このトピックでは、ApsaraDB RDS for PostgreSQLインスタンスのIPアドレスホワイトリストを設定する方法について説明します。 RDSインスタンスの作成後、RDSインスタンスのIPアドレスホワイトリストまたはセキュリティグループを設定する必要があります。 それ以外の場合、RDSインスタンスにアクセスできません。
シナリオ
IPアドレスホワイトリストは、RDSインスタンスへのアクセスが許可されたIPアドレスとCIDRブロックで構成されます。 RDSインスタンスのIPアドレスホワイトリストを設定して、RDSインスタンスに高レベルのアクセス制御とセキュリティ保護を提供できます。 設定されたIPアドレスのホワイトリストを定期的に更新することを推奨します。
次のシナリオでは、IPアドレスホワイトリストを設定する必要があります。
シナリオ 1
RDSインスタンスの作成後、特定のデバイスのIPアドレスをインスタンスのIPアドレスホワイトリストに追加する必要があります。 これらのデバイスはRDSインスタンスにアクセスできます。
シナリオ 2
RDSインスタンスに接続できません。 この場合、RDSインスタンスのIPアドレスホワイトリストを確認する必要があります。 次に、不適切に構成されているIPアドレスのホワイトリストを変更できます。
次の表に、さまざまな接続シナリオでのIPアドレスホワイトリストの設定を示します。
説明仮想プライベートクラウド (VPC) は、Alibaba cloud上の分離されたネットワークです。 クラシックネットワークよりも高いセキュリティを提供します。 詳細については、「VPC の概要」をご参照ください。
接続シナリオ
ネットワークタイプ
IPアドレスホワイトリスト設定
ECS (Elastic Compute Service) インスタンスをRDSインスタンスに接続する
ECSインスタンスとRDSインスタンスは同じVPCに存在します。 これは推奨される接続方法です。
ECSインスタンスのプライベートIPアドレスをRDSインスタンスのIPアドレスホワイトリストに追加します。
ECSインスタンスとRDSインスタンスは異なるVPCに存在します。
異なるVPC内のインスタンスは、内部ネットワークを介して相互に通信できません。 この場合、次の操作を実行します。
ECSインスタンスが存在するVPCにRDSインスタンスを移行します。
説明この操作は、ECSインスタンスとRDSインスタンスが同じリージョンにある場合にのみサポートされます。 ECSインスタンスとRDSインスタンスが異なるリージョンにある場合、DTSを使用してRDSインスタンスをECSインスタンスがあるリージョンに移行することを推奨します。 これにより、データベースサービスの安定性を確保できます。 詳細については、「ApsaraDB RDS For PostgreSQLインスタンス間のデータ移行」をご参照ください。
ECSインスタンスのプライベートIPアドレスをRDSインスタンスのIPアドレスホワイトリストに追加します。
ECSインスタンスとRDSインスタンスはクラシックネットワークに存在します。
ECSインスタンスのプライベートIPアドレスをRDSインスタンスのIPアドレスホワイトリストに追加します。
ECSインスタンスはクラシックネットワークに存在します。
RDSインスタンスはVPCにあります。
異なるネットワークタイプのインスタンスは、内部ネットワークを介して互いに通信することができない。 この場合、次の操作を実行します。
ECSインスタンスをクラシックネットワークからRDSインスタンスが存在するVPCに移行します。 詳細については、「クラシックネットワークからVPCへのECSインスタンスの移行」をご参照ください。
説明この操作は、ECSインスタンスとRDSインスタンスが同じリージョンにある場合にのみサポートされます。 ECSインスタンスとRDSインスタンスが異なるリージョンにある場合、DTSを使用してRDSインスタンスをECSインスタンスがあるリージョンに移行することを推奨します。 これにより、データベースサービスの安定性を確保できます。 詳細については、「ApsaraDB RDS For PostgreSQLインスタンス間のデータ移行」をご参照ください。
ECSインスタンスのプライベートIPアドレスをRDSインスタンスのIPアドレスホワイトリストに追加します。
ECSインスタンスはVPCにあります。
RDSインスタンスはクラシックネットワークに存在します。
異なるネットワークタイプのインスタンスは、内部ネットワークを介して互いに通信することができない。 この場合、次の操作を実行します。
RDSインスタンスをクラシックネットワークからECSインスタンスが存在するVPCに移行します。
説明この操作は、ECSインスタンスとRDSインスタンスが同じリージョンにある場合にのみサポートされます。 ECSインスタンスとRDSインスタンスが異なるリージョンにある場合、DTSを使用してRDSインスタンスをECSインスタンスがあるリージョンに移行することを推奨します。 これにより、データベースサービスの安定性を確保できます。 詳細については、「ApsaraDB RDS For PostgreSQLインスタンス間のデータ移行」をご参照ください。
ECSインスタンスのプライベートIPアドレスをRDSインスタンスのIPアドレスホワイトリストに追加します。
クラウド外の自己管理ホストをRDSインスタンスに接続する
なし。
自己管理ホストのパブリックIPアドレスをRDSインスタンスのIPアドレスホワイトリストに追加します。
説明自己管理ホストで実行されるアプリケーションは、RDSインスタンスのパブリックエンドポイントに接続します。
自己管理ホストのパブリックIPアドレスを取得する方法の詳細については、「」をご参照ください。インターネット経由でローカルサーバーからApsaraDB RDS for MySQLまたはApsaraDB RDS for MariaDBインスタンスに接続できないのはなぜですか。
使用上の注意
RDSインスタンスごとに最大50個のIPアドレスホワイトリストを設定できます。
IPアドレスホワイトリストを設定しても、RDSインスタンスのワークロードは中断されません。
デフォルトとラベル付けされたIPアドレスホワイトリストのエントリは削除できますが、ホワイトリストは削除できません。
他のAlibaba Cloudサービス用に自動的に生成されるIPアドレスのホワイトリストを変更または削除しないでください。 Alibaba Cloudサービス用に自動的に生成されたIPアドレスホワイトリストを削除すると、Alibaba CloudサービスはRDSインスタンスに接続できません。 たとえば、ali_dms_groupというラベルの付いたIPアドレスホワイトリストはData Management (DMS) に対して生成され、hdm_security_ipsというラベルの付いたIPアドレスホワイトリストは Database Autonomy Service (DAS) 。
重要12月2020日以降にRDSインスタンスが作成された場合、hdm_security_ipsというラベルの付いたIPアドレスホワイトリストはユーザーには表示されません。 これにより、IPアドレスホワイトリストが意図せずに変更または削除されるのを防ぎます。
デフォルトとラベル付けされたIPアドレスホワイトリストには、IPアドレス127.0.0.1のみが含まれます。 これは、IPアドレスがRDSインスタンスにアクセスできないことを示します。
標準IPアドレスホワイトリストの設定
標準ホワイトリストモードでは、ApsaraDB RDSはクラシックネットワークとVPCを区別しません。 標準のIPアドレスホワイトリストのIPアドレスまたはCIDRブロックを使用して、クラシックネットワークとVPCの両方を介してRDSインスタンスにアクセスできます。
- [インスタンス] ページに移動します。 上部のナビゲーションバーで、RDS インスタンスが存在するリージョンを選択します。 次に、RDSインスタンスを見つけ、インスタンスのIDをクリックします。
表示されるページの左側のナビゲーションウィンドウで、[ホワイトリストとSecGroup] をクリックします。
[ホワイトリストグループを追加] をクリックします。 表示されるダイアログボックスで、ホワイトリスト名パラメーターを設定します。 または、IPアドレスホワイトリストの右側にある [変更] をクリックします。
RDSインスタンスへのアクセスを必要とするIPアドレスまたはCIDR (Classless Inter-Domain Routing) ブロックを入力します。 次に、[OK] をクリックします。
説明複数のIPアドレスまたはCIDRブロックを入力する場合は、これらのIPアドレスまたはCIDRブロックをコンマ (,) で区切る必要があります。 コンマの前後にスペースを追加しないでください。 例:
192.168.0.1,172.16.213.9
RDSインスタンスごとに最大1,000個のIPアドレスとCIDRブロックを設定できます。 多数のIPアドレスを入力する場合は、IPアドレスを
10.10.10.0/24
などのCIDRブロックにマージすることを推奨します。
