Menu Docs
Página inicial do Docs
/
MongoDB Cloud Manager
/
Segurança

Habilitar TLS para uma implantação

Nesta página

  • Considerações
  • Pré-requisitos
  • Procedimentos

Para que o Cloud Manager monitore, implemente ou faça backup de uma implementação do MongoDB que usa TLS, você deve habilitar o TLS para o projeto do Cloud Manager.

Considerações

Tópicos que não estão no escopo

Uma descrição completa da Transport Layer Security, infraestrutura de chave pública, X.509 certificados e Autoridades de certificação excede o escopo deste tutorial. Este tutorial pressupõe o conhecimento prévio do TLS e o acesso a certificados X.509 válidos.

Observação

Se você deseja redefinir as configurações de autenticação e TLS para seu projeto, primeiro deixe de gerenciar qualquer MongoDB deployment que o Cloud Manager gerencia em seu projeto.

Pré-requisitos

Obtenha e instale o certificado TLS em cada host MongoDB

Adquira um certificado TLS para cada host que atende um processo do MongoDB. Este certificado deve incluir o FQDN para o nome de host deste host MongoDB. O FQDN deve ser o nome alternativo do assunto deste host. Você deve instalar este certificado TLS no host MongoDB.

Procedimentos

Importante

Você deve concluir:

  1. Defina os sistemas existentes para usar TLS, então

  2. Habilitar TLS para o projeto

antes de clicar em Review & Deploy.

Definir implantações existentes para usar o TLS

Se você deseja ativar o TLS para sistemas MongoDB existentes em seu projeto do Cloud Manager :

1

No MongoDB Cloud Manager, acesse aGo Deployment página do seu projeto.

  1. Se ainda não estiver exibido, selecione a organização que contém o projeto desejado no menu Organizations na barra de navegação.

  2. Se ainda não estiver exibido, selecione o projeto desejado no menu Projects na barra de navegação.

  3. Se a página Deployment ainda não estiver exibida, clique em Deployment na barra lateral.

    A página Sistema é exibida.

2

Acesse a página Processes.

Clique na aba Processes para sua implantação.

A página Processos é exibida.

3

Selecione a Clusters visualização para sua implantação.

4

Na linha listando o processo, clique Modify em .

5

Expanda a Advanced Configuration Options seção.

Habilitar TLS para o projeto

1

No MongoDB Cloud Manager, acesse aGo Deployment página do seu projeto.

  1. Se ainda não estiver exibido, selecione a organização que contém o projeto desejado no menu Organizations na barra de navegação.

  2. Se ainda não estiver exibido, selecione o projeto desejado no menu Projects na barra de navegação.

  3. Se a página Deployment ainda não estiver exibida, clique em Deployment na barra lateral.

    A página Sistema é exibida.

2

Acesse a página Security.

Clique na aba Security para sua implantação.

A página Segurança é exibida.

3

Vá paraGo a caixa de diálogo do seu sistema.Security Settings

Realize uma das seguintes ações:

  • Se esta for a primeira vez que você define configurações de TLS, autenticação ou autorização para este projeto, clique em Get Started.

  • Se você já configurou a autenticação do TLS ou as configurações de autorização deste projeto, clique em Edit.

4

Escolha seus mecanismos de autenticação.

  1. Na tela Select Authentication Mechanisms , habilite um ou mais mecanismos de autenticação.

    O TLS funciona com todos os mecanismos de autenticação.

  2. Clique em Next.

5

Especifique as Configurações do TLS.

Campo
em ação
MongoDB Deployment Transport Layer Security (TLS)
Alterne este controle deslizante para ON.
Caminho do arquivo TLS CA

O arquivo da Autoridade de Certificação TLS é um arquivo de certificado no formato .pemque contém a cadeia de certificados raiz da Autoridade de Certificação. O MongoDB Agent usa esse mesmo arquivo de autoridade de certificação para se conectar a cada item em seu sistema.

A chave privada criptografada para o .pem arquivo de certificado deve estar em PKCS #1 formato. O MongoDB Agent não é compatível com o PKCS #8 formato.

Digite o caminho do arquivo da autoridade de certificação TLS em cada host que estiver executando um processo do MongoDB:

  • Digite o caminho do arquivo em todos os hosts Linux na primeira caixa.

