Cloud Manager ofrece un asistente para añadir sus implementaciones de MongoDB existentes a la supervisión y administración. El asistente le solicita que:
Instale el Agente MongoDB si no lo tiene instalado
Identifique el clúster fragmentado, el conjunto de réplicas o el clúster independiente que desea agregar. Puede optar por agregar la implementación a supervisión o tanto en supervisión como en automatización.
Si estás agregando una implementación que tienes la intención de migrar en vivo a Atlas, debes agregar la implementación (y sus credenciales) solo para supervisión.
Considerations
Nombres únicos
Las implementaciones deben tener nombres únicos dentro de los proyectos.
Importante
Los nombres de sets de réplicas, clústeres fragmentados y particiones dentro del mismo Proyecto deben ser únicos. Si no se asignan nombres únicos a las implementaciones, se producirán snapshots de copia de seguridad dañadas.
Opciones de configuración de MongoDB
Automation no es compatible con todas las opciones de MongoDB, lo que puede provocar errores en los intentos de importación. Para obtener más información, consulte Configuración de MongoDB y compatibilidad con Automation.
TLS
Si habilitas TLS, el FQDN del host que ejecuta un proceso de MongoDB debe coincidir con el SAN del certificado TLS en ese host.
Importante
Para evitar ataques Man-in-the-Middle, limite el ámbito de los certificados TLS tanto como sea posible. Aunque puedes usar un certificado TLS con muchos SAN, o un certificado TLS wildcard en cada host, no deberías hacerlo. Para obtener más información, consulta RFC 2818, sección 3.1.
Nombres de host preferidos
Configura un nombre de host preferido si:
Requerir un nombre de host específico, FQDN, direcciónIPv4 o dirección IPv6 para acceder al proceso MongoDB, o
Debe especificar el nombre de host que se utilizará para hosts con múltiples alias.
Para aprender más, consulta el Preferred Hostnames ajuste en Configuración de Proyecto.
Gestionar los servicios de MongoDB en Windows
Si está agregando un proceso MongoDB existente que se ejecuta como un servicio de Windows a Automation, Automation:
Detiene y deshabilita el servicio existente
Crea e inicia un nuevo servicio
Credenciales de autenticación en clústeres de origen y destino
Si el proyecto Cloud Manager tiene habilitados los ajustes de autenticación de MongoDB para sus implementaciones, la implementación de MongoDB que importe debe admitir el mecanismo de autenticación del proyecto.
Se recomienda importar a un nuevo proyecto de destino que no tenga procesos en ejecución ni autenticación habilitada.
Si el clúster de origen utiliza autenticación y el proyecto de destino de Cloud Manager no tiene ningún proceso gestionado existente, Cloud Manager habilita la autenticación en el proyecto de destino, importa el archivo de claves existente del clúster de origen y lo utiliza para autenticar al usuario que realiza el proceso de importación.
Si el clúster de origen y el proyecto de Cloud Manager de destino utilizan autenticación y el proyecto cuenta con procesos, Cloud Manager intenta usar la configuración de autenticación existente en el proyecto de destino durante el proceso de importación. Para que el proceso de importación sea exitoso, las credenciales de autenticación en el clúster de origen y en el proyecto de destino de Cloud Manager deben ser las mismas.
Para garantizar que la importación se realice correctamente, antes de iniciar el proceso, agregue las credenciales del proyecto de destino de Cloud Manager en el clúster de origen. Para obtener más información, consulte Rotar claves para conjuntos de réplicaso Rotar claves para clústeres fragmentados.
Casos de uso de autenticación
Si tu implementación de MongoDB requiere autenticación, cuando añadas la implementación a Cloud Manager para su supervisión, debes proporcionar las credenciales necesarias.
Si la implementación no utiliza automatización, pero sí utiliza copia de seguridad, supervisión o ambos, puedes encontrar esas credenciales donde estaban antes de actualizar al MongoDB Agent.
Si la implementación no usa automatización, pero usará copia de seguridad, supervisión o ambos:
Cree las credenciales para la implementación de MongoDB. Para obtener más información, consulta Acceso requerido para el agente MongoDB para supervisión y Acceso requerido para el agente MongoDB para copia de seguridad.
