Configurar criptografia de backup KMIP para o Ops Manager
MongoDB Ops Manager pode criptografar tarefas de backup. Você pode usar o Operador Kubernetes para configurar a criptografia de backupKMIP para o MongoDB Ops Manager. Para saber mais, consulte Snapshots de backup criptografados.
Limitações
Para sistemas em que a mesma instância do Kubernetes Operator não está gerenciando os recursos personalizados MongoDBOpsManager e MongoDB , você deve configurar manualmente as configurações do cliente de criptografia de backup KMIP no recurso personalizado MongoDBOpsManager . Esse requisito envolve a inclusão de certificados de cliente para cada banco de banco de dados MongoDB , o que você pode obter substituindo o StatefulSet do pod do MongoDB Ops Manager para montar os certificados. Para saber mais, consulte Configurar manualmente o KMIP Backup Encryption.
Procedimento
Configure o recurso personalizado do Ops Manager para usar a criptografia de backup KMIP.
Configure as configurações spec.backup.encryption.kmip
.
1 apiVersion: mongodb.com/v1 2 kind: MongoDBOpsManager 3 metadata: 4 name: om-backup-kmip 5 spec: 6 replicas: 1 7 version: 6.0.0 8 adminCredentials: ops-manager-admin-secret 9 backup: 10 encryption: 11 kmip: 12 server: 13 url: kmip.corp.mongodb.com:5696 14 ca: mongodb-kmip-certificate-authority-pem
Crie o secreto do certificado do cliente e da chave privada.
Execute o seguinte comando:
kubectl -n mongodb create secret tls mongodb-kmip-client-pem-my-replica-set-client-kmip \ --cert=<path-to-cert-file> \ --key=<path-to-key-file>
O segredo do certificado do cliente nome tem a seguinte convenção de nomenclatura inferida a partir do MongoDB
CustomResourceDefinition:
<clientCertificatePrefix>-<objectMeta.name>-client-kmip
clientCertificatePrefix | Etiqueta legível por humanos especificada no campo spec.backup.encryption.kmip.client.clientCertificatePrefix da MongoDB CustomResourceDefinition. |
objectMeta.name | Etiqueta legível por humanos especificada no campo metadata.name da MongoDB CustomResourceDefinition. |
client-kmip | Sufixo corrigido que o Operador Kubernetes assume. |
Para saber mais, consulte kubernetes.io/tls.
Configure seu comando de banco de dados MongoDB.
Configure as configurações spec.backup.encryption.kmip
.
1 apiVersion: mongodb.com/v1 2 kind: MongoDB 3 metadata: 4 name: my-replica-set 5 spec: 6 members: 3 7 version: 4.0.20 8 type: ReplicaSet 9 backup: 10 encryption: 11 kmip: 12 client: 13 clientCertificatePrefix: mongodb-kmip-client-pem
Para saber mais, consulte implementar um conjunto de réplicas ou implementar um cluster fragmentado.