/ /

安全な接続

Docs Home

/ /

複数のKubernetesクラスターでの配置

複数のKubernetesクラスターでの配置

安全な接続

マルチクラスター配置での内部認証に LDAP を使用

MongoDB Enterprise Kubernetes演算子は非推奨です。新しいMongoDB Controls for Kubernetes Operatorが、 MongoDB Enterprise Kubernetes Operator に置き換わります。Kubernetes Operator 用のドライバーの最初のバージョンは、 Enterprise Kubernetes Operatorの v1.33 と機能的に同等です。この変更の詳細と、新しい演算子への移行に関するガイダンスについては、最初の新しいバージョンのリリースノートを参照してください。MongoDB Enterprise Kubernetes Operator の今後のリリースは予定されません。各バージョンは、既存の 1 年間のサポートポリシーに従ってサポートが終了します。継続的なサポートについては、 Kubernetes Operator 用のコントロールに移行してください。

MongoDB Enterpriseは以下をサポートします。

LDAP（Lightweight Directory Access Protocol）サービスへの認証リクエストをプロキシする。
LDAP サーバーへの簡易バインディングと SASL バインディング。 MongoDB Enterprise は、 saslauthdまたはオペレーティングシステムライブラリを介して LDAP サーバーにバインドできます。

詳細については、MongoDB Server ドキュメントの「 LDAP プロキシ認証」および「 LDAP 認証」セクションを参照してください。

Kubernetes Operator を使用して、マルチ Kubernetes クラスター MongoDB 配置に接続するクライアントアプリケーションを認証するためのLDAPを構成できます。このガイドでは、クライアントアプリケーションからマルチ Kubernetes クラスター MongoDB 配置へのLDAP認証を構成する方法について説明します。

Considerations

CustomResourceDefinitions で LDAP を構成するには、 Kubernetes Operator MongoDBリソース仕様のの下のパラメーターとMongoDB Agent に固有のその他のセキュリティspec.security.authentication.ldap LDAP 設定を使用します。このセクションの手順では、必要な設定について説明し、LDAP 構成の例を示します。
セキュリティを向上させるには、 TLS で暗号化されたマルチクラスターのデプロイを検討してください。 TLS による暗号化は任意です。デフォルトでは、LDAP トラフィックはプレーンテキストとして送信されます。つまり、ユーザー名とパスワードがネットワークの攻撃に公開されます。 Microsoft Active Directory などの多くの最新のディレクトリサービスでは、暗号化された接続が必要です。 Kubernetes Operator MongoDB配置で認証リクエストを暗号化するために、TLS 経由で LDAP を使用することを検討してください。

前提条件

TLS暗号化を使用してマルチ Kubernetes クラスター MongoDB 配置を保護する前に、次のタスクを完了してください。

マルチ Kubernetes クラスターレプリカセットに対する LDAP クライアント認証の構成

`MongoDBMultiCluster`LDAP 認証を有効にするには、リソースを更新します。

Kubernetes Operator MongoDB MultiCluster リソース仕様のセキュリティ設定を使用して MongoDB MultiCluster カスタムリソースを更新します。

