对于AI助手:文档索引位于 https://www.mongodb.com/zh-cn/docs/llms.txt — 通过将 .md 附加到任何URL路径,可以获得所有页面的降价版本。
Make the MongoDB docs better! We value your opinion. Share your feedback for a chance to win $100.
MongoDB Branding Shape
Click here >
Docs 菜单
Docs 主页
/
Atlas 架构中心
/
开始体验
Docs 主页
/
Atlas 架构中心
/
开始体验
Docs 主页
/
Atlas 架构中心
/
开始体验

登录区域设计

着陆区域是一个框架,用于建立架构良好且预先配置的云环境。MongoDB Atlas 着陆区域定义了组织在运行效率、安全性、可靠性、性能和费用方面的特定要求,以及团队为满足这些要求必须使用的工具、程序和 Atlas 配置。我们建议所有企业客户在将工作负载迁移到 Atlas 之前设计一个着陆区域。

设计和实施登陆区域可以帮助您避免以后重新设计初始设置的昂贵工作。示例,在最近关于将工作负载迁移到Atlas的讨论中,一位MongoDB Enterprise 的长期客户提到,由于各业务部门的加密政策不一致和服务器冗余,同行金融服务公司面临用户数据泄露和云成本失控的问题。 企业区域公司团队

您可以使用架构中心的此内容作为点,构建自己的架构良好的Atlas环境。 我们建议您在文档中汇编以下资源并进行自定义,以满足您组织的目标。MongoDB 的专业服务可以帮助您调整登陆区域设计,以最好地满足企业的要求。

着陆区注意事项有哪些?

在创建您的着陆区域时,请在以下方面定义具体要求:

考虑因素
说明

系统层级

选择对Atlas组织、项目和集群进行分组的部署层次结构,以根据需要促进业务部门、环境和可计费群组之间的隔离性和职责分离。示例,您可以将业务部门群组到各个组织中,以确保销售凭证无法对产品资源进行身份验证。我们还建议您将开发和生产环境分成单独的项目或组织,以满足每个环境的不同安全和弹性要求。

要获取建议并了解更多关于此主题的信息,请参阅 Atlas 组织、项目和集群指导

安全性

默认下, Atlas会阻止对集群的所有访问权限,对数据库的所有连接强制执行 TLS加密,并使用云提供商磁盘加密静态数据进行加密。您必须定义以下安全要求,启用安全访问权限集群:

  • 网络安全配置,例如IP访问列表限制,或限制网络信任边界扩展所需的私有端点和VPC连接

  • 对用户进行身份验证并授权其访问权限Atlas控制平面({atlas-ui+}和Atlas )、数据库资源和数据库操作的机制

  • 针对传输中、静态和使用中数据的额外数据加密要求

要获取建议并了解有关此主题的更多信息,请参阅以下页面:

合规性

考虑您的部署的数据驻留如何决定数据主权,从而决定哪些法律适用于您的数据。识别并考虑其他类别要求中未明确阐明的任何具体法律和监管要求。

您的数据驻留取决于您在部署范例中选择部署到的区域和地理位置,以及您是否选择在不同地理位置之间对数据进行分区。

要获取建议并了解有关此主题的更多信息,请参阅以下页面:

可靠性和弹性

通过高可用性架构和灾难恢复规划定义并记录可靠性和弹性的标准。这些策略共同作用,可防范不同类型的故障:

  • 首先,根据应用程序关键程度级别为组织定义最佳RPORTO目标。

  • 高可用性架构:通过自动故障转移防止基础架构故障,例如节点、区域、地区或云提供商服务中断。通过适当的部署配置和 majority写关注(write concern),高可用性可实现零数据丢失(RPO=0)和恢复时间(以秒为单位)和接近于零的 RTO。这就要求您跨可用区、区域或云提供商部署足够多的节点,以在故障期间保持投票多数,并安排维护窗口以确保主节点 (primary node in the replica set)节点在业务关键时间之外重新启动。要学习更多信息,请参阅Atlas高可用性指导Atlas部署范例

  • 灾难恢复规划:防止超出高可用性保护或影响数据完整性的情况,例如完全部署失败、数据损坏或意外删除。从备份恢复通常会导致一些数据丢失(RPO > 0),这取决于备份频率和较长的 RTO 恢复时间(分钟到小时)。全面的灾难恢复计划将执行以下操作:

    • 文档并测试恢复过程,例如从备份恢复、执行时间点恢复以及将工作负载转移到已恢复集群的过程。

    • 定义备份快照安排以及快照保留和多区域分布的要求,以满足 RPORTO 要求。

    • 识别必须手动干预的情况,例如数据损坏或意外删除的数据,在这些情况下,自动故障转移无法保护您的数据。

    要学习;了解更多信息,请参阅Atlas灾难恢复指南Atlas业务连续性规划指南

帐单

确定计费的任何特定要求,例如与用于报告和退款的 FinOps 工具集成。您可以将这些要求构建到Atlas集群的自动化和预配进程中,以促进这种集成。

要获取建议并了解有关此主题的更多信息,请参阅Atlas 计费数据功能

数据保留

识别并记录您的数据保留政策。这可能需要创建一个与自动化集成的数据分类框架,以根据数据的性质和目的对其进行存档或清除,例如财务记录、客户数据或员工信息,这些信息涉及不同的法律和监管要求。识别检索存档记录的性能特征。

要获取建议并了解有关此主题的更多信息,请参阅以下页面:

监控和可观察性

制定可观察性标准,定义将监控哪些日志和指标以及监控方式。示例,设立外部系统集成以摄取Atlas日志文件、Atlas 审核日志或操作日志数据,或者为某些事件类型配置警报和报告指南。

要获取建议并了解有关此主题的更多信息,请参阅以下页面:

审核和变更控制

明确任何 Atlas 审核或变更控制要求。这可能包括变更批准流程和工具、报告指南,以及集成到第三方系统以进行保留和分析。这些要求在生产环境和非生产环境之间可能有所不同。

要获取建议并了解有关此主题的更多信息,请参阅 Atlas 审核和日志记录指导。

设计您的登录区域

MongoDB 的 Professional Services 团队与企业客户合作,为 Atlas 创建自定义着陆区域。如果您正在使用 MongoDB 的 Professional Services,此页面上的资源也可以帮助您为这些讨论做准备。

使用以下资源作为Atlas登陆区域的点。设计登陆区域是一个迭代进程,涉及跨团队审查和重新调整标准。我们建议您将此页面上的所有图表、建议和示例编译到一个文档中,并进行调整以满足组织的要求。

登陆区域图示例

下列示例图将 Atlas 架构中心的多个架构图合并为一张图,以便直观地展示登录区域。您可以根据需要进行调整,为组织量身定制。

“显示Atlas登陆区域示例的图表。”
点击放大

有关不同云提供商的更多示例设置,请参阅以下登陆区域指导:

  • GCP 的 FAST MongoDB Atlas配置是一个项目模板,用于创建和配置托管Atlas 集群,并通过私有端点将其连接到本地VPC网络。

  • Amazon Web Services和MongoDB Atlas登陆区域是一个 Terraform脚本,可自动设置Atlas项目、集群和私有端点,以及Amazon Web Services VPC,在多个可用区中具有子网和 NAT 网关。此登陆区域设置为企业采用MongoDB Atlas服务作为云存储解决方案的一部分提供了一个点。

  • 部署MongoDB Atlas in Azure是一篇文章,介绍了在Microsoft Azure上的典型工作负载中部署MongoDB Atlas的推荐架构。此登陆区域在工作负载的计算资源与专用于工作负载的MongoDB Atlas 集群之间建立安全、专用的连接。

Atlas 架构中心的信息

首先,请复制 Atlas 组织、项目和集群指导中的相关指导和示例,这将帮助您在 Atlas 中创建第一个基础组件。

然后,在 Atlas 架构中心查看 Well-Architected Framework 支柱下嵌套的每个页面的指导和示例。复制与贵组织相关的图表、建议、工具和示例。

Atlas架构中心页面包括:

贵组织的要求

调整您从 Atlas 架构中心复制的示例登录区域图、建议和示例,以符合您组织的特定要求。例如,如果您仅使用 Google Cloud 作为云提供商,则登录区域域应指定该要求,并且应排除任何仅适用于 AWSAzure 的建议和示例。

要确定针对您组织的更多注意事项和要求,请参阅上一节“登陆区域注意事项”。

后续步骤

请参阅迁移页面以计划向 Atlas 的迁移,或使用左侧导航查找每个Well-Architected Framework支柱的功能和最佳实践。

后退

开始体验

来年

部署范式

在此页面上