使用TLS进行安全部署

MongoDB 工具

MongoDB工具 >MongoDB Kubernetes运营商 >部署MongoDB数据库资源 >保护数据库资源 > 使用TLS进行安全部署

在本页面

一般先决条件
为副本集配置TLS
- 先决条件
- 程序
为分片群集配置TLS
- 先决条件
- 程序

MongoDB Enterprise Kubernetes Operator可以使用TLS证书来加密以下之间的连接：

副本集或分片群集中的MongoDB主机
客户端应用程序和MongoDB部署

注意

您无法在Kubernetes集群中保护MongoDB的独立实例的安全。

本指南指导您如何配置Kubernetes Operator将MongoDB实例使用 TLS。

弃用通知

不建议使用Kubernetes Operator 自动生成TLS证书，并且在以后的版本中将删除该证书。

对于生产环境，必须按照以下过程中的说明，从您自己的CA提供证书。

一般先决条件¶

在使用TLS加密保护MongoDB部署安全之前，请完成以下步骤：

为副本集配置TLS¶

前提条件¶

在使用TLS加密保护副本集之前，请完成以下步骤：

部署要保护的副本集

为以下每个组件创建一个PEM文件：

PEM文件用途将文件另存为...

您的自定义CA ca-pem

副本集的每个成员 <metadata.name>-<X>-pem

要创建PEM文件，请连接TLS证书和私钥。PEM文件的示例类似于：
复制
```
-----BEGIN CERTIFICATE-----
...
... your TLS certificate
...
-----END CERTIFICATE-----
-----BEGIN RSA PRIVATE KEY-----
...
... your private key
...
-----END RSA PRIVATE KEY----
```
关于示例文件名
- 用提供的确切名称命名这些文件，并替换适当的变量。如果文件名不匹配，则会发生部署错误。
  - 在部署资源中替换<metadata.name>为的值 metadata.name。
  - 将分片<Y>群集替换为从0开始的数字。
  - 替换<X>为分片或副本集的成员。
- 结束PEM文件与-pem和没有 .pem。这些文件不应具有文件扩展名。

程序¶

1个

配置`kubectl`默认为您的名称空间。¶

如果尚未安装，请运行以下命令以执行创建kubectl的名称空间中的所有命令：

复制

kubectl config set-context $(kubectl config current-context) --namespace=<namespace>

为您的TLS证书创建密钥。¶

运行以下kubectl命令以创建存储副本集证书的密码：

复制

kubectl create secret generic <metadata.name>-cert \
  --from-file=<metadata.name>-0-pem \
  --from-file=<metadata.name>-1-pem \
  --from-file=<metadata.name>-2-pem

本示例涵盖一个三成员副本集。如果您有三个以上的成员，则可以使用--from-file选项将其添加到证书中。

创建ConfigMap以将您的CA与您的部署链接。¶

运行以下kubectl命令以将CA链接到副本集：

复制

kubectl create configmap custom-ca --from-file=ca-pem

复制此副本集资源的突出显示部分。¶

更改此YAML文件的突出显示的设置，以匹配所需的副本集配置。

---
apiVersion: mongodb.com/v1
kind: MongoDB
metadata:
  name: <my-replica-set>
spec:
  members: 3
  version: 4.2.2-ent
  opsManager:
    configMapRef:
      name: <configMap.metadata.name>
            # Must match metadata.name in ConfigMap file
  credentials: <mycredentials>
  type: ReplicaSet
  persistent: true

复制

  security:
    tls:
      enabled: true
      ca: <custom-ca>
...

将复制的示例部分粘贴到现有副本集资源中。¶

打开您首选的文本编辑器，然后在该部分的资源文件末尾粘贴对象规范spec。

使用自定义证书颁发机构为副本集资源配置TLS设置。¶

要在部署中启用TLS，请在Kubernetes对象中配置以下设置：

键	类型	必要性	描述	例
`spec.security` `.tls.enabled`	布尔值	可选的	如果该值为`true`，则在MongoDB部署上启用TLS。默认情况下，Kubernetes Operator要求主机使用并接受TLS加密连接。	`true`
`spec.security` `.tls.ca`	串	可选的	如果您使用自定义的CA，并创建了秘密，存储，添加了秘密的名字。	`<custom-ca>`

保存您的副本集配置文件。¶

将所做的更改应用于副本集部署。¶

调用以下Kubernetes命令以更新您的副本集：

复制

kubectl apply -f <replica-set-conf>.yaml

跟踪部署状态。¶

要检查MongoDB Kubernetes资源的状态，请调用以下命令：

复制

kubectl get mdb <resource-name> -o yaml -w

该-w标志表示“手表”。设置了“监视”标志后，当某些更改发生时，输出将立即刷新，直到状态阶段达到该Running状态为止。

请参阅对Kubernetes Operator进行故障排除以获取有关资源部署状态的信息。

配置TLS用于分片群集¶

前提条件¶

在使用TLS加密保护副本集之前，请完成以下步骤：

部署要保护的分片群集

为以下每个组件创建一个PEM文件：

PEM文件用途	将文件另存为...
您的自定义CA	`ca-pem`
分片群集中的每个分片	`<metadata.name>-<Y>-<X>-pem`
配置服务器副本集的每个成员	`<metadata.name>-config-<X>-pem`
每 `mongos`	`<metadata.name>-mongos-<X>-pem`

关于示例文件名

用提供的确切名称命名这些文件，并替换适当的变量。如果文件名不匹配，则会发生部署错误。
- 在部署资源中替换<metadata.name>为的值 metadata.name。
- 将分片<Y>群集替换为从0开始的数字。
- 替换<X>为分片或副本集的成员。
结束PEM文件与-pem和没有 .pem。这些文件不应具有文件扩展名。

