Aprenda sobre Endpoints Privados no Atlas
Nesta página
- Conceitos de endpoints privados
- Acesso necessário
- Considerações
- Alta disponibilidade
- Faixas de portas usadas para Endpoints Privados
- Cadeias de conexão com reconhecimento de ponto de extremidade privado
- Listas de acesso IP e conexões de peering de rede com endpoints privados
- (Opcional) Endpoints privados regionalizados para clusters fragmentados em várias regiões
- Evite o tempo de inatividade ao remover pontos de extremidade privados
- Cobrança
- Limitações
- Pré-requisitos
Observação
Esta funcionalidade não está disponível para M0 clusters gratuitos e clusters flexíveis. Para saber mais sobre quais funcionalidades não estão disponíveis, consulte os Limites do Atlas M0 (cluster gratuito), M2 e M.5
O MongoDB Atlas suporte a endpoints privados em clusters dedicados. Selecione seu tipo de cluster para saber para quais fornecedores de nuvem o Atlas suporte:
AWS usando o recurso AWS PrivateLink.
Azure usando a funcionalidade Azure Private Link.
Google Cloud usando o recurso GCP Private Service Connect.
Você também pode definir endpoints privados para seu Online Archive. Para saber mais, consulte Configurar um endpoint privado para Online Archives.
Conceitos de endpoints privados
Quando você habilita o PrivateLink na AWS e em endpoints privados no Atlas, AWS e Atlas criam os seguintes recursos para suportar conexões seguras em VPCs:
Resource | Criador | Descrição |
|---|---|---|
Serviço de endpoints privados | Atlas | Uma coleção de recursos de pontos de extremidade privados dentro da VPC do Atlas que coloca clusters dentro de uma região por trás de um balanceador de carga de rede. O AWS se refere ao serviço de endpoint como VPC endpoint service. |
Ponto de conexão da interface | AWS | AWS Endpoint VPC com um endereço IP privado que envia tráfego para o serviço de endpoint privado sobre o AWS PrivateLink. O AWS se refere ao endpoint de interface como VPC endpoint. |
Ponto final privado | AWS e Atlas juntos | Um termo genérico para a conexão privada estabelecida entre o Atlas e seu fornecedor de nuvem. Para AWS, essa conexão é estabelecida usando PrivateLink. |
Conexões com clusters do Atlas usando endpoints privados oferecem as seguintes vantagens em relação a outras opções de gerenciamento de acesso à rede:
As conexões que usam endpoints privados são unidirecionais. As VPCs do Atlas não podem iniciar conexões de retorno às suas VPCs .Isso garante que o limite de confiança da rede percebido não seja estendido.
As conexões com endpoints privados na sua VPC podem ser feitas transitivamente a partir de:
Outra VPC emparelhada à VPC conectada ao endpoint privado.
Um data center local conectado com o DirectConnect à VPC conectada ao endpoint privado. Isso permite que você se conecte ao Atlas diretamente do seu data center local sem adicionar endereços IP públicos à lista de acesso IP do Atlas.
Quando você habilita esse recurso, o Azure e o Atlas criam os seguintes recursos para oferecer suporte a conexões seguras por meio de VNets:
Resource | Criador | Descrição |
|---|---|---|
Serviço de endpoints privados | Atlas | Uma coleção de recursos de ponto de extremidade privados em sua VNet do Atlas que coloca clusters em uma região atrás de um balanceador de carga de rede. |
Ponto final privado | Azure e Atlas juntos | Termo genérico para a conexão privada estabelecida entre o Atlas e seu provedor de nuvem. Para o Azure, essa conexão é estabelecida usando o Private Link. |
O Atlas cria um serviço Private Link e coloca clusters dentro de uma região atrás de um balanceador de carga na VNet do Atlas.
Em seguida, você cria recursos que estabelecem uma conexão unidirecional da sua VNet com o serviço Private Link na VNet do Atlas usando um ponto de extremidade privado. O serviço Private Link encaminha o tráfego para o balanceador de carga que está à frente dos clusters na VNet do Atlas.
Conexões com clusters do Atlas usando endpoints privados oferecem as seguintes vantagens em relação a outras opções de gerenciamento de acesso à rede:
As conexões que usam pontos de extremidade privados são unidirecionais. As VNets do Atlas não podem iniciar conexões de retorno às suas VNets. Isso garante que o limite de confiança da rede percebido não seja estendido.
As conexões com pontos de extremidade privados na sua VNet podem ser feitas transitivamente a partir de:
Outra VNet emparelhada à VNet conectada ao ponto de extremidade privado.
Um data center no local conectado com o ExpressRoute à VNet conectada ao ponto de extremidade privado. Isso permite a conexão ao Atlas diretamente do seu data center no local sem adicionar endereços IP públicos à lista de acesso IP do Atlas.
Quando você ativa esse recurso, o Google Cloud e o Atlas criam os seguintes recursos para oferecer suporte a conexões seguras em VPCs:
Resource | Criador | Descrição |
|---|---|---|
Serviço de endpoints privados | Atlas | Uma coleção de recursos de ponto de extremidade privado na sua VPC do Atlas que coloca os clusters em uma região atrás de balanceadores de carga de rede. |
Endpoints privados | Google Cloud e Atlas juntos | Um termo genérico para as conexões privadas estabelecidas entre o Atlas e seu provedor de serviços em nuvem. Para o Google Cloud, essas conexões são estabelecidas usando o Private Service Connect. |
Quando você ativa o GCP Private Service Connect no Google Cloud, o Atlas cria um serviço de ponto de extremidade privado usando anexos de serviço e balanceadores de carga.
