本地客户端通过SSL-VPN隧道连接MongoDB实例
您可以在管理客户端与MongoDB实例的专有网络之间建立SSL-VPN隧道,实现安全便捷地连接MongoDB实例。
适用场景
- 管理MongoDB数据库的客户端所处的网络环境没有固定的公网地址,导致您要在MongoDB控制台上频繁调整白名单IP地址,且如果没有及时清理过期的白名单地址,将存在一定的安全风险。
- 对网络安全要求较高,通过公网连接MongDB实例时,需要更加安全的方式连接MongoDB实例。
- 数据库运维人员在公网环境中通过ECS来登录MongoDB数据库,在权限管理上存在一定的风险,需要实现ECS的管理权限和MongoDB数据库权限的分离。
费用说明
操作步骤中创建VPN网关时将产生费用,详情请参见计费说明。
前提条件
- MongoDB实例的网络类型为专有网络,如果是经典网络请切换至专有网络,详情请参考从经典网络切换为专有网络。
- 本地客户端的IP地址段和MongoDB实例所在的VPC网络的IP地址段不能相同,否则无法通信。
- 本地客户端必须能访问外网。
案例环境介绍
步骤一 创建VPN网关
- 登录专有网络管理控制台。
- 在页面左上角选择地域。
- 在左侧导航栏,单击
- 在VPN网关页面,单击创建VPN网关。
- 根据业务需求,配置VPN网关的规格信息。
配置项 配置说明 实例名称(可选) 填入VPN网关的实例名称。 地域 VPN网关的所属地域,选择与MongoDB实例相同的地域。 VPC 选择MongoDB实例所属的专有网络。 带宽规格 选择VPN网关的带宽规格,带宽规格是VPN网关所具备的公网带宽。 IPsec-VPN 选择是否开启IPsec-VPN功能,您可以根据业务需求选择。本案例使用客户端直接接入,选择为关闭IPsec-VPN。
IPsec-VPN功能提供站点到站点的连接。您可以通过创建IPsec隧道将本地数据中心网络和专有网络或两个专有网络安全地连接起来。
SSL-VPN 选择是否开启SSL-VPN功能,您可以根据业务需求选择,本案例使用客户端直接接入,选择为开启SSL-VPN。
提供点到站点的VPN连接,不需要配置客户端网关,客户端直接接入。
计费周期 选择包年包月实例的时长,包月可选择1~9个月,包年可选择1~3年。 您还可以根据业务需求选择是否自动续费。按月购买时自动续费周期为1个月;按年购买时自动续费周期为1年。
- 单击立即购买,根据提示完成支付流程。
步骤二 创建SSL服务端
- 登录专有网络管理控制台。
- 在页面左上角选择地域。
- 在左侧导航栏,单击 。
- 在SSL服务端页面,单击创建SSL服务端。
- 在创建SSL服务端对话框,配置SSL服务端信息。
配置项 配置说明 名称 SSL服务端的名称。
名称在2-128个字符之间,以英文字母或中文开始,可包含数字、连字符(-)和下划线(_)。
VPN网关 关联的VPN网关,选择步骤一 创建VPN网关中创建的VPN网关。
本端网段 本端网段是客户端通过SSL-VPN连接要访问的地址段。本端网段可以是VPC的网段、交换机的网段、通过专线和VPC互连的IDC的网段、云服务如RDS/OSS等网段。
本案例填写MongoDB实例所属专有网络中交换机的网段地址:172.16.1.0/24。
说明 本端网段的子网掩码的范围为16到29位。客户端网段 客户端网段是给客户端虚拟网卡分配访问地址的的地址段,不是指客户端已有的内网网段。当客户端通过SSL-VPN连接访问MongoDB实例时,VPN网关会从指定的客户端网段中分配一个IP地址给客户端使用。
此案例中填写192.168.100.0/24。
说明 确保客户端网段和本端网段不冲突。 - 单击确定。
步骤三 创建SSL客户端
- 登录专有网络管理控制台。
- 在页面左上角选择地域。
- 在左侧导航栏,单击 。
- 在SSL客户端页面,单击SSL客户端证书。
配置项 说明 名称 SSL客户端证书的名称。
名称在2-128个字符之间,以英文字母或中文开始,可包含数字、连字符(-)和下划线(_)。
SSL服务端 选择步骤二 创建SSL服务端中创建的SSL服务端。 - 单击确定。
客户端通过SSL-VPN隧道登录MongoDB数据库
本文以Windows系统为例连接SSL-VPN,其他操作系统请参考:在Linux系统中连接SSL-VPN、在Mac系统中连接SSL-VPN。
- 登录专有网络管理控制台。
- 在页面左上角选择地域。
- 在左侧导航栏,单击 。
- 在刚刚创建的SSL客户端的右侧,单击下载,下载生成的客户端证书。
- 在需要进行连接SSL-VPN的客户端设备中,下载并安装OpenVPN客户端。
- 将下载的客户端证书解压后复制到OpenVPN安装目录中的config文件夹中。
- 单击Connect发起连接。
- 将MongoDB实例所属的专有网络IP地址段添加至MongoDB实例的白名单中,本案例将172.16.1.0/24加入至MongoDB实例的白名单中。
- 登录MongoDB管理控制台。
- 获取MongoDB实例的专有网络地址,详情请参考实例连接说明。
- 使用Mongo Shell或者其他管理工具登录MongoDB数据库。
说明 请使用MongoDB实例的专有网络地址登录。
版权声明
本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。
评论