Opciones de archivos de configuración autogestionados

Valores obtenidos externamente

Están disponibles las siguientes directivas de expansión:

Para obtener la documentación completa,consulte Valores de archivos de configuración de origen externo para implementaciones autoadministradas.

Directrices de expansión y --configExpand

Si está utilizando directivas de expansión en el archivo de configuración, debe incluir la opción --configExpand al iniciar el mongod o mongos. Por ejemplo:

mongod --config /etc/mongod.conf  --configExpand "rest,exec"
mongos --config /etc/mongos.conf  --configExpand "rest,exec"

Si el archivo de configuración incluye una directiva de expansión y se inicia el mongod / mongos sin especificar esa directiva en la opción --configExpand, el mongod / mongos no se iniciará.

Para obtener la documentación completa,consulte Valores de archivos de configuración de origen externo para implementaciones autoadministradas.

systemLog.component opciones

systemLog:
   component:
      accessControl:
         verbosity: <int>
      command:
         verbosity: <int>
      # COMMENT some component verbosity settings omitted for brevity
      replication:
         verbosity: <int>
         election:
            verbosity: <int>
         heartbeats:
            verbosity: <int>
         initialSync:
            verbosity: <int>
         rollback:
            verbosity: <int>
      storage:
         verbosity: <int>
         journal:
            verbosity: <int>
         recovery:
            verbosity: <int>
      write:
         verbosity: <int>

systemLog.component.assert.verbosity

Tipo: entero

Por defecto: 0

El nivel de verbosidad del mensaje de registro para las aserciones encontradas por las operaciones de usuario en MongoDB. Normalmente, se activa una aserción cuando una operación devuelve un error. Consulta los componentes de ASSERT.

systemLog.component.accessControl.verbosity

Tipo: entero

Por defecto: 0

El nivel de verbosidad de los mensajes de registro para los componentes relacionados con el control de acceso. Consulte los componentes de ACCESS.

El nivel de verbosidad puede variar de 0 a 5:

• 0 es el nivel de verbosidad de registro por defecto de MongoDB, para incluir mensajes informativos.

• 1 a 5 aumenta el nivel de verbosidad para incluir mensajes de depuración.

systemLog.component.command.verbosity

Tipo: entero

Por defecto: 0

El nivel de verbosidad de los mensajes de registro para los componentes relacionados con los comandos. Consulte los componentes de COMMAND.

El nivel de verbosidad puede variar de 0 a 5:

• 0 es el nivel de verbosidad de registro por defecto de MongoDB, para incluir mensajes informativos.

• 1 a 5 aumenta el nivel de verbosidad para incluir mensajes de depuración.

systemLog.component.control.verbosity

Tipo: entero

Por defecto: 0

El nivel de verbosidad de los mensajes de registro para los componentes relacionados con las operaciones de control. Consulte los componentes de CONTROL.

El nivel de verbosidad puede variar de 0 a 5:

• 0 es el nivel de verbosidad de registro por defecto de MongoDB, para incluir mensajes informativos.

• 1 a 5 aumenta el nivel de verbosidad para incluir mensajes de depuración.

systemLog.component.ftdc.verbosity

Tipo: entero

Por defecto: 0

El nivel de verbosidad de los mensajes de registro para los componentes relacionados con las operaciones de colección de datos de diagnóstico. Consulte los componentes de FTDC.

El nivel de verbosidad puede variar de 0 a 5:

• 0 es el nivel de verbosidad de registro por defecto de MongoDB, para incluir mensajes informativos.

• 1 a 5 aumenta el nivel de verbosidad para incluir mensajes de depuración.

systemLog.component.geo.verbosity

Tipo: entero

Por defecto: 0

El nivel de verbosidad de los mensajes de registro para componentes relacionados con operaciones de análisis geoespacial. Consulte los componentes de GEO.

El nivel de verbosidad puede variar de 0 a 5:

• 0 es el nivel de verbosidad de registro por defecto de MongoDB, para incluir mensajes informativos.

• 1 a 5 aumenta el nivel de verbosidad para incluir mensajes de depuración.

systemLog.component.index.verbosity

Tipo: entero

Por defecto: 0

El nivel de verbosidad de los mensajes de registro para los componentes relacionados con las operaciones de indexación. Consulte los componentes de INDEX.

El nivel de verbosidad puede variar de 0 a 5:

• 0 es el nivel de verbosidad de registro por defecto de MongoDB, para incluir mensajes informativos.

• 1 a 5 aumenta el nivel de verbosidad para incluir mensajes de depuración.

systemLog.component.network.verbosity

Tipo: entero

Por defecto: 0

El nivel de verbosidad de los mensajes de registro para los componentes relacionados con las operaciones de red. Consulte los componentes de NETWORK.

El nivel de verbosidad puede variar de 0 a 5:

• 0 es el nivel de verbosidad de registro por defecto de MongoDB, para incluir mensajes informativos.

• 1 a 5 aumenta el nivel de verbosidad para incluir mensajes de depuración.

systemLog.component.query.verbosity

Tipo: entero

Por defecto: 0

El nivel de verbosidad de los mensajes de registro para los componentes relacionados con operaciones del query. Consulte los componentes de QUERY.

El nivel de verbosidad puede variar de 0 a 5:

• 0 es el nivel de verbosidad de registro por defecto de MongoDB, para incluir mensajes informativos.

• 1 a 5 aumenta el nivel de verbosidad para incluir mensajes de depuración.

systemLog.component.queryStats.verbosity

Tipo: entero

Por defecto: 0

El nivel de verbosidad de los mensajes de registro para los componentes relacionados con las invocaciones de $queryStats. Consulte los componentes de QUERYSTATS.

El nivel de verbosidad puede variar de 0 a 5:

• 0 es el nivel de verbosidad de registro por defecto, y solo incluye mensajes informativos. No se registran llamadas de$queryStats en este nivel.

• 1 a 2 incrementa el nivel de verbosidad para incluir llamadas a $queryStats donde algorithm es "hmac-sha-256". Cualquier clave HMAC está redactada.

• 3 a 5 incrementa el nivel de verbosidad para incluir llamadas $queryStats donde algorithm es "hmac-sha-256", y los resultados correspondientes. Cada resultado es una entrada propia y hay una entrada final con el string "we finished".

systemLog.component.replication.verbosity

Tipo: entero

Por defecto: 0

El nivel de verbosidad de los mensajes de registro para los componentes relacionados con la replicación. Consulte los componentes de REPL.

El nivel de verbosidad puede variar de 0 a 5:

• 0 es el nivel de verbosidad de registro por defecto de MongoDB, para incluir mensajes informativos.

• 1 a 5 aumenta el nivel de verbosidad para incluir mensajes de depuración.

systemLog.component.replication.election.verbosity

Tipo: entero

Por defecto: 0

El nivel de verbosidad de los mensajes de registro para los componentes relacionados con la elección. Consulte los componentes de ELECTION.

Si systemLog.component.replication.election.verbosity no está configurado, el nivel de systemLog.component.replication.verbosity también se aplica a los componentes de elección.

El nivel de verbosidad puede variar de 0 a 5:

• 0 es el nivel de verbosidad de registro por defecto de MongoDB, para incluir mensajes informativos.

• 1 a 5 aumenta el nivel de verbosidad para incluir mensajes de depuración.

systemLog.component.replication.heartbeats.verbosity

Tipo: entero

Por defecto: 0

El nivel de verbosidad de los mensajes de registro para los componentes relacionados con los latidos del sistema. Consulte los componentes de REPL_HB.

Si systemLog.component.replication.heartbeats.verbosity no está configurado, el nivel de systemLog.component.replication.verbosity también se aplica a los componentes de latidos cardíacos.

El nivel de verbosidad puede variar de 0 a 5:

• 0 es el nivel de verbosidad de registro por defecto de MongoDB, para incluir mensajes informativos.

• 1 a 5 aumenta el nivel de verbosidad para incluir mensajes de depuración.

systemLog.component.replication.initialSync.verbosity

Tipo: entero

Por defecto: 0

El nivel de verbosidad de los mensajes de registro para los componentes relacionados con initialSync. Consulte los componentes de INITSYNC.

Si systemLog.component.replication.initialSync.verbosity no está establecido, el nivel de systemLog.component.replication.verbosity también se aplica a los componentes de initialSync.

El nivel de verbosidad puede variar de 0 a 5:

• 0 es el nivel de verbosidad de registro por defecto de MongoDB, para incluir mensajes informativos.

• 1 a 5 aumenta el nivel de verbosidad para incluir mensajes de depuración.

systemLog.component.replication.rollback.verbosity

Tipo: entero

Por defecto: 0

El nivel de verbosidad de los mensajes de registro para los componentes relacionados con el rollback. Consulte los componentes de ROLLBACK.

Si systemLog.component.replication.rollback.verbosity no está establecido, el nivel systemLog.component.replication.verbosity también se aplica a los componentes de rollback.

El nivel de verbosidad puede variar de 0 a 5:

• 0 es el nivel de verbosidad de registro por defecto de MongoDB, para incluir mensajes informativos.

• 1 a 5 aumenta el nivel de verbosidad para incluir mensajes de depuración.

systemLog.component.sharding.verbosity

Tipo: entero

Por defecto: 0

El nivel de verbosidad de los mensajes de registro para los componentes relacionados con la fragmentación. Consulte los componentes de SHARDING.

El nivel de verbosidad puede variar de 0 a 5:

• 0 es el nivel de verbosidad de registro por defecto de MongoDB, para incluir mensajes informativos.

