MongoDB Agent가 구성 파일 및 비밀번호를 관리하는 방법 구성
- Cloud Manager 에 대한 프로그래밍 방식의 액세스 를 위한 OAuth 2.0 인증 은 Preview 기능 으로 제공됩니다.
- 기능 및 해당 설명서는 미리 보기 기간에 언제든지 변경될 수 있습니다. OAuth 2.0 인증 을 사용하려면 Cloud Manager 공개 API 에 대한 요청에 사용할 서비스 계정을 만듭니다.
버전 4.2에 추가되었습니다.
고급 감사 또는 규정 준수 요구 사항을 충족하려면 다음 조치 중 하나 또는 둘 다를 수행해야 할 수 있습니다.
mongod또는mongos구성(통칭하여 MongoDB 프로세스)을 메모리에 저장하여 디스크에 비밀번호가 기록되지 않도록 합니다.MongoDB Agent 구성 파일에서 MongoDB Agent 비밀번호를 제거하고 shell 명령에 전달된 비밀번호를 읽습니다.
메모리에 MongoDB 프로세스 구성 파일 저장
MongoDB 구성 파일 에는 다음과 같은 자격 증명이 포함될 수 있습니다.
기본적으로 MongoDB Agent는 MongoDB 프로세스 구성 파일을 디스크에 씁니다. 그러나 MongoDB 에이전트 구성 파일 enableLocalConfigurationServer true 에서 을(를) (으)로 설정하여 구성 파일을 메모리에 저장할 수 있습니다. 이 설정을 변경하면 다음과 같은 조치가 수행됩니다.
MongoDB Agent는 MongoDB 프로세스 구성을 메모리에 캐시합니다.
디스크의 MongoDB 구성 파일에는 전체 구성 파일을 가리키는
directive만 포함되어 있습니다.
MongoDB Agent 가 인메모리 MongoDB 구성을 사용하는 경우, MongoDB 프로세스 는 로컬 MongoDB Agent 에 전체 구성 파일 을 요청합니다. 에이전트는 확장 __rest 지시어의 URL 을 사용하여 구성 파일 을 요청합니다.
경고
Ops Manager 버전 4.2 또는 4.4.0 - 4.4.6 버전을 사용하는 경우 enableLocalConfigurationServer 을 true 로 설정할 때 오류가 발생할 수 있습니다. 이를 방지하려면 기존 클러스터의 메모리에 구성 파일 저장을 참조하세요.
고려 사항
MongoDB 배포의 가용성에 영향을 미치는 경우
이 기능이 활성화되면 MongoDB Agent는 MongoDB 프로세스 구성을 디스크에 저장하지 않습니다. Cloud Manager 앱 서버를 사용할 수 없는 상태에서 MongoDB Agent가 다시 시작하려고 하면 필요한 구성 정보가 없기 때문에 MongoDB Agent의 실행이 중지됩니다. MongoDB Agent가 실행 중이지 않은 상태에서 MongoDB 프로세스가 작동을 멈추면, MongoDB Agent가 프로세스를 다시 시작할 수 없습니다.
기존 MongoDB 배포 가져오기 제한
메모리에 구성 파일을 저장하는 MongoDB 프로세스는 가져올 수 없습니다. MongoDB Agent가 구성을 메모리에 저장하면 MongoDB는 시작된 후 모든 자격 증명을 삭제합니다. 따라서 MongoDB는 프로세스를 가져오는 데 필요한 자격 증명을 검색할 수 없습니다.
개인 키 형식
인증서 파일의 암호화된 비공개 키가 .pem PKCS #8 에 있는 경우 형식의 경우 PBES 를2 사용해야 합니다. 암호화 작업. MongoDB Agent는 다른 암호화 작업과 함께 PKCS #8 를 지원하지 않습니다.
MongoDB Agent 구성 파일에서 비밀번호 제거
구성 파일에서 읽지 않고 shell 명령 플래그로 비밀번호를 읽도록 MongoDB Agent를 설정할 수 있습니다. 이 기능을 사용하려면 MongoDB Agent의 구성 파일에 다음 설정을 추가하세요.