为保障云原生内存数据库 Tair的安全稳定,系统默认禁止所有IP地址访问Tair实例。在开始使用Tair实例前,您需要将客户端的IP地址或IP地址段添加到Tair实例的白名单中。正确使用白名单可以让Tair得到高级别的访问安全保护,建议您定期维护白名单。
白名单设置方法介绍
设置方法 | 说明 | 适用场景 |
添加白名单 | 手动添加客户端所属的IP地址到Tair实例的白名单,以允许该客户端访问Tair实例。 | |
添加安全组 | 安全组是一种虚拟防火墙,用于控制安全组中的ECS实例的出入流量。 如果需要授权多个ECS实例访问Tair实例,您可以为Tair实例绑定ECS所属安全组的方式,绑定后安全组内所有ECS实例都可以访问Tair实例(无需手动填写ECS的IP地址)。 说明
|
您也可以同时设置白名单分组和ECS安全组,白名单分组中的IP地址和安全组中的ECS实例都可以访问该Tair实例。
添加公网IP到白名单
当您需要从本地设备远程访问Tair或您的ECS实例与Tair不在同一专有网络(VPC)时,请参考以下步骤添加白名单。
访问Tair实例列表,在上方选择地域,然后单击目标实例ID。
在左侧导航栏,单击白名单设置。
在default默认安全组,单击修改。
说明您也可以单击添加白名单分组创建一个新的分组。分组名称长度为2~32个字符,由小写字母、数字或下划线(_)组成,需以小写字母开头,以小写字母或数字结尾。
添加方式选择手动添加。
在组内白名单文本框中,输入IP地址或IP地址段。
IP地址以英文逗号(,)分隔,不可重复,最多1000个。支持格式为:
具体IP地址,例如10.23.12.24。
CIDR模式,即无类域间路由,/24表示地址中前缀的长度,范围为1~32,例如10.23.12.0/24表示的IP段范围为10.23.12.0 ~ 10.23.12.255。
警告在白名单中添加0.0.0.0/0表示允许所有IP地址访问该实例。该操作存在高安全风险,请谨慎设置。
单击确定。
可选:若某个白名单分组中的所有IP地址均需要移除,您可以在目标白名单分组的右侧单击删除来完成该操作。
系统默认生成的白名单分组无法删除,例如default、hdm_security_ips等。
添加ECS私网IP到白名单
如果您的ECS实例与Tair位于同一专有网络(VPC),推荐您通过专有网络访问。
如果您的ECS实例与Tair实例不属于同一专有网络,您可以更换ECS实例所属的专有网络。具体操作,请参见更换ECS实例的VPC。
访问Tair实例列表,在上方选择地域,然后单击目标实例ID。
在左侧导航栏,单击白名单设置。
在default默认安全组,单击修改。
说明您也可以单击添加白名单分组创建一个新的分组。分组名称长度为2~32个字符,由小写字母、数字或下划线(_)组成,需以小写字母开头,以小写字母或数字结尾。
添加方式选择加载ECS私网IP,页面将展示该实例同一地域的ECS私网IP。
鼠标指针悬浮在IP地址上,查看该IP地址所属ECS实例的ID和名称,并选中需要的IP地址。
单击确定。
可选:若某个白名单分组中的所有IP地址均需要移除,您可以在目标白名单分组的右侧单击删除来完成该操作。
系统默认生成的白名单分组无法删除,例如default、hdm_security_ips等。
通过安全组批量添加ECS公网和私网IP
实例的大版本需为Redis 4.0(最新小版本)及以上的大版本,升级方法请参见升级大版本。
暂不支持设置ECS安全组的地域:华南2(河源)。
暂不支持设置ECS安全组的实例架构:云原生版集群架构、云原生版读写分离架构。
如果多个ECS实例需要访问Tair实例,可以为Tair实例添加安全组。将ECS安全组添加至Tair实例后,该安全组中的所有ECS实例可以通过内网、公网访问Tair实例(公网访问Tair实例时,需提前已申请Tair实例的公网连接地址,具体操作请参见使用公网地址连接Tair)。
访问Tair实例列表,在上方选择地域,然后单击目标实例ID。
在左侧导航栏,单击白名单设置。
单击安全组。
在安全组页签,单击添加安全组。
在弹出的对话框中,选择需要添加的安全组。
支持通过安全组名称、安全组ID进行模糊搜索。
说明每个实例最多可设置10个安全组。
单击确定。
可选:当您需要移除所有安全组时,您可以单击清除安全组来实现。
相关API
API | 说明 |
查询Tair实例的IP白名单。 | |
修改Tair实例的IP白名单。 | |
查询Tair实例白名单中已配置的安全组。 | |
重新设置Tair实例白名单中的安全组。 |