Menu Docs
Página inicial do Docs
/
Manual do MongoDB
/ / /

Opções de arquivo de configuração autogerenciado

Nesta página

  • Arquivo de configuração
  • Formato de arquivo
  • Usar o arquivo de configuração
  • Opções principais
  • systemLog Opções
  • processManagement Opções
  • net Opções
  • security Opções
  • setParameter Opção
  • storage Opções
  • operationProfiling Opções
  • replication Opções
  • sharding Opções
  • auditLog Opções
  • snmp Opções
  • mongos Opções -only
  • Opções de serviço do Windows
  • Opções de MMAPv1 removidas

A página seguinte descreve as opções de configuração disponíveis no MongoDB 5.0. Para obter opções de arquivo de configuração para outras versões do MongoDB, consulte a versão apropriada do Manual do MongoDB.

Observação

Se você estiver utilizando o MongoDB Atlas para gerenciar suas implantações MongoDB na nuvem, você não precisará criar um arquivo de configuração. Para aprender como configurar as configurações para sua implantação do MongoDB Atlas, consulte Configurar Configurações Adicionais.

Além de usar as opções do arquivo de configuração, a configuração padrão para os binários do MongoDB também usa as variáveis de ambiente do sistema operacional.

Você pode configurar as instâncias mongod e mongos na inicialização usando um arquivo de configuração. O arquivo de configuração contém configurações que são equivalentes às opções de linha de comando mongod e mongos. Consulte Configurações de arquivos de configuração autogerenciados e mapeamento de opções de linha de comando.

O uso de um arquivo de configuração facilita o gerenciamento das opções mongod e mongos, especialmente em implementações de grande escala. Você também pode adicionar comentários ao arquivo de configuração para explicar as configurações do servidor.

  • Se você instalou o MongoDB com um gerenciador de pacote como yum ou apt no Linux ou brew no macOS, ou com o instalador MSI no Windows, um arquivo de configuração padrão foi fornecido como parte da sua instalação:

    Plataforma
    Método
    Arquivo de configuração
    Linux
    apt, yum, ou zypper gerenciador de pacotes
    /etc/mongod.conf
    macOS
    brew Gerente de pacotes

    /usr/local/etc/mongod.conf (em processadores Intel), ou

    /opt/homebrew/etc/mongod.conf (em processadores Apple M1)

    Windows
    Instalador MSI
    <install directory>\bin\mongod.cfg
  • Se você instalou o MongoDB por meio de um arquivo TGZ ou ZIP baixado, deverá criar seu próprio arquivo de configuração. A configuração básica de exemplo é um bom ponto de partida.

Os arquivos de configuração do MongoDB usam o formato YAML[1].

O seguinte arquivo de configuração de amostra contém várias configurações do mongod que você pode adaptar para sua configuração local:

Observação

O YAML não suporta caracteres de tabulação para indentação: em vez disso, use espaços.

systemLog:
destination: file
path: "/var/log/mongodb/mongod.log"
logAppend: true
storage:
journal:
enabled: true
processManagement:
fork: true
net:
bindIp: 127.0.0.1
port: 27017
setParameter:
enableLocalhostAuthBypass: false
...

Os scripts de inicialização do pacote Linux incluídos nos pacotes oficiais do MongoDB dependem de valores específicos para systemLog.path, storage.dbPath e processManagement.fork. Se você modificar essas configurações no arquivo de configuração padrão, mongod pode não iniciar.

[1] YAML é um superconjunto de JSON.

Observação

O MongoDB suporta o uso de diretivas de expansão em arquivos de configuração para carregar valores de origem externa. As diretivas de expansão podem carregar valores para opções específicas do arquivo de configuração ou carregar todo o arquivo de configuração.

As seguintes diretivas de expansão estão disponíveis:

Diretiva de expansão
Descrição

Permite que os usuários especifiquem um endpoint REST como fonte externa para as opções do arquivo de configuração ou o arquivo de configuração completo.

Se o arquivo de configuração incluir a expansão __rest, no Linux/macOS, o acesso de leitura ao arquivo de configuração deverá ser limitado apenas ao usuário que estiver executando o processo mongod / mongos apenas.

Permite que os usuários especifiquem um comando shell ou terminal como a origem externa para opções de arquivo de configuração ou o arquivo de configuração completo.

Se o arquivo de configuração incluir a expansão __exec, no Linux/macOS, o acesso de gravação ao arquivo de configuração deverá ser limitado apenas ao usuário que estiver executando o processo mongod / mongos apenas.

Para obter a documentação completa, consulte Valores de arquivo de configuração de origem externa para implantações autogerenciadas.

Para configurar mongod ou mongos usando um arquivo de configuração, especifique o arquivo de configuração com a opção --config ou a opção -f, como nos exemplos a seguir:

Por exemplo, o seguinte utiliza mongod --config <configuration file> mongos --config <configuration file>:

mongod --config /etc/mongod.conf
mongos --config /etc/mongos.conf

Você também pode utilizar o alias -f para especificar o arquivo de configuração, como no seguinte:

mongod -f /etc/mongod.conf
mongos -f /etc/mongos.conf

Se você instalou a partir de um pacote e iniciou o MongoDB usando o script de inicialização do sistema, já está usando um arquivo de configuração.

Se você estiver utilizando diretivas de expansão no arquivo de configuração, você deverá incluir a opção --configExpand ao iniciar o mongod ou mongos. Por exemplo:

mongod --config /etc/mongod.conf --configExpand "rest,exec"
mongos --config /etc/mongos.conf --configExpand "rest,exec"

Se o arquivo de configuração incluir uma diretiva de expansão e você iniciar o mongod / mongos sem especificar esta diretiva na opção --configExpand, a mongod / mongos falhará ao iniciar.

Para obter a documentação completa, consulte Valores de arquivo de configuração de origem externa para implantações autogerenciadas.

systemLog:
verbosity: <int>
quiet: <boolean>
traceAllExceptions: <boolean>
syslogFacility: <string>
path: <string>
logAppend: <boolean>
logRotate: <string>
destination: <string>
timeStampFormat: <string>
component:
accessControl:
verbosity: <int>
command:
verbosity: <int>
# COMMENT additional component verbosity settings omitted for brevity
systemLog.verbosity

Tipo: inteiro

Padrão: 0

O nível de detalhamento da mensagem de log padrão para componentes. O nível de verbosidade determina a quantidade de mensagens informativas e de depuração que o MongoDB emite. [2]

O nível de verbosidade pode variar de 0 a 5:

  • 0 é o nível de detalhamento de log padrão do MongoDB, para incluir mensagens informativas.

  • 1 para 5 aumenta o nível de verbosidade para incluir mensagens de Depuração.

Para usar um nível de verbosidade diferente para um componente nomeado, use a configuração de verbosidade do componente. Por exemplo, use o systemLog.component.accessControl.verbosity para definir o nível de verbosidade específico dos componentes ACCESS.

Consulte as configurações do systemLog.component.<name>.verbosity para configurações de verbosidade de componente específicas.

Para ver várias maneiras de definir o nível de verbosidade do registro, consulte Configurar níveis de verbosidade do registro.

[2] A partir da versão 4.2, o MongoDB inclui o nível de verbosidade de depuração (1-5) nas mensagens de registro. Por exemplo, se o nível de verbosidade for 2, o MongoDB registrará D2. Em versões anteriores, as mensagens de registro do MongoDB especificavam somente D para o nível de depuração.
systemLog.quiet

Tipo: booleano

Padrão: false

Execute mongos ou mongod em um modo silencioso que tente limitar a quantidade de saída.

O systemLog.quiet não é recomendado para sistemas de produção, pois pode dificultar muito o rastreamento de problemas durante conexões específicas.

systemLog.traceAllExceptions

Tipo: booleano

Padrão: false

Imprima informações verbais para depuração. Use para registro adicional para solução de problemas relacionados ao suporte.

systemLog.syslogFacility

Tipo: string

Usuário padrão

O nível da instalação utilizado ao registrar mensagens no syslog. O valor especificado deve ser aceito pela implementação de syslog do seu sistema operacional. Para usar essa opção, você deve configurar systemLog.destination como syslog.

systemLog.path

Tipo: string

O caminho do arquivo de registro para o qual o mongod ou mongos deve enviar todas as informações de registro de diagnóstico, em vez da saída padrão ou do syslog do host. O MongoDB cria o arquivo de log no caminho especificado.

Os scripts de inicialização do pacote Linux não esperam que systemLog.path mude dos padrões. Se você usar os pacotes Linux e alterar systemLog.path, deverá usar seus próprios scripts de inicialização e desabilitar os scripts integrados.

systemLog.logAppend

Tipo: booleano

Padrão: false

Quando true, omongos ou omongod acrescenta novas entradas ao final do arquivo de log existente quando a instância é reiniciada. Sem essa opção, o mongod ou o mongos faz backup do log existente e cria um novo arquivo.

systemLog.logRotate

Tipo: string

Padrão: renomear

Determina o comportamento do comando logRotate ao girar o log do servidor e/ou o log de auditoria. Especifique rename ou reopen:

  • rename renomeia o arquivo de log.

  • reopen fecha e reabre o arquivo de log seguindo o comportamento típico de rotação de registro Linux/Unix. Utilize o reopen ao usar o utilitário de rotação de registro Linux/Unix para evitar perda de registro.

    Se você especificar reopen, também deverá configurar systemLog.logAppend como true.

systemLog.destination

Tipo: string

O destino para o qual o MongoDB envia toda a saída de log. Especifique file ou syslog. Se você especificar file, você também deverá especificar systemLog.path.

Se você não especificar systemLog.destination, o MongoDB enviará toda a saída de log para a saída padrão.

Aviso

O daemon syslog gera carimbos de data/hora quando registra uma mensagem, não quando o MongoDB emite a mensagem. Isso pode levar a carimbos de data/hora enganosos para entradas de log, especialmente quando o sistema está sob carga pesada. Recomendamos usar a opção file para sistemas de produção para garantir carimbos de data/hora precisos.

systemLog.timeStampFormat

Tipo: string

Default: iso8601-local

O formato de hora para carimbos de data/hora em mensagens de registro. Especifique um dos valores a seguir:

Valor
Descrição
iso8601-utc
Exibe carimbos de data/hora em Tempo Universal Coordenado (UTC) no formato ISO-8601. Por exemplo, para Nova Iorque no início da Época: 1970-01-01T00:00:00.000Z
iso8601-local
Exibe carimbos de data e hora na hora local no formato ISO-8601. Por exemplo, para Nova Iorque no início da Época: 1969-12-31T19:00:00.000-05:00

Observação

systemLog.timeStampFormat não aceita mais ctime. Um exemplo de data formatada ctime é: Wed Dec 31 18:17:54.811.

systemLog:
component:
accessControl:
verbosity: <int>
command:
verbosity: <int>
# COMMENT some component verbosity settings omitted for brevity
replication:
verbosity: <int>
election:
verbosity: <int>
heartbeats:
verbosity: <int>
initialSync:
verbosity: <int>
rollback:
verbosity: <int>
storage:
verbosity: <int>
journal:
verbosity: <int>
recovery:
verbosity: <int>
write:
verbosity: <int>

Observação

A partir da versão 4.2, o MongoDB inclui o nível de verbosidade de depuração (1-5) nas mensagens de registro. Por exemplo, se o nível de verbosidade for 2, o MongoDB registrará D2. Em versões anteriores, as mensagens de registro do MongoDB especificavam somente D para o nível de depuração.

systemLog.component.accessControl.verbosity

Tipo: inteiro

Padrão: 0

O nível de verbosidade da mensagem de log para componentes relacionados ao controle de acesso. Consulte componentes do ACCESS.

O nível de verbosidade pode variar de 0 a 5:

  • 0 é o nível de detalhamento de log padrão do MongoDB, para incluir mensagens informativas.

  • 1 para 5 aumenta o nível de verbosidade para incluir mensagens de Depuração.

systemLog.component.command.verbosity

Tipo: inteiro

Padrão: 0

O nível de verbosidade da mensagem de registro para componentes relacionados a comandos. Consulte COMMAND componentes.

O nível de verbosidade pode variar de 0 a 5:

  • 0 é o nível de detalhamento de log padrão do MongoDB, para incluir mensagens informativas.

  • 1 para 5 aumenta o nível de verbosidade para incluir mensagens de Depuração.

systemLog.component.control.verbosity

Tipo: inteiro

Padrão: 0

O nível de verbosidade da mensagem de registro para componentes relacionados às operações de controle. Consulte CONTROL componentes.

O nível de verbosidade pode variar de 0 a 5:

  • 0 é o nível de detalhamento de log padrão do MongoDB, para incluir mensagens informativas.

  • 1 para 5 aumenta o nível de verbosidade para incluir mensagens de Depuração.

systemLog.component.ftdc.verbosity

Tipo: inteiro

Padrão: 0

O nível de verbosidade da mensagem de log para componentes relacionados às operações de coleta de dados de diagnóstico. Consulte componentes do FTDC.

O nível de verbosidade pode variar de 0 a 5:

  • 0 é o nível de detalhamento de log padrão do MongoDB, para incluir mensagens informativas.

  • 1 para 5 aumenta o nível de verbosidade para incluir mensagens de Depuração.

systemLog.component.geo.verbosity

Tipo: inteiro

Padrão: 0

O nível de verbosidade da mensagem de log para componentes relacionados às operações de análise geoespacial. Consulte GEO componentes.

O nível de verbosidade pode variar de 0 a 5:

  • 0 é o nível de detalhamento de log padrão do MongoDB, para incluir mensagens informativas.

  • 1 para 5 aumenta o nível de verbosidade para incluir mensagens de Depuração.

systemLog.component.index.verbosity

Tipo: inteiro

Padrão: 0

O nível de verbosidade da mensagem de registro para componentes relacionados às operações de indexação. Consulte componentes do INDEX.

O nível de verbosidade pode variar de 0 a 5:

  • 0 é o nível de detalhamento de log padrão do MongoDB, para incluir mensagens informativas.

  • 1 para 5 aumenta o nível de verbosidade para incluir mensagens de Depuração.

systemLog.component.network.verbosity

Tipo: inteiro

Padrão: 0

O nível de verbosidade da mensagem de registro para componentes relacionados às operações de rede. Consulte NETWORK componentes.

O nível de verbosidade pode variar de 0 a 5:

  • 0 é o nível de detalhamento de log padrão do MongoDB, para incluir mensagens informativas.

  • 1 para 5 aumenta o nível de verbosidade para incluir mensagens de Depuração.

systemLog.component.query.verbosity

Tipo: inteiro

Padrão: 0

O nível de verbosidade da mensagem de registro para componentes relacionados às operações de consulta. Consulte QUERY componentes.

O nível de verbosidade pode variar de 0 a 5:

  • 0 é o nível de detalhamento de log padrão do MongoDB, para incluir mensagens informativas.

