このトピックでは、ApsaraDB RDS for PostgreSQLインスタンスのIPアドレスホワイトリストを設定する方法について説明します。 RDSインスタンスの作成後、RDSインスタンスのIPアドレスホワイトリストまたはセキュリティグループを設定する必要があります。 Otherwise, the RDS instance is inaccessible.

別のデータベースエンジンを実行するRDSインスタンスのIPアドレスホワイトリストを設定する方法の詳細については、以下のトピックを参照してください。

シナリオ

IPアドレスホワイトリストは、RDSインスタンスへのアクセスが許可されたIPアドレスとCIDRブロックで構成されます。 IPアドレスホワイトリストを設定して、RDSインスタンスに高レベルのアクセス制御とセキュリティ保護を提供できます。 設定されたIPアドレスのホワイトリストを定期的に更新することを推奨します。

次のシナリオでは、IPアドレスホワイトリストを設定する必要があります。

  • シナリオ 1

    RDSインスタンスの作成後、特定のデバイスのIPアドレスをRDSインスタンスのIPアドレスホワイトリストに追加する必要があります。 これにより、これらのデバイスはRDSインスタンスにアクセスできます。

  • シナリオ 2

    RDSインスタンスに接続できません。 この場合、RDSインスタンスのIPアドレスホワイトリストを確認し、設定が間違っているIPアドレスホワイトリストを変更する必要があります。

    次の表に、さまざまな接続シナリオでのIPアドレスホワイトリストの設定を示します。

    説明 仮想プライベートクラウド (VPC) は、Alibaba cloud上の分離されたネットワークです。 VPCは、クラシックネットワークよりも高いセキュリティを提供します。 詳細については、「VPC の概要」をご参照ください。
    Connection scenario ネットワークタイプ IPアドレスホワイトリスト設定
    ECS (Elastic Compute Service) インスタンスをRDSインスタンスに接続する ECSインスタンスとRDSインスタンスは同じVPCに存在します。 これは推奨される接続シナリオです。 ECSインスタンスのプライベートIPアドレスをRDSインスタンスのIPアドレスホワイトリストに追加します。
    ECSインスタンスとRDSインスタンスは異なるVPCに存在します。 異なるVPC内のインスタンスは、内部ネットワークを介して相互に通信できません。 次の操作を実行します。
    1. ECSインスタンスが存在するVPCにRDSインスタンスを移行します。
      説明 この操作は、ECSインスタンスとRDSインスタンスが同じリージョンにある場合にのみサポートされます。 ECSインスタンスとRDSインスタンスが異なるリージョンにある場合は、Data Transmission Service (DTS) を使用してRDSインスタンスをECSインスタンスがあるリージョンに移行することを推奨します。 これにより、データベースサービスの安定性を確保できます。 詳細については、「ApsaraDB RDS For PostgreSQLインスタンス間のデータ移行」をご参照ください。
    2. ECSインスタンスのプライベートIPアドレスをRDSインスタンスのIPアドレスホワイトリストに追加します。
    ECSインスタンスとRDSインスタンスはクラシックネットワークに存在します。 ECSインスタンスのプライベートIPアドレスをRDSインスタンスのIPアドレスホワイトリストに追加します。
    ECSインスタンスはクラシックネットワークに存在します。

    RDSインスタンスはVPCにあります。

    		 異なるネットワークタイプのインスタンスは、内部ネットワークを介して互いに通信することができない。 次の操作を実行します。
    1. ECSインスタンスをクラシックネットワークからRDSインスタンスが存在するVPCに移行します。 詳細については、「クラシックネットワークからVPCへのECSインスタンスの移行」をご参照ください。
      説明 この操作は、ECSインスタンスとRDSインスタンスが同じリージョンにある場合にのみサポートされます。 ECSインスタンスとRDSインスタンスが異なるリージョンにある場合、DTSを使用してRDSインスタンスをECSインスタンスがあるリージョンに移行することを推奨します。 これにより、データベースサービスの安定性を確保できます。 詳細については、「ApsaraDB RDS For PostgreSQLインスタンス間のデータ移行」をご参照ください。
    2. ECSインスタンスのプライベートIPアドレスをRDSインスタンスのIPアドレスホワイトリストに追加します。
    ECSインスタンスはVPCにあります。

