Ops Manager の構成設定
項目一覧
MongoDB Ops Manager は、MongoDB Ops Manager Application Database にグローバルに構成設定を保存するだけでなく、各サーバーにローカルに構成設定を保存します。グローバル設定はすべての Ops Manager サーバーに適用されます。ローカル設定は、それが構成されているサーバーに適用されます。サーバー上のローカル設定は、グローバル設定を上書きします。
ローカル設定は、サーバーの conf-mms.properties
ファイルを通じて構成します。各サーバーの conf-mms.properties
には、MongoDB Ops Manager Application Database にアクセスするための接続文字列と認証が含まれている必要があります。conf-mms.properties
ファイルには、そのサーバーに固有のグローバル設定のオーバーライドも含まれます。
conf-mms.properties
ファイルのロケーションは、以下の表に示すように、Ops Manager のインストール方法によって異なります。
インストール方法 | conf-mms.properties ロケーション |
---|---|
|
|
|
|
ユーザー インターフェースによる初期設定のバイパス
最初のアカウントを作成した後、初期設定ウィザードをスキップして、 conf-mms.properties
ファイルを編集するか、API を使用して Ops Manager を構成する場合は、次の設定を変更します。この設定は、Ops Manager インスタンスの配置を自動化する場合に役立ちます。
mms.ignoreInitialUiSetup
タイプ: ブール値
これを
true
に設定すると、最初のユーザー アカウントで初期設定ウィザードを完了する必要なく、Ops Manager を完全に使用できるようになります。警告
Ops Manager は通常のプレフライト チェックを行い、必要な設定がすべて完了していることを確認します。これらの設定の 1 つ以上が
conf-mms.properties
に含まれていない場合、Ops Manager は起動を拒否し、ログファイルに欠落しているフィールドをリストします。Ops Manager を起動する前に、基本的な Ops Manager 機能を有効にするために、次の必須設定を
conf-mms.properties
に追加します。UI 設定conf-mms.properties
設定必要性必須
なし
必須
必須
必須
必須
必須
必須
必須
必須
必須
任意
任意
任意
任意
任意
任意
任意
注意
任意とマークされたフィールドにはデフォルト値があります。これらを変更する場合は、設定と新しい値を指定できます。
例
以下の値はその例です。Ops Manager のインストールに適した値を代入します。この参照で指定されるその他の設定を追加することもできます。
最小限の機能で Ops Manager インストールを構成するには、次の設定を
conf-mms.properties
に追加します。mms.ignoreInitialUiSetup=true mongo.mongoUri=mongodb://db1.example.com:27017,db2.example.com:27017,db3.example.com:27017 mms.centralUrl=http://localhost:8080 mms.fromEmailAddr=example@example.com mms.replyToEmailAddr=example@example.com mms.adminEmailAddr=example@example.com mms.mail.transport=smtp mms.mail.hostname=mail.example.com mms.mail.port=465
すべてのクラスターの表示
mms.allclusters.onlyMembership
タイプ: ブール値
デフォルト: False
すべてのクラスターの表示に、Ops Manager 管理者が属する配置のみを表示するか(値を
true
に設定)、管理者がアクセスできる配置のみを表示するか(値をfalse
に設定)を決定します。
アプリケーション データベース接続
以下の設定は Ops Manager Application Database への Ops Manager 接続を構成します。この設定は、各 Ops Managerサーバーの conf-mms.propertiesファイルで構成する必要があります。認証情報を暗号化するには、「 ユーザー認証情報の暗号化 」を参照してください。
mongo.mongoUri
型: string
MongoDB Ops Manager Application Database にアクセスするために使用される接続文字列。該当する場合、接続文字列には、MongoDB Ops Manager Application Database 上で使用される
authentication mechanism
の認証情報を含める必要があります。接続文字列のフォーマット方法は、以下により異なります。
バッキング データベースに配置したクラスターのタイプ
使用するプロトコル、そして
使用する認証方法。
データベースの レプリカ セット をデータベースの バックアップ インスタンス に使用する場合、接続文字列には、すべてのレプリカ セット ノードのホスト名または DNS シードリストのホスト名のいずれかを含めることができます。
標準の接続文字列を選択する場合は、レプリカセットのすべてのメンバーを URI に含めます。ポート番号を省略すると、Ops Manager はすべてのホストに対してデフォルトの 27017 ポートを使用します。
mongo.mongoUri=mongodb://mongod1.example.com:40000,mongod2.example.com:40000,mongod3.example.com:40000 ホスト名の前に MongoDB のユーザー名とパスワードを付け加えます。 ユーザー名とパスワードを次の形式で書き込みます:<username> <password>:{password>@
mongo.mongoUri=mongodb://mongodbuser1:password@mongod1.example.com:40000,mongod2.example.com:40000,mongod3.example.com:40000 注意
必要な MongoDB ロール
バッキング データベースを認証する MongoDB ユーザーは、次のロールを持っている必要があります。
clusterAdmin
そうでなく、データベースがシャーディングされたクラスターである場合、clusterMonitor
クライアント証明書は、
mongodb.ssl.PEMKeyFile
設定で指定した PEM ファイル内にあります。ホストの前 に MongoDB ユーザーとしてのクライアント証明書 からの サブジェクト の値を追加します。
指定されたポートに authMechanism=MONGODB-X 509 を追加します。
mongo.mongoUri=mongodb://<new_mongodb_user>@mongod1.example.com:40000,mongod2.example.com:40000,mongod3.example.com:40000/?authMechanism=MONGODB-X509 ホスト名の前に <username> :<password> @ の形式で MongoDB のユーザー名とパスワードを付け加えます。
認証メカニズムをauthMechanism=PLAIN &authSource=$externalの形式でポートに追加します。
mongo.mongoUri=mongodb://mongodbuser1:password@mongod1.example.com:40000,mongod2.example.com:40000,mongod3.example.com:40000/?authMechanism=PLAIN&authSource=$external ホスト名の前に Kerberos ユーザー プリンシパルを追加します。
Kerberos UPN を <username>@<KERBEROS REALM> として書き込みます。URL エンコード表現を使用して UPN をエスケープします。したがって、username@REALM.EXAMPLE.COM の Kerberos ユーザー プリンシパルは、username%40REALM.EXAMPLE.COM になります。
認証メカニズムを authMechanism=GSSAPI の形式でポートに追加します。
mongo.mongoUri=mongodb://username%40REALM.EXAMPLE.COM@mongod1.example.com:40000,mongod2.example.com:40000,mongod3.example.com:40000/?authMechanism=GSSAPI 注意
Kerberos 設定の変更
注意
Ops Manager では、URI に レプリカセット オプションは必要ありません。
バージョン Ops の新機能: マネージャー 4.4.0
DNS シードリスト接続文字列を選択する場合は、データベースのバッキング インスタンス レプリカセットを記述する DNS SRV レコードを含めます。文字列は MongoDB: プロトコルではなく MongoDB+srv: プロトコルを使用します。
mongo.mongoUri=mongodb+srv://db.example.com:40000 ホスト名の前に MongoDB のユーザー名とパスワードを付け加えます。 ユーザー名とパスワードを次の形式で書き込みます:<username> <password>:{password>@
mongo.mongoUri=mongodb+srv:mongodbuser1:password@mongod.example.com:40000 注意
必要な MongoDB ロール
バッキング データベースを認証する MongoDB ユーザーは、次のロールを持っている必要があります。
clusterAdmin
そうでなく、データベースがシャーディングされたクラスターである場合、clusterMonitor
クライアント証明書は、
mongodb.ssl.PEMKeyFile
設定で指定した PEM ファイル内にあります。ホストの前 に MongoDB ユーザーとしてのクライアント証明書 からの サブジェクト の値を追加します。
指定されたポートに authMechanism=MONGODB-X 509 を追加します。
mongo.mongoUri=mongodb+srv:<new_mongodb_user>@mongod.example.com:40000/?authMechanism=MONGODB-X509 ホスト名の前に <username> :<password> @ の形式で MongoDB のユーザー名とパスワードを付け加えます。
認証メカニズムをauthMechanism=PLAIN &authSource=$externalの形式でポートに追加します。
mongo.mongoUri=mongodb+srv:mongodbuser1:password@mongod.example.com:40000/?authMechanism=PLAIN&authSource=$external ホスト名の前に Kerberos ユーザー プリンシパルを追加します。