Agregue las credenciales que otorgó a esas funciones en Cloud Manager después de agregar los procesos de MongoDB. Para obtener más información, consulte Agregar credenciales para supervisión y Agregar credenciales para copia de seguridad.
Si la implementación utiliza Automatización, Cloud Manager utiliza las credenciales del Agente de MongoDB. Puedes borrar las credenciales del agente de supervisión y los respaldos heredados. El MongoDB Agent utiliza esas credenciales para sus funciones de Automatización, Copia de Seguridad y supervisión.
Si la implementación usará Automatización pero no la usó antes de importarla, agregue el
mms-automationusuario a los procesos de base de datos que importaste y agrega las credenciales del usuario a Cloud Manager.
Para obtener más información, consulta Agregar credenciales para la automatización.
Automatización y configuración de seguridad actualizada al importar
Agregar una implementación de MongoDB a la automatización puede afectar la configuración de seguridad del proyecto de Cloud Manager y de la implementación de MongoDB.
La automatización habilita la configuración de seguridad del proyecto. Si la implementación de MongoDB requiere autenticación pero el Proyecto Cloud Manager no tiene habilitadas las configuraciones de autenticación, cuando se agrega la implementación de MongoDB a la automatización, el Cloud Manager actualiza la configuración de seguridad del Proyecto a la configuración de seguridad de la implementación recién importada.
El proceso de importación solo actualiza la configuración de seguridad del proyecto de Cloud Manager si está deshabilitada. No la deshabilita ni modifica el mecanismo de autenticación habilitado.
La automatización importa usuarios y roles de MongoDB. Las siguientes instrucciones se aplican a situaciones en las que una implementación de MongoDB requiere autenticación o el proyecto de Cloud Manager tiene la configuración de autenticación habilitada.
Si la implementación de MongoDB contiene usuarios o roles definidos por el usuario, puedes optar por importar estos usuarios y roles para que Cloud Manager los administre. Los usuarios y roles importados están Synced en todas las implementaciones gestionadas en el Proyecto Cloud Manager.
Si se establece el valor Enforce Consistent Set del Proyecto en
Yes, Cloud Manager borra de las implementaciones de MongoDB a los usuarios y roles que no se importan.Si establece el valor Enforce Consistent Set del proyecto en
No, Cloud Manager deja de administrar los usuarios y roles no importados en el proyecto. Estos usuarios y roles permanecen en la implementación de MongoDB. Para administrarlos, debe conectarse directamente a la implementación de MongoDB.
Si no quieres que el proyecto de Cloud Manager gestione usuarios y roles específicos, utiliza las páginas Authentication & Users y Authentication & Roles para remover estos usuarios y roles durante la importación antes de confirmar e implementar los cambios. Para aprender más, consulte Gestionar o deshacer la gestión de usuarios de MongoDB.
Si la implementación de MongoDB importada ya tiene
mms-backup-agentymms-monitoring-agentusuarios en su base de datosadmin, el proceso de importación sobrescribe los roles de estos usuarios con los roles para los usuariosmms-backup-agentymms-monitoring-agenttal como están establecidos en el proyecto Cloud Manager.La Automatización se aplica a todas las implementaciones del proyecto. La configuración de seguridad actualizada del Proyecto, incluido todos los usuarios y roles gestionados por el Proyecto Cloud Manager, se aplican a todas las implementaciones del Proyecto, incluida la implementación de MongoDB importada.
Cloud Manager reinicia todas las implementaciones del proyecto con la nueva configuración, incluida la implementación de MongoDB importada. Después de la importación, todas las implementaciones en el Proyecto usan el archivo de claves de automatización de Cloud Manager al reiniciar.
La implementación que importe debe usar el mismo archivo de claves que los procesos existentes en el proyecto de destino; de lo contrario, la importación podría no continuar. Para obtener más información, consulte Credenciales de autenticación en clústeres de origen y destino.
Si las implementaciones existentes en el proyecto requieren un perfil de seguridad diferente del proceso importado, cree un nuevo proyecto en el que pueda importar la implementación de MongoDB de origen.
