Docs 菜单
Docs 主页
/
MongoDB Atlas
/

建立网络对等连接

在此页面上

  • 必需的访问权限
  • 配置网络 container
  • 配置 Atlas 网络对等连接
  • 查看 Atlas 网络对等连接
  • 删除一个 Atlas 网络对等互连连接

注意

此功能不适用于以下任何部署:

  • 无服务器实例

  • M0 集群

  • M2/M5 集群

  • Flex 集群

要学习;了解详情,请参阅 限制。

对于 AWS、Google Cloud 和 Azure 以及多云分片集群上托管的专用集群,Atlas 支持网络对等连接。

网络对等互连可在 Atlas VPC 和云提供商的 VPC 之间建立私有连接。该连接将流量与公共网络隔离以提高安全性。

警告

Atlas 不支持在不同云提供商的单个区域内部署的集群之间 设置“网络对等互联”。 例如,您不能在 AWS 单个区域托管的 Atlas 集群 和 GCP 单个区域托管的应用程序之间 设置“网络对等互联”。

要建立网络对等互连,必须对项目具有 Organization OwnerProject Owner 访问权限。

如需在不配置“网络对等互联”的情况下配置 Atlas CIDR,请参阅 创建新的网络对等互联容器。必须使用 API 在没有网络对等容器的情况下创建容器。

如需使用 Atlas CLI 列出项目的所有网络对等互联容器, 请运行以下命令:

atlas networking containers list [options]

要了解有关命令语法和参数的更多信息,请参阅 Atlas CLI 文档中的 atlas networking containers list

提示

请参阅:相关链接

要查看网络容器,请参阅返回一个项目的所有网络对等互连容器

如需使用 Atlas CLI 删除指定的网络对等互联容器,请运行以下命令:

atlas networking containers delete <containerId> [options]

要了解命令语法和参数详情,请参阅 Atlas CLI 文档中的 atlas networking containers delete。

提示

请参阅:相关链接

要删除网络容器,请参阅删除一个网络对等互连容器。

要配置集群的 Atlas 网络对等互连,请在与集群云提供商对应的标签页上执行该过程。您还可以在此过程中配置 Atlas VPC CIDR

如果出现以下情况,DNS 会将集群的主机名解析为公共 IP 地址,而不是内部 IP 地址:

  • DNS hostnames 已禁用,

  • DNS resolution 已禁用,并且

  • 用户从对等 VPC 外部访问 Atlas 集群。

要了解有关如何启用这些选项的更多信息,请参阅更新 VPC 的 DNS 支持

如果部署在 AWS 中的应用程序使用自定义 DNS 服务和与 Atlas 对等互连的 VPC,请参阅常见问题解答,了解如何使用私有连接字符串进行连接。

多个区域 Atlas 部署必须针对每个 Atlas 区域设置对等连接。

例如:如果您在悉尼配置了 VPC,并在悉尼和新加坡部署了 Atlas,请创建两个对等连接。

在附加到连接到 Atlas 的资源的 AWS 安全群组上创建以下网络流量规则:

许可
方向
端口
目标
允许
出站
27015-27017(含)
到 Atlas CIDR

配置 AWS 支持的集群的 Atlas VPC 对等互连:

1
  1. 登录您的 AWS 帐号。

  2. 转到 VPC 仪表盘

  3. 打开 VPC 资源列表。

  4. 选择要与之对等的 VPC

  5. 启用 DNS hostnamesDNS resolution

    这些设置可确保应用程序连接到 VPC 中的集群时使用私有 IP 地址。

2

注意

如果使用 Atlas CLI 添加网络对等连接,可以跳过此步骤。

  1. 在 Atlas 中,进入项目的 Network Access 页面。

    1. 如果尚未显示,请从导航栏上的 Organizations 菜单中选择包含项目的组织。

    2. 如果尚未显示,请从导航栏的 Projects 菜单中选择您的项目。

    3. 在侧边栏中,单击 Security 标题下的 Network Access

      显示网络访问页面。

  2. Peering 标签页中,单击 Add Peering Connection

3

要使用 Atlas CLI 创建与 AWS 的网络对等连接,请运行以下命令:

atlas networking peering create aws [options]

