Configurar como o MongoDB Agent gerencia arquivos de configuração e senhas
Nesta página
- A autenticação OAuth 2.0 para acesso programático ao Cloud Manager está disponível como um recurso de visualização.
- O recurso e a documentação correspondente podem mudar a qualquer momento durante o período de Pré-visualização. Para usar a 2.0 autenticação OAuth, crie uma conta de serviço para usar em suas solicitações para a API pública do Cloud Manager .
Novidades na versão 4.2.
Para atender às necessidades avançadas de auditoria ou conformidade, talvez seja necessário realizar uma ou ambas a ação a seguir:
Armazene a configuração
mongodoumongos(coletivamente, o processo do MongoDB ) na memória para evitar gravar senhas no disco.Remova as senhas do MongoDB Agent do arquivo de configuração do MongoDB Agent e leia as senhas passadas no comando shell.
Armazenar arquivos de configuração de processo MongoDB na memória
Os arquivos de configuração do MongoDB podem conter credenciais como:
Por padrão, o MongoDB Agent grava arquivos de configuração do processo MongoDB no disco. No entanto, você pode armazenar os arquivos de configuração na memória definindo enableLocalConfigurationServer como true no arquivo de configuração do MongoDB Agent. Alterar essa configuração resulta nas seguintes ações:
O MongoDB Agent armazena em cache a configuração do processo do MongoDB na memória.
O arquivo de configuração MongoDB no disco contém somente um
directiveque aponta para o arquivo de configuração completo.
Quando o MongoDB Agent usa uma configuração MongoDB na memória, o processo do MongoDB solicita o arquivo de configuração completo do MongoDB Agent local. O agente solicita o arquivo de configuração usando aURL na diretiva de expansão __rest .
Aviso
Se você usa o Ops Manager versão 4.2 ou versões 4.4.0 - 4.4.6, você pode encontrar erros ao definir enableLocalConfigurationServer como true. Para evitar isso, consulte Armazenar arquivos de configuração na memória para clusters existentes.
Considerações
Impacto a disponibilidade dos MongoDB deployments
Quando esse recurso está habilitado, o MongoDB Agent não armazena a configuração do processo MongoDB no disco. Se o servidor de aplicativos do Cloud Manager não estiver disponível e o MongoDB Agent tentar reiniciar, o MongoDB Agent interromperá a execução porque não terá as informações de configuração necessárias. Se um processo MongoDB falhar enquanto o MongoDB Agent não estiver em execução, o MongoDB Agent não poderá reiniciar o processo.
Limita a importação de sistemas MongoDB existentes
Você não pode importar processos do MongoDB que armazenam arquivos de configuração na memória. Quando o MongoDB Agent armazena sua configuração na memória, o MongoDB redige todas as credenciais após o início. Portanto, o MongoDB não pode recuperar as credenciais necessárias para importar o processo.
Formato de chave privada
Se a chave privada criptografada para o .pem arquivo de certificado estiver em PKCS #8 formato, ele deve usar PBES2 operações de criptografia. O MongoDB Agent não suporta PKCS #8 com outras operações de criptografia.
Remover senhas do arquivo de configuração do MongoDB Agent
Você pode definir o MongoDB Agent para ler suas senhas como sinalizadores de comando shell em vez de ler do seu arquivo de configuração. Para usar esse recurso, adicione as seguintes configurações ao arquivo de configuração do MongoDB Agent: