您可以在管理客户端与MongoDB实例的专有网络之间建立SSL-VPN隧道,实现安全便捷地连接MongoDB实例。
适用场景
- 管理MongoDB数据库的客户端所处的网络环境没有固定的公网地址,导致您要在MongoDB控制台上频繁调整白名单IP地址,且如果没有及时清理过期的白名单地址,将存在一定的安全风险。
- 对网络安全要求较高,通过公网连接MongDB实例时,需要更加安全的方式连接MongoDB实例。
- 数据库运维人员在公网环境中通过ECS来登录MongoDB数据库,在权限管理上存在一定的风险,需要实现ECS的管理权限和MongoDB数据库权限的分离。
费用说明
操作步骤中创建VPN网关时将产生费用,详情请参见计费说明。
前提条件
- MongoDB实例的网络类型为专有网络,如果是经典网络请切换至专有网络,详情请参见从经典网络切换为专有网络。
- 本地客户端的IP地址段和MongoDB实例所在的VPC网络的IP地址段不能相同,否则无法通信。
- 本地客户端必须能访问外网。
案例环境介绍
步骤一:创建VPN网关
详情请参见创建VPN网关。
步骤二:创建SSL服务端
详情请参见创建SSL服务端。
步骤三:创建SSL客户端
详情请参见创建SSL客户端证书。
客户端通过SSL-VPN隧道登录MongoDB数据库
本章节以Windows系统为例连接SSL-VPN,其他操作系统请参见:在Linux系统中连接SSL-VPN、在Mac系统中连接SSL-VPN。
- 登录专有网络管理控制台。
- 在页面左上角选择地域。
- 在左侧导航栏,单击。
- 在刚刚创建的SSL客户端的右侧,单击下载,下载生成的客户端证书。
- 在需要进行连接SSL-VPN的客户端设备中,下载并安装OpenVPN客户端。
- 将下载的客户端证书解压后复制到OpenVPN安装目录中的config文件夹中。
- 单击Connect发起连接。
- 将MongoDB实例所属的专有网络IP地址段添加至MongoDB实例的白名单中,本案例将172.16.1.0/24加入至MongoDB实例的白名单中。
- 登录MongoDB管理控制台。
- 获取MongoDB实例的专有网络地址,详情请参见实例连接说明。
- 使用Mongo Shell或者其他管理工具登录MongoDB数据库。
说明 请使用MongoDB实例的专有网络地址登录。
