Ops Manager 配置设置
在此页面上
Ops Manager 将配置设置全局存储在 Ops Manager 应用程序数据库中,并本地存储在每台服务器上。全局设置适用于所有 Ops Manager 服务器。本地设置适用于已配置这些设置的服务器。 服务器上的任何本地设置都会覆盖全局设置。
你可以通过服务器的 conf-mms.properties 文件来配置本地设置。每台服务器的 conf-mms.properties 都必须包含用于访问 Ops Manager 应用程序数据库的连接字符串和身份验证设置。conf-mms.properties 文件还包含对特定于该服务器的全局设置的所有覆盖项。
conf-mms.properties 文件的位置取决于 Ops Manager 的安装方式,如下表所述。
安装方法 | conf-mms.properties 位置 |
|---|---|
rpm 或 deb 包 | /opt/mongodb/mms/conf/ |
tar.gz 存档 | <install-directory>/conf/ |
通过用户界面绕过初始配置
如果要在创建第一个帐户后跳过初始设置向导,并编辑 conf-mms.properties 文件或使用 API 配置 Ops Manager,请更改以下设置。如果要自动部署 Ops Manager 实例,此设置会有所帮助。
mms.ignoreInitialUiSetup类型:布尔值
将其设为
true可允许充分使用 Ops Manager,而无需通过第一个用户帐户来完成初始设置向导。警告
Ops Manager 会定期执行动态检查,以验证它是否具有所有必需的设置。如果其中一个或多个设置未包含在
conf-mms.properties中,则 Ops Manager 将拒绝启动并列出日志文件中缺少的字段。在启动 Ops Manager 之前,请将以下必需设置添加到
conf-mms.properties以启用基本 Ops Manager 功能:用户界面设置conf-mms.properties设置必要性必需无必需必需必需必需必需必需必需必需必需OptionalOptionalOptionalOptionalOptionalOptionalOptional注意
标记为“可选”的字段具有默认值。如果要更改它们,可以提供设置和新值。
例子
以下值是示例。替换适合 Ops Manager 安装的值。你可以添加本参考中指定的任何其他设置。
要配置具有最低功能的 Ops Manager 安装,请将以下设置添加到
conf-mms.properties:mms.ignoreInitialUiSetup=true mongo.mongoUri=mongodb://db1.example.com:27017,db2.example.com:27017,db3.example.com:27017 mms.centralUrl=http://localhost:8080 mms.fromEmailAddr=example@example.com mms.replyToEmailAddr=example@example.com mms.adminEmailAddr=example@example.com mms.mail.transport=smtp mms.mail.hostname=mail.example.com mms.mail.port=465
所有集群视图
mms.allclusters.onlyMembership类型:布尔值
默认值:False
确定“查看全部集群”是仅显示 Ops Manager 管理员所属的部署(将值设置为
true),还是管理员有权访问的部署(将值设置为false)。
应用程序数据库连接
以下设置配置 Ops Manager 与 Ops Manager Application Database 的连接。必须在每个 Ops Manager 服务器上的 conf-mms.properties 文件中配置此设置。要加密身份验证信息,请参阅加密用户凭证。
mongo.mongoUri类型:字符串
用于访问 Ops Manager Application Database 的连接字符串。如果适用,连接字符串必须包含 Ops Manager Application Database 上使用的
authentication mechanism的身份验证凭证。如何设置连接字符串的格式取决于:
为后端数据库部署的集群类型,
你使用的协议,以及
你使用的身份验证方法。
如果将副本集用于数据库的后端实例,则连接字符串可能包含所有副本集成员的主机名或 DNS 种子列表的主机名。
如果选择标准连接字符串,则请在 URI 中包含副本集的所有节点。如果省略端口号,Ops Manager 将为所有主机使用默认 27017 端口。
mongo.mongoUri=mongodb://mongod1.example.com:40000,mongod2.example.com:40000,mongod3.example.com:40000 将 MongoDB 用户名和密码添加到主机名之前。 按以下格式写入用户名和密码: <username>:<password>@
mongo.mongoUri=mongodb://mongodbuser1:password@mongod1.example.com:40000,mongod2.example.com:40000,mongod3.example.com:40000 注意
必要的 MongoDB 角色
对后端数据库进行身份验证的 MongoDB 用户必须具有以下角色:
您应该在
mongodb.ssl.PEMKeyFile设置中指定的 PEM 文件中找到客户端证书。将主题值从客户端证书作为 MongoDB 用户添加到主机之前。
将 authMechanism=MONGODB-X509 附加到指定端口。
mongo.mongoUri=mongodb://<new_mongodb_user>@mongod1.example.com:40000,mongod2.example.com:40000,mongod3.example.com:40000/?authMechanism=MONGODB-X509 将 MongoDB 用户名和密码按以下格式添加到主机名前:<username>:<password>@。
按以下格式将身份验证机制附加到端口: authMechanism=PLAIN&authSource=$external
mongo.mongoUri=mongodb://mongodbuser1:password@mongod1.example.com:40000,mongod2.example.com:40000,mongod3.example.com:40000/?authMechanism=PLAIN&authSource=$external 在主机名前面加上 Kerberos 用户主体。
将 Kerberos UPN 以<username>@<KERBEROS REALM> 形式写入。使用经 URL 编码的表示形式对 UPN 进行转义。因此,username@REALM.EXAMPLE.COM 的 Kerberos 用户主体将变为 username%40REALM.EXAMPLE.COM。
按以下格式将身份验证机制附加到端口:authMechanism=GSSAPI。
mongo.mongoUri=mongodb://username%40REALM.EXAMPLE.COM@mongod1.example.com:40000,mongod2.example.com:40000,mongod3.example.com:40000/?authMechanism=GSSAPI 注意
修改 Kerberos 设置
注意
Ops Manager 不要求在 URI 中使用 replicaSet 选项。
Ops 版本中的新增功能:Manager 4.4.0
如果选择了 DNS 种子列表连接字符串,则请包含用于描述数据库的后端实例副本集的 DNS SRV 记录。该连接字符串使用 mongodb+srv: 协议,而不是 mongodb: 协议。
mongo.mongoUri=mongodb+srv://db.example.com:40000 将 MongoDB 用户名和密码添加到主机名之前。 按以下格式写入用户名和密码: <username>:<password>@
mongo.mongoUri=mongodb+srv:mongodbuser1:password@mongod.example.com:40000 注意
必要的 MongoDB 角色
对后端数据库进行身份验证的 MongoDB 用户必须具有以下角色:
您应该在
mongodb.ssl.PEMKeyFile设置中指定的 PEM 文件中找到客户端证书。将主题值从客户端证书作为 MongoDB 用户添加到主机之前。
