Ops Manager の構成設定
項目一覧
MongoDB Ops Manager は、MongoDB Ops Manager Application Database にグローバルに構成設定を保存するだけでなく、各サーバーにローカルに構成設定を保存します。グローバル設定はすべての Ops Manager サーバーに適用されます。ローカル設定は、それが構成されているサーバーに適用されます。サーバー上のローカル設定は、グローバル設定を上書きします。
ローカル設定は、サーバーの conf-mms.properties ファイルを通じて構成します。各サーバーの conf-mms.properties には、MongoDB Ops Manager Application Database にアクセスするための接続文字列と認証が含まれている必要があります。conf-mms.properties ファイルには、そのサーバーに固有のグローバル設定のオーバーライドも含まれます。
conf-mms.properties ファイルのロケーションは、以下の表に示すように、Ops Manager のインストール方法によって異なります。
インストール方法 | conf-mms.properties ロケーション |
|---|---|
rpm またはdebパッケージ | /opt/mongodb/mms/conf/ |
tar.gz archive | <install-directory>/conf/ |
ユーザー インターフェースによる初期設定のバイパス
最初のアカウントを作成した後、初期設定ウィザードをスキップして、 conf-mms.properties ファイルを編集するか、API を使用して Ops Manager を構成する場合は、次の設定を変更します。この設定は、Ops Manager インスタンスの配置を自動化する場合に役立ちます。
mms.ignoreInitialUiSetupタイプ: ブール値
これを
trueに設定すると、最初のユーザー アカウントで初期設定ウィザードを完了する必要なく、Ops Manager を完全に使用できるようになります。警告
Ops Manager は通常のプレフライト チェックを行い、必要な設定がすべて完了していることを確認します。これらの設定の 1 つ以上が
conf-mms.propertiesに含まれていない場合、Ops Manager は起動を拒否し、ログファイルに欠落しているフィールドをリストします。Ops Manager を起動する前に、基本的な Ops Manager 機能を有効にするために、次の必須設定を
conf-mms.propertiesに追加します。UI 設定conf-mms.properties設定必要性必須なし必須必須必須必須必須必須必須必須必須任意任意任意任意任意任意任意注意
任意とマークされたフィールドにはデフォルト値があります。これらを変更する場合は、設定と新しい値を指定できます。
例
以下の値はその例です。Ops Manager のインストールに適した値を代入します。この参照で指定されるその他の設定を追加することもできます。
最小限の機能で Ops Manager インストールを構成するには、次の設定を
conf-mms.propertiesに追加します。mms.ignoreInitialUiSetup=true mongo.mongoUri=mongodb://db1.example.com:27017,db2.example.com:27017,db3.example.com:27017 mms.centralUrl=http://localhost:8080 mms.fromEmailAddr=example@example.com mms.replyToEmailAddr=example@example.com mms.adminEmailAddr=example@example.com mms.mail.transport=smtp mms.mail.hostname=mail.example.com mms.mail.port=465
すべてのクラスターの表示
mms.allclusters.onlyMembershipタイプ: ブール値
デフォルト: False
すべてのクラスターの表示に、Ops Manager 管理者が属する配置のみを表示するか(値を
trueに設定)、管理者がアクセスできる配置のみを表示するか(値をfalseに設定)を決定します。
アプリケーション データベース接続
以下の設定は Ops Manager Application Database への Ops Manager 接続を構成します。この設定は、各 Ops Manager サーバーのconf-mms.propertiesファイルで構成する必要があります。 認証情報を暗号化するには、「ユーザー認証情報の暗号化」を参照してください。
mongo.mongoUri型: string
MongoDB Ops Manager Application Database にアクセスするために使用される接続文字列。該当する場合、接続文字列には、MongoDB Ops Manager Application Database 上で使用される
authentication mechanismの認証情報を含める必要があります。接続文字列のフォーマット方法は、以下により異なります。
バッキング データベースに配置したクラスターのタイプ
使用するプロトコル、そして
使用する認証方法。
データベースの レプリカ セット をデータベースの バックアップ インスタンス に使用する場合、接続文字列には、すべてのレプリカ セット ノードのホスト名または DNS シードリストのホスト名のいずれかを含めることができます。
標準の接続文字列を選択する場合は、レプリカセットのすべてのメンバーを URI に含めます。ポート番号を省略すると、Ops Manager はすべてのホストに対してデフォルトの 27017 ポートを使用します。
mongo.mongoUri=mongodb://mongod1.example.com:40000,mongod2.example.com:40000,mongod3.example.com:40000 ホスト名の前に MongoDB のユーザー名とパスワードを付け加えます。 ユーザー名とパスワードを次の形式で書き込みます:<username> <password>:{password>@
mongo.mongoUri=mongodb://mongodbuser1:password@mongod1.example.com:40000,mongod2.example.com:40000,mongod3.example.com:40000 注意
必要な MongoDB ロール
バッキング データベースを認証する MongoDB ユーザーは、次のロールを持っている必要があります。
clusterAdminそうでなく、データベースがシャーディングされたクラスターである場合、clusterMonitor
クライアント証明書は、
mongodb.ssl.PEMKeyFile設定で指定した PEM ファイル内にあります。ホストの前 に MongoDB ユーザーとしてのクライアント証明書 からの サブジェクト の値を追加します。
指定されたポートに authMechanism=MONGODB-X 509 を追加します。
mongo.mongoUri=mongodb://<new_mongodb_user>@mongod1.example.com:40000,mongod2.example.com:40000,mongod3.example.com:40000/?authMechanism=MONGODB-X509 ホスト名の前に <username> :<password> @ の形式で MongoDB のユーザー名とパスワードを付け加えます。
認証メカニズムをauthMechanism=PLAIN &authSource=$externalの形式でポートに追加します。
mongo.mongoUri=mongodb://mongodbuser1:password@mongod1.example.com:40000,mongod2.example.com:40000,mongod3.example.com:40000/?authMechanism=PLAIN&authSource=$external ホスト名の前に Kerberos ユーザー プリンシパルを追加します。
Kerberos UPN を <username>@<KERBEROS REALM> として書き込みます。URL エンコード表現を使用して UPN をエスケープします。したがって、username@REALM.EXAMPLE.COM の Kerberos ユーザー プリンシパルは、username%40REALM.EXAMPLE.COM になります。
認証メカニズムを authMechanism=GSSAPI の形式でポートに追加します。
mongo.mongoUri=mongodb://username%40REALM.EXAMPLE.COM@mongod1.example.com:40000,mongod2.example.com:40000,mongod3.example.com:40000/?authMechanism=GSSAPI 注意
Kerberos 設定の変更
注意
Ops Manager では、URI に レプリカセット オプションは必要ありません。
バージョン Ops の新機能: マネージャー 4.4.0
DNS シードリスト接続文字列を選択する場合は、データベースのバッキング インスタンス レプリカセットを記述する DNS SRV レコードを含めます。文字列は MongoDB: プロトコルではなく MongoDB+srv: プロトコルを使用します。
mongo.mongoUri=mongodb+srv://db.example.com:40000 ホスト名の前に MongoDB のユーザー名とパスワードを付け加えます。 ユーザー名とパスワードを次の形式で書き込みます:<username> <password>:{password>@
mongo.mongoUri=mongodb+srv:mongodbuser1:password@mongod.example.com:40000 注意
必要な MongoDB ロール
バッキング データベースを認証する MongoDB ユーザーは、次のロールを持っている必要があります。
clusterAdminそうでなく、データベースがシャーディングされたクラスターである場合、clusterMonitor
クライアント証明書は、
mongodb.ssl.PEMKeyFile設定で指定した PEM ファイル内にあります。ホストの前 に MongoDB ユーザーとしてのクライアント証明書 からの サブジェクト の値を追加します。
指定されたポートに authMechanism=MONGODB-X 509 を追加します。
mongo.mongoUri=mongodb+srv:<new_mongodb_user>@mongod.example.com:40000/?authMechanism=MONGODB-X509 ホスト名の前に <username> :<password> @ の形式で MongoDB のユーザー名とパスワードを付け加えます。
認証メカニズムをauthMechanism=PLAIN &authSource=$externalの形式でポートに追加します。
