mongod
이 페이지의 내용
Synopsis
mongod
는 MongoDB 시스템의 기본 데몬 프로세스로, 데이터 요청을 처리하고, 데이터 액세스를 관리하고, 백그라운드 관리 작업을 수행합니다.
이 문서 에서는 mongod
에 대한 모든 명령줄 옵션에 대한 전체 개요를 제공합니다. 이러한 명령줄 옵션은 주로 테스트에 유용합니다. 일반적인 작업에서는 구성 파일 옵션 을 사용하여 데이터베이스 의 동작을 제어합니다.
참고
MongoDB는 TLS 1.1 이상이 사용 가능한 시스템에서 TLS 1.0 암호화를 지원하지 않습니다.
호환성
다음 환경에서 호스팅되는 배포는 mongod
를 사용합니다.
MongoDB Atlas: 클라우드에서의 MongoDB 배포를 위한 완전 관리형 서비스
참고
MongoDB Atlas는 모든 MongoDB Atlas 배포에 대한 mongod
을(를) 관리합니다.
MongoDB Enterprise: MongoDB의 구독 기반 자체 관리 버전
MongoDB Community: MongoDB의 소스 사용 가능 무료 자체 관리 버전
고려 사항
mongod
에는 MongoDB 엔지니어가 배포 문제를 해결하도록 돕는 풀타임 진단 데이터 캡처 메커니즘이 포함되어 있습니다. 이 스레드가 실패하면 원래 프로세스를 종료합니다. 가장 일반적인 오류를 방지하려면 프로세스를 실행하는 사용자에게 FTDCdiagnostic.data
디렉토리를 생성할 권한이 있는지 확인하세요.mongod
의 경우 디렉토리는storage.dbPath
내에 있습니다.mongos
의 경우systemLog.path
와 유사합니다.
옵션
버전 6.1에서 변경되었습니다:
MongoDB는 항상 저널링을 지원합니다. 결과적으로 MongoDB는
storage.journal.enabled
옵션과 해당--journal
및--nojournal
명령줄 옵션을 제거합니다.
버전 5.2에서 변경됨:
MongoDB에서
--cpu
명령줄 옵션을 제거합니다.
버전 5.0에서 변경됨:
MongoDB는
--serviceExecutor
명령줄 옵션과 해당net.serviceExecutor
구성 옵션을 제거합니다.
주요 옵션
--config <filename>, -f <filename>
런타임 구성 옵션에 대한 구성 파일 을 지정합니다. 구성 파일 은
mongod
의 런타임 구성에 선호되는 메서드입니다. 옵션은 명령줄 구성 옵션과 동일합니다. 자세한 내용은 자체 관리형 구성 파일 옵션 을 참조하세요.구성 파일이 ASCII 인코딩을 사용하는지 확인합니다.
mongod
인스턴스는 UTF-8을 포함하여 ASCII가 아닌 인코딩을 사용하는 구성 파일을 지원하지 않습니다.
--configExpand <none|rest|exec>
기본값: 없음
구성 파일에서 확장 지시문을 사용할 수 있도록 합니다. 확장 지시문을 사용하면 구성 파일 옵션에 대해 외부 소스 값을 설정할 수 있습니다.
--configExpand
다음과 같은 확장 명령어를 지원합니다.값설명none
기본값.mongod
는 확장 지시문을 확장하지 않습니다. 구성 파일 설정에 확장 지시문을 사용하는 경우mongod
를 시작하지 못했습니다.rest
mongod
구성 파일을 구문 분석할 때__rest
확장 지시문을 확장합니다.exec
mongod
구성 파일을 구문 분석할 때__exec
확장 지시문을 확장합니다.여러 확장 지시어를 쉼표로 구분된 목록으로 지정할 수 있습니다(예시:
rest, exec
). 구성 파일에--configExpand
에 지정되지 않은 확장 지시문이 포함되어 있으면mongod
오류를 반환하고 종료됩니다.확장 지시문에 대한 자세한 내용은 구성 파일에 대한 자체 관리 배포서버에 대한 외부 소스 구성 파일 값을 참조하세요.
--verbose, -v
표준 출력 또는 로그 파일에 반환되는 내부 보고의 양을 늘립니다. 옵션을 여러 번 포함하여
-v
형식으로 자세한 정도를 늘립니다(예시:-vvvvv
.참고
버전 4.2부터 MongoDB는 로그 메시지에 디버그 상세도 수준(1~5)을 포함합니다. 예를 들어, 상세도 수준이 2인 경우 MongoDB는
D2
을(를) 기록합니다. 이전 버전에서는 MongoDB 로그 메시지에 디버그 수준에D
만 지정되었습니다.
--quiet
출력량을 제한하려고 시도하는 자동 모드에서
mongod
를 실행합니다.이 옵션은 다음과 같은 활동을 억제합니다.
데이터베이스 명령의 출력
복제 활동
연결 수락 이벤트
연결 종료 이벤트
--port <port>
기본값:
27017
mongod
가 샤드 멤버 또는 config 서버 멤버가 아닌 경우27018
mongod
가shard member
인 경우27019
mongod
가config server member
인 경우
MongoDB 인스턴스가 클라이언트 연결 수신을 대기하는 TCP 포트입니다.
--port
옵션은0
~65535
의 값 범위를 허용합니다. 포트를0
으로 설정하면 운영 체제에서 할당한 임의의 포트를 사용하도록mongod
이(가) 구성됩니다.
--bind_ip <hostnames|ipaddresses|Unix domain socket paths>
기본값: localhost
mongod
에서 클라이언트 연결을 수신해야 하는 호스트 이름 및/또는 IP 주소 및/또는 전체 Unix 도메인 소켓 경로 모든 인터페이스에mongod
을(를) 첨부할 수 있습니다. 여러 주소를 바인딩하려면 쉼표로 구분된 값 목록을 입력하세요.예시
localhost,/tmp/mongod.sock
IPv4와 IPv6 주소를 모두 지정하거나, IPv4 또는 IPv6 주소로 해결되는 호스트 이름을 지정할 수 있습니다.
예시
localhost, 2001:0DB8:e132:ba26:0d5c:2774:e7f9:d513
참고
링크-로컬 IPv6 주소 를 지정하는 경우 (
fe80::/10
), 구역 인덱스 를 추가해야 합니다. 해당 주소로(예:fe80::<address>%<adapter-name>
).예시
localhost,fe80::a00:27ff:fee0:1fcf%enp0s3
중요
변경된 IP 주소로 인해 구성이 업데이트되는 것을 방지하려면 IP 주소 대신 DNS 호스트 이름을 사용하세요. 특히 복제본 세트 구성원 또는 샤딩된 클러스터 구성원을 구성할 때 IP 주소 대신 DNS 호스트 이름을 사용하는 것이 중요합니다.
IP 주소 대신 호스트 이름을 사용하여 스플릿 네트워크 호라이즌 전반에 걸쳐 클러스터를 구성하세요. MongoDB 5.0부터 IP 주소로만 구성된 노드는 스타트업 유효성 검사에 실패하며 시작되지 않습니다.
경고
인스턴스를 공개적으로 접근 가능한 IP 주소에 바인딩하기 전에 무단 접근으로부터 클러스터를 보호해야 합니다. 보안 권장 사항의 전체 목록은 자체 관리 배포서버에 대한 보안 검사 목록을 참조하세요. 최소한 인증을 활성화하고 네트워크 인프라를 강화하는 것을 고려합니다.
IP 바인딩에 대한 자세한 내용은 자체 관리 배포의 IP 바인딩 문서를 참조하세요.
모든 IPv4 주소에 바인딩하려면
0.0.0.0
~을 입력하세요.모든 IPv4 및 IPv6 주소에 바인딩하려면
::,0.0.0.0
또는 별표"*"
(파일 이름 패턴 확장을 방지하기 위해 별표를 따옴표로 묶음)를 입력합니다. 또는net.bindIpAll
설정을 사용합니다.참고
--bind_ip
와--bind_ip_all
은 상호 배타적입니다. 두 옵션을 모두 지정하면mongod
이(가) 오류를 발생시키고 종료됩니다.명령줄 옵션
--bind
는 구성 파일 설정net.bindIp
을(를) 재정의합니다.
--bind_ip_all
지정된 경우
mongod
인스턴스는 모든 IPv4 주소에 바인딩됩니다. (즉,0.0.0.0
).mongod
(이)가--ipv6
(으)로 시작하는 경우,--bind_ip_all
도 모든 IPv6 주소에 바인딩됩니다. (즉,::
)mongod
--ipv6
로 시작하는 경우 IPv6 만 지원합니다.--bind_ip_all
만 지정해도 IPv6 지원이 활성화되지 않습니다.경고
인스턴스를 공개적으로 접근 가능한 IP 주소에 바인딩하기 전에 무단 접근으로부터 클러스터를 보호해야 합니다. 보안 권장 사항의 전체 목록은 자체 관리 배포서버에 대한 보안 검사 목록을 참조하세요. 최소한 인증을 활성화하고 네트워크 인프라를 강화하는 것을 고려합니다.
IP 바인딩에 대한 자세한 내용은 자체 관리 배포의 IP 바인딩 문서를 참조하세요.
또는
--bind_ip
옵션을::,0.0.0.0
또는 별표"*"
로 설정할 수 있습니다(파일 이름 패턴 확장을 방지하기 위해 별표를 따옴표로 묶음).참고
--bind_ip
와--bind_ip_all
은 상호 배타적입니다. 즉, 둘 중 하나를 지정할 수는 있지만 둘 다 지정할 수는 없습니다.
--clusterIpSourceAllowlist <string>
버전 5.0에 추가.
mongod
가 복제본 세트의 다른 멤버 및 샤딩된 클러스터의 일부인 경우mongos
인스턴스의 인증 요청을 검증하는 IP 주소/CIDR(클래스 없는 도메인 간 라우팅) 범위 목록입니다.mongod
는 원래 IP가 목록에 명시적으로 있거나 목록의 CIDR 범위에 속하는지 확인합니다. IP 주소가 없으면 서버는mongod
또는mongos
를 인증하지 않습니다.--clusterIpSourceAllowlist
는 인증없이 시작된mongod
에는 영향을 주지 않습니다.--clusterIpSourceAllowlist
는 쉼표로 구분된 여러 개의IPv4/6 주소 또는 클래스 없는 도메인 간 라우팅(CIDR) 범위를 허용합니다.mongod --clusterIpSourceAllowlist 192.0.2.0/24,127.0.0.1,::1 중요
--clusterIpSourceAllowlist
에 배포 시 각 복제본 세트 멤버 또는mongos
의 IP 주소를 포함하는 IP 주소 또는 CIDR 범위가 포함되어 있는지 확인합니다. 이는 클러스터 구성 요소 간의 정상적인 통신을 보장하는 데 필요합니다.
--clusterIpSourceWhitelist <string>
버전 5.0에서 더 이상 사용되지 않음: 대신
--clusterIpSourceAllowlist
를 사용하세요.mongod
가 복제본 세트의 다른 멤버 및 샤딩된 클러스터의 일부인 경우mongos
인스턴스의 인증 요청을 검증하는 IP 주소/CIDR(클래스 없는 도메인 간 라우팅) 범위 목록입니다.mongod
는 원래 IP가 목록에 명시적으로 있거나 목록의 CIDR 범위에 속하는지 확인합니다. IP 주소가 없으면 서버는mongod
또는mongos
를 인증하지 않습니다.--clusterIpSourceWhitelist
는 인증없이 시작된mongod
에는 영향을 주지 않습니다.--clusterIpSourceWhitelist
는 쉼표로 구분된 여러 개의IPv4/6 주소 또는 클래스 없는 도메인 간 라우팅(CIDR) 범위를 허용합니다.mongod --clusterIpSourceWhitelist 192.0.2.0/24,127.0.0.1,::1 중요
--clusterIpSourceWhitelist
에 배포 시 각 복제본 세트 멤버 또는mongos
의 IP 주소를 포함하는 IP 주소 또는 CIDR 범위가 포함되어 있는지 확인합니다. 이는 클러스터 구성 요소 간의 정상적인 통신을 보장하는 데 필요합니다.
--ipv6
IPv6 지원을 활성화합니다.
mongod
은 기본적으로 IPv6 지원을 사용하지 않도록 설정합니다.--ipv6
설정은mongod
가 로컬 IPv6 주소 또는 인터페이스를 수신하도록 지시 하지 않습니다. IPv6 인터페이스에서 수신하도록mongod
를 구성하려면 다음 중 하나를 수행해야 합니다.IPv6 주소로 확인되는 하나 이상의 IPv6 주소 또는 호스트 이름으로
--bind_ip
를 구성 또는--bind_ip_all
을true
로 설정합니다.
--listenBacklog <number>
기본값: 대상 시스템
SOMAXCONN
상수수신 대기열에 존재할 수 있는 최대 연결 수입니다.
경고
이 매개 변수를 사용하기 전에 로컬 시스템 설명서를 통해 제한 사항과 구성 요구 사항을 살펴보세요.
