MongoDB.local SF, Jan 15: See the speaker lineup & ship your AI vision faster. Use WEB50 to save 50%
Find out more >
Docs Menu
Docs Home
/ /
カスタム リソース
Docs Home
/
管理
/
Atlas Kubernetes 演算子
/
カスタム リソース
Docs Home
/
管理
/
Atlas Kubernetes 演算子
/
カスタム リソース

AtlasFederatedAuth カスタム リソース

AtlasFederatedAuthカスタム リソースは、Atlas 組織のフェデレーティッド認証を構成します。

AtlasFederatedAuthカスタム リソースを作成すると、Atlas Kubernetes Operator はフェデレーション認証 API リソースを使用してフェデレーションの組織構成を更新します。 組織構成では、組織ロールのマッピングなど、Atlas 組織のフェデレーション設定を指定します。

重要

カスタム リソースはデフォルトでオブジェクトを削除しなくなりました

  • Atlas Kubernetes Operator はカスタムリソース構成ファイルを使用して Atlas 構成を管理しますが、Atlas Kubernetes Operator2.0 以降、 Kubernetesで削除したカスタム リソースは Atlas で削除されなくなりました(デフォルトでは )。代わりに、Atlas Kubernetes Operator は Atlas 内のそれらのリソースの管理を停止します。 例、 Kubernetesで カスタム リソースを削除すると、デフォルトでは、Atlas Kubernetes Operator は AtlasAtlasProject から対応するプロジェクトを自動的に削除しなくなります。この動作の変更は、誤ってまたは予期せずに削除されるのを防ぐことを目的としています。 この動作を Atlas Kubernetes Operator. 以前に使用されていたデフォルトに戻す方法などの詳細については、「2 0新しいデフォルト: Atlas Kubernetes Operator. の削除保護2 0」を参照してください。

    同様に、Atlas Kubernetes Operator を使用してKubernetesの Atlasプロジェクトからチームを削除しても、Atlas Kubernetes Operator は Atlas からチームを削除しません。

  • デフォルトのAtlas 構成値が暗黙的に使用されるのを避けるために、必要な構成の詳細を明示的に定義します。 場合によっては、Atlas のデフォルトを継承すると調整ループが発生し、カスタムリソースがREADY 状態に達しなくなります。 例、含まれている例に示すように、 AtlasDeployment カスタムリソースで必要なオートスケーリング動作を明示的に定義すると、カスタムリソース内の静的インスタンスサイズが、オートスケーリングが有効になっている Atlas 配置に繰り返し適用されないことが保証されます。

    autoScaling:
      diskGB:
        enabled: true
      compute:
        enabled: true
        scaleDownEnabled: true
        minInstanceSize: M30
        maxInstanceSize: M40

このリソースを使用するには、Atlas 組織にリンクされた既存の ID プロバイダー( IdP )が必要です。 詳細については、「 Kubernetes からのフェデレーション認証の活用 」を参照してください。

次の例では、次の操作を実行するAtlasFederatedAuthカスタム リソースを構成します。

apiVersion: atlas.mongodb.com/v1
kind: AtlasFederatedAuth
metadata:
  name: atlas-default-federated-auth
  namespace: mongodb-atlas-system
spec:
  enabled: true
  dataAccessIdentityProviders:
    - 32b6e34b3d91647abb20e7b8
    - 42d8v92k5a34184rnv93f0c1
  connectionSecretRef:
    name: my-org-secret
    namespace: mongodb-atlas-system
  domainAllowList:
    - my-org-domain.com
  domainRestrictionEnabled: true
  ssoDebugEnabled: false
  postAuthRoleGrants:
    - ORG_MEMBER
  roleMappings:
    - externalGroupName: org-admin
      roleAssignments:
        - role: ORG_OWNER
    - externalGroupName: dev-team
      roleAssignments:
        - role: ORG_GROUP_CREATOR
        - projectName: dev-project
          role: GROUP_OWNER
status:
  conditions:
    - type: Ready
      status: True
    - type: RolesReady
      status: True
    - type: UsersReady
      status: True

