Ops Manager の構成設定
項目一覧
MongoDB Ops Manager は、MongoDB Ops Manager Application Database にグローバルに構成設定を保存するだけでなく、各サーバーにローカルに構成設定を保存します。グローバル設定はすべての Ops Manager サーバーに適用されます。ローカル設定は、それが構成されているサーバーに適用されます。サーバー上のローカル設定は、グローバル設定を上書きします。
ローカル設定は、サーバーの conf-mms.properties ファイルを通じて構成します。各サーバーの conf-mms.properties には、Ops Manager Application データベースにアクセスするための接続文字列と認証設定が含まれている必要があります。conf-mms.properties ファイルには、そのサーバーに固有のグローバル設定のオーバーライドも含まれます。
conf-mms.properties ファイルのロケーションは、以下の表に示すように、Ops Manager のインストール方法によって異なります。
インストール方法 | conf-mms.propertiesのロケーション |
|---|---|
|
|
|
|
ユーザー インターフェースによる初期設定のバイパス
最初のアカウントを作成した後、初期設定ウィザードをスキップして、 conf-mms.properties ファイルを編集するか、API を使用して Ops Manager を構成する場合は、次の設定を変更します。この設定は、Ops Manager インスタンスの配置を自動化する場合に役立ちます。
mms.ignoreInitialUiSetupタイプ: ブール値
これを
trueに設定すると、最初のユーザー アカウントで初期設定ウィザードを完了する必要なく、Ops Manager を完全に使用できるようになります。警告
Ops Manager は通常のプレフライト チェックを行い、必要な設定がすべて完了していることを確認します。これらの設定の 1 つ以上が
conf-mms.propertiesに含まれていない場合、Ops Manager は起動を拒否し、ログファイルに欠落しているフィールドをリストします。Ops Manager を起動する前に、基本的な Ops Manager 機能を有効にするために、次の必須設定を
conf-mms.propertiesに追加します。UI 設定conf-mms.properties設定必要性必須
なし
必須
必須
必須
必須
必須
必須
必須
必須
必須
任意
任意
任意
任意
任意
任意
任意
注意
任意とマークされたフィールドにはデフォルト値があります。これらを変更する場合は、設定と新しい値を指定できます。
例
以下の値はその例です。Ops Manager のインストールに適した値を代入します。この参照で指定されるその他の設定を追加することもできます。
最小限の機能で Ops Manager インストールを構成するには、次の設定を
conf-mms.propertiesに追加します。mms.ignoreInitialUiSetup=true mongo.mongoUri=mongodb://db1.example.com:27017,db2.example.com:27017,db3.example.com:27017 mms.centralUrl=http://localhost:8080 mms.fromEmailAddr=example@example.com mms.replyToEmailAddr=example@example.com mms.adminEmailAddr=example@example.com mms.mail.transport=smtp mms.mail.hostname=mail.example.com mms.mail.port=465
すべてのクラスターの表示
mms.allclusters.onlyMembershipタイプ: ブール値
デフォルト: False
すべてのクラスターの表示に、Ops Manager 管理者が属する配置のみを表示するか(値を
trueに設定)、管理者がアクセスできる配置のみを表示するか(値をfalseに設定)を決定します。
アプリケーション データベース接続
以下の設定は Ops Manager Application Database への Ops Manager 接続を構成します。この設定は、各 Ops Manager サーバーのconf-mms.propertiesファイルで構成する必要があります。 認証情報を暗号化するには、「ユーザー認証情報の暗号化」を参照してください。
mongo.mongoUri型: string
MongoDB Ops Manager Application Database にアクセスするために使用される接続文字列。該当する場合、接続文字列には、MongoDB Ops Manager Application Database 上で使用される
authentication mechanismの認証情報を含める必要があります。接続文字列のフォーマット方法は、以下により異なります。
バッキング データベースに配置したクラスターのタイプ
使用するプロトコル、そして
使用する認証方法。
データベースの バッキング インスタンス に レプリカセット を使用する場合、接続 string には、すべてのレプリカセット メンバーのホスト名または DNS シードリストのホスト名のいずれかが含まれることがあります。
標準の接続文字列を選択する場合は、レプリカセットのすべてのメンバーを URI に含めます。ポート番号を省略すると、Ops Manager はすべてのホストに対してデフォルトの 27017 ポートを使用します。
mongo.mongoUri=mongodb://mongod1.example.com:40000,mongod2.example.com:40000,mongod3.example.com:40000 ホスト名の前に MongoDB のユーザー名とパスワードを付け加えます。 ユーザー名とパスワードを次の形式で書き込みます:<username> <password>:{password>@
mongo.mongoUri=mongodb://mongodbuser1:password@mongod1.example.com:40000,mongod2.example.com:40000,mongod3.example.com:40000 注意
必要な MongoDB ロール
バッキング データベースを認証する MongoDB ユーザーは、次のロールを持っている必要があります。
データベースがシャーディングされたクラスターである場合は
clusterAdmin、そうでない場合はclusterMonitor
クライアント証明書は、
mongodb.ssl.PEMKeyFile設定で指定した PEMファイル内にあります。ホストの前 に MongoDB ユーザーとしてのクライアント証明書 からの サブジェクト の値を追加します。
指定されたポートに authMechanism=MONGODB-X 509 を追加します。
mongo.mongoUri=mongodb://<new_mongodb_user>@mongod1.example.com:40000,mongod2.example.com:40000,mongod3.example.com:40000/?authMechanism=MONGODB-X509 ホスト名の前に <username> :<password> @ の形式で MongoDB のユーザー名とパスワードを付け加えます。
認証メカニズムをauthMechanism=PLAIN &authSource=$externalの形式でポートに追加します。
mongo.mongoUri=mongodb://mongodbuser1:password@mongod1.example.com:40000,mongod2.example.com:40000,mongod3.example.com:40000/?authMechanism=PLAIN&authSource=$external ホスト名の前に Kerberos ユーザー プリンシパルを追加します。
Kerberos UPN を <username>@<KERBEROS REALM> として書込みます。URL でエンコードされた表現を使用して UPN をエスケープします。これにより、Kerberos のユーザー プリンシパル username@REALM.EXAMPLE.COM は username% 40 REALM.EXAMPLE.COM になります。
認証メカニズムを authMechanism=GSSAPI の形式でポートに追加します。
mongo.mongoUri=mongodb://username%40REALM.EXAMPLE.COM@mongod1.example.com:40000,mongod2.example.com:40000,mongod3.example.com:40000/?authMechanism=GSSAPI 注意
Kerberos 設定の変更
注意
Ops Manager では、URI に replicaSet オプションは必要ありません。
バージョン Ops の新機能: マネージャー 4.4.0
DNS シードリスト接続文字列を選択する場合は、データベースのバッキング インスタンス レプリカセットを記述する DNS SRV レコードを含めます。接続文字列は mongodb: プロトコルではなく mongodb+srv: プロトコルを使用します。
mongo.mongoUri=mongodb+srv://db.example.com:40000 ホスト名の前に MongoDB のユーザー名とパスワードを付け加えます。 ユーザー名とパスワードを次の形式で書き込みます:<username> <password>:{password>@
mongo.mongoUri=mongodb+srv:mongodbuser1:password@mongod.example.com:40000 注意
必要な MongoDB ロール
バッキング データベースを認証する MongoDB ユーザーは、次のロールを持っている必要があります。
データベースがシャーディングされたクラスターである場合は
clusterAdmin、そうでない場合はclusterMonitor
クライアント証明書は、
mongodb.ssl.PEMKeyFile設定で指定した PEMファイル内にあります。ホストの前 に MongoDB ユーザーとしてのクライアント証明書 からの サブジェクト の値を追加します。
指定されたポートに authMechanism=MONGODB-X 509 を追加します。
mongo.mongoUri=mongodb+srv:<new_mongodb_user>@mongod.example.com:40000/?authMechanism=MONGODB-X509 ホスト名の前に <username> :<password> @ の形式で MongoDB のユーザー名とパスワードを付け加えます。
認証メカニズムをauthMechanism=PLAIN &authSource=$externalの形式でポートに追加します。
mongo.mongoUri=mongodb+srv:mongodbuser1:password@mongod.example.com:40000/?authMechanism=PLAIN&authSource=$external ホスト名の前に Kerberos ユーザー プリンシパルを追加します。
