문서 메뉴
문서 홈
/
MongoDB Ops Manager
/
보안

Ops Manager에 대한 TLS 연결 구성

이 페이지의 내용

  • 필수 요구 사항
  • TLS용 Ops Manager 애플리케이션 구성
  • TLS 사용을 위한 MongoDB Agent 구성

모든 MongoDB Agent에서 Ops Manager로의 연결, 웹사이트 클라이언트에서 Ops Manager 애플리케이션으로의 연결, API 클라이언트에서 REST API로의 연결을 암호화하도록 Ops Manager를 구성할 수 있습니다.

다음을 수행하여 연결을 암호화할 수 있습니다.

  • Ops Manager 앞에 HTTPS 프록시를 설정하거나, 또는

  • 이 페이지에 설명된 대로 HTTPS를 통해 Ops Manager 애플리케이션을 실행합니다.

다음 절차에서는 Ops Manager 호스트의 TLS 인증서가 포함된 .pem 파일을 사용하여 Ops Manager를 구성합니다.

절차가 성공적으로 완료되면 MongoDB Agent는 HTTPS를 사용합니다.

다음도 참조하세요.

.pem 파일에 대해 자세히 알아보려면 MongoDB 매뉴얼의 .pem 파일 섹션을 참조하세요.

필수 요구 사항

  • MongoDB Agent를 업데이트하거나 설치합니다.

  • MongoDB Agent 구성에 TLS 관련 사용자 지정 설정을 추가합니다.

TLS용 OpsManager 애플리케이션 구성

1

각 Ops Manager 호스트에 인증서 파일을 업로드합니다.

  1. .pem 파일을 각 Ops Manager 애플리케이션 호스트에 업로드합니다. 이 인증서를 각 Ops Manager 호스트에 업로드해야 각 호스트가 TLS 연결을 수락할 수 있습니다.

  2. .pem 파일의 소유자를 Ops Manager 프로세스를 소유하는 사용자 및 그룹으로 변경합니다.

  3. 파일 소유자만 파일을 읽고 쓸 수 있도록 .pem 파일의 권한을 변경합니다.

2

Ops Manager 애플리케이션에 TLS 를 활성화합니다.

  1. Ops Manager 애플리케이션에서 Admin를 클릭하면 Admin 인터페이스를 볼 수 있습니다.

  2. General 탭을 클릭합니다.

  3. Ops Manager Config를 클릭합니다.

  4. Web Server & Email를 클릭합니다.

  5. Web Server 제목 아래에서 다음 옵션을 설정합니다.

    옵션
    작업

    HTTPS 액세스를 위해 포트 8443를 포함하여 Ops Manager 애플리케이션의 전체 URL을 입력합니다.

    예제

    https://opsmanager.example.com:8443
    모든 Ops Manager 호스트에서 .pem 파일이 있는 절대 파일 시스템 경로를 이 상자에 입력합니다.
    HTTPS PEM 키 파일을 암호화한 경우 이 상자에 암호를 해독하는 데 필요한 비밀번호를 입력합니다.

    클라이언트 애플리케이션 또는 MongoDB Agent가 TLS 지원 Ops Manager에 연결할 때 TLS 인증서를 제시해야 하는지 여부를 선택합니다. Ops Manager는 연결을 시도할 때 이러한 클라이언트 호스트의 인증서를 확인합니다. 클라이언트 TLS 인증서를 요구하도록 선택한 경우 인증서가 유효한지 확인하세요.

    허용되는 값은 다음과 같습니다.

    • None

    • Required for Agents Only

    • Required for All Requests

  6. Save를 클릭합니다.

3

(선택 사항) 최소 TLS 버전을 변경합니다.

Ops Manager 서버 4.4.13 이상에서 Ops Manager 애플리케이션은 클라이언트가 기본적으로 TLS 버전 1.2를 사용하도록 요구합니다.

최소 TLS 버전을 변경하려면 다음을 수행합니다.

  1. Ops Manager 애플리케이션에서 Admin를 클릭하여 Admin 인터페이스를 봅니다.

  2. General 탭을 클릭합니다.

  3. Ops Manager Config를 클릭합니다.

  4. Custom를 클릭합니다.

  5. 최소 TLS 버전을 구성합니다.

  6. Key 상자에 mms.minimumTLSVersion을 입력합니다.

  7. Value 상자에 최소 TLS 버전을 입력합니다.

    허용되는 값은 다음과 같습니다.

    • TLSv1

    • TLSv1.1

    • TLSv1.2

  8. Save를 클릭합니다.

4

(선택 사항) 제외할 TLS 암호 제품군을 지정합니다.

