Instantáneas de copia de seguridad cifradas

Esta versión de la documentación está archivada y ya no se admite. Ver la Documentación actual para aprender cómo actualizar su versión de MongoDB Ops Manager.

El cifrado de instantáneas depende de la versión de MongoDB compatible con su base de datos. Esta versión de compatibilidad de funciones abarca desde la versión actual hasta una versión anterior. Para MongoDB,4.2 el FCV puede ser 4.0 o 4.2. Solo se pueden crear instantáneas cifradas desde clústeres cifrados.

Ops Manager puede cifrar cualquier trabajo de copia de seguridad almacenado en un almacén de instantáneas. La instantánea debe provenir de una base de datos que ejecute MongoDB Enterprise 4.2 o posterior con:

FCV de 4.2 o posterior y
Motor de almacenamientoWiredTiger.

Advertencia

Ops Manager no admite la transición del cifrado de clave local a Cifrado basado en servidor KMIP.

Nota

Ops Manager ya no admite la creación de instantáneas de clúster desde implementaciones de bases de datos que utilizan cifrado de clave local. Si cifra una implementación de base de datos con cifrado de clave local, la instantánea falla. Para cifrar instantáneas, utilice el cifrado basado en KMIP con sus implementaciones de bases de datos.

Para cifrar las copias de seguridad, utilice una clave maestra generada y mantenida por un dispositivo de gestión de claves compatible con KMIP. Esta clave maestra cifra la clave que cifra la base de datos.

Ops Manager crea instantáneas de FCV de 4.2 implementaciones o posteriores copiando los bytes del disco desde el de un host storage.dbPath al almacén de instantáneas. Si habilita el cifrado en reposo de MongoDB para el host del que está realizando una copia de seguridad, los bytes que Ops Manager copia al almacén de instantáneas ya están cifrados. Ops Manager cifra los datos en la capa del motor de almacenamiento al escribirlos en el disco de un host.

Para FCV de 4.2 o implementaciones posteriores, los componentes de Ops Manager no interactúan con el host KMIP al tomar instantáneas.

Importante

El Backup Daemon requiere una conexión al host KMIP para procesar una trabajo derestauración consultable de una copia de seguridad cifrada.

Tip

Cifrado de MongoDB en reposo

Ops Manager admite el cifrado para cualquier trabajo de respaldo almacenado en una base de datos principal que ejecuta MongoDB Enterprise 3.4 o posterior con el motor de almacenamiento WiredTiger.

Advertencia

Ops Manager no admite la transición del cifrado de clave local al cifrado basado en servidor KMIP.

Para cifrar las copias de seguridad, se utiliza una clave maestra generada y mantenida por un dispositivo de gestión de claves compatible con KMIP. Esta clave maestra cifra las bases de datos principales. A medida que el Daemon de Copia de Seguridad crea instantáneas de las bases de datos principales, las instantáneas resultantes de las bases de datos principales cifradas se cifran a su vez.

Para restaurar desde una copia de seguridad cifrada, necesita la misma clave maestra utilizada para cifrar la copia de seguridad y el mismo certificado que el del host del demonio de copia de seguridad o un nuevo certificado proporcionado con esa clave desde el host KMIP. Esto corresponde al valor del campo de ruta del certificado del cliente KMIP.

Requisitos previos

Un host que ejecuta un sistema de gestión de claves compatible con KMIP para generar y almacenar claves de cifrado.

Importante

Los clústeres que ejecutan MongoDB FCV 4.2 o posterior deben usar servidores KMIP. Estos clústeres no admiten la administración local de claves mediante archivos.

Las bases de datos principales utilizan MongoDB Enterprise 3.4 o posterior con el motor de almacenamiento WiredTiger.
Un certificado de cliente KMIP válido y archivos de la autoridad de certificación del host KMIP. Estos archivos se utilizan para autenticar Ops Manager en el host KMIP. El certificado de cliente en el host del demonio de copia de seguridad debe tener acceso a todas las claves del host KMIP.

Importante

Debe mantener todas las claves, incluso las claves rotadas, en el host KMIP.

Configurar la configuración del host KMIP para Ops Manager

Vaya a la pestaña de configuración de copia de seguridad.

Haga clic Admin.
Haga clic en General.
Haga clic en Ops Manager Config.
Click Backup tab.

Tip

Configuración del administrador de operaciones

Completa los campos de KMIP.

Actualice los siguientes campos de host KMIP en la KMIP Server Configuration sección:

`KMIP Server Host`	Escriba el FQDN para el host KMIP.
`KMIP Server Port`	Escriba el puerto en el que el host KMIP escucha las conexiones KMIP. El puerto KMIP 5696predeterminado es..
`KMIP Server CA File`	Escriba la ruta absoluta del archivo de la autoridad de certificación en el host de Ops Manager. Debe ser el mismo archivo de la autoridad de certificación almacenado en el host de KMIP.

Haga clic en Save.

Configure su proyecto para utilizar KMIP

Nota

Todas las implementaciones del proyecto utilizan el mismo archivo de certificado de cliente KMIP para autenticarse.

Vaya a la página de configuración de copia de seguridad del proyecto.

Haga clic Admin
Haga clic Projects
Debajo <Project Name> de, haga clic More ... en.
En la fila para Backup Configuration, haz clic en View.

Tip

Proyectos

Completa los campos de KMIP.

KMIP client certificate path	Escriba la ruta absoluta del archivo del certificado de cliente en el host de Ops Manager. Ops Manager utiliza este certificado para autenticarse en el servidor KMIP. Un solo archivo puede contener tanto el certificado de CA como el del cliente.
KMIP client certificate password	Opcional: Ingrese solo si el certificado KMIP client certificate path especificado en está encriptado.

