Join us at MongoDB.local London on 7 May to unlock new possibilities for your data. Use WEB50 to save 50%.
Register now >
Docs Menu
Docs Home
/ /
Nodos privados
Docs Home
/ /
Atlas Access
/
Nodos privados
Docs Home
/
Gestión
/
Operador de Atlas Kubernetes
/
Atlas Access
/
Nodos privados

Administra los nodos privados para clústeres dedicados

Nota

Esta característica no está disponible para ninguna de las siguientes implementaciones:

  • M0 Clústeres

  • Clústeres Flex

Atlas Kubernetes Operator admite la gestión de nodos privados para clústeres dedicados en las siguientes plataformas:

  • AWS utilizando el AWS PrivateLink funcionalidad.

  • Azure usando la funcionalidad Azure Private Link.

  • Google Cloud utiliza la función Conectar servicio privado.

Antes de comenzar, consulta Gestiona nodos privados.

Procedimiento

Para permitir que los clientes se conecten a los clústeres dedicados de Atlas mediante nodos privados:

1

Especifica el parámetro spec.privateEndpoints.

Especifique el parámetro spec.privateEndpoints AtlasProject para el recurso personalizado. En el spec.privateEndpoints.provider campo,AWS especifique. Reemplace el marcador con la {aws-region} información de la región de AWS para sus puntos de conexión privados y ejecute el siguiente comando:

cat <<EOF | kubectl apply -f -
apiVersion: atlas.mongodb.com/v1
kind: AtlasProject
metadata:
  name: my-project
spec:
  name: Test Atlas Operator Project
  privateEndpoints:
  - provider: "AWS"
    region: "{aws-region}"
EOF

Atlas crea los recursos de VPC en la región que seleccionaste. Esto puede llevar varios minutos completarse.

2

Encuentre los nombres de servicio para sus puntos finales privados.

  1. Ejecuta el siguiente comando:

    kubectl get atlasproject my-project -o yaml

  2. Tenga en cuenta la cadena del nombre del servicio para cada punto final privado dentro del status.privateEndpoints.serviceName campo del AtlasProject recurso personalizado.

3

Utiliza la CLI de AWS para configurar cada nodo privado.

Para crear el punto final de la interfaz VPC de su aplicación:

  1. Copie el siguiente comando:

    aws ec2 create-vpc-endpoint --vpc-id {your-application-vpc-id} --region {aws-region} --service-name {service-name-string} --vpc-endpoint-type Interface --subnet-ids {your-application-subnet-ids}

  2. Reemplace los siguientes marcadores de posición con los detalles sobre su AWS VPC:

    your-application-vpc-id

    String única que identifica la VPC de emparejamiento AWS VPC. Encontrar este valor en el tablero de VPC en la cuenta AWS.

    aws-region

    Etiqueta que identifica la región de AWS del endpoint privado.

    service-name-string

    string única que identifica el nombre del servicio para tu endpoint privado. Encuentra este valor en el status.privateEndpoints.serviceName campo del AtlasProject recurso personalizado

    your-application-subnet-ids

    Cadenas únicas que identifican las subredes que utiliza tu AWS VPC. Separe cada subred con un espacio. Encuentra estos valores en la Subnet tablero en tu cuenta de AWS.

    IMPORTANTE: Debe especificar al menos una subred. Si no lo haces, AWS no aprovisionará un endpoint de la interfaz en tu VPC. Se requiere un endpoint de interfaz para que los clientes en tu VPC envíen tráfico al endpoint privado.

  3. Ejecuta el comando con el AWS CLI.

  4. Tenga en cuenta el valor VpcEndpointId en la salida.

    Ejemplo

    "VpcEndpoint": {
             "VpcEndpointId": "vpce-XXXXXX",
             "VpcEndpointType": "Interface",
             "VpcId": "vpc-XXXXX",
             "ServiceName": "com.amazonaws.vpce.{aws-region}.vpce-svc-XXXX",
             "State": "pendingAcceptance",

Para obtener más información, consulta Crear un endpoint de la interfaz en la documentación de AWS.

