の KMIP 保管時の暗号化を構成する
項目一覧
KMIP サーバーを使用して、Kubernetes Operator によって管理される MongoDB 配置で保管時の 暗号化を 構成できます。
Considerations
保管時の暗号化を構成する前に、以下の点を考慮してください。
実行中のKMIPサーバーが必要です。
キーファイル ベースの保管時の暗号化を使用する配置をKMIPベースの保管時の暗号化に移行することはできません。
すでに配置されている MongoDB リソースに対して保管時のKMIP暗号化を有効にする場合は、 MongoDB サポートにお問い合わせください。
手順
次の手順では、MongoDB レプリカセットのサンプルKMIP構成を構成する方法について説明します。 配置に必要なファイル名とパス、Kubernetes 名前空間、リソース名、MongoDB バージョンを調整します。
1
CA の ConfigMap を作成します。
次のコマンドを実行して、KMIP サーバーの証明書に署名した CA を保持するための ConfigMap を作成します。
kubectl -n mongodb create configmap mongodb-kmip-certificate-authority-pem --from-file=ca.pem
2
クライアント証明書と秘密キー PEM のシークレットを作成します。
以下のコマンドを実行して シークレット を作成します 、 KMIP サーバーからマスター キーをチェックアウトするために、連結されたクライアント証明書と秘密キーを保持します。
kubectl -n mongodb create secret generic mongodb-kmip-client-pem --from-file=cert.pem
3
KMIPサーバーを使用するように配置を構成します。
カスタム リソース で 設定を構成するadditionalMongodConfig KMIP サーバーを使用するための仕様。例:
apiVersion: mongodb.com/v1 kind: MongoDB metadata: name: kmip namespace: mongodb spec: type: ReplicaSet members: 3 backup: encryption: kmip: client: clientCertificatePrefix: "mdb" additionalMongodConfig: security: enableEncryption: true kmip: clientCertificateFile: /kmip/cert/cert.pem serverCAFile: /kmip/ca/ca.pem serverName: pykmip-server.pymongo port: 5696 featureCompatibilityVersion: '6.0' version: 6.0.14-ent opsManager: configMapRef: name: my-project credentials: my-credentials podSpec: podTemplate: spec: containers: - name: mongodb-enterprise-database volumeMounts: - name: mongodb-kmip-client-pem mountPath: /kmip/cert - name: mongodb-kmip-certificate-authority-pem mountPath: /kmip/ca volumes: - name: mongodb-kmip-client-pem secret: secretName: mongodb-kmip-client-pem - name: mongodb-kmip-certificate-authority-pem configMap: name: mongodb-kmip-certificate-authority-pem items: - key: ca.pem path: ca.pem
重要
spec.backup.encryption.kmipリソースで 設定を設定する場合、 の値にリンクされた APIspec.credentials Global Ownerキーには ロールが必要です。