Ejemplos de usuarios importados
Los siguientes ejemplos se aplican a situaciones donde la implementación de MongoDB requiere autenticación o el proyecto de Cloud Manager tiene configuraciones de autenticación habilitadas.
Si importas los usuarios de MongoDB y roles personalizados, una vez que el proyecto de Cloud Manager comience a administrar la implementación de MongoDB, lo siguiente ocurre, sin importar el valor de Enforce Consistent Set:
El Proyecto de Cloud Manager permite la autenticación, gestiona los usuarios y roles importados, y sincroniza los nuevos usuarios y roles con todas sus implementaciones gestionadas.
El control de acceso de la implementación de MongoDB está habilitado y requiere autenticación. La implementación de MongoDB dispone de todos los usuarios y roles gestionados por el Proyecto Cloud Manager. Estos usuarios y roles tienen
Syncedconfigurado enYes.
Si no importas los usuarios de MongoDB y los roles personalizados, una vez que el Proyecto de Cloud Manager comience a gestionar la implementación de MongoDB, ocurre lo siguiente:
Si Enforce Consistent Set se establece en Yes:
El proyecto del Cloud Manager habilita la autenticación y no modifica sus usuarios y roles gestionados.
El control de acceso de la implementación de MongoDB está habilitado y requiere autenticación.
Cloud Manager borra los usuarios y roles de MongoDB no importados de la implementación.
La implementación de MongoDB tiene todos los usuarios y roles que gestiona el Proyecto de Cloud Manager. Estos usuarios y roles tienen
Syncedestablecido enYes.
Si Enforce Consistent Set se establece en No:
El proyecto Cloud Manager habilita la autenticación y no cambia su configuración de seguridad, incluidos los usuarios y los roles.
El control de acceso de la implementación de MongoDB está habilitado y requiere autenticación.
Los usuarios y roles de MongoDB que no se importan permanecen en la implementación de MongoDB.
La implementación de MongoDB tiene todos los usuarios y roles administrados por el proyecto Cloud Manager. Estos usuarios y roles tienen
Syncedconfigurado enYes.
Requisitos previos
Si mongod está habilitado como servicio en la implementación, podría producirse una condición de competencia en la que
systemdiniciamongoden el reinicio, en lugar de la Automatización. Para evitar este problema, asegúrese de que el serviciomongodesté desactivado antes de añadir su implementación a Automation:Verifica si el servicio
mongodestá habilitado:sudo systemctl is-enabled mongod.service Si el servicio está habilitado, deshabilítelo:
sudo systemctl disable mongod.service
Si el proyecto de Cloud Manager no tiene configuraciones de autenticación habilitadas pero el proceso de MongoDB requiere autenticación, agregue el usuario del agente de MongoDB para el proyecto de Cloud Manager con los roles correspondientes. El proceso de importación muestra los roles requeridos para el usuario. El usuario añadido se convierte en el MongoDB Agent del Proyecto.
Si el proyecto de Cloud Manager tiene activadas las configuraciones de autenticación, agrega el usuario del agente de MongoDB del proyecto de Cloud Manager al proceso de MongoDB.
Por favor, encuentra el usuario MongoDB Agent:
1En MongoDB Cloud Manager, ir a la página Security del proyecto.
Si aún no se muestra, seleccione la organización que contiene su proyecto deseado en el menú Organizations de la barra de navegación.
Si aún no aparece, selecciona el proyecto deseado en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Security en la sección Database.
Se muestra la página de Seguridad.
Para encontrar la contraseña para el usuario MongoDB Agent del proyecto Cloud Manager, use uno de los siguientes métodos:
Sigue los pasos en el procedimiento Añadir procesos de MongoDB para iniciar el asistente en la interfaz de usuario. Cuando llegues a la ventana modal que diga Do you want to add automation to this deployment?:
Seleccione Add Automation and Configure Authentication.
Haga clic en Show Password.
