既存のMongoDBプロセスをMongoDB Ops Managerに追加する
MongoDB Ops Managerは、既存のMongoDB配置を監視と管理に追加するためのウィザードを提供します。 ウィザードは を操作するプロンプトを表示します。
MongoDB Agent がインストールされていない場合は、インストールします
追加するシャーディングされたクラスター、レプリカセット、またはスタンドアロンを特定します。 配置をモニタリングに追加するか、モニタリングとオートメーションの両方に追加するかを選択できます。
Atlas にライブ移行する配置を追加する場合は、モニタリングのみに配置(およびその認証情報)を追加する必要があります。
Considerations
一意の名前
配置にはプロジェクト内で一意の名前が必要です。
重要
同じプロジェクト内のレプリカセット、シャーディングされたクラスター、およびシャード名は一意である必要があります。 配置名を一意のものにしないと、バックアップ スナップショットが中断されます。
MongoDB 構成オプション
オートメーションはすべての MongoDB オプションをサポートしていないため、インポートが失敗する可能性があります。 詳しくは、「 MongoDB 設定とオートメーション サポート 」を参照してください。
TLS
TLS を有効にする場合、MongoDB プロセスを提供するホストの FQDN は、そのホスト上の TLS 証明書の SAN と一致する必要があります。
重要
中間者攻撃(man-in-the-middle attack)を防ぐには、 TLS証明書の範囲をできるだけ小さくします。 多数の SAN で 1 つの TLS 証明書を使用することも、各ホストでワイルドカード TLS 証明書を使用することもできますが、 は使用しないでください 。詳しくは、 RFC2818 のセクション3 を参照してください。1 。
ご希望のホスト名
次の場合は、優先ホスト名を設定します。
MongoDB プロセスにアクセスするには、特定のホスト名、 FQDN 、 IPv4アドレス、またはIPv6アドレスが必要です。または
複数のエイリアスを持つホストに使用するホスト名を指定する必要があります。
詳しくは、プロジェクト設定の Preferred Hostnames設定を参照してください。
以前に削除されたホストの復元
MongoDB Ops Manager からホストを完全に削除せず、そのホストを復元する場合は、削除された MongoDB プロセスを再インポートできます。
MongoDB Ops Managerからホストを完全に削除した場合は、まずそのホストの削除を解除する必要があります。 削除されたホストを検索するには、 Global Ownerロールが必要です。
以前に削除されたホストを見つけて削除を解除するには、以下の手順を実行します。
Deploymentビューに移動します。
Moreメニューから [ Deleted Hosts ] をクリックします。
を選択しますホストの削除を解除します。
ホストの削除が解除された後、既存のプロセス手順をインポートできます。
注意
ホストがDeleted Hostsリストに表示されない場合は、プロセスをすぐに再インポートできます。
Windows MongoDB Services の管理
Windows サービスとして実行される既存の MongoDB プロセスをオートメーションに追加する場合、オートメーションは次のようになります。
既存のサービスを停止して無効にします
新しいサービスを作成して開始します
ソースクラスターと宛先クラスターの認証情報
MongoDB Ops Manager プロジェクトで、その配置に対して MongoDB 認証設定が有効になっている場合、インポートする MongoDB 配置はプロジェクトの認証メカニズムをサポートしている必要があります。
実行中のプロセスがなく、認証が有効になっていない新しい宛先プロジェクトにインポートすることをお勧めします。
ソースクラスターが認証を使用しており、宛先のMongoDB Ops Managerプロジェクトに既存の管理されているプロセスがない場合、 MongoDB Ops Managerは宛先プロジェクトで認証を有効にし、ソースクラスターから既存のキーファイルをインポートし、そのキーファイルを使用してユーザーを認証します。は、インポート プロセスを実行します。
ソースクラスターと宛先のMongoDB Ops Managerプロジェクトの両方が認証を使用し、プロジェクトに プロセスがある場合、 MongoDB Ops Managerはインポート プロセス中に宛先プロジェクトの既存の認証設定を使用しようとします。 インポート プロセスを成功させるには、ソースクラスターと MongoDB Ops Manager 宛先プロジェクトの認証情報が同じである必要があります。
