Docs Menu
Docs Home
/
MongoDB Ops Manager
/
セキュリティ

暗号化されたバックアップ スナップショット

項目一覧

  • 前提条件
  • MongoDB Ops Managerの KMIP ホスト構成を設定する
  • KMIP を使用するようにプロジェクトを構成する
  • バックアップジョブの暗号化

スナップショットの暗号化は、データベースがどの MongoDB のバージョンと互換性があるかによって異なります。 この機能の互換性バージョンは、現在のバージョンから 1 つ前のバージョンまでの範囲です。 MongoDB 4.2の場合、FCV は 4.0または4.2になります。 暗号化されたクラスターからのみ暗号化されたスナップショットを作成できます。

MongoDB Ops Managerは、スナップショット ストアに保存したすべてのバックアップ ジョブを暗号化できます。 スナップショットは、次の機能を使用してMongoDB Enterprise 4.2以降を実行したデータベースから取得する必要があります。

  • 4.2以降のFCVおよび

  • WiredTigerストレージエンジン

警告

MongoDB Ops Managerは、ローカルキー暗号化から KMIPサーバーベースの暗号化への移行をサポートしていません。

注意

MongoDB Ops Managerは、ローカルキーの暗号化を使用するデータベース配置からのクラスター スナップショットの作成をサポートしなくなりました。 ローカルキーの暗号化でデータベース配置を暗号化すると、スナップショットは失敗します。 スナップショットを暗号化するには、データベース配置でKMIPベースの暗号化を使用します。

バックアップを暗号化するには、 KMIP準拠のキー管理アプライアンスが生成および維持するマスター キーを使用します。 このマスター キーは、データベースを暗号化するキーを暗号化します。

MongoDB Ops Managerは、ホストの4.2 からディスク上のバイトをスナップショットstorage.dbPath ストアにコピーして、 以降の配置の FCV のスナップショットを作成します。バックアップしているホストでMongoDB Encryption at Rest を有効にしている場合、 MongoDB Ops Managerがスナップショットストアにコピーするバイトはすでに暗号化されています。 MongoDB Ops Managerは、ホストのディスクにデータを書き込むときに、ストレージ エンジン層でデータを暗号化します。

FCVが 4.2 以降の配置では、 MongoDB Ops Managerコンポーネントはスナップショットを取得するときにKMIPホストと対話しません。

重要

バックアップデーモン は、暗号化されたバックアップの クエリ可能な復元ジョブ を処理するために KMIP ホストへの接続が必要です。

Tip

以下も参照してください。

MongoDB の保存時の暗号化

MongoDB Ops Managerは、 ストレージ MongoDB Enterprise3.4エンジンによってWiredTiger 以降を実行中の ヘッドデータベース に保存されたバックアップ ジョブの暗号化をサポートしています。

警告

MongoDB Ops Managerは、ローカル キー暗号化からKMIPサーバーベースの暗号化への移行をサポートしていません。

バックアップを暗号化するには、 KMIP準拠のキー管理アプライアンスが生成および維持するマスター キーを使用します。 このマスター キーは、ヘッドデータベースを暗号化します。 バックアップデーモンがヘッドデータベースからスナップショットを作成するため、暗号化されたヘッドデータベースから結果として得られるスナップショットは自分自身が暗号化されます。

暗号化されたバックアップから復元するには、バックアップの暗号化に使用されるのと同じマスター キーと、バックアップデーモンホスト上のものと同じ証明書、またはKMIPホストからそのキーでプロビジョニングされた新しい証明書が必要です。 これは、 KMIP クライアント証明書パスフィールドの値に対応します。

前提条件

暗号化キーを生成および保存するためのKMIP準拠キー管理を実行するホスト。

重要

MongoDB FCV 4.2以降を実行しているクラスターは、 KMIPサーバーを使用する必要があります。 これらのクラスターは、ファイルを使用するローカル キー管理をサポートしていません。

