暗号化されたバックアップ スナップショット
スナップショットの暗号化は、データベースがどの MongoDB のバージョンと互換性があるかによって異なります。 この機能の互換性バージョンは、現在のバージョンから 1 つ前のバージョンまでの範囲です。 MongoDB 4.2の場合、FCV は 4.0
または4.2
になります。 暗号化されたクラスターからのみ暗号化されたスナップショットを作成できます。
MongoDB Ops Managerは、スナップショット ストアに保存したすべてのバックアップ ジョブを暗号化できます。 スナップショットは、次の機能を使用してMongoDB Enterprise 4.2以降を実行したデータベースから取得する必要があります。
4.2以降のFCVおよび
WiredTigerストレージエンジン
警告
MongoDB Ops Managerは、ローカルキー暗号化から KMIPサーバーベースの暗号化への移行をサポートしていません。
注意
MongoDB Ops Managerは、ローカルキーの暗号化を使用するデータベース配置からのクラスター スナップショットの作成をサポートしなくなりました。 ローカルキーの暗号化でデータベース配置を暗号化すると、スナップショットは失敗します。 スナップショットを暗号化するには、データベース配置でKMIPベースの暗号化を使用します。
バックアップを暗号化するには、 KMIP準拠のキー管理アプライアンスが生成および維持するマスター キーを使用します。 このマスター キーは、データベースを暗号化するキーを暗号化します。
MongoDB Ops Managerは、ホストの4.2 からディスク上のバイトをスナップショットstorage.dbPath
ストアにコピーして、 以降の配置の FCV のスナップショットを作成します。バックアップしているホストでMongoDB Encryption at Rest を有効にしている場合、 MongoDB Ops Managerがスナップショットストアにコピーするバイトはすでに暗号化されています。 MongoDB Ops Managerは、ホストのディスクにデータを書き込むときに、ストレージ エンジン層でデータを暗号化します。
FCVが 4.2 以降の配置では、 MongoDB Ops Managerコンポーネントはスナップショットを取得するときにKMIPホストと対話しません。
重要
バックアップデーモン は、暗号化されたバックアップの クエリ可能な復元ジョブ を処理するために KMIP ホストへの接続が必要です。
MongoDB Ops Managerは、 ストレージ MongoDB Enterprise3.4エンジンによってWiredTiger 以降を実行中の ヘッドデータベース に保存されたバックアップ ジョブの暗号化をサポートしています。
警告
MongoDB Ops Managerは、ローカル キー暗号化からKMIPサーバーベースの暗号化への移行をサポートしていません。
バックアップを暗号化するには、 KMIP準拠のキー管理アプライアンスが生成および維持するマスター キーを使用します。 このマスター キーは、ヘッドデータベースを暗号化します。 バックアップデーモンがヘッドデータベースからスナップショットを作成するため、暗号化されたヘッドデータベースから結果として得られるスナップショットは自分自身が暗号化されます。
暗号化されたバックアップから復元するには、バックアップの暗号化に使用されるのと同じマスター キーと、バックアップデーモンホスト上のものと同じ証明書、またはKMIPホストからそのキーでプロビジョニングされた新しい証明書が必要です。 これは、 KMIP クライアント証明書パスフィールドの値に対応します。
前提条件
暗号化キーを生成および保存するためのKMIP準拠キー管理を実行するホスト。
重要
MongoDB FCV 4.2以降を実行しているクラスターは、 KMIPサーバーを使用する必要があります。 これらのクラスターは、ファイルを使用するローカル キー管理をサポートしていません。
ヘッドデータベース は、WiredTiger ストレージ エンジン で MongoDB Enterprise 以降を使用します。3.4
有効なKMIPクライアント証明書とKMIPホスト認証局ファイル。 これらのファイルは、 KMIPホストに対して MongoDB Ops Manager を認証するために使用されます。 バックアップデーモン ホスト上のクライアント証明書は、 KMIPホスト内のすべてのキーにアクセスできる必要があります。
重要
ローテーションされたキーであっても、すべてのキーをKMIPホスト内で管理する必要があります。
MongoDB Ops Managerの KMIP ホスト構成を設定する
KMIP を使用するようにプロジェクトを構成する
注意
プロジェクト内のすべての配置では、同じKMIPクライアント証明書ファイルを認証に使用します。
