ファイアウォール構成
項目一覧
- Cloud Managerへのプログラムによるアクセスのための OAuth 2.0認証はプレビュー機能として利用できます。
- 機能および関連するドキュメントは、プレビュー期間中にいつでも変更される可能性があります。 OAuth2.0 認証を使用するには、 Cloud Manager Public APIへのリクエストで使用する サービス アカウント を作成します。
アクセス可能なポート
Cloud Manager は、 HTTPまたはHTTPS 経由でユーザーと MongoDB エージェントに接続できる必要があります。 MongoDB エージェントは MongoDB クライアント MongoDB データベースに接続できる必要があります。
Cloud Manager ではユーザーとデータベースに接続するためにHTTP (またはHTTPS )と MongoDB ネットワーク ポートが開いている必要がありますが、ファイアウォール上でどのポートが開かれるかは、暗号化、認証、モニタリングの機能が有効になっているかどうかによって異なります。
このページでは、どのシステムが他のシステムのどのポートに接続する必要があるかを定義します。
Cloud Manager では、次のポートとIPアドレスでのアクセスが必要です。
必要なアウトバウンド アクセス
MongoDB エージェントはポート 443上の Cloud Manager に接続します。 ホストをクラウド サービス プロバイダーでプロビジョニングするか、独自のネットワークでプロビジョニングするかにかかわらず、ポート443でのアウトバウンド接続を許可するようにネットワーク インフラストラクチャを構成します。
ポート443の特定のIPアドレスへのアウトバウンド アクセスを制限する場合は、次のアドレスとドメインをアクセス リストに追加する必要があります。
と のIPアドレスGETPOST
次のIPアドレスをアクセス リストに追加します。
3.93.83.52 3.94.56.171 3.214.160.189 18.210.185.2 18.210.245.203 18.232.30.107 18.235.209.93 34.192.82.120 34.194.131.15 34.194.251.66 34.195.55.18 34.195.194.204 34.200.195.130 34.203.104.26 34.227.138.166 34.230.213.36 34.233.152.179 34.233.179.140 35.172.148.213 35.172.245.18 44.211.4.85 44.216.169.184 52.86.156.12 54.147.76.65 54.204.237.208
これにより、MongoDB エージェントは次のホストに対してGETとPOSTを使用できるようになります。
api-agents.mongodb.comapi-backup.mongodb.comapi-backup.us-east-1.mongodb.comqueryable-backup.us-east-1.mongodb.comrestore-backup.us-east-1.mongodb.comreal-time-api-agents.mongodb.com
MongoDB バイナリのダウンロード用ドメイン
MongoDB エージェントは、MongoDB バイナリをダウンロードするために、MongoDB エディションに応じて次のドメインへのアウトバウンド アクセスを必要とします。
MongoDB エディション | アクセス リスト ドメイン | IP範囲 | サービスプロバイダー |
|---|---|---|---|
Community | fastdl.mongodb.org | Cloud フロント のIP範囲は頻繁に変更されます。 | Amazon Cloudフロント |
downloads.mongodb.com | |||
MongoDB のカスタムビルド | MongoDB エージェントがアクセスできる URL |
MongoDB Agent のダウンロードと更新のドメイン
アウトバウンド アクセスを制限する場合は、MongoDB Agent をダウンロードして更新するには、 MongoDB MongoDB Agentに次のドメインへのアクセスを許可する必要があります。
アクセス リスト ドメイン | IP範囲 | サービスプロバイダー |
|---|---|---|
s3.amazonaws.com | IPのAmazon Web Services 範囲は、頻繁に変更されます。 | Amazon Web Services |
必要なインバウンド アクセス
アラート Webhook のIPアドレス
Webhook 経由でアラートが配信されるように構成するオプションがあります。 これにより、プログラムによる処理のためにエンドポイントにHTTP POSTリクエストが送信されます。
指定されたエンドポイントに Webhook を正常に提供するには、エンドポイントは次の POSTIP アドレスからの受信 HTTP リクエストを受け入れる必要があります。
3.92.113.229 3.208.110.31 3.211.96.35 3.212.79.116 3.214.203.147 3.215.10.168 3.215.143.88 18.214.178.145 18.235.30.157 18.235.48.235 18.235.145.62 34.193.91.42 34.193.242.51 34.196.151.229 34.200.66.236 34.235.52.68 34.236.228.98 34.237.40.31 35.153.40.82 35.169.184.216 35.171.106.60 35.174.179.65 35.174.230.146 35.175.93.3 35.175.94.38 35.175.95.59 50.19.91.100 52.71.233.234 52.73.214.87 52.87.98.128 54.145.247.111 54.163.55.77 100.26.2.217 107.20.0.247 107.20.107.166
ネットワーク内で必要なポート
配置内のすべての MongoDB プロセスは、その配置内のプロセスを管理するすべての MongoDB エージェントからアクセスできる必要があります。 したがって、すべての MongoDB ポートは、MongoDB Agent を提供するネットワーク内のすべてのホストに対して開く必要があります。
例
27000 、 27017 、 27020で MongoDB プロセスを実行している場合、MongoDB Agent を提供しているすべてのホストからこれら 3 つのポートを開く必要があります。