このトピックでは、ApsaraDB RDS for SQL ServerインスタンスのIPアドレスホワイトリストを設定する方法について説明します。 RDSインスタンスの作成後、RDSインスタンスのIPアドレスホワイトリストまたはセキュリティグループを設定する必要があります。 デバイスは、デバイスのIPアドレスをRDSインスタンスのIPアドレスホワイトリストまたはセキュリティグループに追加した後にのみ、RDSインスタンスにアクセスできます。
別のデータベースエンジンを実行するRDSインスタンスのIPアドレスホワイトリストを設定する方法の詳細については、以下のトピックを参照してください。
シナリオ
RDSインスタンスのIPアドレスホワイトリストは、RDSインスタンスへのアクセスが許可されたIPアドレスとCIDRブロックで構成されます。 RDSインスタンスのIPアドレスホワイトリストを設定して、RDSインスタンスに高レベルのアクセス制御とセキュリティ保護を提供できます。 設定されたIPアドレスのホワイトリストを定期的に更新することを推奨します。
次のシナリオでIPアドレスホワイトリストを設定できます。
シナリオ 1
特定のデバイスのIPアドレスをRDSインスタンスのIPアドレスホワイトリストに追加して、デバイスがRDSインスタンスに接続できるようにします。
シナリオ 2
RDSインスタンスに接続できません。 RDSインスタンスのIPアドレスホワイトリストが正しく設定されているかどうかを確認する必要があります。
次の表に、さまざまな接続シナリオでのIPアドレスホワイトリストの設定を示します。
説明仮想プライベートクラウド (VPC) は、Alibaba cloud上の分離されたネットワークであり、クラシックネットワークよりも高いセキュリティを提供します。 詳細については、「VPC の概要」をご参照ください。
接続タイプ
ネットワークタイプ
IPアドレスホワイトリスト設定
ECS (Elastic Compute Service) インスタンスをRDSインスタンスに接続する
ECSインスタンスとRDSインスタンスは同じVPCに存在します。 これは推奨される接続シナリオです。
ECSインスタンスのプライベートIPアドレスをRDSインスタンスのIPアドレスホワイトリストに追加します。
ECSインスタンスとRDSインスタンスは異なるVPCに存在します。
異なるVPC内のインスタンスは、内部ネットワークを介して相互に通信できません。 この場合、ECSインスタンスとRDSインスタンスが同じVPCにあることを確認し、ECSインスタンスのプライベートIPアドレスをRDSインスタンスのIPアドレスホワイトリストに追加します。
ECSインスタンスとRDSインスタンスはクラシックネットワークに存在します。
ECSインスタンスのプライベートIPアドレスをRDSインスタンスのIPアドレスホワイトリストに追加します。
ECSインスタンスはクラシックネットワークに存在します。
RDSインスタンスはVPCにあります。
異なるネットワークタイプのインスタンスは、内部ネットワークを介して互いに通信することができない。 次の操作を実行します。
ECSインスタンスをクラシックネットワークからRDSインスタンスが属するVPCに移行します。 詳細については、「クラシックネットワークからVPCへのECSインスタンスの移行」をご参照ください。
説明この操作は、ECSインスタンスとRDSインスタンスが同じリージョンにある場合にのみサポートされます。 ECSインスタンスとRDSインスタンスが異なるリージョンにある場合、Data Transmission Service (DTS) を使用してRDSインスタンスをECSインスタンスがあるリージョンに移行することを推奨します。 これにより、データベースサービスの安定性を確保できます。 詳細については、「ApsaraDB RDS For SQL Serverインスタンス間のデータ移行」をご参照ください。
ECSインスタンスのプライベートIPアドレスをRDSインスタンスのIPアドレスホワイトリストに追加します。
ECSインスタンスはVPCにあります。
RDSインスタンスはクラシックネットワークに存在します。
異なるネットワークタイプのインスタンスは、内部ネットワークを介して互いに通信することができない。 次の操作を実行します。
RDSインスタンスをクラシックネットワークからECSインスタンスが属するVPCに移行します。 詳細については、「ネットワークタイプの変更」をご参照ください。
説明この操作は、ECSインスタンスとRDSインスタンスが同じリージョンにある場合にのみサポートされます。 ECSインスタンスとRDSインスタンスが異なるリージョンにある場合、Data Transmission Service (DTS) を使用してRDSインスタンスをECSインスタンスがあるリージョンに移行することを推奨します。 これにより、データベースサービスの安定性を確保できます。 詳細については、「ApsaraDB RDS For SQL Serverインスタンス間のデータ移行」をご参照ください。
ECSインスタンスのプライベートIPアドレスをRDSインスタンスのIPアドレスホワイトリストに追加します。
クラウド外の自己管理ホストをRDSインスタンスに接続する
N/A
クラウド外の自己管理ホストのパブリックIPアドレスをRDSインスタンスのIPアドレスホワイトリストに追加します。
説明自己管理ホストで実行されるアプリケーションは、RDSインスタンスのパブリックエンドポイントに接続します。
パブリックIPアドレスを取得する方法の詳細については、「ApsaraDB RDS For SQL serverインスタンスに接続されている外部サーバーまたはクライアントのIPアドレスを見つける方法」をご参照ください。
使用上の注意
RDSインスタンスごとに最大50個のIPアドレスホワイトリストを設定できます。
IPアドレスホワイトリストを設定しても、RDSインスタンスのワークロードは中断されません。
