アトラシアンのクラウド製品の IP アドレスとドメイン

ユーザーまたは組織が制限のあるファイアウォールやプロキシ サーバーを使用している場合、ユーザーまたはネットワーク管理者は、アトラシアンのクラウド製品やその他のサービスが正常に動作するよう、特定のドメインや IP アドレスの範囲を許可リストに登録する必要があります。 

このページの情報は、すべてのアトラシアン製品に該当します。ただし、一部の追加情報は特定の製品に関するものです。詳細については「Bitbucket と Trello」のセクションをご参照ください。

ドメイン名

アトラシアン製品では、リストされているすべての上位ドメイン内に多数のレベルのサブドメインを含むドメインを使用します。ドメインを許可する際は、直下のサブドメインだけでなく、上位ドメインと複数レベルのサブドメインに対してもアクションを許可していることをご確認ください。

たとえば、*.atl-paas.net の許可エントリに関しては、avatar-management--avatars.us-west-2.prod.public.atl-paas.netjira-frontend-static.prod.public.atl-paas.net の両方を許可する必要があります。さらに、サブドメインだけでなく上位ドメイン自体が許可されていることをご確認ください。たとえば、*.atlassian.com id.atlassian.comatlassian.com の両方を許可する必要があります。

アトラシアン ドメイン

アトラシアンのクラウド製品を操作するには、次のファーストパーティのアトラシアン ドメインとそのサブドメインのレベルを許可します。これらのドメインは直接、アトラシアンが運営管理しています。

ドメイン

目的

*.atl-paas.net

すべてのアトラシアン製品とサービスはこれを使用。

*.atlassian.com

すべてのアトラシアン製品とサービスはこれを使用。

*.atlassian.net

Jira と Confluence はこれを使用。

*.jira.com

Jira と Confluence はこれを使用。

*.bitbucket.org

Bitbucket はこれを使用。

TLS インターセプト/インスペクション プロキシとファイアウォールのパフォーマンスへの影響

高パフォーマンスのエクスペリエンスを確保するため、セキュリティ ポリシーに従って、アトラシアン ファーストパーティ ドメインを TLS インターセプト/インスペクションの対象から除外することを十分にご検討ください。

アトラシアン製品は HTTP/2 プロトコルの機能、特に同時トランザクションのサポートに大きく依存しています。

TLS インターセプト/インスペクション プロキシとファイアウォールによって、HTTP/2 から HTTP/1.1 へのプロトコル ダウングレードが発生することがよくあります。HTTP/1.1 にダウングレードするとトランザクションがシリアル化されるため、最新の Web アプリケーションのパフォーマンスが大幅に低下します。その結果、ページの読み込みとエクスペリエンスの待ち時間が著しく遅れる可能性があります。

パートナー ドメイン

アトラシアンは、サードパーティドメインとそのサブドメインのレベルをさまざまな目的で使用しています。

アトラシアン製品とサービスはこれらのドメインにアクセスしなくても機能する場合がある一方で、一部の製品内エクスペリエンスが低下したり、機能が完全に停止したりすることがあります。

新しいドメインが追加されると、この表は更新されます。

ドメイン

説明

目的

*.pndsn.com

Pubnub メッセージ プラットフォーム

参照先:

チケットのステータス、ページ、通知に関するライブ アップデートなど、リアルタイムのイベントを製品内で配信するために、ほとんどのアトラシアン製品で使用。

*.cloudfront.net

Amazon Web Services Content Delivery Network

参照: https://aws.amazon.com/cloudfront/

ブラウザーへのコンテンツ配信を高速化するために、ほとんどのアトラシアン製品で使用。

*.wp.com

*.gravatar.com

Wordpress/Gravatar Content Delivery Network

参照先:

一般的または公開の各アバターを表示するために、一部のアトラシアン製品で使用。

*.googleapis.com

Google がホストするライブラリ Content Delivery Network

オープンソース JavaScript ライブラリ用の Google ホスト ライブラリ コンテンツ配信ネットワーク。一部のアトラシアン製品で使用。

*.cookielaw.org

CookieLaw 同意ソリューション

プライバシー法とデータ保護法に準じて、Cookie の同意要求に使用。

*.optimizely.com

Optimizely Digital Experience の提供

新製品のエクスペリエンスの提供に対するテスト、評価、制御に使用。

*.launchdarkly.com

LaunchDarkly Digital Experience の提供

新製品のエクスペリエンスの提供に対するテスト、評価、制御に使用。

*.segment.io

Twilio Segment

分析データの収集

*.sentry-cdn.com

Sentry.io Content Delivery Network

製品エクスペリエンスのエラーや障害の追跡に使用。

*.slack-edge.com

Slack 統合

Slack エコシステムとの製品内統合に使用。

IP アドレスの範囲

現在、アトラシアンでは独自の IP アドレスとサード パーティ (Amazon Web Services) が提供するその他の IP アドレスを組み合わせて使用しています。次のセクションでネットワーク制限を確認し、必要であれば更新してアトラシアンのクラウド製品が正常に動作するようにします。