Haga clic en Save Changes.

Cifrar su trabajo de respaldo

Haga clic en Backup.

Si aún no ha habilitado la copia de seguridad de Ops Manager, haga clic en Begin Setup y complete el asistente. Esto completará la configuración de la copia de seguridad, por lo que puede omitir el resto del procedimiento.

Comience a realizar copias de seguridad del proceso.

Desde la lista de procesos, navegue hasta la columna Status del proceso que desea respaldar y haga clic en Start.

En la Start Backup barra lateral, configure la fuente de respaldo y el motor de almacenamiento.

Menu	Possible Values	Valor por defecto
Sync source	Cualquier secundario (el administrador de operaciones elige) Cualquier secundario específico El nodo primario	`any secondary` Usar un secundario es preferido porque minimiza el impacto en el rendimiento del primario.
Storage Engine	WiredTiger Ops Manager limita las copias de seguridad a las implementaciones con menos de 100,000 archivos. Los archivos incluyen colecciones e índices.	`WiredTiger`

Establecer mecanismos de autenticación.

Si Automation no administra su implementación y esta requiere autenticación, especifique el mecanismo de autenticación y las credenciales.

Especifica lo siguiente, según corresponda:

Auth Mechanism	El mecanismo de autenticación que utiliza el host MongoDB. Las opciones de la comunidad MongoDB incluyen: Nombre de usuario/Contraseña Certificado de cliente X.509 Las opciones de MongoDB Enterprise también incluyen: Kerberos LDAP
DB Username	Para la autenticación `Username/Password` o `LDAP`, el nombre de usuario utilizado para autenticar el Agente MongoDB con la implementación de MongoDB. Consulte Configurar el agente MongoDB para la autenticación o Configurar el agente MongoDB para LDAP.
DB Password	Para la autenticación `Username/Password` o `LDAP`, la contraseña utilizada para autenticar el Agente MongoDB con la implementación de MongoDB.
Allows TLS for connections	Si está marcada, la copia de seguridad utiliza TLS para conectarse a MongoDB. Consulte Configurar el agente MongoDB para utilizar TLS.

Haga clic en Start.

Importante

Para las copias de seguridad existentes en un proyecto, habilitar el cifrado requiere una sincronización de copia de seguridad inicial para recrear las bases de datos principales de las copias de seguridad.

Haga clic en Backup.

Comience a realizar copias de seguridad del proceso.

Desde la lista de procesos, navegue hasta la columna Status del proceso que desea respaldar y haga clic en Start.

En la Start Backup barra lateral, configure la fuente de respaldo y el motor de almacenamiento.

Menu	Possible Values	Valor por defecto
Sync source	Cualquier secundario (el administrador de operaciones elige) Cualquier secundario específico El nodo primario	`any secondary` Usar un secundario es preferido porque minimiza el impacto en el rendimiento del primario.
Storage Engine	MongoDB Memory Mapped Files or WiredTiger. Si selecciona esta opción, Ops Manager limita las copias de seguridad a las implementaciones con menos de 100,000 archivos. Los archivos incluyen colecciones e índices. Consulte las consideraciones en Motores de almacenamiento.	El mismo motor de almacenamiento que el nodo principal de la base de datos de la que se está realizando la copia de seguridad.

Si el motor de almacenamiento WiredTiger es, puede habilitar el cifrado. Para habilitarlo, seleccione.Enable Encryption Seleccione esta opción solo si ha configurado el servidor KMIP para sus copias de seguridad y el proyecto para usar KMIP.

Establecer mecanismos de autenticación.

Si Automation no administra su implementación y esta requiere autenticación, especifique el mecanismo de autenticación y las credenciales.

Especifica lo siguiente, según corresponda:

Auth Mechanism	El mecanismo de autenticación que utiliza el host MongoDB. Las opciones de la comunidad MongoDB incluyen: Nombre de usuario/Contraseña Certificado de cliente X.509 Las opciones de MongoDB Enterprise también incluyen: Kerberos LDAP
DB Username	Para la autenticación `Username/Password` o `LDAP`, el nombre de usuario utilizado para autenticar el Agente MongoDB con la implementación de MongoDB. Consulte Configurar el agente MongoDB para la autenticación o Configurar el agente MongoDB para LDAP.
DB Password	Para la autenticación `Username/Password` o `LDAP`, la contraseña utilizada para autenticar el Agente MongoDB con la implementación de MongoDB.
Allows TLS for connections	Si está marcada, la copia de seguridad utiliza TLS para conectarse a MongoDB. Consulte Configurar el agente MongoDB para utilizar TLS.

Para filtrar qué espacios de nombres se respaldarán, haga clic Advanced Settings en.

Para excluir bases de datos y colecciones de esta copia de seguridad:

Haga clic en Blacklist.
Introduzca la primera base de datos y colección en el cuadro de texto. Para las colecciones, introduzca el espacio de nombres completo: <database>.<collection>.
Para excluir bases de datos o colecciones adicionales, haga clic en el enlace Add another y luego repita el paso anterior.

Para incluir solo ciertas bases de datos y colecciones en esta copia de seguridad:

Haga clic en Access List.
Introduzca la primera base de datos y colección en el cuadro de texto. Para las colecciones, introduzca el espacio de nombres completo: <database>.<collection>.
Para incluir bases de datos o colecciones adicionales, haga clic en el enlace Add another y luego repita el paso anterior.

Haga clic en Start.

Volver

Utilice la autenticación de dos factores

Girar las llaves maestras KMIP