更新时间:2023-09-08 GMT+08:00

如何配置安全组

由于Redis 3.0/Memcached和Redis 4.0/Redis 5.0/Redis 6.0实例的部署模式不一样,DCS在控制访问缓存实例的方式也不一样,差别如下:

  • Redis 3.0/Memcached/Redis 6.0企业版:通过配置安全组访问规则控制,不支持白名单功能。安全组配置操作请参考本章节操作。
  • Redis 4.0/Redis 5.0/Redis 6.0 基础版:不支持安全组,只支持通过白名单控制。白名单配置操作,请参考管理实例白名单

本节主要介绍VPC内访问DCS Redis 3.0/Memcached/Redis 6.0企业版实例,和通过公网访问DCS Redis 3.0实例时如何配置安全组。

VPC内访问Redis 3.0/Memcached/Redis 6.0企业版实例

为避免跨VPC访问导致时延增大影响DCS缓存实例性能,建议客户端部署在与DCS缓存实例处于相同虚拟私有云(VPC)和相同子网的弹性云服务器(ECS)上。

除了建议ECS、DCS缓存实例处于相同VPC之外,还需要他们的安全组分别配置了正确的规则,客户端才能访问DCS缓存实例。

  • 如果ECS、DCS缓存实例配置相同的安全组,安全组创建后,默认包含组内网络访问不受限制的规则。
  • 如果ECS、DCS缓存实例配置了不同安全组,可参考如下配置方式:
    • 假设ECS、DCS缓存实例分别配置了安全组:sg-ECS、sg-DCS。
    • 以Redis 3.0访问端口6379为例,其它实例请以实际情况为准。
    • 以下规则,远端可使用安全组,也可以使用具体的IP地址。
    1. 配置ECS所在安全组。

      ECS所在安全组需要增加如下出方向规则,以保证客户端能正常访问DCS缓存实例。如果出方向规则不受限,则不用添加。

    2. 配置DCS缓存实例所在安全组。

      DCS实例所在安全组需要增加如下入方向规则,以保证能被客户端访问。

      缓存实例的入方向规则中,源地址建议使用指定IP地址,慎用“0.0.0.0/0”,避免绑定相同安全组的弹性云服务器遭受Redis漏洞攻击。

通过公网访问Redis 3.0实例

DCS缓存实例安全组配置了正确的规则,客户端才能访问DCS缓存实例。

假设DCS缓存实例安全组为sg-DCS,则需要配置如下入方向规则:

协议为TCP,源IP为0.0.0.0/0,或者指定客户端地址。SSL加密功能开启时,端口配置为36379;SSL加密功能关闭时,端口配置为6379。如下图所示。

图1 安全组规则(以端口配置为36379为例)

迁移任务安全组说明

  • 使用DCS在线迁移时,创建迁移任务需要选择安全组,迁移任务所选安全组的“出方向规则”需要放通源端Redis和目标端Redis的IP和端口(默认情况下安全组出方向是全部放通的,则无需再单独放通)。
  • 使用DCS的备份迁移时,会使用到“default”安全组,需确认“default”安全组的“出方向规则”全部放通(默认情况下安全组出方向是全部放通的,则无需再单独放通)。
    图2 迁移任务安全组“出方向规则”