/ /

Administrar usuarios

Docs Home

Enterprise Kubernetes Operator

Implementar recursos de la base de datos

Administrar usuarios

Docs Home

Enterprise Kubernetes Operator

Implementar recursos de la base de datos

Administrar usuarios

Administrar usuarios de bases de datos mediante autenticación X.509

Esta versión de la documentación está archivada y ya no se admite, y el operador de Kubernetes de MongoDB Enterprise está obsoleto. El nuevo El Operador de Controladores para Kubernetes de MongoDB reemplaza al Operador de Kubernetes Empresarial de MongoDB. La primera versión del Operador de Controladores para Kubernetes es funcionalmente equivalente a la última versión del Operador de Kubernetes Empresarial,1.33 v. Para obtener más información sobre este cambio y orientación sobre la migración al nuevo Operador, consulte las notas de la versión de la primera versión. No habrá futuras versiones del Operador de Kubernetes Empresarial de MongoDB. Cada versión alcanzará el final de su vida útil según el plazo de un año vigente. Política de soporte. Migre al operador de controladores para Kubernetes para obtener soporte continuo.

El operador de Kubernetes admite la administración de usuarios de bases de datos para implementaciones que se ejecutan con Autenticación de clúster internaTLS y X. habilitada.509

Mecanismos de autenticación admitidos

El operador de Kubernetes admite los mecanismos de autenticación SCRAM, LDAP y X.509 en las implementaciones que crea. En una implementación creada por el operador de Kubernetes, no se puede usar Ops Manager para:

Configurar otros mecanismos de autenticación para las implementaciones.
Gestiona usuarios que no utilizan autenticación SCRAM, LDAP o X.509.

Después de habilitar509 la autenticación X., puede agregar509 usuarios X. mediante la interfaz de Ops Manager o CustomResourceDefinition.

Requisitos previos

Antes de administrar usuarios de la base de datos, debe implementar un conjunto de réplicas o un clúster fragmentado con TLS y X.509 habilitados.

Si necesita generar509 certificados X. para sus usuarios de MongoDB,consulte Generar509 certificados de cliente X..

Agregar un usuario de base de datos

Configurar `kubectl` para establecer como predeterminado su espacio de nombres.

Si aún no lo ha hecho, ejecute el siguiente comando para ejecutar todos los kubectl comandos en el espacio de nombres que creó.

Nota

Si está implementando un recurso de Ops Manager en una implementación de MongoDB de un clúster de Kubernetes múltiple:

Establezca context en el nombre del clúster del operador, como por ejemplo: kubectl config set context "$MDB_CENTRAL_CLUSTER_FULL_NAME".
Establezca --namespace en el mismo ámbito que utilizó para su implementación de MongoDB en un clúster de Kubernetes múltiple, como porkubectl config --namespace "mongodb" ejemplo:.

kubectl config set-context $(kubectl config current-context) --namespace=<metadata.namespace>

Copie el siguiente ejemplo CustomResourceDefinition.

---
apiVersion: mongodb.com/v1
kind: MongoDBUser
metadata:
  name: <resource-name>
spec:
  username: <rfc2253-subject>
  db: "$external"
  mongodbResourceRef:
    name: '<MongoDB-Resource-name>'
  roles:
    - db: <database-name>
      name: <role-name>
...

Abra su editor de texto preferido y pegue el ejemplo CustomResourceDefinition en un nuevo archivo de texto.

Cambie las líneas de los siguientes parámetros, según sea necesario.

Utilice la siguiente tabla como guía para cambiar las líneas relevantes en la Especificación de recursos de usuario de MongoDB:

Clave

Tipo

Descripción

Ejemplo

metadata.name

string

El nombre del recurso de usuario de la base de datos.

Los nombres de recursos deben tener 44 caracteres o menos.

mms-user-1

spec.username

string

La línea de asunto del509 certificado de cliente x firmado por la CA de Kubernetes (Kube CA).

IMPORTANTE: El nombre de usuario debe cumplir con el 2253 3 estándar de nombre distinguido RFC LDAPv.

Para obtener la línea de asunto del certificado X.509, ejecute el siguiente comando:

openssl x509 -noout \
  -subject -in <my-cert.pem> \
  -nameopt RFC2253

CN=mms-user,U=My Organizational Unit,O=My Org,L=New York,ST=New York,C=US

spec.opsManager.configMapRef.name

string

El nombre del proyecto que contiene la base de datos MongoDB donde se añadirá el usuario. La configuración es un alias para esta configuración y puede usarse en su spec.cloudManager.configMapRef.name lugar.

my-project

spec.roles.db

string

La base de datos sobre la que puede actuar el rol.

admin

spec.mongodbResourceRef.name

string

El nombre del recurso MongoDB al que está asociado este usuario.

my-resource

spec.roles.name

string

El nombre del rol que se otorgará al usuario de la base de datos. El nombre del rol puede ser cualquier rol integrado de MongoDB o un rol personalizado existente en Cloud Manager u Ops Manager.

readWriteAnyDatabase

Agregue cualquier rol adicional para el usuario a CustomResourceDefinition.

Puede otorgar roles adicionales a este usuario utilizando el formato definido en el siguiente ejemplo:

---
apiVersion: mongodb.com/v1
kind: MongoDBUser
metadata:
  name: mms-user-1
spec:
  username: CN=mms-user,U=My Organizational Unit,O=My Org,L=New York,ST=New York,C=US
  project: my-project
  db: "$external"
  roles:
    - db: admin
      name: backup
    - db: admin
      name: restore
...

Crear el usuario.

Invoque el siguiente comando de Kubernetes para crear su usuario de base de datos:

kubectl apply -f <database-user-conf>.yaml

Al crear un nuevo usuario de base de datos MongoDB, el operador de Kubernetes crea automáticamente un nuevo secreto de Kubernetes. Este secreto contiene la siguiente información sobre el nuevo usuario de base de datos:

username: Nombre de usuario para el usuario de la base de datos
password: Contraseña para el usuario de la base de datos
connectionString.standard:Cadenade conexión estándar que puede conectarlo a la base de datos como este usuario de base de datos.
connectionString.standardSrv:Cadena de conexión de la lista desemillas DNS que puede conectarlo a la base de datos como este usuario de base de datos.

Nota

Como alternativa, puede especificar un spec.connectionStringSecretName campo opcional en la Especificación de recursos de usuario de MongoDB para especificar el nombre del secreto de la cadena de conexión que crea el operador de Kubernetes.

Puede utilizar estas credenciales para conectarse a un recurso de base de datos MongoDB desde dentro de Kubernetes.

Ver el usuario recién creado en Cloud Manager o Ops Manager.

Puede ver el usuario recién creado en Cloud Manager o Ops Manager:

Del Proyecto Deployment Ver, haga clic en la pestaña Security.
Haga clic en la pestaña anidada MongoDB Users.

Eliminar un usuario de base de datos

Para eliminar un usuario de la base de datos, pase el metadata.name del ConfigMap del usuario al siguiente comando:

kubectl delete mdbu <metadata.name>