중요
정의되지 않은 동작을 방지하려면 이 매개변수의 값을
1
과 로컬 시스템SOMAXCONN
상수 사이에 지정하세요.listenBacklog
매개 변수의 기본값은 컴파일 타임에 대상 시스템SOMAXCONN
상수로 설정됩니다.SOMAXCONN
은(는) 청취 시스템 호출에 대한 backlog 매개변수에 대해 문서화된 최대 유효 값입니다.일부 시스템은
SOMAXCONN
상징적으로 해석하고 다른 시스템은 수치로 해석할 수 있습니다. 실제로 적용되는 실제 수신 백로그는SOMAXCONN
상수 또는--listenBacklog
에 대한 인수의 숫자 해석과 다를 수 있으며 Linux의net.core.somaxconn
과 같은 시스템 설정에 의해 제약을 받을 수도 있습니다.로컬 시스템의
SOMAXCONN
상수를 초과하는listenBacklog
매개 변수 값을 전달하는 것은 표준상 정의되지 않은 동작입니다. 값이 높으면 자동으로 정수가 잘리거나, 무시되거나, 예기치 않은 리소스 소모가 발생하거나, 기타 부정적인 결과가 발생할 수 있습니다.로컬 시스템이
SOMAXCONN
상수보다 높은 백로그 매개변수 값을 적용할 수 있는 것으로 경험적으로 알려진 연결 스파이크가 발생하는 워크로드가 있는 시스템에서listenBacklog
매개변수를 더 높은 값으로 설정하면 백오프 상태로 강제 전환되는 연결 수를 줄여 클라이언트가 관찰하는 작업 지연 시간을 줄일 수 있습니다.
--maxConns <number>
mongod
수락하는 최대 동시 연결 수입니다. 이 설정은 운영 체제에 구성된 최대 연결 추적 임계값보다 높은 경우 아무런 효과가 없습니다.이 옵션에 너무 낮은 값을 할당하지 마세요. 값이 너무 낮으면 정상적인 애플리케이션 작동 중에 오류가 발생합니다.
--logpath <path>
모든 진단 로깅 정보를 표준 출력이나 호스트의 시스템 시스템 로그 시스템이 아닌 로그 파일로 보냅니다. MongoDB는 사용자가 지정한 경로에 로그 파일을 생성합니다.
기본적으로 MongoDB는 기존 로그 파일을 덮어쓰지 않고 이동합니다. 대신 로그 파일에 추가하려면
--logappend
옵션을 설정합니다.
--syslog
모든 로깅 출력을 표준 출력이나 로그 파일(
--logpath
)이 아닌 호스트의 syslog 시스템으로 보냅니다.--syslog
옵션은 Windows에서 지원되지 않습니다.경고
syslog
데몬은 MongoDB가 메시지를 발행할 때가 아니라 메시지를 기록할 때 타임스탬프를 생성합니다. 이로 인해 로그 항목에 대한 잘못된 타임스탬프가 발생할 수 있으며, 특히 시스템에 부하가 많이 걸리는 경우 더욱 그렇습니다. 프로덕션 시스템에서는 정확한 타임스탬프를 보장하기 위해--logpath
옵션을 사용하는 것이 좋습니다.MongoDB는
syslog
로 보내는 로그 메시지에 구성 요소를 포함합니다.... ACCESS [repl writer worker 5] Unsupported modification to roles collection ...
--syslogFacility <string>
기본값: 사용자
시스템 로그에 메시지를 기록할 때 사용되는 기능 수준을 지정합니다. 지정한 값은 운영 체제의 시스템 로그 구현에서 지원되어야 합니다. 이 옵션을 사용하려면
--syslog
옵션을 활성화해야 합니다.
--logappend
mongod
인스턴스가 다시 시작되면 기존 로그 파일 끝에 새 항목을 추가합니다. 이 옵션을 사용하지 않으면mongod
가 기존 로그를 백업하고 새 파일을 만듭니다.
--logRotate <string>
기본값: 이름 바꾸기
서버 로그 및/또는 감사 로그를 회전할 때
logRotate
명령의 동작을 결정합니다. 3} 또는rename
reopen
를 지정합니다:rename
로그 파일의 이름을 변경합니다.reopen
일반적인 Linux/Unix 로그 회전 동작에 따라 로그 파일을 닫았다가 다시 엽니다. Linux/유닉스 로그 로테이트 유틸리티를 사용할 때는reopen
을 사용하여 로그 손실을 방지하세요.reopen
(을)를 지정하는 경우--logappend
도 사용해야 합니다.
--timeStampFormat <string>
Default: iso8601-local
로그 메시지의 타임스탬프에 사용되는 시간 형식입니다. 다음 값 중 하나를 지정하세요.
값설명iso8601-utc
ISO-8601 형식의 협정 세계시(UTC)로 타임스탬프를 표시합니다. 예를 들어, 에포크가 시작되는 시점의 뉴욕의 경우입니다.1970-01-01T00:00:00.000Z
iso8601-local
ISO-8601 형식의 현지 시간으로 타임스탬프를 표시합니다. 예를 들어, 에포크가 시작될 때 뉴욕의 경우는 다음과 같습니다.1969-12-31T19:00:00.000-05:00
참고
--timeStampFormat
은 더 이상ctime
을 지원하지 않습니다.ctime
형식 날짜의 예시는Wed Dec 31 18:17:54.811
입니다.
--pidfilepath <path>
mongod
프로세스의 프로세스 ID(PID)를 저장할 파일 위치를 지정합니다.mongod
또는mongos
프로세스를 실행하는 사용자는 이 경로에 쓸 수 있어야 합니다.--pidfilepath
옵션을 지정하지 않으면 프로세스에서 PID 파일을 생성하지 않습니다. 이 옵션은 일반적으로--fork
옵션과 함께 사용할 때만 유용합니다.참고
Linux
Linux에서 PID 파일 관리는 일반적으로 배포판의 init 시스템에서 담당합니다. 일반적으로
/etc/init.d
디렉토리의 서비스 파일 또는systemctl
로 등록된 시스템 단위 파일입니다. 이러한 init 시스템 중 하나를 사용하지 않는 경우에만--pidfilepath
옵션을 사용합니다. 자세한 내용은 운영 체제의 해당 설치 가이드를 참조합니다.참고
macOS
macOS에서 PID 파일 관리는 일반적으로
brew
에서 처리합니다. macOS 시스템에서brew
를 사용하지 않는 경우에만--pidfilepath
옵션을 사용합니다. 자세한 내용은 해당 운영 체제에 대한 설치 안내서를 참조하세요.
--keyFile <file>
MongoDB 인스턴스가 샤딩된 클러스터 또는 복제본 세트 에서 서로를 인증하는 데 사용하는 공유 암호를 저장하는 키 파일 의 경로를 지정합니다.
--keyFile
은--auth
을 의미합니다. 자세한 내용은 자체 관리 내부/멤버십 인증 을 참조하세요.내부 멤버십 인증을 위한 키파일은 YAML 형식을 사용해 키파일에 여러 키를 허용합니다. YAML 형식은 다음 중 하나를 허용합니다.
단일 키 문자열(이전 버전과 동일)
키 문자열의 순서
YAML 형식은 텍스트 파일 형식을 사용하는 기존의 단일 키 키파일과 호환됩니다.
--setParameter <options>
자체 관리형 배포서버를 위한 MongoDB Server 매개 변수 에 설명된 MongoDB 매개변수 중 하나를 지정합니다. 여러 개의
setParameter
필드를 지정할 수 있습니다.
--nounixsocket
유닉스 도메인 소켓에서 수신을 비활성화합니다.
--nounixsocket
은 유닉스 기반 시스템에만 적용됩니다.다음 중 하나가 참이 아닌 한
mongod
프로세스는 항상 UNIX 소켓을 수신합니다.--nounixsocket
is setnet.bindIp
is not setnet.bindIp
은(는)localhost
또는 관련 IP 주소를 지정하지 않습니다.
mongod
공식 .deb에서 설치됨 및 .rpm 패키지는bind_ip
기본적으로 구성이127.0.0.1
로 설정되어 있습니다.
--unixSocketPrefix <path>
기본값/tmp
UNIX 소켓의 경로입니다.
--unixSocketPrefix
는 유닉스 기반 시스템에만 적용됩니다.이 옵션에 값이 없으면
mongod
프로세스가/tmp
을(를) 접두사로 사용하여 소켓을 만듭니다. 다음 중 하나에 해당하지 않는 한 MongoDB는 UNIX 소켓에서 생성하고 수신 대기합니다.net.unixDomainSocket.enabled
입니다false
--nounixsocket
is setnet.bindIp
is not setnet.bindIp
은(는)localhost
또는 관련 IP 주소를 지정하지 않습니다.
--filePermissions <path>
기본값:
0700
UNIX 도메인 소켓 파일의 권한을 설정합니다.
--filePermissions
Unix 기반 시스템에만 적용됩니다.
--fork
백그라운드에서
mongod
프로세스를 실행하는 데몬 모드를 사용하도록 설정합니다.--fork
옵션은 Windows에서 지원되지 않습니다.기본적으로
mongod
은(는) 데몬으로 실행되지 않습니다.--fork
또는 데몬화를 처리하는 제어 프로세스(예:upstart
또는systemd
)를 사용하여mongod
(을)를 데몬으로 실행합니다.--fork
를 사용하려면 다음 중 하나를 사용하여mongod
에 대한 로그 출력을 구성합니다.
--auth
데이터베이스 리소스와 운영에 대한 사용자 액세스를 제어할 수 있는 권한을 활성화합니다. 권한이 활성화되면 MongoDB는 클라이언트의 액세스를 결정하기 위해 모든 클라이언트가 인증을 거치도록 요구합니다.
사용자를 구성하려면
mongosh
클라이언트를 사용합니다. 사용자가 없으면 첫 번째 사용자를 생성할 때까지 localhost 인터페이스가 데이터베이스에 액세스할 수 있습니다.자세한 내용은 보안을 참조하세요.
--transitionToAuth
mongod
배포의 다른mongod
및mongos
인스턴스와의 인증 및 비인증 연결을 수락하고 생성할 수 있도록 허용합니다. 인증 없는 구성에서 내부 인증으로 복제본 세트 또는 샤딩된 클러스터의 롤링 전환을 수행하는 데 사용됩니다.--keyFile
과 같은 내부 인증 메커니즘을 지정해야 합니다.예를 들어 내부 인증에 키파일을 사용하는 경우
mongod
은(는) 일치하는 키파일을 사용하여 배포의 모든mongod
또는mongos
와의 인증된 연결을 생성합니다. 보안 메커니즘이 일치하지 않으면mongod
은(는) 대신 인증되지 않은 연결을 활용합니다.--transitionToAuth
와 함께 실행되는mongod
는 사용자 액세스 제어를 적용하지 않습니다. 사용자는 액세스 제어 검사 없이 배포에 연결하여 읽기, 쓰기 및 관리 작업을 수행할 수 있습니다.참고
내부 인증을 사용하면서
--transitionToAuth
를 사용하지 않고 실행 중인mongod
는 클라이언트가 사용자 액세스 제어를 사용하여 연결해야 합니다.--transitionToAuth
없이mongod
를 다시 시작하기 전에 적절한 사용자를 사용하여mongod
에 연결하도록 클라이언트를 업데이트합니다.
--notablescan
collection 스캔이 필요한 작업을 금지합니다. 추가 정보는
notablescan
을(를) 참조하세요.
--shutdown
--shutdown
옵션은mongod
프로세스를 깔끔하고 안전하게 종료합니다. 이 옵션으로mongod
를 호출할 때는--dbpath
옵션을 직접 설정하거나 구성 파일과--config
옵션을 통해 설정해야 합니다.--shutdown
옵션은 Linux 시스템에서만 사용할 수 있습니다.종료하는 다른 방법은
mongod
프로세스 중지를 참조하십시오.
--redactClientLogData
MongoDB Enterprise에서만 사용할 수 있습니다.
--redactClientLogData
로 실행되는mongod
는 로깅하기 전에 지정된 로그 이벤트와 함께 발생하는 모든 메시지를 수정합니다. 이렇게 하면mongod
가 데이터베이스에 저장된 잠재적으로 민감한 데이터를 진단 로그에 기록하는 것을 방지합니다. 오류 또는 작업 코드, 줄 번호, 소스 파일 이름과 같은 메타데이터는 여전히 로그에 표시됩니다.--redactClientLogData
를 미사용 데이터 암호화 및 TLS/SSL(전송 암호화)과 함께 사용하여 규제 요건을 준수할 수 있습니다.예를 들어, MongoDB 배포는 하나 이상의 컬렉션에 PII(개인 식별 정보)를 저장할 수 있습니다.
mongod
는 CRUD 작업, 샤딩 메타데이터 등과 관련된 이벤트를 기록합니다.mongod
가 이러한 로깅 작업의 일부로 PII를 노출할 수 있습니다.--redactClientLogData
와 함께 실행되는mongod
는 로그에 출력되기 전에 이러한 이벤트와 함께 제공되는 모든 메시지를 제거하여 PII를 효과적으로 제거합니다.--redactClientLogData
와 함께 실행되는mongod
에 대한 진단은 로그 이벤트와 관련된 데이터 부족으로 인해 더 어려울 수 있습니다.--redactClientLogData
가 로그 출력에 미치는 영향에 대한 예시는 프로세스 로깅 매뉴얼 페이지를 참조하세요.실행 중인
mongod
에서setParameter
을(를)redactClientLogData
매개 변수와 함께 사용하여 이 설정을 구성합니다.
--networkMessageCompressors <string>
Default: snappy,zstd,zlib
이
mongod
인스턴스와 다음 간의 통신에 사용할 기본 압축기를 지정합니다.인스턴스가 복제본 세트나 샤딩된 클러스터의 일부인 경우 배포서버의 다른 구성원
OP_COMPRESSED
메시지 형식을 지원하는 드라이버입니다.
MongoDB는 다음과 같은 압축 옵션을 지원합니다.
참고
mongod
및mongos
인스턴스 모두 기본적으로 순서대로snappy,zstd,zlib
압축기로 설정됩니다.네트워크 압축을 사용하지 않으려면 값을
disabled
로 설정합니다.중요
양쪽 당사자가 네트워크 압축을 활성화하면 메시지가 압축됩니다. 그렇지 않으면 양 당사자 간의 메시지는 압축되지 않습니다.
