Join us at MongoDB.local London on 7 May to unlock new possibilities for your data. Use WEB50 to save 50%.
Register now >
Docs Menu
Docs Home
/ /
Conexiones de cliente seguras
Docs Home
/ /
Implementar recursos de la base de datos
/
Conexiones de cliente seguras
Docs Home
/
Gestión
/
Controladores para el Operador de Kubernetes
/
Implementar recursos de la base de datos
/
Conexiones de cliente seguras

Configurar la autenticación interna de un solo clúster (X.509)

Esta guía le instruye sobre cómo configurar:

  • Autenticación interna X.509 entre nodos de MongoDB en un clúster.

  • Autenticación X.509 de los clientes a sus instancias de MongoDB.

El Operador de Kubernetes no admite otros esquemas de autenticación entre nodos de MongoDB en un clúster.

Nota

No puedes asegurar una instancia autónoma de MongoDB en un clúster de Kubernetes.

Requisitos generales previos

Antes de proteger cualquiera de sus implementaciones de MongoDB utilizando TLS cifrado, complete lo siguiente:

  • Instalar el operador de Kubernetes

  • Crear credenciales para el operador de Kubernetes

Habilitar la autenticación X.509 a nivel de Proyecto configura a todos los agentes para que utilicen autenticación de cliente X.509 cuando se comuniquen con implementaciones de MongoDB.

Configurar la autenticación interna X.509 para un set de réplicas

Requisitos previos

Antes de proteger tu set de réplicas con X.509, implementa un set de réplicas cifrado con TLS.

Habilitar la autenticación interna X.509

1

Crea el secreto para tu certificado X.509.

Ejecute esto kubectl comando para crear un nuevo secreto que almacene el certificado del set de réplicas:

kubectl create secret tls <prefix>-<metadata.name>-clusterfile \
  --cert=<replica-set-clusterfile-tls-cert> \
  --key=<replica-set-clusterfile-tls-key>

Nota

Debes anteponer a tus secretos el prefijo <prefix>-<metadata.name>.

Por ejemplo, si llama a su implementación my-deployment y establece el prefijo,mdb debe asignarle al secreto TLS para las comunicaciones TLS del cliente el mdb-my-deployment-cert nombre. Además, debe asignarle al secreto TLS para la autenticación interna del clúster (si está habilitada) el mdb-my-deployment-clusterfile nombre.

2

Copia el recurso de set de réplicas de muestra.

Cambie la configuración de este archivo YAML para que coincida con la configuración del conjunto de réplicas deseada.

1---
2apiVersion: mongodb.com/v1
3kind: MongoDB
4metadata:
5  name: <my-replica-set>
6spec:
7  members: 3
8  version: "8.0.0"
9  opsManager:
10    configMapRef:
11            # Must match metadata.name in ConfigMap file
12      name: <configMap.metadata.name>
13  credentials: <mycredentials>
14  type: ReplicaSet
15  persistent: true
16  security:
17    tls:
18      ca: <custom-ca>
19    certsSecretPrefix: <prefix>
20    authentication:
21      enabled: true
22      modes: ["X509"]
23      internalCluster: "X509"
24...
3

Pega la sección del ejemplo copiado en tu recurso existente del set de réplicas.

Abre el editor de texto de preferencia y pega la especificación del objeto al final del archivo recurso, en la sección spec.

4

Configura los ajustes generales de X.509 para el set de réplicas recurso.

Para habilitar TLS y X.509 en tu implementación, configura los siguientes ajustes en tu objeto de Kubernetes:

Clave
Tipo
Necesidad
Descripción
Ejemplo
spec.security
.authentication
.enabled

booleano

Requerido

Establece este valor en true para habilitar la autenticación en la implementación de MongoDB.

true

spec.security
.authentication
.modes

arreglo

Condicional

Configura este valor en ["X509"].

["X509"]

5

Configure los ajustes internos de X.509 para el set de réplicas recurso.