Kerberos UPN を <username>@<KERBEROS REALM> として書き込みます。URL エンコード表現を使用して UPN をエスケープします。したがって、username@REALM.EXAMPLE.COM の Kerberos ユーザー プリンシパルは、username%40REALM.EXAMPLE.COM になります。
認証メカニズムを authMechanism=GSSAPI の形式でポートに追加します。
mongo.mongoUri=mongodb+srv:username%40REALM.EXAMPLE.COM@mongod.example.com:40000/?authMechanism=GSSAPI 注意
Kerberos 設定の変更
このオプションには、アプリケーション データベースの DNS SRV レコードが必要です。DNS エントリーは DNS シードリスト文字列形式を使用します。Ops Manager がこのアプリケーションデータベースに接続できることを確認してください。
データベースのインスタンスにシャーディングされたクラスターを使用する場合、接続文字列にはすべての
mongos
ルーターのホスト名または DNS シードリストのホスト名のいずれかを含めることができます。標準接続文字列を選択する場合は、URI にすべてのシャードを含めます。ポート番号を省略すると、Ops Manager はすべてのホストに対してデフォルトの 27017 ポートを使用します。
mongo.mongoUri=mongodb://mongos1.example.com:40000,mongos2.example.com:40000 ホスト名の前に MongoDB のユーザー名とパスワードを付け加えます。 ユーザー名とパスワードを次の形式で書き込みます:<username> <password>:{password>@
mongo.mongoUri=mongodb://mongodbuser1:password@mongos1.example.com:40000,mongos2.example.com:40000 注意
必要な MongoDB ロール
バッキング データベースを認証する MongoDB ユーザーは、次のロールを持っている必要があります。
clusterAdmin
そうでなく、データベースがシャーディングされたクラスターである場合、clusterMonitor
クライアント証明書は、
mongodb.ssl.PEMKeyFile
設定で指定した PEM ファイル内にあります。ホストの前 に MongoDB ユーザーとしてのクライアント証明書 からの サブジェクト の値を追加します。
指定されたポートに authMechanism=MONGODB-X 509 を追加します。
mongo.mongoUri=mongodb://<new_mongodb_user>@mongos1.example.com:40000,mongos2.example.com:40000/?authMechanism=MONGODB-X509 ホスト名の前に <username> :<password> @ の形式で MongoDB のユーザー名とパスワードを付け加えます。
認証メカニズムをauthMechanism=PLAIN &authSource=$externalの形式でポートに追加します。
mongo.mongoUri=mongodb://mongodbuser1:password@mongos1.example.com:40000,mongos2.example.com:40000/?authMechanism=PLAIN&authSource=$external ホスト名の前に Kerberos ユーザー プリンシパルを追加します。
Kerberos UPN を <username>@<KERBEROS REALM> として書き込みます。URL エンコード表現を使用して UPN をエスケープします。したがって、username@REALM.EXAMPLE.COM の Kerberos ユーザー プリンシパルは、username%40REALM.EXAMPLE.COM になります。
認証メカニズムを authMechanism=GSSAPI の形式でポートに追加します。
mongo.mongoUri=mongodb://username%40REALM.EXAMPLE.COM@mongos1.example.com:40000,mongos2.example.com:40000/?authMechanism=GSSAPI 注意
Kerberos 設定の変更
注意
Ops Manager では、URI に レプリカセット オプションは必要ありません。
バージョン Ops の新機能: マネージャー 4.4.0
DNSシードリスト接続ストリングを選択する場合は、データベースのバッキング インスタンスのシャーディングされたクラスターを記述する DNS SRV レコードを含めます。接続文字列は、mongodb: プロトコルではなく、mongodb+srv: プロトコルを使用します。
mongo.mongoUri=mongodb+srv://db.example.com:40000 ホスト名の前に MongoDB のユーザー名とパスワードを付け加えます。 ユーザー名とパスワードを次の形式で書き込みます:<username> <password>:{password>@
mongo.mongoUri=mongodb+srv:mongodbuser1:password@mongos.example.com:40000 注意
必要な MongoDB ロール
バッキング データベースを認証する MongoDB ユーザーは、次のロールを持っている必要があります。
clusterAdmin
そうでなく、データベースがシャーディングされたクラスターである場合、clusterMonitor
クライアント証明書は、
mongodb.ssl.PEMKeyFile
設定で指定した PEM ファイル内にあります。ホストの前 に MongoDB ユーザーとしてのクライアント証明書 からの サブジェクト の値を追加します。
指定されたポートに authMechanism=MONGODB-X 509 を追加します。
mongo.mongoUri=mongodb+srv:<new_mongodb_user>@mongos.example.com:40000/?authMechanism=MONGODB-X509 ホスト名の前に <username> :<password> @ の形式で MongoDB のユーザー名とパスワードを付け加えます。
認証メカニズムをauthMechanism=PLAIN &authSource=$externalの形式でポートに追加します。
mongo.mongoUri=mongodb+srv:mongodbuser1:password@mongos.example.com:40000/?authMechanism=PLAIN&authSource=$external ホスト名の前に Kerberos ユーザー プリンシパルを追加します。
Kerberos UPN を <username>@<KERBEROS REALM> として書き込みます。URL エンコード表現を使用して UPN をエスケープします。したがって、username@REALM.EXAMPLE.COM の Kerberos ユーザー プリンシパルは、username%40REALM.EXAMPLE.COM になります。
認証メカニズムを authMechanism=GSSAPI の形式でポートに追加します。
mongo.mongoUri=mongodb+srv:username%40REALM.EXAMPLE.COM@mongos.example.com:40000/?authMechanism=GSSAPI 注意
Kerberos 設定の変更
このオプションには、アプリケーション データベースの DNS SRV レコードが必要です。DNS エントリーは DNS シードリスト文字列形式を使用します。Ops Manager がこのアプリケーションデータベースに接続できることを確認してください。
mongo.encryptedCredentials
タイプ: ブール値
mongo.mongoUri
で暗号化された認証情報を使用するには、Ops Manager credentialstool で認証情報を暗号化し、それらをmongo.mongoUri
設定に入力し、以下のようにこの設定をtrue
にします。mongo.encryptedCredentials=true
Ops Manager Application Database への Kerberos 認証
mms.kerberos.keyTab
型: string
Kerberos を使用する場合は必須です。プリンシパルのキータブ ファイルへの絶対パス。
mms.kerberos.keyTab=/path/to/mms.keytab
mms.kerberos.principal
型: string
Kerberos を使用する場合は必須です。 MongoDB での認証に使用されるプリンシパル。 これは
mongo.mongoUri
とまったく同じユーザーである必要があります。mms.kerberos.principal=mms/mmsweb.example.com@EXAMPLE.COM
jvm.java.security.krb5.conf
型: string
オプション。 代替の Kerberos 設定ファイルへのパス。 値はJVMの
java.security.krb5.conf
に設定されます。jvm.java.security.krb5.conf=/etc/conf/krb5.conf
アプリケーション データベースへの TLS/SSL 接続
mongo.ssl
タイプ: ブール値
true
に設定すると、 Ops Manager Application Database への TLS 接続が有効になります。
mongodb.ssl.PEMKeyFile
型: string
X509 証明書と秘密キーを含む PEM ファイルの名前。MongoDB インスタンスが
--tlsCAFile
オプションまたはnet.tls.CAFile
設定で実行中の場合に必須です。その証明書の
Extended Key Usage
フィールドにTLS Web client authentication
が含まれている必要があります。MONGODB-X509
認証メカニズムを使用して認証する場合は、mongoUri
接続文字列にユーザー名としてこれを入力します。
オートメーション デフォルト パス
automation.default.backupAgentLogFile
型: string
デフォルト:
/var/log/mongodb-mms-automation/backup-agent.log
Linux/macOS 上のバックアップ ログのデフォルト パス。
automation.default.downloadBase
型: string
デフォルト: /var/lib/mongodb-mms-automation
Linux/macOS 上のオートメーションによって管理される配置のモニタリング、バックアップ、および MongoDB バイナリのデフォルト パス。
automation.default.monitoringAgentLogFile
型: string
デフォルト:
/var/log/mongodb-mms-automation/monitoring-agent.log
Linux/macOS のモニタリング ログのデフォルト パス。
mms.agentCentralUrl
