Como configurar o MongoDB

Neste tópico, você aprende a configurar o MongoDB para integração com o serviço gerenciado para o Microsoft Active Directory. O procedimento a seguir é verificado para o MongoDB Enterprise, nas versões 4.0 e 4.2.

Antes de começar

Antes de configurar o MongoDB, crie um domínio do Managed Microsoft AD.

Como implantar o MongoDB

Primeiro, implante o MongoDB no Google Cloud. Para compatibilidade com o Active Directory, instale uma versão do MongoDB que ofereça suporte à autenticação LDAP, como o MongoDB Enterprise Edition. É possível instalar o MongoDB em uma instância do Compute Engine ou implantá-lo no Google Kubernetes Engine.

Em uma instância do Compute Engine

Para instalar o MongoDB como um pacote independente em uma instância do Compute Engine, conclua as etapas na instalação do MongoDB Enterprise.

Em um contêiner do Google Kubernetes Engine

Para implantar o MongoDB no contêiner do Google Kubernetes Engine, execute as etapas a seguir:

  1. Conclua a execução de um banco de dados MongoDB no Kubernetes com StatefulSets Codelab.
  2. Acesse o diretório ./mongo-k8s-sidecar/example/StatefulSet/.
  3. Abra mongo-statefulset.yaml.
  4. Substitua image: mongo por image: path to gcr.

Como configurar a autenticação

Em seguida, configure a autenticação. O Microsoft AD gerenciado pode ser usado como um back-end LDAP para autenticação. Você pode escolher LDAP ou Kerberos.

Para configurar a autenticação, use os valores de configuração para concluir um dos procedimentos de instalação a seguir:

Valores de configuração de autenticação

Use os valores a seguir para configurar a autenticação:

  • security.ldap.server: use o FQDN fornecido para o domínio durante a configuração.
  • security.ldap.userToDNMapping: use o nome de domínio fornecido em ldapQuery.
    • Exemplo: ldapQuery: "DC=cloudad,DC=gke,DC=com??sub?(userPrincipalName={0})"
  • security.ldap.server.authz: use o nome de domínio fornecido em queryTemplate.
    • Exemplo: queryTemplate: "DC=cloudad,DC=gke,DC=com??sub?(&(objectClass=group)(member:1.2.840.113556.1.4.1941:={USER}))"
  • security.ldap.transportSecurity: defina como none para desativar TLS/SSL.

No Microsoft AD gerenciado, os usuários são criados em Cloud OU. Use o nome distinto para os recursos e grupos criados em Cloud OU. Por exemplo, para o usuário dba, você usaria o nome distinto "CN=dba,OU=Cloud,DC=cloudad,DC=gke,DC=com".