Docs 菜单
Docs 主页
/
MongoDB 阿特拉斯
/

建立网络对等连接

在此页面上

  • 必需的访问权限
  • 配置网络 container
  • 配置 Atlas 网络对等连接
  • 查看 Atlas 网络对等连接
  • 删除一个 Atlas 网络对等互连连接

注意

  • 此功能不适用于 M0免费集群、 M2M5集群。要了解更多信息,请参阅 Atlas M 0 (免费集群)、M 2和 M 5限制。

  • 无服务器实例目前不支持此功能。要了解更多信息,请参阅无服务器实例限制

对于 AWS、Google Cloud 和 Azure 以及多云分片集群上托管的专用集群,Atlas 支持网络对等连接。

网络对等互连可在 Atlas VPC 和云提供商的 VPC 之间建立私有连接。该连接将流量与公共网络隔离以提高安全性。

警告

Atlas 不支持在不同云提供商的单个区域内部署的集群之间 设置“网络对等互联”。 例如,您不能在 AWS 单个区域托管的 Atlas 集群 和 GCP 单个区域托管的应用程序之间 设置“网络对等互联”。

要建立网络对等互连,必须对项目具有 Organization OwnerProject Owner 访问权限。

要配置 Atlas CIDR而不配置网络对等互连,请参阅创建新的网络对等互连容器。您必须使用API在没有网络对等互连的情况下创建容器。

如需使用 Atlas CLI 列出项目的所有网络对等互联容器, 请运行以下命令:

atlas networking containers list [options]

要了解有关命令语法和参数的更多信息,请参阅 Atlas CLI 文档中的 atlas networking containers list

提示

请参阅:相关链接

如需使用 Atlas CLI 删除指定的网络对等互联容器,请运行以下命令:

atlas networking containers delete <containerId> [options]

要了解命令语法和参数详情,请参阅 Atlas CLI 文档中的 atlas networking containers delete。

提示

请参阅:相关链接

要删除网络容器,请参阅删除一个网络对等互连容器。

要配置集群的 Atlas 网络对等互连,请在与集群云提供商对应的标签页上执行该过程。您还可以在此过程中配置 Atlas VPC CIDR

在以下情况下, DNS会将集群的主机名解析为其公共IP地址,而不是其内部IP地址:

  • DNS hostnames 已禁用,

  • DNS resolution 已禁用,并且

  • 用户从对等 VPC 外部访问 Atlas 集群。

要了解有关如何启用这些选项的更多信息,请参阅 更新 VPC 的 DNS 支持。

如果在AWS中部署的应用程序使用自定义DNS服务和与 Atlas 的VPC对等互连,请参阅常见问题解答,了解如何使用私有连接字符串进行连接。

多个区域 Atlas 部署必须针对每个 Atlas 区域设置对等连接。

例如:如果您在悉尼有一个VPC ,并且在悉尼和新加坡有 Atlas 部署,请创建两个对等连接。

在附加到连接到 Atlas 的资源的AWS安全群组上创建以下网络流量规则:

许可
方向
端口
目标
允许
出站
27015 - 27017含)
到您的 Atlas CIDR

要为 AWS 支持的集群配置 Atlas VPC 对等互连,请执行以下操作:

1
  1. 登录您的AWS账户。

  2. 转到 VPC 仪表盘

  3. 打开VPC资源列表。

  4. 选择要与之对等的VPC

  5. 启用 DNS hostnamesDNS resolution

    这些设置可确保应用程序连接到 VPC 中的集群时使用私有 IP 地址。

2

注意

如果使用 Atlas CLI 添加网络对等连接,可以跳过此步骤。

  1. 在 Atlas 中,进入项目的 Network Access 页面。

    1. 如果尚未显示,请从导航栏上的 Organizations 菜单中选择包含项目的组织。

    2. 如果尚未显示,请从导航栏的 Projects 菜单中选择您的项目。

    3. 在侧边栏中,单击Security标题下的Network Access

      显示“网络访问”页面。

  2. Peering 标签页中,单击 Add Peering Connection

3

要使用 Atlas CLI 创建与 AWS 的网络对等连接,请运行以下命令:

atlas networking peering create aws [options]

如需使用 Atlas CLI 观察对等连接是否可用,请运行以下命令:

atlas networking peering watch <peerId> [options]

要进一步了解前面命令的语法和参数,请参阅Atlas CLI 文档中的 atlas networking peering create awsatlas networking peering watch。

提示

请参阅:相关链接

  1. Peering Connection模式中,选择AWS并单击Next 。 Atlas 显示Peering Connection模态。

    重要

    Atlas 不支持将跨区域对等互连 VPC AWS 安全组添加到 IP 访问列表。请改用对等 VPC 的 CIDR 区块。要了解有关此限制的更多信息,请参阅 AWS 文档。