型: string
レガシーのモニタリングエージェントまたは MongoDB エージェントがモニタリング データをプッシュするのに使用する MongoDB Ops Manager アプリケーションの FQDN 。
設定されていない場合は、
mms.centralUrl
の値を使用します。重要
MongoDB Ops Manager アプリケーションに IPv6 アドレスを使用してアクセスする場合は、ポート番号と区別するために IPv6 アドレスを角括弧(
[ ]
)で囲む必要があります。以下に例を挙げます。
http://[2600:1f16:777:8700:93c2:b99c:a875:2b10]:8080
バックアップ
mms.alerts.BackupAgentConfCallFailure.maximumFailedConfCalls
タイプ: 整数
デフォルト: 10
バックアップでこの回数を超える連続したテレカンの失敗が発生すると、MongoDB Ops Manager は次のグローバル アラートをトリガーします:
Backup has too many conf call failures
。
mms.alerts.OutsideSpaceUsedThreshold.maximumSpaceUsedPercent
タイプ: 整数
デフォルト: 85
ブロックストアが合計ディスク容量のこのパーセンテージ以上を使用している場合、Ops Manager は次のシステムアラートをトリガーします。
Blockstore space used exceeds threshold
mms.backupCentralUrl
型: string
従来のバックアップ エージェントまたは MongoDB エージェントがバックアップ データを送信するのに使用する MongoDB Ops Manager アプリケーションの FQDN 。
設定されていない場合は、
mms.centralUrl
の値を使用します。重要
MongoDB Ops Manager アプリケーションに IPv6 アドレスを使用してアクセスする場合は、ポート番号と区別するために IPv6 アドレスを角括弧(
[ ]
)で囲む必要があります。以下に例を挙げます。
http://[2600:1f16:777:8700:93c2:b99c:a875:2b10]:8080
mms.backup.journal.heads
タイプ: ブール値
デフォルト: False
ヘッドデータベースがジャーナリングを使用するかどうかを設定します。単一のバックアップ ジョブのヘッド データベースに対するジャーナリングを有効または無効にするには、「バックアップ ジョブの管理」を参照してください。
FCV
4.2
以降では、ヘッドデータベース の代わりにバックアップカーソルをバックアップに使用します。
mms.backup.minimumOplogWindowHours
型: float
デフォルト: 3
これは、oplog が記録するデータベース操作の最小時間数を設定します。
配置の oplog は、最後のスナップショット以降のリカバリ データを保持できる十分な大きさでなくてはなりません。この値を増やして、Ops Manager に oplog 容量をモニターさせます。この値は、
brs.snapshotSchedule.interval
の値を満たすかそれを超えるように設定する必要があります。値を
brs.snapshotSchedule.interval
未満に設定すると、最後のスナップショットと oplog の終了の間に差が生じる可能性があります。 これにより、バックアップは復元に使用できなくなります。 古いバックアップジョブは、復元に使用する前に再同期する必要があります。
バックアップ スナップショット
backup.fileSystemSnapshotStore.gzip.compressionLevel
タイプ: 整数
デフォルト: 6
Ops Manager がファイル システム ベースのスナップショットをどの程度圧縮するかを決定します。レベルの範囲は
0
から9
です。0
では圧縮は提供されません。1
9
では、スナップショットの圧縮速度が犠牲になり、圧縮の度合いが高まります。レベル1
では、スナップショットの圧縮率は最低となりますが、速度は最も速くなります。レベル9
では、スナップショットが最も圧縮されますが、速度は最も遅くなります。
注意
File System Store Gzip Compression Levelを変更すると、新しいスナップショットにのみ影響が出ます。既存のスナップショットの圧縮レベルには影響しません。
brs.restore.digest.method
型: string
Default: SHA1
SHA1 を生成するかどうかを指定します アーカイブ ファイルを復元するためのチェックサム値。
使用可能な値は
SHA1
またはNONE
です。
brs.snapshotSchedule.interval
タイプ: 整数
デフォルト: 24
連続する 2 つのスナップショット間の時間を時間単位で指定します。
指定できる値は次のとおりです。
6
、8
、12
、または24
brs.snapshotSchedule.retention.base
タイプ: 整数
デフォルト: 2
間隔スナップショットを保存する日数を指定します。 許容値は、
brs.snapshotSchedule.interval
の値によって異なります。許容値
<
24
2
、3
、4
、または5
。=
24
2
,3
,4
,5
,6
,7
,8
,9
,10
,11
,12
,13
,14
,15
,16
,17
,18
,19
,20
,21
,22
,23
,24
,25
,26
,27
,28
,29
,30
.対応:
.Base Retention of Snapshots
brs.snapshotSchedule.retention.daily
タイプ: 整数
デフォルト: 0
日次スナップショットを保存する日数を指定します。
指定できる値は次のとおりです。
0
,3
,4
,5
,6
,7
,15
,30
,60
,90
,120
,180
or360
対応:
.Daily Retention of Snapshots
brs.snapshotSchedule.retention.monthly
タイプ: 整数
デフォルト: 1
月次スナップショットを保存する月数を指定します。
指定できる値は次のとおりです。
0
,1
,2
,3
,4
,5
,6
,7
,8
,9
,10
,11
,12
,13
,18
,24
,36
,48
,60
,72
, and84
brs.snapshotSchedule.retention.weekly
タイプ: 整数
デフォルト: 2
週単位のスナップショットを保存する週数を指定します。
指定できる値は次のとおりです。
0
,1
,2
,3
,4
,5
,6
,7
,8
,12
,16
,20
,24
, and52
対応:
.Weekly Retention of Snapshots
brs.pitWindowInHours
タイプ: 整数
デフォルト: 24
特定の時点(PIT)から復元できる期間(時間単位)。
対応:
.PIT Window
backup.kmip.server.host
型: string
デフォルト: なし
KMIP サーバーのホスト名を指定します。
MongoDB 4.2.1(および 4.0.14)以降、カンマ区切りのリストで複数の KMIP サーバーを指定できます。
重要
MongoDB 4.0.14 または 4.2.1 より前のバージョンでは、Ops Manager は KMIP サーバー ホスト名のリストにある最初の KMIP ホスト名のみを使用します。
mms.backup.snapshot.maxSumFileForWorkersMB
タイプ: 整数
デフォルト: 2048
スナップショットを取得するときに同時に保存されるファイルの最大累積サイズ(メガバイト単位)を設定します。
クエリ可能なスナップショット構成
brs.queryable.connecttimeout
タイプ: 整数
デフォルト: 30
タイムアウトする前にクエリ可能なスナップショット mongod インスタンスへの接続を待機する秒数。
対応:
Mongo .Connection Timeout
brs.queryable.lruCacheCapacityMB
タイプ: 整数
デフォルト: 512
グローバル スナップショット キャッシュ用に JVM ヒープから割り当てるサイズ(メガバイト単位)。 グローバル スナップショット キャッシュは、クエリ可能なスナップショットへの同じスナップショットデータに対する繰り返しのクエリを最適化します。
重要
MongoDB では、MongoDB サポートから変更の指示がない限り、この値を変更することはお勧めしません。
brs.queryable.mounttimeout
タイプ: 整数
デフォルト: 60
タイムアウトする前に、クエリ可能なスナップショットが準備されるまで待機する秒数。
対応:
.Queryable Startup Timeout
brs.queryable.pem.pwd
型: string
Proxy Server PEM File
が暗号化されている場合は必須です。注意
Proxy Server PEM File Password
を更新した後、変更を有効にするために Web サーバーを再起動します。
brs.queryable.pem
型: string
クエリ可能なスナップショットを使用する場合は必須です。1 つ以上の信頼できる証明書と関連する秘密キーの完全な証明書チェーンを含む PEM ファイル。
Proxy Server PEM File
次の制限があります。この PEM ファイルは、MongoDB Ops Manager へのHTTPS接続に使用されるものとは異なる必要があります(
mms.https.PEMKeyFile
)。この PEM ファイルでは、512 ビットを超えるキー長を使用する必要があります。2048 ビット RSA キーの使用が推奨されます。
この PEM ファイルでは、
sha256
など、sha1
よりも強力なメッセージ ダイジェストを使用する必要があります。
注意
Proxy Server PEM File
を更新した後、変更を有効にするために Web サーバーを再起動します。
brs.queryable.proxyPort
タイプ: 整数
デフォルト: 25999
クエリ可能なバックアップ ホストのポート。
注意
Proxy Server Port
を更新した後、変更を有効にするために Web サーバーを再起動します。
brs.queryable.tls.disabledProtocols
型: string
Default: SSLv2Hello,SSLv3,TLSv1,TLSv1.1,TLSv1.3
クエリ可能なスナップショットと復元に対して無効になっている TLS プロトコル バージョン。
brs.queryable.tls.disabledCiphers
型: string
Default: TLS_DHE_RSA_WITH_AES_128_CBC_SHA,TLS_DHE_RSA_WITH_AES_128_CBC_SHA256,TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,TLS_DHE_RSA_WITH_AES_256_CBC_SHA,TLS_DHE_RSA_WITH_AES_256_CBC_SHA256,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