将 authMechanism=MONGODB-X509 附加到指定端口。
mongo.mongoUri=mongodb+srv:<new_mongodb_user>@mongod.example.com:40000/?authMechanism=MONGODB-X509 将 MongoDB 用户名和密码按以下格式添加到主机名前:<username>:<password>@。
按以下格式将身份验证机制附加到端口: authMechanism=PLAIN&authSource=$external
mongo.mongoUri=mongodb+srv:mongodbuser1:password@mongod.example.com:40000/?authMechanism=PLAIN&authSource=$external 在主机名前面加上 Kerberos 用户主体。
将 Kerberos UPN 以<username>@<KERBEROS REALM> 形式写入。使用经 URL 编码的表示形式对 UPN 进行转义。因此,username@REALM.EXAMPLE.COM 的 Kerberos 用户主体将变为 username%40REALM.EXAMPLE.COM。
按以下格式将身份验证机制附加到端口:authMechanism=GSSAPI。
mongo.mongoUri=mongodb+srv:username%40REALM.EXAMPLE.COM@mongod.example.com:40000/?authMechanism=GSSAPI 注意
修改 Kerberos 设置
此选项需要应用程序数据库的 DNS SRV 记录。DNS 条目使用 DNS 种子列表字符串格式。确保 Ops Manager 可以连接到此应用程序数据库。
如果使用分片集群作为数据库的后备实例,则连接字符串可能包含所有
mongos路由器的主机名或 DNS 种子列表的主机名。如果选择标准连接字符串,请在 URI 中包含所有分片。如果省略端口号,Ops Manager 将为所有主机使用默认 27017 端口。
mongo.mongoUri=mongodb://mongos1.example.com:40000,mongos2.example.com:40000 将 MongoDB 用户名和密码添加到主机名之前。 按以下格式写入用户名和密码: <username>:<password>@
mongo.mongoUri=mongodb://mongodbuser1:password@mongos1.example.com:40000,mongos2.example.com:40000 注意
必要的 MongoDB 角色
对后端数据库进行身份验证的 MongoDB 用户必须具有以下角色:
您应该在
mongodb.ssl.PEMKeyFile设置中指定的 PEM 文件中找到客户端证书。将主题值从客户端证书作为 MongoDB 用户添加到主机之前。
将 authMechanism=MONGODB-X509 附加到指定端口。
mongo.mongoUri=mongodb://<new_mongodb_user>@mongos1.example.com:40000,mongos2.example.com:40000/?authMechanism=MONGODB-X509 将 MongoDB 用户名和密码按以下格式添加到主机名前:<username>:<password>@。
按以下格式将身份验证机制附加到端口: authMechanism=PLAIN&authSource=$external
mongo.mongoUri=mongodb://mongodbuser1:password@mongos1.example.com:40000,mongos2.example.com:40000/?authMechanism=PLAIN&authSource=$external 在主机名前面加上 Kerberos 用户主体。
将 Kerberos UPN 以<username>@<KERBEROS REALM> 形式写入。使用经 URL 编码的表示形式对 UPN 进行转义。因此,username@REALM.EXAMPLE.COM 的 Kerberos 用户主体将变为 username%40REALM.EXAMPLE.COM。
按以下格式将身份验证机制附加到端口:authMechanism=GSSAPI。
mongo.mongoUri=mongodb://username%40REALM.EXAMPLE.COM@mongos1.example.com:40000,mongos2.example.com:40000/?authMechanism=GSSAPI 注意
修改 Kerberos 设置
注意
Ops Manager 不要求在 URI 中使用 replicaSet 选项。
Ops 版本中的新增功能:Manager 4.4.0
如果选择 DNS 种子列表连接字符串,请包含描述数据库的后备实例分片集群的 DNS SRV 记录。该连接字符串使用 mongodb+srv: 协议,而不是 mongodb: 协议。
mongo.mongoUri=mongodb+srv://db.example.com:40000 将 MongoDB 用户名和密码添加到主机名之前。 按以下格式写入用户名和密码: <username>:<password>@
mongo.mongoUri=mongodb+srv:mongodbuser1:password@mongos.example.com:40000 注意
必要的 MongoDB 角色
对后端数据库进行身份验证的 MongoDB 用户必须具有以下角色:
您应该在
mongodb.ssl.PEMKeyFile设置中指定的 PEM 文件中找到客户端证书。将主题值从客户端证书作为 MongoDB 用户添加到主机之前。
将 authMechanism=MONGODB-X509 附加到指定端口。
mongo.mongoUri=mongodb+srv:<new_mongodb_user>@mongos.example.com:40000/?authMechanism=MONGODB-X509 将 MongoDB 用户名和密码按以下格式添加到主机名前:<username>:<password>@。
按以下格式将身份验证机制附加到端口: authMechanism=PLAIN&authSource=$external
mongo.mongoUri=mongodb+srv:mongodbuser1:password@mongos.example.com:40000/?authMechanism=PLAIN&authSource=$external 在主机名前面加上 Kerberos 用户主体。
将 Kerberos UPN 以<username>@<KERBEROS REALM> 形式写入。使用经 URL 编码的表示形式对 UPN 进行转义。因此,username@REALM.EXAMPLE.COM 的 Kerberos 用户主体将变为 username%40REALM.EXAMPLE.COM。
按以下格式将身份验证机制附加到端口:authMechanism=GSSAPI。
mongo.mongoUri=mongodb+srv:username%40REALM.EXAMPLE.COM@mongos.example.com:40000/?authMechanism=GSSAPI 注意
修改 Kerberos 设置
此选项需要应用程序数据库的 DNS SRV 记录。DNS 条目使用 DNS 种子列表字符串格式。确保 Ops Manager 可以连接到此应用程序数据库。
mongo.encryptedCredentials类型:布尔值
要在
mongo.mongoUri中使用加密凭证,请使用 Ops Manager credentialstool 对凭证进行加密,将其输入到mongo.mongoUri设置中,然后将其设置为true:mongo.encryptedCredentials=true
Ops Manager 应用程序数据库的 Kerberos 身份验证
mms.kerberos.principal类型:字符串
如果使用 Kerberos,则为必需。用于与 MongoDB 进行身份验证的主体。这应该与
mongo.mongoUri上的用户完全相同。mms.kerberos.principal=mms/mmsweb.example.com@EXAMPLE.COM
jvm.java.security.krb5.conf类型:字符串
可选。备用 Kerberos 配置文件的路径。该值设置为 JVM 的
java.security.krb5.conf。jvm.java.security.krb5.conf=/etc/conf/krb5.conf
