Adicionar processos MongoDB existentes ao gerente de operações
Nesta página
O Ops Manager fornece um assistente para adicionar suas implantações MongoDB existentes ao monitoramento e gerenciamento. O assistente solicita que você:
Instale o MongoDB Agent caso não o tenha instalado
Identifique ocluster fragmentado , o conjunto de réplicas ou o autônomo a ser adicionado. Você pode optar por adicionar a implantação ao Monitoramento ou ao Monitoramento e Automação.
Se estiver adicionando uma implantação que pretende migrar em tempo real para o Atlas, precisará adicionar a implantação (e suas credenciais) somente para monitoramento.
Considerações
Nomes únicos
As implantações devem ter nomes únicos dentro dos projetos.
Importante
O conjunto de réplicas, o agrupamento fragmentado e os nomes de shards dentro do mesmo projeto devem ser únicos. A falta de nomes exclusivos para os sistemas resultará em snapshots de backup quebrados.
Opções de configuração do MongoDB
A automação não oferece suporte a todas as opções do MongoDB, o que pode resultar em tentativas fracassadas de importação. Para saber mais, consulte Configurações do MongoDB e suporte à automação.
TLS
Se você habilitar o TLS, o FQDN do host que atende um processo do MongoDB deverá corresponder ao SAN do certificado TLS nesse host.
Importante
Para evitar ataques do tipo man-in-the-middle, mantenha o escopo dos certificados TLS o mais restritivo possível. Embora você possa usar um certificado TLS com muitos SANs ou um certificado TLS curinga em cada host, você não deve fazer isso. Para saber mais, consulte RFC 2818, seção 3.1.
Nomes de host preferidos
Configure um nome de host preferencial se você:
Exigir um nome de host específico, FQDN, endereço IPv4 ou endereço IPv6 para acessar o processo do MongoDB, ou
Deve especificar o nome de host a ser usado para hosts com vários aliases.
Para saber mais, consulte a configuração Preferred Hostnames nas configurações do projeto.
Restaurar um host removido anteriormente
Se você não tiver removido completamente um host do Ops Manager e quiser restaurar esse host, poderá importar novamente o processo do MongoDB excluído.
Se você tiver removido completamente um host do Ops Manager, primeiro será necessário recuperar esse host. Para pesquisar um host excluído, você deve ter o role Global Owner
.
Para localizar e recuperar um host excluído anteriormente:
Navegue até o modo de exibição Deployment .
No menu More , clique em Deleted Hosts.
Selecione o para desfazer a exclusão do host.
Depois que o host tiver sido recuperado, você poderá importar o procedimento de processo existente.
Observação
Se o seu host não aparecer na lista Deleted Hosts , você poderá reimportar o processo imediatamente.
Gerenciando serviços do MongoDB no Windows
Se você estiver adicionando um processo MongoDB existente que é executado como um serviço do Windows à automação, a automação:
Interrompe e desabilita o serviço existente
Cria e inicia um novo serviço
Credenciais de autenticação em clusters de origem e destino
Se o projeto do Ops Manager tiver as configurações de autenticação do MongoDB habilitadas para seus sistemas, o sistema do MongoDB que você importa deverá ser compatível com o mecanismo de autenticação do projeto.
Recomendamos que você importe para um novo projeto de destino que não tenha processos em execução e não tenha a autenticação ativada.
Se o cluster de origem usar autenticação e o projeto do Ops Manager de destino não tiver nenhum managed existente, o Ops Manager habilitará a autenticação no projeto de destino, importará o arquivo de chave existente do cluster de origem e o usará para autenticar o usuário que conduz o processo de importação.
Se o cluster de origem e o projeto do Ops Manager de destino usarem autenticação e o projeto tiver processos, o Ops Manager tentará usar as configurações de autenticação existentes no projeto de destino durante o processo de importação. Para que o processo de importação seja bem-sucedido, as credenciais de autenticação no cluster de origem e no projeto de destino do Ops Manager devem ser iguais.
