MongoDB工具 >MongoDB Kubernetes运营商 >部署MongoDB数据库资源 >保护数据库资源 > 使用X.509和TLS的安全内部身份验证
本指南指导您如何配置:
注意
您无法在Kubernetes集群中保护MongoDB的独立实例的安全。
弃用通知
不建议使用Kubernetes Operator 自动生成TLS证书,并且在以后的版本中将删除该证书。
对于生产环境,必须按照以下过程中的说明,从您自己的CA提供证书。
在使用TLS 加密保护任何MongoDB部署安全之前,请完成以下步骤:
在项目级别启用X.509身份验证会将所有代理配置为在与MongoDB部署进行通信时使用X.509客户端身份验证。
X.509客户端身份验证需要以下条件之一:
在使用TLS加密保护副本集之前,请完成以下步骤:
为以下每个组件创建一个PEM文件:
PEM文件用途 | 将文件另存为... |
---|---|
您的自定义CA | ca-pem |
副本集的每个成员 | <metadata.name>-<X>-pem |
您项目的自动化或MongoDB代理 | mms-automation-agent-pem |
项目的备份代理(如果需要) | mms-backup-agent-pem |
项目的监视代理(如果需要) | mms-monitoring-agent-pem |
关于示例文件名
<metadata.name>
为的值
metadata.name
。<Y>
群集替换为从0开始的数字。<X>
为分片或副本集的成员。-pem
和没有 .pem
。这些文件不应具有文件扩展名。要在部署中启用TLS和X.509,请在Kubernetes对象中配置以下设置:
键 | 类型 | 必要性 | 描述 | 例 |
---|---|---|---|---|
串 | 有条件的 | 如果启用了身份验证,则可以启用
X.509内部群集身份验证。可接受的值为 重要 启用内部群集身份验证后,将无法禁用它。 |
X509 |
要检查MongoDB Kubernetes资源的状态,请调用以下命令:
该-w
标志表示“手表”。设置了“监视”标志后,当某些更改发生时,输出将立即刷新,直到状态阶段达到该Running
状态为止。
请参阅对Kubernetes Operator进行故障排除以获取有关资源部署状态的信息。
在使用TLS加密保护分片群集之前,请完成以下步骤:
为以下每个组件创建一个PEM文件:
PEM文件用途 | 将文件另存为... |
---|---|
您的自定义CA | ca-pem |
分片群集中的每个分片 | <metadata.name>-<Y>-<X>-pem |
配置服务器副本集的每个成员 | <metadata.name>-config-<X>-pem |
每 mongos |
<metadata.name>-mongos-<X>-pem |
您项目的自动化或MongoDB代理 | mms-automation-agent-pem |
项目的备份代理(如果需要) | mms-backup-agent-pem |
项目的监视代理(如果需要) | mms-monitoring-agent-pem |
关于示例文件名
<metadata.name>
为的值
metadata.name
。<Y>
群集替换为从0开始的数字。<X>
为分片或副本集的成员。-pem
和没有 .pem
。这些文件不应具有文件扩展名。要在部署中启用TLS和X.509,请在Kubernetes对象中配置以下设置:
键 | 类型 | 必要性 | 描述 | 例 |
---|---|---|---|---|
串 | 有条件的 | 如果启用了身份验证,则可以启用
X.509内部群集身份验证。可接受的值为 重要 启用内部群集身份验证后,将无法禁用它。 |
X509 |
要检查MongoDB Kubernetes资源的状态,请调用以下命令:
该-w
标志表示“手表”。设置了“监视”标志后,当某些更改发生时,输出将立即刷新,直到状态阶段达到该Running
状态为止。
请参阅对Kubernetes Operator进行故障排除以获取有关资源部署状态的信息。