アトラシアンのクラウド製品およびサイト

アトラシアンの製品やサイトでは、固定の個別 IP アドレスはなく、特定の IP アドレス範囲を使用しています。アトラシアンのクラウド製品およびサイトへの継続的なアクセスを確保するには、これらの IP 範囲を許可リストに登録する必要があります。

https://ip-ranges.atlassian.com

リンクされているファイルからプログラムによって許可リストを更新できると、定期的にチェックする手間を省けます。

このリストは、アトラシアンがグローバルに使用する各 IP 範囲を含むため、大きくなります。IP 範囲は、顧客 (ブラウザーなど) によるリクエストの受信と応答の両方に加え、ユーザーに代わるインターネット接続の確立 (Webhook やオンプレミス サーバーへのアプリケーション リンクなど) にも使用します。

実際には、許可リスト システム (ファイアウォール、アクセス制御リスト、セキュリティ グループなど) を操作するほとんどの管理者は、アトラシアン製品が他のネットワークに対する発信接続の確立に使用する IP 範囲にのみ注目しています。したがって、「発信接続」セクションのより簡単なリストをご参照ください。

イングレス (受信接続) とは、アトラシアンのクラウド製品またはサービスにリクエストを送信したりデータをアップロードしたりする目的で、ブラウザー、スクリプト、アプリ、SSH クライアントなどのクライアントから発信される接続です。アトラシアンのクラウド製品またはサービスは、同じ接続で応答します。

エグレス (発信接続) とは、アトラシアン製品またはサービスが、お客様に代わってインターネット上のサーバーに対して行う接続です。たとえば、クラウド製品とオンプレミス サーバー間のアプリケーション リンク、お客様がアトラシアンのクラウド製品からリモート サーバーやサードパーティ インテグレーターにリクエストした Webhook や接続、リポジトリのクローン作成、メール サーバーでの新着メールのチェックなどです。

発信接続

上記の「アトラシアンのクラウド製品とサイト」の IP アドレス範囲は、イングレスとエグレスに使用される集約 IP 範囲と、エグレスにのみ使用されるより具体的な範囲の両方を含みます。通常、ネットワークにつながる発信接続を許可する際は、リモート ネットワークとサーバーに接続するためにこれらの IP アドレス範囲を使用することをお勧めします。

ただし、アトラシアンが発信接続を行う目的でのみ使用する IP 範囲の単純なリストが必要な場合は、次のリストをご利用になれます。

1 2 3 4 5 6 7 8 9 10 11 12 13 14 13.52.5.96/28 13.236.8.224/28 18.136.214.96/28 18.184.99.224/28 18.234.32.224/28 18.246.31.224/28 52.215.192.224/28 104.192.137.240/28 104.192.138.240/28 104.192.140.240/28 104.192.142.240/28 104.192.143.240/28 185.166.143.240/28 185.166.142.240/28

Confluence Cloud を除くアトラシアン製品とサービスは、インターネット、リモート サーバー、サードパーティ製品に上記の IP 範囲からのみ接続します。

このリストは、IP 許可リスト、サーバー、ファイアウォール、アクセス制御リスト、セキュリティ グループ、またはサードパーティのサービスを、アトラシアンからの発信接続を受信するように設定している場合に使用します。

Confluence Cloud からの発信接続では、現在、動的 IP アドレスがここにリストされているブロード AWS EC2 アドレス空間内で使用されています。これらの IP アドレスは時間が経つと変更されて共有範囲から取得されるため、永続的に許可リストに登録することはお勧めしません。

代わりに、アプリケーション トンネルによってオンプレミス製品に接続することをお勧めします。

Amazon Web Services と CloudFront

CloudFront CDN (コンテンツ デリバリー ネットワーク) によって、ブラウザーやさまざまな Amazon Web Services に Web ページのアセットを配信しています。クライアントのブラウザーで許可されている宛先に厳しいネットワーク制限を適用しているお客様は、アトラシアンのアプリケーションを正常に動作させるために、この IP 範囲リストから「AMAZON」または「CLOUDFRONT」というタグのある IP 範囲を許可リストに登録する必要があります。