Em seguida, você cria recursos que estabelecem uma conexão unidirecional da sua VPC com o serviço de ponto de extremidade privado no Atlas usando um ponto de extremidade privado. O serviço de ponto de extremidade privado encaminha o tráfego para os balanceadores de carga dos clusters no Atlas VPC.
Para garantir a disponibilidade de recursos para clusters atuais e futuros, o Atlas executa as seguintes ações quando você ativa esse recurso:
Cria balanceadores de carga 50 e acessórios de serviço para essa região. Em seguida, o Atlas coloca os clusters existentes na região atrás dos balanceadores de carga na VPC do Atlas. O GCP Private Service Connect requer um balanceador de carga separado para cada nó em cada cluster.
Reserva os balanceadores de carga e anexos de serviço restantes para futuros clusters nessa região.
O diagrama a seguir mostra como o GCP Private Service Connect estabelece conexões quando há um cluster em uma região.
O diagrama a seguir mostra como o GCP Private Service Connect estabelece conexões quando há dois clusters em uma região.
O diagrama a seguir mostra como o GCP Private Service Connect estabelece conexões quando há um cluster em várias regiões.
Conexões com clusters do Atlas usando endpoints privados oferecem as seguintes vantagens em relação a outras opções de gerenciamento de acesso à rede:
- As conexões com pontos de extremidade privados são unidirecionais. Atlas
- VPCAs VPCs não podem iniciar conexões de retorno às suas VPCs do Google Google Cloud Platform VPCCloud Platform. Isso garante que o limite de confiança da rede percebido não seja estendido.
- Você pode se conectar a endpoints privados dentro da sua VPC
- transitivamente de um centro de dados no local conectado com Google Cloud Platform o Google Cloud Platform VPN para o VPC conectado ao endpoint VPC privado. Isso permite que você se conecte ao Atlas diretamente do seu data center on-premises sem adicionar endereços IP públicos à lista de acesso do Atlas .
Você também pode definir endpoints privados para seu Online Archive. Para saber mais, consulte Configurar um endpoint privado para Online Archives.
Conexões com clusters do Atlas usando endpoints privados oferecem as seguintes vantagens em relação a outras opções de gerenciamento de acesso à rede:
As conexões que usam endpoints privados são unidirecionais. As VPCs do Atlas não podem iniciar conexões de retorno às suas VPCs .Isso garante que o limite de confiança da rede percebido não seja estendido.
As conexões com endpoints privados na sua VPC podem ser feitas transitivamente a partir de:
Outra VPC emparelhada à VPC conectada ao endpoint privado.
Um data center local conectado com o DirectConnect à VPC conectada ao endpoint privado. Isso permite que você se conecte ao Atlas diretamente do seu data center local sem adicionar endereços IP públicos à lista de acesso IP do Atlas.
Conexões com clusters do Atlas usando endpoints privados oferecem as seguintes vantagens em relação a outras opções de gerenciamento de acesso à rede:
As conexões que usam pontos de extremidade privados são unidirecionais. As VNets do Atlas não podem iniciar conexões de retorno às suas VNets. Isso garante que o limite de confiança da rede percebido não seja estendido.
As conexões com pontos de extremidade privados na sua VNet podem ser feitas transitivamente a partir de:
Outra VNet emparelhada à VNet conectada ao ponto de extremidade privado.
Um data center no local conectado com o ExpressRoute à VNet conectada ao ponto de extremidade privado. Isso permite a conexão ao Atlas diretamente do seu data center no local sem adicionar endereços IP públicos à lista de acesso IP do Atlas.
Acesso necessário
Para configurar um endpoint privado, você deve ter acesso do Organization Owner ou Project Owner ao projeto.
Considerações
Alta disponibilidade
Para garantir que as conexões de endpoints privados com o Atlas possam resistir a uma interrupção da zona de disponibilidade, você deve distribuir sub-redes em várias zonas de disponibilidade em uma região.
Você não precisa tomar medidas adicionais para garantir que as conexões de ponto de extremidade privado do Azure com o Atlas possam resistir a uma interrupção na zona de disponibilidade.
Você não precisa tomar medidas adicionais para garantir que as conexões de ponto de extremidade privado do Google Cloud com o Atlas possam resistir a uma interrupção na zona de disponibilidade.
Suporte multirregional
O GCP Private Service Connect agora fornece compatibilidade multirregional para seus clusters do Atlas. Você pode configurar o acesso global para se conectar a endpoints privados de uma região diferente do Google Cloud. Ao usar o acesso global, você pode garantir alta disponibilidade para seu cluster multirregional, implantações em uma única região hospedadas em uma região diferente da sua e nós do Google Cloud Platform em suas implantações multinuvem.
Para saber mais, consulte Apresentando o PSC Interconnect e o Global Access para MongoDB Atlas.
Faixas de portas usadas para Endpoints Privados
O AWS PrivateLink oferece suporte a 50 destinos endereçáveis. O Atlas pode usar da porta 1024 até a 65535, mas normalmente começa com a porta 1024. As portas podem mudar em circunstâncias específicas, incluindo (sem limitações) mudanças de cluster.