  • 1 para 5 aumenta o nível de verbosidade para incluir mensagens de Depuração.

systemLog.component.replication.verbosity

Tipo: inteiro

Padrão: 0

O nível de verbosidade da mensagem de registro para componentes relacionados à replicação. Consulte REPL componentes.

O nível de verbosidade pode variar de 0 a 5:

  • 0 é o nível de detalhamento de log padrão do MongoDB, para incluir mensagens informativas.

  • 1 para 5 aumenta o nível de verbosidade para incluir mensagens de Depuração.

systemLog.component.replication.election.verbosity

Tipo: inteiro

Padrão: 0

O nível de verbosidade da mensagem de registro para componentes relacionados à eleição. Consulte ELECTION componentes.

Se systemLog.component.replication.election.verbosity não estiver definido, o nível systemLog.component.replication.verbosity também se aplica aos componentes de eleição.

O nível de verbosidade pode variar de 0 a 5:

  • 0 é o nível de detalhamento de log padrão do MongoDB, para incluir mensagens informativas.

  • 1 para 5 aumenta o nível de verbosidade para incluir mensagens de Depuração.

systemLog.component.replication.heartbeats.verbosity

Tipo: inteiro

Padrão: 0

O nível de verbosidade da mensagem de registro para componentes relacionados a batidas cardíacas. Consulte REPL_HB componentes.

Se o systemLog.component.replication.heartbeats.verbosity estiver desconfigurado, o nível systemLog.component.replication.verbosity também se aplicará aos componentes de heartbeats.

O nível de verbosidade pode variar de 0 a 5:

  • 0 é o nível de detalhamento de log padrão do MongoDB, para incluir mensagens informativas.

  • 1 para 5 aumenta o nível de verbosidade para incluir mensagens de Depuração.

systemLog.component.replication.initialSync.verbosity

Tipo: inteiro

Padrão: 0

O nível de verbosidade da mensagem de registro para componentes relacionados ao initialSync. Veja os componentes INITSYNC.

Se systemLog.component.replication.initialSync.verbosity estiver desmarcado, o nível de systemLog.component.replication.verbosity também se aplicará aos componentes do initialSync.

O nível de verbosidade pode variar de 0 a 5:

  • 0 é o nível de detalhamento de log padrão do MongoDB, para incluir mensagens informativas.

  • 1 para 5 aumenta o nível de verbosidade para incluir mensagens de Depuração.

systemLog.component.replication.rollback.verbosity

Tipo: inteiro

Padrão: 0

O nível de verbosidade da mensagem de registro para componentes relacionados à reversão. Consulte componentes do ROLLBACK.

Se o systemLog.component.replication.rollback.verbosity estiver desmarcado, o nível de systemLog.component.replication.verbosity também se aplicará aos componentes de rollback.

O nível de verbosidade pode variar de 0 a 5:

  • 0 é o nível de detalhamento de log padrão do MongoDB, para incluir mensagens informativas.

  • 1 para 5 aumenta o nível de verbosidade para incluir mensagens de Depuração.

systemLog.component.sharding.verbosity

Tipo: inteiro

Padrão: 0

O nível de verbosidade da mensagem de registro para componentes relacionados ao sharding. Consulte SHARDING componentes.

O nível de verbosidade pode variar de 0 a 5:

  • 0 é o nível de detalhamento de log padrão do MongoDB, para incluir mensagens informativas.

  • 1 para 5 aumenta o nível de verbosidade para incluir mensagens de Depuração.

systemLog.component.storage.verbosity

Tipo: inteiro

Padrão: 0

O nível de verbosidade da mensagem de registro para componentes relacionados ao armazenamento. Consulte componentes do STORAGE.

Se systemLog.component.storage.journal.verbosity não estiver definido, o nível systemLog.component.storage.verbosity também se aplica aos componentes de registro no diário.

O nível de verbosidade pode variar de 0 a 5:

  • 0 é o nível de detalhamento de log padrão do MongoDB, para incluir mensagens informativas.

  • 1 para 5 aumenta o nível de verbosidade para incluir mensagens de Depuração.

systemLog.component.storage.journal.verbosity

Tipo: inteiro

Padrão: 0

O nível de verbosidade da mensagem de registro para componentes relacionados à diário. Consulte componentes do JOURNAL.

Se systemLog.component.storage.journal.verbosity não estiver configurado, os componentes de registro no diário terão o mesmo nível de verbosidade que os componentes de armazenamento principal: ou seja, o nível systemLog.component.storage.verbosity, se configurado, ou o nível de verbosidade padrão.

O nível de verbosidade pode variar de 0 a 5:

  • 0 é o nível de detalhamento de log padrão do MongoDB, para incluir mensagens informativas.

  • 1 para 5 aumenta o nível de verbosidade para incluir mensagens de Depuração.

systemLog.component.storage.recovery.verbosity

Tipo: inteiro

Padrão: 0

O nível de verbosidade da mensagem de registro para componentes relacionados à recuperação. Consulte componentes do RECOVERY.

Se systemLog.component.storage.recovery.verbosity não estiver definido, o nível do systemLog.component.storage.verbosity também irá se aplicar aos componentes de recuperação.

O nível de verbosidade pode variar de 0 a 5:

  • 0 é o nível de detalhamento de log padrão do MongoDB, para incluir mensagens informativas.

  • 1 para 5 aumenta o nível de verbosidade para incluir mensagens de Depuração.

systemLog.component.transaction.verbosity

Tipo: inteiro

Padrão: 0

O nível de verbosidade da mensagem de registro para componentes relacionados à transação. Consulte TXN componentes.

O nível de verbosidade pode variar de 0 a 5:

  • 0 é o nível de detalhamento de log padrão do MongoDB, para incluir mensagens informativas.

  • 1 para 5 aumenta o nível de verbosidade para incluir mensagens de Depuração.

systemLog.component.write.verbosity

Tipo: inteiro

Padrão: 0

O nível de verbosidade da mensagem de registro para componentes relacionados às operações de gravação. Consulte componentes do WRITE.

O nível de verbosidade pode variar de 0 a 5:

  • 0 é o nível de detalhamento de log padrão do MongoDB, para incluir mensagens informativas.

  • 1 para 5 aumenta o nível de verbosidade para incluir mensagens de Depuração.

processManagement:
fork: <boolean>
pidFilePath: <string>
timeZoneInfo: <string>
processManagement.fork

Tipo: booleano

Padrão: false

Ative um modo daemon que execute o processo mongos ou mongod em segundo plano. Por padrão, o mongos ou o mongod não é executado como um daemon. Para usar mongos ou mongod como um daemon, defina processManagement.fork ou use um processo de controle que lide com o processo de daemonização (por exemplo, systemd).

A opção processManagement.fork não é aceita no Windows.

Os scripts de inicialização do pacote Linux não esperam que processManagement.fork mude dos padrões. Se você usar os pacotes Linux e alterar processManagement.fork, deverá usar seus próprios scripts de inicialização e desabilitar os scripts integrados.

processManagement.pidFilePath

Tipo: string

Especifica um local do arquivo para armazenar o ID do processo (PID) do processo mongos ou mongod. O usuário que executa o processo do mongod ou mongos deve ser capaz de gravar neste caminho. Se a opção processManagement.pidFilePath não for especificada, o processo não criará um arquivo PID. Em geral, essa opção só é útil em combinação com a configuração processManagement.fork.

Observação

Linux

No Linux, o gerenciamento de arquivos PID geralmente é de responsabilidade do sistema de inicialização da sua distribuição: geralmente, um arquivo de serviço no diretório /etc/init.d ou um arquivo de unidade systemd registrado com systemctl. Só use a opção processManagement.pidFilePath se não estiver usando um desses sistemas de inicialização. Para obter mais informações, consulte o Guia de instalação do seu sistema operacional.

Observação

macOS

No macOS, o gerenciamento de arquivos PID geralmente é tratado pelo brew. Utilize somente a opção processManagement.pidFilePath se você não estiver utilizando o brew em seu sistema macOS. Para obter mais informações, consulte o respectivo Guia de instalação do seu sistema operacional.

processManagement.timeZoneInfo

Tipo: string

O caminho completo a partir do qual carregar o banco de dados de fuso horário. Se esta opção não for fornecida, o MongoDB usará seu banco de dados de fuso horário integrado.

O arquivo de configuração incluído com pacotes Linux e macOS define o caminho do banco de dados de fuso horário para /usr/share/zoneinfo por padrão.

O banco de dados de fuso horário integrado é uma cópia do banco de dados de fuso horário Olson/IANA. Ele é atualizado junto com as versões do MongoDB, mas o ciclo de lançamento da zona de fuso horário é diferente do ciclo de lançamento do MongoDB. A versão mais recente do banco de dados de fuso horário está disponível em nosso site de download.

Aviso

O MongoDB usa a biblioteca timelib de terceiros para fornecer conversões precisas entre fusos horários. Devido a uma atualização recente, timelib pode criar conversões de fuso horário imprecisas em versões mais antigas do MongoDB.

Para vincular explicitamente ao banco de dados de fuso horário em versões do MongoDB anteriores à 5.0, baixe o banco de dados de fusos horários. e use o parâmetro timeZoneInfo .

Alterado na versão 5,0: MongoDB remove a opção de configuração do net.serviceExecutor e a opção correspondente de linha de comando do --serviceExecutor.

net:
port: <int>
bindIp: <string>
bindIpAll: <boolean>
maxIncomingConnections: <int>
wireObjectCheck: <boolean>
ipv6: <boolean>
unixDomainSocket:
enabled: <boolean>
pathPrefix: <string>
filePermissions: <int>
tls:
certificateSelector: <string>
clusterCertificateSelector: <string>
mode: <string>
certificateKeyFile: <string>
certificateKeyFilePassword: <string>
clusterFile: <string>
clusterPassword: <string>
CAFile: <string>
clusterCAFile: <string>
CRLFile: <string>
allowConnectionsWithoutCertificates: <boolean>
allowInvalidCertificates: <boolean>
allowInvalidHostnames: <boolean>
disabledProtocols: <string>
FIPSMode: <boolean>
logVersions: <string>
compression:
compressors: <string>
net.port

Tipo: inteiro

Padrão:

A porta TCP na qual a instância do MongoDB escuta conexão de cliente.

Alterado na versão 5.0.22: A opção net.port aceita um intervalo de valores entre 0 e 65535. Configurar a porta para 0 configura mongos ou mongod para utilizar uma porta arbitrária atribuída pelo sistema operacional.

net.bindIp

Tipo: string

Padrão: localhost

Os nomes de host e/ou endereços IP e/ou caminhos de soquete de domínio Unix completos nos quais mongos ou mongod devem escutar conexões de clientes. Você pode anexar mongos ou mongod a qualquer interface. Para vincular vários endereços, insira uma lista de valores separados por vírgula.

Exemplo

localhost,/tmp/mongod.sock

Você pode especificar endereços IPv4 e IPv6 ou nomes de host que resolvem para um endereço IPv4 ou IPv6.

Exemplo

localhost, 2001:0DB8:e132:ba26:0d5c:2774:e7f9:d513

Observação

Se especificar um endereço IPv6 ou um nome de host que resolva para um endereço IPv6 para net.bindIp, você deve iniciar mongos ou mongod com net.ipv6 : true para habilitar a compatibilidade com IPv6. Especificar um endereço IPv6 para net.bindIp não habilita a compatibilidade com IPv6.

Se especificar um endereço IPv6 local de link (fe80::/10), você deverá acrescentar o índice da zona para esse endereço (ou seja, fe80::<address>%<adapter-name>).

Exemplo

localhost,fe80::a00:27ff:fee0:1fcf%enp0s3

Importante

Para evitar atualizações de configuração devido a alterações de endereço IP, use nomes de host DNS em vez de endereços IP. É particularmente importante usar um nome de host DNS em vez de um endereço IP ao configurar membros de conjunto de réplicas ou membros de cluster fragmentado.

Use nomes de host em vez de endereços IP para configurar cluster em um horizonte de rede dividido. Começando no MongoDB 5.0, nós configurados apenas com um endereço IP falham na validação de inicialização e não são iniciados.

Aviso

Antes de vincular a um não localhost (por exemplo, acessível IP ), certifique-se de ter protegido seu cluster contra o acesso não autorizado. Para obter uma lista completa de recomendações de segurança, consulte a Lista de verificação de segurança para implementações autogerenciadas. No mínimo, procure habilitar a autenticação e fortalecer a infraestrutura de rede.

Para obter mais informações sobre vinculação de IP, consulte a documentação de vinculação de IP em implantações autogerenciadas.

Para vincular a todos os endereços IPv4, digite 0.0.0.0.

Para se vincular a todos os endereços IPv4 e IPv6, digite ::,0.0.0.0 ou um asterisco "*" (coloque o asterisco entre aspas para diferenciá-lo dos nós de alias YAML). Como alternativa, use a configuração net.bindIpAll.

Observação

  • net.bindIp e net.bindIpAll são mutuamente exclusivos. Ou seja, você pode especificar um ou outro, mas não ambos.

  • A opção de linha de comando --bind_ip substitui o ajuste do arquivo de configuração net.bindIp.

Para configurar nós de cluster para DNS de horizonte dividido, use nomes de host em vez de endereços IP.

Começando no MongoDB v5,0, replSetInitiate e replSetReconfig rejeitam configurações que usam endereços IP em vez de nomes de host.

Use disableSplitHorizonIPCheck para modificar nós que não podem ser atualizados para usar nomes de host. O parâmetro se aplica somente aos comandos de configuração.

mongod e mongos não dependem de disableSplitHorizonIPCheck para validação na inicialização. As instâncias legadas de mongod e mongos que usam endereços IP em vez de nomes de host podem ser iniciadas após a atualização.

As instâncias configuradas com endereços IP registram um aviso para usar nomes de host em vez de endereços IP.

net.bindIpAll

Tipo: booleano

Padrão: false

Se verdadeiro, a instância mongos ou mongod se vinculará a todos os endereços IPv4 (ou seja, 0.0.0.0). Se mongos ou mongod começar com net.ipv6 : true, net.bindIpAll, também se vinculará a todos os endereços IPv6 (ou seja, ::).

mongos ou mongod só é compatível com IPv6 se for iniciado com net.ipv6 : true. Especificar net.bindIpAll sozinho não habilita a compatibilidade com IPv6.

Aviso

Antes de vincular a um não localhost (por exemplo, acessível IP ), certifique-se de ter protegido seu cluster contra o acesso não autorizado. Para obter uma lista completa de recomendações de segurança, consulte a Lista de verificação de segurança para implementações autogerenciadas. No mínimo, procure habilitar a autenticação e fortalecer a infraestrutura de rede.

Para obter mais informações sobre vinculação de IP, consulte a documentação de vinculação de IP em implantações autogerenciadas.

Como alternativa, defina net.bindIp como ::,0.0.0.0 ou como um asterisco "*" (coloque o asterisco entre aspas para diferenciá-lo dos nomes alternativos em formato YAML dos nós) para vincular-se a todos os endereços IP.