Para garantir que a importação seja bem-sucedida, antes de iniciar o processo de importação, adicione as credenciais do projeto de destino do MongoDB Ops Manager no cluster de origem. Para saber mais, consulte Teclas de rotação para conjunto de réplicas ou Teclas de rotação paraclusters fragmentados.
Casos de uso de autenticação
Se a sua implantação do MongoDB exigir autenticação, ao adicionar a implantação ao Ops Manager para monitoramento, você deverá fornecer as credenciais necessárias.
Se a sistema não usar automação, mas usar backup, monitoramento ou ambos, você poderá encontrar as credenciais onde as credenciais estavam antes de atualizar para o MongoDB Agent.
Se o sistema não usar Automação , mas usar Backup, Monitoramento ou ambos:
Crie as credenciais para a implementação do MongoDB . Para saber mais, consulte Acesso necessário para o MongoDB Agent para monitoramento e Acesso necessário para o MongoDB Agent para backup.
Adicione as credenciais que você concedeu a essas funções ao MongoDB Ops Manager depois de adicionar os processos do MongoDB . Para saber mais, consulte Adicionar Credenciais para Monitoramento e Adicionar Credenciais para Backup.
Se a sistema usar Automação, o Ops Manager usará as credenciais do MongoDB Agent. Você pode excluir as credenciais do backup legado e dos agentes de monitoramento. O MongoDB Agent usa essas credenciais para suas funções de Automação, Backup e Monitoramento.
Se a implantação usar a automação, mas não a tiver usado antes de importá-la, adicione o usuário
mms-automation
aos processos de reconhecimento de data center que você importou e adicione as credenciais do usuário ao Ops Manager.
Para saber mais, consulte Adicionar Credenciais para Automação.
Automação e configurações de segurança atualizadas na importação
Adicionar uma implantação do MongoDB à automação pode afetar as configurações de segurança do projeto do Ops Manager e da implantação do MongoDB.
A automação habilita a Configuração de segurança do projeto. Se a implantação do MongoDB exigir autenticação, mas o projeto do Ops Manager não tiver as configurações de autenticação habilitadas, quando você adicionar a implantação do MongoDB à automação, o Ops Manager atualizará as configurações de segurança do projeto para as configurações de segurança da implantação recém-importada.
O processo de importação só atualiza a configuração de segurança do projeto do Ops Manager se a configuração de segurança do projeto estiver desabilitada no momento. O processo de importação não desabilita a configuração de segurança do projeto nem altera seu mecanismo de autenticação habilitado.
A automação importa usuários e roles do MongoDB. As declarações a seguir se aplicam a situações em que um sistema do MongoDB requer autenticação ou em que o projeto do Ops Manager tem as configurações de autenticação habilitadas.
Se o sistema do MongoDB contiver usuários ou roles definidos pelo usuário, você poderá optar por importar esses usuários e roles para o Ops Manager managed. Os usuários e roles importados são Synced para todos os sistemas gerenciados no projeto Ops Manager.
Se você definir o valor Enforce Consistent Set do projeto como
Yes
, o Ops Manager excluirá dos sistemas do MongoDB os usuários e roles que não são importados.Se você definir o valor de Enforce Consistent Set do projeto para
No
, o Ops Manager interromperá o gerenciamento de usuários e roles não importados no projeto. Esses usuários e roles permanecem no sistema do MongoDB. Para managed esses usuários e funções, você deve se conectar diretamente à implantação do MongoDB.
Se você não quiser que o projeto do Ops Manager gerencie usuários e roles específicos, use as páginas Authentication & Users e Authentication & Roles para remover esses usuários e roles durante a importação, antes de confirmar e distribuir as alterações. Para saber mais, consulte managed ou desgerenciar usuários do MongoDB.
Se a implantação do MongoDB importado já tiver
mms-backup-agent
emms-monitoring-agent
usuários em seu reconhecimento de data centeradmin
, o processo de importação substituirá os roles desses usuários pelas roles para usuáriosmms-backup-agent
emms-monitoring-agent
conforme definido no projeto do Ops Manager.A automação se aplica a todos os sistemas do projeto. As configurações de segurança atualizadas do projeto, incluindo todos os usuários e roles managed pelo projeto Ops Manager, se aplicam a todos os deployments no projeto, incluindo o deployment MongoDB importado.