Kerberos UPN を <username>@<KERBEROS REALM> として書込みます。URL でエンコードされた表現を使用して UPN をエスケープします。これにより、Kerberos のユーザー プリンシパル username@REALM.EXAMPLE.COM は username% 40 REALM.EXAMPLE.COM になります。
認証メカニズムを authMechanism=GSSAPI の形式でポートに追加します。
mongo.mongoUri=mongodb+srv:username%40REALM.EXAMPLE.COM@mongod.example.com:40000/?authMechanism=GSSAPI 注意
Kerberos 設定の変更
このオプションには、アプリケーションデータベースの DNS SRV レコードが必要です。DNS エントリは DNS シードリスト文字列形式を使用します。Ops Manager がこのアプリケーションデータベースに接続できることを確認してください。
以下も参照してください。
データベースのバッキング インスタンスにシャーディングされたクラスターを使用する場合、接続文字列にはすべての
mongosルーターのホスト名または DNS シードリストのホスト名のいずれかが含まれる場合があります。標準の接続文字列を選択する場合は、URI にすべてのシャードを含めます。ポート番号を省略すると、MongoDB Ops Manager により、すべてのホストに対してデフォルトの 27017 ポートが使用されます。
mongo.mongoUri=mongodb://mongos1.example.com:40000,mongos2.example.com:40000 ホスト名の前に MongoDB のユーザー名とパスワードを付け加えます。 ユーザー名とパスワードを次の形式で書き込みます:<username> <password>:{password>@
mongo.mongoUri=mongodb://mongodbuser1:password@mongos1.example.com:40000,mongos2.example.com:40000 注意
必要な MongoDB ロール
バッキング データベースを認証する MongoDB ユーザーは、次のロールを持っている必要があります。
データベースがシャーディングされたクラスターである場合は
clusterAdmin、そうでない場合はclusterMonitor
クライアント証明書は、
mongodb.ssl.PEMKeyFile設定で指定した PEMファイル内にあります。ホストの前 に MongoDB ユーザーとしてのクライアント証明書 からの サブジェクト の値を追加します。
指定されたポートに authMechanism=MONGODB-X 509 を追加します。
mongo.mongoUri=mongodb://<new_mongodb_user>@mongos1.example.com:40000,mongos2.example.com:40000/?authMechanism=MONGODB-X509 ホスト名の前に <username> :<password> @ の形式で MongoDB のユーザー名とパスワードを付け加えます。
認証メカニズムをauthMechanism=PLAIN &authSource=$externalの形式でポートに追加します。
mongo.mongoUri=mongodb://mongodbuser1:password@mongos1.example.com:40000,mongos2.example.com:40000/?authMechanism=PLAIN&authSource=$external ホスト名の前に Kerberos ユーザー プリンシパルを追加します。
Kerberos UPN を <username>@<KERBEROS REALM> として書込みます。URL でエンコードされた表現を使用して UPN をエスケープします。これにより、Kerberos のユーザー プリンシパル username@REALM.EXAMPLE.COM は username% 40 REALM.EXAMPLE.COM になります。
認証メカニズムを authMechanism=GSSAPI の形式でポートに追加します。
mongo.mongoUri=mongodb://username%40REALM.EXAMPLE.COM@mongos1.example.com:40000,mongos2.example.com:40000/?authMechanism=GSSAPI 注意
Kerberos 設定の変更
注意
Ops Manager では、URI に replicaSet オプションは必要ありません。
バージョン Ops の新機能: マネージャー 4.4.0
DNS シードリスト接続文字列を選択する場合は、DNS SRV レコードを含めます。このレコードには、データベースの基盤となるインスタンスのシャーディングされたクラスターが記述されています。接続文字列では、mongodb: プロトコルではなく、mongodb+srv: プロトコルが使用されます。
mongo.mongoUri=mongodb+srv://db.example.com:40000 ホスト名の前に MongoDB のユーザー名とパスワードを付け加えます。 ユーザー名とパスワードを次の形式で書き込みます:<username> <password>:{password>@
mongo.mongoUri=mongodb+srv:mongodbuser1:password@mongos.example.com:40000 注意
必要な MongoDB ロール
バッキング データベースを認証する MongoDB ユーザーは、次のロールを持っている必要があります。
データベースがシャーディングされたクラスターである場合は
clusterAdmin、そうでない場合はclusterMonitor
クライアント証明書は、
mongodb.ssl.PEMKeyFile設定で指定した PEMファイル内にあります。ホストの前 に MongoDB ユーザーとしてのクライアント証明書 からの サブジェクト の値を追加します。
指定されたポートに authMechanism=MONGODB-X 509 を追加します。
mongo.mongoUri=mongodb+srv:<new_mongodb_user>@mongos.example.com:40000/?authMechanism=MONGODB-X509 ホスト名の前に <username> :<password> @ の形式で MongoDB のユーザー名とパスワードを付け加えます。
認証メカニズムをauthMechanism=PLAIN &authSource=$externalの形式でポートに追加します。
mongo.mongoUri=mongodb+srv:mongodbuser1:password@mongos.example.com:40000/?authMechanism=PLAIN&authSource=$external ホスト名の前に Kerberos ユーザー プリンシパルを追加します。
Kerberos UPN を <username>@<KERBEROS REALM> として書込みます。URL でエンコードされた表現を使用して UPN をエスケープします。これにより、Kerberos のユーザー プリンシパル username@REALM.EXAMPLE.COM は username% 40 REALM.EXAMPLE.COM になります。
認証メカニズムを authMechanism=GSSAPI の形式でポートに追加します。
mongo.mongoUri=mongodb+srv:username%40REALM.EXAMPLE.COM@mongos.example.com:40000/?authMechanism=GSSAPI 注意
Kerberos 設定の変更
このオプションには、アプリケーションデータベースの DNS SRV レコードが必要です。DNS エントリは DNS シードリスト文字列形式を使用します。Ops Manager がこのアプリケーションデータベースに接続できることを確認してください。
以下も参照してください。
mongo.encryptedCredentialsタイプ: ブール値
mongo.mongoUriで暗号化された認証情報を使用するには、Ops Manager credentialstool で認証情報を暗号化し、それらをmongo.mongoUri設定に入力し、以下のようにこの設定をtrueにします。mongo.encryptedCredentials=true
Ops Manager Application Database への Kerberos 認証
mms.kerberos.keyTab型: string
Kerberos を使用する場合は必須です。プリンシパルのキータブ ファイルへの絶対パス。
mms.kerberos.keyTab=/path/to/mms.keytab
mms.kerberos.principal型: string
Kerberos を使用する場合は必須です。 MongoDB での認証に使用されるプリンシパル。 これは
mongo.mongoUriとまったく同じユーザーである必要があります。mms.kerberos.principal=mms/mmsweb.example.com@EXAMPLE.COM
jvm.java.security.krb5.conf型: string
任意。代替 Kerberos 構成ファイルへのパス。値は JVM の
java.security.krb5.confに設定されます。jvm.java.security.krb5.conf=/etc/conf/krb5.conf
アプリケーション データベースへの TLS/SSL 接続
mongo.sslタイプ: ブール値
trueに設定すると、Ops Manager Application データベースへの TLS接続が有効になります。
mongodb.ssl.PEMKeyFile型: string
X509 証明書と秘密キーを含む PEM ファイルの名前。MongoDB インスタンスが
--tlsCAFileオプションまたはnet.tls.CAFile設定で実行中の場合に必須です。MONGODB-X509認証メカニズムを使用して認証する場合は、mongoUri接続文字列にユーザー名としてこれを入力します。
オートメーション デフォルト パス
automation.default.backupAgentLogFile型: string
default:
/var/log/mongodb-mms-automation/backup-agent.logLinux/macOS 上のバックアップ ログのデフォルト パス。
automation.default.downloadBase型: string
デフォルト: /var/lib/mongodb-mms-automation
Linux/macOS 上のオートメーションによって管理される配置のモニタリング、バックアップ、および MongoDB バイナリのデフォルト パス。
automation.default.monitoringAgentLogFile型: string
default:
/var/log/mongodb-mms-automation/monitoring-agent.logLinux/macOS のモニタリング ログのデフォルト パス。
mms.agentCentralUrl型: string
