ファイアウォール構成
項目一覧
- Cloud Managerへのプログラムによるアクセスのための OAuth 2.0認証はプレビュー機能として利用できます。
- 機能および関連するドキュメントは、プレビュー期間中にいつでも変更される可能性があります。 OAuth2.0 認証を使用するには、 Cloud Manager Public APIへのリクエストで使用する サービス アカウント を作成します。
アクセス可能なポート
Cloud Manager は、 HTTPまたはHTTPS 経由でユーザーと MongoDB エージェントに接続できる必要があります。 MongoDB エージェントは MongoDB クライアント MongoDB データベースに接続できる必要があります。
Cloud Manager ではユーザーとデータベースに接続するためにHTTP (またはHTTPS )と MongoDB ネットワーク ポートが開いている必要がありますが、ファイアウォール上でどのポートが開かれるかは、暗号化、認証、モニタリングの機能が有効になっているかどうかによって異なります。
このページでは、どのシステムが他のシステムのどのポートに接続する必要があるかを定義します。
Cloud Manager では、次のポートとIPアドレスでのアクセスが必要です。
Fetch Required IP Addresses
Send a GET request to the controlPlaneIPAddresses endpoint for the Atlas Admin API to fetch the current control plane IP addresses that Cloud Manager requires. The API endpoint returns a list of inbound and outbound control plane IP addresses in CIDR notation categorized by cloud provider and region, similar to the following:
{ "controlPlane": { "inbound": { "aws": { // cloud provider "us-east-1": [ // region "3.92.113.229/32", "3.208.110.31/32", "107.22.44.69/32" ..., ], ... } }, "outbound": { "aws": { // cloud provider "us-east-1": [ // region "3.92.113.229/32", "3.208.110.31/32", "107.22.44.69/32" ..., ], ... } } }, "data_federation": { "inbound": {}, "outbound" {} }, "app_services": { "inbound": {}, "outbound" {} }, ... }
重要
The Atlas Admin API uses the terms inbound and outbound in relation to the control plane, not your network. As a result:
Your network's inbound rules must match the
outboundCIDRs listed in the Atlas Admin API.Your network's outbound rules must match the
inboundCIDRs listed in the Atlas Admin API.
The following diagram shows the relationship between inbound and outbound for the control plane and your network:
Required Access: controlPlane.inbound IP Addresses
controlPlane.inbound lists the addresses traffic coming into the control plane. If your network allows outbound HTTP requests only to specific IP addresses, you must allow access to the IP addresses listed in controlPlane.inbound so that MongoDB can communicate with your webhooks.
Use the Atlas Admin API to fetch the current IP addresses that Cloud Manager requires.
You have the option to configure alerts to be delivered via webhook. This sends an HTTP POST request to an endpoint for programmatic processing. If you want to successfully deliver a webhook to the specified endpoint, you must allow access to the IP addresses listed in controlPlane.inbound.
Required Access: controlPlane.outbound IP Addresses
controlPlane.outbound lists the addresses traffic coming from the control plane. Your network's inbound HTTP IP address list must allow access from the IP addresses listed in controlPlane.outbound.
Use the Atlas Admin API to fetch the current IP addresses that Cloud Manager requires.
これにより、MongoDB エージェントは次のホストに対してGETとPOSTを使用できるようになります。
api-agents.mongodb.comapi-backup.mongodb.comapi-backup.us-east-1.mongodb.comqueryable-backup.us-east-1.mongodb.comrestore-backup.us-east-1.mongodb.comreal-time-api-agents.mongodb.com
MongoDB エージェントはポート443上の Cloud Manager に接続します。 ホストをクラウド サービス プロバイダーでプロビジョニングするか、独自のネットワークでプロビジョニングするかにかかわらず、ポート443でのアウトバウンド接続を許可するようにネットワーク インフラストラクチャを構成します。
MongoDB バイナリのダウンロード用ドメイン
MongoDB エージェントは、MongoDB バイナリをダウンロードするために、MongoDB エディションに応じて次のドメインへのアウトバウンド アクセスを必要とします。
MongoDB エディション | アクセス リスト ドメイン | IP範囲 | サービスプロバイダー |
|---|---|---|---|
Community |
| Cloud フロント のIP範囲は頻繁に変更されます。 | Amazon Cloudフロント |
| |||
MongoDB のカスタムビルド | MongoDB エージェントがアクセスできる URL |
MongoDB Agent のダウンロードと更新のドメイン
アウトバウンド アクセスを制限する場合は、MongoDB Agent をダウンロードして更新するには、 MongoDB MongoDB Agentに次のドメインへのアクセスを許可する必要があります。
アクセス リスト ドメイン | IP範囲 | サービスプロバイダー |
|---|---|---|
| IPのAmazon Web Services 範囲は、頻繁に変更されます。 | Amazon Web Services |
ネットワーク内で必要なポート
配置内のすべての MongoDB プロセスは、その配置内のプロセスを管理するすべての MongoDB エージェントからアクセスできる必要があります。 したがって、すべての MongoDB ポートは、MongoDB Agent を提供するネットワーク内のすべてのホストに対して開く必要があります。
例
27000 、 27017 、 27020で MongoDB プロセスを実行している場合、MongoDB Agent を提供しているすべてのホストからこれら 3 つのポートを開く必要があります。