O Ops Manager reinicia todos os sistemas no projeto com a nova configuração, incluindo o sistema do MongoDB importado. Após a importação, todos os sistemas no projeto usam o arquivo de chave de automação do Ops Manager na reinicialização.
A implementação que você importa deve usar o mesmo arquivo-chave que os processos existentes no projeto de destino ou o processo de importação pode não continuar. Para saber mais, consulte Credenciais de autenticação em clusters de origem e destino.
Se as implantações existentes no projeto exigirem um perfil de segurança diferente do processo importado, crie um novo projeto no qual você possa importar a implantação de origem do MongoDB.
Exemplos de usuários importados
Os exemplos a seguir se aplicam a situações em que a implantação do MongoDB requer autenticação ou em que o projeto do Ops Manager tem as configurações de autenticação habilitadas.
Se você importar os usuários do MongoDB e a função personalizada, quando o projeto do Ops Manager começar a managed a implantação do MongoDB, o seguinte acontecerá, independentemente do valor Enforce Consistent Set :
O projeto do Ops Manager habilita a autenticação, managed usuários e roles importados e sincroniza os novos usuários e roles com todos os seus sistemas managed.
O controle de acesso do sistema MongoDB está habilitado e requer autenticação. A implantação do MongoDB tem todos os usuários e funções que o projeto do Ops Manager managed. Estes usuários e roles têm
Synced
configurado paraYes
.
Se você não importar os usuários do MongoDB e a função personalizada, quando o projeto do Ops Manager começar a managed a implantação do MongoDB, acontecerá o seguinte:
Se Enforce Consistent Set estiver definido como Yes
:
O projeto do Ops Manager habilita a autenticação e não altera seus usuários e roles managed.
O controle de acesso do sistema MongoDB está habilitado e requer autenticação.
O Ops Manager exclui os usuários e roles do MongoDB não importados do sistema.
A implantação do MongoDB tem todos os usuários e funções que o projeto do Ops Manager managed. Estes usuários e roles têm
Synced
configurado paraYes
.
Se Enforce Consistent Set estiver definido como No
:
O projeto do Ops Manager habilita a autenticação e não altera suas configurações de segurança, incluindo usuários e roles.
O controle de acesso do sistema MongoDB está habilitado e requer autenticação.
Os usuários e funções do MongoDB não importados permanecem na implantação do MongoDB .
O MongoDB tem todos os usuários e roles managed pelo projeto do Ops Manager. Estes usuários e roles têm
Synced
configurado paraYes
.
Pré-requisitos
Se o mongod estiver habilitado como um serviço no sistema, uma condição de corrida poderá resultar em que
systemd
iniciamongod
na reinicialização, em vez da automação. Para evitar esse problema, verifique se o serviçomongod
está desabilitado antes de adicionar seu sistema à Automação:Verifique se o serviço
mongod
está habilitado:sudo systemctl is-enabled mongod.service Se o serviço estiver habilitado, desative-o:
sudo systemctl disable mongod.service
Se o projeto do Ops Manager não tiver as configurações de autenticação habilitadas, mas o processo do MongoDB exigir autenticação, adicione o usuário do MongoDB Agent para o projeto do Ops Manager com as roles apropriadas. O processo de importação exibe as funções necessárias para o usuário. O usuário adicionado se torna o usuário do MongoDB Agent do projeto.
Se o projeto do Ops Manager tiver as configurações de autenticação habilitadas, adicione o usuário do MongoDB Agent do projeto do Ops Manager ao processo do MongoDB.
Para localizar o usuário do MongoDB Agent , clique em Deployments, depois em Security e depois em Users.
Para encontrar a senha do usuário do MongoDB Agent do projeto do Ops Manager, use um dos seguintes métodos:
Siga as etapas no procedimento Adicionar processos MongoDB para iniciar o assistente na interface do usuário. Quando você atinge o modal que diz Do you want to add automation to this deployment?:
Selecione Add Automation and Configure Authentication.
Clique em Show Password.
