更新时间:2022-04-22 GMT+08:00
分享

如何配置安全组

由于Redis 3.0/Memcached和Redis 4.0/Redis 5.0/Redis 6.0实例的部署模式不一样,DCS在控制访问缓存实例的方式也不一样,差别如下:

  • Redis 3.0/Memcached:通过配置安全组访问规则控制,不支持白名单功能。安全组配置操作请参考本章节操作。
  • Redis 4.0/Redis 5.0/Redis 6.0:不支持安全组,只支持通过白名单控制。白名单配置操作,请参考管理实例白名单

本节主要介绍VPC内访问DCS Redis 3.0/Memcached实例和通过公网访问DCS Redis 3.0实例时如何配置安全组。

VPC内访问Redis 3.0和Memcached实例

客户端只能部署在与DCS缓存实例处于相同虚拟私有云(VPC)和相同子网的弹性云服务器(ECS)上。

除了ECS、DCS缓存实例必须处于相同VPC之外,还需要他们的安全组分别配置了正确的规则,客户端才能访问DCS缓存实例。

  • 如果ECS、DCS缓存实例配置相同的安全组,安全组创建后,默认包含组内网络访问不受限制的规则。
  • 如果ECS、DCS缓存实例配置了不同安全组,可参考如下配置方式:
    • 假设ECS、DCS缓存实例分别配置了安全组:sg-ECS、sg-DCS。
    • 以Redis 3.0访问端口6379为例,Memcached实例请以实际情况为准。
    • 以下规则,远端可使用安全组,也可以使用具体的IP地址。
    1. 配置ECS所在安全组。

      ECS所在安全组需要增加如下出方向规则,以保证客户端能正常访问DCS缓存实例。

    2. 配置DCS缓存实例所在安全组。

      DCS实例所在安全组需要增加如下入方向规则,以保证能被客户端访问。

      缓存实例的入方向规则中,源地址建议使用指定IP地址,慎用“0.0.0.0/0”,避免绑定相同安全组的弹性云服务器遭受Redis漏洞攻击。

通过公网访问Redis 3.0实例

DCS缓存实例安全组配置了正确的规则,客户端才能访问DCS缓存实例。

假设DCS缓存实例安全组为sg-DCS,则需要配置如下入方向规则:

协议为TCP,源IP为0.0.0.0/0,或者指定客户端地址。SSL加密功能开启时,端口配置为36379;SSL加密功能关闭时,端口配置为6379。如下图所示。

图1 安全组规则(端口配置为36379)
图2 安全组规则(端口配置为6379)
分享:

客户端和网络连接所有常见问题

more

close