Join us at MongoDB.local London on 7 May to unlock new possibilities for your data. Use WEB50 to save 50%.
Register now >
Docs Menu
Docs Home
/ /
Implemente Ops Manager
Docs Home
/
Gestión
/
Controladores para el Operador de Kubernetes
/
Implemente Ops Manager
Docs Home
/
Gestión
/
Controladores para el Operador de Kubernetes
/
Implemente Ops Manager

Configurar una integración de cert-manager

cert-manager simplifica y automatiza la gestión de certificados de seguridad para Kubernetes. El siguiente procedimiento describe cómo configurar cert-manager para generar certificados para recursos de MongoDB Kubernetes Operator.

Requisitos previos

Para implementar un conjunto de réplicas utilizando un objeto, debe:

  • Tenga o cree una instancia de Ops Manager o una organización de Cloud Manager.

  • Tener o instalar el Controladores MongoDB para el operador Kubernetes.

  • Crea o genera un ConfigMap de Kubernetes Operator.

  • Crea credenciales para el Operador de Kubernetes o configura una herramienta diferente de almacenamiento de secretos.

Nota

Para evitar almacenar secretos en implementaciones de Kubernetes de un solo clúster, puedes migrar todos los secretos a una herramienta de almacenamiento de secretos. Las implementaciones en múltiples clústeres de Kubernetes no admiten el almacenamiento de secretos en herramientas de almacenamiento de secretos, como HashiCorp Vault.

  • Genera uno CertificadoTLS para cada uno de los siguientes componentes:

    • Tu set de réplicas. Asegúrate de añadir SANs para cada pod de Kubernetes que hostee un nodo de tu set de réplicas al certificado.

      En tu certificado TLS, el SAN de cada pod debe utilizar el siguiente formato:

      <pod-name>.<metadata.name>-svc.<namespace>.svc.cluster.local

      Importante

      Si utilizas un proveedor de servicios basado en ACME, como Let's Encrypt para emitir certificados TLS, el proveedor podría prohibirte añadir los FQDNpredeterminados del Pod (*.svc.cluster.local) a los SANdel certificado.

      Para usar un certificado basado en ACME, debe configurarlo para el recurso del conjunto de réplicas. Para obtener más información, consulte el paso sobre certificados TLS basados ​​en ACME en el procedimiento.

    • El agente de MongoDB de su proyecto. Para el certificado del agente de MongoDB, asegúrese de cumplir los siguientes requisitos:

      • El Nombre común en el certificado TLS no está vacío.

      • La Organización combinada y la Unidad Organizativa en cada certificado TLS difiere de la Organización y Unidad Organizativa en el certificado TLS para los miembros del set de réplicas.

  • Debes tener el archivo de certificado CA y nombrarlo ca-pem.

  • Debes tener la clave que usaste para firmar tus certificados TLS.

Importante

El operador de Kubernetes utiliza kubernetes.io/tls secretos para almacenar TLS certificados y llaves privadas para Ops Manager y recursos de MongoDB. A partir de la versión 1.17.0 del operador de Kubernetes, el operador de Kubernetes no admite archivos PEM concatenados almacenados como secretos opacos.

Para implementar un conjunto de réplicas utilizando un objeto, debe:

Nota

Para evitar almacenar secretos en implementaciones de Kubernetes de un solo clúster, puedes migrar todos los secretos a una herramienta de almacenamiento de secretos. Las implementaciones en múltiples clústeres de Kubernetes no admiten el almacenamiento de secretos en herramientas de almacenamiento de secretos, como HashiCorp Vault.

Procedimiento

1

Crea un secreto de CA.

Nota

Los siguientes pasos suponen que ya ha creado una CA personalizada junto con la correspondiente tls.key clave privada y el tls.crt certificado firmado.

Crea un secreto para almacenar tus datos de AAC:

apiVersion: v1
kind: Secret
metadata:
  name: ca-key-pair
  namespace: <namespace>
data:
  tls.crt: <your-CA-certificate>
  tls.key: <your-CA-private-key>
2

Agregue certificados adicionales a los certificados personalizados de CA.

