Atlas 网络对等互连可以在应用程序网络与 Atlas 网络之间为专用集群创建私有连接。此连接通过专用 IP 地址而不是公共互联网路由流量,这有助于隔离应用程序到数据库的流量。Atlas 支持对 AWS、Azure 和 Google Cloud 上的专用集群以及跨多个云提供商的分片集群进行对等互连。与私有端点相比,对等互连允许 Atlas 与云网络之间的私有网络连接,而私有端点则提供更窄范围的私有访问,同时减少了网络信任边界的扩展。
具体的设置要求和限制因云提供商而异,因此,在配置连接之前,您应查看提供商特定的指导。
配置网络对等互连的一个关键部分是提前定义CIDR范围。您的Atlas CIDR 不得与您计划建立对等互连的任何 VPC 重叠,CIDR 大小会影响Atlas在该项目或区域中可以支持的节点和副本集数量。在Atlas中,创建对等互连连接时会自动创建网络容器。在某些情况下,您可能希望与连接分开创建或管理容器。为此,请遵循网络容器管理指南。
注意
MongoDB Atlas责任共担模型定义了MongoDB及其客户在维护安全和弹性数据环境方面的互补职责。在此框架下, MongoDB管理根本的平台的安全性和操作完整性,而客户则负责其特定部署的配置、管理和数据策略。有关安全性和卓越运营之间所有权的详细划分,请参阅责任共担模型。
限制
Atlas 不支持在不同云提供商的单个区域内部署的集群之间设置“网络对等互连”。例如,您不能在 Amazon Web Services 单个区域中托管的 Atlas 集群与 Google Cloud Platform 单个区域中托管的应用程序之间设置网络对等互连。
免费集群(以前称为
M0)和 Flex 集群不支持 VPC 对等互连。要使用私有网络,必须使用专用集群。
Atlas 对等互连的推荐最佳实践
尽早规划 CIDR 范围,最好在区域中部署第一个专用集群之前进行。Atlas CIDR 不得与您计划对等互连的任何 VPC 重叠,并且 CIDR 大小会影响 Atlas 在该项目或区域中可支持的节点和副本集数量。
对等互连网络仅使用 RFC 1918 私有地址。
一个 Atlas 项目最多可有 50 个对等互连连接,其中最多可有 25 个待处理。
如果您想要与 Atlas 的私有网络路径,请使用 VPC 或 VNet 对等互连,但请记住,对等互连比私有端点更多地扩展了网络信任边界。如果最大程度地减少信任边界扩展是首要任务,则私有端点通常更加适合。
将对等互连视为一项最小权限网络设计实践:锁定安全组和网络 ACL,以便 Atlas 不会对您的应用程序网络获取不必要的入站访问权限,并考虑使用中间 VPC,以便仅暴露需要 Atlas 访问权限的组件。
明确连接字符串的选择。在 AWS 中,标准连接字符串通常通过对等互连运行,除非您使用自定义 DNS,否则
-pristring 是可选的。在 Azure 和 Google Cloud 中,使用 Private IP for Peering连接字符串。对于多区域部署,请根据云行为规划对等互连:Amazon Web Services 和 Azure 要求对所涉及的每个 Atlas 区域进行对等互连,而 Google Cloud Platform 使用全局 VPC 并仅需要一个对等互连连接。