを推奨します。複数の IP アドレスを追加するには、カンマ (,) で区切ります。
- 原因 3：既存のホワイトリストエントリと競合しています。たとえば、ApsaraDB RDS for MySQL では、192.168.1.8 は 192.168.1.1/8 と競合します。
  解決策：実際のニーズに基づいてホワイトリストエントリを適切に計画および追加し、既存のルールとの重複や競合を避けてください。
説明
システム機能や接続セキュリティへの影響を避けるため、127.0.0.1 を含むデフォルトグループ default を削除したり、ali_dms_group や hdm_security_ips などのシステムグループを変更したりしないでください。

付録：アプリケーションがプライベートネットワーク経由で RDS インスタンスに接続できるかどうかの確認

アプリケーションがデプロイされている ECS インスタンスのリージョンとネットワークタイプを表示します。詳細については、「ApsaraDB RDS の使用準備」をご参照ください。
RDS インスタンスのリージョンとネットワークタイプを表示します。
ApsaraDB RDS コンソールにログインし、インスタンスページに移動します。上部のナビゲーションバーで、RDS インスタンスが存在するリージョンを選択します。次に、RDS インスタンスを見つけて、インスタンスの ID をクリックします。表示されるページで、RDS インスタンスのリージョン、ネットワークタイプ、および VPC ID を表示できます。
ECS インスタンスと RDS インスタンスが、プライベートネットワーク経由での通信のために次の条件を満たしているかどうかを確認します：
1. ECS インスタンスと RDS インスタンスが同じリージョンに存在すること。
2. ECS インスタンスと RDS インスタンスが同じタイプのネットワークに存在すること。 ECS インスタンスと RDS インスタンスの両方が VPC に存在する場合、これらのインスタンスは同じ VPC に存在します。
説明
上記の条件のいずれかが満たされていない場合、ECS インスタンスはプライベートネットワーク経由で RDS インスタンスと通信できません。

付録：IP アドレスの取得方法

表 1. IP アドレスの取得方法

シナリオ	取得する IP アドレス	取得方法
プライベートネットワークアクセスの要件	ACK クラスター内のコンテナーの IP アドレス	ACK クラスターのコンテナーネットワークプラグインが Flannel の場合、アプリケーションが配置されているノードの IP アドレスを追加します。 ACK クラスターのコンテナーネットワークプラグインが Terway の場合、アプリケーションが配置されている Pod の IP アドレスを追加します。 Pod の IP アドレスとノードの IP アドレスは、対象の ACK クラスターの Pod ページで確認できます。
プライベートネットワークアクセスの要件	ECS インスタンスのプライベート IP アドレス	ここをクリックして ECS インスタンスリストを開き、リージョンを選択して、インスタンスリストでプライベート IP アドレスとパブリック IP アドレスを表示します。
プライベートネットワークアクセスの要件が満たされていない。	ECS インスタンスのパブリック IP アドレス
オンプレミスのデバイスから RDS インスタンスに接続したい。	オンプレミスデバイスのパブリック IP アドレス	ローカルクライアントのパブリック IP アドレスを `curl ipinfo.io/ip` (推奨) または `curl ifconfig.me` を実行して照会します。説明パブリック IP アドレスは、データベースのスペックアップや変更中に変更される可能性があります。ローカル IP アドレスをホワイトリストに追加しても接続できない場合は、「インターネット経由で ApsaraDB RDS for MySQL または ApsaraDB RDS for MariaDB インスタンスに接続できない：オンプレミスデバイスのパブリック IP アドレスを正しく入力する方法」をご参照のうえ、トラブルシューティングを行ってください。

付録：システムホワイトリスト

DMS、DTS、および DAS サービスが ApsaraDB RDS for MySQL とやり取りする際、システムは通常のアクセスを確保するために、以下のホワイトリストグループを自動的に追加します。

グループ名	説明
dms	DMS が ApsaraDB RDS for MySQL インスタンスにログインするために使用されます。
dts	DTS がデータを転送するために使用されます。
hdm_security_ips	DAS がデータを取得し、最適化、メンテナンス、セキュリティ管理を実行するために使用されます。重要 2020年12月以降に作成されたインスタンスの場合、hdm_security_ips ホワイトリストグループは、誤った変更や削除を防ぎ、関連サービスの使用に影響を与えないように、ユーザーには表示されません。

ApsaraDB RDS:IP アドレスホワイトリストの設定