Autenticação segura do cliente com LDAP

Copie o recurso definir de exemplo.

Altere as configurações desse arquivo YAML para corresponder à configuração desejada do definir .

1
---
2
apiVersion: mongodb.com/v1
3
kind: MongoDB
4
metadata:
5
  name: <my-replica-set>
6
spec:
7
  members: 3
8
  version: "4.2.2-ent"
9
  opsManager:
10
    configMapRef:
11
            # Must match metadata.name in ConfigMap file
12
      name: <configMap.metadata.name>
13
  credentials: <mycredentials>
14
  type: ReplicaSet
15
  persistent: true

16
  security:
17
    tls:
18
      ca: <custom-ca>
19
    certsSecretPrefix: <prefix>
20
...

Cole a seção de exemplo copiada no recurso de conjunto de réplicas existente.

Abra seu editor de texto preferido e cole o objeto especificação no final do seu arquivo de recurso na spec seção .

Configure as configurações LDAP para seu recurso de conjunto de réplica .

Para habilitar o LDAP em seu sistema, defina as seguintes configurações em seu objeto Kubernetes:

A configuração resultante pode ser semelhante ao exemplo a seguir:

security:
 authentication:
   enabled: true
   # Enabled LDAP Authentication Mode
   modes:
     - "LDAP"
     - "SCRAM"
     # LDAP related configuration
   ldap:
   # Specify the hostname:port combination of one or
   # more LDAP servers
     servers:
       - "ldap1.example.com:636"
       - "ldap2.example.com:636"
   # Set to "tls" to use LDAP over TLS. Leave blank if
   # the LDAP server doesn't accept TLS. You must enable TLS when you deploy the database resource to use this setting.
   transportSecurity: "tls"
   # If TLS is enabled, add a reference to a ConfigMap that
   # contains a CA certificate that validates the LDAP server's
   # TLS certificate.
   caConfigMapRef:
     name: "<configmap-name>"
     key: "<configmap-entry-key>"
   # Specify the LDAP Distinguished Name to which
   # MongoDB binds when connecting to the LDAP server
   bindQueryUser: "cn=admin,dc=example,dc=org"
   # Specify the password with which MongoDB binds
   # when connecting to an LDAP server. This is a
   # reference to a Secret Kubernetes Object containing
   # one "password" key.
   bindQueryPasswordSecretRef:
     name: "<secret-name>"

Para obter uma lista completa das configurações LDAP, consulte as configurações de segurança na especificação de recursos do MongoDB do Kubernetes Operator. Consulte também a configuração spec.security.authentication.agents.automationUserName para o MongoDB Agent user em seu Kubernetes Operator habilitado para LDAP.

Configure as configurações LDAP para o MongoDB Agent.

Atualize o recurso do MongoDB com configurações de segurança específicas para o agente, a partir da especificação de recursos do MongoDB do Kubernetes Operator. A configuração resultante pode ser semelhante ao exemplo a seguir:

security:
  authentication:
    agents:
      automationPasswordSecretRef:
        key: automationConfigPassword
        name: automation-config-password
      automationUserName: mms-automation-agent
      clientCertificateSecretRef:
        name: agent-client-cert
      mode: LDAP
    enabled: true
    ldap:
      bindQueryPasswordSecretRef:
        name: bind-query-password
      bindQueryUser: cn=admin,dc=example,dc=org
      servers:
        - openldap.namespace.svc.cluster.local:389
      userToDNMapping: '[{match: "(.+)",substitution: "uid={0},ou=groups,dc=example,dc=org"}]'
    modes:
      - LDAP
      - SCRAM
    requireClientTLSAuthentication: false

Salve o arquivo de configuração do conjunto de réplicas .

Aplique suas alterações à implantação do conjunto

de réplicas .

Invoque o seguinte comando do Kubernetes para atualizar seu conjunto de réplicas:

kubectl apply -f <replica-set-conf>.yaml

Monitore o status da sua implementação.

Para verificar o status do seu recurso MongoDB, utilize o seguinte comando:

kubectl get mdb <resource-name> -o yaml -w

Com o sinalizador -w (inspeção) definido, quando a configuração muda, o resultado é atualizado imediatamente até que a fase de status atinja o estado Running . Para saber mais sobre os status de distribuição de recursos, consulte Solucionar problemas do operador Kubernetes.

Copie o recurso cluster fragmentado da amostra.

