Restaurar a partir de um snapshot usando criptografia em repouso
Nesta página
O Atlas permite restaurar dados de um snapshot de um cluster usando criptografia em descanso usando o Gerenciamento de Chaves do Cliente.
Restaurar considerações
Além dos pré-requisitos , considere os seguintes requisitos e limitações ao restaurar com Encryption at Rest usando o Gerenciamento de Chaves do Cliente.
Se o valor
DefaultRWConcern
no snapshot de origem for diferente do valorDefaultRWConcern
no cluster de destino, o Atlas substituirá o valor no snapshot de origem pelo valor no cluster de destino. Se não houver nenhum valor configurado paraDefaultRWConcern
no cluster de destino, o Atlas manterá o valor deDefaultRWConcern
do snapshot sem configuração explícita. Isso pode ser diferente do valor padrão para aquela versão do MongoDB.
Esta funcionalidade só está disponível para
M10+
cluster dedicado.O Atlas só pode restaurar para um cluster que use o mesmo provedor de criptografia que o cluster de origem. Os snapshots obtidos de clusters sem criptografia em descanso usando o Gerenciamento de Chaves do Cliente não podem ser restaurados em um cluster com ele ou em um projeto do Cloud Manager.
Quando você executa uma restauração automatizada para um cluster do Atlas a partir de um projeto diferente com Encryption at Rest, os valores da chave doAWS KMS para ambos os clusters podem ser diferentes, mas devem ser criados na mesma região.
Se o projeto de destino não tiver um cluster com a criptografia em descanso habilitada, você poderá implantar um cluster com a criptografia em descanso ou habilitar a criptografia em descanso em um cluster existente.
Os clusters que usam criptografam Amazon Web Services KMS seus oplog dados de de restauração de PIT com a CMK do cliente. O CMK atual deve ser válido para os dados de oplog criptografados para executar uma restauração a partir de um snapshot.
O Atlas exclui todos os dados existentes no cluster de destino antes da restauração. Dependendo do tipo de restauração que está ocorrendo, o cluster de destino poderá ficar indisponível durante o processo.
Otimizações gerais
Para otimizar o desempenho e reduzir o tempo necessário para a restauração, siga estes princípios quando aplicável:
Selecione um cluster de destino que não seja global ou multinuvem.
Selecione um cluster multirregional somente se existirem cópias do snapshot que você planeja restaurar em todas as regiões desse cluster.
Selecione um cluster de destino que pertença ao mesmo projeto do Atlas e à mesma região do fornecedor de nuvem que do snapshot.
Selecione uma camada de cluster com a mesma capacidade de armazenamento que a capacidade do volume original usado pelo cluster de origem.
Se o cluster de destino for executado no AWS com IOPS configurado, selecione o IOPS configurado para ficar dentro do intervalo configurado.
Selecione um cluster que não esteja configurado para usar armazenamento NVMe . O armazenamento NVMe degrada o desempenho da restauração.
Acesso necessário
Você deve ter a função Project Owner
para os projetos Atlas que contêm os clusters de origem e destino para restaurar dados de um cluster Atlas para outro.
Procedimento
Para restaurar a partir de um snapshot usando Encryption at Rest:
No Atlas, acesse a Clusters página do seu projeto.
Se ainda não tiver sido exibido, selecione a organização que contém seu projeto no menu Organizations na barra de navegação.
Se ainda não estiver exibido, selecione o projeto desejado no menu Projects na barra de navegação.
Se ainda não estiver exibido, clique em Clusters na barra lateral.
A página Clusters é exibida.
Acesse a Backup página do seu cluster.
Clique no nome do seu cluster.
Clique na aba Backup.
Se o cluster não tiver a guia Backup , os backups do Atlas serão desabilitados para este cluster e nenhum snapshot estará disponível. Você pode habilitar backups ao escalar o cluster.
A página Backup é exibida.
Selecione o Atlas de Project destino.
Na caixa de diálogo Restore , selecione o Atlas Project de destino para o qual você deseja restaurar. Você pode restaurar qualquer projeto do Atlas para o qual o Atlas user tenha a função Project Owner
.
Selecione o Cluster para restaurar.
Você só pode restaurar para um conjunto de réplicas do Atlas executando Encryption at Rest. O cluster de destino deve executar a mesma versão ou versão superior do MongoDB que o MongoDB Version do snapshot.
Após o procedimento de restauração, o Atlas aciona uma rotação de chave para a chave de encriptação MongoDB. Em seguida, o Atlas criptografa as novas chave de criptografia do MongoDB com base no provedor de criptografia em descanso configurado para o cluster de destino.
Solucionar problemas de encryption at rest
Se o Atlas tiver um problema com a criptografia do snapshot ou do cluster de destino, ele exibirá um dos seguintes erros:
Erro | Resultado |
---|---|
Não é possível restaurar um snapshot não criptografado para um cluster com o Encryption at Rest habilitada. | O snapshot não pode ser restaurado no Atlas. |
O cluster de destino não tem a criptografia habilitada. | Você pode implantar um novo cluster de destino com criptografia em descanso ou habilitar a criptografia em descanso no cluster de destino desejado. |
O fornecedor de criptografia do cluster de destino não corresponde ao fornecedor de criptografia do snapshot selecionado. | O fornecedor de criptografia do snapshot e do cluster de destino não corresponde. Você também pode:
|
As credenciais de criptografia no snapshot não estão presentes. | O Atlas não pode restaurar um snapshot cuja chave de criptografia foi excluída. |