Importante
O MongoDB recomenda o uso da connection string com reconhecimento de endpoint privado de lista de sementes de DNS, pois isso permite que o DNS atualize automaticamente as portas do AWS PrivateLink caso sejam alteradas. Pela mesma razão, o MongoDB também recomenda permitir a listagem de todo o intervalo de portas, em vez de portas específicas.
O Azure Private Link é compatível com 150 alvos endereçáveis. O Atlas pode usar a porta 1024 até a porta 2524, mas normalmente começa com a porta 1024. As portas podem mudar em circunstâncias específicas, incluindo (sem limitações) mudanças de cluster.
Importante
O MongoDB recomenda o uso da string de conexão DNS seedlist private endpoint-aware para que o DNS atualize automaticamente as portas que o Azure Private Link usa se elas forem alteradas. Pela mesma razão, o MongoDB também recomenda permitir a listagem de todo o intervalo de portas, em vez de portas específicas.
Os serviços do Atlas são acessados por meio de endpoints do GCP Private Service Connect nas portas 27015 a 27017. As portas podem mudar em circunstâncias específicas, incluindo (sem limitações) mudanças de cluster.
Importante
O MongoDB recomenda o uso da string de conexão com reconhecimento de endpoint privado de lista de sementes de DNS, pois isso permite que o DNS atualize automaticamente as portas do GCP Private Service Connect caso sejam alteradas. Pela mesma razão, o MongoDB também recomenda permitir a listagem de todo o intervalo de portas, em vez de portas específicas.
Cadeias de conexão com reconhecimento de ponto de extremidade privado
Quando você configura um endpoint privado, o Atlas gera uma lista de sementes de DNS e connection strings padrão com reconhecimento de endpoint privado:
Conexão de lista de seed de DNS
mongodb+srv://cluster0-pl-0-k45tj.mongodb.net Connection string padrão
mongodb://pl-0-us-east-1-k45tj.mongodb.net:1024,pl-0-us-east-1-k45tj.mongodb.net:1025,pl-0-us-east-1-k45tj.mongodb.net:1026/?ssl=true&authSource=admin&replicaSet=Cluster0-shard-0-shard-0
Quando um cliente na sua VPC se conecta a um cluster do Atlas usando uma dessas strings de conexão sensíveis ao ponto de extremidade privado, o cliente tenta estabelecer uma conexão com o balanceador de carga na VPC Atlas por meio de um dos pontos de extremidade da interface. O mecanismo de resolução DNS do cliente determina para quais dos pontos de conexão da interface o nome do host se mapeia. Se um ponto de conexão da interface não estiver disponível, o próximo será usado. Isso é ocultado do condutor ou qualquer outro mecanismo de conexão. O condutor conhece o nome do host apenas através do registro SRV ou da string de conexão.
Registro SRV para connection strings com reconhecimento de endpoints privados de lista de sementes de DNS
O exemplo a seguir mostra o registro SRV de um cluster de região única habilitado para o AWS PrivateLink, mostrando três portas exclusivas definidas para pl-0-us-east-1-k45tj.mongodb.net:
nslookup -type=SRV _mongodb._tcp.cluster0-pl-0-k45tj.mongodb.net Server: 127.0.0.53 Address: 127.0.0.53#53 Non-authoritative answer: _mongodb._tcp.cluster0-pl-0-k45tj.mongodb.net service = 0 0 1026 pl-0-us-east-1-k45tj.mongodb.net. _mongodb._tcp.cluster0-pl-0-k45tj.mongodb.net service = 0 0 1024 pl-0-us-east-1-k45tj.mongodb.net. _mongodb._tcp.cluster0-pl-0-k45tj.mongodb.net service = 0 0 1025 pl-0-us-east-1-k45tj.mongodb.net.
No exemplo anterior:
_mongodb._tcp.cluster0-pl-0-k45tj.mongodb.neté o registro SRV que a connection stringmongodb+srv://cluster0-pl-0-k45tj.mongodb.netreferencia.pl-0-us-east-1-k45tj.mongodb.neté o nome de host para cada nó em um Atlas cluster em uma região para a qual você configurou o AWS PrivateLink.1024,1025e1026são portas exclusivas que o Atlas atribui ao balancer de carga para cada nó do conjunto de réplicas do Atlas na região para a qual você habilitou o AWS PrivateLink. Todos os nós em um conjunto de réplicas do Atlas são acessíveis por meio do mesmo nome de host, com o balancer de carga resolvendo nós individuais por sua porta exclusiva.
Resolução de DNS para nomes de host em connection strings e registros SRV com suporte a endpoints privados
O nome de host no registro SRV e na connection string padrão é um registro de nome canônico DNS (CNAME) que se resolve para o nome DNS regional específico do endpoint que a AWS gera para o ponto de conexão da interface. Existe um registro de DNS ALIAS para cada sub-rede na VPC em que você distribuiu o ponto de conexão da interface. Cada registro ALIAS contém o endereço IP privado do ponto de conexão da interface dessa essa sub-rede.
