Kubernetes の外部からマルチクラスターリソースへの接続

次の手順では、Kubernetes クラスターの外部から Kubernetes に配置された MongoDBMultiClusterリソースに接続する方法について説明します。

前提条件

互換性のある MongoDB バージョン

MongoDB 4.2.3 以降を実行するデータベースでは、Kubernetes クラスターの外部でそれらにアクセスできます。

Considerations

Readness Probe の上書きの設定

Kubernetes Operator によって配置された MongoDB カスタムリソースへの外部アクセスを必要とするカスタムサービスを作成し、Kubernetes で準備状況検証を使用する場合は、Kubernetes のpublishNotReadyAddresses設定をtrueに設定します。

publishNotReadyAddresses設定は、このサービスのエンドポイントを操作するエージェントが、サービスの準備完了状態を無視する必要があることを示します。publishNotReadyAddresses をtrue に設定すると、サービスをホストしているポッド用に構成された準備状況の動作が上書きされます。

デフォルトでは、 publishNotReadyAddresses設定はfalseに設定されています。この場合、MongoDB KubernetesOperator でカスタムリソースをホストするポッドがCloud Manager またはMongoDB Ops Manager への接続を失うと、これらのポッドに構成された準備状況は失敗します。ただし、 publishNotReadyAddressesの設定をtrueに設定すると、次の効果が生じます。

Kubernetes は、準備状況調査に失敗したサービスをシャットダウンしません。
Kubernetes、これらのエンドポイントのサービスをホストしているポッドの検証で準備ができていないことが示されている場合でも、すべてのエンドポイントが準備ができていると見なされます。
MongoDB のカスタムリソースは、読み取りおよび書込み操作で引き続き使用できます。

Tip

Kubernetes APIリファレンスとの検索publishNotReadyAddresses
ポッドでサービスを使用する場合の DNS
準備状況プロファイルの設定

手順

Kubernetes Operator が配置したレプリカセットに、Kubernetes クラスターの外部からMongoDBMultiClusterリソースを使用して接続するには、次の手順に従います。

マルチ Kubernetes クラスターレプリカセットの配置。

TLS を使用してマルチKubernetes クラスターを保護します。

次の値を指定します。

spec.security.certsSecretPrefix の TLSシークレット
のカスタム CA spec.security.tls.ca証明書。

MongoDB ポッドの外部サービスを作成します。

外部リソースからマルチ Kubernetes クラスター配置に接続するには、 spec.externalAccessを構成します設定:

externalAccess: {}

この設定は、 Kubernetes Operator に対して、マルチ Kubernetes クラスター配置のMongoDBポッド用の外部 LoadBalancer サービスを作成することを指示します。外部サービスは、外部接続のエントリ点を提供します。値なしでこの設定を追加すると、次のデフォルト値を持つ外部サービスが作成されます。

フィールド	値	説明
`Name`	`<pod-name>-svc-external`	外部サービスの名前。この値は変更できません。
`Type`	`LoadBalancer`	外部 LoadBalancer サービスを作成します。
`Port`	`<Port Number>`	`mongod`のポート。
`publishNotReadyAddress`	`true`	ポッドが準備ができていない場合でも DNS レコードが作成されることを指定します。どのデータベースポッドでも`false` に設定しないでください。

オプションとして、サービスに値を追加したり、デフォルト値を上書きしたりする必要がある場合は、次を指定します。

クラウドプロバイダーに固有の注釈（ spec.externalAccess.externalService.annotations）
spec.externalAccess.externalService.spec 内のサービス仕様のオーバーライド。

例、次の設定は外部サービスのデフォルト値を上書きし、 MongoDBポッドを公開する NodePort サービスを作成するようにマルチ Kubernetes クラスター配置を構成します。

externalAccess:
  externalService:
    annotations:
      # cloud-specific annotations for the service
    spec:
      type: NodePort # default is LoadBalancer
      port: 27017
      # you can specify other spec overrides if necessary

Tip

詳細については、 Kubernetesドキュメントの注釈と ServiceSpec を参照してください。

任意: クラスターノードの外部サービスを構成します。

ノードを別のクラウドプロバイダーでホストしている場合など、特定のクラスターノードの設定を構成する必要がある場合は、グローバルspec.externalAccessを上書きできます spec.clusterSpecList.externalAccess.externalServiceを使用した、特定のノードの設定設定。

サービスに値を追加したり、クラスターノードのデフォルト値を上書きしたりするには、次を指定します。

クラスターノードのクラウドプロバイダーに固有の注釈（ spec.clusterSpecList.externalAccess.externalService.annotations）。
spec.clusterSpecList.externalAccess.externalService.spec の、クラスターノードに固有のオーバーライド。