여러 압축기를 지정하는 경우 통신 개시자뿐만 아니라 압축기를 나열하는 순서도 중요합니다. 예를 들어
mongosh
가 다음 네트워크 압축기zlib,snappy
를 지정하고mongod
가snappy,zlib
를 지정하는 경우mongosh
와mongod
사이의 메시지는zlib
를 사용합니다.양 당사자가 공통 압축기를 적어도 하나 이상 공유하지 않는 경우, 당사자 간의 메시지는 압축되지 않습니다. 예를 들어,
mongosh
가 네트워크 압축기zlib
를 지정하고mongod
가snappy
를 지정하는 경우mongosh
와mongod
사이의 메시지는 압축되지 않습니다.
--timeZoneInfo <path>
시간대 데이터베이스를 로드할 전체 경로입니다. 이 옵션을 제공하지 않을 경우 MongoDB는 내장된 시간대 데이터베이스를 사용합니다.
Linux 및 macOS 패키지에 포함된 구성 파일은 기본적으로 구역 데이터베이스 경로를
/usr/share/zoneinfo
로 설정합니다.내장된 시간대 데이터베이스는 Olson/IANA 시간대 데이터베이스의 복사본입니다. MongoDB 출시와 함께 업데이트되지만 시간대 데이터베이스 출시 주기는 MongoDB 출시 주기와 다릅니다. 시간대 데이터베이스의 최신 출시는 다운로드 사이트에서 사용할 수 있습니다.
wget https://downloads.mongodb.org/olson_tz_db/timezonedb-latest.zip unzip timezonedb-latest.zip mongod --timeZoneInfo timezonedb-2017b/ 경고
MongoDB는 타사 timelib 라이브러리를 사용하여 시간대 간의 정확한 변환을 제공합니다. 최근 업데이트로 인해 이전 버전의 MongoDB에서
timelib
의 시간대 변환이 정확하지 않을 수 있습니다.MongoDB 5.0 이전 버전에서 표준 시간대 데이터베이스에 명시적으로 연결하려면 표준 시간대 데이터베이스를 다운로드하고
timeZoneInfo
매개변수를 사용하세요.
--outputConfig
YAML로 형식이 지정된
mongod
인스턴스의 구성 옵션을stdout
출력하고mongod
인스턴스 를 종료합니다. 자체 관리형 배포서버에 외부 소스 구성 파일 값을 사용하는 구성 옵션의 경우--outputConfig
는 해당 옵션에 대해 확인된 값을 반환합니다.경고
여기에는 이전에 외부 소스를 통해 난독화된 모든 구성 비밀번호와 암호가 포함될 수 있습니다.
활용 예시는 다음 문서를 참조하세요.
LDAP 인증 또는 권한 부여 옵션
참고
MongoDB 8.0 부터 시작됩니다. LDAP 인증 및 권한 부여 는 더 이상 사용되지 않습니다. LDAP 는 사용할 수 있으며 MongoDB 8 의 수명 기간 동안 변경 없이 계속 작동합니다. LDAP 는 향후 주요 출시하다 에서 제거될 예정입니다.
자세한 내용은 LDAP 사용 중단을 참조하세요.
--ldapServers <host1>:<port>,<host2>:<port>,...,<hostN>:<port>
MongoDB Enterprise에서만 사용할 수 있습니다.
mongod
사용자를 인증하거나 사용자가 특정 데이터베이스에서 수행할 수 있는 작업을 결정하는 LDAP 서버입니다. 지정된 LDAP 서버에 복제된 인스턴스가 있는 경우 각 복제된 서버의 호스트와 포트를 쉼표로 구분된 목록으로 지정할 수 있습니다.LDAP 인프라가 여러 LDAP 서버에 걸쳐 LDAP 디렉토리를 분할하는 경우, 하나 의 LDAP 서버 또는 해당 서버의 복제된 인스턴스를
--ldapServers
으로 지정합니다. MongoDB는 RFC 4511 4.1 에 정의된 대로 다음과 같은10 LDAP 참조를 지원합니다. . 인프라의 모든 LDAP 서버를 나열하는 데--ldapServers
를 사용하지 마세요.이 설정은
setParameter
을(를) 사용하여 실행 중인mongod
에서 구성할 수 있습니다.설정하지 않으면
mongod
은(는) LDAP 인증 또는 권한 부여사용할 수 없습니다.
--ldapValidateLDAPServerConfig <boolean>
MongoDB Enterprise에서만 사용할 수 있습니다.
mongod
인스턴스가 시작의 일부로LDAP server(s)
의 가용성을 확인하는지 여부를 결정하는 플래그입니다.true
인 경우mongod
인스턴스는 가용성 확인을 수행하고 LDAP 서버를 사용할 수 있는 경우에만 계속 시작됩니다.false
인 경우mongod
인스턴스는 가용성 검사를 생략합니다. 즉, LDAP 서버를 사용할 수 없는 경우에도 인스턴스가 시작됩니다.
--ldapQueryUser <string>
MongoDB Enterprise에서만 사용할 수 있습니다.
LDAP 서버에 연결하거나 쿼리를 수행할 때
mongod
이 바인딩되는 ID입니다.다음 중 하나라도 해당하는 경우에만 필요합니다.
username transformation
에 대한 LDAP 쿼리 사용.LDAP 서버가 익명 바인딩을 허용하지 않음
--ldapQueryUser
와--ldapQueryPassword
를 함께 사용해야 합니다.설정하지 않으면
mongod
은 LDAP 서버에 바인딩을 시도하지 않습니다.이 설정은
setParameter
을(를) 사용하여 실행 중인mongod
에서 구성할 수 있습니다.참고
Windows MongoDB 배포는
--ldapBindWithOSDefaults
를--ldapQueryUser
및--ldapQueryPassword
대신 사용할 수 있습니다.--ldapQueryUser
와--ldapBindWithOSDefaults
를 동시에 지정할 수는 없습니다.
MongoDB Enterprise에서만 사용할 수 있습니다.
--ldapQueryUser
사용 시 LDAP 서버에 바인딩하는 데 사용되는 비밀번호입니다. --ldapQueryPassword
와 --ldapQueryUser
를 함께 사용해야 합니다.
설정하지 않으면 mongod
는 LDAP 서버에 바인딩을 시도하지 않습니다.
setParameter
를 사용하여 실행 중인 mongod
에서 이 설정을 구성할 수 있습니다.
ldapQueryPassword
setParameter
명령은 string 또는 string 배열을 허용합니다. ldapQueryPassword
배열에 설정하면, MongoDB는 성공할 때까지 각 암호를 순서대로 시도합니다. 비밀번호 배열을 사용하여 다운타임 없이 LDAP 계정 비밀번호를 롤오버할 수 있습니다.
참고
Windows MongoDB 배포는 --ldapBindWithOSDefaults
를 --ldapQueryUser
및 --ldapQueryPassword
대신 사용할 수 있습니다. --ldapQueryPassword
와 --ldapBindWithOSDefaults
를 동시에 지정할 수는 없습니다.
--ldapBindWithOSDefaults <bool>
기본값: false
Windows 플랫폼용 MongoDB Enterprise에서만 사용할 수 있습니다.
LDAP 서버에 연결할 때
mongod
이(가) Windows 로그인 자격 증명을 사용하여 인증하거나 바인딩할 수 있도록 허용합니다.다음과 같은 경우에만 필요합니다.
username transformation
에 대한 LDAP 쿼리 사용.LDAP 서버가 익명 바인딩을 허용하지 않음
--ldapBindWithOSDefaults
를 사용하여--ldapQueryUser
및--ldapQueryPassword
를 변경합니다.
--ldapBindMethod <string>
기본값: 단순
MongoDB Enterprise에서만 사용할 수 있습니다.
mongod
가 LDAP 서버에 인증하는 데 사용하는 방법입니다.--ldapQueryUser
및--ldapQueryPassword
를 사용하여 LDAP 서버에 연결합니다.--ldapBindMethod
다음 값을 지원합니다.simple
-mongod
는 간단한 인증을 사용합니다.sasl
-mongod
는 인증에 SASL 프로토콜을 사용합니다.
sasl
를 지정하는 경우--ldapBindSaslMechanisms
를 사용하여 사용 가능한 SASL 메커니즘을 구성할 수 있습니다.mongod
는 기본적으로DIGEST-MD5
메커니즘을 사용합니다.
--ldapBindSaslMechanisms <string>
기본값입니다: DIGEST-MD5
MongoDB Enterprise에서만 사용할 수 있습니다.
쉼표로 구분된
mongod
이(가) LDAP 서버에 인증할 때 사용할 수 있는 SASL 메커니즘의 목록입니다.mongod
및 LDAP 서버는 하나 이상의 메커니즘에 동의해야 합니다.mongod
은(는) 런타임 시 호스트 컴퓨터에 설치된 모든 SASL 메커니즘 라이브러리를 동적으로 로드합니다.mongod
호스트와 원격 LDAP 서버 호스트 둘 다에서 선택한 SASL 메커니즘에 적합한 라이브러리를 설치하고 구성합니다. 운영 체제에는 기본적으로 특정 SASL 라이브러리가 포함되어 있을 수 있습니다. 설치 및 구성에 대한 지침은 각 SASL 메커니즘과 관련된 설명서를 참조하세요.자체 관리 배포서버에서 Kerberos 인증 과 함께
GSSAPI
SASL 메커니즘을 사용하는 경우mongod
호스팅하다 시스템에 대해 다음을 확인합니다.Linux
KRB5_CLIENT_KTNAME
환경 변수는 호스트 컴퓨터의 클라이언트 Linux 키탭 파일 이름으로 확인됩니다. Kerberos 환경 변수에 대한 자세한 내용은 Kerberos 설명서를 참조하세요.클라이언트 키 탭에는 LDAP 서버에 연결하고 LDAP 쿼리를 실행할 때 사용할
mongod
의 사용자 주체가 포함되어 있습니다.
Windows
- 활성 디렉토리 서버에 연결하는 경우 사용자가 시스템에 로그인할 때 Windows Kerberos 구성이 자동으로 티켓 부여 티켓을 생성합니다.
mongod
가 Active Directory 서버에 연결하고 쿼리를 실행할 때 생성된 자격 증명을 사용할 수 있도록 하려면--ldapBindWithOSDefaults
를true
로 설정합니다.
이 옵션을 사용하려면
--ldapBindMethod
를sasl
로 설정합니다.참고
SASL 메커니즘의 전체 목록은 IANA 목록을 참조하세요. 해당 서비스와 호환되는 SASL 메커니즘을 확인하려면 해당 LDAP 또는 Active Directory 서비스의 설명서를 참조하세요.
MongoDB는 SASL 메커니즘 라이브러리의 출처가 아닙니다. 또한, MongoDB 설명서는 특정 SASL 메커니즘 설치나 구성을 위한 절대적인 출처가 아닙니다. 설명서와 지원은 SASL 메커니즘 라이브러리 공급업체나 소유자에게 요청하시기 바랍니다.
SASL에 관한 자세한 내용은 다음 리소스를 참조하세요.
Linux의 경우 Cyrus SASL 설명서를 참조하세요.
Windows의 경우 Windows SASL 설명서를 참조하세요.
--ldapTransportSecurity <string>
기본값: tls
MongoDB Enterprise에서만 사용할 수 있습니다.
기본적으로
mongod
은 LDAP 서버에 대한 TLS/SSL 보안 연결을 만듭니다.Linux 배포의 경우
/etc/openldap/ldap.conf
파일에서 적절한 TLS 옵션을 구성해야 합니다. 운영 체제의 패키지 관리자가libldap
종속성을 통해 MongoDB Enterprise 설치의 일부로 이 파일을 생성합니다. 더 자세한 내용은 ldap.conf OpenLDAP 설명서에서TLS Options
에 관한 설명을 참조하세요.Windows 배포서버의 경우, 반드시 LDAP 서버 CA 인증서를 Windows 인증서 관리 도구에 추가해야 합니다.도구의 정확한 이름과 기능은 운영 체제의 버전에 따라 다를 수 있습니다.인증서 관리에 관한 자세한 정보는 Windows 버전별 설명서를 참조하세요.
mongod
와 LDAP 서버 간의 TLS/SSL을 비활성화하려면--ldapTransportSecurity
를none
으로 설정합니다.경고
--ldapTransportSecurity
를none
으로 설정하면mongod
와 LDAP 서버 간에 일반 텍스트 정보 및 자격 증명이 전송될 수 있습니다.
--ldapTimeoutMS <int>
기본값: 10000
MongoDB Enterprise에서만 사용할 수 있습니다.
LDAP 서버가 요청에 응답할 때까지
mongod
이(가) 기다려야 하는 시간(밀리초) 입니다.--ldapTimeoutMS
값을 늘리면 실패의 원인이 연결 시간 초과인 경우 MongoDB Server와 LDAP 서버 간의 연결 실패를 방지할 수 있습니다.--ldapTimeoutMS
값을 줄이면 MongoDB가 LDAP 서버의 응답을 기다리는 시간이 줄어듭니다.이 설정은
setParameter
을(를) 사용하여 실행 중인mongod
에서 구성할 수 있습니다.
--ldapRetryCount <int>
버전 6.1에 추가.
기본값: 0
MongoDB Enterprise에서만 사용할 수 있습니다.
네트워크 오류 후 서버 LDAP 관리자가 작업을 다시 시도한 횟수입니다.
--ldapUserToDNMapping <string>
MongoDB Enterprise에서만 사용할 수 있습니다.