Ops Manager 애플리케이션과 TLS 연결에서 특정 TLS 암호 제품군을 제외합니다.

  1. Ops Manager 애플리케이션에서 Admin를 클릭하여 Admin 인터페이스를 봅니다.

  2. General 탭을 클릭합니다.

  3. Ops Manager Config를 클릭합니다.

  4. Custom를 클릭합니다.

  5. Key 상자에 mms.disableCiphers을 입력합니다.

  6. Value 상자에 비활성화할 암호 제품군 목록을 쉼표로 구분하여 입력합니다.

    중요

    Ops Manager에서 사용되는 암호 제품군 이름은 RFC 5246 를 따라야 합니다. 명명 규칙. OpenSSL 명명 규칙을 사용하지 마세요.

    예제

    NULL-SHA256이 아닌 TLS_RSA_WITH_NULL_SHA256을 사용합니다.

  7. Save를 클릭합니다.

5

각 Ops Manager 호스트를 다시 시작하여 TLS 를 활성화합니다.

Ops Manager 애플리케이션 시작 및 중지 지침에 따라 애플리케이션을 다시 시작합니다.

TLS를 사용하도록MongoDB Agent 구성

클러스터의 각 MongoDB 호스트에서 다음을 수행합니다.

1

원하는 텍스트 편집기에서 MongoDB Agent 구성 파일을 엽니다.

MongoDB Agent 구성 파일의 위치는 플랫폼에 따라 다릅니다.

/path/to/install/local.config
/etc/mongodb-mms/automation-agent.config
/etc/mongodb-mms/automation-agent.config
/path/to/install/local.config
2

mmsBaseUrl TLS 설정을 변경합니다.

필요한 경우 다음 속성을 설정하거나 추가합니다.

옵션
필요성
작업
필수 사항

URL to Access Ops Manager 상자에 입력한 URL과 일치하도록 이 값을 설정합니다.

중요

이 속성과 URL to Access Ops Manager 상자를 모두 업데이트해야 합니다. 두 값이 모두 일치해야 합니다. 모니터링 및 백업이 MongoDB Agent에 대해 사용하도록 설정된 경우, mmsBaseURL 사용자 지정 모니터링 설정이 MongoDB Agent에 대해 설정되어 있지 않는 한 Ops Manager 서버에 구성된 URL to Access Ops Manager을 사용합니다. 자세한 내용은 MongoDB Agent 모니터링 설정을 참조하세요.

조건부

다음 사항이 모두 적용되는 경우 이 값을 true로 설정합니다.

  • 에이전트가 Ops Manager의 TLS 인증서를 유효성 검사하도록 하려고 합니다.

  • 알려진 외부 인증 기관 또는 자체 서명 인증 기관을 통해 Ops Manager 호스트의 TLS 인증서에 서명했습니다.

참고

이 값을 true로 설정하는 경우 httpsCAFile을 설정해야 합니다.

조건부

자체 서명된 자체 인증 기관 .pem 파일을 사용하는 경우, 이 속성을 추가하고 MongoDB 호스트에 있는 인증 기관 파일의 절대 경로로 설정합니다.

중요

이 인증 기관 파일은 동일한 샤드 클러스터 또는 복제본 세트에 있는 각 MongoDB 호스트의 동일한 위치에 있어야 합니다. 다른 호스트와 동일한 파일 위치에 파일이 없는 MongoDB 호스트는 액세스할 수 없게 될 수 있습니다.

다음에 해당하는 경우 downloads.mongodb.com 인증서에 대한 인증 기관을 이 .pem 파일에 추가합니다:

  1. MongoDB Agents가 인터넷에서 MongoDB 설치 프로그램을 다운로드해야 합니다.

  2. TLS를 사용하여 연결을 암호화합니다.

  3. 사설 CA로 인증서에 서명했습니다. (httpsCAFile 옵션을 설정했습니다.)

다른 웹 사이트에서 TLS 인증서를 다운로드하는 방법을 알아보려면 OpenSSL Cookbook 항목을 참조하세요.

조건부
Ops Manager에서 Client Certificate ModeRequired for Agents Only 또는 Required for All Requests로 설정한 경우, 이 값을 추가하고 클라이언트의 개인 키, 인증서 및 선택적 중간 인증서가 들어 있는 파일의 절대 경로를 .pem 형식으로 지정합니다.
조건부
tlsMMSServerClientCertificate .pem 파일을 암호화한 경우 이를 해독하는 데 필요한 암호를 제공하세요.
3

Save을(를) 클릭합니다.

4

MongoDB Agent를 다시 시작합니다.

돌아가기

사용자 자격 증명 암호화

다음

애플리케이션 데이터베이스에 대한 보안 연결

이 페이지의 내용