O exemplo a seguir mostra a pesquisa de DNS para o nome de host no registro SRV e na connection string padrão, incluindo o nome DNS regional específico do endpoint para o ponto de conexão da interface e seus registros de DNS ALIAS:
nslookup pl-0-us-east-1-k45tj.mongodb.net Server: 127.0.0.53 Address: 127.0.0.53#53 Non-authoritative answer: pl-0-us-east-1-k45tj.mongodb.net canonical name = vpce-024f5b57108c8d3ed-ypwbxwll.vpce-svc-02863655456245e5c.us-east-1.vpce.amazonaws.com. Name: vpce-024f5b57108c8d3ed-ypwbxwll.vpce-svc-02863655456245e5c.us-east-1.vpce.amazonaws.com Address: 10.0.30.194 Name: vpce-024f5b57108c8d3ed-ypwbxwll.vpce-svc-02863655456245e5c.us-east-1.vpce.amazonaws.com Address: 10.0.20.54
Quando você configura um ponto de extremidade privado, o Atlas gera uma lista de sementes de DNS e strings de conexão:
Conexão de lista de seed de DNS
mongodb+srv://serverlessinstance0-pl-0-k45tj.mongodb.net
Quando um cliente na sua VPC se conecta a um cluster do Atlas usando uma dessas strings de conexão sensíveis ao ponto de extremidade privado, o cliente tenta estabelecer uma conexão com o balanceador de carga na VPC Atlas por meio de um dos pontos de extremidade da interface. O mecanismo de resolução DNS do cliente determina para quais dos pontos de conexão da interface o nome do host se mapeia. Se um ponto de conexão da interface não estiver disponível, o próximo será usado. Isso é ocultado do condutor ou qualquer outro mecanismo de conexão. O condutor conhece o nome do host apenas através do registro SRV ou da string de conexão.
Registro SRV para connection strings com reconhecimento de endpoints privados de lista de sementes de DNS
O exemplo a seguir mostra o registro SRV para uma instância sem servidor habilitada para AWS PrivateLink, mostrando uma porta definida para serverlessinstance0-pe-1.oqg5v.mongodb.net:
nslookup -type=SRV _mongodb._tcp.serverlessinstance0-pe-1.oqg5v.mongodb.net Server: 127.0.0.1 Address: 127.0.0.1#53 Non-authoritative answer: _mongodb._tcp.serverlessinstance0-pe-1.oqg5v.mongodb.net service = 0 0 27017 pe-1-serverlessinstance0.oqg5v.mongodb.net.
No exemplo anterior:
_mongodb._tcp.serverlessinstance0-pe-1.oqg5v.mongodb.neté o registro SRV que a connection stringmongodb+srv://serverlessinstance0-pe-1.oqg5v.mongodb.netreferencia.serverlessinstance0-pe-1.oqg5v.mongodb.neté o nome do host para a instância sem servidor do Atlas para a qual você configurou o AWS PrivateLink.27017é uma porta exclusiva que o Atlas atribui ao balanceador de carga para a instância sem servidor do Atlas para a qual você habilitou o AWS PrivateLink.
Resolução de DNS para nomes de host em connection strings e registros SRV com suporte a endpoints privados
O nome de host no registro SRV e na connection string padrão é um registro de nome canônico DNS (CNAME) que se resolve para o nome DNS regional específico do endpoint que a AWS gera para o ponto de conexão da interface. Existe um registro de DNS ALIAS para cada sub-rede na VPC em que você distribuiu o ponto de conexão da interface. Cada registro ALIAS contém o endereço IP privado do ponto de conexão da interface dessa essa sub-rede.
Quando você configura um endpoint privado, o Atlas gera uma lista de sementes de DNS e connection strings padrão com reconhecimento de endpoint privado:
Conexão de lista de seed de DNS
mongodb+srv://cluster0-pl-0.uzgh6.mongodb.net Connection string padrão
mongodb://pl-0-eastus2.uzgh6.mongodb.net:1024,pl-0-eastus2.uzgh6.mongodb.net:1025,pl-0-eastus2.uzgh6.mongodb.net:1026/?ssl=truereplicaSet=atlas-18bndf-shard-0
Quando um cliente em sua VNet se conecta a um cluster do Atlas usando uma dessas strings de conexão com reconhecimento de ponto de extremidade privado, o cliente tenta estabelecer uma conexão com o serviço Private Link na VNet do Atlas por meio da interface de rede do ponto de extremidade privado. O serviço Private Link envia tráfego por meio de um balanceador de carga padrão do Azure para os nós do cluster do Atlas que você implantou nessa região. O mecanismo de resolução de DNS do seu cliente trata da resolução do nome do host para o endereço IP privado da interface de rede. O driver conhece apenas o nome do host na string de conexão, escutando em uma porta para cada nó no conjunto de réplicas do cluster.
Registro SRV para connection strings com reconhecimento de endpoints privados de lista de sementes de DNS
O exemplo a seguir mostra o registro SRV de um cluster de região única habilitado para o Azure Private Link, mostrando três portas exclusivas definidas para pl-0-eastus2.uzgh6.mongodb.net:
nslookup -type=SRV _mongodb._tcp.cluster0-pl-0.uzgh6.mongodb.net Server: 127.0.0.53 Address: 127.0.0.53#53 Non-authoritative answer: _mongodb._tcp.cluster0-pl-0.uzgh6.mongodb.net service = 0 0 1024 pl-0-eastus2.uzgh6.mongodb.net. _mongodb._tcp.cluster0-pl-0.uzgh6.mongodb.net service = 0 0 1025 pl-0-eastus2.uzgh6.mongodb.net. _mongodb._tcp.cluster0-pl-0.uzgh6.mongodb.net service = 0 0 1026 pl-0-eastus2.uzgh6.mongodb.net.
