如何配置安全组

VPC内访问Redis 3.0/Memcached/Redis 6.0企业版实例

为避免跨VPC访问导致时延增大影响DCS缓存实例性能，建议客户端部署在与DCS缓存实例处于相同虚拟私有云（VPC）和相同子网的弹性云服务器（ECS）上。

除了建议ECS、DCS缓存实例处于相同VPC之外，还需要他们的安全组分别配置了正确的规则，客户端才能访问DCS缓存实例。

• 如果ECS、DCS缓存实例配置相同的安全组，安全组创建后，默认包含组内网络访问不受限制的规则。
• 如果ECS、DCS缓存实例配置了不同安全组，可参考如下配置方式：
  

  • 假设ECS、DCS缓存实例分别配置了安全组：sg-ECS、sg-DCS。
  • 以Redis 3.0访问端口6379为例，其它实例请以实际情况为准。
  • 以下规则，远端可使用安全组，也可以使用具体的IP地址。
  1. 配置ECS所在安全组。

     ECS所在安全组需要增加如下出方向规则，以保证客户端能正常访问DCS缓存实例。如果出方向规则不受限，则不用添加。

     

  2. 配置DCS缓存实例所在安全组。

     DCS实例所在安全组需要增加如下入方向规则，以保证能被客户端访问。

     

     

     缓存实例的入方向规则中，源地址建议使用指定IP地址，慎用“0.0.0.0/0”，避免绑定相同安全组的弹性云服务器遭受Redis漏洞攻击。

通过公网访问Redis 3.0实例

DCS缓存实例安全组配置了正确的规则，客户端才能访问DCS缓存实例。

假设DCS缓存实例安全组为sg-DCS，则需要配置如下入方向规则：

协议为TCP，源IP为0.0.0.0/0，或者指定客户端地址。SSL加密功能开启时，端口配置为36379；SSL加密功能关闭时，端口配置为6379。如下图所示。

图1 安全组规则（以端口配置为36379为例）

迁移任务安全组说明

• 使用DCS在线迁移时，创建迁移任务需要选择安全组，迁移任务所选安全组的“出方向规则”需要放通源端Redis和目标端Redis的IP和端口（默认情况下安全组出方向是全部放通的，则无需再单独放通）。
• 使用DCS的备份迁移时，会使用到“default”安全组，需确认“default”安全组的“出方向规则”全部放通（默认情况下安全组出方向是全部放通的，则无需再单独放通）。
  图2 迁移任务安全组“出方向规则”