防火墙配置

在此页面上

可访问的端口

2024 年 8 月 30 日以后，Cloud Manager 将不再支持 MongoDB 3.6 和 4.0 的自动化、备份和监控。请升级您的 MongoDB 部署或迁移到 Atlas。

用于以编程访问权限Cloud Manager的 OAuth 2.0身份验证作为预览功能。: 在预览期间，功能和相应的文档可能随时更改。要使用 OAuth2.0 身份验证，请创建一个服务帐户，以便在向Cloud Manager Public API发出的请求中使用。

可访问的端口

Cloud Manager 必须能够通过 HTTP 或 HTTPS 连接到用户和 MongoDB 助手。MongoDB 助手必须能够连接到 MongoDB 客户端 MongoDB 数据库。

尽管 Cloud Manager 只要求开放 HTTP（或 HTTPS）和 MongoDB 网络端口以便与用户和数据库进行连接，但防火墙上打开的端口取决于启用的功能：加密、身份验证和监控。

此页面定义了哪些系统需要连接到其他系统上的哪些端口。

Cloud Manager 需要访问以下端口和 IP 地址。

获取所需的IP地址

向Atlas Admin API的 controlPlaneIPAddresses 端点发送 GET请求，以获取Cloud Manager所需的当前控制平面IP地址。 API端点以 CIDR 表示法返回入站和出站控制平面IP地址列表，按云提供商和地区分类，类似于以下内容：

{
  "controlPlane": {
    "inbound": {
      "aws": { // cloud provider
        "us-east-1": [ // region
          "3.92.113.229/32",
          "3.208.110.31/32",
          "107.22.44.69/32"
          ...,
        ],
        ...
       }
     },
     "outbound": {
       "aws": { // cloud provider
         "us-east-1": [ // region
           "3.92.113.229/32",
           "3.208.110.31/32",
           "107.22.44.69/32"
           ...,
         ],
         ...
        }
      }
  },
  "data_federation": {
    "inbound": {},
    "outbound" {}
  },
  "app_services": {
    "inbound": {},
    "outbound" {}
  },
  ...
}

重要

Atlas Admin API使用与控制平面有关的术语 inbound 和 outbound，而不是与您的网络有关。因此：

outbound您网络的入站规则必须与Atlas Admin API中列出的 CIDR 相匹配。
inbound您网络的出站规则必须与Atlas Admin API中列出的 CIDR 相匹配。

下图显示了控制平面和网络的 inbound 和 outbound 之间的关系：

显示控制平面的入站流量反映网络的出站流量，控制平面的出站流量反映网络的入站流量的图表。

点击放大

所需的访问权限：`controlPlane.inbound` IP地址

controlPlane.inbound 列出进入控制平面的IP地址流量。如果您的网络仅允许向特定IP地址发出出站HTTP请求，则必须允许访问权限 controlPlane.inbound中列出的IP地址，这样MongoDB才能与 Webhook 通信。

使用Atlas Admin API获取Cloud Manager所需的当前IP地址。

您可以选择配置通过 Webhook 发送的警报。这会将HTTPPOST 请求发送到一个端点，以进行编程处理。如果要将 Webhook 成功传递到指定端点，则必须允许访问权限controlPlane.inbound 中列出的IP地址。

所需的访问权限：`controlPlane.outbound` IP地址

controlPlane.outbound 列出来自控制平面的IP地址流量。网络的入站HTTP IP解决列表必须允许来自controlPlane.outbound 中列出的IP地址的访问权限。

使用Atlas Admin API获取Cloud Manager所需的当前IP地址。

这样将使 MongoDB 助手能够对以下主机执行 GET 和 POST 操作：

api-agents.mongodb.com
api-backup.mongodb.com
api-backup.us-east-1.mongodb.com
queryable-backup.us-east-1.mongodb.com
restore-backup.us-east-1.mongodb.com
real-time-api-agents.mongodb.com

MongoDB 助手通过 443 端口连接至 Cloud Manager。无论是依托云服务提供商还是在自有网络上预配主机，都应该将网络基础设施配置为允许通过 443 端口进行出站连接。

用来下载 MongoDB 二进制文件的域

MongoDB 助手需要对以下域（具体情况取决于您的 MongoDB 版本）进行出站访问，以下载 MongoDB 二进制文件：

MongoDB 版本	访问列表域	IP 范围	服务提供商
Community	`fastdl.mongodb.org`	CloudFront 的IP范围。 CloudFront 的 IP 范围经常变化。	Amazon CloudFront
Enterprise	`downloads.mongodb.com`
MongoDB 的定制构建	MongoDB 助手可访问的 URL

用来下载和更新 MongoDB 助手的域

如果限制出站访问，必须向您的 MongoDB 助手授予对如下域的访问权限，才能下载和更新 MongoDB 助手。

访问列表域	IP 范围	服务提供商
`s3.amazonaws.com`	AWS 的 IP 范围. AWS 的 IP 范围经常更改。	AWS

网络中所需的端口

一个部署中的所有 MongoDB 进程必须可供此部署中负责管理进程的所有 MongoDB 助手访问。因此，所有 MongoDB 端口都必须对您的网络中为 MongoDB 助手提供服务的每个主机开放。

例子

如果在 27000、27017 和 27020 上运行 MongoDB 进程，则必须从为 MongoDB 助手提供服务的所有主机打开这三个端口。

后退

Overview

来年

安全连接