インポートが成功することを確認するには、インポートプロセスを開始する前に、ソースクラスターにMongoDB Ops Manager宛先プロジェクトの認証情報を追加します。 詳しくは、「レプリカセットのキーのローテーション 」または「 シャーディングされたクラスターのキーのローテーション 」を参照してください。
認証のユースケース
MongoDB 配置で認証が必要な場合は、監視用に MongoDB Ops Manager に配置を追加するときに、必要な認証情報を提供する必要があります。
配置でオートメーションを使用せずに、バックアップ、モニタリング、またはその両方が使用されていた場合は、MongoDB Agent に更新する前に認証情報が であった、それらの認証情報を見つけることができます。
配置でオートメーションを使用せず、バックアップとモニタリングのいずれかを使用する場合、次のようにします。
MongoDB 配置の認証情報を作成します。 詳細については、「モニタリング用の MongoDB Agent に必要なアクセス権 」および「 バックアップ用の MongoDB Agent に必要なアクセス権 」を参照してください。
MongoDB Ops Managerプロセスを追加した後、それらの関数に付与した認証情報をMongoDB に追加します。詳細については、「モニタリング用の認証情報の追加 」および「 バックアップ用の認証情報の追加 」を参照してください。
配置でオートメーションを使用する場合、 MongoDB Ops ManagerはMongoDB Agentからの認証情報を使用します。 レガシーバックアップとモニタリング エージェントから認証情報を削除できます。 MongoDB Agent は、オートメーション、バックアップ、モニタリング機能にこれらの認証情報を使用します。
配置でオートメーションが使用されるが、インポートする前にオートメーションが使用されなかった場合は、インポートしたデータベース プロセスに
mms-automationユーザーを追加し、ユーザーの認証情報をMongoDB Ops Managerに追加します。
詳細については、「オートメーション用の認証情報の追加 」を参照してください。
インポート時のオートメーションと更新されたセキュリティ設定
MongoDB配置をオートメーションに追加すると、 MongoDB Ops ManagerプロジェクトとMongoDB配置のセキュリティ設定に影響する可能性があります。
オートメーションにより、 プロジェクト セキュリティ設定 が有効になります。 MongoDB配置に認証が必要であるが、 MongoDB Ops Managerプロジェクトで認証設定が有効になっていない場合、 MongoDB配置をオートメーションに追加すると、 MongoDB Ops Managerはプロジェクトのセキュリティ設定を、新しくインポートされた配置のセキュリティ設定に更新します。
インポート プロセスでは、 MongoDB Ops Managerプロジェクトのセキュリティ設定が現在無効になっている場合にのみ更新されます。 インポートプロセスによって、プロジェクトのセキュリティ設定が無効になったり、有効な認証メカニズムが変更されたりすることはありません。
オートメーションは MongoDB ユーザーとロール をインポートします。 次のステートメントは、 MongoDB配置に認証が必要な場合、またはMongoDB Ops Managerプロジェクトで認証設定が有効になっている状況に適用されます。
MongoDB配置にユーザーまたはユーザー定義のロールが含まれている場合は、 MongoDB Ops Managerがこれらのユーザーとロールをインポートして管理することを選択できます。 インポートされたユーザーとロールは、 MongoDB Ops Managerプロジェクト内のすべての管理対象配置に対して Synced です。
プロジェクトのEnforce Consistent Set 値を
Yesに設定すると、 は、インポートされてMongoDB Ops Manager MongoDBいない ユーザーとロールを 配置から削除します。プロジェクトの Enforce Consistent Set 値を
Noに設定すると、 MongoDB Ops Managerはプロジェクトにインポートされていないユーザーとロールの管理を停止します。 これらのユーザーとロールは MongoDB 配置に残ります。 これらのユーザーとロールを管理するには、MongoDB 配置に直接接続する必要があります。
MongoDB Ops Manager プロジェクトで特定のユーザーとロールを管理しないでください。変更を確認して配置する前に、 Authentication & UsersページとAuthentication & Rolesページを使用してインポート中にこれらのユーザーとロールを削除してください。 詳細については、「 MongoDB ユーザーの管理または非管理 」を参照してください。
インポートされたMongoDB配置で、