4

Actualice el spec.privateEndpoints parámetro.

Actualice el spec.privateEndpoints parámetro del AtlasProject recurso personalizado. Especifique la región de AWS y reemplace vpce-id con los VpcEndpointId valores para sus puntos de conexión privados. Ejecute el siguiente comando:

Nota

Puedes encontrar el identificador único del par AWS VPC en el VPC tablero de tu cuenta AWS.

cat <<EOF | kubectl apply -f -
apiVersion: atlas.mongodb.com/v1
kind: AtlasProject
metadata:
  name: my-project
spec:
  name: Test Atlas Operator Project
  privateEndpoints:
  - provider: "AWS"
    region: "{aws-region}"
    id: "{vpce-id}"
EOF
5

Verifique el estado de sus nodos privados utilizando el Atlas Kubernetes Operator.

Ejecuta el siguiente comando:

kubectl get atlasproject my-project -o yaml
6

Recuperar el secreto que Atlas Kubernetes Operator creó para conectarse al clúster.

  1. Copie el siguiente comando:

    Importante

    El siguiente comando requiere jq 1.6 o superior.

    kubectl get secret {my-project}-{my-atlas-cluster}-{my-database-user} -o json | jq -r '.data | with_entries(.value |= @base64d)';

  2. Reemplaza los siguientes marcadores de posición con los detalles para tus recursos personalizados:

    my-project

    Especifica el valor del campo metadata de tu AtlasProject Recurso Personalizado.

    my-atlas-cluster

    Especifica el valor del campo metadata de tu AtlasDeployment Recurso Personalizado.

    my-database-user

    Especifica el valor del campo metadata de tu AtlasDatabaseUser Recurso Personalizado.

  3. Ejecuta el comando.

    Nota

    Sus cadenas de conexión serán diferentes a las del siguiente ejemplo. Si tiene varios puntos finales privados, el secreto contiene varios campos connectionStringPrivate y connectionStringPrivateSvr con el sufijo numérico correspondiente (por ejemplo, connectionStringPrivate1, connectionStringPrivate2, etc.).

    {
      "connectionStringPrivate": "mongodb://pl-0-eastus2.uzgh6.mongodb.net:1024,pl-0-eastus2.uzgh6.mongodb.net:1025,pl-0-eastus2.uzgh6.mongodb.net:1026/?ssl=truereplicaSet=atlas-18bndf-shard-0",
      "connectionStringPrivateSrv": "mongodb+srv://cluster0-pl-0.uzgh6.mongodb.net",
      "password": "P@@sword%",
      "username": "theuser"
     }

    Puedes usar este secreto en tu aplicación:

    containers:
      - name: test-app
        env:
        - name: "CONNECTION_STRING"
          valueFrom:
            secretKeyRef:
              name: my-project-my-atlas-cluster-my-database-user
              key: connectionStringPrivate
1

Especifica el parámetro spec.privateEndpoints.

Especifique el parámetro spec.privateEndpoints para el AtlasProject Recurso personalizado. En el campo spec.privateEndpoints.provider, especifique AZURE. Reemplace el marcador de posición {azure-region} con la información de la región de Azure para sus nodos privados y ejecute el siguiente comando:

cat <<EOF | kubectl apply -f -
apiVersion: atlas.mongodb.com/v1
kind: AtlasProject
metadata:
  name: my-project
spec:
  name: Test Atlas Operator Project
  privateEndpoints:
  - provider: "AZURE"
    region: "{azure-region}"
EOF

Atlas crea los recursos VNET en la región que seleccionaste. Esto puede tardar varios minutos en completarse.

2

Desactivar las políticas de red de los nodos privados.

Atlas no admite políticas de red para nodos privados.