Observação

net.bindIp e net.bindIpAll são mutuamente exclusivos. Especificar ambas as opções faz com que o mongos ou mongod exiba um erro e seja encerrado.

net.maxIncomingConnections

Tipo: inteiro

Default (Windows): 1,000,000
Default (Linux): (RLIMIT_NOFILE) * 0.8

O número máximo de conexões simultâneas que mongos ou mongod aceita. Essa configuração não terá efeito se for maior do que o limite máximo de rastreamento de conexão configurado pelo sistema operacional.

Não atribua um valor muito baixo a essa opção ou poderá encontrar erros durante a operação normal do aplicativo.

Isso é particularmente útil para um mongos se você tiver um cliente que cria várias conexões e permite que elas atinjam o tempo limite em vez de fechá-las.

Neste caso, defina maxIncomingConnections como um valor um pouco maior que o número máximo de conexões que o cliente cria ou o tamanho máximo do pool de conexões.

Essa configuração impede que o mongos cause picos de conexão nos fragmentos individuais. Picos como esses podem interromper a operação e a alocação de memória do cluster fragmentado.

net.wireObjectCheck

Tipo: booleano

Padrão: true

Quando true, a instância mongod ou mongos valida todas as solicitações dos clientes no recebimento para evitar que os clientes insiram BSON malformado ou inválido em um banco de dados do MongoDB.

Para objetos com um alto grau de aninhamento de subdocumentos, net.wireObjectCheck pode ter um pequeno impacto no desempenho.

net.ipv6

Tipo: booleano

Padrão: false

Defina net.ipv6 como true para ativar o suporte IPv6. mongos/mongod desabilita o suporte IPv6 por padrão.

Configurar net.ipv6 não direciona o mongos/mongod para ouvir endereços ou interfaces IPv6 locais. Para configurar o mongos/mongod para ouvir uma interface IPv6, você deve:

  • Configure net.bindIp com um ou mais endereços IPv6 ou nomes de host que resolvam para endereços IPv6, ou

  • Definir net.bindIpAll como true.

net:
unixDomainSocket:
enabled: <boolean>
pathPrefix: <string>
filePermissions: <int>
net.unixDomainSocket.enabled

Tipo: booleano

Padrão: true

Habilite ou desabilite a escuta no soquete de domínio UNIX. O net.unixDomainSocket.enabled se aplica apenas aos sistemas baseados em Unix.

Quando net.unixDomainSocket.enabled é true, o mongos ou mongod escuta o soquete UNIX.

O processo mongos ou mongod sempre escuta no soquete UNIX, a menos que um dos seguintes seja verdadeiro:

  • net.unixDomainSocket.enabled é false

  • --nounixsocket está definido. A opção da linha de comando tem precedência sobre a configuração do arquivo de configuração.

  • net.bindIp não está definido

  • net.bindIp não especifica localhost nem seu endereço IP associado

mongos ou mongod instalado a partir do .deb oficial e .rpm os pacotes têm a configuração bind_ip definida como 127.0.0.1 por padrão.

net.unixDomainSocket.pathPrefix

Tipo: string

Padrão: /tmp

O caminho para o soquete UNIX. net.unixDomainSocket.pathPrefix se aplica somente aos sistemas baseados em Unix.

Se essa opção não tiver valor, o processo mongos ou mongod criará um soquete com /tmp como prefixo. O MongoDB cria e escuta em um soquete UNIX, a menos que uma das seguintes afirmações seja verdadeira:

net.unixDomainSocket.filePermissions

Tipo: int

Padrão: 0700

Define a permissão para o arquivo de soquete de domínio UNIX.

net.unixDomainSocket.filePermissions aplica-se apenas a sistemas baseados em Unix.

Observação

As opções tls oferecem funcionalidade idêntica às opções ssl anteriores.

net:
tls:
mode: <string>
certificateKeyFile: <string>
certificateKeyFilePassword: <string>
certificateSelector: <string>
clusterCertificateSelector: <string>
clusterFile: <string>
clusterPassword: <string>
CAFile: <string>
clusterCAFile: <string>
CRLFile: <string>
allowConnectionsWithoutCertificates: <boolean>
allowInvalidCertificates: <boolean>
allowInvalidHostnames: <boolean>
disabledProtocols: <string>
FIPSMode: <boolean>
logVersions: <string>
net.tls.mode

Tipo: string

Ativa o TLS usado para todas as conexões de rede. O argumento para a configuração net.tls.mode pode ser um dos seguintes:

Valor
Descrição
disabled
O servidor não usa TLS.
allowTLS
As conexões entre servidores não usam TLS. Para conexões recebidas , o servidor aceita TLS e não TLS.
preferTLS
As conexões entre servidores usam TLS. Para conexões recebidas , o servidor aceita TLS e não TLS.
requireTLS
O servidor usa e aceita apenas conexões criptografadas TLS.

Se --tlsCAFile ou tls.CAFile não for especificado e você não estiver usando a autenticação x.509, será necessário definir o parâmetro tlsUseSystemCA como true. Isso faz com que o MongoDB use o armazenamento de certificados CA em todo o sistema ao se conectar a um servidor habilitado para TLS.

Se estiver usando a autenticação x.509, --tlsCAFile ou tls.CAFile devem ser especificados, a menos que esteja usando--tlsCertificateSelector.

Para obter mais informações sobre TLS e MongoDB, consulte Configurar o mongod e o mongos para TLS/SSL e Configuração TLS/SSL para clientes .

net.tls.certificateKeyFile

Tipo: string

O arquivo .pem que contém o certificado e a chave TLS.

No macOS ou no Windows, você pode usar a configuração net.tls.certificateSelector para especificar um certificado do repositório de certificados seguro do sistema operacional em vez de um arquivo de chave PEM. certificateKeyFile e net.tls.certificateSelector são mutuamente exclusivos. Você só pode especificar uma.

Para obter mais informações sobre TLS e MongoDB, consulte Configurar o mongod e o mongos para TLS/SSL e Configuração TLS/SSL para clientes .

net.tls.certificateKeyFilePassword

Tipo: string

A senha para descriptografar o arquivo da chave de certificado (ou seja, certificateKeyFile). Utilize a opção net.tls.certificateKeyFilePassword somente se o arquivo da chave de certificado estiver criptografada. Em todos os casos, o mongos ou o mongod suprime a senha de todas as saídas de log e relatórios.

No Linux/BSD, se a chave privada no arquivo PEM estiver criptografada e você não especificar a opção net.tls.certificateKeyFilePassword, o MongoDB solicitará uma senha.

Para obter mais informações, consulte a página Frase-senha do certificado TLS/SSL.

No macOS, se a chave privada no arquivo PEM estiver criptografada, você deverá especificar explicitamente a opção net.tls.certificateKeyFilePassword. Como alternativa, você pode usar um certificado do armazenamento de sistema seguro (consulte net.tls.certificateSelector) em vez de um arquivo de chave PEM ou usar um arquivo PEM não criptografado.

No Windows, o MongoDB não é compatível com certificados criptografados. O mongod falhará se encontrar um arquivo PEM criptografado. Em vez disso, use net.tls.certificateSelector.

Para obter mais informações sobre TLS e MongoDB, consulte Configurar o mongod e o mongos para TLS/SSL e Configuração TLS/SSL para clientes .

net.tls.certificateSelector

Tipo: string

Especifica uma propriedade de certificado para selecionar um certificado correspondente do armazenamento de certificados do sistema operacional para usar para TLS/SSL. Disponível no Windows e macOS como uma alternativa ao net.tls.certificateKeyFile.

As opções net.tls.certificateKeyFile e net.tls.certificateSelector são mutuamente exclusivas. Você só pode especificar uma.

net.tls.certificateSelector aceita um argumento do formato <property>=<value> e a propriedade pode ser uma das abaixo:

Propriedade
Tipo de valor
Descrição
subject
string ASCII
Nome do assunto ou nome comum no certificado
thumbprint
string hexadecimal

Uma sequência de bytes, expressa em hexadecimal usada para identificar uma chave pública pelo seu resumo SHA-1.

O thumbprint às vezes é denominado fingerprint.

Ao usar o armazenamento de certificados SSL do sistema, o OCSP (Online Certificate Status Protocol) é usado para validar o status de revogação dos certificados.

O mongod pesquisa no armazenamento seguro de certificados do sistema operacional os certificados CA necessários para validar a cadeia completa de certificados do certificado TLS especificado. Especificamente, o armazenamento de certificados seguro deve conter a CA raiz e quaisquer certificados de CA intermediários necessários para construir a sequência completa de certificados para o certificado TLS.

Aviso

Se você usar net.tls.certificateSelector e/ou net.tls.clusterCertificateSelector, não recomendamos o uso de net.tls.CAFile ou net.tls.clusterFile para especificar o certificado CA raiz e intermediário

Por exemplo, se o certificado TLS tiver sido assinado com um único certificado CA raiz, o armazenamento de certificados seguro deverá conter esse certificado CA raiz. Se o certificado TLS foi assinado com um certificado CA intermediário, o armazenamento de certificados seguro deverá conter o certificado CA intermediário e o certificado CA raiz.

Observação

Você não pode usar o comando rotateCertificates nem o método de shell db.rotateCertificates() ao usar net.tls.certificateSelector ou --tlsCertificateSelector configurado como thumbprint

net.tls.clusterCertificateSelector

Tipo: string

Especifica uma propriedade de certificado para selecionar um certificado correspondente do armazenamento seguro de certificados do sistema operacional para usar para autenticação de assinatura x.509 interna.

Disponível no Windows e macOS como alternativa a net.tls.clusterFile.

As opções net.tls.clusterFile e net.tls.clusterCertificateSelector são mutuamente exclusivas. Você só pode especificar uma.

net.tls.clusterCertificateSelector aceita um argumento do formato <property>=<value> e a propriedade pode ser uma das abaixo:

Propriedade
Tipo de valor
Descrição
subject
string ASCII
Nome do assunto ou nome comum no certificado
thumbprint
string hexadecimal

Uma sequência de bytes, expressa em hexadecimal usada para identificar uma chave pública pelo seu resumo SHA-1.

O thumbprint às vezes é denominado fingerprint.

O mongod pesquisa no armazenamento de certificados seguro do sistema operacional os certificados CA necessários para validar a cadeia completa de certificados do certificado de cluster especificado. Especificamente, o armazenamento de certificados seguro deve conter CA raiz e quaisquer certificados CA intermediários necessários para construir a sequência completa de certificados para o certificado de cluster.

Aviso

Se você usar net.tls.certificateSelector e/ou net.tls.clusterCertificateSelector, não recomendamos o uso de net.tls.CAFile ou net.tls.clusterCAFile para especificar o certificado CA raiz e intermediário.

Por exemplo, se o certificado de cluster tiver sido assinado com um único certificado CA raiz, o armazenamento de certificados seguro deverá conter esse certificado CA raiz. Se o certificado de cluster foi assinado com um certificado CA intermediário, o armazenamento de certificados seguro deverá conter o certificado CA intermediário e o certificado CA raiz.

O mongod / mongos registra um aviso na conexão se o certificado x.509 apresentado expirar dentro de 30 dias do horário do sistema host mongod/mongos.

net.tls.clusterFile

Tipo: string

O arquivo .pem que contém o arquivo de chave de certificado x.509 para autenticação de associação para o cluster ou conjunto de réplicas.

No macOS ou no Windows, você pode usar a opção net.tls.clusterCertificateSelector para especificar um certificado do repositório de certificados seguro do sistema operacional em vez de um arquivo de chave PEM. As opções net.tls.clusterFile e net.tls.clusterCertificateSelector são mutuamente exclusivas. Você só pode especificar uma.

Se net.tls.clusterFile não especificar o arquivo .pem para autenticação interna de cluster ou, alternativamente, net.tls.clusterCertificateSelector, o cluster usará o arquivo .pem especificado na configuração certificateKeyFile ou o certificado retornado por net.tls.certificateSelector.

Se estiver usando a autenticação x.509, --tlsCAFile ou tls.CAFile devem ser especificados, a menos que esteja usando--tlsCertificateSelector.

O mongod / mongos registra um aviso na conexão se o certificado x.509 apresentado expirar dentro de 30 dias do horário do sistema host mongod/mongos.

Para obter mais informações sobre TLS e MongoDB, consulte Configurar o mongod e o mongos para TLS/SSL e Configuração TLS/SSL para clientes .

Importante

Para Windows apenas, o MongoDB não suporta arquivos PEM criptografados. O mongod falha ao iniciar se encontrar um arquivo PEM criptografado. Para armazenar e acessar com segurança um certificado para uso com autenticação de associação no Windows, use net.tls.clusterCertificateSelector.

net.tls.clusterPassword

Tipo: string

A senha para descriptografar o arquivo de chave de certificado x.509 especificado com --sslClusterFile. Utilize a opção somente se o arquivo da chave de certificado for net.tls.clusterPassword codificado. Em todos os casos, mongos ou mongod elimina a senha de todas as saídas de registros e relatórios.

No Linux/BSD, se a chave privada no arquivo x.509 estiver criptografada e você não especificar a opção net.tls.clusterPassword, o MongoDB solicitará uma frase secreta.

Para obter mais informações, consulte a página Frase-senha do certificado TLS/SSL.

No macOS, se a chave privada no arquivo x.509 estiver criptografada, você deverá especificar explicitamente a opção net.tls.clusterPassword. Como alternativa, é possível usar um certificado do armazenamento seguro do sistema (consulte a seção net.tls.clusterCertificateSelector) no lugar de usar um arquivo PEM de cluster ou usar um arquivo PEM não criptografado.

No Windows, o MongoDB não é compatível com certificados criptografados. O mongod falhará se encontrar um arquivo PEM criptografado. Use net.tls.clusterCertificateSelector.

Para obter mais informações sobre TLS e MongoDB, consulte Configurar o mongod e o mongos para TLS/SSL e Configuração TLS/SSL para clientes .

net.tls.CAFile

Tipo: string

O arquivo .pem que contém a sequência de certificados raiz da autoridade de certificação. Especifique o nome do arquivo .pem usando caminhos relativos ou absolutos.

Somente Windows/macOS
Se estiver usando net.tls.certificateSelector e/ou net.tls.clusterCertificateSelector, não use net.tls.CAFile para especificar os certificados CA raiz e intermediários. Armazene todos os certificados CA necessários para validar a sequência de confiança completa dos certificados net.tls.certificateSelector e/ou net.tls.clusterCertificateSelector no armazenamento de certificados seguro.

Para obter mais informações sobre TLS e MongoDB, consulte Configurar o mongod e o mongos para TLS/SSL e Configuração TLS/SSL para clientes .

net.tls.clusterCAFile

Tipo: string

O arquivo .pem que contém a sequência de certificados raiz da autoridade de certificação usada para validar o certificado apresentado por um cliente que estabelece uma conexão. Especifique o nome do arquivo .pem usando caminhos relativos ou absolutos. net.tls.clusterCAFile requer que net.tls.CAFile esteja definido.