レガシー モニタリングエージェントまたは MongoDB エージェントによるモニタリング データのプッシュに使用される MongoDB Ops Manager アプリケーションの FQDN。
設定されていない場合は、
mms.centralUrlの値を使用します。重要
Ops Manager Application に IPv6 アドレスを使用してアクセスする場合は、ポート番号と区別するために IPv6 アドレスを角括弧(
[ ])で囲む必要があります。以下に例を挙げます。
http://[2600:1f16:777:8700:93c2:b99c:a875:2b10]:8080
バックアップ
mms.alerts.BackupAgentConfCallFailure.maximumFailedConfCallsタイプ: 整数
default: 10
バックアップでこの回数を超える連続したテレカンの失敗が発生すると、MongoDB Ops Manager は次のグローバル アラートをトリガーします:
Backup has too many conf call failures。
mms.alerts.OutsideSpaceUsedThreshold.maximumSpaceUsedPercentタイプ: 整数
default: 85
ブロックストアが合計ディスク容量のこのパーセンテージ以上を使用している場合、Ops Manager は次のシステムアラートをトリガーします。
Blockstore space used exceeds threshold
mms.backupCentralUrl型: string
レガシー バックアップエージェントまたは MongoDB エージェントによるバックアップ データの送信に使用される MongoDB Ops Manager アプリケーションの FQDN。
設定されていない場合は、
mms.centralUrlの値を使用します。重要
Ops Manager Application に IPv6 アドレスを使用してアクセスする場合は、ポート番号と区別するために IPv6 アドレスを角括弧(
[ ])で囲む必要があります。以下に例を挙げます。
http://[2600:1f16:777:8700:93c2:b99c:a875:2b10]:8080
mms.backup.journal.headsタイプ: ブール値
デフォルト: False
ヘッドデータベースがジャーナリングを使用するかどうかを設定します。単一のバックアップ ジョブのヘッド データベースに対するジャーナリングを有効または無効にするには、「バックアップ ジョブの管理」を参照してください。
FCV
4.2以降では、ヘッドデータベースの代わりにバックアップカーソルをバックアップに使用します。
mms.backup.minimumOplogWindowHours型: float
default: 3
これは、oplog が記録するデータベース操作の最小時間数を設定します。
配置の oplog は、最後のスナップショット以降のリカバリ データを保持できる十分な大きさでなくてはなりません。この値を増やして、Ops Manager に oplog 容量をモニターさせます。この値は、
brs.snapshotSchedule.intervalの値を満たすかそれを超えるように設定する必要があります。値を
brs.snapshotSchedule.interval未満に設定すると、最後のスナップショットと oplog の終了の間に差が生じる可能性があります。 これにより、バックアップは復元に使用できなくなります。 古いバックアップジョブは、復元に使用する前に再同期する必要があります。
バックアップ スナップショット
backup.fileSystemSnapshotStore.gzip.compressionLevelタイプ: 整数
default: 6
Ops Manager がファイル システム ベースのスナップショットをどの程度圧縮するかを決定します。レベルの範囲は
0から9です。0では圧縮は提供されません。レベルが
1から9に上がるにつれてスナップショットの圧縮度は高まりますが、圧縮速度は低下します。レベル1では、スナップショットの圧縮度は最も低く、速度は最も速くなります。レベル9では、スナップショットの圧縮度は最も高く、速度は最も遅くなります。
注意
File System Store Gzip Compression Level を変更すると、新しいスナップショットにのみ影響します。既存のスナップショットの圧縮レベルには影響しません。
brs.restore.digest.method型: string
default: SHA1
復元アーカイブ ファイルの SHA1 チェックサム値を生成するかどうかを指定します。
使用可能な値は
SHA1またはNONEです。
brs.snapshotSchedule.intervalタイプ: 整数
default: 24
連続する 2 つのスナップショット間の時間を時間単位で指定します。
指定できる値は次のとおりです。
6、8、12、24のいずれか
brs.snapshotSchedule.retention.baseタイプ: 整数
default: 2
間隔スナップショットを保存する日数を指定します。 許容値は、
brs.snapshotSchedule.intervalの値によって異なります。許容値
<
242、3、4、または5。=
242,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30..Base Retention of Snapshotsに対応
brs.snapshotSchedule.retention.dailyタイプ: 整数
default: 0
日次スナップショットを保存する日数を指定します。
指定できる値は次のとおりです。
0,3,4,5,6,7,15,30,60,90,120,180or360.Daily Retention of Snapshotsに対応
brs.snapshotSchedule.retention.monthlyタイプ: 整数
default: 1
月次スナップショットを保存する月数を指定します。
指定できる値は次のとおりです。
0,1,2,3,4,5,6,7,8,9,10,11,12,13,18,24,36,48,60,72, and84
brs.snapshotSchedule.retention.weeklyタイプ: 整数
default: 2
週単位のスナップショットを保存する週数を指定します。
指定できる値は次のとおりです。
0,1,2,3,4,5,6,7,8,12,16,20,24, and52.Weekly Retention of Snapshotsに対応
brs.pitWindowInHoursタイプ: 整数
default: 24
特定の時点(PIT)から復元できる期間(時間単位)。
.PIT Windowに対応
backup.kmip.server.host型: string
デフォルト: なし
KMIP サーバーのホスト名を指定します。
MongoDB 4.2.1(および 4.0.14)以降では、カンマ区切りリストで複数の KMIP サーバーを指定できます。
重要
MongoDB 4.0.14 または 4.2.1 より前のバージョンでは、MongoDB Ops Manager では KMIP サーバーのホスト名リストにある最初の KMIP ホスト名のみが使用されます。
mms.backup.snapshot.maxSumFileForWorkersMBタイプ: 整数
default: 2048
スナップショットを取得するときに同時に保存されるファイルの最大累積サイズ(メガバイト単位)を設定します。
クエリ可能なスナップショット構成
brs.queryable.connecttimeoutタイプ: 整数
default: 30
タイムアウトする前にクエリ可能なスナップショット mongod インスタンスへの接続を待機する秒数。
Mongo .Connection Timeoutに対応
brs.queryable.lruCacheCapacityMBタイプ: 整数
default: 512
ユーザーが JVM ヒープからグローバル スナップショット キャッシュ用に割り当てるサイズ(メガバイト単位)。グローバル スナップショット キャッシュにより、クエリ可能なスナップショットに対して、同じスナップショット データへの繰り返しクエリが最適化されます。
重要
MongoDB では、MongoDB サポートから変更の指示がない限り、この値を変更することはお勧めしません。
brs.queryable.mounttimeoutタイプ: 整数
default: 60
タイムアウトする前に、クエリ可能なスナップショットが準備されるまで待機する秒数。
.Queryable Startup Timeoutに対応
brs.queryable.pem.pwd型: string
Proxy Server PEM Fileが暗号化されている場合は必須です。注意
Proxy Server PEM File Passwordを更新した後、変更を有効にするために Web サーバーを再起動します。
brs.queryable.pem型: string
クエリ可能なスナップショットを使用する場合は必須です。1 つ以上の信頼できる証明書と関連する秘密キーの完全な証明書チェーンを含む PEM ファイル。
Proxy Server PEM Fileには次の制限があります。この PEM ファイルは、MongoDB Ops Manager へのHTTPS接続に使用されるものとは異なる必要があります(
mms.https.PEMKeyFile)。この PEM ファイルでは、512 ビットを超えるキー長を使用する必要があります。2048 ビット RSA キーの使用が推奨されます。
この PEM ファイルでは、
sha256など、sha1よりも強力なメッセージ ダイジェストを使用する必要があります。
注意
Proxy Server PEM Fileを更新した後、変更を有効にするために Web サーバーを再起動します。
brs.queryable.proxyPortタイプ: 整数
default: 25999
クエリ可能なバックアップ ホストのポート。
注意
Proxy Server Portを更新した後、変更を有効にするために Web サーバーを再起動します。
brs.queryable.tls.disabledProtocols型: string
default: SSLv2Hello,SSLv3,TLSv1,TLSv1.1,TLSv1.3
クエリ可能なスナップショットと復元に対して無効になっているTLSプロトコル バージョン。
brs.queryable.tls.disabledCiphers型: string
default: TLS_DHE_RSA_WITH_AES_128_CBC_SHA,TLS_DHE_RSA_WITH_AES_128_CBC_SHA256,TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,TLS_DHE_RSA_WITH_AES_256_CBC_SHA,TLS_DHE_RSA_WITH_AES_256_CBC_SHA256,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
クライアントがクエリ可能なバックアップ ホストに接続するときに MongoDB Ops Manager インスタンスが受け入れられない TLS 暗号スイートのリスト。TLS 暗号スイート名は、カンマ区切りリストとして、エントリ間に空白を入れずに指定します。
診断アーカイブ
mms.admin.diagnostics.archiveDocCountLimitタイプ: 整数
default: 10000