許可する IP 範囲をプログラムによって更新すると、IP 範囲の更新を定期的にチェックする時間を節約できます。

送信メール

アトラシアンでは、通知の送信に以下の IP を使用しています。これらの IP 範囲を許可してください。

1 167.89.0.0/17, 192.174.80.0/20, 147.253.208.0/20, 168.245.0.0/17, 34.211.27.137, 34.211.27.236, 34.213.22.229, 34.249.70.175, 34.251.56.38, 34.252.236.245, 52.51.22.205, 54.187.228.111, 34.209.119.136, 34.211.27.82, 34.212.5.76, 34.253.110.0, 34.253.57.155, 35.167.157.209, 35.167.7.36, 52.19.227.102, 52.24.176.31, 54.72.208.111, 54.72.24.111, 54.77.2.231, 199.255.192.0/22, 199.127.232.0/22, 54.240.0.0/18, 69.169.224.0/20, 23.249.208.0/20, 23.251.224.0/19, 76.223.176.0/20, 54.240.64.0/19, 54.240.96.0/19, 52.82.172.0/22

Bitbucket と Trello

一部の製品は、Confluence や Jira と同じ atlassian.net ドメインにホストされていません。許可する必要があるドメイン、IP アドレスの範囲、およびポートについては、Bitbucket および Trello のドキュメントをご参照ください。

Data Center または Server の各製品と統合する

ネットワークで稼働しているアトラシアンのクラウド製品とオンプレミス製品の統合を検討されている場合は、アプリケーション トンネルを使用することで、着信接続と IP 範囲を許可リストに登録せずに済みます。 

アプリケーション トンネルは、ネットワーク トンネリングによって、製品の統合に使用できる安全な経路をAtlassian Cloud とネットワークの製品間に作成します。この機能は、着信接続のためにネットワークをオープンにする必要がないように特別に設計されています。

アプリケーション トンネルの詳細を確認

アトラシアンの公開 IP 範囲に関する FAQ

Jira/Confluence Cloud を自社ホスト製品やサービスと統合しています。インフラストラクチャとの接続を開くためにアトラシアンが使用する IP 範囲はどれくらいですか?

アトラシアンには、Atlassian Cloud から顧客とリモート システムへの接続の開設のみを目的とした IP 範囲を使用するエグレス プロキシが多くあります。それらのプロキシは、当社の Jira/Confluence インフラストラクチャがデプロイされている、各 AWS リージョンにデプロイされます。

これらの IP 範囲は、このページの「発信接続」セクションに記載されています。

また、これらの IP 範囲を許可する代わりに、アプリケーション トンネルによってネットワークのアトラシアン製品と統合できます。アプリケーション トンネルは、ネットワーク トンネリングによって、トラフィックをネットワークに転送します。いかなる着信接続も不要です。アプリケーション トンネルの詳細についてご確認ください。

上記の IP 範囲は誰が管理しますか?

アトラシアンがこれらの IP 範囲を全面的に管理します。

上記の IP 範囲は、AWS 登録 IP スペース外に割り当てられます。それらの範囲は、AWS がアトラシアンの AWS アカウントのいずれかに専用的に割り当てます。他の AWS 顧客はその IP 範囲を使用できません。

この範囲の割り当て/割り当て解除は、サポート リクエストを含む手動プロセスにより実施します。アトラシアンがこれらの範囲の管理権限を誤って手放すことは非常に考えにくいですが、こうした可能性の低い事態の検出も視野に入れて、監視を行っています。

Jira/Confluence Cloud インスタンスがどのリージョンにあるか確認するにはどうすればよいですか?

通常、製品データの大部分は、大半のユーザーが製品にアクセスしている場所に最も近いリージョン内でホストされます。アトラシアンでは、製品パフォーマンスを最適化するため、Cloud 内でのデータの移動を制限していません。また、必要に応じてデータをリージョン間で動かす場合があります。

Enterprise Cloud プランと、Standard Cloud と Premium Cloud の各プランのデータを持たない新製品で現在利用可能なデータ レジデンシーを選択した場合は、Atlassian Cloud からインフラストラクチャへの接続が想定されるリージョンの数を制限して、データがピン留めされたリージョンに限定できます。データ レジデンシーの詳細については「データ レジデンシーを理解する」をご確認ください。

IP 範囲が変わることはありますか?

