El siguiente procedimiento describe cómo conectarse a un recurso MongoDB desplegado en Kubernetes desde fuera del clúster de Kubernetes.
Requisito previo
Versiones de MongoDB compatibles
Para que tus bases de datos sean accesibles fuera de Kubernetes, deben ejecutar MongoDB 4.2.3 o una versión posterior.
Considerations
Configurar anulaciones de la prueba de disponibilidad
Si creas servicios personalizados que requieran acceso externo a los recursos personalizados de MongoDB implementados por el Operador de Kubernetes y utilizas readiness probes en Kubernetes, configura el publishNotReadyAddresses ajuste en Kubernetes a true.
El ajuste publishNotReadyAddresses indica que un agente que interactúa con los endpoints de este servicio debe ignorar el
ready estado. Establecer publishNotReadyAddresses en true anula el comportamiento de la sonda de preparación configurada para el pod que aloja tu servicio.
Por defecto, la configuración publishNotReadyAddresses está establecida en false. En este caso, cuando los Pods que alojan los recursos personalizados de MongoDB en Kubernetes Operator pierden conectividad con Cloud Manager u Ops Manager, las pruebas de disponibilidad configuradas para estos Pods fallan. Sin embargo, cuando se define el ajuste publishNotReadyAddresses a true:
Kubernetes no apaga el servicio cuya prueba de preparación falla.
Kubernetes considera que todos los endpoints están listos incluso si las pruebas de los Pods que alojan los servicios para estos endpoints indican que no están listos.
Los recursos personalizados de MongoDB aún están disponibles para operaciones de lectura y escritura.
Tip
Referencia de la API de Kubernetes y buscar
publishNotReadyAddresses
Procedimiento
El siguiente procedimiento te guía a través del proceso de configuración de la conectividad externa para tu implementación utilizando las opciones de configuración incorporadas en el Operador de Kubernetes.
La forma en que se conecta a un recurso de MongoDB que el operador de Kubernetes implementó fuera del clúster de Kubernetes depende del recurso.
Para conectarse a su recurso MongoDB autónomo implementado por el Operador de Kubernetes desde fuera del clúster de Kubernetes:
Implementa un recurso autónomo con el operador de Kubernetes.
Si no has implementado un recurso autónomo, sigue las instrucciones para implemente uno.
Este procedimiento utiliza el siguiente ejemplo:
20 21 apiVersion: mongodb.com/v1 22 kind: MongoDB 23 metadata: 24 name: <my-standalone> 25 spec: 26 version: "8.0.0" 27 opsManager: 28 configMapRef: 29 name: <configMap.metadata.name> 30 # Must match metadata.name in ConfigMap file 31 credentials: <mycredentials> 32 type: Standalone 33 ...
Crea un servicio externo para el pod MongoDB.
Para conectarse a su recurso autónomo desde un recurso externo, configure el spec.externalAccess entorno:
externalAccess: {}
Esta configuración indica al operador de Kubernetes que cree un servicio externo LoadBalancer para el pod de MongoDB en tu recurso autónomo. El servicio externo proporciona un punto de entrada para conexiones externas. Agregar esta configuración sin valores crea un servicio externo con los siguientes valores por defecto:
Campo | Valor | Descripción |
|---|---|---|
|
| Nombre del Servicio externo. No puedes cambiar este valor. |
|
| Crea un servicio externo LoadBalancer. |
|
| Un puerto para |
|
| Especifica que registros DNS se crean incluso si el Pod no está listo. No configures |
Opcionalmente, si necesitas agregar valores al servicio o sobrescribir los valores por defecto, especifica:
Anotaciones específicas para tu proveedor de nube, en
spec.externalAccess.externalService.annotationsAnulaciones para la especificación del servicio, en
spec.externalAccess.externalService.spec.
Por ejemplo, los siguientes ajustes anulan los valores por defecto para el servicio externo para configurar su recurso autónomo para crear servicios NodePort que exponen el pod MongoDB:
externalAccess: externalService: annotations: # cloud-specific annotations for the service spec: type: NodePort # default is LoadBalancer port: 27017 # you can specify other spec overrides if necessary
Tip
Para obtener más información, consulta anotaciones y ServiceSpec en la documentación de Kubernetes.
Verifique los servicios externos.
En tu recurso autónomo, ejecuta el siguiente comando para verificar que el Operador de Kubernetes haya creado el servicio externo para tu implementación.
kubectl get services
El comando devuelve una lista de servicios similar a la salida siguiente. Para cada pod de base de datos en el clúster, el Operador de Kubernetes crea un servicio externo llamado <pod-name>-0-svc-external. Este servicio está configurado según los valores y sobrescrituras que usted proporcione en la especificación del servicio externo.
