Configurar uma integração docert-manager

O MongoDB Enterprise Kubernetes Operator está obsoleto. O novo Operador MongoDB Controladores para Kubernetes substitui o MongoDB Enterprise Kubernetes Operator. A primeira versão dos Controladores para o Operador Kubernetes é funcionalmente equivalente à v1.33 do Enterprise Kubernetes Operator. Para obter mais informações sobre essa alteração e orientações sobre como migrar para o novo Operador, consulte as notas de versão da primeira nova versão. Não haverá versões futuras do MongoDB Enterprise Kubernetes Operator. Cada versão chegará ao fim da vida útil de acordo com a política de suporte de um ano existente. Migre para o Controladores para Operador Kubernetes para obter suporte contínuo.

Ocert-manager simplifica e automatiza o gerenciamento de certificados de segurança para o Kubernetes. O procedimento a seguir descreve como configurar cert-manager o para gerar certificados para recursos do MongoDB Kubernetes Operator.

Procedimento

Crie um segredo de CA.

Observação

As etapas a seguir pressupõem que você já tenha criado uma CA personalizada junto com a chave privada tls.key correspondente e o certificado assinado tls.crt .

Crie um segredo para armazenar seus dados de CA :

apiVersion: v1
kind: Secret
metadata:
  name: ca-key-pair
  namespace: <namespace>
data:
  tls.crt: <your-CA-certificate>
  tls.key: <your-CA-private-key>

Adicione certificados adicionais aos certificados CA personalizados.

Se o certificado TLS do Ops Manager for assinado por uma CA personalizada , o certificado CA também deverá conter certificados adicionais que permitam ao Backup Daemon do Ops Manager baixar binários do MongoDB da Internet. Para criar o(s) certificado(s) TLS, crie um ConfigMap para manter o certificado CA:

Importante

O Kubernetes Operator exige que seu certificado do Ops Manager seja denominado mms-ca.crt no ConfigMap.

Obtenha toda a cadeia de certificados TLS para o Ops Manager em downloads.mongodb.com. O comando openssl a seguir gera o certificado na cadeia para o seu diretório de trabalho atual, no formato .crt :
```
openssl s_client -showcerts -verify 2 \
-connect downloads.mongodb.com:443 -servername downloads.mongodb.com < /dev/null \
| awk '/BEGIN/,/END/{ if(/BEGIN/){a++}; out="cert"a".crt"; print >out}'
```
Concatene o arquivo de certificado da CA para o Ops Manager com toda a cadeia de certificados TLS da downloads.mongodb.com que você obteve na etapa anterior:
```
cat cert2.crt cert3.crt cert4.crt  >> mms-ca.crt
```
Crie o ConfigMap para o Ops Manager:
```
kubectl create configmap om-http-cert-ca --from-file="mms-ca.crt"
```

Configurar um emissor de CA de gerenciamento seguro

Crie um emissor de CA que faça referência ao seu segredo de CA :
```
apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
  name: ca-issuer
  namespace: <namespace>
spec:
  ca:
    secretName: ca-key-pair
```
Verifique se o emissor está pronto:
```
kubectl get issuer ca-issuer
```
O campo READY na saída deve ter um valor de True.

Criar um CA ConfigMap

Crie um ConfigMap contendo seu CA. Ele deve ter dois campos, ca-pem e mms-ca.crt, ambos apontando para o seu certificado CA. Substitua <CA-certificate> pelo caminho para o certificado da CA.

kubectl create cm ca-issuer --from-file=ca-pem=<CA-certificate> \
--from-file=mms-ca.crt=<CA-certificate>

Criar certificados para seus recursos MongoDB

Para proteger um recurso do MongoDB com sua certificação gerada, você deve criar certificados para o próprio recurso e para o MongoDB Agent.

Crie o certificado de recurso MongoDB. O exemplo a seguir pressupõe um nome do conjunto my-replica-set com três membros:

Observação

O parâmetro spec.issuerRef.name faz referência ao CA ConfigMap criado anteriormente.

apiVersion: cert-manager.io/v1
kind: Certificate
metadata:
  name: my-replica-set-certificate
  namespace: mongodb
spec:
  dnsNames:
  - my-replica-set-0
  - my-replica-set-0.my-replica-set-svc.mongodb.svc.cluster.local
  - my-replica-set-1
  - my-replica-set-1.my-replica-set-svc.mongodb.svc.cluster.local
  - my-replica-set-2
  - my-replica-set-2.my-replica-set-svc.mongodb.svc.cluster.local
  duration: 240h0m0s
  issuerRef:
    name: ca-issuer
  renewBefore: 120h0m0s
  secretName: mdb-my-replica-set-cert
  usages:
  - server auth
  - client auth

Para clusters fragmentados, você deve criar um certificado para cada StatefulSet. Para saber mais sobre configuração de cluster fragmentado , consulte Implementar um cluster fragmentado.

