Cloud Manager ofrece un asistente para añadir sus implementaciones de MongoDB existentes a la supervisión y administración. El asistente le solicita que:
Instale el Agente MongoDB si no lo tiene instalado
Identifique el clúster fragmentado, el conjunto de réplicas o el clúster independiente que desea agregar. Puede optar por agregar la implementación a Monitoreo o tanto para Monitoreo como para Automatización.
Si está agregando una implementación que desea migrar en vivo a Atlas, debe agregar la implementación (y sus credenciales) solo para Monitoreo.
Considerations
Nombres únicos
Las implementaciones deben tener nombres únicos dentro de los proyectos.
Importante
Los nombres de los conjuntos de réplicas, clústeres fragmentados y fragmentos dentro del mismo proyecto deben ser únicos. Si no se tienen nombres únicos para las implementaciones, se producirán instantáneas de copia de seguridad dañadas.
Opciones de configuración de MongoDB
Automation no es compatible con todas las opciones de MongoDB, lo que puede provocar errores en los intentos de importación. Para obtener más información, consulte Configuración de MongoDB y compatibilidad con Automation.
TLS
Si habilita TLS, el FQDN del host que atiende un proceso MongoDB debe coincidir con el SAN del certificado TLS en ese host.
Importante
Para evitar ataques de intermediario, limite al máximo el alcance de los certificados TLS. Aunque puede usar un certificado TLS con varias SAN o un certificado TLS comodín en cada host, no debería hacerlo. Para obtener más información, consulte la RFC,2818 3 1sección..
Nombres de host preferidos
Configure un nombre de host preferido si:
Requerir un nombre de host específico, FQDN, direcciónIPv4 o dirección IPv6 para acceder al proceso MongoDB, o
Debe especificar el nombre de host que se utilizará para hosts con múltiples alias.
Para obtener más información, consulte el Preferred Hostnames configuración en Configuración del proyecto.
Gestionar los servicios de MongoDB en Windows
Si está agregando un proceso MongoDB existente que se ejecuta como un servicio de Windows a Automation, Automation:
Detiene y deshabilita el servicio existente
Crea e inicia un nuevo servicio
Credenciales de autenticación en clústeres de origen y destino
Si el proyecto Cloud Manager tiene configuraciones de autenticación de MongoDB habilitadas para sus implementaciones, la implementación de MongoDB que importe debe ser compatible con el mecanismo de autenticación del proyecto.
Le recomendamos que importe a un nuevo proyecto de destino que no tenga procesos en ejecución y que no tenga la autenticación habilitada.
Si el clúster de origen usa autenticación y el proyecto de Cloud Manager de destino no tiene ningún proceso administrado existente, Cloud Manager habilita la autenticación en el proyecto de destino, importa el archivo de clave existente del clúster de origen y lo usa para autenticar al usuario que realiza el proceso de importación.
Si tanto el clúster de origen como el proyecto de Cloud Manager de destino usan autenticación, y el proyecto tiene procesos, Cloud Manager intenta usar la configuración de autenticación existente en el proyecto de destino durante el proceso de importación. Para que la importación sea correcta, las credenciales de autenticación del clúster de origen y del proyecto de destino de Cloud Manager deben ser las mismas.
Para garantizar que la importación se realice correctamente, antes de iniciar el proceso, agregue las credenciales del proyecto de destino de Cloud Manager en el clúster de origen. Para obtener más información, consulte Rotar claves para conjuntos de réplicaso Rotar claves para clústeres fragmentados.
Casos de uso de autenticación
Si su implementación de MongoDB requiere autenticación, cuando agregue la implementación a Cloud Manager para su monitoreo, deberá proporcionar las credenciales necesarias.
Si la implementación no usa Automatización, pero sí Copia de Seguridad, Monitoreo o ambos, puede encontrar esas credenciales donde estaban antes de actualizar al Agente MongoDB.
Si la implementación no utiliza automatización, pero utilizará copia de seguridad, supervisión o ambas:
Cree las credenciales para la implementación de MongoDB. Para obtener más información, consulta Acceso requerido para el agente MongoDB para supervisión y Acceso requerido para el agente MongoDB para copia de seguridad.