Para habilitar TLS y X.509 en tu implementación, configura los siguientes ajustes en tu objeto de Kubernetes:

Clave
Tipo
Necesidad
Descripción
Ejemplo
spec.security
.authentication
.internalCluster

string

Requerido

Utilice esta configuración para habilitar la autenticación interna X.509 del clúster.

IMPORTANTE: una vez habilitada la autenticación interna del clúster, no se puede deshabilitar.

X509

6

Guarde el archivo de configuración del conjunto de réplicas.

7

Aplique sus cambios a la implementación de su conjunto de réplicas.

Invoca el siguiente comando de Kubernetes para actualizar tu set de réplicas:

kubectl apply -f <replica-set-conf>.yaml
8

Realice un seguimiento del estado de su implementación.

Para comprobar el estado de su recurso MongoDB, utilice el siguiente comando:

kubectl get mdb <resource-name> -o yaml -w

Con la bandera -w (observar) activada, cuando la configuración cambia, la salida se actualiza inmediatamente hasta que la fase de estado alcanza el estado Running. Para obtener más información sobre el estado de implementación de recursos, consulta Solucionar problemas con el operador de Kubernetes.

Renovar certificados internos de autenticación X.509 para un set de réplicas

Si ya ha creado certificados, le recomendamos que los renueve periódicamente mediante el siguiente procedimiento.

1

Configura kubectl para que se ajuste por defecto a tu espacio de nombres.

Si aún no lo ha hecho, ejecute el siguiente comando para ejecutar todos los comandos de kubectl en el namespace que creó.

Nota

Si está implementando un recurso de Ops Manager en una implementación de MongoDB de un clúster de Kubernetes múltiple:

  • Defina context como el nombre del clúster operador, por ejemplo: kubectl config set context "$MDB_CENTRAL_CLUSTER_FULL_NAME".

  • Establece el --namespace en el mismo ámbito que utilizaste para tu implementación de MongoDB de clústeres multi-Kubernetes, como por ejemplo: kubectl config --namespace "mongodb".

kubectl config set-context $(kubectl config current-context) --namespace=<metadata.namespace>
2

Renueva el secreto para tus certificados TLS.

Ejecute este kubectl comando para renovar un secreto existente que almacena los certificados del conjunto de réplicas:

kubectl create secret tls <prefix>-<metadata.name>-cert \
  --cert=<replica-set-tls-cert> \
  --key=<replica-set-tls-key> \
  --dry-run=client \
   -o yaml |
kubectl apply -f -
3

Renueve el secreto de su509 certificadoX..

Ejecuta este kubectl comando para renovar un secreto existente que almacena el certificado del set de réplicas:

kubectl create secret tls <prefix>-<metadata.name>-clusterfile \
  --cert=<replica-set-clusterfile-tls-cert> \
  --key=<replica-set-clusterfile-tls-key> \
  --dry-run=client \
   -o yaml |
kubectl apply -f -
4

Renueva el secreto para los certificados X de tus agentes.509.

Ejecuta este comando kubectl para renovar un secreto existente que almacena los certificados X.509 de los agentes:

kubectl create secret tls <prefix>-<metadata.name>-agent-certs \
  --cert=<agent-tls-cert> \
  --key=<agent-tls-key> \
  --dry-run=client \
   -o yaml |
kubectl apply -f -

Configura la autenticación X.509 interna para un clúster con fragmentación

Requisitos previos

Antes de asegurar tu clúster particionado usando X.509, por favor implementa un clúster particionado cifrado con TLS.

Habilitar la autenticación interna X.509

1

Crea el secreto para los certificados X.509 de tus particiones.

Ejecuta este comando kubectl para crear un nuevo secreto que almacene los certificados de las particiones del clúster:

kubectl -n mongodb create secret tls <prefix>-<metadata.name>-0-clusterfile \
  --cert=<shard-0-clusterfile-tls-cert> \
  --key=<shard-0-clusterfile-tls-cert>
kubectl -n mongodb create secret tls <prefix>-<metadata.name>-1-clusterfile \
  --cert=<shard-1-clusterfile-tls-cert> \
  --key=<shard-1-clusterfile-tls-cert>
2

Cree el secreto para el certificado X.509 de sus servidores de configuración.