    RDSインスタンスはクラシックネットワークに存在します。

    		 異なるネットワークタイプのインスタンスは、内部ネットワークを介して互いに通信することができない。 次の操作を実行します。
    1. RDSインスタンスをクラシックネットワークからECSインスタンスが存在するVPCに移行します。
      説明 この操作は、ECSインスタンスとRDSインスタンスが同じリージョンにある場合にのみサポートされます。 ECSインスタンスとRDSインスタンスが異なるリージョンにある場合、DTSを使用してRDSインスタンスをECSインスタンスがあるリージョンに移行することを推奨します。 これにより、データベースサービスの安定性を確保できます。 詳細については、「ApsaraDB RDS For PostgreSQLインスタンス間のデータ移行」をご参照ください。
    2. ECSインスタンスのプライベートIPアドレスをRDSインスタンスのIPアドレスホワイトリストに追加します。
    クラウド外の自己管理ホストをRDSインスタンスに接続する なし。 自己管理ホストのパブリックIPアドレスをRDSインスタンスのIPアドレスホワイトリストに追加します。
    説明

注意事項

  • RDSインスタンスごとに最大50個のIPアドレスホワイトリストを設定できます。
  • IPアドレスホワイトリストを設定しても、RDSインスタンスのワークロードは中断されません。
  • デフォルトとラベル付けされたIPアドレスホワイトリストはクリアできますが、削除することはできません。
  • 他のAlibaba Cloudサービスによって生成されたIPアドレスのホワイトリストを変更または削除しないでください。 Alibaba Cloudサービスによって生成されたIPアドレスホワイトリストを削除すると、Alibaba CloudサービスはRDSインスタンスに接続できません。 たとえば、ali_dms_groupというラベルの付いたIPアドレスホワイトリストはData Management (DMS) によって生成され、hdm_security_ipsというラベルの付いたIPアドレスホワイトリストは Database Autonomy Service (DAS) によって生成されます。
  • デフォルトラベルのIPアドレスホワイトリストには、127.0.0.1 IPアドレスのみが含まれます。 これは、RDSインスタンスへのアクセスが許可されていないIPアドレスを示します。

標準IPアドレスホワイトリストの設定

標準ホワイトリストモードでは、ApsaraDB RDSはクラシックネットワークとVPCを区別しません。 標準IPアドレスホワイトリストのIPアドレスまたはCIDRブロックには、クラシックネットワークとVPCの両方を介してRDSインスタンスへのアクセスが許可されます。

  1. RDSインスタンスにアクセスし、上部のリージョンを選択し、対象のRDSインスタンスのIDをクリックします。
  2. 左側のナビゲーションウィンドウで、[セキュリティコントロール] をクリックします。
  3. [ホワイトリストグループを追加] をクリックします。 表示されるダイアログボックスで、ホワイトリスト名などのパラメーターを設定してIPアドレスホワイトリストを作成します。 または、既存のIPアドレスホワイトリストの右側にある [変更] をクリックして、IPアドレスホワイトリストを変更します。
  4. RDSインスタンスへのアクセスが必要なIPアドレスまたはCIDRブロックを入力します。 次に、[OK] をクリックします。
    説明
    • 複数のIPアドレスまたはCIDRブロックを入力する場合は、これらのIPアドレスまたはCIDRブロックをコンマ (,) で区切る必要があります。 コンマの前後にスペースを追加しないでください。 例: 192.168.0.1,172.16.213.9
    • RDSインスタンスごとに最大1,000個のIPアドレスとCIDRブロックを設定できます。 多数のIPアドレスを入力する場合は、IPアドレスを10.10.10.0/24などのCIDRブロックにマージすることを推奨します。
  5. 以下の手順は必要に応じて実行します。 RDSインスタンスに読み取り専用RDSインスタンスがアタッチされている場合、[ホワイトリストを読み取り専用インスタンスに同期] パラメーターを使用して、IPアドレスホワイトリストを読み取り専用RDSインスタンスに同期するようにRDSインスタンスを設定できます。 ApsaraDB RDSは、複数の読み取り専用RDSインスタンスへのIPアドレスホワイトリストの同期をサポートしています。
  6. 以下の手順は必要に応じて実行します。 [ECS Inner IPの読み込み] をクリックします。 表示されるダイアログボックスで、Alibaba Cloudアカウント内に作成されたすべてのECSインスタンスのIPアドレスを表示します。 次に、接続するECSインスタンスのIPアドレスをIPアドレスホワイトリストに追加します。

