snapshots de backup criptografados
Nesta página
A criptografia de snapshots depende da versão do MongoDB com que seu banco de dados de dados é compatível. Essa feature compatibility version varia da versão atual até a versão anterior. Para MongoDB 4.2, o FCV pode ser 4.0 ou 4.2. Só é possível criar snapshots criptografados a partir de clusters criptografados.
MongoDB Ops Manager pode criptografar qualquer tarefa de backup que ele tenha armazenado em um armazenamento de snapshots. O snapshot deve vir de um banco de dados de dados que executou o MongoDB Enterprise 4.2 ou posterior com:
FCV de 4.2 ou posterior e
WiredTiger storage engineMecanismo .
Aviso
MongoDB Ops Manager não suporta a transição da criptografia de chave local para a criptografia baseada em servidorKMIP .
Observação
O MongoDB Ops Manager não permite mais a criação de snapshots de cluster a partir de sistemas de banco de dados de dados que usam criptografia de chave local. Se você criptografar um sistema de implantação de banco de dados de dados com criptografia de chave local, o snapshot falhará. Para criptografar snapshots, use criptografia baseada em KMIPcom seus sistemas de banco de dados de dados.
Para criptografar backups, use uma chave mestre que um dispositivo de gerenciamento de chaves compatível com KMIPgere e mantenha. Esta chave mestra criptografa a chave que criptografa o banco de dados de dados.
MongoDB Ops Manager cria snapshots de FCV de 4.2 ou sistemas posteriores copiando os bytes no disco do storage.dbPath de um host para o armazenamento de snapshots. Se você habilitar o MongoDB Encryption at Rest para o host do qual está fazendo backup, os bytes que o MongoDB Ops Manager copia para o armazenamento de snapshots já estarão criptografados. O MongoDB Ops Manager criptografa dados na camada do mecanismo de armazenamento quando você escreve dados no disco de um host.
Para FCV de 4.2 ou sistemas posteriores, os componentes do MongoDB Ops Manager não interagem com o host KMIP ao tirar snapshots.
Importante
O Backup Daemon exige uma conexão com o host KMIP para processar umtarefa de restauração consultável de um backup criptografado.
O MongoDB Ops Manager oferece suporte à criptografia para qualquer tarefa de backup que tenha sido armazenada em um banco de dados principal que esteja executando o MongoDB Enterprise 3.4 ou posterior com o mecanismo de armazenamento WiredTiger .
Aviso
MongoDB Ops Manager não oferece suporte à transição da criptografia de chave local para a criptografia baseada em servidor KMIP .
Para criptografar backups, você usa uma chave mestre que um dispositivo de gerenciamento de chaves compatível com KMIPgera e mantém. Esta chave mestre criptografa os bancos de dados principais. Como o Backup Daemon cria snapshots a partir dos bancos de dados principais, os instantâneos resultantes dos bancos de dados principais criptografados são criptografados.
Para restaurar a partir de um backup criptografado, você precisa da mesma chave mestra usada para criptografar o backup e do mesmo certificado que está no host do Backup Daemon ou de um novo certificado provisionado com essa chave do host KMIP . Corresponde ao valor no campo Caminho do certificado do cliente KMIP .
Pré-requisitos
Um host executando o gerenciamento de chaves compatível com KMIPpara gerar e armazenar chave de criptografia.
Importante
Os clusters que executam o MongoDB FCV 4.2 ou posterior devem usar servidores KMIP . Esses clusters não permitem o gerenciamento local de chaves usando arquivos.
Os bancos de dados principais usam o MongoDB Enterprise 3.4 ou posterior com o mecanismo de armazenamento WiredTiger.
Um certificado de cliente KMIP válido e arquivos de autoridade de certificação host KMIP . Esses arquivos são usados para autenticar o MongoDB Ops Manager no host KMIP . O certificado do cliente no host do Backup Daemon deve ter acesso a todas as chaves no host KMIP .
Importante
Você deve manter todas as chaves, mesmo as chaves rotacionadas, no host KMIP .
Definir a configuração do host KMIP para o Ops Manager
Preencha os campos do KMIP.
