Docs Menu
Docs Home
/
Desarrollo
/
Nodos privados
Docs Home
/
Desarrollo
/
Nodos privados
Docs Home
/
Desarrollo
/
Nodos privados

Configurar un nodo privado para un clúster dedicado

Nota

Esta función no está disponible para M0 Clústeres gratuitos y clústeres Flex. Para obtener más información sobre las funciones que no están disponibles, consulte Límites de Atlas M0 (clúster libre).

Se deben seguir estos pasos para habilitar que un cliente se conecte a un clúster dedicado de Atlas mediante nodos privados.

Para aprender más sobre el uso de nodos privados con Atlas, se puede consultar Aprender sobre nodos privados en Atlas.

Acceso requerido

Para configurar un nodo privado para un clúster dedicado, se debe tener Organization Owner o acceso Project Owner al proyecto.

Requisitos previos, consideraciones y limitaciones

Para aprender los requisitos previos, consideraciones y limitaciones para configurar un nodo privado, se pueden consultar los siguientes recursos:

Siga estos pasos

Para configurar AWS PrivateLink a través de la CLI de Atlas, Instale la CLI de Atlas y conéctese desde ella. A continuación, siga estos pasos:

1

Crear el servicio de nodo privado en Atlas.

  1. Ejecute el comando Atlas CLI para iniciar la configuración de AWS PrivateLink en Atlas. Atlas representa estos recursos como un servicio de punto final privado. Asegúrese de que el valor de --region coincida con la región donde implementó el clúster:

    atlas privateEndpoints aws create [options]

    Para aprender más sobre la sintaxis y los parámetros del comando, se puede consultar la documentación de Atlas CLI para atlas privateEndpoints aws create.

    Si se tiene un clúster multiregión o multi-nube y no se activan los nodos privados regionalizados, se debe aprovisionar un endpoint para cada proveedor y región.

  2. Se debe anotar el ID de los nodos privados en la respuesta. En este ejemplo, el ID es 6344ac8f51b94c6356527881.

    Private endpoint '6344ac8f51b94c6356527881' created.
2

Recuperar el nombre del servicio de nodos privados.

IMPORTANTE: Tal vez Atlas tarde un tiempo en aprovisionar los nodos privados. Pueden transcurrir de 1-2 minutos antes de que se complete este paso.

  1. Ejecutar el comando de Atlas CLI para describir el nodo privado usando su ID:

    atlas privateEndpoints aws describe <privateEndpointId> [options]

    Para aprender más sobre la sintaxis y los parámetros de comandos, se puede consultar la documentación de Atlas CLI para atlas privateEndpoints aws describe.

  2. Se debe tener en cuenta el valor para ENDPOINT SERVICE en la respuesta, que muestra el nombre del servicio de nodo privado asociado con este nodo privado. En este ejemplo, el nombre del servicio de endpoint es com.amazonaws.vpce.us-east-1.vpce-svc-0705499aae25ac77c:

    ID                         ENDPOINT SERVICE                                           STATUS         ERROR
    6344ac8f51b94c6356527881   com.amazonaws.vpce.us-east-1.vpce-svc-0705499aae25ac77c   AVAILABLE

    Si el valor STATUS es INITIATING, espere de 1 a 2 minutos más para que Atlas aprovisione el nodo privado. Luego, pruebe este paso nuevamente.

3

Crear el endpoint de la interfaz en AWS.

  1. Ejecutar el comando en la AWS CLI, reemplazando los siguientes marcadores de posición con los valores establecidos:

    Marcador de posición
    Descripción

    {VPC-ID}

    String única que identifica la VPC de emparejamiento AWS VPC. Encontrar este valor en el tablero de VPC en la cuenta AWS.

    {REGION}

    Región de AWS en la que se encuentra su clúster.

    {ID DE SUBRED}

    Cadena única que identifica las subredes que utiliza su VPC de AWS. Encuentre estos valores en Subnet panel de control en su cuenta de AWS.

    IMPORTANTE: Se debe especificar al menos una subred. Si no se hace, AWS no aprovisionará un endpoint de la interfaz en el VPC. Se requiere un endpoint de la interfaz para que los clientes en su VPC envíen tráfico al nodo privado.

    {NOMBRE DEL SERVICIO}

    String única que identifica el servicio de nodo privado que se recuperó anteriormente.

    aws ec2 create-vpc-endpoint --vpc-id {VPC-ID} \
    --region {REGION} --service-name {SERVICE-NAME} \
    --vpc-endpoint-type Interface --subnet-ids {SUBNET-IDS}

    Para obtener más información sobre la AWS CLI, consulte Creación de un punto final de interfaz.

  2. Observa el valor en la respuesta para el campo VpcEndpointId. Esta es una string alfanumérica de 22caracteres que identifica tu endpoint privado. También se puede encontrar este valor en el tablero de AWS VPC, bajo Endpoints > VPC ID.

4

Especificar el ID del endpoint de la VPC para el nodo privado.

  1. Se debe ejecutar el comando de Atlas CLI para proporcionar la información del endpoint de la interfaz a Atlas utilizando el ID del servicio de endpoint de Atlas y el ID del endpoint de VPC. En este ejemplo, se establecerían los siguientes parámetros:

    Parameter
    Tipo
    Valor de ejemplo

    endpointServiceId

    Argument

    6344ac8f51b94c6356527881

    privateEndpointId

    Opción

    vpce-00713b5e644e830a3

    atlas privateEndpoints aws interfaces create <endpointServiceId> [options]

    Para aprender más sobre la sintaxis y los parámetros del comando, se puede consultar la documentación de Atlas CLI para atlas privateEndpoints aws interfaces create.

5

Configure los grupos de seguridad de sus recursos para enviar tráfico hacia y recibir tráfico desde el punto final de la interfaz.

Para cada recurso que necesite conectarse a los clústeres de Atlas usando AWS PrivateLink, el grupo de seguridad del recurso debe permitir el tráfico saliente a las direcciones IP privadas del endpoint de la interfaz en todos los puertos.