인증을 위해
mongod
에 제공된 사용자 이름을 LDAP DN(고유 이름)에 매핑합니다. 다음과 같은 시나리오에서는--ldapUserToDNMapping
을 사용하여 사용자 이름을 LDAP DN으로 변환해야 할 수 있습니다.사용자가 완전한 LDAP DN이 아닌 사용자 이름으로 MongoDB에서 인증하는 간단한 LDAP 바인딩을 사용해 LDAP 인증을 실행하는 경우
고유 이름이 필요한
LDAP authorization query template
을 사용합니다.x.509 또는 Kerberos 등의 다양한 인증 메커니즘을 사용해 MongoDB에서 인증하는 클라이언트의 사용자 이름을 권한 승인을 위해 완전한 LDAP DN으로 전환하는 경우
--ldapUserToDNMapping
은 문서의 정렬된 배열을 나타내는 따옴표로 묶인 JSON 문자열을 기대합니다. 각 문서에는 정규 표현식match
및 들어오는 사용자 이름을 변환하는 데 사용되는substitution
또는ldapQuery
템플릿이 포함되어 있습니다.배열의 각 문서는 다음과 같은 형식을 갖습니다.
{ match: "<regex>" substitution: "<LDAP DN>" | ldapQuery: "<LDAP Query>" } 필드설명예시match
제공된 사용자 이름과 일치하는 ECMAScript 형식의 정규 표현식(regex)입니다. 괄호로 묶인 각 섹션은substitution
또는ldapQuery
에서 사용하는 regex 캡처 그룹을 나타냅니다."(.+)ENGINEERING"
"(.+)DBA"
substitution
"cn={0},ou=engineering, dc=example,dc=com"
ldapQuery
match
regex와 일치하는 인증 이름을 RFC4515 및 RFC4516 관련하여 인코딩된 LDAP 쿼리 URI에 삽입하는 LDAP 쿼리 형식 지정 템플릿입니다. 중괄호로 묶인 각 숫자 값은match
표현식을 통해 인증 사용자 이름에서 추출한 해당 정규식 캡처 그룹으로 대체됩니다.mongod
는 LDAP 서버에 대해 쿼리를 실행하여 인증된 사용자의 LDAP DN을 검색합니다.mongod
변환이 성공하려면 정확히 하나의 반환된 결과가 필요합니다. 그렇지 않으면mongod
는 이 변환을 건너뜁니다."ou=engineering,dc=example, dc=com??one?(user={0})"
참고
배열의 각 문서에 대해
substitution
또는ldapQuery
사용해야 합니다. 동일한 문서에서 둘 다 지정할 수는 없습니다 .인증 또는 권한 부여를 수행할 때
mongod
는 배열의 각 문서를 지정된 순서대로 진행하면서match
필터와 비교하여 인증 사용자 이름을 확인합니다. 일치하는 항목이 발견되면mongod
변환을 적용하고 사용자 인증을 위해 출력을 사용합니다.mongod
는 배열의 나머지 문서를 확인하지 않습니다.지정한 문서가 제공된 인증 이름과 일치하지 않는 경우
mongod
는 계속해서 문서 목록에서 일치하는 항목을 추가로 찾습니다. 문서에서 일치하는 항목을 찾을 수 없거나 문서에서 설명하는 변환이 실패하면mongod
오류를 반환합니다.mongod
는 LDAP 서버에 대한 네트워킹 또는 인증 장애로 인해 변환 중 하나를 평가할 수 없는 경우에도 오류를 반환합니다.mongod
는 연결 요청을 거부하고 배열의 나머지 문서를 확인하지 않습니다.MongoDB 5.0부터
--ldapUserToDNMapping
은 매핑 문서 대신 빈 문자열인""
또는 빈 배열인[ ]
을 허용합니다.--ldapUserToDNMapping
에 빈 문자열 또는 빈 배열을 제공하는 경우 MongoDB는 인증된 사용자 이름을 LDAP DN으로 매핑합니다. 이전 버전에서는 빈 매핑 문서를 제공하면 매핑이 실패합니다.예시
다음은 두 개의 변환 문서를 보여줍니다. 첫 번째 문서는
@ENGINEERING
로 끝나는 모든 문자열과 일치하며 접미사 앞에 오는 모든 항목을 regex 캡처 그룹에 배치합니다. 두 번째 문서는@DBA
로 끝나는 모든 문자열과 일치하며, 접미사 앞에 오는 모든 항목을 regex 캡처 그룹에 배치합니다.중요
--ldapUserToDNMapping에 배열을 문자열로 전달해야 합니다.
"[ { match: "(.+)@ENGINEERING.EXAMPLE.COM", substitution: "cn={0},ou=engineering,dc=example,dc=com" }, { match: "(.+)@DBA.EXAMPLE.COM", ldapQuery: "ou=dba,dc=example,dc=com??one?(user={0})" } ]" 사용자 이름이
alice@ENGINEERING.EXAMPLE.COM
인 사용자가 첫 번째 문서와 일치합니다. Regex 캡처 그룹{0}
은 문자열alice
에 해당합니다. 결과 출력은 DN"cn=alice,ou=engineering,dc=example,dc=com"
입니다.사용자 이름이
bob@DBA.EXAMPLE.COM
인 사용자가 두 번째 문서와 일치합니다. Regex 캡처 그룹{0}
은 문자열bob
에 해당합니다. 결과 출력은 LDAP 쿼리"ou=dba,dc=example,dc=com??one?(user=bob)"
입니다.mongod
는 LDAP 서버에 대해 이 쿼리를 실행하여 결과"cn=bob,ou=dba,dc=example,dc=com"
를 반환합니다.--ldapUserToDNMapping
이 설정되지 않은 경우mongod
는 LDAP 서버에 대해 사용자를 인증하거나 권한을 부여하려고 할 때 사용자 이름에 변환을 적용하지 않습니다.이 설정은 실행 중인
mongod
에서setParameter
데이터베이스 명령을 사용하여 구성할 수 있습니다.
--ldapAuthzQueryTemplate <string>
MongoDB Enterprise에서만 사용할 수 있습니다.
mongod
(이)가 인증된 사용자가 속한 LDAP 그룹을 가져오기 위해 실행하는 RFC4515 및 RFC4516을 준수하는 형식의 상대적 LDAP 쿼리 URL입니다. 쿼리는--ldapServers
에 지정된 하나 이상의 호스트를 기준으로 합니다.URL에서 다음과 같은 대체 토큰을 사용할 수 있습니다.
대체 토큰설명{USER}
인증된 사용자 이름을 대체하거나username mapping
이 지정된 경우transformed
사용자 이름을 대체합니다.{PROVIDED_USER}
인증 또는LDAP transformation
전에 제공된 사용자 이름 등을 대체합니다.쿼리 URL을 구성할 때 LDAP 매개 변수의 순서가 RFC4516을 준수하는지 확인하세요.
[ dn [ ? [attributes] [ ? [scope] [ ? [filter] [ ? [Extensions] ] ] ] ] ] 쿼리에 속성이 포함된 경우
mongod
는 쿼리가 이 엔터티가 속한 DN을 검색한다고 가정합니다.쿼리에 속성이 없는 경우
mongod
에서는 쿼리가 사용자가 멤버인 모든 엔티티를 검색한다고 가정합니다.쿼리에서 반환된 각 LDAP DN에 대해
mongod
는 권한이 부여된 사용자에게admin
데이터베이스에 해당하는 역할을 할당합니다.admin
데이터베이스의 역할이 DN과 정확히 일치하는 경우mongod
사용자에게 해당 역할에 할당된 역할과 권한을 부여합니다. 역할 생성에 대한 자세한 내용은db.createRole()
방법을 참조하세요.예시
이 LDAP 쿼리는 LDAP 사용자 개체의
memberOf
속성에 나열된 모든 그룹을 반환합니다."{USER}?memberOf?base" LDAP 구성에
memberOf
속성이 사용자 스키마의 일부로 포함되어 있지 않거나, 그룹 멤버십을 보고하는 데 다른 속성이 있거나, 속성을 통해 그룹 멤버십을 추적하지 못할 수 있습니다. 고유한 LDAP 구성과 관련하여 쿼리를 구성합니다.설정하지 않으면
mongod
에서 LDAP를 사용하여 사용자를 승인할 수 없습니다.이 설정은 실행 중인
mongod
에서setParameter
데이터베이스 명령을 사용하여 구성할 수 있습니다.
스토리지 옵션
--storageEngine string
기본값:
wiredTiger
mongod
데이터베이스의 스토리지 엔진을 지정합니다. 사용 가능한 값은 다음과 같습니다:값설명wiredTiger
WiredTiger 스토리지 엔진을 지정합니다.inMemory
자체 관리 배포서버를 위한 인메모리 스토리지 엔진을 지정합니다.
MongoDB Enterprise에서만 사용할 수 있습니다.
--storageEngine
에 의해 지정된 것이 아닌 스토리지 엔진에서 생성된 데이터 파일이 포함된--dbpath
를 사용해mongod
를 시작하려고 할 경우mongod
가 시작되지 않습니다.
--dbpath <path>
기본값: Linux 및 macOS에서는
/data/db
, Windows에서는\data\db
mongod
인스턴스가 데이터를 저장하는 디렉토리입니다.패키지 관리자 설치에 포함된 기본 구성 파일을 사용하는 경우, 해당
storage.dbPath
설정은 다른 기본값을 사용합니다.--dbpath
의 파일은--storageEngine
에 지정된 스토리지 엔진과 일치해야 합니다. 데이터 파일이--storageEngine
과 일치하지 않으면mongod
가 시작되지 않습니다.
--directoryperdb
별도의 디렉토리를 사용하여 각 데이터베이스에 대한 데이터를 저장합니다. 디렉토리는
--dbpath
디렉토리 아래에 있으며 각 하위 디렉토리 이름은 데이터베이스 이름에 해당합니다.인메모리 스토리지 엔진을 사용하는
mongod
인스턴스에는 사용할 수 없습니다.MongoDB 5.0부터
--directoryperdb
가 활성화된 상태에서 데이터베이스의 최종 컬렉션을 삭제하거나 데이터베이스 자체를 삭제하면 해당 데이터베이스의 새로 빈 하위 디렉토리가 삭제됩니다.기존 배포에 대한
--directoryperdb
옵션을 변경하려면 다음을 수행하세요.독립형 인스턴스의 경우:
기존
mongod
인스턴스에서mongodump
을(를) 사용하여 백업을 생성합니다.mongod
인스턴스를 중지합니다.--directoryperdb
값을 추가 하고 새 데이터 디렉토리를 구성합니다.mongod
인스턴스를 다시 시작합니다.mongorestore
를 사용하여 새 데이터 디렉토리를 채웁니다.
복제본 세트의 경우:
보조 구성원을 중지합니다.
--directoryperdb
값을 추가하고 해당 세컨더리 멤버에 새 데이터 디렉토리를 구성합니다.보조 구성원을 다시 시작합니다.
초기 동기화를 사용하여 새 데이터 디렉토리를 채웁니다.
다른 보 조구성원도 동일한 방식으로 업데이트합니다.
프라이머리를 물러나게 하고, 물러난 구성원을 같은 방식으로 업데이트합니다.
--syncdelay <value>
기본값: 60
MongoDB가 데이터를 데이터 파일로 플러시하기 전에 경과할 수 있는 시간을 제어합니다.
프로덕션 시스템에서는 이 값을 설정하지 마십시오. 거의 모든 상황에서 기본 설정을 사용해야 합니다.
mongod
프로세스는 데이터를 저널에 매우 빠르게 기록하고 데이터 파일에 느리게 기록합니다.--syncdelay
는 저널링에 영향을 미치지 않지만--syncdelay
가0
으로 설정된 경우 저널은 결국 사용 가능한 모든 디스크 공간을 소비합니다.인메모리 스토리지 엔진을 사용하는
mongod
인스턴스에는 사용할 수 없습니다.WiredTiger는 내구성 있는 데이터를 제공하기 위해 체크포인트를 사용합니다. 자세한 내용은 저널링 및 WiredTiger 스토리지 엔진을 참조하세요.
--upgrade
필요한 경우
--dbpath
에서 지정한 파일의 디스크에 있는 데이터 형식을 최신 버전으로 업그레이드합니다.이 옵션은 데이터 파일이 이전 형식인 경우에만
mongod
작업에 영향을 미칩니다.대부분의 경우 이 값을 설정하지 않는 것이 좋습니다. 그래야 업그레이드 프로세스를 최대한으로 제어할 수 있습니다. 업그레이드 프로세스에 관한 자세한 내용은 MongoDB 릴리스 노트를 참조하세요.
--repair
mongod
인스턴스의 모든 데이터베이스에서 복구 루틴을 실행합니다.MongoDB 5.0부터 도입됨:
복구 작업은 컬렉션의 유효성을 검사해 모든 불일치를 찾아내고 가능한 경우 이를 수정합니다. 그래서 인덱스를 다시 작성해야 하는 상황을 방지할 수 있습니다.
컬렉션의 데이터 파일이 복구되거나 컬렉션에 유효성 검사 단계에서 해결할 수 없는 불일치가 포함되어 있는 경우, 모든 인덱스가 다시 작성됩니다.
팁
저널링을 활성화하여 실행하는 경우, 서버가 저널 파일을 사용하여 데이터 파일을 자동으로 깨끗한 상태로 복원할 수 있으므로 복구를 실행할 필요가 거의 없습니다. 그러나 디스크 수준 데이터 손상을 복구해야 하는 경우 복구를 실행해야 할 수도 있습니다.
경고
다른 옵션이 없는 경우에만
mongod --repair
를 사용하세요. 이 작업은 복구 프로세스 중에 손상된 데이터를 제거하고 저장하지 않습니다.복제본 세트 멤버에 대해
--repair
를 실행하지 않습니다.복제본 세트 멤버를 복구하려면 데이터의 손상되지 않은 복사본을 사용할 수 있는 경우(예: 최근 백업 또는 복제본 세트 의 손상되지 않은 멤버) 대신 해당 손상되지 않은 사본에서 복원 합니다. 학습 내용 은 자체 관리형 복제본 세트의 구성원 재동기화를 참조하세요.
