文档

步骤2:设置白名单

更新时间:
重要

本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。

为保障云原生内存数据库 Tair的安全稳定,系统默认禁止所有IP地址访问Tair实例。在开始使用Tair实例前,您需要将客户端的IP地址或IP地址段添加到Tair实例的白名单中。正确使用白名单可以让Tair得到高级别的访问安全保护,建议您定期维护白名单。

白名单设置方法介绍

设置方法

说明

适用场景

添加白名单

手动添加客户端所属的IP地址到Tair实例的白名单,以允许该客户端访问Tair实例。

添加安全组

安全组是一种虚拟防火墙,用于控制安全组中的ECS实例的出入流量。

如果需要授权多个ECS实例访问Tair实例,您可以为Tair实例绑定ECS所属安全组的方式,绑定后安全组内所有ECS实例都可以访问Tair实例(无需手动填写ECS的IP地址)。

说明
  • 实例的大版本需为Redis 4.0(最新小版本)及以上的大版本,升级方法请参见升级大版本

  • 暂不支持设置ECS安全组的地域:华南2(河源)。

  • 暂不支持设置ECS安全组的实例架构:云原生版集群架构、云原生版读写分离架构。

相同地域的ECS实例访问Tair

说明

您也可以同时设置白名单分组和ECS安全组,白名单分组中的IP地址和安全组中的ECS实例都可以访问该Tair实例。

添加公网IP到白名单

当您需要从本地设备远程访问Tair或您的ECS实例与Tair不在同一专有网络(VPC)时,请参考以下步骤添加白名单。

  1. 访问Tair实例列表,在上方选择地域,然后单击目标实例ID。

  2. 在左侧导航栏,单击白名单设置

  3. default默认安全组,单击修改

    说明

    您也可以单击添加白名单分组创建一个新的分组。分组名称长度为2~32个字符,由小写字母、数字或下划线(_)组成,需以小写字母开头,以小写字母或数字结尾。

  4. 添加方式选择手动添加

  5. 组内白名单文本框中,输入IP地址或IP地址段。

    查询本地设备公网IP和ECS公网IP的方法

    类别

    查询公网IP地址的方法

    ECS实例

    查询ECS实例的IP地址

    本地

    查询本地设备公网IP地址的方式可能因您所处的网络环境或操作不同而不同。以下是不同系统通过命令方式获取本地设备公网IP地址的参考方法:

    • Linux操作系统:打开终端,输入curl ifconfig.me命令后回车。

    • Windows操作系统:打开命令提示符,输入curl ip.me命令后回车。

    • macOS操作系统:打开终端,输入curl ifconfig.me命令后回车。

    IP地址以英文逗号(,)分隔,不可重复,最多1000个。支持格式为:

    • 具体IP地址,例如10.23.12.24。

    • CIDR模式,即无类域间路由,/24表示地址中前缀的长度,范围为1~32,例如10.23.12.0/24表示的IP段范围为10.23.12.0 ~ 10.23.12.255。

    警告

    在白名单中添加0.0.0.0/0表示允许所有IP地址访问该实例。该操作存在高安全风险,请谨慎设置。

  6. 单击确定

  7. 可选:若某个白名单分组中的所有IP地址均需要移除,您可以在目标白名单分组的右侧单击删除来完成该操作。

    系统默认生成的白名单分组无法删除,例如defaulthdm_security_ips等。

添加ECS私网IP到白名单

如果您的ECS实例与Tair位于同一专有网络(VPC),推荐您通过专有网络访问。

说明

如果您的ECS实例与Tair实例不属于同一专有网络(即实例基本信息中的专有网络ID一致),您可以更换ECS实例所属的专有网络。具体操作,请参见更换ECS实例的VPC