Para aprender más, se puede consultar Agregar reglas a un grupo de seguridad.

6

Crear un grupo de seguridad para el endpoint de la interfaz para permitir que los recursos accedan a él.

Este grupo de seguridad debe permitir el tráfico entrante en todos los puertos de cada recurso que necesite conectarse a los clústeres Atlas usando AWS PrivateLink:

  1. En la consola de AWS, ir al VPC Dashboard.

  2. Hacer clic en Security Groups, luego hacer clic en Create security group.

  3. Utilizar el asistente para crear un grupo de seguridad. Se debe garantizar que se selecciona la VPC de la lista VPC.

  4. Seleccionar el grupo de seguridad que se acaba de crear y luego hacer clic en la pestaña Inbound Rules.

  5. Haga clic en Edit Rules.

  6. Añadir reglas para permitir todo el tráfico entrante desde cada recurso de la VPC que se desee conectar al clúster Atlas.

  7. Haga clic en Save Rules.

  8. Hacer clic en Endpoints, luego hacer clic en el punto de enlace para la VPC.

  9. Hacer clic en la pestaña Security Groups, luego hacer clic en Edit Security Groups.

  10. Añada el grupo de seguridad que acaba de crear y luego haga clic en Save.

Para aprender más sobre los grupos de seguridad de VPC, se puede consultar la documentación de AWS.

7

Verificar la disponibilidad del nodo privado.

Es posible conectarse al clúster utilizando el nodo privado de AWS PrivateLink después de que Atlas termine de configurar todos los recursos y el nodo privado esté disponible.

Para verificar que el nodo privado AWS está disponible:

  1. Ejecutar el comando de Atlas CLI para describir el endpoint de la interfaz utilizando su ID. En este ejemplo, se establecerían los siguientes parámetros:

    Parameter
    Tipo
    Valor de ejemplo

    interfaceEndpointId

    Argument

    vpce-00713b5e644e830a3

    endpointServiceId

    Opción

    6344ac8f51b94c6356527881

    atlas privateEndpoints aws interfaces describe <interfaceEndpointId> [options]

    Para aprender más sobre la sintaxis de comandos y los parámetros, se puede consultar la documentación de Atlas CLI para atlas privateEndpoints aws interfaces describe.

  2. Verifique que el valor del campo STATUS sea AVAILABLE como se muestra en el siguiente ejemplo:

    ID                         STATUS         ERROR
    vpce-00713b5e644e830a3     AVAILABLE

Para configurar AWS PrivateLink mediante la interfaz de usuario de Atlas:

1

En Atlas, ve a la página Database & Network Access de tu proyecto.

  1. Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.

  2. Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.

  3. En la barra lateral, haz clic en Database & Network Access en la sección Security.

La página Acceso a la base de datos y a la red se muestra.

2

Haga clic en la pestaña y luego en la siguiente pestaña.Private Endpoint

Hacer clic Dedicated Cluster para un nodo privado para el clúster dedicado de Atlas. (por defecto)

3

Hacer clic en el botón para configurar los nodos privados.

Haga clic en el botón Add Private Endpoint.

IMPORTANTE: Debe proporcionar la información de facturación en el formulario Edit Payment Method si aún no tiene configurado un método de pago para su organización.

4

Elegir un proveedor de nube.

Hacer clic en el logotipo de AWS, luego hacer clic en Next.

5

Elegir una región.

  1. Desde la lista de Atlas Region, se puede seleccionar la región en la que se desea crear el nodo privado.

  2. Haga clic en Next.

IMPORTANTE: Si una organización no tiene información de pago almacenada, Atlas le pedirá que la añada antes de continuar.

6

Configurar el nodo privado.

ADVERTENCIA: Para evitar interrupciones de conexión, se debe especificar la información correcta. Es recomendable no omitir los comandos y subpasos en este paso.

  1. Introducir los siguientes detalles sobre la AWS VPC:

    Your VPC ID

    Identificador único del par AWS VPC. Encontrar este valor en el tablero VPC de la cuenta AWS.

    Your Subnet IDs

    Identificadores únicos de las subredes que el AWS VPC utiliza.

    Se pueden encontrar estos valores en el tablero Subnet de la cuenta de AWS.

    Se debe especificar al menos una subred. Si no se hace, AWS no aprovisionará un endpoint de la interfaz en la VPC. Se requiere un endpoint de la interfaz para que los clientes en su VPC envíen tráfico al Nodo privado.

  2. Copiar el comando que muestra el cuadro de diálogo y ejecutarlo usando la AWS CLI.

    IMPORTANTE: Si se omite este paso, el endpoint de la interfaz para el servicio del nodo privado no se creará.

    No se puede copiar el comando hasta que Atlas termine de crear recursos VPC en segundo plano.

    Se puede consultar Creación de un endpoint de la interfaz para realizar esta tarea utilizando la AWS CLI.

  3. Haga clic en Next.

7

Finalizar la conexión de nodos privados.

  1. Ingrese VPC Endpoint ID su. Esta es una 22cadena alfanumérica de caracteres que identifica su punto de conexión privado. Encuentre este valor en el panel de AWS VPC, en Endpoints >. VPC ID

  2. Haga clic en Create.

8

Configure los grupos de seguridad de sus recursos para enviar tráfico hacia y recibir tráfico desde el punto final de la interfaz.

Para cada recurso que necesite conectarse a los clústeres de Atlas usando AWS PrivateLink, el grupo de seguridad del recurso debe permitir el tráfico saliente a las direcciones IP privadas del endpoint de la interfaz en todos los puertos.

Para aprender más, se puede consultar Agregar reglas a un grupo de seguridad.

9

Crear un grupo de seguridad para el endpoint de la interfaz para permitir que los recursos accedan a él.