程序¶

1个

配置`kubectl`默认为您的名称空间。¶

如果尚未安装，请运行以下命令以执行创建kubectl的名称空间中的所有命令：

复制

kubectl config set-context $(kubectl config current-context) --namespace=<namespace>

为碎片的TLS证书创建密钥。¶

运行以下kubectl命令以创建存储分片群集分片证书的密钥：

复制

kubectl -n mongodb create secret generic <metadata.name>-0-cert \
       --from-file=<metadata.name>-0-0-pem \
       --from-file=<metadata.name>-0-1-pem \
       --from-file=<metadata.name>-0-2-pem \
       --from-file=<metadata.name>-0-3-pem \
       --from-file=<metadata.name>-0-4-pem

kubectl -n mongodb create secret generic <metadata.name>-1-cert \
       --from-file=<metadata.name>-1-0-pem \
       --from-file=<metadata.name>-1-1-pem \
       --from-file=<metadata.name>-1-2-pem \
       --from-file=<metadata.name>-1-3-pem \
       --from-file=<metadata.name>-1-4-pem

此示例涵盖了一个具有两个分片的分片集群，每个分片具有五个成员。如果您有两个以上的分片或每个分片五个成员，则可以使用--from-file选项将它们添加到证书中。

为配置服务器的TLS证书创建密码。¶

运行以下kubectl命令以创建存储分片群集配置服务器证书的密码：

复制

kubectl -n mongodb create secret generic <metadata.name>-config-cert \
       --from-file=<metadata.name>-config-0-pem \
       --from-file=<metadata.name>-config-1-pem \
       --from-file=<metadata.name>-config-2-pem

为您的mongos服务器的TLS证书创建密钥。¶

运行以下kubectl命令以创建存储分片群集证书的机密 mongos：

复制

kubectl -n mongodb create secret generic <metadata.name>-mongos-cert \
       --from-file=<metadata.name>-mongos-0-pem \
       --from-file=<metadata.name>-mongos-1-pem \
       --from-file=<metadata.name>-mongos-2-pem

创建ConfigMap以将您的CA与您的部署链接。¶

运行以下kubectl命令以将CA链接到副本集：

复制

kubectl create configmap custom-ca --from-file=ca-pem

复制此分片群集资源的突出显示部分。¶

更改此YAML文件的突出显示的设置以匹配所需的分片群集配置。

---
apiVersion: mongodb.com/v1
kind: MongoDB
metadata:
  name: <my-sharded-cluster>
spec:
  shardCount: 2
  mongodsPerShardCount: 3
  mongosCount: 2
  configServerCount: 3
  version: 4.2.2-ent
  opsManager:
    configMapRef:
      name: <configMap.metadata.name>
            # Must match metadata.name in ConfigMap file
  credentials: <mycredentials>
  type: ShardedCluster
  persistent: true

复制

  security:
    tls:
      enabled: true
      ca: <custom-ca>
...

将复制的示例部分粘贴到现有的分片群集资源中。¶

打开您首选的文本编辑器，然后在该部分的资源文件末尾粘贴对象规范spec。

使用自定义证书颁发机构为分片群集资源配置TLS设置。¶

要在部署中启用TLS，请在Kubernetes对象中配置以下设置：

键	类型	必要性	描述	例
`spec.security` `.tls.enabled`	布尔值	可选的	如果该值为`true`，则在MongoDB部署上启用TLS。默认情况下，Kubernetes Operator要求主机使用并接受TLS加密连接。	`true`
`spec.security` `.tls.ca`	串	可选的	如果您使用自定义的CA，并创建了秘密，存储，添加了秘密的名字。	`<custom-ca>`

保存分片集群配置文件。¶

更新并重新启动分片群集部署。¶

调用以下Kubernetes命令来更新并重新启动分片集群：

复制

kubectl apply -f <sharded-cluster-conf>.yaml

跟踪部署状态。¶

要检查MongoDB Kubernetes资源的状态，请调用以下命令：

复制

kubectl get mdb <resource-name> -o yaml -w

该-w标志表示“手表”。设置了“监视”标志后，当某些更改发生时，输出将立即刷新，直到状态阶段达到该Running状态为止。

请参阅对Kubernetes Operator进行故障排除以获取有关资源部署状态的信息。

PEM文件用途	将文件另存为...
您的自定义CA	`ca-pem`
副本集的每个成员	`<metadata.name>-<X>-pem`

MongoDB 工具

使用TLS进行安全部署

一般先决条件¶

为副本集配置TLS¶

前提条件¶

程序¶

配置kubectl默认为您的名称空间。¶

为您的TLS证书创建密钥。¶

创建ConfigMap以将您的CA与您的部署链接。¶

复制此副本集资源的突出显示部分。¶

将复制的示例部分粘贴到现有副本集资源中。¶

使用自定义证书颁发机构为副本集资源配置TLS设置。¶

保存您的副本集配置文件。¶

将所做的更改应用于副本集部署。¶

跟踪部署状态。¶

配置TLS用于分片群集¶

前提条件¶

程序¶

配置kubectl默认为您的名称空间。¶

为碎片的TLS证书创建密钥。¶

为配置服务器的TLS证书创建密码。¶

为您的mongos服务器的TLS证书创建密钥。¶

创建ConfigMap以将您的CA与您的部署链接。¶

复制此分片群集资源的突出显示部分。¶

将复制的示例部分粘贴到现有的分片群集资源中。¶

使用自定义证书颁发机构为分片群集资源配置TLS设置。¶

保存分片集群配置文件。¶

更新并重新启动分片群集部署。¶

跟踪部署状态。¶

配置`kubectl`默认为您的名称空间。¶

配置`kubectl`默认为您的名称空间。¶