El cifrado de instantáneas depende de qué
Versión de MongoDB compatible con su base de datos. Esta versión de compatibilidad de funciones abarca desde la versión actual hasta una versión anterior. Para MongoDB,4.4 la FCV puede ser... 4.2 o 4.4. Solo se pueden crear instantáneas cifradas desde clústeres cifrados.
Ops Manager no cifra las snapshots de copia de seguridad para clústeres que ejecutan MongoDB 4.2 o posterior porque solo se pueden crear snapshots cifradas a partir de clústeres cifrados.
Nota
Ops Manager ya no admite la creación de instantáneas de clúster desde implementaciones de bases de datos que utilizan cifrado de clave local. Si cifra una implementación de base de datos con cifrado de clave local, la instantánea falla. Para cifrar instantáneas, utilice Cifrado basado enKMIP con sus implementaciones de bases de datos.
Ops Manager crea instantáneas de las implementaciones copiando los bytes del disco desde el de un host storage.dbPath al almacén de instantáneas. Si habilita el cifrado en reposo de MongoDB para el host del que está realizando la copia de seguridad, los bytes que Ops Manager copia al almacén de instantáneas ya están cifrados. Ops Manager cifra los datos en la capa del motor de almacenamiento al escribirlos en el disco de un host.
Los componentes de Ops Manager no interactúan con el host KMIP al tomar instantáneas.
Importante
El Backup Daemon requiere una conexión al host KMIP para procesar una trabajo derestauración consultable de una copia de seguridad cifrada.
Requisitos previos
Un host que ejecuta un sistema de gestión de claves compatible con KMIP para generar y almacenar claves de cifrado.
Importante
Los clústeres deben usar servidores KMIP. Estos clústeres no admiten la administración local de claves mediante archivos.
Importante
Debe mantener todas las claves, incluso las claves rotadas, en el host KMIP.
Configurar la configuración del host KMIP para Ops Manager
Completa los campos de KMIP.
Actualice los siguientes campos de host KMIP en la KMIP Server Configuration sección:
Escriba el FQDN para el host KMIP. | |
Escriba el puerto en el que el host KMIP escucha las conexiones KMIP. El puerto KMIP 5696predeterminado es.. | |
Escriba la ruta absoluta del archivo de la autoridad de certificación en el host de Ops Manager. Debe ser el mismo archivo de la autoridad de certificación almacenado en el host de KMIP. |
Configure su proyecto para utilizar KMIP
Nota
Todas las implementaciones del proyecto utilizan el mismo archivo de certificado de cliente KMIP para autenticarse.
Completa los campos de KMIP.
KMIP client certificate path | Escriba la ruta absoluta del archivo del certificado de cliente en el host de Ops Manager. Ops Manager utiliza este certificado para autenticarse en el servidor KMIP. Un solo archivo puede contener tanto el certificado de CA como el del cliente. |
KMIP client certificate password | Opcional: Ingrese solo si el certificado KMIP client certificate path especificado en está encriptado. |
Cifrar su trabajo de respaldo
Solo se pueden crear instantáneas cifradas desde clústeres cifrados. Si habilita el cifrado en reposo de MongoDB para el host del que está realizando una copia de seguridad, los bytes que Ops Manager copia al almacén de instantáneas ya estarán cifrados.