  1. 访问Tair实例列表,在上方选择地域,然后单击目标实例ID。

  2. 在左侧导航栏,单击白名单设置

  3. default默认安全组,单击修改

    说明

    您也可以单击添加白名单分组创建一个新的分组。分组名称长度为2~32个字符,由小写字母、数字或下划线(_)组成,需以小写字母开头,以小写字母或数字结尾。

  4. 添加方式选择加载ECS私网IP,页面将展示该实例同一地域的ECS私网IP。

  5. 鼠标指针悬浮在IP地址上,查看该IP地址所属ECS实例的ID和名称,并选中需要的IP地址。

  6. 单击确定

  7. 可选:若某个白名单分组中的所有IP地址均需要移除,您可以在目标白名单分组的右侧单击删除来完成该操作。

    系统默认生成的白名单分组无法删除,例如defaulthdm_security_ips等。

通过安全组批量添加ECS公网和私网IP

说明
  • 实例的大版本需为Redis 4.0(最新小版本)及以上的大版本,升级方法请参见升级大版本

  • 暂不支持设置ECS安全组的地域:华南2(河源)。

  • 暂不支持设置ECS安全组的实例架构:云原生版集群架构、云原生版读写分离架构。

如果多个ECS实例需要访问Tair实例,可以为Tair实例添加安全组。将ECS安全组添加至Tair实例后,该安全组中的所有ECS实例可以通过内网、公网访问Tair实例(公网访问Tair实例时,需提前已申请Tair实例的公网连接地址,具体操作请参见使用公网地址连接Tair)。

  1. 访问Tair实例列表,在上方选择地域,然后单击目标实例ID。

  2. 在左侧导航栏,单击白名单设置

  3. 单击安全组

  4. 安全组页签,单击添加安全组

  5. 在弹出的对话框中,选择需要添加的安全组。

    支持通过安全组名称安全组ID进行模糊搜索。

    图 3. 添加安全组添加安全组

    说明

    每个实例最多可设置10个安全组。

  6. 单击确定

  7. 可选:当您需要移除所有安全组时,您可以单击清除安全组来实现。

相关API

API

说明

DescribeSecurityIps - 查询实例的IP白名单

查询Tair实例的IP白名单。

ModifySecurityIps - 修改IP白名单

修改Tair实例的IP白名单。

DescribeSecurityGroupConfiguration - 查询已配置的安全组

查询Tair实例白名单中已配置的安全组。

ModifySecurityGroupConfiguration - 设置Redis实例白名单中的安全组

重新设置Tair实例白名单中的安全组。

常见问题

为什么通过redis-cli连上后提示(error) ERR illegal address

您的redis-cli所属设备的IP地址未添加至白名单中,请确认白名单配置。

我的Tair实例为什么没有安全组设置?

以下实例暂不支持通过安全组的方式添加白名单。

  • 实例的大版本需为Redis 4.0(最新小版本)及以上的大版本,升级方法请参见升级大版本

  • 暂不支持设置ECS安全组的实例架构:云原生版集群架构、云原生版读写分离架构。

安全组设置了访问规则,为什么对Tair实例不生效?

现象:安全组设置了访问规则,例如允许118.31.XX.XX这个IP的访问,但其他IP依然可以访问Tair

原因:您为安全组设置的出入流量规则不适用于TairTair添加安全组,表示安全组内的ECS实例可以通过专有网络或公网访问Tair实例。

通过telnet测试端口报错Connection closed by foreign host,怎么解决

报错如下。

Escape character is '^]'.
Connection closed by foreign host.

表示当前设备的IP地址未添加到目标实例的白名单中,请参考上文方法将IP地址添加至白名单中,并重试。

Tair实例里自动生成的白名单分组,它们的来源是什么?可以删除吗?

初始情况下,Tair实例的白名单分组仅包含default,随着对实例执行某些操作,白名单分组会逐渐增多,详情请参见下表。

白名单分组名称

来源说明

default

系统默认的白名单分组,不可删除。

ali_dms_group

通过DMS登录Tair实例时,DMS自动创建的白名单分组。具体操作,请参见通过DMS连接Tair。请勿删除或修改该白名单分组,否则可能导致无法通过DMS登录Tair实例。

hdm_security_ips

使用CloudDBA相关功能时(例如离线全量Key分析),DAS自动创建的白名单分组。请勿删除或修改该白名单分组,否则可能导致CloudDBA功能使用异常。

白名单分组里除了客户端的IP地址,还包含了127.0.0.1,此时该客户端可以连接Tair实例吗?

该客户端可以正常连接,如果所有的白名单分组里仅剩下127.0.0.1,则禁止所有IP地址连接Tair实例。

  • 本页导读 (1)