如需使用 Atlas CLI 观察对等连接是否可用,请运行以下命令:

atlas networking peering watch <peerId> [options]

要进一步了解前面命令的语法和参数,请参阅Atlas CLI 文档中的 atlas networking peering create awsatlas networking peering watch。

提示

请参阅:相关链接

  1. Peering Connection 模式中,选择 AWS 并单击 Next。Atlas 会显示 Peering Connection 模态框。

    重要

    Atlas 不支持将跨区域对等 VPC AWS 安全组添加到 IP 访问列表。相反,使用对等 VPC 的 CIDR 块。要详细了解此限制,请参阅 AWS 文档

    要了解有关 CIDR 区块的更多信息,请参阅 RFC 4632。

  2. 填写 Your Application VPC 部分中的字段。

    字段
    说明
    Account ID

    用于标识对等 VPC 所有者的 AWS 帐户 ID 的唯一编号。

    要查找您的 AWS Account ID,请点击 Learn More

    VPC ID

    vpc- 开头的唯一字符串,用于标识对等互连 VPC

    要查找您的 VPC ID,请点击 Learn More

    VPC CIDR

    AWS VPC 应用程序运行所在网络的 CIDR 区块或子集。此范围不能与您的 Atlas CIDR Block 或任何其他网络对等连接重叠 VPC CIDR

    CIDR 区块必须位于以下专用网络之一:

    lowerBound
    上限
    Prefix
    10.0.0.0
    10.255.255.255
    10/8
    172.16.0.0
    172.31.255.255
    172.16/12
    192.168.0.0
    192.168.255.255
    192.168/16

    要将此 VPC CIDR 区块包含在您的 IP 访问列表中,请单击 Add this CIDR block to my IP whitelist。您可以选择添加与 AWS VPC 关联的安全组

    要了解有关 CIDR 区块的更多信息,请参阅 RFC 4632。

    Application VPC Region
    AWS VPC 所在的 AWS 区域。
  1. 填写 Your Atlas VPC 部分中的字段。

    字段
    说明
    Atlas VPC Region

    Atlas VPC 所在的 AWS 区域。如果所选区域没有 M10 或更大的集群或 VPC 对等连接,则 Atlas 会在该区域为 Atlas 项目创建 VPC

    清除 Same as application VPC region,以选择与应用程序 VPC 所在不同的区域。

    VPC CIDR

    Atlas 将此 Atlas CIDR 区块用于项目中创建的所有其他网络对等连接。Atlas CIDR 区块必须至少是下列私有网络之一中的 /24,最多是 /21

    lowerBound
    上限
    Prefix
    10.0.0.0
    10.255.255.255
    10/8
    172.16.0.0
    172.31.255.255
    172.16/12
    192.168.0.0
    192.168.255.255
    192.168/16

    如果指定区域内已存在 M10 或更大的集群或“网络对等”连接,则 Atlas 会锁定该区域的此值。

    要修改 CIDR 块,目标项目不能具有:

    • 节点位于目标区域内的任何 M10 或更大的集群

    • 目标区域中存储的任何云备份快照

    • 与目标区域的任何其他 VPC 对等连接

    您也可以创建新项目,然后创建网络对等连接,为该项目设置所需的 Atlas VPC CIDR 区块。

    重要提示:Atlas 根据 CIDR 区块和为项目选择的区域,限制每个网络对等连接的 MongoDB 节点数量:

    • 例如,AWS 区域中的项目支持 3 个可用区和 Atlas CIDR VPC 区块 /24,限制为相当于 27 个三节点副本集。

    • 有关每个 VPC 的 MongoDB 节点 Atlas 限制的任何问题,请联系 MongoDB 支持

  2. 单击 Initiate Peering(连接)。

  3. 等待批准对等互连连接请求。

    对等 VPC 所有者必须批准 VPC 对等连接请求。确保所有者批准请求。

    Atlas 提供了批准连接请求的说明。

    重要

    请求 7 天后失效。

4
  1. VPC Dashboard 中,单击 Route Tables

  2. 选择 VPC 或子网的“路由表”。

  3. 单击 Routes 标签页。

  4. 单击 Edit Routes(连接)。

  5. 单击 Add route(连接)。

  6. 将 Atlas VPCCIDR 区块添加到 Destination 列。

  7. 将 AWS 对等连接 ID 添加到 Target 列。

    该值使用前缀 pcx-

  8. 单击 Save(连接)。

    注意

    每个 Atlas 项目最多可有 50 个对等连接。 这个总数最多包括 25 个待处理的对等连接。

    设置完成后,您可以从 Peering 表中编辑或终止 VPC 对等连接。

新的 VPC 对等可以连接到 Atlas 集群之前,您必须:

  • 找到与项目中配置的 VPC 相关联的 VPC CIDR 区块地址(或子集)或安全群组。

  • 访问列表中至少添加其中一个 CIDR 块。

注意

从 2020 3 月 31 起,Atlas 已移除所有现有和新的 Azure 集群的仅对等连接模式限制。若要了解如何使用这些新功能,请参阅有关 Azure 网络对等互连更改的常见问题解答

要了解创建网络对等连接所需的 Azure 角色,请参阅 Azure 文档

要为Azure 支持的集群配置网络对等互连,请执行以下操作:

1

注意

如果使用 Atlas CLI 添加网络对等连接,可以跳过此步骤。

  1. 在 Atlas 中,进入项目的 Network Access 页面。

    1. 如果尚未显示,请从导航栏上的 Organizations 菜单中选择包含项目的组织。

    2. 如果尚未显示,请从导航栏的 Projects 菜单中选择您的项目。

    3. 在侧边栏中,单击 Security 标题下的 Network Access

      显示网络访问页面。

  2. Peering 标签页中,单击 Add Peering Connection

2

重要

对于多区域 Azure 集群,必须从应用程序的区域 VNET 为每个 Atlas 区域创建对等互连。

例如,如果您在悉尼有一个应用程序 VNET,在新加坡有另一个应用程序 VNET,并且在这两个区域都部署了 Atlas 节点,其中主节点部署在悉尼,则除了位于新加坡的 Atlas VNET 以外,还需要将新加坡的应用程序 VNET 与悉尼的 Atlas VNET 交叉对等,以便在新加坡的应用程序与主节点之间建立成功连接。

要配置 Atlas 区域,请填写 Peering Connection 模态窗口中的 Atlas Vnet Region 字段。

要使用 Atlas CLI 创建与 Azure 的网络对等连接,请运行以下命令:

atlas networking peering create azure [options]

如需使用 Atlas CLI 观察对等连接是否可用,请运行以下命令:

atlas networking peering watch <peerId> [options]

要详细了解先前命令的语法和参数,请参阅 Atlas CLI 文档中的 atlas networking peering create azureatlas networking peering watch 部分。

提示

请参阅:相关链接

  1. Peering Connection 模式中,选择 Azure 并单击 Next

  2. 要创建网络对等连接,请填写所需的信息:

    字段
    说明
    Subscription ID
    Azure 订阅的唯一标识符。您可以在 Azure Virtual networks 仪表盘的 Overview 标签页上找到此信息。
    Directory ID
    Azure 目录的唯一标识符。您可以在 Microsoft Entra ID 仪表盘的 Properties 标签页上找到这些信息。
    Resource Group Name
    虚拟网络所属的 Azure 资源组的唯一标识符。您可以在 Azure 虚拟网络的 Overview 标签页上找到此信息。
    VNet Name
    Azure 虚拟网络的名称。你可以在 Virtual networks 仪表盘上找到这些信息。
    Atlas CIDR