バックアップジョブの暗号化
Start Backupサイドバーで、バックアップソースとストレージエンジンを構成します。
Menu | Possible Values | デフォルト値 |
---|---|---|
Sync source |
|
プライマリへのパフォーマンスへの影響を最小限に抑えるため、 セカンダリ を使用することをおすすめします。 |
Storage Engine | WiredTiger MongoDB Ops Managerは、ファイルを 100,000 未満の配置にバックアップを制限します。 ファイルには、コレクションとインデックスが含まれます。 | WiredTiger |
認証メカニズムを設定する。
オートメーションが配置を管理せず、配置で認証が必要な場合は、認証メカニズムと認証情報を指定します。
必要に応じて、以下を指定します。
Auth Mechanism | MongoDB ホストが使用する認証メカニズム。 MongoDB Community のオプションは次のとおりです。
MongoDB Enterprise オプションには、次のものも含まれます。 |
DB Username |
「認証用の MongoDB Agent の構成 」または「 LDAP 用の MongoDB Agent の構成 」を参照してください。 |
DB Password | Username/Password またはLDAP 認証の場合、MongoDB 配置で MongoDB Agent を認証するために使用されるパスワード。 |
Allows TLS for connections | [] をオンにすると、バックアップはTLSを使用して MongoDB に接続します。 |
重要
プロジェクト内の既存のバックアップの場合、暗号化を有効にするには 最初のバックアップ同期 がバックアップのヘッドデータベースを再作成する必要があります。
Start Backupサイドバーで、バックアップソースとストレージエンジンを構成します。
Menu | Possible Values | デフォルト値 |
---|---|---|
Sync source |
|
プライマリへのパフォーマンスへの影響を最小限に抑えるため、 セカンダリ を使用することをおすすめします。 |
Storage Engine |
| バックアップされるデータベースのプライマリ ノードと同じストレージエンジン。 |
storage engine がWiredTigerの場合は暗号化を有効にできます。 暗号化を有効にするには、 Enable Encryptionを選択します。 バックアップ用のKMIP サーバーを設定し、プロジェクトで KMIP を使用するように構成されている場合にのみ を選択します。
認証メカニズムを設定する。
オートメーションが配置を管理せず、配置で認証が必要な場合は、認証メカニズムと認証情報を指定します。
必要に応じて、以下を指定します。
Auth Mechanism | MongoDB ホストが使用する認証メカニズム。 MongoDB Community のオプションは次のとおりです。
MongoDB Enterprise オプションには、次のものも含まれます。 |
DB Username |
「認証用の MongoDB Agent の構成 」または「 LDAP 用の MongoDB Agent の構成 」を参照してください。 |
DB Password | Username/Password またはLDAP 認証の場合、MongoDB 配置で MongoDB Agent を認証するために使用されるパスワード。 |
Allows TLS for connections | [] をオンにすると、バックアップはTLSを使用して MongoDB に接続します。 |
バックアップされる名前空間をフィルタリングするには、[ ]Advanced Settings をクリックします。
このバックアップからデータベースとコレクションを除外するには:
[Blacklist] をクリックします。
テキストボックスに最初のデータベースとコレクションを入力します。 コレクションには、完全な名前空間を入力します:
<database>.<collection>
。追加のデータベースまたはコレクションを除外するには、 Add anotherリンクをクリックして、前の手順を繰り返します。
このバックアップに特定のデータベースとコレクションのみを含めるには、次の手順を実行します。
[Access List] をクリックします。
テキストボックスに最初のデータベースとコレクションを入力します。 コレクションには、完全な名前空間を入力します:
<database>.<collection>
。追加のデータベースまたはコレクションを含めるには、 Add anotherリンクをクリックして、前の手順を繰り返します。