このトピックでは、ApsaraDB RDS for MySQLのIPアドレスホワイトリストを設定する方法について説明します。 instance. RDSインスタンスの作成後、RDSインスタンスのIPアドレスホワイトリストを設定する必要があります。 デバイスは、デバイスのIPアドレスをRDSインスタンスのIPアドレスホワイトリストに追加した後にのみ、RDSインスタンスにアクセスできます。
前提条件
RDSインスタンスが作成されました。 詳細については、「ApsaraDB RDS For MySQLインスタンスの作成」をご参照ください。.
手順
RDSインスタンスには、デフォルトでシステムホワイトリストが設定されています。 システムホワイトリストは表示されず、RDSインスタンスのデータベースでO&M操作を実行するためにシステムアカウントによって使用されます。 システムアカウントの詳細については、「システムアカウント」をご参照ください。
- [インスタンス] ページに移動します。 上部のナビゲーションバーで、RDS インスタンスが存在するリージョンを選択します。 次に、RDSインスタンスを見つけ、インスタンスのIDをクリックします。
左側のナビゲーションウィンドウで、[ホワイトリストとSecGroup] をクリックします。
RDSインスタンスのネットワーク分離モードを表示します。
説明RDSインスタンスがMySQL 5.1、MySQL 5.5、MySQL 5.6、またはMySQL 5.7を実行し、ローカルSSDを使用している場合、RDSインスタンスのネットワーク分離モードを拡張ホワイトリストモードに変更できます。 他のデータベースエンジンバージョンを実行するRDSインスタンスのネットワーク分離モードは、標準ホワイトリストモードです。
defaultの右側の 変更 をクリックします。 次のいずれかの方法を使用して、RDSインスタンスのIPアドレスホワイトリストを設定できます。
説明グループを追加する をクリックして、ホワイトリスト名を指定することもできます。
方法1: アプリケーションがデプロイされているサーバーのIPアドレスを [IPアドレス] フィールドに追加します。 サーバーのIPアドレスを取得する方法の詳細については、「付録: IPアドレスを取得する方法」をご参照ください。 [ローカルパブリックIPアドレスの読み込み (PCにネットワークプロキシがある場合は、最初にオフにしてください)] をクリックして、ローカルコンピュータのパブリックIPアドレスを追加することもできます。
説明複数のIPアドレスとCIDRブロックをIPアドレスホワイトリストに追加する場合は、これらのIPアドレスまたはCIDRブロックをコンマ (,) で区切る必要があります。 コンマの前後にスペースを追加しないでください。
RDSインスタンスごとに、合計で最大1,000個のIPアドレスとCIDRブロックを追加できます。 多数のIPアドレスを追加する場合は、IPアドレスを10.10.10.0/24などのCIDRブロックにマージすることを推奨します。
RDSインスタンスが標準ホワイトリストモードで実行されている場合、RDSインスタンスのIPアドレスホワイトリストを設定する際に特別な考慮事項に注意する必要はありません。 RDSインスタンスが拡張ホワイトリストモードで実行されている場合、RDSインスタンスのIPアドレスホワイトリストを設定する際の次の考慮事項に注意する必要があります。
のパブリックIPアドレスまたはプライベートIPアドレスを追加します。 クラシックネットワーク -Elastic Compute Service (ECS) インスタンスをクラシックネットワークタイプのIPアドレスホワイトリストに入力します。
VPCタイプのECSインスタンスのプライベートIPアドレスをVPCネットワークタイプのIPアドレスホワイトリストに追加します。
方法2: [ECS Inner IPの読み込み] をクリックして、リージョン内のAlibaba Cloudアカウント内に作成されたすべてのECSインスタンスのIPアドレスを読み込みます。 次に、IPアドレスを選択し、IPアドレスホワイトリストに追加します。
アプリケーションがデプロイされているサーバーは、サーバーのIPアドレスをRDSインスタンスのIPアドレスホワイトリストに追加した後にのみ、RDSインスタンスにアクセスできます。
[OK] をクリックします。
次のステップ
参考資料
APIを呼び出してRDSインスタンスのIPアドレスホワイトリストを変更する方法の詳細については、「ModifySecurityIps」をご参照ください。
APIを呼び出してRDSインスタンスのIPアドレスホワイトリストを照会する方法の詳細については、「DescribeDBInstanceIPArrayList」をご参照ください。
別のデータベースエンジンを実行するRDSインスタンスのIPアドレスホワイトリストを設定する方法の詳細については、以下のトピックを参照してください。
FAQ
デバイスは自分のRDSインスタンスにアクセスできますが、デバイスのIPアドレスはRDSインスタンスのIPアドレスホワイトリストに追加されません。 これはなぜですか。
次のいずれかの方法を使用して、問題をトラブルシューティングできます。
RDSインスタンスのすべてのIPアドレスホワイトリストを確認します。 IPアドレスホワイトリストの1つにデバイスのIPアドレスが含まれている場合、デバイスはRDSインスタンスにアクセスできます。
RDSインスタンスのすべてのIPアドレスホワイトリストを確認します。 IPアドレスホワイトリストの1つに0.0.0.0/0エントリが含まれている場合、すべてのデバイスがRDSインスタンスにアクセスできます。
すべてのセキュリティグループを確認します。 セキュリティグループの1つにデバイスのIPアドレスが含まれている場合、デバイスはRDSインスタンスにアクセスできます。
パブリックエンドポイントなしでオンプレミスホストをRDSインスタンスに接続する場合はどうすればよいですか?