    要了解有关 CIDR 块的更多信息,请参阅 RFC4632 。

  2. 填写 Your Application VPC 部分中的字段。

    字段
    说明
    Account ID

    标识对等 VPC 所有者的 AWS 帐户 ID 的唯一编号。

    要查找您的 AWS Account ID,请点击 Learn More

    VPC ID

    vpc-开头的唯一字符串,用于标识对等VPC

    要查找您的 VPC ID,请点击 Learn More

    VPC CIDR

    AWS VPC 应用程序运行所在网络的CIDR区块或子集。此范围不能与您的Atlas CIDR Block或任何其他网络对等连接VPC CIDR重叠。

    CIDR 区块必须位于以下 私有网络之一:

    lowerBound
    上限
    Prefix
    10.0.0.0
    10.255.255.255
    10/8
    172.16.0.0
    172.31.255.255
    172.16/12
    192.168.0.0
    192.168.255.255
    192.168/16

    要将此 VPC CIDR 块包含在 IP 访问列表中,请单击Add this CIDR block to my IP whitelist 。您可以选择添加与 AWS VPC 关联的安全组

    要了解有关 CIDR 块的更多信息,请参阅 RFC4632 。

    Application VPC Region
    AWS VPC 所在的 AWS 区域。
  1. 填写 Your Atlas VPC 部分中的字段。

    字段
    说明
    Atlas VPC Region

    Atlas VPC 所在的 AWS 区域。如果所选区域没有M10 或更大的集群或 VPC 对等连接,Atlas 会在该区域为 Atlas 项目创建一个 VPC 。

    清除Same as application VPC region以选择与应用程序VPC所在不同的区域。

    VPC CIDR

    Atlas 将此 Atlas CIDR 区块用于项目中创建的所有其他网络对等连接。在以下 /24/21专用网络 之一中,Atlas CIDR 区块必须至少为 ,最多为 。

    lowerBound
    上限
    Prefix
    10.0.0.0
    10.255.255.255
    10/8
    172.16.0.0
    172.31.255.255
    172.16/12
    192.168.0.0
    192.168.255.255
    192.168/16

    如果指定区域内已存在 M10 或更大的集群或“网络对等”连接,则 Atlas 会锁定该区域的此值。

    要修改CIDR区块,目标项目不能具有:

    • 节点位于目标区域内的任何 M10 或更大的集群

    • 目标区域中存储的任何云备份快照

    • 与目标区域的任何其他VPC对等连接

    您还可以创建一个新项目,然后创建一个网络对等连接,为该项目设置所需的 Atlas VPC CIDR区块。

    重要

    Atlas 根据CIDR区块和为项目选择的地区,限制每个网络对等连接的 MongoDB 节点数量。

    例如,某个AWS区域中的项目支持3个可用区和/24个 Atlas CIDR VPC区块,但仅限于相当于27个三节点副本集。

    如果对每个 VPC 的 MongoDB 节点数的 Atlas 限制有任何疑问,请联系 MongoDB 支持部门 。

  2. 单击 Initiate Peering(连接)。

  3. 等待批准对等互连连接请求。

    对等VPC所有者必须批准VPC对等连接请求。确保所有者批准请求。

    Atlas 提供了批准连接请求的说明。

    重要

    请求 7 天后失效。

4
  1. VPC Dashboard 中,单击 Route Tables

  2. 选择您的VPC或子网的路由表。

  3. 单击 Routes 标签页。

  4. 单击 Edit Routes(连接)。

  5. 单击 Add route(连接)。

  6. 将 Atlas VPCCIDR区块添加到Destination列。

  7. 将 AWS 对等连接 ID 添加到 Target 列。

    该值使用前缀 pcx-

  8. 单击 Save(连接)。

    注意

    每个 Atlas 项目最多可有 50 个对等连接。 这个总数最多包括 25 个待处理的对等连接。

    设置完成后,您可以编辑或终止Peering表中的VPC对等互连。

在新的VPC对等可以连接到 Atlas 集群之前,您必须:

  • 找到与项目中配置的 VPC 关联的 VPC CIDR 区块地址(或子集)或安全组。

  • 将至少其中一个CIDR块添加到访问列表。

注意

从 2020 3 月 31 起,Atlas 已移除所有现有和新的 Azure 集群的仅对等连接模式限制。若要了解如何使用这些新功能,请参阅有关 Azure 网络对等互连更改的常见问题解答

