全部產品
Search
文件中心

Tair:步驟2:設定白名單

更新時間:Oct 25, 2024

為保障Tair的安全穩定,系統預設禁止所有IP地址訪問Tair執行個體。在開始使用Tair執行個體前,您需要將用戶端的IP地址或IP位址區段添加到Tair執行個體的白名單中。正確使用白名單可以讓Tair得到進階別的訪問安全保護,建議您定期維護白名單。

白名單設定方法介紹

設定方法

說明

適用情境

添加白名單

手動添加用戶端所屬的IP地址到Tair執行個體的白名單,以允許該用戶端訪問Tair執行個體。

添加安全性群組

安全性群組是一種虛擬防火牆,用於控制安全性群組中的ECS執行個體的出入流量。

如果需要授權多個ECS執行個體訪問Tair執行個體,您可以為Tair執行個體綁定ECS所屬安全性群組的方式,綁定後安全性群組內所有ECS執行個體都可以訪問Tair執行個體(無需手動填寫ECS的IP地址)。

說明
  • 執行個體的大版本需為Redis 4.0(最新小版本)及以上的大版本,升級方法請參見升級大版本

  • 暫不支援設定ECS安全性群組的地區:華南2(河源)。

  • 暫不支援設定ECS安全性群組的執行個體架構:雲原生版叢集架構、雲原生版讀寫分離架構。

相同地區的ECS執行個體訪問Tair

說明

您也可以同時設定白名單分組和ECS安全性群組,白名單分組中的IP地址和安全性群組中的ECS執行個體都可以訪問該Tair執行個體。

添加公網IP到白名單

當您需要從本地裝置遠端存取Tair或您的ECS執行個體與Tair不在同一Virtual Private Cloud時,請參考以下步驟添加白名單。

  1. 訪問Tair執行個體列表,在上方選擇地區,然後單擊目標執行個體ID。

  2. 在左側導覽列,單擊白名單設定

  3. default預設安全性群組,單擊修改

    說明

    您也可以單擊添加白名單分組建立一個新的分組。分組名稱長度為2~32個字元,由小寫字母、數字或底線(_)組成,需以小寫字母開頭,以小寫字母或數字結尾。

  4. 添加方式選擇手動添加

  5. 組內白名單文字框中,輸入IP地址或IP位址區段。

    查詢本地裝置公網IP和ECS公網IP的方法

    類別

    查詢公網IP地址的方法

    ECS執行個體

    查詢ECS執行個體的IP地址

    本地

    查詢本地裝置公網IP地址的方式可能因您所處的網路環境或操作不同而不同。以下是不同系統通過命令方式擷取本地裝置公網IP地址的參考方法:

    • Linux作業系統:開啟終端,輸入curl ifconfig.me命令後斷行符號。

    • Windows作業系統:開啟命令提示字元,輸入curl ip.me命令後斷行符號。

    • macOS作業系統:開啟終端,輸入curl ifconfig.me命令後斷行符號。

    IP地址以英文逗號(,)分隔,不可重複,最多1000個。支援格式為:

    • 具體IP地址,例如10.23.12.24。

    • CIDR模式,即無類域間路由,/24表示地址中首碼的長度,範圍為1~32,例如10.23.12.0/24表示的IP段範圍為10.23.12.0 ~ 10.23.12.255。

