為保障Tair(Redis OSS-compatible)執行個體的安全穩定,系統預設禁止所有IP地址訪問Tair(以及Redis開源版)執行個體。在開始使用Tair(以及Redis開源版)執行個體前,您需要將用戶端的IP地址或IP位址區段添加到執行個體的白名單中。正確使用白名單可以讓執行個體得到進階別的訪問安全保護,建議您定期維護白名單。
白名單設定方法介紹
設定方法 | 說明 | 適用情境 |
添加白名單 | 手動添加用戶端所屬的IP地址到執行個體的白名單,以允許該用戶端訪問執行個體。 | |
添加安全性群組 | 安全性群組是一種虛擬防火牆,用於控制安全性群組中的ECS的出入流量。 如果需要授權多個ECS訪問執行個體,您可以為執行個體綁定ECS所屬安全性群組的方式,綁定後安全性群組內所有ECS都可以訪問該執行個體(無需手動填寫ECS的IP地址)。 |
您也可以同時設定白名單分組和ECS安全性群組,白名單分組中的IP地址和安全性群組中的ECS執行個體都可以訪問該執行個體。
添加ECS私網IP到白名單
如果您的ECS與執行個體位於同一Virtual Private Cloud,推薦您通過專用網路訪問。
如果您的ECS與執行個體不屬於同一專用網路,您可以更換ECS執行個體所屬的專用網路。具體操作,請參見更換ECS的VPC。
訪問執行個體列表,在上方選擇地區,然後單擊目標執行個體ID。
在左側導覽列,單擊白名單設定。
在default預設安全性群組,單擊修改。
說明您也可以單擊添加白名單分組建立一個新的分組。分組名稱長度為2~32個字元,由小寫字母、數字或底線(_)組成,需以小寫字母開頭,以小寫字母或數字結尾。
添加方式選擇載入ECS私網IP,頁面將展示該執行個體同一地區的ECS私網IP。
滑鼠指標懸浮在IP地址上,可查看該IP地址所屬ECS執行個體ID和名稱
選中需要的IP地址,將其移至右側。
單擊確定。
可選:若某個白名單分組中的所有IP地址均需要移除,您可以在目標白名單分組的右側單擊刪除來完成該操作。
系統預設產生的白名單分組無法刪除,例如default、hdm_security_ips等。
添加公網IP到白名單
當您需要從本地裝置遠端存取執行個體或您的ECS與執行個體不在同一Virtual Private Cloud時,請參考以下步驟添加白名單。
訪問執行個體列表,在上方選擇地區,然後單擊目標執行個體ID。
在左側導覽列,單擊白名單設定。
在default預設安全性群組,單擊修改。
說明您也可以單擊添加白名單分組建立一個新的分組。分組名稱長度為2~32個字元,由小寫字母、數字或底線(_)組成,需以小寫字母開頭,以小寫字母或數字結尾。
添加方式選擇手動添加。
在組內白名單文字框中,輸入IP地址或IP位址區段。
IP地址以英文逗號(,)分隔,不可重複,最多1000個。支援格式為:
具體IP地址,例如10.23.12.24。
CIDR模式,即無類域間路由,/24表示地址中首碼的長度,範圍為1~32,例如10.23.12.0/24表示的IP段範圍為10.23.12.0 ~ 10.23.12.255。
警告在白名單中添加0.0.0.0/0表示允許所有IP地址訪問該執行個體。該操作存在高安全風險,請謹慎設定。
單擊確定。
可選:若某個白名單分組中的所有IP地址均需要移除,您可以在目標白名單分組的右側單擊刪除來完成該操作。
系統預設產生的白名單分組無法刪除,例如default、hdm_security_ips等。
通過安全性群組大量新增ECS公網和私網IP
如果多個ECS執行個體需要訪問執行個體,可以為執行個體設定安全性群組,設定後,該安全性群組中的所有ECS執行個體可以訪問執行個體。
執行個體的大版本需為Redis 4.0(最新小版本)及以上的大版本,升級方法請參見升級大版本。
暫不支援設定ECS安全性群組的地區:華南2(河源)
暫不支援設定ECS安全性群組的執行個體架構:雲原生版叢集架構、雲原生版讀寫分離架構。
訪問執行個體列表,在上方選擇地區,然後單擊目標執行個體ID。
在左側導覽列,單擊白名單設定。
單擊安全性群組。
在安全性群組頁簽,單擊添加安全性群組。
在彈出的對話方塊中,選擇需要添加的安全性群組。
支援通過安全性群組名稱、安全性群組ID進行模糊搜尋。
圖 3. 添加安全性群組
說明每個執行個體最多可設定10個安全性群組。
單擊確定。
可選:當您需要移除所有安全性群組時,您可以單擊清除安全性群組來實現。
相關API
API | 說明 |
查詢執行個體的IP白名單。 | |
設定執行個體的IP白名單。 | |
查詢執行個體白名單中已配置的安全性群組。 | |
重新設定執行個體白名單中的安全性群組。 |