配置でLDAPを有効にするには、Kubernetes オブジェクトで次の設定を構成します。

キー	の種類と必要性	説明	例
`spec.security` `.authentication.enabled`	ブール値、必須	LDAP 認証を有効にするには、を`true`に設定します。	`true`
`spec.security` `.authentication.ldap.bindQueryUser`	string（必須）	LDAP サーバーに接続するときに MongoDB がバインドする LDAP 識別名を指定します。	`cn=admin,dc=example,dc=org`
`spec.security` `.authentication.ldap.bindQueryPasswordSecretRef`	string（必須）	LDAPサーバーに接続するときにMongoDBがバインドする LDAP バインド識別名のパスワードを含むシークレットの名前を指定します。	`<secret-name>`
`spec.security` `.authentication.ldap.caConfigMapRef.name`	string（任意）	配置の TLS 証明書に署名するために使用したカスタム CA を保存する ConfigMap の名前を追加します。	`<configmap-name>`
`spec.security` `.authentication.ldap.caConfigMapRef.key`	string（任意）	LDAP サーバーの TLS 証明書を検証する CA を保存するフィールド名を追加します。	`<configmap-key>`
`spec.security` `.authentication.ldap.servers`	文字列の配列（必須）	1 つ以上の LDAP サーバーの`hostname:port`の組み合わせのリストを指定します。各サーバーには、個別の行を使用します。	`<example.com:636>`
`spec.security` `.authentication.ldap.transportSecurity`	string（任意）	LDAPS（ TLS経由の LDAP ）を使用するには、を`tls`に設定します。 LDAP サーバーが TLS を受け入れていない場合は、を空白のままにします。この設定を使用するには、データベースリソースを配置するときに TLS を有効にする必要があります。	`tls`
`spec.security` `.authentication.ldap.userToDNMapping`	string（必須）	認証用に指定されたユーザー名を`mongod`または`mongos`にマッピングするマッピングを指定しLDAP 。詳しくは、 security.ldap.userToDNMappingを参照してください。 MongoDB Server ドキュメントの「およびLDAP クエリテンプレート」。	`<match: "(.+)",substitution: "uid={0},ou=groups,dc=example,dc=org">`
`spec.security` `.authentication.modes`	string（必須）	LDAP による認証を有効にするには、を`LDAP`に設定します。	`LDAP`

結果の構成は、次の例のようになります。

security:
 authentication:
   enabled: true
   # Enabled LDAP Authentication Mode
   modes:
     - "LDAP"
     - "SCRAM"
     # LDAP related configuration
   ldap:
   # Specify the hostname:port combination of one or
   # more LDAP servers
     servers:
       - "ldap1.example.com:636"
       - "ldap2.example.com:636"
   # Set to "tls" to use LDAP over TLS. Leave blank if
   # the LDAP server doesn't accept TLS. You must enable TLS when
   # you deploy the multi-cluster resource to use this setting.
   transportSecurity: "tls"
   # If TLS is enabled, add a reference to a ConfigMap that
   # contains a CA certificate that validates the LDAP server's
   # TLS certificate.
   caConfigMapRef:
     name: "<configmap-name>"
     key: "<configmap-entry-key>"
   # Specify the LDAP Distinguished Name to which
   # MongoDB binds when connecting to the LDAP server
   bindQueryUser: "cn=admin,dc=example,dc=org"
   # Specify the password with which MongoDB binds
   # when connecting to an LDAP server. This is a
   # reference to a Secret Kubernetes Object containing
   # one "password" key.
   bindQueryPasswordSecretRef:
     name: "<secret-name>"

LDAP 設定の完全なリストについては、 Kubernetes Operator MongoDB MultiCluster リソース仕様のセキュリティ設定を参照してください。また、LDAP 対応の Kubernetes Operator ユーザー配置で MongoDB Agent ユーザーのspec.security.authentication.agents.automationUserName設定も参照してください。

`MongoDBMultiCluster`リソースがを実行中いることを確認します。

ノードクラスターの場合は、次のコマンドを実行して、MongoDB ポッドが実行状態であることを確認します。
kubectl get pods \ --context=$MDB_CLUSTER_1_FULL_NAME \ --namespace mongodb
kubectl get pods \ --context=$MDB_CLUSTER_2_FULL_NAME \ --namespace mongodb
kubectl get pods \ --context=$MDB_CLUSTER_3_FULL_NAME \ --namespace mongodb
演算子クラスターで次のコマンドを実行し、MongoDBMultiClusterリソースが実行中状態であることを確認します。
kubectl --context=$MDB_CENTRAL_CLUSTER_FULL_NAME \ --namespace mongodb \ get mdbmc multi-replica-set -o yaml -w

マルチクラスター配置での内部認証に LDAP を使用

Considerations

前提条件

マルチ Kubernetes クラスター レプリカセットに対する LDAP クライアント認証の構成

MongoDBMultiClusterLDAP 認証を有効にするには、 リソースを更新します。

MongoDBMultiClusterリソースが を実行中いることを確認します。

マルチ Kubernetes クラスターレプリカセットに対する LDAP クライアント認証の構成

`MongoDBMultiCluster`LDAP 認証を有効にするには、リソースを更新します。

`MongoDBMultiCluster`リソースがを実行中いることを確認します。