MongoDB Ops Manager がアクティビティフィードから取得するエントリーの最大数。
mms.admin.diagnostics.archiveDocSizeLimitタイプ: 整数
default: 7
MongoDB Ops Managerがアクティビティ フィードから取得するデータの最大日数。
mms.admin.diagnostics.archiveDocAgeLimitタイプ: 整数
default: 7
MongoDB Ops Managerがアクティビティ フィードから取得するデータの最大日数。
メールアドレス
mms.fromEmailAddr型: string
MongoDB Ops Manager アラートなどの一般的なメールを送信するために使用されるメール アドレス。メール アドレスにエイリアスを含めることができます。
mms.fromEmailAddr=mms-alerts@example.com
mms.adminEmailAddr型: string
MongoDB Ops Manager 管理者のメール アドレス。このアドレスには、MongoDB Ops Manager の問題に関連するメールが送信されます。
mms.emailDaoClass型: string
default:
SIMPLE_MAILER使用する電メール インターフェース。
この設定は、ユーザー インターフェイスと構成ファイルで、異なる方法でラベル付けされます。
送信方法構成設定(mms.emailDaoClass)Amazon Web Services SES
AWS_MAILERSMTP
SIMPLE_MAILERこれを SMTP メール サーバーに設定する場合は、以下を設定する必要があります。
これを AWS Simple Email Service に設定する場合は、以下を設定する必要があります。
SMTP メール サーバー
条件付き。 mms.emailDaoClass を SIMPLE_MAILER に設定すると、次の設定が表示されます。
AWS Simple Email Service
条件付き。 mms.emailDaoClass を AWS_MAILER に設定すると、次の設定が表示されます。
aws.ses.endpoint型: string
default:
https://email.us-east-1.amazonaws.com送信API エンドポイントを 設定します Amazon Web ServicesSES 用の。
HTTP Proxy
http.proxy.portタイプ: 整数
ホストに接続したいポートを指定します。プロキシを使用するには、
Proxy PortとProxy Hostの両方を指定する必要があります。
Kubernetes Setup
kubernetes.templates.credentialsFilePath型: string
オブジェクト を作成または更新するための secret としての プログラマティック APIKubernetesKubernetesキー を含む YAML ファイルへのパスMongoDB Ops Manager プロジェクトの場合
このファイルは YAML 形式で、
/mongodb-ops-manager/ディレクトリに保存する必要があります。apiVersion: v1 kind: Secret metadata: name: organization-secret namespace: mongodb stringData: user: ${publicKey} publicApiKey: ${privateKey}
MongoDB バージョン管理
automation.versions.source型: string
default:
remoteMongoDB インストーラのバイナリのソースを表します。
automation.versions.sourceに指定できる値と、値を設定するために存在する必要がある条件は次のとおりです。値条件remoteMongoDB Ops Manager とエージェントはインターネットにアクセスできます。
hybridOps マネージャーはインターネットにアクセスできますが、エージェントはアクセスできません。Ops Manager は、MongoDB バイナリをインターネットからダウンロードします。エージェントは、Ops Manager からバイナリをダウンロードします。
localOps Manager もエージェントもインターネットにアクセスできません。MongoDB Ops Manager 管理者は、配置構築でインターネット アクセスを制限する」で説明されているように、バージョンマニフェストと MongoDB バイナリを Ops Manager ホストにアップロードする必要があります。
automation.versions.download.baseUrl型: string
デフォルト: mongodb.com、fastdl.mongodb.org
MongoDB バイナリを取得するための HTTP(S) エンドポイント。エンドポイントが HTTPS エンドポイントの場合、
httpsCAFileで指定された証明機関ファイルを使用して証明書が検証されます。automation.versions.download.baseUrlが設定されていない場合、mongodb バイナリのリモート URL は mongodb.com と fastdl.mongodb.org になります。
automation.versions.download.baseUrl.allowOnlyAvailableBuildsタイプ: ブール値
デフォルト: True
trueに設定すると、Ops Manager は指定できる MongoDB バージョンを、配置で使用可能なバージョンに制限します。この設定は、
automation.versions.download.baseUrlがカスタム値で設定されている場合にのみ適用されます。
automation.versions.directory型: string
default:
/opt/mongodb/mms/mongodb-releases/Ops Manager が MongoDB バイナリを保存する Ops Manager アプリケーション サーバー上のディレクトリを指定します。オートメーションは、配置に MongoDB のバージョンをインストールまたは変更する際にバイナリにアクセスします。
Version Manifest SourceLocalモードで実行するように設定すると、バックアップデーモンもこのディレクトリから MongoDB バイナリにアクセスします。詳細については、「配置構築でインターネット アクセスを制限する」を参照してください。
mongodb.release.autoDownloadタイプ: ブール値
デフォルト: True
バックアップデーモンが必要とするバージョンの MongoDB を、バックアップデーモンが自動的にインストールするかどうかを示すフラグ。
trueデーモンはインターネット経由で MongoDB Inc. からバイナリを取得します。
falseバックアップデーモンはインターネットにアクセスできないため、Ops Manager 管理者は、バックアップデーモンが必要とする MongoDB リリースのすべてのアーカイブ バージョンを手動でダウンロードして抽出する必要があります。管理者は、抽出したバイナリを Ops Manager ホスト上の
Versions Directoryに配置する必要があります。警告
Ops Manager がローカル モード
で実行されている場合は、falseに設定します。
mongodb.release.autoDownload.enterpriseタイプ: ブール値
バックアップデーモンが必要とするバージョンの MongoDB の エンタープライズ エディションを、バックアップデーモンが自動的にインストールするかどうかを示すフラグ。
mongodb.release.autoDownloadをtrueに設定する必要があります。警告
Linux ホストでMongoDB Enterpriseを実行する場合は、MongoDB をインストールする前に、各ホストに一連の依存関係を手動でインストールする必要があります。 MongoDB マニュアルには、依存関係をインストールするための適切なコマンドが記載されています。
「配置構築でインターネット アクセスを制限する」を参照してください。
mongodb.release.modulePreference型: string
バックアップに MongoDB Community バイナリを使用するか、エンタープライズ バイナリを使用するかを指定します。
指定できる値は次のとおりです。
enterprisePreferredenterpriseRequiredcommunityRequired
enterpriseRequiredまたはcommunityRequiredが選択されると、Ops Manager はバックアップにそれらのバイナリのみを使用します。enterprisePreferredを選択すると、Ops Manager は、使用可能な場合はエンタープライズ バイナリを使用し、使用できない場合はコミュニティ バイナリを使用します。注意
enterpriseRequiredを選択した場合、mongodb.release.autoDownload.enterpriseをtrueに設定するか、エンタープライズ バイナリをローカル モードでautomation.versions.directoryに手動で配置する必要があります。警告
enterpriseRequiredまたはcommunityRequiredのいずれかが選択されている場合、バックアップは失敗しますが、automation.versions.directoryに必要なバイナリが含まれていません。
MongoDB の使用法
mms.mongoDbUsage.defaultUsageType型: string
デフォルト: 本番環境サーバー
この Ops Manager インスタンスが管理するすべてのエンタープライズ プロセスの、デフォルトの MongoDB Enterprise サーバー タイプ。
次の表は、使用可能なサーバー タイプの値と、それぞれに必要なライセンスの数を示しています。
サーバーの意図環境目的ライセンス要件本番環境サーバー
社内または社外のエンド ユーザー向けにアプリケーションをホストします。
エンド ユーザーが環境を使用する可能性がある場合、その環境は本番環境として機能します。これは、その環境がテスト、品質保証、評価、または開発機能のいずれを提供していても、適用されます。
サーバーごとに 1 つのライセンス
テスト/QAサーバー
このタイプの環境は、次の目的で使用できます。
テスト
アプリケーションを実行して、設計どおり、期待どおりに動作することを確認します。プラットフォーム構成は、コンピューティング、ネットワーク、ストレージ機能において、本番環境のパフォーマンスが低いバージョンとなることがあります。
システム品質の保証
本番環境をシミュレートするように構成されたデータ、ハードウェア、ソフトウェアの組み合わせに対してアプリケーションを検証します。プラットフォーム構成は、コンピューティング、ネットワーク、およびストレージ機能の点で、小規模の本番環境でなくてはなりません。
ステージ
パフォーマンス テストやリリース候補の承認を含む本番環境をシミュレートします。プラットフォーム構成は、コンピューティング、ネットワーク、およびストレージ機能において本番環境と同じでなくてはなりません。
サーバーごとに 1 つのライセンス
開発サーバー