• 1 a 5 aumenta el nivel de verbosidad para incluir mensajes de depuración.

systemLog.component.storage.verbosity

Tipo: entero

Por defecto: 0

El nivel de verbosidad de los mensajes de registro para los componentes relacionados con el almacenamiento. Consulte los componentes de STORAGE.

Si systemLog.component.storage.journal.verbosity no está configurado, el nivel de systemLog.component.storage.verbosity también se aplica a los componentes de bitácora.

El nivel de verbosidad puede variar de 0 a 5:

• 0 es el nivel de verbosidad de registro por defecto de MongoDB, para incluir mensajes informativos.

• 1 a 5 aumenta el nivel de verbosidad para incluir mensajes de depuración.

systemLog.component.storage.journal.verbosity

Tipo: entero

Por defecto: 0

El nivel de verbosidad de los mensajes de registro para los componentes relacionados con el registro en la bitácora. Consulte los componentes de JOURNAL.

Si systemLog.component.storage.journal.verbosity no está configurado, los componentes de registro tienen el mismo nivel de verbosidad que los componentes de almacenamiento principales: es decir, el nivel de systemLog.component.storage.verbosity si está configurado o el nivel de verbosidad por defecto.

El nivel de verbosidad puede variar de 0 a 5:

• 0 es el nivel de verbosidad de registro por defecto de MongoDB, para incluir mensajes informativos.

• 1 a 5 aumenta el nivel de verbosidad para incluir mensajes de depuración.

systemLog.component.storage.recovery.verbosity

Tipo: entero

Por defecto: 0

El nivel de verbosidad de los mensajes de registro para los componentes relacionados con la recuperación. Consulte los componentes de RECOVERY.

Si systemLog.component.storage.recovery.verbosity no está configurado, el nivel de systemLog.component.storage.verbosity también se aplica a los componentes de recuperación.

El nivel de verbosidad puede variar de 0 a 5:

• 0 es el nivel de verbosidad de registro por defecto de MongoDB, para incluir mensajes informativos.

• 1 a 5 aumenta el nivel de verbosidad para incluir mensajes de depuración.

systemLog.component.storage.wt.verbosity

Tipo: entero

Por defecto: -1

Novedades en la versión 5.3.

El nivel de verbosidad de los mensajes de registro para los componentes relacionados con el motor de almacenamiento WiredTiger. Consulte los WT componentes.

El nivel de verbosidad puede variar de 0 a 5:

• 0 es el nivel de verbosidad de registro por defecto de MongoDB, para incluir mensajes informativos.

• 1 a 5 aumenta el nivel de verbosidad para incluir mensajes de depuración.

systemLog.component.storage.wt.wtBackup.verbosity

Tipo: entero

Por defecto: -1

Novedades en la versión 5.3.

El nivel de verbosidad de los mensajes de registro para los componentes relacionados con las operaciones de copia de seguridad realizadas por el motor de almacenamiento WiredTiger. Consulte los componentes de WTBACKUP.

El nivel de verbosidad puede variar de 0 a 5:

• 0 es el nivel de verbosidad de registro por defecto de MongoDB, para incluir mensajes informativos.

• 1 a 5 aumenta el nivel de verbosidad para incluir mensajes de depuración.

systemLog.component.storage.wt.wtCheckpoint.verbosity

Tipo: entero

Por defecto: -1

Novedades en la versión 5.3.

El nivel de verbosidad de los mensajes de registro para los componentes relacionados con las operaciones de punto de control realizadas por el motor de almacenamiento WiredTiger. Consulte los componentes de WTCHKPT.

El nivel de verbosidad puede variar de 0 a 5:

• 0 es el nivel de verbosidad de registro por defecto de MongoDB, para incluir mensajes informativos.

• 1 a 5 aumenta el nivel de verbosidad para incluir mensajes de depuración.

systemLog.component.storage.wt.wtCompact.verbosity

Tipo: entero

Por defecto: -1

Novedades en la versión 5.3.

El nivel de verbosidad de los mensajes de registro para los componentes relacionados con las operaciones de compactación realizadas por el motor de almacenamiento WiredTiger. Consulte los componentes de WTCMPCT.

El nivel de verbosidad puede variar de 0 a 5:

• 0 es el nivel de verbosidad de registro por defecto de MongoDB, para incluir mensajes informativos.

• 1 a 5 aumenta el nivel de verbosidad para incluir mensajes de depuración.

systemLog.component.storage.wt.wtEviction.verbosity

Tipo: entero

Por defecto: -1

Novedades en la versión 5.3.

El nivel de verbosidad de los mensajes de registro para los componentes relacionados con las operaciones de desalojo realizadas por el motor de almacenamiento WiredTiger. Consulte los componentes de WTEVICT.

El nivel de verbosidad puede variar de 0 a 5:

• 0 es el nivel de verbosidad de registro por defecto de MongoDB, para incluir mensajes informativos.

• 1 a 5 aumenta el nivel de verbosidad para incluir mensajes de depuración.

systemLog.component.storage.wt.wtHS.verbosity

Tipo: entero

Por defecto: -1

Novedades en la versión 5.3.

El nivel de verbosidad de los mensajes de registro para los componentes relacionados con las operaciones del almacén de historiales realizadas por el motor de almacenamiento WiredTiger. Consulte los componentes de WTHS.

El nivel de verbosidad puede variar de 0 a 5:

• 0 es el nivel de verbosidad de registro por defecto de MongoDB, para incluir mensajes informativos.

• 1 a 5 aumenta el nivel de verbosidad para incluir mensajes de depuración.

systemLog.component.storage.wt.wtRecovery.verbosity

Tipo: entero

Por defecto: -1

Novedades en la versión 5.3.

El nivel de verbosidad de los mensajes de registro para los componentes relacionados con las operaciones de recuperación realizadas por el motor de almacenamiento WiredTiger. Consulte los componentes de WTRECOV.

El nivel de verbosidad puede variar de 0 a 5:

• 0 es el nivel de verbosidad de registro por defecto de MongoDB, para incluir mensajes informativos.

• 1 a 5 aumenta el nivel de verbosidad para incluir mensajes de depuración.

systemLog.component.storage.wt.wtRTS.verbosity

Tipo: entero

Por defecto: -1

Novedades en la versión 5.3.

El nivel de verbosidad de los mensajes de registro para los componentes relacionados con las operaciones de rollback a estable (RTS) realizadas por el motor de almacenamiento WiredTiger. Consulte los componentes de WTRTS.

El nivel de verbosidad puede variar de 0 a 5:

• 0 es el nivel de verbosidad de registro por defecto de MongoDB, para incluir mensajes informativos.

• 1 a 5 aumenta el nivel de verbosidad para incluir mensajes de depuración.

systemLog.component.storage.wt.wtSalvage.verbosity

Tipo: entero

Por defecto: -1

Novedades en la versión 5.3.

El nivel de verbosidad de los mensajes de registro para los componentes relacionados con las operaciones de salvamento realizadas por el motor de almacenamiento WiredTiger. Consulte los componentes de WTSLVG.

El nivel de verbosidad puede variar de 0 a 5:

• 0 es el nivel de verbosidad de registro por defecto de MongoDB, para incluir mensajes informativos.

• 1 a 5 aumenta el nivel de verbosidad para incluir mensajes de depuración.

systemLog.component.storage.wt.wtTimestamp.verbosity

Tipo: entero

Por defecto: -1

Novedades en la versión 5.3.

El nivel de verbosidad de los mensajes de registro para los componentes relacionados con las marcas de tiempo utilizadas por el motor de almacenamiento WiredTiger. Consulte los componentes de WTTS.

El nivel de verbosidad puede variar de 0 a 5:

• 0 es el nivel de verbosidad de registro por defecto de MongoDB, para incluir mensajes informativos.

• 1 a 5 aumenta el nivel de verbosidad para incluir mensajes de depuración.

systemLog.component.storage.wt.wtTransaction.verbosity

Tipo: entero

Por defecto: -1

Novedades en la versión 5.3.

El nivel de verbosidad del registro para los componentes relacionados con las operaciones de transacción realizadas por el motor de almacenamiento WiredTiger. Consulte los componentes de WTTXN.

El nivel de verbosidad puede variar de 0 a 5:

• 0 es el nivel de verbosidad de registro por defecto de MongoDB, para incluir mensajes informativos.

• 1 a 5 aumenta el nivel de verbosidad para incluir mensajes de depuración.

systemLog.component.storage.wt.wtVerify.verbosity

Tipo: entero

Por defecto: -1

Novedades en la versión 5.3.

El nivel de verbosidad de los mensajes de registro para los componentes relacionados con las operaciones de verificación realizadas por el motor de almacenamiento WiredTiger. Consulte los componentes de WTVRFY.

El nivel de verbosidad puede variar de 0 a 5:

• 0 es el nivel de verbosidad de registro por defecto de MongoDB, para incluir mensajes informativos.

• 1 a 5 aumenta el nivel de verbosidad para incluir mensajes de depuración.

systemLog.component.storage.wt.wtWriteLog.verbosity

Tipo: entero

Por defecto: -1

Novedades en la versión 5.3.

El nivel de verbosidad de los mensajes de registro para los componentes relacionados con las operaciones de escritura de registros realizadas por el motor de almacenamiento WiredTiger. Consulte los componentes de WTWRTLOG.

El nivel de verbosidad puede variar de 0 a 5:

• 0 es el nivel de verbosidad de registro por defecto de MongoDB, para incluir mensajes informativos.

• 1 a 5 aumenta el nivel de verbosidad para incluir mensajes de depuración.

systemLog.component.transaction.verbosity

Tipo: entero

Por defecto: 0

El nivel de verbosidad de los mensajes de registro para los componentes relacionados con transacciones. Consulte los componentes de TXN.

