Ops Manager puede cifrar las tareas de copia de seguridad. Puede usar el operador de Kubernetes para configurar Cifrado de copias de seguridadKMIP para Ops Manager. Para obtener más información, consulte Instantáneas de copias de seguridad cifradas.
Limitaciones
Para las implementaciones en las que la misma instancia de operador de Kubernetes no administra ambas ParaMongoDBOpsManager y los recursos personalizados de MongoDB, debe configurar manualmente los ajustes del cliente de cifrado de copias de seguridad de KMIP en el recurso personalizado MongoDBOpsManager. Este requisito implica incluir certificados de cliente para cada base de datos MongoDB, lo cual puede lograrse anulando el StatefulSet del pod de Ops Manager para montar los certificados. Para obtener más información, consulte Configurar manualmente el cifrado de copias de seguridad de KMIP.
Procedimiento
Configure el recurso personalizado de Ops Manager para utilizar el cifrado de respaldo KMIP.
Configurar el spec.backup.encryption.kmip ajustes.
1 apiVersion: mongodb.com/v1 2 kind: MongoDBOpsManager 3 metadata: 4 name: om-backup-kmip 5 spec: 6 replicas: 1 7 version: 8.0.0 8 adminCredentials: ops-manager-admin-secret 9 backup: 10 encryption: 11 kmip: 12 server: 13 url: kmip.corp.mongodb.com:5696 14 ca: mongodb-kmip-certificate-authority-pem
Crea el secreto del certificado del cliente y la clave privada.
Ejecuta el siguiente comando:
kubectl -n mongodb create secret tls mongodb-kmip-client-pem-my-replica-set-kmip-client \ --cert=<path-to-cert-file> \ --key=<path-to-key-file>
El nombre secreto del certificado de cliente tiene la siguiente convención de nomenclatura inferida de MongoDB CustomResourceDefinition:
<clientCertificatePrefix>-<objectMeta.name>-kmip-client
| Etiqueta legible por humanos especificada en el campo |
| Etiqueta legible por humanos especificada en el campo |
| Sufijo fijo que asume el operador de Kubernetes. |
Para obtener más información, consulte kubernetes.io/tls.
Configure su implementación de base de datos MongoDB.
Configure los spec.backup.encryption.kmip ajustes.
1 apiVersion: mongodb.com/v1 2 kind: MongoDB 3 metadata: 4 name: my-replica-set 5 spec: 6 members: 3 7 version: 8.0.0 8 type: ReplicaSet 9 backup: 10 encryption: 11 kmip: 12 client: 13 clientCertificatePrefix: mongodb-kmip-client-pem
Para obtener más información, consulte implementar un conjunto de réplicaso implementar un clúster fragmentado.