オプションです。 読み取り専用RDSインスタンスがRDSインスタンスにアタッチされている場合、[ホワイトリストを読み取り専用インスタンスに同期] パラメーターを設定して、RDSインスタンスのIPアドレスホワイトリストを読み取り専用RDSインスタンスに同期します。 複数の読み取り専用RDSインスタンスがRDSインスタンスにアタッチされている場合、同期用に複数の読み取り専用RDSインスタンスを選択できます。
オプションです。 [ECSインスタンスの内部IPアドレスの追加] をクリックします。 表示されるダイアログボックスで、Alibaba Cloudアカウント内に作成されたすべてのECSインスタンスのIPアドレスを表示します。 次に、接続するECSインスタンスのIPアドレスをIPアドレスホワイトリストに追加します。
拡張IPアドレスホワイトリストの設定
クラウドディスクを使用するRDSインスタンスは、拡張ホワイトリストモードをサポートしていません。 ローカルディスクは購入できなくなりました。 詳細については、「 [EOS /廃止] ApsaraDB RDS For PostgreSQLインスタンスのローカルSSDは、2023年9月1日から購入できなくなりました」をご参照ください。
拡張ホワイトリストモードでは、ApsaraDB RDSはクラシックネットワークとVPCを区別します。 各拡張IPアドレスホワイトリストのネットワーク分離モードを指定する必要があります。 たとえば、IPアドレスホワイトリストの [ネットワーク分離モード] パラメーターが [クラシックネットワーク] に設定されている場合、IPアドレスホワイトリストのIPアドレスはクラシックネットワーク経由でのみRDSインスタンスへのアクセスが許可され、これらのIPアドレスからVPC経由でRDSインスタンスに接続することはできません。
拡張ホワイトリストモードは、ローカルSSDを使用するRDSインスタンスでのみサポートされます。 RDSインスタンスが拡張ホワイトリストモードで実行されている場合、次の手順を実行して、拡張IPアドレスホワイトリストを設定できます。 拡張ホワイトリストモードに切り替える方法の詳細については、「ApsaraDB RDS For PostgreSQLインスタンスを拡張ホワイトリストモードに切り替える」をご参照ください。
- [インスタンス] ページに移動します。 上部のナビゲーションバーで、RDS インスタンスが存在するリージョンを選択します。 次に、RDSインスタンスを見つけ、インスタンスのIDをクリックします。
表示されるページの左側のナビゲーションウィンドウで、[ホワイトリストとSecGroup] をクリックします。
[ホワイトリストの作成] をクリックし、ネットワーク分離モードを選択します。
ホワイトリスト名パラメーターを設定します。
IPアドレスパラメーターを設定します。 RDSインスタンスへのアクセスに使用されるIPアドレスまたはCIDRブロックを入力し、[OK] をクリックします。
説明複数のIPアドレスまたはCIDRブロックを入力する場合は、これらのIPアドレスまたはCIDRブロックをコンマ (,) で区切る必要があります。 コンマの前後にスペースを追加しないでください。 例:
192.168.0.1,172.16.213.9
RDSインスタンスごとに最大1,000個のIPアドレスとCIDRブロックを設定できます。 多数のIPアドレスを入力する場合は、IPアドレスを10.10.10.0/24などのCIDRブロックにマージすることを推奨します。
オプションです。 読み取り専用RDSインスタンスがRDSインスタンスにアタッチされている場合、[ホワイトリストを読み取り専用インスタンスに同期] パラメーターを設定して、RDSインスタンスのIPアドレスホワイトリストを読み取り専用RDSインスタンスに同期します。 複数の読み取り専用RDSインスタンスがRDSインスタンスにアタッチされている場合、同期用に複数の読み取り専用RDSインスタンスを選択できます。
オプションです。 [ECSインスタンスの内部IPアドレスの追加] をクリックします。 表示されるダイアログボックスで、Alibaba Cloudアカウント内に作成されたすべてのECSインスタンスのIPアドレスを表示します。 次に、接続するECSインスタンスのIPアドレスをIPアドレスホワイトリストに追加します。
説明RDSインスタンスに対して拡張ホワイトリストモードが有効になっている場合、ネットワーク分離モードを選択する必要があります。
次のステップ
関連する API 操作
API 操作 | 説明 |
インスタンスのIPアドレスのホワイトリストを照会します。 | |
インスタンスのIPアドレスホワイトリストを変更します。 |