本文中含有需要您注意的重要提示信息,忽略該信息可能對您的業務造成影響,請務必仔細閱讀。
為保障云數據庫 Tair(兼容 Redis)實例的安全穩定,系統默認禁止所有IP地址訪問Tair(以及Redis開源版)實例。在開始使用Tair(以及Redis開源版)實例前,您需要將客戶端的IP地址或IP地址段添加到實例的白名單中。正確使用白名單可以讓實例得到高級別的訪問安全保護,建議您定期維護白名單。
白名單設置方法介紹
設置方法 | 說明 | 適用場景 |
添加白名單 | 手動添加客戶端所屬的IP地址到實例的白名單,以允許該客戶端訪問實例。 | |
添加安全組 | 安全組是一種虛擬防火墻,用于控制安全組中的ECS的出入流量。 如果需要授權多個ECS訪問實例,您可以為實例綁定ECS所屬安全組的方式,綁定后安全組內所有ECS都可以訪問該實例(無需手動填寫ECS的IP地址)。 | |
通過阿里云App設置白名單(手機端) | 阿里云App是阿里云官方出品的移動應用,為您提供隨時隨地觸達阿里云的能力。通過阿里云App,您可以在手機端快速完成IP白名單的設置,同時還支持云資源監控、了解產品動態、購買云產品等功能。 | 通過手機App添加專有網絡IP或公網IP到白名單 |
您也可以同時設置白名單分組和ECS安全組,白名單分組中的IP地址和安全組中的ECS實例都可以訪問該實例。
添加ECS私網IP到白名單
如果您的ECS與實例位于同一專有網絡(VPC),推薦您通過專有網絡訪問。
如果您的ECS與實例不屬于同一專有網絡,您可以更換ECS實例所屬的專有網絡。具體操作,請參見更換ECS的VPC。
訪問實例列表,在上方選擇地域,然后單擊目標實例ID。
在左側導航欄,單擊白名單設置。
在default默認安全組,單擊修改。
說明您也可以單擊添加白名單分組創建一個新的分組。分組名稱長度為2~32個字符,由小寫字母、數字或下劃線(_)組成,需以小寫字母開頭,以小寫字母或數字結尾。
添加方式選擇加載ECS私網IP,頁面將展示該實例同一地域的ECS私網IP。
鼠標指針懸浮在IP地址上,可查看該IP地址所屬ECS實例ID和名稱
選中需要的IP地址,將其移至右側。
單擊確定。
可選:若某個白名單分組中的所有IP地址均需要移除,您可以在目標白名單分組的右側單擊刪除來完成該操作。
系統默認生成的白名單分組無法刪除,例如default、hdm_security_ips等。
添加公網IP到白名單
當您需要從本地設備遠程訪問實例或您的ECS與實例不在同一專有網絡(VPC)時,請參考以下步驟添加白名單。
訪問實例列表,在上方選擇地域,然后單擊目標實例ID。
在左側導航欄,單擊白名單設置。
在default默認安全組,單擊修改。
說明您也可以單擊添加白名單分組創建一個新的分組。分組名稱長度為2~32個字符,由小寫字母、數字或下劃線(_)組成,需以小寫字母開頭,以小寫字母或數字結尾。
添加方式選擇手動添加。
在組內白名單文本框中,輸入IP地址或IP地址段。
類別
查詢公網IP地址的方法
本地
查詢本地設備公網IP地址的方式可能因您所處的網絡環境或操作不同而不同。以下是不同系統通過命令方式獲取本地設備公網IP地址的參考方法:
Linux操作系統:打開終端,輸入
curl ifconfig.me命令后回車。Windows操作系統:打開命令提示符,輸入
curl ip.me命令后回車。macOS操作系統:打開終端,輸入
curl ifconfig.me命令后回車。
IP地址以英文逗號(,)分隔,不可重復,最多1000個。支持格式為:
具體IP地址,例如10.23.12.24。
CIDR模式,即無類域間路由,/24表示地址中前綴的長度,范圍為1~32,例如10.23.12.0/24表示的IP段范圍為10.23.12.0 ~ 10.23.12.255。
警告在白名單中添加0.0.0.0/0表示允許所有IP地址訪問該實例。該操作存在高安全風險,請謹慎設置。
單擊確定。