Ejecute este kubectl comando para crear un nuevo secreto que almacene los certificados del servidor de configuración del clúster fragmentado:

kubectl -n mongodb create secret tls <prefix>-<metadata.name>-config-clusterfile \
  --cert=<config-clusterfile-tls-cert> \
  --key=<config-clusterfile-tls-cert>
3

Crea el secreto para los certificados X.509 de tu servidor mongos.

Ejecute este comando kubectl para crear un nuevo secreto que almacene los certificados del clúster particionado mongos:

kubectl -n mongodb create secret tls <prefix>-<metadata.name>-mongos-clusterfile \
  --cert=<mongos-clusterfile-tls-cert> \
  --key=<mongos-clusterfile-tls-cert>
4

Copia el clúster recurso.

Cambia la configuración de este archivo YAML para que coincida con su configuración deseada de sharded cluster.

1---
2apiVersion: mongodb.com/v1
3kind: MongoDB
4metadata:
5  name: <my-sharded-cluster>
6spec:
7  shardCount: 2
8  mongodsPerShardCount: 3
9  mongosCount: 2
10  configServerCount: 3
11  version: "8.0.0"
12  opsManager:
13    configMapRef:
14      name: <configMap.metadata.name>
15            # Must match metadata.name in ConfigMap file
16  credentials: <mycredentials>
17  type: ShardedCluster
18  persistent: true
19  security:
20    tls:
21      ca: <custom-ca>
22    certsSecretPrefix: <prefix>
23    authentication:
24      enabled: true
25      modes: ["X509"]
26      internalCluster: "X509"
27...
5

Pega la sección de ejemplo copiada en tu clúster existente.

Abre el editor de texto de preferencia y pega la especificación del objeto al final del archivo recurso, en la sección spec.

6

Configure los ajustes generales de X.509 para su recurso de clúster fragmentado.

Para habilitar TLS y X.509 en tu implementación, configura los siguientes ajustes en tu objeto de Kubernetes:

Clave
Tipo
Necesidad
Descripción
Ejemplo
spec.security
.authentication
.enabled

booleano

Requerido

Establece este valor en true para habilitar la autenticación en la implementación de MongoDB.

true

spec.security
.authentication
.modes

arreglo

Condicional

Configura este valor en ["X509"].

["X509"]

7

Configure los ajustes internos X.509 para su recurso de clúster fragmentado.

Para habilitar TLS y X.509 en tu implementación, configura los siguientes ajustes en tu objeto de Kubernetes:

Clave
Tipo
Necesidad
Descripción
Ejemplo
spec.security
.authentication
.internalCluster

string

Requerido

Utilice esta configuración para habilitar la autenticación interna X.509 del clúster.

IMPORTANTE: una vez habilitada la autenticación interna del clúster, no se puede deshabilitar.

X509

8

Guarde el archivo de configuración del clúster fragmentado.

9

Actualizar y reiniciar la implementación de su clúster fragmentado.

En cualquier directorio, ejecute el siguiente comando de Kubernetes para actualizar y reiniciar su clúster:

kubectl apply -f <sharded-cluster-conf>.yaml
10

Realice un seguimiento del estado de su implementación.

Para comprobar el estado de su recurso MongoDB, utilice el siguiente comando:

kubectl get mdb <resource-name> -o yaml -w

Con la bandera -w (observar) activada, cuando la configuración cambia, la salida se actualiza inmediatamente hasta que la fase de estado alcanza el estado Running. Para obtener más información sobre el estado de implementación de recursos, consulta Solucionar problemas con el operador de Kubernetes.

Renovar certificados de autenticación interna X.509 para un clúster fragmentado

Si ya ha creado certificados, le recomendamos que los renueve periódicamente mediante el siguiente procedimiento.

1

Configura kubectl para que se ajuste por defecto a tu espacio de nombres.

Si aún no lo ha hecho, ejecute el siguiente comando para ejecutar todos los comandos de kubectl en el namespace que creó.