アプリケーションの設計、コーディング、デバッグ、またはそれらの組み合わせが進行中のホスト。アプリケーションの現在の状態を別の環境に昇格できるかどうかを評価するために使用されます。
なし
RAM プール
あらゆる環境の目的に合わせて、サーバーの自由な組み合わせを提供します。
任意の数のサーバーに対して 1 つのライセンス(これらのサーバー間で購入した RAM の合計 GB の最大数まで)。
バッキング データベース
MongoDB Ops Manager のバッキング データベースをホストします。このオプションを有効にするには、アプリケーション データベースのモニタリングを有効にします。
なし
モニタリング
mms.agentCentralUrl型: string
レガシー モニタリングエージェントまたは MongoDB エージェントによるモニタリング データのプッシュに使用される MongoDB Ops Manager アプリケーションの FQDN。
設定されていない場合は、
mms.centralUrlの値を使用します。重要
Ops Manager Application に IPv6 アドレスを使用してアクセスする場合は、ポート番号と区別するために IPv6 アドレスを角括弧(
[ ])で囲む必要があります。以下に例を挙げます。
http://[2600:1f16:777:8700:93c2:b99c:a875:2b10]:8080
フェイルオーバーのモニタリング
複数の MongoDB エージェントでモニタリング機能を有効にして、モニタリングの割り当てを分散し、フェイルオーバーを提供できます。MongoDB Ops Manager は、最大 100 の実行中の MongoDB エージェントにモニタリング割り当てを分散します。アクティブなモニタリング モニターを実行中の各 MongoDB エージェントは、MongoDB プロセスの異なるセットをモニタリングします。プロジェクトごとにアクティブなモニタリングを実行する 1 つの MongoDB Agent が、プライマリ モニターになります。プライマリ モニターはクラスターのステータスを MongoDB Ops Manager に報告します。MongoDB エージェントでモニタリングが有効または無効になると、MongoDB Ops Manager は割り当てを再度分散します。プライマリ モニターに障害が発生した場合、MongoDB Ops Managerは、アクティブなモニタリングを実行中の別の MongoDB エージェントを、プライマリ モニターとして割り当てます。
以下の設定は、MongoDB Ops Manager がモニタリングにアクセスできないかどうかを判断する間隔と、スタンバイ エージェントが MongoDB Ops Manager をポーリングしてモニタリング割り当てを受信するかどうかを判断する頻度を調整します。
Ops Manager 管理 API
mms.publicApi.whitelistEnabledタイプ: ブール値
特定の API 呼び出しでは、リクエストがアクセス リスト内の IP アドレスから発信される必要があります。この要件をオフにするには、この設定を追加し、その値を
falseに設定します。
プッシュ ライブ移行
mms.pushLiveMigrations.mmsUi.centralUrl型: string
MongoDB Ops Manager から Atlas へのライブ移行のベース URL(
https://cloud.mongodb.comなど)。
mms.pushLiveMigrations.syncJobs.enabledタイプ: ブール値
trueに設定すると、MongoDB Ops Manager で次のようなライブ移行プロセスに関する情報をリクエストできます。ライブ移行のソースとして使用できるプロジェクトと配置のリスト。
それぞれの配置およびプロジェクトでライブ移行を円滑化できる、利用可能な構成済み移行ホストのリスト。
Atlas でのライブ移行の現在の実行状況。
MongoDB Ops Manager はこの情報を使用して、ライブ移行プロセスを円滑化します。デフォルトは
trueです。
mms.pushLiveMigrations.updateJob.intervalSecondsタイプ: ブール値
同期が更新される間の繰り返しの間隔(秒単位)。MongoDB Ops Manager と Atlas の間で組織のプロジェクト情報の同期が定期的に行われます。デフォルトの同期間隔は
60です。MongoDB Ops Manager では、同期の更新が 10 ~ 43200 秒(12 時間)の間隔で発生すると想定されています。同期更新の実際の間隔が 43200 秒を超える場合、または検証フェーズ中の同期更新間の実際の間隔が 1800 秒(30 分)を超えると、Atlas へのライブ移行が停止したり、タイムアウトしたり、失敗したりすることがあります。注意
この設定を更新した後、変更を有効にするためにウェブ サーバーを再起動します。
mms.pushLiveMigrations.updateJob.cooldownSecondsタイプ: ブール値
組織のプロジェクトの情報同期リフレッシュの間隔(秒)。同期更新のデフォルトの間隔は
10です。MongoDB Ops Manager では、同期の更新が 10 ~ 43200 秒(12 時間)の間隔で発生すると想定されています。連続同期の実際の間隔が 43200 秒を超える場合、Atlas へのライブ移行が停止したり、タイムアウトしたり、失敗したりすることがあります。注意
この設定を更新した後、変更を有効にするためにウェブ サーバーを再起動します。
mms.pushLiveMigrations.fetchJob.intervalSecondsタイプ: ブール値
Atlas からのライブ移行プランの更新を同期するための繰り返しの間隔 (秒単位)。このプランには、Atlas の移行プロセスの手順が一覧表示されます。MongoDB Ops Manager は定期的に Atlas から現在のプランを取得して進捗状況を確認します。この情報がないと、MongoDB Ops Manager はライブ移行プロセスを次の段階に進めません。
デフォルトの同期間隔は
60です。MongoDB Ops Manager では、同期の更新が 10 ~ 43200 秒(12 時間)の間隔で発生すると想定されています。連続同期の実際の間隔が 43200 秒を超える場合、Atlas へのライブ移行が停止したり、タイムアウトしたり、失敗したりすることがあります。注意
この設定を更新した後、変更を有効にするためにウェブ サーバーを再起動します。
mms.automation.agentFeatures.migrationHosts.canManageDeploymentsタイプ: ブール値
ユーザー インターフェイスのProjects の下の Add new deployment ビューにライブ移行ホストを使用可能なエージェントとして表示するかどうかを示します。デフォルトは
falseです。
以下も参照してください。
セキュリティ
mms.security.disableBrowserCachingタイプ: ブール値
デフォルト: False
trueの場合、MongoDB Ops Manager はすべての HTTP 応答をキャッシュ不可にします。
mms.security.hstsMaxAgeSecondsタイプ: 整数
デフォルト: 0(HTTP または HTTPS を使用できます。)
MongoDB Ops Manager で、ブラウザ接続に HTTPS を使用できる制限時間(秒単位)。この値は正の整数である必要があります。値が
0であれば、HTTP か HTTPS を使用できます。以下も参照してください。
HSTS の配置方法については、HTTP Strict Transport Security、RFC 6797、hstspreload.org を参照してください。
SNMP
SNMP ラップの構成
MongoDB Ops Managerは、 コミュニティベースの SNMPv2 (SNMPv2 c)を使用します。
重要
MongoDB Ops Manager 6.0.0 はSNMPアラートを廃止します。 MongoDB Ops Manager 7.0.0 にはSNMPアラートは含まれません。 その他のアラート オプションの詳細については、「サードパーティ サービスの統合 」を参照してください。
MongoDB Ops Managerアプリケーションは、次の 2 種類のSNMPマップを使用して構成できます。
ラップ タイプ | 内容 | 頻度 | ターゲット |
|---|---|---|---|
ハートビート | MongoDB Ops Managerアプリケーションの内部健全性評価 | ユーザー セット | 1 つ以上のエンドポイント |
アラート | ユーザー セット | 1 つ以上のエンドポイント |
SNMPv2c ハートビートまたはアラート ラップを送信するようにMongoDB Ops Managerアプリケーションを構成するには、次の手順に従います。
SNMPv 2 cgroups を構成するには次の手順に従います。
SNMP 設定
重要
MongoDB Ops Manager 6.0.0 はSNMPアラートを廃止します。 MongoDB Ops Manager 7.0.0 にはSNMPアラートは含まれません。 その他のアラート オプションの詳細については、「サードパーティ サービスの統合 」を参照してください。
snmp.community型: string
デフォルト: public
SNMPv 2 c アラートラップ とSNMP バージョン2 c ハートビートラップ に適用されます。
SNMP用のSNMPコミュニティは、 MongoDB Ops Managerアプリケーションが送信する をキャプチャします。
snmp.default.hosts型: string
default: blank
SNMP v 2 c ハートビート ラップに適用されます。
MongoDB Ops Manager が標準UDPポート162で「ハートビート」ラップを送信するホストのコンマ区切りリスト。
snmp.default.hostsSNMP ハートビート機能を有効にするには、 を設定する必要があります。この設定を空白のままにすると、 MongoDB Ops ManagerはSNMPハートビート機能を無効にします。
非均一メモリ アクセス (NUMA)
mongodb.disable.numaタイプ: ブール値
ヘッドデータベースの NUMA を無効にするには、次の値を使用してカスタム設定の変更手順に従います。
Key
mongodb.disable.numaValue
trueNUMA の詳細については、MongoDB プロダクション ノートの「MongoDB と NUMA ハードウェア」を参照してください。
重要
バックアップデーモンが有効になっている各 MongoDB Ops Manager インスタンスには、
numactlサービスがインストールされている必要があります。numactlがインストールされておらず、この設定がtrueに設定されている場合、バックアップジョブは失敗します。FCV
4.2以降では、 ヘッドデータベース の代わりに バックアップカーソル を使用します。詳細については、「バックアップデーモン サービス 」を参照してください。
サードパーティ統合
Datadog 統合
datadog.api.url型: string
default:
https://api.datadoghq.com/api/v1Ops Manager が Datadog API にアクセスするために使用するURL。
Datadog をローカルに配置している場合は、このカスタム パラメータを有効にします。これを、導入環境に適した値に設定します。
