Como configurar um grupo de segurança?
As instâncias do DCS Redis 3.0/4.0/5.0/6.0 e do Memcached são implementadas em modos diferentes. Portanto, o método de controle de acesso varia.
- Para controlar o acesso às instâncias do DCS Redis 3.0, Memcached e Redis 6.0 edição profissional, você pode usar grupos de segurança. Listas brancas não são suportadas. As operações de grupo de segurança são descritas nesta seção.
- Para controlar o acesso às instâncias do DCS Redis 4.0/5.0/6.0 edição básica, você pode usar listas brancas. Grupos de segurança não são suportados. As operações da lista branca são descritas em Gerenciamento da lista branca de endereços IP.
A seguir, descrevemos como configurar grupos de segurança para intra-VPC access e public access a instâncias do DCS Redis 3.0, Memcached e Redis 6.0 edição profissional.
Acesso dentro da VPC a instâncias do DCS Redis 3.0, Memcached e Redis 6.0 edição profissional
Um ECS pode se comunicar com uma instância de DCS se ela pertencer à mesma VPC e as mesmas regras de sub-rede e grupo de segurança estiverem configuradas corretamente.
- Se a instância do ECS e do DCS estiverem configuradas com o mesmo grupo de segurança, o acesso à rede no grupo não será restrito por padrão.
- Se a instância do ECS e do DCS estiverem configuradas com grupos de segurança diferentes, adicione regras de grupo de segurança para garantir que a instância do ECS e do DCS possam acessar uma à outra.
- Suponha que o ECS no qual o cliente é executado pertence ao grupo de segurança sg-ECS e a instância de DCS que o cliente acessará pertence ao grupo de segurança sg-DCS.
- A seguir, a porta 6379 é usada para instâncias do DCS Redis 3.0 como exemplo. Para outras instâncias, use a porta real.
- A extremidade remota é um grupo de segurança ou um endereço IP.
- Configurar o grupo de segurança para o ECS.
Adicione a seguinte regra de saída para permitir que o ECS acesse a instância do DCS. Ignore esta regra se não houver restrições no tráfego de saída.
- Configurar o grupo de segurança para a instância do DCS.
Para garantir que seu cliente possa acessar a instância de DCS, adicione a seguinte regra de entrada ao grupo de segurança configurado para a instância de DCS:
Para o endereço IP de origem, use o endereço IP especificado da instância do DCS. Evite usar 0.0.0.0/0 para evitar que ECSs vinculados ao mesmo grupo de segurança sejam atacados por explorações de vulnerabilidade do Redis.
Acesso público a instâncias do DCS Redis 3.0
Um cliente pode acessar uma instância de DCS somente depois que as regras forem configuradas corretamente para o grupo de segurança da instância.
Por exemplo, para o grupo de segurança sg-DCS, você precisa configurar as seguintes regras na direção de entrada:
Defina o protocolo como TCP e o endereço IP de origem como 0.0.0.0/0 ou um endereço de cliente especificado. Se SSL estiver habilitado, defina o número da porta como 36379. Se o SSL estiver desabilitado, defina o número da porta como 6379. Veja a figura a seguir.
Grupo de segurança de uma tarefa de migração
- Ao criar uma tarefa de migração on-line, selecione um grupo de segurança. Suas regras de saída devem permitir o tráfego sobre os endereços IP e as portas das instâncias do Redis de origem e de destino. Por padrão, todo o tráfego de saída é permitido.
- A importação de backup usa o grupo de segurança default. Certifique-se de que todo o tráfego de saída seja permitido (esta é a configuração padrão)
Figura 2 Regras de saída do grupo de segurança de migração
