SCRAM 인증을 사용하여 데이터베이스 사용자 관리
Kubernetes 연산자는 MongoDB deployments에서 SCRAM 인증을 사용하여 데이터베이스 사용자를 관리할 수 있도록 지원합니다.
고려 사항
지원되는 SCRAM 구현
SCRAM 을(를) 인증 메커니즘으로 지정할 때 사용되는 SCRAM의 구현은 다음에 따라 달라집니다.
MongoDB 버전 및
데이터베이스가 애플리케이션 데이터베이스 또는 다른 데이터베이스인 경우.
MongoDB 버전 | Database | SCRAM 구현 |
|---|---|---|
3.6 또는 이전 버전 | 애플리케이션 데이터베이스를 제외한 모든 버전 | SCRAM-SHA-1 |
4.0 이상 | 애플리케이션 데이터베이스를 제외한 모든 버전 | SCRAM-SHA-256 |
Any | 애플리케이션 데이터베이스 | SCRAM-SHA-1 |
지원되는 인증 메커니즘
Kubernetes Operator는 생성하는 배포에서 SCRAM, LDAP 및 X.509 인증 메커니즘을 지원합니다. Kubernetes 연산자 생성 배포에서는 MongoDB Ops Manager 를 사용하여 다음을 수행할 수 없습니다.
배포를 위한 다른 인증 메커니즘을 구성합니다.
SCRAM, LDAP 또는 X.509 인증을 사용 하지 않는 사용자를 managed합니다.
SCRAM 인증 을 활성화한 SCRAM 후, MongoDB SCRAM MongoDB Ops Manager Ops Manager 인터페이스를 사용하거나 MongoDB 사용자 리소스 MongoDB 사양에 따라 CustomResourceDefinition 에서 사용자를 구성하여 SCRAM 사용자를 추가할 수 있습니다.
전제 조건
데이터베이스 사용자를 관리하기 전에 독립형, 복제본 세트 또는 cluster를 배포해야 합니다.
다중 Kubernetes 클러스터 MongoDB 배포의 경우 복제본 세트를 배포해야 합니다. 여러 클러스터 배포를 참조하세요.
데이터베이스 사용자 추가
중요
사용자 암호 만들기
네임스페이스 kubectl 를 기본값 으로 구성합니다.
아직 실행하지 않았다면 다음 명령을 실행하여 생성한 네임스페이스에서 kubectl 명령을 모두 실행합니다.
참고
다중 Kubernetes 클러스터 MongoDB deployment에서 MongoDB Ops Manager 리소스를 배포하는 경우:
context을 중앙 클러스터의 이름(예:kubectl config set context "$MDB_CENTRAL_CLUSTER_FULL_NAME")으로 설정합니다.--namespace를 다중 Kubernetes 클러스터 MongoDB 배포에 사용한 것과 동일한 범위 (예:kubectl config --namespace "mongodb"로 설정합니다.
kubectl config set-context $(kubectl config current-context) --namespace=<metadata.namespace>
다음 예시 시크릿을 복사합니다.
일반 텍스트 비밀번호를 사용하도록 선택할 수 있습니다.
1 2 apiVersion: v1 3 kind: Secret 4 metadata: 5 name: <mms-user-1-password> 6 # corresponds to user.spec.passwordSecretKeyRef.name 7 type: Opaque 8 stringData: 9 password: <my-plain-text-password> 10 # corresponds to user.spec.passwordSecretKeyRef.key 11 ...
또는 Base64로 인코딩된 비밀번호를 사용하도록 선택할 수 있습니다.
1 2 apiVersion: v1 3 kind: Secret 4 metadata: 5 name: <mms-user-1-password> 6 # corresponds to user.spec.passwordSecretKeyRef.name 7 type: Opaque 8 data: 9 password: <base-64-encoded-password> 10 # corresponds to user.spec.passwordSecretKeyRef.key 11 ...
참고
원하는 비밀번호 구성을 복사합니다. 일반 텍스트 비밀번호는 stringData.password 을 사용하고 Base64로 인코딩된 비밀번호는 data.password을 사용합니다.
새 사용자 비밀 YAML 파일을 만듭니다.
원하는 텍스트 편집기를 엽니다.
이 사용자 암호를 새 텍스트 파일에 붙여넣습니다.
HashiCorp Vault 를 사용하는 경우 대신 볼트 시크릿을 생성 할 수 있습니다.
시크릿 스토리지 옵션에 대한 자세한 내용은 시크릿 스토리지 구성을 참조하세요.
강조 표시된 줄을 변경합니다.
다음 표를 사용하여 Secret에서 강조 표시된 줄을 변경하는 방법을 안내합니다.
