为联合数据库实例设置私有端点
MongoDB 使用 AWS PrivateLink 支持 AWS 私有端点。 联合数据库实例的功能。您可以通过 Atlas CLI、Atlas 用户界面和 API 设置私有端点。
必需的访问权限
要设置私有端点,您必须对项目拥有 Project Owner访问权限。在设置私有端点之前,拥有Organization Owner访问权限的用户必须将自己作为Project Owner添加到项目中。
先决条件
拥有符合Amazon Web Services IAM 用户策略的 用户帐户,该策略可授予创建、修改、描述和删除端点的权限。要了解有关控制接口端点使用的更多信息,请参阅Amazon Web Services 文档。
如果尚未创建,请在 AWS 中创建 VPC 和 EC2 实例。要了解更多信息,请参阅 AWS 文档 以获取指导。
注意
您不能将 Atlas 集群私有端点 ID用于 Atlas Data Federation。 Atlas Data Federation 端点 ID 必须与您的 Atlas 集群端点 ID(如果有)不同。
步骤
要使用 Atlas CLI 创建新的 Data Federation 私有端点,请运行以下命令:
atlas dataFederation privateEndpoints create <endpointId> [options]
要了解有关命令语法和参数的更多信息,请参阅 Atlas DataFederation privateEndpoints create 的 Atlas CLI 文档。
要从 API 配置私有端点,请向privateNetworkSettings端点发送带有私有端点 ID 的POST请求。
如果端点 ID 已经存在,并且与端点关联的注释没有更改,则 Atlas 不会更改端点 ID 列表。
如果端点 ID 已存在且关联注释发生更改,则 Atlas 仅更新端点 ID 列表中的
comment值。如果端点 ID 不存在,Atlas 会将新端点附加到端点 ID 列表的端点列表中。
要了解有关语法和选项的更多信息,请参阅 API。
您可以通过 Atlas 用户界面创建新的私有端点或添加现有的私有端点。要设置私有端点,请执行以下操作:
在 AtlasNetwork Access 中,转到项目的 页面。
如果尚未显示,请从导航栏上的 Organizations 菜单中选择包含项目的组织。
如果尚未显示,请从导航栏的 Projects 菜单中选择您的项目。
在侧边栏中,单击Security标题下的Network Access 。
显示“网络访问”页面。
选择一个 AWS 区域。
从AWS Region列表中,选择要创建私有端点的区域。
您可以选择以下地区之一:
Data Federation 区域AWS 区域美国弗吉尼亚州us-east-1美国俄勒冈州us-west-2巴西圣保罗sa-east- 1爱尔兰eu-west- 1英国伦敦eu-west- 2德国法兰克福eu-central- 1日本东京ap-northeast-1印度孟买ap-south-1新加坡ap-southeast-1澳大利亚悉尼亚太东南部-2加拿大蒙特利尔ca-central-1下表显示了每个区域中各个端点的服务名称:
区域服务名称us-east-1com.amazonaws.vpce.us-east-1.vpce-svc-00e311695874992b4us-west-2com.amazonaws.vpce.us-west-2.vpce-svc-09d86b19e59d1b4bbeu-west-1com.amazonaws.vpce.eu-west-1.vpce-svc-0824460b72e1a420eeu-west-2com.amazonaws.vpce.eu-west-2.vpce-svc-052f1840aa0c4f1f9eu-central-1com.amazonaws.vpce.eu-central-1.vpce-svc-0ac8ce91871138c0dsa-east-1com.amazonaws.vpce.sa-east-1.vpce-svc-0b56e75e8cdf50044ap-southeast-2com.amazonaws.vpce.ap-southeast-2.vpce-svc-036f1de74d761706eap-south-1com.amazonaws.vpce.ap-south-1.vpce-svc-03eb8a541f96d356dca-central-1com.amazonaws.vpce.ca-central-1.vpce-svc-08564bb8ccae8ba64ap-northeast-1com.amazonaws.vpce.ap-northeast-1.vpce-svc-0b63834ecd618a332ap-southeast-1com.amazonaws.vpce.ap-southeast-1.vpce-svc-07728d2dfd2860efb要了解更多信息,请参阅Atlas Data Federation 区域。