クライアントがクエリ可能なバックアップ ホストに接続するときに、MongoDB Ops Manager インスタンスが受け入れられない TLS 暗号スイートのリスト。TLS 暗号スイート名は、エントリー間に空白を入れずにカンマで区切ったリストとして指定します。
診断アーカイブ
mms.admin.diagnostics.archiveDocCountLimit
タイプ: 整数
デフォルト: 10000
MongoDB Ops Manager がアクティビティフィードから取得するエントリーの最大数。
mms.admin.diagnostics.archiveDocSizeLimit
タイプ: 整数
デフォルト: 7
MongoDB Ops Managerがアクティビティ フィードから取得するデータの最大日数。
mms.admin.diagnostics.archiveDocAgeLimit
タイプ: 整数
デフォルト: 7
MongoDB Ops Managerがアクティビティ フィードから取得するデータの最大日数。
メールアドレス
mms.fromEmailAddr
型: string
MongoDB Ops Manager アラートなどの一般的なメールを送信するために使用されるメール アドレス。メール アドレスにエイリアスを含めることができます。
mms.fromEmailAddr=mms-alerts@example.com
mms.adminEmailAddr
型: string
MongoDB Ops Manager 管理者のメール アドレス。このアドレスには、MongoDB Ops Manager の問題に関連するメールが送信されます。
mms.emailDaoClass
型: string
デフォルト:
SIMPLE_MAILER
使用する電メール インターフェース。
この設定は、ユーザー インターフェイスと構成ファイルで、異なる方法でラベル付けされます。
送信方法構成設定(mms.emailDaoClass
)Amazon Web Services SES
AWS_MAILER
SMTP
SIMPLE_MAILER
これを SMTP メール サーバーに設定する場合は、以下を設定する必要があります。
これを AWS Simple Email Service に設定する場合は、以下を設定する必要があります。
SMTP メール サーバー
条件付き。 mms.emailDaoClass
を SIMPLE_MAILER
に設定すると、次の設定が表示されます。
AWS Simple Email Service
条件付き。 mms.emailDaoClass
を AWS_MAILER
に設定すると、次の設定が表示されます。
aws.ses.endpoint
型: string
デフォルト:
https://email.us-east-1.amazonaws.com
送信API エンドポイントを 設定します Amazon Web ServicesSES 用の。
HTTP Proxy
http.proxy.port
タイプ: 整数
ホストに接続したいポートを指定します。プロキシを使用するには、
Proxy Port
とProxy Host
の両方を指定する必要があります。
Kubernetes Setup
kubernetes.templates.credentialsFilePath
型: string
Ops Manager プロジェクト内のオブジェクトを作成または更新するための kubernetes secret としてのプログラマティック API キーを含む YAML ファイルへのパス。このファイルは YAML 形式で、
/mongodb-ops-manager/
ディレクトリに保存する必要があります。このファイルはKubernetes Secret Setup
に対応しています。apiVersion: v1 kind: Secret metadata: name: organization-secret namespace: mongodb stringData: user: ${publicKey} publicApiKey: ${privateKey}
kubernetes.templates.projectFilePath
型: string
Ops Manager プロジェクトへのリンクに使用する ConfigMap を含む YAML ファイルへのパス。このファイルは YAML 形式で、
/mongodb-ops-manager/
ディレクトリに保存する必要があります。また、Kubernetes ConfigMap Setup
に対応しています。
MongoDB バージョン管理
automation.versions.source
型: string
デフォルト:
remote
MongoDB インストーラのバイナリのソースを表します。
automation.versions.source
に指定できる値と、値を設定するために存在する必要がある条件は次のとおりです。値条件remote
MongoDB Ops Manager とエージェントはインターネットにアクセスできます。
hybrid
Ops マネージャーはインターネットにアクセスできますが、エージェントはアクセスできません。Ops Manager は、MongoDB バイナリをインターネットからダウンロードします。エージェントは、Ops Manager からバイナリをダウンロードします。
local
Ops Manager もエージェントもインターネットにアクセスできません。MongoDB Ops Manager 管理者は、配置構築でインターネット アクセスを制限する」で説明されているように、バージョンマニフェストと MongoDB バイナリを Ops Manager ホストにアップロードする必要があります。
automation.versions.download.baseUrl
型: string
デフォルト: mongodb.com、fastdl.mongodb.org
MongoDB バイナリを取得するための HTTP(S) エンドポイント。エンドポイントが HTTPS エンドポイントの場合、
httpsCAFile
で指定された証明機関ファイルを使用して証明書が検証されます。automation.versions.download.baseUrl
が設定されていない場合、mongodb バイナリのリモート URL は mongodb.com と fastdl.mongodb.org になります。
automation.versions.download.baseUrl.allowOnlyAvailableBuilds
タイプ: ブール値
デフォルト: True
true
に設定すると、Ops Manager は指定できる MongoDB バージョンを、配置で使用可能なバージョンに制限します。この設定は、
automation.versions.download.baseUrl
がカスタム値で設定されている場合にのみ適用されます。
automation.versions.directory
型: string
デフォルト:
/opt/mongodb/mms/mongodb-releases/
Ops Manager が MongoDB バイナリを保存する Ops Manager アプリケーション サーバー上のディレクトリを指定します。オートメーションは、配置に MongoDB のバージョンをインストールまたは変更する際にバイナリにアクセスします。
Version Manifest Source
Local
モードで実行するように設定すると、バックアップデーモンもこのディレクトリから MongoDB バイナリにアクセスします。詳細については、「配置構築でインターネット アクセスを制限する」を参照してください。
mongodb.release.autoDownload
タイプ: ブール値
デフォルト: True
バックアップデーモンが必要とするバージョンの MongoDB を、バックアップデーモンが自動的にインストールするかどうかを示すフラグ。
true
デーモンはインターネット経由で MongoDB Inc. からバイナリを取得します。
false
バックアップデーモンはインターネットにアクセスできないため、Ops Manager 管理者は、バックアップデーモンが必要とする MongoDB リリースのすべてのアーカイブ バージョンを手動でダウンロードして抽出する必要があります。管理者は、抽出したバイナリを Ops Manager ホスト上の
Versions Directory
に配置する必要があります。警告
Ops Manager がローカル モードで実行されている場合は、
false
に設定します。
mongodb.release.autoDownload.enterprise
タイプ: ブール値
バックアップデーモンが必要とするバージョンの MongoDB の エンタープライズ エディションを、バックアップデーモンが自動的にインストールするかどうかを示すフラグ。
mongodb.release.autoDownload
をtrue
に設定する必要があります。警告
Linux ホストでMongoDB Enterpriseを実行する場合は、MongoDB をインストールする前に、各ホストに一連の依存関係を手動でインストールする必要があります。 MongoDB マニュアルには、依存関係をインストールするための適切なコマンドが記載されています。
「配置構築でインターネット アクセスを制限する」を参照してください。
mongodb.release.modulePreference
型: string
バックアップに MongoDB Community バイナリを使用するか、エンタープライズ バイナリを使用するかを指定します。
指定できる値は次のとおりです。
enterprisePreferred
enterpriseRequired
communityRequired
enterpriseRequired
またはcommunityRequired
が選択されると、Ops Manager はバックアップにそれらのバイナリのみを使用します。enterprisePreferred
を選択すると、Ops Manager は、使用可能な場合はエンタープライズ バイナリを使用し、使用できない場合はコミュニティ バイナリを使用します。注意
enterpriseRequired
を選択した場合、mongodb.release.autoDownload.enterprise
をtrue
に設定するか、エンタープライズ バイナリをローカル モードでautomation.versions.directory
に手動で配置する必要があります。警告
enterpriseRequired
またはcommunityRequired
のいずれかが選択されている場合、バックアップは失敗しますが、automation.versions.directory
に必要なバイナリが含まれていません。
MongoDB の使用法
mms.mongoDbUsage.defaultUsageType
型: string
デフォルト: 本番環境サーバー
この Ops Manager インスタンスが管理するすべてのエンタープライズ プロセスの、デフォルトの MongoDB Enterprise サーバー タイプ。
次の表は、使用可能なサーバー タイプの値と、それぞれに必要なライセンスの数を示しています。
サーバーの意図環境目的ライセンス要件本番環境サーバー
社内または社外のエンド ユーザー向けにアプリケーションをホストします。
エンド ユーザーが環境を使用する可能性がある場合、その環境は本番環境として機能します。これは、その環境がテスト、品質保証、評価、または開発機能のいずれを提供していても、適用されます。
サーバーごとに 1 つのライセンス
