设置IP白名单

重要

本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。

为保障云数据库 Tair(兼容 Redis)实例的安全稳定,系统默认禁止所有IP地址访问Tair(以及Redis开源版实例。在开始使用Tair(以及Redis开源版实例前,您需要将客户端的IP地址或IP地址段添加到实例的白名单中。正确使用白名单可以让实例得到高级别的访问安全保护,建议您定期维护白名单。

白名单设置方法介绍

设置方法

说明

适用场景

添加白名单

手动添加客户端所属的IP地址到实例的白名单,以允许该客户端访问实例。

添加安全组

安全组是一种虚拟防火墙,用于控制安全组中的ECS的出入流量。

如果需要授权多个ECS访问实例,您可以为实例绑定ECS所属安全组的方式,绑定后安全组内所有ECS都可以访问该实例(无需手动填写ECS的IP地址)。

通过安全组批量添加ECS公网和私网IP

通过阿里云App设置白名单(手机端)

阿里云App是阿里云官方出品的移动应用,为您提供随时随地触达阿里云的能力。通过阿里云App,您可以在手机端快速完成IP白名单的设置,同时还支持云资源监控、了解产品动态、购买云产品等功能。

通过手机App添加专有网络IP或公网IP到白名单

说明

您也可以同时设置白名单分组和ECS安全组,白名单分组中的IP地址和安全组中的ECS实例都可以访问该实例。

添加ECS私网IP到白名单

如果您的ECS与实例位于同一专有网络(VPC),推荐您通过专有网络访问。

说明

如果您的ECS与实例不属于同一专有网络,您可以更换ECS实例所属的专有网络。具体操作,请参见更换ECS的VPC

  1. 访问实例列表,在上方选择地域,然后单击目标实例ID。

  2. 在左侧导航栏,单击白名单设置

  3. default默认安全组,单击修改

    说明

    您也可以单击添加白名单分组创建一个新的分组。分组名称长度为2~32个字符,由小写字母、数字或下划线(_)组成,需以小写字母开头,以小写字母或数字结尾。

  4. 添加方式选择加载ECS私网IP,页面将展示该实例同一地域的ECS私网IP。

    鼠标指针悬浮在IP地址上,可查看该IP地址所属ECS实例ID和名称

  5. 选中需要的IP地址,将其移至右侧。

  6. 单击确定

  7. 可选:若某个白名单分组中的所有IP地址均需要移除,您可以在目标白名单分组的右侧单击删除来完成该操作。

    系统默认生成的白名单分组无法删除,例如defaulthdm_security_ips等。

添加公网IP到白名单

当您需要从本地设备远程访问实例或您的ECS与实例不在同一专有网络(VPC)时,请参考以下步骤添加白名单。

  1. 访问实例列表,在上方选择地域,然后单击目标实例ID。

  2. 在左侧导航栏,单击白名单设置

  3. default默认安全组,单击修改

    说明

    您也可以单击添加白名单分组创建一个新的分组。分组名称长度为2~32个字符,由小写字母、数字或下划线(_)组成,需以小写字母开头,以小写字母或数字结尾。

  4. 添加方式选择手动添加

  5. 组内白名单文本框中,输入IP地址或IP地址段。

    查询本地设备公网IP和ECS公网IP的方法

    类别

    查询公网IP地址的方法

    ECS实例

    查询ECS的IP地址?

    本地

    查询本地设备公网IP地址的方式可能因您所处的网络环境或操作不同而不同。以下是不同系统通过命令方式获取本地设备公网IP地址的参考方法:

    • Linux操作系统:打开终端,输入curl ifconfig.me命令后回车。

    • Windows操作系统:打开命令提示符,输入curl ip.me命令后回车。

    • macOS操作系统:打开终端,输入curl ifconfig.me命令后回车。

    IP地址以英文逗号(,)分隔,不可重复,最多1000个。支持格式为:

    • 具体IP地址,例如10.23.12.24。

    • CIDR模式,即无类域间路由,/24表示地址中前缀的长度,范围为1~32,例如10.23.12.0/24表示的IP段范围为10.23.12.0 ~ 10.23.12.255。

    警告

    在白名单中添加0.0.0.0/0表示允许所有IP地址访问该实例。该操作存在高安全风险,请谨慎设置。

  6. 单击确定

  7. 可选:若某个白名单分组中的所有IP地址均需要移除,您可以在目标白名单分组的右侧单击删除来完成该操作。

    系统默认生成的白名单分组无法删除,例如defaulthdm_security_ips等。

通过安全组批量添加ECS公网和私网IP

如果多个ECS实例需要访问实例,可以为实例设置安全组,设置后,该安全组中的所有ECS实例可以访问实例。

说明
  • 实例的大版本需为Redis 4.0(最新小版本)及以上的大版本,升级方法请参见升级大版本

  • 暂不支持设置ECS安全组的地域:华南2(河源)

  • 暂不支持设置ECS安全组的实例架构:云原生版集群架构、云原生版读写分离架构。

  1. 访问实例列表,在上方选择地域,然后单击目标实例ID。

  2. 在左侧导航栏,单击白名单设置

  3. 单击安全组

  4. 安全组页签,单击添加安全组

  5. 在弹出的对话框中,选择需要添加的安全组。

    支持通过安全组名称安全组ID进行模糊搜索。

    图 3. 添加安全组添加安全组

    说明

    每个实例最多可设置10个安全组。

  6. 单击确定

  7. 可选:当您需要移除所有安全组时,您可以单击清除安全组来实现。

通过阿里云App设置白名单

  1. 选择下述方式,下载并安装阿里云App:

  2. 登录阿里云App

  3. 打开阿里云App,在运维页面我的资源中,找到云数据库Redis版,单击Redis实例

  4. 单击目标实例。在页面顶部单击账号&白名单

  5. 根据业务需求,选择执行下述操作:

    • 手动修改白名单:单击目标白名单分组右侧的阿里云APP更多图标图标,然后单击修改并输入IP白名单。

    • 新增白名单分组:在页面下方单击添加白名单分组,输入分组名称和IP白名单。

    • 删除白名单分组:单击目标白名单分组右侧的阿里云APP更多图标图标,然后选择删除

相关API

API

说明

DescribeSecurityIps

查询实例的IP白名单。

ModifySecurityIps

设置实例的IP白名单。

DescribeSecurityGroupConfiguration

查询实例白名单中已配置的安全组。

ModifySecurityGroupConfiguration

重新设置实例白名单中的安全组。

常见问题

为什么通过redis-cli连上后提示(error) ERR illegal address

您的redis-cli所属设备的IP地址未添加至白名单中,请确认白名单配置。

我的实例为什么没有安全组设置?

以下实例暂不支持通过安全组的方式添加白名单。

  • 实例的大版本需为Redis 4.0(最新小版本)及以上的大版本,升级方法请参见升级大版本

  • 暂不支持设置ECS安全组的实例架构:云原生版集群架构、云原生版读写分离架构。

安全组设置了访问规则,为什么对实例不生效?

现象:安全组设置了访问规则,例如允许118.31.XX.XX这个IP的访问,但其他IP依然可以访问。

原因:您为安全组设置的出入流量规则不适用于Tair(以及Redis开源版实例。Tair(以及Redis开源版实例添加安全组,表示安全组内的ECS实例可以通过专有网络或公网访问实例。

通过telnet测试端口报错Connection closed by foreign host,怎么解决

报错如下。

Escape character is '^]'.
Connection closed by foreign host.

表示当前设备的IP地址未添加到目标实例的白名单中,请参考上文方法将IP地址添加至白名单中,并重试。

实例里自动生成的白名单分组,它们的来源是什么?可以删除吗?

初始情况下,实例的白名单分组仅包含default,随着对实例执行某些操作,白名单分组会逐渐增多,详情请参见下表。

白名单分组名称

来源说明

default

系统默认的白名单分组,不可删除。

ali_dms_group

通过DMS登录实例时,DMS自动创建的白名单分组。具体操作,请参见通过DMS连接实例。请勿删除或修改该白名单分组,否则可能导致无法通过DMS登录实例。

hdm_security_ips

使用CloudDBA相关功能时(例如离线全量Key分析),DAS自动创建的白名单分组。请勿删除或修改该白名单分组,否则可能导致CloudDBA功能使用异常。

白名单分组里除了客户端的IP地址,还包含了127.0.0.1,此时该客户端可以连接实例吗?

该客户端可以正常连接,如果所有的白名单分组里仅剩下127.0.0.1,则禁止所有IP地址连接实例。

本地设备的公网IP地址每次都会变化,每次都需要重新添加IP地址,有什么解决方案?

若本地设备的公网为动态IP,会时常发生变化,您可以在实例的IP白名单中加入相关IP网段。例如IP地址总是在10.10.10.*网段(10.10.10.15或10.10.10.155等),您可以在白名单中添加10.10.10.0/24,表示将10.10.10.0 ~ 10.10.10.255范围的IP都添加至白名单中。

警告

该方案会导致实例的安全性有所降低,请谨慎使用。