  1. Copie el siguiente comando:

    az network vnet subnet update --resource-group {resource-group-name} --vnet-name {vnet-name} --name {subnet-name} --disable-private-endpoint-network-policies true

  2. Reemplaza los siguientes marcadores de posición con los detalles de tu VNet de Azure:

    resource-group-name

    Etiqueta legible por humanos para el grupo de recursos que contiene la VNet que deseas utilizar para conectarse a Atlas. Encuentre este valor en la página Resource Group Properties del tablero de Azure.

    vnet-name

    Etiqueta legible por humanos que identifica la VNet que desea utilizar para conectarse a Atlas. Encuentre este valor en la página Virtual Network de su tablero Azure.

    subnet-name

    Etiqueta legible por humanos que identifica la subred en su VNet de Azure. Encuentra este valor en la página de Virtual Network Subnets en tu tablero de Azure.

  3. Ejecute el comando con la CLI de Azure.

Para obtener más información, consulte Gestionar las políticas de red para los nodos privados en la documentación de Azure.

3

Busca los IDs y los nombres de los servicios para tus nodos privados.

  1. Ejecuta el siguiente comando:

    kubectl get atlasproject my-project -o yaml

  2. Anote el ID del recurso status.privateEndpoints.serviceResourceId status.privateEndpoints.serviceName de servicio y el nombre del servicio para cada punto final privado AtlasProject dentro de los campos y del recurso personalizado.

4

Utilice la CLI de Azure para configurar cada punto final privado.

Para crear tu endpoint privado:

  1. Copie el siguiente comando:

    az network private-endpoint create --resource-group {resource-group-name} --name {endpoint-name} --vnet-name {vnet-name} --subnet {subnet-name} --private-connection-resource-id {serviceResourceId} --connection-name {serviceName} --manual-request true

  2. Reemplaza los siguientes marcadores de posición con los detalles de tu VNet de Azure:

    resource-group-name

    Etiqueta legible por humanos para el grupo de recursos que contiene la VNet que deseas utilizar para conectarse a Atlas. Encuentre este valor en la página Resource Group Properties del tablero de Azure.

    endpoint-name

    Etiqueta legible por humanos que identifica tu endpoint privado. Especifica esto ahora.

    vnet-name

    Etiqueta legible por humanos que identifica la VNet que desea utilizar para conectarse a Atlas. Encuentre este valor en la página Virtual Network de su tablero Azure.

    subnet-name

    Etiqueta legible por humanos que identifica la subred en su VNet de Azure. Encuentra este valor en la página de Virtual Network Subnets en tu tablero de Azure.

    serviceResourceId

    Cadena única que identifica el recurso de servicio para su punto final privado. Encuentre este valor en el status.privateEndpoints.serviceResourceId campo del AtlasProject recurso personalizado.

    serviceName

    string única que identifica el nombre del servicio para tu endpoint privado. Encuentra este valor en el status.privateEndpoints.serviceName campo del AtlasProject recurso personalizado

  3. Ejecute el comando con la CLI de Azure.

5

Actualice el spec.privateEndpoints parámetro.

Actualice el spec.privateEndpoints parámetro del AtlasProject recurso personalizado. Especifique la región de Azure, el identificador del recurso y la dirección IP de sus puntos de conexión privados y ejecute el siguiente comando:

Nota

La página Properties de tu tablero de Azure muestra el identificador único para el endpoint privado que creaste en el campo Resource ID.

La Overview página de su panel de Azure muestra la dirección IP privada de la interfaz de red del punto de conexión privado que creó en el Private IP campo.

cat <<EOF | kubectl apply -f -
apiVersion: atlas.mongodb.com/v1
kind: AtlasProject
metadata:
  name: my-project
spec:
  name: Test Atlas Operator Project
  privateEndpoints:
  - provider: "Azure"
    region: "{azure-region}"
    id: "{resource-id}"
    ip: "{private-ip}"
EOF
6

Verifique el estado de sus nodos privados utilizando el Atlas Kubernetes Operator.