Utilice el endpoint automatización Configuration recurso:
curl --user "{PUBLIC-KEY}:{PRIVATE-KEY}" --digest \ --header "Accept: application/json" \ --include \ --request GET "<host>/api/public/v1.0/groups/<Group-ID>/automationConfig" Abre el archivo
mmsConfigBackupen tu editor de texto preferido y localiza el valor deautoPwd.Ejemplo
Si el proyecto de Cloud Manager utiliza autenticación por nombre de usuario/contraseña, añade el usuario de agentes de MongoDB de Cloud Manager del proyecto
mms-automationa la base de datosadminen la implementación de MongoDB para importar.db.getSiblingDB("admin").createUser( { user: "mms-automation", pwd: <password>, roles: [ 'clusterAdmin', 'dbAdminAnyDatabase', 'readWriteAnyDatabase', 'userAdminAnyDatabase', 'restore', 'backup' ] } )
Cuando agregas un clúster en Cloud Manager, Cloud Manager habilita automáticamente la rotación de registros, que podría chocar con tu configuración actual de
logRotatepara registros demongodomongos. Para evitar esta colisión, haz lo siguiente:Deshabilite su configuración
logRotatepara los procesosmongodomongos.Elimina la
systemLog.logRotatey lassystemLog.logAppendopciones delmongodo elmongosproceso de configuración para usar la opción predeterminada de Cloud Manager.
El proceso de importación requiere que las credenciales de autenticación y los archivos de claves sean los mismos en los clústeres de origen y destino. Para aprender más, consulta Credenciales de autenticación en clústeres de origen y destino.
Para importar con éxito un set de réplicas existente a Cloud Manager, la instancia debe estar saludable.
Procedimientos
Agrega procesos de MongoDB
Para agregar procesos de MongoDB existentes a Cloud Manager:
En MongoDB Cloud Manager, ir a la página Processes del proyecto.
Si aún no se muestra, seleccione la organización que contiene su proyecto deseado en el menú Organizations de la barra de navegación.
Si aún no aparece, selecciona el proyecto deseado en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Processes en la sección Database.
Se muestra la página Procesos.
Agregar credenciales de autenticación a su implementación
Después de agregar un proceso de MongoDB existente a Cloud Manager, es posible que deba agregar credenciales de autenticación para las nuevas implementaciones si la autenticación está habilitada para el proyecto en el que importó la implementación. Consulta Casos de uso de autenticación para aprender en qué situaciones debes agregar credenciales de automatización, supervisión o copia de seguridad para tu nueva implementación.
Si estás agregando una implementación que tienes la intención de migrar en vivo a Atlas, debes agregar la implementación (y sus credenciales) solo para supervisión.
Seleccione el mecanismo de autenticación que desea utilizar:
Agregar credenciales para la automatización
Para añadir credenciales para una implementación que utilizará Automatización, pero que no lo utilizó antes de importarla a Cloud Manager:
Agrega el usuario MongoDB Agent a tus bases de datos.
El usuario del agente de MongoDB realiza tareas de automatización en tus bases de datos MongoDB. Asegúrate de que este usuario de MongoDB tenga los privilegios adecuados.
En MongoDB Cloud Manager, ir a la página Security del proyecto.
Si aún no se muestra, seleccione la organización que contiene su proyecto deseado en el menú Organizations de la barra de navegación.
Si aún no aparece, selecciona el proyecto deseado en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Security en la sección Database.
Se muestra la página de Seguridad.
Vaya al Security Settings cuadro de diálogo para su implementación.
Realice una de las siguientes acciones:
Si esta es la primera vez que configura TLS, autenticación o configuración de autorización para este proyecto, haz clic en Get Started.
Si ya se ha configurado la autenticación TLS, o la configuración de autorización para este proyecto, haga clic en Edit.
Agregue las credenciales apropiadas:
Configuración | Valor |
|---|---|
MongoDB Agent Username | Introduzca el nombre de usuario del Agente de MongoDB. |
MongoDB Agent Password | Introduzca la contraseña para el nombre de usuario del agente MongoDB. |
Configuración | Valor |
|---|---|
MongoDB Agent LDAP Username | Introduzca el nombre de usuario LDAP. |
MongoDB Agent LDAP Password | Introduce la contraseña del nombre de usuario LDAP del agente de MongoDB. |
MongoDB Agent LDAP Group DN | Introduzca el nombre distintivo para el grupo LDAP del agente MongoDB. Proporcione el LDAP del grupo de MongoDB Agent nombre distinguido solo si utiliza la autorizacion LDAP. Cada MongoDB Agent debe tener y usar su propio LDAP Grupo nombre distinguido. |
Los valores requeridos dependen de si se está conectando a un KDC atendido por Linux o a un servidor de Active Directory de Windows.
