验证 MongoDB 签名
您可以通过启用 Ops Manager 资源规范中的设置,要求 MongoDB 助手在下载 MongoDB 二进制文件后验证签名文件。启用签名验证后,MongoDB 助手会要求 Ops Manager 实例管理的所有 MongoDB 部署提供签名文件。您可以为本地或远程部署启用签名验证。
先决条件
Ops Manager 服务器必须通过 HTTPS运行,MongoDB 助手才能下载签名文件。 要了解更多信息,请参阅将 Ops Manager 配置为通过 HTTPS 运行。
步骤
在Ops Manager 资源规范中,添加 spec.configuration.mms.featureFlag.automation.verifyDownloads并设置为enabled 。 例如:
spec: configuration: mms.featureFlag.automation.verifyDownloads=enabled
注意
启用签名验证后,MongoDB Agent需要为其下载的所有MongoDB二进制文件提供签名文件。
确保 MongoDB 助手可以在同一目录中找到 MongoDB 二进制文件及其签名 (.sig) 文件,该文件的位置取决于您的部署是本地部署还是远程部署。
如果您的 Ops Manager 实例可以访问互联网或自定义HTTPS服务器,并且您从官方来源下载 MongoDB 二进制文件,则 MongoDB 助手会自动下载签名文件和 MongoDB 二进制文件。
如果您不从官方来源下载 MongoDB 二进制文件,请配置您的HTTPS服务器以从同一链接找到 MongoDB 二进制文件及其签名文件。
如果您的 Ops Manager 实例无法访问互联网,则 MongoDB 二进制文件及其签名文件默认存储在/mongodb-ops-manager/mongodb-releases/中。确保签名文件的名称与 MongoDB 二进制文件的名称相同,并且位于同一目录中。例如:
/mongodb-ops-manager/mongodb-releases/mongodb-linux-x86_64-rhel80-4.2.8.tgz.sig /mongodb-ops-manager/mongodb-releases/mongodb-linux-x86_64-rhel80-4.2.8.tgz
保存并应用Ops Manager 资源规范。
kubectl apply -f <my-ops-manager-resource-specification>.yaml
应用MongoDB Ops Manager资源规范后, MongoDB Agent会在集群节点上执行 滚动重启,以协调更改。