注意
この機能は、 無料クラスターと Flex クラスターでは使用できません。使用できない機能の詳細については、Atlas 無料クラスターの制限 を参照してください。
MongoDB Atlasでは、専有クラスター上のプライベートエンドポイントをサポートしています。 お使いのクラスターのタイプを選択すると、Atlas がサポートしているクラウドプロバイダーを確認できます。
AWS は AWS PrivateLink 機能を使用しています。
Azure は Azure Private Link 機能を使用しています。
Google Cloud Platform は GCP Private Service Connect 機能を使用しています。
オンライン アーカイブのプライベートエンドポイントを設定することもできます。詳しくは、「オンライン アーカイブ用のプライベートエンドポイントの設定」を参照してください。
注意
MongoDB Atlas共有責任モデルは、安全で回復力のあるデータ環境を維持するためのMongoDBとそのカスタマーの補完的な役割を定義します。このフレームワークの下、 MongoDB は基礎のプラットフォームのセキュリティと運用上の整合性を管理しますが、カスタマーは特定の配置の構成、管理、データ ポリシーに責任を負います。所有者のセキュリティと運用の優れ性の詳細な内訳については、共有責任モデルを参照してください。
プライベートエンドポイントの概念
プライベートエンドポイントをセットアップするには、プロジェクトへの Organization Owner、Project Owner、または Project Network Access Manager アクセス権が必要です。
Considerations
高可用性
プライベートエンドポイントに使用されるポート範囲
プライベートエンドポイントを認識可能な接続文字列
(任意) AWSのプライベートエンドポイントの背後にあるシャーディングされたクラスターへの接続を最適化
Atlas は、プライベートエンドポイント サービスのロード バランサーを使用して、シャーディングされたクラスター用に最適化された SRV 接続文字列を生成できます。最適化された接続文字列を使用する場合、Atlas はアプリケーションとシャーディングされたクラスター間の各 mongos の接続数を制限します。mongos ごとに接続数を制限することで、接続数が急増した際のパフォーマンスが向上します。
Atlas は、Google Cloud または Azure 上で実行するクラスター向けの最適化された接続文字列をサポートしていません。プライベートエンドポイントの背後にあるシャーディングされたクラスターに最適化された接続文字列の詳細については、プライベートエンドポイントを使用してシャーディングされたクラスターの接続パフォーマンスを最適化するにはどうすればよいですか。をご覧ください。
IP アクセス リストとプライベートエンドポイントとのネットワークピアリング接続
プライベート エンドポイントを有効にした場合でも、IP アクセス リストへのパブリック IP 追加やネットワーク ピアリングといった他のメソッドを使って Atlas クラスターへのアクセスを有効にできます。
他の方法を使用して Atlas クラスターに接続するクライアントは、標準の接続文字列を使用します。クライアントは、プライベートエンドポイント対応の接続文字列と標準接続文字列をいつ使用するかを識別する必要がある場合があります。
マルチクラウド配置接続
プライベートエンドポイント を使用してマルチクラウド配置に接続する場合、アクセスできるノードは、接続元のクラウドサービス プロバイダーとリージョンでホストされているノードのみです。マルチクラウド配置内のすべてのノードにアクセスするには、「高可用性とワークロード分離の構成」トピックの「マルチクラウド配置への接続」セクションで説明されている代替の接続メソッドを使用します。
(任意)マルチリージョンのシャーディングされたクラスターのリージョン別プライベートエンドポイント
複数のリージョンに展開するグローバルなシャーディングされたクラスターにおいて、互いにピアリングできないネットワークからプライベート エンドポイントを使用して Atlas に接続する必要がある場合、リージョンに複数のプライベート エンドポイントを展開できます。
クラスターを配置したリージョンに、任意の数のプライベートエンドポイントを配置できます。 各リージョン プライベートエンドポイントは、そのリージョンのmongosインスタンスに接続します。
警告:この設定を有効にすると、既存のマルチリージョン クラスターとグローバルなシャーディングされたクラスターへの接続文字列が変更されます。
新しい接続文字列を使用するには、アプリケーションをアップデートする必要があります。これにより、ダウンタイムが発生する可能性があります。
Atlas プロジェクトにシャーディングされたクラスターのみが含まれている場合、この設定を有効にできます。
次の場合は、この設定を無効にすることはできません。
複数のリージョンに複数のプライベートエンドポイントがある場合、または
1 つのリージョンに複数のプライベートエンドポイントがあり、かつ 1 つ以上のリージョンに 1 つのプライベートエンドポイントがある場合
リージョン化されたプライベートエンドポイント設定を有効にすると、シャーディングされたクラスターのみを作成できます。レプリカセットは作成できません。
この機能を使用するには、リージョン化されたプライベートエンドポイント設定を有効にする必要があります。
リージョン化されたプライベートエンドポイント設定を有効または無効にするには、以下のようにします。
リージョン化されたプライベートエンドポイントの有効化
Atlas CLI を使用してプロジェクトのリージョン化されたプライベートエンドポイント設定を有効にするには、次のコマンドを実行します。
atlas privateEndpoints regionalModes enable [options]
コマンド構文とパラメーターの詳細については、Atlas CLI ドキュメントの atlas privateEndpoints regionalModes enable を参照してください。
リージョン化されたプライベートエンドポイントの無効化
Atlas CLI を使用してプロジェクトのリージョン化されたプライベートエンドポイント設定を無効にするには、次のコマンドを実行します。
atlas privateEndpoints regionalModes disable [options]
コマンド構文とパラメーターの詳細については、Atlas CLI ドキュメントの atlas privateEndpoints regionalModes disable を参照してください。
