Ops Manager proporciona Copias de seguridad consultables. Esta función permite consultar instantáneas de copias de seguridad específicas con mayor rapidez. Puede usar las copias de seguridad consultables para:
Restaura un subconjunto de datos dentro de la implementación de MongoDB.
Compare las versiones anteriores de los datos con los datos actuales.
Identificar el mejor punto en el tiempo para restaurar un sistema comparando los datos de varias snapshot.
Considerations
Instancia de solo lectura
Ops Manager aprovisiona estas instantáneas consultables como instancias de MongoDB de solo lectura. En concreto, Ops Manager crea un mongod con datos del almacén de instantáneas seleccionado.
Importante
De forma predeterminada, estas instancias están disponibles hasta 24 horas. Puedes configurar la duración usando
Expiration (Hours). Para otras configuraciones de copia de seguridad consultables, consulte Configuración de instantáneas consultables.
Restricciones de consulta en las instantáneas consultables
No se pueden realizar las siguientes operaciones en instantáneas consultables:
Consultas que requieren el uso de disco, como ejecutar la agregación con la
allowDiskUseopción para realizar operaciones de clasificación grandes.
No se pueden consultar instantáneas filtradas del espacio de nombres
Si aplicó filtros de espacio de nombres a una instantánea, no podrá consultar esa instantánea.
Si las instantáneas se comprimen en un almacén del sistema de archivos, no se puede consultar el contenido de las instantáneas.
Si quieres poder query snapshots en un almacenamiento de sistema de archivos, necesitas crear un nuevo almacenamiento de sistema de archivos con la compresión desactivada.
Métodos de conexión
Las conexiones con estas instancias han terminado. TLS/SSL y requiere autenticación x..509 Ops Manager proporciona:
Un ejecutable que crea un túnel que maneja la conexión, incluido el cliente TLS/SSL y la509 autenticación x..
Las solicitudes se enrutan a través del túnel. Este garantiza que la solicitud se comunique con la instancia correcta de Mongod.
Certificados x. si desea gestionar los509 detalles de conexión manualmente, incluida la 509 autenticación TLS/SSL y x..
Las solicitudes llegan a través del servidor web, que actúa como proxy para el mongod.
Copias de seguridad multirregionales
Si habilitó las copias de seguridad multirregionales, la copia de seguridad consultable se deshabilita a nivel de clúster para evitar la transferencia de datos entre regiones. Puede asociar miembros del clúster, como fragmentos y el servidor de configuración, a diferentes regiones de implementación. Esto permite que Ops Manager enrute todas las bqProxyEndpoint consultas a nivel de clúster a través del del servidor de configuración. Para habilitar las copias de seguridad consultables a nivel de clúster,mms.backup.enableClusterLevelMultiRegionQueryable configure como true en el /opt/mongodb/mms/conf/conf-mms.properties archivo. De forma predeterminada, el valor de esta configuración de la aplicación false es.
Nota
Consultar un fragmento o un servidor de configuración directamente no provoca ninguna transferencia de datos entre regiones.
Restaurar desde una copia de seguridad regional
Si habilita la copia de seguridad regional para su clúster fragmentado, debe iniciar trabajos de restauración consultables fragmento por fragmento para garantizar el aislamiento regional de los datos. Dado que las regiones de implementación se vinculan a fragmentos individuales en lugar de a clústeres fragmentados, al iniciar un trabajo de restauración a nivel de clúster fragmentado, Ops Manager no puede garantizar el aislamiento de los datos.
Requisitos previos
Importante
Utilice las últimas versiones de MongoDB Database Tools, que incluyen mongodump y. Utilice la última mongorestore versión mongosh de.
Las versiones anteriores de presentan un problema que puede provocar que las claves de las opciones de colección se volquen en el orden incorrecto. Para obtener más información,mongodump consulte 3411HERRAMIENTAS-.
Compatibilidad con instantáneas cifradas para el modo local
Puede consultar una instantánea cifrada usando el modo local de Ops Manager si ejecuta MongoDB Enterprise 4.2.9 o posterior.
