对于 AI 代理:可在 https://www.mongodb.com/zh-cn/docs/llms.txt 获取文档索引—通过在任何 URL 路径后添加 .md 可获取所有页面的 Markdown 版本。
Docs 菜单
Docs 主页
/ /
安全性
Docs 主页
/
管理
/
Cloud Manager
/
安全性
Docs 主页
/
管理
/
Cloud Manager
/
安全性

防火墙配置

可访问的端口

Cloud Manager 必须能够通过 HTTPHTTPS 连接到用户和 MongoDB 助手。MongoDB 助手必须能够连接到 MongoDB 客户端 MongoDB 数据库。

尽管 Cloud Manager 只要求开放 HTTP(或 HTTPS)和 MongoDB 网络端口以便与用户和数据库进行连接,但防火墙上打开的端口取决于启用的功能:加密、身份验证和监控。

此页面定义了哪些系统需要连接到其他系统上的哪些端口。

Cloud Manager 需要访问以下端口和 IP 地址。

获取所需的IP地址

向Atlas Admin API的 controlPlaneIPAddresses 端点发送 GET请求,以获取Cloud Manager所需的当前控制平面IP地址。 API端点以 CIDR 表示法返回入站和出站控制平面IP地址列表,按云提供商和地区分类,类似于以下内容:

{
  "controlPlane": {
    "inbound": {
      "aws": { // cloud provider
        "us-east-1": [ // region
          "3.92.113.229/32",
          "3.208.110.31/32",
          "107.22.44.69/32"
          ...,
        ],
        ...
       }
     },
     "outbound": {
       "aws": { // cloud provider
         "us-east-1": [ // region
           "3.92.113.229/32",
           "3.208.110.31/32",
           "107.22.44.69/32"
           ...,
         ],
         ...
        }
      }
  },
  "data_federation": {
    "inbound": {},
    "outbound" {}
  },
  "app_services": {
    "inbound": {},
    "outbound" {}
  },
  ...
}

重要

Atlas Admin API使用与控制平面有关的术语 inboundoutbound,而不是与您的网络有关。 因此:

  • outbound您网络的入站规则必须与Atlas Admin API中列出的 CIDR 相匹配。

  • inbound您网络的出站规则必须与Atlas Admin API中列出的 CIDR 相匹配。

下图显示了控制平面和网络的 inboundoutbound 之间的关系:

图表显示控制平面入站反映网络出站,控制平面出站反映网络入站。
点击放大

所需的访问权限:controlPlane.inbound IP地址

controlPlane.inbound 列出进入控制平面的IP地址流量。如果您的网络仅允许向特定IP地址发出出站HTTP请求,则必须允许访问权限controlPlane.inbound 中列出的IP地址,这样MongoDB才能与 Webhook 通信。

使用Atlas Admin API获取Cloud Manager所需的当前IP地址。

您可以选择配置通过 Webhook 发送的警报。 这会将HTTPPOST 请求发送到一个端点,以进行编程处理。如果要将 Webhook 成功传递到指定端点,则必须允许访问权限controlPlane.inbound 中列出的IP地址。

所需的访问权限:controlPlane.outbound IP地址

controlPlane.outbound 列出来自控制平面的IP地址流量。网络的入站HTTP IP解决列表必须允许来自 controlPlane.outbound 中列出的IP地址的访问权限。

使用Atlas Admin API获取Cloud Manager所需的当前IP地址。

这样将使 MongoDB 助手能够对以下主机执行 GETPOST 操作:

  • api-agents.mongodb.com

  • api-backup.mongodb.com

  • api-backup.us-east-1.mongodb.com

  • queryable-backup.us-east-1.mongodb.com

  • restore-backup.us-east-1.mongodb.com

  • real-time-api-agents.mongodb.com

MongoDB 助手通过 443 端口连接至 Cloud Manager。无论是依托云服务提供商还是在自有网络上预配主机,都应该将网络基础设施配置为允许通过 443 端口进行出站连接。

用来下载 MongoDB 二进制文件的域

MongoDB 助手需要对以下域(具体情况取决于您的 MongoDB 版本)进行出站访问,以下载 MongoDB 二进制文件:

MongoDB 版本
访问列表域
IP 范围
服务提供商

Community

fastdl.mongodb.org

CloudFront 的IP范围。

CloudFront 的 IP 范围经常变化。

Amazon CloudFront

Enterprise

downloads.mongodb.com

MongoDB 的定制构建

MongoDB 助手可访问的 URL

用来下载和更新 MongoDB 助手的域

如果限制出站访问,必须向您的 MongoDB 助手授予对如下域的访问权限,才能下载和更新 MongoDB 助手。

访问列表域
IP 范围
服务提供商

s3.amazonaws.com

AWS 的 IP 范围.

AWS 的 IP 范围经常更改。

AWS

网络中所需的端口

一个部署中的所有 MongoDB 进程必须可供此部署中负责管理进程的所有 MongoDB 助手访问。因此,所有 MongoDB 端口都必须对您的网络中为 MongoDB 助手提供服务的每个主机开放。

例子

如果在 270002701727020 上运行 MongoDB 进程,则必须从为 MongoDB 助手提供服务的所有主机打开这三个端口。

后退

Overview

来年

安全连接

在此页面上