/ /

Recursos personalizados

Docs Home

Gestión

Operador de Atlas Kubernetes

Recursos personalizados

Docs Home

Gestión

Operador de Atlas Kubernetes

Recursos personalizados

`AtlasFederatedAuth` Recurso personalizado

El recurso personalizado AtlasFederatedAuth configura Autenticación federada para su organización Atlas.

Cuando crea el AtlasFederatedAuth recurso personalizado, Atlas Kubernetes Operator utiliza el recurso API de autenticación federada para Actualice la configuración de la organización para la federación. En la configuración de la organización, especifique la configuración de federación para su organización Atlas, como las asignaciones de organización y roles.

Importante

Los recursos personalizados ya no eliminan objetos de forma predeterminada

El Operador de Kubernetes de Atlas utiliza archivos de configuración de recursos personalizados para administrar la configuración de Atlas. Sin embargo, a partir del Operador de Kubernetes 2.0 de Atlas, los recursos personalizados que elimine en Kubernetes ya no se eliminan (de forma predeterminada) en Atlas. En su lugar, el Operador de Kubernetes de Atlas simplemente deja de administrar esos recursos en Atlas. Por ejemplo, si elimina un AtlasProject Recurso Personalizado en Kubernetes, el Operador de Kubernetes de Atlas ya no elimina automáticamente el proyecto correspondiente de Atlas. Este cambio de comportamiento tiene como objetivo evitar eliminaciones accidentales o inesperadas. Para obtener más información, incluido cómo revertir este comportamiento al valor predeterminado utilizado antes del Operador de Kubernetes 2 0de Atlas., consulte Nuevo valor predeterminado: Protección contra eliminaciones en el Operador de Kubernetes 2 de0 Atlas..
De manera similar, Atlas Kubernetes Operator no elimina equipos de Atlas si los elimina de un proyecto Atlas en Kubernetes con Atlas Kubernetes Operator.

Defina explícitamente los detalles de configuración deseados para evitar el uso implícito de los valores predeterminados de Atlas. En algunos casos, heredar los valores predeterminados de Atlas puede generar un bucle de conciliación que impide que su recurso personalizado alcance el estado READY. Por ejemplo, definir explícitamente el comportamiento de escalado automático deseado en su recurso personalizado AtlasDeployment, como se muestra en el ejemplo incluido, garantiza que un tamaño de instancia estático en su recurso personalizado no se aplique repetidamente a una implementación de Atlas con el escalado automático habilitado.

autoScaling:
  diskGB:
    enabled: true
  compute:
    enabled: true
    scaleDownEnabled: true
    minInstanceSize: M30
    maxInstanceSize: M40

Para utilizar este recurso, debe tener un proveedor de identidad existente (IdP) vinculado a su organización Atlas. Para obtener más información, consulte Aprovechar la autenticación federada de Kubernetes.

Ejemplos

El siguiente ejemplo configura un recurso personalizado AtlasFederatedAuth que hace lo siguiente:

Habilita la autenticación federada para la organización vinculada al secreto especificado.
Agrega my-org-domain.com como dominio aprobado.
Habilita la restricción de dominio para la organización.
Deshabilita la depuración para SSO.
Otorga el rol a los usuarios después de la Organization Member autenticación.
Asigna el rol Organization Owner para la organización y aplica la asignación de roles a un grupo de proveedor de identidad denominado org-admin.
Asigna los Organization Project Creator roles y para un proyecto en la organización denominada Project Owner dev-project y aplica la asignación de roles a un grupo de IdP dev-team denominado.

apiVersion: atlas.mongodb.com/v1
kind: AtlasFederatedAuth
metadata:
  name: atlas-default-federated-auth
  namespace: mongodb-atlas-system
spec:
  enabled: true
  dataAccessIdentityProviders:
    - 32b6e34b3d91647abb20e7b8
    - 42d8v92k5a34184rnv93f0c1
  connectionSecretRef:
    name: my-org-secret
    namespace: mongodb-atlas-system
  domainAllowList:
    - my-org-domain.com
  domainRestrictionEnabled: true
  ssoDebugEnabled: false
  postAuthRoleGrants:
    - ORG_MEMBER
  roleMappings:
    - externalGroupName: org-admin
      roleAssignments:
        - role: ORG_OWNER
    - externalGroupName: dev-team
      roleAssignments:
        - role: ORG_GROUP_CREATOR
        - projectName: dev-project
          role: GROUP_OWNER
status:
  conditions:
    - type: Ready
      status: True
    - type: RolesReady
      status: True
    - type: UsersReady
      status: True

Nota

El ejemplo anterior incluye la status sección, que describe el proceso de actualización. Para obtener más información, consulte Proceso de creación y actualización.