Se net.tls.clusterCAFile não especificar o arquivo .pem para validar o certificado de um cliente que está estabelecendo uma conexão, o cluster utilizará o arquivo .pem especificado na opção net.tls.CAFile.

net.tls.clusterCAFile permite que você use autoridades de certificação separadas para verificar as partes cliente-servidor e servidor-cliente do handshake TLS.

No macOS ou no Windows, você pode usar um certificado do armazenamento seguro do sistema operacional em vez de um arquivo de chave PEM. Consulte net.tls.clusterCertificateSelector. Ao usar o armazenamento seguro, você não precisa, mas também pode, especificar o net.tls.clusterCAFile.

Somente Windows/macOS
Se estiver usando net.tls.certificateSelector e/ou net.tls.clusterCertificateSelector, não use net.tls.clusterCAFile para especificar os certificados CA raiz e intermediários. Armazene todos os certificados CA necessários para validar a sequência de confiança completa dos certificados net.tls.certificateSelector e/ou net.tls.clusterCertificateSelector no armazenamento de certificados seguro.

Para obter mais informações sobre TLS e MongoDB, consulte Configurar o mongod e o mongos para TLS/SSL e Configuração TLS/SSL para clientes .

net.tls.CRLFile

Tipo: string

O arquivo .pem que contém a lista de revogação de certificado. Especifique o nome do arquivo .pem usando caminhos relativos ou absolutos.

Observação

  • Você não pode especificar net.tls.CRLFile no macOS. Em vez disso, você pode usar o armazenamento de certificados SSL do sistema, que usam OCSP (Online Certificate Status Protocol) para validar o status de revogação dos certificados. Consulte net.tls.certificateSelector para utilizar o armazenamento de certificados SSL do sistema.

  • Para verificar a revogação de certificados, o MongoDB enables o uso do OCSP (Protocolo de Status de Certificado Online, Online Certificate Status Protocol na língua inglesa) por padrão, como alternativa à especificação de um arquivo CRL ou ao uso do armazenamento de certificados SSL do sistema.

Para obter mais informações sobre TLS e MongoDB, consulte Configurar o mongod e o mongos para TLS/SSL e Configuração TLS/SSL para clientes .

net.tls.allowConnectionsWithoutCertificates

Tipo: booleano

Padrão: false

Se false, todos os clientes devem fornecer certificados TLS do cliente. Se true, os clientes não precisam fornecer certificados de cliente, mas mongod ou mongos criptografam a conexão TLS/SSL.

Se um cliente fornecer um certificado de cliente, independentemente do valor definido para net.tls.allowConnectionsWithoutCertificates, o mongos ou mongod executa a validação do certificado usando a cadeia de certificados raiz especificada por CAFile ou o armazenamento do sistema CA se tlsUseSystemCA for true, e rejeita clientes com certificados inválidos.

Utilize a opção net.tls.allowConnectionsWithoutCertificates se você tiver uma implantação mista que inclui clientes que não apresentam ou não podem apresentar certificados no mongos ou mongod.

Para obter mais informações sobre TLS e MongoDB, consulte Configurar o mongod e o mongos para TLS/SSL e Configuração TLS/SSL para clientes .

net.tls.allowInvalidCertificates

Tipo: booleano

Padrão: false

Habilite ou desabilite as verificações de validação de certificados TLS em outros servidores no cluster e permita o uso de certificados inválidos para conexão.

Observação

Se você especificar --tlsAllowInvalidCertificates ou tls.allowInvalidCertificates: true ao usar a autenticação x.509, um certificado inválido será suficiente apenas para estabelecer uma conexão TLS, mas será insuficiente para autenticação.

Ao usar a configuração net.tls.allowInvalidCertificates, o MongoDB registra um aviso sobre o uso do certificado inválido.

Para obter mais informações sobre o TLS e o MongoDB, consulte Configurar mongod e mongos para TLS/SSL e Autenticação interna/associação autogerenciada.

net.tls.allowInvalidHostnames

Tipo: booleano

Padrão: false

Quando o net.tls.allowInvalidHostnames é true, o MongoDB desabilita a validação dos nomes de host em certificados TLS. Isso permite ao mongod ou mongos se conectar a outras instâncias MongoDB no agrupamento, mesmo se o nome de host de seus certificados não corresponder ao nome de host especificado.

Para mais informações sobre TLS e MongoDB, consulte Configurar o mongod e o mongos para TLS/SSL.

net.tls.disabledProtocols

Tipo: string

Impede que um servidor MongoDB em execução com TLS aceite conexões recebidas que usam um protocolo ou protocolos específicos. Para especificar vários protocolos, use uma lista separada por vírgula de protocolos, mas não use espaços após as vírgulas. Se você incluir um espaço antes do nome de um protocolo, o servidor o interpretará como um protocolo não reconhecido e não iniciará.

net.tls.disabledProtocols reconhece os seguintes protocolos: TLS1_0, TLS1_1, TLS1_2 e TLS1_3.

  • No macOS, você não pode desativar TLS1_1 e deixar TLS1_0 e TLS1_2 ativados. Você deve desativar pelo menos um dos outros dois, por exemplo, TLS1_0,TLS1_1.

  • Para listar vários protocolos, especifique como uma lista separada por vírgula de protocolos sem espaços após as vírgulas. Por exemplo TLS1_0,TLS1_1.

  • Especificar um protocolo não reconhecido ou incluir um espaço após uma vírgula impede que o servidor seja iniciado.

  • Os protocolos desabilitados especificados substituem qualquer protocolo padrão desabilitado.

O MongoDB desabilita o uso do TLS 1.0 se TLS 1.1+ estiver disponível no sistema. Para habilitar o TLS 1.0, especifique none para net.tls.disabledProtocols.

Os membros dos conjuntos de réplicas e cluster fragmentado devem falar pelo menos um protocolo em comum.

Dica

Veja também:

net.tls.FIPSMode

Tipo: booleano

Padrão: false

Habilite ou desabilite o uso do modo FIPS da biblioteca TLS para o mongos ou mongod. Seu sistema deve ter uma biblioteca compatível com FIPS para utilizar a opção net.tls.FIPSMode.

Observação

O TLS/SSL compatível com FIPS está disponível apenas no MongoDB Enterprise. Consulte Configurar MongoDB para FIPS para obter mais informações.

net.tls.logVersions

Tipo: string

Instrui mongos ou mongod a registrar uma mensagem quando um cliente se conecta usando uma versão especificada do TLS.

Especifique uma única versão do TLS ou uma lista separada por vírgula de várias versões do TLS.

Exemplo

Para instruir mongos ou mongod a registrar uma mensagem quando um cliente se conectar usando TLS 1.2 ou TLS 1.3, defina net.tls.logVersions como "TLS1_2,TLS1_3".

net:
compression:
compressors: <string>
net.compression.compressors

Default: snappy,zstd,zlib

Especifica os compressores padrão a serem usados na comunicação entre essa instância mongod ou mongos e:

  • outros membros do sistema se a instância fizer parte de um conjunto de réplicas ou de um cluster fragmentado

  • mongosh

  • drivers que suportam o formato de mensagem OP_COMPRESSED .

MongoDB é compatível com os seguintes compactadores:

Para desativar a compactação de rede, defina o valor como disabled.

Importante

As mensagens são compactadas quando ambas as partes habilitam a compactação de rede. Caso contrário, as mensagens entre as partes serão descompactadas.

Se você especificar vários compressores, a ordem na qual você os lista importa, bem como o iniciador de comunicação. Por exemplo, se o mongosh especificar os seguintes compressores de rede zlib,snappy e o mongod especificar snappy,zlib, as mensagens entre o mongosh e o mongod usarão zlib.

Se as partes não compartilharem pelo menos um compressor comum, as mensagens entre as partes serão descompactadas. Por exemplo, se o mongosh especificar o compressor de rede zlib e o mongod especificar snappy, as mensagens entre o mongosh e o mongod não serão compactadas.

security:
keyFile: <string>
clusterAuthMode: <string>
authorization: <string>
transitionToAuth: <boolean>
javascriptEnabled: <boolean>
redactClientLogData: <boolean>
clusterIpSourceAllowlist:
- <string>
sasl:
hostName: <string>
serviceName: <string>
saslauthdSocketPath: <string>
enableEncryption: <boolean>
encryptionCipherMode: <string>
encryptionKeyFile: <string>
kmip:
keyIdentifier: <string>
rotateMasterKey: <boolean>
serverName: <string>
port: <string>
clientCertificateFile: <string>
clientCertificatePassword: <string>
clientCertificateSelector: <string>
serverCAFile: <string>
connectRetries: <int>
connectTimeoutMS: <int>
ldap:
servers: <string>
bind:
method: <string>
saslMechanisms: <string>
queryUser: <string>
queryPassword: <string | array>
useOSDefaults: <boolean>
transportSecurity: <string>
timeoutMS: <int>
userToDNMapping: <string>
authz:
queryTemplate: <string>
validateLDAPServerConfig: <boolean>
security.keyFile

Tipo: string

O caminho para um arquivo de chave que armazena o segredo compartilhado que as instâncias do MongoDB usam para autenticar umas às outras em um cluster fragmentado ou conjunto de réplicas. keyFile implica security.authorization. Consulte Autenticação interna/de associação autogerenciada para obter mais informações.

Os arquivos de chaves para autenticação de associação interna usam o formato YAML para permitir várias chaves em um só arquivo. O formato YAML aceita:

  • Uma única string de chave (igual às versões anteriores)

  • Uma sequência de strings de chave

O formato YAML é compatível com os arquivos-chave de chave única existentes que usam o formato de arquivo de texto.

security.clusterAuthMode

Tipo: string

Padrão: keyFile

O modo de autenticação usado para autenticação de cluster. Se você usar a autenticação x.509 interna, especifique-a aqui. Esta opção pode ter um dos seguintes valores:

Valor
Descrição
keyFile
Use um arquivo-chave para autenticação. Aceite apenas arquivos-chave.
sendKeyFile
Para fins de atualização contínua. Envie um arquivo-chave para autenticação, mas pode aceitar arquivos-chave e certificados x.509.
sendX509
Para fins de atualização contínua. Envie o certificado x.509 para autenticação, mas pode aceitar arquivos-chave e certificados x.509.
x509
Recomendado. Envie o certificado x.509 para autenticação e aceite apenas certificados x.509.

Se --tlsCAFile ou tls.CAFile não for especificado e você não estiver usando a autenticação x.509, será necessário definir o parâmetro tlsUseSystemCA como true. Isso faz com que o MongoDB use o armazenamento de certificados CA em todo o sistema ao se conectar a um servidor habilitado para TLS.

Se estiver usando a autenticação x.509, --tlsCAFile ou tls.CAFile devem ser especificados, a menos que esteja usando--tlsCertificateSelector.

Para obter mais informações sobre TLS e MongoDB, consulte Configurar o mongod e o mongos para TLS/SSL e Configuração TLS/SSL para clientes .

security.authorization

Tipo: string

Padrão: desabilitado

Habilite ou desabilite o RBAC (Controle de Acesso Baseado em Função) para controlar o acesso de cada usuário a recursos e operações de banco de dados.

Defina esta opção como uma das seguintes:

Valor
Descrição
enabled
Um usuário pode acessar somente os recursos e ações do banco de dados para os quais receberam privilégios.
disabled
Um usuário pode acessar qualquer banco de dados e executar qualquer ação.

Consulte Controle de acesso baseado em funções em implantações autogerenciadas para obter mais informações.

A configuração security.authorization está disponível somente para mongod.

security.transitionToAuth

Tipo: booleano

Padrão: false

Permite ao mongod ou mongos aceitar e criar conexões autenticadas e não autenticadas de e para outras instâncias do mongod e mongos na implantação. Usado para realizar a transição contínua de conjuntos de réplicas ou clusters fragmentados de uma configuração sem autenticação para autenticação interna. Requer a especificação de um mecanismo de autenticação interno, como security.keyFile.

Por exemplo, se utilizar keyfiles para autenticação interna, o mongod ou mongos criará uma conexão autenticada com qualquer mongod ou mongos na implantação utilizando um arquivo de chave correspondente. Se os mecanismos de segurança não corresponderem, o mongod ou mongos utilizará uma conexão não autenticada.

Um mongod ou mongos em execução com security.transitionToAuth não impõe controles de acesso de usuário. Os usuários podem se conectar a sua implantação sem nenhuma verificação de controle de acesso e realizar operações administrativas, de leitura e gravação.

Observação

Um mongod ou mongos executando com autenticação interna e sem security.transitionToAuth requer que os clientes se conectem usando controles de acesso do usuário. Atualize os clientes para se conectarem ao mongod ou mongos usando o usuário apropriado antes de reiniciar o mongod ou mongos sem security.transitionToAuth.

security.javascriptEnabled

Tipo: booleano

Padrão: true

Habilita ou desabilita execução JavaScript do lado do servidor. Quando desativado, você não pode usar operações que executam código JavaScript no lado do servidor, como o operador de consulta $where, o comando mapReduce, $accumulator e $function.

Se você não usar essas operações, desabilite os scripts do lado do servidor.

O security.javascriptEnabled está disponível para mongod e mongos. Nas versões anteriores, a configuração só está disponível para mongod.

security.redactClientLogData

Tipo: booleano

Disponível apenas no MongoDB Enterprise.

Um mongod ou mongos em execução com security.redactClientLogData censura qualquer mensagem que acompanhe um determinado evento de log antes de registrar. Isso impede que o mongod ou mongos grave dados potencialmente confidenciais armazenados no banco de dados no log de diagnóstico. Metadados como códigos de erro ou operação, números de linha e nomes de arquivos de origem ainda são visíveis nos logs.

Use security.redactClientLogData em conjunto com criptografia em descanso e TLS/SSL (criptografia de transporte) para auxiliar a conformidade com os requisitos normativos.

Por exemplo, um sistema do MongoDB pode armazenar informações de identificação pessoal (PII) em uma ou mais collections. O mongod ou mongos registra eventos como os relacionados a operações CRUD, metadados de fragmentação etc. É possível que o mongod ou o mongos exponham informações de identificação pessoal como parte dessas operações de registro. Um mongod ou mongos executado com security.redactClientLogData remove qualquer mensagem que acompanhe esses eventos antes de ser enviada para o registro, removendo efetivamente a PII.

Os diagnósticos em um mongod ou mongos executando com security.redactClientLogData podem ser mais difíceis devido à falta de dados relacionados a um evento de log. Consulte a página do manual de log de processos para ver um exemplo do efeito de security.redactClientLogData na saída de log.

Em um mongod ou mongos em execução, use setParameter com o parâmetro redactClientLogData para definir essa configuração.

security.clusterIpSourceAllowlist

Tipo: lista

Novidades na versão 5.0.