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE <my-standalone>-0-svc-external LoadBalancer 10.102.27.116 <lb-ip-or-fqdn> 27017:27017/TCP 8m30s
Dependiendo de la configuración del clúster o proveedor de nube, la dirección IP del servicio LoadBalancer es una dirección IP accesible externamente o FQDN. Puedes utilizar la dirección IP o el FQDN para enrutar el tráfico desde tu dominio externo.
Prueba la conexión al recurso autónomo.
Para conectarte a tu implementación desde fuera del clúster de Kubernetes, utiliza MongoDB Shell (mongosh) y especifica la dirección del Pod de MongoDB que has expuesto a través del dominio externo.
Ejemplo
Si tienes un FQDN externo de <my-standalone>.<external-domain>, puedes conectarte a esta instancia del cluster enfragmentado desde fuera del clúster de Kubernetes usando el siguiente comando:
mongosh "mongodb://<my-standalone>.<external-domain>"
Importante
Este procedimiento explica la forma más sencilla de habilitar la conectividad externa. Puede utilizar otras utilidades en la producción.
Para conectarte a tu recurso de set de réplicas de MongoDB implementado por Kubernetes operador desde fuera del clúster de Kubernetes:
Implemente un set de réplicas con el operador de Kubernetes.
Si no has implementado un set de réplicas, sigue las instrucciones para implementar uno.
Debe activar TLS para el set de réplicas proporcionando un valor para el ajuste spec.security.certsSecretPrefix. El set de réplicas debe usar un certificado CA personalizado almacenado con spec.security.tls.ca.
Crea un servicio externo para los Pods de MongoDB.
Para conectarse a su set de réplicas desde un recurso externo, configure el spec.externalAccess escenario:
externalAccess: {}
Esta configuración le indica al Operador de Kubernetes que cree un servicio externo de LoadBalancer para los pods de MongoDB en tu set de réplicas. El servicio externo proporciona un punto de entrada para conexiones externas. Agregar esta configuración sin valores crea un servicio externo con los siguientes valores por defecto:
Campo | Valor | Descripción |
|---|---|---|
|
| Nombre del Servicio externo. No puedes cambiar este valor. |
|
| Crea un servicio externo LoadBalancer. |
|
| Un puerto para |
|
| Especifica que registros DNS se crean incluso si el Pod no está listo. No configures |
Opcionalmente, si necesitas agregar valores al servicio o sobrescribir los valores por defecto, especifica:
Anotaciones específicas para tu proveedor de nube, en
spec.externalAccess.externalService.annotationsAnulaciones para la especificación del servicio, en
spec.externalAccess.externalService.spec.
Por ejemplo, los siguientes parámetros anulan los valores predeterminados del servicio externo para configurar tu set de réplicas para crear Servicios NodePort que expongan los pods de MongoDB:
externalAccess: externalService: annotations: # cloud-specific annotations for the service spec: type: NodePort # default is LoadBalancer port: 27017 # you can specify other spec overrides if necessary
Tip
Para obtener más información, consulta anotaciones y ServiceSpec en la documentación de Kubernetes.
Verifique los servicios externos.
En tu set de réplicas, ejecuta el siguiente comando para verificar que el operador de Kubernetes creó el servicio externo para tu implementación.
kubectl get services
El comando devuelve una lista de servicios similar a la siguiente salida. Para cada pod de base de datos en el clúster, el Operador de Kubernetes crea un servicio externo llamado <pod-name>-<pod-idx>-svc-external. Este servicio se configura según los valores y las anulaciones que proporciones en la especificación del servicio externo.
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE <my-replica-set>-0-svc-external LoadBalancer 10.102.27.116 <lb-ip-or-fqdn> 27017:27017/TCP 8m30s
Dependiendo de la configuración de tu clúster o del proveedor de nube, la dirección IP del servicio LoadBalancer es una dirección accesible externamente o un FQDN. Puedes utilizar la dirección IP o un FQDN para dirigir el tráfico de tu dominio externo.
Copia el recurso de set de réplicas de muestra.
Cambia los ajustes de este archivo YAML para que coincidan con la configuración de set de réplicas deseada.