Si el certificado TLS de Ops Manager está firmado por una CA personalizada, el certificado de la CA también debe contener certificados adicionales que permitan que el daemon de copias de seguridad de Ops Manager descargue los binarios de MongoDB desde Internet. Para crear los TLS certificados, cree un ConfigMap para conservar el CA certificado :

Importante

El operador de Kubernetes requiere que su certificado de Ops Manager se llame mms-ca.crt en ConfigMap.

  1. Obtener toda la cadena de certificados TLS para Ops Manager de downloads.mongodb.com. El siguiente comando openssl genera el certificado en el eslabón hacia el directorio actual de trabajo, en formato .crt:

    openssl s_client -showcerts -verify 2 \
    -connect downloads.mongodb.com:443 -servername downloads.mongodb.com < /dev/null \
    | awk '/BEGIN/,/END/{ if(/BEGIN/){a++}; out="cert"a".crt"; print >out}'

  2. Concatena el archivo de certificado de la CA para Ops Manager con toda la cadena de certificados TLS de downloads.mongodb.com que se obtuvo en el paso anterior:

    cat <custom_ca_cert.pem> cert2.crt cert3.crt cert4.crt  >> mms-ca.crt

    Nota

    • Reemplace el marcador de posición <custom_ca_cert.pem> con su archivo PEM de certificado CA personalizado.

    • No incluyas tu archivo cert1.crt, ya que es tu certificado de servidor de MongoDB que no deberías incluir.

  3. Cree el ConfigMap para Ops Manager:

    kubectl create configmap om-http-cert-ca --from-file="mms-ca.crt"
3

Configure un emisor CA de cert-manager CA

  1. Crea un emisor de CA que haga referencia a tu secreto de CA:

    apiVersion: cert-manager.io/v1
    kind: Issuer
    metadata:
      name: ca-issuer
      namespace: <namespace>
    spec:
      ca:
        secretName: ca-key-pair

  2. Verifica que el emisor esté listo:

    kubectl get issuer ca-issuer

    El campo READY en la salida debe tener un valor de True.

4

Crea un CA ConfigMap

Cree un ConfigMap que contenga su CA. Debe tener dos campos, ca-pem y mms-ca.crt, ambos apuntando a tu certificado CA. Reemplaza <CA-certificate> con la ruta a tu certificado CA.

kubectl create cm ca-issuer --from-file=ca-pem=<CA-certificate> \
--from-file=mms-ca.crt=<CA-certificate>
5

Cree certificados para sus recursos de MongoDB

Para proteger un recurso MongoDB con su certificación generada, debe crear certificados tanto para el recurso en sí como para el agente MongoDB.

  1. Cree el certificado de recurso de MongoDB. El siguiente ejemplo supone un conjunto de réplicas llamado my-replica-set con tres miembros:

    Nota

    El spec.issuerRef.name parámetro hace referencia al CA ConfigMap creado previamente.

    apiVersion: cert-manager.io/v1
    kind: Certificate
    metadata:
      name: my-replica-set-certificate
      namespace: mongodb
    spec:
      dnsNames:
      - my-replica-set-0
      - my-replica-set-0.my-replica-set-svc.mongodb.svc.cluster.local
      - my-replica-set-1
      - my-replica-set-1.my-replica-set-svc.mongodb.svc.cluster.local
      - my-replica-set-2
      - my-replica-set-2.my-replica-set-svc.mongodb.svc.cluster.local
      duration: 240h0m0s
      issuerRef:
        name: ca-issuer
      renewBefore: 120h0m0s
      secretName: mdb-my-replica-set-cert
      usages:
      - server auth
      - client auth

    Para clústeres particionados, debes crear un certificado para cada StatefulSet. Para aprender más sobre la configuración de un clúster, consulta Implementar un clúster.