Alterado na versão 5.2.

Uma lista de endereços IP/CIDR (Classless Inter-Domain Routing) varia em relação aos quais o mongod valida solicitações de autenticação de outros nós do conjunto de réplicas e, se fizer parte de um cluster fragmentado, das instâncias mongos. O mongod verifica se o IP de origem está explicitamente na lista ou pertence a uma faixa CIDR na lista. Se o endereço IP não estiver presente, o servidor não autenticará o mongod ou mongos.

security.clusterIpSourceAllowlist não tem efeito sobre um mongod iniciado sem autenticação.

A partir do MongoDB 5.2, você pode configurar security.clusterIpSourceAllowlist em um mongod ou mongos em execução usando setParameter.

Este exemplo atualiza security.clusterIpSourceAllowlist durante o tempo de execução para incluir os endereços IP "1.1.1.1/24", "2.2.2.2/16" e "3.3.3.3".

db.adminCommand( {
setParameter: 1,
"clusterIpSourceAllowlist": ["1.1.1.1/24", "2.2.2.2/16", "3.3.3.3"]
} );

Este exemplo atualiza security.clusterIpSourceAllowlist durante o tempo de execução para excluir todos os endereços IP:

db.adminCommand( {
setParameter: 1,
"clusterIpSourceAllowlist": null
} );

security.clusterIpSourceAllowlist não tem efeito sobre um mongod iniciado sem autenticação.

security.clusterIpSourceAllowlist requer a especificação de cada endereço IPv4/6 ou intervalo de CIDR (Classless Inter-Domain Routing) como uma lista YAML:

security:
clusterIpSourceAllowlist:
- 192.0.2.0/24
- 127.0.0.1
- ::1

Importante

Certifique-se de que security.clusterIpSourceAllowlist inclua o endereço IP ou faixas CIDR que incluam o endereço IP de cada membro do conjunto de réplicas ou mongos na implantação para garantir uma comunicação saudável entre os componentes do cluster.

security.clusterIpSourceWhitelist

Tipo: lista

Obsoleto na versão 5.0: Em vez disso, use security.clusterIpSourceAllowlist.

Uma lista de endereços IP/CIDR (Classless Inter-Domain Routing) varia em relação aos quais o mongod valida solicitações de autenticação de outros nós do conjunto de réplicas e, se parte de um cluster fragmentado, as instâncias do mongos. O mongod verifica se o IP de origem está explicitamente na lista ou pertence a uma faixa CIDR na lista. Se o endereço IP não estiver presente, o servidor não autenticará o mongod ou mongos.

security.clusterIpSourceWhitelist não tem efeito sobre um mongod iniciado sem autenticação.

security.clusterIpSourceWhitelist requer especificar cada endereço IPv4/6 ou intervalo CIDR(roteamento entre domínios sem classe) como uma lista YAML:

security:
clusterIpSourceWhitelist:
- 192.0.2.0/24
- 127.0.0.1
- ::1

Importante

Certifique-se de que security.clusterIpSourceWhitelist inclua o endereço IP ou faixas CIDR que incluam o endereço IP de cada membro do conjunto de réplicas ou mongos na implantação para garantir uma comunicação saudável entre os componentes do cluster.

security:
enableEncryption: <boolean>
encryptionCipherMode: <string>
encryptionKeyFile: <string>
kmip:
keyIdentifier: <string>
rotateMasterKey: <boolean>
serverName: <string>
port: <string>
clientCertificateFile: <string>
clientCertificatePassword: <string>
clientCertificateSelector: <string>
serverCAFile: <string>
connectRetries: <int>
connectTimeoutMS: <int>
activateKeys: <boolean>
keyStatePollingSeconds: <int>
security.enableEncryption

Tipo: booleano

Padrão: false

Habilita a criptografia para o mecanismo de armazenamento WiredTiger. Você deve definir como true para transmitir chaves e configurações de criptografia.

Observação

Funcionalidade de empresas

Disponível apenas no MongoDB Enterprise.

security.encryptionCipherMode

Tipo: string

Padrão: AES256-CBC

O modo de cifra a ser usado para encryption at rest:

Modo
Descrição
AES256-CBC
Padrão de criptografia avançada de 256 bits no modo de sequenciamento de blocos de cifra
AES256-GCM

Padrão de criptografia avançada de 256 bits no modo Galois/Counter

Disponível apenas no Linux.

O MongoDB Enterprise no Windows não é mais compatível com o AES256-GCM como uma cifra de bloco para criptografia em repouso. Esse uso é compatível apenas com Linux.

Observação

Funcionalidade de empresas

Disponível apenas no MongoDB Enterprise.

security.encryptionKeyFile

Tipo: string

O caminho para o arquivo-chave local ao gerenciar chaves por meio de um processo diferente do KMIP. Definido apenas ao gerenciar chaves por meio de um processo diferente do KMIP. Se os dados já estiverem criptografados usando KMIP, o MongoDB gerará um erro.

Exige que security.enableEncryption seja true.

Observação

Funcionalidade de empresas

Disponível apenas no MongoDB Enterprise.

security.kmip.keyIdentifier

Tipo: string

Identificador KMIP exclusivo para uma chave existente no servidor KMIP. Inclua para usar a chave associada ao identificador como chave do sistema. Você só pode usar a configuração na primeira vez em que habilitar a criptografia para a instância mongod. Requer que security.enableEncryption seja verdadeiro.

Se não for especificada, o MongoDB solicita que o servidor KMIP crie uma chave nova para utilizar como chave do sistema.

Se o servidor KMIP não conseguir localizar uma chave com o identificador especificado ou se os dados já estiverem criptografados com uma chave, o MongoDB lançará um erro.

Observação

Funcionalidade de empresas

Disponível apenas no MongoDB Enterprise.

security.kmip.rotateMasterKey

Tipo: booleano

Padrão: false

Se for verdade, gire a chave mestra e criptografe novamente o keystore interno.

Observação

Funcionalidade de empresas

Disponível apenas no MongoDB Enterprise.

security.kmip.serverName

Tipo: string

Nome do host ou endereço IP do servidor KMIP para se conectar. Exige que security.enableEncryption seja verdadeiro.

Você pode especificar vários servidores KMIP como uma lista separada por vírgulas, como por exemplo server1.example.com,server2.example.com. Na inicialização, o mongod tenta estabelecer uma conexão com cada servidor na ordem listada e seleciona o primeiro servidor com o qual pode estabelecer uma conexão com êxito. A seleção do servidor KMIP ocorre apenas na inicialização.

mongod verifica a conexão com o servidor KMIP na inicialização.

O nome do servidor especificado no --kmipServerName deve corresponder ao Nome Alternativo do Assunto SAN ou ao Nome Comum CN no certificado apresentado pelo servidor KMIP. SAN pode ser um nome de sistema ou um endereço IP.

Se SAN estiver presente, mongod não tentará corresponder a CN.

Se o nome do host ou o endereço IP do servidor KMIP não corresponder a SAN ou CN, mongod não será iniciado.

A partir do MongoDB 4.2, ao realizar a comparação de SAN, o MongoDB oferece suporte à comparação de nomes DNS ou endereços IP. Nas versões anteriores, o MongoDB suporta apenas comparações de nomes DNS.

Observação

Funcionalidade de empresas

Disponível apenas no MongoDB Enterprise.

security.kmip.port

Tipo: string

Padrão: 5696

Número da porta a ser usada para comunicação com o servidor KMIP. Requer security.kmip.serverName. Requer que security.enableEncryption seja verdadeiro.

Se especificar vários servidores KMIP com security.kmip.serverName, o mongod usará a porta especificada com security.kmip.port em todos os servidores KMIP fornecidos.

Observação

Funcionalidade de empresas

Disponível apenas no MongoDB Enterprise.

security.kmip.clientCertificateFile

Tipo: string

Caminho para o arquivo .pem usado para autenticar o MongoDB no servidor KMIP. O arquivo .pem especificado deve conter o certificado e a chave TLS/SSL.

Para utilizar esta configuração, você também deve especificar a configuração do security.kmip.serverName.

Observação

No macOS ou no Windows, você pode usar um certificado do armazenamento seguro do sistema operacional em vez de um arquivo de chave PEM. Consulte security.kmip.clientCertificateSelector.

Observação

Funcionalidade de empresas

Disponível apenas no MongoDB Enterprise.

security.kmip.clientCertificatePassword

Tipo: string

A senha para descriptografar a chave privada do certificado do cliente que se conecta ao servidor KMIP . Esta opção autentica MongoDB no servidor KMIP e exige que você forneça um.--kmipClientCertificateFile

Observação

Funcionalidade de empresas

Disponível apenas no MongoDB Enterprise.

security.kmip.clientCertificateSelector

Tipo: string

Novo na versão 5.0: Disponível no Windows e macOS como alternativa ao security.kmip.clientCertificateFile.

As opções security.kmip.clientCertificateFile e security.kmip.clientCertificateSelector são mutuamente exclusivas. Você só pode especificar uma.

Especifica uma propriedade de certificado para selecionar um certificado correspondente do armazenamento de certificados do sistema operacional para autenticar o MongoDB no servidor KMIP.

security.kmip.clientCertificateSelector aceita um argumento do formato <property>=<value> e a propriedade pode ser uma das abaixo:

Propriedade
Tipo de valor
Descrição
subject
string ASCII
Nome do assunto ou nome comum no certificado
thumbprint
string hexadecimal

Uma sequência de bytes, expressa em hexadecimal usada para identificar uma chave pública pelo seu resumo SHA-1.

O thumbprint às vezes é denominado fingerprint.

Observação

Funcionalidade de empresas

Disponível apenas no MongoDB Enterprise.

security.kmip.serverCAFile

Tipo: string

Caminho para o arquivo CA. Usado para validar a conexão segura do cliente com o servidor KMIP.

Observação

No macOS ou no Windows, você pode usar um certificado do armazenamento seguro do sistema operacional em vez de um arquivo de chave PEM. Consulte security.kmip.clientCertificateSelector. Ao usar o armazenamento seguro, você não precisa, mas também pode, especificar o security.kmip.serverCAFile.

Observação

Funcionalidade de empresas

Disponível apenas no MongoDB Enterprise.

security.kmip.connectRetries

Tipo: int

Padrão: 0

Quantas vezes tentar novamente a conexão inicial com o servidor KMIP. Use junto com connectTimeoutMS para controlar quanto tempo o mongod espera por uma resposta entre cada nova tentativa.

Observação

Funcionalidade de empresas

Disponível apenas no MongoDB Enterprise.

security.kmip.connectTimeoutMS

Tipo: int

Padrão: 5000

Tempo limite em milissegundos para aguardar uma resposta do servidor KMIP. Se a configuração connectRetries for especificada, mongod aguardará até o valor especificado com connectTimeoutMS para cada nova tentativa.

O valor deve ser 1000 ou superior.

Observação

Funcionalidade de empresas

Disponível apenas no MongoDB Enterprise.

security.kmip.activateKeys

Tipo: booleano

Padrão: true

Novidades na versão 5.3.

Ativa todas as chaves KMIP recém-criadas na criação e, em seguida, verifica periodicamente se essas chaves estão em estado ativo.

Quando security.kmip.activateKeys é true e você tem chaves existentes em um servidor KMIP, a chave deve ser ativada primeiro ou o nó mongod falhará ao iniciar.

Se a chave usada pelo mongod transitar para um estado inativo, o nó mongod será encerrado, a menos que kmipActivateKeys seja falso. Para garantir que você tenha uma chave ativa, gire a chave mestra KMIP usando security.kmip.rotateMasterKey.

security.kmip.keyStatePollingSeconds

Tipo: int

Padrão: 900 segundos

Novidades na versão 5.3.

Frequência em segundos em que o mongod pesquisa o servidor KMIP em busca de chaves ativas.

Para desabilitar a pesquisa, defina o valor como -1.

security:
sasl:
hostName: <string>
serviceName: <string>
saslauthdSocketPath: <string>
security.sasl.hostName

Tipo: string

Um nome de domínio de servidor totalmente qualificado com a finalidade de configurar a autenticação SASL e Kerbero. O nome de host do SASL substitui o nome de host somente para a configuração do SASL e Kerberos.

security.sasl.serviceName

Tipo: string

Nome registrado do serviço usando SASL. Essa opção permite que você substitua o componente de nome de serviço Kerberos padrão do nome principal do Kerberos, por instância. Se não especificado, o valor padrão é mongodb.

O MongoDB permite definir essa opção somente na inicialização. O setParameter não pode alterar essa configuração.

Esta opção está disponível apenas no MongoDB Enterprise.

Importante

Certifique-se de que seu driver ofereça suporte a nomes de serviço alternativos. Para que o mongosh e outras ferramentas do MongoDB se conectem ao novo serviceName, consulte a opção gssapiServiceName.

security.sasl.saslauthdSocketPath

Tipo: string

O caminho para o arquivo de soquete do domínio UNIX para saslauthd.

security:
ldap:
servers: <string>
bind:
method: <string>
saslMechanisms: <string>
queryUser: <string>
queryPassword: <string | array>
useOSDefaults: <boolean>
transportSecurity: <string>
timeoutMS: <int>
userToDNMapping: <string>
authz:
queryTemplate: <string>
validateLDAPServerConfig: <boolean>
security.ldap.servers

Tipo: string

Disponível apenas no MongoDB Enterprise.

O servidor LDAP no qual o mongod ou mongos autentica os usuários ou determina quais ações um usuário está autorizado a executar em um determinado banco de dados. Se o servidor LDAP especificado tiver quaisquer instâncias replicadas, você poderá especificar o host e a porta de cada servidor replicado em uma lista delimitada por vírgula.

Se sua infraestrutura LDAP dividir o diretório LDAP em vários servidores LDAP, especifique um servidor LDAP ou qualquer uma de suas instâncias replicadas no security.ldap.servers. O MongoDB suporta as seguintes referências LDAP, conforme definido em RFC 4511 4.1.10. Não utilize o security.ldap.servers para listar todos os servidores LDAP em sua infraestrutura.

Essa configuração pode ser feita em um mongod ou mongos em execução usando setParameter.

Se não estiver configurado, mongod ou mongos não poderá usar autenticação ou autorização LDAP.

security.ldap.bind.queryUser

Tipo: string

Disponível apenas no MongoDB Enterprise.

A identidade com a qual o mongod ou mongos se liga, ao conectar ou executar consultas em um servidor LDAP.

Obrigatório apenas se alguma das seguintes afirmações for verdadeira:

Você deve usar queryUser com queryPassword.

Se não for definido, mongod ou mongos não tentará se vincular ao servidor LDAP.

Essa configuração pode ser feita em um mongod ou mongos em execução usando setParameter.