mongo.mongoUri=mongodb+srv:mongodbuser1:password@mongod.example.com:40000/?authMechanism=PLAIN&authSource=$external ホスト名の前に Kerberos ユーザー プリンシパルを追加します。
Kerberos UPN を <username>@<KERBEROS REALM> として書き込みます。URL エンコード表現を使用して UPN をエスケープします。したがって、username@REALM.EXAMPLE.COM の Kerberos ユーザー プリンシパルは、username%40REALM.EXAMPLE.COM になります。
認証メカニズムを authMechanism=GSSAPI の形式でポートに追加します。
mongo.mongoUri=mongodb+srv:username%40REALM.EXAMPLE.COM@mongod.example.com:40000/?authMechanism=GSSAPI 注意
Kerberos 設定の変更
このオプションには、アプリケーション データベースの DNS SRV レコードが必要です。DNS エントリーは DNS シードリスト文字列形式を使用します。Ops Manager がこのアプリケーションデータベースに接続できることを確認してください。
データベースのインスタンスにシャーディングされたクラスターを使用する場合、接続文字列にはすべての
mongosルーターのホスト名または DNS シードリストのホスト名のいずれかを含めることができます。標準接続文字列を選択する場合は、URI にすべてのシャードを含めます。ポート番号を省略すると、Ops Manager はすべてのホストに対してデフォルトの 27017 ポートを使用します。
mongo.mongoUri=mongodb://mongos1.example.com:40000,mongos2.example.com:40000 ホスト名の前に MongoDB のユーザー名とパスワードを付け加えます。 ユーザー名とパスワードを次の形式で書き込みます:<username> <password>:{password>@
mongo.mongoUri=mongodb://mongodbuser1:password@mongos1.example.com:40000,mongos2.example.com:40000 注意
必要な MongoDB ロール
バッキング データベースを認証する MongoDB ユーザーは、次のロールを持っている必要があります。
clusterAdminそうでなく、データベースがシャーディングされたクラスターである場合、clusterMonitor
クライアント証明書は、
mongodb.ssl.PEMKeyFile設定で指定した PEM ファイル内にあります。ホストの前 に MongoDB ユーザーとしてのクライアント証明書 からの サブジェクト の値を追加します。
指定されたポートに authMechanism=MONGODB-X 509 を追加します。
mongo.mongoUri=mongodb://<new_mongodb_user>@mongos1.example.com:40000,mongos2.example.com:40000/?authMechanism=MONGODB-X509 ホスト名の前に <username> :<password> @ の形式で MongoDB のユーザー名とパスワードを付け加えます。
認証メカニズムをauthMechanism=PLAIN &authSource=$externalの形式でポートに追加します。
mongo.mongoUri=mongodb://mongodbuser1:password@mongos1.example.com:40000,mongos2.example.com:40000/?authMechanism=PLAIN&authSource=$external ホスト名の前に Kerberos ユーザー プリンシパルを追加します。
Kerberos UPN を <username>@<KERBEROS REALM> として書き込みます。URL エンコード表現を使用して UPN をエスケープします。したがって、username@REALM.EXAMPLE.COM の Kerberos ユーザー プリンシパルは、username%40REALM.EXAMPLE.COM になります。
認証メカニズムを authMechanism=GSSAPI の形式でポートに追加します。
mongo.mongoUri=mongodb://username%40REALM.EXAMPLE.COM@mongos1.example.com:40000,mongos2.example.com:40000/?authMechanism=GSSAPI 注意
Kerberos 設定の変更
注意
Ops Manager では、URI に レプリカセット オプションは必要ありません。
バージョン Ops の新機能: マネージャー 4.4.0
DNSシードリスト接続ストリングを選択する場合は、データベースのバッキング インスタンスのシャーディングされたクラスターを記述する DNS SRV レコードを含めます。接続文字列は、mongodb: プロトコルではなく、mongodb+srv: プロトコルを使用します。
mongo.mongoUri=mongodb+srv://db.example.com:40000 ホスト名の前に MongoDB のユーザー名とパスワードを付け加えます。 ユーザー名とパスワードを次の形式で書き込みます:<username> <password>:{password>@
mongo.mongoUri=mongodb+srv:mongodbuser1:password@mongos.example.com:40000 注意
必要な MongoDB ロール
バッキング データベースを認証する MongoDB ユーザーは、次のロールを持っている必要があります。
clusterAdminそうでなく、データベースがシャーディングされたクラスターである場合、clusterMonitor
クライアント証明書は、
mongodb.ssl.PEMKeyFile設定で指定した PEM ファイル内にあります。ホストの前 に MongoDB ユーザーとしてのクライアント証明書 からの サブジェクト の値を追加します。
指定されたポートに authMechanism=MONGODB-X 509 を追加します。
mongo.mongoUri=mongodb+srv:<new_mongodb_user>@mongos.example.com:40000/?authMechanism=MONGODB-X509 ホスト名の前に <username> :<password> @ の形式で MongoDB のユーザー名とパスワードを付け加えます。
認証メカニズムをauthMechanism=PLAIN &authSource=$externalの形式でポートに追加します。
mongo.mongoUri=mongodb+srv:mongodbuser1:password@mongos.example.com:40000/?authMechanism=PLAIN&authSource=$external ホスト名の前に Kerberos ユーザー プリンシパルを追加します。
Kerberos UPN を <username>@<KERBEROS REALM> として書き込みます。URL エンコード表現を使用して UPN をエスケープします。したがって、username@REALM.EXAMPLE.COM の Kerberos ユーザー プリンシパルは、username%40REALM.EXAMPLE.COM になります。
認証メカニズムを authMechanism=GSSAPI の形式でポートに追加します。
mongo.mongoUri=mongodb+srv:username%40REALM.EXAMPLE.COM@mongos.example.com:40000/?authMechanism=GSSAPI 注意
Kerberos 設定の変更
このオプションには、アプリケーション データベースの DNS SRV レコードが必要です。DNS エントリーは DNS シードリスト文字列形式を使用します。Ops Manager がこのアプリケーションデータベースに接続できることを確認してください。
mongo.encryptedCredentialsタイプ: ブール値
mongo.mongoUriで暗号化された認証情報を使用するには、Ops Manager credentialstool で認証情報を暗号化し、それらをmongo.mongoUri設定に入力し、以下のようにこの設定をtrueにします。mongo.encryptedCredentials=true
Ops Manager Application Database への Kerberos 認証
mms.kerberos.keyTab型: string
Kerberos を使用する場合は必須です。プリンシパルのキータブ ファイルへの絶対パス。
mms.kerberos.keyTab=/path/to/mms.keytab
mms.kerberos.principal型: string
Kerberos を使用する場合は必須です。 MongoDB での認証に使用されるプリンシパル。 これは
mongo.mongoUriとまったく同じユーザーである必要があります。mms.kerberos.principal=mms/mmsweb.example.com@EXAMPLE.COM
jvm.java.security.krb5.conf型: string
オプション。 代替の Kerberos 設定ファイルへのパス。 値はJVMの
java.security.krb5.confに設定されます。jvm.java.security.krb5.conf=/etc/conf/krb5.conf
アプリケーション データベースへの TLS/SSL 接続
mongo.sslタイプ: ブール値
trueに設定すると、 Ops Manager Application Database への TLS 接続が有効になります。
mongodb.ssl.PEMKeyFile型: string
X509 証明書と秘密キーを含む PEM ファイルの名前。MongoDB インスタンスが
--tlsCAFileオプションまたはnet.tls.CAFile設定で実行中の場合に必須です。その証明書の
Extended Key UsageフィールドにTLS Web client authenticationが含まれている必要があります。MONGODB-X509認証メカニズムを使用して認証する場合は、mongoUri接続文字列にユーザー名としてこれを入力します。
オートメーション デフォルト パス
automation.default.backupAgentLogFile型: string
デフォルト:
/var/log/mongodb-mms-automation/backup-agent.logLinux/macOS 上のバックアップ ログのデフォルト パス。
automation.default.downloadBase型: string
デフォルト: /var/lib/mongodb-mms-automation
