Verificar firmas de MongoDB

Esta versión de la documentación está archivada y ya no se admite, y el operador de Kubernetes de MongoDB Enterprise está obsoleto. El nuevo El Operador de Controladores para Kubernetes de MongoDB reemplaza al Operador de Kubernetes Empresarial de MongoDB. La primera versión del Operador de Controladores para Kubernetes es funcionalmente equivalente a la última versión del Operador de Kubernetes Empresarial,1.33 v. Para obtener más información sobre este cambio y orientación sobre la migración al nuevo Operador, consulte las notas de la versión de la primera versión. No habrá futuras versiones del Operador de Kubernetes Empresarial de MongoDB. Cada versión alcanzará el final de su vida útil según el plazo de un año vigente. Política de soporte. Migre al operador de controladores para Kubernetes para obtener soporte continuo.

Puede exigir que el Agente de MongoDB verifique el archivo de firma después de descargar el binario de MongoDB habilitando una opción en la Especificación de Recursos de Ops Manager. Una vez habilitada la verificación de firma, el Agente de MongoDB requiere archivos de firma para todas las implementaciones de MongoDB que administra su instancia de Ops Manager. Puede habilitar la verificación de firma para implementaciones locales o remotas.

Requisitos previos

Su servidor Ops Manager debe ejecutarse en HTTPS para que el Agente de MongoDB descargue los archivos de firma. Para obtener más información,consulte Configurar Ops Manager para que se ejecute mediante HTTPS.

Procedimiento

En la Especificación de recursos de Ops Manager, agregue spec.configuration.mms.featureFlag.automation.verifyDownloadsy se establece enabled en. Por ejemplo:

spec:
  configuration:
    mms.featureFlag.automation.verifyDownloads=enabled

Nota

Una vez que se habilite la verificación de firmas, el MongoDB Agent requiere archivos de firmas para todos los binarios de MongoDB que descarga.

Asegúrese de que el agente de MongoDB pueda localizar el binario de MongoDB y su archivo de firma (.sig) desde el mismo directorio, cuya ubicación depende de si su implementación es local o remota.

Si su instancia de Ops Manager puede acceder a Internet o a un servidor HTTPS personalizado y descarga el binario de MongoDB de las fuentes oficiales, el Agente de MongoDB descarga automáticamente el archivo de firma junto con el binario de MongoDB.

Si no descarga el binario de MongoDB de las fuentes oficiales, configure su servidor HTTPS para ubicar el binario de MongoDB y su archivo de firma desde el mismo enlace.

Si su instancia de Ops Manager no puede acceder a Internet, el binario de MongoDB y su archivo de firma se almacenan en /mongodb-ops-manager/mongodb-releases/ de forma predeterminada. Asegúrese de que el archivo de firma tenga el mismo nombre que el binario de MongoDB y que ambos se encuentren en el mismo directorio. Por ejemplo:

/mongodb-ops-manager/mongodb-releases/mongodb-linux-x86_64-rhel80-4.2.8.tgz.sig
/mongodb-ops-manager/mongodb-releases/mongodb-linux-x86_64-rhel80-4.2.8.tgz

Guarde y aplique la especificación de recursos de Ops Manager.

kubectl apply -f <my-ops-manager-resource-specification>.yaml

Después de aplicar la especificación de recursos de Ops Manager, el agente MongoDB realiza un reinicio continuo en los nodos del clúster, conciliando los cambios.

Volver

Verificar permisos

Utilice Gatekeeper OPA