テスト/QAサーバー
このタイプの環境は、次の目的で使用できます。
テスト
アプリケーションを実行して、設計どおり、期待どおりに動作することを確認します。プラットフォーム構成は、コンピューティング、ネットワーク、ストレージ機能において、本番環境のパフォーマンスが低いバージョンとなることがあります。
システム品質の保証
本番環境をシミュレートするように構成されたデータ、ハードウェア、ソフトウェアの組み合わせに対してアプリケーションを検証します。プラットフォーム構成は、コンピューティング、ネットワーク、およびストレージ機能の点で、小規模の本番環境でなくてはなりません。
ステージ
パフォーマンス テストやリリース候補の承認を含む本番環境をシミュレートします。プラットフォーム構成は、コンピューティング、ネットワーク、およびストレージ機能において本番環境と同じでなくてはなりません。
サーバーごとに 1 つのライセンス
開発サーバー
アプリケーションの設計、コーディング、デバッグ、またはそれらの組み合わせが進行中のホスト。アプリケーションの現在の状態を別の環境に昇格できるかどうかを評価するために使用されます。
なし
RAM プール
あらゆる環境の目的に合わせて、サーバーの自由な組み合わせを提供します。
任意の数のサーバーに対して 1 つのライセンス(これらのサーバー間で購入した RAM の合計 GB の最大数まで)。
バッキング データベース
MongoDB Ops Manager のバッキング データベースをホストします。このオプションを有効にするには、アプリケーション データベースのモニタリングを有効にします。
なし
モニタリング
mms.agentCentralUrl
型: string
レガシーのモニタリングエージェントまたは MongoDB エージェントがモニタリング データをプッシュするのに使用する MongoDB Ops Manager アプリケーションの FQDN 。
設定されていない場合は、
mms.centralUrl
の値を使用します。重要
MongoDB Ops Manager アプリケーションに IPv6 アドレスを使用してアクセスする場合は、ポート番号と区別するために IPv6 アドレスを角括弧(
[ ]
)で囲む必要があります。以下に例を挙げます。
http://[2600:1f16:777:8700:93c2:b99c:a875:2b10]:8080
フェイルオーバーのモニタリング
複数の MongoDB エージェントでモニタリング機能を有効にして、モニタリングの割り当てを分散し、フェイルオーバーを提供できます。MongoDB Ops Manager は、最大 100 の実行中の MongoDB エージェントにモニタリング割り当てを分散します。アクティブなモニタリング モニターを実行中の各 MongoDB エージェントは、MongoDB プロセスの異なるセットをモニタリングします。プロジェクトごとにアクティブなモニタリングを実行する 1 つの MongoDB Agent が、プライマリ モニターになります。プライマリ モニターはクラスターのステータスを MongoDB Ops Manager に報告します。MongoDB エージェントでモニタリングが有効または無効になると、MongoDB Ops Manager は割り当てを再度分散します。プライマリ モニターに障害が発生した場合、MongoDB Ops Managerは、アクティブなモニタリングを実行中の別の MongoDB エージェントを、プライマリ モニターとして割り当てます。
以下の設定は、MongoDB Ops Manager がモニタリングにアクセスできないかどうかを判断する間隔と、スタンバイ エージェントが MongoDB Ops Manager をポーリングしてモニタリング割り当てを受信するかどうかを判断する頻度を調整します。
Ops Manager 管理 API
mms.publicApi.whitelistEnabled
タイプ: ブール値
特定の API 呼び出しでは、アクセス リスト内の IP アドレスからリクエストが発信される必要があります。この要件をオフにするには、この設定を追加し、その値を
false
に設定します。
プッシュ ライブ移行
mms.pushLiveMigrations.mmsUi.centralUrl
型: string
MongoDB Ops Manager から Atlas へのライブ移行のベース URL(
https://cloud.mongodb.com
など)。
mms.pushLiveMigrations.syncJobs.enabled
タイプ: ブール値
true
に設定すると、MongoDB Ops Manager で次のようなライブ移行プロセスに関する情報をリクエストできます。ライブ移行のソースとして使用できるプロジェクトと配置のリスト。
それぞれの配置およびプロジェクトでライブ移行を円滑化できる、利用可能な構成済み移行ホストのリスト。
Atlas でのライブ移行の現在の実行状況。
MongoDB Ops Manager はこの情報を使用して、ライブ移行プロセスを円滑化します。デフォルトは
true
です。
mms.pushLiveMigrations.updateJob.intervalSeconds
タイプ: ブール値
同期が更新される間の繰り返しの間隔(秒単位)。MongoDB Ops Manager と Atlas の間で組織のプロジェクト情報の同期が定期的に行われます。デフォルトの同期間隔は
60
です。MongoDB Ops Manager では、同期の更新が 10 ~ 43200 秒(12 時間)の間隔で発生すると想定されています。同期更新の実際の間隔が 43200 秒を超える場合、または検証フェーズ中の同期更新間の実際の間隔が 1800 秒(30 分)を超えると、Atlas へのライブ移行が停止したり、タイムアウトしたり、失敗したりすることがあります。注意
この設定を更新した後、変更を有効にするためにウェブ サーバーを再起動します。
mms.pushLiveMigrations.updateJob.cooldownSeconds
タイプ: ブール値
組織のプロジェクトの情報同期リフレッシュの間隔(秒)。同期更新のデフォルトの間隔は
10
です。MongoDB Ops Manager では、同期の更新が 10 ~ 43200 秒(12 時間)の間隔で発生すると想定されています。連続同期の実際の間隔が 43200 秒を超える場合、Atlas へのライブ移行が停止したり、タイムアウトしたり、失敗したりすることがあります。注意
この設定を更新した後、変更を有効にするためにウェブ サーバーを再起動します。
mms.pushLiveMigrations.fetchJob.intervalSeconds
タイプ: ブール値
Atlas からのライブ移行プランの更新を同期するための繰り返しの間隔 (秒単位)。このプランには、Atlas の移行プロセスの手順が一覧表示されます。MongoDB Ops Manager は定期的に Atlas から現在のプランを取得して進捗状況を確認します。この情報がないと、MongoDB Ops Manager はライブ移行プロセスを次の段階に進めません。
デフォルトの同期間隔は
60
です。MongoDB Ops Manager では、同期の更新が 10 ~ 43200 秒(12 時間)の間隔で発生すると想定されています。連続同期の実際の間隔が 43200 秒を超える場合、Atlas へのライブ移行が停止したり、タイムアウトしたり、失敗したりすることがあります。注意
この設定を更新した後、変更を有効にするためにウェブ サーバーを再起動します。
セキュリティ
mms.security.disableBrowserCaching
タイプ: ブール値
デフォルト: False
true
の場合、MongoDB Ops Manager はすべての HTTP 応答をキャッシュ不可にします。
mms.security.hstsMaxAgeSeconds
タイプ: 整数
デフォルト: 0(HTTP または HTTPS を使用できます。)
MongoDB Ops Manager が HTTPS を使用するブラウザ接続を制限する時間 (秒単位)。この値は正の整数である必要があります。値
0
は、HTTP または HTTPS を使用できることを意味します。Tip
以下も参照してください。
HSTS を配置する方法については、「HTTP Strict Transport Security」、「RFC 6797」、および「hstspreload.org」を参照してください。
mms.security.show.om.version
タイプ: ブール値
デフォルト: True
false
の場合、MongoDB Ops Manager はログイン ページにバージョン番号を表示しません。
非均一メモリ アクセス (NUMA)
mongodb.disable.numa
タイプ: ブール値
ヘッドデータベースの NUMA を無効にするには、次の値を使用してカスタム設定の変更手順に従います。
Key
mongodb.disable.numa
Value
true
NUMA の詳細については、MongoDB プロダクション ノートの「MongoDB と NUMA ハードウェア」を参照してください。
重要
バックアップデーモンが有効になっている各 MongoDB Ops Manager インスタンスには、
numactl
サービスがインストールされている必要があります。numactl
がインストールされておらず、この設定がtrue
に設定されている場合、バックアップジョブは失敗します。MongoDB Ops Managerは任意のバックアップジョブを暗号化できます。 ヘッドデータベース の代わりに バックアップカーソル を使用してバックアップジョブを暗号化します。詳細については、「バックアップデーモンサービス 」を参照してください。
サードパーティ統合
Datadog 統合
Opsgenie Integration
opsgenie.api.url
型: string
デフォルト:
https://api.opsgenie.com/v2/alerts
MongoDB Ops Manager がヨーロッパ諸国で Ops Genie API にアクセスするために使用する URL。
MongoDB Ops Manager インスタンスがヨーロッパで実行される場合は、このカスタム パラメータを有効にします。次に、その値を
https://api.eu.opsgenie.com/v2/alerts
に設定します。詳細については、 Opsgenie Alert ドキュメントを参照してください。
Twilio の統合
SMS または2 FA コードでアラート通知を受け取るには、 Twilio が必要です アカウント。
twilio.account.sid
型: string
Twilio アカウントID。
ユーザー認証
mms.email.validation
型: string
デフォルト: false
MongoDB Ops Manager でユーザー名をメールアドレスにする必要があるかどうかを決定します。
値説明false
(デフォルト)ユーザー名はメールアドレスである必要はありません。
loose
ユーザー名には、
@
記号とそれに続くピリオドを含める必要があります。strict
ユーザー名は、厳格なメールアドレス検証の正規表現に準拠する必要があります。
strict
