¿De qué depende el cifrado de snapshot?
Versión de MongoDB compatible con su base de datos. Esta versión de compatibilidad de funciones abarca desde la versión actual hasta una versión anterior. Para MongoDB,4.2 la FCV puede ser... 4.0 o 4.2. Sólo puedes crear instantáneas cifradas a partir de clústeres cifrados.
Ops Manager puede encriptar cualquier tarea de copia de seguridad que haya almacenado en un almacenamiento de snapshot. La snapshot debe provenir de una base de datos que ejecutó MongoDB Enterprise 4.2 o posterior con:
FCV de 4.2 o posterior y
WiredTiger motor de almacenamiento.
Advertencia
Ops Manager no admite la transición del cifrado de clave local a KMIP cifrado basado en servidor.
Nota
Ops Manager ya no admite la creación de instantáneas de clúster desde implementaciones de bases de datos que utilizan cifrado de clave local. Si cifra una implementación de base de datos con cifrado de clave local, la instantánea falla. Para cifrar instantáneas, utilice el cifrado basado en KMIP con sus implementaciones de bases de datos.
Para cifrar copias de seguridad, utiliza una clave maestra que genera y mantiene un dispositivo de gestión de claves compatible con KMIP. Esta clave maestra cifra la clave que cifra la base de datos.
Ops Manager crea instantáneas de FCV de 4.2 implementaciones o posteriores copiando los bytes del disco desde el de un host storage.dbPath al almacén de instantáneas. Si habilita el cifrado en reposo de MongoDB para el host del que está realizando una copia de seguridad, los bytes que Ops Manager copia al almacén de instantáneas ya están cifrados. Ops Manager cifra los datos en la capa del motor de almacenamiento al escribirlos en el disco de un host.
Para compatibilidad de características entre versiones de la versión 4.2 o posteriores de las implementaciones, los componentes de Ops Manager no interactúan con el host KMIP al tomar snapshots.
Importante
El daemon de copias de seguridad requiere una conexión al KMIP host para procesar un tarea de restauración consultable de una copia de seguridad cifrada.
Ops Manager admite el cifrado para cualquier tarea de copia de seguridad que se almacene en una base de datos principal ejecutando MongoDB Enterprise 3.4 o superior con el motor de almacenamiento WiredTiger.
Advertencia
Ops Manager no admite la transición del cifrado de clave local al cifrado basado en servidor KMIP.
Para cifrar las copias de seguridad, utiliza una clave maestra que es generada y mantenida por un dispositivo de gestión de claves compatible con KMIP. Esta llave maestra encripta las bases de datos principales. Dado que el daemon de copias de seguridad crea snapshots a partir de las bases de datos principales, los snapshots resultantes de las bases de datos principales cifradas también están cifradas.
Para restaurar a partir de una copia de seguridad cifrada, necesitas la misma clave maestra utilizada para cifrar la copia de seguridad y, o bien el mismo certificado que se encuentra en el host del daemon de copias de seguridad o un nuevo certificado aprovisionado con esa clave desde el host KMIP. Esto corresponde al valor en el campo Ruta del certificado de cliente KMIP.
Requisitos previos
Un host que ejecuta una gestión de claves compatible con KMIPpara generar y almacenar claves de cifrado.
Importante
Los clústeres que ejecutan MongoDB FCV 4.2 o posterior deben usar servidores KMIP. Estos clústeres no admiten la administración local de claves mediante archivos.
Las bases de datos principales utilizan MongoDB Enterprise 3.4 o posterior con el motor de almacenamiento WiredTiger.
Un certificado de cliente KMIP y archivos de la Autoridad de certificación de host (CA) KMIP válidos. Estos archivos se utilizan para autenticar Ops Manager en el host de KMIP. El certificado de cliente en el host del daemon de copias de seguridad debe tener acceso a todas las claves en el host de KMIP.
Importante
Debes mantener todas las claves, incluso las rotadas, en el host KMIP.
Configurar la configuración de host KMIP para Ops Manager
Completa los campos de KMIP.