以下も参照してください。
この設定を追加する方法については、「カスタム設定の変更」を参照してください。
Opsgenie Integration
opsgenie.api.url型: string
default:
https://api.opsgenie.com/v2/alertsMongoDB Ops Manager がヨーロッパ諸国で Ops Genie API にアクセスするために使用する URL。
MongoDB Ops Manager インスタンスがヨーロッパで実行される場合は、このカスタム パラメータを有効にします。次に、その値を
https://api.eu.opsgenie.com/v2/alertsに設定します。詳細については、 Opsgenie Alert ドキュメントを参照してください。
以下も参照してください。
この設定を追加する方法については、「カスタム設定の変更」を参照してください。
Twilio の統合
SMS または 2FA コードでアラート通知を受け取るには、Twilio のアカウントが必要です。
twilio.account.sid型: string
Twilio アカウントID。
ユーザー認証
mms.email.validation型: string
デフォルト: false
MongoDB Ops Manager でユーザー名をメールアドレスにする必要があるかどうかを決定します。
値説明false(デフォルト)ユーザー名はメールアドレスである必要はありません。
looseユーザー名には、
@記号とそれに続くピリオドを含める必要があります。strictユーザー名は、厳格なメールアドレス検証の正規表現に準拠する必要があります。
strictに設定されている場合、MongoDB Ops Manager は次の正規表現を使用して、メールアドレスが3 RFC-3696 のセクション に記載されている要件に準拠していることを検証します。^[a-z0-9!#$%&'*+/=?^_`{|}~-]+(?:\.[a-z0-9!#$%&'*+/=?^_`{|}~-]+)*@(?:[a-z0-9](?:[a-z0-9-]*[a-z0-9])?\.)+[a-z0-9](?:[a-z0-9-]*[a-z0-9])?$ 例
jane.smith@example.comは有効です。jane.smith@ex@mple.comは有効ではありません。
mms.userSvcClass型: string
default:
com.xgen.svc.mms.svc.user.UserSvcDb認証資格情報を MongoDB Ops Manager アプリケーション データベースに保存するか、LDAP ディレクトリに保存するかを選択します。
指定できる値は次のとおりです。
認証方法許容値アプリケーション データベース
UserSvcDb重要: MongoDB Ops Manager 6.0 では、許容値は
com.xgen.svc.mms.svc.user.UserSvcDbです。 この古い許容値を使用すると、MongoDB Ops Managerインスタンスはプレフライト チェック中に起動しません。LDAP
com.xgen.svc.mms.svc.user.UserSvcLdapSAML
com.xgen.svc.mms.svc.user.UserSvcSaml
MongoDB Ops Manager Application Databaseによる認証
mms.password.maxDaysInactiveBeforeAccountLockタイプ: 数値
MongoDB Ops Manager がアカウントをロックするまでに MongoDB Ops Manager のウェブサイトにアクセスしない最大日数。
mms.password.maxFailedAttemptsBeforeAccountLockタイプ: 数値
アカウントがロックされるまでにログインに失敗した回数。ロックされたアカウントのロックを解除できるのは、MongoDB Ops Manager 管理者だけです。
mms.login.ratelimit.attemptsAllowedタイプ: 数値
特定の IP アドレスのユーザーがタイムアウト期間中に試行できるログインの数。この設定は
Login Attempts Timeout Periodと一緒に構成する必要があります。
mms.login.ratelimit.lockedPeriodMinutesタイプ: 数値
この設定では、次の項目を指定します。
ログイン試行回数が多すぎるかどうかを判断するために使用される期間 (分単位)。
ログインを再開する前にアカウントがロックされる期間。
この設定は
Login Attempts Allowed Before Timeoutと一緒に構成する必要があります。重要
ドロップダウン メニューには、この設定で使用可能な値のみがリストされます。 ドロップダウンにリストされていない値を
conf-mms.propertiesファイルまたはローカル データベースに設定しようとすると、 MongoDB Ops Managerインスタンスの再起動時にエラーが発生します。
mms.user.invitationOnlyタイプ: ブール値
true の場合、新しいユーザーは招待によってのみ登録できます。招待状には、登録リンクを表示する URL が記載されます。false の場合、新しいユーザーは MongoDB Ops Manager URL があれば登録できます。
LDAP による認証
これらの設定により、MongoDB Ops Manager は認証に LDAP サーバーを使用するように構成されます。LDAP 認証を使用する場合、MongoDB Ops Manager にログインするには、ユーザーが LDAP グループに属している必要があります。MongoDB Ops Manager ユーザー ロールごとに LDAP グループを作成する必要があります。
mms.ldap.global.role で始まる設定では、指定された LDAP グループのノードに Ops Manager のグローバル ロールが割り当てられます。LDAP User Group設定で指定された LDAP 属性で使用される形式でグループを指定します。複数のグループを指定するには、区切り文字 ;; を使用します。デフォルトの区切り文字を変更するには、mms.ldap.group.separator 設定を使用します。MongoDB Ops Manager グローバル ロールは、配置内のすべての MongoDB Ops Manager プロジェクトに、各ロールに応じたレベルのアクセス権を提供します。特定のグループにアクセス権を付与するには、グループ レベルのロールを使用します。
mms.ldap.global.role.automationAdmin型: string
Ops Manager で、グローバル オートメーション管理者ロールを持つノードが含まれる LDAP グループ。
LDAP User Group設定で指定された LDAP 属性で使用される形式を使用してプロジェクトを指定します。複数のプロジェクトを区切り文字;;で指定できます。デフォルトの区切り文字を変更するには、mms.ldap.project.separator設定を使用します。mms.ldap.global.role.automationAdmin=CN\=MMS-AutomationAdmin,OU\=MMS,OU\=acme Groups,DC\=acme,DC\=example,DC\=com 各 MongoDB Ops Manager グローバル ロールは、配置内のすべての MongoDB Ops Manager プロジェクト へのアクセス権レベルを提供します。特定のプロジェクトへのアクセスを提供するには、グループ レベルのロールを使用します。
mms.ldap.global.role.backupAdmin型: string
MongoDB Ops Manager でグローバル バックアップ管理者ロールを持つノードが含まれる LDAP グループ。
mms.ldap.global.role.backupAdmin=CN\=MMS-BackupAdmin,OU\=MMS,OU\=acme Groups,DC\=acme,DC\=example,DC\=com
mms.ldap.global.role.monitoringAdmin型: string
MongoDB Ops Manager で グローバル モニタリング管理者ロールを持つノードが含まれる LDAP グループ。
mms.ldap.global.role.monitoringAdmin=CN\=MMS-MonitoringAdmin,OU\=MMS,OU\=acme Groups,DC\=acme,DC\=example,DC\=com
mms.ldap.global.role.owner型: string
MongoDB Ops Manager の配置に対する完全な権限と、MongoDB Ops Manager の全プロジェクトへの完全なアクセス権およびすべての管理権限をを持つ LDAP グループ。指定された LDAP グループ内のユーザーには、MongoDB Ops Manager でグローバル所有者ロールが付与されます。
LDAP User Group設定で指定された LDAP 属性で使用される形式を使用してプロジェクトを指定します。mms.ldap.global.role.owner=CN\=MMSGlobalOwner,OU\=MMS,OU\=acme Groups,DC\=acme,DC\=example,DC\=com
mms.ldap.global.role.readOnly型: string
Ops Manager でグローバル読み取り専用ロールを持つノードが含まれるLDAP グループ。
mms.ldap.global.role.readOnly=CN\=MMS-ReadOnly,OU\=MMS,OU\=acme Groups,DC\=acme,DC\=example,DC\=com
mms.ldap.global.role.userAdmin型: string
MongoDB Ops Manager でグローバル ユーザー管理者ロールを持つノードが含まれる LDAP グループ。
mms.ldap.global.role.userAdmin=CN\=MMS-UserAdmin,OU\=MMS,OU\=acme Groups,DC\=acme,DC\=example,DC\=com
mms.ldap.group.baseDn型: string
デフォルト:
LDAP User Base Dn値MongoDB Ops Manager がグループを検索するために使用する基本識別名 (DN)。空白のままにすると、この設定はデフォルト値を使用します。
mms.ldap.group.baseDn=OU\=groups,DC\=acme,DC\=com
mms.ldap.group.member型: string
ユーザー識別名(DN)を含むグループ エントリのフィールド。 The groupOfNames または groupOfUniqueNames オブジェクト クラスは一般的に使用されます。
mms.ldap.group.member=member
mms.ldap.group.separator型: string
default:
;;LDAP の区切り文字を設定するには、次の値を使用してカスタム設定の変更手順を行います。
Key
mms.ldap.group.separatorValue
<desired-separator>各グローバル ロールの値は、区切られたプロジェクトのリストを受け取ります。
