HoloWeb で IP ホワイトリストを設定することで、Hologres インスタンスのセキュリティと安定性を向上させることができます。本トピックでは、その設定手順について説明します。
注意事項
HoloWeb で IP ホワイトリストを設定する前に、次の点にご注意ください:
-
IP ホワイトリスト機能は、Hologres V0.10.14 以降 (V2.0.4 から V2.0.5 を除く) でのみ利用できます。インスタンスのバージョンは、Hologres コンソールのインスタンス詳細ページで確認するか、
select hg_version()ステートメントを実行して確認できます。インスタンスのバージョンが V0.10.14 より前の場合は、Hologres DingTalk グループに参加してアップグレードをリクエストできます。詳細については、「How to get more online support?」をご参照ください。 -
Hologres インスタンスを購入した後、IP ホワイトリストが設定されていない場合、デフォルトでは、インスタンスはすべての IP アドレスからの接続を受け入れます。
-
スーパーユーザーのみが IP ホワイトリストを設定できます。
-
ホワイトリストの設定は、新規接続にのみ適用されます。既存の接続は、ホワイトリストの設定を変更しても自動的に切断されません。接続を解放する必要がある場合は、「接続の解放」をご参照ください。
-
HoloWeb でデータ接続を設定する際、その接続に対して IP ホワイトリストを設定するには、ログイン方法をパスワードなしのログインに設定する必要があります。Hologres インスタンスへの接続手順については、「Hologres インスタンスへの接続」をご参照ください。[Test Connectivity] をクリックして、ネットワーク接続を検証します。
-
IP ホワイトリストを設定すると、DataStudio はインスタンスにアクセスできなくなります。正常なアクセスを確保するには、「IP ホワイトリスト」の手順に従って、対応するグループを IP ホワイトリストに追加する必要があります。
-
接続されている Realtime Compute for Apache Flink プロジェクトがインスタンスにアクセスできない場合は、その IP アドレスと CIDR ブロックをデータベースの IP ホワイトリストに追加する必要があります。Realtime Compute for Apache Flink プロジェクトの IP アドレスと CIDR ブロックの取得方法については、「How do I configure a whitelist?」をご参照ください。
-
読み取り専用セカンダリインスタンスでは IP ホワイトリストを設定できません。プライマリインスタンスで設定する必要があります。読み取り専用セカンダリインスタンスとプライマリインスタンスは、同じ IP ホワイトリスト設定を共有します。
-
HoloWeb で設定する IP ホワイトリストは PostgreSQL プロトコル経由のアクセスも制御するため、インスタンス接続、SQL エディター、ユーザー管理などの HoloWeb 機能にも適用されます。これらの機能を使用するには、必要に応じて、IP ホワイトリストに必要な IP アドレスを追加してください。
-
AWS や他のサードパーティクラウドプラットフォームでホストされているサーバーなど、Alibaba Cloud ネットワークの外部にデプロイされたサーバーから Hologres に接続するには、パブリックネットワークエンドポイントを使用します。専用線や VPN 接続は必要ありません。接続を確立するには、次の手順を実行します:
-
Hologres インスタンスのパブリックネットワークアクセスを有効にします。インスタンス詳細ページの [Network Information] セクションに移動し、[Internet] ネットワークタイプが有効になっていることを確認します。
-
インスタンス詳細ページの [Network Information] セクションから、パブリックネットワークエンドポイントとポートを取得します。
-
海外サーバーのアウトバウンド (egress) IP アドレスを Hologres の IP ホワイトリストに追加します。サーバーのプライベート IP アドレスではなく、アウトバウンド IP アドレスを追加するようにしてください。
-
PostgreSQL プロトコルを使用して Hologres インスタンスに接続します。ユーザー名として AccessKey ID を、パスワードとして AccessKey secret を使用します。
-
IP ホワイトリストの追加
-
Hologres コンソールにログインします。上部メニューで、リージョンを選択します。
-
左側メニューで Go to HoloWeb をクリックして、HoloWeb 開発インターフェイスを開きます。
-
HoloWeb で Security Center に移動します。左側メニューで [IP address whitelist] をクリックします。
-
ページの右上隅にある Add IP Address to Whitelist をクリックし、次のパラメーターを設定します。
パラメーター
説明
グループ
グループのカスタム名。
接続のログイン方法をパスワードなしのログインに設定した場合、DataWorks Data Integration リソースグループも IP ホワイトリストに追加する必要があります。そうしないと、その機能を使用できません。対応するグループ名を [group] ドロップダウンリストから選択してください。
アクセス可能なデータベース
ホワイトリストを適用するデータベースを選択してください。現在のインスタンス内のすべてのユーザー作成データベース (システムデータベースを除く) を含めるには、ALL を選択してください。
許可されるユーザー
ホワイトリストを適用するユーザーを選択してください。現在のインスタンスのすべてのユーザーを含めるには、ALL を選択してください。
IP アドレス
ホワイトリストに追加する IP アドレス。次の形式に注意してください:
-
すべての IP アドレスを許可するには、ALL を入力してください。
-
単一の IP アドレスを指定するには、直接入力してください。例: 192.168.0.1。
-
CIDR ブロックを指定するには、CIDR 表記を使用してください。例: 192.168.0.0/24 は、192.168.0.1 から 192.168.0.255 の範囲の IP アドレスからのアクセスを許可します。
-
複数の IP アドレスまたは CIDR ブロックを指定するには、それぞれを新しい行に入力してください。
-
-
OK をクリックして設定を保存してください。設定後、ホワイトリストは指定された IP アドレスからのアクセスのみを許可します。
IP ホワイトリストの編集
既存の IP ホワイトリストを変更できます。現在、変更できるのは IP アドレスのみです。データベースやユーザーの制限を変更するには、新しいホワイトリストを作成する必要があります。
スーパーユーザーのみが IP ホワイトリストを編集できます。
-
HoloWeb で Security Center に移動します。左側メニューで [IP address whitelist] をクリックします。
-
[IP address whitelist] 管理ページで、変更したいホワイトリストを見つけ、[Actions] 列の Edit をクリックします。
-
[Edit IP Whitelist] パネルで、IP アドレス情報を変更してください。IP アドレスの設定方法の詳細については、「IP ホワイトリストの追加」をご参照ください。
-
OK をクリックして設定を保存してください。
IP ホワイトリストの削除
不要になった IP ホワイトリストは削除できます。すべての IP ホワイトリストを削除すると、インスタンスはデフォルトの状態に戻り、任意の IP アドレスからの接続を受け入れます。
スーパーユーザーのみが IP ホワイトリストを削除できます。
-
HoloWeb で Security Center に移動します。左側メニューで [IP address whitelist] をクリックします。
-
[IP address whitelist] 管理ページで、削除したいホワイトリストを見つけ、[Actions] 列の Delete をクリックします。
-
表示される確認メッセージで、OK をクリックしてください。
よくある質問
IP ホワイトリストを設定する際にエラーが発生します。
-
現象:インスタンスの IP ホワイトリストを設定しようとするとエラーが発生します。エラーメッセージは次のとおりです:
ERROR: commit ddl phase1 failed: DDLWrite is not allowed on replica -
原因:サポートされていない読み取り専用セカンダリインスタンスで IP ホワイトリストを設定しようとしているためです。
-
解決策:プライマリインスタンスで IP ホワイトリストを設定してください。プライマリインスタンスとその読み取り専用セカンダリインスタンスは、同じホワイトリスト設定を共有します。