Agregue las credenciales que otorgó a esas funciones a Cloud Manager después de agregar los procesos de MongoDB. Para obtener más información, consulte Agregar credenciales para la monitorizacióny Agregar credenciales para la copia de seguridad.
Si la implementación usa Automatización, Cloud Manager usa las credenciales del Agente de MongoDB. Puede eliminar las credenciales de los Agentes de Copia de Seguridad y Monitoreo heredados. El Agente de MongoDB usa estas credenciales para sus funciones de Automatización, Copia de Seguridad y Monitoreo.
Si la implementación usará Automatización pero no la usó antes de importarla, agregue el
mms-automationusuario a los procesos de la base de datos que importó y agregue las credenciales del usuario a Cloud Manager.
Para obtener más información,consulte Agregar credenciales para la automatización.
Automatización y configuración de seguridad actualizada al importar
Agregar una implementación de MongoDB a la automatización puede afectar la configuración de seguridad del proyecto Cloud Manager y la implementación de MongoDB.
La automatización habilita la configuración de seguridad del proyecto. Si la implementación de MongoDB requiere autenticación pero el Proyecto Cloud Manager no tiene habilitadas las configuraciones de autenticación, cuando se agrega la implementación de MongoDB a la automatización, el Cloud Manager actualiza la configuración de seguridad del Proyecto a la configuración de seguridad de la implementación recién importada.
El proceso de importación solo actualiza la configuración de seguridad del proyecto de Cloud Manager si está deshabilitada. No la deshabilita ni modifica el mecanismo de autenticación habilitado.
La automatización importa usuarios y roles de MongoDB. Las siguientes instrucciones se aplican a situaciones en las que una implementación de MongoDB requiere autenticación o el proyecto de Cloud Manager tiene la configuración de autenticación habilitada.
Si la implementación de MongoDB contiene usuarios o roles definidos por el usuario, puede importarlos para que Cloud Manager los administre. Los usuarios y roles importados son Synced para todas las implementaciones administradas en el proyecto de Cloud Manager.
Si establece el Enforce Consistent Set valor del proyecto
Yesen, Cloud Manager elimina de las implementaciones de MongoDB aquellos usuarios y roles que no se importan.Si establece el valor Enforce Consistent Set del proyecto en
No, Cloud Manager deja de administrar los usuarios y roles no importados en el proyecto. Estos usuarios y roles permanecen en la implementación de MongoDB. Para administrarlos, debe conectarse directamente a la implementación de MongoDB.
Si no desea que el proyecto de Cloud Manager administre usuarios y roles específicos, utilice Authentication & Users las Authentication & Roles páginas y para eliminarlos durante la importación antes de confirmar e implementar los cambios. Para obtener más información, consulte Administrar o dejar de administrar usuarios de MongoDB.
Si la implementación de MongoDB importada ya tiene
mms-backup-agentymms-monitoring-agentusuarios en su base de datosadmin, el proceso de importación anula los roles de estos usuarios con los roles para los usuariosmms-backup-agentymms-monitoring-agentestablecidos en el proyecto de Cloud Manager.La automatización se aplica a todas las implementaciones del proyecto. La configuración de seguridad actualizada del proyecto, incluyendo todos los usuarios y roles administrados por el proyecto Cloud Manager, se aplica a todas las implementaciones del proyecto, incluida la implementación de MongoDB importada.
Cloud Manager reinicia todas las implementaciones del proyecto con la nueva configuración, incluida la implementación de MongoDB importada. Tras la importación, todas las implementaciones del proyecto usan el archivo de claves de automatización de Cloud Manager al reiniciarse.
La implementación que importe debe usar el mismo archivo de claves que los procesos existentes en el proyecto de destino; de lo contrario, la importación podría no continuar. Para obtener más información, consulte Credenciales de autenticación en clústeres de origen y destino.
Si las implementaciones existentes en el proyecto requieren un perfil de seguridad diferente del proceso importado, cree un nuevo proyecto en el que pueda importar la implementación de MongoDB de origen.