Parámetros

Autorización federada de Atlas

AtlasFederatedAuth es el esquema para la API Atlasfederatedauth

`Name`	Tipo	Descripción	Requerido
`apiVersion`	string	atlas.mongodb.com/v1	true
`kind`	string	`AtlasFederatedAuth`	true
`metadata`	Objeto	Consulte la documentación de Kubernetes `API` para conocer los campos del campo `metadata`.	true
`spec`	Objeto	`AtlasFederatedAuthSpec` define el estado objetivo de `AtlasFederatedAuth`.	false
`status`	Objeto	`AtlasFederatedAuthStatus` define el estado observado de `AtlasFederatedAuth`.	false

AtlasFederatedAuth.spec

AtlasFederatedAuthSpec define el estado de destino de AtlasFederatedAuth.

`Name`	Tipo	Descripción	Requerido
`connectionSecretRef`	Objeto	Secreto de conexión con credenciales `API` para configurar la federación. Estas credenciales deben tener permisos `OrganizationOwner`.	false
`dataAccessIdentityProviders`	[]cadena	La colección de identificadores únicos que representan a los proveedores de identidad que se pueden usar para el acceso a los datos en esta organización. Los proveedores de identidad de acceso a datos actualmente conectados que no figuren en este campo se desconectarán.	false
`domainAllowList`	[]cadena	Dominios aprobados que restringen a los usuarios que pueden unirse a la organización en función de sus direcciones de correo electrónico.	false
`domainRestrictionEnabled`	booleano	Impide que los usuarios de la federación accedan a organizaciones externas y creen nuevas organizaciones. Esta opción se aplica a toda la federación. Consulta más información en https://www.mongodb.com/es/docs/atlas/security/federation-advanced-options/#restrict-user-membership-to-the-federation. Valor predeterminado: falso.	false
`enabled`	booleano	Por defecto: false	false
`postAuthRoleGrants`	[]cadena	Roles de Atlas que se otorgan a un usuario en esta organización después de la autenticación.	false
`roleMappings`	[]objeto	Asignar `IDP` grupos a roles de Atlas.	false
`ssoDebugEnabled`	booleano	Por defecto: false	false

AtlasFederatedAuth.spec.referenciasecretadeconexión

Secreto de conexión con credenciales de API para configurar la federación. Estas credenciales deben tener permisos de OrganizationOwner.

`Name`	Tipo	Descripción	Requerido
`name`	string	Nombre del recurso de Kubernetes	true
`namespace`	string	Espacio de nombres del recurso de Kubernetes	false

AtlasFederatedAuth.spec.roleMappings

RoleMapping asigna un grupo externo de un proveedor de identidad a roles dentro de Atlas.

`Name`	Tipo	Descripción	Requerido
`externalGroupName`	string	`ExternalGroupName` es el nombre del grupo `IDP` al que se aplica esta asignación.	false
`roleAssignments`	[]objeto	`RoleAssignments` definir los roles dentro de los proyectos que se deben dar a los miembros del grupo.	false

AtlasFederatedAuth.spec.roleMappings.roleAssignments

`Name`	Tipo	Descripción	Requerido
`projectName`	string	El proyecto Atlas dentro de la misma organización donde se debe conceder el rol.	false
`role`	enum	El `role` en Atlas que debe asignarse a los miembros del grupo. `ORG_MEMBERORG_READ_ONLYORG_BILLING_ADMINORG_GROUP_CREATORORG_OWNERORG_BILLING_READ_ONLYGROUP_OWNERGROUP_READ_ONLYGROUP_DATA_ACCESS_ADMINGROUP_DATA_ACCESS_READ_ONLYGROUP_DATA_ACCESS_READ_WRITEGROUP_CLUSTER_MANAGERGROUP_SEARCH_INDEX_EDITOR`Enumeración:,,,,,,,,,,,,,,,,, `GROUP_DATABASE_ACCESS_ADMINGROUP_BACKUP_MANAGERGROUP_STREAM_PROCESSING_OWNERORG_STREAM_PROCESSING_ADMINGROUP_OBSERVABILITY_VIEWER`	false

Estado de AtlasFederatedAuth

AtlasFederatedAuthStatus define el estado observado de AtlasFederatedAuth.

`Name`	Tipo	Descripción	Requerido
`conditions`	[]objeto	Condiciones es la lista de estados que muestra el estado actual del recurso personalizado de Atlas	true
`observedGeneration`	entero	`ObservedGeneration` Indica la generación de la especificación del recurso que el operador Atlas conoce. El operador Atlas actualiza este campo con el valor 'metadata.generation' en cuanto inicia la conciliación del recurso. Formato: int64	false

AtlasFederatedAuth.status.condiciones

La condición describe el estado de un recurso personalizado de Atlas en un momento determinado.

`Name`	Tipo	Descripción	Requerido
`status`	string	Estado de la condición; uno de Verdadero, Falso, Desconocido.	true
`type`	string	Tipo de condición de recurso personalizado de Atlas.	true
`lastTransitionTime`	string	Última vez que la condición cambió de un estado a otro. Representado en `ISO` 8601 formato. Formato: fecha y hora.	false
`message`	string	A `message` proporcionando detalles sobre la transición.	false
`reason`	string	El `reason` para la última transición de la condición.	false

Volver

Federación de Datos Atlas

Migración de Flex a Dedicado