すべてのプロダクト
Search

このプロダクト

    Tair (Redis® OSS-Compatible):ホワイトリストの設定

    ドキュメントセンター

    Tair (Redis® OSS-Compatible):ホワイトリストの設定

    最終更新日:Nov 22, 2024

    デフォルトでは、Tair (Redis OSS-compatible) はすべてのIPアドレスからTairおよびRedis Open-Source Editionインスタンスへのアクセスをブロックし、インスタンスのセキュリティと安定性を確保します。 TairまたはRedis Open-Source Editionインスタンスを使用する前に、インスタンスへのアクセスに使用するIPアドレスまたはCIDRブロックをインスタンスのホワイトリストに追加する必要があります。 適切に設定されたホワイトリストは、インスタンスのセキュリティを強化できます。 ホワイトリストの定期メンテナンスを行うことを推奨します。

    ホワイトリストの設定方法

    移動方法

    説明

    シナリオ

    IPアドレスまたはCIDRブロックをホワイトリストに追加する

    クライアントのIPアドレスをインスタンスのホワイトリストに手動で追加して、クライアントがインスタンスにアクセスできるようにします。

    セキュリティグループの追加

    セキュリティグループは、特定のECSインスタンスのインバウンドトラフィックとアウトバウンドトラフィックを制御するための仮想ファイアウォールとして使用されます。

    複数のECSインスタンスにTairまたはRedis Open-Source Editionインスタンスへのアクセスを許可するには、ECSインスタンスが属するセキュリティグループをTairまたはRedis Open-Source Editionインスタンスのホワイトリストとして追加します。 この場合、ECSインスタンスのIPアドレスをTairまたはRedis Open-Source Editionインスタンスのホワイトリストに手動で追加する必要はありません。

    セキュリティグループを使用したECSインスタンスのパブリックIPアドレスとプライベートIPアドレスの一括追加

    説明

    TairまたはRedis Open-Source EditionインスタンスのIPアドレスホワイトリストを設定し、ECSセキュリティグループをホワイトリストとして追加できます。 IPアドレスホワイトリストのIPアドレスとセキュリティグループのECSインスタンスの両方が、TairまたはRedis Open-Source Editionインスタンスにアクセスできます。

    ECSインスタンスのプライベートIPアドレスをホワイトリストに追加する

    ECSインスタンスがTairまたはRedis Open-Source Editionインスタンスと同じ仮想プライベートクラウド (VPC) に属している場合、ECSインスタンスをVPC経由でTairまたはRedis Open-Source Editionインスタンスに接続することを推奨します。

    説明

    ECSインスタンスとTairまたはRedis Open-Source Editionインスタンスが同じVPCに属していない場合、ECSインスタンスが属するVPCを変更できます。 詳細については、「ECSインスタンスのVPCの変更」をご参照ください。

    1. コンソールにログインし、[インスタンス] ページに移動します。 上部のナビゲーションバーで、管理するインスタンスが存在するリージョンを選択します。 次に、インスタンスを見つけて、インスタンスIDをクリックします。

    2. 左側のナビゲーションウィンドウで、ホワイトリスト設定をクリックします。

    3. デフォルトホワイトリストから[アクション] 列に表示される変更をクリックします。

      説明

      ホワイトリストグループの追加 をクリックして、ホワイトリストを作成することもできます。 ホワイトリストの名前は2 ~ 32文字で、英小文字、数字、およびアンダースコア (_) を使用できます。 ホワイトリスト名は、小文字で始まり、文字または数字で終わる必要があります。

    4. 設定した場合IPアドレスを追加する方法ECS内部IPアドレスのインポートパネルには、TairまたはRedis Open-Source Editionインスタンスと同じリージョンにデプロイされているECSインスタンスのプライベートIPアドレスが表示されます。

      IPアドレスが割り当てられているECSインスタンスのIDと名前を表示するには、IPアドレスの上にポインターを移動します。

    5. 必要なIPアドレスを選択して、右側のセクションに移動します。

    6. OKをクリックします。

    7. (オプション) ホワイトリストからすべてのIPアドレスを削除してホワイトリストを削除するには、ホワイトリストに対応する [操作] 列の [削除] をクリックします。

      Defaulthdm_security_ipsなど、システムによって生成されたデフォルトのホワイトリストは削除できません。

    ホワイトリストにパブリックIPアドレスを追加する

    オンプレミスのデバイスからTairまたはRedis Open-Source Editionインスタンスにアクセスする場合、またはECSインスタンスがTairまたはRedis Open-Source Editionインスタンスと同じVPCにない場合は、次の手順を実行してホワイトリストを作成します。

    1. コンソールにログインし、[インスタンス] ページに移動します。 上部のナビゲーションバーで、管理するインスタンスが存在するリージョンを選択します。 次に、インスタンスを見つけて、インスタンスIDをクリックします。