拡張IPアドレスホワイトリストの設定

拡張ホワイトリストモードでは、ApsaraDB RDSはクラシックネットワークとVPCを区別します。 各拡張IPアドレスホワイトリストのネットワーク分離モードを指定する必要があります。 たとえば、IPアドレスホワイトリストの [ネットワーク分離モード] パラメーターが [クラシックネットワーク] に設定されている場合、IPアドレスホワイトリストのIPアドレスはクラシックネットワーク経由でのみRDSインスタンスへのアクセスが許可され、これらのIPアドレスからVPC経由でRDSインスタンスに接続することはできません。

拡張ホワイトリストモードは、ローカルSSDを備えたRDSインスタンスでのみサポートされます。 RDSインスタンスが拡張ホワイトリストモードで実行されている場合、次の手順を実行して、拡張IPアドレスホワイトリストを設定できます。 RDSインスタンスのネットワーク分離モードを標準ホワイトリストモードから拡張ホワイトリストモードに切り替える方法の詳細については、「Switch an ApsaraDB RDS for PostgreSQL instance to the enhanced whitelist mode」をご参照ください。

  1. RDSインスタンスにアクセスし、上部のリージョンを選択し、対象のRDSインスタンスのIDをクリックします。
  2. 左側のナビゲーションウィンドウで、[セキュリティコントロール] をクリックします。
  3. [ホワイトリストの設定] タブで、IPアドレスホワイトリストを作成または変更します。
    • IPアドレスホワイトリストの作成
      1. [ホワイトリストグループを追加] をクリックします。
      2. [ネットワーク分離モード] パラメーターを設定します。
      3. [ホワイトリスト名] フィールドに名前を入力し、IPアドレスまたはCIDRブロックを追加して、[OK] をクリックします。
    • IPアドレスホワイトリストを変更します。

      IPアドレスホワイトリストの右側にある [変更] をクリックします。

  4. [ホワイトリストの編集] ダイアログボックスで、IPアドレスまたはCIDRブロックを追加し、[OK] をクリックします。
    説明
    • 複数のIPアドレスまたはCIDRブロックを入力する場合は、これらのIPアドレスまたはCIDRブロックをコンマ (,) で区切る必要があります。 コンマの前後にスペースを追加しないでください。 例: 192.168.0.1,172.16.213.9
    • RDSインスタンスごとに最大1,000個のIPアドレスとCIDRブロックを設定できます。 多数のIPアドレスを入力する場合は、IPアドレスを10.10.10.0/24などのCIDRブロックにマージすることを推奨します。
  5. 以下の手順は必要に応じて実行します。 RDSインスタンスに読み取り専用RDSインスタンスがアタッチされている場合、[ホワイトリストを読み取り専用インスタンスに同期] パラメーターを使用して、IPアドレスホワイトリストを読み取り専用RDSインスタンスに同期するようにRDSインスタンスを設定できます。 ApsaraDB RDSは、複数の読み取り専用RDSインスタンスへのIPアドレスホワイトリストの同期をサポートしています。
  6. 以下の手順は必要に応じて実行します。 [ECS Inner IPの読み込み] をクリックします。 表示されるダイアログボックスで、Alibaba Cloudアカウント内に作成されたすべてのECSインスタンスのIPアドレスを表示します。 次に、接続するECSインスタンスのIPアドレスをIPアドレスホワイトリストに追加します。

操作内容

Create a database and an account on an ApsaraDB RDS for PostgreSQL instance

関連する操作

操作 説明
DescribeDBInstanceIPArrayList ApsaraDB RDSインスタンスのIPアドレスホワイトリストを照会します。
ModifySecurityIps ApsaraDB RDSインスタンスのIPアドレスホワイトリストを変更します。