El nivel de verbosidad puede variar de 0 a 5:

• 0 es el nivel de verbosidad de registro por defecto de MongoDB, para incluir mensajes informativos.

• 1 a 5 aumenta el nivel de verbosidad para incluir mensajes de depuración.

systemLog.component.write.verbosity

Tipo: entero

Por defecto: 0

El nivel de verbosidad de los mensajes de registro para los componentes relacionados con las operaciones de escritura. Consulte los componentes de WRITE.

El nivel de verbosidad puede variar de 0 a 5:

• 0 es el nivel de verbosidad de registro por defecto de MongoDB, para incluir mensajes informativos.

• 1 a 5 aumenta el nivel de verbosidad para incluir mensajes de depuración.

net.unixDomainSocket opciones

net:
   unixDomainSocket:
      enabled: <boolean>
      pathPrefix: <string>
      filePermissions: <int>

net.unixDomainSocket.enabled

Tipo: booleano

Por defecto: true

Habilita o deshabilita la escucha en el socket de dominio UNIX. net.unixDomainSocket.enabled solo se aplica a sistemas basados en Unix.

Cuando net.unixDomainSocket.enabled está true, mongos u mongod escucha en el socket UNIX.

El proceso mongos o mongod siempre escucha en el socket UNIX a menos que una de las siguientes condiciones sea verdadera:

• net.unixDomainSocket.enabled es false

• --nounixsocket está establecido. La opción de línea de comandos tiene prioridad sobre la configuración del archivo de configuración.

• net.bindIp no está configurado

• net.bindIp no especifica localhost ni su dirección IP asociada

mongos o mongod instalados desde los paquetes oficiales Instalar MongoDB Community Edition en Debian e Instalar MongoDB Community Edition en Red Hat o CentOS tienen la configuración bind_ip establecida en 127.0.0.1 por defecto.

net.unixDomainSocket.pathPrefix

Tipo: string

Por defecto: /tmp

La ruta para el socket UNIX. net.unixDomainSocket.pathPrefix se aplica únicamente a sistemas basados en Unix.

Si esta opción no tiene valor, el proceso mongos o el proceso mongod crea un socket con /tmp como prefijo. MongoDB crea y escucha en un socket UNIX a menos que se cumpla una de las siguientes condiciones:

• net.unixDomainSocket.enabled es false

• --nounixsocket está configurado

• net.bindIp no está configurado

• net.bindIp no especifica localhost ni su dirección IP asociada

net.unixDomainSocket.filePermissions

Tipo: int

Por defecto: 0700

Establece los permisos para el archivo de socket de dominio UNIX.

net.unixDomainSocket.filePermissions se aplica únicamente a sistemas basados en Unix.

net.tls opciones

net:
   tls:
      mode: <string>
      certificateKeyFile: <string>
      certificateKeyFilePassword: <string>
      certificateSelector: <string>
      clusterCertificateSelector: <string>
      clusterFile: <string>
      clusterPassword: <string>
      clusterAuthX509:
        attributes: <string>
        extensionValue: <string>
      CAFile: <string>
      clusterCAFile: <string>
      CRLFile: <string>
      allowConnectionsWithoutCertificates: <boolean>
      allowInvalidCertificates: <boolean>
      allowInvalidHostnames: <boolean>
      disabledProtocols: <string>
      FIPSMode: <boolean>
      logVersions: <string>

net.tls.mode

Tipo: string

Permite el uso de TLS en todas las conexiones de red. El argumento para la opción net.tls.mode puede ser uno de los siguientes:

Valor	Descripción
disabled	El servidor no usa TLS.
allowTLS	Las conexiones entre servidores no emplean TLS. Para las conexiones entrantes, el servidor acepta tanto TLS como conexiones no TLS.
preferTLS	Las conexiones entre servidores utilizan TLS. Para las conexiones entrantes, el servidor acepta tanto TLS como conexiones no TLS.
requireTLS	El servidor utiliza y acepta únicamente conexiones cifradas mediante TLS.

Si no se especifica --tlsCAFile o tls.CAFile, y no estás utilizando la autenticación X.509, debes establecer el parámetro tlsUseSystemCA en true. Esto hace que MongoDB utilice el almacén de certificados de CA de todo el sistema al conectarse a un servidor con TLS activado.

Si se utiliza la autenticación X.509, --tlsCAFile o tls.CAFile deben especificarse a menos que se utilice --tlsCertificateSelector.

Para obtener más información sobre TLS y MongoDB, consulta Configurar instancias de MongoDB para TLS/SSL en implementaciones autogestionadas y Configuración de TLS/SSL para clientes .

net.tls.certificateKeyFile

Tipo: string

El archivo .pem que contiene tanto el certificado como la llave TLS.

En macOS o Windows, puedes utilizar la opción net.tls.certificateSelector para especificar un certificado del almacén de certificados del sistema operativo en lugar de un archivo de clave PEM. certificateKeyFile y net.tls.certificateSelector son mutuamente excluyentes. Solo puedes especificar uno.

• En Linux/BSD, debes especificar net.tls.certificateKeyFile cuando TLS está habilitado.

• En Windows o macOS, debes especificar net.tls.certificateKeyFile o net.tls.certificateSelector cuando TLS está activado.

  Importante

  Solo para Windows, MongoDB no brinda soporte a archivos PEM cifrados. El mongod no se inicia si se encuentra con un archivo PEM cifrado. Para almacenar y acceder de forma segura a un certificado para su uso con TLS en Windows, usa net.tls.certificateSelector.

Para obtener más información sobre TLS y MongoDB, consulta Configurar instancias de MongoDB para TLS/SSL en implementaciones autogestionadas y Configuración de TLS/SSL para clientes .

net.tls.certificateKeyFilePassword

Tipo: string

La contraseña para descifrar el archivo de clave del certificado (es decir, certificateKeyFile). Utilice la opción net.tls.certificateKeyFilePassword solo si el archivo de clave del certificado está cifrado. En todos los casos, mongos o mongod elimina la contraseña de todos los registros y reportes de salida.

En Linux/BSD, si la llave privada en el archivo PEM está cifrada y no especifica la opción net.tls.certificateKeyFilePassword, MongoDB pedirá una frase de contraseña.

Para obtener más información, consulta Contraseña de certificado TLS/SSL

En macOS, si la llave privada del archivo PEM está cifrada, debes especificar explícitamente la opción net.tls.certificateKeyFilePassword. Alternativamente, puedes utilizar un certificado del almacenamiento seguro del sistema (consulta net.tls.certificateSelector) en lugar de un archivo de clave PEM o utilizar un archivo PEM sin cifrar.

En Windows, MongoDB no admite certificados cifrados. El mongod falla si encuentra un archivo PEM cifrado. Utiliza net.tls.certificateSelector en su lugar.

Para obtener más información sobre TLS y MongoDB, consulta Configurar instancias de MongoDB para TLS/SSL en implementaciones autogestionadas y Configuración de TLS/SSL para clientes .

net.tls.certificateSelector

Tipo: string

Especifica una propiedad de certificado para seleccionar un certificado coincidente del almacén de certificados del sistema operativo para usar en TLS/SSL. Disponible en Windows y macOS como alternativa a net.tls.certificateKeyFile.

net.tls.certificateKeyFile y net.tls.certificateSelector son opciones mutuamente excluyentes. Solo puedes especificar uno.

net.tls.certificateSelector acepta un argumento en el formato <property>=<value> donde la propiedad puede ser una de las siguientes:

Propiedad	Tipo de valor	Descripción
subject	string ASCII	Nombre del sujeto o nombre común en el certificado
thumbprint	cadena hexadecimal	Una secuencia de bytes, expresada en hexadecimal, utilizada para identificar una llave pública mediante su resumen SHA-1. El thumbprint a veces se conoce como fingerprint.

Al utilizar el almacén de certificados SSL del sistema, se emplea OCSP (Protocolo de estado de certificados en línea) para validar el estado de revocación de los certificados.

El mongod busca en el almacén seguro de certificados del sistema operativo los certificados de CA necesarios para validar toda la cadena de certificados del certificado TLS indicado. Específicamente, el almacén seguro de certificados debe incluir la CA raíz y cualquier certificado de CA intermedio necesario para compilar toda la cadena de certificados hasta el certificado TLS.

Advertencia

Si utilizas net.tls.certificateSelector y/o net.tls.clusterCertificateSelector, no recomendamos utilizar net.tls.CAFile o net.tls.clusterFile para especificar el certificado raíz e intermedio de la Autoridad de Certificación

Por ejemplo, si el certificado TLS se firmó con un certificado de CA raíz única, el almacén seguro de certificados debe contener ese certificado de CA raíz. Si el certificado TLS se firmó con un certificado de CA intermedia, el almacén de certificados seguro debe contener el certificado de CA intermedia y el certificado de CA raíz.

Nota

No puedes usar el comando rotateCertificates ni el método de shell db.rotateCertificates() cuando utilizas net.tls.certificateSelector o --tlsCertificateSelector configurado en thumbprint

net.tls.clusterCertificateSelector

Tipo: string

Especifica una propiedad de certificado para seleccionar un certificado que coincida en los almacenes seguros de certificados del sistema operativo y usarlo en la autenticación interna de membresía X.509.

Disponible en Windows y macOS como alternativa a net.tls.clusterFile.

net.tls.clusterFile y net.tls.clusterCertificateSelector son opciones mutuamente excluyentes. Solo puedes especificar uno.

net.tls.clusterCertificateSelector acepta un argumento en el formato <property>=<value> donde la propiedad puede ser una de las siguientes:

Propiedad	Tipo de valor	Descripción
subject	string ASCII	Nombre del sujeto o nombre común en el certificado
thumbprint	cadena hexadecimal	Una secuencia de bytes, expresada en hexadecimal, utilizada para identificar una llave pública mediante su resumen SHA-1. El thumbprint a veces se conoce como fingerprint.

El mongod busca en el almacén seguro de certificados del sistema operativo de los certificados de CA necesarios para validar toda la cadena de certificados del certificado de clúster indicado. Específicamente, el almacén seguro de certificados debe incluir la CA raíz y cualquier certificado de CA intermedio necesario para compilar toda la cadena de certificados hasta el certificado del clúster.

Advertencia

Si utilizas net.tls.certificateSelector y/o net.tls.clusterCertificateSelector, no recomendamos utilizar net.tls.CAFile o net.tls.clusterCAFile para especificar el certificado raíz e intermedio de la Autoridad de Certificación.

Por ejemplo, si el certificado del clúster se firmó con un certificado de CA raíz única, el almacén seguro de certificados debe contener ese certificado de CA raíz. Si el certificado del clúster se firmó con un certificado de CA intermedia, el almacén seguro de certificados debe contener el certificado de CA intermedia y el certificado de CA raíz.

mongod / mongos genera un registro de advertencia en la conexión si el certificado X.509 presentado caduca dentro de 30 días a partir de la hora del sistema host mongod/mongos.

net.tls.clusterFile

Tipo: string

El archivo .pem que contiene el archivo de clave de certificado X.509 para la autenticación de membresía del clúster o el set de réplicas.

En macOS o Windows, puedes utilizar la opción net.tls.clusterCertificateSelector para especificar un certificado de los almacenes de certificados del sistema operativo en lugar de un archivo de clave PEM. net.tls.clusterFile y net.tls.clusterCertificateSelector son opciones mutuamente excluyentes. Solo puedes especificar uno.

Si net.tls.clusterFile no especifica el archivo .pem para la autenticación interna del clúster o la alternativa net.tls.clusterCertificateSelector, el clúster utiliza el archivo .pem especificado en la configuración certificateKeyFile o el certificado devuelto por el net.tls.certificateSelector.

Si se utiliza la autenticación X.509, --tlsCAFile o tls.CAFile deben especificarse a menos que se utilice --tlsCertificateSelector.

mongod / mongos genera un registro de advertencia en la conexión si el certificado X.509 presentado caduca dentro de 30 días a partir de la hora del sistema host mongod/mongos.

Para obtener más información sobre TLS y MongoDB, consulta Configurar instancias de MongoDB para TLS/SSL en implementaciones autogestionadas y Configuración de TLS/SSL para clientes .

Importante

Solo para Windows, MongoDB no brinda soporte a archivos PEM cifrados. El mongod no se inicia si se encuentra con un archivo PEM cifrado. Para almacenar y acceder de forma segura a un certificado para su uso con la autenticación de membresía en Windows, utiliza net.tls.clusterCertificateSelector.

net.tls.clusterPassword

Tipo: string

La contraseña para descifrar el archivo de clave del certificado X.509 especificado con --sslClusterFile. Utiliza la opción net.tls.clusterPassword solo si el archivo de clave de certificado está cifrado. En todos los casos, mongos o mongod censura la contraseña de todos los registros y reportes.

En Linux/BSD, si la llave privada en el archivo X.509 está cifrada y no especificas la opción net.tls.clusterPassword, MongoDB solicita una frase de contraseña.

Para obtener más información, consulta Contraseña de certificado TLS/SSL

En macOS, si la llave privada del archivo X.509 está cifrada, debes especificar explícitamente la opción net.tls.clusterPassword. Alternativamente, también puedes usar un certificado del almacén seguro del sistema (consulta net.tls.clusterCertificateSelector) en lugar de un archivo PEM del clúster o usar un archivo PEM sin cifrar.

En Windows, MongoDB no admite certificados cifrados. El mongod falla si encuentra un archivo PEM cifrado. Utiliza net.tls.clusterCertificateSelector.

Para obtener más información sobre TLS y MongoDB, consulta Configurar instancias de MongoDB para TLS/SSL en implementaciones autogestionadas y Configuración de TLS/SSL para clientes .

net.tls.clusterAuthX509

Nuevo en la versión 7.0.

net:
   tls:
     clusterAuthX509:
       attributes: <string>
       extensionValue: <string>

net.tls.clusterAuthX509.attributes

Tipo: string

Nuevo en la versión 7.0.

Especifica un conjunto de atributos y valores de nombre distinguido (DN) X.509 que el servidor espera que los nodos miembros del clúster contengan en sus nombres de sujeto de certificado. Esto permite usar certificados que no contengan los valores DC, O ni OU para autenticar a los miembros del clúster.

Cuando se establece attributes, MongoDB compara los certificados utilizando el nombre distinguido e ignora los valores de las extensiones.

net.tls.clusterAuthX509.extensionValue

Tipo: string

Nuevo en la versión 7.0.

Especifica un valor de extensión que corresponde a la extensión de membresía del clúster MongoDB OID,. 1.3.6.1.4.1.34601.2.1.2El servidor espera que los nodos miembros del clúster incluyan esta extensión en sus certificados. Esto permite usar certificados DC sinO los OU valores, y para autenticar a los miembros del clúster.

Cuando configuras extensionValue, MongoDB empareja los certificados con valores de extensión de certificado e ignora el nombre distinguido (ND).

Cuando crees un certificado con OID 1.3.6.1.4.1.34601.2.1.2, considera las siguientes directrices:

• Manten el valor de la extensión por debajo de 128 bytes.

• Utiliza una única UTF8String como valor interno de la extensión. mongod no acepta otros tipos de string.

• Si utilizas OpenSSL, debes especificar explícitamente el tipo ASN.1, para que codifique una UTF8String. Por ejemplo:

  • En la línea de comandos, especifica -addext: 1.3.6.1.4.1.34601.2.1.2=ASN1:UTF8String:<your-value>.

  • En un archivo de configuración de OpenSSL, especifica 1.3.6.1.4.1.34601.2.1.2 = ASN1:UTF8String:<your-value>.

  Advertencia

  Si omites ASN1:UTF8String:, OpenSSL podría elegir una codificación diferente u octetos sin formato, que mongod rechaza con una etiqueta "no compatible" o una etiqueta de "DER desconocido".

net.tls.CAFile

Tipo: string

El archivo .pem que contiene la cadena de certificados raíz de la Autoridad de Certificación. Especifique el nombre del archivo .pem utilizando rutas relativas o absolutas.

Solo para Windows/macOS

Si utilizas net.tls.certificateSelector y/o net.tls.clusterCertificateSelector, no utiliza net.tls.CAFile para especificar los certificados CA raíz e intermedios. Almacena todos los certificados de CA necesarios para validar la cadena de confianza completa de los certificados net.tls.certificateSelector y/o net.tls.clusterCertificateSelector en el almacén seguro de certificados.

Para obtener más información sobre TLS y MongoDB, consulta Configurar instancias de MongoDB para TLS/SSL en implementaciones autogestionadas y Configuración de TLS/SSL para clientes .

net.tls.clusterCAFile

Tipo: string

El archivo .pem que contiene la cadena de certificados raíz de la Autoridad de Certificación utilizada para validar el certificado presentado por un cliente que establece una conexión. Especifique el nombre del archivo .pem utilizando rutas relativas o absolutas. net.tls.clusterCAFile requiere que net.tls.CAFile esté configurado.

Si net.tls.clusterCAFile no especifica el archivo .pem para validar el certificado de un cliente que establece una conexión, el clúster utiliza el archivo .pem especificado en la opción net.tls.CAFile.

net.tls.clusterCAFile le permite utilizar autoridades de certificación independientes para verificar las partes del protocolo de enlace TLS de cliente a servidor y de servidor a cliente.

A partir de 4.0, en macOS o Windows, puedes usar un certificado del almacén seguro del sistema operativo en lugar de un archivo de clave PEM. Consulta net.tls.clusterCertificateSelector. Cuando utilices el almacén seguro, no es necesario, pero puedes especificar también el net.tls.clusterCAFile.

Solo para Windows/macOS

Si utilizas net.tls.certificateSelector y/o net.tls.clusterCertificateSelector, no utiliza net.tls.clusterCAFile para especificar los certificados CA raíz e intermedios. Almacena todos los certificados de CA necesarios para validar la cadena de confianza completa de los certificados net.tls.certificateSelector y/o net.tls.clusterCertificateSelector en el almacén seguro de certificados.

Para obtener más información sobre TLS y MongoDB, consulta Configurar instancias de MongoDB para TLS/SSL en implementaciones autogestionadas y Configuración de TLS/SSL para clientes .

net.tls.CRLFile

Tipo: string

El archivo .pem que contiene la Lista de revocación de certificados. Especifique el nombre del archivo .pem utilizando rutas relativas o absolutas.

Nota

• No puedes especificar net.tls.CRLFile en macOS. En su lugar, puedes utilizar el almacén de certificados SSL del sistema, que emplea OCSP (Protocolo de Estado de Certificados en linea) para validar el estado de revocación de los certificados. Consulta net.tls.certificateSelector para usar el almacén de certificados SSL del sistema.

• Para verificar la revocación de certificados, MongoDB enables utiliza OCSP (Protocolo de Estado de Certificados en línea) por defecto como alternativa a especificar un archivo CRL o usar los almacenes de certificados SSL del sistema.

Para obtener más información sobre TLS y MongoDB, consulta Configurar instancias de MongoDB para TLS/SSL en implementaciones autogestionadas y Configuración de TLS/SSL para clientes .

net.tls.allowConnectionsWithoutCertificates

Tipo: booleano

Por defecto: false

Si es false, todos los clientes deben proporcionar certificados TLS de cliente. Si es true, los clientes no necesitan proporcionar certificados de cliente, pero mongod o mongos cifra la conexión TLS/SSL.

