El cifrado de instantáneas depende de qué
Versión de MongoDB compatible con su base de datos. Esta versión de compatibilidad de funciones abarca desde la versión actual hasta una versión anterior. Para MongoDB,4.2 la FCV puede ser... 4.0 o 4.2. Solo se pueden crear instantáneas cifradas desde clústeres cifrados.
Ops Manager puede cifrar cualquier trabajo de copia de seguridad almacenado en un almacén de instantáneas. La instantánea debe provenir de una base de datos que ejecute MongoDB Enterprise 4.2 o posterior con:
FCV de 4.2 o posterior y
WiredTiger storage engine.
Advertencia
Ops Manager doesn't support transitioning from local key encryption to KMIP server-based encryption.
Nota
Ops Manager no longer supports the creation of cluster snapshots from database deployments that use local key encryption. If you encrypt a database deployment with local key encryption, the snapshot fails. To encrypt snapshots, use KMIP-based encryption with your database deployments.
To encrypt backups, use a master key that a KMIP-compliant key management appliance generates and maintains. This master key encrypts key that encrypts the database.
Ops Manager crea instantáneas de FCV de 4.2 implementaciones o posteriores copiando los bytes del disco desde el de un host storage.dbPath al almacén de instantáneas. Si habilita el cifrado en reposo de MongoDB para el host del que está realizando una copia de seguridad, los bytes que Ops Manager copia al almacén de instantáneas ya están cifrados. Ops Manager cifra los datos en la capa del motor de almacenamiento al escribirlos en el disco de un host.
For FCV of 4.2 or later deployments, Ops Manager components don't interact with the KMIP host when taking snapshots.
Importante
El Backup Daemon requiere una conexión al host KMIP para procesar una trabajo derestauración consultable de una copia de seguridad cifrada.
Ops Manager admite el cifrado para cualquier trabajo de respaldo almacenado en una base de datos principal que ejecuta MongoDB Enterprise 3.4 o posterior con el motor de almacenamiento WiredTiger.
Advertencia
Ops Manager doesn't support transitioning from local key encryption to KMIP server-based encryption.
To encrypt backups, you use a master key that a KMIP-compliant key management appliance generates and maintains. This master key encrypts the head databases. As the Backup Daemon creates snapshots from the head databases, resulting snapshots from the encrypted head databases are themselves encrypted.
To restore from an encrypted backup, you need the same master key used to encrypt the backup and either the same certificate as is on the Backup Daemon host or a new certificate provisioned with that key from the KMIP host. This corresponds to the value in the KMIP client certificate path field.
Requisitos previos
Un host que ejecuta un sistema de gestión de claves compatible con KMIP para generar y almacenar claves de cifrado.
Importante
Clusters running MongoDB FCV 4.2 or later must use KMIP servers. These clusters don't support local key management using files.
Head databases use MongoDB Enterprise 3.4 or later with the WiredTiger storage engine.
A valid KMIP client certificate and KMIP host Certificate Authority files. These files are used to authenticate Ops Manager to the KMIP host. The client certificate on the Backup Daemon host must have access to all keys in the KMIP host.
Importante
Debe mantener todas las claves, incluso las claves rotadas, en el host KMIP.
Configurar la configuración del host KMIP para Ops Manager
Completa los campos de KMIP.
Actualice los siguientes campos de host KMIP en la KMIP Server Configuration sección:
Escriba el FQDN para el host KMIP. | |
Escriba el puerto en el que el host KMIP escucha las conexiones KMIP. El puerto KMIP 5696predeterminado es.. | |
Escriba la ruta absoluta del archivo de la autoridad de certificación en el host de Ops Manager. Debe ser el mismo archivo de la autoridad de certificación almacenado en el host de KMIP. |
Configure Your Project to Use KMIP
Nota
Todas las implementaciones del proyecto utilizan el mismo archivo de certificado de cliente KMIP para autenticarse.
Completa los campos de KMIP.
KMIP client certificate path | Escriba la ruta absoluta del archivo del certificado de cliente en el host de Ops Manager. Ops Manager utiliza este certificado para autenticarse en el servidor KMIP. Un solo archivo puede contener tanto el certificado de CA como el del cliente. |
KMIP client certificate password | Opcional: Ingrese solo si el certificado KMIP client certificate path especificado en está encriptado. |
Encrypt Your Backup Job
En la Start Backup barra lateral, configure la fuente de respaldo y el motor de almacenamiento.
Menu | Possible Values | Valor por defecto |
|---|---|---|
Sync source |
|
Usar un secundario es preferido porque minimiza el impacto en el rendimiento del primario. |
Storage Engine | WiredTiger Ops Manager limita las copias de seguridad a implementaciones con menos de 100 000 archivos. Los archivos incluyen colecciones e índices. |
|
Establecer mecanismos de autenticación.
Si Automation no administra su implementación y esta requiere autenticación, especifique el mecanismo de autenticación y las credenciales.
Especifica lo siguiente, según corresponda:
Auth Mechanism | El mecanismo de autenticación que utiliza el host MongoDB. MongoDB Community options include:
Las opciones de MongoDB Enterprise también incluyen: |
DB Username | Para la autenticación Consulte Configurar el agente MongoDB para la autenticación o Configurar el agente MongoDB para LDAP. |
DB Password | For |
Allows TLS for connections | Si está marcada, la copia de seguridad utiliza TLS para conectarse a MongoDB. |
Importante
Para las copias de seguridad existentes en un proyecto, habilitar el cifrado requiere una sincronización de copia de seguridad inicial para recrear las bases de datos principales de las copias de seguridad.
En la Start Backup barra lateral, configure la fuente de respaldo y el motor de almacenamiento.
Menu | Possible Values | Valor por defecto |
|---|---|---|
Sync source |
|
Usar un secundario es preferido porque minimiza el impacto en el rendimiento del primario. |
Storage Engine |
Consulte las consideraciones en Motores de almacenamiento. | El mismo motor de almacenamiento que el nodo principal de la base de datos de la que se está realizando la copia de seguridad. |
Si el motor de almacenamiento WiredTiger es, puede habilitar el cifrado. Para habilitarlo, seleccione.Enable Encryption Seleccione esta opción solo si ha configurado el servidor KMIP para sus copias de seguridad y el proyecto para usar KMIP.
Establecer mecanismos de autenticación.
Si Automation no administra su implementación y esta requiere autenticación, especifique el mecanismo de autenticación y las credenciales.
Especifica lo siguiente, según corresponda:
Auth Mechanism | El mecanismo de autenticación que utiliza el host MongoDB. MongoDB Community options include:
Las opciones de MongoDB Enterprise también incluyen: |
DB Username | Para la autenticación Consulte Configurar el agente MongoDB para la autenticación o Configurar el agente MongoDB para LDAP. |
DB Password | For |
Allows TLS for connections | Si está marcada, la copia de seguridad utiliza TLS para conectarse a MongoDB. |
Para filtrar qué espacios de nombres se respaldarán, haga clic Advanced Settings en.
Para excluir bases de datos y colecciones de esta copia de seguridad:
Haga clic en Blacklist.
Introduzca la primera base de datos y colección en el cuadro de texto. Para las colecciones, introduzca el espacio de nombres completo:
<database>.<collection>.Para excluir bases de datos o colecciones adicionales, haga clic en el enlace Add another y luego repita el paso anterior.
Para incluir solo ciertas bases de datos y colecciones en esta copia de seguridad:
Haga clic en Access List.
Introduzca la primera base de datos y colección en el cuadro de texto. Para las colecciones, introduzca el espacio de nombres completo:
<database>.<collection>.Para incluir bases de datos o colecciones adicionales, haga clic en el enlace Add another y luego repita el paso anterior.