Docs 菜单
Docs 主页
/
MongoDB Enterprise Kubernetes Operator
/

为 Ops Manager 配置 KMIP 备份加密

MongoDB Ops Manager可以加密备份作业。 您可以使用Kubernetes Operator 为 配置 KMIP MongoDB Ops Manager备份加密。要了解更多信息,请参阅加密备份快照。

对于同一Kubernetes Operator实例不同时管理 MongoDBOpsManager MongoDB 自定义资源的部署,您必须在 MongoDBOpsManager 自定义资源中手动配置 KMIP 备份加密客户端设置。此要求涉及包含每个MongoDB数据库的客户端证书,您可以通过覆盖MongoDB Ops Manager Pod 的 StatefulSet 以挂载证书来实现这一点。 要学习;了解更多信息,请参阅手动配置 KMIP 备份加密。

1

运行以下命令:

kubectl -n mongodb create configmap mongodb-kmip-certificate-authority-pem --from-file=ca-pem
2

配置 spec.backup.encryption.kmip设置。

1 apiVersion: mongodb.com/v1
2 kind: MongoDBOpsManager
3 metadata:
4 name: om-backup-kmip
5 spec:
6 replicas: 1
7 version: 6.0.0
8 adminCredentials: ops-manager-admin-secret
9 backup:
10 encryption:
11 kmip:
12 server:
13 url: kmip.corp.mongodb.com:5696
14 ca: mongodb-kmip-certificate-authority-pem
3
4

对 Ops Manager 资源定义的文件名调用以下kubectl命令:

kubectl apply -f <opsmgr-resource>.yaml
5

运行以下命令:

kubectl get om <resource-name> -o yaml -w
6

运行以下命令:

kubectl -n mongodb create secret tls mongodb-kmip-client-pem-my-replica-set-client-kmip \
--cert=<path-to-cert-file> \
--key=<path-to-key-file>

客户端证书 密钥 名称具有从MongoDB CustomResourceDefinition 推断的以下命名约定 :

<clientCertificatePrefix>-<objectMeta.name>-client-kmip
clientCertificatePrefix
objectMeta.name
metadata.nameMongoDB CustomResourceDefinition 的 字段中指定的人类可读标签 。
client-kmip
修复 Kubernetes 操作符 假定的后缀。

要了解更多信息,请参阅 kubernetes.io/tls。

7

配置spec.backup.encryption.kmip设置。

1 apiVersion: mongodb.com/v1
2 kind: MongoDB
3 metadata:
4 name: my-replica-set
5 spec:
6 members: 3
7 version: 4.0.20
8 type: ReplicaSet
9 backup:
10 encryption:
11 kmip:
12 client:
13 clientCertificatePrefix: mongodb-kmip-client-pem

要了解更多信息,请参阅部署副本集部署分片集群。

8
9

对 Ops Manager 资源定义的文件名调用以下kubectl命令:

kubectl apply -f <mdb-database-deployment>.yaml
10

运行以下命令:

kubectl get mdb <resource-name> -o yaml -w

后退

配置可查询备份