内部ネットワークを介してオンプレミスホストをRDSインスタンスに接続できます。 詳細については、「データセンターをVPCに接続する」をご参照ください。
デバイスのIPアドレスをRDSインスタンスのIPアドレスホワイトリストに追加したオペレーターを表示するにはどうすればよいですか。
インスタンス詳細ページの左側のナビゲーションウィンドウで、[操作監査] をクリックします。 表示されるページで、ModifySecurityIpsという名前のイベントを見つけ、IPアドレスと操作の詳細を追加したオペレーターを表示します。
付録: アプリケーションが内部ネットワーク経由でRDSインスタンスに接続できるかどうかを確認する
- のリージョンを表示します。 ECS アプリケーションがデプロイされているインスタンス。 また、ECSインスタンスのネットワークタイプも表示します。 詳細については、「ApsaraDB RDS For MySQLの使用準備」をご参照ください。
- RDSインスタンスのリージョンとネットワークタイプを表示します。 ApsaraDB RDSコンソールにログインし、[インスタンス] ページに移動します。 上部のナビゲーションバーで、RDS インスタンスが存在するリージョンを選択します。 次に、RDSインスタンスを見つけ、インスタンスのIDをクリックします。 表示されるページで、RDSインスタンスのリージョン、ネットワークタイプ、および仮想プライベートクラウド (VPC) IDを表示できます。
- ECSインスタンスとRDSインスタンスが、内部ネットワークを介した通信の次の条件を満たしているかどうかを確認します。
- ECSインスタンスとRDSインスタンスは同じリージョンにあります。
- ECSインスタンスとRDSインスタンスは、同じタイプのネットワークに存在します。 ECSインスタンスとRDSインスタンスの両方がVPCに存在する場合、これらのインスタンスは同じVPCに存在します。
説明 上記のいずれかの条件が満たされない場合、ECSインスタンスは内部ネットワークを介してRDSインスタンスと通信できません。
付録: IPアドレスを取得する方法
シナリオ | IPアドレスを取得 | IPアドレスの取得方法 |
ECSインスタンスからRDSインスタンスに接続します。 ECSインスタンスとRDSインスタンスが 内部ネットワークを介した通信の条件 | ECSインスタンスのプライベートIPアドレス |
|
ECSインスタンスからRDSインスタンスに接続します。 ECSインスタンスとRDSインスタンスは、内部ネットワークを介した通信の条件を満たしていません。 | ECSインスタンスのパブリックIPアドレス | |
オンプレミスのデバイスからRDSインスタンスに接続します。 | オンプレミスデバイスのパブリックIPアドレス | オンプレミスのデバイスで、Googleなどの検索エンジンを使用してIPを検索します。 説明 この方法を使用して取得したIPアドレスは不正確な場合があります。 オンプレミスデバイスの正確なIPアドレスを取得する方法の詳細については、「インターネット経由でローカルサーバーからApsaraDB RDS For MySQLまたはApsaraDB RDS for MariaDBインスタンスに接続できない理由」をご参照ください。 |
付録: システムのホワイトリスト
ApsaraDB RDS for MySQLをData Management (DMS) 、Data Transmission Service (DTS) 、Database Autonomy Service (DAS) と一緒に使用する場合、システムはRDSインスタンスに次のホワイトリストを自動的に追加します。 これにより、DMS、DTS、およびDASはRDSインスタンスにアクセスできます。
ホワイトリスト名 | 説明 |
dms | DMSを使用してRDSインスタンスにログインすると、RDSインスタンスに自動的に追加されるホワイトリスト。 ホワイトリストにより、DMSはRDSインスタンスにアクセスできます。 |
dts | DTSを使用してRDSインスタンスのデータを送信するときに、RDSインスタンスに自動的に追加されるホワイトリスト。 ホワイトリストを使用すると、DMSはRDSインスタンスからデータを読み書きできます。 |
hdm_security_ips | RDSインスタンスのDASを有効化すると、RDSインスタンスに自動的に追加されるホワイトリスト。 ホワイトリストを使用すると、DASはRDSインスタンスのデータを取得し、データベースを最適化および保守し、データベースに対してセキュリティ関連の操作を実行できます。 重要 12月2020日以降にRDSインスタンスが作成された場合、hdm_security_ipsというラベルの付いたIPアドレスホワイトリストはユーザーには表示されません。 これにより、IPアドレスホワイトリストが意図せずに変更または削除されるのを防ぎます。 IPアドレスホワイトリストが変更または削除された場合、関連サービスはRDSインスタンスにアクセスできません。 |