    您的 Atlas 集群的 CIDR 块。

    Atlas 将指定的 CIDR 区块用于项目中创建的所有其他网络对等连接。如果已存在具有重叠 CIDR 区块的对等互连,则无法创建对等连接。Atlas CIDR 区块必须至少是下列私有网络之一中的 /24,最多是 /21

    lowerBound
    上限
    Prefix
    10.0.0.0
    10.255.255.255
    10/8
    172.16.0.0
    172.31.255.255
    172.16 / 12
    192.168.0.0
    192.168.255.255
    192.168 / 16

    如果指定区域内已存在 M10 或更大的集群或“网络对等”连接,则 Atlas 会锁定该区域的此值。

    要修改 CIDR 块,目标项目不能具有:

    • 节点位于目标区域内的任何 M10 或更大的集群

    • 目标区域中存储的任何云备份快照

    • 与目标区域的任何其他 VPC 对等连接

    或者,创建新项目并创建网络对等连接,为该项目设置所需的 Atlas 网络对等互连 CIDR 区块。

    重要提示:Atlas 根据 CIDR 区块和为项目选择的地区,限制每个网络对等连接的 MongoDB 节点数量。有关每个 VPC 的 MongoDB 节点 Atlas 限制的任何问题,请联系 MongoDB 支持。

    Atlas VNet Region
    Atlas 集群所在的 Azure 区域。
  3. 单击 Next(连接)。

3

您必须向 Atlas 授予对虚拟网络的以下权限。建立 VNet 对等互连后,您可以撤销这些权限。

  • Microsoft.Network/virtualNetworks/virtualNetworkPeerings/read

  • Microsoft.Network/virtualNetworks/virtualNetworkPeerings/write

  • Microsoft.Network/virtualNetworks/virtualNetworkPeerings/delete

  • Microsoft.Network/virtualNetworks/peer/action

要为 Atlas 授予创建与 Azure 虚拟网络的对等连接的权限,请执行以下操作:

  1. 启动 Azure 控制台。

  2. Peering Connection 模态窗口运行命令以创建服务主体,创建新的自定义角色,并将自定义角色分配给服务主体。

    注意

    运行第一条命令,只为同一 Azure 订阅的所有 Azure VNets 创建一次服务委托。

  3. 单击 Validate(连接)。

  4. 单击 Initiate Peering(连接)。

您必须将与对等 VNet 关联的 CIDR 块地址(或子集)添加到 白名单,网络对等方才可连接到 Atlas 集群。连接到集群时,必须使用新的私有连接字符串才能利用对等互连。

VPC 对等连接 Atlas 具有以下限制:

  • Google Kubernetes Engine (GKE) 支持两种网络模式:基于路由的网络模式和 VPC 原生模式。虽然 VPC 原生 GKE 集群可以连接到 Atlas 集群,但基于路由的 GKE 集群无法通过对等互连连接到 Atlas 集群,因为在创建 VPC 对等连接时,Atlas 不接受自定义路由。请考虑将公共 IP 支持列表用于基于路由的 GKE 集群。

  • Google App Engine(标准版)、Cloud Functions 和 Cloud Run 无法通过 VPC 对等通道连接到 Atlas 集群。要通过 VPC 对等通道进行连接,这些服务需要无服务器 VPC Access connector。

  • 客户端无法通过 Google Cloud VPN(虚拟专用网络)或 Interconnect 连接到 Atlas 集群,因为在创建 VPC 对等连接时,Atlas 不接受自定义路由。考虑创建私有端点。

要为 Google Cloud 支持的集群配置 Atlas VPC 对等互连:

