El cifrado de snapshot depende de la versión de MongoDB con la que su base de datos sea compatible. Esta compatibilidad de características entre versiones abarca desde la versión actual hasta una versión anterior. Para MongoDB 4.2, la compatibilidad de características entre versiones puede ser 4.0 o 4.2. Sólo puedes crear instantáneas cifradas a partir de clústeres cifrados.
Ops Manager puede encriptar cualquier tarea de copia de seguridad que haya almacenado en un almacenamiento de snapshot. La snapshot debe provenir de una base de datos que ejecutó MongoDB Enterprise 4.2 o posterior con:
compatibilidad de características entre versiones de 4.2 o posterior y
WiredTiger motor de almacenamiento.
Advertencia
Ops Manager no admite la transición de cifrado con clave local a KMIP cifrado basado en servidor.
Nota
Ops Manager ya no admite la creación de snapshots de clúster a partir de implementaciones de la base de datos que utilizan cifrado de clave local. Si se cifra una implementación de base de datos con cifrado de clave local, la snapshot falla. Para cifrar snapshots, utiliza cifrado basado en KMIPcon tus implementaciones de la base de datos.
Para cifrar copias de seguridad, utiliza una clave maestra que genera y mantiene un dispositivo de gestión de claves compatible con KMIP. Esta clave maestra cifra la clave que cifra la base de datos.
Ops Manager crea snapshots de FCV de implementaciones 4.2 o posteriores copiando los bytes en disco desde el storage.dbPath de un host al almacenamiento de snapshot. Si habilitas MongoDB cifrado en reposo para el host que estás respaldando, los bytes que Ops Manager copia en el almacenamiento de snapshot ya están encriptados. Ops Manager cifra los datos en la capa del motor de almacenamiento cuando escribes datos en el disco de un host.
Para compatibilidad de características entre versiones de la versión 4.2 o posteriores de las implementaciones, los componentes de Ops Manager no interactúan con el host KMIP al tomar snapshots.
Importante
El daemon de copias de seguridad requiere una conexión al KMIP host para procesar un tarea de restauración consultable de una copia de seguridad cifrada.
Ops Manager admite el cifrado para cualquier tarea de copia de seguridad que se almacene en una base de datos principal ejecutando MongoDB Enterprise 3.4 o superior con el motor de almacenamiento WiredTiger.
Advertencia
Ops Manager no admite la transición de cifrado de llave local a KMIP cifrado basado en servidor.
Para cifrar las copias de seguridad, utiliza una clave maestra que es generada y mantenida por un dispositivo de gestión de claves compatible con KMIP. Esta llave maestra encripta las bases de datos principales. Dado que el daemon de copias de seguridad crea snapshots a partir de las bases de datos principales, los snapshots resultantes de las bases de datos principales cifradas también están cifradas.
Para restaurar a partir de una copia de seguridad cifrada, necesitas la misma clave maestra utilizada para cifrar la copia de seguridad y, o bien el mismo certificado que se encuentra en el host del daemon de copias de seguridad o un nuevo certificado aprovisionado con esa clave desde el host KMIP. Esto corresponde al valor en el campo Ruta del certificado de cliente KMIP.
Requisitos previos
Un host que ejecuta una gestión de claves compatible con KMIPpara generar y almacenar claves de cifrado.
Importante
Los clústeres que ejecutan MongoDB compatibilidad de características entre versiones 4.2 o posterior deben usar servidores KMIP. Estos clústeres no admiten la gestión local de claves mediante archivos.
Bases de datos principales usan MongoDB Enterprise 3.4 o posterior con el motor de almacenamiento WiredTiger .
Un certificado de cliente KMIP y archivos de la Autoridad de certificación de host (CA) KMIP válidos. Estos archivos se utilizan para autenticar Ops Manager en el host de KMIP. El certificado de cliente en el host del daemon de copias de seguridad debe tener acceso a todas las claves en el host de KMIP.
Importante
Debes mantener todas las claves, incluso las rotadas, en el host KMIP.
Configurar la configuración de host KMIP para Ops Manager
Completa los campos de KMIP.
Actualiza los siguientes campos de host KMIP en la sección KMIP Server Configuration:
Escriba el FQDN del host KMIP. | |
Escribe el puerto en el que el host de KMIP escucha las conexiones KMIP. El puerto KMIP por defecto es 5696. | |
Escriba la ruta absoluta del archivo de la Autoridad de Certificación en el host de Ops Manager. Este debe ser el mismo archivo de la Autoridad Certificadora almacenado en el host KMIP. |
Configura tu proyecto para usar KMIP
Nota
Todas las implementaciones en el proyecto utilizan el mismo archivo de certificado de cliente KMIP para autenticarse.
Completa los campos de KMIP.
KMIP client certificate path | Escriba la ruta absoluta del archivo de certificado del cliente en el host de Ops Manager. Ops Manager utiliza este certificado para autenticarse ante el servidor KMIP. Un solo archivo puede contener tanto el CA como el certificado de cliente. |
KMIP client certificate password | Opcional Sólo ingrese si el certificado especificado en KMIP client certificate path está cifrado. |
Cifra tu tarea de copia de seguridad
En la barra lateral de Start Backup, configura la fuente de copia de seguridad y el motor de almacenamiento.
Menu | Possible Values | Valor por defecto |
|---|---|---|
Sync source |
|
Usar un secundario es preferido porque minimiza el impacto en el rendimiento del primario. |
Storage Engine | WiredTiger Ops Manager limita las copias de seguridad a implementaciones con menos de 100,000 archivos. Los archivos incluyen colecciones e índices. |
|
Establecer mecanismos de autenticación.
Si la Automatización no administra su implementación y su implementación requiere autenticación, especifique el mecanismo de autenticación y las credenciales.
Especifica lo siguiente, según corresponda:
Auth Mechanism | El mecanismo de autenticación que utiliza el host de MongoDB. Las opciones de MongoDB Community incluyen:
Las opciones para MongoDB Enterprise también incluyen: |
DB Username | Para Consulta Configurar MongoDB Agent para autenticación o Configurar MongoDB Agent para LDAP. |
DB Password | Para |
Allows TLS for connections | Si está marcada, copia de seguridad utiliza TLS para conectarse a MongoDB. |
Importante
Para las copias de seguridad existentes en un proyecto, activar el cifrado requiere una sincronización inicial de la copia de seguridad para recrear las bases de datos principales de estas copias de seguridad.
En la barra lateral de Start Backup, configura la fuente de copia de seguridad y el motor de almacenamiento.
Menu | Possible Values | Valor por defecto |
|---|---|---|
Sync source |
|
Usar un secundario es preferido porque minimiza el impacto en el rendimiento del primario. |
Storage Engine |
Consulte las consideraciones en Motores de almacenamiento. | El mismo motor de almacenamiento que el nodo principal de la base de datos que se está respaldando. |
Si el motor de almacenamiento es WiredTiger, puedes habilitar el cifrado. Para activar el cifrado, selecciona Enable Encryption. Seleccione solo si ha configurado el servidor KMIP para sus copias de seguridad y configurado el proyecto para usar KMIP.
Establecer mecanismos de autenticación.
Si la Automatización no administra su implementación y su implementación requiere autenticación, especifique el mecanismo de autenticación y las credenciales.
Especifica lo siguiente, según corresponda:
Auth Mechanism | El mecanismo de autenticación que utiliza el host de MongoDB. Las opciones de MongoDB Community incluyen:
Las opciones para MongoDB Enterprise también incluyen: |
DB Username | Para Consulta Configurar MongoDB Agent para autenticación o Configurar MongoDB Agent para LDAP. |
DB Password | Para |
Allows TLS for connections | Si está marcada, copia de seguridad utiliza TLS para conectarse a MongoDB. |
Para filtrar qué espacios de nombres se respaldan, haz clic en Advanced Settings.
Para excluir bases de datos y colecciones de esta copia de seguridad:
Haga clic en Blacklist.
Ingresa la primera base de datos y colección en el cuadro de texto. Para colecciones, introduzca el namespace completo:
<database>.<collection>.Para excluir bases de datos o colecciones adicionales, haz clic en el enlace Add another y luego repite el paso anterior.
Para incluir solo ciertas bases de datos y colecciones en esta copia de seguridad:
Haga clic en Access List.
Ingresa la primera base de datos y colección en el cuadro de texto. Para colecciones, introduzca el namespace completo:
<database>.<collection>.Para incluir bases de datos o colecciones adicionales, haz clic en el enlace Add another y luego repite el paso anterior.