ApsaraDB RDS for SQL Server インスタンスの IP アドレスホワイトリストの設定 - ApsaraDB RDS

デフォルトでは、新しい RDS SQL Server インスタンスは外部デバイスから接続できません。セキュリティを確保するには、RDS インスタンスに IP アドレスホワイトリストを設定して、信頼できる IP アドレスのみが RDS インスタンスにアクセスできるようにする必要があります。RDS インスタンスを作成した後は、すぐに IP アドレスホワイトリストを設定し、定期的にメンテナンスしてアクセスセキュリティを向上させることをお勧めします。RDS インスタンスに IP アドレスホワイトリストを設定しても、RDS インスタンスは正常に実行され続けます。

他のエンジンのホワイトリストを設定するには、以下を参照してください。

シナリオ

以下のシナリオでは、IP アドレスホワイトリストを設定する必要があります。

RDS インスタンスを作成した後、外部デバイスがインスタンスにアクセスできるようにするには、ホワイトリストに外部 IP アドレスを追加する必要があります。
RDS インスタンスに接続できません。RDS インスタンスの IP アドレスホワイトリストが正しく設定されているかどうかを確認する必要があります。

次の表は、さまざまな接続シナリオでの IP アドレスホワイトリストの設定を示しています。

接続タイプ	ネットワークタイプ	IP アドレスホワイトリスト設定
Elastic Compute Service (ECS) インスタンスを RDS インスタンスに接続する	ECS インスタンスと RDS インスタンスは、同じ仮想プライベートクラウド (VPC) 内にあります。これは推奨される接続シナリオです。	ECS インスタンスのプライベート IP アドレスを RDS インスタンスの IP アドレスホワイトリストに追加します。
Elastic Compute Service (ECS) インスタンスを RDS インスタンスに接続する	ECS インスタンスと RDS インスタンスは異なる VPC にあります。	異なる VPC のインスタンスは、内部ネットワークを介して相互に通信できません。この場合、ECS インスタンスと RDS インスタンスが同じ VPC 内にあることを確認し、ECS インスタンスのプライベート IP アドレスを RDS インスタンスの IP アドレスホワイトリストに追加します。
ACK クラスタ内のコンテナを RDS インスタンスに接続する	ACK クラスタと RDS インスタンスは、同じ仮想プライベートクラウド (VPC) 内にあります。これは推奨される接続シナリオです。	ACK クラスタのコンテナネットワークプラグインが Flannel の場合、アプリケーションが配置されているノードの IP アドレスを追加します。 ACK クラスタのコンテナネットワークプラグインが Terway の場合、アプリケーションが配置されている Pod の IP アドレスを追加します。 Pod の IP アドレスとノードの IP アドレスは、ターゲット ACK クラスタのポッドページで確認できます。
ACK クラスタ内のコンテナを RDS インスタンスに接続する	ACK クラスタと RDS インスタンスは異なる VPC にあります。	異なる VPC のインスタンスは、内部ネットワークを介して相互に通信できません。この場合、ACK クラスタと RDS インスタンスが同じ VPC 内にあることを確認し、アプリケーションが配置されている ACK クラスタの IP アドレスを RDS インスタンスの IP アドレスホワイトリストに追加します。 ACK クラスタのコンテナネットワークプラグインが Flannel の場合、アプリケーションが配置されているノードの IP アドレスを追加します。 ACK クラスタのコンテナネットワークプラグインが Terway の場合、アプリケーションが配置されている Pod の IP アドレスを追加します。
クラウド外の自己管理ホストを RDS インスタンスに接続する	該当なし	クラウド外の自己管理ホストのパブリック IP アドレスを RDS インスタンスの IP アドレスホワイトリストに追加します。説明自己管理ホストで実行されているアプリケーションは、RDS インスタンスのパブリックエンドポイントに接続します。

使用上の注意

RDS インスタンスごとに最大 50 個の IP アドレスホワイトリストを設定できます。
default というラベルが付いた IP アドレスホワイトリストのエントリは削除できますが、ホワイトリスト自体は削除できません。 default というラベルが付いた IP アドレスホワイトリストには、IP アドレス 127.0.0.1 のみが含まれています。これは、RDS インスタンスにアクセスできる IP アドレスがないことを示します。
他の Alibaba Cloud サービス用に自動的に生成された IP アドレスホワイトリストは、変更または削除しないでください。Alibaba Cloud サービス用に自動的に生成された IP アドレスホワイトリストを削除すると、Alibaba Cloud サービスは RDS インスタンスに接続できなくなります。たとえば、ali_dms_group というラベルが付いた IP アドレスホワイトリストは Data Management (DMS) 用に生成され、hdm_security_ips というラベルが付いた IP アドレスホワイトリストは DAS 用に生成されます。
重要
2020 年 12 月以降に作成された RDS インスタンスの場合、hdm_security_ips というラベルが付いた IP アドレスホワイトリストはユーザーには表示されません。これにより、IP アドレスホワイトリストが誤って変更または削除されるのを防ぎます。

