Menu Docs

Configuração de firewall

Nesta página

O aplicativo de Ops Manager deve ser capaz de se conectar a usuários e agentes MongoDB por HTTP ou HTTPS. Os agentes MongoDB devem ser capazes de se conectar aos bancos de dados MongoDB do cliente MongoDB.

Embora o Ops Manager exija apenas portas de rede HTTP (ou HTTPS) e MongoDB abertas para se conectar com usuários e bancos de dados, as portas que são abertas em um firewall dependem de quais recursos estão habilitados: criptografia, autenticação e monitoramento.

Esta página define quais sistemas precisam se conectar a quais portas em outros sistemas.

O Ops Manager se conecta a vários serviços. Esta página explica as portas que devem ser abertas para implantar os vários componentes usados com uma sistema do Ops Manager.

As portas específicas que devem ser abertas em qualquer firewall intermediário dependem de quais recursos estão habilitados, como criptografia, autenticação e monitoramento.

Diagram showing the connections between Ops Manager's components.
clique para ampliar

Dica

Todas as portas listadas nas seções a seguir ou são a porta especificada na documentação para instalações do MongoDB ou as portas conhecidas para o serviço específico atribuído pela IANA. Se o número da porta puder ser alterado, ele será anotado após a tabela em cada seção.

Para executar o Ops Manager sem uma conexão com a Internet, consulte Configurar sistema para ter acesso limitado à Internet para garantir que você tenha todos os binários necessários para executar o Ops Manager sem uma conexão com a Internet.

O Ops Manager exige os seguintes requisitos mínimos de porta de rede:

  • Tanto os usuários do Ops Manager quanto os agentes MongoDB devem ser capazes de se conectar ao aplicativo de Ops Manager por HTTP ou HTTPS.

  • O Ops Manager deve ser capaz de se conectar ao mongod que executa os bancos de dados MongoDB do aplicativo Ops Manager.

  • Para cada projeto do Ops Manager, os MongoDB Agents devem ser capazes de se conectar a todos os processos MongoDB do cliente (mongod ou mongos).

  • O aplicativo Ops Manager também deve ser capaz de enviar e-mails aos usuários do Ops Manager.

Para usar o Ops Manager, abra as seguintes portas para os hosts especificados.

Serviço, serviço
Porta padrão
Transporte
Direção
Propósito
Usa TLS?

HTTP

8080

TCP

Entrada

Fornece uma conexão web ao Ops Manager de usuários e MongoDB Agents.

No

HTTPS

8443

TCP

Entrada

Fornece uma conexão segura com o Ops Manager a partir de usuários e MongoDB Agents.

Sim

HTTP ou HTTPS

8090

TCP

Entrada

Fornece um endpoint de verificação de integridade para monitorar o Ops Manager por meio de um serviço de monitoramento como Zabbix ou Nagios. Ele só está disponível por meio de localhost e está desativado por padrão.

Para habilitá-lo, consulte Habilitar o Health Check Endpoint. Quando ativado, você pode acessar o endpoint em:

http://127.0.0.1:8090/health

IMPORTANTE: esta porta só é acessível a partir de localhost (ou 127.0.0.1). O número da porta pode ser alterado de 8090 para outro valor.

O ponto de extremidade API oferece a capacidade de verificar conexões do serviço HTTP para o banco de dados de aplicativos do Ops Manager e o armazenamento de Backup do Snapshot.

Uma resposta bem-sucedida retorna o seguinte:

{
"mms_db": "OK",
"backup_db": "OK"
}

Opcional

MongoDB

27017

TCP

saída

Conecta-se ao aplicativo MongoDB, backup e bancos de dados de clientes.

Opcional

SMTP

587

TCP

saída

Envia e-mails do Ops Manager para um host SMTP ou para o AWS SES.

Opcional

Observação

A maioria da administração do Ops Manager pode ser realizada por meio da interface do usuário. Alguns procedimentos exigem acesso ao sistema operacional. Para permitir que seus administradores acessem seu Ops Manager, bem como os hosts do MongoDB, abra as seguintes portas para esses hosts.

Serviço, serviço
Porta padrão
Transporte
Direção
Propósito
Usa TLS?

ssh

22

TCP

Entrada

Administração do sistema Linux.

Sim

RDP

3389

TCP

Entrada

Administração do sistema Windows.

No

O Ops Manager pode fazer backup de bancos de dados MongoDB em um ou mais sistemas de armazenamento:

Para fazer backup de hosts MongoDB, abra as seguintes portas para os hosts de backup preferidos (armazenamento de blocos, armazenamento de snapshots de armazenamento compatível com S3 e/ou armazenamento de snapshots do sistema de arquivos):

Serviço, serviço
Porta padrão
Transporte
Direção
Propósito
Usa TLS?