可選:若某個白名單分組中的所有IP地址均需要移除,您可以在目標白名單分組的右側單擊刪除來完成該操作。
系統默認生成的白名單分組無法刪除,例如default、hdm_security_ips等。
通過安全組批量添加ECS公網和私網IP
如果多個ECS實例需要訪問實例,可以為實例設置安全組,設置后,該安全組中的所有ECS實例可以訪問實例。
實例的大版本需為Redis 4.0(最新小版本)及以上的大版本,升級方法請參見升級大版本。
暫不支持設置ECS安全組的地域:華南2(河源)
暫不支持設置ECS安全組的實例架構:云原生版集群架構、云原生版讀寫分離架構。
訪問實例列表,在上方選擇地域,然后單擊目標實例ID。
在左側導航欄,單擊白名單設置。
單擊安全組。
在安全組頁簽,單擊添加安全組。
在彈出的對話框中,選擇需要添加的安全組。
支持通過安全組名稱、安全組ID進行模糊搜索。
圖 3. 添加安全組
說明每個實例最多可設置10個安全組。
單擊確定。
可選:當您需要移除所有安全組時,您可以單擊清除安全組來實現。
通過阿里云App設置白名單
選擇下述方式,下載并安裝阿里云App:
訪問阿里云App介紹頁面,掃描右上角的二維碼。
在應用市場中搜索阿里云。
打開阿里云App,在運維頁面我的資源中,找到云數據庫 Tair(兼容 Redis),單擊實例列表。
單擊目標實例。在頁面頂部單擊賬號&白名單。
根據業務需求,選擇執行下述操作:
手動修改白名單:單擊目標白名單分組右側的
圖標,然后單擊修改并輸入IP白名單。新增白名單分組:在頁面下方單擊添加白名單分組,輸入分組名稱和IP白名單。
刪除白名單分組:單擊目標白名單分組右側的
圖標,然后選擇刪除 。
相關API
API | 說明 |
查詢實例的IP白名單。 | |
設置實例的IP白名單。 | |
查詢實例白名單中已配置的安全組。 | |
重新設置實例白名單中的安全組。 |
常見問題
為什么通過redis-cli連上后提示(error) ERR illegal address?
您的redis-cli所屬設備的IP地址未添加至白名單中,請確認白名單配置。
我的實例為什么沒有安全組設置?
以下實例暫不支持通過安全組的方式添加白名單。
實例的大版本需為Redis 4.0(最新小版本)及以上的大版本,升級方法請參見升級大版本。
暫不支持設置ECS安全組的實例架構:云原生版集群架構、云原生版讀寫分離架構。
安全組設置了訪問規則,為什么對實例不生效?
現象:安全組設置了訪問規則,例如允許118.31.XX.XX這個IP的訪問,但其他IP依然可以訪問。
原因:您為安全組設置的出入流量規則不適用于Tair(以及Redis開源版)實例。Tair(以及Redis開源版)實例添加安全組,表示安全組內的ECS實例可以通過專有網絡或公網訪問實例。
通過telnet測試端口報錯Connection closed by foreign host,怎么解決?
報錯如下。
Escape character is '^]'.
Connection closed by foreign host.表示當前設備的IP地址未添加到目標實例的白名單中,請參考上文方法將IP地址添加至白名單中,并重試。
實例里自動生成的白名單分組,它們的來源是什么?可以刪除嗎?
白名單分組里除了客戶端的IP地址,還包含了127.0.0.1,此時該客戶端可以連接實例嗎?
該客戶端可以正常連接,如果所有的白名單分組里僅剩下127.0.0.1,則禁止所有IP地址連接實例。
本地設備的公網IP地址每次都會變化,每次都需要重新添加IP地址,有什么解決方案?
若本地設備的公網為動態IP,會時常發生變化,您可以在實例的IP白名單中加入相關IP網段。例如IP地址總是在10.10.10.*網段(10.10.10.15或10.10.10.155等),您可以在白名單中添加10.10.10.0/24,表示將10.10.10.0 ~ 10.10.10.255范圍的IP都添加至白名單中。
該方案會導致實例的安全性有所降低,請謹慎使用。