adminデータベースにすでにmms-backup-agentユーザーとmms-monitoring-agentユーザーがすでにある場合、インポート プロセスはこれらのユーザーのロールを、 MongoDB Ops Managerプロジェクトで設定されているmms-backup-agentユーザーとmms-monitoring-agentユーザーのロールで上書きします。 。オートメーションは、 プロジェクト 内のすべての配置に適用されます。 プロジェクトによって管理されるすべてのユーザーとロールを含む、プロジェクトの更新されたセキュリティ設定は、インポートされた 配置を含むプロジェクト内のMongoDB Ops Manager すべてのMongoDB 配置に適用されます。
MongoDB Ops Managerが、インポートされたMongoDB配置を含む、プロジェクト内のすべての配置を新しい設定で再起動します。 インポート後は、プロジェクト内のすべての配置で再起動時にMongoDB Ops Managerの自動化キーファイルが使用されます。
インポートする配置では、宛先プロジェクトの既存のプロセスと同じキーファイルを使用する必要があります。そうしないと、インポート プロセスが続行されない可能性があります。 詳細については、 「ソースクラスターと宛先クラスターの認証情報」 を参照してください。
プロジェクト内の既存の配置でインポートされたプロセスとは異なるセキュリティ プロファイルが必要な場合は、ソース MongoDB 配置をインポートできる新しいプロジェクトを作成します。
インポートされたユーザーの例
次の例は、 MongoDB配置で認証が必要な場合、またはMongoDB Ops Managerプロジェクトで認証設定が有効になっている状況に適用されます。
MongoDBユーザーとカスタムロールをインポートした場合、 MongoDB Ops ManagerプロジェクトがMongoDB配置の管理を開始すると、Enforce Consistent Set の値に関係なく、次の状況が発生します。
MongoDB Ops Managerプロジェクトは、認証を有効にし、インポートされたユーザーとロールを管理し、新しいユーザーとロールをすべての管理対象配置に同期します。
MongoDB 配置のアクセス制御が有効になっており、認証が必要です。 MongoDB配置には、 MongoDB Ops Managerプロジェクトが管理するすべてのユーザーとロールがあります。 これらのユーザーとロールでは、
SyncedYesは に設定されています。
MongoDBユーザーとカスタムロールをインポートしない場合、 MongoDB Ops ManagerプロジェクトがMongoDB配置の管理を開始すると、次の状況が発生します。
Enforce Consistent SetがYesに設定されている場合 :
MongoDB Ops Managerプロジェクトでは認証が有効になっており、管理されているユーザーとロールは変更されません。
MongoDB 配置のアクセス制御が有効になっており、認証が必要です。
MongoDB Ops Manager は、インポートされていない MongoDB ユーザーとロールを配置から削除します。
MongoDB配置には、 MongoDB Ops Managerプロジェクトが管理するすべてのユーザーとロールがあります。 これらのユーザーとロールでは、
SyncedYesは に設定されています。
Enforce Consistent SetがNoに設定されている場合 :
MongoDB Ops Managerプロジェクトでは認証が有効になっており、ユーザーやロールなどのセキュリティ設定は変更されません。
MongoDB 配置のアクセス制御が有効になっており、認証が必要です。
インポートされていない MongoDB ユーザーとロールは、MongoDB 配置に残ります。
MongoDB配置には、 MongoDB Ops Managerプロジェクトによって管理されるすべてのユーザーとロールが含まれます。 これらのユーザーとロールでは、
SyncedYesは に設定されています。
前提条件
配置でmongodがサービスとして有効になっている場合、競合状態が発生すると、オートメーションではなく
systemdが再起動時にmongodを起動する可能性があります。 この問題を防ぐには、オートメーションに配置を追加する前に、mongodサービスが無効になっていることを確認します。mongodサービスが有効になっているかどうかを確認します。sudo systemctl is-enabled mongod.service サービスが有効になっている場合は、無効にします。
sudo systemctl disable mongod.service
MongoDB Ops Managerプロジェクトで認証設定が有効になっていないが、MongoDB プロセスで認証が必要な場合は、適切なロールを持つMongoDB Agent MongoDB Ops Managerプロジェクトの ユーザーを追加します。インポート プロセスに、ユーザーに必要なロールが表示されます。 追加されたユーザーは、プロジェクトの MongoDB Agent ユーザーになります。