복제본 세트 멤버에 대해
mongod --repair
를 실행 하기로 선택하고 작업으로 인해 데이터 또는 메타데이터 데이터가 수정되는 경우에도 멤버가 복제본 세트 에 다시 참여하려면 전체 재동기화를 수행해야 합니다.
어떤 이유로든 복구가 완료되지 않으면
--repair
옵션을 사용하여 인스턴스를 다시 시작해야 합니다.
--journalCommitInterval <value>
기본값: 100
mongod
프로세스가 저널 작업 간에 허용하는 최대 시간(밀리초)입니다. 값의 범위는 1~500밀리초입니다. 값이 낮을수록 디스크 성능이 저하되는 대신 저널의 내구성이 높아집니다.WiredTiger에서 기본 저널 커밋 간격은 100밀리초입니다.
j:true
를 포함하거나 암시하는 쓰기는 즉시 저널 동기화를 유발합니다. 동기화 빈도에 영향을 미치는 추가 조건과 자세한 내용은 저널링 프로세스를 참조하세요.인메모리 스토리지 엔진을 사용하는
mongod
인스턴스에는 사용할 수 없습니다.
WiredTiger 옵션
--wiredTigerCacheSizeGB <float>
WiredTiger가 모든 데이터에 사용하는 내부 캐시의 최대 크기를 정의합니다. 인덱스 빌드에 사용되는 메모리(
maxIndexBuildMemoryUsageMegabytes
참조)는 WiredTiger 캐시 메모리와 분리되어 있습니다.값의 범위는
0.25
GB에서10000
GB까지입니다.기본 WiredTiger 내부 캐시 크기는 다음 중 더 큰 값입니다.
(RAM - 1GB)의 50%
256 MB.
예를 들어 총 4 GB RAM이 있는 시스템에서 WiredTiger 캐시는 1.5 GB RAM(
0.5 * (4 GB - 1 GB) = 1.5 GB
)을 사용합니다. 반대로, 총 RAM이 1.25 GB인 시스템에서는 WiredTiger는 WiredTiger 캐시에 256 MB를 할당하는데, 이는 전체 RAM에서 1 GB(0.5 * (1.25 GB - 1 GB) = 128 MB < 256 MB
)를 뺀 값의 절반 이상이기 때문입니다.참고
컨테이너에서 실행할 때 등의 일부 인스턴스에서는 데이터베이스 메모리 제한이 총 시스템 메모리보다 낮을 수 있습니다. 이러한 인스턴스에서는 총 시스템 메모리가 아니라 이 메모리 제한이 사용 가능한 최대 RAM으로 사용됩니다.
메모리 제한을 보려면
hostInfo.system.memLimitMB
참조하세요.WiredTiger 내부 캐시 크기를 기본값 이상으로 늘리지 마세요.
MongoDB는 WiredTiger를 통해 내부 캐시와 파일 시스템 캐시 모두를 활용합니다.
MongoDB는 파일 시스템 캐시를 통해 자동으로 WiredTiger 캐시나 다른 프로세스에서 사용되지 않는 모든 여유 메모리를 사용합니다.
참고
--wiredTigerCacheSizeGB
는 WiredTiger 내부 캐시의 크기를 제한합니다. 운영 체제는 사용 가능한 여유 메모리를 파일 시스템 캐시에 사용하여 압축된 MongoDB 데이터 파일을 메모리에 유지할 수 있습니다. 또한 운영 체제는 사용 가능한 RAM을 사용하여 파일 시스템 차단과 파일 시스템 캐시를 버퍼링합니다.추가적인 RAM 소비를 수용하려면 WiredTiger 내부 캐시 크기를 줄여야 할 수 있습니다.
기본 WiredTiger 내부 캐시 크기 값은 컴퓨터당 하나의
mongod
인스턴스가 있다고 가정합니다. 하나의 컴퓨터에 여러 MongoDB 인스턴스가 있는 경우 다른mongod
인스턴스를 수용하도록 설정을 줄여야 합니다.시스템에서 사용 가능한 모든 RAM에 액세스할 수 없는 컨테이너(예를 들어,
lxc
,cgroups
, Docker 등)에서mongod
를 실행하는 경우--wiredTigerCacheSizeGB
를 반드시 컨테이너에서 사용 가능한 RAM의 양보다 적은 값으로 설정해야 합니다. 정확한 양은 컨테이너에서 실행 중인 다른 프로세스에 따라 달라집니다.memLimitMB
를 참조하세요.
--wiredTigerJournalCompressor <compressor>
기본값: snappy
WiredTiger 저널 데이터를 압축하는 데 사용할 압축 유형을 지정합니다.
사용할 수 있는 압축 옵션은 다음과 같습니다.
--wiredTigerDirectoryForIndexes
mongod
를--wiredTigerDirectoryForIndexes
와 함께 시작하면,mongod
는 데이터 하의 별도 하위 디렉토리(즉,--dbpath
) 디렉토리에 인덱스와 컬렉션을 저장합니다. 구체적으로mongod
은index
라는 하위 디렉토리에 인덱스를 저장하고collection
이라는 하위 디렉토리에 컬렉션 데이터를 저장합니다.기호 링크를 사용하면 인덱스에 대해 다른 위치를 지정할 수 있습니다. 구체적으로는
mongod
인스턴스가 실행 중이 아닌 경우,index
하위 디렉토리를 대상으로 이동하고 데이터 디렉토리 하에 새 대상에 대한index
라는 기호 링크를 생성합니다.
--wiredTigerCollectionBlockCompressor <compressor>
기본값: snappy
컬렉션 데이터의 기본 압축을 지정합니다. 컬렉션을 만들 때 컬렉션별로 재정의할 수 있습니다.
사용할 수 있는 압축 옵션은 다음과 같습니다.
--wiredTigerCollectionBlockCompressor
(은)는 생성된 모든 컬렉션에 영향을 줍니다. 기존 MongoDB 배포에서--wiredTigerCollectionBlockCompressor
값을 변경하면 모든 신규 컬렉션이 지정된 압축기를 사용합니다. 기존 컬렉션은 생성 시 지정된 압축기 또는 당시의 기본 압축기를 계속 사용합니다.
--wiredTigerIndexPrefixCompression <boolean>
기본값: true
인덱스 데이터에 대한 접두사 압축 활성화하거나 비활성화합니다.
접두사 압축을 활성화하려면
--wiredTigerIndexPrefixCompression
에true
를 지정하고, 인덱스 데이터의 접두사 압축을 비활성화하려면false
를 지정합니다.--wiredTigerIndexPrefixCompression
설정은 생성된 모든 인덱스에 영향을 줍니다. 기존 MongoDB 배포에서--wiredTigerIndexPrefixCompression
값을 변경하면 모든 신규 인덱스가 접두사 압축을 사용하게 됩니다. 기존 인덱스는 영향을 받지 않습니다.
복제 옵션
--replSet <setname>
복제를 구성합니다. 복제본 세트의 이름을 이 세트의 인수로 지정합니다. 복제본 세트의 모든 호스트는 세트 이름이 같아야 합니다.
애플리케이션이 2개 이상의 복제본 세트에 연결된 경우 각 세트의 이름이 달라야 합니다. 일부 드라이버는 복제본 세트 이름으로 복제본 세트 연결을 그룹화합니다.
--oplogSize <value>
oplog의 최대 크기(메가바이트)입니다.
oplogSize
설정은 디스크상의 크기가 아니라 oplog의 압축되지 않은 크기를 구성합니다.참고
2}가 삭제되는 것을 방지하기 위해 oplog가 구성된 크기 제한을 초과하여 커질 수
majority commit point
있습니다.기본적으로
mongod
프로세스는 사용 가능한 최대 공간을 기준으로 oplog를 생성합니다. 64비트 시스템의 경우, 일반적으로 oplog는 사용 가능한 디스크 공간의 5%입니다.mongod
가 처음으로 oplog를 생성한 후에는--oplogSize
옵션을 변경해도 oplog의 크기에 영향을 미치지 않습니다.mongod
를 시작한 후 최소 oplog 보존 기간을 변경하려면replSetResizeOplog
를 사용합니다.replSetResizeOplog
를 사용하면mongod
프로세스를 다시 시작하지 않고도 oplog의 크기를 동적으로 조정할 수 있습니다. 다시 시작을 통해replSetResizeOplog
를 사용하여 변경한 내용을 유지하려면--oplogSize
의 값을 업데이트합니다.자세한 내용은 oplog 크기에서 확인하세요.
--oplogMinRetentionHours <value>
oplog 항목을 보존할 최소 시간을 지정합니다. 여기서 소수 값은 분 단위를 나타냅니다. 예를 들어 값
1.5
는 1시간 30분을 나타냅니다.이 값은
0
이상이어야 합니다. 이 값이0
이면mongod
가 구성된 최대 oplog 크기를 유지하기 위해 가장 오래된 항목부터 oplog를 잘라내야 함을 의미합니다.기본값은
0
입니다.--oplogMinRetentionHours
로 시작하는mongod
는 다음과 같은 경우에만 oplog 항목을 제거합니다.oplog가 구성된 최대 크기에 도달하고
oplog 항목이 호스트 시스템 시계를 기준으로 구성된 시간보다 오래된 경우
최소 oplog 보존 기간으로 구성된 경우
mongod
는 다음과 같이 동작합니다.oplog는 구성된 시간 동안 oplog 항목을 유지하기 위해 제한 없이 늘릴 수 있습니다. 하지만 이로 인해 쓰기의 양이 많아지고 보유 기간이 늘어나며 시스템 디스크 공간이 줄어들거나 고갈될 수 있습니다.
oplog가 최대 크기를 초과하여 커지면, oplog가 최대 크기로 돌아오거나 또는 더 작은 최대 크기로 구성되더라도
mongod
가 해당 디스크 공간을 계속 보유할 수도 있습니다. oplog 크기 감소로 디스크 공간이 즉시 반환되지 않음을 참조하세요.mongod
는 oplog 항목 보존을 적용할 때 시스템상 시간과 oplog 항목 생성 시간을 비교합니다. 클러스터 구성 요소 간의 클럭 드리프트는 예기치 않은 oplog 보존 동작을 초래할 수 있습니다. 클러스터 멤버 간의 시계 동기화에 관한 자세한 내용은 시계 동기화를 참조하세요.
mongod
를 시작한 후 최소 oplog 보존 기간을 변경하려면replSetResizeOplog
를 사용합니다.replSetResizeOplog
를 사용하면mongod
프로세스를 다시 시작하지 않고도 oplog의 크기를 동적으로 조정할 수 있습니다.replSetResizeOplog
를 사용하여 변경한 내용을 재시작 후에도 유지하려면--oplogMinRetentionHours
의 값을 업데이트합니다.
--enableMajorityReadConcern
기본값: true
"majority"
읽기 고려를 위한 지원을 구성합니다.MongoDB 5.0부터는
--enableMajorityReadConcern
를 변경할 수 없고 언제나true
로 설정됩니다. 이전 버전의 MongoDB에서는--enableMajorityReadConcern
을 구성하는 것이 가능했습니다.경고
프라이머리-세컨더리-중재자(PSA) 아키텍처를 사용 중이라면 다음을 고려하세요.
쓰기 고려
"majority"
는 세컨더리를 사용할 수 없거나 지연되었을 때 성능 문제를 일으킬 수 있습니다. 이러한 문제를 완화하는 방법에 대한 조언은 자체 관리 PSA 복제본 세트를 통한 성능 문제 완화를참조하세요.글로벌 기본값
"majority"
를 사용하고 있고, 쓰기 고려가 과반수 크기보다 작으면 쿼리가 오래된 (완전히 복제되지 않은) 부실 데이터를 반환할 수 있습니다.
샤딩된 클러스터 옵션
--configsvr
config 서버를 시작하는 경우에는 필수입니다.
이
mongod
인스턴스가 샤딩된 클러스터의 config 서버 역할을 한다고 선언합니다. 이 옵션으로 실행할 때 클라이언트(예: 다른 클러스터 구성 요소)는config
및admin
이외의 데이터베이스에 데이터를 쓸 수 없습니다. 이 옵션이 있는mongod
의 기본 포트는27019
이고, 달리 지정되어 있지 않는 한 기본--dbpath
디렉토리는/data/configdb
입니다.중요
--configsvr
로 MongoDB 서버를 시작할 때는 반드시--replSet
도 지정해야 합니다.사용이 중단된 미러링된
mongod
인스턴스를 config 서버(SCCC)로 사용하는 작업은 더 이상 지원되지 않습니다.복제본 세트 구성 서버(CSRS)는 WiredTiger 스토리지 엔진을 실행해야 합니다.
--configsvr
옵션은 로컬 oplog를 생성합니다.--configsvr
옵션을--shardsvr
와 함께 사용하지 마십시오. config 서버는 샤드 서버가 될 수 없습니다.--configsvr
를skipShardingConfigurationChecks
매개 변수와 함께 사용하지 마세요. 유지 관리 작업을 위해 임시로mongod
를 독립형으로 사용하는 경우skipShardingConfigurationChecks
매개 변수를 포함하고--configsvr
를 제외하세요. 유지 관리가 완료되면skipShardingConfigurationChecks
매개 변수를 제거하고--configsvr
로 다시 시작하세요.
--shardsvr
샤드 서버를 시작하는 경우 필수입니다.
이
mongod
인스턴스를 샤딩된 클러스터의 샤드로 구성하세요. 이러한 인스턴스의 기본 포트는27018
입니다.중요
--shardsvr
로 MongoDB 서버를 시작할 때는 반드시--replSet
도 지정해야 합니다.--shardsvr
를skipShardingConfigurationChecks
매개 변수와 함께 사용하지 마세요. 유지 관리 작업을 위해 임시로mongod
를 독립형으로 사용하는 경우skipShardingConfigurationChecks
매개 변수를 포함하고--shardsvr
를 제외하세요. 유지 관리가 완료되면skipShardingConfigurationChecks
매개 변수를 제거하고--shardsvr
로 다시 시작하세요.