Este grupo de seguridad debe permitir el tráfico entrante en todos los puertos de cada recurso que necesite conectarse a los clústeres Atlas usando AWS PrivateLink:

  1. En la consola de AWS, ir al VPC Dashboard.

  2. Hacer clic en Security Groups, luego hacer clic en Create security group.

  3. Utilizar el asistente para crear un grupo de seguridad. Se debe garantizar que se selecciona la VPC de la lista VPC.

  4. Seleccionar el grupo de seguridad que se acaba de crear y luego hacer clic en la pestaña Inbound Rules.

  5. Haga clic en Edit Rules.

  6. Añadir reglas para permitir todo el tráfico entrante desde cada recurso de la VPC que se desee conectar al clúster Atlas.

  7. Haga clic en Save Rules.

  8. Hacer clic en Endpoints, luego hacer clic en el punto de enlace para la VPC.

  9. Hacer clic en la pestaña Security Groups, luego hacer clic en Edit Security Groups.

  10. Añada el grupo de seguridad que acaba de crear y luego haga clic en Save.

Para aprender más sobre los grupos de seguridad de VPC, se puede consultar la documentación de AWS.

10

En Atlas, ve a la página Database & Network Access de tu proyecto.

  1. Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.

  2. Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.

  3. En la barra lateral, haz clic en Database & Network Access en la sección Security.

La página Acceso a la base de datos y a la red se muestra.

11

Verificar que los nodos privados estén disponibles.

Se puede conectar a un clúster de Atlas utilizando el nodo privado de AWS PrivateLink cuando todos los recursos estén configurados y el nodo privado esté disponible.

Para verificar que el nodo privado de AWS PrivateLink está disponible:

En la pestaña Private Endpoint, seleccione un tipo de clúster y verifique los siguientes estados para la región que contiene el clúster al que desea conectarse mediante AWS PrivateLink:

Atlas Endpoint Service Status

Disponible

Endpoint Status

Disponible

Para aprender más sobre los posibles valores de estado, se puede consultar Solucionar problemas de conexión de nodos privados.

Si no se ven estos estados, se puede consultar Solucionar problemas de conexión de nodos privados para obtener información adicional.

Para configurar Azure Private Link a través de Atlas CLI, instale Atlas CLI y conéctese desde Atlas CLI. A continuación, complete los siguientes pasos:

1

Crear el servicio de nodo privado en Atlas.

  1. Ejecutar el comando de Atlas CLI para crear un nodo privado y un servicio de nodo privado en Atlas. Asegúrese de que el valor de --region coincida con la región donde se implementó el clúster:

    atlas privateEndpoints azure create [options]

    Para aprender más sobre la sintaxis y los parámetros del comando, se puede consultar la documentación de Atlas CLI para atlas privateEndpoints azure create.

    Si se tiene un clúster multiregión o multi-nube y no se activan los nodos privados regionalizados, se debe aprovisionar un endpoint para cada proveedor y región.

  2. Se debe anotar el ID de los nodos privados en la respuesta. En este ejemplo, el ID es 6344ac8f51b94c6356527881.

    Private endpoint '6344ac8f51b94c6356527881' created.
2

Recuperar el nombre del servicio de nodos privados.

IMPORTANTE: Tal vez Atlas tarde un tiempo en aprovisionar los nodos privados. Pueden transcurrir de 1-2 minutos antes de que se complete este paso.

  1. Ejecutar el comando de Atlas CLI para describir el nodo privado utilizando su ID de servicio:

    atlas privateEndpoints azure describe <privateEndpointId> [options]

    Para aprender más sobre la sintaxis y los parámetros del comando, se puede consultar la documentación de Atlas CLI para atlas privateEndpoints azure describe.

  2. Tome nota del valor de ENDPOINT SERVICE en la respuesta, que muestra el nombre del servicio del endpoint. En este ejemplo, el nombre del servicio del endpoint es pls_6344ac8f51b94c6356527881:

    ID                         ENDPOINT SERVICE                                                STATUS         ERROR
    6344ac8f51b94c6356527881   pls_6344ac8f51b94c6356527881   AVAILABLE

    Si el valor STATUS es INITIATING, espere de 1 a 2 minutos más para que Atlas aprovisione el nodo privado. Luego, pruebe este paso nuevamente.

3

Crear el punto de conexión en Azure.

  1. Ejecutar el comando az network private-endpoint create en la Azure CLI, reemplazando los siguientes marcadores de posición con los valores establecidos:

    Marcador de posición
    Descripción

    {RESOURCE-GROUP-NAME}

    Nombre del grupo de recursos de Azure que contiene la VNet que se desea usar para conectarse a Atlas. Se puede encontrar este valor en la página Resource Group Properties del tablero de Azure.

    {NOMBRE DE LA RED VIRTUAL}

    Nombre de la VNet que desea usar para conectarse a Atlas. Puede encontrar este valor en la página Virtual Network de su tablero de Azure.

    {NOMBRE DE SUBRED}

    Nombre de la subred en la Azure VNet. Se puede encontrar este valor en la página Virtual Network Subnets del tablero de Azure.

    {NOMBRE DEL PUNTO FINAL PRIVADO}

    Etiqueta legible por humanos que identifica el nodo privado dentro del grupo de recurso Azure.

    {ID DE SUSCRIPCIÓN}

    String única que identifica la suscripción en Azure. Se puede encontrar este valor en la página Subscriptions en Azure.

    {ID DEL GRUPO DE RECURSOS}

    String única que identifica el grupo de recursos de Azure en Atlas. Se puede encontrar este valor en la pestaña Private Endpoint de la página Network Access en la interfaz de usuario de Atlas.

    Este valor comienza con rg_ y contiene una combinación de letras y números que se asemeja a rg_65c66a56a3a43....

    {NOMBRE DEL SERVICIO DEL PUNTO FINAL}

    String única que identifica el servicio de endpoint. Este es el nombre del servicio de endpoint devuelto en un paso anterior.

    az network private-endpoint create --resource-group {RESOURCE-GROUP-NAME} --name {PRIVATE-ENDPOINT-NAME} --vnet-name {VIRTUAL-NETWORK-NAME} --subnet {SUBNET-NAME} --private-connection-resource-id /subscriptions/{SUBSCRIPTION-ID}/resourceGroups/{RESOURCE-GROUP-ID}/providers/Microsoft.Network/privateLinkServices/{ENDPOINT-SERVICE-NAME} --connection-name {ENDPOINT-SERVICE-NAME} --manual-request true

    Para aprender más sobre la CLI de Azure, consulte Crear un nodo privado mediante la CLI de Azure.