MongoDB Ops Managerプロジェクトで認証設定が有効になっている場合は、 MongoDB Ops ManagerプロジェクトのMongoDB AgentユーザーをMongoDBプロセスに追加します。
MongoDB Agent ユーザーを検索するには、 Deploymentsをクリックし、次にSecurityをクリックし、次にUsersをクリックします。
MongoDB Ops Manager プロジェクトの MongoDB Agent ユーザーのパスワードを見つけるには、次のいずれかの方法を使用します。
「 MongoDB プロセスの追加 」手順の手順に従って、UI でウィザードを起動します。 Do you want to add automation to this deployment?と表示されるモーダルに到達したら以下の操作を行います。
Add Automation and Configure Authentication を選択します。
[Show Password] をクリックします。
Automation Configuration Resourceエンドポイントを使用します。
curl --user "{username}:{apiKey}" --digest \ --header "Accept: application/json" \ --include \ --request GET "<host>/api/public/v1.0/groups/<Group-ID>/automationConfig" テキスト エディターで
mmsConfigBackupファイルを開き、autoPwd値を見つけます。例
MongoDB Ops Managerプロジェクトの認証設定にユーザー名/パスワードのメカニズムが選択されている場合は、プロジェクトのMongoDB Ops Manager MongoDBエージェント ユーザー
mms-automationをMongoDB配置のadminデータベースに追加してインポートします。db.getSiblingDB("admin").createUser( { user: "mms-automation", pwd: <password>, roles: [ 'clusterAdmin', 'dbAdminAnyDatabase', 'readWriteAnyDatabase', 'userAdminAnyDatabase', 'restore', 'backup' ] }
インポートプロセスでは、ソースクラスターと宛先クラスターで認証情報とキーファイルが同じである必要があります。 詳細については、 「ソースクラスターと宛先クラスターの認証情報」 を参照してください。
既存の レプリカセット をMongoDB Ops Managerに正常にインポートするには、 インスタンスが正常である必要があります。
手順
MongoDB プロセスの追加
既存のMongoDBプロセスをMongoDB Ops Managerに追加するには、次の手順に従います。
配置への認証資格情報の追加
配置をインポートしたプロジェクトで認証が有効になっている場合は、既存のMongoDBプロセスをMongoDB Ops Managerに追加した後、新しい配置の認証情報を追加する必要があります。 新しい配置にオートメーション、モニタリング、またはバックアップの認証情報を追加する必要がある状況については、「認証のユースケース」を参照してください。
Atlas にライブ移行する配置を追加する場合は、モニタリングのみに配置(およびその認証情報)を追加する必要があります。
使用する認証メカニズムを選択します。
オートメーションの認証情報の追加
オートメーションを使用するが、 MongoDB Ops Managerにインポートする前には使用していなかった配置の認証情報を追加するには、次の手順に従います。
MongoDB Agent ユーザーをデータベースに追加します。
MongoDB Agent ユーザーは、MongoDB データベースの自動化タスクを実行します。 この MongoDB ユーザーに適切な特権があることを確認します。
配置用のSecurity Settings ダイアログに移動します。
まだ表示されていない場合は、目的のプロジェクトを含む組織をナビゲーション バーの Organizations メニューで選択します。
まだ表示されていない場合は、ナビゲーション バーの Projects メニューから目的のプロジェクトを選択します。
まだ表示されていない場合は、サイドバーの [Deployment] をクリックします。
[Security] タブをクリックします。
[Settings] タブをクリックします。
次のいずれかのアクションを実行します。
このプロジェクトでTLS 、認証、または認可設定を初めて構成する場合は、 Get Startedをクリックします。
このプロジェクトのTLS認証または認可設定をすでに構成している場合は、[ Editをクリックします。
適切な認証情報を追加します。