Nota

Si está implementando un recurso de Ops Manager en una implementación de MongoDB de un clúster de Kubernetes múltiple:

  • Defina context como el nombre del clúster operador, por ejemplo: kubectl config set context "$MDB_CENTRAL_CLUSTER_FULL_NAME".

  • Establece el --namespace en el mismo ámbito que utilizaste para tu implementación de MongoDB de clústeres multi-Kubernetes, como por ejemplo: kubectl config --namespace "mongodb".

kubectl config set-context $(kubectl config current-context) --namespace=<metadata.namespace>
2

Renueva el secreto para los certificados TLS de tus particiones.

Ejecute este comando kubectl para renovar un secreto existente que almacena los certificados de las particiones del clúster fragmentado:

kubectl -n mongodb create secret tls <prefix>-<metadata.name>-0-cert \
  --cert=<shard-0-tls-cert> \
  --key=<shard-0-tls-key> \
  --dry-run=client \
  -o yaml |
kubectl apply -f -
kubectl -n mongodb create secret tls <prefix>-<metadata.name>-1-cert \
  --cert=<shard-1-tls-cert> \
  --key=<shard-1-tls-key> \
  --dry-run=client \
  -o yaml |
kubectl apply -f -
3

Renueva el secreto para los certificados TLS del servidor de configuración.

Ejecuta este comando kubectl para renovar un secreto que almacena los certificados del servidor de configuración del clúster fragmentado:

kubectl -n mongodb create secret tls <prefix>-<metadata.name>-config-cert \
  --cert=<config-tls-cert> \
  --key=<config-tls-key> \
  --dry-run=client \
  -o yaml |
kubectl apply -f -
4

Renueva el secreto para los certificados TLS del servidor mongos.

Ejecute este comando kubectl para renovar un secret existente que almacene los certificados de mongos del clúster sharded:

kubectl -n mongodb create secret tls <prefix>-<metadata.name>-mongos-cert \
  --cert=<mongos-tls-cert> \
  --key=<mongos-tls-key> \
  --dry-run=client \
  -o yaml |
kubectl apply -f -
5

Renueva el secreto de los certificados X. de tus509 Shards.

Ejecute este comando kubectl para renovar un secreto existente que almacena los certificados de las particiones del clúster fragmentado:

kubectl -n mongodb create secret tls <prefix>-<metadata.name>-0-clusterfile \
  --cert=<shard-0-clusterfile-tls-cert> \
  --key=<shard-0-clusterfile-tls-cert> \
  --dry-run=client \
  -o yaml |
kubectl apply -f -
kubectl -n mongodb create secret tls <prefix>-<metadata.name>-1-clusterfile \
  --cert=<shard-1-clusterfile-tls-cert> \
  --key=<shard-1-clusterfile-tls-cert> \
  --dry-run=client \
  -o yaml |
kubectl apply -f -
6

Renueva el secreto para el X de tus servidores de configuración.509 certificado.

Ejecute este comando kubectl para renovar un secreto existente que almacena el certificado de los servidores de configuración del clúster fragmentado:

kubectl -n mongodb create secret tls <prefix>-<metadata.name>-config-clusterfile \
  --cert=<config-clusterfile-tls-cert> \
  --key=<config-clusterfile-tls-cert> \
  --dry-run=client \
  -o yaml |
kubectl apply -f -
7

Renueva el secreto para los certificados X.509 de tu servidor mongos.

Ejecute este comando kubectl para renovar un secret existente que almacene los certificados de mongos del clúster sharded:

kubectl -n mongodb create secret tls <prefix>-<metadata.name>-mongos-clusterfile \
  --cert=<mongos-clusterfile-tls-cert> \
  --key=<mongos-clusterfile-tls-cert> \
  --dry-run=client \
  -o yaml |
kubectl apply -f -
8

Renueva el secreto para los certificados X de tus agentes.509.

Ejecuta este comando kubectl para renovar un secreto existente que almacena los certificados X.509 de los agentes:

kubectl create secret tls <prefix>-<metadata.name>-agent-certs \
  --cert=<agent-tls-cert> \
  --key=<agent-tls-key> \
  --dry-run=client \
   -o yaml |
kubectl apply -f -

En esta página