リージョン化されたプライベートエンドポイント設定の表示
Atlas CLI を使用してプロジェクトのリージョン化されたプライベートエンドポイント設定を返すには、次のコマンドを実行します。
atlas privateEndpoints regionalModes describe [options]
コマンド構文とパラメーターの詳細については、Atlas CLI ドキュメントの atlas privateEndpoints regionalModes describe を参照してください。
リージョン化されたプライベートエンドポイントの有効化
Atlas で、Project Settings ページに移動します。
まだ表示されていない場合は、希望するプロジェクトを含む組織を選択しますナビゲーション バーのOrganizationsメニュー
まだ表示されていない場合は、ナビゲーション バーのProjectsメニューから目的のプロジェクトを選択します。
サイドバーで、 アイコンを Project Overview の横にあるをクリックします。
[ Project Settings ]ページが表示されます。
リージョン化されたプライベートエンドポイントの無効化
Atlas で、Project Settings ページに移動します。
まだ表示されていない場合は、希望するプロジェクトを含む組織を選択しますナビゲーション バーのOrganizationsメニュー
まだ表示されていない場合は、ナビゲーション バーのProjectsメニューから目的のプロジェクトを選択します。
サイドバーで、 アイコンを Project Overview の横にあるをクリックします。
[ Project Settings ]ページが表示されます。
AWS PrivateLink で受け入れ可能なエンドポイントとなる接続されたデバイス リージョンの管理
どのAWSリージョンがプライベートエンドポイント サービスに接続できるかを構成できます。これにより、クロスリージョンのプライベートエンドポイント接続が可能になり、異なるAWSリージョンのアプリケーションはプライベートエンドポイントを介して Atlas クラスターに接続できるようになります。
警告
複数のエンドポイント サービスから単一のエンドポイント サービスへの移行
複数のエンドポイントとなる接続されたデバイス サービスから、複数のエンドポイントとなる接続されたデバイスをサポートする単一のエンドポイントとなる接続されたデバイス サービスに移行するには、まず他のリージョンのエンドポイントとなる接続されたデバイスとエンドポイントとなる接続されたデバイス サービスを終了する必要があります。この移行にはダウンタイムが必要です。
移行プロセスには、次のものが含まれます。
他のリージョンのエンドポイントの終了
他のリージョンのエンドポイントとなる接続されたデバイス サービスの終了
残りのエンドポイント サービスに接続するために VPC に新しいエンドポイントをプロビジョニング
アプリケーション接続文字列の更新(アプリケーションの再起動が必要になる場合があります)
ダウンタイムは、他のエンドポイントを終了してから、正しい接続文字列を使用するようにアプリケーションを更新するまでの間に発生します。
受け入れ可能なエンドポイントとなる接続されたデバイス リージョンを追加または除くには、次の手順に従います。
注意
クロスリージョンのプライベートエンドポイント接続は現在プレビュー段階です。この機能により、どのAWSリージョンがプライベートエンドポイントサービスに接続できるかを設定できるようになり、さまざまなリージョンのアプリケーションがプライベートエンドポイントを介して Atlas クラスターにアクセスできるようになります。
Atlas で、プロジェクトの [Database & Network Access] ページに移動します。
まだ表示されていない場合は、プロジェクトを含む組織をナビゲーション バーの Organizations メニューで選択します。
まだ表示されていない場合は、ナビゲーション バーの Projects メニューからプロジェクトを選択します。
サイドバーで、 Security見出しの下のDatabase & Network Accessをクリックします。
[ データベースとネットワーク アクセス ] ページが表示されます。
利用可能なリージョンでエンドポイントとなる接続されたデバイスを構成します。
受け入れ可能なエンドポイント リージョンを追加したら、AWSアカウント内のそれらのリージョンに対応するインターフェイスエンドポイントを作成する必要があります。インターフェースエンドポイントの作成の詳細については、専有クラスターのプライベートエンドポイントの設定 を参照してください。
リージョン化されたプライベートエンドポイントまたはクロスリージョンプライベートリンクを使用しないマルチリージョンクラスターへの接続
AWS PrivateLink を使用しており、かつ異なるリージョンにエンドポイントがあるものの、リージョン化されたプライベートエンドポイントを使用していない場合は、マルチリージョンクラスターに接続しているアプリケーションが他のリージョンのエンドポイントに確実にアクセスできるようにします。例、 AWSでアクセスできるようにするには、エンドポイントを含むVPCを ピアリング します。
プライベートエンドポイントを削除する際にダウンタイムを回避する方法
マルチリージョンクラスターでは、各リージョンにノードを持つプライベートエンドポイントを作成する必要があります。
マルチリージョンクラスターでメンテナンスを行う際は、クラスターのダウンタイムを避けるため、メンテナンスが完了するまでプライベートエンドポイントを変更または削除しないでください。
マルチリージョンから単一リージョンのクラスターに移行する場合、新しい単一リージョンの設定でクラスターが完全に機能し、すべてのトラフィックを新しい単一リージョンのプライベートエンドポイントに方向付けしたことを確認した後にのみ、古いプライベートエンドポイントを削除できます。
請求
専用クラスターのプライベートエンドポイントの請求について詳しくは、「専用クラスターのプライベートエンドポイント」を参照してください。
制限
- 無料クラスター(以前は
M0と呼ばれていました)と Flex クラスターは、プライベートエンドポイント経由の接続をサポートしていません。
- プライベートエンドポイントをリージョンに配置する前に、まずプロジェクトで一時停止中のクラスターを再開する必要があります。
前提条件
プライベートエンドポイントを使用して Atlas への接続を有効にするには、次の条件を満たす必要があります。
- 組織内で有効な支払い方法がすでに設定されている。