注意
此功能不适用于免费集群和 Flex 集群。要详细学习;了解哪些功能不可用,请参阅 Atlas免费集群限制。
MongoDB Atlas支持专用集群上的私有端点。 选择集群类型以学习;了解Atlas支持哪些云提供商:
使用AWS PrivateLink 功能的Amazon Web Services 。
Azure 使用 Azure Private Link 功能。
使用 GCP Private Service Connect 功能的 Google Cloud。
您还可以为 Online Archive 设置私有端点。要了解更多信息,请参阅为 Online Archive 设置私有端点。
注意
MongoDB Atlas责任共担模型定义了MongoDB及其客户在维护安全和弹性数据环境方面的互补职责。在此框架下, MongoDB管理根本的平台的安全性和操作完整性,而客户则负责其特定部署的配置、管理和数据策略。有关安全性和卓越运营之间所有权的详细划分,请参阅责任共担模型。
私有端点概念
要设立私有端点,您必须拥有项目的 Organization Owner、Project Owner 或 Project Network Access Manager访问权限。
Considerations
高可用性
用于私有端点的端口范围
私有端点感知连接字符串
(可选)优化与 AWS 私有端点后面的分片集群的连接
Atlas 可以使用专用端点服务的负载均衡器为分片集群生成优化的 SRV 连接字符串。当您使用优化的连接字符串时,Atlas 会限制应用程序与集群之间每个 mongos 的连接数。每个 mongos 的受限连接数可提高连接计数高峰期间的性能。
Atlas不支持在 Google Cloud 或 Azure 上运行的集群的优化连接字符串。要了解有关私有端点后面的分片集群优化连接字符串的更多信息,请参阅如何使用私有端点优化分片集群的连接性能?
IP 访问列表和与私有端点的网络对等连接
启用私有端点后,仍可使用其他方法访问 Atlas 集群,如在 IP 访问列表和网络对等互联中添加公共 IP。
使用其他方法连接 Atlas 集群的客户端使用标准连接字符串。您的客户端可能必须确定何时使用私有端点感知连接字符串和标准连接字符串。
多云部署连接
当您使用私有端点连接到多云部署时,您只能访问权限云服务提供商和您从中进行连接的地区中托管的节点。要访问权限多云部署中的所有节点,请使用“配置高可用性和工作负载隔离”主题中的与多云部署的连接部分中描述的替代连接方法。
(可选)多区域分片集群的区域化私有端点
对于部署在多个区域的全局分片群集,如果需要从无法对等互连的网络连接到 Atlas,您可以在一个区域部署多个私有端点。
您可以将任意数量的私有端点部署到集群所部署的区域。每个区域私有端点都连接到该区域中的 mongos 实例。
警告:启用此设置后,现有多区域和全局分片集群的连接字符串会发生变化。
必须更新应用程序才能使用新的连接字符串。 这可能会导致停机。
如果您的 Atlas 项目仅包含分片集群,则可以启用此设置。
如果存在以下情况,则无法禁用此设置:
在多个区域内有多个私有端点,或
一个地区中的多个私有端点,以及一个或多个地区中的一个私有端点。
只有在启用区域化私有端点设置后,您才能创建分片集群。您不能创建副本集。
如需使用此功能,必须启用区域化私有端点设置。
要启用或禁用区域化私有端点设置:
启用区域化私有端点
如需使用 Atlas CLI 启用项目的区域化私有端点设置,请运行以下命令:
atlas privateEndpoints regionalModes enable [options]
要了解有关命令语法和参数的更多信息,请参阅 Atlas CLI 文档中的 atlas privateEndpoints regionalModes enable。
禁用区域化私有端点
如需使用 Atlas CLI 禁用项目的区域化私有端点设置,请运行以下命令:
atlas privateEndpoints regionalModes disable [options]
要了解有关命令语法和参数的更多信息,请参阅 Atlas CLI 文档中的 atlas privateEndpoints regionalModes disable。
查看区域化私有端点设置
如需使用 Atlas CLI 返回项目的区域化私有端点设置,请运行以下命令:
atlas privateEndpoints regionalModes describe [options]
要了解有关命令语法和参数的更多信息,请参阅 Atlas CLI 文档中的 atlas privateEndpoints regionalModes describe。
启用区域化私有端点
在Atlas中,转到 Project Settings 页面。
如果尚未显示,请从导航栏上的 Organizations 菜单中选择包含所需项目的组织。
如果尚未显示,请从导航栏的Projects菜单中选择所需的项目。
在侧边栏中,单击 图标 Project Overview 旁边的图标。
显示项目设置页面。
禁用区域化私有端点
在Atlas中,转到 Project Settings 页面。
如果尚未显示,请从导航栏上的 Organizations 菜单中选择包含所需项目的组织。
如果尚未显示,请从导航栏的Projects菜单中选择所需的项目。
在侧边栏中,单击 图标 Project Overview 旁边的图标。
显示项目设置页面。
管理AWS PrivateLink接受的终结点区域
您可以配置哪些AWS区域可以连接到您的私有端点服务。这样可以实现跨区域私有端点连接,从而允许不同 AWS 区域中的应用程序通过私有端点连接到您的Atlas集群。
警告
从多终结点服务迁移到单终结点服务
要从多个终结点服务迁移到支持多个终结点的单终结点服务,必须先终止其他区域中的终结点和终结点服务。此迁移需要停机。
迁移进程包括:
终止其他**区域**的**终结点**
终止其他区域的终结点服务
在 VPC 中预配新终结点以连接到其余终结点服务
更新应用程序连接字符串(可能需要重新启动应用程序)
停机发生在终止其他终结点和更新应用程序以使用正确的连接字符串之间。
要添加或删除已接受的终结点区域,请执行以下操作:
在接受的区域配置终结点。
添加接受的端点区域后,您必须在您的AWS账户的这些区域中创建相应的接口端点。要学习;了解有关创建接口端点的更多信息,请参阅为专用集群设置私有端点。
在没有区域化私有端点或跨区域私有链接的情况下连接到多区域集群
如果您使用 AWS PrivateLink,并且拥有应用程序连接到终结点位于不同区域但未使用区域化私有终结点的多区域集群,请确保这些应用程序能够到达其他区域的终结点。例如,要在 AWS 上执行此操作,可将包含本端终结点的 VPC 进行对等互连。
在删除私有端点时避免停机
对于多区域集群,您必须为每个附带节点的区域创建一个私有终结点。
如果您正对多区域集群进行维护,在维护完成之前,请勿更改或删除私有终结点,以免出现集群停机。
如果您要从多区域集群迁移到单区域集群,则必须在确保集群可使用新的单区域设置来完全正常运行,且您已将所有流量通过新的单区域私有终结点进行传输后,才能删除旧的私有终结点。
帐单
要了解有关专用集群的私有端点计费的更多信息,请参阅专用集群的私有端点。
限制
免费集群(以前称为
M0)和 Flex 集群不支持通过私有端点进行连接。
在将私有端点部署到区域之前,您必须先恢复项目中所有已暂停的集群。
先决条件
如需使用私有端点启用与 Atlas 的连接,您必须:
已为组织配置有效的付款方式。