1 2 apiVersion: mongodb.com/v1 3 kind: MongoDB 4 metadata: 5 name: <my-replica-set> 6 spec: 7 members: 3 8 version: "8.0.0" 9 type: ReplicaSet 10 opsManager: 11 configMapRef: 12 name: <configMap.metadata.name> 13 credentials: <mycredentials> 14 persistent: true
15 security: 16 tls: 17 enabled: true 18 connectivity: 19 replicaSetHorizons: 20 - "example-website": "web1.example.com:30907" 21 - "example-website": "web2.example.com:32350" 22 - "example-website": "web3.example.com:31185" 23 ...
Pega la sección del ejemplo copiado en tu recurso existente del set de réplicas.
Abre el editor de texto de preferencia y pega la especificación del objeto al final del archivo recurso, en la sección spec.
Cambie la configuración resaltada a sus valores preferidos.
Clave | Tipo | Necesidad | Descripción | Ejemplo |
|---|---|---|---|---|
spec.connectivity | Colección | Condicional | Agregue este parámetro y valores si necesita que se pueda acceder a su base de datos fuera de Kubernetes. Esta configuración le permite proporcionar diferentes configuraciones de DNS dentro del clúster de Kubernetes y al clúster de Kubernetes. El operador de Kubernetes utiliza DNS de horizonte dividido para los miembros del set de réplicas. Esta funcionalidad permite la comunicación tanto dentro del clúster de Kubernetes como desde fuera de Kubernetes. Puede agregar varios mapeos externos por host. Requisitos de horizonte dividido
| |
spec.security | string | Requerido | Agrega el |
|
Confirma los nombres de host externos y los valores de servicio externo en el recurso del set de réplicas.
Confirma que los nombres de host externos en la configuración spec.connectivity.replicaSetHorizons sean correctos.
Los nombres de host externos deben coincidir con los nombres DNS de los nodos worker de Kubernetes. Estos pueden ser cualquier nodo en el clúster de Kubernetes. Los nodos de Kubernetes utilizan el enrutamiento interno si el pod se ejecuta en otro nodo.
Configura los puertos en spec.connectivity.replicaSetHorizons con los valores del servicio externo.
Ejemplo
15 security: 16 tls: 17 enabled: true 18 connectivity: 19 replicaSetHorizons: 20 - "example-website": "web1.example.com:30907" 21 - "example-website": "web2.example.com:32350" 22 - "example-website": "web3.example.com:31185" 23 ...
Guarde su archivo de configuración del set de réplicas.
Actualice y reinicie su implementación de set de réplicas.
En cualquier directorio, ejecuta el siguiente comando de Kubernetes para actualizar y reiniciar tu set de réplicas:
kubectl apply -f <replica-set-conf>.yaml
Pruebe la conexión al set de réplicas.
En el entorno de desarrollo, en cada host de un set de réplicas, ejecuta el siguiente comando:
mongosh --host <my-replica-set>/web1.example.com \ --port 30907 --ssl \ --sslAllowInvalidCertificates
Nota
No utilices la bandera --sslAllowInvalidCertificates en producción.
En producción, para cada host de un set de réplicas, especifica el certificado TLS y la CA para conectarte de manera segura a las herramientas de cliente o aplicaciones:
mongosh --host <my-replica-set>/web1.example.com \ --port 30907 \ --tls \ --tlsCertificateKeyFile server.pem \ --tlsCAFile ca-pem
Si la conexión es exitosa, deberías ver:
Enterprise <my-replica-set> [primary]
Para conectarte a tu recurso de clúster fragmentado de MongoDB implementado por Kubernetes operador desde fuera del clúster de Kubernetes:
Implemente un clúster segmentado con el Operador de Kubernetes.
Si no ha implementado un clúster, siga las instrucciones para implementar uno.
Debe habilitar TLS para el clúster particionado configurando los siguientes ajustes:
Clave | Tipo | Necesidad | Descripción | Ejemplo |
|---|---|---|---|---|
spec.security | string | Requerido | Agrega el |
|
spec.security.tls | Colección | Opcional | Lista de todos los dominios que deben añadirse a los certificados TLS de cada pod en esta implementación. Cuando se establece este parámetro, cada CSR que el operador de Kubernetes transforma en un certificado TLS incluye un SAN en la forma |
|
Crea un servicio externo para los pods mongos.