Altere as configurações desse arquivo YAML para corresponder à configuração de cluster fragmentado desejado.

1
---
2
apiVersion: mongodb.com/v1
3
kind: MongoDB
4
metadata:
5
  name: <my-sharded-cluster>
6
spec:
7
  shardCount: 2
8
  mongodsPerShardCount: 3
9
  mongosCount: 2
10
  configServerCount: 3
11
  version: "4.2.2-ent"
12
  opsManager:
13
    configMapRef:
14
      name: <configMap.metadata.name>
15
            # Must match metadata.name in ConfigMap file
16
  credentials: <mycredentials>
17
  type: ShardedCluster
18
  persistent: true

19
  security:
20
    tls:
21
      ca: <custom-ca>
22
    certsSecretPrefix: <prefix>
23
...

Cole a seção de exemplo copiada no recurso do cluster

fragmentado existente.

Abra seu editor de texto preferido e cole o objeto especificação no final do seu arquivo de recurso na spec seção .

Configure as configurações LDAP para seu cluster fragmentado .

Para habilitar o LDAP em seu sistema, defina as seguintes configurações em seu objeto Kubernetes:

A configuração resultante pode ser semelhante ao exemplo a seguir:

security:
 authentication:
   enabled: true
   # Enabled LDAP Authentication Mode
   modes:
     - "LDAP"
     - "SCRAM"
     # LDAP related configuration
   ldap:
   # Specify the hostname:port combination of one or
   # more LDAP servers
     servers:
       - "ldap1.example.com:636"
       - "ldap2.example.com:636"
   # Set to "tls" to use LDAP over TLS. Leave blank if
   # the LDAP server doesn't accept TLS. You must enable TLS when you deploy the database resource to use this setting.
   transportSecurity: "tls"
   # If TLS is enabled, add a reference to a ConfigMap that
   # contains a CA certificate that validates the LDAP server's
   # TLS certificate.
   caConfigMapRef:
     name: "<configmap-name>"
     key: "<configmap-entry-key>"
   # Specify the LDAP Distinguished Name to which
   # MongoDB binds when connecting to the LDAP server
   bindQueryUser: "cn=admin,dc=example,dc=org"
   # Specify the password with which MongoDB binds
   # when connecting to an LDAP server. This is a
   # reference to a Secret Kubernetes Object containing
   # one "password" key.
   bindQueryPasswordSecretRef:
     name: "<secret-name>"

Para obter uma lista completa das configurações LDAP, consulte as configurações de segurança na especificação de recursos do MongoDB do Kubernetes Operator. Consulte também a configuração spec.security.authentication.agents.automationUserName para o MongoDB Agent user em seu Kubernetes Operator habilitado para LDAP.

Configure as configurações LDAP para o MongoDB Agent.

Atualize o recurso do MongoDB com configurações de segurança específicas para o agente, a partir da especificação de recursos do MongoDB do Kubernetes Operator. A configuração resultante pode ser semelhante ao exemplo a seguir:

security:
  authentication:
    agents:
      automationPasswordSecretRef:
        key: automationConfigPassword
        name: automation-config-password
      automationUserName: mms-automation-agent
      clientCertificateSecretRef:
        name: agent-client-cert
      mode: LDAP
    enabled: true
    ldap:
      bindQueryPasswordSecretRef:
        name: bind-query-password
      bindQueryUser: cn=admin,dc=example,dc=org
      servers:
        - openldap.namespace.svc.cluster.local:389
      userToDNMapping: '[{match: "(.+)",substitution: "uid={0},ou=groups,dc=example,dc=org"}]'
    modes:
      - LDAP
      - SCRAM
    requireClientTLSAuthentication: false

Salve seu arquivo de configuração do cluster fragmentado .

Aplique suas alterações à sua implantação de cluster fragmentado .

Invoque o seguinte comando do Kubernetes para atualizar seu cluster fragmentado:

kubectl apply -f <sharded-cluster-conf>.yaml

Monitore o status da sua implementação.

Para verificar o status do seu recurso MongoDB, utilize o seguinte comando:

kubectl get mdb <resource-name> -o yaml -w

Com o sinalizador -w (inspeção) definido, quando a configuração muda, o resultado é atualizado imediatamente até que a fase de status atinja o estado Running . Para saber mais sobre os status de distribuição de recursos, consulte Solucionar problemas do operador Kubernetes.