No exemplo anterior:
_mongodb._tcp.cluster0-pl-0.uzgh6.mongodb.neté- o registro SRV que a string de conexão referencia.
pl-0-eastus2.uzgh6.mongodb.neté o nome do host para- cada nó em um cluster do Atlas em uma região para a qual você configurou o Azure Private Link.
1024,1025e1026são portas exclusivas que- O Atlas atribui no balanceador de carga para cada nó do conjunto de réplicas do Atlas na região para a qual você habilitou o Azure Private Link. Todos os nós em um conjunto de réplicas do Atlas são acessíveis por meio do mesmo nome de host, com o balanceador de carga resolvendo nós individuais por sua porta exclusiva.
Resolução de DNS para nomes de host em connection strings e registros SRV com suporte a endpoints privados
O nome do host no registro SRV e a string de conexão padrão são um registro DNS A que é resolvido para o endereço IP privado da interface de rede do ponto de extremidade privado.
O exemplo a seguir mostra a pesquisa DNS para o nome do host no registro SRV e na string de conexão padrão:
nslookup pl-0-eastus2.uzgh6.mongodb.net Server: 127.0.0.53 Address: 127.0.0.53#53 Non-authoritative answer: Name: pl-0-eastus2.uzgh6.mongodb.net Address: 10.0.0.4
Quando você configura um endpoint privado, o Atlas gera uma string de conexão da lista de sementes de DNS:
Conexão de lista de seed de DNS
mongodb+srv://cluster0-pl-0.uzgh6.mongodb.net
Quando um cliente em sua VNet se conecta a um cluster do Atlas usando a string de conexão com reconhecimento de ponto de extremidade privado, o cliente tenta estabelecer uma conexão com o serviço Private Link na VNet do Atlas por meio da interface de rede do ponto de extremidade privado. O serviço Private Link envia tráfego por meio de um balanceador de carga padrão do Azure para o cluster do Atlas que você implantou nessa região. O mecanismo de resolução de DNS do seu cliente trata da resolução do nome do host para o endereço IP privado da interface de rede. O driver sabe apenas o nome do host na string de conexão.
Registro SRV para connection strings com reconhecimento de endpoints privados de lista de sementes de DNS
O exemplo a seguir mostra o registro SRV de uma instância sem servidor habilitada para o Azure Private Link, mostrando uma porta definida para pl-0-eastus2.uzgh6.mongodb.net:
nslookup -type=SRV _mongodb._tcp.serverlessinstance0-pe-1.oqg5v.mongodb.net Server: 127.0.0.1 Address: 127.0.0.1#53 Non-authoritative answer: _mongodb._tcp.serverlessinstance0-pe-1.oqg5v.mongodb.net service = 0 0 27017 serverlessinstance0-pe-1.oqg5v.mongodb.net.
No exemplo anterior:
_mongodb._tcp.serverlessinstance0-pe-1.oqg5v.mongodb.neté o registro SSV ao qual a string de conexão faz referência.serverlessinstance0-pe-1.oqg5v.mongodb.neté o nome do host para a instância sem servidor do Atlas para a qual você configurou o Azure Private Link.27017é uma porta exclusiva que o Atlas atribui ao balanceador de carga para a instância sem servidor do Atlas para a qual você habilitou o Azure Private Link.
Resolução de DNS para nomes de host em connection strings e registros SRV com suporte a endpoints privados
O nome do host no registro SRV e a string de conexão padrão são um registro DNS A que é resolvido para o endereço IP privado da interface de rede do ponto de extremidade privado.
Quando você configura um endpoint privado, o Atlas gera uma lista de sementes de DNS e connection strings padrão com reconhecimento de endpoint privado:
Conexão de lista de seed de DNS
mongodb+srv://cluster0-pl-0.uzgh6.mongodb.net Connection string padrão
mongodb://pl-00-000-eastus2.uzgh6.mongodb.net:27017,pl-00-001-eastus2.uzgh6.mongodb.net:27017,pl-00-002-eastus2.uzgh6.mongodb.net:27017/?ssl=truereplicaSet=atlas-18bndf-shard-0
Quando um cliente em sua rede se conecta a um cluster do Atlas usando uma dessas strings de conexão com reconhecimento de ponto de extremidade privado, o cliente tenta estabelecer uma conexão com os anexos de serviço na VPC do Atlas por meio dos pontos de extremidade privados. Os anexos de serviço enviam tráfego por meio de balanceadores de carga internos do Google Cloud Platform para os nós do cluster do Atlas que você implantou nessa região. O mecanismo de resolução DNS do cliente determina a resolução do nome do host para o endereço IP privado do ponto de extremidade.
(Opcional) Otimize a conexão com clusters fragmentados atrás de um ponto de extremidade privado
O Atlas pode gerar uma connection string SRV otimizada para clusters fragmentados por meio dos balancers de carga do seu serviço de endpoints privados. Quando você utiliza uma connection string otimizada, o Atlas limita o número de conexões por mongos entre seu aplicativo e seu cluster fragmentado. As conexões limitadas por mongos melhoram o desempenho durante os picos de contagens de conexões.
O Atlas não oferece suporte a connection strings otimizadas para clusters executados no Google Cloud Platform ou no Azure. Para saber mais sobre cconnection strings otimizadas para clusters fragmentados por trás de um endpoint privado, consulte Aprimorar o desempenho da conexão dos clusters fragmentados por trás de um endpoint privado.