Compatibilidad de la versión de MongoDB entre la snapshot y la base de datos de destino
Puede consultar instantáneas creadas a partir de conjuntos de réplicas o clústeres fragmentados con CSRS ejecutando MongoDB 3.2 o posterior.
Para que una copia de seguridad consultable se realice correctamente, la instancia de MongoDB que se va a restaurar debe ejecutar una versión compatible de MongoDB. La siguiente tabla muestra los requisitos de compatibilidad para cada tipo de implementación y versión de MongoDB.
Clústeres fragmentados
Datos de instantáneas Versión de MongoDB | Versión de MongoDB compatible con la base de datos de destino | Plataforma |
|---|---|---|
8.0.x | 8.0.x Enterprise o posterior | Any |
7.0.x | 7.0.x Enterprise o posterior | Any |
6.0.x | 6.0.0 Enterprise o posterior | Any |
5.0.x | 5.0.0 Enterprise o posterior | Any |
4.4.x | 4.4.0 Enterprise o posterior | Any |
Sets de réplicas
Datos de instantáneas Versión de MongoDB | Versión de MongoDB compatible con la base de datos de destino | Plataforma |
|---|---|---|
8.0.x | 8.0.x Enterprise o posterior | Any |
7.0.x | 7.0.0 Enterprise o posterior | Any |
6.0.x | 6.0.0 Enterprise o posterior | Any |
5.0.x | 5.0.0 Enterprise o posterior | Any |
4.4.x | 4.4.0 Enterprise o posterior | Any |
Autenticación y autorización
Importante
Una descripción completa de la seguridad de la capa de transporte, la infraestructura de clave pública, los certificadosX.509 y las autoridades de 509 certificación excede el alcance de este tutorial. Este tutorial presupone conocimientos previos de TLS y acceso a certificados X. válidos.
Ops Manager necesita un archivo PEM por separado para autenticar y autorizar el uso de respaldo consultable. Este archivo PEM:
Debe pertenecer al mismo usuario y grupo de la plataforma propietario del proceso Ops Manager. En Linux, el usuario y grupo
mongodb-mms:mongodb-mmsson propietarios de este archivo PEM. En Windows, utilice el usuarioSYSTEM.Debe ser legible únicamente por el usuario de la plataforma.
Debe guardarse en la misma ubicación en cada host de Ops Manager si su implementación utiliza alta disponibilidad.
Debe ser diferente al utilizado para las conexiones HTTPS a Ops Manager
HTTPS PEM Key File().Se debe usar una clave con una longitud mayor a 512bits. Se recomienda usar una clave RSA de 2048bits.
Se debe utilizar un resumen del mensaje más fuerte que
sha1, como por ejemplosha256.
Como mínimo, el archivo PEM consta de:
Un certificado de servidor/par de claves y
Un certificado de autoridad certificadora
Estos pares se fusionan para crear un archivo PEM que Queryable Backup puede usar. Los pares tienen los siguientes requisitos:
Certificado de autoridad certificadora
La autoridad de certificación debe firmar cualquier otro certificado y clave que se utilice en el archivo PEM. La autoridad de certificación puede ser una de las siguientes:
Una autoridad de certificación privada (autofirmada; recomendada para fines de prueba).
Un certificado de autoridad de certificación intermediade un proveedor de certificados.
Una autoridad de certificación emitida por el equipo de seguridad de su empresa.
Certificado de servidor / Par de claves
La autoridad certificadora que seleccionaste debe firmar este certificado de servidor.
La configuración del nombre común del par de claves/certificado del servidor depende de cuántos hosts utiliza su implementación de Ops Manager:
Para un solo host de Ops Manager, el nombre alternativo del sujeto (o, en ausencia del SAN, el nombre común) en el par debe coincidir con el FQDN del host de Ops Manager.
Para lograr una alta disponibilidad, la SAN (o, en ausencia de la SAN, el nombre común) del par debe coincidir con el FQDN de la URL del balanceador de carga.