Ejemplos de usuarios importados
Los siguientes ejemplos se aplican a situaciones en las que la implementación de MongoDB requiere autenticación o el proyecto de Cloud Manager tiene configuraciones de autenticación habilitadas.
Si importas los usuarios de MongoDB y roles personalizados, una vez que el proyecto de Cloud Manager comience a administrar la implementación de MongoDB, lo siguiente ocurre, sin importar el valor de Enforce Consistent Set:
El proyecto Cloud Manager permite la autenticación, administra usuarios y roles importados y sincroniza los nuevos usuarios y roles con todas sus implementaciones administradas.
El control de acceso de la implementación de MongoDB está habilitado y requiere autenticación. La implementación de MongoDB dispone de todos los usuarios y roles gestionados por el Proyecto Cloud Manager. Estos usuarios y roles tienen
Syncedconfigurado enYes.
Si no importa los usuarios y roles personalizados de MongoDB, una vez que el proyecto Cloud Manager comience a administrar la implementación de MongoDB, sucederá lo siguiente:
Si Enforce Consistent Set se establece en Yes:
El proyecto Cloud Manager habilita la autenticación y no cambia sus usuarios y roles administrados.
El control de acceso de la implementación de MongoDB está habilitado y requiere autenticación.
Cloud Manager elimina los usuarios y roles de MongoDB no importados de la implementación.
La implementación de MongoDB contiene todos los usuarios y roles que administra el proyecto Cloud Manager. Estos usuarios y roles tienen
Syncedconfigurado enYes.
Si Enforce Consistent Set se establece en No:
El proyecto Cloud Manager habilita la autenticación y no cambia su configuración de seguridad, incluidos los usuarios y los roles.
El control de acceso de la implementación de MongoDB está habilitado y requiere autenticación.
Los usuarios y roles de MongoDB no importados permanecen en la implementación de MongoDB.
La implementación de MongoDB tiene todos los usuarios y roles administrados por el proyecto Cloud Manager. Estos usuarios y roles tienen
Syncedconfigurado enYes.
Requisitos previos
Si mongod está habilitado como servicio en la implementación, podría producirse una condición de carrera donde
systemdiniciamongodal reiniciar, en lugar de la automatización. Para evitar este problema, asegúrese demongodque el servicio esté deshabilitado antes de agregar la implementación a la automatización:Verifique si el servicio
mongodestá habilitado:sudo systemctl is-enabled mongod.service Si el servicio está habilitado, deshabilítelo:
sudo systemctl disable mongod.service
Si el proyecto de Cloud Manager no tiene habilitada la configuración de autenticación, pero el proceso de MongoDB la requiere, agregue el usuario del Agente de MongoDB para el proyecto de Cloud Manager con los roles adecuados. El proceso de importación muestra los roles necesarios para el usuario. El usuario agregado se convierte en el usuario del Agente de MongoDB del proyecto.
Si el proyecto de Cloud Manager tiene configuraciones de autenticación habilitadas, agregue el usuario del Agente MongoDB del proyecto de Cloud Manager al proceso de MongoDB.
Por favor, encuentra el usuario MongoDB Agent:
1En MongoDB Cloud Manager, ir a la página Security del proyecto.
Si aún no se muestra, seleccione la organización que contiene su proyecto deseado en el menú Organizations de la barra de navegación.
Si aún no aparece, selecciona el proyecto deseado en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Security en la sección Database.
Se muestra la página de Seguridad.
Para encontrar la contraseña del usuario del Agente MongoDB del proyecto Cloud Manager, utilice uno de los siguientes métodos:
Siga los pasos del procedimiento "Agregar procesos de MongoDB" para iniciar el asistente en la interfaz de usuario. Al llegar al modal que Do you want to add automation to this deployment? indica:
Seleccione Add Automation and Configure Authentication.
Haga clic en Show Password.
