Menu Docs
Página inicial do Docs
/
Operador de Kubernetes do MongoDB Enterprise
/
Implementar Ops Manager

Configurar criptografia de backup KMIP para o Ops Manager

MongoDB Ops Manager pode criptografar tarefas de backup. Você pode usar o Kubernetes Operator para configurar a criptografia de backup KMIP para o MongoDB Ops Manager. Para saber mais, consulte Snapshots de backup criptografados.

Limitações

Para implantações em que a mesma instância do Kubernetes Operator não está gerenciando os recursos personalizados MongoDBOpsManager e MongoDB , você deve configurar manualmente as configurações do cliente de criptografia de backup KMIP no recurso personalizado MongoDBOpsManager . Esse requisito envolve a inclusão de certificados de cliente para cada MongoDB database, o que você pode obter substituindo o StatefulSet do Pod do Ops Manager para montar os certificados. Para saber mais, consulte Configurar manualmente o KMIP Backup Encryption.

Procedimento

1

Crie o ConfigMap da CA.

Execute o seguinte comando:

kubectl -n mongodb create configmap mongodb-kmip-certificate-authority-pem --from-file=ca-pem
2

Configure o MongoDB Ops Manager recurso personalizado do para usar a criptografia de backup KMIP
.

Configure as configurações spec.backup.encryption.kmip .

1  apiVersion: mongodb.com/v1
2  kind: MongoDBOpsManager
3  metadata:
4    name: om-backup-kmip
5  spec:
6    replicas: 1
7    version: 6.0.0
8    adminCredentials: ops-manager-admin-secret
9    backup:
10      encryption:
11        kmip:
12          server:
13            url: kmip.corp.mongodb.com:5696
14            ca: mongodb-kmip-certificate-authority-pem
3

Salve seu arquivo de configuração do Ops Manager.

4

Aplique as alterações à sua implantação do Ops Manager.

Invoque o seguinte comando kubectl no nome do arquivo da definição de recurso do Ops Manager:

kubectl apply -f <opsmgr-resource>.yaml
5

Verifique o status dos recursos do Ops Manager.

Execute o seguinte comando:

kubectl get om <resource-name> -o yaml -w
6

Criar o segredo do certificado do cliente e da chave privada.

Execute o seguinte comando:

kubectl -n mongodb create secret tls mongodb-kmip-client-pem-my-replica-set-client-kmip \
--cert=<path-to-cert-file> \
--key=<path-to-key-file>

O segredo do certificado do cliente nome tem a seguinte convenção de nomenclatura inferida a partir do MongoDB CustomResourceDefinition:

<clientCertificatePrefix>-<objectMeta.name>-client-kmip

clientCertificatePrefix

Etiqueta legível por humanos especificada no campo spec.backup.encryption.kmip.client.clientCertificatePrefix da MongoDB CustomResourceDefinition.

objectMeta.name

Etiqueta legível por humanos especificada no campo metadata.name da MongoDB CustomResourceDefinition.

client-kmip

Sufixo corrigido que o Operador Kubernetes assume.

Para saber mais, consulte kubernetes.io/tls.

7

Configure seu comando de banco de dados MongoDB.

Configure as configurações spec.backup.encryption.kmip .

1  apiVersion: mongodb.com/v1
2  kind: MongoDB
3  metadata:
4    name: my-replica-set
5  spec:
6    members: 3
7    version: 4.0.20
8    type: ReplicaSet
9    backup:
10      encryption:
11        kmip:
12          client:
13            clientCertificatePrefix: mongodb-kmip-client-pem

Para saber mais, consulte implementar um conjunto de réplicas ou implementar um cluster fragmentado.

8

Salve o arquivo de configuração do comando de MongoDB database.

9

Aplique as alterações ao comando de banco de dados MongoDB.

Invoque o seguinte comando kubectl no nome do arquivo da definição de recurso do Ops Manager:

kubectl apply -f <mdb-database-deployment>.yaml
10

Verifique o status do seu comando de MongoDB database.

Execute o seguinte comando:

kubectl get mdb <resource-name> -o yaml -w

Voltar

Configurar queryable backups

Próximo

Configurar backup do sistema de arquivos