安装和配置 CSFLE 查询分析组件
MongoDB使用自动加密共享库(推荐)或 mongocryptd 可执行进程将查询转换为加密查询,并加密或解密数据。
开始之前
To use CSFLE with automatic encryption, you must first choose the query analysis component you want MongoDB to use to encrypt the fields.
crypt_shared ,推荐的 CSFLE 库。
mongocryptd ,包含在MongoDB Enterprise Server 安装中。
两者都需要 libmongocrypt 库。有关更多信息,请参阅为 CSFLE 安装 libmongocrypt。
自动加密共享库
自动加密共享库是一个动态库,使您的客户端应用程序能够执行自动加密。 动态库是应用程序在运行时而不是编译时访问的一设立功能。 自动加密共享库执行以下任务:
读取加密模式以确定要加密或解密的字段
防止应用程序对加密字段执行不支持的操作
自动加密共享库不 执行任何以下操作:
进行数据加密或解密
访问加密密钥材料
在网络上侦听数据
自动加密共享库是 mongocryptd 的首选替代方案,并且不要求您生成另一个进程以执行自动加密。
注意
虽然我们建议使用自动加密共享库,但仍支持 mongocryptd。
要了解有关自动加密的更多信息,请参阅功能。
mongocryptd
mongocryptd 与 MongoDB Enterprise Server 一起安装。
当您创建启用了 CSFLE 的 MongoDB 客户端时,默认情况下会自动启动mongocryptd进程。
mongocryptd 进程:
使用指定的自动加密规则对读写操作中的字段进行标记,以便加密。
防止在加密字段上执行不支持的操作。
分析为数据库连接指定的加密模式。自动加密规则使用严格的 JSON Schema 语法子集。如果规则包含无效的自动加密语法或任何
schema validation语法,mongocryptd将返回错误。
mongocryptd只执行前面的功能,不执行以下任何操作:
mongocryptd不执行加密或解密mongocryptd不会访问权限任何加密密钥材料mongocryptd不侦听网络
为了执行字段加密和自动解密,驱动程序使用 Apache 许可的 libmongocrypt 库。
官方MongoDB驱动程序需要访问权限客户端托管上的 mongocryptd进程。这些客户端默认在系统 PATH 中搜索mongocryptd进程。
步骤
下载自动加密共享库
从 MongoDB 下载中心下载自动加密共享库,方法是先选择版本和平台,然后选择库:
在Version下拉列表中,选择标记为“当前”的版本。
在 Platform 下拉列表中,选择您的平台。
在 Package 下拉菜单中,选择
crypt_shared。单击 Download(连接)。
提示
要查看可用版本和软件包的扩展列表,请参阅MongoDB Enterprise 下载。
配置自动加密共享库
您可以通过以下参数,配置驱动程序搜索自动加密共享库的方式:
名称 | 说明 |
|---|---|
| 指定自动加密共享库包 默认: |
| 指定驾驶员是否必须使用自动加密共享库。 如果为
默认: |
要查看说明如何配置这些参数的示例,请参阅快速入门。
安装 mongocryptd
对于支持的Linux操作系统:要安装MongoDB Server包,请按照在Linux上安装教程并安装 mongodb-enterprise 服务器包。 或者,指定mongodb-enterprise-cryptd以仅安装mongocryptd二进制文件。 包管理器将二进制文件安装到系统 PATH 中的某个位置。
对于 OSX:要安装MongoDB Server包,请按照MacOS 上的安装教程进行操作。 包管理器将二进制文件安装到系统 PATH 中的某个位置。
对于Windows :要安装MongoDB Server包,请按照在Windows上安装教程进行操作。 安装后,您必须将mongocryptd包添加到系统路径中。 按照 Windows 安装记录的最佳实践将mongocryptd二进制文件添加到系统 PATH。
要从官方 tarball/ZIP 存档安装:要从官方存档安装,请遵循适用于您的操作系统的最佳实践,将mongocryptd二进制文件添加到系统路径。
配置 mongocryptd
如果驱动程序有权访问 mongocryptd 进程,则默认情况下会生成该进程。
重要
引导时启动
如果可能的话,在启动时启动 mongocryptd,而不是按需启动。
通过以下参数配置驱动程序启动 mongocryptd 的方式:
名称 | 说明 |
|---|---|
端口 | The port from which mongocryptd listens for messages.Default: 27020 |
idleShutdownTimeoutSecs | Number of idle seconds the mongocryptd process waits
before exiting.Default: 60 |
mongocryptdURI | The URI on which to run the mongocryptd process.Default: "mongodb://localhost:27020" |
