暗号化されたバックアップ スナップショット
スナップショットの暗号化は、データベースがどの MongoDB のバージョンと互換性があるかによって異なります。 この機能の互換性バージョンは、現在のバージョンから 1 つ前のバージョンまでの範囲です。 MongoDB 4.4の場合、FCV は 4.2
または4.4
になります。 暗号化されたクラスターからのみ暗号化されたスナップショットを作成できます。
MongoDB Ops Manager は、 MongoDB 4.2以降を実行中しているクラスターのバックアップスナップショットを暗号化しません。暗号化されたスナップショットは暗号化されたクラスターからのみ作成できるためです。
注意
MongoDB Ops Managerは、ローカルキーの暗号化を使用するデータベース配置からのクラスター スナップショットの作成をサポートしなくなりました。 ローカルキーの暗号化を使用してデータベース配置を暗号化すると、スナップショットは失敗します。 スナップショットを暗号化するには、データベース配置で KMIPベースの暗号化を使用します。
MongoDB Ops Managerは、ディスク上のバイトをホストのstorage.dbPath
から読み取りにコピーして配置のスナップショットを作成します。 バックアップしているホストでMongoDB Encryption at Rest を有効にしている場合、 MongoDB Ops Managerが読み取りにコピーするバイトはすでに暗号化されています。 MongoDB Ops Managerは、ホストのディスクにデータを書き込むときに、ストレージエンジンレイヤーでデータを暗号化します。
MongoDB Ops Managerコンポーネントは、スナップショット取得時にKMIPホストとやり取りしません。
重要
バックアップデーモン は、暗号化されたバックアップの クエリ可能な復元ジョブ を処理するために KMIP ホストへの接続が必要です。
前提条件
暗号化キーを生成および保存するためのKMIP準拠キー管理を実行するホスト。
重要
クラスターはKMIPサーバーを使用する必要があります。 これらのクラスターは、ファイルを使用するローカル キー管理をサポートしていません。
重要
ローテーションされたキーであっても、すべてのキーをKMIPホスト内で管理する必要があります。
MongoDB Ops Managerの KMIP ホスト構成を設定する
KMIP フィールドを完了します。
KMIP Server Configurationセクションで次のKMIPホスト フィールドを更新します。
KMIP ホストの FQDN を入力します。 | |
KMIPホストがKMIP接続をリッスンしているポートを入力します。 デフォルトの KMIP ポートは です5696 。 | |
MongoDB Ops Managerホスト上の証明機関ファイルの絶対パスを入力します。 これは、 KMIPホストに保存されている同じ認証局ファイルである必要があります。 |
KMIP を使用するようにプロジェクトを構成する
注意
プロジェクト内のすべての配置では、同じKMIPクライアント証明書ファイルを認証に使用します。
バックアップジョブの暗号化
暗号化されたスナップショットは、暗号化されたクラスターからのみ作成できます。 バックアップしているホストでMongoDB Encryption at Rest を有効にしている場合、 MongoDB Ops Managerが読み取りにコピーするバイトはすでに暗号化されています。