Conectarse a un recurso de base de datos MongoDB desde fuera de Kubernetes

Implemente un recurso independiente con el operador de Kubernetes.

Si no ha implementado un recurso independiente, siga las instrucciones para implementar uno.

Este procedimiento utiliza el siguiente ejemplo:

20
---
21
apiVersion: mongodb.com/v1
22
kind: MongoDB
23
metadata:
24
  name: <my-standalone>
25
spec:
26
  version: "4.2.2-ent"
27
  opsManager:
28
    configMapRef:
29
      name: <configMap.metadata.name>
30
            # Must match metadata.name in ConfigMap file
31
  credentials: <mycredentials>
32
  type: Standalone
33
...

Cree un servicio externo para el pod MongoDB.

Para conectarse a su recurso independiente desde un recurso externo, configure el ajuste spec.externalAccess:

externalAccess: {}

Esta configuración indica al operador de Kubernetes que cree un servicio LoadBalancer externo para el pod de MongoDB en su recurso independiente. Este servicio externo proporciona un punto de entrada para conexiones externas. Al agregar esta configuración sin valores, se crea un servicio externo con los siguientes valores predeterminados:

Opcionalmente, si necesita agregar valores al servicio o anular los valores predeterminados, especifique:

• Anotaciones específicas de su proveedor de nube, en spec.externalAccess.externalService.annotations

• Anulaciones para la especificación del servicio,spec.externalAccess.externalService.spec en.

Por ejemplo, las siguientes configuraciones anulan los valores predeterminados del servicio externo para configurar su recurso independiente para crear servicios NodePort que expongan el pod MongoDB:

externalAccess:
  externalService:
    annotations:
      # cloud-specific annotations for the service
    spec:
      type: NodePort # default is LoadBalancer
      port: 27017
      # you can specify other spec overrides if necessary

Verificar los servicios externos.

En su recurso independiente, ejecute el siguiente comando para verificar que el operador de Kubernetes haya creado el servicio externo para su implementación.

$ kubectl get services

El comando devuelve una lista de servicios similar a la siguiente salida. Para cada pod de base de datos del clúster, el operador de Kubernetes crea un servicio externo llamado <pod-name>-0-svc-external. Este servicio se configura según los valores y las anulaciones que proporcione en la especificación del servicio externo.

NAME                                  TYPE         CLUSTER-IP   EXTERNAL-IP       PORT(S)           AGE
<my-standalone>-0-svc-external   LoadBalancer   10.102.27.116    <lb-ip-or-fqdn>   27017:27017/TCP    8m30s

Dependiendo de la configuración de su clúster o del proveedor de nube, la dirección IP del servicio LoadBalancer es una dirección IP accesible externamente o FQDN. Puede usar la dirección IP o el FQDN para enrutar el tráfico desde su dominio externo.

Pruebe la conexión al recurso independiente.

Para conectarse a su implementación desde fuera del clúster de Kubernetes, use MongoDB Shell (mongosh) y especifique la dirección del pod de MongoDB que expuso a través del dominio externo.

mongosh "mongodb://<my-standalone>.<external-domain>"

Implemente un conjunto de réplicas con el operador de Kubernetes.

Si no ha implementado un conjunto de réplicas, siga las instrucciones para implementar uno.

Debe habilitar TLS para el conjunto de réplicas proporcionando un valor para la spec.security.certsSecretPrefix configuración. El conjunto de réplicas debe usar un certificado de CA personalizado spec.security.tls.ca almacenado con.

Cree un servicio externo para los pods de MongoDB.

Para conectarse a su conjunto de réplicas desde un recurso externo, configure el ajuste spec.externalAccess:

externalAccess: {}

Esta configuración indica al operador de Kubernetes que cree un servicio LoadBalancer externo para los pods de MongoDB en su conjunto de réplicas. Este servicio externo proporciona un punto de entrada para las conexiones externas. Al agregar esta configuración sin valores, se crea un servicio externo con los siguientes valores predeterminados:

Opcionalmente, si necesita agregar valores al servicio o anular los valores predeterminados, especifique:

• Anotaciones específicas de su proveedor de nube, en spec.externalAccess.externalService.annotations

• Anulaciones para la especificación del servicio,spec.externalAccess.externalService.spec en.