1

注意

如果使用 Atlas CLI 添加网络对等连接,可以跳过此步骤。

在 Atlas 中,进入项目的 Network Access 页面。

  1. 如果尚未显示,请从导航栏上的 Organizations 菜单中选择包含项目的组织。

  2. 如果尚未显示,请从导航栏的 Projects 菜单中选择您的项目。

  3. 在侧边栏中,单击 Security 标题下的 Network Access

    显示网络访问页面。

  1. Peering 标签页中,单击 Add Peering Connection

2

注意

由于 Google Cloud 使用全球 VPC,因此您只需创建一个对等连接。

要使用 Atlas CLI 创建与 Google Cloud 的网络对等连接,请运行以下命令:

atlas networking peering create gcp [options]

如需使用 Atlas CLI 观察对等连接是否可用,请运行以下命令:

atlas networking peering watch <peerId> [options]

要详细了解先前命令的语法和参数,请参阅 Atlas CLI 文档中的 atlas networking peering create gcpatlas networking peering watch 部分。

提示

请参阅:相关链接

  1. Peering Connection 模式中,选择 Google Cloud Platform 并单击 Next

  2. 要创建 VPC 对等连接,请在 Peering Connection 模态中填写所需信息:

    字段
    说明
    Project ID
    对等 VPC 的 Google Cloud 项目 ID。有关查找 GCP Project ID 的说明,请参阅对话框。
    VPC Name
    对等 VPC 的名称。有关查找 VPC Name 的说明,请参阅对话框。
    Atlas CIDR

    您的 Atlas 集群的 CIDR 块。

    Atlas 将指定的 CIDR 区块用于项目中创建的所有其他网络对等连接。默认情况下,Atlas CIDR 区块必须至少是以下专用网络之一中的 /18

    lowerBound
    上限
    Prefix
    10.0.0.0
    10.255.255.255
    10/8
    172.16.0.0
    172.31.255.255
    172.16 / 12
    192.168.0.0
    192.168.255.255
    192.168 / 16

    如果应用程序要求 Atlas 使用较小的 CIDR 区块,请使用 Atlas API 创建 CIDR 区块为 /21/24 的 Atlas 网络对等互连容器。

    选择较小的 CIDR 区块时,所选 CIDR 区块的 IP 地址空间会平均分配到部署网络对等互连容器的 Google Cloud 区域。Atlas 要求每个区域都有一个 /24CIDR 区块。请参阅下表,了解根据您选择的 CIDR 区块可以部署网络对等容器的区域数量。

    CIDR 区块
    Google Cloud 区域数量
    /21
    1 - 8
    /22
    1 - 4
    /23
    1 - 2
    /24
    1

    重要:不能使用 Atlas 用户界面指定小于 /18 的 AtlasCIDR块。 您必须使用 AtlasAPI并指定要部署网络对等互联容器的区域(根据您选择的CIDR块,最多八个)。 您只能将Atlas集群部署到此项目中的这些区域。

    如果此项目中已存在 M10 或更大的集群或网络对等连接,Atlas 会锁定所有区域的此值。

    要修改 CIDR 块,目标项目不能具有:

    • 任何 M10 或更大的集群

    • 任何其他 VPC 对等连接

    或者,创建新项目并创建网络对等连接,为该项目设置所需的 Atlas 网络对等互连 CIDR 区块。

    重要提示:Atlas 根据 CIDR 区块和为项目选择的地区,限制每个网络对等连接的 MongoDB 节点数量。例如,一个 Atlas VPC CIDR 区块为 /18 的项目,每个 Google Cloud 区域只能有大约 80 个三节点副本集。有关每个网络对等互连连接的 MongoDB 节点的 Atlas 限制的任何问题,请联系 MongoDB 支持

