Microservices Engine (MSE) インスタンスのセキュリティを向上させるために、インスタンスのパブリック IP アドレスのホワイトリストを構成できます。このようにして、ホワイトリスト内の特定のパブリック IP アドレスまたは Classless Inter-Domain Routing (CIDR) ブロックからのアクセスのみが許可されます。ホワイトリストを構成する場合は、インスタンスへのアクセスを開始するデバイスのパブリック IP アドレスを取得する必要があります。ホワイトリストが構成されると、デバイスはインターネット経由でインスタンスにアクセスできます。
前提条件
MSE がアクティブ化されていること。詳細については、「MSE のアクティブ化」をご参照ください。
インスタンスが作成されていること。詳細については、「インスタンスの作成」をご参照ください。
制限事項
MSE インスタンスは、内部 IP アドレスのホワイトリストではなく、パブリック IP アドレスのホワイトリストをサポートしています。パブリック IP アドレスのホワイトリストには、最大 1,000 項目を構成できます。
パブリック IP アドレスは変更される場合があります。承認されたデバイスがインスタンスにアクセスできるように、ホワイトリスト内の IP アドレスを定期的に確認および更新する必要があります。
認証が有効になっていないインスタンスの場合、パブリック IP アドレスのホワイトリストのサブネットマスクは 16 より大きい必要があります。これにより、CIDR ブロックの範囲が広すぎることによるセキュリティリスクを防ぎます。
手順
MSE コンソール にログインし、上部のナビゲーションバーでリージョンを選択します。
左側のナビゲーションペインで、Microservices Registry > Instances を選択します。
Instances ページで、インスタンスの名前をクリックします。
Basic Information ページで、
Public IP Address Whitelist の横にある アイコンをクリックします。Public IP Address Whitelist ダイアログボックスで、インスタンスへのアクセスを許可するパブリック IP アドレスまたは CIDR ブロックを入力し、OK をクリックします。
パブリック IP アドレスまたは CIDR ブロックをホワイトリストに追加しない場合、すべてのパブリック IP アドレスを使用してインスタンスにアクセスできます。
重要Nacos インスタンスのパブリック IP アドレスのホワイトリストを設定し、Nacos インスタンスのアクセス認証が無効になっている場合、Nacos インスタンスがインターネットに公開されているため、機密データが漏洩する可能性があります。ホワイトリスト設定をクリアする場合は注意してください。ホワイトリスト設定をクリアする前に、アクセス認証を有効にすることをお勧めします。アクセス認証を有効にする方法の詳細については、「Nacos クライアントによるアクセス認証」をご参照ください。
IP アドレスまたは CIDR ブロックをホワイトリストに追加する場合、ホワイトリスト内の IP アドレスまたは CIDR ブロックのみがインスタンスにアクセスできます。
CIDR ブロックは X.X.X.X/X 形式である必要があります。スラッシュ (/) の後に続く X は、サブネットマスクを示します。CIDR ブロック 127.0.0.1/32 をホワイトリストに追加すると、すべてのパブリック IP アドレスはインスタンスにアクセスできなくなります。
ホワイトリストには、複数のパブリック IP アドレスまたは CIDR ブロックを設定できます。パブリック IP アドレスまたは CIDR ブロックはコンマ (,) で区切ります。CIDR ブロックのサブネットマスクの範囲は 1 ~ 32 です。ホワイトリスト内の IP アドレスのホスト ID は 0 である必要があります。
パブリック IP アドレスを照会するためのコマンド
curl ipinfo.iocurl ip.cncurl cip.cccurl ifconfig.mecurl myip.ipip.net