"dbas,sysadmins" グループ値に区切り文字が含まれている場合は、区切り文字を別の値に設定する必要があります。
例
グループ値が
"CN\=foo,DN\=bar"で、区切り文字が,の場合、MongoDB Ops Manager は"CN\=foo,DN\=bar"を 1 つのグループの説明としてではなく、2 つの要素として解析します。
mms.ldap.referral型: string
リファーラルの処理方法を設定するために使用される LDAP フィールド。次の 2 つの値を受け入れます。
ignore: 紹介を無視します。follow: 紹介を自動的にフォローします。
mms.ldap.ssl.CAFile型: string
信頼できる PEM 形式の証明書を1 つ以上含むファイル。LDAPS を使用し、さらにサーバーで既知の証明機関が発行した以外の証明書が使用されている場合、この設定を使用します。
mms.ldap.ssl.CAFile=/opt/CA.pem
mms.ldap.ssl.PEMKeyFile型: string
クライアント証明書と秘密キーを含むファイル。TLS/SSL LDAP サーバーでクライアント証明書が必須な場合に、この設定を使用します。
mms.ldap.ssl.PEMKeyFile=/opt/keyFile.pem
mms.ldap.ssl.PEMKeyFilePassword型: string
LDAP SSL PEM Key Fileのパスワード。PEMKeyFileが暗号化されている場合、この設定を使用します。mms.ldap.ssl.PEMKeyFilePassword=<password>
mms.ldap.url型: string
LDAP サーバーまたは LDAPS サーバーの URI。
mms.ldap.url=ldaps://acme-dc1.acme.example.com:3890
mms.ldap.user.baseDn型: string
MongoDB Ops Manager がユーザーを検索するために使用する基本識別名 (DN)。
=記号を\でエスケープします。mms.ldap.user.baseDn=DC\=acme,DC\=example,DC\=com
mms.ldap.user.email型: string
default:
mailper RFC2256ユーザーのメール アドレスを含む LDAP ユーザー属性。LDAP 認証が成功すると、MongoDB Ops Manager は指定された LDAP 属性を MongoDB Ops Manager ユーザー レコードのメール アドレスと同期します。
mms.ldap.user.email=mail
mms.ldap.user.firstName型: string
default:
givenNameper RFC2256ユーザーの名(first name)を含む LDAP ユーザー属性。LDAP 認証が成功すると、MongoDB Ops Manager では指定された LDAP 属性を MongoDB Ops Manager のユーザー レコードから取得したユーザーの名と同期します。
mms.ldap.user.firstName=givenName
mms.ldap.user.group型: string
ユーザーが属する LDAP グループのリストを含む LDAP ユーザー属性。LDAP 属性では、コモン ネーム(
cn)や識別名(dn)など、任意の形式を使用してプロジェクトを一覧表示できます。この構成ファイルでプロジェクトを指定する Ops Manager 設定は、選択した形式と一致する必要があります。重要
MongoDB Ops Manager では
mms.ldap.user.groupが非推奨になりました。mms.ldap.group.memberを使用します。次の値を指定する場合
mms.ldap.user.groupとmms.ldap.group.memberの両方で、MongoDB Ops Manager はmms.ldap.group.memberを使用し、mms.ldap.user.groupを無視します。mms.ldap.user.groupのみ、MongoDB Ops Manager はネストされた LDAP グループ内のユーザーのメンバーシップを認識しません。
mms.ldap.user.group=memberOf
mms.ldap.user.lastName型: string
default:
surnameper RFC2256ユーザーの姓を含む LDAP ユーザー属性。LDAP 認証が成功すると、MongoDB Ops Manager は指定された LDAP 属性を MongoDB Ops Manager のユーザー レコードから取得したユーザーの姓と同期します。
mms.ldap.user.lastName=sn
mms.ldap.user.searchAttribute型: string
LDAP 検索に使用される LDAP フィールド。通常、ユーザー名またはメール アドレスです。このフィールドの値は、MongoDB Ops Manager のユーザー名としても使用されます。
mms.ldap.user.searchAttribute=<myAccountName>
SAML による認証
mms.saml.idp.uri型: string
シングルサインオンの調整に使用される ID プロバイダー(IdP)の URI。EntityId または ID プロバイダー発行者と呼ばれることもあります。
mms.saml.slo.url型: string
ユーザーがログアウトしようとしたときに MongoDB Ops Manager で呼び出されるシングル ログアウト エンドポイントの URL。これが設定されている場合、ユーザーが Ops Manager からログアウトしようとすると、IdP からもログアウトさせられます。空白のままにすると、ユーザーが Ops Manager からログアウトしても IdP セッションからログアウトさせられることはありません。
mms.saml.ssl.PEMKeyFile型: string
SP がリクエストに署名するために使用する証明書の PEM ファイルへの絶対パス。秘密キーと公開キーが両方含まれます。これが空白のままだと、MongoDB Ops Manager による IdP への SAML 認証リクエストへの署名が行われないため、SAML アサーションを暗号化できません。
mms.saml.signature.algorithm型: string
IdP との間で送受信される署名を暗号化するアルゴリズム。
Select an Algorithm メニューには、次の5つの選択肢があります。
rsa-sha1dsa-sha1rsa-sha256rsa-sha384rsa-sha512
mms.saml.global.role.owner型: string
SAML グループ ノード属性内のグループ。このグループのノードには、この配置に対してすべてのグループへの完全なアクセス権およびすべての管理権限を含む、完全な権限が付与されます。
mms.saml.global.role.automationAdmin型: string
SAML グループ ノード属性内のグループ。このグループのノードには
Global Automation Adminロールが付与されます。
mms.saml.global.role.backupAdmin型: string
SAML グループ ノード属性内のグループ。このグループのノードには
Global Backup Adminロールが付与されます。
mms.saml.global.role.monitoringAdmin型: string
SAML グループ ノード属性内のグループ。このグループのノードには
Global Monitoring Adminロールが付与されます。
mms.saml.global.role.userAdmin型: string
SAML グループ ノード属性内のグループ。このグループのノードには
Global User Adminロールが付与されます。
mms.saml.global.role.readOnly型: string
SAML グループ ノード属性内のグループ。このグループのノードには
Global Read Onlyロールが付与されます。
多要素認証(MFA)
mms.multiFactorAuth.level型: string
デフォルト: オフ
2 要素認証の「レベル」を設定します。
設定説明OFF2要素認証を無効にします。MongoDB Ops Manager は 2 要素認証を使用しません。
OPTIONALユーザーは、MongoDB Ops Managerアカウントに 2 要素認証を設定することを選択できます。
REQUIRED_FOR_GLOBAL_ROLESグローバル ロールを持つユーザーは、2 要素認証を設定する必要があります。2 要素認証は、他のすべてのユーザーにとっては任意です。
REQUIREDすべてのユーザーは、MongoDB Ops Manager アカウントに 2 要素認証を設定する必要があります。
MongoDB Ops Manager の配置のセキュリティのために、2 要素認証を推奨します。
警告
構成ファイルを通じて
mms.multiFactorAuth.levelを有効にする場合は、構成ファイルを更新する前にまずユーザー アカウントを作成する必要があります。そうしないと、MongoDB Ops Manager にログインできません。注意
Twilio 統合を有効にする場合 (任意)、MongoDB Ops Manager サーバーが
twilio.comドメインにアクセスできることを確認します。
mms.multiFactorAuth.allowResetタイプ: ブール値
デフォルト: False
trueの場合、MongoDB Ops Manager では、パスワードをリセットするのと同様の方法で、ユーザーがメールを介して 2 要素認証設定をリセットできます。2 要素認証をリセットするには、ユーザーは以下を行う必要があります。
ユーザーアカウントに関連付けられたアドレスでメールを受信できるようになります。
ユーザーアカウントのパスワードが分かっています。
APIユーザーが属する各MongoDB Ops Manager プロジェクトの エージェント キー を知っている。
mms.multiFactorAuth.issuer型: string
Google Authenticator が 2 要素認証を提供する場合、この文字列は Google Authenticator アプリの
issuerになります。空白のままにした場合、issuerは MongoDB Ops Manager インストールのドメイン名になります。
mms.multiFactorAuth.requireタイプ: ブール値
デフォルト: False
trueの場合、MongoDB Ops Manager は、ユーザーがログインしたり、アプリケーション内で特定の破壊的な操作を実行したりするために 2 要素認証を要求します。Twilio 統合を構成すると、ユーザーは Google Authenticator、SMS、または音声通話を介して 2 要素トークンを取得できます。それ以外の場合、2 要素認証を提供する唯一のメカニズムは Google Authenticator です。
reCaptcha とセッションの長さ
reCaptcha.enabled.registrationタイプ: ブール値
デフォルト: false
新しいユーザーが MongoDB Ops Manager の使用を登録するときに、reCaptcha 検証を使用して自分自身を検証することを望んでいることを示すインジケーター。