Ejecuta el siguiente comando:

kubectl get atlasproject my-project -o yaml
7

Recuperar el secreto que Atlas Kubernetes Operator creó para conectarse al clúster.

  1. Copie el siguiente comando:

    Importante

    El siguiente comando requiere jq 1.6 o superior.

    kubectl get secret {my-project}-{my-atlas-cluster}-{my-database-user} -o json | jq -r '.data | with_entries(.value |= @base64d)';

  2. Reemplaza los siguientes marcadores de posición con los detalles para tus recursos personalizados:

    my-project

    Especifica el valor del campo metadata de tu AtlasProject Recurso Personalizado.

    my-atlas-cluster

    Especifica el valor del campo metadata de tu AtlasDeployment Recurso Personalizado.

    my-database-user

    Especifica el valor del campo metadata de tu AtlasDatabaseUser Recurso Personalizado.

  3. Ejecuta el comando.

    Nota

    Sus cadenas de conexión serán diferentes a las del siguiente ejemplo. Si tiene varios puntos finales privados, el secreto contiene varios campos connectionStringPrivate y connectionStringPrivateSvr con el sufijo numérico correspondiente (por ejemplo, connectionStringPrivate1, connectionStringPrivate2, etc.).

    {
      "connectionStringPrivate": "mongodb://pl-0-eastus2.uzgh6.mongodb.net:1024,pl-0-eastus2.uzgh6.mongodb.net:1025,pl-0-eastus2.uzgh6.mongodb.net:1026/?ssl=truereplicaSet=atlas-18bndf-shard-0",
      "connectionStringPrivateSrv": "mongodb+srv://cluster0-pl-0.uzgh6.mongodb.net",
      "password": "P@@sword%",
      "username": "theuser"
     }

    Puedes usar este secreto en tu aplicación:

    containers:
      - name: test-app
        env:
        - name: "CONNECTION_STRING"
          valueFrom:
            secretKeyRef:
              name: my-project-my-atlas-cluster-my-database-user
              key: connectionStringPrivate
1

Especifica el parámetro spec.privateEndpoints.

Especifique el parámetro spec.privateEndpoints para el AtlasProject Recurso personalizado. En el campo spec.privateEndpoints.provider, especifica GCP. Reemplace el marcador de posición {gcp-region} con la información de Google Cloud Platform región de sus nodos privados y ejecute el siguiente comando:

cat <<EOF | kubectl apply -f -
apiVersion: atlas.mongodb.com/v1
kind: AtlasProject
metadata:
  name: my-project
spec:
  name: Test Atlas Operator Project
  privateEndpoints:
  - provider: "GCP"
    region: "{gcp-region}"
EOF

Atlas crea los recursos de VPC en la región que seleccionaste. Esto puede llevar varios minutos completarse.

2

Encuentre el {unique-ID} para sus puntos finales privados.

  1. Ejecuta el siguiente comando:

    kubectl get atlasproject my-project -o yaml

  2. Tenga en cuenta el {unique-id} que sigue a projects/ en cada nombre de archivo adjunto de servicio. El {unique-id} en el siguiente ejemplo es p-ogyvk1plka2anycnzl6znr9p.

    Ejemplo

    "serviceAttachmentNames": [
      "projects/p-ogyvk1plka2anycnzl6znr9p/regions/us-east1/serviceAttachments/sa-us-east1-6274f45bcce0e51662a29b05-0",
      "projects/p-ogyvk1plka2anycnzl6znr9p/regions/us-east1/serviceAttachments/sa-us-east1-6274f45bcce0e51662a29b05-1",
      "projects/p-ogyvk1plka2anycnzl6znr9p/regions/us-east1/serviceAttachments/sa-us-east1-6274f45bcce0e51662a29b05-2",
      "projects/p-ogyvk1plka2anycnzl6znr9p/regions/us-east1/serviceAttachments/sa-us-east1-6274f45bcce0e51662a29b05-3",
      "projects/p-ogyvk1plka2anycnzl6znr9p/regions/us-east1/serviceAttachments/sa-us-east1-6274f45bcce0e51662a29b05-4",
      "projects/p-ogyvk1plka2anycnzl6znr9p/regions/us-east1/serviceAttachments/sa-us-east1-6274f45bcce0e51662a29b05-5"
    ]
3

Configure sus nodos privados.

