配置 MongoDB 助手以使用 TLS
Ops Manager 使用 TLS加密 MongoDB Agent 与以下对象之间的连接:
MongoDB 实例。
Ops Manager。
先决条件
要将 MongoDB Agent 配置为使用TLS ,您必须:
拥有对 MongoDB 实例证书进行签名的受信任证书颁发机构证书。
确保所有TLS证书都包含主题备用名称字段。
步骤
配置 MongoDB Agent 和 MongoDB 实例之间的连接
要将 TLS MongoDB Agent用于 与MongoDB 部署的连接,请在 添加部署 或 编辑部署的 设置时指定部署的 TLS 设置。
注意
如果您使用自动化进行部署,则 Ops Manager 可以托管TLS 。通过自动化,Ops Manager 会在您启用TLS时提示您输入用于连接到部署的证书,然后相应地配置代理。要了解如何配置TLS ,请参阅为部署启用 TLS。
配置 MongoDB Agent 和 Ops Manager 之间的连接
要确保 MongoDB Agent 在连接到 Ops Manager 时使用TLS ,请将 Ops Manager 配置为对所有连接使用TLS 。配置与 Ops Manager 的 TLS 连接教程介绍了如何设置 Ops Manager 以通过TLS运行。
默认,MongoDB Agent 验证 Ops Manager TLS证书。
如果受信任的第三方没有签署您的证书,您必须将 MongoDB Agent 配置为信任 Ops Manager。
要为 MongoDB 助手应信任的 Ops Manager 自签名证书,请执行以下操作:
将证书文件安装到 Ops Manager 配置目录。
将TLS证书复制到 Ops Manager 配置目录:
MongoDB Agent配置目录的位置是 C:\MMSData\Automation\。
注意
MongoDB Agent 配置目录名为Automation ,以简化使用旧版代理的升级过程。
MongoDB Agent 配置文件的位置是 /etc/mongodb-mms/。
MongoDB Agent 配置文件的位置是 /etc/mongodb-mms/。
MongoDB Agent 配置文件的位置是 /path/to/install/。
然后,设立mongodb系统用户设置为TLS证书的所有者。 授予该用户对证书的读取和写入权限。
例子
对于 Linux 操作系统,使用以下命令设置所有权和权限:
sudo cp -a mms-ssl-unified.pem /etc/mongodb-mms/ sudo chown mongod:mongod /etc/mongodb-mms/mms-ssl-unified.pem sudo chmod 600 /etc/mongodb-mms/mms-ssl-unified.pem
然后,设立mongod系统用户设置为TLS证书的所有者。 授予该用户对证书的读取和写入权限。
例子
对于 Linux 操作系统,使用以下命令设置所有权和权限:
sudo cp -a mms-ssl-unified.pem /etc/mongodb-mms/ sudo chown mongod:mongod /etc/mongodb-mms/mms-ssl-unified.pem sudo chmod 600 /etc/mongodb-mms/mms-ssl-unified.pem
然后,设立系统用户( MongoDB Agent的用户用户名)设置为TLS证书的所有者。 授予该用户对证书的读取和写入权限。
例子
对于 Linux 操作系统,使用以下命令设置所有权和权限:
sudo cp -a mms-ssl-unified.pem /etc/mongodb-mms/ sudo chown mongod:mongod /etc/mongodb-mms/mms-ssl-unified.pem sudo chmod 600 /etc/mongodb-mms/mms-ssl-unified.pem
编辑配置文件中的以下参数。
MongoDB Agent 配置文件的位置是 C:\MMSData\Automation\automation-agent.config。
注意
MongoDB 助手配置文件命名为 automation-agent.config,以便使用传统代理的用户更容易升级。
MongoDB Agent 配置文件的位置是 /etc/mongodb-mms/automation-agent.config。
注意
MongoDB 助手配置文件命名为 automation-agent.config,以便使用传统代理的用户更容易升级。
MongoDB Agent 配置文件的位置是 /etc/mongodb-mms/automation-agent.config。
注意
MongoDB 助手配置文件命名为 automation-agent.config,以便使用传统代理的用户更容易升级。
MongoDB Agent 配置文件的位置是 /path/to/install/local.config。
例子
以下设置将httpsCAFile文件指定为/etc/mongodb-mms/mms-ssl-unified.pem 。
如果不希望 Ops Manager 验证SSL证书,请将Client Certificate Mode设置为 None 。