Concatene el par de claves/certificado del servidor y la cadena de certificados para crear la clave PEM del servidor proxy.
Ubicación del archivo PEM
Para el host de copia de seguridad consultable, debe especificar la ubicación del archivo PEM (que contiene tanto un certificado de clave pública como su clave privada asociada) mediante la configuración. Si aún no ha configurado la configuración de copia de seguridad Proxy Server PEM File consultable:
Hacer clic en Admin En la esquina superior derecha. Desde la Admin pantalla, haga clic General Ops Manager Config Backup en.
Desplácese hasta Queryable Snapshot Configuration y especifique que el túnel o los clientes
Proxy Server PEM Filepueden usar para conectarse a la instancia de mongod consultable.Si el archivo está cifrado,
Proxy Server PEM File Passwordespecifique.Opcional. Actualiza otros ajustes de snapshots consultables según corresponda. Para obtener una descripción de las configuraciones, consulta Configuración de instantáneas consultables.
Nota
Debe reiniciar el servidor web si cambia alguna de las siguientes configuraciones:
Puertos abiertos para el servidor de aplicaciones
El servidor de aplicaciones requiere que los puertos 27700-27719 estén abiertos para la comunicación con instantáneas de respaldo consultables.
Si utiliza un equilibrador de carga, debe pasar la conexión TCP a través del valor Proxy Server Port en.
Para obtener más información sobre los requisitos del puerto, consulte Configuración del firewall.
Trabajadores suficientes para el daemon de copias de seguridad del Ops Manager
Para consultar una instantánea de un clúster fragmentado, el demonio de respaldo requiere al menos un trabajador para el servidor de configuración, un trabajador para cada fragmento y un trabajador para la mongos instancia.
Para consultar una instantánea de un conjunto de réplicas, el demonio de respaldo requiere al menos un trabajador para el conjunto de réplicas.
Por ejemplo, si restaura una copia de seguridad consultable desde un clúster de fragmentos 3con un 1 enrutador defragmentos (mongos), necesita que este valor sea al 5 menos:
1 por fragmento (
3) +1 para el servidor de configuración (
1) +1 para el
mongos
Cuando comienza la copia de seguridad consultable, el demonio de copia de seguridad activa 5 o más trabajadores para administrar estos componentes.
Nombre del host
El FQDN que aloja el mongod para la copia de seguridad consultable debe coincidir con el que se encuentra en la Daemons página. Para encontrar ese nombre de host, haga clic en el Admin enlace, luego Backup en y finalmente Daemons en.
La copia de seguridad consultable requiere descargas empresariales
Si Ops Manager puede conectarse a Internet, configura Backup Versions Auto Download Enterprise Builds en TRUE. Los respaldos consultables requieren MongoDB Enterprise.
Copia de seguridad de consultas (utilizar túnel para conectarse)
Nota
El túnel maneja la seguridad(TLS/SSL y509 autenticación x.) para conectarse a la instancia.
Vaya a Backup la vista y haga clic en la Overview pestaña.
Para la implementación cuya copia de seguridad desea consultar, haga clic en el botón de puntos suspensivos debajo de la columna Options y seleccione Query.
También puede hacer clic en la implementación para ver sus instantáneas y hacer clic en el botón Query debajo de la columna Actions.
Sigue las indicaciones para query un snapshot de copia de seguridad.
Seleccione la instantánea que desea consultar y haga clic en Next.
Start El proceso para consultar una instantánea. Se le solicitará la verificación del factor 2.
Seleccione Backup Tunnel como método de conexión a la instantánea consultable.
Selecciona tu plataforma y descarga.
Descomprima el archivo descargado.
Nota
Espere a que se monte la instantánea consultable antes de continuar. El tiempo de montaje de la instantánea depende de su tamaño. Verifique que la instantánea esté montada navegando a Continuous Backup y seleccionando la pestaña Restore History. Una vez montada, la columna Status indica la fecha y la hora del montaje.