Linux/macOS 上のオートメーションによって管理される配置のモニタリング、バックアップ、および MongoDB バイナリのデフォルト パス。
automation.default.monitoringAgentLogFile型: string
デフォルト:
/var/log/mongodb-mms-automation/monitoring-agent.logLinux/macOS のモニタリング ログのデフォルト パス。
mms.agentCentralUrl型: string
レガシーのモニタリングエージェントまたは MongoDB エージェントがモニタリング データをプッシュするのに使用する MongoDB Ops Manager アプリケーションの FQDN 。
設定されていない場合は、
mms.centralUrlの値を使用します。重要
MongoDB Ops Manager アプリケーションに IPv6 アドレスを使用してアクセスする場合は、ポート番号と区別するために IPv6 アドレスを角括弧(
[ ])で囲む必要があります。以下に例を挙げます。
http://[2600:1f16:777:8700:93c2:b99c:a875:2b10]:8080
バックアップ
mms.alerts.BackupAgentConfCallFailure.maximumFailedConfCallsタイプ: 整数
デフォルト: 10
バックアップでこの回数を超える連続したテレカンの失敗が発生すると、MongoDB Ops Manager は次のグローバル アラートをトリガーします:
Backup has too many conf call failures。
mms.alerts.OutsideSpaceUsedThreshold.maximumSpaceUsedPercentタイプ: 整数
デフォルト: 85
ブロックストアが合計ディスク容量のこのパーセンテージ以上を使用している場合、Ops Manager は次のシステムアラートをトリガーします。
Blockstore space used exceeds threshold
mms.backupCentralUrl型: string
従来のバックアップ エージェントまたは MongoDB エージェントがバックアップ データを送信するのに使用する MongoDB Ops Manager アプリケーションの FQDN 。
設定されていない場合は、
mms.centralUrlの値を使用します。重要
MongoDB Ops Manager アプリケーションに IPv6 アドレスを使用してアクセスする場合は、ポート番号と区別するために IPv6 アドレスを角括弧(
[ ])で囲む必要があります。以下に例を挙げます。
http://[2600:1f16:777:8700:93c2:b99c:a875:2b10]:8080
mms.backup.journal.headsタイプ: ブール値
デフォルト: False
ヘッドデータベースがジャーナリングを使用するかどうかを設定します。単一のバックアップ ジョブのヘッド データベースに対するジャーナリングを有効または無効にするには、「バックアップ ジョブの管理」を参照してください。
FCV
4.2以降では、 ヘッドデータベース の代わりにバックアップカーソル をバックアップに使用します。
mms.backup.minimumOplogWindowHours型: float
デフォルト: 3
これは、oplog が記録するデータベース操作の最小時間数を設定します。
配置の oplog は、最後のスナップショット以降のリカバリ データを保持できる十分な大きさでなくてはなりません。この値を増やして、Ops Manager に oplog 容量をモニターさせます。この値は、
brs.snapshotSchedule.intervalの値を満たすかそれを超えるように設定する必要があります。値を
brs.snapshotSchedule.interval未満に設定すると、最後のスナップショットと oplog の終了の間に差が生じる可能性があります。 これにより、バックアップは復元に使用できなくなります。 古いバックアップジョブは、復元に使用する前に再同期する必要があります。
バックアップ スナップショット
backup.fileSystemSnapshotStore.gzip.compressionLevelタイプ: 整数
デフォルト: 6
Ops Manager がファイル システム ベースのスナップショットをどの程度圧縮するかを決定します。レベルの範囲は
0から9です。0では圧縮は提供されません。19では、スナップショットの圧縮速度が犠牲になり、圧縮の度合いが高まります。レベル1では、スナップショットの圧縮率は最低となりますが、速度は最も速くなります。レベル9では、スナップショットが最も圧縮されますが、速度は最も遅くなります。
注意
File System Store Gzip Compression Levelを変更すると、新しいスナップショットにのみ影響が出ます。既存のスナップショットの圧縮レベルには影響しません。
brs.restore.digest.method型: string
Default: SHA1
SHA1 を生成するかどうかを指定します アーカイブ ファイルを復元するためのチェックサム値。
使用可能な値は
SHA1またはNONEです。
brs.snapshotSchedule.intervalタイプ: 整数
デフォルト: 24
連続する 2 つのスナップショット間の時間を時間単位で指定します。
指定できる値は次のとおりです。
6、8、12、または24
brs.snapshotSchedule.retention.baseタイプ: 整数
デフォルト: 2
間隔スナップショットを保存する日数を指定します。 許容値は、
brs.snapshotSchedule.intervalの値によって異なります。許容値<242、3、4、または5。=242,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30.対応:
.Base Retention of Snapshots
brs.snapshotSchedule.retention.dailyタイプ: 整数
デフォルト: 0
日次スナップショットを保存する日数を指定します。
指定できる値は次のとおりです。
0,3,4,5,6,7,15,30,60,90,120,180or360対応:
.Daily Retention of Snapshots
brs.snapshotSchedule.retention.monthlyタイプ: 整数
デフォルト: 1
月次スナップショットを保存する月数を指定します。
指定できる値は次のとおりです。
0,1,2,3,4,5,6,7,8,9,10,11,12,13,18,24,36,48,60,72, and84
brs.snapshotSchedule.retention.weeklyタイプ: 整数
デフォルト: 2
週単位のスナップショットを保存する週数を指定します。
指定できる値は次のとおりです。
0,1,2,3,4,5,6,7,8,12,16,20,24, and52対応:
.Weekly Retention of Snapshots
brs.pitWindowInHoursタイプ: 整数
デフォルト: 24
特定の時点(PIT)から復元できる期間(時間単位)。
対応:
.PIT Window
backup.kmip.server.host型: string
デフォルト: なし
KMIP サーバーのホスト名を指定します。
MongoDB 4.2.1(および 4.0.14)以降、カンマ区切りのリストで複数の KMIP サーバーを指定できます。
重要
MongoDB 4.0.14 または 4.2.1 より前のバージョンでは、Ops Manager は KMIP サーバー ホスト名のリストにある最初の KMIP ホスト名のみを使用します。
mms.backup.snapshot.maxSumFileForWorkersMBタイプ: 整数
デフォルト: 2048
スナップショットを取得するときに同時に保存されるファイルの最大累積サイズ(メガバイト単位)を設定します。
クエリ可能なスナップショット構成
brs.queryable.connecttimeoutタイプ: 整数
デフォルト: 30
タイムアウトする前にクエリ可能なスナップショット mongod インスタンスへの接続を待機する秒数。
対応:
Mongo .Connection Timeout
brs.queryable.lruCacheCapacityMBタイプ: 整数
デフォルト: 512
グローバル スナップショット キャッシュ用に JVM ヒープから割り当てるサイズ(メガバイト単位)。 グローバル スナップショット キャッシュは、クエリ可能なスナップショットへの同じスナップショットデータに対する繰り返しのクエリを最適化します。
重要
MongoDB では、MongoDB サポートから変更の指示がない限り、この値を変更することはお勧めしません。
brs.queryable.mounttimeoutタイプ: 整数
デフォルト: 60
タイムアウトする前に、クエリ可能なスナップショットが準備されるまで待機する秒数。
対応:
.Queryable Startup Timeout
brs.queryable.pem.pwd型: string
Proxy Server PEM Fileが暗号化されている場合は必須です。注意
Proxy Server PEM File Passwordを更新した後、変更を有効にするために Web サーバーを再起動します。
brs.queryable.pem型: string
クエリ可能なスナップショットを使用する場合は必須です。1 つ以上の信頼できる証明書と関連する秘密キーの完全な証明書チェーンを含む PEM ファイル。
Proxy Server PEM File次の制限があります。この PEM ファイルは、MongoDB Ops Manager へのHTTPS接続に使用されるものとは異なる必要があります(
mms.https.PEMKeyFile)。この PEM ファイルでは、512 ビットを超えるキー長を使用する必要があります。2048 ビット RSA キーの使用が推奨されます。
この PEM ファイルでは、
sha256など、sha1よりも強力なメッセージ ダイジェストを使用する必要があります。
注意
Proxy Server PEM Fileを更新した後、変更を有効にするために Web サーバーを再起動します。
brs.queryable.proxyPortタイプ: 整数
デフォルト: 25999
クエリ可能なバックアップ ホストのポート。
注意
Proxy Server Portを更新した後、変更を有効にするために Web サーバーを再起動します。
brs.queryable.tls.disabledProtocols型: string
Default: SSLv2Hello,SSLv3,TLSv1,TLSv1.1,TLSv1.3
クエリ可能なスナップショットと復元に対して無効になっている TLS プロトコル バージョン。
brs.queryable.tls.disabledCiphers型: string