Si un cliente proporciona un certificado de cliente, independientemente del valor que establezcas para net.tls.allowConnectionsWithoutCertificates, mongos o mongod realiza la validación de certificados con la cadena de certificados raíz especificada por CAFile, o el almacén de CA del sistema si tlsUseSystemCA es true, y rechaza a los clientes con certificados no válidos.

Utiliza la opción net.tls.allowConnectionsWithoutCertificates si tienes una implementación mixta que incluye clientes que no presentan o no pueden presentar certificados al mongos o al mongod.

Para obtener más información sobre TLS y MongoDB, consulta Configurar instancias de MongoDB para TLS/SSL en implementaciones autogestionadas y Configuración de TLS/SSL para clientes .

net.tls.allowInvalidCertificates

Tipo: booleano

Por defecto: false

Active o desactive las comprobaciones de validación de certificados TLS en otros servidores del clúster y permita el uso de certificados no válidos para conectarse.

Nota

Si especificas --tlsAllowInvalidCertificates o tls.allowInvalidCertificates: true al utilizar la autenticación X.509, un certificado no válido es suficiente solo para establecer una conexión TLS, pero es insuficiente para la autenticación.

Al utilizar la configuración net.tls.allowInvalidCertificates, MongoDB registra una advertencia sobre el uso de un certificado inválido.

Para obtener más información sobre TLS y MongoDB, consulta Configurar instancias de MongoDB para TLS/SSL en implementaciones autogestionadas y Autenticación autogestionada interna y de miembros.

net.tls.allowInvalidHostnames

Tipo: booleano

Por defecto: false

Cuando net.tls.allowInvalidHostnames es true, MongoDB desactiva la validación de los nombres de host en los certificados TLS. Esto permite que mongod o mongos se conecten a otras instancias de MongoDB en el clúster, incluso si el nombre de host de sus certificados no coincide con el nombre de host especificado.

Para obtener más información sobre TLS y MongoDB, consulte Configurar instancias de MongoDB para TLS/SSL en implementaciones autogestionadas.

net.tls.disabledProtocols

Tipo: string

Impide que un servidor MongoDB que se ejecute con TLS acepte conexiones entrantes que utilicen un protocolo o protocolos específicos. Para especificar varios protocolos, utilice una lista de protocolos separada por comas, pero no utilice espacios después de las comas. Si incluye un espacio antes de un nombre de protocolo, el servidor lo interpreta como un protocolo no reconocido y no se inicia.

net.tls.disabledProtocols reconoce los siguientes protocolos: TLS1_0, TLS1_1, TLS1_2 y TLS1_3.

• En macOS, no puedes desactivar TLS1_1 y dejar TLS1_0 y TLS1_2 activados. Debes desactivar al menos uno de los otros dos, por ejemplo, TLS1_0,TLS1_1.

• Para listar varios protocolos, especifique como una lista separada por comas de protocolos sin espacios después de las comas. Por ejemplo TLS1_0,TLS1_1.

• Especificar un protocolo no reconocido o incluir un espacio después de una coma impide que el servidor se inicie.

• Los protocolos deshabilitados especificados anulan cualquier protocolo deshabilitado por defecto.

MongoDB desactiva el uso de TLS 1.0, si TLS 1.1+ está disponible en el sistema. Para habilitar TLS 1.0, especifica none en net.tls.disabledProtocols.

Los nodos de los sets de réplicas y los clústeres fragmentados deben tener al menos un protocolo en común.

Tip

Prohibir protocolos

net.tls.FIPSMode

Tipo: booleano

Por defecto: false

Se debe activar o desactivar el uso del modo FIPS de la biblioteca TLS para mongos o mongod. El sistema debe tener una biblioteca compatible con FIPS para usar la opción net.tls.FIPSMode.

Nota

TLS/SSL compatible con FIPS está disponible solo en MongoDB Enterprise. Ve Configurar MongoDB para FIPS si deseas obtener más información.

net.tls.logVersions

Tipo: string

Instruye a mongos o mongod para que registre un mensaje cuando un cliente se conecte utilizando una versión TLS especificada.

Especifique una única versión de TLS o una lista separada por comas de múltiples versiones de TLS.

Ejemplo

Para instruir a mongos o a mongod para que hagan un registro de un mensaje cuando un cliente se conecte usando TLS 1.2 o TLS 1.3, configure net.tls.logVersions a "TLS1_2,TLS1_3".

net.compression Opción

net:
   compression:
      compressors: <string>

net.compression.compressors

Default: snappy,zstd,zlib

Especifica el(los) compresor(es) por defecto que se utilizarán para la comunicación entre esta instancia mongod o mongos y:

• otros miembros de la implementación si la instancia es parte de un set de réplicas o un clúster

• mongosh

• controladores con soporte para el formato de mensaje OP_COMPRESSED.

MongoDB es compatible con los siguientes compresores:

• rápido

• zlib

• zstd

Para desactivar la compresión de red, establezca el valor en disabled.

Importante

Los mensajes se comprimen cuando ambas partes permiten la compresión de red. De lo contrario, los mensajes entre las partes no se comprimen.

Si especificas varios compresores, el orden en el que enumeres los compresores importa, al igual que el iniciador de la comunicación. Por ejemplo, si mongosh especifica los siguientes compresores de red zlib,snappy y mongod especifica snappy,zlib, los mensajes entre mongosh y mongod utiliza zlib.

Si las partes no comparten al menos un compresor común, los mensajes entre las partes no se comprimen. Por ejemplo, si mongosh especifica el compresor de red zlib y mongod especifica snappy, los mensajes entre mongosh y mongod no se comprimen.

Opciones de configuración de gestión de claves

security:
   enableEncryption: <boolean>
   encryptionCipherMode: <string>
   encryptionKeyFile: <string>
   kmip:
      keyIdentifier: <string>
      rotateMasterKey: <boolean>
      serverName: <string>
      port: <int>
      clientCertificateFile: <string>
      clientCertificatePassword: <string>
      clientCertificateSelector: <string>
      serverCAFile: <string>
      connectRetries: <int>
      connectTimeoutMS: <int>
      activateKeys: <boolean>
      keyStatePollingSeconds: <int>
      useLegacyProtocol: <boolean>

security.enableEncryption

Tipo: booleano

Por defecto: false

Permite el cifrado para el motor de almacenamiento WiredTiger. Debe configurarlo en true para pasar las llaves de cifrado y las configuraciones.

Nota

Característica de la empresa

Disponible solamente en MongoDB Enterprise.

security.encryptionCipherMode

Tipo: string

Por defecto: AES256-CBC

El modo de cifrado a utilizar para el cifrado en reposo:

Modo	Descripción
AES256-CBC	Estándar de cifrado avanzado de 256 bits en modo de encadenamiento de bloques de cifrado
AES256-GCM	Estándar de cifrado avanzado de 256 bits en modo Galois/Counter Disponible solo en Linux. MongoDB Enterprise en Windows ya no admite AES256-GCM como un cifrado de bloques para el cifrado en reposo. Este uso solo es compatible con Linux.

Nota

Característica de la empresa

Disponible solamente en MongoDB Enterprise.

security.encryptionKeyFile

Tipo: string

La ruta al archivo de clave local cuando se gestionan las claves mediante un proceso distinto al KMIP. Solo se configura cuando gestiones claves a través de un proceso distinto a KMIP. Si los datos ya están cifrados con KMIP, MongoDB genera un error.

Requiere que security.enableEncryption sea true.

Nota

Característica de la empresa

Disponible solamente en MongoDB Enterprise.

security.kmip.keyIdentifier

Tipo: string

Identificador único de KMIP para una clave existente dentro del servidor KMIP. Incluido para utilizar la clave asociada con el identificador como clave del sistema. Solo puedes usar la configuración la primera vez que actives el cifrado para la instancia mongod. Requiere que security.enableEncryption sea verdadero.

Si no se especifica, MongoDB hace una solicitud de que el servidor KMIP cree una nueva clave para usar como clave del sistema.

Si el servidor KMIP no puede localizar una clave con el identificador especificado o los datos ya están cifrados con una clave, MongoDB genera un error.

Nota

Característica de la empresa

Disponible solamente en MongoDB Enterprise.

security.kmip.rotateMasterKey

Tipo: booleano

Por defecto: false

Si es verdadero, rote la clave maestra y vuelva a cifrar el almacén de claves interno.

Nota

Característica de la empresa

Disponible solamente en MongoDB Enterprise.

Tip

Rotación de la clave maestra de KMIP

security.kmip.serverName

Tipo: string

Nombre de host o dirección IP del servidor KMIP al que conectarse. Requiere que security.enableEncryption sea verdadero.

Puede especificar varios servidores KMIP como una lista separada por comas; por ejemplo, server1.example.com,server2.example.com. Al iniciar, el mongod intenta establecer una conexión con cada servidor en el orden listado y selecciona el primer servidor con el que logra establecer una conexión con éxito. La selección del servidor KMIP solo ocurre al inicio.

mongod verifica la conexión al servidor KMIP al inicio.

El nombre del servidor especificado en security.kmip.serverName debe coincidir con el nombre alternativo del sujeto SAN o el nombre común CN en el certificado presentado por el servidor KMIP. SAN puede ser un nombre de sistema o una dirección IP.

Si SAN está presente, mongod no intenta coincidir con CN.

Si el nombre de host o la dirección IP del servidor KMIP no coincide con SAN ni con CN, mongod no se iniciará.