要了解创建网络对等连接所需的 Azure 角色,请参阅 Azure 文档。

要为Azure支持的集群配置网络对等互连,请执行以下操作:

1

注意

如果使用 Atlas CLI 添加网络对等连接,可以跳过此步骤。

  1. 在 Atlas 中,进入项目的 Network Access 页面。

    1. 如果尚未显示,请从导航栏上的 Organizations 菜单中选择包含项目的组织。

    2. 如果尚未显示,请从导航栏的 Projects 菜单中选择您的项目。

    3. 在侧边栏中,单击Security标题下的Network Access

      显示“网络访问”页面。

  2. Peering 标签页中,单击 Add Peering Connection

2

重要

对于多区域 Azure 集群,必须从应用程序的区域 VNET 为每个 Atlas 区域创建对等互连。

例如,如果您在悉尼有一个应用程序 VNET,在新加坡有另一个应用程序 VNET,并且在这两个区域都部署了 Atlas 节点,其中主节点部署在悉尼,则除了位于新加坡的 Atlas VNET 以外,还需要将新加坡的应用程序 VNET 与悉尼的 Atlas VNET 交叉对等,以便在新加坡的应用程序与主节点之间建立成功连接。

要配置 Atlas 区域,请填写 Peering Connection 模态窗口中的 Atlas Vnet Region 字段。

要使用 Atlas CLI 创建与 Azure 的网络对等连接,请运行以下命令:

atlas networking peering create azure [options]

如需使用 Atlas CLI 观察对等连接是否可用,请运行以下命令:

atlas networking peering watch <peerId> [options]

要详细了解先前命令的语法和参数,请参阅 Atlas CLI 文档中的 atlas networking peering create azureatlas networking peering watch 部分。

提示

请参阅:相关链接

  1. Peering Connection 模式中,选择 Azure 并单击 Next

  2. 要创建网络对等连接,请填写所需的信息:

    字段
    说明
    Subscription ID
    Azure 订阅的唯一标识符。您可以在 Azure Virtual networks 仪表盘的 Overview 标签页上找到此信息。
    Directory ID
    Azure 目录的唯一标识符。您可以在 Microsoft Entra ID 仪表盘的 Properties 标签页上找到这些信息。
    Resource Group Name
    虚拟网络所属的 Azure 资源组的唯一标识符。您可以在 Azure 虚拟网络的 Overview 标签页上找到此信息。
    VNet Name
    Azure 虚拟网络的名称。你可以在 Virtual networks 仪表盘上找到这些信息。
    Atlas CIDR

    Atlas 集群的CIDR区块。

    Atlas 为项目中创建的所有其他网络对等连接使用指定的 CIDR 区块。如果已存在具有重叠 CIDR 块的对等方,则无法创建对等连接。在以下 /24/21专用网络 之一中,Atlas CIDR 区块必须至少为 ,最大为 。

    lowerBound
    上限
    Prefix
    10.0.0.0
    10.255.255.255
    10 / 1 10
    172.16.0.0
    172.31.255.255
    172.16 / 12
    192.168.0.0
    192.168.255.255
    192.168 / 16

    如果指定区域内已存在 M10 或更大的集群或“网络对等”连接,则 Atlas 会锁定该区域的此值。

    要修改CIDR区块,目标项目不能具有:

    • 节点位于目标区域内的任何 M10 或更大的集群

    • 目标区域中存储的任何云备份快照

    • 与目标区域的任何其他VPC对等连接

    或者,创建一个新项目并创建网络对等连接,为该项目设置所需的 Atlas 网络对等互连CIDR区块。

    重要

    Atlas 根据CIDR区块和为项目选择的地区,限制每个网络对等连接的 MongoDB 节点数量。

    有关每个网络对等互连的 MongoDB 节点的 Atlas 限制的任何问题,请联系 MongoDB 支持

    Atlas VNet Region
    Atlas 集群所在的 Azure 区域。
  3. 单击 Next(连接)。

3

您必须向 Atlas 授予对虚拟网络的以下权限。建立 VNet 对等互连后,您可以撤销这些权限。

  • Microsoft.Network/virtualNetworks/virtualNetworkPeerings/read

  • Microsoft.Network/virtualNetworks/virtualNetworkPeerings/write

  • Microsoft.Network/virtualNetworks/virtualNetworkPeerings/delete

  • Microsoft.Network/virtualNetworks/peer/action

要为 Atlas 授予创建与 Azure 虚拟网络的对等连接的权限,请执行以下操作:

  1. 启动 Azure 控制台。

  2. Peering Connection 模态窗口运行命令以创建服务主体,创建新的自定义角色,并将自定义角色分配给服务主体。

    注意

    运行第一条命令,只为同一 Azure 订阅的所有 Azure VNets 创建一次服务委托。

  3. 单击 Validate(连接)。

  4. 单击 Initiate Peering(连接)。

必须先将与对等 VNet 关联的CIDR区块地址(或子集)添加到白名单中,然后网络对等方才能连接到 Atlas 集群。连接到集群时,必须使用新的私有连接字符串才能利用对等互连。

Atlas VPC对等互连有以下限制:

  • Google Kubernetes Engine (GKE) 支持两种网络模式:基于路由的网络模式和 VPC 原生模式。虽然 VPC 原生 GKE 集群可以连接到 Atlas 集群,但基于路由的 GKE 集群无法通过对等互连连接到 Atlas 集群,因为在创建VPC对等互连时,Atlas 不接受自定义路由。请考虑将公共 IP 支持列表用于基于路由的 GKE 集群。

  • Google App Engine(标准版)、Cloud Functions 和 Cloud Run 无法通过VPC对等连接连接到 Atlas 集群。要通过VPC对等互连进行连接,这些服务需要无服务器VPC访问连接器。

  • 客户端无法使用 Google Cloud VPN(虚拟专用网络)或互连连接到 Atlas 集群,因为在创建VPC对等互连时,Atlas 不接受自定义路由。考虑创建私有端点。

要为 Google Cloud 支持的集群配置 Atlas VPC对等互连,请执行以下操作:

1

注意

如果使用 Atlas CLI 添加网络对等连接,可以跳过此步骤。

在 Atlas 中,进入项目的 Network Access 页面。

  1. 如果尚未显示,请从导航栏上的 Organizations 菜单中选择包含项目的组织。

  2. 如果尚未显示,请从导航栏的 Projects 菜单中选择您的项目。

  3. 在侧边栏中,单击Security标题下的Network Access

    显示“网络访问”页面。

  1. Peering 标签页中,单击 Add Peering Connection

2

注意

由于 Google Cloud 使用全球 VPC,因此您只需创建一个对等连接。

要使用 Atlas CLI 创建与 Google Cloud 的网络对等连接,请运行以下命令:

atlas networking peering create gcp [options]

如需使用 Atlas CLI 观察对等连接是否可用,请运行以下命令:

atlas networking peering watch <peerId> [options]

要详细了解先前命令的语法和参数,请参阅 Atlas CLI 文档中的 atlas networking peering create gcpatlas networking peering watch 部分。

提示

请参阅:相关链接

  1. Peering Connection 模式中,选择 Google Cloud Platform 并单击 Next

  2. 要创建VPC对等互连,请在Peering Connection模式中填写所需的信息:

    字段
    说明
    Project ID
    对等VPC的 Google Cloud 项目 ID。有关查找GCP Project ID的说明,请参阅对话框。
    VPC Name
    对等VPC的名称。有关查找VPC Name的说明,请参阅对话框。
    Atlas CIDR

    Atlas 集群的CIDR区块。

    Atlas 为项目中创建的所有其他网络对等连接使用指定的 CIDR 区块。默认情况下,Atlas CIDR 区块必须至少是以下/18 专用网络 之一中的 。

    lowerBound
    上限
    Prefix
    10.0.0.0
    10.255.255.255
    10 / 1 10
    172.16.0.0
    172.31.255.255
    172.16 / 12
    192.168.0.0
    192.168.255.255
    192.168 / 16

    如果您的应用程序要求 Atlas 使用较小的CIDR区块,请使用 Atlas API创建CIDR区块为/21/24的 Atlas 网络对等互连容器。

    当您选择较小的CIDR区块时,所选CIDR区块的 IP 地址空间将均匀分布在部署网络对等互连容器的 Google Cloud 区域。 Atlas 要求每个区域的CIDR区块为/24 。请参阅下表,了解根据所选CIDR区块可以部署网络对等互连容器的区域数量。

    CIDR区块
    Google Cloud 区域数量
    /21
    -8 1
    /22
    -4 1
    /23
    -2 1
    /24
    1

    重要

    您无法使用 Atlas 用户界面指定小于/18的 Atlas CIDR区块。您必须使用 Atlas API并指定要部署网络对等互连容器的区域(最多 8 个,具体取决于您选择的CIDR区块)。您只能将 Atlas 集群部署到此项目中的这些区域。

    如果该项目中已存在M10或更大的集群或网络对等连接,Atlas 会为所有区域锁定此值。

    要修改CIDR区块,目标项目不能具有:

    • 任何M10或更大的集群

    • 任何其他VPC对等连接

    或者,创建一个新项目并创建网络对等连接,为该项目设置所需的 Atlas 网络对等互连CIDR区块。

    重要

    Atlas 根据CIDR区块和为项目选择的地区,限制每个网络对等连接的 MongoDB 节点数量。

    例如,Atlas VPC CIDR区块为/18的项目被限制为每个 Google Cloud 区域大约有80个三节点副本集。

    如果对每个网络对等连接的 MongoDB 节点的 Atlas 限制有任何疑问,请联系MongoDB 支持部门

  3. 单击 Initiate Peering(连接)。

3
  1. Google Cloud Console 中,单击 VPC network peering

  2. 单击 Create Connection(连接)。

  3. 单击 Continue(连接)。

  4. Name 中,输入对等连接的名称。

  5. Your VPC Network中,输入 Google Cloud VPC网络的名称。

  6. Peered VPC network 中,选择 In another project

  7. Project ID 中,输入你的 Atlas 项目 ID。

    在 Atlas 的VPC对等互连视图中查找此名称。在左侧导航栏的Security部分:

    1. 在 Atlas 中,进入项目的 Network Access 页面。

      1. 如果尚未显示,请从导航栏上的 Organizations 菜单中选择包含项目的组织。

      2. 如果尚未显示,请从导航栏的 Projects 菜单中选择您的项目。

      3. 在侧边栏中,单击Security标题下的Network Access

        显示“网络访问”页面。

    2. 单击 Peering 标签页。

  8. VPC network name中,输入您的 Atlas VPC名称。

    要在 Atlas 的VPC对等互连视图中查找此名称,请执行以下操作:

    1. 在 Atlas 中,进入项目的 Network Access 页面。

      1. 如果尚未显示,请从导航栏上的 Organizations 菜单中选择包含项目的组织。

      2. 如果尚未显示,请从导航栏的 Projects 菜单中选择您的项目。

      3. 在侧边栏中,单击Security标题下的Network Access

        显示“网络访问”页面。

    2. 单击 Peering 标签页。

注意

每个 Atlas 项目最多可有 50 个对等连接。 这个总数最多包括 25 个待处理的对等连接。

您必须先将与对等 VPC 关联的 VPC CIDR 区块地址(或子集)添加到 IP 访问列表 ,然后新的 VPC 对等才能连接到 Atlas 集群。连接到集群时,必须使用新的 私有连接字符串 才能利用对等互连。

提示

另请参阅:

生成具有受限区域集的 Google Cloud 容器后,该项目将被锁定在该区域集内。任何使用其他区域的尝试都会产生类似下面的错误信息:

There are no more regions supported with your existing configuration. Try changing to
a different cluster tier or changing your region configuration.

要解决此错误,请按照以下一般流程操作:

  1. 从 Google Cloud 容器中删除所有集群。

  2. 使用 Atlas Administration API 删除 Google Cloud 容器。请参阅删除一个网络对等互连容器

  3. 使用 Atlas Administration API 创建一个没有限制区域的新 Google Cloud 容器,其 Atlas CIDR 块至少为 /18。请参阅创建新的网络对等互连容器

要返回使用 Atlas CLI 指定的项目的所有的网络对等连接详细信息,请运行以下命令:

atlas networking peering list [options]

要了解有关命令语法和参数的更多信息,请参阅 Atlas CLI 文档中的 atlas networking peering list

提示

请参阅:相关链接

要使用 Atlas 用户界面查看网络对等连接,请执行以下操作:

1
  1. 如果尚未显示,请从导航栏上的 Organizations 菜单中选择包含项目的组织。

  2. 如果尚未显示,请从导航栏的 Projects 菜单中选择您的项目。

  3. 在侧边栏中,单击Security标题下的Network Access

    显示“网络访问”页面。

2

Atlas 显示您的网络对等连接。

如需使用 Atlas CLI 删除指定的网络对等连接,请运行以下命令:

atlas networking peering delete <peerId> [options]

要了解有关命令语法和参数的更多信息,请参阅 Atlas CLI 文档中的 atlas networking peering delete

提示

请参阅:相关链接

要使用 Atlas 用户界面删除网络对等连接,请执行以下操作:

1
  1. 如果尚未显示,请从导航栏上的 Organizations 菜单中选择包含项目的组织。

  2. 如果尚未显示,请从导航栏的 Projects 菜单中选择您的项目。

  3. 在侧边栏中,单击Security标题下的Network Access

    显示“网络访问”页面。

2

Atlas 显示您的网络对等连接。

3
  1. 单击要删除的网络对等连接旁边的 TERMINATE

  2. 单击 Yes, Terminate 以确认删除。

后退

IP 访问列表

来年

私有端点