Default: TLS_DHE_RSA_WITH_AES_128_CBC_SHA,TLS_DHE_RSA_WITH_AES_128_CBC_SHA256,TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,TLS_DHE_RSA_WITH_AES_256_CBC_SHA,TLS_DHE_RSA_WITH_AES_256_CBC_SHA256,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
クライアントがクエリ可能なバックアップ ホストに接続するときに、MongoDB Ops Manager インスタンスが受け入れられない TLS 暗号スイートのリスト。TLS 暗号スイート名は、エントリー間に空白を入れずにカンマで区切ったリストとして指定します。
診断アーカイブ
mms.admin.diagnostics.archiveDocCountLimitタイプ: 整数
デフォルト: 10000
MongoDB Ops Manager がアクティビティフィードから取得するエントリーの最大数。
mms.admin.diagnostics.archiveDocSizeLimitタイプ: 整数
デフォルト: 7
MongoDB Ops Managerがアクティビティ フィードから取得するデータの最大日数。
mms.admin.diagnostics.archiveDocAgeLimitタイプ: 整数
デフォルト: 7
MongoDB Ops Managerがアクティビティ フィードから取得するデータの最大日数。
メールアドレス
mms.fromEmailAddr型: string
MongoDB Ops Manager アラートなどの一般的なメールを送信するために使用されるメール アドレス。メール アドレスにエイリアスを含めることができます。
mms.fromEmailAddr=mms-alerts@example.com
mms.adminEmailAddr型: string
MongoDB Ops Manager 管理者のメール アドレス。このアドレスには、MongoDB Ops Manager の問題に関連するメールが送信されます。
mms.emailDaoClass型: string
デフォルト:
SIMPLE_MAILER使用する電メール インターフェース。
この設定は、ユーザー インターフェイスと構成ファイルで、異なる方法でラベル付けされます。
送信方法構成設定(mms.emailDaoClass)Amazon Web Services SESAWS_MAILERSMTP
SIMPLE_MAILERこれを SMTP メール サーバーに設定する場合は、以下を設定する必要があります。
これを AWS Simple Email Service に設定する場合は、以下を設定する必要があります。
SMTP メール サーバー
条件付き。 mms.emailDaoClass を SIMPLE_MAILER に設定すると、次の設定が表示されます。
AWS Simple Email Service
条件付き。 mms.emailDaoClass を AWS_MAILER に設定すると、次の設定が表示されます。
aws.ses.endpoint型: string
デフォルト:
https://email.us-east-1.amazonaws.com送信API エンドポイントを 設定します Amazon Web ServicesSES 用の。
HTTP Proxy
http.proxy.portタイプ: 整数
ホストに接続したいポートを指定します。プロキシを使用するには、
Proxy PortとProxy Hostの両方を指定する必要があります。
Kubernetes Setup
kubernetes.templates.credentialsFilePath型: string
Ops Manager プロジェクト内のオブジェクトを作成または更新するための kubernetes secret としてのプログラマティック API キーを含む YAML ファイルへのパス。このファイルは YAML 形式で、
/mongodb-ops-manager/ディレクトリに保存する必要があります。このファイルはKubernetes Secret Setupに対応しています。apiVersion: v1 kind: Secret metadata: name: organization-secret namespace: mongodb stringData: user: ${publicKey} publicApiKey: ${privateKey}
kubernetes.templates.projectFilePath型: string
Ops Manager プロジェクトへのリンクに使用する ConfigMap を含む YAML ファイルへのパス。このファイルは YAML 形式で、
/mongodb-ops-manager/ディレクトリに保存する必要があります。また、Kubernetes ConfigMap Setupに対応しています。
MongoDB バージョン管理
automation.versions.source型: string
デフォルト:
remoteMongoDB インストーラのバイナリのソースを表します。
automation.versions.sourceに指定できる値と、値を設定するために存在する必要がある条件は次のとおりです。値条件remoteMongoDB Ops Manager とエージェントはインターネットにアクセスできます。hybridOps マネージャーはインターネットにアクセスできますが、エージェントはアクセスできません。Ops Manager は、MongoDB バイナリをインターネットからダウンロードします。エージェントは、Ops Manager からバイナリをダウンロードします。localOps Manager もエージェントもインターネットにアクセスできません。MongoDB Ops Manager 管理者は、配置構築でインターネット アクセスを制限する」で説明されているように、バージョンマニフェストと MongoDB バイナリを Ops Manager ホストにアップロードする必要があります。
automation.versions.download.baseUrl型: string
デフォルト: mongodb.com、fastdl.mongodb.org
MongoDB バイナリを取得するための HTTP(S) エンドポイント。エンドポイントが HTTPS エンドポイントの場合、
httpsCAFileで指定された証明機関ファイルを使用して証明書が検証されます。automation.versions.download.baseUrlが設定されていない場合、mongodb バイナリのリモート URL は mongodb.com と fastdl.mongodb.org になります。
automation.versions.download.baseUrl.allowOnlyAvailableBuildsタイプ: ブール値
デフォルト: True
trueに設定すると、Ops Manager は指定できる MongoDB バージョンを、配置で使用可能なバージョンに制限します。この設定は、
automation.versions.download.baseUrlがカスタム値で設定されている場合にのみ適用されます。
automation.versions.directory型: string
デフォルト:
/opt/mongodb/mms/mongodb-releases/Ops Manager が MongoDB バイナリを保存する Ops Manager アプリケーション サーバー上のディレクトリを指定します。オートメーションは、配置に MongoDB のバージョンをインストールまたは変更する際にバイナリにアクセスします。
Version Manifest SourceLocalモードで実行するように設定すると、バックアップデーモンもこのディレクトリから MongoDB バイナリにアクセスします。詳細については、「配置構築でインターネット アクセスを制限する」を参照してください。
mongodb.release.autoDownloadタイプ: ブール値
デフォルト: True
バックアップデーモンが必要とするバージョンの MongoDB を、バックアップデーモンが自動的にインストールするかどうかを示すフラグ。
trueデーモンはインターネット経由で MongoDB Inc. からバイナリを取得します。falseバックアップデーモンはインターネットにアクセスできないため、Ops Manager 管理者は、バックアップデーモンが必要とする MongoDB リリースのすべてのアーカイブ バージョンを手動でダウンロードして抽出する必要があります。管理者は、抽出したバイナリを Ops Manager ホスト上のVersions Directoryに配置する必要があります。警告
Ops Manager がローカル モードで実行されている場合は、
falseに設定します。
mongodb.release.autoDownload.enterpriseタイプ: ブール値
バックアップデーモンが必要とするバージョンの MongoDB の エンタープライズ エディションを、バックアップデーモンが自動的にインストールするかどうかを示すフラグ。
mongodb.release.autoDownloadをtrueに設定する必要があります。警告
Linux ホストでMongoDB Enterpriseを実行する場合は、MongoDB をインストールする前に、各ホストに一連の依存関係を手動でインストールする必要があります。 MongoDB マニュアルには、依存関係をインストールするための適切なコマンドが記載されています。
「配置構築でインターネット アクセスを制限する」を参照してください。
mongodb.release.modulePreference型: string
バックアップに MongoDB Community バイナリを使用するか、エンタープライズ バイナリを使用するかを指定します。
指定できる値は次のとおりです。
enterprisePreferredenterpriseRequiredcommunityRequired
enterpriseRequiredまたはcommunityRequiredが選択されると、Ops Manager はバックアップにそれらのバイナリのみを使用します。enterprisePreferredを選択すると、Ops Manager は、使用可能な場合はエンタープライズ バイナリを使用し、使用できない場合はコミュニティ バイナリを使用します。注意
enterpriseRequiredを選択した場合、mongodb.release.autoDownload.enterpriseをtrueに設定するか、エンタープライズ バイナリをローカル モードでautomation.versions.directoryに手動で配置する必要があります。警告
enterpriseRequiredまたはcommunityRequiredのいずれかが選択されている場合、バックアップは失敗しますが、automation.versions.directoryに必要なバイナリが含まれていません。
MongoDB の使用法
mms.mongoDbUsage.defaultUsageType型: string
デフォルト: 本番環境サーバー
この Ops Manager インスタンスが管理するすべてのエンタープライズ プロセスの、デフォルトの MongoDB Enterprise サーバー タイプ。