デフォルトとラベル付けされたIPアドレスホワイトリストのエントリは削除できますが、ホワイトリストは削除できません。
他のAlibaba Cloudサービス用に自動的に生成されるIPアドレスのホワイトリストを変更または削除しないでください。 Alibaba Cloudサービス用に自動的に生成されたIPアドレスホワイトリストを削除すると、Alibaba CloudサービスはRDSインスタンスに接続できません。 たとえば、ali_dms_groupというラベルの付いたIPアドレスホワイトリストはData Management (DMS) に対して生成され、hdm_security_ipsというラベルの付いたIPアドレスホワイトリストは Database Autonomy Service (DAS) 。
重要12月2020日以降にRDSインスタンスが作成された場合、hdm_security_ipsというラベルの付いたIPアドレスホワイトリストはユーザーには表示されません。 これにより、IPアドレスホワイトリストが意図せずに変更または削除されるのを防ぎます。
デフォルトとラベル付けされたIPアドレスホワイトリストには、IPアドレス127.0.0.1のみが含まれます。 これは、IPアドレスがRDSインスタンスにアクセスできないことを示します。
手順
標準ホワイトリストモードでは、システムはクラシックネットワークと仮想プライベートネットワーク (VPC) を区別しません。 標準のIPアドレスホワイトリストのIPアドレスまたはCIDRブロックを使用して、クラシックネットワークとVPCの両方を介してRDSインスタンスにアクセスできます。
- [インスタンス] ページに移動します。 上部のナビゲーションバーで、RDSインスタンスが存在するリージョンを選択します。 次に、RDSインスタンスを見つけ、インスタンスのIDをクリックします。
左側のナビゲーションウィンドウで、ホワイトリストとセキュリティグループ をクリックします。
ホワイトリストの設定 タブで、IPアドレスホワイトリストのモードを表示できます。
説明既存のRDSインスタンスは、拡張ホワイトリストモードで実行できます。 すべての新しいRDSインスタンスは標準ホワイトリストモードで実行されます。
グループを追加する をクリックします。 表示されるダイアログボックスで、[ホワイトリスト名] パラメーターを設定し、アプリケーションサーバーのIPアドレスをホワイトリストに追加して、[OK] をクリックします。
アプリケーションが実行されているサーバーのIPアドレスをIPアドレスホワイトリストに追加すると、サーバーはRDSインスタンスにアクセスできます。 ビジネス要件に基づいて正しいIPアドレスを取得し、そのIPアドレスをIPアドレスホワイトリストに追加する必要があります。 次の表に、さまざまなシナリオで必要なIPアドレスを示します。
シナリオ
IPアドレスを取得
IPアドレスの取得方法
内部ネットワーク経由でアクセス可能なECSインスタンスからRDSインスタンスに接続します。
ECSインスタンスのプライベートIPアドレス
ECSコンソールにログインし、[インスタンス] ページに移動します。
上部のナビゲーションバーで、ECSインスタンスが存在するリージョンを選択します。
ECSインスタンスのパブリックIPアドレスとプライベートIPアドレスを表示します。
内部ネットワーク経由でアクセスできないECSインスタンスからRDSインスタンスに接続します。
ECSインスタンスのパブリックIPアドレス
オンプレミスのデバイスからRDSインスタンスに接続します。
オンプレミスデバイスのパブリックIPアドレス
オンプレミスのデバイスで、Googleなどの検索エンジンを使用してIPを検索します。
説明この方法を使用して取得されたIPアドレスは不正確である可能性があります。
説明default IPアドレスホワイトリストの右側にある [変更] をクリックして、追加されるIPアドレスとCIDRブロックを変更することもできます。
複数のIPアドレスとCIDRブロックをコンマ (,) で区切る必要があります。 各コンマの前後にスペースを追加しないでください。 例:
192.XXX. XXX.1,172.XXX. XXX.9
RDSインスタンスごとに最大1,000個のIPアドレスとCIDRブロックを設定できます。 多数のIPアドレスを追加する場合は、IPアドレスを10.10.10.0/24などのCIDRブロックにマージすることを推奨します。
RDSインスタンスが標準ホワイトリストモードで実行されている場合、RDSインスタンスのIPアドレスホワイトリストを設定する際に特別な考慮事項に注意する必要はありません。 RDSインスタンスが拡張ホワイトリストモードで実行されている場合、RDSインスタンスのIPアドレスホワイトリストを設定する際の次の考慮事項に注意する必要があります。
ECSインスタンスのパブリックIPアドレスまたはクラシックネットワークタイプのECSインスタンスのプライベートIPアドレスを、クラシックネットワークタイプのIPアドレスホワイトリストに追加します。
VPCタイプのECSインスタンスのプライベートIPアドレスを、VPCネットワークタイプのIPアドレスホワイトリストに追加します。
オプション。 グループを追加する ダイアログボックスで、ECS インスタンスのイントラネット IP アドレスを追加 をクリックします。 表示されるダイアログボックスで、Alibaba Cloudアカウント内に作成されたすべてのECSインスタンスのIPアドレスを表示します。 次に、設定するIPアドレスホワイトリストに必要なIPアドレスを追加します。
次のステップ
SQL Server 2012、2016、2017 SE、または2019 SEを実行するApsaraDB RDSインスタンスのアカウントとデータベースの作成
関連する操作
操作 | 説明 |
インスタンスのIPアドレスホワイトリストを変更します。 | |
インスタンスのIPアドレスのホワイトリストを照会します。 |