Autenticación segura de clientes con X.509

Copiar la muestra recurso deconjunto de réplicas.

Cambie la configuración de este archivo YAML para que coincida con la configuración del conjunto de réplicas deseada.

1
---
2
apiVersion: mongodb.com/v1
3
kind: MongoDB
4
metadata:
5
  name: <my-replica-set>
6
spec:
7
  members: 3
8
  version: "8.0.0"
9
  opsManager:
10
    configMapRef:
11
            # Must match metadata.name in ConfigMap file
12
      name: <configMap.metadata.name>
13
  credentials: <mycredentials>
14
  type: ReplicaSet
15
  persistent: true

16
  security:
17
    tls:
18
      ca: <custom-ca>
19
    certsSecretPrefix: <prefix>
20
    authentication:
21
      enabled: true
22
      modes: ["X509"]
23
...

Pegue la sección de ejemplo copiada en su recurso de conjunto de réplicas existente.

Abra su editor de texto preferido y pegue la especificación del objeto al final de su archivo de recursos en el spec sección.

Configure los ajustes generales de X.509 para su recurso de conjunto de réplicas.

Para habilitar TLS y X.509 en su implementación, configure las siguientes opciones en su objeto de Kubernetes:

Guarde el archivo de configuración del conjunto de réplicas.

Aplique sus cambios a la implementación de su conjunto de réplicas.

Invoque el siguiente comando de Kubernetes para actualizar su conjunto de réplicas:

kubectl apply -f <replica-set-conf>.yaml

Realice un seguimiento del estado de su implementación.

Para comprobar el estado de su recurso MongoDB, utilice el siguiente comando:

kubectl get mdb <resource-name> -o yaml -w

Con el -w indicador (observación) activado, cuando la configuración cambia, la salida se actualiza inmediatamente hasta que la fase de estado alcanza el Running estado. Para obtener más información sobre los estados de implementación de recursos, consulte Solucionar problemas del operador de Kubernetes.

Configure para kubectl que el valor predeterminado sea su espacio de nombres.

Si aún no lo ha hecho, ejecute el siguiente comando para ejecutar todos los kubectl comandos en el espacio de nombres que creó.

kubectl config set-context $(kubectl config current-context) --namespace=<metadata.namespace>

Renueva el secreto para tus certificados TLS.

Ejecute este kubectl comando para renovar un secreto existente que almacena los certificados del conjunto de réplicas:

kubectl create secret tls <prefix>-<metadata.name>-cert \
  --cert=<replica-set-tls-cert> \
  --key=<replica-set-tls-key> \
  --dry-run=client \
   -o yaml |
kubectl apply -f -

Renueve el secreto de los509 certificados X. de sus agentes.

Ejecute este kubectl comando para renovar un secreto existente que almacena los509 certificados X. de los agentes:

kubectl create secret tls <prefix>-<metadata.name>-agent-certs \
  --cert=<agent-tls-cert> \
  --key=<agent-tls-key> \
  --dry-run=client \
   -o yaml |
kubectl apply -f -

Copia el clúster recurso.

Cambie la configuración de este archivo YAML para que coincida con la configuración de clúster fragmentado deseada.

1
---
2
apiVersion: mongodb.com/v1
3
kind: MongoDB
4
metadata:
5
  name: <my-sharded-cluster>
6
spec:
7
  shardCount: 2
8
  mongodsPerShardCount: 3
9
  mongosCount: 2
10
  configServerCount: 3
11
  version: "8.0.0"
12
  opsManager:
13
    configMapRef:
14
      name: <configMap.metadata.name>
15
            # Must match metadata.name in ConfigMap file
16
  credentials: <mycredentials>
17
  type: ShardedCluster
18
  persistent: true

19
  security:
20
    tls:
21
      ca: <custom-ca>
22
    certsSecretPrefix: <prefix>
23
    authentication:
24
      enabled: true
25
      modes: ["X509"]
26
...

Pegue la sección de ejemplo copiada en su recurso de clúster fragmentado existente.

Abre el editor de texto de preferencia y pega la especificación del objeto al final del archivo recurso, en la sección spec.

Configure los ajustes generales de X.509 para su recurso de clúster fragmentado.

Para habilitar TLS y X.509 en su implementación, configure las siguientes opciones en su objeto de Kubernetes:

Guarde el archivo de configuración del clúster fragmentado.

Actualice y reinicie su implementación de clúster fragmentado.

En cualquier directorio, invoque el siguiente comando de Kubernetes para actualizar y reiniciar su clúster fragmentado:

kubectl apply -f <sharded-cluster-conf>.yaml

Realice un seguimiento del estado de su implementación.

Para comprobar el estado de su recurso MongoDB, utilice el siguiente comando:

kubectl get mdb <resource-name> -o yaml -w

Con el -w indicador (observación) activado, cuando la configuración cambia, la salida se actualiza inmediatamente hasta que la fase de estado alcanza el Running estado. Para obtener más información sobre los estados de implementación de recursos, consulte Solucionar problemas del operador de Kubernetes.

Configure para kubectl que el valor predeterminado sea su espacio de nombres.

Si aún no lo ha hecho, ejecute el siguiente comando para ejecutar todos los kubectl comandos en el espacio de nombres que creó.

kubectl config set-context $(kubectl config current-context) --namespace=<metadata.namespace>

Renueve el secreto de los certificados TLS de sus Shards.

Ejecute este kubectl comando para renovar un secreto existente que almacena los certificados de los fragmentos del clúster fragmentado:

kubectl -n mongodb create secret tls <prefix>-<metadata.name>-0-cert \
  --cert=<shard-0-tls-cert> \
  --key=<shard-0-tls-key> \
  --dry-run=client \
  -o yaml |
kubectl apply -f -
kubectl -n mongodb create secret tls <prefix>-<metadata.name>-1-cert \
  --cert=<shard-1-tls-cert> \
  --key=<shard-1-tls-key> \
  --dry-run=client \
  -o yaml |
kubectl apply -f -

Renueve el secreto de los certificados TLS de su servidor de configuración.

Ejecute este kubectl comando para renovar un secreto existente que almacena los certificados del servidor de configuración del clúster fragmentado:

kubectl -n mongodb create secret tls <prefix>-<metadata.name>-config-cert \
  --cert=<config-tls-cert> \
  --key=<config-tls-key> \
  --dry-run=client \
  -o yaml |
kubectl apply -f -

Renueva el secreto para los certificados TLS del servidor mongos.

Ejecute este comando kubectl para renovar un secret existente que almacene los certificados de mongos del clúster sharded:

kubectl -n mongodb create secret tls <prefix>-<metadata.name>-mongos-cert \
  --cert=<mongos-tls-cert> \
  --key=<mongos-tls-key> \
  --dry-run=client \
  -o yaml |
kubectl apply -f -

Renueve el secreto de los509 certificados X. de sus agentes.

Ejecute este kubectl comando para renovar un secreto existente que almacena los509 certificados X. de los agentes:

kubectl create secret tls <prefix>-<metadata.name>-agent-certs \
  --cert=<agent-tls-cert> \
  --key=<agent-tls-key> \
  --dry-run=client \
   -o yaml |
kubectl apply -f -