Make the MongoDB docs better! We value your opinion. Share your feedback for a chance to win $100.
Click here >
Docs Menu
Docs Home
/ /
Seguridad
Docs Home
/
Gestión
/
Cloud Manager
/
Seguridad
Docs Home
/
Gestión
/
Cloud Manager
/
Seguridad

Configuración del Firewall

Puertos Accesibles

El Cloud Manager debe poder conectarse a los usuarios y agentes de MongoDB a través de HTTP or HTTPS. Los agentes de MongoDB deben poder conectarse a las bases de datos del cliente MongoDB.

Aunque Cloud Manager solo requiere abrir los puertos de red HTTP (o HTTPS) y MongoDB para conectarse con los usuarios y las bases de datos, los puertos que se abren en un firewall dependen de las capacidades que se habiliten: cifrado, autenticación y supervisión.

Esta página define qué sistemas deben conectarse a qué puertos en otros sistemas.

Cloud Manager requiere acceso en los siguientes puertos y direcciones IP.

Obtener direcciones IP necesarias

Envía una solicitud GET al controlPlaneIPAddresses punto final de la API de administración de Atlas para obtener las direcciones IP actuales del plano de control que requiere Cloud Manager. El punto final de la API devuelve una lista de direcciones IP de plano de control entrantes y salientes en notación CIDR, categorizadas por proveedor de nube y región, similar a la siguiente:

{
  "controlPlane": {
    "inbound": {
      "aws": { // cloud provider
        "us-east-1": [ // region
          "3.92.113.229/32",
          "3.208.110.31/32",
          "107.22.44.69/32"
          ...,
        ],
        ...
       }
     },
     "outbound": {
       "aws": { // cloud provider
         "us-east-1": [ // region
           "3.92.113.229/32",
           "3.208.110.31/32",
           "107.22.44.69/32"
           ...,
         ],
         ...
        }
      }
  },
  "data_federation": {
    "inbound": {},
    "outbound" {}
  },
  "app_services": {
    "inbound": {},
    "outbound" {}
  },
  ...
}

Importante

La API de administración de Atlas utiliza los términos inbound y outbound en relación con el plano de control, no tu red. Como resultado:

  • Las reglas de entrada de la red deben coincidir con los CIDR outbound enumerados en la API Admin de Atlas.

  • Las reglas de salida de tu red deben coincidir con los inbound CIDR listados en la API de administración de Atlas.

En el siguiente diagrama, se muestra la relación entre inbound y outbound para el plano de control y su red:

Un diagrama que muestra que el tráfico entrante del plano de control refleja el tráfico saliente de su red, y el tráfico saliente del plano de control refleja el tráfico entrante a su red.
haga clic para ampliar

Acceso requerido: controlPlane.inbound direcciones IP

controlPlane.inbound enumera las direcciones IP del tráfico que ingresa al plano de control. Si tu red permite únicamente solicitudes HTTP salientes a direcciones IP específicas, debes permitir el acceso a las direcciones IP indicadas en controlPlane.inbound para que MongoDB pueda comunicarse con tus webhooks.

Usa la API de administración de Atlas para obtener las direcciones IP actuales que el Cloud Manager requiere.

Tienes la opción de configurar alertas para que se entreguen mediante webhook. Esto envía una solicitud HTTP POST a un endpoint para procesamiento programático. Si desea entregar correctamente un webhook al endpoint especificado, debe permitir el acceso a las direcciones IP enumeradas en controlPlane.inbound.

Acceso requerido: controlPlane.outbound direcciones IP

controlPlane.outbound enumera las direcciones IP del tráfico proveniente del plano de control. La lista de direcciones IP entrantes HTTP de su red debe permitir el acceso desde las direcciones IP enumeradas en controlPlane.outbound.

Usa la API de administración de Atlas para obtener las direcciones IP actuales que el Cloud Manager requiere.

Esto permite que los agentes de MongoDB GET y POST a los siguientes hosts:

  • api-agents.mongodb.com

  • api-backup.mongodb.com

  • api-backup.us-east-1.mongodb.com

  • queryable-backup.us-east-1.mongodb.com

  • restore-backup.us-east-1.mongodb.com

  • real-time-api-agents.mongodb.com

Los agentes de MongoDB se conectan a Cloud Manager en el puerto 443. Ya sea que aprovisiones tus hosts en un proveedor de servicios en la nube o en tu propia red, configura tu infraestructura de red para permitir conexiones salientes en el puerto 443.

Dominio para la descarga de binarios de MongoDB

Los Agentes de MongoDB requieren acceso saliente a los siguientes dominios, dependiendo de la edición de MongoDB que posea, para descargar binarios de "MongoDB":

MongoDB Edition
Dominio de la lista de acceso
IP Ranges
Proveedor de servicios

Community

fastdl.mongodb.org

Rangos de IP para CloudFront.

Los rangos de IP para CloudFront cambian con frecuencia.

Amazon CloudFront

Enterprise

downloads.mongodb.com

Compilación personalizada de MongoDB

URL accesible por los agentes de MongoDB

Dominio para descargas y actualizaciones de MongoDB Agent

Si restringes el acceso saliente, debes conceder a tus Agentes de MongoDB acceso al siguiente dominio para descargar y actualizar el Agente de MongoDB.

Dominio de la lista de acceso
IP Ranges
Proveedor de servicios

s3.amazonaws.com

Rangos de IP para AWS.

Los rangos de IP para AWS cambian con frecuencia.

AWS

Puertos requeridos dentro de tu red

Todos los procesos de MongoDB en una implementación deben ser accesibles para todos los agentes de MongoDB que gestionan procesos en esa implementación. Por lo tanto, todos los puertos de MongoDB deben estar abiertos para cada host dentro de tu red que sirva a un MongoDB Agent.

Ejemplo

Si está ejecutando procesos de MongoDB en 27000, 27017 y 27020, entonces esos tres puertos deben estar abiertos desde todos los hosts que estén sirviendo un MongoDB Agent.

Volver

Overview

Next

Conexiones Seguras

En esta página