4

Especificar el ID del Recurso y la IP privada para el nodo privado.

  1. Ejecutar el comando de Atlas CLI para crear un endpoint de la interfaz en Atlas usando el ID de servicio del endpoint de Atlas, el ID del recurso de Azure y la IP privada de Azure. En este ejemplo, se establecerían los siguientes parámetros:

    Parameter
    Tipo
    Valor de ejemplo

    endpointServiceId

    Argument

    6344ac8f51b94c6356527881

    privateEndpointId

    Opción

    /subscriptions/4e133d35-e734-4385-a565-c0945567ae346/ resourceGroups/rg_95847a959b876e255dbb9b33_dfragd7w/ providers/Microsoft.Network/privateEndpoints/ test-endpoint

    privateEndpointIpAddress

    Opción

    10.0.0.4

    atlas privateEndpoints azure interfaces create <endpointServiceId> [options]

    Para aprender más sobre la sintaxis y los parámetros del comando, consulte la documentación de Atlas CLI para atlas privateEndpoints azure interfaces create.

  2. Se debe anotar el ID del endpoint de la interfaz del nodo privado en la respuesta. En este ejemplo, el ID es /subscriptions/ 4e133d35-e734-4385-a565-c0945567ae346/resourceGroups/ rg_95847a959b876e255dbb9b33_dfragd7w/providers/ Microsoft.Network/privateEndpoints/cli-test.

    Interface endpoint '/subscriptions/4e133d35-e734-4385-a565-c0945567ae346/resourceGroups/rg_95847a959b876e255dbb9b33_dfragd7w/providers/Microsoft.Network/privateEndpoints/cli-test' created.
5

Verificar la disponibilidad del nodo privado.

Es posible conectarse al clúster usando el nodo privado de Azure Private Link después de que Atlas termine de configurar todos los recursos y el nodo privado esté disponible.

Para verificar que el nodo privado de Azure está disponible:

  1. Se puede ejecutar el comando de Atlas CLI para describir el endpoint de la interfaz usando el ID y el ID del endpoint de la interfaz que se recuperó en el paso anterior. En este ejemplo, se establecerían los siguientes parámetros:

    Parameter
    Tipo
    Valor de ejemplo

    privateEndpointResourceId

    Argument

    /subscriptions/4e133d35-e734-4385-a565-c0945567ae346/ resourceGroups/rg_95847a959b876e255dbb9b33_dfragd7w/ providers/Microsoft.Network/privateEndpoints/cli-test

    endpointServiceId

    Opción

    6344ac8f51b94c6356527881

    atlas privateEndpoints azure interfaces describe <privateEndpointResourceId> [options]

    Para aprender más sobre la sintaxis de comandos y los parámetros, consulte la documentación de Atlas CLI para atlas privateEndpoints azure interfaces describe.

  2. Verifique que el valor del campo STATUS sea AVAILABLE como se muestra en el siguiente ejemplo:

    ID                             STATUS         ERROR
    pls_6344ac8f51b94c6356527881   AVAILABLE

Para configurar Azure Private Link a través de la interfaz de usuario de Atlas:

1

En Atlas, ve a la página Database & Network Access de tu proyecto.

  1. Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.

  2. Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.

  3. En la barra lateral, haz clic en Database & Network Access en la sección Security.

La página Acceso a la base de datos y a la red se muestra.

2

Haga clic en la pestaña y luego en la siguiente pestaña.Private Endpoint

Hacer clic Dedicated Cluster para un nodo privado para el clúster dedicado de Atlas. (por defecto)

3

Hacer clic en el botón para configurar los nodos privados.

Haga clic en el botón Add Private Endpoint.

IMPORTANTE: Debe proporcionar la información de facturación en el formulario Edit Payment Method si aún no tiene configurado un método de pago para su organización.

4

Elegir un proveedor de nube.

Hacer clic en el logotipo de Azure, luego hacer clic en Next.

5

Elegir una región.

  1. Desde la lista de Atlas Region, se puede seleccionar la región en la que se desea crear el nodo privado.

  2. Haga clic en Next.

IMPORTANTE: Si una organización no tiene información de pago almacenada, Atlas le pedirá que la añada antes de continuar.

6

Configurar el nodo privado.

ADVERTENCIA: Para evitar interrupciones de conexión, se debe especificar la información correcta. Es recomendable no omitir los comandos y subpasos en este paso.

  1. Introduzca los siguientes datos sobre su Azure VNet:

    Resource Group Name

    El nombre del grupo de recursos que contiene el VNet que se desea usar para conectarse a Atlas. Encontrar este valor en la página Resource Group Properties del tablero de Azure.

    Virtual Network Name

    El nombre de la red virtual que se desea usar para conectarse a Atlas. Buscar este valor en la página Virtual Network del tablero de Azure.

    Subnet Name

    El nombre de la subred en la Azure VNet. Buscar este valor en la página Virtual Network Subnets del tablero de Azure.

  2. Introducir un nombre único para el nodo privado en el campo Private Endpoint Name.

  3. Crear el nodo privado en la VNet copiando el comando az network private-endpoint create que aparece en el cuadro de diálogo y ejecutándolo mediante la CLI de Azure.

    IMPORTANTE: No se puede copiar el comando hasta que Atlas termine de crear los recursos de VNet en segundo plano.

    Para aprender más sobre este comando, se puede consultar la documentación de Azure.