키 | 유형 | 설명 | 예시 |
|---|---|---|---|
metadata.name | 문자열 | 데이터베이스 비밀번호 시크릿의 이름입니다. 리소스 이름은 44자 이내여야 합니다. | mms-scram-user-1-password |
stringData.password | 문자열 | 원하는 사용자의 일반 텍스트 비밀번호입니다. 이 옵션과 값 또는 | <my-plain-text-password> |
data.password | 문자열 | 원하는 사용자의 Base64로 인코딩된 비밀번호입니다. 이 옵션과 값 또는 비밀번호를 Base64로 직접 인코딩한 다음 이 옵션을 사용하여 결과 값을 붙여넣어야 합니다. 대부분의 모든 플랫폼에 사용할 수 있는 도구와 여러 웹 기반 도구를 사용할 수 있습니다. | <my-base64-encoded-password> |
MongoDBUser 생성
다음 예제 MongoDBUser를 복사합니다.
apiVersion: mongodb.com/v1 kind: MongoDBUser metadata: name: <mms-scram-user-1> spec: passwordSecretKeyRef: name: <mms-user-1-password> # Match to metadata.name of the User Secret key: password username: "<mms-scram-user-1>" db: "admin" # mongodbResourceRef: name: "<my-replica-set>" # Match to MongoDB resource using authenticaiton roles: - db: "admin" name: "clusterAdmin" - db: "admin" name: "userAdminAnyDatabase" - db: "admin" name: "readWrite" - db: "admin" name: "userAdminAnyDatabase" ...
강조 표시된 줄을 변경합니다.
다음 표를 사용하여 MongoDB 사용자 리소스 사양에서 강조 표시된 줄을 변경하는 방법을 안내합니다.
키 | 유형 | 설명 | 예시 |
|---|---|---|---|
metadata.name | 문자열 | 데이터베이스 사용자 리소스의 이름입니다. 리소스 이름은 44자 이내여야 합니다. | mms-scram-user-1 |
spec.username | 문자열 | 데이터베이스 사용자의 이름입니다. | mms-scram-user-1 |
spec.passwordSecretKeyRef.name | 문자열 | metadata.name 사용자의 비밀번호를 저장하는 시크릿의 값입니다. | my-resource |
spec.mongodbResourceRef.name | 문자열 | 이 사용자가 연결된 MongoDB 리소스 의 이름입니다. | my-resource |
spec.roles.db | 문자열 | 역할 이 작동할 수 있는 데이터베이스입니다. | admin |
spec.roles.name | 문자열 | readWriteAnyDatabase |
사용자를 만듭니다.
다음 Kubernetes 명령을 호출하여 데이터베이스 사용자를 생성합니다.
kubectl apply -f <database-user-conf>.yaml
새 MongoDB database 사용자를 생성하면 Operator가 새 시크릿Kubernetes 을 자동으로 Kubernetes 생성합니다. . Kubernetes 시크릿 에는 새 데이터베이스 사용자에 대한 다음 정보가 포함되어 있습니다.
username: 데이터베이스 사용자의 사용자 이름password: 데이터베이스 사용자의 비밀번호connectionString.standard: 이 데이터베이스 사용자로 데이터베이스에 연결할 수 있는 표준 연결 string 입니다.connectionString.standardSrv: 이 데이터베이스 사용자로 데이터베이스에 연결할 수 있는 DNS 시드 목록 연결 string 입니다.
참고
또는 MongoDB 사용자 리소스 사양 에 선택 사항인 spec.connectionStringSecretName 필드를 지정하여 Kubernetes 연산자가 생성하는 연결 문자열 시크릿의 이름을 지정할 수 있습니다.
이러한 자격 증명을 사용하여 Kubernetes 내부에서 MongoDB 데이터베이스 리소스에 연결할 수 있습니다.
데이터베이스 사용자 삭제
데이터베이스 사용자를 삭제하려면 사용자 MongoDBUser의 metadata.name 를 다음 명령으로 전달합니다.
kubectl delete mdbu <metadata.name>
인증 메커니즘 변경
사용자 인증 메커니즘을 SCRAM으로 변경하려면 다음을 수행합니다.
인증을 비활성화합니다.
spec.security.authentication아래에서enabled을false로 변경합니다.spec: security: authentication: enabled : false 사용자의 리소스 정의를 다시 적용합니다.
MongoDBResource가
running상태에 도달할 때까지 기다립니다.SCRAM 인증을 활성화합니다.
spec.security.authentication아래에서enabled을true로 변경하고spec.security.authentication.modes를 `` ["SCRAM"]`` 로 설정합니다.spec: security: authentication: enabled : true modes: ["SCRAM"] MongoDBUser 리소스를 다시 적용합니다.
MongoDBResource가
running상태에 도달할 때까지 기다립니다.