验证 MongoDB 签名
您可以通过启用MongoDB Agent MongoDBMongoDB Ops Manager资源规范 中的设置,要求 在下载 二进制文件后验证签名文件。启用签名验证后, 会要求MongoDB Agent 实例管理的所有MongoDB MongoDB Ops Manager部署提供签名文件。您可以为本地或远程部署启用签名验证。
先决条件
Ops Manager 服务器必须通过 HTTPS运行,MongoDB 助手才能下载签名文件。 要了解更多信息,请参阅将 Ops Manager 配置为通过 HTTPS 运行。
步骤
在Ops Manager 资源规范中,添加 spec.configuration.mms.featureFlag.automation.verifyDownloads并设置为enabled 。 例如:
spec: configuration: mms.featureFlag.automation.verifyDownloads=enabled
注意
启用签名验证后,MongoDB Agent需要为其下载的所有MongoDB二进制文件提供签名文件。
确保 MongoDB 助手可以在同一目录中找到 MongoDB 二进制文件及其签名 (.sig) 文件,该文件的位置取决于您的部署是本地部署还是远程部署。
如果您的MongoDB Ops Manager实例可以访问权限互联网或自定义HTTPS服务器,并且您从官方来源下载MongoDB二进制文件,则MongoDB Agent会自动将签名文件与MongoDB二进制文件一起下载。
如果您不从官方来源下载MongoDB二进制文件,请配置您的HTTPS服务器以从同一链接找到MongoDB二进制文件及其签名文件。
如果您的MongoDB Ops Manager实例无法访问权限互联网,则MongoDB二进制文件及其签名文件默认存储在 /mongodb-ops-manager/mongodb-releases/ 中。 确保签名文件的名称与MongoDB二进制文件的名称相同,并且位于同一目录中。 示例:
/mongodb-ops-manager/mongodb-releases/mongodb-linux-x86_64-rhel80-4.2.8.tgz.sig /mongodb-ops-manager/mongodb-releases/mongodb-linux-x86_64-rhel80-4.2.8.tgz
保存并应用Ops Manager 资源规范。
kubectl apply -f <my-ops-manager-resource-specification>.yaml
应用MongoDB Ops Manager资源规范后, MongoDB Agent会在集群节点上执行 滚动重启,以协调更改。