加密备份快照
快照加密取决于数据库兼容的MongoDB 版本。 此特征兼容性版本的范围为从当前版本到前一个版本。 对于MongoDB 4.2 , FCV可以是 4.0或4.2 。 您只能从加密集群创建加密快照。
MongoDB Ops Manager可以加密其存储在快照存储中的任何备份作业。 快照必须来自运行MongoDB Enterprise 4.2或更高版本的数据库:
FCV为4.2或更高,并且
WiredTiger storage engine 。
警告
MongoDB Ops Manager不支持从本地密钥加密过渡到基于 KMIP服务器的加密。
注意
MongoDB Ops Manager不再支持从使用本地密钥加密的数据库部署创建集群快照。 如果使用本地密钥加密对数据库部署进行加密,则快照将失败。 要加密快照,请在数据库部署中使用基于KMIP的加密。
要加密备份,请使用符合KMIP的密钥管理设备生成和维护的主密钥。 此主密钥用于加密数据库的密钥。
通过将磁盘上的字节从主机的MongoDB Ops Manager 复制到快照存储来创建 4.2storage.dbPath或更高版本部署的 FCV 快照。如果为要备份的托管启用MongoDB加密,则MongoDB Ops Manager复制到快照存储的字节已经加密。 当您写入主机磁盘时, MongoDB Ops Manager会在存储引擎层对数据进行加密。
对于 4.2 或更高版本部署的FCV , MongoDB Ops Manager组件在拍摄快照时不会与KMIP托管交互。
MongoDB Ops Manager支持对存储在运行具有存储引擎的MongoDB Enterprise 3.4 或更高版本的WiredTiger头部数据库中的任何备份作业进行加密。
警告
MongoDB Ops Manager不支持从本地密钥加密过渡到基于KMIP服务器的加密。
要加密备份,可使用由KMIP兼容密钥管理设备生成和维护的主密钥。 该主密钥可对头部数据库进行加密。 当备份守护程序从头部数据库创建快照时,加密的头部数据库生成的快照本身也会加密。
要从加密备份进行恢复,您需要用于加密备份的相同主密钥,以及与备份守护程序托管上相同的证书或从KMIP托管使用该密钥配置的新证书。 这对应于KMIP客户端证书路径字段中的值。
先决条件
运行KMIP兼容密钥管理以生成和存储加密密钥的主机。
重要
运行MongoDB FCV 4.2或更高版本的集群必须使用KMIP服务器。 这些集群不支持使用文件进行本地密钥管理。
头部数据库 使用带有WiredTiger 存储引擎 的 MongoDB Enterprise 或更高版本。3.4
有效的KMIP客户端证书和KMIP托管证书颁发机构文件。 这些文件用于在MongoDB Ops Manager KMIP 托管上对 进行身份验证。备份守护程序托管上的客户端证书必须有权访问权限KMIP托管中的所有密钥。
重要
您必须维护KMIP主机中的所有密钥,甚至包括轮换密钥。
为 Ops Manager 设置 KMIP 主机配置
配置项目以使用 KMIP
注意
项目中的所有部署都使用相同的KMIP客户端证书文件进行身份验证。
加密备份作业
重要
对于项目中的现有备份,启用加密需要初始备份同步,以重新创建备份的头部数据库。
在Start Backup 侧边栏中,配置备份源和存储引擎。
Menu | Possible Values | 默认值 |
|---|---|---|
Sync source |
|
首选使用从节点,因为它可以最大限度地减少对主节点的性能影响。 |
Storage Engine |
请参阅存储引擎中的注意事项。 | 与正在备份的数据库的主节点 (primary node in the replica set)节点使用相同的存储引擎。 |
如果存储引擎为WiredTiger ,则可以启用加密。 要启用加密,请选择Enable Encryption 。 仅当您已为备份设立KMIP服务器并将项目配置为使用 KMIP 时才选择。
要过滤要备份的命名空间,请单击Advanced Settings 。
要从此备份中排除数据库和集合,请执行以下操作:
单击 Blacklist(连接)。
在文本框中输入第一个数据库和集合。 对于集合,请输入完整的命名空间:
<database>.<collection>。要排除其他数据库或集合,请单击Add another链接,然后重复上一步。
要为此备份仅包含某些数据库和集合:
单击 Access List(连接)。
在文本框中输入第一个数据库和集合。 对于集合,请输入完整的命名空间:
<database>.<collection>。要包括其他数据库或集合,请单击Add another链接,然后重复上一步。