    警告

    在白名單中添加0.0.0.0/0表示允許所有IP地址訪問該執行個體。該操作存在高安全風險,請謹慎設定。

  6. 單擊確定

  7. 可選:若某個白名單分組中的所有IP地址均需要移除,您可以在目標白名單分組的右側單擊刪除來完成該操作。

    系統預設產生的白名單分組無法刪除,例如defaulthdm_security_ips等。

添加ECS私網IP到白名單

如果您的ECS執行個體與Tair位於同一Virtual Private Cloud,推薦您通過專用網路訪問。

說明

如果您的ECS執行個體與Tair執行個體不屬於同一專用網路,您可以更換ECS執行個體所屬的專用網路。具體操作,請參見更換ECS執行個體的VPC

  1. 訪問Tair執行個體列表,在上方選擇地區,然後單擊目標執行個體ID。

  2. 在左側導覽列,單擊白名單設定

  3. default預設安全性群組,單擊修改

    說明

    您也可以單擊添加白名單分組建立一個新的分組。分組名稱長度為2~32個字元,由小寫字母、數字或底線(_)組成,需以小寫字母開頭,以小寫字母或數字結尾。

  4. 添加方式選擇載入ECS私網IP,頁面將展示該執行個體同一地區的ECS私網IP。

  5. 滑鼠指標懸浮在IP地址上,查看該IP地址所屬ECS執行個體的ID和名稱,並選中需要的IP地址。

  6. 單擊確定

  7. 可選:若某個白名單分組中的所有IP地址均需要移除,您可以在目標白名單分組的右側單擊刪除來完成該操作。

    系統預設產生的白名單分組無法刪除,例如defaulthdm_security_ips等。

通過安全性群組大量新增ECS公網和私網IP

說明
  • 執行個體的大版本需為Redis 4.0(最新小版本)及以上的大版本,升級方法請參見升級大版本

  • 暫不支援設定ECS安全性群組的地區:華南2(河源)。

  • 暫不支援設定ECS安全性群組的執行個體架構:雲原生版叢集架構、雲原生版讀寫分離架構。

如果多個ECS執行個體需要訪問Tair執行個體,可以為Tair執行個體添加安全性群組。將ECS安全性群組添加至Tair執行個體後,該安全性群組中的所有ECS執行個體可以通過內網、公網訪問Tair執行個體(公網訪問Tair執行個體時,需提前已申請Tair執行個體的公網串連地址,具體操作請參見使用公網地址串連Tair)。

  1. 訪問Tair執行個體列表,在上方選擇地區,然後單擊目標執行個體ID。

  2. 在左側導覽列,單擊白名單設定

  3. 單擊安全性群組

  4. 安全性群組頁簽,單擊添加安全性群組

  5. 在彈出的對話方塊中,選擇需要添加的安全性群組。

    支援通過安全性群組名稱安全性群組ID進行模糊搜尋。

    圖 3. 添加安全性群組添加安全性群組

    說明

    每個執行個體最多可設定10個安全性群組。

  6. 單擊確定

  7. 可選:當您需要移除所有安全性群組時,您可以單擊清除安全性群組來實現。

相關API

API

說明

DescribeSecurityIps - 查詢執行個體的IP白名單

查詢Tair執行個體的IP白名單。

ModifySecurityIps - 修改IP白名單

修改Tair執行個體的IP白名單。

DescribeSecurityGroupConfiguration - 查詢已配置的安全性群組

查詢Tair執行個體白名單中已配置的安全性群組。

ModifySecurityGroupConfiguration - 設定Redis執行個體白名單中的安全性群組

重新設定Tair執行個體白名單中的安全性群組。

常見問題

為什麼通過redis-cli連上後提示(error) ERR illegal address

您的redis-cli所屬裝置的IP地址未添加至白名單中,請確認白名單配置。

我的Tair執行個體為什麼沒有安全性群組設定?

以下執行個體暫不支援通過安全性群組的方式添加白名單。

  • 執行個體的大版本需為Redis 4.0(最新小版本)及以上的大版本,升級方法請參見升級大版本

  • 暫不支援設定ECS安全性群組的執行個體架構:雲原生版叢集架構、雲原生版讀寫分離架構。

安全性群組設定了訪問規則,為什麼對Tair執行個體不生效?

現象:安全性群組設定了訪問規則,例如允許118.31.XX.XX這個IP的訪問,但其他IP依然可以訪問Tair

原因:您為安全性群組設定的出入流量規則不適用於TairTair添加安全性群組,表示安全性群組內的ECS執行個體可以通過專用網路或公網訪問Tair執行個體。

通過telnet測試連接埠報錯Connection closed by foreign host,怎麼解決

報錯如下。

Escape character is '^]'.
Connection closed by foreign host.

表示當前裝置的IP地址未添加到目標執行個體的白名單中,請參考上文方法將IP地址添加至白名單中,並重試。

Tair執行個體裡自動產生的白名單分組,它們的來源是什嗎?可以刪除嗎?

初始情況下,Tair執行個體的白名單分組僅包含default,隨著對執行個體執行某些操作,白名單分組會逐漸增多,詳情請參見下表。

白名單分組名稱

來源說明

default

系統預設的白名單分組,不可刪除。

ali_dms_group

通過DMS登入Tair執行個體時,DMS自動建立的白名單分組。具體操作,請參見通過DMS串連Tair。請勿刪除或修改該白名單分組,否則可能導致無法通過DMS登入Tair執行個體。

hdm_security_ips

使用CloudDBA相關功能時(例如離線全量Key分析),DAS自動建立的白名單分組。請勿刪除或修改該白名單分組,否則可能導致CloudDBA功能使用異常。

白名單分組裡除了用戶端的IP地址,還包含了127.0.0.1,此時該用戶端可以串連Tair執行個體嗎?

該用戶端可以正常串連,如果所有的白名單分組裡僅剩下127.0.0.1,則禁止所有IP地址串連Tair執行個體。