TLS 옵션
--tlsMode <mode>
모든 네트워크 연결에서 TLS를 사용하도록 설정합니다.
--tlsMode
옵션의 인수는 다음 중 하나일 수 있습니다.값설명disabled
서버가 TLS를 사용하지 않습니다.allowTLS
서버 간 연결이 TLS를 사용하지 않습니다. 수신 연결의 경우, 서버는 TLS와 비TLS를 모두 허용합니다.preferTLS
서버 간 연결이 TLS를 사용합니다. 수신 연결의 경우, 서버는 TLS와 비TLS를 모두 허용합니다.requireTLS
서버가 TLS로 암호화된 연결만 사용하고 허용합니다.--tlsCAFile
또는tls.CAFile
이(가) 지정되지 않았고 x.509 인증을 사용하지 않는 경우tlsUseSystemCA
매개변수를true
(으)로 설정해야 합니다. 따라서 MongoDB는 TLS 활성화 서버에 연결할 때 시스템 전체 CA 인증서 저장소를 사용합니다.x.509 인증을 사용하는 경우
--tlsCertificateSelector
를 사용하지 않는 한--tlsCAFile
또는tls.CAFile
을 지정해야 합니다.TLS 및 MongoDB에 대한 자세한 내용은 TLS/SSL을 위한
mongod
및mongos
구성 및 클라이언트를 위한 TLS/SSL 구성을 참조하세요.
--tlsCertificateKeyFile <filename>
TLS 인증서와 키가 모두 포함되어 있는
.pem
파일을 지정합니다.macOS 또는 Windows에서는
--tlsCertificateSelector
옵션을 사용하여 PEM 키 파일 대신 운영 체제의 보안 인증서 저장소에 있는 인증서를 지정할 수 있습니다.--tlsCertificateKeyFile
및--tlsCertificateSelector
옵션은 상호 배타적이므로 둘 중 하나만 지정해야 합니다.Linux/BSD에서 TLS/SSL이 활성화된 경우
--tlsCertificateKeyFile
을 지정해야 합니다.Windows 또는 macOS에서 TLS/SSL이 활성화된 경우 반드시
--tlsCertificateKeyFile
또는--tlsCertificateSelector
를 지정해야 합니다.중요
Windows에서만 MongoDB는 암호화된 PEM 파일을 지원하지 않습니다. 암호화된 PEM 파일을 마주칠 경우
mongod
(이)가 시작되지 않습니다. Windows에서 TLS에 사용할 인증서를 안전하게 저장하고 액세스하려면--tlsCertificateSelector
를 사용하세요.
TLS 및 MongoDB에 대한 자세한 내용은 TLS/SSL을 위한
mongod
및mongos
구성 및 클라이언트를 위한 TLS/SSL 구성을 참조하세요.
--tlsCertificateKeyFilePassword <value>
인증서-키 파일 해독을 위한 비밀번호를 지정합니다(예:
--tlsCertificateKeyFile
). 인증서 키 파일이 암호화된 경우에만--tlsCertificateKeyFilePassword
옵션을 사용합니다.mongod
은(는) 항시 모든 로깅 결과와 보고 결과에서 비밀번호를 삭제합니다.Linux/BSD에서 PEM 파일의 개인 키가 암호화되어 있고
--tlsCertificateKeyFilePassword
옵션을 지정하지 않은 경우, MongoDB는 패스프레이즈를 입력하라는 메시지를 표시합니다. 자세한 내용은 TLS/SSL 인증서 패스프레이즈를 참조하세요.macOS에서 PEM 파일의 개인 키가 암호화된 경우
--tlsCertificateKeyFilePassword
옵션을 명시적으로 지정해야 합니다. 또는 PEM 파일 대신 보안 시스템 저장소(--tlsCertificateSelector
참조)의 인증서를 사용하거나 암호화되지 않은 PEM 파일을 사용할 수 있습니다.Windows에서는 암호화된 인증서가 지원되지 않습니다. 암호화된 PEM 파일에서는
mongod
이(가) 시작되지 않습니다. 대신--tlsCertificateSelector
를 사용하세요.
TLS 및 MongoDB에 대한 자세한 내용은 TLS/SSL을 위한
mongod
및mongos
구성 및 클라이언트를 위한 TLS/SSL 구성을 참조하세요.
--clusterAuthMode <option>
기본값: keyFile
클러스터 인증에 사용되는 인증 모드입니다. 내부 x.509 인증 사용하는 경우 여기에서 지정하세요. 이 옵션은 다음 값 중 하나를 .
값설명keyFile
인증에 키파일을 사용합니다. 키파일만 허용합니다.sendKeyFile
롤링 업그레이드 목적으로 사용됩니다. 인증 시 키파일을 전송하지만 키파일과 x.509 인증서를 모두 허용할 수 있습니다.sendX509
롤링 업그레이드 목적으로 사용됩니다. 인증 시 x.509 인증서를 전송하지만 키파일과 x.509 인증서를 모두 허용할 수 있습니다.x509
권장하는 옵션입니다. 인증 시 x.509 인증서를 전송하고 x.509 인증서만 허용합니다.--tlsCAFile
또는tls.CAFile
이(가) 지정되지 않았고 x.509 인증을 사용하지 않는 경우tlsUseSystemCA
매개변수를true
(으)로 설정해야 합니다. 따라서 MongoDB는 TLS 활성화 서버에 연결할 때 시스템 전체 CA 인증서 저장소를 사용합니다.x.509 인증을 사용하는 경우
--tlsCertificateSelector
를 사용하지 않는 한--tlsCAFile
또는tls.CAFile
을 지정해야 합니다.TLS 및 MongoDB에 대한 자세한 내용은 TLS/SSL을 위한
mongod
및mongos
구성 및 클라이언트를 위한 TLS/SSL 구성을 참조하세요.
--tlsClusterFile <filename>
클러스터 또는 복제 세트의 구성원 인증을 위한 x.509 인증서 키 파일이 들어 있는
.pem
파일을 지정합니다.macOS 또는 Windows에서는
--tlsClusterCertificateSelector
옵션을 사용하여 PEM 키 파일 대신 운영 체제의 보안 인증서 저장소에 있는 인증서를 지정할 수 있습니다.--tlsClusterFile
및--tlsClusterCertificateSelector
옵션은 상호 배타적이므로 둘 중 하나만 지정해야 합니다.--tlsClusterFile
에서 내부 클러스터 인증을 위해.pem
파일이나 대안인--tlsClusterCertificateSelector
를 지정하지 않는 경우 클러스터는--tlsCertificateKeyFile
옵션에 지정된.pem
파일 또는--tlsCertificateSelector
에서 반환된 인증서를 사용합니다.x.509 인증을 사용하는 경우
--tlsCertificateSelector
를 사용하지 않는 한--tlsCAFile
또는tls.CAFile
을 지정해야 합니다.mongod
/mongos
는 제시된 x.509 인증서가mongod/mongos
호스트 시스템 시간으로부터30
일 이내에 만료되는 경우 연결에 대한 경고를 기록합니다.TLS 및 MongoDB에 대한 자세한 내용은 TLS/SSL을 위한
mongod
및mongos
구성 및 클라이언트를 위한 TLS/SSL 구성을 참조하세요.중요
Windows는 유일하게 MongoDB가 암호화된 PEM 파일을 지원하지 않는 운영 체제입니다. 암호화된 PEM 파일을 발견할 경우
mongod
(이)가 시작되지 않습니다. Windows에서 구성원 인증에 사용할 인증서를 안전하게 저장하고 액세스하려면--tlsClusterCertificateSelector
(을)를 사용하세요.
--tlsCertificateSelector <parameter>=<value>
참고
--tlsCertificateKeyFile
대신 Windows 및 macOS에서 사용할 수 있습니다.TLS에 사용하기 위해 운영 체제의 인증서 저장소에서 일치하는 인증서를 선택할 때 사용할 인증서 속성을 지정합니다.
--tlsCertificateKeyFile
및--tlsCertificateSelector
옵션은 상호 배타적입니다. 둘 중 하나만 지정해야 합니다.--tlsCertificateSelector
는<property>=<value>
형식의 인수를 받으며, 여기서 속성은 다음 중 하나일 수 있습니다.속성값 유형설명subject
ASCII 문자열인증서의 주체 이름 또는 일반 이름thumbprint
16진수 문자열16진수로 표현되는 일련의 바이트로, SHA-1 다이제스트로 공개 키를 식별하는 데 사용됩니다.
thumbprint
을(를)fingerprint
(이)라고 부르기도 합니다.시스템 SSL 인증서 저장소를 사용할 때 온라인 인증서 상태 프로토콜(OCSP)을 사용해 인증서의 해지 상태를 확인할 수 있습니다.
mongod
는 운영 체제의 보안 인증서 저장소에서 지정된 TLS 인증서의 인증서 체인 전체의 유효성을 검사하기 위해 필요한 CA 인증서를 검색합니다. 구체적으로 설명하면, 보안 인증서 저장소에는 TLS 인증서로의 전체 인증서 체인을 구성하는 데 필요한 루트 CA와 중간 CA 인증서가 포함되어 있어야 합니다. 루트 및 중간 CA 인증서를 지정하는 데--tlsCAFile
또는--tlsClusterCAFile
을 사용하지 마십시오예를 들어, TLS/SSL 인증서가 단일 루트 CA 인증서로 서명된 경우, 보안 인증서 저장소에 해당 루트 CA 인증서가 포함되어 있어야 합니다. TLS/SSL 인증서가 중간 CA 인증서로 서명된 경우, 보안 인증서 저장소에는 중간 CA 인증서 및 루트 CA 인증서가 포함되어 있어야 합니다.
참고
thumbprint
로 설정된net.tls.certificateSelector
또는--tlsCertificateSelector
를 사용하는 경우rotateCertificates
명령 또는db.rotateCertificates()
셸 메서드를 사용할 수 없습니다.
--tlsClusterCertificateSelector <parameter>=<value>
참고
--tlsClusterFile
대신 Windows 및 macOS에서 사용할 수 있습니다.운영 체제의 인증서 저장소에서 내부 x.509 구성원 자격 인증을 위한 매칭되는 인증서를 선택할 때 인증서 속성을 지정합니다.
--tlsClusterFile
및--tlsClusterCertificateSelector
옵션은 상호 배타적입니다. 둘 중 하나만 지정해야 합니다.--tlsClusterCertificateSelector
는<property>=<value>
형식의 인수를 받으며, 여기서 속성은 다음 중 하나일 수 있습니다.속성값 유형설명subject
ASCII 문자열인증서의 주체 이름 또는 일반 이름thumbprint
16진수 문자열16진수로 표현되는 일련의 바이트로, SHA-1 다이제스트로 공개 키를 식별하는 데 사용됩니다.
thumbprint
을(를)fingerprint
(이)라고 부르기도 합니다.mongod
는 운영 체제의 보안 인증서 저장소에서 지정된 클러스터 인증서의 인증서 체인 전체의 유효성을 검사하는 데 필요한 CA 인증서를 검색합니다. 구체적으로 설명하면, 보안 인증서 저장소에는 클러스터 인증서로의 전체 인증서 체인을 구성하는 데 필요한 루트 CA와 중간 CA 인증서가 포함되어 있어야 합니다. 루트 및 중간 CA 인증서를 지정하는 데--tlsCAFile
또는--tlsClusterCAFile
을 사용하지 마세요.예를 들어, 클러스터 인증서가 단일 루트 CA 인증서로 서명된 경우, 보안 인증서 저장소에 해당 루트 CA 인증서가 포함되어 있어야 합니다. 클러스터 인증서가 중간 CA 인증서로 서명된 경우, 보안 인증서 저장소에는 중간 CA 인증서 및 루트 CA 인증서가 포함되어 있어야 합니다.
mongod
/mongos
는 제시된 x.509 인증서가mongod/mongos
호스트 시스템 시간으로부터30
일 이내에 만료되는 경우 연결에 대한 경고를 기록합니다.
--tlsClusterPassword <value>
--tlsClusterFile
로 지정된 x.509 인증서-키 파일 해독을 위한 비밀번호를 지정합니다. 인증서 키 파일이 암호화된 경우에만--tlsClusterPassword
옵션을 사용합니다.mongod
는 언제나 모든 로깅 결과와 보고 결과에서 비밀번호를 삭제합니다.Linux/BSD에서 x.509 파일의 개인 키가 암호화되어 있고
--tlsClusterPassword
옵션을 지정하지 않은 경우, MongoDB는 암호를 입력하라는 메시지를 표시합니다. TLS/SSL 인증서 암호를 참조하세요macOS에서 x.509 파일의 비공개 키가 암호화된 경우
--tlsClusterPassword
옵션을 명시적으로 지정해야 합니다. 또는 클러스터 PEM 파일 대신 보안 시스템 저장소(--tlsClusterCertificateSelector
참조)의 인증서를 사용하거나 암호화되지 않은 PEM 파일을 사용할 수 있습니다.Windows에서는 암호화된 인증서가 지원되지 않습니다. 암호화된 PEM 파일에서는
mongod
이(가) 시작되지 않습니다. 대신--tlsClusterCertificateSelector
를 사용하세요.
TLS 및 MongoDB에 대한 자세한 내용은 TLS/SSL을 위한
mongod
및mongos
구성 및 클라이언트를 위한 TLS/SSL 구성을 참조하세요.
