Topik ini menjelaskan cara menghubungkan ke instance ApsaraDB for MongoDB dalam virtual private cloud (VPC) menggunakan terowongan SSL-VPN. Terowongan SSL-VPN memungkinkan Anda mengelola instance dari klien lokal dengan mudah.
Skenario
Alamat IP publik klien lokal berubah secara dinamis. Akibatnya, Anda harus sering memperbarui daftar putih alamat IP yang mencakup alamat IP publik klien lokal di Konsol ApsaraDB for MongoDB. Jika Anda tidak segera menghapus alamat IP yang kedaluwarsa, risiko keamanan dapat muncul.
Tingkat keamanan tinggi diperlukan saat menghubungkan instance ApsaraDB for MongoDB melalui Internet.
Anda perlu masuk ke instance ApsaraDB for MongoDB dari instance Elastic Compute Service (ECS) melalui Internet. Hal ini dapat menimbulkan risiko keamanan. Oleh karena itu, pisahkan izin manajemen ECS dari izin database ApsaraDB for MongoDB.
Penagihan
Biaya akan dikenakan saat membuat gateway VPN. Untuk informasi lebih lanjut, lihat Penagihan.
Prasyarat
Jenis jaringan instance ApsaraDB for MongoDB adalah VPC. Jika jenis jaringannya adalah jaringan klasik, ubah jenis jaringan instance dari jaringan klasik ke VPC. Untuk informasi lebih lanjut, lihat Mengubah Jenis Jaringan Instance ApsaraDB for MongoDB dari Jaringan Klasik ke VPC.
Blok CIDR klien lokal berbeda dari blok CIDR instance ApsaraDB for MongoDB.
Klien lokal dapat mengakses Internet.
Jaringan
Langkah 1: Membuat Gateway VPN
Untuk informasi lebih lanjut, lihat Membuat dan Mengelola Gateway VPN.
Saat membuat gateway VPN, perhatikan parameter yang dijelaskan dalam tabel berikut.
Parameter | Deskripsi |
Wilayah | Wilayah tempat gateway VPN berada. Pilih wilayah yang sama dengan instance ApsaraDB for MongoDB. |
VPC | VPC tempat gateway VPC berada. Pilih VPC yang sama dengan instance ApsaraDB for MongoDB. |
IPsec-VPN | Menentukan apakah fitur IPsec-VPN diaktifkan. Dalam contoh ini, klien lokal digunakan untuk mengakses VPC. Dalam hal ini, atur parameter IPsec-VPN ke Disable. Fitur IPsec-VPN menyediakan koneksi situs-ke-situs. Anda dapat membuat terowongan IPsec untuk menetapkan koneksi antara pusat data dan VPC atau antara dua VPC. |
SSL-VPN | Menentukan apakah fitur SSL-VPN diaktifkan. Dalam contoh ini, klien lokal digunakan untuk mengakses VPC. Dalam hal ini, atur parameter SSL-VPN ke Enable. Fitur SSL-VPN menyediakan koneksi VPN situs-ke-situs. Anda dapat menggunakan terowongan SSL-VPN untuk menetapkan koneksi antara klien lokal dan VPN. Anda tidak perlu mengonfigurasi gateway untuk klien lokal. |
Langkah 2: Membuat Server SSL
Untuk informasi lebih lanjut, lihat Membuat dan Mengelola Server SSL.
Saat membuat server SSL, perhatikan parameter yang dijelaskan dalam tabel berikut.
