RDS インスタンスを作成した後、デフォルトでは直接接続がブロックされます。外部デバイスがインスタンスにアクセスできるようにするには、ホワイトリストを設定する必要があります。
背景情報
ご利用の RDS インスタンスのセキュリティを確保するには、ホワイトリストを設定する必要があります。ApsaraDB RDS では、ホワイトリストは次のように機能します:
ホワイトリストに IP アドレスを追加して、RDS インスタンスへのアクセスを許可できます。デフォルトのホワイトリストには IP アドレス 127.0.0.1 のみが含まれており、すべての外部アクセスをブロックします。
IP ホワイトリストは、クラシックネットワークと Virtual Private Cloud (VPC) の両方で機能します。RDS MariaDB インスタンスは VPC のみをサポートします。
ホワイトリストは、ご利用の RDS インスタンスにとって重要なセキュリティ対策です。ホワイトリストを定期的にメンテナンスすることを推奨します。
注意事項
デフォルトの IP ホワイトリストは変更またはクリアできますが、削除はできません。
各インスタンスは最大 50 個のホワイトリストをサポートします。
1 つのホワイトリストには、最大 1,000 個の IP アドレスまたは CIDR ブロックを含めることができます。個々の IP アドレスを 10.10.10.0/24 (CIDR) のような CIDR ブロックに統合することを推奨します。
ali_dms_group (Data Management (DMS) のホワイトリスト) や hdm_security_ips (Database Autonomy Service (DAS) のホワイトリスト) などのホワイトリストはシステムによって生成されます。関連サービスの混乱を避けるため、これらを変更または削除しないでください。
重要これらのシステムによって生成されたホワイトリストに、ご利用のアプリケーションの IP アドレスを追加しないでください。サービスの更新によってエントリが上書きされ、サービスが中断される可能性があります。
誤った変更や削除を防ぐため、2020 年 12 月以降に作成されたインスタンスでは、hdm_security_ips ホワイトリストは非表示になっています。
ホワイトリストの設定
インスタンスページに移動します。上部のナビゲーションバーで、RDS インスタンスが存在するリージョンを選択します。次に、対象の RDS インスタンスを見つけ、インスタンスの ID をクリックします。
左側のナビゲーションウィンドウで、ホワイトリストとセキュリティグループをクリックします。
ホワイトリスト設定タブで、default ホワイトリストの横にある 変更をクリックします。
説明カスタムホワイトリストを作成するには、ホワイトリストの作成をクリックすることもできます。
ホワイトリストの変更ダイアログボックスで、インスタンスへのアクセスを許可する IP アドレスまたは CIDR ブロックを入力し、OK をクリックします。
説明default ホワイトリストに新しい IP アドレスまたは CIDR ブロックを追加すると、システムは自動的に 127.0.0.1 エントリを削除します。
複数のエントリを追加するには、カンマで区切ります。スペースは追加しないでください。例:
192.168.0.1,172.16.213.9。ECS インスタンスの内部 IP アドレスを追加をクリックすると、ご利用の Alibaba Cloud アカウント内のすべての Elastic Compute Service (ECS) インスタンスの IP アドレスが表示され、それらをホワイトリストに追加できます。
ご利用のアプリケーションが ACK クラスター内のコンテナにデプロイされている場合、追加する必要がある IP アドレスは CNI プラグインによって異なります。
ACK クラスターが Flannel ネットワークプラグインを使用している場合は、アプリケーションが実行されているノード IP を追加します。
ACK クラスターが Terway ネットワークプラグインを使用している場合は、アプリケーションの Pod IP を追加します。
Pod IP とノード IP は、対象の ACK クラスターの Pod ページで確認できます。
ホワイトリスト設定の一般的なエラー
ホワイトリストとセキュリティグループ > ホワイトリスト設定ページのホワイトリストに、デフォルトエントリ 127.0.0.1 のみが含まれています。
このエントリは、外部デバイスが RDS インスタンスにアクセスできないことを意味します。アクセスが必要な各デバイスの IP アドレスを追加する必要があります。
ホワイトリストが 0.0.0.0 に設定されています。
正しいフォーマットは 0.0.0.0/0 です。
重要0.0.0.0/0エントリは、どのデバイスからでも RDS インスタンスへのアクセスを許可します。この設定は注意して使用してください。ホワイトリストに追加されたパブリック IP アドレスが、デバイスの実際の送信元 IP アドレスではありません。
これは、次の理由で発生する可能性があります:
パブリック IP アドレスが動的であり、変更される可能性があります。
IP アドレス検索ツールまたはウェブサイトから返されたパブリック IP アドレスが不正確です。
ソリューションについては、「ローカルデバイスの正しいパブリック IP アドレスを確認する方法」をご参照ください。
よくある質問
Q:IP ホワイトリストの設定はすぐに有効になりますか?
A:ホワイトリストの設定は約 1 分で有効になります。
Q:作成していない余分なホワイトリストが表示されるのはなぜですか?
A:余分なホワイトリストに内部 IP アドレスが含まれている場合、それらは通常、DMS や DAS などの他の Alibaba Cloud サービスによって自動的に生成されます。これらのホワイトリストは、ビジネスデータに影響を与えません。
Q:内部ネットワークアクセスのみを許可し、インスタンスをインターネットに公開しない場合でも、セキュリティリスクはありますか?
A:ご利用の RDS インスタンスを VPC に切り替えてください。これにより、同じ VPC 内の ECS インスタンスのみが RDS インスタンスにアクセスできるようになります。
Q:RDS コンソールでホワイトリストを追加する際に、
InvalidSecurityIPListLength.Malformedエラーが発生するのはなぜですか?問題の説明
RDS コンソールでホワイトリストを追加すると、次のエラーが発生することがあります:
InvalidSecurityIPListLength.Malformed The security IP address is not in the available range or is occupied.ソリューション
原因 1:1 つのホワイトリストは最大 1,000 個の IP アドレスまたは CIDR ブロックをサポートします。新しい IP アドレスがこの制限を超えています。
ソリューション:1 つのホワイトリスト内の IP アドレスまたは CIDR ブロックの数が 1,000 を超えないようにしてください。個々の IP アドレスを
192.168.1.0/24のような CIDR ブロックに統合して、数を減らします。原因 2:ホワイトリストに無効な IP アドレスが含まれています。
ソリューション:IP アドレスが有効であることを確認してください。
10.23.12.0/24のような標準の CIDR フォーマットを使用し、マスクは 1 から 32 の範囲です。複数の IP アドレスを追加するには、カンマ (,) で区切ります。原因 3: IP アドレスが既存のホワイトリストと競合しています。 たとえば、RDS for MySQL では、
192.168.1.8は192.168.1.1/8と競合します。ソリューション:要件に基づいてホワイトリストを計画および追加し、既存のルールとの重複や競合を避けてください。
説明defaultホワイトリストには127.0.0.1が含まれているため、削除しないでください。また、ali_dms_groupやhdm_security_ipsなどのシステムホワイトリストも変更しないでください。これらの操作は、システム機能や接続セキュリティに影響を及ぼす可能性があります。