A partir de MongoDB 4.2, al realizar una comparación de SAN, MongoDB admite la comparación de nombres DNS o direcciones IP. En versiones anteriores, MongoDB solo admitía comparaciones de nombres DNS.

Nota

Característica de la empresa

Disponible solamente en MongoDB Enterprise.

security.kmip.port

Tipo: int

por defecto: 5696

Número de puerto que se debe usar para comunicarse con el servidor KMIP. Requiere security.kmip.serverName. Requiere que security.enableEncryption sea verdadero.

Si especificas varios servidores KMIP con security.kmip.serverName, el mongod usará el puerto especificado con security.kmip.port para todos los servidores KMIP proporcionados.

Nota

Característica de la empresa

Disponible solamente en MongoDB Enterprise.

security.kmip.clientCertificateFile

Tipo: string

Ruta al archivo .pem utilizado para autenticar MongoDB en el servidor KMIP. El archivo .pem especificado debe contener tanto el certificado TLS/SSL como la clave.

Para usar esta configuración, también debes especificar la configuración security.kmip.serverName.

Nota

A partir de 4.0, en macOS o Windows, puedes usar un certificado del almacén seguro del sistema operativo en lugar de un archivo de clave PEM. Consulta security.kmip.clientCertificateSelector.

Nota

Característica de la empresa

Disponible solamente en MongoDB Enterprise.

security.kmip.clientCertificatePassword

Tipo: string

La contraseña para descifrar la llave privada del certificado del cliente que se conecta al servidor KMIP. Esta opción autentica MongoDB al servidor KMIP y requiere que proporciones un --kmipClientCertificateFile.

Nota

Característica de la empresa

Disponible solamente en MongoDB Enterprise.

security.kmip.clientCertificateSelector

Tipo: string

Nuevo en la versión 5.0: Disponible en Windows y macOS como una alternativa a security.kmip.clientCertificateFile.

security.kmip.clientCertificateFile y security.kmip.clientCertificateSelector son opciones mutuamente excluyentes. Solo puedes especificar uno.

Especifica una propiedad del certificado para seleccionar un certificado coincidente de los almacenes de certificados del sistema operativo para autenticar MongoDB ante el servidor KMIP.

security.kmip.clientCertificateSelector acepta un argumento en el formato <property>=<value> donde la propiedad puede ser una de las siguientes:

Propiedad	Tipo de valor	Descripción
subject	string ASCII	Nombre del sujeto o nombre común en el certificado
thumbprint	cadena hexadecimal	Una secuencia de bytes, expresada en hexadecimal, utilizada para identificar una llave pública mediante su resumen SHA-1. El thumbprint a veces se conoce como fingerprint.

Nota

Característica de la empresa

Disponible solamente en MongoDB Enterprise.

security.kmip.serverCAFile

Tipo: string

Ruta al archivo de CA. Se utiliza para validar la conexión segura del cliente al servidor KMIP.

Nota

A partir de 4.0, en macOS o Windows, puedes usar un certificado del almacén seguro del sistema operativo en lugar de un archivo de clave PEM. Consulta security.kmip.clientCertificateSelector. Cuando utilices el almacén seguro, no es necesario, pero puedes especificar también el security.kmip.serverCAFile.

Nota

Característica de la empresa

Disponible solamente en MongoDB Enterprise.

security.kmip.connectRetries

Tipo: int

Por defecto: 0

Cuántas veces se debe reintentar la conexión inicial al servidor KMIP. Utilice junto con connectTimeoutMS para controlar cuánto tiempo el mongod espera una respuesta entre cada reintento.

Nota

Característica de la empresa

Disponible solamente en MongoDB Enterprise.

security.kmip.connectTimeoutMS

Tipo: int

Por defecto: 5000

Tiempo de espera en milisegundos para recibir una respuesta del servidor KMIP. Si se especifica el connectRetries, el mongod espera hasta el valor especificado con connectTimeoutMS para cada reintento.

El valor debe ser 1000 o mayor.

Nota

Característica de la empresa

Disponible solamente en MongoDB Enterprise.

security.kmip.activateKeys

Tipo: booleano

Por defecto: true

Novedades en la versión 5.3.

Activa todas las claves KMIP recién creadas al momento de su creación y luego verifica periódicamente que dichas claves estén en estado activo.

Cuando security.kmip.activateKeys es true y hay claves existentes en un servidor KMIP, primero debe activar la clave o el nodo mongod no se iniciará.

Si la clave que está utilizando el mongod pasa a un estado no activo, el nodo mongod se apaga a menos que kmipActivateKeys sea falso. Para asegurarse de que tiene una clave activa, rota la clave maestra KMIP usando security.kmip.rotateMasterKey.

security.kmip.keyStatePollingSeconds

Tipo: int

Por defecto: 900 segundos

Novedades en la versión 5.3.

Frecuencia en segundos a la que mongod sondea el servidor KMIP para obtener claves activas.

Para desactivar la función de sondeo, establezca el valor en -1.

security.kmip.useLegacyProtocol

Tipo: booleano

Por defecto: false

Nuevo en la versión 7.0: (y 6.0.6)

Cuando true, mongod utiliza la versión 1.0 o 1.1 del protocolo KMIP en lugar de la versión por defecto. El protocolo KMIP por defecto es la versión 1.2.

Para usar el cifrado de registros de auditoría con KMIP versión 1.0 o 1.1, debes especificar auditEncryptKeyWithKMIPGet al inicio.

Para utilizar la versión 1.0 o 1.1 del protocolo KMIP, sustituya sus valores locales y agregue una entrada como esta a su archivo de configuración mongod:

security:
  enableEncryption: true
  kmip:
    serverName: "mdbhost.somecompany.com"
    serverCAFile: "security/libs/trusted-ca.pem"
    clientCertificateFile: "security/libs/trusted-client.pem"
    useLegacyProtocol: true

security.sasl opciones

security:
   sasl:
      hostName: <string>
      serviceName: <string>
      saslauthdSocketPath: <string>

security.sasl.hostName

Tipo: string

Un nombre de dominio de servidor completamente calificado para el propósito de configurar la autenticación SASL y Kerberos. El nombre de host de SASL reemplaza el nombre de host solo para la configuración de SASL y Kerberos.

security.sasl.serviceName

Tipo: string

Nombre registrado del servicio que utiliza SASL. Esta opción le permite sobrescribir el componente de nombre de servicio por defecto de Kerberos del nombre principal de Kerberos, por instancia. Si no se especifica, el valor es por defecto mongodb.

MongoDB permite configurar esta opción solo al inicio. El setParameter no puede cambiar esta configuración.

Esta opción solo está disponible en MongoDB Enterprise.

Importante

Asegúrese de que su controlador tenga soporte para nombres de servicios alternativos. Para mongosh y otras herramientas de MongoDB para conectarse al nuevo serviceName, consulte la opción gssapiServiceName.

security.sasl.saslauthdSocketPath

Tipo: string

La ruta al archivo de socket del dominio UNIX para saslauthd.

security.ldap opciones

security:
   ldap:
      servers: <string>
      bind:
         method: <string>
         saslMechanisms: <string>
         queryUser: <string>
         queryPassword: <string | array>
         useOSDefaults: <boolean>
      transportSecurity: <string>
      timeoutMS: <int>
      retryCount: <int>
      userToDNMapping: <string>
      authz:
         queryTemplate: <string>
      validateLDAPServerConfig: <boolean>

security.ldap.servers

Tipo: string

Disponible solamente en MongoDB Enterprise.

El servidor LDAP contra el cual mongod o mongos autentica a los usuarios o determina qué acciones está autorizado a realizar un usuario en una base de datos dada. Si el servidor LDAP especificado tiene instancias replicadas, puede especificar el host y el puerto de cada servidor replicado en una lista delimitada por comas.

Si su infraestructura LDAP particiona el directorio LDAP entre varios servidores LDAP, especifique un servidor LDAP o cualquiera de sus instancias replicadas en. MongoDB admite las siguientes security.ldap.servers referencias LDAP, tal como se define en RFC..4511 4.110 No utilice para listar todos los servidores LDAP de su security.ldap.servers infraestructura.

Puedes anteponer a los servidores LDAP los prefijos srv: y srv_raw:.

Si la cadena de conexión especifica "srv:<DNS_NAME>", mongod verifica que "_ldap._tcp.gc._msdcs.<DNS_NAME>" existe para que SRV sea compatible con Active Directory. Si no se encuentra, mongod verifica que "_ldap._tcp.<DNS_NAME>" existe para SRV. Si no se encuentra un registro SRV, mongod advierte que se use "srv_raw:<DNS_NAME>" en cambio.

Si su cadena de conexión especifica "srv_raw:<DNS_NAME>", mongod realiza una búsqueda de un registro SRV para "<DNS NAME>".

Este ajuste se puede configurar en un mongod o mongos en ejecución usando setParameter.

Si no se configura, mongod o mongos no podrán usar autenticación o autorización por LDAP.

security.ldap.bind.queryUser

Tipo: string

Disponible solamente en MongoDB Enterprise.

La identidad con la que mongod o mongos se vincula al conectarse o realizar consultas en un servidor LDAP.

Solo es necesario si alguna de las siguientes condiciones es verdadera:

• Usando autorizacion LDAP.

• Uso de una query LDAP para security.ldap.userToDNMapping.

• El servidor LDAP no permite conexiones anónimas

Debe utilizar queryUser con queryPassword.

Si no se configura, mongod o mongos no intenta vincularse al servidor LDAP.

Este ajuste se puede configurar en un mongod o mongos en ejecución usando setParameter.

Nota

Las implementaciones de MongoDB en Windows pueden usar useOSDefaults en lugar de queryUser y queryPassword. No puedes especificar queryUser y useOSDefaults al mismo tiempo.

security.ldap.bind.queryPassword

Tipo: string o arreglo

Disponible solamente en MongoDB Enterprise.