Observação

As implantações do Windows MongoDB podem utilizar o useOSDefaults ao invés do queryUser e queryPassword. Você não pode especificar queryUser e useOSDefaults ao mesmo tempo.

security.ldap.bind.queryPassword

Tipo: string ou array

Disponível apenas no MongoDB Enterprise.

A senha costumava vincular a um servidor LDAP ao usar o queryUser. Você deve usar queryPassword com queryUser.

Se não for definido, mongod ou mongos não tentará se vincular ao servidor LDAP.

Você pode definir essa configuração em um mongod ou mongos em execução usando setParameter.

O comando ldapQueryPassword setParameter aceita uma string ou um array de strings. Se ldapQueryPassword for definido como array, o MongoDB fará uma tentativa com cada senha na ordem até que uma delas seja bem-sucedida. Use um array de senha para passar a senha da conta LDAP sem tempo de inatividade.

Observação

As implantações do Windows MongoDB podem utilizar o useOSDefaults ao invés do queryUser e queryPassword. Você não pode especificar queryPassword e useOSDefaults ao mesmo tempo.

security.ldap.bind.useOSDefaults

Tipo: booleano

Padrão: false

Disponível no MongoDB Enterprise apenas para a plataforma Windows.

Permite que mongod ou mongos se autentiquem, ou se vinculem, usando suas credenciais de login do Windows ao se conectar ao servidor LDAP.

Necessário apenas se:

Use useOSDefaults para substituir queryUser e queryPassword.

security.ldap.bind.method

Tipo: string

Padrão: simples

Disponível apenas no MongoDB Enterprise.

O método mongod ou mongos utiliza para autenticar em um servidor LDAP. Utilize com queryUser e queryPassword para conectar ao servidor LDAP.

method suporta os seguintes valores:

  • simple - mongod ou mongos utiliza autenticação simples.

  • sasl - mongod ou mongos usa o protocolo SASL para autenticação

Se você especificar sasl, poderá configurar os mecanismos SASL disponíveis utilizando o security.ldap.bind.saslMechanisms. O mongod ou o mongos usam como padrão o mecanismo DIGEST-MD5.

security.ldap.bind.saslMechanisms

Tipo: string

Padrão: DIGEST-MD5

Disponível apenas no MongoDB Enterprise.

Uma lista separada por vírgula de mecanismos SASL mongod ou mongos pode utilizar ao autenticar no servidor LDAP. O mongod ou mongos e o servidor LDAP devem concordar com pelo menos um mecanismo. O mongod ou mongos carrega dinamicamente quaisquer bibliotecas de mecanismos SASL instaladas na máquina host no tempo de execução.

Instale e configure as bibliotecas apropriadas para o(s) mecanismo(s) SASL selecionado(s) no host mongod ou mongos e no host do servidor LDAP remoto. Seu sistema operacional pode incluir determinadas bibliotecas SASL por padrão. Consulte a documentação associada a cada mecanismo SASL para obter orientação sobre instalação e configuração.

Se estiver usando o mecanismo SASL GSSAPI para uso com autenticação Kerberos em implantações autogerenciadas, verifique o seguinte para a máquina host mongod ou mongos:

Linux
Windows
Se estiver conectando a um servidor Active Directory, a configuração do Windows Kerberos gerará automaticamente um Ticket-Granting-Ticket quando o usuário fizer login no sistema. Defina useOSDefaults como true para permitir que mongod ou mongos usem as credenciais geradas ao se conectar ao servidor do Active Directory e executar queries.

Defina method como sasl para usar esta opção.

Observação

Para obter uma lista completa dos mecanismos SASL, consulte a lista da IANA . Consulte a documentação do seu serviço LDAP ou Active Directory para identificar os mecanismos SASL compatíveis com o serviço.

MongoDB não é uma fonte de bibliotecas de mecanismo SASL nem a documentação do MongoDB é uma fonte definitiva para instalação ou configuração de qualquer mecanismo SASL. Para documentação e suporte, consulte o fornecedor ou proprietário da biblioteca do mecanismo SASL.

Para obter mais informações sobre SASL, consulte os seguintes recursos:

security.ldap.transportSecurity

Tipo: string

Padrão: tls

Disponível apenas no MongoDB Enterprise.

Por padrão, mongod ou mongos cria uma conexão segura TLS/SSL com o servidor LDAP.

Para implantações do Linux, é necessário configurar as TLS Options apropriadas no arquivo /etc/openldap/ldap.conf. O gerenciador de pacotes do seu sistema operacional cria esse arquivo como parte da instalação do MongoDB Enterprise, por meio da dependência libldap. Consulte a documentação sobre TLS Options na documentação ldap.conf do OpenLDAP para obter instruções mais completas.

Para o sistema do Windows, você deve adicionar os certificados CA do servidor LDAP à ferramenta de gerenciamento de certificados do Windows. O nome exato e a funcionalidade da ferramenta podem variar dependendo da versão do sistema operacional. Consulte a documentação da sua versão do Windows para obter mais informações sobre o gerenciamento de certificados.

Defina transportSecurity como none para desativar o TLS/SSL entre mongod ou mongos e o servidor LDAP.

Aviso

Configurar o transportSecurity como none transmite informações de texto simples e possivelmente credenciais entre mongod ou mongos e o servidor LDAP.

security.ldap.timeoutMS

Tipo: int

Padrão: 10000

Disponível apenas no MongoDB Enterprise.

A quantidade de tempo em milissegundos mongod ou mongos deve esperar que um servidor LDAP responda a uma solicitação.

Aumentar o valor de timeoutMS pode evitar a falha de conexão entre o servidor MongoDB e o servidor LDAP, se a origem da falha for um tempo limite de conexão. Diminuir o valor de timeoutMS reduz o tempo que o MongoDB espera por uma resposta do servidor LDAP.

Essa configuração pode ser feita em um mongod ou mongos em execução usando setParameter.

security.ldap.userToDNMapping

Tipo: string

Disponível apenas no MongoDB Enterprise.

Mapeia o nome de usuário fornecido a mongod ou mongos para autenticação a um nome diferenciado (DN) LDAP. Talvez seja necessário usar userToDNMapping para transformar um nome de usuário em um DN LDAP nos seguintes cenários:

  • Executando autenticação LDAP com ligação LDAP simples, onde os usuários se autenticam no MongoDB com nomes de usuário que não são DNs LDAP completos.

  • Utilizando um LDAP authorization query template que exige um DN.

  • Transformar os nomes de usuário dos clientes que se autenticam no Mongo DB usando diferentes mecanismos de autenticação (por exemplo, x.509, kerberos) em um DN LDAP completo para autorização.

userToDNMapping espera uma JSON-string com aspas que represente uma array ordenada de documentos. Cada documento contém uma expressão regular match e um modelo substitution ou ldapQuery usado para transformar o nome de usuário recebido.

Cada documento na array tem o seguinte formato:

{
match: "<regex>"
substitution: "<LDAP DN>" | ldapQuery: "<LDAP Query>"
}
Campo
Descrição
Exemplo
match
Uma expressão regular (regex) formatada pelo ECMAScript para corresponder a um nome de usuário fornecido. Cada seção de parênteses representa um grupo de captura regex utilizado pelo substitution ou ldapQuery.
"(.+)ENGINEERING" "(.+)DBA"
substitution

Um modelo de formatação de nome diferenciado (DN) LDAP que converte o nome de autenticação correspondente pelo regex match em um DN LDAP. Cada valor numérico entre colchetes é substituído pelo grupo de captura regex extraído do nome de usuário de autenticação por meio da regex match.

O resultado da substituição deve ser um RFC4514 string escapade.

"cn={0},ou=engineering, dc=example,dc=com"
ldapQuery
Um modelo de formatação de consulta LDAP que insere o nome de autenticação correspondente ao regex match em um URI de consulta LDAP criptografado respeitando RFC4515 e RFC4516. Cada valor numérico entre colchetes é substituído pelo grupo de captura regex correspondente extraído do nome de usuário de autenticação por meio da expressão match. mongod ou mongos executa a consulta no servidor LDAP para recuperar o LDAP DN do usuário autenticado. mongod ou mongos exige exatamente 1 (um) resultado retornado para que a transformação seja bem-sucedida, ou mongod ou mongos ignora essa transformação.
"ou=engineering,dc=example, dc=com??one?(user={0})"

Observação

Uma explicação da RFC4514, RFC4515, RFC4516, ou queries LDAP estão fora do escopo da documentação do MongoDB. Revise o RFC diretamente ou use o recurso LDAP da sua preferência.

Para cada documento na array, você deve usar substitution ou ldapQuery. Você não pode especificar ambos no mesmo documento.

Ao realizar a autenticação ou autorização, mongod ou mongos percorre cada documento da array na ordem determinada, verificando o nome de usuário da autenticação em relação ao filtro match. Se uma correspondência for localizada, o mongod ou mongos aplicará a transformação e utilizará a saída para autenticar o usuário. mongod ou mongos não verifica os documentos restantes na array.

Se o documento fornecido não corresponder ao nome de autenticação fornecido, mongod ou mongos continuará percorrendo a lista de documentos para encontrar outras correspondências. Se nenhuma correspondência for encontrada em qualquer documento ou se a transformação descrita pelo documento falhar, mongod ou mongos retornará um erro.

mongod ou mongos também retorna um erro se uma das transformações não puder ser avaliada devido a falhas de rede ou de autenticação no servidor LDAP. mongod ou mongos rejeita a solicitação de conexão e não verifica os documentos restantes na array.

Começando no MongoDB 5.0, userToDNMapping aceita uma string vazia "" ou uma array vazia [ ] no lugar de um documento de mapeamento. Se fornecer uma string vazia ou uma array vazia para userToDNMapping , o MongoDB mapeará o nome de usuário autenticado como o DN LDAP. Anteriormente, fornecer um documento de mapeamento vazio causaria falha no mapeamento.

Exemplo

O seguinte mostra dois documentos de transformação. O primeiro documento coincide com qualquer string que termine em @ENGINEERING, colocando qualquer coisa que preceda o sufixo em um grupo de captura de regex. O segundo documento coincide com qualquer string que termine em @DBA, colocando qualquer coisa que preceda o sufixo em um grupo de captura de regex.

Importante

Você deve passar a array para userToDNMapping como uma string.

"[
{
match: "(.+)@ENGINEERING.EXAMPLE.COM",
substitution: "cn={0},ou=engineering,dc=example,dc=com"
},
{
match: "(.+)@DBA.EXAMPLE.COM",
ldapQuery: "ou=dba,dc=example,dc=com??one?(user={0})"
}
]"

Um usuário com o nome de usuário alice@ENGINEERING.EXAMPLE.COM corresponde ao primeiro documento. O grupo de captura regex {0} corresponde à cadeia de caracteres alice. A saída resultante é o DN "cn=alice,ou=engineering,dc=example,dc=com".

Um usuário com o nome de usuário bob@DBA.EXAMPLE.COM corresponde ao segundo documento. O grupo de captura de regex {0} corresponde à string bob. A saída resultante é a consulta LDAP "ou=dba,dc=example,dc=com??one?(user=bob)". mongod ou mongos executa essa consulta no servidor LDAP, retornando o resultado "cn=bob,ou=dba,dc=example,dc=com".

Se userToDNMapping estiver desconfigurado, o mongod ou mongos não aplicará transformações ao nome de usuário ao tentar autenticar ou autorizar um usuário no servidor LDAP.

Essa configuração pode ser definida em um mongod ou mongos em execução usando o comando setParameter banco de dados.

security.ldap.authz.queryTemplate

Tipo: string

Disponível apenas no MongoDB Enterprise.

Uma URL de query LDAP relativa formatada de acordo com a RFC4515 e a RFC4516 que o mongod executa para grupos LDAP aos quais o usuário autenticado pertence. A query é referente ao host ou hosts especificados em security.ldap.servers.

Observação

Para um melhor desempenho, considere colocar os grupos LDAP usados para autorização do MongoDB em sua própria unidade organizacional (OU).

Na URL, você pode usar os seguintes tokens de substituição:

Token de substituição
Descrição
{USER}
Substitui o nome de usuário autenticado ou o nome de usuário do transformed se um userToDNMapping for especificado.
{PROVIDED_USER}
Substitui o nome de usuário fornecido, ou seja, antes da autenticação ou LDAP transformation..

Ao construir a URL de query, certifique-se de que a ordem dos parâmetros LDAP respeite RFC4516:

[ dn [ ? [attributes] [ ? [scope] [ ? [filter] [ ? [Extensions] ] ] ] ] ]

Se sua consulta incluir um atributo, mongod pressupõe que a consulta recupera uma lista dos DNs dos quais essa entidade é membro.

Se a sua consulta não incluir um atributo, mongod assume que a consulta recupera todas as entidades das quais o usuário é membro.

Para cada DN LDAP retornado pela consulta, o mongod atribui ao usuário autorizado um papel correspondente no banco de dados do admin. Se uma função no banco de dados admin corresponder exatamente ao DN, mongod concede ao usuário as funções e privilégios atribuídos a essa função. Consulte o método db.createRole() para mais informações sobre como criar papéis.

Exemplo

Esta query LDAP retorna quaisquer grupos listados no atributo memberOf do objeto de usuário LDAP.

"{USER}?memberOf?base"

Sua configuração LDAP pode não incluir o atributo memberOf como parte do esquema do usuário, pode possuir um atributo diferente para relatar a associação ao grupo ou pode não controlar a associação ao grupo por meio de atributos. Configure sua query com relação à sua configuração LDAP exclusiva.

Se não estiver configurado,mongod não poderá autorizar usuários usando LDAP.

Essa configuração pode ser feita em um mongod em execução usando o comando setParameter database.

Observação

Uma explicação da RFC4515, RFC4516 ou queries LDAP estão fora do escopo da documentação do MongoDB. Revise o RFC diretamente ou use o recurso LDAP da sua preferência.

security.ldap.validateLDAPServerConfig

Tipo: booleano

Padrão: true

Disponível no MongoDB Enterprise

Um sinalizador que determina se a instância do mongod ou mongos verifica a disponibilidade do LDAP server(s) como parte da sua inicialização:

  • Se o true, a instância do mongod ou mongos executará a verificação de disponibilidade e somente continuará a iniciar se o servidor LDAP estiver disponível.

  • Se false, a instância mongod ou mongos ignora a verificação de disponibilidade, ou seja, a instância é iniciada mesmo que o servidor LDAP não esteja disponível.

setParameter

Definir parâmetro ou parâmetros do MongoDB descritos em Parâmetros do servidor MongoDB para uma implantação autogerenciada

Para definir parâmetros no arquivo de configuração YAML, use o seguinte formato:

setParameter:
<parameter1>: <value1>
<parameter2>: <value2>

Por exemplo, para especificar o enableLocalhostAuthBypass no arquivo de configuração:

setParameter:
enableLocalhostAuthBypass: false
setParameter.ldapUserCacheInvalidationInterval

Tipo: int

Padrão: 30

Para uso com servidores mongod que usam Autorização LDAP em Implantações Autogerenciadas.

