/ /

Seguridad

Docs Home

Gestión

Operador de Kubernetes (obsoleto)

Seguridad

Docs Home

Gestión

Operador de Kubernetes (obsoleto)

Seguridad

Verificar firmas de MongoDB

El operador de Kubernetes de MongoDB Enterprise está obsoleto. El nuevo Controladores MongoDB para Kubernetes operador sustituye al MongoDB Enterprise Kubernetes operador. La primera versión de los Controladores para Kubernetes operador es funcionalmente equivalente a la v1.33 de MongoDB Enterprise Kubernetes Operator. Para obtener más información sobre este cambio y una orientación sobre cómo migrar al nuevo operador, consulta las notas de la versión para la primera nueva versión. No habrá futuras versiones de MongoDB Enterprise Kubernetes Operator. Cada versión llegará al final de su vida útil según el plan vigente de un año. política de soporte. Por favor, migre a los Controladores para Kubernetes operador para obtener soporte continuo.

Puedes exigir que el MongoDB Agent verifique el archivo de firma después de descargar el archivo binario de MongoDB habilitando una configuración en la Especificación de recursos de Ops Manager. Una vez que habilitas la verificación de firmas, MongoDB Agent requiere archivos de firma para todas las implementaciones de MongoDB que la instancia de Ops Manager gestiona. Puedes habilitar la verificación de firmas para implementaciones locales o remotas.

Requisitos previos

Su servidor Ops Manager debe ejecutarse en HTTPS para que el MongoDB Agent descargue los archivos de firmas. Para obtener más información, consulta Configurar Ops Manager para ejecutarse sobre HTTPS.

Procedimiento

En la especificación de recursos de Ops Manager, añade spec.configuration.mms.featureFlag.automation.verifyDownloads y se establece en enabled. Por ejemplo:

spec:
  configuration:
    mms.featureFlag.automation.verifyDownloads=enabled

Nota

Una vez que se habilite la verificación de firmas, el MongoDB Agent requiere archivos de firmas para todos los binarios de MongoDB que descarga.

Asegura que MongoDB Agent pueda localizar el binario de MongoDB y su archivo de firma (.sig) en el mismo directorio. La ubicación depende de si tu implementación es local o remoto.

Si su instancia de Ops Manager puede acceder a Internet o a un servidor HTTPS personalizado y descarga el binario de MongoDB de las fuentes oficiales, el Agente de MongoDB descarga automáticamente el archivo de firma junto con el binario de MongoDB.

Si no descarga el binario de MongoDB de las fuentes oficiales, configure su servidor HTTPS para ubicar el binario de MongoDB y su archivo de firma desde el mismo enlace.

Si su instancia de Ops Manager no puede acceder a Internet, el binario de MongoDB y su archivo de firma se almacenan en /mongodb-ops-manager/mongodb-releases/ por defecto. Asegúrese de que el archivo de firma tenga el mismo nombre que el binario de MongoDB y ambos estén en el mismo directorio. Por ejemplo:

/mongodb-ops-manager/mongodb-releases/mongodb-linux-x86_64-rhel80-8.0.0.tgz.sig
/mongodb-ops-manager/mongodb-releases/mongodb-linux-x86_64-rhel80-8.0.0.tgz

Guarda y aplica la Especificación de recursos de Ops Manager.

kubectl apply -f <my-ops-manager-resource-specification>.yaml

Después de aplicar la especificación de recursos de Ops Manager, el agente MongoDB realiza un reinicio continuo en los nodos del clúster, conciliando los cambios.

Volver

Verificar permisos

Utilice Gatekeeper OPA