/ /

Recursos personalizados

Docs Home

Gestión

Operador de Atlas Kubernetes

Recursos personalizados

Docs Home

Gestión

Operador de Atlas Kubernetes

Recursos personalizados

`AtlasFederatedAuth` Recurso personalizado

El recurso personalizado AtlasFederatedAuth configura Autenticación federada para su organización Atlas.

Cuando crea el AtlasFederatedAuth recurso personalizado, Atlas Kubernetes Operator utiliza el recurso API de autenticación federada para actualice la configuración de la organización para la federación. En la configuración de la organización, se especifican la configuración de federación para la organización Atlas, como organización y asignaciones de roles.

Importante

Recursos personalizados ya no borran objetos por defecto

Atlas Kubernetes Operator uses custom resource archivos de configuración to manage your Atlas configuration, but as of Atlas Kubernetes Operator 2.0, custom resources you borrar in Kubernetes are no longer (por defecto) borrados in Atlas. En su lugar, Atlas Kubernetes Operator simplemente deja de gestionar esos recursos en Atlas. Por ejemplo, si eliminas un AtlasProject Custom recurso en Kubernetes, de forma predeterminada, el Atlas Kubernetes Operator ya no elimina automáticamente el Proyecto correspondiente de Atlas. Este cambio de comportamiento está diseñado para ayudar a prevenir eliminaciones accidentales o inesperadas. Para saber más, incluido cómo revertir este comportamiento al por defecto utilizado antes de Atlas Kubernetes Operator 2.0, consulta Nuevo valor por defecto: Protección de Eliminación en Atlas Kubernetes Operator 2.0.
De manera similar, Atlas Kubernetes Operator no elimina equipos de Atlas si los elimina de un proyecto Atlas en Kubernetes con Atlas Kubernetes Operator.

Define explícitamente los detalles de configuración que deseas para evitar el uso implícito de los valores de configuración por defecto de Atlas. En algunos casos, heredar los valores por defecto de Atlas puede crear un ciclo de conciliación que impida que el recurso personalizado alcance un estado de READY. Por ejemplo, definir explícitamente el comportamiento de escalado automático deseado en el recurso personalizado AtlasDeployment, como se muestra en el ejemplo incluido, garantiza que un tamaño de instancia estático en el recurso personalizado no se aplique repetidamente a una implementación de Atlas que tiene el escalado automático habilitado.

autoScaling:
  diskGB:
    enabled: true
  compute:
    enabled: true
    scaleDownEnabled: true
    minInstanceSize: M30
    maxInstanceSize: M40

Para usar este recurso, debe tener un proveedor de identidad existente (IdP) vinculado a su organización de Atlas. Para obtener más información, consulte Configurar la autenticación federada con el operador de Kubernetes de Atlas.

Ejemplos

El siguiente ejemplo configura un recurso personalizado AtlasFederatedAuth que hace lo siguiente:

Habilita la autenticación federada para la organización vinculada al secretoespecificado.
Agrega my-org-domain.com como dominio aprobado.
Activa la restricción de dominio para la organización.
Deshabilita la depuración para SSO.
Otorga el rol de Organization Member a los usuarios tras autenticarse.
Asigna el rol Organization Owner para la organización y aplica la asignación de roles a un grupo de proveedor de identidad denominado org-admin.
Asigna los roles de Organization Project Creator y Project Owner a un proyecto en la organización denominada dev-project y aplica el mapeo de roles a un grupo de proveedor de identidad denominado dev-team.

apiVersion: atlas.mongodb.com/v1
kind: AtlasFederatedAuth
metadata:
  name: atlas-default-federated-auth
  namespace: mongodb-atlas-system
spec:
  enabled: true
  dataAccessIdentityProviders:
    - 32b6e34b3d91647abb20e7b8
    - 42d8v92k5a34184rnv93f0c1
  connectionSecretRef:
    name: my-org-secret
    namespace: mongodb-atlas-system
  domainAllowList:
    - my-org-domain.com
  domainRestrictionEnabled: true
  ssoDebugEnabled: false
  postAuthRoleGrants:
    - ORG_MEMBER
  roleMappings:
    - externalGroupName: org-admin
      roleAssignments:
        - role: ORG_OWNER
    - externalGroupName: dev-team
      roleAssignments:
        - role: ORG_GROUP_CREATOR
        - projectName: dev-project
          role: GROUP_OWNER
status:
  conditions:
    - type: Ready
      status: True
    - type: RolesReady
      status: True
    - type: UsersReady
      status: True

Nota

El ejemplo anterior incluye la status sección, que describe el proceso de actualización. Para obtener más información, consulte Proceso de creación y actualización.

Parámetros

AtlasFederatedAuth

AtlasFederatedAuth es el esquema para la API Atlasfederatedauth

`Name`	Tipo	Descripción	Requerido
`apiVersion`	string	atlas.mongodb.com/v1	true
`kind`	string	`AtlasFederatedAuth`	true
`metadata`	Objeto	Consulte la documentación de Kubernetes `API` para conocer los campos del campo `metadata`.	true
`spec`	Objeto	`AtlasFederatedAuthSpec` define el estado objetivo de `AtlasFederatedAuth`.	false
`status`	Objeto	`AtlasFederatedAuthStatus` define el estado observado de `AtlasFederatedAuth`.	false

AtlasFederatedAuth.spec

AtlasFederatedAuthSpec define el estado de destino de AtlasFederatedAuth.