truereCaptcha が必要な場合は に設定 新しいユーザーが登録したときの検証。この設定には reCaptcha アカウントが必要です。
reCaptcha.enabledタイプ: ブール値
デフォルト: false
ユーザーが MongoDB Ops Manager にログインするときに、reCaptcha 検証を使用して自分自身を検証する必要があることを示すインジケーター。
truereCaptcha が必要な場合は に設定 ユーザがログインするときの検証。この設定には reCaptcha アカウントが必要です。
ReCaptcha Enabledに対応します。
Web Server
mms.centralUrl型: string
Ops Manager Application の FQDN とポート番号。
8080以外のポートを使用するには、「Ops Manager のホスト名とポートの管理」を参照してください。mms.centralUrl=http://mms.example.com:8080 URL to Access Ops Managerに対応します。重要
Ops Manager Application に IPv6 アドレスを使用してアクセスする場合は、ポート番号と区別するために IPv6 アドレスを角括弧(
[ ])で囲む必要があります。以下に例を挙げます。
http://[2600:1f16:777:8700:93c2:b99c:a875:2b10]:8080
mms.https.PEMKeyFile型: string
Ops Manager Application の有効な証明書と秘密キーが含まれる PEM ファイルへの絶対パス。Ops Manager Application が HTTPS を使用して Ops Manager Application、エージェント、および Web インターフェイス間の接続を暗号化する場合は、PEM ファイルが必要です。
MongoDB Ops Manager アプリケーションへの HTTPS アクセスのデフォルト ポートは、 ファイルに設定されている
8443<install_dir>/conf/mms.confです。このデフォルトを変更する場合は、mms.centralUrl設定で指定されているポートも変更する必要があります。
mms.https.PEMKeyFilePassword型: string
HTTPS PEM キー ファイルのパスワード。PEM キー ファイルに暗号化された秘密キーが含まれている場合は、この設定を含める必要があります。
mms.https.ClientCertificateMode型: string
Ops Manager がクライアントに接続するときに有効な TLS または SSL クライアント証明書の提示を要求するかどうかを指定します。指定できる値は以下のとおりです。
noneagents_onlyrequired
mms.https.CAFile型: string
次の場合に必須:
プライベート証明機関を使用しています。
mms.https.ClientCertificateModeをagents_onlyまたはrequiredに設定します。TLS を有効にして、Ops Manager をハイブリッド モードで実行します。
受け入れ可能なクライアント証明書のリストを含むプライベート認証局ファイルのファイルシステムの場所を指定します。Ops Manager Application は、このファイルに記述された証明書を持つクライアントからの HTTPS リクエストを認証します。
mms.https.CAFile=/path/to/ca_file.pem
mms.https.dualConnectorsタイプ: ブール値
デフォルト: False
HTTP と HTTPS を同時に使用して MongoDB Ops Manager への接続を有効にします。
MongoDB Ops Manager と MongoDB エージェントを TLS を使用するようにアップグレードする間、この設定を一時的に使用できます。ダウンタイムをゼロにするには、
trueに設定し、値をmms.http.bindhostnameに指定します。Ops Manager と MongoDB エージェントの構成が完了したら、falseに設定します。重要
mms.https.dualConnectorsがtrueの間、安全でない接続を使用して MongoDB Ops Manager にアクセスできます。MongoDB エージェントを更新して TLS
接続を使用するようにした後にのみ安全な接続を許可するには、mms.https.dualConnectorsをfalseに設定します。
mms.http.bindhostname型: string
default: 127.0.0.1
MongoDB エージェントが HTTP を使用して MongoDB Ops Manager に接続できるホスト名または IP。
MongoDB Ops Manager と MongoDB エージェントをTLSを使用するようにアップグレードする間、この設定を一時的に使用できます。 ダウンタイムをゼロにするには、値を設定し、
mms.https.dualConnectorsをtrueに設定します。 MongoDB Ops Manager と MongoDB エージェントを構成した後、値を削除します。
mms.remoteIp.header型: string
MongoDB Ops Manager アプリケーションでロード バランサーを使用する場合、ロード バランサーが MongoDB Ops Manager ホストに対する発信元クライアントの IP アドレスを特定するのに使用する HTTP ヘッダー フィールドにこれを設定します。
Load Balancer Remote IP Headerを指定する場合、クライアントが MongoDB Ops Manager ホストに直接接続できないようにする必要があります。MongoDB Ops Manager ホストの前に配置されたロード バランサーによって、キャッシュされたコンテンツが返されないようにする必要があります。Load Balancer Remote IP Headerが設定されると、MongoDB Ops Manager により次の HTTP ヘッダーが有効になります。HTTP ヘッダーOps Manager に転送クライアントが Host HTTP リクエスト ヘッダーで要求した元のホスト。
HTTP リクエストの実行に使用されるプロトコル。
プロキシ サーバーのホスト名。
リクエストの HTTPS ステータス。
詳細については、「高可用性 Ops Manager アプリケーションの構成」を参照してください。
mms.minimumTLSVersion型: string
default:
TLSv1.2クライアントが MongoDB Ops Manager に接続するために必要な TLS バージョンを指定します。このプロパティは、Ops Manager Admin インターフェースの接続に使用されるブラウザや、REST
API への接続に使用されるコマンドライン ツール(例:curl)など、すべてのクライアントに影響します。- MongoDB Ops Manager バージョン 4.0.9 から 4.0.18 まで、および 4.2.13 と 4.4.0 以前
- MongoDB Ops Manager は
TLSv1.2のみをサポートします。この値をTLSv1.2以外の値(空白値を含む)に変更すると、この MongoDB Ops Manager に接続できなくなります。 - MongoDB Ops Manager バージョン 4.0.0 から 4.0.8, 4.0.18 またはそれ以降、4.2.13 またはそれ以降、4.4.0 またはそれ以降
- MongoDB Ops Manager は
TLSv1.0、TLSv1.1、TLSv1.2をサポートします。
注意
TLSv1.2 では、接続するクライアントが次の最小要件を満たす必要があります。
ブラウザが TLS バージョン 1.2 をサポートしていること
curlバージョン7.34.0 +OpenSSL バージョン 1.0.1+
minimum.TLSVersionを設定するには、次の値を使用して「カスタム設定の変更」手順に従います。Key
minimum.TLSVersionValue
<tls-versions>
mms.disableCiphers型: string
default:
SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA,SSL_DHE_DSS_WITH_DES_CBC_SHA,SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA,SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA,SSL_DHE_RSA_WITH_DES_CBC_SHA,SSL_RSA_EXPORT_WITH_DES40_CBC_SHA,SSL_RSA_EXPORT_WITH_RC4_40_MD5,TLS_DHE_DSS_WITH_AES_128_CBC_SHA256,TLS_DHE_DSS_WITH_AES_128_CBC_SHA,TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,TLS_DHE_DSS_WITH_AES_256_CBC_SHA,TLS_DHE_RSA_WITH_AES_128_CBC_SHA256,TLS_DHE_RSA_WITH_AES_128_CBC_SHA,TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,TLS_DHE_RSA_WITH_AES_256_CBC_SHA256,TLS_DHE_RSA_WITH_AES_256_CBC_SHA,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384クライアントが MongoDB Ops Manager アプリケーションと API に接続するときに MongoDB Ops Manager のインスタンスが受け入れることができない TLS 暗号スイートのリストを指定します。次の例では、TLS 暗号スイートの名前をカンマ区切りリストとして指定しています。
重要
で使用される暗号スイート名に従う必要がありますMongoDB Ops Manager RFC5246 命名規則。OpenSSL の命名規則は使用しないでください。 便宜上、 MongoDB Ops Managerは起動時にサポートされているすべての暗号スイート名のリストをログに記録します。 MongoDB Ops ManagerがTLS暗号スイート名を認識しない場合は、次の警告がログに記録されます。
構成では、JDK で認識されないため無効にする必要がある暗号として以下が記載されています。エントリの形式と有効な暗号のリストを確認します。[unrecognized_cipher_name]
mms.disableCiphersを変更するには、次の値を使用してカスタム設定の変更手順に従います。Key
mms.disableCiphersValue
<ciphers>以下に例を挙げます。
TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA, TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 警告
mms.disableCiphersをカスタム値に設定すると、これらが無効にした暗号の 1 つ以上が再度有効になる可能性があります。