Docs 菜单
Docs 主页
/
MongoDB Cloud Manager
/

为一个部署启用 TLS

在此页面上

  • Considerations
  • 先决条件
  • 步骤

为了使 Cloud Manager 监控、部署或备份使用 TLS的 MongoDB 部署,您必须为 Cloud Manager 项目启用TLS

传输层安全 的完整说明 , 公钥基础设施 , X。509 证书和 证书颁发机构 超出了本教程的范围。本教程假定您已了解TLS并可访问有效的 X. 509证书。

注意

如果您想为项目重置身份验证和 TLS 设置,请先取消管理所有 MongoDB 部署,并且 Cloud Manager 在您的项目中管理这些部署。

为 MongoDB 进程提供服务的每个主机获取TLS证书。 此证书必须包含此 MongoDB 主机的主机名的FQDNFQDN必须是该主机的主题备用名称。 您必须在 MongoDB 主机上安装此TLS证书。

重要

您必须完成:

  1. 将现有部署设置为使用 TLS ,然后

  2. 为项目启用 TLS

单击 Review & Deploy之前。

如果您希望为Cloud Manager项目中的现有MongoDB部署启用TLS

1
  1. 如果尚未显示,请从导航栏的 Organizations 菜单中选择包含所需项目的组织。

  2. 如果尚未显示,请从导航栏的Projects菜单中选择所需的项目。

  3. 如果 Deployment(数据库部署)页面尚未出现,请单击侧边栏中的 Deployment(数据库)。

    显示“部署”页面。

2

单击部署的Processes标签页。

显示“进程”页面。

3
4
5
1
  1. 如果尚未显示,请从导航栏的 Organizations 菜单中选择包含所需项目的组织。

  2. 如果尚未显示,请从导航栏的Projects菜单中选择所需的项目。

  3. 如果 Deployment(数据库部署)页面尚未出现,请单击侧边栏中的 Deployment(数据库)。

    显示“部署”页面。

2

单击部署的Security标签页。

显示“安全”页面。

3

执行以下操作之一:

  • 如果这是您第一次为此项目配置 TLS、身份验证或授权设置,请单击 Get Started(开始使用)。

  • 如果已经为此项目配置 TLS 身份验证或授权设置,请单击 Edit(编辑)。

4
  1. Select Authentication Mechanisms屏幕上,启用一个或多个身份验证机制。

    TLS适用于所有身份验证机制。

  2. 单击 Next(连接)。

5
字段
操作

MongoDB 部署传输层安全 (TLS)

将此滑块切换至 ON(开启)。

TLS CA 文件路径

TLS证书颁发机构文件是 .pem格式的证书文件,其中包含来自证书颁发机构的根证书链。 MongoDB Agent使用相同的证书颁发机构文件连接到部署中的每个项目。

.pem证书文件的加密私钥必须采用 PKCS #1 格式。MongoDB Agent不支持 PKCS #8 格式。

在运行 MongoDB 进程的每个主机上键入 TLS 证书颁发机构文件的文件路径:

  • 在第一个框中键入所有 Linux 主机上的文件路径。

  • 在第二个框中键入所有 Windows 主机上的文件路径。

这将为项目中的 MongoDB 进程启用net.tls.CAFile设置。

单击 Validate(验证)测试部署中每个主机在您指定的路径上是否都有 TLS 证书颁发机构。

客户端证书模式

选择在连接到启用 TLS 的 MongoDB 部署时客户端应用程序或 MongoDB 助手是否必须提供 TLS 证书。每个 MongoDB 部署都会在这些客户端主机尝试连接时检查来自这些客户端主机的证书。如果选择要求客户端 TLS 证书,请确保它们有效。

接受的值为:

Optional

连接到 MongoDB 部署时,每个客户端都可以提供有效的TLS证书。 如果您mongodtlsMode 设置为 ,MongoDB 助手可能会使用 TLSNone 证书。

必需

此项目中的每个 MongoDB 部署都从 TLS 加密的网络连接开始。所有助手都必须使用 TLS 连接到任何 MongoDB 部署。

6
  1. Agent Auth Mechanism列表中,单击您为项目所做的相同身份验证机制。

  2. 按照以下步骤配置MongoDB Agent以使用该身份验证方法:

注意

如果您有旧版代理的TLS证书,请参阅如果我有旧版备份或监控代理的 TLS 证书怎么办?获取指导。

7
8

Cloud Manager 会显示您建议的更改。

  1. 如果满意,请单击 Confirm & Deploy(确认和部署)。

  2. 如果要进一步更改配置,请单击 Cancel(取消)。单击集群的 Modify(修改)进行其他更改。

  • 如果您从使用自动化的部署更新到 MongoDB Agent,则 MongoDB Agent将托管TLS设置。

  • 如果您从未使用自动化但具有备份代理、监控代理或两者的部署更新到MongoDB Agent ,则可以在代理更新期间或通过以下过程进行特定于备份代理和监控代理的设置:

1
  1. 如果尚未显示,请从导航栏的 Organizations 菜单中选择包含所需项目的组织。

  2. 如果尚未显示,请从导航栏的Projects菜单中选择所需的项目。

  3. 如果 Deployment(数据库部署)页面尚未出现,请单击侧边栏中的 Deployment(数据库)。

    显示“部署”页面。

2

单击部署的Agents标签页。

显示“代理”页面。

3
  1. 单击Downloads & SettingsCustom Configurations ,然后单击Edit Custom Configuration

  2. 单击

4
  1. Setting框中键入所需的设置,并在Value框中键入相应的值。

  2. 要添加多个Setting ,请单击+ Add Setting链接。 出现另一行。

  3. 重复此操作,直到添加所有设置。

5
  1. Setting框中键入所需的设置,并在Value框中键入相应的值。

  2. 要添加多个Setting ,请单击+ Add Setting链接。 出现另一行。

  3. 重复此操作,直到添加所有设置。

您可以单击删除已添加的所有设置。

如果您将 Cloud Manager 的仅监控功能用于启用 TLS 的集群,则必须完成以下步骤,以允许MongoDB监控代理连接到启用 TLS 的受监控集群。

1
  1. 导航到 Deployment(部署)列表视图,然后单击位于目标部署的右侧。

  2. 选择监控设置 > TLS 和 SSL。

  3. 将模态窗口切换为打开状态。

后退

防火墙配置