`Name`	Tipo	Descripción	Requerido
`connectionSecretRef`	Objeto	Secreto de conexión con credenciales `API` para configurar la federación. Estas credenciales deben tener permisos de `OrganizationOwner`.	false
`dataAccessIdentityProviders`	[]cadena	La colección de identificadores únicos que representan los proveedores de identidad que pueden utilizarse para el acceso a los datos en esta organización. Los proveedores de acceso a datos de identidad actualmente conectados que estén ausentes de este campo serán desconectados.	false
`domainAllowList`	[]cadena	Dominios aprobados que restringen a los usuarios que pueden unirse a la organización en función de sus direcciones de correo electrónico.	false
`domainRestrictionEnabled`	booleano	Evita que los usuarios de la federación accedan a organizaciones fuera de la federación y creen nuevas organizaciones. Esta opción se aplica a toda la federación. Obtén más información en https://www.mongodb.com/es/docs/atlas/security/federation-advanced-options/#restrict-user-membership-to-the-federation Por defecto: falso	false
`enabled`	booleano	Por defecto: false	false
`postAuthRoleGrants`	[]cadena	Roles de Atlas que se otorgan a un usuario en esta organización después de la autenticación.	false
`roleMappings`	[]objeto	Asocie los grupos `IDP` con los roles de Atlas.	false
`ssoDebugEnabled`	booleano	Por defecto: false	false

AtlasFederatedAuth.spec.connectionSecretRef

Secreto de conexión con credenciales de API para configurar la federación. Estas credenciales deben tener permisos de OrganizationOwner.

`Name`	Tipo	Descripción	Requerido
`name`	string	Nombre del recurso de Kubernetes	true
`namespace`	string	namespace del recurso de Kubernetes	false

AtlasFederatedAuth.spec.mapeosDeRoles

RoleMapping mapea un grupo externo de un proveedor de identidad a roles dentro de Atlas.

`Name`	Tipo	Descripción	Requerido
`externalGroupName`	string	`ExternalGroupName` es el nombre del grupo `IDP` al que se aplica este mapeo.	false
`roleAssignments`	[]objeto	`RoleAssignments` definir los roles dentro de los proyectos que deben asignarse a los nodos del grupo.	false

AtlasFederatedAuth.spec.roleMappings.roleAssignments

`Name`	Tipo	Descripción	Requerido
`projectName`	string	El proyecto Atlas dentro de la misma organización donde se debe conceder el rol.	false
`role`	enum	El `role` en Atlas que debe ser proporcionado a los miembros del grupo. Enum: `ORG_MEMBER`, `ORG_READ_ONLY`, `ORG_BILLING_ADMIN`, `ORG_GROUP_CREATOR`, `ORG_OWNER`, `ORG_BILLING_READ_ONLY`, `GROUP_OWNER`, `GROUP_READ_ONLY`, `GROUP_DATA_ACCESS_ADMIN`, `GROUP_DATA_ACCESS_READ_ONLY`, `GROUP_DATA_ACCESS_READ_WRITE`, `GROUP_CLUSTER_MANAGER`, `GROUP_SEARCH_INDEX_EDITOR`, `GROUP_DATABASE_ACCESS_ADMIN`, `GROUP_BACKUP_MANAGER`, `GROUP_STREAM_PROCESSING_OWNER`, `ORG_STREAM_PROCESSING_ADMIN`, `GROUP_OBSERVABILITY_VIEWER`	false

Estado de AtlasFederatedAuth

AtlasFederatedAuthStatus define el estado observado de AtlasFederatedAuth.

`Name`	Tipo	Descripción	Requerido
`conditions`	[]objeto	Condiciones es la lista de estados que muestra el estado actual del recurso personalizado de Atlas	true
`observedGeneration`	entero	`ObservedGeneration` indica la generación de la especificación del recurso de la que el operador Atlas tiene conocimiento. El operador de Atlas actualiza este campo al valor de 'metadatos.generation' tan pronto como comience la conciliación del recurso. Formato: int64	false

AtlasFederatedAuth.status.conditions

La condición describe el estado de un recurso personalizado de Atlas en un momento determinado.

`Name`	Tipo	Descripción	Requerido
`status`	string	Estado de la condición; uno de Verdadero, Falso, Desconocido.	true
`type`	string	Tipo de condición de recursos personalizados de Atlas.	true
`lastTransitionTime`	string	Última vez que la condición cambió de un estado a otro. Representado en `ISO` 8601 formato. Formato: fecha y hora.	false
`message`	string	Un `message` que proporciona detalles sobre la transición.	false
`reason`	string	El `reason` para la última transición de la condición.	false

Volver

Atlas Data Federation

Migración de Flex a Dedicated