  3. 单击 Initiate Peering(连接)。

3
  1. Google Cloud Console 中,单击 VPC network peering

  2. 单击 Create Connection(连接)。

  3. 单击 Continue(连接)。

  4. Name 中,输入对等连接的名称。

  5. Your VPC Network 中,输入您的 Google Cloud VPC 网络的名称。

  6. Peered VPC network 中,选择 In another project

  7. Project ID 中,输入你的 Atlas 项目 ID。

    您可以在 Atlas 的 VPC 对等互连视图中找到此名称。在左侧导航栏的 Security 部分:

    1. 在 Atlas 中,进入项目的 Network Access 页面。

      1. 如果尚未显示,请从导航栏上的 Organizations 菜单中选择包含项目的组织。

      2. 如果尚未显示,请从导航栏的 Projects 菜单中选择您的项目。

      3. 在侧边栏中,单击 Security 标题下的 Network Access

        显示网络访问页面。

    2. 单击 Peering 标签页。

  8. VPC network name 中,输入您的 Atlas VPC 名称。

    在 Atlas 的 VPC 对等互连视图中找到此名称:

    1. 在 Atlas 中,进入项目的 Network Access 页面。

      1. 如果尚未显示,请从导航栏上的 Organizations 菜单中选择包含项目的组织。

      2. 如果尚未显示,请从导航栏的 Projects 菜单中选择您的项目。

      3. 在侧边栏中,单击 Security 标题下的 Network Access

        显示网络访问页面。

    2. 单击 Peering 标签页。

注意

每个 Atlas 项目最多可有 50 个对等连接。 这个总数最多包括 25 个待处理的对等连接。

您必须将与对等 VPC 关联的 VPC CIDR 块地址(或子集)添加到 IP 访问列表,新的 VPC 对等方才可连接到 Atlas 集群。连接到集群时,必须使用新的私有连接字符串才能利用对等互连。

提示

另请参阅:

生成具有受限区域集的 Google Cloud 容器后,该项目将被锁定在该区域集内。任何使用其他区域的尝试都会产生类似下面的错误信息:

There are no more regions supported with your existing configuration. Try changing to
a different cluster tier or changing your region configuration.

要解决此错误,请按照以下一般流程操作:

  1. 从 Google Cloud 容器中删除所有集群。

  2. 使用 Atlas Administration API 删除 Google Cloud 容器。请参阅删除一个网络对等互连容器

  3. 使用 Atlas Administration API 创建一个没有限制区域的新 Google Cloud 容器,其 Atlas CIDR 块至少为 /18。请参阅创建新的网络对等互连容器

要返回使用 Atlas CLI 指定的项目的所有的网络对等连接详细信息,请运行以下命令:

atlas networking peering list [options]

要了解有关命令语法和参数的更多信息,请参阅 Atlas CLI 文档中的 atlas networking peering list

提示

请参阅:相关链接

要使用 Atlas 用户界面查看网络对等连接,请执行以下操作:

1
  1. 如果尚未显示,请从导航栏上的 Organizations 菜单中选择包含项目的组织。

  2. 如果尚未显示,请从导航栏的 Projects 菜单中选择您的项目。

  3. 在侧边栏中,单击 Security 标题下的 Network Access

    显示网络访问页面。

2

Atlas 显示您的网络对等连接。

如需使用 Atlas CLI 删除指定的网络对等连接,请运行以下命令:

atlas networking peering delete <peerId> [options]

要了解有关命令语法和参数的更多信息,请参阅 Atlas CLI 文档中的 atlas networking peering delete

提示

请参阅:相关链接

要使用 Atlas UI 删除网络对等互连,请执行以下操作:

1
  1. 如果尚未显示,请从导航栏上的 Organizations 菜单中选择包含项目的组织。

  2. 如果尚未显示,请从导航栏的 Projects 菜单中选择您的项目。

  3. 在侧边栏中,单击 Security 标题下的 Network Access

    显示网络访问页面。

2

Atlas 显示您的网络对等连接。

3
  1. 单击要删除的网络对等连接旁边的 TERMINATE

  2. 单击 Yes, Terminate 以确认删除。

后退

IP 访问列表