Use o endpoint do Recurso de Configuração de Automação :
curl --user "{PUBLIC-KEY}:{PRIVATE-KEY}" --digest \ --header "Accept: application/json" \ --include \ --request GET "<host>/api/public/v1.0/groups/<Group-ID>/automationConfig" Abra o arquivo
mmsConfigBackup
no editor de texto de sua preferência e encontre o valorautoPwd
.Exemplo
Se o projeto do MongoDB Ops Manager estiver usando a autenticação de Nome de Usuário/Senha , adicione o usuário
mms-automation
do MongoDB Ops Manager MongoDB Agents ao banco de banco de dadosadmin
no MongoDB deployment a ser importado.db.getSiblingDB("admin").createUser( { user: "mms-automation", pwd: <password>, roles: [ 'clusterAdmin', 'dbAdminAnyDatabase', 'readWriteAnyDatabase', 'userAdminAnyDatabase', 'restore', 'backup' ] }
Quando você adiciona um cluster no MongoDB Ops Manager, o MongoDB Ops Manager ativa automaticamente a rotação de registros, o que pode colidir com sua configuração
logRotate
existente para registrosmongod
oumongos
. Para evitar essa colisão, faça o seguinte:Desative sua configuração do
logRotate
paramongod
oumongos
processos.Remova as opções
systemLog.logRotate
esystemLog.logAppend
da configuração do processomongod
oumongos
para usar o padrão do MongoDB Ops Manager.
O processo de importação exige que as credenciais de autenticação e os arquivos de chave sejam os mesmos nos clusters de origem e destino. Para saber mais, consulte Credenciais de autenticação em clusters de origem e destino.
Para importar com êxito um conjunto de réplicas existente para o Ops Manager, a instância deve estar íntegra.
Procedimentos
Adicionar processos do MongoDB
Para adicionar processos MongoDB existentes ao Ops Manager:
Navegue até a Deployment página do seu projeto.
Se ainda não estiver exibido, selecione a organização que contém o projeto desejado no menu Organizations na barra de navegação.
Se ainda não estiver exibido, selecione o projeto desejado no menu Projects na barra de navegação.
Se ainda não estiver exibido, clique em Deployment na barra lateral.
Adicionar credenciais de autenticação ao seu sistema
Depois de adicionar o processo do MongoDB existente ao MongoDB Ops Manager, talvez seja necessário adicionar credenciais de autenticação para as novas implantações se a autenticação estiver ativada para o projeto para o qual você importou a implantação. Consulte Casos de Uso de Autenticação para saber em quais situações você deve adicionar credenciais de Automação, Monitoramento ou Backup para sua nova implementação.
Se estiver adicionando uma implantação que pretende migrar em tempo real para o Atlas, precisará adicionar a implantação (e suas credenciais) somente para monitoramento.
Selecione o mecanismo de autenticação que deseja usar:
Adicionar Credenciais para Automação
Para adicionar credenciais para uma implantação que usará Automação, mas não a usava antes de você importá-la para o Ops Manager:
Adicione o usuário do MongoDB Agent aos seus bancos de dados.
O usuário do MongoDB Agent executa tarefas de automação para seus bancos de dados MongoDB . Certifique-se de que este usuário MongoDB tenha os privilégios adequados.
Navegue até a Security Settings caixa de diálogo para seu sistema.
Se ainda não estiver exibido, selecione a organização que contém o projeto desejado no menu Organizations na barra de navegação.
Se ainda não estiver exibido, selecione o projeto desejado no menu Projects na barra de navegação.
Se ainda não estiver exibido, clique em Deployment na barra lateral.
Clique na aba Security.
Clique na aba Settings.
Realize uma das seguintes ações:
Se esta for a primeira vez que você define configurações de TLS, autenticação ou autorização para este projeto, clique em Get Started.
Se você já configurou a autenticação do TLS ou as configurações de autorização deste projeto, clique em Edit.