--tlsCAFile <filename>
인증 기관의 루트 인증서 체인이 포함된
.pem
파일을 지정합니다. 상대 경로 또는 절대 경로를 사용하여.pem
파일의 이름을 지정합니다.중요
TLS/SSL이 활성화된
mongod
인스턴스를 시작할 때--tlsCAFile
플래그,net.tls.CAFile
구성 옵션 또는tlsUseSystemCA
매개 변수에 대한 값을 지정해야 합니다.--tlsCAFile
,tls.CAFile
,tlsUseSystemCA
는 모두 상호 배타적입니다.- Windows/macOS 전용
--tlsCertificateSelector
및/또는--tlsClusterCertificateSelector
를 사용하는 경우,--tlsCAFile
을 사용하여 루트 및 중간 CA 인증서를 지정하면 안 됩니다.--tlsCertificateSelector
및/또는--tlsClusterCertificateSelector
인증서의 전체 신뢰 체인을 검증하는 데 필요한 모든 CA 인증서를 보안 인증서 저장소에 저장합니다.
TLS 및 MongoDB에 대한 자세한 내용은 TLS/SSL을 위한
mongod
및mongos
구성 및 클라이언트를 위한 TLS/SSL 구성을 참조하세요.
--tlsClusterCAFile <filename>
클라이언트가 연결을 구축할 때 제시한 인증서의 유효성을 검사할 때 사용된 인증 기관의 루트 인증서 체인이 포함되어 있는
.pem
파일을 지정합니다. 상대 경로 또는 절대 경로를 사용하여.pem
파일의 이름을 지정합니다.--tlsClusterCAFile
을 사용하려면--tlsCAFile
설정이 필요합니다.--tlsClusterCAFile
이 연결을 설정하는 클라이언트의 인증서 유효성을 검사할 때.pem
파일을 지정하지 않은 경우 클러스터는--tlsCAFile
옵션에 지정된.pem
파일을 사용합니다.--tlsClusterCAFile
은 TLS 핸드셰이크의 클라이언트와 서버 간, 서버와 클라이언트 간 인증에 별도의 인증 기관을 사용할 수 있도록 허용합니다.- Windows/macOS 전용
--tlsCertificateSelector
및/또는--tlsClusterCertificateSelector
를 사용하는 경우,--tlsClusterCAFile
을 사용하여 루트 및 중간 CA 인증서를 지정하면 안 됩니다.--tlsCertificateSelector
및/또는--tlsClusterCertificateSelector
인증서의 전체 신뢰 체인을 검증하는 데 필요한 모든 CA 인증서를 보안 인증서 저장소에 저장합니다.
TLS 및 MongoDB에 대한 자세한 내용은 TLS/SSL을 위한
mongod
및mongos
구성 및 클라이언트를 위한 TLS/SSL 구성을 참조하세요.
--tlsCRLFile <filename>
인증서 해지 목록이 포함된
.pem
파일을 지정합니다. 상대 경로 또는 절대 경로를.pem
파일의 이름을 지정합니다.참고
macOS에서는 CRL 파일을 지정할 수 없습니다. 대신 OCSP(온라인 인증서 상태 프로토콜)를 사용해 인증서의 해지 상태를 확인하는 시스템 SSL 인증서 저장소를 사용할 수 있습니다. 시스템 SSL 인증서 저장소를 사용하려면
--tlsCertificateSelector
(을)를 참조하세요.인증서 취소를 확인하기 위해 MongoDB는 CRL 파일을 지정하거나 시스템 SSL 인증서 저장소를 사용
enables
대신 기본적으로 OCSP(온라인 인증서 상태 프로토콜)를 사용합니다.
TLS 및 MongoDB에 대한 자세한 내용은 TLS/SSL을 위한
mongod
및mongos
구성 및 클라이언트를 위한 TLS/SSL 구성을 참조하세요.
--tlsAllowInvalidCertificates
클러스터 내 다른 서버에서 TLS 인증서에 대한 유효성 검사를 우회하고 유효하지 않은 인증서를 연결에 사용할 수 있도록 허용합니다.
참고
x.509 인증을 사용할 때
--tlsAllowInvalidCertificates
또는tls.allowInvalidCertificates: true
을(를) 지정하는 경우, 유효하지 않은 인증서는 TLS 연결을 설정하는 데는 충분하지만, 인증에는 충분하지 않습니다.--tlsAllowInvalidCertificates
설정을 사용할 때 MongoDB는 유효하지 않은 인증서 사용과 관련된 경고를 기록합니다.TLS 및 MongoDB에 대한 자세한 내용은 TLS/SSL을 위한
mongod
및mongos
구성 및 클라이언트를 위한 TLS/SSL 구성을 참조하세요.
--tlsAllowInvalidHostnames
프로세스 간 인증을 위해 복제본 세트 또는 샤딩된 클러스터의 다른 구성원에 연결할 때 TLS 인증서의 호스트 이름 유효성 검사를 비활성화합니다. 이렇게 하면 인증서의 호스트 이름이 구성된 호스트 이름과 일치하지 않을 때
mongod
가 다른 구성원을 연결할 수 있습니다.TLS 및 MongoDB에 대한 자세한 내용은 TLS/SSL을 위한
mongod
및mongos
구성 및 클라이언트를 위한 TLS/SSL 구성을 참조하세요.
--tlsAllowConnectionsWithoutCertificates
서버가 CA 파일을 사용하도록 구성되어 있는 경우를 제외하고 서버는 클라이언트 인증서 검증을 우회하도록 기본 설정되어 있습니다. CA 파일이 제공된 경우 다음 규칙이 적용됩니다.
인증서를 제공하지 않는 클라이언트의 경우,
mongod
또는mongos
는 연결이 성공적으로 이루어졌다고 가정하여 TLS/SSL 연결을 암호화합니다.인증서를 제시하는 클라이언트의 경우
mongod
는--tlsCAFile
에서 지정한 루트 인증서 체인을 사용하여 인증서 유효성 검사를 수행하고 유효하지 않은 인증서를 가진 클라이언트를 거부합니다.
mongod
에 인증서를 제공하지 않거나 제공할 수 없는 클라이언트를 포함하는 혼합 배포가 있는 경우--tlsAllowConnectionsWithoutCertificates
옵션을 사용하세요.TLS 및 MongoDB에 대한 자세한 내용은 TLS/SSL을 위한
mongod
및mongos
구성 및 클라이언트를 위한 TLS/SSL 구성을 참조하세요.
--tlsDisabledProtocols <protocol(s)>
TLS로 실행 중인 MongoDB 서버가 1개 또는 그 이상의 특정 프로토콜을 사용하는 수신 연결을 허용하지 않도록 방지합니다. 여러 프로토콜을 지정하려면 쉼표로 구분된 프로토콜 목록을 사용합니다.
--tlsDisabledProtocols
는TLS1_0
,TLS1_1
,TLS1_2
및TLS1_3
프로토콜을 인식합니다.macOS에서는
TLS1_1
을(를) 비활성화하고TLS1_0
및TLS1_2
을(를) 전부 활성화된 상태로 둘 수 없습니다.TLS1_0,TLS1_1
와(과) 같이 다른 2개의 프로토콜 중 적어도 하나를 비활성화해야 합니다.여러 프로토콜을 나열하려면 쉼표로 구분된 프로토콜 목록으로 지정합니다( 예시:
TLS1_0,TLS1_1
).인식할 수 없는 프로토콜을 지정하면 서버가 시작되지 않습니다.
지정된 비활성화 프로토콜은 기본으로 설정된 비활성화 프로토콜을 덮어씁니다.
TLS 1.1 이상을 사용할 수 있는 경우 MongoDB는 시스템에서 TLS 1.0의 사용을 비활성화합니다. 비활성화된 TLS 1.0을 활성화하려면
none
을--tlsDisabledProtocols
로 지정하세요.복제본 세트와 샤딩된 클러스터의 구성원은 적어 하나의 공통된 프로토콜을 사용해야 합니다.
--tlsFIPSMode
mongod
가 TLS 라이브러리의 FIPS 모드를 사용하도록 지시합니다.--tlsFIPSMode
옵션을 사용하려면 시스템에 FIPS 호환 라이브러리가 있어야 합니다.참고
FIPS와 호환되는 TLS/SSL은 MongoDB Enterprise에서만 사용할 수 있습니다. 자세한 내용은 FIPS용 MongoDB 구성을 참조하세요.
프로파일러 옵션
--profile <level>
기본값: 0
데이터베이스 프로파일러 수준을 구성합니다. 사용할 수 있는 프로파일러 수준은 다음과 같습니다.
0
- 프로파일러가 꺼져 있고 데이터를 수집하지 않습니다. 이것이 기본 설정된 프로파일러 수준입니다.
1
프로파일러는
slowms
임계값을 초과하거나 지정된 필터하다 와 일치하는 작업에 대한 데이터를 수집합니다.필터가 설정된 경우:
slowms
,sampleRate
옵션은 프로파일링에 사용되지 않습니다.프로파일러는 필터일치하는 작업만 캡처합니다.
2
- 프로파일러가 모든 작업의 데이터를 수집합니다.
경고
프로파일링은 성능을 저하시키고 시스템 로그에서 암호화되지 않은 쿼리 데이터를 노출시킬 수 있습니다. 프로덕션 배포서버에서 프로파일러를 구성하고 활성화하기 전에 이것이 성능과 보안에 미치는 영향을 신중하게 고려하세요.
잠재적인 성능 저하에 대한 자세한 내용은 프로파일러 오버헤드를 참조하십시오.
--slowms <integer>
기본값: 100
느린 작동 시간 임계값(밀리초 단위)입니다. 이 임계값보다 오래 실행되는 작업은 느린 것으로 간주됩니다.
느린 작업은 MongoDB가 해당 작업에 소요하는 시간인
workingMillis
를 기준으로 기록됩니다. 즉 잠금 대기 및 흐름 제어와 같은 요소는 작업이 느린 작업 임계값을 초과하는지 여부에 영향을 미치지 않습니다.logLevel
을0
으로 설정하면, MongoDB는slowOpSampleRate
에 의해 결정되는 속도로 느린 작업을 진단 로그에 기록합니다.logLevel
을 더 높게 설정하면 높으면 모든 작업이 지연 시간과 관계없이 진단 로그에 표시됩니다. 단, 세컨더리의 저속 oplog 항목 메시지 로깅은 예외입니다. 세컨더리 로그는 oplog 항목만 기록하며,logLevel
을 높여도 모든 oplog 항목이 기록되지는 않습니다.mongod
인스턴스의 경우--slowms
는 진단 로그와 프로파일러(활성화된 경우)에 영향을 줍니다.
--slowOpSampleRate <double>
기본값: 1.0
프로파일링하거나 기록해야 하는 저속 작업의 비율입니다.
--slowOpSampleRate
는 0 와 1사이의 값을 허용합니다.--slowOpSampleRate
는 복제본 세트의 세컨더리 구성원에 의한 저속 oplog 항목 로깅에 영향을 주지 않습니다. 세컨더리 구성원은--slowOpSampleRate
와 관계없이 저속 작업 임계값보다 오래 걸리는 모든 oplog 항목을 기록합니다.mongod
인스턴스의 경우--slowOpSampleRate
는 진단 로그와 프로파일러(활성화된 경우)에 영향을 줍니다.
감사 옵션
--auditCompressionMode
버전 5.3에 추가.
감사 로그 암호화를 위한 압축 모드를 지정합니다. 또한
--auditEncryptionKeyUID
또는--auditLocalKeyFile
을 사용하여 감사 로그 암호화를 활성화해야 합니다.--auditCompressionMode
다음 값 중 하나로 설정할 수 있습니다.값설명zstd
zstd 알고리즘을 사용하여 감사 로그를 압축합니다.none
(기본값)감사 로그를 압축하지 마세요.참고
MongoDB Enterprise에서만 사용할 수 있습니다. MongoDB Enterprise와 Atlas의 구성 요구 사항은 서로 다릅니다.
--auditDestination
감사를 활성화하고
mongod
이(가) 감사 이벤트를 보내는 위치를 지정합니다.--auditDestination
다음 값 중 하나를 가질 수 있습니다.값설명syslog
시스템 로그에 감사 이벤트를 JSON 형식으로 출력합니다. Windows에서는 사용할 수 없습니다. 감사 메시지의 시스템 로그 심각도 수준은
info
이고, 시설 수준은user
입니다.시스템 로그 메시지 제한으로 인해 감사 메시지가 잘릴 수 있습니다. 감사 시스템은 잘림을 감지하지 못하며, 잘림이 발생함으로 인한 오류도 감지하지 못합니다.
console
stdout
에 감사 이벤트를 JSON 형식으로 출력합니다.file
--auditPath
에 명시된 파일에--auditFormat
에 명시된 형식으로 감사 이벤트를 출력합니다.참고
MongoDB Enterprise 및 MongoDB Atlas에서만 사용할 수 있습니다.
--auditEncryptionKeyUID
버전 6.0에 추가.
감사 로그 암호화를 위한 Key Management Interoperability Protocol(KMIP) 키의 고유 식별자를 지정합니다.
--auditEncryptionKeyUID
와--auditLocalKeyFile
을 함께 사용할 수 없습니다.참고
MongoDB Enterprise에서만 사용할 수 있습니다. MongoDB Enterprise와 Atlas의 구성 요구 사항은 서로 다릅니다.
--auditFormat
--auditDestination
이file
인 경우 감사 출력 파일의 형식을 지정합니다.--auditFormat
옵션은 다음 값 중 하나를 가집니다.값설명JSON
감사 이벤트를--auditPath
에 지정된 파일에 JSON 형식으로 출력합니다.BSON
--auditPath
에서 지정된 파일에 BSON 바이너리 형식으로 감사 이벤트를 출력합니다.감사 이벤트를 JSON 형식으로 파일에 출력하면 BSON 형식으로 파일에 출력하는 것보다 서버 성능이 더 저하됩니다.
