Ops Manager를 위한 KMIP 백업 암호화 구성

MongoDB 엔터프라이즈 Kubernetes Operator는 더 이상 사용되지 않습니다. 향후 릴리스는 없을 예정입니다. 각 버전은 지원 정책에 따라 수명이 종료됩니다. 모든 기능은 Kubernetes Operator용MongoDB 컨트롤러에서 사용할 수 있습니다. 지속적인 지원 받으려면 Kubernetes Operator용 컨트롤러로 마이그레이션 하세요.

MongoDB Ops Manager 는 백업 작업을 암호화할 수 있습니다. Kubernetes Operator를 사용하여 MongoDB Ops Manager 에 대한KMIP 백업 암호화를구성할 수 있습니다. 자세한 내용은 암호화된 백업 스냅샷을 참조하세요.

제한 사항

동일한 Kubernetes 연산자 인스턴스가 MongoDBOpsManager 와 MongoDB 사용자 지정 리소스를 모두 관리하지 않는 배포의 경우, MongoDBOpsManager 사용자 지정 리소스에서 KMIP 백업 암호화 클라이언트 설정을 수동으로 구성해야 합니다. 이 요구 사항에는 각 MongoDB database에 대한 클라이언트 인증서를 포함하는 작업이 포함되며, 이는 인증서를 마운트하도록 Ops Manager Pod의 StatefulSet를 재정의하여 달성할 수 있습니다. 자세한 내용은 KMIP 백업 암호화 수동 구성을 참조하세요.

절차

CA의 ConfigMap을 만듭니다.

다음 명령을 실행합니다:

kubectl -n mongodb create configmap mongodb-kmip-certificate-authority-pem --from-file=ca-pem

MongoDB Ops Manager KMIP 백업 암호화 를 사용하도록 MongoDB Ops Manager 사용자 지정 리소스 를 구성합니다.

spec.backup.encryption.kmip 설정을 구성합니다.

1   apiVersion: mongodb.com/v1
2   kind: MongoDBOpsManager
3   metadata:
4     name: om-backup-kmip
5   spec:
6     replicas: 1
7     version: 8.0.0
8     adminCredentials: ops-manager-admin-secret
9     backup:
10       encryption:
11         kmip:
12           server:
13             url: kmip.corp.mongodb.com:5696
14             ca: mongodb-kmip-certificate-authority-pem

Ops Manager 구성 파일을 저장합니다.

Ops Manager 배포에 변경 사항을 적용합니다.

Ops Manager 리소스 정의의 파일 이름에 대해 다음 kubectl 명령을 호출합니다.

kubectl apply -f <opsmgr-resource>.yaml

Ops Manager 리소스의 상태를 확인합니다.

다음 명령을 실행합니다:

kubectl get om <resource-name> -o yaml -w

클라이언트 인증서 및 비공개 키의 시크릿 를 생성합니다.

다음 명령을 실행합니다:

kubectl -n mongodb create secret tls mongodb-kmip-client-pem-my-replica-set-client-kmip \
--cert=<path-to-cert-file> \
--key=<path-to-key-file>

클라이언트 인증서 비밀 이름에는 MongoDB CustomResourceDefinition 에서 추론된 다음과 같은 명명 규칙이 있습니다. :

<clientCertificatePrefix>-<objectMeta.name>-client-kmip

`clientCertificatePrefix`	CustomResourceDefinition 의 `spec.backup.encryption.kmip.client.clientCertificatePrefix` 필드에 지정된 사람이 읽을 수 있는 `MongoDB` 레이블입니다. .
`objectMeta.name`	CustomResourceDefinition 의 `metadata.name` 필드에 지정된 사람이 읽을 수 있는 `MongoDB` 레이블입니다. .
`client-kmip`	Kubernetes 연산자가 가정하는 고정 접미사.

자세한 내용은 kubernetes.io/tls를 참조하세요.

MongoDB database 데이터베이스 배포를 구성합니다.

spec.backup.encryption.kmip 설정을 구성합니다.

1   apiVersion: mongodb.com/v1
2   kind: MongoDB
3   metadata:
4     name: my-replica-set
5   spec:
6     members: 3
7     version: 8.0.0
8     type: ReplicaSet
9     backup:
10       encryption:
11         kmip:
12           client:
13             clientCertificatePrefix: mongodb-kmip-client-pem

자세한 내용 복제본 세트 배포 또는 샤드 cluster 배포를 참조하세요.

MongoDB database 배포 구성 파일을 저장합니다.

MongoDB database 데이터베이스 배포에 변경 사항을 적용합니다.

Ops Manager 리소스 정의의 파일 이름에 대해 다음 kubectl 명령을 호출합니다.

kubectl apply -f <mdb-database-deployment>.yaml

MongoDB database 데이터베이스 배포 상태를 확인합니다.

다음 명령을 실행합니다:

kubectl get mdb <resource-name> -o yaml -w

돌아가기

쿼리 가능 백업 구성

파일 시스템 백업 구성

1	apiVersion: mongodb.com/v1
2	kind: MongoDBOpsManager
3	metadata:
4	name: om-backup-kmip
5	spec:
6	replicas: 1
7	version: 8.0.0
8	adminCredentials: ops-manager-admin-secret
9	backup:
10	encryption:
11	kmip:
12	server:
13	url: kmip.corp.mongodb.com:5696
14	ca: mongodb-kmip-certificate-authority-pem

1	apiVersion: mongodb.com/v1
2	kind: MongoDB
3	metadata:
4	name: my-replica-set
5	spec:
6	members: 3
7	version: 8.0.0
8	type: ReplicaSet
9	backup:
10	encryption:
11	kmip:
12	client:
13	clientCertificatePrefix: mongodb-kmip-client-pem

제한 사항

절차

CA의 ConfigMap을 만듭니다.

MongoDB Ops Manager KMIP 백업 암호화 를 사용하도록 MongoDB Ops Manager 사용자 지정 리소스 를 구성합니다.

Ops Manager 구성 파일을 저장합니다.

Ops Manager 배포에 변경 사항을 적용합니다.

Ops Manager 리소스의 상태를 확인합니다.

클라이언트 인증서 및 비공개 키의 시크릿 를 .leafygreen-ui-1ie5kuq{-webkit-flex-shrink:0;-ms-flex-negative:0;flex-shrink:0;position:relative;bottom:4px;left:-1px;height:12px;} 생성합니다.

MongoDB database 데이터베이스 배포를 구성합니다.

MongoDB database 배포 구성 파일을 저장합니다.

MongoDB database 데이터베이스 배포에 변경 사항을 적용합니다.

MongoDB database 데이터베이스 배포 상태를 확인합니다.

클라이언트 인증서 및 비공개 키의 시크릿 를 생성합니다.