パブリックエンドポイント用のTiDB Cloud Starter または Essential ファイアウォールルールを構成する
このドキュメントでは、TiDB Cloud Starter およびTiDB Cloud Essential クラスターのパブリック接続オプションについて説明します。インターネット経由でアクセス可能なクラスターを安全に管理するための重要な概念を学習します。
注記:
このドキュメントは、TiDB Cloud StarterおよびTiDB Cloud Essentialに適用されます。TiDB TiDB Cloud DedicatedのIPアクセスリストの設定手順については、 TiDB Cloud DedicatedのIPアクセスリストを設定する参照してください。
パブリックエンドポイント
クラスターにパブリックアクセスを設定すると、パブリックエンドポイント経由でクラスターにアクセスできるようになります。つまり、クラスターはインターネット経由でアクセス可能になります。パブリックエンドポイントとは、公開されているDNSアドレスです。「承認済みネットワーク」とは、クラスターへのアクセスを許可するために選択したIPアドレスの範囲を指します。これらの権限は、ファイアウォールルールを通じて適用されます。
パブリックアクセスの特徴
- 指定された IP アドレスのみがクラスターにアクセスできます。
- デフォルトではすべてのIPアドレス(
0.0.0.0 - 255.255.255.255
)が許可されます。 - クラスターの作成後に、許可された IP アドレスを更新できます。
- デフォルトではすべてのIPアドレス(
- クラスターにはパブリックに解決可能な DNS 名があります。
- クラスターとの間のネットワーク トラフィックは、プライベート ネットワークではなくパブリック インターネット経由でルーティングされます。
ファイアウォールルール
IPアドレスへのアクセスの許可は、ファイアウォールルールによって行われます。承認されていないIPアドレスから接続が試みられた場合、クライアントはエラーを受け取ります。
最大 200 個の IP ファイアウォール ルールを作成できます。
AWSアクセスを許可する
TiDB Cloud Starter クラスターが AWS でホストされている場合は、公式のAWS IPアドレスリストを参照して、すべての AWS IP アドレスからのアクセスを有効にできます。
TiDB Cloud はこのリストを定期的に更新し、予約済みの IP アドレス169.254.65.87を使用してすべての AWS IP アドレスを表します。
ファイアウォールルールの作成と管理
このセクションでは、 TiDB Cloud Starter またはTiDB Cloud Essential クラスターのファイアウォールルールを管理する方法について説明します。パブリックエンドポイントを使用すると、クラスターへの接続はファイアウォールルールで指定された IP アドレスに制限されます。
TiDB Cloud Starter またはTiDB Cloud Essential クラスターにファイアウォール ルールを追加するには、次の手順を実行します。
クラスターページに移動し、ターゲット クラスターの名前をクリックして概要ページに移動します。
左側のナビゲーション ペインで、 [設定] > [ネットワーク] をクリックします。
「ネットワーク」ページで、 「パブリックエンドポイント」が無効になっている場合は有効にします。 「承認済みネットワーク」で、 「+ 現在のIPを追加」をクリックします。これにより、 TiDB Cloudが認識したコンピューターのパブリックIPアドレスを含むファイアウォールルールが自動的に作成されます。
注記:
状況によっては、 TiDB Cloudコンソールで監視される IP アドレスが、インターネットへのアクセス時に使用される IP アドレスと異なる場合があります。そのため、ルールを期待どおりに機能させるには、開始 IP アドレスと終了 IP アドレスを変更する必要がある場合があります。検索エンジンなどのオンラインツールを使用して、ご自身の IP アドレスを確認できます。例えば、「what is my IP」で検索してみてください。
アドレス範囲を追加するには、 「ルールを追加」をクリックしてください。表示されるウィンドウで、単一のIPアドレスまたはIPアドレスの範囲を指定できます。ルールを単一のIPアドレスに限定する場合は、 「開始IPアドレス」フィールドと「終了IPアドレス」フィールドに同じIPアドレスを入力してください。ファイアウォールを開くと、管理者、ユーザー、アプリケーションは、有効な資格情報を持つクラスタ上の任意のデータベースにアクセスできるようになります。「送信」をクリックしてファイアウォールルールを追加します。