Adicione as credenciais apropriadas:
Contexto | Valor |
---|---|
MongoDB Agent Username | Insira o nome de usuário do MongoDB Agent . |
MongoDB Agent Password | Insira a senha do nome de usuário do MongoDB Agent . |
Contexto | Valor |
---|---|
MongoDB Agent LDAP Username | Insira o nome de usuário LDAP . |
MongoDB Agent LDAP Password | Insira a senha do nome de usuário LDAP do MongoDB Agent. |
MongoDB Agent LDAP Group DN | Insira o nome distinto para o grupo LDAP do MongoDB Agent. Forneça o DN do grupo LDAP do MongoDB Agent somente se você usar a Autorização LDAP . Cada MongoDB Agent deve ter e usar seu próprio DN de grupo LDAP. |
Os valores exigidos dependem se você está se conectando a um KDC atendido pelo Linux ou ao Windows Active Directory Server.
Contexto | Valor |
---|---|
Monitoring Kerberos Principal | Kerberos Principal. |
Monitoring Keytab Path | Ppath do arquivo absoluto para o Keytab do MongoDB Agent. |
Monitoring LDAP Group DN | Insira o nome distinto para o grupo LDAP do MongoDB Agent. O Grupo LDAP DN é então criado como uma função no MongoDB para conceder ao MongoDB Agent os privilégios apropriados. Você só precisa fornecer o DN do grupo LDAP se usar a Autorização LDAP. |
Contexto | Valor |
---|---|
MongoDB Agent Username | Nome de usuário do Active Directory. |
MongoDB Agent Password | Senha do Active Directory. |
Domain | Nome NetBIOS de um domínio no Active Directory Domain Services. Deve estar em todas as letras maiúsculas. |
Contexto | Valor |
---|---|
MongoDB Agent Username | Insira o nome diferenciado LDAPv3 derivado do arquivo de chave PEM do MongoDB Agent. |
TLS/SSL CA File Path | O caminho no disco que contém os certificados de autoridade de certificação (CA) confiáveis no formato PEM . Esses certificados verificam o certificado do servidor retornado de qualquer instância do MongoDB em execução com TLS/SSL. Você deve inserir pelo menos um caminho de arquivo TLS/SSL CA. |
MongoDB Agent PEM Key file | Se a implementação do MongoDB exigir certificados de cliente , na linha do sistema operacional apropriado, forneça o caminho e o nome de arquivo .pem para o certificado de cliente usado pelo arquivo de chave PEM do MongoDB Agent no servidor. Você deve inserir um valor para pelo menos um arquivo de chave PEM do MongoDB Agent . |
MongoDB Agent PEM Key Password | Forneça a senha para o arquivo da chave PEM se ela tiver sido criptografada. |
MongoDB Agent LDAP Group DN | Insira o nome distinto para o grupo LDAP do MongoDB Agent. Você só precisa fornecer o DN do grupo LDAP do MongoDB Agent se usar a autorização LDAP . |
Adicionar credenciais para monitoramento
Para adicionar credenciais para um sistema que não usará automação, mas usará monitoramento:
Navegue até a Monitoring Settings caixa de diálogo para seu sistema.
Se ainda não estiver exibido, selecione a organização que contém o projeto desejado no menu Organizations na barra de navegação.
Se ainda não estiver exibido, selecione o projeto desejado no menu Projects na barra de navegação.
Se ainda não estiver exibido, clique em Deployment na barra lateral.
Clique em e clique em Monitoring Settings ao lado do sistema para o qual você deseja visualizar as configurações de monitoramento.
Adicione as credenciais apropriadas:
Contexto | Valor |
---|---|
Monitoring Username | Insira o nome de usuário do monitoramento. |
Monitoring Password | Insira a senha para monitorar o nome de usuário. |
Contexto | Valor |
---|---|
Monitoring LDAP Username | Insira o nome de usuário LDAP . |
Monitoring LDAP Password | Insira a senha do nome de usuário LDAP do Monitoring. |
Monitoring LDAP Group DN | Insira o nome diferenciado para o grupo LDAP do monitoramento. Forneça o DN do grupo LDAP do monitoramento somente se você usar a autorização LDAP . Cada monitoramento deve ter e usar seu próprio DN de grupo LDAP. |
Os valores exigidos dependem se você está se conectando a um KDC atendido pelo Linux ou ao Windows Active Directory Server.