单击 Next(连接)。
配置您的专用端点。
输入有关您的 AWS VPC 的以下详细信息:
提示
您可以单击以下设置的Show instruction以显示AWS控制台的屏幕截图,您可以在其中找到该设置的值。
Your VPC ID唯一的22 字母数字字符串,用于标识对等 AWS VPC 。在您的 AWS 帐户的 VPC 仪表盘上查找此值。Your Subnet IDs标识AWS VPC使用的子网的唯一字符串。在您的AWS帐户的Subnet仪表盘上查找这些值。
重要
您必须至少指定一个子网。否则, AWS 将不会在您的 VPC 中预配 接口端点 。 VPC 中的客户端需要接口端点才能向私有端点发送流量。
复制对话框显示的命令并使用AWS CLI 运行。
注意
在 Atlas 完成后台VPC资源创建之前,您无法复制命令。
请参阅 创建接口端点 以使用 AWS CLI 执行此任务。
在VPC Endpoint ID字段中输入用于标识私有端点的22字母数字字符串。在AWS VPC 仪表盘的Endpoints > VPC ID下找到此值。
在Your VPC Endpoint DNS Name字段中输入与AWS上的私有端点关联的字母数字 DNS 主机名。
如果您的私有端点有多个 DNS 名称,请复制并粘贴列表中的第一个名称。要了解更多信息,请参阅管理 VPC 端点服务的 DNS 名称。
为接口端点创建安全组,支持资源访问接口端点。
此安全群组必须允许需要使用 AWS PrivateLink 连接到联合数据库实例的每个资源在所有端口上的入站流量:
在Amazon Web Services控制台中,导航到VPC Dashboard 。
单击 Security Groups,然后单击 Create security group。
使用向导创建安全组。确保从 VPC 列表中选择您的 VPC。
选择您刚刚创建的群组,然后单击 Inbound Rules 标签页。
单击 Edit Rules(连接)。
添加规则以允许来自您想要连接到联合数据库实例的 VPC 中每个资源的所有入站流量。
单击 Save Rules(连接)。
单击 Endpoints,然后单击 VPC 的端点。
单击 Security Groups 标签页,然后单击 Edit Security Groups。
添加刚刚创建的安全组,然后单击 Save。
要了解有关 VPC 安全群组的更多信息,请参阅 AWS 文档。
在 AtlasNetwork Access 中,转到项目的 页面。
如果尚未显示,请从导航栏上的 Organizations 菜单中选择包含项目的组织。
如果尚未显示,请从导航栏的 Projects 菜单中选择您的项目。
在侧边栏中,单击Security标题下的Network Access 。
显示“网络访问”页面。
输入您的 VPC 端点 ID 和 DNS 名称。
在Your VPC Endpoint ID字段中输入用于标识私有端点的22字母数字字符串。
在Your VPC Endpoint DNS Name字段中输入与AWS上的私有端点关联的字母数字 DNS 主机名。
如果您的私有端点有多个 DNS 名称,请复制并粘贴列表中的第一个名称。要了解更多信息,请参阅管理 VPC 端点服务的 DNS 名称。
提示
单击并展开对话框中的Show more instructions ,即可查看AWS控制台中何处可以找到所需信息的视觉线索。
添加与此端点关联的注释。您可以在此处输入子网 ID、 VPC ID、 AWS区域和其他信息以与此端点关联。
要验证私有端点设置是否成功,请执行以下操作:
在 AtlasNetwork Access 中,转到项目的 页面。
如果尚未显示,请从导航栏上的 Organizations 菜单中选择包含项目的组织。
如果尚未显示,请从导航栏的 Projects 菜单中选择您的项目。
在侧边栏中,单击Security标题下的Network Access 。
显示“网络访问”页面。