Criar o certificado do MongoDB Agent:

Observação

O parâmetro spec.issuerRef.name faz referência ao CA ConfigMap criado anteriormente.

apiVersion: cert-manager.io/v1
kind: Certificate
metadata:
  name: agent-certs
  namespace: mongodb
spec:
  commonName: automation
  dnsNames:
  - automation
  duration: 240h0m0s
  issuerRef:
    name: ca-issuer
  renewBefore: 120h0m0s
  secretName: mdb-my-replica-set-agent-certs
  usages:
  - digital signature
  - key encipherment
  - client auth
  subject:
    countries:
    - US
    localities:
    - NY
    organizationalUnits:
    - a-1635241837-m5yb81lfnrz
    organizations:
    - cluster.local-agent
    provinces:
    - NY

Criar o recurso MongoDB:

Observação

Se você deixar o parâmetro spec.security.tls.ca não especificado, o padrão será {replica-set}-ca.

apiVersion: mongodb.com/v1
kind: MongoDB
metadata:
  name: my-replica-set
  namespace: mongodb
spec:
  type: ReplicaSet
  members: 3
  version: 4.0.4-ent
  opsManager:
    configMapRef:
      name: my-project
  credentials: my-credentials
  security:
    certsSecretPrefix: mdb
    authentication:
      enabled: true
      modes:
      - X509
    tls:
      ca: ca-issuer
      enabled: true

Criar certificados para Ops Manager e AppDB com TLS

Para proteger um recurso do Ops Manager, você deve primeiro criar certificados para o Ops Manager e o AppDB e, em seguida, criar o recurso do Ops Manager.

Criar o certificado do Ops Manager:

Observação

O parâmetro spec.issuerRef.name faz referência ao CA ConfigMap criado anteriormente.

apiVersion: cert-manager.io/v1
kind: Certificate
metadata:
  name: cert-for-ops-manager
  namespace: mongodb
spec:
  dnsNames:
  - om-with-https-svc.mongodb.svc.cluster.local
  duration: 240h0m0s
  issuerRef:
    name: ca-issuer
  renewBefore: 120h0m0s
  secretName: mdb-om-with-https-cert
  usages:
  - server auth
  - client auth

Criar o certificado AppDB:

Observação

O parâmetro spec.issuerRef.name faz referência ao CA ConfigMap criado anteriormente.

apiVersion: cert-manager.io/v1
kind: Certificate
metadata:
  name: appdb-om-with-https-db-cert
  namespace: mongodb
spec:
  dnsNames:
  - om-with-https-db-0
  - om-with-https-db-0.om-with-https-db-svc.mongodb.svc.cluster.local
  - om-with-https-db-1
  - om-with-https-db-1.om-with-https-db-svc.mongodb.svc.cluster.local
  - om-with-https-db-2
  - om-with-https-db-2.om-with-https-db-svc.mongodb.svc.cluster.local
  duration: 240h0m0s
  issuerRef:
    name: ca-issuer
  renewBefore: 120h0m0s
  secretName: appdb-om-with-https-db-cert
  usages:
  - server auth
  - client auth

Criar o recurso do Ops Manager:

apiVersion: mongodb.com/v1
kind: MongoDBOpsManager
metadata:
  name: om-with-https
  namespace: mongodb
spec:
  adminCredentials: ops-manager-admin-secret
  applicationDatabase:
    members: 3
    security:
      certsSecretPrefix: appdb
      tls:
        ca: ca-issuer
    version: 6.0.0-ubi8
  replicas: 1
  security:
    certsSecretPrefix: mdb
    tls:
      ca: ca-issuer

Renovando certificados

o certifique-manager atualizará os certificados nas seguintes circunstâncias:

O certificado expira de acordo com seus campos spec.duration e spec.renewBefore .
Você exclui o segredo que contém um certificado. Nesse caso, o certificado-manager recria o segredo de acordo com a configuração em seu recurso personalizado de certificado.
Você altera a configuração do recurso personalizado do certificado. Nesse caso, o certificado-manager recria o segredo que contém o certificado quando detecta as alterações em sua configuração.

Voltar

Configurar backup do sistema de arquivos

Recuperação de desastres