Actualiza los siguientes campos de host KMIP en la sección KMIP Server Configuration:
Escriba el FQDN del host KMIP. | |
Escribe el puerto en el que el host de KMIP escucha las conexiones KMIP. El puerto KMIP por defecto es 5696. | |
Escriba la ruta absoluta del archivo de la autoridad de certificación en el host de Ops Manager. Debe ser el mismo archivo de la autoridad de certificación almacenado en el host de KMIP. |
Configura tu proyecto para usar KMIP
Nota
Todas las implementaciones en el proyecto utilizan el mismo archivo de certificado de cliente KMIP para autenticarse.
Completa los campos de KMIP.
KMIP client certificate path | Escriba la ruta absoluta del archivo de certificado del cliente en el host de Ops Manager. Ops Manager utiliza este certificado para autenticarse ante el servidor KMIP. Un solo archivo puede contener tanto el certificado de CA como el del cliente. |
KMIP client certificate password | Opcional Sólo ingrese si el certificado especificado en KMIP client certificate path está cifrado. |
Cifra tu tarea de copia de seguridad
En la barra lateral de Start Backup, configura la fuente de copia de seguridad y el motor de almacenamiento.
Menu | Possible Values | Valor por defecto |
|---|---|---|
Sync source |
|
Usar un secundario es preferido porque minimiza el impacto en el rendimiento del primario. |
Storage Engine | WiredTiger Ops Manager limita las copias de seguridad a implementaciones con menos de 100,000 archivos. Los archivos incluyen colecciones e índices. |
|
Establecer mecanismos de autenticación.
Si la Automatización no administra su implementación y su implementación requiere autenticación, especifique el mecanismo de autenticación y las credenciales.
Especifica lo siguiente, según corresponda:
Auth Mechanism | El mecanismo de autenticación que utiliza el host de MongoDB. Las opciones de MongoDB Community incluyen:
Las opciones para MongoDB Enterprise también incluyen: |
DB Username | Para Consulta Configurar MongoDB Agent para autenticación o Configurar MongoDB Agent para LDAP. |
DB Password | Para |
Allows TLS for connections | Si está marcada, copia de seguridad utiliza TLS para conectarse a MongoDB. |
Importante
Para las copias de seguridad existentes en un proyecto, activar el cifrado requiere una sincronización inicial de la copia de seguridad para recrear las bases de datos principales de estas copias de seguridad.
En la barra lateral de Start Backup, configura la fuente de copia de seguridad y el motor de almacenamiento.
Menu | Possible Values | Valor por defecto |
|---|---|---|
Sync source |
|
Usar un secundario es preferido porque minimiza el impacto en el rendimiento del primario. |
Storage Engine |
Consulte las consideraciones en Motores de almacenamiento. | El mismo motor de almacenamiento que el nodo principal de la base de datos que se está respaldando. |
Si el motor de almacenamiento es WiredTiger, puedes habilitar el cifrado. Para activar el cifrado, selecciona Enable Encryption. Seleccione solo si ha configurado el servidor KMIP para sus copias de seguridad y configurado el proyecto para usar KMIP.
Establecer mecanismos de autenticación.
Si la Automatización no administra su implementación y su implementación requiere autenticación, especifique el mecanismo de autenticación y las credenciales.
Especifica lo siguiente, según corresponda:
Auth Mechanism | El mecanismo de autenticación que utiliza el host de MongoDB. Las opciones de MongoDB Community incluyen:
Las opciones para MongoDB Enterprise también incluyen: |
DB Username | Para Consulta Configurar MongoDB Agent para autenticación o Configurar MongoDB Agent para LDAP. |
DB Password | Para |
Allows TLS for connections | Si está marcada, copia de seguridad utiliza TLS para conectarse a MongoDB. |
Para filtrar qué espacios de nombres se respaldan, haz clic en Advanced Settings.
Para excluir bases de datos y colecciones de esta copia de seguridad:
Haga clic en Blacklist.
Ingresa la primera base de datos y colección en el cuadro de texto. Para colecciones, introduzca el namespace completo:
<database>.<collection>.Para excluir bases de datos o colecciones adicionales, haz clic en el enlace Add another y luego repite el paso anterior.
Para incluir solo ciertas bases de datos y colecciones en esta copia de seguridad:
Haga clic en Access List.
Ingresa la primera base de datos y colección en el cuadro de texto. Para colecciones, introduzca el namespace completo:
<database>.<collection>.Para incluir bases de datos o colecciones adicionales, haga clic en el enlace Add another y luego repita el paso anterior.