与应用程序数据库的 TLS/SSL 连接
mongo.ssl类型:布尔值
设置为
true时,启用与 Ops Manager 应用程序数据库的 TLS 连接。
mongodb.ssl.PEMKeyFile类型:字符串
包含 X509 证书和私钥的 PEM 文件的名称。如果使用
--tlsCAFile选项或net.tls.CAFile设置运行 MongoDB 实例,则为必填项。如果你使用
MONGODB-X509身份验证机制进行身份验证,则还可以在mongoUri连接字符串中将其作为用户名输入。
自动化默认路径
automation.default.backupAgentLogFile类型:字符串
默认值:
/var/log/mongodb-mms-automation/backup-agent.logLinux/macOS 上备份日志的默认路径。
automation.default.downloadBase类型:字符串
默认值:/var/lib/mongodb-mms-automation
Linux/macOS 上由自动化功能管理的部署的监控、备份和 MongoDB 二进制文件的默认路径。
automation.default.monitoringAgentLogFile类型:字符串
默认值:
/var/log/mongodb-mms-automation/monitoring-agent.logLinux/macOS 上监控日志的默认路径。
mms.agentCentralUrl类型:字符串
旧版监控代理或 MongoDB 助手用于推送监控数据的 Ops Manager 应用程序的 FQDN。
如果未设置,则使用
mms.centralUrl的值。重要
如果计划使用其 IPv6 地址访问 Ops Manager 应用程序,则必须将 IPv6 地址括在方括号(
[ ])中,以将其与其端口号分隔开。例如:
http://[2600:1f16:777:8700:93c2:b99c:a875:2b10]:8080
备份
mms.alerts.BackupAgentConfCallFailure.maximumFailedConfCalls类型:整型
默认值:10
如果备份遇到超过此次数的连续失败配置调用,则 Ops Manager 将触发以下全局警报:
Backup has too many conf call failures
mms.alerts.OutsideSpaceUsedThreshold.maximumSpaceUsedPercent类型:整型
默认值:85
如果块存储使用的磁盘总容量至少达到此百分比,Ops Manager 就会触发以下系统警报:
Blockstore space used exceeds threshold。
mms.backupCentralUrl类型:字符串
传统备份代理或 MongoDB 代理用来向其发送备份数据的 Ops Manager 应用程序的 FQDN 。
如果未设置,则使用
mms.centralUrl的值。重要
如果计划使用其 IPv6 地址访问 Ops Manager 应用程序,则必须将 IPv6 地址括在方括号(
[ ])中,以将其与其端口号分隔开。例如:
http://[2600:1f16:777:8700:93c2:b99c:a875:2b10]:8080
mms.backup.minimumOplogWindowHours类型:浮点
默认值:3
这设置了 oplog 应记录的数据库操作的最小小时数。
部署的 oplog 需要足够大,以保存自上次快照以来的恢复数据。增加此值以使 Ops Manager 监控 oplog 容量。应将此值设置为达到或超过
brs.snapshotSchedule.interval中的值。如果将该值设置为小于
brs.snapshotSchedule.interval,则在最后一个快照和 oplog 结束之间可能会有间隔。这使得备份无法用于恢复。必须重新同步过时的备份作业才能将其用于恢复。
备份快照
backup.fileSystemSnapshotStore.gzip.compressionLevel类型:整型
默认:6
确定 Ops Manager 对基于文件系统的快照应用的压缩程度。此级别介于
0到9(含):0不提供压缩。1为9可提高压缩程度,但会损失压缩速度。1级的压缩程度最低,但速度最快。9级的压缩程度最大,但速度最慢。
注意
更改 File System Store Gzip Compression Level 仅影响新快照。它不会影响现有快照的压缩级别。
brs.restore.digest.method类型:字符串
Default: SHA1
指定是否为还原存档文件生成 SHA1校验和。
接受的值为
SHA1或NONE。
brs.snapshotSchedule.retention.base类型:整型
默认值:2
指定间隔快照的存储天数。接受的值因
brs.snapshotSchedule.interval的值而异:接受的值<242、3、4或5。=242,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30.对应
.Base Retention of Snapshots
brs.snapshotSchedule.retention.daily类型:整型
默认值:0
指定每日快照的存储天数。
接受的值为:
0,3,4,5,6,7,15,30,60,90,120,180or360对应
.Daily Retention of Snapshots
brs.snapshotSchedule.retention.monthly类型:整型
默认值:1
指定每月快照存储的月数。
接受的值为:
0,1,2,3,4,5,6,7,8,9,10,11,12,13,18,24,36,48,60,72, and84
brs.snapshotSchedule.retention.weekly类型:整型
默认值:2
指定每周快照的存储周数。
接受的值为:
0,1,2,3,4,5,6,7,8,12,16,20,24, and52对应
.Weekly Retention of Snapshots
brs.pitWindowInHours类型:整型
默认:24
可从特定时间点 (PIT) 恢复的持续时间(以小时为单位)。
对应
.PIT Window
backup.kmip.server.host类型:字符串
默认:无
指定 KMIP 服务器的主机名。
从 MongoDB 4.2.1(和 4.0.14)开始,可以在以逗号分隔的列表中指定多个 KMIP 服务器。
重要
在 4.0.14 或 4.2.1 之前的 MongoDB 版本中,Ops Manager 仅使用 KMIP 服务器主机名列表中的第一个 KMIP 主机名。
mms.backup.snapshot.maxSumFileForWorkersMB类型:整型
默认:2048
这将设置创建快照时同时保存的文件的最大累积大小(以 MB 为单位)。
可查询的快照配置
brs.queryable.connecttimeout类型:整型
默认值:30
连接到可查询快照 mongod 实例的等待秒数,在该秒数之后将显示为超时。
对应
Mongo .Connection Timeout
brs.queryable.lruCacheCapacityMB类型:整型
默认:512
从 JVM 堆中为全局快照缓存分配的大小(以兆字节为单位)。全局快照缓存可将针对同一快照数据的重复查询优化为可查询快照。
重要
MongoDB 不建议更改此值,除非 MongoDB 支持人员指示你更改它。
brs.queryable.pem.pwd类型:字符串
如果
Proxy Server PEM File已加密,则为必需。注意
更新
Proxy Server PEM File Password后,重启 Web 服务器以使更改生效。
brs.queryable.pem类型:字符串
如果使用可查询快照,则为必填项。PEM 文件,其中包含一个或多个受信任证书的完整证书链及相关私钥。
Proxy Server PEM File存在以下限制:此 PEM 文件必须不同于用来与 Ops Manager 建立 HTTPS 连接的文件 (
mms.https.PEMKeyFile)。此 PEM 文件应使用大于 512 位的密钥长度。建议使用 2048 位 RSA 密钥。
此 PEM 文件应使用比
sha1更强的消息摘要,例如sha256。
注意
更新
Proxy Server PEM File后,重启 Web 服务器以使更改生效。
brs.queryable.proxyPort类型:整型
默认:25999
可查询备份主机的端口。
注意
更新
Proxy Server Port后,重启 Web 服务器以使更改生效。
brs.queryable.tls.disabledProtocols类型:字符串