Atualize os seguintes campos de host KMIP na seção KMIP Server Configuration :
Digite o FQDN para o host KMIP . | |
Digite o caminho absoluto para o arquivo de autoridade de certificação no host do Ops Manager. Este deve ser o mesmo arquivo de autoridade de certificação armazenado no host KMIP . |
Configurar seu projeto para usar o KMIP
Observação
Todas as implantações no projeto usam o mesmo arquivo de certificado de cliente KMIP para autenticar.
Preencha os campos do KMIP.
KMIP client certificate path | Digite o caminho absoluto para o arquivo de certificado do cliente no host do Ops Manager. O Ops Manager usa esse certificado para se autenticar no servidor KMIP. Um único arquivo pode conter o certificado da CA e do cliente. |
KMIP client certificate password | Opcional Insira somente se o certificado especificado em KMIP client certificate path estiver criptografado. |
Criptografar sua tarefa de backup
Na Start Backup barra lateral do, configure a origem da cópia de segurança e o mecanismo de armazenamento.
Menu | Valores possíveis | Valor padrão |
|---|---|---|
Sync source |
|
Usar um secundário é preferível porque minimiza o impacto no desempenho no primário. |
Storage Engine | WiredTiger O Ops Manager limita os backup para sistemas com menos de 100.000 arquivos. Os arquivos incluem collection e índices. | WiredTiger |
Definir mecanismos de autenticação.
Se a automação não managed sua implantação e sua implantação exigir autenticação, especifique o mecanismo de autenticação e as credenciais.
Especifique o seguinte, conforme apropriado:
Auth Mechanism | O mecanismo de autenticação que o host MongoDB usa. As opções do MongoDB Community incluem:
As opções do MongoDB Enterprise também incluem: |
DB Username | Para autenticação Consulte Configurar o MongoDB Agent para Autenticação ou Configurar o MongoDB Agent para LDAP. |
DB Password | Para autenticação do Username/Password ou LDAP, a senha utilizada para autenticar o MongoDB Agent com o MongoDB deployment. |
Allows TLS for connections | Se marcado, o Backup usa TLS para se conectar ao MongoDB. |
Importante
Para backups existentes em um projeto, ativar a criptografia requer uma sincronização de backup inicial para recriar os head databases dos backups.
Na Start Backup barra lateral do, configure a origem da cópia de segurança e o mecanismo de armazenamento.
Menu | Valores possíveis | Valor padrão |
|---|---|---|
Sync source |
|
Usar um secundário é preferível porque minimiza o impacto no desempenho no primário. |
Storage Engine |
Consulte as considerações em Mecanismos de armazenamento. | O mesmo mecanismo de armazenamento que o nó primary do banco de dados de dados que está sendo copiado. |
Se o mecanismo de armazenamento for WiredTiger, você poderá habilitar a criptografia. Para habilitar a criptografia, selecione Enable Encryption. Selecione somente se você tiver configurado o servidor KMIP para seus backups e configurado o projeto para usar KMIP.
Definir mecanismos de autenticação.
Se a automação não managed sua implantação e sua implantação exigir autenticação, especifique o mecanismo de autenticação e as credenciais.
Especifique o seguinte, conforme apropriado:
Auth Mechanism | O mecanismo de autenticação que o host MongoDB usa. As opções do MongoDB Community incluem:
As opções do MongoDB Enterprise também incluem: |
DB Username | Para autenticação Consulte Configurar o MongoDB Agent para Autenticação ou Configurar o MongoDB Agent para LDAP. |
DB Password | Para autenticação do Username/Password ou LDAP, a senha utilizada para autenticar o MongoDB Agent com o MongoDB deployment. |
Allows TLS for connections | Se marcado, o Backup usa TLS para se conectar ao MongoDB. |
Para filtrar quais namespaces são armazenados em backup, clique Advanced Settings em .
Para excluir bancos de dados e coleções deste backup:
Clique em Blacklist.
Insira o primeiro banco de dados de dados e coleção na caixa de texto. Para collections, insira o namespace completo:
<database>.<collection>.Para excluir bancos de dados ou coleções adicionais, clique no link Add another e repita a etapa anterior.
Para incluir apenas determinados bancos de dados e coleções para esse backup:
Clique em Access List.
Insira o primeiro banco de dados de dados e coleção na caixa de texto. Para collections, insira o namespace completo:
<database>.<collection>.Para incluir bancos de dados ou coleções adicionais, clique no link Add another e repita a etapa anterior.