Parameter | Deskripsi |
Gateway VPN | Gateway VPN yang terkait dengan instance ApsaraDB for MongoDB. Pilih gateway VPC yang dibuat di Langkah 1. |
Jaringan Lokal | Blok CIDR lokal yang perlu diakses oleh klien lokal menggunakan koneksi SSL-VPN. Blok CIDR dapat berupa blok CIDR dari VPC, vSwitch, pusat data yang terhubung ke VPC menggunakan saluran sewa, atau layanan Alibaba Cloud seperti ApsaraDB RDS atau Object Storage Service (OSS). Dalam contoh ini, masukkan blok CIDR dari vSwitch di VPC tempat instance ApsaraDB for MongoDB berada: 172.16.1.0/24. Catatan Subnet mask dari blok CIDR harus memiliki panjang 16 hingga 29 bit. |
Blok CIDR Klien | Blok CIDR yang ingin Anda alokasikan ke antarmuka jaringan virtual klien lokal. Jangan masukkan blok CIDR tempat klien lokal berada. Saat klien lokal terhubung ke instance ApsaraDB for MongoDB menggunakan terowongan SSL-VPN, gateway VPN memilih alamat IP dari blok CIDR yang ditentukan dan menetapkan alamat IP tersebut ke klien lokal. Dalam contoh ini, masukkan 192.168.100.0/24. Catatan Pastikan nilai parameter Client CIDR Block tidak tumpang tindih dengan parameter Local Network. |
Langkah 3: Membuat Klien SSL
Untuk informasi lebih lanjut tentang cara membuat klien SSL, lihat Membuat dan Mengelola Sertifikat Klien SSL.
Setelah sertifikat klien SSL dibuat, unduh sertifikat tersebut dan instal pada klien. Untuk informasi lebih lanjut, lihat bagian dan topik berikut:
Bagian Hubungkan Klien ke VPC Menggunakan SSL-VPN dari topik "Hubungkan Klien ke VPC"
Langkah 4: Menetapkan Koneksi SSL-VPN
Klien Linux
Jalankan perintah berikut untuk menginstal OpenVPN dan buat direktori
conf.CentOS
yum install -y openvpn mkdir -p /etc/openvpn/confUbuntu
apt-get update apt-get install -y openvpn mkdir -p /etc/openvpn/confEkstrak paket sertifikat klien SSL yang telah diunduh dan salin sertifikat klien SSL ke direktori /etc/openvpn/conf/.
Pergi ke direktori /etc/openvpn/conf/ dan jalankan perintah berikut untuk menetapkan koneksi SSL-VPN:
openvpn --config /etc/openvpn/conf/config.ovpn --daemon
Klien Windows
Unduh dan instal OpenVPN client untuk Windows. Jika Anda gagal mengakses halaman, hubungi manajer akun atau insinyur Alibaba Cloud Anda.
Ekstrak paket sertifikat klien SSL yang telah diunduh dan salin sertifikat klien SSL ke direktori
OpenVPN\config.Dalam contoh ini, sertifikat disalin ke
C:\Program Files\OpenVPN\config. Pastikan untuk menyalin sertifikat ke direktori tempat klien diinstal.Klik dua kali ikon OpenVPN GUI di desktop Anda untuk meluncurkan klien. Ikon VPN akan ditampilkan di baki sistem kanan bawah. Klik kanan ikon VPN di baki sistem dan pilih Connect untuk membuat koneksi SSL-VPN.
Jika State menampilkan Connected dan IP address dialokasikan, koneksi telah berhasil dibuat.
Langkah 5: Masuk ke Instance ApsaraDB for MongoDB
Tambahkan blok CIDR klien lokal yang ditentukan di Langkah 2 ke semua daftar putih alamat IP instance ApsaraDB for MongoDB. Dalam contoh ini, tambahkan 172.16.1.0/24 ke semua daftar putih alamat IP instance ApsaraDB for MongoDB.
Masuk ke Konsol ApsaraDB for MongoDB.
Peroleh titik akhir internal instance ApsaraDB for MongoDB. Untuk informasi lebih lanjut, lihat Hubungkan ke Instance Replica Set.
Gunakan mongo shell atau alat manajemen lainnya untuk masuk ke instance ApsaraDB for MongoDB. Untuk informasi lebih lanjut tentang mongo shell, lihat Hubungkan ke Instance Replica Set ApsaraDB for MongoDB Menggunakan Mongo Shell.
CatatanMasuk ke instance ApsaraDB for MongoDB menggunakan titik akhir internal instance.