默认值:SSLv 2 Hello,SSLv 3 ,TLSv 1 ,TLSv 1.1 ,TLSv 1.3
已禁用可查询快照和恢复的 TLS 协议版本。
brs.queryable.tls.disabledCiphers类型:字符串
Default: TLS_DHE_RSA_WITH_AES_128_CBC_SHA,TLS_DHE_RSA_WITH_AES_128_CBC_SHA256,TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,TLS_DHE_RSA_WITH_AES_256_CBC_SHA,TLS_DHE_RSA_WITH_AES_256_CBC_SHA256,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
当客户端连接到可查询的备份主机时,Ops Manager 实例无法接受的 TLS 密码套件列表。将 TLS 密码套件名称指定为以逗号分隔的列表,条目之间没有空格。
诊断存档
mms.admin.diagnostics.archiveDocCountLimit类型:整型
默认值:10000
Ops Manager 应从操作日志中检索的最大条目数。
mms.admin.diagnostics.archiveDocSizeLimit类型:整型
默认:7
Ops Manager 应从活动源中检索的最大数据天数。
mms.admin.diagnostics.archiveDocAgeLimit类型:整型
默认:7
Ops Manager 应从活动源中检索的最大数据天数。
电子邮件
mms.fromEmailAddr类型:字符串
用于发送常规电子邮件(如 Ops Manager 警报)的电子邮件地址。你可以在电子邮件地址中包含别名。
mms.fromEmailAddr=mms-alerts@example.com
mms.emailDaoClass类型:字符串
默认值:
SIMPLE_MAILER要使用的电子邮件接口。
此设置以不同方式标记用户界面和配置文件。
发送方式配置设置(mms.emailDaoClass)AWS SESAWS_MAILERSMTP
SIMPLE_MAILER如果将其设置为 SMTP 电子邮件服务器,则必须设置:
如果将此项目设为 AWS Simple Email Service,则必须设置:
SMTP 电子邮件服务器
有条件。如果将 mms.emailDaoClass 设置为 SIMPLE_MAILER,则会出现以下设置。
mms.mail.transport类型:字符串
Default: smtp
电子邮件提供商指定的传输协议:
smtp(标准 SMTP)
对应
Transport。
mms.mail.username类型:字符串
电子邮件帐户的用户名。如果未设置,则默认为禁用 SMTP 身份验证。
对应
Username。
mms.mail.password类型:字符串
电子邮件帐户的密码。如果留空,此设置将禁用 SMTP 身份验证。
对应
Password。
mms.mail.tls类型:布尔值
默认值:False
如果传输协议使用 TLS/SSL,则将其设置为
true。对应
Use SSL。
AWS Simple Email Service
有条件。如果将 mms.emailDaoClass 设置为 AWS_MAILER,则会出现以下设置。
aws.ses.endpoint类型:字符串
默认值:
https://email.us-east-1.amazonaws.com设置 AWS SES 的发送 API 端点。
HTTP Proxy
http.proxy.host类型:字符串
指定要连接的 HTTP 或 HTTPS 代理的主机名。
http.proxy.host=proxy.example.com 对应
Proxy Host。
http.proxy.port类型:整型
指定要连接到主机的端口。要使用代理,必须同时指定
Proxy Port和Proxy Host。对应
Proxy Port。
Kubernetes Setup
kubernetes.templates.credentialsFilePath类型:字符串
YAML 文件的路径,其中包含编程 API 密钥(作为 Kubernetes Secret),用于在 Ops Manager 项目中创建或更新 Kubernetes 对象。
此文件必须采用 YAML 格式,并且必须存储在
/mongodb-ops-manager/目录下。apiVersion: v1 kind: Secret metadata: name: organization-secret namespace: mongodb stringData: user: ${publicKey} publicApiKey: ${privateKey}
MongoDB 版本管理
automation.versions.source类型:字符串
默认值:
remote指示 MongoDB 安装程序二进制文件的来源。
automation.versions.source的可接受值以及设置该值必须存在的条件是:值条件remoteOps Manager 和助手均可访问互联网。hybridOps Manager 可以访问互联网,但代理不能访问互联网。Ops Manager 从互联网下载 MongoDB 二进制文件;代理从 Ops Manager 下载二进制文件。localOps Manager 和代理均无法访问互联网。Ops Manager 管理员必须将版本清单和 MongoDB 二进制文件上传到 Ops Manager 主机,如配置部署以限制互联网访问权限中所述。
automation.versions.download.baseUrl类型:字符串
默认:mongodb.com,fastdl.mongodb.org
要从中获取 MongoDB 二进制文件的 HTTP(S) 端点。如果此端点为 HTTPS 端点,则会使用
httpsCAFile指定的证书颁发机构文件来验证证书。如果未设置automation.versions.download.baseUrl,则 mongodb 二进制文件的远程 URL 为 mongodb.com 和 fastdl.mongodb.org。对应
Base URL。
automation.versions.download.baseUrl.allowOnlyAvailableBuilds类型:布尔值
默认:真
设置为
true时,Ops Manager 会将你可以指定的 MongoDB 版本限制为可用于部署的版本。仅当将
automation.versions.download.baseUrl设置为自定义值时,才会应用此设置。
automation.versions.directory类型:字符串
默认值:
/opt/mongodb/mms/mongodb-releases/指定 Ops Manager 应用程序服务器上 Ops Manager 存储 MongoDB 二进制文件的目录。在部署上安装或更改 MongoDB 版本时,自动化会访问二进制文件。如果将
Version Manifest Source设置为在Local模式下运行,则备份守护程序也会从该目录访问 MongoDB 二进制文件。有关详细信息,请参阅配置部署以限制互联网访问。
mongodb.release.autoDownload类型:布尔值
默认:真
指明备份守护程序是否会自动安装备份守护程序所需 MongoDB 版本的标志。
true守护进程通过互联网从 MongoDB Inc. 检索二进制文件。false备份守护进程无法访问互联网,需要 Ops Manager 管理员手动下载并提取备份守护进程所需的 MongoDB 版本的每个存档版本。管理员必须将提取的二进制文件放入 Ops Manager 主机上的Versions Directory中。警告
当 Ops Manager 以本地模式运行时,设置为
false。
mongodb.release.autoDownload.enterprise类型:布尔值
指示备份守护程序是否自动安装备份守护程序所需的 MongoDB 企业版本的标志。需要将
mongodb.release.autoDownload设置为true。警告
如果计划在 Linux 主机上运行 MongoDB Enterprise,则须在安装 MongoDB 之前手动向每个主机安装一组依赖项。MongoDB 手册提供了相应命令来安装这些依赖项。
请参阅配置部署以限制互联网访问。
mongodb.release.modulePreference类型:字符串
指定使用 MongoDB 社区版还是 Enterprise 版二进制文件进行备份。
接受的值为:
enterprisePreferredenterpriseRequiredcommunityRequired
选择