Por ejemplo, las siguientes configuraciones anulan los valores predeterminados del servicio externo para configurar su conjunto de réplicas para crear servicios NodePort que expongan los pods de MongoDB:

externalAccess:
  externalService:
    annotations:
      # cloud-specific annotations for the service
    spec:
      type: NodePort # default is LoadBalancer
      port: 27017
      # you can specify other spec overrides if necessary

Agregue nombres alternativos de sujeto a sus certificados TLS.

Agregue cada nombre DNS externo al certificado SAN.

Verificar los servicios externos.

En su conjunto de réplicas, ejecute el siguiente comando para verificar que el operador de Kubernetes haya creado el servicio externo para su implementación.

$ kubectl get services

El comando devuelve una lista de servicios similar a la siguiente salida. Para cada pod de base de datos del clúster, el operador de Kubernetes crea un servicio externo llamado <pod-name>-<pod-idx>-svc-external. Este servicio se configura según los valores y las anulaciones que se proporcionan en la especificación del servicio externo.

NAME                                  TYPE         CLUSTER-IP   EXTERNAL-IP       PORT(S)           AGE
<my-replica-set>-0-svc-external   LoadBalancer   10.102.27.116    <lb-ip-or-fqdn>   27017:27017/TCP    8m30s

Según la configuración de su clúster o su proveedor de nube, la dirección IP del servicio LoadBalancer es una dirección IP o FQDN accesible externamente. Puede usar la dirección IP o el FQDN para enrutar el tráfico desde su dominio externo.

Abra el archivo YAML del recurso del conjunto de réplicas.

Copie el recurso del conjunto de réplicas de muestra.

Cambie la configuración de este archivo YAML para que coincida con la configuración del conjunto de réplicas deseada.

1
---
2
apiVersion: mongodb.com/v1
3
kind: MongoDB
4
metadata:
5
  name: <my-replica-set>
6
spec:
7
  members: 3
8
  version: "4.2.2-ent"
9
  type: ReplicaSet
10
  opsManager:
11
    configMapRef:
12
      name: <configMap.metadata.name>
13
  credentials: <mycredentials>
14
  persistent: true

15
  security:
16
    tls:
17
      enabled: true
18
  connectivity:
19
    replicaSetHorizons:
20
      - "example-website": "web1.example.com:30907"
21
      - "example-website": "web2.example.com:32350"
22
      - "example-website": "web3.example.com:31185"
23
...

Pegue la sección de ejemplo copiada en su recurso de conjunto de réplicas existente.

Abre el editor de texto de preferencia y pega la especificación del objeto al final del archivo recurso, en la sección spec.

Cambie las configuraciones resaltadas a sus valores preferidos.

Confirme los nombres de host externos y los valores de servicios externos en su recurso de conjunto de réplicas.

Confirme que los nombres de host externos en la configuración sean spec.connectivity.replicaSetHorizons correctos.

Los nombres de host externos deben coincidir con los nombres DNS de los nodos de trabajo de Kubernetes. Estos pueden ser cualquier nodo del clúster de Kubernetes. Los nodos de Kubernetes utilizan enrutamiento interno si el pod se ejecuta en otro nodo.

Establezca los puertos en en los valores del servicio spec.connectivity.replicaSetHorizons externo.

15
  security:
16
    tls:
17
      enabled: true
18
  connectivity:
19
    replicaSetHorizons:
20
      - "example-website": "web1.example.com:30907"
21
      - "example-website": "web2.example.com:32350"
22
      - "example-website": "web3.example.com:31185"
23
...

Guarde el archivo de configuración del conjunto de réplicas.

Actualice y reinicie la implementación del conjunto de réplicas.

En cualquier directorio, invoque el siguiente comando de Kubernetes para actualizar y reiniciar su conjunto de réplicas:

kubectl apply -f <replica-set-conf>.yaml

Pruebe la conexión al conjunto de réplicas.

En el entorno de desarrollo, para cada host de un conjunto de réplicas, ejecute el siguiente comando:

mongosh --host <my-replica-set>/web1.example.com \
      --port 30907
      --ssl \
      --sslAllowInvalidCertificates

En producción, para cada host en un conjunto de réplicas, especifique el certificado TLS y la CA para conectarse de forma segura a las herramientas o aplicaciones del cliente:

mongosh --host <my-replica-set>/web1.example.com \
  --port 30907 \
  --tls \
  --tlsCertificateKeyFile server.pem \
  --tlsCAFile ca-pem

Si la conexión se realiza correctamente, debería ver:

Enterprise <my-replica-set> [primary]

Implemente un clúster fragmentado con el operador de Kubernetes.

