snapshots de backup criptografados
Nesta página
A criptografia de snapshots depende da versão do MongoDB com que seu banco de dados de dados é compatível. Essa feature compatibility version varia da versão atual até a versão anterior. Para MongoDB 4.4, o FCV pode ser 4.2 ou 4.4. Só é possível criar snapshots criptografados a partir de clusters criptografados.
MongoDB Ops Manager não criptografa snapshots de backup para clusters que executam o MongoDB 4.2 ou posterior, pois você pode criar snapshots criptografados somente a partir de clusters criptografados.
Observação
O MongoDB Ops Manager não permite mais a criação de snapshots de cluster a partir de sistemas de banco de dados de dados que usam criptografia de chave local. Se você criptografar um sistema de implantação de banco de dados de dados com criptografia de chave local, o snapshot falhará. Para criptografar snapshots, use criptografia baseada emKMIP com seus sistemas de banco de dados de dados.
O MongoDB Ops Manager cria snapshots de implantações copiando os bytes em disco do storage.dbPath de um host para o armazenamento de snapshots. Se você habilitar o MongoDB Encryption at Rest para o host do qual está fazendo backup, os bytes que o MongoDB Ops Manager copia para o armazenamento de snapshots já estarão criptografados. O MongoDB Ops Manager criptografa dados na camada do mecanismo de armazenamento quando você escreve dados no disco de um host.
Os componentes do MongoDB Ops Manager não interagem com o host KMIP ao tirar snapshots.
Importante
O Backup Daemon exige uma conexão com o host KMIP para processar umtarefa de restauração consultável de um backup criptografado.
Pré-requisitos
Um host executando o gerenciamento de chaves compatível com KMIPpara gerar e armazenar chave de criptografia.
Importante
Os clusters devem usar servidores KMIP . Esses clusters não permitem o gerenciamento local de chaves usando arquivos.
Importante
Você deve manter todas as chaves, mesmo as chaves rotacionadas, no host KMIP .
Definir a configuração do host KMIP para o Ops Manager
Preencha os campos do KMIP.
Atualize os seguintes campos de host KMIP na seção KMIP Server Configuration :
Digite o FQDN para o host KMIP . | |
Digite a porta na qual o host KMIP está escutando conexões KMIP . A porta KMIP padrão é 5696. | |
Digite o caminho absoluto para o arquivo de autoridade de certificação no host do Ops Manager. Este deve ser o mesmo arquivo de autoridade de certificação armazenado no host KMIP . |
Configurar seu projeto para usar o KMIP
Observação
Todas as implantações no projeto usam o mesmo arquivo de certificado de cliente KMIP para autenticar.
Preencha os campos do KMIP.
KMIP client certificate path | Digite o caminho absoluto para o arquivo de certificado do cliente no host do Ops Manager. O Ops Manager usa esse certificado para se autenticar no servidor KMIP. Um único arquivo pode conter o certificado da CA e do cliente. |
KMIP client certificate password | Opcional Insira somente se o certificado especificado em KMIP client certificate path estiver criptografado. |
Criptografar sua tarefa de backup
Você pode criar snapshots criptografados somente a partir de clusters criptografados. Se você habilitar o MongoDB Encryption at Rest para o host do qual está fazendo backup, os bytes que o MongoDB Ops Manager copia para o armazenamento de snapshots já estarão criptografados.