enterpriseRequired或communityRequired时,Ops Manager 仅使用这些二进制文件进行备份。选择enterprisePreferred时,Ops Manager 将使用企业版二进制文件(如果可用)和社区版二进制文件(如果不可用)。注意
选择
enterpriseRequired时,必须将mongodb.release.autoDownload.enterprise设置为true或者在本地模式下手动将企业版二进制文件放入automation.versions.directory中。警告
选择
enterpriseRequired或communityRequired,但automation.versions.directory不包含所需的二进制文件时,备份会失败。
MongoDB 使用情况
mms.mongoDbUsage.defaultUsageType类型:字符串
默认值:生产服务器
此 Ops Manager 管理的所有 Enterprise 进程的默认 MongoDB Enterprise 服务器类型。
下表显示了接受的服务器类型值,以及每个值所需的相应许可证数量:
服务器意图环境目的许可证要求生产服务器将应用程序托管给内部或外部最终用户。
如果最终用户可能使用某个环境,则该环境将用作生产环境。无论环境是否还提供测试、质量保证、评估或开发功能,这一点都适用。
每台服务器一个许可测试/QA 服务器这类环境可用于:
测试测试您的应用程序,验证其是否按设计和预期运行。平台配置可能是计算、网络和存储功能方面性能较低的生产版本。确保系统质量使用一组配置用于模拟生产的数据、硬件和软件来验证您的应用程序。平台配置应是在计算、网络和存储能力方面比生产环境规模较小。阶段模拟生产环境,包括性能测试和发布候选批准。平台配置应反映生产的计算、网络和存储能力。每台服务器一个许可开发服务器主机正在为您的应用程序进行设计、代码、调试或其中的某些组合。用于评估是否可以将应用程序的当前状态提升到另一个环境。无RAM 池为任何环境目的提供服务器的任意组合。一个许可证适用于任意数量的服务器,但不超过您在这些服务器上购买的总 GB RAM 的最大值。后端数据库托管 Ops Manager 后端数据库。启用应用程序数据库监控以启用此选项。无
监控
mms.agentCentralUrl类型:字符串
旧版监控代理或 MongoDB 助手用于推送监控数据的 Ops Manager 应用程序的 FQDN。
如果未设置,则使用
mms.centralUrl的值。重要
如果计划使用其 IPv6 地址访问 Ops Manager 应用程序,则必须将 IPv6 地址括在方括号(
[ ])中,以将其与其端口号分隔开。例如:
http://[2600:1f16:777:8700:93c2:b99c:a875:2b10]:8080
监控故障转移
您可对多个 MongoDB 助手激活监控功能,从而分发监控任务并提供故障转移。Ops Manager 可在最多 100 个正在运行的 MongoDB 助手之间分配监控任务。每个运行主动监控的 MongoDB 助手均会监控各不相同的一组 MongoDB 进程。对于每个项目,运行主动监控的一个 MongoDB 助手即为主监控器。主监控器会向 Ops Manager 报告集群的状态。当 MongoDB 助手启用或禁用监控时,Ops Manager 会重新分发任务。如果主监控器出现故障,Ops Manager 则会将运行主动监控的另一 MongoDB 助手指定为主监控器。
以下设置调整 Ops Manager 用于确定监控是否不可访问的时间间隔,以及备用代理轮询 Ops Manager 以确定它们是否应接收监控分配的频率。
Ops Manager 管理 API
mms.publicApi.whitelistEnabled类型:布尔值
某些 API 调用要求请求源自访问列表中的 IP 地址。要关闭此要求,请添加此设置并将其值设为
false。
推送实时迁移
mms.pushLiveMigrations.mmsUi.centralUrl类型:字符串
从 Ops Manager 实时迁移到 Atlas 的基本 URL,例如
https://cloud.mongodb.com。
mms.pushLiveMigrations.syncJobs.enabled类型:布尔值
如果设为
true,则允许 Ops Manager 请求有关实时迁移流程的信息,例如:可用作实时迁移源的可用项目与部署的列表。
已配置的可用迁移主机的列表,而这些主机有助于相应部署与项目中的实时迁移。
在 Atlas 中运行的实时迁移的当前状态。
Ops Manager 使用此信息来简化实时迁移进程。默认为
true。
mms.pushLiveMigrations.updateJob.intervalSeconds类型:布尔值
同步刷新之间的重复间隔(以秒为单位)。Ops Manager 和 Atlas 之间的组织项目信息会定期同步。默认同步间隔为
60。Ops Manager 预计同步刷新会在 10 到 43200 秒(12 小时)的时间间隔内发生。如果同步刷新之间的实际间隔超过 43200 秒,或者在验证阶段同步刷新之间的实际间隔超过 1800 秒(30 分钟),则实时迁移到 Atlas 可能会停止、超时或失败。注意
更新此设置后,重启 Web 服务器以使更改生效。
mms.pushLiveMigrations.updateJob.cooldownSeconds类型:布尔值
组织项目的信息同步刷新之间的时间间隔(以秒为单位)。同步刷新之间的默认间隔为
10。Ops Manager 预计同步刷新会在 10 到 43200 秒(12 小时)的时间间隔内发生。如果连续同步之间的实际间隔超过 43200 秒,则实时迁移到 Atlas 可能会停止、超时或失败。注意
更新此设置后,重启 Web 服务器以使更改生效。
mms.pushLiveMigrations.fetchJob.intervalSeconds类型:布尔值
用于从 Atlas 同步实时迁移计划更新的重复间隔(以秒为单位)。该计划列出了 Atlas 迁移流程中的步骤。Ops Manager 会定期从 Atlas 检索当前计划以检查进度。如果没有此信息,Ops Manager 则不会将实时迁移流程推进到下一阶段。
默认同步间隔为
60。Ops Manager 预计同步刷新会在 10 到 43200 秒(12 小时)的时间间隔内发生。如果连续同步之间的实际间隔超过 43200 秒,则实时迁移到 Atlas 可能会停止、超时或失败。注意
更新此设置后,重启 Web 服务器以使更改生效。
安全性
SNMP
配置 SNMP 陷阱
MongoDB Ops Manager使用 基于社区的 SNMPv2 (SNMPv2 c)。
重要
MongoDB Ops Manager 6.0.0 弃用SNMP警报。 MongoDB Ops Manager 7.0.0 将不包含SNMP警报。 要学习;了解有关其他警报选项的更多信息,请参阅第三方服务集成。
MongoDB Ops Manager您可以使用两种不同类型的 SNMP 陷阱配置 应用程序:
陷阱类型 | 目录 | 频率 | 目标 |
|---|---|---|---|
Heartbeat | MongoDB Ops Manager应用程序的内部运行状况评估 | 用户设立 | 一个或多个端点 |
警报 | 来自已配置MongoDB Ops Manager警报的数据 | 用户设立 | 一个或多个端点 |
要配置MongoDB Ops Manager应用程序以发送 SNMPv2c 心跳或警报陷阱,请执行以下操作:
SNMP 设置
重要
MongoDB Ops Manager 6.0.0 弃用SNMP警报。 MongoDB Ops Manager 7.0.0 将不包含SNMP警报。 要学习;了解有关其他警报选项的更多信息,请参阅第三方服务集成。
snmp.community类型:字符串
默认值:public
适用于SNMPv 2 c 警报陷阱和SNMPv 2 c 心跳陷阱。
应用程序发送的 SNMP 陷阱的 SNMP 社区。MongoDB Ops Manager
snmp.default.hosts类型:字符串
Default: blank
适用于SNMPv 2 c 心跳陷阱。
以逗号分隔的主机列表, MongoDB Ops Manager在标准UDP端口 162 上发送“心跳”陷阱。 您必须设置
snmp.default.hosts才能启用SNMP心跳功能。 如果将此设置留空, MongoDB Ops Manager将禁用SNMP心跳功能。
非统一内存访问 (NUMA)
mongodb.disable.numa类型:布尔值
要为头部数据库禁用 NUMA,请使用以下值并按修改自定义设置过程进行操作:
Keymongodb.disable.numaValuetrue要了解有关 NUMA 的详情,请参阅 MongoDB 生产说明中的 MongoDB 和 NUMA 硬件。
第三方集成
Datadog 集成
Opsgenie Integration
opsgenie.api.url类型:字符串
默认值:
https://api.opsgenie.com/v2/alertsOps Manager 用于访问欧洲国家/地区的 Ops Genie API 的 URL。
如果 Ops Manager 实例在欧洲运行,请启用此自定义参数。然后,将其值设置为
https://api.eu.opsgenie.com/v2/alerts。有关详细信息,请参阅 Opsgenie 警报文档。
Twilio 集成
要通过短信或 2FA 代码接收警报通知,您必须拥有 Twilio 帐户。
twilio.account.sid类型:字符串
Twilio 账户 ID。
对应
Account SID。
用户身份认证
mms.email.validation类型:字符串
默认:false
确定 Ops Manager 是否要求用户名必须是电子邮件地址。
值说明false(默认)用户名不必为电子邮件地址。loose用户名必须包含一个@符号,且后跟一个句点。strict用户名必须遵循严格的电子邮件地址验证正则表达式。如果设置为
strict,Ops Manager 将使用以下正则表达式来验证电子邮件地址是否符合 RFC-3696: 第 3 节中的要求^[a-z0-9!#$%&'*+/=?^_`{|}~-]+(?:\.[a-z0-9!#$%&'*+/=?^_`{|}~-]+)*@(?:[a-z0-9](?:[a-z0-9-]*[a-z0-9])?\.)+[a-z0-9](?:[a-z0-9-]*[a-z0-9])?$ 例子
jane.smith@example.com是有效的。jane.smith@ex@mple.com是无效的。
mms.userSvcClass类型:字符串
默认值:
com.xgen.svc.mms.svc.user.UserSvcDb选择将身份验证档案存储在 Ops Manager 应用程序数据库还是 LDAP 目录中。
接受的值为:
身份验证方法接受的值应用程序数据库UserSvcDb重要提示:在MongoDB Ops Manager 6.0 中,可接受的值为
com.xgen.svc.mms.svc.user.UserSvcDb。 如果使用这个旧的接受值,您的MongoDB Ops Manager实例将在预检查期间不会启动。LDAP
com.xgen.svc.mms.svc.user.UserSvcLdapSAML
com.xgen.svc.mms.svc.user.UserSvcSaml
通过 Ops Manager 应用程序数据库进行身份验证
mms.login.ratelimit.attemptsAllowed类型:数字
在超时期间,来自特定 IP 地址的用户可以尝试登录的次数。必须将此设置与
Login Attempts Timeout Period一起配置。
mms.login.ratelimit.lockedPeriodMinutes类型:数字
此设置指定:
用于确定登录尝试次数是否过多的时间段(以分钟为单位)。
恢复登录尝试之前帐户锁定的持续时间。
必须将此设置与
Login Attempts Allowed Before Timeout一起配置。重要
下拉菜单列出了此设置的唯一可能值。尝试在下拉列表中未列出的
conf-mms.properties文件或本地数据库中设置值会导致重启 Ops Manager 实例时出错。
mms.user.invitationOnly类型:布尔值
如果为 true,则新用户只能通过邀请进行注册。邀请函提供了一个显示注册链接的 URL。如果为 false,则新用户在拥有 Ops Manager URL 的情况下可以注册。
通过 LDAP 进行身份验证
这些设置将 Ops Manager 配置为使用 LDAP 服务器进行身份验证。如果使用 LDAP 身份验证,用户必须属于 LDAP 群组才能登录 Ops Manager。您必须为每个 Ops Manager用户角色创建 LDAP 组。
以 mms.ldap.global.role 为指定 LDAP 群组的节点分配 Ops Manager 全局角色。使用 LDAP User Group 设置中指定的 LDAP 属性所使用的格式指定群组。您可以使用 ;; 分隔符来指定多个组。要更改默认分隔符,请使用 mms.ldap.group.separator 设置。每个 Ops Manager 全局角色提供对部署中所有 Ops Manager 项目的访问级别。要向特定组提供访问权限,请使用组级角色。
mms.ldap.global.role.automationAdmin类型:字符串
LDAP 群组,其成员在 Ops Manager 中具有全局自动化管理员角色。使用
LDAP User Group设置中指定的 LDAP 属性所使用的格式指定项目。您可以使用;;分隔符指定多个项目。要更改默认分隔符,请使用mms.ldap.project.separator设置。mms.ldap.global.role.automationAdmin=CN\=MMS-AutomationAdmin,OU\=MMS,OU\=acme Groups,DC\=acme,DC\=example,DC\=com 每个 Ops Manager 全局角色提供对部署中所有 Ops Manager 项目的访问级别。要提供对特定项目的访问权限,请使用群组级角色。
mms.ldap.global.role.backupAdmin类型:字符串
LDAP 群组,其成员在 Ops Manager 中具有全局备份管理员角色。
mms.ldap.global.role.backupAdmin=CN\=MMS-BackupAdmin,OU\=MMS,OU\=acme Groups,DC\=acme,DC\=example,DC\=com
mms.ldap.global.role.monitoringAdmin类型:字符串
LDAP 群组,其成员在 Ops Manager 中具有全局监控管理员角色。
mms.ldap.global.role.monitoringAdmin=CN\=MMS-MonitoringAdmin,OU\=MMS,OU\=acme Groups,DC\=acme,DC\=example,DC\=com
mms.ldap.global.role.owner类型:字符串
具有 Ops Manager 部署的全部特权的 LDAP 群组,包括对所有 Ops Manager 项目的完全访问权限和所有管理权限。指定 LDAP 群组中的用户将在 Ops Manager 中获得全局所有者角色。使用
LDAP User Group设置中指定的 LDAP 属性所使用的格式指定项目。mms.ldap.global.role.owner=CN\=MMSGlobalOwner,OU\=MMS,OU\=acme Groups,DC\=acme,DC\=example,DC\=com
mms.ldap.global.role.readOnly类型:字符串
LDAP 群组,其成员在 Ops Manager 中具有全局只读角色。
mms.ldap.global.role.readOnly=CN\=MMS-ReadOnly,OU\=MMS,OU\=acme Groups,DC\=acme,DC\=example,DC\=com
mms.ldap.global.role.userAdmin类型:字符串
LDAP 群组,其成员在 Ops Manager 中拥有全局用户管理员角色。
mms.ldap.global.role.userAdmin=CN\=MMS-UserAdmin,OU\=MMS,OU\=acme Groups,DC\=acme,DC\=example,DC\=com
mms.ldap.group.baseDn类型:字符串
默认设置:
LDAP User Base Dn值Ops Manager 用于搜索群组的基本可分辨名称 (DN)。如果留空,则此设置将使用默认值。
mms.ldap.group.baseDn=OU\=groups,DC\=acme,DC\=com
mms.ldap.group.member类型:字符串
包含用户标识名 (DN) 的群组条目上的字段。通常使用 groupOfNames 或 groupOfUniqueNames 对象类。
mms.ldap.group.member=member
mms.ldap.group.separator类型:字符串
默认值:
;;要设置 LDAP 分隔符,请按照修改自定义设置中的步骤操作并使用以下值:
Keymms.ldap.group.separatorValue<desired-separator>每个全局角色值都有一个带分隔符的项目列表:
"dbas,sysadmins" 如果组值包含分隔符,则必须将分隔符设置为另一个值。
例子
如果组值为
"CN\=foo,DN\=bar",分隔符为,,则 Ops Manager 会将"CN\=foo,DN\=bar"解析为两个元素,而不是对单个群组的描述。
mms.ldap.ssl.CAFile类型:字符串
包含一个或多个 PEM 格式受信任证书的文件。如果使用的是 LDAPS,且服务器使用的证书并非来自知名的证书颁发机构,请使用此设置。
mms.ldap.ssl.CAFile=/opt/CA.pem
mms.ldap.ssl.PEMKeyFile类型:字符串
包含客户端证书和私钥的文件。当 TLS/SSL LDAP 服务器需要客户端证书时,请使用此设置。
mms.ldap.ssl.PEMKeyFile=/opt/keyFile.pem
mms.ldap.ssl.PEMKeyFilePassword类型:字符串
LDAP SSL PEM Key File的密码。如果PEMKeyFile已加密,请使用此设置。mms.ldap.ssl.PEMKeyFilePassword=<password>
mms.ldap.url类型:字符串
LDAP 或 LDAPS 服务器的 URI 。
mms.ldap.url=ldaps://acme-dc1.acme.example.com:3890 对应
LDAP URI。
mms.ldap.user.baseDn类型:字符串
Ops Manager 用于搜索用户的基本可分辨名称 (DN)。
使用
\转义=标志。mms.ldap.user.baseDn=DC\=acme,DC\=example,DC\=com
mms.ldap.user.email类型:字符串
Default:
mailper RFC2256包含用户电子邮件地址的 LDAP 用户属性。成功进行 LDAP 身份验证后,Ops Manager 会将指定的 LDAP 属性与 Ops Manager 用户记录中的电子邮件地址同步。
mms.ldap.user.email=mail
mms.ldap.user.firstName类型:字符串
Default:
givenNameper RFC2256包含用户名字的 LDAP 用户属性。成功进行 LDAP 身份验证后,Ops Manager 会将指定的 LDAP 属性与 Ops Manager 用户记录中的名字同步。
mms.ldap.user.firstName=givenName
mms.ldap.user.group类型:字符串
LDAP 用户属性,包含用户所属的 LDAP 群组列表。LDAP 属性可以使用任何格式列出项目,包括通用名称 (
cn) 或可分辨名称 (dn)。此配置文件中指定项目的所有 Ops Manager 设置必须与所选格式匹配。重要
Ops Manager 已弃用
mms.ldap.user.group。使用mms.ldap.group.member。如果你为以下内容提供值:
mms.ldap.user.group和mms.ldap.group.member,Ops Manager 使用mms.ldap.group.member,而忽略mms.ldap.user.group。mms.ldap.user.group只是,Ops Manager 无法识别嵌套 LDAP 群组中的用户成员身份。
mms.ldap.user.group=memberOf
mms.ldap.user.lastName类型:字符串
Default:
surnameper RFC2256包含用户姓氏的 LDAP 用户属性。成功进行 LDAP 身份验证后,Ops Manager 会将指定的 LDAP 属性与 Ops Manager 用户记录中的姓氏同步。
mms.ldap.user.lastName=sn
mms.ldap.user.searchAttribute类型:字符串
用于 LDAP 搜索的 LDAP 字段。这通常是用户名或电子邮件地址。此字段的值也用作 Ops Manager 用户名。
mms.ldap.user.searchAttribute=<myAccountName>
通过 SAML 进行身份验证
mms.saml.slo.url类型:字符串
当用户尝试注销时,Ops Manager 调用的单点注销端点的 URL。如果设置,当用户尝试注销 Ops Manager 时,他们将注销 IdP。如果留空,则注销 Ops Manager 不会将用户退出其 IdP 会话。
mms.saml.ssl.PEMKeyFile类型:字符串
SP 用于签署请求的证书的 PEM 文件的绝对路径,包含私钥和公钥。如果将其留空,则 Ops Manager 不会向 IdP 签署 SAML 身份验证请求,也无法加密 SAML 断言。
mms.saml.signature.algorithm类型:字符串
对 IdP 发送和接收的签名进行加密的算法。
在 Select an Algorithm 菜单中,有五个选项:
rsa-sha1dsa-sha1rsa-sha256rsa-sha384rsa-sha512
mms.saml.global.role.automationAdmin类型:字符串
SAML 群组成员属性中的群组,其成员具有
Global Automation Admin角色。
mms.saml.global.role.backupAdmin类型:字符串
SAML 群组成员属性中的群组,其成员具有
Global Backup Admin角色。
mms.saml.global.role.monitoringAdmin类型:字符串
SAML 群组成员属性中的群组,其成员具有
Global Monitoring Admin角色。
mms.saml.global.role.userAdmin类型:字符串
SAML 群组成员属性中的群组,其成员具有
Global User Admin角色。
mms.saml.global.role.readOnly类型:字符串
SAML 群组成员属性中的群组,其成员具有
Global Read Only角色。
多重身份验证 (MFA)
mms.multiFactorAuth.level类型:字符串
默认:关闭
配置双重身份验证“级别”:
设置说明OFF禁用双重身份验证。Ops Manager 不使用双重身份验证。OPTIONAL用户可选择为其 Ops Manager 帐户设置双重身份验证。REQUIRED_FOR_GLOBAL_ROLES拥有全局角色的用户必须设置双重身份验证。所有其他用户均可选择使用双重身份验证。REQUIRED所有用户都必须为其 Ops Manager 帐户设置双重身份验证。建议使用双重身份验证,以确保 Ops Manager 部署的安全性。
警告
如果通过配置文件启用
mms.multiFactorAuth.level,则必须先创建用户账户,然后再更新配置文件。否则,你将无法登录到 Ops Manager。注意
如果启用了 Twilio 集成(可选),则请确保 Ops Manager 服务器可访问
twilio.com域名。
mms.multiFactorAuth.allowReset类型:布尔值
默认值:False
设置为
true时,Ops Manager 允许用户通过电子邮件重置其双重身份验证设置,其方式与重置密码类似。要重置双重身份验证,用户必须:
能够通过与用户帐户关联的地址接收电子邮件。
知道用户帐户密码。
知道用户所属每个 Ops Manager 项目的代理 API 密钥。
mms.multiFactorAuth.issuer类型:字符串
如果 Google 身份验证器提供双重身份验证,则此字符串是 Google 身份验证器应用中的
issuer。如果留空,则issuer是 Ops Manager 安装的域名。
mms.multiFactorAuth.require类型:布尔值
默认值:False
当设置为
true时,Ops Manager 将要求用户进行双重身份验证才能登录或在应用程序中执行某些破坏性操作。如果配置了 Twilio 集成,用户可通过 Google 身份验证器、短信或语音呼叫获取第二因素令牌。否则,提供双重身份验证的唯一机制是 Google 身份验证器。
reCaptcha 和会话长度
reCaptcha.enabled.registration类型:布尔值
默认:false
表示你希望新用户在注册使用 Ops Manager 时使用 reCaptcha 验证来验证自己。
设置为
true以要求在新用户注册时进行 reCaptcha 验证。此设置需要 reCaptcha 帐户。
reCaptcha.enabled类型:布尔值
默认:false
表示您希望用户在登录 Ops Manager 时使用 reCaptcha 验证来验证自身。
设置为
true以在用户登录时要求进行 reCaptcha 验证。此设置需要 reCaptcha 帐户。