に設定されている場合、MongoDB Ops Manager は次の正規表現を使用して、メールアドレスが3 RFC-3696 のセクション に記載されている要件に準拠していることを検証します。^[a-z0-9!#$%&'*+/=?^_`{|}~-]+(?:\.[a-z0-9!#$%&'*+/=?^_`{|}~-]+)*@(?:[a-z0-9](?:[a-z0-9-]*[a-z0-9])?\.)+[a-z0-9](?:[a-z0-9-]*[a-z0-9])?$ 例
jane.smith@example.com
は有効です。jane.smith@ex@mple.com
は有効ではありません。
mms.userSvcClass
型: string
デフォルト:
UserSvcDb
認証資格情報を MongoDB Ops Manager アプリケーション データベースに保存するか、LDAP ディレクトリに保存するかを選択します。
指定できる値は次のとおりです。
認証方法許容値アプリケーション データベース
UserSvcDb
重要: MongoDB Ops Manager 6.0 では、許容値は
com.xgen.svc.mms.svc.user.UserSvcDb
です。 この古い許容値を使用すると、MongoDB Ops Managerインスタンスはプレフライト チェック中に起動しません。LDAP
UserSvcLdap
SAML
UserSvcSaml
MongoDB Ops Manager Application Databaseによる認証
mms.password.maxDaysInactiveBeforeAccountLock
タイプ: 数値
MongoDB Ops Manager がアカウントをロックするまでに MongoDB Ops Manager のウェブサイトにアクセスしない最大日数。
mms.password.maxFailedAttemptsBeforeAccountLock
タイプ: 数値
アカウントがロックされるまでにログインに失敗した回数。ロックされたアカウントのロックを解除できるのは、MongoDB Ops Manager 管理者だけです。
mms.login.ratelimit.attemptsAllowed
タイプ: 数値
特定の IP アドレスのユーザーがタイムアウト期間中に試行できるログインの数。この設定は
Login Attempts Timeout Period
と一緒に構成する必要があります。
mms.login.ratelimit.lockedPeriodMinutes
タイプ: 数値
この設定では、次の項目を指定します。
ログイン試行回数が多すぎるかどうかを判断するために使用される期間 (分単位)。
ログインを再開する前にアカウントがロックされる期間。
この設定は
Login Attempts Allowed Before Timeout
と一緒に構成する必要があります。重要
ドロップダウン メニューには、この設定で使用可能な値のみがリストされます。 ドロップダウンにリストされていない値を
conf-mms.properties
ファイルまたはローカル データベースに設定しようとすると、 MongoDB Ops Managerインスタンスの再起動時にエラーが発生します。
mms.user.invitationOnly
タイプ: ブール値
true の場合、新しいユーザーは招待によってのみ登録できます。招待状には、登録リンクを表示する URL が記載されています。false の場合、新しいユーザーがは MongoDB Ops Manager URL を持っていれば登録できます。
mms.user.bypassInviteForExistingUsers
タイプ: ブール値
デフォルト: False
このチェックボックスは、
mms.userSvcClass
をUserSvcDb
に設定すると表示されます。値結果true
招待なしで、既存のユーザーを任意の組織またはプロジェクトに追加できます。
MongoDB Ops Manager は保留中の招待をすべて削除して無効にします。
新規ユーザーは引き続き招待を受け、招待を受け入れなければなりません。
false
すべてのユーザーは引き続き招待を受け、招待を受け入れなければなりません。
LDAP による認証
これらの設定により、MongoDB Ops Manager は認証に LDAP サーバーを使用するように構成されます。LDAP 認証を使用する場合、MongoDB Ops Manager にログインするには、ユーザーが LDAP グループに属している必要があります。MongoDB Ops Manager ユーザー ロールごとに LDAP グループを作成する必要があります。
開始設定 mms.ldap.global.role
指定された LDAP グループのメンバーに MongoDB Ops Manager グローバル ロールを割り当てます。LDAP User Group
設定で指定された LDAP 属性で使用される形式を使用してグループを指定します。 ;;
区切り記号を使用して、複数のグループを指定できます。デフォルトの区切り記号を変更するには、mms.ldap.group.separator
設定を使用します。各 MongoDB Ops Manager グローバル ロールは、配置内のすべての MongoDB Ops Manager プロジェクト へのアクセス権レベルを提供します。特定のグループにアクセスを許可するには、グループ レベルのロールを使用します。
mms.ldap.global.role.automationAdmin
型: string
MongoDB Ops Manager でグローバル オートメーション管理者ロールを持つメンバーの LDAP グループ。
LDAP User Group
で指定された LDAP 属性で使用される形式を使用してプロジェクトを指定します。;;
区切り文字を使用して複数のプロジェクトを指定できます。デフォルトの区切り文字を変更するには、mms.ldap.project.separator
設定を使用します。mms.ldap.global.role.automationAdmin=CN\=MMS-AutomationAdmin,OU\=MMS,OU\=acme Groups,DC\=acme,DC\=example,DC\=com 各 MongoDB Ops Manager グローバル ロールは、配置内のすべての MongoDB Ops Manager プロジェクト へのアクセス権レベルを提供します。特定のプロジェクトへのアクセスを提供するには、グループ レベルのロールを使用します。
mms.ldap.global.role.backupAdmin
型: string
MongoDB Ops Manager でグローバル バックアップ管理者ロールを持つメンバーの LDAP グループ。
mms.ldap.global.role.backupAdmin=CN\=MMS-BackupAdmin,OU\=MMS,OU\=acme Groups,DC\=acme,DC\=example,DC\=com
mms.ldap.global.role.monitoringAdmin
型: string
MongoDB Ops Manager で グローバル モニタリング管理者ロールを持つメンバーの LDAP グループ。
mms.ldap.global.role.monitoringAdmin=CN\=MMS-MonitoringAdmin,OU\=MMS,OU\=acme Groups,DC\=acme,DC\=example,DC\=com
mms.ldap.global.role.owner
型: string
すべての MongoDB Ops Manager プロジェクトへのフル アクセスとすべての管理特権を含む、MongoDB Ops Manager 配置に対する完全な特権を持つ LDAP グループ。指定された LDAP グループ内のユーザーには、MongoDB Ops Manager でグローバル所有者ロールが付与されます。
LDAP User Group
設定で指定された LDAP 属性で使用される形式を使用してプロジェクトを指定します。mms.ldap.global.role.owner=CN\=MMSGlobalOwner,OU\=MMS,OU\=acme Groups,DC\=acme,DC\=example,DC\=com
mms.ldap.global.role.readOnly
型: string
MongoDB Ops Manager でグローバル読み取り専用ロールを持つメンバーの LDAP グループ。
mms.ldap.global.role.readOnly=CN\=MMS-ReadOnly,OU\=MMS,OU\=acme Groups,DC\=acme,DC\=example,DC\=com
mms.ldap.global.role.userAdmin
型: string
MongoDB Ops Manager でグローバル ユーザー管理者ロールを持つメンバーの LDAP グループ。
mms.ldap.global.role.userAdmin=CN\=MMS-UserAdmin,OU\=MMS,OU\=acme Groups,DC\=acme,DC\=example,DC\=com
mms.ldap.group.baseDn
型: string
デフォルト:
LDAP User Base Dn
値MongoDB Ops Manager がグループを検索するために使用する基本識別名 (DN)。空白のままにすると、この設定はデフォルト値を使用します。
mms.ldap.group.baseDn=OU\=groups,DC\=acme,DC\=com
mms.ldap.group.member
型: string
ユーザー識別名(DN)を含むグループ エントリのフィールド。 The groupOfNames または groupOfUniqueNames オブジェクト クラスは一般的に使用されます。
mms.ldap.group.member=member
mms.ldap.group.separator
型: string
デフォルト:
;;
LDAP セパレーターを設定するには、次の値を使用してカスタム設定の変更手順に従います。
Key
mms.ldap.group.separator
Value
<desired-separator>
各グローバル ロールの値は、区切られたプロジェクトのリストを受け取ります。
"dbas,sysadmins" グループ値に区切り文字が含まれている場合は、区切り文字を別の値に設定する必要があります。
例
グループ値が
"CN\=foo,DN\=bar"
で、区切り文字が,
の場合、MongoDB Ops Manager は"CN\=foo,DN\=bar"
を 1 つのグループの説明としてではなく、2 つの要素として解析します。
mms.ldap.referral
型: string
紹介の処理方法を設定するために使用される LDAP フィールド。次の 2 つの値を受け入れます。
ignore
: 紹介を無視します。follow
: 紹介を自動的にフォローします。
mms.ldap.ssl.CAFile
型: string
PEM 形式の 1 つ以上の信頼できる証明書を含むファイル。LDAPS を使用しており、サーバーが既知の証明機関からのものではない証明書を使用している場合は、この設定を使用します。
mms.ldap.ssl.CAFile=/opt/CA.pem
mms.ldap.ssl.PEMKeyFile
型: string
クライアント証明書と秘密キーを含むファイル。TLS/SSL LDAP サーバーでクライアント証明書が必要な場合は、この設定を使用します。
mms.ldap.ssl.PEMKeyFile=/opt/keyFile.pem
mms.ldap.ssl.PEMKeyFilePassword
型: string
