MongoDB工具 >MongoDB Kubernetes运营商 >部署MongoDB数据库资源 >管理数据库用户 > 使用X.509身份验证管理数据库用户
Kubernetes Operator支持在启用TLS和X.509内部集群身份验证的情况下运行的部署管理数据库用户。
重要
Kubernetes Operator在其创建的部署中不支持其他身份验证机制。在操作员创建的部署中,您不能使用Ops Manager来执行以下操作:
启用X.509身份验证后,您可以使用Ops Manager界面或CustomResourceDefinition添加X.509用户。
使用下表指导您更改ConfigMap中突出显示的行:
键 | 类型 | 描述 | 例 |
---|---|---|---|
metadata.name |
串 | 数据库用户资源的名称。 资源名称不得超过44个字符。 |
mms-user-1 |
spec.username |
串 | 由Kubernetes CA(Kube CA)签名的x509客户端证书的主题行。 重要 用户名必须符合 RFC 2253 LDAPv3专有名称标准。 要获取X.509证书的主题行,请运行以下命令: |
CN=mms-user,U=My Organizational Unit,O=My Org,L=New York,ST=New York,C=US |
spec.opsManager.configMapRef.name |
串 | 包含将要添加用户的MongoDB数据库的项目的名称。该
spec.cloudManager.configMapRef.name 设置是此设置的别名,可以代替它使用。 |
my-project |
spec.roles.db |
串 | 角色可以作用的数据库。 | admin |
spec.mongodbResourceRef.name |
串 | 与该用户关联的MongoDB资源的名称。 | my-resource |
spec.roles.name |
串 | 授予数据库用户的角色名称。角色名称可以是Cloud Manager或Ops Manager中存在的任何 内置MongoDB角色或 自定义角色。 | readWriteAnyDatabase |
您可以使用以下示例中定义的格式向该用户授予其他角色:
调用以下Kubernetes命令来创建数据库用户:
您可以在Cloud Manager或Ops Manager中查看新创建的用户:
要删除数据库用户,metadata.name
请将用户
ConfigMap中的传递给以下命令: