Ops Manager를 위한 KMIP 백업 암호화 구성
MongoDB Ops Manager 는 백업 작업을 암호화할 수 있습니다. Kubernetes Operator를 사용하여 MongoDB Ops Manager 에 대한KMIP 백업 암호화를구성할 수 있습니다. 자세한 내용은 암호화된 백업 스냅샷을 참조하세요.
제한 사항
동일한 Kubernetes Operator 인스턴스 가 MongoDBOpsManager 및 MongoDB 사용자 지정 리소스를 모두 관리하지 않는 배포서버의 경우, MongoDBOpsManager 사용자 지정 리소스 에서 KMIP 백업 암호화 클라이언트 설정을 수동으로 구성해야 합니다. 이 요구 사항에는 각 MongoDB 데이터베이스 에 대한 클라이언트 인증서를 포함하는 작업이 포함되며, 이는 MongoDB Ops Manager 파드의 StatefulSet를 재정의하여 인증서를 마운트하면 됩니다. 학습 내용은 KMIP 백업 암호화 수동 구성을 참조하세요.
절차
1
2
MongoDB Ops Manager KMIP 백업 암호화 를 사용하도록 MongoDB Ops Manager 사용자 지정 리소스 를 구성합니다.
spec.backup.encryption.kmip
설정을 구성합니다.
1 apiVersion: mongodb.com/v1 2 kind: MongoDBOpsManager 3 metadata: 4 name: om-backup-kmip 5 spec: 6 replicas: 1 7 version: 6.0.0 8 adminCredentials: ops-manager-admin-secret 9 backup: 10 encryption: 11 kmip: 12 server: 13 url: kmip.corp.mongodb.com:5696 14 ca: mongodb-kmip-certificate-authority-pem
4
6
클라이언트 인증서 및 비공개 키의 시크릿 를 생성합니다.
다음 명령을 실행합니다:
kubectl -n mongodb create secret tls mongodb-kmip-client-pem-my-replica-set-client-kmip \ --cert=<path-to-cert-file> \ --key=<path-to-key-file>
클라이언트 인증서 비밀 이름에는 MongoDB
CustomResourceDefinition 에서 추론된 다음과 같은 명명 규칙이 있습니다. :
<clientCertificatePrefix>-<objectMeta.name>-client-kmip
clientCertificatePrefix | CustomResourceDefinition 의 spec.backup.encryption.kmip.client.clientCertificatePrefix 필드에 지정된 사람이 읽을 수 있는 MongoDB 레이블입니다. . |
objectMeta.name | |
client-kmip | Kubernetes 연산자가 가정하는 고정 접미사. |
자세한 내용은 kubernetes.io/tls를 참조하세요.
7
MongoDB database 데이터베이스 배포를 구성합니다.
spec.backup.encryption.kmip
설정을 구성합니다.
1 apiVersion: mongodb.com/v1 2 kind: MongoDB 3 metadata: 4 name: my-replica-set 5 spec: 6 members: 3 7 version: 4.0.20 8 type: ReplicaSet 9 backup: 10 encryption: 11 kmip: 12 client: 13 clientCertificatePrefix: mongodb-kmip-client-pem
9