Si no ha implementado un clúster fragmentado, siga las instrucciones para implementar uno.

Debe habilitar TLS para el clúster fragmentado configurando los siguientes ajustes:

Cree un servicio externo para los mongos pods.

Para conectarse a su clúster fragmentado desde un recurso externo, configure el ajuste spec.externalAccess:

externalAccess: {}

Esta configuración le indica al Operador de Kubernetes que cree un servicio externo LoadBalancer para los mongos pods en tu clúster compartido. El servicio externo proporciona un punto de entrada para conexiones externas. Añadir esta configuración sin valores crea un servicio externo con los siguientes valores por defecto:

Opcionalmente, si necesita agregar valores al servicio o anular los valores predeterminados, especifique:

• Anotaciones específicas de su proveedor de nube, en spec.externalAccess.externalService.annotations

• Anulaciones para la especificación del servicio,spec.externalAccess.externalService.spec en.

Por ejemplo, los siguientes ajustes anulan los valores por defecto del servicio externo para configurar tu clúster de modo que cree servicios NodePort que expongan los Pods mongos:

externalAccess:
  externalService:
    annotations:
      # cloud-specific annotations for the service
    spec:
      type: NodePort # default is LoadBalancer
      port: 27017
      # you can specify other spec overrides if necessary

Agregue nombres alternativos de sujeto a sus certificados TLS.

Agregue cada nombre DNS externo al certificado SAN.

Cada host de MongoDB utiliza las siguientes SAN:

<my-sharded-cluster>-<shard>-<pod-index>.<external-domain>
<my-sharded-cluster>-config-<pod-index>.<external-domain>
<my-sharded-cluster>-mongos-<pod-index>.<external-domain>

La instancia de mongos utiliza el siguiente SAN:

<my-sharded-cluster>-mongos-<pod-index>-svc-external.<external-domain>

Configure el spec.security.tls.additionalCertificateDomains ajuste de forma similar al siguiente ejemplo. Cada certificado TLS que utilice debe incluir el SAN correspondiente para el fragmento, el servidor de configuración o la mongos instancia. El operador de Kubernetes valida su configuración.

1
---
2
apiVersion: mongodb.com/v1
3
kind: MongoDB
4
metadata:
5
  name: <my-sharded-cluster>
6
spec:
7
  version: "4.2.2-ent"
8
  opsManager:
9
    configMapRef:
10
      name: <configMap.metadata.name>
11
            # Must match metadata.name in ConfigMap file
12
  shardCount: 2
13
  mongodsPerShardCount: 3
14
  mongosCount: 2
15
  configServerCount: 3
16
  credentials: my-secret
17
  type: ShardedCluster
18
  externalAccess: {}
19
  security:
20
    tls:
21
      certsSecretPrefix: <prefix>
22
      additionalCertificateDomains:
23
         - "<external-domain>"
24
...

Verificar los servicios externos.

En su clúster fragmentado, ejecute el siguiente comando para verificar que el operador de Kubernetes haya creado los servicios externos para su implementación.

$ kubectl get services

El comando devuelve una lista de servicios similar a la siguiente salida. Para cada mongos instancia del clúster, el operador de Kubernetes crea un servicio externo <pod-name>-<pod-idx>-svc-external llamado. Este servicio se configura según los valores y las anulaciones que proporcione en la especificación del servicio externo.

NAME                                              TYPE         CLUSTER-IP     EXTERNAL-IP       PORT(S)           AGE
<my-sharded-cluster>-mongos-0-svc-external    LoadBalancer   10.102.27.116  <lb-ip-or-fqdn>   27017:27017/TCP    8m30s
<my-sharded-cluster>-mongos-1-svc-external    LoadBalancer   10.102.27.116  <lb-ip-or-fqdn>   27017:27017/TCP    8m30s

Según la configuración de su clúster o su proveedor de nube, la dirección IP del servicio LoadBalancer es una dirección IP o FQDN accesible externamente. Puede usar la dirección IP o el FQDN para enrutar el tráfico desde su dominio externo. Este ejemplo tiene dos mongos instancias; por lo tanto, el operador de Kubernetes crea dos servicios externos.

Pruebe la conexión al clúster fragmentado.

Para conectarse a su implementación desde fuera del clúster de Kubernetes, use MongoDB Shell (mongosh) y especifique las direcciones de las mongos instancias que ha expuesto a través del dominio externo.

mongosh ""