    2. 左側のナビゲーションウィンドウで、ホワイトリスト設定をクリックします。

    3. デフォルトホワイトリストから[アクション] 列に表示される変更をクリックします。

      説明

      ホワイトリストグループの追加 をクリックして、ホワイトリストを作成することもできます。 ホワイトリストの名前は2 ~ 32文字で、英小文字、数字、およびアンダースコア (_) を使用できます。 ホワイトリスト名は、小文字で始まり、文字または数字で終わる必要があります。

    4. IPアドレスを追加する方法手動で追加に設定します。

    5. グループ内のホワイトリスト フィールドに、IPアドレスまたはCIDRブロックを入力します。

      オンプレミスデバイスとECSインスタンスのパブリックIPアドレスを照会する方法

      カテゴリ

      パブリックIPアドレスを照会する方法

      ECS インスタンス

      ECSインスタンスのIPアドレスを照会する方法

      オンプレミスデバイスOn-premises device

      オンプレミスデバイスのパブリックIPアドレスを照会する方法は、ネットワーク環境や運用によって異なる場合があります。 次の一覧では、さまざまなオペレーティングシステムのコマンドを使用して、オンプレミスのデバイスのパブリックIPアドレスを取得するための参照方法を示します。

      • Linux: CLIを開き、curl ifconfig.meコマンドを入力し、enterキーを押します。

      • Windows: コマンドプロンプトを開き、curl ip.meコマンドを入力して、enterキーを押します。

      • macOS: ターミナルを起動し、curl ifconfig.meコマンドを入力して、enterキーを押します。

      複数の IP アドレスはカンマ (,) で区切ります。 最大1,000の一意のIPアドレスを追加できます。 次の形式でIPアドレスとCIDRブロックを入力できます。

      • 10.23.12.24などの特定のIPアドレス。

      • 10.23.12.0/24などのCIDRブロック。 /24は、IPアドレスプレフィックスの長さを示します。 IPアドレスプレフィックスは、1〜32ビットの長さとすることができる。 10.23.12.0/24は、10.23.12.0〜10.23.12.255のIPアドレス範囲を示します。 CIDRブロックの詳細については、「CIDRブロックに関するFAQ」をご参照ください。

      警告

      インスタンスのホワイトリストに0.0.0.0/0を追加すると、すべてのIPアドレスがインスタンスに接続できます。 この操作はセキュリティ上のリスクをもたらします。 作業は慎重に行ってください。

    6. OKをクリックします。

    7. (オプション) ホワイトリストからすべてのIPアドレスを削除してホワイトリストを削除するには、ホワイトリストに対応する [操作] 列の [削除] をクリックします。

      Defaulthdm_security_ipsなど、システムによって生成されたデフォルトのホワイトリストは削除できません。

    セキュリティグループを使用したECSインスタンスのパブリックIPアドレスとプライベートIPアドレスの一括追加

    複数のECSインスタンスをTairまたはRedis Open-Source Editionインスタンスに接続する場合、セキュリティグループをTairまたはRedis Open-Source Editionインスタンスのホワイトリストとして追加できます。 ECSセキュリティグループをTairまたはRedis Open-Source Editionインスタンスのホワイトリストとして追加すると、セキュリティグループ内のすべてのECSインスタンスが内部ネットワークまたはインターネット経由でインスタンスにアクセスできます。

    説明

    • インスタンスのバージョンは、Redis 4.0以降の最新のマイナーバージョンである必要があります。 詳細については、「メジャーバージョンのアップグレード」をご参照ください。

    • ECSセキュリティグループは、中国 (Heyuan) リージョンではサポートされていません。

    • クラスターまたは読み書き分離アーキテクチャを使用するクラウドネイティブインスタンスのECSセキュリティグループをホワイトリストとして追加することはできません。

    1. コンソールにログインし、[インスタンス] ページに移動します。 上部のナビゲーションバーで、管理するインスタンスが存在するリージョンを選択します。 次に、インスタンスを見つけて、インスタンスIDをクリックします。

    2. 左側のナビゲーションウィンドウで、ホワイトリスト設定をクリックします。

    3. セキュリティグループタブをクリックします。

    4. セキュリティグループタブで、セキュリティグループの追加 をクリックします。

    5. 表示されるダイアログボックスで、ホワイトリストとして追加するセキュリティグループを選択します。

      セキュリティグループ名またはセキュリティグループIDを使用して、あいまい検索を実行できます。

      図3. セキュリティグループの追加Add security groups 添加安全组

      説明

      各インスタンスに最大10のセキュリティグループをホワイトリストとして追加できます。

    6. OKをクリックします。

    7. (オプション) すべてのセキュリティグループを削除するには、削除 をクリックします。

    関連する API 操作

    API 操作

    説明

    DescribeSecurityIps

    インスタンスに設定されたIPアドレスホワイトリストを照会します。

    ModifySecurityIps

    インスタンスのIPアドレスのホワイトリストを変更します。

    DescribeSecurityGroupConfiguration

    インスタンスのホワイトリストとして追加されたセキュリティグループを照会します。

    ModifySecurityGroupConfiguration

    インスタンスのホワイトリストとして追加されるセキュリティグループを変更します。

    よくある質問

    redis-cliツールを使用してインスタンスに接続した後に (エラー) ERR違法なアドレスメッセージが返されるのはなぜですか

    redis-cliツールがデプロイされているクライアントのIPアドレスは、インスタンスのホワイトリストに追加されません。 インスタンスのホワイトリストを確認する必要があります。