참고
MongoDB Enterprise 및 MongoDB Atlas에서만 사용할 수 있습니다.
--auditLocalKeyFile
버전 5.3에 추가.
감사 로그 암호화를 위한 로컬 감사 키 파일의 경로와 파일 이름을 지정합니다.
참고
키가 보호되지 않으므로
--auditLocalKeyFile
은 테스트용으로만 사용하세요. 키를 보호하려면--auditEncryptionKeyUID
와 외부 Key Management Interoperability Protocol(KMIP) 서버를 사용하세요.--auditLocalKeyFile
와--auditEncryptionKeyUID
을 함께 사용할 수 없습니다.참고
MongoDB Enterprise에서만 사용할 수 있습니다. MongoDB Enterprise와 Atlas의 구성 요구 사항은 서로 다릅니다.
--auditPath
--auditDestination
의 값이file
인 경우 감사 출력 파일을 지정합니다.--auditPath
옵션은 전체 경로 이름 또는 상대 경로 이름을 사용할 수 있습니다.참고
MongoDB Enterprise 및 MongoDB Atlas에서만 사용할 수 있습니다.
--auditFilter
감사 시스템에서 기록하는 작업 유형을 제한하는 필터를 지정합니다. 이 옵션은 다음과 같은 형식으로 쿼리 문서에 대한 문자열을 표현합니다.
{ <field1>: <expression1>, ... } <field>
은(는) param 문서에서 반환된 필드를 포함해 감사 메시지에 있는 그 어떤 필드도 될 수 있습니다.<expression>
은(는) 쿼리 조건 표현식입니다.감사 필터를 지정하려면 필터 문서를 작은따옴표 안에 입력하고 문서를 문자열로 전달합니다.
구성 파일에서 감사 필터를 지정하려면 구성 파일의 YAML 형식을 사용해야 합니다.
참고
MongoDB Enterprise 및 MongoDB Atlas에서만 사용할 수 있습니다.
--auditSchema
기본값:
mongo
버전 8.0에 추가 되었습니다.
감사 로그에 사용되는 형식을 지정합니다.
--auditSchema
에 대해 다음 값 중 하나를 지정할 수 있습니다.값설명mongo
로그는 MongoDB에서 설계한 형식으로 작성됩니다.
예시 로그 메시지에 대해서는 mongo 스키마 감사 메시지를 참조하세요.
OCSF
로그는 OCSF 형식으로 작성됩니다. 이 옵션은 로그 프로세서와 호환되는 표준화된 형식의 로그를 제공합니다.
예시 로그 메시지는 OCSF 스키마 감사 메시지를 참조하세요.
인메모리 옵션
--inMemorySizeGB <float>
기본값: 물리적 RAM에서 1GB를 뺀 값의 50%
인덱스, oplog(
mongod
가 복제본 세트의 일부인 경우), 샤딩된 클러스터 데이터를 비롯해 인메모리 스토리지 엔진 데이터에 할당할 메모리의 최대량입니다.값의 범위는 256MB에서 10TB까지이며, 부동 소수점도 가능합니다.
인메모리 스토리지 엔진은 물리적 RAM에서 1GB를 뺀 값의 50%를 사용하도록 기본 설정되어 있습니다.
참고
엔터프라이즈 기능
MongoDB Enterprise에서만 사용할 수 있습니다.
암호화 키 관리 옵션
--enableEncryption
기본값: false
WiredTiger 스토리지 엔진의 암호화를 활성화합니다. 암호화 키와 구성을 전달하려면 반드시 이 옵션을 활성화해야 합니다.
참고
엔터프라이즈 기능
MongoDB Enterprise에서만 사용할 수 있습니다.
--encryptionCipherMode <string>
기본값: AES256-CBC
미사용 데이터 암호화에 사용할 수 있는 암호화 모드는 다음과 같습니다.
모드설명AES256-CBC
Cipher Block Chaining 모드에서 256비트 고급 암호화 표준AES256-GCM
Galois/Counter 모드에서 256비트 고급 암호화 표준
Linux에서만 사용할 수 있습니다.
Windows의 MongoDB Enterprise는 더 이상 저장된 암호화를 위한 블록 암호로
AES256-GCM
을(를) 지원하지 않습니다. 이 사용 방식은 Linux에서만 지원됩니다.참고
엔터프라이즈 기능
MongoDB Enterprise에서만 사용할 수 있습니다.
--encryptionKeyFile <string>
KMIP 이외의 프로세스를 통해 키를 관리하는 경우 로컬 키 파일의 경로입니다. KMIP 이외의 프로세스를 통해 키를 관리하는 경우에만 설정합니다. 이미 KMIP를 사용해 데이터가 암호화된 경우, MongoDB에서 오류가 발생합니다.
키파일에는 하나의 키만 포함할 수 있습니다. 키는 16자 또는 32자 문자열입니다.
--enableEncryption
이 필요합니다.참고
엔터프라이즈 기능
MongoDB Enterprise에서만 사용할 수 있습니다.
--kmipKeyIdentifier <string>
KMIP 서버에 있는 기존 키의 고유 KMIP 식별자입니다. 식별자와 연결된 키를 시스템 키로 사용하려면 포함합니다. 이 설정은
mongod
인스턴스의 암호화를 처음 활성화할 때만 사용할 수 있습니다.--enableEncryption
이 필요합니다.지정되지 않았을 경우 MongoDB는 KMIP 서버에 시스템 키로 사용할 새로운 키를 생성하도록 요청합니다.
KMIP 서버가 지정된 식별자의 키를 찾을 수 없거나, 데이터가 이미 키로 암호화되어 있을 경우 MongoDB는 오류를 반환합니다.
참고
엔터프라이즈 기능
MongoDB Enterprise에서만 사용할 수 있습니다.
--kmipRotateMasterKey <boolean>
기본값: false
참인 경우, 마스터키를 순환시키고 내부 키 저장소를 다시 암호화합니다.
참고
엔터프라이즈 기능
MongoDB Enterprise에서만 사용할 수 있습니다.
--kmipServerName <string>
연결할 KMIP 서버의 호스트 이름 또는 IP 주소입니다.
--enableEncryption
이 필요합니다.여러 KMIP 서버를 쉼표로 구분된 목록으로 지정할 수 있습니다(예:
server1.example.com,server2.example.com
). 스타트업 시mongod
는 나열된 순서대로 각 서버에 연결 설정을 시도하고, 연결을 성공적으로 설정할 수 있는 첫 번째 서버를 선택합니다. KMIP 서버 선택은 스타트업 시에만 발생합니다.KMIP 서버에 연결할 때
mongod
는 지정된--kmipServerName
이 KMIP 서버에서 제공한 인증서의 주체 대체 이름SAN
(SAN
이 없는 경우 일반 이름CN
)과 일치하는지 확인합니다.SAN
이 있는 경우mongod
는CN
과 일치하지 않습니다. 호스트 이름이SAN
(또는CN
)과 일치하지 않는 경우mongod
는 연결에 실패합니다.MongoDB 4.2부터는 SAN 비교를 수행할 때 MongoDB에서 DNS 이름 또는 IP 주소 비교가 지원됩니다. 이전 버전에서는 MongoDB에서 DNS 이름 비교만 지원됐습니다.
참고
엔터프라이즈 기능
MongoDB Enterprise에서만 사용할 수 있습니다.
--kmipPort <number>
기본값: 5696
KMIP 서버와 통신하는 데 사용하는 포트 번호입니다.
--kmipServerName
이 필요합니다.--enableEncryption
이 필요합니다.--kmipServerName
를 사용하여 여러 KMIP 서버를 지정하는 경우mongod
는 제공된 모든 KMIP 서버에 대해--kmipPort
로 지정된 포트를 사용합니다.참고
엔터프라이즈 기능
MongoDB Enterprise에서만 사용할 수 있습니다.
--kmipConnectRetries <number>
기본값: 0
KMIP 서버 초기 연결을 재시도할 수 있는 횟수입니다.
--kmipConnectTimeoutMS
와 함께 사용해mongod
가 다음 재시도를 할 때까지 응답을 기다리는 시간을 제어할 수 있습니다.참고
엔터프라이즈 기능
MongoDB Enterprise에서만 사용할 수 있습니다.
--kmipConnectTimeoutMS <number>
기본값: 5000
KMIP 서버의 응답을 기다릴 때 타임아웃까지 걸리는 시간(밀리초)입니다.
--kmipConnectRetries
설정이 명시된 경우mongod
는 이 시간 동안 다음 재시도까지 기다립니다.값은
1000
이상이어야 합니다.참고
엔터프라이즈 기능
MongoDB Enterprise에서만 사용할 수 있습니다.
--kmipClientCertificateSelector <string>
5.0버전의 새로운 기능:
--kmipClientCertificateFile
대신 Windows 및 macOS에서 사용할 수 있습니다.--kmipClientCertificateFile
및--kmipClientCertificateSelector
옵션은 상호 배타적입니다. 둘 중 하나만 지정해야 합니다.운영 체제의 인증서 저장소에서 일치하는 인증서를 선택해 MongoDB를 KMIP 서버에 인증할 때 사용할 인증서 속성을 지정합니다.
--kmipClientCertificateSelector
는<property>=<value>
형식의 인수를 받으며, 여기서 속성은 다음 중 하나일 수 있습니다.속성값 유형설명subject
ASCII 문자열인증서의 주체 이름 또는 일반 이름thumbprint
16진수 문자열16진수로 표현되는 일련의 바이트로, SHA-1 다이제스트로 공개 키를 식별하는 데 사용됩니다.
thumbprint
을(를)fingerprint
(이)라고 부르기도 합니다.참고
엔터프라이즈 기능
MongoDB Enterprise에서만 사용할 수 있습니다.
--kmipClientCertificateFile <string>
KMIP 서버에 MongoDB를 인증하는 데 사용되는
.pem
파일의 경로입니다. 표시된.pem
파일에는 TLS/SSL 인증서와 키가 모두 포함되어 있어야 합니다.이 옵션을 사용하려면
--kmipServerName
옵션도 지정해야 합니다.중요
--kmipClientCertificateFile
를 사용하고 KMIP 서버가 TLS 1.2 을(를) 시행하는 경우 Windows에서 KMIP 서버를 사용한 암호화 활성화가 실패합니다.Windows에서 KMIP를 사용한 미사용 데이터 암호화를 활성화하려면 다음을 수행해야 합니다.
클라이언트 인증서를 Windows 인증서 저장소로 가져옵니다.
--kmipClientCertificateSelector
옵션을 사용합니다.
참고
macOS나 Windows에서는 PEM 키 파일 대신 운영 체제의 보안 저장소에 있는 인증서를 사용할 수 있습니다.
--kmipClientCertificateSelector
(을)를 참조하세요.참고
엔터프라이즈 기능
MongoDB Enterprise에서만 사용할 수 있습니다.
--kmipClientCertificatePassword <string>
--kmipClientCertificateFile
에 전달된 클라이언트 인증서의 비밀번호(있을 경우)입니다. KMIP 서버에서 MongoDB를 인증하는 데 사용되며, 반드시--kmipClientCertificateFile
이 제공되어야 합니다.참고
엔터프라이즈 기능
MongoDB Enterprise에서만 사용할 수 있습니다.
--kmipServerCAFile <string>
CA 파일의 경로입니다. KMIP 서버에 대한 보안 클라이언트의 연결 유효성을 검사하는 데 사용됩니다.
참고
macOS나 Windows에서는 PEM 키 파일 대신 운영 체제의 보안 저장소에 있는 인증서를 사용할 수 있습니다. 자세한 내용은
--kmipClientCertificateSelector
를 참조하세요. 보안 저장소를 사용할 때--kmipServerCAFile
을 반드시 지정할 필요는 없지만 지정할 수도 있습니다.
--kmipActivateKeys <boolean>
기본값: true
버전 5.3에 추가.
키가 생성될 때마다 새로 생성된 모든 KMIP 키를 활성화하고, 이러한 키가 활성 상태에 있는지 주기적으로 확인합니다.
--kmipActivateKeys
가true
이고 KMIP 서버에 기존 키가 있는 경우 먼저 키를 활성화해야 합니다. 그렇지 않으면mongod
노드가 시작되지 않습니다.mongod에서 사용 중인 키가 비활성 상태로 전환되면,
kmipActivateKeys
가 거짓이 아닌 한mongod
노드는 종료됩니다. 활성 키가 있는지 확인하려면--kmipRotateMasterKey
를 사용해 KMIP 마스터키를 순환합니다.
--kmipKeyStatePollingSeconds <integer>
기본값: 900초
버전 5.3에 추가.
mongod
이(가) 활성 키를 위해 KMIP 서버를 폴링하는 빈도(초)입니다.폴링 비활성화를 비활성화하려면 값을
-1
~로 설정합니다.
--kmipUseLegacyProtocol <boolean>
기본값: false
버전 7.0에 추가됨: (및 6.0.6)
true
일 때mongod
은(는) 기본 버전 대신 KMIP 프로토콜 버전인 1.0 또는 1.1을 사용합니다. 기본 KMIP 프로토콜은 버전 1.2입니다.KMIP 버전 1.0 또는 1.1에서 감사 로그 암호화를 사용하려면 스타트업 시
auditEncryptKeyWithKMIPGet
을(를) 지정해야 합니다.
--eseDatabaseKeyRollover
AES256-GCM
암호로 구성된 암호화된 스토리지 엔진 데이터베이스 키를 롤오버합니다.이 옵션으로
mongod
인스턴스가 시작되면 인스턴스가 키를 순환한 후 종료됩니다.참고
엔터프라이즈 기능
MongoDB Enterprise에서만 사용할 수 있습니다.