更新时间:2023-09-04 GMT+08:00
如何配置安全组
由于Redis 3.0/Memcached和Redis 4.0/Redis 5.0/Redis 6.0实例的部署模式不一样,DCS在控制访问缓存实例的方式也不一样,差别如下:
- Redis 3.0/Memcached/Redis 6.0企业版:通过配置安全组访问规则控制,不支持白名单功能。安全组配置操作请参考本章节操作。
- Redis 4.0/Redis 5.0/Redis 6.0 基础版:不支持安全组,只支持通过白名单控制。白名单配置操作,请参考管理实例白名单。
本节主要介绍VPC内访问DCS Redis 3.0/Memcached/Redis 6.0企业版实例,和通过公网访问DCS Redis 3.0实例时如何配置安全组。
VPC内访问Redis 3.0/Memcached/Redis 6.0企业版实例
为避免跨VPC访问导致时延增大影响DCS缓存实例性能,建议客户端部署在与DCS缓存实例处于相同虚拟私有云(VPC)和相同子网的弹性云服务器(ECS)上。
除了建议ECS、DCS缓存实例处于相同VPC之外,还需要他们的安全组分别配置了正确的规则,客户端才能访问DCS缓存实例。
- 如果ECS、DCS缓存实例配置相同的安全组,安全组创建后,默认包含组内网络访问不受限制的规则。
- 如果ECS、DCS缓存实例配置了不同安全组,可参考如下配置方式:
- 假设ECS、DCS缓存实例分别配置了安全组:sg-ECS、sg-DCS。
- 以Redis 3.0访问端口6379为例,其它实例请以实际情况为准。
- 以下规则,远端可使用安全组,也可以使用具体的IP地址。
通过公网访问Redis 3.0实例
DCS缓存实例安全组配置了正确的规则,客户端才能访问DCS缓存实例。
假设DCS缓存实例安全组为sg-DCS,则需要配置如下入方向规则:
协议为TCP,源IP为0.0.0.0/0,或者指定客户端地址。SSL加密功能开启时,端口配置为36379;SSL加密功能关闭时,端口配置为6379。如下图所示。
图1 安全组规则(以端口配置为36379为例)
迁移任务安全组说明
- 使用DCS在线迁移时,创建迁移任务需要选择安全组,迁移任务所选安全组的“出方向规则”需要放通源端Redis和目标端Redis的IP和端口(默认情况下安全组出方向是全部放通的,则无需再单独放通)。
- 使用DCS的备份迁移时,会使用到“default”安全组,需确认“default”安全组的“出方向规则”全部放通(默认情况下安全组出方向是全部放通的,则无需再单独放通)。
图2 迁移任务安全组“出方向规则”
父主题: 安全性