    インスタンスのセキュリティグループを設定できないのはなぜですか?

    セキュリティグループをホワイトリストとして追加できるインスタンスには制限があります。

    • インスタンスのメジャーバージョンは、Redis 4.0 (最新のマイナーバージョン) 以降である必要があります。 詳細については、「メジャーバージョンのアップグレード」をご参照ください。

    • ECSセキュリティグループをクラウドネイティブクラスターインスタンスまたはクラウドネイティブ読み書き分離インスタンスのホワイトリストとして追加することはできません。

    、インスタンスのセキュリティグループにアクセスルールを設定しましたが、インスタンスでは有効ではありません。 これはなぜですか。

    問題の説明: セキュリティグループのアクセスルールは、118.31.XX.XXなどのIPアドレスからインスタンスへのアクセスのみを許可するように設定されています。 ただし、他のIPアドレスもインスタンスにアクセスできます。

    原因: セキュリティグループに対して設定したインバウンドおよびアウトバウンドトラフィックルールは、TairまたはRedis Open-Source Editionインスタンスに適用されません。 セキュリティグループをTairまたはRedis Open-Source Editionインスタンスのホワイトリストとして追加すると、セキュリティグループ内のECSインスタンスはVPCまたはインターネット経由でインスタンスにアクセスできます。

    telnetコマンドを実行してポート接続をチェックすると、Connection closed by foreign hostエラーメッセージが返されるのはなぜですか

    次のエラーメッセージが報告されます。 

    Escape character is '^]'.
Connection closed by foreign host.

    クライアントのIPアドレスはインスタンスのホワイトリストに追加されません。 上記の方法を参照して、インスタンスのホワイトリストにIPアドレスを追加し、再度お試しください。

    インスタンスのホワイトリストが自動的に作成されるのはなぜですか。 これらのホワイトリストを削除できますか?

    インスタンスを作成すると、デフォルトのホワイトリストが自動的に作成されます。 インスタンスに対して特定の操作を実行すると、次の表に示すように、より多くのホワイトリストが自動的に作成されます。

    ホワイトリスト

    ソース

    default

    このホワイトリストは自動的に作成されます。 このホワイトリストは削除できません。

    ali_dms_group

    このホワイトリストは、DMSからインスタンスにログインすると、データ管理 (DMS) によって自動的に作成されます。 詳細については、「DMSを使用したインスタンスへの接続」をご参照ください。 このホワイトリストを削除または変更しないでください。 そうしないと、DMSからインスタンスにログインできなくなる可能性があります。

    hdm_security_ips

    このホワイトリストは、オフラインキー分析などのCloudDBA機能を使用すると、Database Autonomy Service (DAS) によって自動的に作成されます。 詳細については、「オフラインキー分析機能の使用」をご参照ください。 このホワイトリストを削除または変更しないでください。 そうしないと、CloudDBA機能が利用できなくなる場合があります。

    ホワイトリストには、クライアントIPアドレスに加えてIPアドレス127.0.0.1が含まれます。 この場合、これらのクライアントはインスタンスに接続できますか?

    はい、これらのクライアントはインスタンスに接続できます。 ホワイトリストにIPアドレス127.0.0.1のみが含まれている場合、IPアドレスはインスタンスに接続できません。

    オンプレミスデバイスのパブリックIPアドレスは、インスタンスに接続するたびに異なります。 そのため、インスタンスに接続するたびに、インスタンスのホワイトリストに新しいIPアドレスを追加する必要があります。 どうすればよいですか。

    オンプレミスデバイスのパブリックIPアドレスが動的で頻繁に変更される場合は、関連するCIDRブロックをインスタンスのIPアドレスホワイトリストに追加できます。 たとえば、IPアドレスが10.10.10.15または10.10.10.10.155など、常に10.10.10.* CIDRブロックにある場合、10.10.10.0/24をホワイトリストに追加できます。 これは、10.10.10.0から10.10.10.255までのすべてのIPアドレスがホワイトリストに追加されたことを示します。

    警告

    このソリューションにより、インスタンスのセキュリティが低下します。 このソリューションを使用するときは注意してください。