O intervalo (em segundos) mongod espera entre as descargas de cache do usuário externo. Depois que mongod libera o cache de usuário externo, o MongoDB readquire os dados de autorização do servidor LDAP na próxima vez que um usuário autorizado pelo LDAP realizar uma operação.

Aumentar o valor especificado aumenta a quantidade de tempo mongod e o servidor LDAP pode estar fora de sincronia, mas reduz a carga no servidor LDAP. Por outro lado, diminuir o valor especificado diminui o tempo mongod e o servidor LDAP pode estar fora de sincronia enquanto aumenta a carga no servidor LDAP.

setParameter:
ldapUserCacheInvalidationInterval: <int>

Alterado na versão 4.4:

  • O MongoDB remove a opção storage.indexBuildRetry e a opção correspondente de linha de comando --noIndexBuildRetry.

  • MongoDB descontinua a opção storage.wiredTiger.engineConfig.maxCacheOverflowFileSizeGB . A opção não tem efeito começando no MongoDB 4.4.

storage:
dbPath: <string>
journal:
enabled: <boolean>
commitIntervalMs: <num>
directoryPerDB: <boolean>
syncPeriodSecs: <int>
engine: <string>
wiredTiger:
engineConfig:
cacheSizeGB: <number>
journalCompressor: <string>
directoryForIndexes: <boolean>
maxCacheOverflowFileSizeGB: <number>
collectionConfig:
blockCompressor: <string>
indexConfig:
prefixCompression: <boolean>
inMemory:
engineConfig:
inMemorySizeGB: <number>
oplogMinRetentionHours: <double>
storage.dbPath

Tipo: string

Padrão:

  • /data/db em Linux e macOS

  • \data\db no Windows

O diretório onde a instância do mongod armazena seus dados.

A configuração storage.dbPath está disponível somente para mongod.

Observação

Arquivos de configuração

O arquivo de configuração de mongod.conf padrão incluído nas instalações do gerenciador de pacotes usa os seguintes valores padrão específicos da plataforma para storage.dbPath:

Plataforma
Gerente de pacotes
Default storage.dbPath
RHEL / CentOS e Amazon
yum
/var/lib/mongo
SUSE
zypper
/var/lib/mongo
Ubuntu e Debian
apt
/var/lib/mongodb
macOS
brew
/usr/local/var/mongodb

Os scripts de inicialização do pacote Linux não esperam que storage.dbPath mude dos padrões. Se você usar os pacotes Linux e alterar storage.dbPath, deverá usar seus próprios scripts de inicialização e desabilitar os scripts integrados.

storage.journal.enabled

Tipo: booleano

Padrão: true em sistemas de 64 bits, false em sistemas de 32 bits

Habilite ou desabilite o diário de durabilidade para garantir que os arquivos de dados permaneçam válidos e recuperáveis. Essa opção se aplica somente quando você especifica a configuração storage.dbPath . mongod habilita o registro no diário por padrão.

A configuração storage.journal.enabled está disponível somente para mongod.

Não disponível para instâncias do mongod que usam o mecanismo de armazenamento in-memory.

Você não pode especificar a opção --nojournal ou storage.journal.enabled: false para membros do conjunto de réplicas que usam o mecanismo de armazenamento WiredTiger.

storage.journal.commitIntervalMs

Tipo: número

Padrão: 100

A quantidade máxima de tempo em milissegundos que o processo do mongod permite entre operações de diário. Os valores podem variar de 1 a 500 milissegundos. Valores mais baixos aumentam a durabilidade do diário, às custas do desempenho do disco.

No WiredTiger, o intervalo de confirmação do diário padrão é de 100 milissegundos. Além disso, uma gravação que inclua ou implique j:true causa uma sincronização imediata do diário. Para obter detalhes ou condições adicionais que afetam a frequência da sincronização, consulte Processo de registro no diário.

A configuração storage.journal.commitIntervalMs está disponível somente para mongod.

Não disponível para instâncias do mongod que usam o mecanismo de armazenamento in-memory.

storage.directoryPerDB

Tipo: booleano

Padrão: false

Quando true, MongoDB utiliza um diretório separado para armazenar dados para cada banco de dados. Os diretórios estão sob o diretório storage.dbPath e cada nome de subdiretório corresponde ao nome do banco de dados.

A configuração storage.directoryPerDB está disponível somente para mongod.

Não disponível para instâncias do mongod que usam o mecanismo de armazenamento in-memory.

A partir do MongoDB 5.0, descartar a coleção final em um banco de dados (ou descartar o próprio banco de dados) quando storage.directoryPerDB estiver ativado exclui o subdiretório recém-esvaziado desse banco de dados.

Para alterar a opção storage.directoryPerDB para implantações existentes:

  • Para instâncias standalone:

    1. Use o mongodump na instância mongod existente para gerar um backup.

    2. Pare a mongod instância.

    3. Adicione o valor storage.directoryPerDB e configure um novo diretório de dados

    4. Reinicie a instância do mongod.

    5. Utilize o mongorestore para preencher o novo diretório de dados.

  • Para conjuntos de réplicas:

    1. Pare um membro secundário.

    2. Adicione o valor storage.directoryPerDB e configure um novo diretório de dados para esse nó secundário.

    3. Reinicie esse secundário.

    4. Utilize sincronização inicial para preencher o novo diretório de dados.

    5. Atualize os secundários restantes da mesma maneira.

    6. Mova para baixo o membro primário e atualize o membro movido para baixo da mesma maneira.

storage.syncPeriodSecs

Tipo: número

Padrão: 60

A quantidade de tempo que pode passar antes que o MongoDB libere dados para os arquivos de dados.

Não defina esse valor em sistemas de produção. Em quase todas as situações, você deve usar a configuração padrão.

O processo mongod grava dados muito rapidamente no diário e preguiçosamente nos arquivos de dados. storage.syncPeriodSecs não tem efeito sobre o Registro no diário, mas se storage.syncPeriodSecs for definido como 0, o diário acabará consumindo todo o espaço disponível em disco.

A configuração storage.syncPeriodSecs está disponível somente para mongod.

Não disponível para instâncias do mongod que usam o mecanismo de armazenamento in-memory.

Para fornecer dados duráveis, o WiredTiger usa checkpoints. Para obter mais detalhes, consulte Registro no diário e mecanismo de armazenamento WiredTiger.

storage.engine

Padrão: wiredTiger

O mecanismo de armazenamento do banco de dados do mongod. Os valores disponíveis incluem:

Valor
Descrição
wiredTiger
inMemory

Para especificar o Mecanismo de armazenamento in-memory para sistemas autogerenciados.

Disponível apenas no MongoDB Enterprise.

Se você tentar iniciar um mongod com um storage.dbPath que contém arquivos de dados produzidos por um storage engine diferente do especificado por storage.engine, o mongod se recusará a iniciar.

storage.oplogMinRetentionHours

Tipo: double

Especifica o número mínimo de horas para preservar uma entrada de oplog, em que os valores decimais representam as frações de uma hora. Por exemplo, um valor de 1.5 representa uma hora e trinta minutos.

O valor deve ser maior ou igual a 0. Um valor de 0 indica que o mongod deve truncar o oplog começando com as entradas mais antigas para manter o tamanho máximo configurado do oplog.

Padrão é 0.

Um mongod iniciado com oplogMinRetentionHours só remove uma entrada oplog se:

  • O oplog atingiu o tamanho máximo de oplog configurado e

  • A entrada do oplog é mais antiga que o número configurado de horas com base no relógio do sistema host.

O mongod tem o seguinte comportamento quando configurado com um período mínimo de retenção de oplog:

  • O oplog pode crescer sem restrições, de modo a reter as entradas do oplog pelo número de horas configurado. Isto pode resultar na redução ou esgotamento do espaço em disco do sistema devido a uma combinação de alto volume escrita e grande período de retenção.

  • Se o oplog ultrapassar seu tamanho máximo, o mongod poderá continuar mantendo esse espaço em disco mesmo que o oplog retorne ao tamanho máximo ou esteja configurado para um tamanho máximo menor. Consulte Reduzir o tamanho do Oplog não retorna imediatamente espaço em disco.

  • O mongod compara o relógio de parede do sistema com um relógio de parede de criação de entradas de oplog ao impor a retenção de entradas de oplog. O desvio do relógio entre os componentes do cluster pode resultar em um comportamento inesperado de retenção de registros. Consulte Sincronização do relógio para obter mais informações sobre a sincronização do relógio entre os membros do cluster.

Para alterar o período mínimo de retenção do oplog após iniciar o mongod, use replSetResizeOplog. O replSetResizeOplog permite a você redimensionar o oplog dinamicamente sem reiniciar o processo do mongod. Para preservar as alterações feitas usando replSetResizeOplog por meio de uma reinicialização, atualize o valor de oplogMinRetentionHours.

storage:
wiredTiger:
engineConfig:
cacheSizeGB: <number>
journalCompressor: <string>
directoryForIndexes: <boolean>
maxCacheOverflowFileSizeGB: <number>
collectionConfig:
blockCompressor: <string>
indexConfig:
prefixCompression: <boolean>
storage.wiredTiger.engineConfig.cacheSizeGB

Tipo: flutuação

Define o tamanho máximo do cache interno que o WiredTiger utiliza para todos os dados. A memória consumida por uma construção de índice (consulte maxIndexBuildMemoryUsageMegabytes) é separada da memória de cache do WiredTiger.

Os valores podem variar de 0.25 GB a 10000 GB.

O tamanho do cache interno padrão do WiredTiger é o maior entre:

  • 50% de (RAM - 1 GB) ou

  • 256 MB.

Por exemplo, em um sistema com um total de 4 GB de RAM, o cache WiredTiger usa 1.5GB de RAM (0.5 * (4 GB - 1 GB) = 1.5 GB). Por outro lado, em um sistema com um total de 1.25 GB de RAM, o WiredTiger aloca 256 MB para o cache do WiredTiger porque isso é mais da metade da RAM total menos um gigabyte (0.5 * (1.25 GB - 1 GB) = 128 MB < 256 MB).

Observação

Em alguns casos, como quando executado em um container, o banco de dados pode ter restrições de memória inferiores à memória total do sistema. Nesses casos, esse limite de memória, em vez do total memória do sistema, é usado como a RAM máxima disponível.

Para ver o limite de memória, consulte hostInfo.system.memLimitMB.

Evite aumentar o tamanho do cache interno do WiredTiger acima do valor padrão.

Com o WiredTiger, o MongoDB utiliza o cache interno do WiredTiger e o cache do sistema de arquivos.

Com o cache do sistema de arquivos, o MongoDB usa automaticamente toda a memória livre que não é usada pelo cache do WiredTiger ou por outros processos.

Observação

O storage.wiredTiger.engineConfig.cacheSizeGB limita o tamanho do cache interno do WiredTiger. O sistema operacional usa a memória livre disponível para o cache do sistema de arquivos, o que permite que os arquivos de dados compactados do MongoDB permaneçam na memória. Além disso, o sistema operacional usa qualquer RAM livre para armazenar em buffer os blocos do sistema de arquivos e o cache do sistema de arquivos.

Para acomodar os consumidores adicionais de RAM, pode ser necessário diminuir o tamanho do cache interno do WiredTiger.

O valor padrão do tamanho do cache interno do WiredTiger pressupõe que haja uma única instância mongod por máquina. Se uma única máquina contiver várias instâncias do MongoDB, você deverá diminuir a configuração para acomodar as outras instâncias mongod.

Se você executar mongod em um contêiner (por exemplo, lxc, cgroups, Docker etc.) que não tenha acesso a toda a RAM disponível em um sistema, será necessário definir storage.wiredTiger.engineConfig.cacheSizeGB como um valor menor que a quantidade de RAM disponível no contêiner. A quantidade exata depende dos outros processos em execução no contêiner. Consulte memLimitMB.

storage.wiredTiger.engineConfig.journalCompressor

Padrão: snappy

Especifica o tipo de compactação a ser usada para compactar os dados do diário do WiredTiger.

Os compactadores disponíveis são:

storage.wiredTiger.engineConfig.directoryForIndexes

Tipo: booleano

Padrão: false

Quando storage.wiredTiger.engineConfig.directoryForIndexes é true, mongod armazena índices e coleções em subdiretórios separados sob os dados (ou seja, storage.dbPath) diretório. Especificamente, o mongod armazena os índices em um subdiretório denominado index e os dados de coleção em um subdiretório denominado collection.

Ao utilizar um link simbólico, você pode especificar um local diferente para os índices. Especificamente, quando a instância do mongod não estiver em execução, mova o subdiretório do index para o destino e crie um link simbólico denominado index no diretório de dados para o novo destino.

storage.wiredTiger.engineConfig.zstdCompressionLevel

Tipo: inteiro

Padrão: 6

Especifica o nível de compressão aplicado ao utilizar o compressor zstd.

Os valores podem variar de 1 a 22.

Quanto maior o valor especificado para zstdCompressionLevel, maior a compressão que é aplicada.

Aplicável somente quando blockCompressor está definido como zstd.

Disponível a partir do MongoDB 5.0

storage.wiredTiger.collectionConfig.blockCompressor

Padrão: snappy

Especifica a compactação padrão para dados de collection. Você pode substituir isso por collection ao criar collections.

Os compactadores disponíveis são:

storage.wiredTiger.collectionConfig.blockCompressor afeta todas as coleções criadas. Se você alterar o valor de storage.wiredTiger.collectionConfig.blockCompressor em uma implantação MongoDB existente, todas as novas coleções utilizarão o compressor especificado. Coleções existentes continuam a usar o compressor especificado quando foram criadas ou o compressor padrão naquele momento.

storage.wiredTiger.indexConfig.prefixCompression

Padrão: true

Habilita ou desabilita a compressão de prefixo para dados de índice.

Especifique true como storage.wiredTiger.indexConfig.prefixCompression a fim de habilitar a compactação de prefixo para dados do índice ou como false a fim de desativar a compactação de prefixo para dados do índice.

A configuração storage.wiredTiger.indexConfig.prefixCompression afeta todos os índices criados. Se você alterar o valor de storage.wiredTiger.indexConfig.prefixCompression em uma implantação MongoDB existente, todos os novos índices utilizarão compactação de prefixo. Os índices existentes não são afetados.

storage:
inMemory:
engineConfig:
inMemorySizeGB: <number>
storage.inMemory.engineConfig.inMemorySizeGB

Tipo: flutuação

Padrão: 50% de RAM física menos 1 GB

Os valores podem variar de 256 MB a 10 TB e podem ser instáveis.

Quantidade máxima de memória para alocar dados do mecanismo de armazenamento in-memory, incluindo índices, oplog se o mongod fizer parte do conjunto de réplicas, conjunto de réplicas ou metadados de cluster fragmentados, etc.

Por padrão, o mecanismo de armazenamento na memória usa 50% da RAM física menos 1 GB.