Utilice el endpoint automatización Configuration recurso:
curl --user "{PUBLIC-KEY}:{PRIVATE-KEY}" --digest \ --header "Accept: application/json" \ --include \ --request GET "<host>/api/public/v1.0/groups/<Group-ID>/automationConfig" Abra el archivo en su editor de texto preferido y busque
mmsConfigBackupelautoPwdvalor.Ejemplo
Si el proyecto de Cloud Manager usa autenticación de nombre de usuario y contraseña, agregue el usuario de Cloud Manager MongoDB Agents del proyecto
mms-automationa laadminbase de datos en la implementación de MongoDB para importar.db.getSiblingDB("admin").createUser( { user: "mms-automation", pwd: <password>, roles: [ 'clusterAdmin', 'dbAdminAnyDatabase', 'readWriteAnyDatabase', 'userAdminAnyDatabase', 'restore', 'backup' ] } )
Al agregar un clúster en Cloud Manager, este habilita automáticamente la rotación de registros, lo que podría interferir con su configuración
logRotatepara los registrosmongodmongoso. Para evitar esta interferencia, siga estos pasos:Deshabilite su configuración
logRotatepara los procesosmongodomongos.Elimine
systemLog.logRotatelassystemLog.logAppendopciones ymongoddemongosla configuración del proceso o para utilizar el valor predeterminado de Cloud Manager.
El proceso de importación requiere que las credenciales de autenticación y los archivos de claves sean los mismos en los clústeres de origen y destino. Para aprender más, consulta Credenciales de autenticación en clústeres de origen y destino.
Para importar con éxito un conjunto de réplicas existente a Cloud Manager, la instancia debe estar en buen estado.
Procedimientos
Agrega procesos de MongoDB
Para agregar procesos MongoDB existentes a Cloud Manager:
En MongoDB Cloud Manager, ir a la página Processes del proyecto.
Si aún no se muestra, seleccione la organización que contiene su proyecto deseado en el menú Organizations de la barra de navegación.
Si aún no aparece, selecciona el proyecto deseado en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Processes en la sección Database.
Se muestra la página Procesos.
Agregue credenciales de autenticación a su implementación
Después de agregar un proceso MongoDB existente a Cloud Manager, es posible que deba agregar credenciales de autenticación para las nuevas implementaciones si la autenticación está habilitada para el proyecto al que importó la implementación. Consulte Casos de uso de autenticación para saber en qué situaciones debe agregar credenciales de automatización, monitorización o copia de seguridad para su nueva implementación.
Si está agregando una implementación que desea migrar en vivo a Atlas, debe agregar la implementación (y sus credenciales) solo para Monitoreo.
Seleccione el mecanismo de autenticación que desea utilizar:
Agregar credenciales para la automatización
Para agregar credenciales para una implementación que usará Automation pero no la usó antes de importarla a Cloud Manager:
Agregue el usuario MongoDB Agent a sus bases de datos.
El usuario del Agente de MongoDB realiza tareas de automatización para sus bases de datos MongoDB. Asegúrese de que este usuario de MongoDB tenga los privilegios adecuados.
En MongoDB Cloud Manager, ir a la página Security del proyecto.
Si aún no se muestra, seleccione la organización que contiene su proyecto deseado en el menú Organizations de la barra de navegación.
Si aún no aparece, selecciona el proyecto deseado en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Security en la sección Database.
Se muestra la página de Seguridad.
Vaya al Security Settings cuadro de diálogo para su implementación.
Realice una de las siguientes acciones:
Si es la primera vez que configura TLS, autenticación o autorización para este proyecto, haga clic Get Started en.
Si ya ha configurado la autenticación TLS o las configuraciones de autorización para este proyecto, haga clic Edit en.
Agregue las credenciales apropiadas:
Configuración | Valor |
|---|---|
MongoDB Agent Username | Introduzca el nombre de usuario del Agente MongoDB. |
MongoDB Agent Password | Introduzca la contraseña para el nombre de usuario del agente MongoDB. |
Configuración | Valor |
|---|---|
MongoDB Agent LDAP Username | Introduzca el nombre de usuario LDAP. |
MongoDB Agent LDAP Password | Introduzca la contraseña para el nombre de usuario LDAP del agente MongoDB. |
MongoDB Agent LDAP Group DN | Introduzca el nombre distintivo para el grupo LDAP del agente MongoDB. Proporcione el DN del grupo LDAP del agente de MongoDB solo si utiliza la autorización LDAP. Cada agente de MongoDB debe tener y usar su propio DN del grupo LDAP. |
Los valores requeridos dependen de si se está conectando a un KDC servido por Linux o a un servidor Active Directory de Windows.