  4. Se podría recibir un error como el siguiente al crear el nodo privado:

    ServiceError: code: LinkedAuthorizationFailed - , The client has permission to perform action 'Microsoft.Network/privateLinkServices/PrivateEndpointConnectionsApproval/action' on scope '/subscriptions/<subscription-id>/resourceGroups/privatelink/providers/Microsoft.Network/privateEndpoints/privatelink', however the current tenant '<tenant-id>' is not authorized to access linked subscription '<tenant-id>'.

    Si se recibe este error, debe añadirse el parámetro --manual-request true al comando de Azure CLI que se utilizó para crear el nodo privado y, a continuación, ejecutar el comando de nuevo.

  5. Haga clic en Next.

7

Finalizar la conexión de nodos privados.

ADVERTENCIA: Para evitar interrupciones de conexión, se debe especificar la información correcta. Es recomendable no omitir los comandos y subpasos en este paso.

  1. Introducir los siguientes datos sobre los nodos privados:

    Private Endpoint Resource ID

    El identificador único del nodo privado que se creó en la Azure VNet. Encontrar este valor de una de las siguientes maneras:

    • La página Properties para el nodo privado en el tablero de Azure muestra esta propiedad en el campo Resource ID.

    • El resultado del siguiente comando que se ejecutó anteriormente para crear el nodo privado devuelve el valor resaltado en el campo id:

      1azure network private-endpoint create
      1{
      2  "customDnsConfigs": [],
      3  "etag": "W/\"00000000-0000-0000-0000-000000000000\"",
      4  "id": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/privatelink/providers/Microsoft.Network/privateEndpoints/privatelink",
      5  "location": "eastus2",
      6  "manualPrivateLinkServiceConnections": [
      7    {
      8      "etag": "W/\"00000000-0000-0000-0000-000000000000\"",
      9      "groupIds": null,
      10      "id": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/privatelink/providers/Microsoft.Network/privateEndpoints/privatelink/manualPrivateLinkServiceConnections/pls_5f860388d432510d5a6e1a3e",
      11      "name": "pls_5f860388d432510d5a6e1a3e",
      12      "privateLinkServiceConnectionState": {
      13        "actionsRequired": "None",
      14        "description": "Connection deleted by service provider",
      15        "status": "Disconnected"
      16      },
      17      "privateLinkServiceId": "pls_5f860388d432510d5a6e1a3e.00000000-0000-0000-0000-000000000000.eastus2.privatelinkservice",
      18      "provisioningState": "Succeeded",
      19      "requestMessage": null,
      20      "resourceGroup": "privatelink",
      21      "type": "Microsoft.Network/privateEndpoints/manualPrivateLinkServiceConnections"
      22    }
      23  ],
      24  "name": "privatelink",
      25  "networkInterfaces": [
      26    {
      27      "dnsSettings": null,
      28      "dscpConfiguration": null,
      29      "enableAcceleratedNetworking": null,
      30      "enableIpForwarding": null,
      31      "etag": null,
      32      "hostedWorkloads": null,
      33      "id": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/privatelink/providers/Microsoft.Network/networkInterfaces/privatelink.nic.00000000-0000-0000-0000-000000000000",
      34      "ipConfigurations": null,
      35      "location": null,
      36      "macAddress": null,
      37      "name": null,
      38      "networkSecurityGroup": null,
      39      "primary": null,
      40      "privateEndpoint": null,
      41      "provisioningState": null,
      42      "resourceGroup": "privatelink",
      43      "resourceGuid": null,
      44      "tags": null,
      45      "tapConfigurations": null,
      46      "type": null,
      47      "virtualMachine": null
      48    }
      49  ],
      50  "privateLinkServiceConnections": [],
      51  "provisioningState": "Succeeded",
      52  "resourceGroup": "privatelink",
      53  "subnet": {
      54    "addressPrefix": null,
      55    "addressPrefixes": null,
      56    "delegations": null,
      57    "etag": null,
      58    "id": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/privatelink/providers/Microsoft.Network/virtualNetworks/privatelink/subnets/privatelink",
      59    "ipAllocations": null,
      60    "ipConfigurationProfiles": null,
      61    "ipConfigurations": null,
      62    "name": null,
      63    "natGateway": null,
      64    "networkSecurityGroup": null,
      65    "privateEndpointNetworkPolicies": null,
      66    "privateEndpoints": null,
      67    "privateLinkServiceNetworkPolicies": null,
      68    "provisioningState": null,
      69    "purpose": null,
      70    "resourceGroup": "privatelink",
      71    "resourceNavigationLinks": null,
      72    "routeTable": null,
      73    "serviceAssociationLinks": null,
      74    "serviceEndpointPolicies": null,
      75    "serviceEndpoints": null
      76  },
      77  "tags": null,
      78  "type": "Microsoft.Network/privateEndpoints"
      79}

    Private Endpoint IP Address

    La dirección IP privada de la interfaz de red de nodos privados que se creó en el Azure VNet. Encontrar este valor de una de las siguientes maneras:

    • Utilizar el tablero de Azure para recuperar este valor. La página Overview para el nodo privado en el tablero de Azure muestra esta propiedad en el campo Private IP.

    • Utilizar la Azure CLI para recuperar este valor:

      1. La salida del siguiente comando que se ejecutó anteriormente para crear el nodo privado incluye el ID de la interfaz de red en el campo networkInterfaces.id resaltado:

        1azure network private-endpoint create
        1{
        2  "customDnsConfigs": [],
        3  "etag": "W/\"00000000-0000-0000-0000-000000000000\"",
        4  "id": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/privatelink/providers/Microsoft.Network/privateEndpoints/privatelink",
        5  "location": "eastus2",
        6  "manualPrivateLinkServiceConnections": [
        7    {
        8      "etag": "W/\"00000000-0000-0000-0000-000000000000\"",
        9      "groupIds": null,
        10      "id": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/privatelink/providers/Microsoft.Network/privateEndpoints/privatelink/manualPrivateLinkServiceConnections/pls_5f860388d432510d5a6e1a3e",
        11      "name": "pls_5f860388d432510d5a6e1a3e",
        12      "privateLinkServiceConnectionState": {
        13        "actionsRequired": "None",
        14        "description": "Connection deleted by service provider",
        15        "status": "Disconnected"
        16      },
        17      "privateLinkServiceId": "pls_5f860388d432510d5a6e1a3e.00000000-0000-0000-0000-000000000000.eastus2.privatelinkservice",
        18      "provisioningState": "Succeeded",
        19      "requestMessage": null,
        20      "resourceGroup": "privatelink",
        21      "type": "Microsoft.Network/privateEndpoints/manualPrivateLinkServiceConnections"
        22    }
        23  ],
        24  "name": "privatelink",
        25  "networkInterfaces": [
        26    {
        27      "dnsSettings": null,
        28      "dscpConfiguration": null,
        29      "enableAcceleratedNetworking": null,
        30      "enableIpForwarding": null,
        31      "etag": null,
        32      "hostedWorkloads": null,
        33      "id": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/privatelink/providers/Microsoft.Network/networkInterfaces/privatelink.nic.00000000-0000-0000-0000-000000000000",
        34      "ipConfigurations": null,
        35      "location": null,
        36      "macAddress": null,
        37      "name": null,
        38      "networkSecurityGroup": null,
        39      "primary": null,
        40      "privateEndpoint": null,
        41      "provisioningState": null,
        42      "resourceGroup": "privatelink",
        43      "resourceGuid": null,
        44      "tags": null,
        45      "tapConfigurations": null,
        46      "type": null,
        47      "virtualMachine": null
        48    }
        49  ],
        50  "privateLinkServiceConnections": [],
        51  "provisioningState": "Succeeded",
        52  "resourceGroup": "privatelink",
        53  "subnet": {
        54    "addressPrefix": null,
        55    "addressPrefixes": null,
        56    "delegations": null,
        57    "etag": null,
        58    "id": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/privatelink/providers/Microsoft.Network/virtualNetworks/privatelink/subnets/privatelink",
        59    "ipAllocations": null,
        60    "ipConfigurationProfiles": null,
        61    "ipConfigurations": null,
        62    "name": null,
        63    "natGateway": null,
        64    "networkSecurityGroup": null,
        65    "privateEndpointNetworkPolicies": null,
        66    "privateEndpoints": null,
        67    "privateLinkServiceNetworkPolicies": null,
        68    "provisioningState": null,
        69    "purpose": null,
        70    "resourceGroup": "privatelink",
        71    "resourceNavigationLinks": null,
        72    "routeTable": null,
        73    "serviceAssociationLinks": null,
        74    "serviceEndpointPolicies": null,
        75    "serviceEndpoints": null
        76  },
        77  "tags": null,
        78  "type": "Microsoft.Network/privateEndpoints"
        79}

      2. Ejecutar el az network nic show --id {networkInterface.id} Comando CLI de Azure con el valor del campo networkInterfaces.id para recuperar la ipConfigurations.privateIPAddress para la interfaz de red del nodo privado. El valor de este campo es el Private Endpoint IP Address. La entrada y la salida deben asemejarse a lo siguiente. Se debe tener en cuenta el valor resaltado del campo Private Endpoint IP Address.

        1az network nic show --id /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/privatelink/providers/Microsoft.Network/networkInterfaces/privatelink.nic.00000000-0000-0000-0000-000000000000
        1{
        2  "dnsSettings": {
        3    "appliedDnsServers": [],
        4    "dnsServers": [],
        5    "internalDnsNameLabel": null,
        6    "internalDomainNameSuffix": "<>.cx.internal.cloudapp.net",
        7    "internalFqdn": null
        8  },
        9  "dscpConfiguration": null,
        10  "enableAcceleratedNetworking": false,
        11  "enableIpForwarding": false,
        12  "etag": "W/\"00000000-0000-0000-0000-000000000000\"",
        13  "hostedWorkloads": [],
        14  "id": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/privatelink/providers/Microsoft.Network/networkInterfaces/privatelink.nic.00000000-0000-0000-0000-000000000000",
        15  "ipConfigurations": [
        16    {
        17      "applicationGatewayBackendAddressPools": null,
        18      "applicationSecurityGroups": null,
        19      "etag": "W/\"00000000-0000-0000-0000-000000000000\"",
        20      "id": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/privatelink/providers/Microsoft.Network/networkInterfaces/privatelink.nic.00000000-0000-0000-0000-000000000000/ipConfigurations/privateEndpointIpConfig",
        21      "loadBalancerBackendAddressPools": null,
        22      "loadBalancerInboundNatRules": null,
        23      "name": "privateEndpointIpConfig",
        24      "primary": true,
        25      "privateIpAddress": "10.0.0.4",
        26      "privateIpAddressVersion": "IPv4",
        27      "privateIpAllocationMethod": "Dynamic",
        28      "privateLinkConnectionProperties": {
        29        "fqdns": [],
        30        "groupId": "",
        31        "requiredMemberName": ""
        32      },
        33      "provisioningState": "Succeeded",
        34      "publicIpAddress": null,
        35      "resourceGroup": "privatelink",
        36      "subnet": {
        37        "addressPrefix": null,
        38        "addressPrefixes": null,
        39        "delegations": null,
        40        "etag": null,
        41        "id": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/privatelink/providers/Microsoft.Network/virtualNetworks/privatelink/subnets/privatelink",
        42        "ipAllocations": null,
        43        "ipConfigurationProfiles": null,
        44        "ipConfigurations": null,
        45        "name": null,
        46        "natGateway": null,
        47        "networkSecurityGroup": null,
        48        "privateEndpointNetworkPolicies": null,
        49        "privateEndpoints": null,
        50        "privateLinkServiceNetworkPolicies": null,
        51        "provisioningState": null,
        52        "purpose": null,
        53        "resourceGroup": "privatelink",
        54        "resourceNavigationLinks": null,
        55        "routeTable": null,
        56        "serviceAssociationLinks": null,
        57        "serviceEndpointPolicies": null,
        58        "serviceEndpoints": null
        59      },
        60      "type": "Microsoft.Network/networkInterfaces/ipConfigurations",
        61      "virtualNetworkTaps": null
        62    }
        63  ],
        64  "location": "eastus2",
        65  "macAddress": "",
        66  "name": "privatelink.nic.00000000-0000-0000-0000-000000000000",
        67  "networkSecurityGroup": null,
        68  "primary": null,
        69  "privateEndpoint": {
        70    "customDnsConfigs": null,
        71    "etag": null,
        72    "id": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/privatelink/providers/Microsoft.Network/privateEndpoints/privatelink",
        73    "location": null,
        74    "manualPrivateLinkServiceConnections": null,
        75    "name": null,
        76    "networkInterfaces": null,
        77    "privateLinkServiceConnections": null,
        78    "provisioningState": null,
        79    "resourceGroup": "privatelink",
        80    "subnet": null,
        81    "tags": null,
        82    "type": null
        83  },
        84  "provisioningState": "Succeeded",
        85  "resourceGroup": "privatelink",
        86  "resourceGuid": "00000000-0000-0000-0000-000000000000",
        87  "tags": null,
        88  "tapConfigurations": [],
        89  "type": "Microsoft.Network/networkInterfaces",
        90  "virtualMachine": null
        91}