La contraseña utilizada para enlazarse a un servidor LDAP al usar queryUser. Debes utilizar queryPassword con queryUser.

Si no está configurado, mongod o mongos no intenta conectarse al servidor LDAP.

Se puede configurar esta opción en un mongod o mongos en ejecución usando setParameter.

El comando ldapQueryPassword setParameter acepta una string o un arreglo de strings. Si ldapQueryPassword se establece en un arreglo, MongoDB intenta cada contraseña en orden hasta que una funcione. Utiliza un arreglo de contraseñas para cambiar la contraseña de la cuenta LDAP sin tiempo de inactividad.

Nota

Las implementaciones de MongoDB en Windows pueden usar useOSDefaults en lugar de queryUser y queryPassword. No puedes especificar queryPassword y useOSDefaults al mismo tiempo.

security.ldap.bind.useOSDefaults

Tipo: booleano

Por defecto: false

Disponible solo en MongoDB Enterprise para la plataforma Windows.

Permite que mongod o mongos se autentiquen o se vinculen utilizando sus credenciales de inicio de sesión de Windows al conectarse al servidor LDAP.

Solo es requerido si:

• Usando autorizacion LDAP.

• Uso de una query LDAP para username transformation.

• El servidor LDAP no permite conexiones anónimas

Utiliza useOSDefaults para reemplazar queryUser y queryPassword.

security.ldap.bind.method

Tipo: string

Por defecto: simple

Disponible solamente en MongoDB Enterprise.

El método mongod o mongos utiliza para autenticarse en un servidor LDAP. Utilízalo con queryUser y queryPassword para conectarse al servidor LDAP.

method admite los siguientes valores:

• simple - mongod o mongos utiliza autenticación simple.

• sasl - mongod o mongos utiliza el protocolo SASL para la autenticación

Si especificas sasl, puedes configurar los mecanismos SASL disponibles mediante security.ldap.bind.saslMechanisms. mongod o mongos usa el mecanismo DIGEST-MD5 por defecto.

security.ldap.bind.saslMechanisms

Tipo: string

Por defecto: DIGEST-MD5

Disponible solamente en MongoDB Enterprise.

Una lista separada por comas de mecanismos SASL mongod o mongos que puede usar al autenticarse en el servidor LDAP. El mongod o mongos y el servidor LDAP deben estar de acuerdo en al menos un mecanismo. El mongod o mongos carga dinámicamente cualquier biblioteca de mecanismos SASL instalada en el equipo host en tiempo de ejecución.

Instale y configure las bibliotecas adecuadas para el(los) mecanismo(s) SASL seleccionado(s) tanto en el host mongod como en el host mongos y en el host del servidor LDAP remoto. Su sistema operativo puede incluir ciertas bibliotecas SASL por defecto. Consulte la documentación asociada con cada mecanismo SASL para obtener orientación sobre la instalación y configuración.

Si utiliza el mecanismo SASL GSSAPI para usar con Autenticación con Kerberos en Implementaciones Autogestionadas, verifica lo siguiente para la máquina host mongod o mongos:

Linux

• La variable de entorno KRB5_CLIENT_KTNAME se resuelve en el nombre de los Archivos Keytab de Linux del cliente para la máquina host. Para obtener más información sobre las variables de entorno de Kerberos, consulta la documentación de Kerberos.

• El keytab del cliente incluye un principal de usuario para que mongod o mongos lo usen al conectarse al servidor LDAP y ejecutar queries LDAP.

Windows

Si se conecta a un servidor de Active Directory, la configuración de Windows Kerberos genera automáticamente un Ticket-Granting-Ticket cuando el usuario inicia sesión en el sistema. Configure useOSDefaults en true para permitir que mongod o mongos usen las credenciales generadas al conectarse al servidor de Active Directory y ejecutar queries.

Establece method en sasl para usar esta opción.

Nota

Para obtener una lista completa de los mecanismos SASL, se debe consultar el listado de IANA. Se debe consultar la documentación del servicio LDAP o Active Directory para identificar los mecanismos SASL compatibles con el servicio.

MongoDB no es una fuente de bibliotecas de mecanismos SASL, ni la documentación de MongoDB es una fuente definitiva para instalar o configurar cualquier mecanismo SASL. Para obtener documentación y soporte, consulte al proveedor o propietario de la biblioteca de mecanismos SASL.

Para obtener más información sobre SASL, consulte los siguientes recursos:

• Para Linux, consulta la documentación de Cyrus SASL.

• Para Windows, consulta la documentación de Windows SASL.

security.ldap.transportSecurity

Tipo: string

Por defecto: tls

Disponible solamente en MongoDB Enterprise.

Por defecto, mongod o mongos crea una conexión segura TLS/SSL al servidor LDAP.

Para las implementaciones de Linux, se debe configurar las opciones de TLS adecuadas en el archivo /etc/openldap/ldap.conf. El administrador de paquetes del sistema operativo crea este archivo como parte de la instalación de MongoDB Enterprise, a través de la dependencia libldap. Se debe consultar la documentación de TLS Options en la documentación ldap.conf de OpenLDAP para obtener instrucciones más completas.

Para la implementación de Windows, debe agregar los certificados CA del servidor LDAP a la herramienta de gestión de certificados de Windows. El nombre exacto y la funcionalidad de la herramienta pueden variar según la versión del sistema operativo. Consulte la documentación de su versión de Windows para obtener más información sobre la gestión de certificados.

Configura transportSecurity en none para desactivar TLS/SSL entre mongod o mongos y el servidor LDAP.

Advertencia

Configurar transportSecurity en none transmite información en texto plano y posiblemente credenciales entre mongod o mongos y el servidor LDAP.

security.ldap.timeoutMS

Tipo: int

Por defecto: 10000

Disponible solamente en MongoDB Enterprise.

La cantidad de tiempo en milisegundos que mongod o mongos debería esperar para que un servidor LDAP responda a una solicitud.

Incrementar el valor de timeoutMS puede evitar la falla de conexión entre el servidor MongoDB y el servidor LDAP, si la causa de la falla es un tiempo de espera de conexión. Disminuir el valor de timeoutMS reduce el tiempo que MongoDB espera una respuesta del servidor LDAP.

Este ajuste se puede configurar en un mongod o mongos en ejecución usando setParameter.

security.ldap.retryCount

Nuevo en la versión 6.1.

Tipo: int

Por defecto: 0

Disponible solamente en MongoDB Enterprise.

Cantidad de reintentos de operación por el administrador del servidor LDAP después de un error de red.

Este ajuste se puede configurar en un mongod o mongos en ejecución usando setParameter.

security.ldap.userToDNMapping

Tipo: string

Disponible solamente en MongoDB Enterprise.

Asocia el nombre de usuario proporcionado a mongod o mongos para la autenticación con un nombre distinguido (DN) de LDAP. Es posible que necesites utilizar userToDNMapping para transformar un nombre de usuario en un nombre distinguido LDAP en los siguientes casos:

• Realizar autenticación LDAP con enlace simple de LDAP, donde los usuarios se autentican en MongoDB con nombres de usuario que no son nombres distinguidos completos de LDAP.

• Utilizando un LDAP authorization query template que requiere un nombre distinguido.

• Transforma los nombres de usuario de los clientes que se autentican en Mongo DB mediante diferentes mecanismos de autenticación (por ejemplo, X.509, kerberos) a un nombre distinguido LDAP completo para la autorización.

userToDNMapping espera una cadena JSON entre comillas que represente un arreglo ordenado de documentos. Cada documento contiene una expresión regular match y una plantilla substitution o ldapQuery utilizada para transformar el nombre de usuario entrante.

Cada documento en el arreglo tiene la siguiente forma:

{
  match: "<regex>"
  substitution: "<LDAP DN>" | ldapQuery: "<LDAP Query>"
}

Campo	Descripción	Ejemplo
match	Una expresión regular (regex) con formato ECMAScript para hacer coincidir con un nombre de usuario proporcionado. Cada sección entre paréntesis representa un grupo de captura de regex utilizado por substitution o ldapQuery.	"(.+)ENGINEERING" "(.+)DBA"
substitution	Una plantilla de formato de nombre distinguido (DN) de LDAP que convierte el nombre de autenticación que coincide con la expresión regular match en un DN de LDAP. Cada valor numérico encerrado entre llaves se reemplaza por el grupo de captura de regex correspondiente extraído del nombre de usuario de autenticación mediante el regex match. El resultado de la sustitución debe ser una string escapada RFC4514.	"cn={0},ou=engineering, dc=example,dc=com"
ldapQuery	Una plantilla de formato de query LDAP que inserta el nombre de autenticación que coincide con la expresión regular match en un URI de query LDAP codificado respetando el RFC4515 y el RFC4516. Cada valor numérico encerrado entre llaves se reemplaza por el grupo de captura de regex correspondiente extraído del nombre de usuario de autenticación mediante la expresión match. mongod o mongos ejecuta la query contra el servidor LDAP para recuperar el nombre distinguido LDAP para el usuario autenticado. mongod o mongos requiere exactamente un resultado devuelto para que la transformación sea exitosa, o mongod o mongos omite esta transformación.	"ou=engineering,dc=example, dc=com??one?(user={0})"

Nota

Una explicación de RFC4514, RFC4515, RFC4516, o las consultas LDAP están excluidas de la documentación de MongoDB. Se debe revisar el RFC directamente o usar el recurso LDAP preferido.

Para cada documento del arreglo, debe usar substitution o ldapQuery. No puede especificar ambos en el mismo documento.