注意

前の例には、更新プロセスを説明するstatusセクションが含まれています。 詳しくは、「プロセスの作成と更新 」を参照してください。

パラメーター

AtlasFederatedAuth

AtlasFederatedAuth は、Atlasフェデレーティッド認証APIのスキーマです

Name
タイプ
説明
必須

apiVersion

string

atlas.mongodb.com/v1

true

kind

string

AtlasFederatedAuth

true

metadata

オブジェクト

metadataフィールドのフィールドについては、 Kubernetes API のドキュメントを参照してください。

true

spec

オブジェクト

AtlasFederatedAuthSpec は、AtlasFederatedAuth のターゲット状態を定義します。

false

status

オブジェクト

AtlasFederatedAuthStatus は、AtlasFederatedAuth の監視された状態を定義します。

false

AtlasFederatedAuth.spec

AtlasFederatedAuthSpec は、AtlasFederatedAuth のターゲット状態を定義します。

Name
タイプ
説明
必須

connectionSecretRef

オブジェクト

フェデレーションを構成するための API 認証情報を持つ接続シークレット。これらの認証情報には OrganizationOwner 権限が必要です。

false

dataAccessIdentityProviders

[]string

この組織内のデータアクセスに使用できる IdP を表す一意な ID のコレクション。このフィールドに欠落している現在接続されているデータアクセスIdPは切断されます。

false

domainAllowList

[]string

メールアドレスに基づいて組織に参加できるユーザーを制限する承認済みドメイン。

false

domainRestrictionEnabled

ブール値

フェデレーション内のユーザーがフェデレーション外の組織にアクセスしたり、新しい組織を作成したりするようにします。このオプションはフェデレーション全体に適用されます。詳細については、 https://www.mongodb.com/ja-jp/docs/atlas/security/federation-advanced-options/#restrict-user-membership-to-the-federation を参照してください。デフォルト: false

false

enabled

ブール値

デフォルト: false

false

postAuthRoleGrants

[]string

認証後にこの組織内のユーザーに付与される Atlas ロール。

false

roleMappings

[]オブジェクト

IDP グループを Atlas ロールにマッピングします。

false

ssoDebugEnabled

ブール値

デフォルト: false

false

AtlasFederatedAuth.spec. connectionSecretRef

フェデレーションを構成するためのAPI認証情報との接続シークレット。これらの認証情報には組織所有者の権限が必要です。

Name
タイプ
説明
必須

name

string

Kubernetesリソースの名前

true

namespace

string

Kubernetesリソースの名前空間

false

AtlasFederatedAuth.spec.roleMappings

roleMapping は、IdPからの外部グループを Atlas 内のロールにマッピングします。

Name
タイプ
説明
必須

externalGroupName

string

ExternalGroupName は、このマッピングが適用される IDP グループの名前です。

false

roleAssignments

[]オブジェクト

RoleAssignments グループのメンバーに付与するプロジェクト内のロールを定義します。

false

AtlasFederatedAuth.spec.roleMappings.roleAssignments

Name
タイプ
説明
必須

projectName

string

ロールを付与する必要がある組織のAtlasプロジェクト。

false

role

列挙

グループ メンバーに付与する必要がある role の Atlas ノード。列挙: ORG_MEMBERORG_READ_ONLYORG_BILLING_ADMINORG_GROUP_CREATORORG_OWNERORG_BILLING_READ_ONLYGROUP_OWNERGROUP_READ_ONLYGROUP_DATA_ACCESS_ADMINGROUP_DATA_ACCESS_READ_ONLYGROUP_DATA_ACCESS_READ_WRITEGROUP_CLUSTER_MANAGERGROUP_SEARCH_INDEX_EDITORGROUP_DATABASE_ACCESS_ADMINGROUP_BACKUP_MANAGERGROUP_STREAM_PROCESSING_OWNERORG_STREAM_PROCESSING_ADMINGROUP_OBSERVABILITY_VIEWER

false

AtlasFederatedAuth.status

AtlasFederatedAuthStatus は、AtlasFederatedAuth の監視された状態を定義します。

Name
タイプ
説明
必須

conditions

[]オブジェクト

条件は、Atlas カスタム リソースの現在の状態を示すステータスのリストです

true

observedGeneration

integer

ObservedGeneration は、Atlas 演算子が認識しているリソース仕様の生成を示します。Atlas 演算子は、このフィールドを「メタデータ.generate 」の値に更新します。が、リソースの調整を開始するとすぐに 表示されます。形式: int64

false

AtlasFederatedAuth.status.条件

条件 は、 特定の点における Atlas カスタム リソースの状態を表します。

Name
タイプ
説明
必須

status

string

条件のステータス。 True、False、Unknown のいずれか 1 つ。

true

type

string

Atlas カスタム リソース条件のタイプ。

true

lastTransitionTime

string

条件があるステータスから別のステータスに最後に移行した時刻。ISO 8601形式で表されます。形式: 日時

false

message

string

移行に関する詳細を提供する message

false

reason

string

条件の最後の移行の reason

false

戻る

AtlasDataFederation

次へ

専用移行に柔軟

項目一覧