LDAP SSL PEM Key File
のパスワード。PEMKeyFile
が暗号化されている場合、この設定を使用します。mms.ldap.ssl.PEMKeyFilePassword=<password>
mms.ldap.user.baseDn
型: string
MongoDB Ops Manager がユーザーを検索するために使用する基本識別名 (DN)。
=
記号を\
でエスケープします。mms.ldap.user.baseDn=DC\=acme,DC\=example,DC\=com
mms.ldap.user.email
型: string
Default:
mail
per RFC2256ユーザーのメールアドレスを含む LDAP ユーザー属性。LDAP 認証が成功すると、MongoDB Ops Manager は指定された LDAP 属性を MongoDB Ops Manager ユーザー レコードのメールアドレスと同期します。
mms.ldap.user.email=mail
mms.ldap.user.firstName
型: string
Default:
givenName
per RFC2256ユーザーの名を含む LDAP ユーザー属性。LDAP 認証が成功すると、MongoDB Ops Manager は指定された LDAP 属性を MongoDB Ops Manager ユーザー レコードの最初の名前と同期します。
mms.ldap.user.firstName=givenName
mms.ldap.user.group
型: string
ユーザーが属する LDAP グループのリストを含む LDAP ユーザー属性。LDAP 属性では、共通名 (
cn
) や識別名 (dn
) など、任意の形式を使用してプロジェクトを一覧表示できます。この構成ファイル内のプロジェクトを指定するすべての MongoDB Ops Manager 設定は、選択した形式と一致する必要があります。重要
MongoDB Ops Manager では
mms.ldap.user.group
が非推奨になりました。mms.ldap.group.member
を使用します。次の値を指定する場合
mms.ldap.user.group
とmms.ldap.group.member
の両方で、MongoDB Ops Manager はmms.ldap.group.member
を使用し、mms.ldap.user.group
を無視します。mms.ldap.user.group
ただし、MongoDB Ops Manager はネストされた LDAP グループ内のユーザーのメンバーシップを認識しません。
mms.ldap.user.group=memberOf
mms.ldap.user.lastName
型: string
Default:
surname
per RFC2256ユーザーの姓を含む LDAP ユーザー属性。LDAP 認証が成功すると、MongoDB Ops Manager は指定された LDAP 属性を MongoDB Ops Manager ユーザー レコードの姓と同期します。
mms.ldap.user.lastName=sn
mms.ldap.user.searchAttribute
型: string
LDAP 検索に使用される LDAP フィールド。これは通常、ユーザー名またはメールアドレスです。このフィールドの値は、MongoDB Ops Manager のユーザー名としても使用されます。
mms.ldap.user.searchAttribute=<myAccountName>
SAML による認証
mms.saml.idp.uri
型: string
シングル サインオンを調整するために使用する ID プロバイダー ( IdP)の URI。これは、 EntityId または ID プロバイダー発行者と呼ばれることもあります。
mms.saml.slo.url
型: string
ユーザーがログアウトしようとしたときに MongoDB Ops Manager が呼び出すシングル ログアウト エンドポイントの URL 。設定されている場合、ユーザーが MongoDB Ops Manager からログアウトしようとすると、IdP からもログアウトされます。空白のままにすると、MongoDB Ops Manager からログアウトしてもユーザーは IdP セッションからログアウトされません。
mms.saml.ssl.PEMKeyFile
型: string
SP がリクエストに署名するために使用する証明書の PEM ファイルへの絶対パスで、秘密キーと公開キーの両方が含まれます。これを空白のままにすると、MongoDB Ops Manager は IdP への SAML 認証リクエストに署名せず、SAML アサーションを暗号化できません。
mms.saml.encrypted.assertions
タイプ: ブール値
IdP がMongoDB Ops MongoDB Ops ManagerManagerに送信するアサーションを暗号化するかどうかを示すフラグ。
mms.saml.signedAssertions
タイプ: ブール値
デフォルト:
true
IdP が MongoDB Ops Manager に送信するアサーションに署名するかどうかを示すフラグ。
重要
アサーションまたはレスポンスのいずれかが署名されていることを確認します。 アサーションまたは応答のいずれかが署名されていない場合、構成は検証に失敗し、 MongoDB Ops Managerはエラーを返します。MongoDB Ops Manager
mms.saml.signedMessages
タイプ: ブール値
デフォルト:
true
IdP が MongoDB Ops Manager に送信する応答に署名するかどうかを示すフラグ。
重要
アサーションまたはレスポンスのいずれかが署名されていることを確認します。 アサーションまたは応答のいずれかが署名されていない場合、構成は検証に失敗し、 MongoDB Ops Managerはエラーを返します。MongoDB Ops Manager
mms.saml.signature.algorithm
型: string
IdP との間で送受信される署名を暗号化するアルゴリズム。
Select an Algorithm メニューには、次の5つの選択肢があります。
rsa-sha1
dsa-sha1
rsa-sha256
rsa-sha384
rsa-sha512
mms.saml.global.role.owner
型: string
SAML グループ メンバー属性内のグループ。メンバーには、すべてのグループへのフル アクセスとすべての管理権限を含む、この配置に対する完全な権限が与えられます。
mms.saml.global.role.automationAdmin
型: string
メンバーが
Global Automation Admin
ロールを持つ SAML グループ メンバー属性内のグループ。
mms.saml.global.role.backupAdmin
型: string
メンバーが
Global Backup Admin
ロールを持つ SAML グループ メンバー属性内のグループ。
mms.saml.global.role.monitoringAdmin
型: string
メンバーが
Global Monitoring Admin
ロールを持つ SAML グループ メンバー属性内のグループ。
mms.saml.global.role.userAdmin
型: string
メンバーが
Global User Admin
ロールを持つ SAML グループ メンバー属性内のグループ。
mms.saml.global.role.readOnly
型: string
メンバーが
Global Read Only
ロールを持つ SAML グループ メンバー属性内のグループ。
多要素認証(MFA)
mms.multiFactorAuth.level
型: string
デフォルト: オフ
2 要素認証の「レベル」を設定します。
設定説明OFF
2要素認証を無効にします。MongoDB Ops Manager は 2 要素認証を使用しません。
OPTIONAL
ユーザーは、MongoDB Ops Managerアカウントに 2 要素認証を設定することを選択できます。
REQUIRED_FOR_GLOBAL_ROLES
グローバル ロールを持つユーザーは、2 要素認証を設定する必要があります。2 要素認証は、他のすべてのユーザーにとっては任意です。
REQUIRED
すべてのユーザーは、MongoDB Ops Manager アカウントに 2 要素認証を設定する必要があります。
MongoDB Ops Manager の配置のセキュリティのために、2 要素認証を推奨します。
警告
構成ファイルを通じて
mms.multiFactorAuth.level
を有効にする場合は、構成ファイルを更新する前にまずユーザー アカウントを作成する必要があります。そうしないと、MongoDB Ops Manager にログインできません。注意
Twilio 統合を有効にする場合 (任意)、MongoDB Ops Manager サーバーが
twilio.com
ドメインにアクセスできることを確認します。
mms.multiFactorAuth.allowReset
タイプ: ブール値
デフォルト: False
true
の場合、MongoDB Ops Manager では、パスワードをリセットするのと同様の方法で、ユーザーがメールを介して 2 要素認証設定をリセットできます。2 要素認証をリセットするには、ユーザーは以下を行う必要があります。
ユーザーアカウントに関連付けられたアドレスでメールを受信できるようになります。
ユーザーアカウントのパスワードが分かっています。
APIユーザーが属する各MongoDB Ops Manager プロジェクトの エージェント キー を知っている。
mms.multiFactorAuth.issuer
型: string
Google Authenticator が 2 要素認証を提供する場合、この文字列は Google Authenticator アプリの
issuer
になります。空白のままにした場合、issuer
は MongoDB Ops Manager インストールのドメイン名になります。
mms.multiFactorAuth.require
タイプ: ブール値
デフォルト: False
true
の場合、MongoDB Ops Manager は、ユーザーがログインしたり、アプリケーション内で特定の破壊的な操作を実行したりするために 2 要素認証を要求します。Twilio 統合を構成すると、ユーザーは Google Authenticator、SMS、または音声通話を介して 2 要素トークンを取得できます。それ以外の場合、2 要素認証を提供する唯一のメカニズムは Google Authenticator です。
reCaptcha とセッションの長さ
reCaptcha.enabled.registration
タイプ: ブール値
デフォルト: false
新しいユーザーが MongoDB Ops Manager の使用を登録するときに、reCaptcha 検証を使用して自分自身を検証することを望んでいることを示すインジケーター。
true
reCaptcha が必要な場合は に設定 新しいユーザーが登録したときの検証。この設定には reCaptcha アカウントが必要です。
reCaptcha.enabled
タイプ: ブール値
デフォルト: false
ユーザーが MongoDB Ops Manager にログインするときに、reCaptcha 検証を使用して自分自身を検証する必要があることを示すインジケーター。