次の表は、使用可能なサーバー タイプの値と、それぞれに必要なライセンスの数を示しています。
サーバーの意図環境目的ライセンス要件本番環境サーバー社内または社外のエンド ユーザー向けにアプリケーションをホストします。
エンド ユーザーが環境を使用する可能性がある場合、その環境は本番環境として機能します。これは、その環境がテスト、品質保証、評価、または開発機能のいずれを提供していても、適用されます。
サーバーごとに 1 つのライセンステスト/QAサーバーこのタイプの環境は、次の目的で使用できます。
テストアプリケーションを実行して、設計どおり、期待どおりに動作することを確認します。プラットフォーム構成は、コンピューティング、ネットワーク、ストレージ機能において、本番環境のパフォーマンスが低いバージョンとなることがあります。システム品質の保証本番環境をシミュレートするように構成されたデータ、ハードウェア、ソフトウェアの組み合わせに対してアプリケーションを検証します。プラットフォーム構成は、コンピューティング、ネットワーク、およびストレージ機能の点で、小規模の本番環境でなくてはなりません。ステージパフォーマンス テストやリリース候補の承認を含む本番環境をシミュレートします。プラットフォーム構成は、コンピューティング、ネットワーク、およびストレージ機能において本番環境と同じでなくてはなりません。サーバーごとに 1 つのライセンス開発サーバーアプリケーションの設計、コーディング、デバッグ、またはそれらの組み合わせが進行中のホスト。アプリケーションの現在の状態を別の環境に昇格できるかどうかを評価するために使用されます。なしRAM プールあらゆる環境の目的に合わせて、サーバーの自由な組み合わせを提供します。任意の数のサーバーに対して 1 つのライセンス(これらのサーバー間で購入した RAM の合計 GB の最大数まで)。バッキング データベースMongoDB Ops Manager のバッキング データベースをホストします。このオプションを有効にするには、アプリケーション データベースのモニタリングを有効にします。なし
モニタリング
mms.agentCentralUrl型: string
レガシーのモニタリングエージェントまたは MongoDB エージェントがモニタリング データをプッシュするのに使用する MongoDB Ops Manager アプリケーションの FQDN 。
設定されていない場合は、
mms.centralUrlの値を使用します。重要
MongoDB Ops Manager アプリケーションに IPv6 アドレスを使用してアクセスする場合は、ポート番号と区別するために IPv6 アドレスを角括弧(
[ ])で囲む必要があります。以下に例を挙げます。
http://[2600:1f16:777:8700:93c2:b99c:a875:2b10]:8080
フェイルオーバーのモニタリング
複数の MongoDB エージェントでモニタリング機能を有効にして、モニタリングの割り当てを分散し、フェイルオーバーを提供できます。MongoDB Ops Manager は、最大 100 の実行中の MongoDB エージェントにモニタリング割り当てを分散します。アクティブなモニタリング モニターを実行中の各 MongoDB エージェントは、MongoDB プロセスの異なるセットをモニタリングします。プロジェクトごとにアクティブなモニタリングを実行する 1 つの MongoDB Agent が、プライマリ モニターになります。プライマリ モニターはクラスターのステータスを MongoDB Ops Manager に報告します。MongoDB エージェントでモニタリングが有効または無効になると、MongoDB Ops Manager は割り当てを再度分散します。プライマリ モニターに障害が発生した場合、MongoDB Ops Managerは、アクティブなモニタリングを実行中の別の MongoDB エージェントを、プライマリ モニターとして割り当てます。
以下の設定は、MongoDB Ops Manager がモニタリングにアクセスできないかどうかを判断する間隔と、スタンバイ エージェントが MongoDB Ops Manager をポーリングしてモニタリング割り当てを受信するかどうかを判断する頻度を調整します。
Ops Manager 管理 API
mms.publicApi.whitelistEnabledタイプ: ブール値
特定の API 呼び出しでは、アクセス リスト内の IP アドレスからリクエストが発信される必要があります。この要件をオフにするには、この設定を追加し、その値を
falseに設定します。
プッシュ ライブ移行
mms.pushLiveMigrations.mmsUi.centralUrl型: string
MongoDB Ops Manager から Atlas へのライブ移行のベース URL(
https://cloud.mongodb.comなど)。
mms.pushLiveMigrations.syncJobs.enabledタイプ: ブール値
trueに設定すると、MongoDB Ops Manager で次のようなライブ移行プロセスに関する情報をリクエストできます。ライブ移行のソースとして使用できるプロジェクトと配置のリスト。
それぞれの配置およびプロジェクトでライブ移行を円滑化できる、利用可能な構成済み移行ホストのリスト。
Atlas でのライブ移行の現在の実行状況。
MongoDB Ops Manager はこの情報を使用して、ライブ移行プロセスを円滑化します。デフォルトは
trueです。
mms.pushLiveMigrations.updateJob.intervalSecondsタイプ: ブール値
同期が更新される間の繰り返しの間隔(秒単位)。MongoDB Ops Manager と Atlas の間で組織のプロジェクト情報の同期が定期的に行われます。デフォルトの同期間隔は
60です。MongoDB Ops Manager では、同期の更新が 10 ~ 43200 秒(12 時間)の間隔で発生すると想定されています。同期更新の実際の間隔が 43200 秒を超える場合、または検証フェーズ中の同期更新間の実際の間隔が 1800 秒(30 分)を超えると、Atlas へのライブ移行が停止したり、タイムアウトしたり、失敗したりすることがあります。注意
この設定を更新した後、変更を有効にするためにウェブ サーバーを再起動します。
mms.pushLiveMigrations.updateJob.cooldownSecondsタイプ: ブール値
組織のプロジェクトの情報同期リフレッシュの間隔(秒)。同期更新のデフォルトの間隔は
10です。MongoDB Ops Manager では、同期の更新が 10 ~ 43200 秒(12 時間)の間隔で発生すると想定されています。連続同期の実際の間隔が 43200 秒を超える場合、Atlas へのライブ移行が停止したり、タイムアウトしたり、失敗したりすることがあります。注意
この設定を更新した後、変更を有効にするためにウェブ サーバーを再起動します。
mms.pushLiveMigrations.fetchJob.intervalSecondsタイプ: ブール値
Atlas からのライブ移行プランの更新を同期するための繰り返しの間隔 (秒単位)。このプランには、Atlas の移行プロセスの手順が一覧表示されます。MongoDB Ops Manager は定期的に Atlas から現在のプランを取得して進捗状況を確認します。この情報がないと、MongoDB Ops Manager はライブ移行プロセスを次の段階に進めません。
デフォルトの同期間隔は
60です。MongoDB Ops Manager では、同期の更新が 10 ~ 43200 秒(12 時間)の間隔で発生すると想定されています。連続同期の実際の間隔が 43200 秒を超える場合、Atlas へのライブ移行が停止したり、タイムアウトしたり、失敗したりすることがあります。注意
この設定を更新した後、変更を有効にするためにウェブ サーバーを再起動します。
セキュリティ
mms.security.disableBrowserCachingタイプ: ブール値
デフォルト: False
trueの場合、MongoDB Ops Manager はすべての HTTP 応答をキャッシュ不可にします。
mms.security.hstsMaxAgeSecondsタイプ: 整数
デフォルト: 0(HTTP または HTTPS を使用できます。)
MongoDB Ops Manager が HTTPS を使用するブラウザ接続を制限する時間 (秒単位)。この値は正の整数である必要があります。値
0は、HTTP または HTTPS を使用できることを意味します。Tip
以下も参照してください。
HSTS を配置する方法については、「HTTP Strict Transport Security」、「RFC 6797」、および「hstspreload.org」を参照してください。
非均一メモリ アクセス (NUMA)
mongodb.disable.numaタイプ: ブール値
ヘッドデータベースの NUMA を無効にするには、次の値を使用してカスタム設定の変更手順に従います。
Keymongodb.disable.numaValuetrueNUMA の詳細については、MongoDB プロダクション ノートの「MongoDB と NUMA ハードウェア」を参照してください。
重要
バックアップデーモンが有効になっている各 MongoDB Ops Manager インスタンスには、
numactlサービスがインストールされている必要があります。numactlがインストールされておらず、この設定がtrueに設定されている場合、バックアップジョブは失敗します。MongoDB Ops Managerは任意のバックアップジョブを暗号化できます。 ヘッドデータベース の代わりに バックアップカーソル を使用してバックアップジョブを暗号化します。詳細については、「バックアップデーモンサービス 」を参照してください。
サードパーティ統合
Datadog 統合
Opsgenie Integration
opsgenie.api.url型: string
デフォルト:
https://api.opsgenie.com/v2/alertsMongoDB Ops Manager がヨーロッパ諸国で Ops Genie API にアクセスするために使用する URL。
MongoDB Ops Manager インスタンスがヨーロッパで実行される場合は、このカスタム パラメータを有効にします。次に、その値を
https://api.eu.opsgenie.com/v2/alertsに設定します。詳細については、 Opsgenie Alert ドキュメントを参照してください。
Twilio の統合
SMS または2 FA コードでアラート通知を受け取るには、 Twilio が必要です アカウント。
twilio.account.sid型: string
Twilio アカウントID。
ユーザー認証
mms.email.validation型: string
デフォルト: false
MongoDB Ops Manager でユーザー名をメールアドレスにする必要があるかどうかを決定します。
