MongoDB Ops Managerの KMIP バックアップ暗号化の構成
MongoDB Ops Managerはバックアップジョブを暗号化できます。 KubernetesOperator を使用して、 の MongoDB Ops ManagerKMIP バックアップ暗号化を構成できます。詳細については、「暗号化されたバックアップ スナップショット 」を参照してください。
制限
KubernetesMongoDB同じ ます 。この要件には、各MongoDBデータベースのクライアント証明書を含めることが含まれます。これは、 MongoDB Ops Managerポッドの ステートメントをオーバーライドして証明書をマウントすることで実現できます。 詳細については、「 KMIP バックアップ暗号化の手動構成 」を参照してください。
手順
MongoDB Ops ManagerKMIPバックアップ暗号化を使用するようにMongoDB Ops Managerカスタムリソースを構成します。
spec.backup.encryption.kmip
設定を構成します。
1 apiVersion: mongodb.com/v1 2 kind: MongoDBOpsManager 3 metadata: 4 name: om-backup-kmip 5 spec: 6 replicas: 1 7 version: 6.0.0 8 adminCredentials: ops-manager-admin-secret 9 backup: 10 encryption: 11 kmip: 12 server: 13 url: kmip.corp.mongodb.com:5696 14 ca: mongodb-kmip-certificate-authority-pem
クライアント証明書と秘密キーのシークレット を作成します。
次のコマンドを実行します:
kubectl -n mongodb create secret tls mongodb-kmip-client-pem-my-replica-set-client-kmip \ --cert=<path-to-cert-file> \ --key=<path-to-key-file>
クライアント証明書 シークレット 名前には、 CustomResourceDefinition から派生した次の命名規則がありますMongoDB
:
<clientCertificatePrefix>-<objectMeta.name>-client-kmip
| CustomResourceDefinition の フィールドに指定された、人間が判読可能なラベル 。 |
| CustomResourceDefinition の フィールドに指定された、人間が判読可能なラベル 。 |
| Kubernetes 演算子が想定するサフィックスを修正しました。 |
詳細については、 kubernetes.io/tls を参照してください。
MongoDB database 配置を構成します。
spec.backup.encryption.kmip
設定を構成します。
1 apiVersion: mongodb.com/v1 2 kind: MongoDB 3 metadata: 4 name: my-replica-set 5 spec: 6 members: 3 7 version: 4.0.20 8 type: ReplicaSet 9 backup: 10 encryption: 11 kmip: 12 client: 13 clientCertificatePrefix: mongodb-kmip-client-pem