設定 | 値 |
|---|---|
MongoDB Agent Username | MongoDB Agent のユーザー名を入力します。 |
MongoDB Agent Password | MongoDB Agent ユーザー名 のパスワードを入力します。 |
設定 | 値 |
|---|---|
MongoDB Agent LDAP Username | LDAPユーザー名を入力します。 |
MongoDB Agent LDAP Password | MongoDB Agent のLDAPユーザー名 のパスワードを入力します。 |
MongoDB Agent LDAP Group DN | MongoDB Agent のLDAPグループの識別名を入力します。 LDAP 認可を使用する場合にのみ、MongoDB Agent の LDAP グループ DN を指定します。各MongoDB Agentは を持ち、独自のLDAPグループDNを使用する必要があります。 |
必要な値は、Linux 提供のKDCに接続するか、Windows Active Directory Server に接続するかによって異なります。
設定 | 値 |
|---|---|
Monitoring Kerberos Principal | Kerberos プリンシパル。 |
Monitoring Keytab Path | MongoDB Agent のキータブへの絶対ファイル Ppath |
Monitoring LDAP Group DN | MongoDB Agent のLDAPグループの識別名を入力します。 次に、 LDAPグループ DN が MongoDB でロールとして作成され、MongoDB Agent に適切な権限が付与されます。 LDAP 認可を使用する場合は、LDAP グループ DN を指定する必要があります。 |
設定 | 値 |
|---|---|
MongoDB Agent Username | Active Directory ユーザー名。 |
MongoDB Agent Password | Active Directory のパスワード。 |
Domain | Active Directory ドメイン サービス内のドメインの NetBIOS 名。 すべて大文字でなくてはなりません。 |
設定 | 値 |
|---|---|
MongoDB Agent Username | MongoDB Agent の PEM キー ファイルから生成された LDAP v 識別名を入力します。3 |
TLS/SSL CA File Path | PEM形式の信頼できる認証局(CA)証明書を含むディスク上のパス。 これらの証明書は、 TLS / SSLを使用して実行されている MongoDB インスタンスから返されたサーバー証明書を検証します。 少なくとも 1 つのTLS / SSL CA ファイル パスを入力する必要があります。 |
MongoDB Agent PEM Key file | MongoDB 配置にクライアント証明書が必要な場合は、適切なオペレーティング システムの行で、サーバー上の MongoDB Agent のPEMキー ファイルで使用されるクライアント証明書のパスと .pemファイル名を指定します。 少なくとも 1 つの MongoDB Agent PEM キー ファイルに 値を入力する必要があります。 |
MongoDB Agent PEM Key Password | PEMキー ファイルが暗号化されている場合は、そのファイルにパスワードを入力します。 |
MongoDB Agent LDAP Group DN | MongoDB Agent のLDAPグループの識別名を入力します。 MongoDB Agent の LDAP グループ DN を指定する必要があるのは、LDAP 認証を使用する場合のみです。 |
モニタリングの認証情報の追加
オートメーションを使用せず、モニタリングを使用する配置の認証情報を追加するには、次の手順に従います。
適切な認証情報を追加します。
設定 | 値 |
|---|---|
Monitoring Username | 監視ユーザー名を入力します。 |
Monitoring Password | 監視ユーザー名用のパスワードを入力します。 |
設定 | 値 |
|---|---|
Monitoring LDAP Username | LDAPユーザー名を入力します。 |
Monitoring LDAP Password | モニタリングのLDAPユーザー名 のパスワードを入力します。 |
Monitoring LDAP Group DN | モニタリングのLDAPグループの識別名を入力します。 LDAP 認可 を使用する場合にのみ、モニタリングの LDAP グループ DN を指定します。各モニタリングは を持ち、独自のLDAPグループDNを使用する必要があります。 |
必要な値は、Linux 提供のKDCに接続するか、Windows Active Directory Server に接続するかによって異なります。
