すべてのプロダクト
Search

このプロダクト

    ApsaraDB RDS:ホワイトリストの設定

    ドキュメントセンター

    ApsaraDB RDS:ホワイトリストの設定

    最終更新日:Aug 25, 2025

    このトピックでは、ApsaraDB RDS for MariaDB TX インスタンスの IP アドレスホワイトリストを設定する方法について説明します。 IP アドレスホワイトリストに含まれる IP アドレスを持つデバイスのみが RDS インスタンスにアクセスできます。

    背景情報

    IP アドレスホワイトリストは、RDS インスタンスのセキュリティを確保します。 以下の情報は、RDS インスタンスの IP アドレスホワイトリストについて説明しています。

    • IP アドレスホワイトリストには、RDS インスタンスへのアクセスが許可されている IP アドレスが含まれています。 default というラベルの付いた IP アドレスホワイトリストには 127.0.0.1 エントリのみが含まれており、外部 IP アドレスは RDS インスタンスにアクセスできないことを示しています。

    • IP アドレスホワイトリストは、標準ホワイトリストモードをサポートしています。 標準の IP アドレスホワイトリストには、クラシックネットワークと仮想プライベートクラウド (VPC) の両方からの IP アドレスを含めることができます。 MariaDB を実行している RDS インスタンスは、VPC にのみデプロイできます。

    • IP アドレスホワイトリストは、RDS インスタンスに高いセキュリティと効率的な保護を提供します。 設定済みの IP アドレスホワイトリストを定期的に更新することをお勧めします。

    制限

    • default というラベルの付いた IP アドレスホワイトリストは、変更または削除できます。 ただし、IP アドレスホワイトリスト自体を削除することはできません。

    • RDS インスタンスには、最大 50 個の IP アドレスホワイトリストを設定できます。

    • RDS インスタンスの IP アドレスホワイトリストには、最大 1,000 個の IP アドレスと CIDR ブロックを追加できます。 個別の IP アドレスを CIDR ブロック (例: 10.10.10.0/24) にマージすることをお勧めします (CIDR モード)。

    • ali_dms_group (DMS 用の IP アドレスホワイトリスト) と hdm_security_ips (DAS 用の IP アドレスホワイトリスト) は、システムによって自動的に生成されます。 これらの IP アドレスホワイトリストは変更または削除しないでください。 そうしないと、関連サービスが影響を受ける可能性があります。

      重要

      • サービスの IP アドレスをこれらの IP アドレスホワイトリストに追加しないでください。 そうしないと、関連サービスの更新時にサービスの IP アドレスが上書きされ、サービス中断が発生する可能性があります。

      • IP アドレスホワイトリストの誤った変更や削除を防ぐため、2020 年 12 月以降に作成されたインスタンスでは、hdm_security_ips IP アドレスホワイトリストはユーザーには表示されません。

    IP ホワイトリストの設定

    1. [インスタンス] ページに移動します。 上部のナビゲーションバーで、RDS インスタンスが存在するリージョンを選択します。 次に、RDS インスタンスを見つけ、インスタンスの ID をクリックします。

    2. 左側のナビゲーションウィンドウで、[ホワイトリストとセキュリティグループ] をクリックします。

    3. [ホワイトリスト設定] タブで、[デフォルト] IP アドレスホワイトリストの [変更] をクリックします。

      説明

      [ホワイトリストグループの追加] をクリックして、カスタム IP アドレスホワイトリストを作成することもできます。

    4. [ホワイトリストグループの変更] ダイアログボックスで、インスタンスへのアクセスを必要とする IP アドレスまたは CIDR ブロックを入力し、[OK] をクリックします。

      説明

      • [default] IP アドレスホワイトリストに新しい IP アドレスまたは CIDR ブロックを追加すると、システムはデフォルトエントリ 127.0.0.1 を自動的に削除します。

      • 複数の IP アドレスまたは CIDR ブロックを追加する場合は、スペースなしでカンマ (,) で区切ります (例: 192.168.0.1,172.16.213.9)。

      • [ECS 内部 IP のロード] をクリックすると、Alibaba Cloud アカウントに属するすべての ECS インスタンスの IP アドレスが表示されます。 これらの IP アドレスを IP アドレスホワイトリストにすばやく追加できます。

      • アプリケーションが ACK クラスタのコンテナにデプロイされている場合は、コンテナネットワークプラグイン に基づいて異なる IP アドレスを追加する必要があります。