  • ヘッドデータベース は、WiredTiger ストレージ エンジン で MongoDB Enterprise 以降を使用します。3.4

  • 有効なKMIPクライアント証明書とKMIPホスト認証局ファイル。 これらのファイルは、 KMIPホストに対して MongoDB Ops Manager を認証するために使用されます。 バックアップデーモン ホスト上のクライアント証明書は、 KMIPホスト内のすべてのキーにアクセスできる必要があります。

重要

ローテーションされたキーであっても、すべてのキーをKMIPホスト内で管理する必要があります。

MongoDB Ops Managerの KMIP ホスト構成を設定する

1

[バックアップ] 構成タブに移動します。

  1. [ Adminをクリックします。

  2. [General] をクリックします。

  3. [Ops Manager Config] をクリックします。

  4. Click Backup tab.

Tip

以下も参照してください。

MongoDB Ops Managerの構成

2

KMIP フィールドを完了します。

KMIP Server Configurationセクションで次のKMIPホスト フィールドを更新します。

KMIP ホストの FQDN を入力します。
KMIPホストがKMIP接続をリッスンしているポートを入力します。 デフォルトの KMIP ポートは です5696
MongoDB Ops Managerホスト上の証明機関ファイルの絶対パスを入力します。 これは、 KMIPホストに保存されている同じ認証局ファイルである必要があります。
3

Save[ をクリックします。

KMIP を使用するようにプロジェクトを構成する

注意

プロジェクト内のすべての配置では、同じKMIPクライアント証明書ファイルを認証に使用します。

1

プロジェクトバックアップ の設定ページに移動します。

  1. クリック Admin

  2. クリック Projects

  3. <Project Name>[プロジェクト名]More ... の下にある ] をクリックします。

  4. Backup Configurationの行で、View をクリックします。

Tip

以下も参照してください。

プロジェクト

2

KMIP フィールドを完了します。

KMIP client certificate path

MongoDB Ops Managerホスト上のクライアント証明書ファイルの絶対パスを入力します。 MongoDB Ops Managerはこの証明書を使用して、KMIP サーバーに対して自分自身を認証します。

単一の ファイルに CA 証明書とクライアント証明書の両方を保持できます。

KMIP client certificate password
任意KMIP client certificate pathで指定された証明書が暗号化されている場合にのみ入力します。
3

Save Changes[ をクリックします。

バックアップジョブの暗号化

1

Continuous Backup[ をクリックします。

MongoDB Ops Managerバックアップをまだ有効にしていない場合は、Begin Setup をクリックしてウィザードを完了します。 これによりバックアップ設定が完了し、この手順の残りの部分をスキップできます。

2

プロセスのバックアップを開始します。

プロセスのリストから、バックアップするプロセスのStatus列に移動し、 Startをクリックします。

3

Start Backupサイドバーで、バックアップソースとストレージ エンジンを構成します。

Menu
Possible Values
デフォルト値
Sync source

  • 任意のセカンダリ( MongoDB Ops Managerが選択するもの)

  • 任意の特定のセカンダリ

  • プライマリ ノード

any secondary

プライマリへのパフォーマンスへの影響を最小限に抑えるため、 セカンダリ を使用することをおすすめします。

Storage Engine

WiredTiger

MongoDB Ops Managerは、ファイルを 100,000 未満の配置にバックアップを制限します。 ファイルには、コレクションとインデックスが含まれます。

WiredTiger
4

認証メカニズムを設定する。

オートメーションが配置を管理せず、配置で認証が必要な場合は、認証メカニズムと認証情報を指定します。

必要に応じて、以下を指定します。

Auth Mechanism

MongoDB ホストが使用する認証メカニズム

MongoDB Community のオプションは次のとおりです。

MongoDB Enterprise オプションには、次のものも含まれます。

DB Username

Username/PasswordまたはLDAP認証の場合、MongoDB 配置で MongoDB Agent を認証するために使用されるユーザー名。

認証用の MongoDB Agent の構成 」または「 LDAP 用の MongoDB Agent の構成 」を参照してください。

DB Password
Username/PasswordまたはLDAP認証の場合、MongoDB 配置で MongoDB Agent を認証するために使用されるパスワード。
Allows TLS for connections