  2. Crea el certificado de MongoDB Agent:

    Nota

    El spec.issuerRef.name parámetro hace referencia al CA ConfigMap creado previamente.

    apiVersion: cert-manager.io/v1
    kind: Certificate
    metadata:
      name: agent-certs
      namespace: mongodb
    spec:
      commonName: automation
      dnsNames:
      - automation
      duration: 240h0m0s
      issuerRef:
        name: ca-issuer
      renewBefore: 120h0m0s
      secretName: mdb-my-replica-set-agent-certs
      usages:
      - digital signature
      - key encipherment
      - client auth
      subject:
        countries:
        - US
        localities:
        - NY
        organizationalUnits:
        - a-1635241837-m5yb81lfnrz
        organizations:
        - cluster.local-agent
        provinces:
        - NY

  3. Crea el recurso de MongoDB:

    Nota

    Si deja el parámetro spec.security.tls.ca sin especificar, se configura a {replica-set}-ca por defecto.

    apiVersion: mongodb.com/v1
    kind: MongoDB
    metadata:
      name: my-replica-set
      namespace: mongodb
    spec:
      type: ReplicaSet
      members: 3
      version: 8.0.0
      opsManager:
        configMapRef:
          name: my-project
      credentials: my-credentials
      security:
        certsSecretPrefix: mdb
        authentication:
          enabled: true
          modes:
          - X509
        tls:
          ca: ca-issuer
          enabled: true
6

Crea certificados para Ops Manager y AppDB con TLS

Para asegurar un recurso de Ops Manager, primero debes crear certificados para Ops Manager y AppDB, luego crear el recurso de Ops Manager.

  1. Crear el certificado de Ops Manager:

    Nota

    El spec.issuerRef.name parámetro hace referencia al CA ConfigMap creado previamente.

    apiVersion: cert-manager.io/v1
    kind: Certificate
    metadata:
      name: cert-for-ops-manager
      namespace: mongodb
    spec:
      dnsNames:
      - om-with-https-svc.mongodb.svc.cluster.local
      duration: 240h0m0s
      issuerRef:
        name: ca-issuer
      renewBefore: 120h0m0s
      secretName: mdb-om-with-https-cert
      usages:
      - server auth
      - client auth

  2. Cree el certificado AppDB:

    Nota

    El spec.issuerRef.name parámetro hace referencia al CA ConfigMap creado previamente.

    apiVersion: cert-manager.io/v1
    kind: Certificate
    metadata:
      name: appdb-om-with-https-db-cert
      namespace: mongodb
    spec:
      dnsNames:
      - om-with-https-db-0
      - om-with-https-db-0.om-with-https-db-svc.mongodb.svc.cluster.local
      - om-with-https-db-1
      - om-with-https-db-1.om-with-https-db-svc.mongodb.svc.cluster.local
      - om-with-https-db-2
      - om-with-https-db-2.om-with-https-db-svc.mongodb.svc.cluster.local
      duration: 240h0m0s
      issuerRef:
        name: ca-issuer
      renewBefore: 120h0m0s
      secretName: appdb-om-with-https-db-cert
      usages:
      - server auth
      - client auth

  3. Cree el recurso Ops Manager:

    apiVersion: mongodb.com/v1
    kind: MongoDBOpsManager
    metadata:
      name: om-with-https
      namespace: mongodb
    spec:
      adminCredentials: ops-manager-admin-secret
      applicationDatabase:
        members: 3
        security:
          certsSecretPrefix: appdb
          tls:
            ca: ca-issuer
        version: 8.0.0-ubi8
      replicas: 1
      security:
        certsSecretPrefix: mdb
        tls:
          ca: ca-issuer

Renovación de certificados

cert-manager renovará los certificados en las siguientes circunstancias:

  • El certificado expira según sus campos spec.duration y spec.renewBefore.

  • Se borra el secreto que contiene un certificado. En este caso, cert-manager recrea el secreto de acuerdo con la configuración de tu recurso personalizado del certificado.

  • Se altera la configuración del recurso personalizado del certificado. En este caso, cert-manager recrea el secreto que contiene el certificado cuando detecta los cambios en su configuración.

Volver

Configurar copia de seguridad del sistema de archivos

Next

Recuperación ante desastres

En esta página