MongoDB

27017

TCP

saída

Faça backup de snapshots de todo o banco de dados para blockstore ou snapshots de metadados para o banco de dados de metadados de blockstore de armazenamento compatível com o S3.

Opcional

HTTPS

443

TCP

saída

Faça backup dos dados do snapshot do banco de dados em um bucket de armazenamento compatível com S3.

Sim

NFS

2049

TCP

saída

Faça backup de capturas de imagens do banco de dados no sistema de arquivos baseado em UNIX/Linux-based.

No

CIFS

3020

TCP

saída

Faça backup de snapshots do banco de dados no sistema de arquivos baseado no Windows.

No

Servidor proxy

25999

TCP

saída

Consulte o host de backup de captura instantânea.

No

Os snapshots também podem ser restaurados usando o link exibido no aplicativo Ops Manager. As mesmas portas necessárias para usar o Ops Manager precisariam estar abertas para que o usuário baixasse o snapshot.

Para encontrar o link de download, clique em Continuous Backup, depois na aba Restore History e, em seguida, clique no link download ao lado do snapshot.

Observação

MongoDB 3.4.2 O Enterprise e o posterior oferecem a capacidade de executar queries de snapshots de backup. O Ops Manager provisiona esses snapshots consultáveis como instâncias do MongoDB somente leitura, conforme descrito em Query a Backup. Para executar query de uma captura de imagem da cópia de segurança, abra as seguintes portas:

Serviço, serviço
Porta padrão
Transporte
Direção
Propósito
Usa TLS?

MongoDB

27700-27719

TCP

Entrada

Habilite a comunicação entre o host do aplicativo e um snapshot de backup para query

Opcional

Os usuários do MongoDB Enterprise podem autenticar usuários do Ops Manager usando LDAP. Para autenticar usando LDAP, abra as seguintes portas no Ops Manager e no seu host LDAP.

Serviço, serviço
Porta padrão
Transporte
Direção
Propósito
Usa TLS?

LDAP

389

UDP

Ambos

Autenticar e/ou autorizar usuários do Ops Manager em relação ao host do LDAP.

No

LDAPS

636

UDP

Ambos

Autenticar e/ou autorizar usuários do Ops Manager em relação ao host do LDAP.

Sim

Para configurar as strings de URI LDAP do Ops Manager, incluindo a configuração de uma porta não padrão, consulte Autenticação do usuário.

Os usuários do MongoDB Enterprise podem usar Kerberos ou LDAP para autenticar usuários do MongoDB. Para autenticar usando LDAP ou Kerberos, abra as seguintes portas entre os bancos de dados de clientes MongoDB, Ops Manager e o(s) host(s) Kerberos ou LDAP.

Serviço, serviço
Porta padrão
Transporte
Direção
Propósito
Usa TLS?

Kerberos

88

TCP / UDP

saída

Solicite autenticação para usuários MongoDB em relação ao host Kerberos.

No

Kerberos

88

UDP

Entrada

Receber autenticação para usuários MongoDB em relação ao host Kerberos.

No

LDAP

389

UDP

Ambos

Autenticar e/ou autorizar usuários do MongoDB no host LDAP.

No

LDAPS

636

UDP

Ambos

Autenticar e/ou autorizar usuários do MongoDB no host LDAP.

Sim

Para configurar o Kerberos para autenticação no banco de dados do aplicativo Ops Manager, consulte Configurar o Ops Manager para autenticação combancos de dados de aplicativos.

As implantações do MongoDB Enterprise que usam o mecanismo de armazenamento WiredTiger são compatíveis com uma opção de criptografia nativa. Você pode usar um serviço KMIP para gerenciar a chave mestra de criptografia. Para oferecer suporte ao mecanismo de armazenamento criptografado via KMIP, abra as seguintes portas entre os hosts do Backup Daemon, os hosts MongoDB e os hosts KMIP.

Serviço, serviço
Portas padrão
Transporte
Direção
Propósito
Usa TLS?

KMIP

5696

TCP

saída

Enviar mensagens entre bancos de dados MongoDB e o host KMIP.

Sim

Observação

Se você alterar a porta do host KMIP, consulte Snapshots de backup criptografados para configurar o Ops Manager para usar essa nova porta.

Se o Ops Manager não estiver configurado para o modo Local, ele precisará acessar os seguintes sites da Internet por HTTPS:

Local
Propósito

downloads.mongodb.com, downloads.mongodb.org

opsmanager.mongodb.com

Para fazer o download do manifesto da versãodo MongoDB.

fastdl.mongodb.org

Para fazer o download das compilações da MongoDB Community.

Nesta página