Docs 菜单
Docs 主页
/
MongoDB Enterprise Kubernetes Operator
/

配置 KMIP 静态加密

在此页面上

  • Considerations
  • 步骤

您可以使用 KMIP 服务器为 Kubernetes Operator 托管的 MongoDB 部署配置 静态 加密 。

在配置静态加密之前,请考虑以下因素:

  • 您必须有正在运行的KMIP服务器。

  • 您无法将使用基于密钥文件的静态加密的部署转换为基于KMIP的静态加密。

  • 如果要为已部署的 MongoDB 资源启用KMIP 静态加密,请联系MongoDB 支持部门

以下过程介绍如何为 MongoDB 副本集配置示例KMIP配置。 根据部署需要调整文件名和路径、Kubernetes 命名空间、资源名称和 MongoDB 版本。

1

运行以下命令以创建 ConfigMap 以保存签署 KMIP 服务器证书的 CA:

kubectl -n mongodb create configmap mongodb-kmip-certificate-authority-pem --from-file=ca.pem
2

运行以下命令以创建 密钥 保存连接的客户端证书和私钥,以便从 KMIP 服务器检出主密钥:

kubectl -n mongodb create secret generic mongodb-kmip-client-pem --from-file=cert.pem
3

additionalMongodConfig 自定义资源 中配置 设置 规范以使用 KMIP 服务器。例如:

apiVersion: mongodb.com/v1
kind: MongoDB
metadata:
name: kmip
namespace: mongodb
spec:
type: ReplicaSet
members: 3
backup:
encryption:
kmip:
client:
clientCertificatePrefix: "mdb"
additionalMongodConfig:
security:
enableEncryption: true
kmip:
clientCertificateFile: /kmip/cert/cert.pem
serverCAFile: /kmip/ca/ca.pem
serverName: pykmip-server.pymongo
port: 5696
featureCompatibilityVersion: '6.0'
version: 6.0.14-ent
opsManager:
configMapRef:
name: my-project
credentials: my-credentials
podSpec:
podTemplate:
spec:
containers:
- name: mongodb-enterprise-database
volumeMounts:
- name: mongodb-kmip-client-pem
mountPath: /kmip/cert
- name: mongodb-kmip-certificate-authority-pem
mountPath: /kmip/ca
volumes:
- name: mongodb-kmip-client-pem
secret:
secretName: mongodb-kmip-client-pem
- name: mongodb-kmip-certificate-authority-pem
configMap:
name: mongodb-kmip-certificate-authority-pem
items:
- key: ca.pem
path: ca.pem

重要

spec.backup.encryption.kmip如果您在资源中设立了 设置,则与 值链接的spec.credentials API 密钥必须具有Global Owner 角色。

后退

配置加密

在此页面上