Para editar los nodos privados y generar el script necesario con Atlas Interfaz de Usuario, consulta Configurar nodos privados

Para configurar tus nodos privados manualmente:

  1. Copia el siguiente script de shell:

    #!/bin/bash
    gcloud config set project {google-cloud-project-id}
    for i in {0..5}
    do
      gcloud compute addresses create {private-service-connect-endpoint-prefix}-ip-$i --region={gcp-region} --subnet={subnet-name}
    done
    for i in {0..5}
    do
      if [ $(gcloud compute addresses describe {private-service-connect-endpoint-prefix}-ip-$i --region={gcp-region} --format="value(status)") != "RESERVED" ]; then
        echo "{private-service-connect-endpoint-prefix}-ip-$i is not RESERVED";
      exit 1;
      fi
    done
    for i in {0..5}
    do
      gcloud compute forwarding-rules create {private-service-connect-endpoint-prefix}-$i --region={gcp-region} --network={vpc-name} --address={private-service-connect-endpoint-prefix}-ip-$i --target-service-attachment=projects/{unique-ID}/regions/{gcp-region}/serviceAttachments/sa-{gcp-region}-{org-id}-$i
    done
    if [ $(gcloud compute forwarding-rules list --regions={gcp-region} --format="csv[no-heading](name)" --filter="name:{private-service-connect-endpoint-prefix}" | wc -l) -gt 50 ]; then
      echo "Project has too many forwarding rules that match prefix {endpoint-name}. Either delete the competing resources or choose another endpoint prefix."
      exit 2;
    fi
    gcloud compute forwarding-rules list --regions={gcp-region} --format="json(IPAddress,name)" --filter="name:{private-service-connect-endpoint-prefix}" > atlasEndpoints-{endpoint-name}.json

  2. Reemplaza los siguientes marcadores de posición con los detalles de tu Google Cloud VPC:

    google-cloud-project-id

    ID único que identifica tu proyecto de Google Cloud. Encuentre este valor en la página Dashboard de su plataforma de Google Cloud.

    private-service-connect-endpoint-prefix

    Etiqueta legible por humanos que antepone a todos los endpoint creados y que identifica el grupo de endpoint.

    gcp-region

    Etiqueta que identifica la región de Google Cloud Platform del punto final privado.

    subnet-name

    Etiqueta legible por humanos que identifica la subred en tu Google Cloud VPC. Busca este valor en la página VPC Networks de tu tablero de Google Cloud.

    vpc-name

    Etiqueta legible que identifica la VPC que desea usar para conectarse a Atlas. Encuentre este valor en la VPC Networks página de su panel de Google Cloud.

    unique-id

    string única que apuntaste al volver a comprobar el estado del proyecto.

    org-id

    Cadena hexadecimal única de 24dígitos que identifica la organizaciónde Atlas.

  3. Guarde el archivo de shell como setup_psc.sh y ejecute el script desde el directorio donde guardó el archivo con el siguiente comando:

    sh setup_psc.sh

    El script crea un archivo de salida atlasEndpoints-{endpoint-name}.json que contiene una lista de direcciones IP y nombres de reglas de reenvío.

