すべてのプロダクト
Search
ドキュメントセンター

ApsaraDB RDS:IPアドレスのホワイトリストの構成

最終更新日:Jan 23, 2024

このトピックでは、ApsaraDB RDS for SQL ServerインスタンスのIPアドレスホワイトリストを設定する方法について説明します。 RDSインスタンスの作成後、RDSインスタンスのIPアドレスホワイトリストまたはセキュリティグループを設定する必要があります。 デバイスは、デバイスのIPアドレスをRDSインスタンスのIPアドレスホワイトリストまたはセキュリティグループに追加した後にのみ、RDSインスタンスにアクセスできます。

別のデータベースエンジンを実行するRDSインスタンスのIPアドレスホワイトリストを設定する方法の詳細については、以下のトピックを参照してください。

シナリオ

RDSインスタンスのIPアドレスホワイトリストは、RDSインスタンスへのアクセスが許可されたIPアドレスとCIDRブロックで構成されます。 RDSインスタンスのIPアドレスホワイトリストを設定して、RDSインスタンスに高レベルのアクセス制御とセキュリティ保護を提供できます。 設定されたIPアドレスのホワイトリストを定期的に更新することを推奨します。

次のシナリオでIPアドレスホワイトリストを設定できます。

  • シナリオ 1

    特定のデバイスのIPアドレスをRDSインスタンスのIPアドレスホワイトリストに追加して、デバイスがRDSインスタンスに接続できるようにします。

  • シナリオ 2

    RDSインスタンスに接続できません。 RDSインスタンスのIPアドレスホワイトリストが正しく設定されているかどうかを確認する必要があります。

    次の表に、さまざまな接続シナリオでのIPアドレスホワイトリストの設定を示します。

    説明

    仮想プライベートクラウド (VPC) は、Alibaba cloud上の分離されたネットワークであり、クラシックネットワークよりも高いセキュリティを提供します。 詳細については、「VPC の概要」をご参照ください。

    接続タイプ

    ネットワークタイプ

    IPアドレスホワイトリスト設定

    ECS (Elastic Compute Service) インスタンスをRDSインスタンスに接続する

    ECSインスタンスとRDSインスタンスは同じVPCに存在します。 これは推奨される接続シナリオです。

    ECSインスタンスのプライベートIPアドレスをRDSインスタンスのIPアドレスホワイトリストに追加します。

    ECSインスタンスとRDSインスタンスは異なるVPCに存在します。

    異なるVPC内のインスタンスは、内部ネットワークを介して相互に通信できません。 この場合、ECSインスタンスとRDSインスタンスが同じVPCにあることを確認し、ECSインスタンスのプライベートIPアドレスをRDSインスタンスのIPアドレスホワイトリストに追加します。

    ECSインスタンスとRDSインスタンスはクラシックネットワークに存在します。

    ECSインスタンスのプライベートIPアドレスをRDSインスタンスのIPアドレスホワイトリストに追加します。

    ECSインスタンスはクラシックネットワークに存在します。

    RDSインスタンスはVPCにあります。

    異なるネットワークタイプのインスタンスは、内部ネットワークを介して互いに通信することができない。 次の操作を実行します。

    1. ECSインスタンスをクラシックネットワークからRDSインスタンスが属するVPCに移行します。 詳細については、「クラシックネットワークからVPCへのECSインスタンスの移行」をご参照ください。

      説明

      この操作は、ECSインスタンスとRDSインスタンスが同じリージョンにある場合にのみサポートされます。 ECSインスタンスとRDSインスタンスが異なるリージョンにある場合、Data Transmission Service (DTS) を使用してRDSインスタンスをECSインスタンスがあるリージョンに移行することを推奨します。 これにより、データベースサービスの安定性を確保できます。 詳細については、「ApsaraDB RDS For SQL Serverインスタンス間のデータ移行」をご参照ください。

    2. ECSインスタンスのプライベートIPアドレスをRDSインスタンスのIPアドレスホワイトリストに追加します。

    ECSインスタンスはVPCにあります。

    RDSインスタンスはクラシックネットワークに存在します。

    異なるネットワークタイプのインスタンスは、内部ネットワークを介して互いに通信することができない。 次の操作を実行します。

    1. RDSインスタンスをクラシックネットワークからECSインスタンスが属するVPCに移行します。 詳細については、「ネットワークタイプの変更」をご参照ください。

      説明

      この操作は、ECSインスタンスとRDSインスタンスが同じリージョンにある場合にのみサポートされます。 ECSインスタンスとRDSインスタンスが異なるリージョンにある場合、Data Transmission Service (DTS) を使用してRDSインスタンスをECSインスタンスがあるリージョンに移行することを推奨します。 これにより、データベースサービスの安定性を確保できます。 詳細については、「ApsaraDB RDS For SQL Serverインスタンス間のデータ移行」をご参照ください。

    2. ECSインスタンスのプライベートIPアドレスをRDSインスタンスのIPアドレスホワイトリストに追加します。

    クラウド外の自己管理ホストをRDSインスタンスに接続する

    N/A

    クラウド外の自己管理ホストのパブリックIPアドレスをRDSインスタンスのIPアドレスホワイトリストに追加します。

    説明

使用上の注意

  • RDSインスタンスごとに最大50個のIPアドレスホワイトリストを設定できます。

  • IPアドレスホワイトリストを設定しても、RDSインスタンスのワークロードは中断されません。

  • デフォルトとラベル付けされたIPアドレスホワイトリストのエントリは削除できますが、ホワイトリストは削除できません。

  • 他のAlibaba Cloudサービス用に自動的に生成されるIPアドレスのホワイトリストを変更または削除しないでください。 Alibaba Cloudサービス用に自動的に生成されたIPアドレスホワイトリストを削除すると、Alibaba CloudサービスはRDSインスタンスに接続できません。 たとえば、ali_dms_groupというラベルの付いたIPアドレスホワイトリストはData Management (DMS) に対して生成され、hdm_security_ipsというラベルの付いたIPアドレスホワイトリストは Database Autonomy Service (DAS)