  2. Introducir una descripción opcional para el endpoint.

  3. Haga clic en Create.

8

En Atlas, ve a la página Database & Network Access de tu proyecto.

  1. Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.

  2. Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.

  3. En la barra lateral, haz clic en Database & Network Access en la sección Security.

La página Acceso a la base de datos y a la red se muestra.

9

Verificar que los nodos privados estén disponibles.

Es posible conectarse a un clúster de Atlas utilizando el nodo privado de Azure Private Link cuando todos los recursos estén configurados y el nodo privado esté disponible.

Para verificar que el nodo privado de Azure Private Link está disponible:

En la pestaña Private Endpoint, seleccione un tipo de clúster y verifique los siguientes estados para la región que contiene el clúster al que desea conectarse mediante Azure Private Link:

Atlas Endpoint Service Status

Disponible

Endpoint Status

Disponible

Para aprender más sobre los posibles valores de estado, se puede consultar Solucionar problemas de conexión de nodos privados.

Si no se ven estos estados, se puede consultar Solucionar problemas de conexión de nodos privados para obtener información adicional.

Para configurar GCP Private Service Connect en Google Cloud a través del Atlas CLI, instalar la Atlas CLI y conectarse desde la Atlas CLI. A continuación, se deben completar los siguientes pasos:

1

Crear el nodo privado en Atlas.

  1. Ejecute el comando CLI de Atlas para crear un punto final privado con puerto asignado en Atlas. Asegúrese de que el valor de --region coincida con la región donde implementó el clúster:

    ./atlas privateEndpoints gcp create --region CENTRAL_US --portMappingEnabled

    Nota

    Si no configura explícitamente el indicador --portMappingEnabled, el punto final privado se creará sin mapeo de puertos.

    Si se tiene un clúster multiregión o multi-nube y no se activan los nodos privados regionalizados, se debe aprovisionar un endpoint para cada proveedor y región.

  2. Anotar el ID del nodo privado en la respuesta. En este ejemplo, el ID es 6344ac8f51b94c6356527881.

    Private endpoint '6344ac8f51b94c6356527881' created.
2

Esperar a que el nodo privado esté disponible.

IMPORTANTE: Tal vez Atlas tarde un tiempo en aprovisionar los nodos privados. Pueden transcurrir de 1-2 minutos antes de que se complete este paso.

Ejecutar el comando de Atlas CLI para describir el nodo privado usando su ID:

atlas privateEndpoints gcp describe <privateEndpointId> [options]

Para aprender más sobre la sintaxis y los parámetros del comando, se puede consultar la documentación de Atlas CLI para atlas privateEndpoints gcp describe.

A continuación se muestra un ejemplo de salida:

ID                         GROUP NAME   REGION       STATUS      PORT MAPPING ENABLED   ERROR
69948cba1faa593416bbbd7d   N/A          CENTRAL_US   AVAILABLE   true                   <nil>

Si el valor STATUS es INITIATING, espere de 1 a 2 minutos más para que Atlas aprovisione el nodo privado. Luego, pruebe este paso nuevamente.

3

Crear el punto de conexión en GCP.

Ejecute los siguientes comandos para asignar una dirección IP y crear el punto final privado, reemplazando los siguientes marcadores de posición con sus valores:

Marcador de posición
Descripción

{ID-DEL-PROYECTO-GCP}

String única que identifica el proyecto de Google Cloud en Google Cloud.

{ATLAS-GCP-PROJECT-ID}

String única que identifica el proyecto de Google Cloud en el que Atlas implementa los recursos dados.

{ENDPOINT}

Cadena única que identifica su punto final privado.

{REGION}

Región de Google Cloud en la que se encuentra el clúster.

{SUBRED}

Cuando crea puntos finales de conexión de servicio privado, especifica una subred en su red VPC; puede crear una nueva subred para encapsular sus puntos finales o usar una existente.

{NOMBRE DE VPC}

Nombre de la VNet que se desea usar para conectarse a Atlas. Se puede encontrar este valor en la página Red de VPC en el tablero de Google Cloud.

{ID DE GRUPO}

String hexadecimal única de 24 caracteres que identifica el proyecto en Atlas.

gcloud config set project {GCP-PROJECT-ID}
gcloud compute addresses create {ENDPOINT}-ip --region={REGION} --subnet={SUBNET}
gcloud compute forwarding-rules create {ENDPOINT} --region={REGION} --network={VPC-NAME} --address={ENDPOINT}-ip --target-service-attachment=projects/{ATLAS-GCP-PROJECT-ID}/regions/{REGION}/serviceAttachments/sa-{REGION}-{GROUP-ID}
4

Especificar el ID del endpoint de la VPC para el nodo privado.