値説明false(デフォルト)ユーザー名はメールアドレスである必要はありません。looseユーザー名には、@記号とそれに続くピリオドを含める必要があります。strictユーザー名は、厳格なメールアドレス検証の正規表現に準拠する必要があります。strictに設定されている場合、MongoDB Ops Manager は次の正規表現を使用して、メールアドレスが3 RFC-3696 のセクション に記載されている要件に準拠していることを検証します。^[a-z0-9!#$%&'*+/=?^_`{|}~-]+(?:\.[a-z0-9!#$%&'*+/=?^_`{|}~-]+)*@(?:[a-z0-9](?:[a-z0-9-]*[a-z0-9])?\.)+[a-z0-9](?:[a-z0-9-]*[a-z0-9])?$ 例
jane.smith@example.comは有効です。jane.smith@ex@mple.comは有効ではありません。
mms.userSvcClass型: string
デフォルト:
UserSvcDb認証資格情報を MongoDB Ops Manager アプリケーション データベースに保存するか、LDAP ディレクトリに保存するかを選択します。
指定できる値は次のとおりです。
認証方法許容値アプリケーション データベースUserSvcDb重要: MongoDB Ops Manager 6.0 では、許容値は
com.xgen.svc.mms.svc.user.UserSvcDbです。 この古い許容値を使用すると、MongoDB Ops Managerインスタンスはプレフライト チェック中に起動しません。LDAP
UserSvcLdapSAML
UserSvcSaml
MongoDB Ops Manager Application Databaseによる認証
mms.password.maxDaysInactiveBeforeAccountLockタイプ: 数値
MongoDB Ops Manager がアカウントをロックするまでに MongoDB Ops Manager のウェブサイトにアクセスしない最大日数。
mms.password.maxFailedAttemptsBeforeAccountLockタイプ: 数値
アカウントがロックされるまでにログインに失敗した回数。ロックされたアカウントのロックを解除できるのは、MongoDB Ops Manager 管理者だけです。
mms.login.ratelimit.attemptsAllowedタイプ: 数値
特定の IP アドレスのユーザーがタイムアウト期間中に試行できるログインの数。この設定は
Login Attempts Timeout Periodと一緒に構成する必要があります。
mms.login.ratelimit.lockedPeriodMinutesタイプ: 数値
この設定では、次の項目を指定します。
ログイン試行回数が多すぎるかどうかを判断するために使用される期間 (分単位)。
ログインを再開する前にアカウントがロックされる期間。
この設定は
Login Attempts Allowed Before Timeoutと一緒に構成する必要があります。重要
ドロップダウン メニューには、この設定で使用可能な値のみがリストされます。 ドロップダウンにリストされていない値を
conf-mms.propertiesファイルまたはローカル データベースに設定しようとすると、 MongoDB Ops Managerインスタンスの再起動時にエラーが発生します。
mms.user.invitationOnlyタイプ: ブール値
true の場合、新しいユーザーは招待によってのみ登録できます。招待状には、登録リンクを表示する URL が記載されています。false の場合、新しいユーザーがは MongoDB Ops Manager URL を持っていれば登録できます。
LDAP による認証
これらの設定により、MongoDB Ops Manager は認証に LDAP サーバーを使用するように構成されます。LDAP 認証を使用する場合、MongoDB Ops Manager にログインするには、ユーザーが LDAP グループに属している必要があります。MongoDB Ops Manager ユーザー ロールごとに LDAP グループを作成する必要があります。
開始設定 mms.ldap.global.role 指定された LDAP グループのメンバーに MongoDB Ops Manager グローバル ロールを割り当てます。LDAP User Group設定で指定された LDAP 属性で使用される形式を使用してグループを指定します。 ;;区切り記号を使用して、複数のグループを指定できます。デフォルトの区切り記号を変更するには、mms.ldap.group.separator 設定を使用します。各 MongoDB Ops Manager グローバル ロールは、配置内のすべての MongoDB Ops Manager プロジェクト へのアクセス権レベルを提供します。特定のグループにアクセスを許可するには、グループ レベルのロールを使用します。
mms.ldap.global.role.automationAdmin型: string
MongoDB Ops Manager でグローバル オートメーション管理者ロールを持つメンバーの LDAP グループ。
LDAP User Groupで指定された LDAP 属性で使用される形式を使用してプロジェクトを指定します。;;区切り文字を使用して複数のプロジェクトを指定できます。デフォルトの区切り文字を変更するには、mms.ldap.project.separator設定を使用します。mms.ldap.global.role.automationAdmin=CN\=MMS-AutomationAdmin,OU\=MMS,OU\=acme Groups,DC\=acme,DC\=example,DC\=com 各 MongoDB Ops Manager グローバル ロールは、配置内のすべての MongoDB Ops Manager プロジェクト へのアクセス権レベルを提供します。特定のプロジェクトへのアクセスを提供するには、グループ レベルのロールを使用します。
mms.ldap.global.role.backupAdmin型: string
MongoDB Ops Manager でグローバル バックアップ管理者ロールを持つメンバーの LDAP グループ。
mms.ldap.global.role.backupAdmin=CN\=MMS-BackupAdmin,OU\=MMS,OU\=acme Groups,DC\=acme,DC\=example,DC\=com
mms.ldap.global.role.monitoringAdmin型: string
MongoDB Ops Manager で グローバル モニタリング管理者ロールを持つメンバーの LDAP グループ。
mms.ldap.global.role.monitoringAdmin=CN\=MMS-MonitoringAdmin,OU\=MMS,OU\=acme Groups,DC\=acme,DC\=example,DC\=com
mms.ldap.global.role.owner型: string
すべての MongoDB Ops Manager プロジェクトへのフル アクセスとすべての管理特権を含む、MongoDB Ops Manager 配置に対する完全な特権を持つ LDAP グループ。指定された LDAP グループ内のユーザーには、MongoDB Ops Manager でグローバル所有者ロールが付与されます。
LDAP User Group設定で指定された LDAP 属性で使用される形式を使用してプロジェクトを指定します。mms.ldap.global.role.owner=CN\=MMSGlobalOwner,OU\=MMS,OU\=acme Groups,DC\=acme,DC\=example,DC\=com
mms.ldap.global.role.readOnly型: string
MongoDB Ops Manager でグローバル読み取り専用ロールを持つメンバーの LDAP グループ。
mms.ldap.global.role.readOnly=CN\=MMS-ReadOnly,OU\=MMS,OU\=acme Groups,DC\=acme,DC\=example,DC\=com
mms.ldap.global.role.userAdmin型: string
MongoDB Ops Manager でグローバル ユーザー管理者ロールを持つメンバーの LDAP グループ。
mms.ldap.global.role.userAdmin=CN\=MMS-UserAdmin,OU\=MMS,OU\=acme Groups,DC\=acme,DC\=example,DC\=com
mms.ldap.group.baseDn型: string
デフォルト:
LDAP User Base Dn値MongoDB Ops Manager がグループを検索するために使用する基本識別名 (DN)。空白のままにすると、この設定はデフォルト値を使用します。
mms.ldap.group.baseDn=OU\=groups,DC\=acme,DC\=com
mms.ldap.group.member型: string
ユーザー識別名(DN)を含むグループ エントリのフィールド。 The groupOfNames または groupOfUniqueNames オブジェクト クラスは一般的に使用されます。
mms.ldap.group.member=member
mms.ldap.group.separator型: string
デフォルト:
;;LDAP セパレーターを設定するには、次の値を使用してカスタム設定の変更手順に従います。
Keymms.ldap.group.separatorValue<desired-separator>各グローバル ロールの値は、区切られたプロジェクトのリストを受け取ります。
"dbas,sysadmins" グループ値に区切り文字が含まれている場合は、区切り文字を別の値に設定する必要があります。
例
グループ値が
"CN\=foo,DN\=bar"で、区切り文字が,の場合、MongoDB Ops Manager は"CN\=foo,DN\=bar"を 1 つのグループの説明としてではなく、2 つの要素として解析します。
mms.ldap.referral型: string
紹介の処理方法を設定するために使用される LDAP フィールド。次の 2 つの値を受け入れます。
ignore: 紹介を無視します。follow: 紹介を自動的にフォローします。
mms.ldap.ssl.CAFile型: string
PEM 形式の 1 つ以上の信頼できる証明書を含むファイル。LDAPS を使用しており、サーバーが既知の証明機関からのものではない証明書を使用している場合は、この設定を使用します。
mms.ldap.ssl.CAFile=/opt/CA.pem
mms.ldap.ssl.PEMKeyFile型: string
クライアント証明書と秘密キーを含むファイル。TLS/SSL LDAP サーバーでクライアント証明書が必要な場合は、この設定を使用します。
mms.ldap.ssl.PEMKeyFile=/opt/keyFile.pem
mms.ldap.ssl.PEMKeyFilePassword型: string
