配置 KMIP 静态 加密
在此页面上
您可以使用 KMIP 服务器为 Kubernetes Operator 托管的 MongoDB 部署配置 静态 加密 。
Considerations
在配置静态加密之前,请考虑以下因素:
您必须有正在运行的KMIP服务器。
您无法将使用基于密钥文件的静态加密的部署转换为基于KMIP的静态加密。
如果要为已部署的 MongoDB 资源启用KMIP 静态加密,请联系MongoDB 支持部门。
步骤
以下过程介绍如何为 MongoDB 副本集配置示例KMIP配置。 根据部署需要调整文件名和路径、Kubernetes 命名空间、资源名称和 MongoDB 版本。
1
创建 CA 的 ConfigMap。
运行以下命令以创建 ConfigMap 保存签署 KMIP 服务器证书的 CA :
kubectl -n mongodb create configmap mongodb-kmip-certificate-authority-pem --from-file=ca.pem
2
3
配置部署以使用 KMIP 服务器。
在additionalMongodConfig 自定义资源 中配置 设置 规范以使用 KMIP 服务器。例如:
apiVersion: mongodb.com/v1 kind: MongoDB metadata: name: kmip namespace: mongodb spec: type: ReplicaSet members: 3 backup: encryption: kmip: client: clientCertificatePrefix: "mdb" additionalMongodConfig: security: enableEncryption: true kmip: clientCertificateFile: /kmip/cert/cert.pem serverCAFile: /kmip/ca/ca.pem serverName: pykmip-server.pymongo port: 5696 featureCompatibilityVersion: '6.0' version: 6.0.14-ent opsManager: configMapRef: name: my-project credentials: my-credentials podSpec: podTemplate: spec: containers: - name: mongodb-enterprise-database volumeMounts: - name: mongodb-kmip-client-pem mountPath: /kmip/cert - name: mongodb-kmip-certificate-authority-pem mountPath: /kmip/ca volumes: - name: mongodb-kmip-client-pem secret: secretName: mongodb-kmip-client-pem - name: mongodb-kmip-certificate-authority-pem configMap: name: mongodb-kmip-certificate-authority-pem items: - key: ca.pem path: ca.pem
重要
spec.backup.encryption.kmip如果您在资源中设立了 设置,则与 值链接的spec.credentials API 密钥必须具有Global Owner 角色。