  4. Ejecute los siguientes comandos para formatear la salida para Atlas Kubernetes Operator:

    yq e -P atlasEndpoints-{endpoint-name}.json > atlasEndpoints-user-private-endpoint.yaml
    awk 'sub("name","endpointName")sub("IPAddress","ipAddress")' atlasEndpoints-user-private-endpoint.yaml

    El resultado debe parecerse al siguiente ejemplo:

    - ipAddress: 10.0.0.00
      endpointName: {endpoint-name}-0
    - ipAddress: 10.0.0.01
      endpointName: {endpoint-name}-1
    - ipAddress: 10.0.0.02
      endpointName: {endpoint-name}-2
    - ipAddress: 10.0.0.03
      endpointName: {endpoint-name}-3
    - ipAddress: 10.0.0.04
      endpointName: {endpoint-name}-4
    - ipAddress: 10.0.0.05
      endpointName: {endpoint-name}-5
4

Actualice el spec.privateEndpoints parámetro.

Actualiza el parámetro spec.privateEndpoints para el AtlasProject recurso personalizado. Especifica la región de Google Cloud Platform, Google Cloud Project ID, Private Service Endpoint Prefix, tu información de salida y ejecutar el siguiente comando:

cat <<EOF | kubectl apply -f -
apiVersion: atlas.mongodb.com/v1
kind: AtlasProject
metadata:
  name: my-project
spec:
  name: Test Atlas Operator Project
  privateEndpoints:
  - provider: "GCP"
    region: "{gcp-region}"
    gcpProjectId: "{project-id}"
    endpointGroupName: "{endpoint-name}"
    endpoints:
    - ipAddress: {ip-address}
      endpointName: {endpoint-name}-0
    - ipAddress: {ip-address}
      endpointName: {endpoint-name}-1
    - ipAddress: {ip-address}
      endpointName: {endpoint-name}-2
    - ipAddress: {ip-address}
      endpointName: {endpoint-name}-3
    - ipAddress: {ip-address}
      endpointName: {endpoint-name}-4
    - ipAddress: {ip-address}
      endpointName: {endpoint-name}-5
EOF
5

Verifique el estado de sus nodos privados utilizando el Atlas Kubernetes Operator.

Ejecuta el siguiente comando:

kubectl get atlasproject my-project -o yaml
6

Recuperar el secreto que Atlas Kubernetes Operator creó para conectarse al clúster.

  1. Copie el siguiente comando:

    Importante

    El siguiente comando requiere jq 1.6 o superior.

    kubectl get secret {my-project}-{my-atlas-cluster}-{my-database-user} -o json | jq -r '.data | with_entries(.value |= @base64d)';

  2. Reemplaza los siguientes marcadores de posición con los detalles para tus recursos personalizados:

    my-project

    Especifica el valor del campo metadata de tu AtlasProject Recurso Personalizado.

    my-atlas-cluster

    Especifica el valor del campo metadata de tu AtlasDeployment Recurso Personalizado.

    my-database-user

    Especifica el valor del campo metadata de tu AtlasDatabaseUser Recurso Personalizado.

  3. Ejecuta el comando.

    Nota

    Sus cadenas de conexión serán diferentes a las del siguiente ejemplo. Si tiene varios puntos finales privados, el secreto contiene varios campos connectionStringPrivate y connectionStringPrivateSvr con el sufijo numérico correspondiente (por ejemplo, connectionStringPrivate1, connectionStringPrivate2, etc.).

    {
      "connectionStringPrivate": "mongodb://pl-0-eastus2.uzgh6.mongodb.net:1024,pl-0-eastus2.uzgh6.mongodb.net:1025,pl-0-eastus2.uzgh6.mongodb.net:1026/?ssl=truereplicaSet=atlas-18bndf-shard-0",
      "connectionStringPrivateSrv": "mongodb+srv://cluster0-pl-0.uzgh6.mongodb.net",
      "password": "P@@sword%",
      "username": "theuser"
     }

    Puedes usar este secreto en tu aplicación:

    containers:
      - name: test-app
        env:
        - name: "CONNECTION_STRING"
          valueFrom:
            secretKeyRef:
              name: my-project-my-atlas-cluster-my-database-user
              key: connectionStringPrivate

Volver

Nodos privados

Next

Federado

En esta página