Configuración | Valor |
|---|---|
Monitoring Kerberos Principal | Principal de Kerberos. |
Monitoring Keytab Path | Ruta de archivo absoluta al Keytab del Agente de MongoDB. |
Monitoring LDAP Group DN | Introduzca el nombre distintivo para el grupo LDAP del agente MongoDB. Luego, el DN del grupo LDAP se crea como un rol en MongoDB para otorgarle al Agente MongoDB los privilegios adecuados. Solo debe proporcionar el nombre distinguido del grupo LDAP si utiliza la autorización LDAP. |
Configuración | Valor |
|---|---|
MongoDB Agent Username | Nombre de usuario de Active Directory. |
MongoDB Agent Password | Contraseña de Active Directory. |
Domain | Nombre NetBIOS de un dominio en los Servicios de Dominio de Active Directory. Debe escribirse en mayúsculas. |
Configuración | Valor |
|---|---|
MongoDB Agent Username | Ingrese el nombre distintivo de LDAPv3 derivado del archivo de clave PEM del Agente MongoDB. |
TLS/SSL CA File Path | La ruta en el disco que contiene los certificados de Autoridad de Certificación (CA) confiables en formato PEM. Estos certificados verifican el certificado de servidor devuelto de cualquier instancia de MongoDB que esté ejecutándose con TLS/SSL. Debes ingresar al menos una ruta de archivo CA de TLS/SSL. |
MongoDB Agent PEM Key file | Si la implementación de MongoDB requiere certificados de cliente, en la línea para el sistema operativo correspondiente, debe proporcionar la ruta y el nombre de archivo |
MongoDB Agent PEM Key Password | Proporcione la contraseña para el archivo de clave PEM si estaba cifrado. |
MongoDB Agent LDAP Group DN | Introduzca el nombre distintivo para el grupo LDAP del agente MongoDB. Sólo debes proporcionar el nombre distinguido del grupo LDAP del MongoDB Agent si utilizas la autorizacion LDAP. |
Agregar credenciales para monitoreo
Para agregar credenciales para una implementación que no usará automatización pero sí supervisión:
En MongoDB Cloud Manager, ir a la página Processes del proyecto.
Si aún no se muestra, seleccione la organización que contiene su proyecto deseado en el menú Organizations de la barra de navegación.
Si aún no aparece, selecciona el proyecto deseado en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Processes en la sección Database.
Se muestra la página Procesos.
Agregue las credenciales apropiadas:
Configuración | Valor |
|---|---|
Monitoring Username | Introduce el nombre de usuario de supervisión. |
Monitoring Password | Introduzca la contraseña para nombre de usuario de supervisión. |
Configuración | Valor |
|---|---|
Monitoring LDAP Username | Introduzca el nombre de usuario LDAP. |
Monitoring LDAP Password | Ingrese la contraseña para el nombre de usuario LDAP de supervisión. |
Monitoring LDAP Group DN | Ingrese el nombre distinguido para el grupo LDAP de supervisión. Proporcione el Grupo de LDAP de la supervisión de nombre distinguido solo si utiliza la autorización LDAP. Cada supervisión debe tener y usar su propio grupo LDAP nombre distinguido. |
Los valores requeridos dependen de si se está conectando a un KDC atendido por Linux o a un servidor de Active Directory de Windows.
