¿De qué depende el cifrado de snapshot?
Versión de MongoDB compatible con su base de datos. Esta versión de compatibilidad de funciones abarca desde la versión actual hasta una versión anterior. Para MongoDB,4.4 la FCV puede ser... 4.2 o 4.4. Sólo puedes crear instantáneas cifradas a partir de clústeres cifrados.
Ops Manager no cifra las snapshots de copia de seguridad para clústeres que ejecutan MongoDB 4.2 o posterior porque solo se pueden crear snapshots cifradas a partir de clústeres cifrados.
Nota
Ops Manager ya no admite la creación de snapshots de clúster a partir de implementaciones de bases de datos que utilizan cifrado de clave local. Si cifras una implementación de base de datos con cifrado de clave local, la snapshot falla. Para cifrar imágenes de disco, utilice Cifrado basado enKMIP con sus implementaciones de bases de datos.
Ops Manager crea snapshots de las implementaciones copiando los bytes en disco desde el storage.dbPath de un host al almacenamiento de snapshots. Si activas el cifrado en reposo de MongoDB para el host del que realizas copias de seguridad, los bytes que Ops Manager copia en el almacenamiento de snapshot ya están cifrados. Ops Manager encripta los datos en la capa del motor de almacenamiento cuando se escriben datos en el disco de un host.
Los componentes de Ops Manager no interactúan con el host KMIP al tomar instantáneas.
Importante
El daemon de copias de seguridad requiere una conexión al KMIP host para procesar un tarea de restauración consultable de una copia de seguridad cifrada.
Requisitos previos
Un host que ejecuta una gestión de claves compatible con KMIPpara generar y almacenar claves de cifrado.
Importante
Los clústeres deben usar servidores KMIP. Estos clústeres no admiten la gestión local de claves mediante archivos.
Importante
Debes mantener todas las claves, incluso las rotadas, en el host KMIP.
Configurar la configuración de host KMIP para Ops Manager
Completa los campos de KMIP.
Actualiza los siguientes campos de host KMIP en la sección KMIP Server Configuration:
Escriba el FQDN del host KMIP. | |
Escribe el puerto en el que el host de KMIP escucha las conexiones KMIP. El puerto KMIP por defecto es 5696. | |
Escriba la ruta absoluta del archivo de la autoridad de certificación en el host de Ops Manager. Debe ser el mismo archivo de la autoridad de certificación almacenado en el host de KMIP. |
Configura tu proyecto para usar KMIP
Nota
Todas las implementaciones en el proyecto utilizan el mismo archivo de certificado de cliente KMIP para autenticarse.
Completa los campos de KMIP.
KMIP client certificate path | Escriba la ruta absoluta del archivo de certificado del cliente en el host de Ops Manager. Ops Manager utiliza este certificado para autenticarse ante el servidor KMIP. Un solo archivo puede contener tanto el certificado de CA como el del cliente. |
KMIP client certificate password | Opcional Sólo ingrese si el certificado especificado en KMIP client certificate path está cifrado. |
Cifra tu tarea de copia de seguridad
Solo puedes crear snapshots cifrados a partir de clústeres cifrados. Si habilitas el cifrado en reposo de MongoDB para el host que estás respaldando, los bytes que Ops Manager copia en el almacenamiento de snapshot ya estarán cifrado.