Para conectarte a tu clúster segmentado desde un recurso externo, configura el spec.externoAcceso escenario:
externalAccess: {}
Esta configuración le indica al Operador de Kubernetes que cree un servicio externo LoadBalancer para los mongos pods en tu clúster compartido. El servicio externo proporciona un punto de entrada para conexiones externas. Añadir esta configuración sin valores crea un servicio externo con los siguientes valores por defecto:
Campo | Valor | Descripción |
|---|---|---|
|
| Nombre del Servicio externo. No puedes cambiar este valor. |
|
| Crea un servicio externo LoadBalancer. |
|
| Un puerto para |
|
| Especifica que registros DNS se crean incluso si el Pod no está listo. No configures |
Opcionalmente, si necesitas agregar valores al servicio o sobrescribir los valores por defecto, especifica:
Anotaciones específicas para tu proveedor de nube, en
spec.externalAccess.externalService.annotationsAnulaciones para la especificación del servicio, en
spec.externalAccess.externalService.spec.
Por ejemplo, los siguientes ajustes anulan los valores por defecto del servicio externo para configurar tu clúster de modo que cree servicios NodePort que expongan los Pods mongos:
externalAccess: externalService: annotations: # cloud-specific annotations for the service spec: type: NodePort # default is LoadBalancer port: 27017 # you can specify other spec overrides if necessary
Tip
Para obtener más información, consulta anotaciones y ServiceSpec en la documentación de Kubernetes.
Añade Nombres alternativos del asunto a tus certificados TLS.
Agrega cada nombre externo de DNS al SAN del certificado.
Cada host de MongoDB utiliza los siguientes SANs:
<my-sharded-cluster>-<shard>-<pod-index>.<external-domain> <my-sharded-cluster>-config-<pod-index>.<external-domain> <my-sharded-cluster>-mongos-<pod-index>.<external-domain>
La instancia de mongos utiliza el siguiente SAN:
<my-sharded-cluster>-mongos-<pod-index>-svc-external.<external-domain>
Configure la configuración de spec.security.tls.additionalCertificateDomains similar al siguiente ejemplo. Cada certificado TLS que uses debe incluir el SAN correspondiente para la partición, el servidor de configuración o la instancia mongos. El operador de Kubernetes valida tu configuración.
1 2 apiVersion: mongodb.com/v1 3 kind: MongoDB 4 metadata: 5 name: <my-sharded-cluster> 6 spec: 7 version: "8.0.0" 8 opsManager: 9 configMapRef: 10 name: <configMap.metadata.name> 11 # Must match metadata.name in ConfigMap file 12 shardCount: 2 13 mongodsPerShardCount: 3 14 mongosCount: 2 15 configServerCount: 3 16 credentials: my-secret 17 type: ShardedCluster 18 externalAccess: {} 19 security: 20 tls: 21 certsSecretPrefix: <prefix> 22 additionalCertificateDomains: 23 - "<external-domain>" 24 ...
Verifique los servicios externos.
En su clúster, ejecute el siguiente comando para verificar que el Operador de Kubernetes haya creado los servicios externos para su implementación.
kubectl get services
El comando devuelve una lista de servicios similar a la salida siguiente. Para cada instancia de mongos en el clúster, el operador de Kubernetes crea un servicio externo llamado <pod-name>-<pod-idx>-svc-external. Este servicio está configurado de acuerdo con los valores y las anulaciones que proporciones en la especificación de servicio externo.
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE <my-sharded-cluster>-mongos-0-svc-external LoadBalancer 10.102.27.116 <lb-ip-or-fqdn> 27017:27017/TCP 8m30s <my-sharded-cluster>-mongos-1-svc-external LoadBalancer 10.102.27.116 <lb-ip-or-fqdn> 27017:27017/TCP 8m30s
Dependiendo de la configuración de tu clúster o del proveedor de nube, la dirección IP del servicio LoadBalancer es una dirección IP accesible externamente o un FQDN. Puedes utilizar la dirección IP o el FQDN para enrutar el tráfico desde tu dominio externo. Este ejemplo tiene dos instancias de mongos, por lo tanto, el operador de Kubernetes crea dos servicios externos.
Pruebe la conexión con el clúster particionado.
Para conectarse a su implementación desde fuera del clúster de Kubernetes, use el MongoDB Shell (mongosh) y especifique las direcciones de las instancias mongos que haya expuesto a través del dominio externo.
Ejemplo
Si tienes el FQDN externo de <my-sharded-cluster>-mongos-0-svc-external.<external-domain> y la <my-sharded-cluster>-mongos-1-svc-external.<external-domain> dirección Comando: mongodb://<mi-clúster-fragmentado>-mongos-<my-sharded-cluster>0-svc-external.,<mi-clúster-fragmentado>-mongos-<external-domain> <my-sharded-cluster>1<external-domain>-svc-external., puedes conectarte a esta instancia de clúster fragmentado desde fuera del clúster de Kubernetes utilizando el siguiente comando:
mongosh ""