        • ACK クラスタのコンテナネットワークプラグインが Flannel の場合は、アプリケーションがデプロイされているノードの IP アドレスを追加します。

        • ACK クラスタのコンテナネットワークプラグインが Terway の場合は、アプリケーションがデプロイされているポッドの IP アドレスを追加します。

        ポッド IP アドレスとノード IP アドレスは、ターゲット ACK クラスタの ポッド ページで確認できます。

    一般的なエラー

    • [ホワイトリストとセキュリティグループ] > [ホワイトリスト設定] タブには、デフォルトエントリ 127.0.0.1 のみ含まれています。

      IP アドレス 127.0.0.1 は、RDS インスタンスにアクセスできるデバイスがないことを示しています。 RDS インスタンスへのアクセスを必要とするデバイスの IP アドレスを IP アドレスホワイトリストに追加する必要があります。

    • IP アドレスホワイトリストには、0.0.0.0 という 1 つのエントリのみが含まれています。

      正しい形式は 0.0.0.0/0 です。

      重要

      すべてのデバイスが RDS インスタンスにアクセスできるようにするには、0.0.0.0/0 エントリを RDS インスタンスの IP アドレスホワイトリストに追加する必要があります。 このエントリを追加する場合は注意してください。

    • IP アドレスホワイトリストに追加したパブリック IP アドレスは、接続するデバイスの実際の出力 IP アドレスではありません。

      考えられる原因:

      • パブリック IP アドレスが動的に変化する。

      • パブリック IP アドレスをクエリするために使用されるツールまたは Web サイトが不正確な結果を返す。

      詳細については、「外部ネットワークから ApsaraDB RDS for MySQL または MariaDB インスタンスに接続できない: オンプレミスデバイスのパブリック IP アドレスを正しく設定する方法」をご参照ください。

    よくある質問

    • Q: IP アドレスホワイトリストは、設定後すぐに有効になりますか?

      A: いいえ、IP アドレスホワイトリストを設定した後、有効になるまでに約 1 分かかります。

    • Q: 作成していない IP アドレスホワイトリストが見つかるのはなぜですか?

      A: IP アドレスホワイトリストのエントリがプライベート IP アドレスの場合、IP アドレスホワイトリストは、DMS や DAS などの他の Alibaba Cloud サービスによって自動的に作成されます。 この場合、IP アドレスホワイトリストはサービスデータに影響を与えないため、それ以上の操作は必要ありません。

    • Q: インターネットアクセスを無効にして内部ネットワークアクセスのみを有効にした場合、RDS インスタンスはセキュリティリスクにさらされますか?

      A: はい、インターネットアクセスを無効にして内部ネットワークアクセスのみを有効にした場合でも、RDS インスタンスはセキュリティリスクにさらされます。 RDS インスタンスのネットワークタイプを VPC に変更することをお勧めします。 この場合、同じ VPC 内の ECS インスタンスのみが RDS インスタンスにアクセスできます。

    • Q: RDS コンソールで IP アドレスホワイトリストを追加すると、エラーメッセージ InvalidSecurityIPListLength.Malformed が表示されるのはなぜですか?

      問題の説明

      RDS コンソールで IP アドレスホワイトリストを追加すると、次のエラーメッセージが表示される場合があります。

      Error code: InvalidSecurityIPListLength.Malformed
Error message (Chinese): The security IP address is not in the available range or is occupied.
Error message (English): The security IP address is not in the available range or is occupied.

      解決策

      • 原因 1: IP アドレスホワイトリストには、最大 1,000 個の IP アドレスまたは CIDR ブロックを追加できます。 追加する IP アドレスまたは CIDR ブロックの数がこの制限を超えています。

        解決策: IP アドレスホワイトリストの IP アドレスまたは CIDR ブロックの数が 1,000 を超えないようにしてください。 エントリ数を減らすために、個別の IP アドレスを 192.168.1.0/24 などの CIDR ブロックにマージすることをお勧めします。

      • 原因 2: IP アドレスホワイトリストに無効な IP アドレスが含まれています。

        解決策: 入力した IP アドレスが有効であることを確認してください。 10.23.12.0/24 などの標準 CIDR 形式を使用することをお勧めします。 サブネットマスクは 1 ~ 32 の範囲内である必要があります。 複数の IP アドレスを追加する場合は、カンマ (,) で区切ります。

      • 原因 3: IP アドレスホワイトリストが既存の IP アドレスホワイトリストと競合しています。 たとえば、ApsaraDB RDS for MySQL インスタンスでは、192.168.1.8192.168.1.1/8 と競合します。

        解決策: 必要に応じて IP アドレスホワイトリストを計画および追加して、既存のルールとの重複や競合を回避します。

      説明

      デフォルトの IP アドレスホワイトリスト default ( 127.0.0.1 を含む) は削除しないでください。 ali_dms_grouphdm_security_ips などのシステム IP アドレスホワイトリストは変更しないでください。 そうしないと、システム機能または接続セキュリティに影響を与える可能性があります。