Contexto | Valor |
---|---|
Monitoring Kerberos Principal | Kerberos Principal. |
Monitoring Keytab Path | Ppath do arquivo absoluto para o Keytab do monitoramento. |
Monitoring LDAP Group DN | Insira o nome diferenciado para o grupo LDAP do monitoramento. Em seguida, o DN do grupo LDAP é criado como uma função no MongoDB para conceder ao monitoramento os privilégios apropriados. Você só precisa fornecer o DN do grupo LDAP se usar a Autorização LDAP. |
Contexto | Valor |
---|---|
Monitoring Username | Nome de usuário do Active Directory. |
Monitoring Password | Senha do Active Directory. |
Domain | Nome NetBIOS de um domínio no Active Directory Domain Services. Deve estar em todas as letras maiúsculas. |
Contexto | Valor |
---|---|
Monitoring Username | Insira o nome diferenciado LDAPv3 derivado do arquivo de chave PEM do monitoramento. |
Monitoring PEM Key file | Forneça o caminho e o nome do arquivo de chave PEM do Monitoring no servidor na linha do sistema operacional apropriado. |
Monitoring PEM Key Password | Forneça a senha para o arquivo da chave PEM se ela tiver sido criptografada. |
Monitoring LDAP Group DN | Insira o nome diferenciado para o grupo LDAP do monitoramento. Você só precisa fornecer o DN do Grupo LDAP do Monitoramento se usar a Autorização LDAP . |
Adicionar Credenciais para Backup
Para adicionar credenciais para um sistema que não usará automação, mas usará backup:
Navegue até a Continuous Backup página do seu projeto.
Se ainda não estiver exibido, selecione a organização que contém o projeto desejado no menu Organizations na barra de navegação.
Se ainda não estiver exibido, selecione o projeto desejado no menu Project na barra de navegação.
Clique em Continuous Backup na barra lateral.
Adicione as credenciais apropriadas:
Contexto | Valor |
---|---|
Backup Username | Insira o nome de usuário do Backup. |
Backup Password | Insira a senha para o Nome de usuário do Backup. |
Contexto | Valor |
---|---|
Backup LDAP Username | Insira o nome de usuário LDAP . |
Backup LDAP Password | Insira a senha do nome de usuário LDAP do Backup. |
Backup LDAP Group DN | Insira o nome diferenciado para o grupo LDAP do backup. Forneça o DN do grupo LDAP do backup somente se você usar a autorização LDAP . Cada backup deve ter e usar seu próprio DN de grupo LDAP. |
Os valores exigidos dependem se você está se conectando a um KDC atendido pelo Linux ou ao Windows Active Directory Server.
Contexto | Valor |
---|---|
Monitoring Kerberos Principal | Kerberos Principal. |
Monitoring Keytab Path | Ppath do arquivo absoluto para o Keytab do backup. |
Monitoring LDAP Group DN | Insira o nome diferenciado para o grupo LDAP do backup. O Grupo LDAP DN é então criado como uma função no MongoDB para conceder ao Backup os privilégios apropriados. Você só precisa fornecer o DN do grupo LDAP se usar a Autorização LDAP. |
Contexto | Valor |
---|---|
Backup Username | Nome de usuário do Active Directory. |
Backup Password | Senha do Active Directory. |
Domain | Nome NetBIOS de um domínio no Active Directory Domain Services. Deve estar em todas as letras maiúsculas. |
Contexto | Valor |
---|---|
Backup Username | Insira o nome diferenciado LDAPv3 derivado do arquivo de chave PEM do backup. |
Backup PEM Key file | Forneça o caminho e o nome do arquivo da chave PEM do backup no servidor na linha do sistema operacional apropriado. |
Backup PEM Key Password | Forneça a senha para o arquivo da chave PEM se ela tiver sido criptografada. |
Backup LDAP Group DN | Insira o nome diferenciado para o grupo LDAP do backup. Você só precisa fornecer o DN do Grupo LDAP do Backup se usar a Autorização LDAP . |