MongoDB Ops Managerの KMIP バックアップ暗号化の構成
MongoDB Ops Managerはバックアップジョブを暗号化できます。 KubernetesOperator を使用して、 の MongoDB Ops ManagerKMIP バックアップ暗号化を構成できます。詳細については、「暗号化されたバックアップ スナップショット 」を参照してください。
制限
同じ Kubernetes Operator インスタンスが MongoDFOpsManager と MongoDB カスタム リソースの両方を管理していない配置の場合は、 MongoDFOpsManager カスタム リソースで KMIP バックアップ暗号化クライアント設定を手動で構成する必要があります。この要件には、各MongoDBデータベースのクライアント証明書を含めることが含まれます。これは、 MongoDB Ops Managerポッドの ステートメントをオーバーライドして証明書をマウントすることで実現できます。 詳細については、「 KMIP バックアップ暗号化の手動構成 」を参照してください。
手順
MongoDB Ops ManagerKMIP バックアップ暗号化を使用するように カスタム リソースを構成します。
spec.backup.encryption.kmip設定を構成します。
1 apiVersion: mongodb.com/v1 2 kind: MongoDBOpsManager 3 metadata: 4 name: om-backup-kmip 5 spec: 6 replicas: 1 7 version: 6.0.0 8 adminCredentials: ops-manager-admin-secret 9 backup: 10 encryption: 11 kmip: 12 server: 13 url: kmip.corp.mongodb.com:5696 14 ca: mongodb-kmip-certificate-authority-pem
シークレット を作成する クライアント証明書と秘密キーの
次のコマンドを実行します:
kubectl -n mongodb create secret tls mongodb-kmip-client-pem-my-replica-set-client-kmip \ --cert=<path-to-cert-file> \ --key=<path-to-key-file>
クライアント証明書 シークレット 名前には、 CustomResourceDefinition から派生した次の命名規則がありますMongoDB :
<clientCertificatePrefix>-<objectMeta.name>-client-kmip
| CustomResourceDefinition |
| CustomResourceDefinition |
| Kubernetes 演算子が想定するサフィックスを修正しました。 |
詳細については、 kubernetes.io/tls を参照してください。
MongoDB database 配置を構成します。
spec.backup.encryption.kmip設定を構成します。
1 apiVersion: mongodb.com/v1 2 kind: MongoDB 3 metadata: 4 name: my-replica-set 5 spec: 6 members: 3 7 version: 4.0.20 8 type: ReplicaSet 9 backup: 10 encryption: 11 kmip: 12 client: 13 clientCertificatePrefix: mongodb-kmip-client-pem