Configuración | Valor |
|---|---|
Monitoring Kerberos Principal | Principal de Kerberos. |
Monitoring Keytab Path | Ruta de archivo absoluta a la tabla de claves del agente MongoDB. |
Monitoring LDAP Group DN | Introduzca el nombre distintivo para el grupo LDAP del agente MongoDB. Luego, el DN del grupo LDAP se crea como un rol en MongoDB para otorgarle al Agente MongoDB los privilegios adecuados. Solo debe proporcionar el nombre distinguido del grupo LDAP si utiliza la autorización LDAP. |
Configuración | Valor |
|---|---|
MongoDB Agent Username | Nombre de usuario de Active Directory. |
MongoDB Agent Password | Contraseña de Active Directory. |
Domain | Nombre NetBIOS de un dominio en los Servicios de Dominio de Active Directory. Debe escribirse en mayúsculas. |
Configuración | Valor |
|---|---|
MongoDB Agent Username | Ingrese el nombre distintivo de LDAPv3 derivado del archivo de clave PEM del Agente MongoDB. |
TLS/SSL CA File Path | La ruta en el disco que contiene los certificados de la autoridad de certificación (CA) de confianza en formato PEM. Estos certificados verifican el certificado del servidor devuelto por cualquier instancia de MongoDB que se ejecute con TLS/SSL. Debe introducir al menos una ruta de archivo de CA TLS/SSL. |
MongoDB Agent PEM Key file | Si la implementación de MongoDB requiere certificados de cliente, en la línea para el sistema operativo correspondiente, debe proporcionar la ruta y el nombre de archivo |
MongoDB Agent PEM Key Password | Proporcione la contraseña del archivo de clave PEM si está cifrado. |
MongoDB Agent LDAP Group DN | Introduzca el nombre distintivo para el grupo LDAP del agente MongoDB. Solo necesita proporcionar el DN del grupo LDAP del agente MongoDB si usa la autorización LDAP. |
Agregar credenciales para monitoreo
Para agregar credenciales para una implementación que no utilizará Automatización pero sí Monitoreo:
En MongoDB Cloud Manager, ir a la página Processes del proyecto.
Si aún no se muestra, seleccione la organización que contiene su proyecto deseado en el menú Organizations de la barra de navegación.
Si aún no aparece, selecciona el proyecto deseado en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Processes en la sección Database.
Se muestra la página Procesos.
Agregue las credenciales apropiadas:
Configuración | Valor |
|---|---|
Monitoring Username | Introduzca el nombre de usuario de Monitoreo. |
Monitoring Password | Introduzca la contraseña para el nombre de usuario de monitoreo. |
Configuración | Valor |
|---|---|
Monitoring LDAP Username | Introduzca el nombre de usuario LDAP. |
Monitoring LDAP Password | Ingrese la contraseña para el nombre de usuario LDAP de supervisión. |
Monitoring LDAP Group DN | Introduzca el nombre distintivo para el grupo LDAP de monitoreo. Proporcione el DN del grupo LDAP de la monitorización solo si utiliza la autorización LDAP. Cada monitorización debe tener y usar su propio DN de grupo LDAP. |
Los valores requeridos dependen de si se está conectando a un KDC servido por Linux o a un servidor Active Directory de Windows.