LDAP SSL PEM Key Fileのパスワード。PEMKeyFileが暗号化されている場合、この設定を使用します。mms.ldap.ssl.PEMKeyFilePassword=<password>
mms.ldap.user.baseDn型: string
MongoDB Ops Manager がユーザーを検索するために使用する基本識別名 (DN)。
=記号を\でエスケープします。mms.ldap.user.baseDn=DC\=acme,DC\=example,DC\=com
mms.ldap.user.email型: string
Default:
mailper RFC2256ユーザーのメールアドレスを含む LDAP ユーザー属性。LDAP 認証が成功すると、MongoDB Ops Manager は指定された LDAP 属性を MongoDB Ops Manager ユーザー レコードのメールアドレスと同期します。
mms.ldap.user.email=mail
mms.ldap.user.firstName型: string
Default:
givenNameper RFC2256ユーザーの名を含む LDAP ユーザー属性。LDAP 認証が成功すると、MongoDB Ops Manager は指定された LDAP 属性を MongoDB Ops Manager ユーザー レコードの最初の名前と同期します。
mms.ldap.user.firstName=givenName
mms.ldap.user.group型: string
ユーザーが属する LDAP グループのリストを含む LDAP ユーザー属性。LDAP 属性では、共通名 (
cn) や識別名 (dn) など、任意の形式を使用してプロジェクトを一覧表示できます。この構成ファイル内のプロジェクトを指定するすべての MongoDB Ops Manager 設定は、選択した形式と一致する必要があります。重要
MongoDB Ops Manager では
mms.ldap.user.groupが非推奨になりました。mms.ldap.group.memberを使用します。次の値を指定する場合
mms.ldap.user.groupとmms.ldap.group.memberの両方で、MongoDB Ops Manager はmms.ldap.group.memberを使用し、mms.ldap.user.groupを無視します。mms.ldap.user.groupただし、MongoDB Ops Manager はネストされた LDAP グループ内のユーザーのメンバーシップを認識しません。
mms.ldap.user.group=memberOf
mms.ldap.user.lastName型: string
Default:
surnameper RFC2256ユーザーの姓を含む LDAP ユーザー属性。LDAP 認証が成功すると、MongoDB Ops Manager は指定された LDAP 属性を MongoDB Ops Manager ユーザー レコードの姓と同期します。
mms.ldap.user.lastName=sn
mms.ldap.user.searchAttribute型: string
LDAP 検索に使用される LDAP フィールド。これは通常、ユーザー名またはメールアドレスです。このフィールドの値は、MongoDB Ops Manager のユーザー名としても使用されます。
mms.ldap.user.searchAttribute=<myAccountName>
SAML による認証
mms.saml.idp.uri型: string
シングル サインオンを調整するために使用する ID プロバイダー ( IdP)の URI。これは、 EntityId または ID プロバイダー発行者と呼ばれることもあります。
mms.saml.slo.url型: string
ユーザーがログアウトしようとしたときに MongoDB Ops Manager が呼び出すシングル ログアウト エンドポイントの URL 。設定されている場合、ユーザーが MongoDB Ops Manager からログアウトしようとすると、IdP からもログアウトされます。空白のままにすると、MongoDB Ops Manager からログアウトしてもユーザーは IdP セッションからログアウトされません。
mms.saml.ssl.PEMKeyFile型: string
SP がリクエストに署名するために使用する証明書の PEM ファイルへの絶対パスで、秘密キーと公開キーの両方が含まれます。これを空白のままにすると、MongoDB Ops Manager は IdP への SAML 認証リクエストに署名せず、SAML アサーションを暗号化できません。
mms.saml.encrypted.assertionsタイプ: ブール値
IdP がMongoDB Ops MongoDB Ops ManagerManagerに送信するアサーションを暗号化するかどうかを示すフラグ。
mms.saml.signedAssertionsタイプ: ブール値
デフォルト:
trueIdP が MongoDB Ops Manager に送信するアサーションに署名するかどうかを示すフラグ。
重要
アサーションまたはレスポンスのいずれかが署名されていることを確認します。 アサーションまたは応答のいずれかが署名されていない場合、構成は検証に失敗し、 MongoDB Ops Managerはエラーを返します。MongoDB Ops Manager
mms.saml.signedMessagesタイプ: ブール値
デフォルト:
trueIdP が MongoDB Ops Manager に送信する応答に署名するかどうかを示すフラグ。
重要
アサーションまたはレスポンスのいずれかが署名されていることを確認します。 アサーションまたは応答のいずれかが署名されていない場合、構成は検証に失敗し、 MongoDB Ops Managerはエラーを返します。MongoDB Ops Manager
mms.saml.signature.algorithm型: string
IdP との間で送受信される署名を暗号化するアルゴリズム。
Select an Algorithm メニューには、次の5つの選択肢があります。
rsa-sha1dsa-sha1rsa-sha256rsa-sha384rsa-sha512
mms.saml.global.role.owner型: string
SAML グループ メンバー属性内のグループ。メンバーには、すべてのグループへのフル アクセスとすべての管理権限を含む、この配置に対する完全な権限が与えられます。
mms.saml.global.role.automationAdmin型: string
メンバーが
Global Automation Adminロールを持つ SAML グループ メンバー属性内のグループ。
mms.saml.global.role.backupAdmin型: string
メンバーが
Global Backup Adminロールを持つ SAML グループ メンバー属性内のグループ。
mms.saml.global.role.monitoringAdmin型: string
メンバーが
Global Monitoring Adminロールを持つ SAML グループ メンバー属性内のグループ。
mms.saml.global.role.userAdmin型: string
メンバーが
Global User Adminロールを持つ SAML グループ メンバー属性内のグループ。
mms.saml.global.role.readOnly型: string
メンバーが
Global Read Onlyロールを持つ SAML グループ メンバー属性内のグループ。
多要素認証(MFA)
mms.multiFactorAuth.level型: string
デフォルト: オフ
2 要素認証の「レベル」を設定します。
設定説明OFF2要素認証を無効にします。MongoDB Ops Manager は 2 要素認証を使用しません。OPTIONALユーザーは、MongoDB Ops Managerアカウントに 2 要素認証を設定することを選択できます。REQUIRED_FOR_GLOBAL_ROLESグローバル ロールを持つユーザーは、2 要素認証を設定する必要があります。2 要素認証は、他のすべてのユーザーにとっては任意です。REQUIREDすべてのユーザーは、MongoDB Ops Manager アカウントに 2 要素認証を設定する必要があります。MongoDB Ops Manager の配置のセキュリティのために、2 要素認証を推奨します。
警告
構成ファイルを通じて
mms.multiFactorAuth.levelを有効にする場合は、構成ファイルを更新する前にまずユーザー アカウントを作成する必要があります。そうしないと、MongoDB Ops Manager にログインできません。注意
Twilio 統合を有効にする場合 (任意)、MongoDB Ops Manager サーバーが
twilio.comドメインにアクセスできることを確認します。
mms.multiFactorAuth.allowResetタイプ: ブール値
デフォルト: False
trueの場合、MongoDB Ops Manager では、パスワードをリセットするのと同様の方法で、ユーザーがメールを介して 2 要素認証設定をリセットできます。2 要素認証をリセットするには、ユーザーは以下を行う必要があります。
ユーザーアカウントに関連付けられたアドレスでメールを受信できるようになります。
ユーザーアカウントのパスワードが分かっています。
APIユーザーが属する各MongoDB Ops Manager プロジェクトの エージェント キー を知っている。
mms.multiFactorAuth.issuer型: string
Google Authenticator が 2 要素認証を提供する場合、この文字列は Google Authenticator アプリの
issuerになります。空白のままにした場合、issuerは MongoDB Ops Manager インストールのドメイン名になります。
mms.multiFactorAuth.requireタイプ: ブール値
デフォルト: False
trueの場合、MongoDB Ops Manager は、ユーザーがログインしたり、アプリケーション内で特定の破壊的な操作を実行したりするために 2 要素認証を要求します。Twilio 統合を構成すると、ユーザーは Google Authenticator、SMS、または音声通話を介して 2 要素トークンを取得できます。それ以外の場合、2 要素認証を提供する唯一のメカニズムは Google Authenticator です。
reCaptcha とセッションの長さ
reCaptcha.enabled.registrationタイプ: ブール値
デフォルト: false
新しいユーザーが MongoDB Ops Manager の使用を登録するときに、reCaptcha 検証を使用して自分自身を検証することを望んでいることを示すインジケーター。
truereCaptcha が必要な場合は に設定 新しいユーザーが登録したときの検証。この設定には reCaptcha アカウントが必要です。
reCaptcha.enabledタイプ: ブール値
デフォルト: false
