Join us at MongoDB.local London on 7 May to unlock new possibilities for your data. Use WEB50 to save 50%.
Register now >
Docs Menu
Docs Home
/ /
Seguridad
Docs Home
/
Gestión
/
Cloud Manager
/
Seguridad
Docs Home
/
Gestión
/
Cloud Manager
/
Seguridad

Configuración del firewall

Puertos accesibles

El Cloud Manager debe poder conectarse a los usuarios y agentes de MongoDB a través de HTTP o HTTPS. Los agentes de MongoDB deben poder conectarse a las bases de datos MongoDB del cliente MongoDB.

Aunque Cloud Manager solo requiere puertos de red HTTP (o HTTPS) y MongoDB abiertos para conectarse con los usuarios y las bases de datos, los puertos que se abren en un firewall dependen de las capacidades que estén habilitadas: cifrado, autenticación y monitoreo.

Esta página define qué sistemas deben conectarse a qué puertos en otros sistemas.

Cloud Manager requiere acceso a los siguientes puertos y direcciones IP.

Obtener las direcciones IP requeridas

Envía una solicitud GET al controlPlaneIPAddresses Punto de conexión de la API de administración de Atlas para obtener las direcciones IP del plano de control actuales que requiere Cloud Manager. El punto de conexión de la API devuelve una lista de direcciones IP del plano de control entrantes y salientes en notación CIDR, categorizadas por proveedor de nube y región, similar a la siguiente:

{
  "controlPlane": {
    "inbound": {
      "aws": { // cloud provider
        "us-east-1": [ // region
          "3.92.113.229/32",
          "3.208.110.31/32",
          "107.22.44.69/32"
          ...,
        ],
        ...
       }
     },
     "outbound": {
       "aws": { // cloud provider
         "us-east-1": [ // region
           "3.92.113.229/32",
           "3.208.110.31/32",
           "107.22.44.69/32"
           ...,
         ],
         ...
        }
      }
  },
  "data_federation": {
    "inbound": {},
    "outbound" {}
  },
  "app_services": {
    "inbound": {},
    "outbound" {}
  },
  ...
}

Importante

La API de administración de Atlas utiliza los términos inbound y outbound en relación con el plano de control, no tu red. Como resultado:

  • Las reglas de entrada de la red deben coincidir con los CIDR outbound enumerados en la API Admin de Atlas.

  • Las reglas de salida de su red deben coincidir con los inbound CIDR enumerados en la API de administración de Atlas.

En el siguiente diagrama, se muestra la relación entre inbound y outbound para el plano de control y su red:

Un diagrama que muestra que el tráfico entrante del plano de control refleja el tráfico saliente de su red, y el tráfico saliente del plano de control refleja el tráfico entrante a su red.
haga clic para ampliar

Acceso requerido: controlPlane.inbound direcciones IP

controlPlane.inbound enumera las direcciones IP del tráfico que ingresa al plano de control. Si tu red permite únicamente solicitudes HTTP salientes a direcciones IP específicas, debes permitir el acceso a las direcciones IP indicadas en controlPlane.inbound para que MongoDB pueda comunicarse con tus webhooks.

Utilice la API de administración de Atlas para obtener las direcciones IP actuales que requiere Cloud Manager.

Tienes la opción de configurar alertas para que se entreguen mediante webhook. Esto envía una solicitud HTTP POST a un endpoint para procesamiento programático. Si desea entregar correctamente un webhook al endpoint especificado, debe permitir el acceso a las direcciones IP enumeradas en controlPlane.inbound.

Acceso requerido: controlPlane.outbound direcciones IP

controlPlane.outbound enumera las direcciones IP del tráfico proveniente del plano de control. La lista de direcciones IP entrantes HTTP de su red debe permitir el acceso desde las direcciones IP enumeradas en controlPlane.outbound.

Utilice la API de administración de Atlas para obtener las direcciones IP actuales que requiere Cloud Manager.

Esto permite que los agentes de MongoDB GET y POST a los siguientes hosts:

  • api-agents.mongodb.com

  • api-backup.mongodb.com

  • api-backup.us-east-1.mongodb.com

  • queryable-backup.us-east-1.mongodb.com

  • restore-backup.us-east-1.mongodb.com

  • real-time-api-agents.mongodb.com

Los agentes de MongoDB se conectan a Cloud Manager en el puerto 443. Ya sea que aprovisiones tus hosts en un proveedor de servicios en la nube o en tu propia red, configura tu infraestructura de red para permitir conexiones salientes en el puerto 443.

Dominio para la descarga de binarios de MongoDB

Los Agentes de MongoDB requieren acceso saliente a los siguientes dominios, dependiendo de la edición de MongoDB que posea, para descargar binarios de "MongoDB":

MongoDB Edition
Dominio de la lista de acceso
IP Ranges
Proveedor de servicios

Community

fastdl.mongodb.org

Rangos de IP para CloudFront.

Los rangos de IP de CloudFront cambian con frecuencia.

Amazon CloudFront

Enterprise

downloads.mongodb.com

Compilación personalizada de MongoDB

URL accesible por los agentes de MongoDB

Dominio para descargas y actualizaciones del agente MongoDB

Si restringe el acceso saliente, debe otorgar a sus agentes MongoDB acceso al siguiente dominio para descargar y actualizar el agente MongoDB.

Dominio de la lista de acceso
IP Ranges
Proveedor de servicios

s3.amazonaws.com

Rangos de IP para AWS.

Los rangos de IP para AWS cambian con frecuencia.

AWS

Puertos requeridos dentro de tu red

Todos los procesos de MongoDB en una implementación deben ser accesibles para todos los agentes de MongoDB que los administren. Por lo tanto, todos los puertos de MongoDB deben estar abiertos a todos los hosts de la red que sirvan a un agente de MongoDB.

Ejemplo

Si está ejecutando procesos MongoDB en 27000, 27017 y 27020, entonces esos tres puertos deben estar abiertos desde todos los hosts que prestan servicio a un agente MongoDB.

Volver

Overview

Next

Conexiones seguras

En esta página