Configurar el cifrado de copia de seguridad de KMIP para Ops Manager

Esta versión de la documentación está archivada y ya no se admite, y el operador de Kubernetes de MongoDB Enterprise está obsoleto. El nuevo El Operador de Controladores para Kubernetes de MongoDB reemplaza al Operador de Kubernetes Empresarial de MongoDB. La primera versión del Operador de Controladores para Kubernetes es funcionalmente equivalente a la última versión del Operador de Kubernetes Empresarial,1.33 v. Para obtener más información sobre este cambio y orientación sobre la migración al nuevo Operador, consulte las notas de la versión de la primera versión. No habrá futuras versiones del Operador de Kubernetes Empresarial de MongoDB. Cada versión alcanzará el final de su vida útil según el plazo de un año vigente. Política de soporte. Migre al operador de controladores para Kubernetes para obtener soporte continuo.

Ops Manager puede cifrar las tareas de copia de seguridad. Puede usar el operador de Kubernetes para configurar Cifrado de copias de seguridadKMIP para Ops Manager. Para obtener más información, consulte Instantáneas de copias de seguridad cifradas.

Limitaciones

Para las implementaciones donde la misma instancia de Kubernetes Operator no administra los recursos personalizados MongoDBOpsManager y MongoDB, debe configurar manualmente los ajustes del cliente de cifrado de copias de seguridad de KMIP en el recurso personalizado MongoDBOpsManager. Este requisito implica incluir certificados de cliente para cada base de datos MongoDB, lo cual puede lograrse anulando el StatefulSet del pod de Ops Manager para montar los certificados. Para obtener más información, consulte Configurar manualmente el cifrado de copias de seguridad de KMIP.

Procedimiento

Crea el ConfigMap de la CA.

Ejecuta el siguiente comando:

kubectl -n mongodb create configmap mongodb-kmip-certificate-authority-pem --from-file=ca-pem

Configure el recurso personalizado de Ops Manager para utilizar el cifrado de respaldo KMIP.

Configurar el spec.backup.encryption.kmip ajustes.

1   apiVersion: mongodb.com/v1
2   kind: MongoDBOpsManager
3   metadata:
4     name: om-backup-kmip
5   spec:
6     replicas: 1
7     version: 6.0.0
8     adminCredentials: ops-manager-admin-secret
9     backup:
10       encryption:
11         kmip:
12           server:
13             url: kmip.corp.mongodb.com:5696
14             ca: mongodb-kmip-certificate-authority-pem

Guarde el archivo de configuración de Ops Manager.

Aplicar cambios a su implementación de Ops Manager.

Invoque el siguiente comando kubectl en el nombre de archivo de la definición de recurso de Ops Manager:

kubectl apply -f <opsmgr-resource>.yaml

Verifique el estado de sus recursos de Ops Manager.

Ejecuta el siguiente comando:

kubectl get om <resource-name> -o yaml -w

Crea el secreto del certificado del cliente y de la clave privada.

Ejecuta el siguiente comando:

kubectl -n mongodb create secret tls mongodb-kmip-client-pem-my-replica-set-kmip-client \
--cert=<path-to-cert-file> \
--key=<path-to-key-file>

El nombre secreto del certificado de cliente tiene la siguiente convención de nomenclatura inferida de MongoDB CustomResourceDefinition:

<clientCertificatePrefix>-<objectMeta.name>-kmip-client

`clientCertificatePrefix`	Etiqueta legible por humanos especificada en el campo `spec.backup.encryption.kmip.client.clientCertificatePrefix` de `MongoDB` CustomResourceDefinition.
`objectMeta.name`	Etiqueta legible por humanos especificada en el campo `metadata.name` de `MongoDB` CustomResourceDefinition.
`kmip-client`	Sufijo fijo que asume el operador de Kubernetes.

Para obtener más información, consulte kubernetes.io/tls.

Configure su implementación de base de datos MongoDB.

Configure los spec.backup.encryption.kmip ajustes.

1   apiVersion: mongodb.com/v1
2   kind: MongoDB
3   metadata:
4     name: my-replica-set
5   spec:
6     members: 3
7     version: 4.0.20
8     type: ReplicaSet
9     backup:
10       encryption:
11         kmip:
12           client:
13             clientCertificatePrefix: mongodb-kmip-client-pem

Para obtener más información, consulte implementar un conjunto de réplicaso implementar un clúster fragmentado.

Guarde el archivo de configuración de implementación de la base de datos MongoDB.

Aplicar cambios a tu implementación de la base de datos MongoDB.

Invoque el siguiente comando kubectl en el nombre de archivo de la definición de recurso de Ops Manager:

kubectl apply -f <mdb-database-deployment>.yaml

Verifique el estado de la implementación de su base de datos MongoDB.

Ejecuta el siguiente comando:

kubectl get mdb <resource-name> -o yaml -w

Volver

Configurar copias de seguridad consultables

Configurar la copia de seguridad del sistema de archivos

1	apiVersion: mongodb.com/v1
2	kind: MongoDBOpsManager
3	metadata:
4	name: om-backup-kmip
5	spec:
6	replicas: 1
7	version: 6.0.0
8	adminCredentials: ops-manager-admin-secret
9	backup:
10	encryption:
11	kmip:
12	server:
13	url: kmip.corp.mongodb.com:5696
14	ca: mongodb-kmip-certificate-authority-pem

1	apiVersion: mongodb.com/v1
2	kind: MongoDB
3	metadata:
4	name: my-replica-set
5	spec:
6	members: 3
7	version: 4.0.20
8	type: ReplicaSet
9	backup:
10	encryption:
11	kmip:
12	client:
13	clientCertificatePrefix: mongodb-kmip-client-pem

Limitaciones

Procedimiento

Crea el ConfigMap de la CA.

Configure el recurso personalizado de Ops Manager para utilizar el cifrado de respaldo KMIP.

Guarde el archivo de configuración de Ops Manager.

Aplicar cambios a su implementación de Ops Manager.

Verifique el estado de sus recursos de Ops Manager.

Crea el secreto.leafygreen-ui-1ie5kuq{-webkit-flex-shrink:0;-ms-flex-negative:0;flex-shrink:0;position:relative;bottom:4px;left:-1px;height:12px;} del certificado del cliente y de la clave privada.

Configure su implementación de base de datos MongoDB.

Guarde el archivo de configuración de implementación de la base de datos MongoDB.

Aplicar cambios a tu implementación de la base de datos MongoDB.

Verifique el estado de la implementación de su base de datos MongoDB.

Crea el secreto del certificado del cliente y de la clave privada.