全部產品
Search
文件中心

Tair (Redis® OSS-Compatible):設定IP白名單

更新時間:Oct 25, 2024

為保障Tair(Redis OSS-compatible)執行個體的安全穩定,系統預設禁止所有IP地址訪問Tair(以及Redis開源版執行個體。在開始使用Tair(以及Redis開源版執行個體前,您需要將用戶端的IP地址或IP位址區段添加到執行個體的白名單中。正確使用白名單可以讓執行個體得到進階別的訪問安全保護,建議您定期維護白名單。

白名單設定方法介紹

設定方法

說明

適用情境

添加白名單

手動添加用戶端所屬的IP地址到執行個體的白名單,以允許該用戶端訪問執行個體。

添加安全性群組

安全性群組是一種虛擬防火牆,用於控制安全性群組中的ECS的出入流量。

如果需要授權多個ECS訪問執行個體,您可以為執行個體綁定ECS所屬安全性群組的方式,綁定後安全性群組內所有ECS都可以訪問該執行個體(無需手動填寫ECS的IP地址)。

通過安全性群組大量新增ECS公網和私網IP

說明

您也可以同時設定白名單分組和ECS安全性群組,白名單分組中的IP地址和安全性群組中的ECS執行個體都可以訪問該執行個體。

添加ECS私網IP到白名單

如果您的ECS與執行個體位於同一Virtual Private Cloud,推薦您通過專用網路訪問。

說明

如果您的ECS與執行個體不屬於同一專用網路,您可以更換ECS執行個體所屬的專用網路。具體操作,請參見更換ECS的VPC

  1. 訪問執行個體列表,在上方選擇地區,然後單擊目標執行個體ID。

  2. 在左側導覽列,單擊白名單設定

  3. default預設安全性群組,單擊修改

    說明

    您也可以單擊添加白名單分組建立一個新的分組。分組名稱長度為2~32個字元,由小寫字母、數字或底線(_)組成,需以小寫字母開頭,以小寫字母或數字結尾。

  4. 添加方式選擇載入ECS私網IP,頁面將展示該執行個體同一地區的ECS私網IP。

    滑鼠指標懸浮在IP地址上,可查看該IP地址所屬ECS執行個體ID和名稱

  5. 選中需要的IP地址,將其移至右側。

  6. 單擊確定

  7. 可選:若某個白名單分組中的所有IP地址均需要移除,您可以在目標白名單分組的右側單擊刪除來完成該操作。

    系統預設產生的白名單分組無法刪除,例如defaulthdm_security_ips等。

添加公網IP到白名單

當您需要從本地裝置遠端存取執行個體或您的ECS與執行個體不在同一Virtual Private Cloud時,請參考以下步驟添加白名單。

  1. 訪問執行個體列表,在上方選擇地區,然後單擊目標執行個體ID。

  2. 在左側導覽列,單擊白名單設定

  3. default預設安全性群組,單擊修改

    說明

    您也可以單擊添加白名單分組建立一個新的分組。分組名稱長度為2~32個字元,由小寫字母、數字或底線(_)組成,需以小寫字母開頭,以小寫字母或數字結尾。

  4. 添加方式選擇手動添加

  5. 組內白名單文字框中,輸入IP地址或IP位址區段。

    查詢本地裝置公網IP和ECS公網IP的方法

    類別

    查詢公網IP地址的方法

    ECS執行個體

    查詢ECS的IP地址?

    本地

    查詢本地裝置公網IP地址的方式可能因您所處的網路環境或操作不同而不同。以下是不同系統通過命令方式擷取本地裝置公網IP地址的參考方法:

    • Linux作業系統:開啟終端,輸入curl ifconfig.me命令後斷行符號。

    • Windows作業系統:開啟命令提示字元,輸入curl ip.me命令後斷行符號。

    • macOS作業系統:開啟終端,輸入curl ifconfig.me命令後斷行符號。

    IP地址以英文逗號(,)分隔,不可重複,最多1000個。支援格式為:

    • 具體IP地址,例如10.23.12.24。

    • CIDR模式,即無類域間路由,/24表示地址中首碼的長度,範圍為1~32,例如10.23.12.0/24表示的IP段範圍為10.23.12.0 ~ 10.23.12.255。

