Configuração de firewall

Nesta página

Portas acessíveis

O Cloud Manager não oferecerá mais suporte para Automação, Backup e Monitoramento do MongoDB 3.6 e 4.0 após 30 de agosto de 2024. Faça upgrade da sua versão do MongoDB ou migre para o Atlas.

A autenticação OAuth 2.0 para acesso programático ao Cloud Manager está disponível como um recurso de visualização.: O recurso e a documentação correspondente podem mudar a qualquer momento durante o período de Pré-visualização. Para usar a 2.0 autenticação OAuth, crie uma conta de serviço para usar em suas solicitações para a API pública do Cloud Manager .

Portas acessíveis

O Cloud Manager deve ser capaz de se conectar a users e MongoDB Agents por meio de HTTP ou HTTPS. MongoDB Agents devem ser capazes de se conectar aos MongoDB client MongoDB databases.

Embora o Cloud Manager exija apenas portas de rede HTTP (ou HTTPS) e MongoDB abertas para se conectar aos usuários e aos bancos de dados, as portas que são abertas em um firewall dependem de quais recursos estão ativados: criptografia, autenticação e monitoramento.

Esta página define quais sistemas precisam se conectar a quais portas em outros sistemas.

O Cloud Manager exige acesso nas seguintes portas e endereços IP.

Buscar endereços IP necessários

Envie uma solicitação GET controlPlaneIPAddresses para o endpoint para a API Atlas Admin para buscar os endereços IP do plano de controle atual que o Cloud Manager exige. O endpoint da API retorna uma lista de endereços IP do plano de controle de entrada e saída na notação CIDR categorizada por provedor de nuvem e região, semelhante à seguinte:

{
  "controlPlane": {
    "inbound": {
      "aws": { // cloud provider
        "us-east-1": [ // region
          "3.92.113.229/32",
          "3.208.110.31/32",
          "107.22.44.69/32"
          ...,
        ],
        ...
       }
     },
     "outbound": {
       "aws": { // cloud provider
         "us-east-1": [ // region
           "3.92.113.229/32",
           "3.208.110.31/32",
           "107.22.44.69/32"
           ...,
         ],
         ...
        }
      }
  },
  "data_federation": {
    "inbound": {},
    "outbound" {}
  },
  "app_services": {
    "inbound": {},
    "outbound" {}
  },
  ...
}

Importante

A API Atlas Admin usa os termos inbound e outbound em relação ao plano de controle, não à sua rede. Como resultado:

As regras de entrada da sua rede devem corresponder aos outbound CIDRs listados na API Atlas Admin.
As regras de saída da sua rede devem corresponder aos inbound CIDRs listados na API Atlas Admin.

O diagrama a seguir mostra a relacionamento entre inbound e outbound para o plano de controle e sua rede:

Um diagrama mostrando que o tráfego de entrada para o plano de controle reflete o tráfego de saída da sua rede, e o tráfego de saída para o plano de controle reflete o tráfego de entrada para sua rede.

clique para ampliar

Acesso necessário: `controlPlane.inbound` endereços IP

controlPlane.inbound lista o tráfego de endereços que entra no plano de controle. Se a sua rede permitir solicitações HTTP de saída somente para endereços IP específicos, você deverá permitir o acesso aos endereços IP listados em controlPlane.inbound para que o MongoDB possa se comunicar com seus webhooks.

Use a API Atlas Admin para obter os endereços IP atuais que o Cloud Manager exige.

Você tem a opção de configurar alertas para serem entregues via webhook. Isso envia uma solicitação de HTTP POST para um endpoint para processamento programático. Se quiser enviar um webhook com êxito para o endpoint especificado, você deverá permitir o acesso aos endereços IP listados controlPlane.inbound em.

Acesso necessário: `controlPlane.outbound` endereços IP

controlPlane.outbound lista o tráfego de endereços proveniente do plano de controle. A lista de endereços IP HTTP de entrada da sua rede deve permitir o acesso a partir dos endereços IP listados controlPlane.outbound em.

Use a API Atlas Admin para obter os endereços IP atuais que o Cloud Manager exige.

Isso permite que os agentes MongoDB GET e POST para os seguintes hosts:

api-agents.mongodb.com
api-backup.mongodb.com
api-backup.us-east-1.mongodb.com
queryable-backup.us-east-1.mongodb.com
restore-backup.us-east-1.mongodb.com
real-time-api-agents.mongodb.com

Os MongoDB Agents se conectam ao Cloud Manager na porta 443. Se você provisiona seus hosts em um fornecedor de serviços de nuvem ou em sua própria rede, configure sua infraestrutura de rede para permitir conexões de saída na porta 443.

Domínio para download de binários MongoDB

Os agentes MongoDB exigem acesso de saída aos seguintes domínios, dependendo da sua edição MongoDB, para baixar binários MongoDB:

Edição do MongoDB	Domínio da lista de acesso	Intervalos de IP	Provedor de serviços
Community	`fastdl.mongodb.org`	Intervalos de IP para CloudFront. Os intervalos de IP do CloudFront mudam com frequência.	Amazon CloudFront
Enterprise	`downloads.mongodb.com`
Construção personalizada do MongoDB	URL acessível aos agentes MongoDB

Domínio para Downloads e atualizações do agente MongoDB

Se você restringir o acesso externo, deverá conceder aos seus MongoDB Agents acesso ao seguinte domínio para baixar e atualizar o MongoDB Agent.

Domínio da lista de acesso	Intervalos de IP	Provedor de serviços
`s3.amazonaws.com`	Intervalos IP para AWS. Os intervalos de IP da AWS mudam com frequência.	AWS

Portas necessárias dentro da sua rede

Todos os processos do MongoDB em um sistema devem estar acessíveis a todos os MongoDB Agents que gerenciam processos nessa implantação. Portanto, todas as portas MongoDB devem estar abertas a todos os hosts dentro da sua rede que atendam a um agente MongoDB.

Exemplo

Se você estiver executando processos do MongoDB em 27000, 27017 e 27020, essas três portas deverão estar abertas em todos os hosts que estiverem servindo um agente MongoDB.

Voltar

Visão geral

Conexões seguras