true
reCaptcha が必要な場合は に設定 ユーザがログインするときの検証。この設定には reCaptcha アカウントが必要です。
ReCaptcha Enabled
に対応します。
Web Server
mms.centralUrl
型: string
MongoDB Ops Manager アプリケーションの FQDN とポート番号。
8080
以外のポートを使用するには、「Ops Manager のホスト名とポートの管理」を参照してください。mms.centralUrl=http://mms.example.com:8080 URL to Access Ops Manager
に対応します。重要
MongoDB Ops Manager アプリケーションに IPv6 アドレスを使用してアクセスする場合は、ポート番号と区別するために IPv6 アドレスを角括弧(
[ ]
)で囲む必要があります。以下に例を挙げます。
http://[2600:1f16:777:8700:93c2:b99c:a875:2b10]:8080
mms.https.PEMKeyFile
型: string
MongoDB Ops Manager アプリケーションの有効な証明書とプライベート キーを含む PEM ファイルへの絶対パス。MongoDB Ops Manager アプリケーションが HTTPS を使用して、 MongoDB Ops Manager アプリケーション、エージェント、およびウェブ インターフェイス間の接続を暗号化する場合は、PEM ファイルが必要です。
MongoDB Ops Manager アプリケーションへの HTTPS アクセスのデフォルト ポートは、
<install_dir>/conf/mms.conf
ファイルで設定されている8443
です。このデフォルトを変更する場合は、mms.centralUrl
設定で指定されているポートも変更する必要があります。
mms.https.PEMKeyFilePassword
型: string
HTTPS PEM キー ファイルのパスワード。PEMキー ファイルに暗号化された秘密キーが含まれている場合は、この設定を含める必要があります。
mms.https.ClientCertificateMode
型: string
MongoDB Ops Manager に接続するときにクライアントが有効な TLS/SSL クライアント証明書を提示することを要求するかどうかを指定します。指定できる値は次のとおりです。
none
agents_only
required
mms.https.CAFile
型: string
次の場合に必須:
プライベート証明機関を使用しています。
mms.https.ClientCertificateMode
をagents_only
またはrequired
に設定します。TLS を有効にして MongoDB Ops Manager をハイブリッド モードで実行します。
受け入れ可能なクライアント証明書のリストを含むプライベート認証局ファイルのファイルシステムのロケーションを指定します。MongoDB Ops Manager アプリケーションは、このファイルに記述された証明書を持つクライアントからの HTTPS 要求を認証します。
mms.https.CAFile=/path/to/ca_file.pem
mms.https.dualConnectors
タイプ: ブール値
デフォルト: False
HTTP と HTTPS を同時に使用して MongoDB Ops Manager への接続を有効にします。
MongoDB Ops Manager と MongoDB エージェントを TLS を使用するようにアップグレードする間、この設定を一時的に使用できます。ダウンタイムをゼロにするには、
true
に設定し、値をmms.http.bindhostname
に指定します。MongoDB Ops Manager と MongoDB エージェントを構成した後、false
に設定します。重要
mms.https.dualConnectors
がtrue
の間、安全でない接続を使用して MongoDB Ops Manager にアクセスできます。MongoDB エージェントをアップデートして TLS 接続を使用するようにした後でのみ、安全な接続を許可するには、
mms.https.dualConnectors
をfalse
に設定します。
mms.http.bindhostname
型: string
デフォルト: 127.0.0.1
MongoDB エージェントが HTTP を使用して MongoDB Ops Manager に接続できるホスト名または IP 。
MongoDB Ops Manager と MongoDB エージェントを TLS を使用するようにアップグレードする間、この設定を一時的に使用できます。ダウンタイムをゼロにするには、値を設定し、
mms.https.dualConnectors
をtrue
に設定します。MongoDB Ops Manager と MongoDB エージェントを構成した後、値を削除します。
mms.remoteIp.header
型: string
ロード バランサーを MongoDB Ops Manager アプリケーションで使用する場合、ロード バランサーが MongoDB Ops Manager ホストに対して発信元クライアントの IP アドレスを識別するのに使用する HTTP ヘッダー フィールドにこれを設定します。
Load Balancer Remote IP Header
を指定すると、クライアントが MongoDB Ops Manager ホストに直接接続できなくなります。MongoDB Ops Manager ホストの前に配置されたロード バランサーは、キャッシュされたコンテンツを返してはなりません。Load Balancer Remote IP Header
が設定されると、MongoDB Ops Manager は次の HTTP ヘッダーを有効にします。HTTP ヘッダーOps Manager に転送クライアントがホスト HTTP リクエスト ヘッダーで要求した元のホスト。
HTTP リクエストを行うために使用されるプロトコル。
プロキシ サーバーのホスト名。
リクエストの HTTPS ステータス。
詳細については、「高可用性 Ops Manager アプリケーションの構成」を参照してください。
mms.minimumTLSVersion
型: string
デフォルト:
TLSv1.2
クライアントが MongoDB Ops Manager に接続するために必要な TLS バージョンを指定します。このプロパティは、MongoDB Ops Manager Admin インターフェースへの接続に使用されるブラウザや、REST API への接続に使用される
curl
などのコマンドライン ツールなど、すべてのクライアントに影響します。- MongoDB Ops Manager バージョン 4.0.9 から 4.0.18 まで、および 4.2.13 と 4.4.0 以前
- MongoDB Ops Manager は
TLSv1.2
のみをサポートします。この値をTLSv1.2
以外の値(空白値を含む)に変更すると、この MongoDB Ops Manager に接続できなくなります。 - MongoDB Ops Manager バージョン 4.0.0 から 4.0.8、4.0.18 またはそれ以降、4.2.13 またはそれ以降、4.4.0 またはそれ以降
- MongoDB Ops Manager は
TLSv1.0
、TLSv1.1
、TLSv1.2
をサポートします。
注意
TLSv1.2 では、接続するクライアントが次の最小要件を満たす必要があります。
ブラウザは TLS バージョン 1.2 をサポートしています
curl
バージョン 7.34.0+OpenSSL バージョン 1.0.1+
minimum.TLSVersion
を設定するには、次の値を使用して「カスタム設定の変更」手順に従います。Key
minimum.TLSVersion
Value
<tls-versions>
mms.disableCiphers
型: string
Default:
SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA
,SSL_DHE_DSS_WITH_DES_CBC_SHA
,SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA
,SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA
,SSL_DHE_RSA_WITH_DES_CBC_SHA
,SSL_RSA_EXPORT_WITH_DES40_CBC_SHA
,SSL_RSA_EXPORT_WITH_RC4_40_MD5
,TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
,TLS_DHE_DSS_WITH_AES_128_CBC_SHA
,TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
,TLS_DHE_DSS_WITH_AES_256_CBC_SHA
,TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
,TLS_DHE_RSA_WITH_AES_128_CBC_SHA
,TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
,TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
,TLS_DHE_RSA_WITH_AES_256_CBC_SHA
,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
クライアントが MongoDB Ops Manager アプリケーションおよび API に接続するときに MongoDB Ops Manager のインスタンスが受け入れることができない TLS 暗号スイートのリストを指定します。次の例のように、TLS 暗号スイート名をカンマ区切りのリストとして指定します。
重要
で使用される暗号スイート名に従う必要がありますMongoDB Ops Manager RFC5246 命名規則。OpenSSL の命名規則は使用しないでください。 便宜上、 MongoDB Ops Managerは起動時にサポートされているすべての暗号スイート名のリストをログに記録します。 MongoDB Ops ManagerがTLS暗号スイート名を認識しない場合は、次の警告がログに記録されます。
設定には、JDK が認識しないため無効にすべき暗号として以下が記載されています。エントリーのフォーマットと有効な暗号のリストを確認します。[unrecognized_cipher_name]
mms.disableCiphers
を変更するには、次の値を使用してカスタム設定の変更手順に従います。Key
mms.disableCiphers
Value
<ciphers>
以下に例を挙げます。
TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA, TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 警告
mms.disableCiphers
をカスタム値に設定すると、これらが無効にした暗号の 1 つ以上が再度有効になる可能性があります。