对应于
ReCaptcha Enabled。
Web Server
mms.centralUrl类型:字符串
Ops Manager 应用程序的 FQDN 和端口号。
要使用
8080以外的端口,请参阅管理 Ops Manager 主机名和端口。mms.centralUrl=http://mms.example.com:8080 重要
如果计划使用其 IPv6 地址访问 Ops Manager 应用程序,则必须将 IPv6 地址括在方括号(
[ ])中,以将其与其端口号分隔开。例如:
http://[2600:1f16:777:8700:93c2:b99c:a875:2b10]:8080
mms.https.PEMKeyFile类型:字符串
包含 Ops Manager 应用程序的有效证书和私钥的 PEM 文件的绝对路径。如果 Ops Manager 应用程序使用 HTTPS 加密 Ops Manager 应用程序、代理和 Web 界面之间的连接,则需要 PEM 文件。
对 Ops Manager 应用程序进行 HTTPS 访问的默认端口为
8443,如<install_dir>/conf/mms.conf文件中设置的那样。如果更改此默认值,则还必须更改mms.centralUrl设置中指定的端口。
mms.https.ClientCertificateMode类型:字符串
指定 Ops Manager 是否要求客户端在连接到它时提供有效的 TLS/SSL 客户端证书。接受的值为:
noneagents_onlyrequired
mms.https.CAFile类型:字符串
在以下情况下为必填项:
你正在使用私有证书颁发机构。
将
mms.https.ClientCertificateMode设置为agents_only或required。您可以在已启用 TLS 的混合模式下运行 Ops Manager。
指定包含可接受客户端证书列表的专用证书颁发机构文件的文件系统位置。Ops Manager 应用程序对来自带有此文件中描述的证书的客户端的 HTTPS 请求进行身份验证。
mms.https.CAFile=/path/to/ca_file.pem 对应
CA File。
mms.https.dualConnectors类型:布尔值
默认值:False
支持同时使用 HTTP 和 HTTPS 连接到 Ops Manager。
在升级 Ops Manager 和 MongoDB 助手以使用 TLS 时,可以临时使用此设置。为确保零停机时间,请设置为
true并为mms.http.bindhostname提供一个值。配置 Ops Manager 和 MongoDB 助手后,设置为false。重要
当
mms.https.dualConnectors为true时,可以使用不安全连接访问 Ops Manager。将
mms.https.dualConnectors设置为false以仅在将 MongoDB 助手更新为使用 TLS 连接后才允许安全连接。
mms.http.bindhostname类型:字符串
默认值:127.0.0.1
MongoDB 助手可以使用 HTTP 连接到 Ops Manager 的主机名或 IP。
在升级 Ops Manager 和 MongoDB 助手以使用 TLS 时,可以临时使用此设置。要确保零停机时间,请设置一个值并将
mms.https.dualConnectors设置为true。配置 Ops Manager 和 MongoDB 助手后,删除该值。
mms.remoteIp.header类型:字符串
如果您将负载均衡器与 Ops Manager 应用程序一起使用,请将其设为负载均衡器用于识别 Ops Manager 主机的原始客户端 IP 地址的 HTTP 标头字段。指定
Load Balancer Remote IP Header时,不允许客户端直接连接到任何 Ops Manager 主机。位于 Ops Manager 主机前面的负载均衡器不得返回已缓存的内容。设置
Load Balancer Remote IP Header后,Ops Manager 将启用以下 HTTP 标头:HTTP 标头转发到 Ops Manager客户端在主机 HTTP 请求标头中请求的原始主机。用于发出 HTTP 请求的协议。代理服务器的主机名。请求的 HTTPS 状态。要了解详细信息,请参阅配置高可用性 Ops Manager 应用程序。
mms.minimumTLSVersion类型:字符串
默认值:
TLSv1.2指定客户端连接到 Ops Manager 所需的TLS版本。 此属性会影响所有客户端,例如用于连接到 Ops Manager Admin 接口的浏览器和用于连接到 REST API 的命令行工具,例如
curl。- 介于 4.0.9 与 4.0.18 之间以及早于 4.2.13 和 4.4.0 的 Ops Manager 版本
- Ops Manager 仅支持
TLSv1.2。如果将此值更改为TLSv1.2以外的任何值(包括空白值),则无法连接到此 Ops Manager。 - Ops Manager 版本 4.0.0 到 4.0.8,4.0.18 或更高版本、4.2.13 或更高版本、4.4.0 或更高版本
- Ops Manager 支持
TLSv1.0、TLSv1.1和TLSv1.2。
注意
TLSv1.2 要求连接客户端以满足以下最低要求:
浏览器支持 TLS 版本 1.2
curl7.34.0 及更高版本OpenSSL 1.0.1 及更高版本
要设置
minimum.TLSVersion,请按照以下值执行修改自定义设置的操作步骤:Keyminimum.TLSVersionValue<tls-versions>
mms.disableCiphers类型:字符串
Default:
SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA,SSL_DHE_DSS_WITH_DES_CBC_SHA,SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA,SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA,SSL_DHE_RSA_WITH_DES_CBC_SHA,SSL_RSA_EXPORT_WITH_DES40_CBC_SHA,SSL_RSA_EXPORT_WITH_RC4_40_MD5,TLS_DHE_DSS_WITH_AES_128_CBC_SHA256,TLS_DHE_DSS_WITH_AES_128_CBC_SHA,TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,TLS_DHE_DSS_WITH_AES_256_CBC_SHA,TLS_DHE_RSA_WITH_AES_128_CBC_SHA256,TLS_DHE_RSA_WITH_AES_128_CBC_SHA,TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,TLS_DHE_RSA_WITH_AES_256_CBC_SHA256,TLS_DHE_RSA_WITH_AES_256_CBC_SHA,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384指定当客户端连接到 Ops Manager 应用程序和 API 时,Ops Manager 实例无法接受的 TLS 密码套件列表。将 TLS 密码套件名称指定为逗号分隔的列表,如以下示例所示。
重要
在 Ops Manager 中使用的密码套件名称必须遵循 RFC 5246 命名规则。请勿使用 OpenSSL 命名规则。为了方便起见,Ops Manager 在启动期间会记录所有支持的密码套件名称列表。如果 Ops Manager 无法识别 TLS 密码套件名称,则会记录以下警告:
配置将以下内容列为密码,应将其禁用,因为 JDK 无法识别它们。请检查条目格式和已启用密码列表。[unrecognized_cipher_name]
要更改
mms.disableCiphers,请按照修改自定义设置的步骤操作并使用以下值:Keymms.disableCiphersValue<ciphers>例如:
TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA, TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 警告
将
mms.disableCiphers设置为自定义值可能会重新启用其中一个或多个禁用的密码。
Webhook
mms.alerts.webhook.adminEndpoint类型:字符串
对应
Webhook URL。