[] をオンにすると、バックアップはTLSを使用して MongoDB に接続します。

TLS を使用するように MongoDB Agent を構成する 」を参照してください。

5

Start[ をクリックします。

重要

プロジェクト内の既存のバックアップの場合、暗号化を有効にするには 最初のバックアップ同期 がバックアップのヘッドデータベースを再作成する必要があります。

1

Continuous Backup[ をクリックします。

MongoDB Ops Managerバックアップをまだ有効にしていない場合は、Begin Setup をクリックしてウィザードを完了します。 これによりバックアップ設定が完了し、この手順の残りの部分をスキップできます。

2

プロセスのバックアップを開始します。

プロセスのリストから、バックアップするプロセスのStatus列に移動し、 Startをクリックします。

3

Start Backupサイドバーで、バックアップソースとストレージ エンジンを構成します。

Menu
Possible Values
デフォルト値
Sync source

  • 任意のセカンダリ( MongoDB Ops Managerが選択するもの)

  • 任意の特定のセカンダリ

  • プライマリ ノード

any secondary

プライマリへのパフォーマンスへの影響を最小限に抑えるため、 セカンダリ を使用することをおすすめします。

Storage Engine

  • MongoDB Memory Mapped Files or

  • WiredTiger.

    このオプションを選択すると、 MongoDB Ops Managerは、100,000 ファイルが未満の配置にバックアップを制限します。 ファイルには、コレクションとインデックスが含まれます。

ストレージ エンジンに関する考慮事項を参照してください。

バックアップされるデータベースのプライマリ ノードと同じストレージエンジン。

storage engine がWiredTigerの場合は暗号化を有効にできます。 暗号化を有効にするには、 Enable Encryptionを選択します。 バックアップ用のKMIP サーバー設定し、プロジェクトで KMIP を使用するように構成されている場合にのみ を選択します。

4

認証メカニズムを設定する。

オートメーションが配置を管理せず、配置で認証が必要な場合は、認証メカニズムと認証情報を指定します。

必要に応じて、以下を指定します。

Auth Mechanism

MongoDB ホストが使用する認証メカニズム

MongoDB Community のオプションは次のとおりです。

MongoDB Enterprise オプションには、次のものも含まれます。

DB Username

Username/PasswordまたはLDAP認証の場合、MongoDB 配置で MongoDB Agent を認証するために使用されるユーザー名。

認証用の MongoDB Agent の構成 」または「 LDAP 用の MongoDB Agent の構成 」を参照してください。

DB Password
Username/PasswordまたはLDAP認証の場合、MongoDB 配置で MongoDB Agent を認証するために使用されるパスワード。
Allows TLS for connections

[] をオンにすると、バックアップはTLSを使用して MongoDB に接続します。

TLS を使用するように MongoDB Agent を構成する 」を参照してください。

5

バックアップされる名前空間をフィルタリングするには、[ ]Advanced Settings をクリックします。

このバックアップからデータベースとコレクションを除外するには:

  1. [Blacklist] をクリックします。

  2. テキストボックスに最初のデータベースとコレクションを入力します。 コレクションには、完全な名前空間を入力します: <database>.<collection>

  3. 追加のデータベースまたはコレクションを除外するには、 Add anotherリンクをクリックして、前の手順を繰り返します。

このバックアップに特定のデータベースとコレクションのみを含めるには、次の手順を実行します。

  1. [Access List] をクリックします。

  2. テキストボックスに最初のデータベースとコレクションを入力します。 コレクションには、完全な名前空間を入力します: <database>.<collection>

  3. 追加のデータベースまたはコレクションを含めるには、 Add anotherリンクをクリックして、前の手順を繰り返します。

6

Start[ をクリックします。

戻る

システム全体の 2 要素認証の有効化