ApsaraMQ for Kafka インスタンスがインターネット経由でアクセス可能である場合、または複数の vSwitch 間で共有される場合、クライアントの接続を制御する必要があります。ホワイトリストは、各エンドポイントごとに特定の IP アドレスおよび CIDR ブロックへのアクセスを制限します。ホワイトリストを設定すると、そのエンドポイントを介した接続は、リストに記載されたアドレスからのみ許可されます。
ホワイトリストの仕組み
ApsaraMQ for Kafka の各エンドポイントには、個別のホワイトリストがあります。デフォルトのホワイトリストは、インスタンスのネットワークタイプによって異なります:
| ネットワークタイプ | デフォルトのホワイトリスト | デフォルトのアクセス動作 |
|---|---|---|
| インターネットおよび VPC | 0.0.0.0/0 | すべての IP アドレスが SSL エンドポイントを介して接続できます。特定のアドレスへのアクセスを制限するには、ホワイトリストを設定してください。 |
| VPC 専用 | vSwitch CIDR ブロック | デフォルトのエンドポイントを介して接続できるのは、同一 vSwitch CIDR ブロック内のデバイスのみです。VPC 全体からの接続を許可するには、ホワイトリストを 0.0.0.0/0 に設定してください。 |
ホワイトリストから最後のエントリを削除すると、そのエントリに対応するポートを介したすべてのアクセスがブロックされます。
使用制限
| 項目 | 制限 |
|---|---|
| ホワイトリストあたりの最大エントリ数 | 200 |
| エントリのフォーマット | IP アドレスまたは CIDR ブロック(カンマ「,」で区切る) |
セキュリティグループの動作
ホワイトリスト機能は、セキュリティグループに基づいて実装されています:
インスタンスのデプロイメント時にセキュリティグループを指定した場合、そのセキュリティグループを使用するすべてのインスタンスは同じホワイトリストを共有します。1 つのインスタンスのホワイトリストを変更すると、そのグループ内のすべてのインスタンスに影響します。
セキュリティグループを指定しない場合、システムが専用のセキュリティグループを作成します。このホワイトリストは、当該インスタンスのみに適用されます。
複数のインスタンス間で意図しない変更が発生することを防ぐため、デプロイメント時にセキュリティグループを指定しないことを推奨します。
前提条件
ApsaraMQ for Kafka インスタンスが購入・デプロイ済みであり、サービス中 の状態である必要があります。
ホワイトリストへの IP アドレスまたは CIDR ブロックの追加
ApsaraMQ for Kafka コンソール にログインします。
リソース配信 セクション(概要 ページ)で、ご利用のインスタンスが配置されているリージョンを選択します。
インスタンス ページで、対象のインスタンス名をクリックします。
アクセスポイント情報 セクション(インスタンスの詳細 ページ)で、対象のエンドポイントを見つけ、ホワイトリストの管理 を 操作 列からクリックします。
ホワイトリスト管理 ページで、ホワイトリストグループの追加 をクリックします。
グループ名 および グループ内ホワイトリスト を設定し、OK をクリックします。
ホワイトリストからの IP アドレスまたは CIDR ブロックの削除
インスタンスの詳細 ページの左側ナビゲーションウィンドウで、ホワイトリスト管理 をクリックします。
対象のホワイトリストを見つけ、操作 列の 変更 をクリックします。
ホワイトリストの編集 パネルで、削除するエントリを見つけ、削除 をクリックし、パネル下部の 編集 をクリックします。
関連操作
プログラムによるホワイトリストの設定を行うには、UpdateAllowedIp API オペレーションを呼び出します。
異なる VPC 間でデバイスを接続するには、Express Connect、VPN Gateway、または Cloud Enterprise Network (CEN) を使用します。詳細については、「プライベートネットワークサービスの選択」をご参照ください。