変更が最小限に収まるように善処しますが、IP 範囲が変更になる可能性があります。次の場合、IP 範囲に関する情報の追加または変更が必要になる可能性があります。

  • Jira/Confluence Cloud をホストする AWS リージョンを追加する場合、新しいリージョンの新しいサブネットを追加します。

  • アトラシアンに登録のある (プロバイダーに依存しない) IP スペースを使用するエグレス プロキシの新しいインスタンスを AWS 内にデプロイし、Jira と Confluence をそれらに切り替えた場合、アトラシアンに登録のあるネットブロック (104.192.136.0/21 と 185.166.140.0/22) に含まれる新しい範囲を使用します。
    変更が行われる数週間前に、ブログ投稿を公開します。http://ip-ranges.atlassian.com で、新旧すべての範囲についてすでに文書化している点にご注意ください。

IPv6 をサポートしていますか?

はい。ただし、エグレス プロキシは、AAAA レコードを試す前に、提供した DNS 名の A レコードへの接続を試みます。実質的には、サービスが IPv6 のみとしてセットアップされている場合にのみ IPv6 を使用します。IPv6 範囲の完全なリストについては、https://ip-ranges.atlassian.com をご参照ください。

文書化された範囲外の IP アドレスからの接続試行があります。どうしたらよいでしょうか?

https://getsupport.atlassian.com でサポート チケットを発行して、この問題についてお知らせください。考えられる理由は次のとおりです。

  • アトラシアンが提供する製品を組み合わせていくと、一部の機能ではインフラストラクチャ導入のフットプリントが異なってくる場合があります。これは、一部のトラフィックが新しいリージョンから発信される可能性があることを意味します。

  • サードパーティ ベンダーの統合により、アトラシアンの管理外にある独自のインフラストラクチャから接続が開かれる場合があります。詳細については、ベンダーのドキュメントおよびサポート チームにお問い合わせください。

https://ip-ranges.atlassian.com/ に挙げられている項目が多いのはなぜですか?

ip-ranges.atlassian.com のリストは、マシンの消費を目的としており、Atlassian Cloud から自社ホストへのトラフィックだけでなく、ユーザーから Atlassian Cloud への接続に使用する全アトラシアン製品をカバーしています。

製品、接続方向、IP ファミリー、リージョンなどに基づいて、各状況に関連する範囲のみを絞り込んで表示できるよう、範囲にタグを追加する予定です。

Jira/Confluence Migration Assistant が正常に動作するために有効にする現在の IP 範囲が広すぎます。プラグインが動作するために許可される正確な IP アドレスを特定してください。

プラグインを機能させるために許可する必要がある IP アドレスの正確なリストについては、下表をご参照ください。

  • 記載されている IP アドレスは変更になる可能性があります。このページで最新の変更を確認することをお勧めします。このページは、Atlassian Cloud 製品がアクセスする必要があるすべてのドメインのリストも掲載しています。

  • リストされたホストのいずれかが (現在または将来的に) 他のドメインにクライアント側リダイレクトを送信した場合、それらのホストはリストから削除されます。

CCMA 通信の場合:

アドレス

機能

https://api.media.atlassian.com

添付ファイルのアップロード

https://api-private.atlassian.com

Atlassian Migration Platform との通信

https://marketplace.atlassian.com

プラグイン バージョンの確認

https://api.atlassian.com

Atlassian App Migration Platform との通信

https://migration.atlassian.com

Atlassian Migration Platform との通信

https://rps--prod-east--app-migration-service--ams.s3.amazonaws.com

アプリ移行データのアップロード

JCMA プラグイン ホスト通信の場合

アドレス

機能

https://api.media.atlassian.com

添付ファイルのアップロード

https://api-private.atlassian.com

Atlassian Migration Platform との通信

https://marketplace.atlassian.com

プラグイン バージョンの確認

https://api.atlassian.com

Atlassian App Migration Platform との通信

https://migration.atlassian.com

Atlassian Migration Platform との通信

https://s3.us-west-2.amazonaws.com

移行データのアップロード

https://*.s3.us-west-2.amazonaws.com

移行データのアップロード

https://rps--prod-east--app-migration-service--ams.s3.amazonaws.com

アプリ移行データのアップロード

[DESTINATION_CLOUD_SITE]

宛先のクラウド サイトとの通信を可能にする

 

その他のヘルプ