ユーザーが MongoDB Ops Manager にログインするときに、reCaptcha 検証を使用して自分自身を検証する必要があることを示すインジケーター。
truereCaptcha が必要な場合は に設定 ユーザがログインするときの検証。この設定には reCaptcha アカウントが必要です。
ReCaptcha Enabledに対応します。
Web Server
mms.centralUrl型: string
MongoDB Ops Manager アプリケーションの FQDN とポート番号。
8080以外のポートを使用するには、「Ops Manager のホスト名とポートの管理」を参照してください。mms.centralUrl=http://mms.example.com:8080 URL to Access Ops Managerに対応します。重要
MongoDB Ops Manager アプリケーションに IPv6 アドレスを使用してアクセスする場合は、ポート番号と区別するために IPv6 アドレスを角括弧(
[ ])で囲む必要があります。以下に例を挙げます。
http://[2600:1f16:777:8700:93c2:b99c:a875:2b10]:8080
mms.https.PEMKeyFile型: string
MongoDB Ops Manager アプリケーションの有効な証明書とプライベート キーを含む PEM ファイルへの絶対パス。MongoDB Ops Manager アプリケーションが HTTPS を使用して、 MongoDB Ops Manager アプリケーション、エージェント、およびウェブ インターフェイス間の接続を暗号化する場合は、PEM ファイルが必要です。
MongoDB Ops Manager アプリケーションへの HTTPS アクセスのデフォルト ポートは、
<install_dir>/conf/mms.confファイルで設定されている8443です。このデフォルトを変更する場合は、mms.centralUrl設定で指定されているポートも変更する必要があります。
mms.https.PEMKeyFilePassword型: string
HTTPS PEM キー ファイルのパスワード。PEMキー ファイルに暗号化された秘密キーが含まれている場合は、この設定を含める必要があります。
mms.https.ClientCertificateMode型: string
MongoDB Ops Manager に接続するときにクライアントが有効な TLS/SSL クライアント証明書を提示することを要求するかどうかを指定します。指定できる値は次のとおりです。
noneagents_onlyrequired
mms.https.CAFile型: string
次の場合に必須:
プライベート証明機関を使用しています。
mms.https.ClientCertificateModeをagents_onlyまたはrequiredに設定します。TLS を有効にして MongoDB Ops Manager をハイブリッド モードで実行します。
受け入れ可能なクライアント証明書のリストを含むプライベート認証局ファイルのファイルシステムのロケーションを指定します。MongoDB Ops Manager アプリケーションは、このファイルに記述された証明書を持つクライアントからの HTTPS 要求を認証します。
mms.https.CAFile=/path/to/ca_file.pem
mms.https.dualConnectorsタイプ: ブール値
デフォルト: False
HTTP と HTTPS を同時に使用して MongoDB Ops Manager への接続を有効にします。
MongoDB Ops Manager と MongoDB エージェントを TLS を使用するようにアップグレードする間、この設定を一時的に使用できます。ダウンタイムをゼロにするには、
trueに設定し、値をmms.http.bindhostnameに指定します。MongoDB Ops Manager と MongoDB エージェントを構成した後、falseに設定します。重要
mms.https.dualConnectorsがtrueの間、安全でない接続を使用して MongoDB Ops Manager にアクセスできます。MongoDB エージェントをアップデートして TLS 接続を使用するようにした後でのみ、安全な接続を許可するには、
mms.https.dualConnectorsをfalseに設定します。
mms.http.bindhostname型: string
デフォルト: 127.0.0.1
MongoDB エージェントが HTTP を使用して MongoDB Ops Manager に接続できるホスト名または IP 。
MongoDB Ops Manager と MongoDB エージェントを TLS を使用するようにアップグレードする間、この設定を一時的に使用できます。ダウンタイムをゼロにするには、値を設定し、
mms.https.dualConnectorsをtrueに設定します。MongoDB Ops Manager と MongoDB エージェントを構成した後、値を削除します。
mms.remoteIp.header型: string
ロード バランサーを MongoDB Ops Manager アプリケーションで使用する場合、ロード バランサーが MongoDB Ops Manager ホストに対して発信元クライアントの IP アドレスを識別するのに使用する HTTP ヘッダー フィールドにこれを設定します。
Load Balancer Remote IP Headerを指定すると、クライアントが MongoDB Ops Manager ホストに直接接続できなくなります。MongoDB Ops Manager ホストの前に配置されたロード バランサーは、キャッシュされたコンテンツを返してはなりません。Load Balancer Remote IP Headerが設定されると、MongoDB Ops Manager は次の HTTP ヘッダーを有効にします。HTTP ヘッダーOps Manager に転送クライアントがホスト HTTP リクエスト ヘッダーで要求した元のホスト。HTTP リクエストを行うために使用されるプロトコル。プロキシ サーバーのホスト名。リクエストの HTTPS ステータス。詳細については、「高可用性 Ops Manager アプリケーションの構成」を参照してください。
mms.minimumTLSVersion型: string
デフォルト:
TLSv1.2クライアントが MongoDB Ops Manager に接続するために必要な TLS バージョンを指定します。このプロパティは、MongoDB Ops Manager Admin インターフェースへの接続に使用されるブラウザや、REST API への接続に使用される
curlなどのコマンドライン ツールなど、すべてのクライアントに影響します。- MongoDB Ops Manager バージョン 4.0.9 から 4.0.18 まで、および 4.2.13 と 4.4.0 以前
- MongoDB Ops Manager は
TLSv1.2のみをサポートします。この値をTLSv1.2以外の値(空白値を含む)に変更すると、この MongoDB Ops Manager に接続できなくなります。 - MongoDB Ops Manager バージョン 4.0.0 から 4.0.8、4.0.18 またはそれ以降、4.2.13 またはそれ以降、4.4.0 またはそれ以降
- MongoDB Ops Manager は
TLSv1.0、TLSv1.1、TLSv1.2をサポートします。
注意
TLSv1.2 では、接続するクライアントが次の最小要件を満たす必要があります。
ブラウザは TLS バージョン 1.2 をサポートしています
curlバージョン 7.34.0+OpenSSL バージョン 1.0.1+
minimum.TLSVersionを設定するには、次の値を使用して「カスタム設定の変更」手順に従います。Keyminimum.TLSVersionValue<tls-versions>
mms.disableCiphers型: string
Default:
SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA,SSL_DHE_DSS_WITH_DES_CBC_SHA,SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA,SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA,SSL_DHE_RSA_WITH_DES_CBC_SHA,SSL_RSA_EXPORT_WITH_DES40_CBC_SHA,SSL_RSA_EXPORT_WITH_RC4_40_MD5,TLS_DHE_DSS_WITH_AES_128_CBC_SHA256,TLS_DHE_DSS_WITH_AES_128_CBC_SHA,TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,TLS_DHE_DSS_WITH_AES_256_CBC_SHA,TLS_DHE_RSA_WITH_AES_128_CBC_SHA256,TLS_DHE_RSA_WITH_AES_128_CBC_SHA,TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,TLS_DHE_RSA_WITH_AES_256_CBC_SHA256,TLS_DHE_RSA_WITH_AES_256_CBC_SHA,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384クライアントが MongoDB Ops Manager アプリケーションおよび API に接続するときに MongoDB Ops Manager のインスタンスが受け入れることができない TLS 暗号スイートのリストを指定します。次の例のように、TLS 暗号スイート名をカンマ区切りのリストとして指定します。
重要
で使用される暗号スイート名に従う必要がありますMongoDB Ops Manager RFC5246 命名規則。OpenSSL の命名規則は使用しないでください。 便宜上、 MongoDB Ops Managerは起動時にサポートされているすべての暗号スイート名のリストをログに記録します。 MongoDB Ops ManagerがTLS暗号スイート名を認識しない場合は、次の警告がログに記録されます。
設定には、JDK が認識しないため無効にすべき暗号として以下が記載されています。エントリーのフォーマットと有効な暗号のリストを確認します。[unrecognized_cipher_name]
mms.disableCiphersを変更するには、次の値を使用してカスタム設定の変更手順に従います。Keymms.disableCiphersValue<ciphers>以下に例を挙げます。
TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA, TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 警告
mms.disableCiphersをカスタム値に設定すると、これらが無効にした暗号の 1 つ以上が再度有効になる可能性があります。