Veja também:
Listas de acesso IP e conexões de peering de rede com endpoints privados
Ao habilitar endpoints privados, você ainda pode habilitar o acesso aos seus clusters Atlas usando outros métodos, como adicionar IPs públicos às listas de acesso IP e ao emparelhamento de rede.
Clientes que se conectam a clusters do Atlas usando outros métodos usam strings de conexão padrão. Seus clientes podem ter que identificar quando usar strings de conexão compatíveis com endpoints privados e strings de conexão padrão.
(Opcional) Endpoints privados regionalizados para clusters fragmentados em várias regiões
Para clusters globais fragmentados que você implanta em várias regiões, se precisar se conectar ao Atlas usando pontos de extremidade privados de redes que não podem ser emparelhadas entre si, você pode implantar múltiplos pontos de extremidade privados em uma região.
Você pode implantar qualquer número de pontos de extremidade privados em regiões nas quais implantou seu cluster. Cada ponto de extremidade privado regional se conecta às instâncias mongos da respectiva região.
AVISO: suas strings de conexão para clusters fragmentados globais e multirregionais existentes são alteradas quando você habilita essa configuração.
Você deve atualizar seus aplicativos para usar as novas connection strings. Isso pode causar tempo de inatividade.
Você poderá habilitar essa configuração somente se o seu projeto Atlas não contiver conjuntos de réplicas não fragmentados.
Não é possível desativar essa configuração se você tiver:
Mais de um endpoint privado em mais de uma região, ou
Mais de um endpoint privado em uma região e um endpoint privado em uma ou mais regiões.
Você pode criar somente clusters fragmentados ao ativar a configuração de endpoint privado regionalizado. Você não pode criar conjuntos de réplica.
Para usar esse recurso, habilite a configuração de endpoint privado regionalizado.
Para habilitar ou desabilitar a configuração de endpoint privado regionalizado:
Habilitar endpoints privados regionalizados
Para habilitar a configuração de endpoints privados regionalizado para seu projeto utilizando o Atlas CLI, execute o seguinte comando:
atlas privateEndpoints regionalModes enable [options]
Para saber mais sobre a sintaxe e os parâmetros do comando, consulte a documentação da Atlas CLI para atlas privateEndpoints regionalModes enable.
Desabilitar endpoints privados regionalizados
Para desativar a configuração de endpoints privados regionalizado para seu projeto utilizando o Atlas CLI, execute o seguinte comando:
atlas privateEndpoints regionalModes disable [options]
Para saber mais sobre a sintaxe e os parâmetros do comando, consulte a documentação do Atlas CLI para desabilitar Atlas privateEndpoints regionalModes.
Exibir configurações de endpoint privado regionalizado
Para visualizar as configurações de endpoint privado regionalizado do seu projeto usando a Atlas CLI, use o seguinte comando:
atlas privateEndpoints regionalModes describe [options]
Para saber mais sobre os parâmetros e a sintaxe de comando, consulte a documentação do Atlas CLI para descrição de regionalModes do Atlas privateEndpoints.
Habilitar endpoints privados regionalizados
No Atlas, acesse a página Project Settings.
Se ainda não tiver sido exibido, selecione a organização que contém seu projeto no menu Organizations na barra de navegação.
Se ainda não estiver exibido, selecione o projeto desejado no menu Projects na barra de navegação.
Ao lado do menu Projects, expanda o menu Options e clique em Project Settings.
A página Configurações do projeto é exibida.
Desabilitar endpoints privados regionalizados
No Atlas, acesse a página Project Settings.
Se ainda não tiver sido exibido, selecione a organização que contém seu projeto no menu Organizations na barra de navegação.
Se ainda não estiver exibido, selecione o projeto desejado no menu Projects na barra de navegação.
Ao lado do menu Projects, expanda o menu Options e clique em Project Settings.
A página Configurações do projeto é exibida.
Conectando-se a clusters multirregionais sem pontos de extremidade privados regionalizados.
Se você usar o AWS PrivateLink e tiver aplicativos que se conectam a clusters multirregionais que tenham pontos de extremidade em diferentes regiões, mas não estejam usando pontos de extremidade privados regionalizados, assegure que esses aplicativos possam alcançar os pontos de extremidade nas outras regiões. Por exemplo, para fazer isso com o AWS, você pode emparelhar as VPCsque contêm os pontos de extremidade em seu lado.
Evite o tempo de inatividade ao remover pontos de extremidade privados
Para clusters multirregionais, é necessário criar pontos de extremidade privados para cada região que possua um nó.
Se você estiver realizando manutenção em um cluster multirregional, não altere nem remova os pontos de extremidade privados até que a manutenção seja concluída para evitar a indisponibilidade do cluster.
Se você estiver migrando de um cluster multirregional para um cluster de região única, só poderá remover os antigos pontos de extremidade privados após verificar que seu cluster está totalmente funcional na nova configuração de região única e que todo o tráfego foi direcionado através do novo ponto de extremidade privado de região única.
Cobrança
Para saber mais sobre a cobrança de endpoints privados para clusters dedicados, veja Endpoints privados para clusters dedicados.
Limitações
O AWS PrivateLink deve estar ativo em todas as regiões nas quais você implementa um cluster multirregional. Você receberá um erro se o AWS PrivateLink estiver ativo em algumas regiões segmentadas, mas não em todas. Se você tiver um cluster de várias nuvens no AWS ou no Azure, deverá provisionar um endpoint em cada provedor ou região e configurar a VPN site a site.