例、次のファイルは、複数の Kubernetes クラスターのMongoDBデプロイを構成して、GKE（Google Kubernetes Engine）とAWS EKS に配置されたクラスターノード向けに複数の Kubernetes クラスターMongoDBデプロイを公開するロードバランサーサービスを作成します。

注意

次の例ではオーバーライドを構成していないため、外部サービスはspec.externalAccessのデフォルト値を使用します。設定。

clusterSpecList:
  - clusterName: gke-cluster-0.mongokubernetes.com
    members: 2
    externalAccess:
      externalService:
        annotations:
          "cloud.google.com/l4-rbs": "enabled"
  - clusterName: eks-cluster-1.mongokubernetes.com
    members: 2
    externalAccess:
      externalService:
        annotations:
          "service.beta.kubernetes.io/aws-load-balancer-type": "external",
          "service.beta.kubernetes.io/aws-load-balancer-nlb-target-type": "instance",
          "service.beta.kubernetes.io/aws-load-balancer-scheme": "internet-facing"

TLS 証明書にサブジェクト代替名を追加します。

各外部DNS名を証明書SANに追加します。

外部サービスを確認します。

各クラスターで次のコマンドを実行して、Kubernetes Operator が配置用の外部サービスを作成したことを確認します。

$ kubectl get services

このコマンドは、次の出力のようなサービスのリストを返します。 Kubernetes Operator は、クラスター内の各データベース<pod-name> <cluster-idx><pod-idx>ポッドに対して、[pod-name]-[cluster-idx]-[pod-idx]-svc-external という名前の外部サービスを作成します。このサービスは、外部サービス仕様で指定した値とオーバーライドに従って構成されます。

NAME                                  TYPE         CLUSTER-IP   EXTERNAL-IP       PORT(S)           AGE
<my-replica-set>-0-0-svc-external   LoadBalancer   10.102.27.116    <lb-ip-or-fqdn>   27017:27017/TCP    8m30s

クラスター構成またはクラウドプロバイダーによっては、LoadBalancer サービスの IP アドレスは外部からアクセス可能な IP アドレスまたはFQDNになります。 IP アドレスまたはFQDNを使用して、外部ドメインからのトラフィックをルーティングできます。

レプリカセットリソースの YAMLファイルを更新します。

spec.connectivity.replicaSetHorizonsのホスト名とポートを、前のステップで作成した外部サービス値に設定します。

正しい外部ホスト名を指定したことを確認します。外部ホスト名は、Kubernetes ワーカーノードのDNS名と一致する必要があります。これらは、Kubernetes クラスター内の任意のノードになります。ポッドが別のノードで実行される場合、Kubernetes ノードは内部ルーティングを使用します。

apiVersion: mongodb.com/v1
 kind: MongoDBMultiCluster
 metadata:
  name: multi-cluster-replica-set
  namespace: mongodb
 spec:
  clusterSpecList:
   - clusterName: e2e.cluster1.example.com
     members: 1
   - clusterName: e2e.cluster2.example.com
     members: 1
   - clusterName: e2e.cluster3.example.com
     members: 1
  connectivity:
   replicaSetHorizons:
   - sample-horizon: web1.example.com:30907
   - sample-horizon: web2.example.com:30907
   - sample-horizon: web3.example.com:30907
  credentials: my-credentials
  duplicateServiceObjects: false
  opsManager:
   configMapRef:
    name: my-project
  persistent: true
  security:
   certsSecretPrefix: clustercert
   tls:
     ca: ca-issuer
  type: ReplicaSet
  version: 8.0.0"

更新されたレプリカセットファイルを適用します。

各クラスターで次のコマンドを実行して、更新されたレプリカセットファイルを適用します。

$ Kubectl apply -f <file_name.yaml>

レプリカセットへの接続をテストします。

開発環境では、レプリカセット内の各ホストに対して、次のコマンドを実行します。

mongosh --host <my-replica-set>/web1.example.com \
      --port 30907
      --ssl \
      --sslAllowInvalidCertificates

注意

本番環境では--sslAllowInvalidCertificatesフラグを使用しないでください。

本番環境では、レプリカセット内の各ホストに対して、クライアントツールまたはアプリケーションに安全に接続するためのTLS証明書とCAを指定します。

mongosh --host <my-replica-set>/web1.example.com \
  --port 30907 \
  --tls \
  --tlsCertificateKeyFile server.pem \
  --tlsCAFile ca-pem

接続が成功すると、次の内容が表示されます。

Enterprise <my-replica-set> [primary]

戻る

リソースにアクセスする

シャーディングされたクラスター