Observação

Funcionalidade de empresas

Disponível apenas no MongoDB Enterprise.

operationProfiling:
mode: <string>
slowOpThresholdMs: <int>
slowOpSampleRate: <double>
filter: <string>
operationProfiling.mode

Tipo: string

Padrão: off

Especifica quais operações devem ser profiladas. Os seguintes níveis de analisador estão disponíveis:

Nível
Descrição
off
O analisador está desligado e não coleta dados. Este é o nível do analisador padrão.
slowOp
O perfil coleta dados para operações que levam mais tempo do que o valor de slowms.
all
O analisador coleta dados para todas as operações.

Aviso

A análise pode degradar o desempenho e expor dados de query não criptografados no registro do sistema. Considere cuidadosamente quaisquer implicações de desempenho e segurança antes de configurar e habilitar o analisador em um sistema de produção.

Consulte Sobrecarga do criador de perfil para obter mais informações sobre a possível degradação do desempenho.

operationProfiling.slowOpThresholdMs

Tipo: inteiro

Padrão: 100

O limite do tempo de operação lento, em milissegundos. As operações executadas por mais tempo que esse limite são consideradas lentas.

Quando logLevel está definido como 0, o MongoDB registra operações lentas no log de diagnóstico a uma taxa determinada por slowOpSampleRate.

Em configurações logLevel mais altas, todas as operações aparecem no log de diagnóstico, independentemente da latência, com a seguinte exceção: o log de mensagens de entrada lentas do oplog pelos secundários. Os secundários registram apenas as entradas lentas do oplog. Aumentar logLevel não registra todas as entradas do oplog.

Esta configuração está disponível para mongod e mongos.

  • Para instâncias mongod, a configuração afeta o registro de diagnóstico e, se ativado, o criador de perfil.

  • Para mongos instâncias, a configuração afeta somente o log de diagnóstico e não o criador de perfil, já que a criação de perfil não está disponível emmongos.

operationProfiling.slowOpSampleRate

Tipo: double

Padrão: 1.0

A fração de operações lentas que devem ser analisadas ou registradas. operationProfiling.slowOpSampleRate aceita valores entre 0 e 1, inclusive.

A configuração slowOpSampleRate está disponível para mongod e mongos.

  • Para instâncias mongod, a configuração afeta o registro de diagnóstico e, se ativado, o criador de perfil.

  • Para instâncias mongos, a configuração afeta apenas o registro de diagnóstico e não o criador de perfil, pois a criação de perfil não está disponível em mongos.

operationProfiling.filter

Tipo: representação de string de um documento de consulta

Uma expressão de filtro que controla quais operações são perfiladas e registradas.

Quando filter está definido, slowOpThresholdMs e slowOpSampleRate não são usados para criar perfis e linhas de log de query lenta.

Quando você define um filtro de perfil no arquivo de configuração, o filtro se aplica a todos os bancos de dados na implantação. Para definir um filtro de perfil para um banco de dados específico, use o método db.setProfilingLevel().

A opção usa uma representação de string de um documento de query no formato:

{ <field1>: <expression1>, ... }

O <field> pode ser qualquer campo no resultado do perfil. O <expression> é uma expressão da condição de consulta.

Para especificar um filtro de perfil em um arquivo de configuração, você deve:

  • Coloque o documento de filtro entre aspas simples para passar o documento como uma string.

  • Use o formato YAML do arquivo de configuração.

Por exemplo, o filter a seguir configura o criador de perfil para registrar operações query que demoram mais de 2 segundos:

operationProfiling:
mode: all
filter: '{ op: "query", millis: { $gt: 2000 } }'
replication:
oplogSizeMB: <int>
replSetName: <string>
enableMajorityReadConcern: <boolean>
replication.oplogSizeMB

Tipo: inteiro

O tamanho máximo em megabytes do oplog. A configuração oplogSizeMB define o tamanho descompactado do oplog, não o tamanho no disco.

Observação

O oplog pode ultrapassar seu limite de tamanho configurado para evitar a exclusão do majority commit point.

Por padrão, o processo do mongod cria um oplog baseado na quantidade máxima de espaço disponível. Para sistemas de 64bits, o oplog normalmente representa 5% do espaço disponível em disco.

Depois que o mongod tiver criado o oplog pela primeira vez, alterar a opção replication.oplogSizeMB não afetará o tamanho do oplog. Para alterar o tamanho máximo do oplog após iniciar o mongod, utilize replSetResizeOplog. replSetResizeOplog permite redimensionar o oplog dinamicamente sem reiniciar o processo mongod. Para preservar as alterações feitas utilizando replSetResizeOplog por meio de uma reinicialização, atualize o valor de oplogSizeMB.

Consulte Tamanho do Oplog para obter mais informações.

A configuração replication.oplogSizeMB está disponível somente para mongod.

replication.replSetName

Tipo: string

O nome do conjunto de réplicas do qual o mongod faz parte. Todos os hosts no conjunto de réplicas devem ter o mesmo nome de conjunto.

Se seu aplicativo se conectar a mais de um conjunto de réplicas, cada conjunto deverá ter um nome distinto. Alguns drivers agrupam conexões de conjunto de réplicas por nome de conjunto de réplicas.

A configuração replication.replSetName está disponível somente para mongod.

replication.replSetName não pode ser usado em conjunto com storage.indexBuildRetry.

Para WiredTiger storage engine o mecanismo , o não podestorage.journal.enabled: false replication.replSetName ser utilizado em conjunto com .

replication.enableMajorityReadConcern

Padrão: true

Configura o suporte para a read concern "majority".

A partir do MongoDB 5.0, enableMajorityReadConcern não pode ser alterado e está sempre definido como true. A tentativa de iniciar um storage engine que não suporta a preocupação de leitura majoritária com a opção --enableMajorityReadConcern falha e retorna uma mensagem de erro.

Em versões anteriores do MongoDB, o enableMajorityReadConcern era configurável.

Aviso

Se você estiver usando uma arquitetura PSA (primária-secundária-arbiter) de três membros, considere o seguinte:

sharding:
clusterRole: <string>
archiveMovedChunks: <boolean>
sharding.clusterRole

Tipo: string

O papel que a instância do mongod tem no cluster fragmentado. Defina esta configuração como uma das seguintes:

Valor
Descrição
configsvr

Inicie esta instância como um servidor de configuração. A instância inicia na porta 27019 por padrão.

Ao configurar uma instância do MongoDB como clusterRole configsvr, você também deve especificar um replSetName.

shardsvr

Inicie esta instância como um shard. A instância inicia na porta 27018 por padrão.

Ao configurar uma instância do MongoDB como um clusterRole shardsvr, você também deve especificar um replSetName.

Observação

A configuração sharding.clusterRole requer que a instância mongod esteja sendo executada com replicação. Para implantar a instância como nó do conjunto de réplicas, use a configuração replSetName e especifique o nome do conjunto de réplicas.

A configuração sharding.clusterRole está disponível somente para mongod.

sharding.archiveMovedChunks

Tipo: booleano

Padrão: falso.

Durante a migração de chunk, um shard não salva documentos migrados do shard.

Observação

Disponível somente em MongoDB Enterprise e MongoDB Atlas.

auditLog:
destination: <string>
format: <string>
path: <string>
filter: <string>
auditLog.destination

Tipo: string

Ao configurar, o auditLog.destination habilita auditoria e especifica onde mongos ou mongod envia todos os eventos de auditoria.

auditLog.destination pode ter um dos seguintes valores:

Valor
Descrição
syslog

Envie os eventos de auditoria para syslog no formato JSON. Não disponível no Windows. As mensagens de auditoria têm um nível de severidade syslog de info e um nível de facilidade de user.

O limite de mensagens syslog pode resultar no truncamento de mensagens de auditoria. O sistema de auditoria não detecta o truncamento nem erros na sua ocorrência.

console
Envie os eventos de auditoria para stdout no formato JSON.
file
Envie os eventos de auditoria para o arquivo especificado em auditLog.path no formato especificado em auditLog.format.

Observação

Disponível somente em MongoDB Enterprise e MongoDB Atlas.

auditLog.filter

Tipo: representação de string de um documento

O filtro para limitar os tipos de operações dos registros do sistema de auditoria. A opção usa uma representação de string de um documento de query no formato:

{ <field1>: <expression1>, ... }

O <field> pode ser qualquer campo na mensagem de auditoria, incluindo os campos retornados no documento paramétrico. O <expression> é uma expressão de condição de consulta.

Para especificar um filtro de auditoria, coloque o documento do filtro entre aspas simples para passar o documento como uma string.

Para especificar o filtro de auditoria em um arquivo de configuração, você deve utilizar o formato YAML do arquivo de configuração.

Observação

Disponível somente em MongoDB Enterprise e MongoDB Atlas.

auditLog.format

Tipo: string

O formato do arquivo de saída para auditoria se destination for file. A opção auditLog.format pode ter um dos seguintes valores:

Valor
Descrição
JSON
Emite os eventos de auditoria no formato JSON para o arquivo especificado em auditLog.path.
BSON
Saída dos eventos de auditoria no formato binário BSON para o arquivo especificado em auditLog.path.

A impressão de eventos de auditoria em um arquivo no formato JSON degrada mais o desempenho do servidor do que a impressão em um arquivo no formato BSON.

Observação

Disponível somente em MongoDB Enterprise e MongoDB Atlas.

auditLog.path

Tipo: string

O arquivo de saída para auditoria se destination tiver valor de file. A opção auditLog.path pode receber um nome de caminho completo ou um nome de caminho relativo.

auditLog.runtimeConfiguration

Tipo: booleano

Especifica se um nó permite a configuração de tempo de execução dos filtros de auditoria e a variável auditAuthorizationSuccess. Se true, o nó pode participar do Gerenciamento de Filtros de Auditoria Online.

Observação

O MongoDB Enterprise no macOS não inclui suporte para SNMP devido ao SERVER-29352.

snmp:
disabled: <boolean>
subagent: <boolean>
master: <boolean>
snmp.disabled

Tipo: booleano

Padrão: false

Desabilita o acesso SNMP para mongod. A opção é incompatível com snmp.subagent e snmp.master.

Configure para true para desabilitar o acesso SNMP.

A configuração snmp.disabled está disponível somente para mongod.

snmp.subagent

Tipo: booleano

Quando snmp.subagent é true, o SNMP é executado como um subagente. A opção é incompatível com snmp.disabled configurado para true.

A configuração snmp.subagent está disponível somente para mongod.

snmp.master

Tipo: booleano

Quando snmp.master é true, o SNMP é executado como mestre. A opção é incompatível com snmp.disabled configurado para true.

A configuração snmp.master está disponível somente para mongod.

replication:
localPingThresholdMs: <int>
sharding:
configDB: <string>
replication.localPingThresholdMs

Tipo: inteiro

Padrão: 15

O tempo de ping, em milissegundos, que mongos usa para determinar quais membros do conjunto de réplicas secundário passarão pelas operações de leitura dos clientes. O valor padrão de 15 corresponde ao valor padrão em todos os drivers do cliente.

Quando mongos recebe uma solicitação que permite leituras em nós secundários, o mongos:

  • Localiza o nó do conjunto com o menor tempo de ping.

  • Constrói uma lista de nós do conjunto de réplicas que esteja dentro de um tempo de ping de 15 milissegundos do nó adequado mais próximo do conjunto.

    Se você especificar um valor para a opção replication.localPingThresholdMs, o mongos criará a lista de nós da réplica que estão dentro da latência permitida por este valor.

  • Seleciona um nó para ler aleatoriamente a partir desta lista.

O tempo de ping usado para um nó em comparação com a configuração replication.localPingThresholdMs é uma média móvel dos tempos de ping recentes, calculada no máximo a cada 10 segundos. Como resultado, algumas consultas podem alcançar nós acima do limite até que o mongos recalcule a média.

Consulte a seção Preferência de leitura para conjuntos de réplicas da documentação de preferência de leitura para obter mais informações.

sharding.configDB

Tipo: string

Os servidores de configuração do cluster fragmentado.

Os servidores de configuração para clusters fragmentados são implantados como um conjunto de réplica. Os servidores de configuração do conjunto de réplica devem executar o mecanismo de armazenamento WiredTiger.

Especifique o nome do conjunto de réplicas do servidor de configuração e o nome do host e porta de pelo menos um dos membros do conjunto de réplicas do servidor de configuração.

sharding:
configDB: <configReplSetName>/cfg1.example.net:27019, cfg2.example.net:27019,...

As instâncias mongos do cluster sharded devem especificar o mesmo nome de conjunto de réplicas do servidor de configuração, mas podem especificar o nome do host e a porta de diferentes membros do conjunto de réplicas.

processManagement:
windowsService:
serviceName: <string>
displayName: <string>
description: <string>
serviceUser: <string>
servicePassword: <string>
processManagement.windowsService.serviceName

Tipo: string

Padrão: MongoDB

O nome do serviço mongos ou mongod quando executado como um serviço do Windows. Use este nome com as operações net start <name> e net stop <name> .

Você deve utilizar processManagement.windowsService.serviceName em conjunto com a opção --install ou --remove.

processManagement.windowsService.displayName

Tipo: string

Padrão: MongoDB

O nome listado para MongoDB no aplicativo administrativo de serviços.

processManagement.windowsService.description

Tipo: string

Padrão: servidor MongoDB

Execute a descrição de serviço do mongos ou mongod.

Você deve utilizar processManagement.windowsService.description em conjunto com a opção --install.

Para descrições que contêm espaços, você deve incluir a descrição entre aspas.

processManagement.windowsService.serviceUser

Tipo: string

O serviço mongos ou mongod no contexto de um determinado usuário. Esse usuário deve ter os privilégios "Fazer login como um serviço".

Você deve utilizar processManagement.windowsService.serviceUser em conjunto com a opção --install.

processManagement.windowsService.servicePassword

Tipo: string

A senha do <user> para o mongos ou mongod ao executar com a opção processManagement.windowsService.serviceUser.

Você deve utilizar processManagement.windowsService.servicePassword em conjunto com a opção --install.

O MongoDB removeu o storage engine obsoleto MMAPv1 e as opções de configuração específicas do MMAPv1:

Configuração do arquivo de configuração removida
Opção de linha de comando removida
storage.mmapv1.journal.commitIntervalMs
storage.mmapv1.journal.debugFlags
mongod --journalOptions
storage.mmapv1.nsSize
mongod --nssize
storage.mmapv1.preallocDataFiles
mongod --noprealloc
storage.mmapv1.quota.enforced
mongod --quota
storage.mmapv1.quota.maxFilesPerDB
mongod --quotaFiles
storage.mmapv1.smallFiles
mongod --smallfiles
storage.repairPath
mongod --repairpath
replication.secondaryIndexPrefetch
mongod --replIndexPrefetch

Para versões anteriores do MongoDB, consulte a documentação legado.

Voltar

Gerenciar processos mongod