Você pode escolher apenas uma das seguintes opções:
Distribua nós em mais de uma região e tenha um endpoint privado por região.
Tenha vários endpoints privados em uma região e nenhum outro endpoint privado.
Importante
Esta limitação se aplica a todos os fornecedores de nuvem. Por exemplo, se você criar mais de um endpoint privado em uma única região no Amazon Web Amazon Web Services Services, não poderá criar endpoints privados no Azure Azure ou em qualquer outra região Amazon Web Services do Amazon Web Services.
Consulte (Opcional) Pontos de extremidade privados regionalizados para clusters fragmentados multirregionais para obter uma exceção para cluster fragmentados multirregionais e globais.
Para se conectar a clusters do Atlas usando AWS PrivateLink a partir de regiões nas quais você não implantou uma conexão de endpoint privado, você deve fazer peering entre as VPCs nessas regiões com as VPCs em uma região na qual você implantou uma conexão de endpoint privado.
Para saber mais sobre emparelhamento da VPC entre regiões, consulte a documentação da AWS.
Você pode utilizar o AWS PrivateLink em projetos do Atlas com até 50 destinos endereçáveis por região. Se você precisar de mais de 50 destinos endereçáveis em uma região:
Entre em contato com o Suporte do MongoDB ou
Use projetos ou regiões adicionais para se conectar a alvos endereçáveis além deste limite.
Os alvos endereçáveis incluem:
Cada instância
mongodem uma implantação de conjunto de réplicas (clusters fragmentados excluídos).Cada implantação de cluster fragmentado que usa connection strings otimizadas.
Cada instância
mongospara implantações de cluster fragmentadas que usamstrings de conexão não otimizadas.Cada BI connector para instâncias do Atlas em todos os clusters dedicados no projeto.
Observação
Para solicitar um aumento único para utilizar o AWS PrivateLink com até cem alvos endereçáveis por projeto do Atlas, entre em contato com o Suporte do MongoDB.
Importante
Alguns clusters do Atlas no Azure criados antes de 10/16/2020 usam hardware de rede do Azure que é incompatível com o Azure Private Link. Você ainda pode configurar o Azure Private Link para projetos do Atlas com esses clusters para usar com os clusters compatíveis no projeto, mas não poderá se conectar aos incompatíveis por meio do Azure Private Link.
Todos os novos cluster do Atlas são compatíveis com o Azure Private Link. Se você precisar se conectar ao seu cluster usando somente o Azure Private Link, poderá criar um novo cluster no mesmo projeto do Atlas e migrar seus dados.
O Azure Private Link deve estar ativo em todas as regiões nas quais você implementa um cluster multirregional. Você receberá um erro se o Azure Private Link estiver ativo em algumas regiões segmentadas, mas não em todas. Se você tiver um cluster multinuvem na AWS ou no Azure, deverá provisionar um ponto de extremidade em cada provedor ou região e configurar a VPN site a site.
Você pode escolher apenas uma das seguintes opções:
Distribua nós em mais de uma região e tenha um endpoint privado por região.
Tenha vários endpoints privados em uma região e nenhum outro endpoint privado.
Importante
Esta limitação se aplica a todos os fornecedores de nuvem. Por exemplo, se você criar mais de um endpoint privado em uma única região no Azure Azure, não poderá criar endpoints privados no Amazon Amazon Web Services Web Services ou em qualquer outra região do Azure Azure.
Consulte (Opcional) Pontos de extremidade privados regionalizados para clusters fragmentados multirregionais para obter uma exceção para cluster fragmentados multirregionais e globais.
Para se conectar aos clusters do Atlas usando o Azure Private Link de regiões onde você não implantou uma conexão de ponto de extremidade privado, é necessário emparelhar as VNets nessas regiões com as VNets em uma região na qual você implantou uma conexão de ponto de extremidade privado.
Para saber mais sobre o emparelhamento de VNet global, consulte a documentação do Azure.
Você pode usar o Azure Private Link em projetos do Atlas com até 150 destinos endereçáveis por região. Se você precisar de mais de 150 destinos endereçáveis em uma região:
Entre em contato com o Suporte do MongoDB ou
Use projetos ou regiões adicionais para se conectar a alvos endereçáveis além deste limite.
Os alvos endereçáveis incluem:
O Azure Private Link não permite mais de 64k conexões TCP por destino, o que pode ser menor do que o número máximo de conexões que um cluster pode manter.
O GCP Private Service Connect deve estar ativo em todas as regiões nas quais você implementa um cluster multirregional. Você receberá um erro se o GCP Private Service Connect estiver ativo em algumas regiões segmentadas, mas não em todas.
Você pode escolher apenas uma das seguintes opções:
Distribua nós em mais de uma região e tenha um endpoint privado por região.
Tenha vários endpoints privados em uma região e nenhum outro endpoint privado.
Importante
Esta limitação se aplica a todos os fornecedores de nuvem. Por exemplo, se você criar mais de um endpoint privado em uma única região no Google Cloud Google Cloud Platform Platform, não poderá criar endpoints privados no Amazon Amazon Web Services Web Services ou em qualquer outra Google Cloud Platform região do Google Cloud Platform.
Consulte (Opcional) Pontos de extremidade privados regionalizados para clusters fragmentados multirregionais para obter uma exceção para cluster fragmentados multirregionais e globais.