  1. Ejecutar el comando de Atlas CLI para crear un endpoint de la interfaz en Atlas utilizando el ID del endpoint de Atlas y el ID del endpoint de VPC. En este ejemplo, se establecerían los siguientes parámetros:

    Parameter
    Tipo
    Valor de ejemplo

    endpointGroupId

    Argument

    tester-1

    endpointServiceId

    Opción

    6344ac8f51b94c6356527881

    gcpProjectId

    Opción

    atlascli-private-endpoints

    endpoint

    Opción

    tester-1@10.142.0.1

    Si la asignación de puertos PSC de Google Cloud está habilitada para el servicio de punto final privado de respaldo, este parámetro solo debe tener el tamaño 1.

    Para agregar una nueva interfaz para un endpoint privado de Google Cloud usando Atlas CLI, se debe ejecutar el siguiente comando:

    atlas privateEndpoints gcp interfaces create <endpointGroupId> [options]

    Para aprender más sobre la sintaxis de comandos y los parámetros, se puede consultar la documentación de Atlas CLI para atlas privateEndpoints gcp interfaces create.

5

Verificar la disponibilidad del nodo privado.

Se puede hacer la conexión al clúster usando el nodo privado de GCP Private Service Connect después de que Atlas termine de configurar todos los recursos y el nodo privado esté disponible.

Para verificar que el nodo privado de Google Cloud está disponible:

  1. Ejecutar el comando de Atlas CLI para describir el endpoint de la interfaz utilizando el ID. En este ejemplo, se usarían los siguientes parámetros del paso anterior:

    Parameter
    Tipo
    Valor de ejemplo

    id

    Argument

    tester-1

    endpointServiceId

    Opción

    6344ac8f51b94c6356527881

    Para devolver la interfaz de Nodo privado de Google Cloud que se especifique. Usando el Atlas CLI, se debe ejecutar el siguiente comando:

    atlas privateEndpoints gcp interfaces describe <id> [options]

    Para aprender más sobre la sintaxis de comandos y los parámetros, se puede consultar la documentación de Atlas CLI para atlas privateEndpoints gcp interfaces describe.

  2. Verifique que el valor del campo STATUS sea AVAILABLE como se muestra en el siguiente ejemplo:

    ENDPOINT              STATUS            DELETE REQUESTED
    tester-1              AVAILABLE         false

    Si el valor de STATUS es VERIFIED, se debe esperar 1-2 minutos más para que Atlas ponga a disposición el nodo privado.

Para configurar GCP Private Service Connect en Google Cloud mediante la interfaz de usuario de Atlas:

1

En Atlas, ve a la página Database & Network Access de tu proyecto.

  1. Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.

  2. Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.

  3. En la barra lateral, haz clic en Database & Network Access en la sección Security.

La página Acceso a la base de datos y a la red se muestra.

2

Haga clic en la Private Endpoint pestaña y luego haga clic Add Private Endpoint en.

3

Elegir un proveedor de nube.

Hacer clic en el logotipo de Google Cloud y luego hacer clic en Next.

4

Elegir una región.

  1. Desde la lista de Atlas Region, se puede seleccionar la región en la que se desea crear el nodo privado.

  2. Haga clic en Next.

IMPORTANTE: Si una organización no tiene información de pago almacenada, Atlas le pedirá que la añada antes de continuar.

5

Configurar el nodo privado.

ADVERTENCIA: Para evitar interrupciones de conexión, se debe especificar la información correcta. Es recomendable no omitir los comandos y subpasos en este paso.

  1. Introducir los siguientes detalles sobre la VPC de Google Cloud:

    Google Cloud Project ID

    El ID único para el proyecto. Encontrar este valor en la página Dashboard de la plataforma de Google Cloud.

    VPC Name

    El nombre de la VPC que se desea usar para conectarse a Atlas. Encontrar este valor en la página de VPC Networks del tablero de Google Cloud.

    Subnet Name

    El nombre de la subred en la VPC de Google Cloud. Encontrar este valor en la página de VPC Networks del tablero de Google Cloud.

    Private Service Connect Endpoint Name

    Un nombre único para tu punto de conexión privado. Este nombre se utiliza para identificar el punto de conexión en tu plataforma de Google Cloud.

  2. Ejecute el comando de Google Cloud proporcionado para reservar una dirección IP en su VPC. El punto final privado utiliza esta única dirección IP para conectarse a Atlas.

  3. Haga clic en Next.

  4. Haga clic en Create Private Endpoint.

  5. Ingrese la dirección IP que reservó en su VPC de Google Cloud cuando se le solicite.

  6. Ejecute el comando de Google Cloud proporcionado para crear la regla de reenvío requerida en su VPC.

  7. Haga clic en Done.

6

En Atlas, ve a la página Database & Network Access de tu proyecto.

  1. Si aún no aparece, se debe seleccionar la organización que contiene el proyecto en el menú Organizations de la barra de navegación.

  2. Si aún no se muestra, seleccione su proyecto en el menú Projects de la barra de navegación.

  3. En la barra lateral, haz clic en Database & Network Access en la sección Security.

La página Acceso a la base de datos y a la red se muestra.

7

Verificar que los nodos privados estén disponibles.

Se puede hacer la conexión a un clúster de Atlas utilizando el nodo privado de GCP Private Service Connect cuando todos los recursos estén configurados y el nodo privado esté disponible.

Para verificar que el nodo privado de GCP Private Service Connect está disponible se debe:

En la pestaña Private Endpoint, verifique los siguientes estados para la región que contiene el clúster al que desea conectarse mediante GCP Private Service Connect:

Atlas Endpoint Service Status

Disponible

Endpoint Status

Disponible

Para aprender más sobre los posibles valores de estado, se puede consultar Solucionar problemas de conexión de nodos privados.

Si no se ven estos estados, se puede consultar Solucionar problemas de conexión de nodos privados para obtener información adicional.

Da los siguientes pasos

Volver

Overview

Next

Gestiona y conéctate

Obtén una insignia de habilidad

¡Domine "Seguridad de la Red en Atlas" gratis!

Más información

En esta página