Configuración | Valor |
|---|---|
Monitoring Kerberos Principal | Principal de Kerberos. |
Monitoring Keytab Path | Ruta de archivo absoluta al Keytab de Monitoreo. |
Monitoring LDAP Group DN | Introduzca el nombre distintivo para el grupo LDAP de monitoreo. Luego, el DN del grupo LDAP se crea como un rol en MongoDB para otorgarle al Monitoreo los privilegios adecuados. Solo debe proporcionar el nombre distinguido del grupo LDAP si utiliza la autorización LDAP. |
Configuración | Valor |
|---|---|
Monitoring Username | Nombre de usuario de Active Directory. |
Monitoring Password | Contraseña de Active Directory. |
Domain | Nombre NetBIOS de un dominio en los Servicios de Dominio de Active Directory. Debe escribirse en mayúsculas. |
Configuración | Valor |
|---|---|
Monitoring Username | Introduzca el3 nombre distinguido LDAP v derivado del archivo de clave PEM de monitoreo. |
Monitoring PEM Key file | Proporcione la ruta y el nombre del archivo de clave PEM de monitoreo en el servidor en la línea correspondiente al sistema operativo apropiado. |
Monitoring PEM Key Password | Proporcione la contraseña del archivo de clave PEM si está cifrado. |
Monitoring LDAP Group DN | Introduzca el nombre distintivo para el grupo LDAP de monitoreo. Solo necesita proporcionar el DN del grupo LDAP de monitoreo si usa la autorización LDAP. |
Agregar credenciales para la copia de seguridad
Para agregar credenciales para una implementación que no utilizará Automatización pero sí Copia de seguridad:
En MongoDB Cloud Manager, ir a la página Continuous Backup del proyecto.
Si aún no se muestra, se debe seleccionar la organización que contiene el proyecto deseado en el menú Organizations de la barra de navegación.
Si aún no aparece, selecciona el proyecto deseado en el menú Projects de la barra de navegación.
En la barra lateral, haz clic en Continuous Backup en la sección Database.
Se muestra la página Copia de seguridad continua.
Agregue las credenciales apropiadas:
Configuración | Valor |
|---|---|
Backup Username | Introduzca el nombre de usuario de respaldo. |
Backup Password | Introduzca la contraseña para el nombre de usuario de respaldo. |
Configuración | Valor |
|---|---|
Backup LDAP Username | Introduzca el nombre de usuario LDAP. |
Backup LDAP Password | Introduzca la contraseña para el nombre de usuario LDAP de Backup. |
Backup LDAP Group DN | Introduzca el nombre distintivo para el grupo LDAP de la copia de seguridad. Proporcione el DN del grupo LDAP de la copia de seguridad solo si utiliza la autorización LDAP. Cada copia de seguridad debe tener y usar su propio DN de grupo LDAP. |
Los valores requeridos dependen de si se está conectando a un KDC servido por Linux o a un servidor Active Directory de Windows.
Configuración | Valor |
|---|---|
Monitoring Kerberos Principal | Principal de Kerberos. |
Monitoring Keytab Path | Ruta de archivo absoluta al archivo Keytab de la copia de seguridad. |
Monitoring LDAP Group DN | Introduzca el nombre distintivo para el grupo LDAP de la copia de seguridad. El LDAP nombre distinguido de grupo se crea como un rol en MongoDB para otorgar a la copia de seguridad los privilegios apropiados. Solo debe proporcionar el nombre distinguido del grupo LDAP si utiliza la autorización LDAP. |
Configuración | Valor |
|---|---|
Backup Username | Nombre de usuario de Active Directory. |
Backup Password | Contraseña de Active Directory. |
Domain | Nombre NetBIOS de un dominio en los Servicios de Dominio de Active Directory. Debe escribirse en mayúsculas. |
Configuración | Valor |
|---|---|
Backup Username | Introduzca el3 nombre distinguido LDAP v derivado del archivo de clave PEM de la copia de seguridad. |
Backup PEM Key file | Proporcione la ruta y el nombre del archivo de clave PEM de la copia de seguridad en el servidor en la línea correspondiente al sistema operativo apropiado. |
Backup PEM Key Password | Proporcione la contraseña del archivo de clave PEM si está cifrado. |
Backup LDAP Group DN | Introduzca el nombre distintivo para el grupo LDAP de la copia de seguridad. Solo necesita proporcionar el DN del grupo LDAP de Backup si usa la autorización LDAP. |