O Atlas cria anexos de serviço 50, cada um com um valor de máscara de sub-rede de 27. Você pode alterar o número de anexos de serviço e as máscaras de sub-rede que o Atlas cria, definindo os seguintes limites com o ponto de extremidade da API de administração do Atlas Definir um limite de projeto:
Defina o limite
atlas.project.deployment.privateServiceConnectionsPerRegionGrouppara alterar o número de anexos de serviço.Defina o limite
atlas.project.deployment.privateServiceConnectionsSubnetMaskpara alterar a máscara de sub-rede para cada anexo de serviço.
Para saber mais, consulte Definir um limite de projeto.
Você pode ter até 50 nós ao criar projetos do Atlas que usam o GCP Private Service Connect em uma única região. Se você precisar alterar o número de nós, execute uma das seguintes ações:
Remova os pontos de extremidade privados existentes e, em seguida, altere o limite usando o ponto de extremidade da API de administração do Atlas Definir um limite de projeto.
Entre em contato com o suporte do MongoDB.
Use projetos ou regiões adicionais para se conectar a nós além deste limite.
Cada ponto de extremidade privado no Google Cloud reserva um endereço IP em sua VPC do Google Cloud e encaminha o tráfego dos endereços IP dos pontos de extremidade para os anexos de serviço. Você deve criar um número igual de pontos de extremidade privados em relação ao número de anexos de serviço. O número de anexos de serviço tem como padrão 50.
Os alvos endereçáveis incluem:
Se você configurar nós de pesquisa dedicados para clusters
M10+em qualquer região do Google Cloud, o Atlas não contará esses nós na contagem total de alvos endereçáveis.Para solicitar um aumento único para usar o GCP Private Service Connect com até 100 nós por projeto do Atlas, entre em contato com o suporte do MongoDB.
Você pode ter até 40 nós ao criar projetos do Atlas que usam o GCP Private Service Connect em várias regiões. Esse total exclui as seguintes instâncias:
Regiões do Google Cloud se comunicando umas com as outras
Clusters gratuitos ou clusters compartilhados
O Google Cloud Private Service Connect aceita até 1024 conexões de saída por máquina virtual. Como resultado, você não pode ter mais de 1024 conexões de uma única máquina virtual do Google Cloud para um cluster do Atlas.
Para saber mais, consulte a documentação sobre o Cloud NAT do Google Cloud.
O Google Cloud Private Service Connect é específico da região. No entanto, você pode configurar o acesso global para acessar pontos de extremidade privados de uma região diferente.
Para saber mais, consulte Suporte multirregional.
Observação
Você não pode usar o emparelhamento de VPC para acessar pontos de extremidade privados de uma região diferente.
Ao usar o Private Service Connect para se conectar a clusters de várias regiões, você pode se conectar somente aos nós de cluster que estão na mesma região que o ponto de extremidade privado. Se o ponto de extremidade e o nó primário estiverem em regiões diferentes, você deverá:
Defina a preferência de leitura do seu aplicativo para permitir conexões de um nó secundário.
Por exemplo, você pode definir a preferência de leitura do seu aplicativo como secondaryPreferred.
Certificar-se de que pelo menos um nó secundário esteja na mesma região que o ponto de extremidade.
Antes de implantar um ponto de extremidade privado em uma região, você deve primeiro retomar quaisquer clusters pausados em seu projeto com nós implantados nessa região.
Pré-requisitos
Para habilitar conexões para o Atlas utilizando endpoints privados, você deve:
Tenha um método de pagamento válido já configurado para a sua organização.
Configure o endpoint privado na mesma região que o cluster do Atlas ao qual você deseja se conectar.
Ter a função
Project OwnerouOrganization Ownerno Atlas.Tenha uma conta de usuário na AWS com uma política de usuário do IAM que conceda permissões para criar, modificar, descrever e excluir endpoints. Para mais informações sobre o controle do uso de pontos de conexão da interface, consulte a documentação da AWS.
(Recomendado): Instale a AWS CLI.
Se ainda não tiver feito isso, crie suas instâncias de VPC e EC2 na AWS. Consulte a documentação da AWS para orientação.
Ter a função
Project OwnerouOrganization Ownerno Atlas.Instale o Azure CLI.
Se você ainda não tiver feito isso, crie suas instâncias de VNet e Compute no Azure. Consulte a documentação do Azure para obter orientação.
Ter a função
Project OwnerouOrganization Ownerno Atlas.Tenha uma conta de usuário do Google Cloud com uma política de usuário do IAM e uma função de administrador de rede do Compute que concede permissões para criar, modificar e excluir recursos de rede. Para obter mais informações sobre como gerenciar pontos de extremidade e conexões privadas, consulte a documentação do GCP.
Se você ainda não fez isso, crie suas instâncias de VPC e Compute no Google Cloud. Consulte a documentação do GCP para obter orientação.
Certifique-se de que as regras de firewall de saída permitam o tráfego para o endereço IP interno do endpoint do GCP Private Service Connect.
(Opcional) Se você forçar um perímetro de segurança com controles de serviço VPC (VPC-SC), deverá criar regras de entrada e saída para estabelecer a conexão entre o ponto de extremidade GCP Private Service Connect e os clusters do Atlas. Consulte a documentação do GCP para obter orientação.
Permita acesso global para usar o Private Service Connect para se conectar a clusters do Atlas em diferentes regiões.