您可以在管理用戶端與MongoDB執行個體的專用網路之間建立SSL-VPN隧道,實現安全便捷地串連MongoDB執行個體。
適用情境
管理MongoDB資料庫的用戶端所處的網路環境沒有固定的公網地址,導致您要在MongoDB控制台上頻繁調整白名單IP地址,且如果沒有及時清理到期的白名單地址,將存在一定的安全風險。
對網路安全要求較高,通過公網串連MongoDB執行個體時,需要更加安全的方式串連MongoDB執行個體。
資料庫營運人員在公網環境中通過ECS來登入MongoDB資料庫,在許可權管理上存在一定的風險,需要實現ECS的系統管理權限和MongoDB資料庫許可權的分離。
費用說明
操作步驟中建立VPN網關時將產生費用,詳情請參見計費說明。
前提條件
MongoDB執行個體的網路類型為專用網路,如果是傳統網路請切換至專用網路,詳情請參見傳統網路切換為專用網路。
本地用戶端的IP位址區段和MongoDB執行個體所在的VPC網路的IP位址區段不能相同,否則無法通訊。
本地用戶端必須能訪問外網。
案例環境介紹
步驟一:建立VPN網關
操作步驟,請參見建立和管理VPN網關執行個體。
建立VPN網關時,請注意以下配置項。
配置項 | 配置說明 |
地區 | VPN網關所屬的地區,選擇與MongoDB執行個體相同的地區。 |
VPC | VPN網關所屬的VPC,選擇與MongoDB執行個體相同的VPC。 |
IPsec-VPN | 選擇是否開啟IPsec-VPN功能,您可以根據業務需求選擇。 本案例使用用戶端直接接入,選擇關閉IPsec-VPN。 IPsec-VPN功能提供網站到網站的串連。您可以通過建立IPsec隧道將本機資料中心網路和專用網路或兩個專用網路安全地串連起來。 |
SSL-VPN | 選擇是否開啟SSL-VPN功能,您可以根據業務需求選擇。 本案例使用用戶端直接接入,選擇開啟SSL-VPN。 提供網站到網站的VPN串連,不需要配置用戶端網關,用戶端直接接入。 |
步驟二:建立SSL服務端
操作步驟,請參見建立和管理SSL服務端。
建立SSL服務端時,請注意以下配置項。
配置項 | 配置說明 |
VPN網關 | 關聯的VPN網關,選擇步驟一中建立的VPN網關。 |
本端網段 | 本端網段是用戶端通過SSL-VPN串連要訪問的位址區段。本端網段可以是VPC的網段、交換器的網段、通過專線和VPC互連的IDC的網段、雲端服務如RDS或OSS等網段。 本案例填寫MongoDB執行個體所屬專用網路中交換器的網段地址:172.16.1.0/24。 說明 本端網段的子網路遮罩的範圍為16到29位。 |
用戶端網段 | 用戶端網段是給用戶端虛擬網卡分配訪問地址的位址區段,不是指用戶端已有的內網網段。當用戶端通過SSL-VPN串連訪問MongoDB執行個體時,VPN網關會從指定的用戶端網段中分配一個IP地址給用戶端使用。 此案例中填寫192.168.100.0/24。 說明 確保用戶端網段和本端網段不衝突。 |
步驟三:建立SSL用戶端
操作步驟,請參見建立和管理SSL用戶端認證。
SSL用戶端認證建立完成後,您需要下載認證並將認證安裝在用戶端中。
步驟四:建立SSL-VPN串連
Linux用戶端
開啟命令列視窗。
執行以下命令安裝OpenVPN用戶端。
#CentOS系統執行以下命令 yum install -y openvpn #執行以下命令查看系統是否已建立/etc/openvpn/conf/目錄,如果系統未建立,需手動建立/etc/openvpn/conf/目錄。 cd /etc/openvpn #進入openvpn目錄下 ls #查看openvpn目錄下是否已建立conf目錄 mkdir -p /etc/openvpn/conf #如果openvpn目錄下不存在conf目錄,手動建立conf目錄。 #Ubuntu系統執行以下命令 apt-get update apt-get install -y openvpn #執行以下命令查看系統是否已建立/etc/openvpn/conf/目錄,如果系統未建立,需手動建立/etc/openvpn/conf/目錄。 cd /etc/openvpn #進入openvpn目錄下 ls #查看openvpn目錄下是否已建立conf目錄 mkdir -p /etc/openvpn/conf #如果openvpn目錄下不存在conf目錄,手動建立conf目錄。
將已下載的SSL用戶端認證解壓拷貝至/etc/openvpn/conf/目錄。
進入/etc/openvpn/conf/目錄,執行以下命令建立VPN串連。
openvpn --config /etc/openvpn/conf/config.ovpn --daemon
Windows用戶端
下載並安裝OpenVPN用戶端(Windows版本)。
將已經下載的SSL用戶端認證解壓拷貝至OpenVPN\config目錄。
本文將認證解壓拷貝到C:\Program Files\OpenVPN\config目錄,請您根據安裝路徑將認證解壓拷貝至您真實的目錄。
啟動OpenVPN用戶端,單擊Connect建立VPN串連。
步驟五:登入MongoDB資料庫
將SSL服務端配置中的用戶端網段添加到MongoDB執行個體的IP白名單中。本案例將172.16.1.0/24加入至MongoDB執行個體的IP白名單中。
登入MongoDB管理主控台。
擷取MongoDB執行個體的專用網路地址,請參見執行個體串連說明。
使用Mongo Shell或其他管理工具登入MongoDB資料庫。
說明請使用MongoDB執行個體的專用網路地址登入。