手順

インスタンスページに移動します。上部のナビゲーションバーで、RDS インスタンスが存在するリージョンを選択します。次に、RDS インスタンスを見つけ、インスタンスの ID をクリックします。
左側のナビゲーションウィンドウで、ホワイトリストとセキュリティグループ をクリックします。
ホワイトリストの設定 タブで、IP アドレスホワイトリストのモードを表示できます。
説明
既存の RDS インスタンスは、高セキュリティホワイトリストモードで実行されている場合があります。すべての新しい RDS インスタンスは、標準ホワイトリストモードで実行されます。
グループを追加する をクリックします。表示されるダイアログボックスで、[ホワイトリスト名] パラメータを設定し、アプリケーションサーバーの IP アドレスをホワイトリストに追加して、[OK] をクリックします。
説明
- [default] グループの右側にある [変更] をクリックして、グループ内のホワイトリストを変更することもできます。
- 複数の IP アドレスと CIDR ブロックはコンマ (,) で区切る必要があります。各コンマの前後にスペースを追加しないでください。例：192.XXX.XXX.1,172.XXX.XXX.9。
- RDS インスタンスごとに最大 1,000 個の IP アドレスと CIDR ブロックを設定できます。多数の IP アドレスを追加する場合は、IP アドレスを CIDR ブロック (例：10.10.10.0/24) にマージすることをお勧めします。
- RDS インスタンスが標準ホワイトリストモードで実行されている場合、RDS インスタンスの IP アドレスホワイトリストを設定する際に特別な考慮事項に注意する必要はありません。RDS インスタンスが高セキュリティホワイトリストモードで実行されている場合は、RDS インスタンスの IP アドレスホワイトリストを設定する際に、次の考慮事項に注意する必要があります。
  - ECS インスタンスのパブリック IP アドレス、またはクラシックネットワークタイプの ECS インスタンスのプライベート IP アドレスを、クラシックネットワークタイプの IP アドレスホワイトリストに追加します。
  - VPC タイプの ECS インスタンスのプライベート IP アドレスを、VPC ネットワークタイプの IP アドレスホワイトリストに追加します。
オプション。グループを追加する ダイアログボックスで、ECS インスタンスのイントラネット IP アドレスを追加 をクリックします。表示されるダイアログボックスで、Alibaba Cloud アカウント内で作成されたすべての ECS インスタンスの IP アドレスを表示します。次に、必要な IP アドレスを設定する IP アドレスホワイトリストに追加します。

次のステップ

ApsaraDB RDS for SQL Server インスタンスに接続する

付録：アプリケーションサーバーの IP アドレスを取得する

ビジネスシナリオに基づいて正しい IP アドレスを取得し、その IP アドレスを IP アドレスホワイトリストに追加する必要があります。次の表は、さまざまなシナリオで必要な IP アドレスについて説明しています。

シナリオ	取得する IP アドレス	取得方法
内部ネットワークアクセスのための要件	ACK クラスタ内のコンテナの対応する IP アドレス	ACK クラスタのコンテナネットワークプラグインが Flannel の場合、アプリケーションが配置されているノードの IP アドレスを追加します。 ACK クラスタのコンテナネットワークプラグインが Terway の場合、アプリケーションが配置されている Pod の IP アドレスを追加します。 Pod の IP アドレスとノードの IP アドレスは、ターゲット ACK クラスタのポッドページで確認できます。
内部ネットワークアクセスのための要件	ECS インスタンスのプライベート IP アドレス	ECS コンソールにログインし、インスタンスページに移動します。上部のナビゲーションバーで、ECS インスタンスが存在するリージョンを選択します。 ECS インスタンスのパブリック IP アドレスとプライベート IP アドレスを表示します。
内部ネットワーク経由でアクセスできない ECS インスタンスから RDS インスタンスに接続する場合。	ECS インスタンスのパブリック IP アドレス
オンプレミスデバイスから RDS インスタンスに接続する場合。	オンプレミスデバイスのパブリック IP アドレス	オンプレミスデバイスで、Google などの検索エンジンを使用して IP を検索します。説明この方法で取得した IP アドレスは不正確な場合があります。他の方法を使用して IP アドレスを取得できます。

よくある質問

エラー InvalidSecurityIPListLength.Malformed RDS コンソールからホワイトリストを追加しようとすると？

問題の説明

RDS コンソールからホワイトリストを追加しようとすると、次のエラーが発生することがあります。

エラーコード：InvalidSecurityIPListLength.Malformed
エラーメッセージ（中国語）：セキュリティ IP アドレスが有効な範囲内にないか、使用されています。
エラーメッセージ（英語）：セキュリティ IP アドレスが有効な範囲内にないか、使用されています。

解決策

原因 1：1 つのホワイトリストグループは最大 1,000 個の IP アドレス/セグメントをサポートしており、新しく追加された IP がこの制限を超えています。
解決策：1 つのホワイトリストグループ内の IP アドレスまたは IP セグメントの数が 1,000 を超えないようにしてください。エントリ数を減らすために、分散している IP アドレスを CIDR 形式の IP セグメント（192.168.1.0/24 など）にマージすることをお勧めします。
原因 2：追加された IP ホワイトリストに無効なアドレスが含まれています。
解決策：入力された IP アドレスが有効であることを確認してください。マスク範囲が 1 ～ 32 の標準 CIDR 形式（10.23.12.0/24 など）を使用することをお勧めします。複数の IP アドレスを追加するには、コンマ (,) を使用して区切ります。
原因 3：既存のホワイトリストと競合しています。たとえば、RDS MySQL では、192.168.1.8 は 192.168.1.1/8 と競合します。
解決策：実際のニーズに合わせてホワイトリストを適切に計画および追加し、既存のルールとの重複や競合を避けてください。

説明

システム機能や接続セキュリティへの影響を避けるため、デフォルトグループ default（127.0.0.1 を含む）を削除したり、システムグループ（ali_dms_group や hdm_security_ips など）を変更したりしないでください。

ApsaraDB RDS:IP アドレスホワイトリストの設定