  • Digite o caminho do arquivo em todos os hosts do Windows na segunda caixa.

Isto habilita a configuração do net.tls.CAFile para os processos do MongoDB no projeto.

Clique em Validate para testar se cada host no seu sistema tem uma Autoridade de Certificado TLS nos caminhos especificados.

Modo de certificado de cliente

Selecione se os aplicativos do cliente ou os MongoDB Agents devem apresentar um certificado TLS ao se conectar a um sistema MongoDB habilitado para TLS. Cada sistema do MongoDB verifica se há certificados desses hosts clientes quando eles tentam se conectar. Se você optar por exigir os certificados TLS do cliente, verifique se eles são válidos.

Os valores aceitos são:

Opcional
Cada cliente pode apresentar um certificado TLS válido ao conectar a MongoDB deployments. Os MongoDB Agents podem usar certificados TLS se você não definir mongod tlsMode como None.
Obrigatório
Todo sistema do MongoDB neste projeto começa com conexões de rede criptografadas por TLS. Todos os agentes devem usar o TLS para se conectar a qualquer sistema do MongoDB.
6

Configure os agentes MongoDB.

  1. Na lista Agent Auth Mechanism , clique nos mesmos mecanismos de autenticação que você criou para o projeto.

  2. Siga o procedimento para configurar o MongoDB Agent para usar esse método de autenticação:

Observação

Se você tivesse certificados TLS para agente legado, consulte E se eu tivesse certificados TLS para agente de monitoramento? no final deste procedimento para orientação.

7

Clique Save em para definir suas alterações.

8

Clique Review & Deploy em para rever as suas alterações.

O Cloud Manager exibe as alterações propostas.

  1. Se estiver satisfeito, clique em Confirm & Deploy.

  2. Para fazer mais alterações de configuração, clique em Cancel. Clique em Modify para o cluster fazer alterações adicionais.

  • Se você atualizou para o MongoDB Agent a partir de sistemas que usaram a automação, o MongoDB Agent managed as configurações do TLS .

  • Se você atualizou para o MongoDB Agent a partir de sistemas que não usavam automação, mas tinha agentes de backup, agentes de monitoramento ou ambos, você poderá definir as configurações específicas do agente de backup e do agente de monitoramento durante a atualização do agente ou por meio do seguinte procedimento:

1

No MongoDB Cloud Manager, acesse aGo Deployment página do seu projeto.

  1. Se ainda não estiver exibido, selecione a organização que contém o projeto desejado no menu Organizations na barra de navegação.

  2. Se ainda não estiver exibido, selecione o projeto desejado no menu Projects na barra de navegação.

  3. Se a página Deployment ainda não estiver exibida, clique em Deployment na barra lateral.

    A página Sistema é exibida.

2

Acesse a página Agents.

Clique na aba Agents para sua implantação.

A página Agentes é exibida.

3

Edite a configuração.

  1. Clique em Downloads & Settings, Custom Configurations e depois em Edit Custom Configuration.

  2. Clique em .

4

Conclua a Backup Configurations seção.

  1. Digite a configuração desejada na caixa Setting e seu valor correspondente na caixa Value .

  2. Para adicionar mais de um Setting, clique no link + Add Setting . Outra linha é exibida.

  3. Repita até que todas as configurações tenham sido adicionadas.

5

Conclua a Monitoring Configurations seção.

  1. Digite a configuração desejada na caixa Setting e o valor correspondente na caixa Value .

  2. Para adicionar mais de um Setting, clique no link + Add Setting . Outra linha é exibida.

  3. Repita até que todas as configurações tenham sido adicionadas.

Você pode clicar em para remover as configurações adicionadas.

Se você estiver usando a funcionalidade somente de monitoramento do Cloud Manager com um cluster habilitado para TLS, deverá concluir as etapas a seguir para permitir que o agente de monitoramento do MongoDB se conecte ao cluster monitorado habilitado para TLS.

1

Habilitar SSL para Sistema Monitorado.

  1. Navegue até a visualização da lista Implementação e clique em à direita da implantação direcionada.

  2. Selecione Configurações de monitoramento > TLS e SSL.

  3. Alterne o modal para o estado Ligado.

Voltar

Configuração de firewall

Próximo

Proteger com autenticação