    重要

    12月2020日以降にRDSインスタンスが作成された場合、hdm_security_ipsというラベルの付いたIPアドレスホワイトリストはユーザーには表示されません。 これにより、IPアドレスホワイトリストが意図せずに変更または削除されるのを防ぎます。

  • デフォルトとラベル付けされたIPアドレスホワイトリストには、IPアドレス127.0.0.1のみが含まれます。 これは、IPアドレスがRDSインスタンスにアクセスできないことを示します。

手順

標準ホワイトリストモードでは、システムはクラシックネットワークと仮想プライベートネットワーク (VPC) を区別しません。 標準のIPアドレスホワイトリストのIPアドレスまたはCIDRブロックを使用して、クラシックネットワークとVPCの両方を介してRDSインスタンスにアクセスできます。

  1. [インスタンス] ページに移動します。 上部のナビゲーションバーで、RDSインスタンスが存在するリージョンを選択します。 次に、RDSインスタンスを見つけ、インスタンスのIDをクリックします。
  2. 左側のナビゲーションウィンドウで、ホワイトリストとセキュリティグループ をクリックします。

    ホワイトリストの設定 タブで、IPアドレスホワイトリストのモードを表示できます。

    説明

    既存のRDSインスタンスは、拡張ホワイトリストモードで実行できます。 すべての新しいRDSインスタンスは標準ホワイトリストモードで実行されます。

  3. グループを追加する をクリックします。 表示されるダイアログボックスで、[ホワイトリスト名] パラメーターを設定し、アプリケーションサーバーのIPアドレスをホワイトリストに追加して、[OK] をクリックします。

    アプリケーションが実行されているサーバーのIPアドレスをIPアドレスホワイトリストに追加すると、サーバーはRDSインスタンスにアクセスできます。 ビジネス要件に基づいて正しいIPアドレスを取得し、そのIPアドレスをIPアドレスホワイトリストに追加する必要があります。 次の表に、さまざまなシナリオで必要なIPアドレスを示します。

    シナリオ

    IPアドレスを取得

    IPアドレスの取得方法

    内部ネットワーク経由でアクセス可能なECSインスタンスからRDSインスタンスに接続します。

    ECSインスタンスのプライベートIPアドレス

    1. ECSコンソールにログインし、[インスタンス] ページに移動します。

    2. 上部のナビゲーションバーで、ECSインスタンスが存在するリージョンを選択します。

    3. ECSインスタンスのパブリックIPアドレスとプライベートIPアドレスを表示します。

    内部ネットワーク経由でアクセスできないECSインスタンスからRDSインスタンスに接続します。

    ECSインスタンスのパブリックIPアドレス

    オンプレミスのデバイスからRDSインスタンスに接続します。

    オンプレミスデバイスのパブリックIPアドレス

    オンプレミスのデバイスで、Googleなどの検索エンジンを使用してIPを検索します。

    説明

    この方法を使用して取得されたIPアドレスは不正確である可能性があります。

    説明
    • default IPアドレスホワイトリストの右側にある [変更] をクリックして、追加されるIPアドレスとCIDRブロックを変更することもできます。

    • 複数のIPアドレスとCIDRブロックをコンマ (,) で区切る必要があります。 各コンマの前後にスペースを追加しないでください。 例: 192.XXX. XXX.1,172.XXX. XXX.9

    • RDSインスタンスごとに最大1,000個のIPアドレスとCIDRブロックを設定できます。 多数のIPアドレスを追加する場合は、IPアドレスを10.10.10.0/24などのCIDRブロックにマージすることを推奨します。

    • RDSインスタンスが標準ホワイトリストモードで実行されている場合、RDSインスタンスのIPアドレスホワイトリストを設定する際に特別な考慮事項に注意する必要はありません。 RDSインスタンスが拡張ホワイトリストモードで実行されている場合、RDSインスタンスのIPアドレスホワイトリストを設定する際の次の考慮事項に注意する必要があります。

      • ECSインスタンスのパブリックIPアドレスまたはクラシックネットワークタイプのECSインスタンスのプライベートIPアドレスを、クラシックネットワークタイプのIPアドレスホワイトリストに追加します。

      • VPCタイプのECSインスタンスのプライベートIPアドレスを、VPCネットワークタイプのIPアドレスホワイトリストに追加します。

  4. オプション。 グループを追加する ダイアログボックスで、ECS インスタンスのイントラネット IP アドレスを追加 をクリックします。 表示されるダイアログボックスで、Alibaba Cloudアカウント内に作成されたすべてのECSインスタンスのIPアドレスを表示します。 次に、設定するIPアドレスホワイトリストに必要なIPアドレスを追加します。添加白名单分组

次のステップ

SQL Server 2012、2016、2017 SE、または2019 SEを実行するApsaraDB RDSインスタンスのアカウントとデータベースの作成

関連する操作

操作

説明

ModifySecurityIps

インスタンスのIPアドレスホワイトリストを変更します。

DescribeDBInstanceIPArrayList

インスタンスのIPアドレスのホワイトリストを照会します。