設定 | 値 |
|---|---|
Monitoring Kerberos Principal | Kerberos プリンシパル。 |
Monitoring Keytab Path | 監視のキータブへの絶対ファイル P パス。 |
Monitoring LDAP Group DN | モニタリングのLDAPグループの識別名を入力します。 次に、モニタリング に適切な特権を付与するために、 LDAPグループ DN は MongoDB でロールとして作成されます。 LDAP 認可を使用する場合は、LDAP グループ DN を指定する必要があります。 |
設定 | 値 |
|---|---|
Monitoring Username | Active Directory ユーザー名。 |
Monitoring Password | Active Directory のパスワード。 |
Domain | Active Directory ドメイン サービス内のドメインの NetBIOS 名。 すべて大文字でなくてはなりません。 |
設定 | 値 |
|---|---|
Monitoring Username | モニタリングの PEM キー ファイルから生成された LDAP v 識別名を入力します。3 |
Monitoring PEM Key file | 適切なオペレーティング システムの行で、サーバー上のモニタリングのPEMキー ファイルのパスとファイル名を指定します。 |
Monitoring PEM Key Password | PEMキー ファイルが暗号化されている場合は、そのファイルにパスワードを入力します。 |
Monitoring LDAP Group DN | モニタリングのLDAPグループの識別名を入力します。 LDAP 認可 を使用する場合は、モニタリングの LDAP グループ DN のみを指定する必要があります。 |
バックアップの認証情報の追加
オートメーションを使用せず、バックアップを使用する配置の認証情報を追加するには、次の手順に従います。
配置で [] をクリックし、次に Edit Credentials[] をクリックします。
適切な認証情報を追加します。
設定 | 値 |
|---|---|
Backup Username | バックアップ ユーザー名を入力します。 |
Backup Password | バックアップ ユーザー名のパスワードを入力します。 |
設定 | 値 |
|---|---|
Backup LDAP Username | LDAPユーザー名を入力します。 |
Backup LDAP Password | バックアップのLDAPユーザー名 のパスワードを入力します。 |
Backup LDAP Group DN | バックアップのLDAPグループの識別名を入力します。 LDAP 認可 を使用する場合にのみ、バックアップの LDAP グループ DN を指定します。各バックアップは を持ち、独自のLDAPグループDNを使用する必要があります。 |
必要な値は、Linux 提供のKDCに接続するか、Windows Active Directory Server に接続するかによって異なります。
設定 | 値 |
|---|---|
Monitoring Kerberos Principal | Kerberos プリンシパル。 |
Monitoring Keytab Path | バックアップのキータブへの絶対ファイル P パス。 |
Monitoring LDAP Group DN | バックアップのLDAPグループの識別名を入力します。 次に、バックアップに適切な特権を付与するために、 LDAPグループ DN はロールとして MongoDB で作成されます。 LDAP 認可を使用する場合は、LDAP グループ DN を指定する必要があります。 |
設定 | 値 |
|---|---|
Backup Username | Active Directory ユーザー名。 |
Backup Password | Active Directory のパスワード。 |
Domain | Active Directory ドメイン サービス内のドメインの NetBIOS 名。 すべて大文字でなくてはなりません。 |
設定 | 値 |
|---|---|
Backup Username | バックアップの PEM キー ファイルから生成された LDAP v3 識別名を入力します。 |
Backup PEM Key file | 適切なオペレーティング システムの行で、サーバー上のバックアップのPEMキー ファイルのパスとファイル名を指定します。 |
Backup PEM Key Password | PEMキー ファイルが暗号化されている場合は、そのファイルにパスワードを入力します。 |
Backup LDAP Group DN | バックアップのLDAPグループの識別名を入力します。 LDAP 認可を使用する場合は、バックアップの LDAP グループ DN を指定する必要があります。 |