    警告

    在白名單中添加0.0.0.0/0表示允許所有IP地址訪問該執行個體。該操作存在高安全風險,請謹慎設定。

  6. 單擊確定

  7. 可選:若某個白名單分組中的所有IP地址均需要移除,您可以在目標白名單分組的右側單擊刪除來完成該操作。

    系統預設產生的白名單分組無法刪除,例如defaulthdm_security_ips等。

通過安全性群組大量新增ECS公網和私網IP

如果多個ECS執行個體需要訪問執行個體,可以為執行個體設定安全性群組,設定後,該安全性群組中的所有ECS執行個體可以訪問執行個體。

說明
  • 執行個體的大版本需為Redis 4.0(最新小版本)及以上的大版本,升級方法請參見升級大版本

  • 暫不支援設定ECS安全性群組的地區:華南2(河源)

  • 暫不支援設定ECS安全性群組的執行個體架構:雲原生版叢集架構、雲原生版讀寫分離架構。

  1. 訪問執行個體列表,在上方選擇地區,然後單擊目標執行個體ID。

  2. 在左側導覽列,單擊白名單設定

  3. 單擊安全性群組

  4. 安全性群組頁簽,單擊添加安全性群組

  5. 在彈出的對話方塊中,選擇需要添加的安全性群組。

    支援通過安全性群組名稱安全性群組ID進行模糊搜尋。

    圖 3. 添加安全性群組添加安全性群組

    說明

    每個執行個體最多可設定10個安全性群組。

  6. 單擊確定

  7. 可選:當您需要移除所有安全性群組時,您可以單擊清除安全性群組來實現。

相關API

API

說明

DescribeSecurityIps

查詢執行個體的IP白名單。

ModifySecurityIps

設定執行個體的IP白名單。

DescribeSecurityGroupConfiguration

查詢執行個體白名單中已配置的安全性群組。

ModifySecurityGroupConfiguration

重新設定執行個體白名單中的安全性群組。

常見問題

為什麼通過redis-cli連上後提示(error) ERR illegal address

您的redis-cli所屬裝置的IP地址未添加至白名單中,請確認白名單配置。

我的執行個體為什麼沒有安全性群組設定?

以下執行個體暫不支援通過安全性群組的方式添加白名單。

  • 執行個體的大版本需為Redis 4.0(最新小版本)及以上的大版本,升級方法請參見升級大版本

  • 暫不支援設定ECS安全性群組的執行個體架構:雲原生版叢集架構、雲原生版讀寫分離架構。

安全性群組設定了訪問規則,為什麼對執行個體不生效?

現象:安全性群組設定了訪問規則,例如允許118.31.XX.XX這個IP的訪問,但其他IP依然可以訪問。

原因:您為安全性群組設定的出入流量規則不適用於Tair(以及Redis開源版執行個體。Tair(以及Redis開源版執行個體添加安全性群組,表示安全性群組內的ECS執行個體可以通過專用網路或公網訪問執行個體。

通過telnet測試連接埠報錯Connection closed by foreign host,怎麼解決

報錯如下。

Escape character is '^]'.
Connection closed by foreign host.

表示當前裝置的IP地址未添加到目標執行個體的白名單中,請參考上文方法將IP地址添加至白名單中,並重試。

執行個體裡自動產生的白名單分組,它們的來源是什嗎?可以刪除嗎?

初始情況下,執行個體的白名單分組僅包含default,隨著對執行個體執行某些操作,白名單分組會逐漸增多,詳情請參見下表。

白名單分組名稱

來源說明

default

系統預設的白名單分組,不可刪除。

ali_dms_group

通過DMS登入執行個體時,DMS自動建立的白名單分組。具體操作,請參見通過DMS串連Tair。請勿刪除或修改該白名單分組,否則可能導致無法通過DMS登入執行個體。

hdm_security_ips

使用CloudDBA相關功能時(例如離線全量Key分析),DAS自動建立的白名單分組。請勿刪除或修改該白名單分組,否則可能導致CloudDBA功能使用異常。

白名單分組裡除了用戶端的IP地址,還包含了127.0.0.1,此時該用戶端可以串連執行個體嗎?

該用戶端可以正常串連,如果所有的白名單分組裡僅剩下127.0.0.1,則禁止所有IP地址串連執行個體。

本地裝置的公網IP地址每次都會變化,每次都需要重新添加IP地址,有什麼解決方案?

若本地裝置的公網為動態IP,會時常發生變化,您可以在Redis的IP白名單中加入相關IP網段。例如IP地址總是在10.10.10.*網段(10.10.10.15或10.10.10.155等),您可以在白名單中添加10.10.10.0/24,表示將10.10.10.0 ~ 10.10.10.255範圍的IP都添加至白名單中。

警告

該方案會導致執行個體的安全性有所降低,請謹慎使用。