Configuración | Valor |
|---|---|
Monitoring Kerberos Principal | Principal de Kerberos. |
Monitoring Keytab Path | Ruta de archivo absoluta al Keytab de supervisión. |
Monitoring LDAP Group DN | Ingrese el nombre distinguido para el grupo LDAP de supervisión. A continuación, el LDAP Group DN se crea como un rol en MongoDB para otorgar a la supervisión los privilegios adecuados. Solo debe proporcionar el nombre distinguido del grupo LDAP si utiliza la autorización LDAP. |
Configuración | Valor |
|---|---|
Monitoring Username | Nombre de usuario de Active Directory. |
Monitoring Password | Contraseña de Active Directory. |
Domain | Nombre NetBIOS de un dominio en los Servicios de Dominio de Active Directory. Debe escribirse en mayúsculas. |
Configuración | Valor |
|---|---|
Monitoring Username | Introduce el nombre distinguido de LDAPv3 derivado del archivo de clave PEM de la supervisión. |
Monitoring PEM Key file | Proporcione la ruta y el nombre del archivo de clave PEM de monitoreo en el servidor en la línea correspondiente al sistema operativo apropiado. |
Monitoring PEM Key Password | Proporcione la contraseña para el archivo de clave PEM si estaba cifrado. |
Monitoring LDAP Group DN | Ingrese el nombre distinguido para el grupo LDAP de supervisión. Sólo necesitas proporcionar el nombre distinguido del Grupo de supervisión si utilizas la autorización LDAP. |
Agregar credenciales para la copia de seguridad
Para agregar credenciales para una implementación que no utilizará Automatización pero que sí utilizará copia de seguridad:
En MongoDB Cloud Manager, ir a la página Continuous Backup del proyecto.
Si aún no se muestra, se debe seleccionar la organización que contiene el proyecto deseado en el menú Organizations de la barra de navegación.
Si aún no aparece, selecciona el proyecto deseado en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Continuous Backup en la sección Database.
Se muestra la página de copia de seguridad continua.
Agregue las credenciales apropiadas:
Configuración | Valor |
|---|---|
Backup Username | Introduce el nombre de usuario de la copia de seguridad. |
Backup Password | Introduzca la contraseña para el nombre de usuario de respaldo. |
Configuración | Valor |
|---|---|
Backup LDAP Username | Introduzca el nombre de usuario LDAP. |
Backup LDAP Password | Introduce la contraseña del nombre de usuario LDAP de copia de seguridad. |
Backup LDAP Group DN | Introduce el Nombre Distinguido para el grupo LDAP de la Copia de Seguridad. Proporcione el DN del grupo LDAP de la copia de seguridad solo si utiliza la autorización LDAP. Cada copia de seguridad debe tener y usar su propio DN de grupo LDAP. |
Los valores requeridos dependen de si se está conectando a un KDC atendido por Linux o a un servidor de Active Directory de Windows.
Configuración | Valor |
|---|---|
Monitoring Kerberos Principal | Principal de Kerberos. |
Monitoring Keytab Path | Ruta de archivo absoluta al Keytab de la copia de seguridad. |
Monitoring LDAP Group DN | Introduce el Nombre Distinguido para el grupo LDAP de la Copia de Seguridad. El LDAP nombre distinguido de grupo se crea como un rol en MongoDB para otorgar a la copia de seguridad los privilegios apropiados. Solo debe proporcionar el nombre distinguido del grupo LDAP si utiliza la autorización LDAP. |
Configuración | Valor |
|---|---|
Backup Username | Nombre de usuario de Active Directory. |
Backup Password | Contraseña de Active Directory. |
Domain | Nombre NetBIOS de un dominio en los Servicios de Dominio de Active Directory. Debe escribirse en mayúsculas. |
Configuración | Valor |
|---|---|
Backup Username | Introduzca el LDAPv3 nombre distinguido derivado de la copia de seguridad del archivo de PEM Key. |
Backup PEM Key file | Proporcione la ruta y el nombre del archivo de clave PEM de la copia de seguridad en el servidor en la línea correspondiente al sistema operativo apropiado. |
Backup PEM Key Password | Proporcione la contraseña para el archivo de clave PEM si estaba cifrado. |
Backup LDAP Group DN | Introduce el Nombre Distinguido para el grupo LDAP de la Copia de Seguridad. Solo necesita proporcionar el nombre distinguido de Grupo LDAP de la copia de seguridad si utiliza la autorizacion LDAP. |