Abra una terminal o un símbolo del sistema y acceda al directorio <tunnel> sin comprimir. Ejecute el archivo ejecutable para iniciar el túnel.
El puerto predeterminado del túnel es
27017. Para cambiarlo, use el indicador--local, como en el siguiente ejemplo:./<tunnel executable> --local localhost:27020 Nota
Si cambia el puerto, debe incluir la información del puerto al conectarse.
Para obtener la lista completa de opciones que puede pasar al túnel, ejecute el ejecutable del túnel con la opción
-h:./<tunnel executable> -h Utilice o un controlador MongoDB para conectarse a la copia de seguridad a través del
mongoshtúnel.Si se conecta localmente desde la misma máquina donde se ejecuta el túnel, no es necesario especificar una cadena de conexión ni información del host. De lo contrario, especifique una cadena de conexión o información del host para la máquina donde se ejecuta el túnel.
Si has cambiado el puerto en el que escucha el túnel, deberás especificar la información del puerto al conectarte.
Tip
Una vez que haya terminado de consultar esta instantánea, puede finalizar la instancia consultable:
Vaya a Restore History y pase el cursor sobre la columna Status del elemento de implementación.
Haga clic en Cancel.
Nota
Para encontrar el archivo de registro de la instancia de copia de seguridad mongod consultable, navegue a la siguiente ruta en el directorio principal del host del Backup Daemon:
<daemon-hostname>:/<headDirectory>/queryable/<backupId>/mongod.log
Importante
Rotar la clave maestra después de restaurar instantáneas cifradas con AES256-GCM
Si restauras una snapshot cifrada que Ops Manager cifró con AES256-GCM, rota tu clave maestra después de completar la restauración.
Copia de seguridad de consultas (manejar la autenticación TLS manualmente)
Nota
El certificado del cliente X.509 es válido durante el mismo período de tiempo que la instancia consultable, que es Expiration (Hours) de 24 horas de manera predeterminada.
Vaya a Backup la vista y haga clic en la Overview pestaña.
Para la implementación cuya copia de seguridad desea consultar, haga clic en la Options columna y luego Query seleccione.
También puede hacer clic en la implementación para ver sus instantáneas y hacer clic en el botón Query debajo de la columna Actions.
Sigue las indicaciones para query un snapshot de copia de seguridad.
Seleccione la instantánea que desea consultar y haga clic en Next.
Start El proceso para consultar una instantánea. Si se le solicita su contraseña, introdúzcala para verificarla.
Seleccione Connect Manually como método de conexión a la instantánea consultable.
Descargue el archivo PEM del cliente X.509.
Descargue el archivo PEM de la autoridad de certificación.
Nota
Espere a que se monte la instantánea consultable antes de continuar. El tiempo de montaje de la instantánea depende de su tamaño. Verifique que la instantánea esté montada navegando a Continuous Backup y seleccionando la pestaña Restore History. Una vez montada, la columna Status indica la fecha y la hora del montaje.
Use o un controlador MongoDB para conectarse al host de copia de seguridad
mongoshconsultable. Para ello, debe especificar el nombre de host y el puerto, la opción TLS y los509 certificados X..Ejemplo
Si usa para conectarse a la
mongoshinstancia:mongosh my-queryable-backup-host.mongodb.com:27217 \ --tls --tlsCertificateKeyFile <client certificate> \ --tlsCAFile mms-backup-ca.pem
Tip
Una vez que haya terminado de consultar esta instantánea, puede finalizar la instancia consultable:
Vaya a Restore History y pase el cursor sobre la columna Status del elemento de implementación.
Haga clic en Cancel.
Importante
Rotar la clave maestra después de restaurar instantáneas cifradas con AES256-GCM
Si restauras una snapshot cifrada que Ops Manager cifró con AES256-GCM, rota tu clave maestra después de completar la restauración.
Próximos pasos
Para restaurar una base de datos o una colección mediante la instancia de copia de seguridad consultable de MongoDB, consulte Restaurar una base de datos o una colección desde una copia de seguridad consultable.