mongocryptdBypassSpawn | When true, prevents the driver from automatically
spawning mongocryptd.Default: false |
mongocryptdSpawnPath | The full path to mongocryptd.Default: Defaults to empty string and spawns from the system
path. |
如果 mongocryptd 进程已在驱动程序指定的端口上运行,则驱动程序可能会记录警告,并在不生成新进程的情况下继续运行。驱动程序指定的任何设置仅在现有进程退出并且新的加密客户端尝试连接时才适用。
例子
要查看如何配置 mongocryptd 进程的示例,请单击与应用程序中使用的驱动程序对应的标签页:
以下代码片段设置 mongocryptd 的监听端口配置:
var extraOptions = new Dictionary<string, object>() { { "mongocryptdSpawnArgs", new [] { "--port=30000" } }, }; autoEncryptionOptions.With(extraOptions: extraOptions);
以下代码片段设置 mongocryptd 的默认超时配置:
var extraOptions = new Dictionary<string, object>() { { "idleShutdownTimeoutSecs", 60 }, }; autoEncryptionOptions.With(extraOptions: extraOptions);
以下代码片段设置 mongocryptd 的监听端口配置:
extraOptions := map[string]interface{}{ "mongocryptdSpawnArgs": []string{ "--port=30000", }, }
以下代码片段设置 mongocryptd 的默认超时配置:
extraOptions := map[string]interface{}{ "mongocryptdSpawnArgs": []string{ "--idleShutdownTimeoutSecs=75", }, }
以下代码片段设置 mongocryptd 的监听端口配置:
List<String> spawnArgs = new ArrayList<String>(); spawnArgs.add("--port=30000"); Map<String, Object> extraOpts = new HashMap<String, Object>(); extraOpts.put("mongocryptdSpawnArgs", spawnArgs); AutoEncryptionSettings autoEncryptionSettings = AutoEncryptionSettings.builder() ... .extraOptions(extraOpts);
以下代码片段设置 mongocryptd 的默认超时配置:
List<String> spawnArgs = new ArrayList<String>(); spawnArgs.add("--idleShutdownTimeoutSecs") .add("60"); Map<String, Object> extraOpts = new HashMap<String, Object>(); extraOpts.put("mongocryptdSpawnArgs", spawnArgs); AutoEncryptionSettings autoEncryptionSettings = AutoEncryptionSettings.builder() ... .extraOptions(extraOpts);
以下代码片段设置 mongocryptd 的监听端口配置:
autoEncryption: { ... extraOptions: { mongocryptdSpawnArgs: ["--port", "30000"], mongocryptdURI: 'mongodb://localhost:30000', }
注意
在 NodeJS 驱动程序中,mongocryptdURI 必须与侦听端口匹配。
以下代码片段设置 mongocryptd 的默认超时配置:
autoEncryption: { ... extraOptions: { mongocryptdSpawnArgs: ["--idleShutdownTimeoutSecs", "75"] }
以下代码片段设置 mongocryptd 的监听端口配置:
auto_encryption_opts = AutoEncryptionOpts(mongocryptd_spawn_args=['--port=30000'])
以下代码片段设置 mongocryptd 的默认超时配置:
auto_encryption_opts = AutoEncryptionOpts(mongocryptd_spawn_args=['--idleShutdownTimeoutSecs=75'])