Al realizar la autenticación o autorización, mongod o mongos procesa cada documento del arreglo en el orden dado, verificando el nombre de usuario de autenticación contra el filtro match. Si se encuentra una coincidencia, mongod o mongos aplica la transformación y utiliza el resultado para autenticar al usuario. mongod o mongos no verifica los documentos restantes en el arreglo.

Si el documento proporcionado no coincide con el nombre de autenticación dado, mongod o mongos continúa revisando la lista de documentos para encontrar más coincidencias. Si no se encuentran coincidencias en ningún documento, o la transformación que describe el documento falla, mongod o mongos devolverá un error.

mongod o mongos también devuelve un error si una de las transformaciones no puede evaluarse debido a fallos de red o de autenticación en el servidor LDAP. mongod o mongos rechaza la solicitud de conexión y no verifica los documentos restantes en el arreglo.

A partir de MongoDB 5.0, userToDNMapping acepta un string vacío "" o un arreglo vacío [ ] en lugar de un documento de mapeo. Si proporcionas un string vacío o un arreglo vacío a userToDNMapping, MongoDB asigna el nombre de usuario autenticado como el nombre distinguido de LDAP. Anteriormente, proporcionar un documento de mapeo vacío provocaba que el mapeo fallara.

Ejemplo

A continuación, se muestran dos documentos de transformación. El primer documento coincide con cualquier string que termine en @ENGINEERING, colocando todo lo que preceda al sufijo en un grupo de captura de expresiones regulares. El segundo documento coincide con cualquier string que termine en @DBA, colocando todo lo que preceda al sufijo en un grupo de captura de expresiones regulares.

Importante

Debe pasar el arreglo a userToDNMapping como un string.

"[
   {
      match: "(.+)@ENGINEERING.EXAMPLE.COM",
      substitution: "cn={0},ou=engineering,dc=example,dc=com"
   },
   {
      match: "(.+)@DBA.EXAMPLE.COM",
      ldapQuery: "ou=dba,dc=example,dc=com??one?(user={0})"
   }
]"

Un usuario con el nombre de usuario alice@ENGINEERING.EXAMPLE.COM coincide con el primer documento. El grupo de captura de regex {0} corresponde al string alice. La salida resultante es el nombre distinguido "cn=alice,ou=engineering,dc=example,dc=com".

Un usuario con el nombre de usuario bob@DBA.EXAMPLE.COM coincide con el segundo documento. El grupo de captura de expresiones regulares {0} corresponde al string bob. La salida resultante es la query LDAP "ou=dba,dc=example,dc=com??one?(user=bob)". mongod o mongos ejecuta esta query contra el servidor LDAP, devolviendo el resultado "cn=bob,ou=dba,dc=example,dc=com".

Si userToDNMapping no está configurado, mongod o mongos no aplican ninguna transformación al nombre de usuario al intentar autenticar o autorizar a un usuario contra el servidor LDAP.

Esta configuración se puede establecer en un mongod o mongos en ejecución utilizando el comando de base de datos setParameter.

security.ldap.authz.queryTemplate

Tipo: string

Disponible solamente en MongoDB Enterprise.

Una URL de query LDAP relativa con formato conforme a RFC4515 y RFC4516 que mongod ejecuta para obtener los grupos LDAP a los que pertenece el usuario autenticado. La query es relativa al host o los hosts especificados en security.ldap.servers.

Nota

Para un mejor rendimiento, considera colocar los grupos LDAP utilizados para la autorización de MongoDB en su propia unidad organizativa (OU).

En la URL, puede utilizar los siguientes tokens de sustitución:

Token de sustitución	Descripción
{USER}	Sustituye el nombre de usuario autenticado o el nombre de usuario transformed si se especifica un userToDNMapping.
{PROVIDED_USER}	Sustituye el nombre de usuario proporcionado, es decir, antes de la autenticación o LDAP transformation.

Al crear la URL de consulta, asegúrese de que el orden de los parámetros LDAP respete RFC4516:

[ dn  [ ? [attributes] [ ? [scope] [ ? [filter] [ ? [Extensions] ] ] ] ] ]

Si su consulta incluye un atributo, mongod asume que la consulta recupera una lista de nombres distinguidos de los que esta entidad es un nodo.

Si su consulta no incluye un atributo, mongod asume que la consulta recupera todas las entidades de las que el usuario es un nodo.

Para cada nombre distinguido de LDAP devuelto por la consulta, mongod asigna al usuario autorizado un rol correspondiente en la base de datos admin. Si un rol en la base de datos admin coincide exactamente con el nombre distinguido, mongod otorga al usuario los roles y privilegios asignados a ese rol. Consulte el método db.createRole() para obtener más información sobre cómo crear roles.

Ejemplo

Esta query LDAP devuelve cualquier grupo listado en el atributo memberOf del objeto de usuario LDAP.

"{USER}?memberOf?base"

Su configuración LDAP puede no incluir el atributo memberOf como parte del esquema de usuario, puede poseer un atributo diferente para el reporte de la pertenencia a grupos, o puede no rastrear la pertenencia a grupos a través de los atributos. Configure su query con respecto a su propia configuración única de LDAP.

Si no se establece, mongod no puede autorizar a los usuarios usando LDAP.

Aunque puedas modificar el valor del parámetro ldapAuthzQueryTemplate en un mongod en ejecución mediante el comando de base de datos setParameter, no puedes habilitarlo ni deshabilitarlo durante el tiempo de ejecución. Para activar esta configuración, debes configurar security.ldap.authz.queryTemplate en su archivo de configuración durante la iniciación.

Nota

Una explicación de RFC4515, RFC4516 o de las queries LDAP está fuera del alcance de la documentación de MongoDB. Se debe revisar el RFC directamente o usar el recurso LDAP preferido.

security.ldap.validateLDAPServerConfig

Tipo: booleano

Por defecto: true

Disponible en MongoDB Enterprise

Una bandera que determina si la instancia mongod o mongos comprueba la disponibilidad de LDAP server(s) como parte de su iniciación:

• Si true, la instancia mongod o mongos realiza la verificación de disponibilidad y solo continúa iniciándose si el servidor LDAP está disponible.

• Si false, la instancia mongod o mongos omite la verificación de disponibilidad; es decir, la instancia se inicia incluso si el servidor LDAP no está disponible.

LDAP Parameters

setParameter.ldapUserCacheInvalidationInterval

Tipo: int

Por defecto: 30

Para su uso con servidores mongod que utilizan autorización LDAP en Implementaciones Autogestionadas.

El intervalo (en segundos) mongod espera entre los vaciados de caché de usuarios externos. Después de que mongod vacíe la caché de usuario externo, MongoDB vuelve a adquirir los datos de autorización del servidor LDAP la siguiente vez que un usuario autorizado por LDAP realice una operación.

Al aumentar el valor especificado, se incrementa el tiempo mongod y el servidor LDAP puede dejar de sincronizar, pero se reduce la carga en el servidor LDAP. Por el contrario, al disminuir el valor especificado, se reduce el tiempo mongod y el servidor LDAP puede dejar de sincronizar, aumentando la carga en el servidor LDAP.

setParameter:
   ldapUserCacheInvalidationInterval: <int>

storage.wiredTiger opciones

storage:
   wiredTiger:
      engineConfig:
         cacheSizeGB: <number>
         journalCompressor: <string>
         directoryForIndexes: <boolean>
         maxCacheOverflowFileSizeGB: <number>
      collectionConfig:
         blockCompressor: <string>
      indexConfig:
         prefixCompression: <boolean>

storage.wiredTiger.engineConfig.cacheSizeGB

Tipo: float

Define el tamaño máximo de la caché interna que WiredTiger utiliza para todos los datos. La memoria que consume la creación de índices (consulte maxIndexBuildMemoryUsageMegabytes) es independiente de la memoria caché de WiredTiger.

Los valores pueden variar entre 0.25 GB y 10000 GB.

Configuración de caché

El tamaño de caché interno por defecto de WiredTiger es el mayor de los siguientes:

• 50% de (RAM - 1GB), o

• 0.256 GB.

Por ejemplo, en un sistema con un total de 4GB de RAM, la caché de WiredTiger usa 1.5GB de RAM (0.5 * (4GB - 1GB) = 1.5 GB). Al proporcionar un tamaño de caché específico, asegúrese de que la RAM no supere los límites de 0.256GB a 10000GB.

Evite aumentar el tamaño de la caché interna de WiredTiger por encima de su valor predeterminado. Si su caso lo requiere, puede usar --wiredTigerCacheSizePct para tener en cuenta los cambios en la memoria debidos a la vertical. Debe especificar un porcentaje de hasta el 80% de la memoria disponible. Los valores calculados pueden variar entre 0.256GB y 10000GB. Por ejemplo, en un sistema con 2GB de RAM, --wiredTigerCacheSizePct no se puede establecer en 10 porque el 10% de 2GB es 0.2 GB, que es menor que 0.256GB.

Nota

En algunos casos, como al ejecutarse en un contenedor configurado para usar menos RAM que la memoria asignada al host, es necesario tener en cuenta los límites. Es posible que deba configurar la caché de WiredTiger con un valor adecuado, ya que WiredTiger podría no tener en cuenta los límites de memoria del contenedor específico en ciertos casos.

Para ver, el valor que WiredTiger utiliza como memory limit hostInfo la cantidad máxima de RAM disponible, utilice el comando.

Se debe evitar aumentar el tamaño de la caché interna de WiredTiger por encima de su valor por defecto.

Con WiredTiger, MongoDB utiliza tanto la caché interna de WiredTiger como la caché del sistema de archivos.

Con la caché del sistema de archivos, MongoDB utiliza automáticamente toda la memoria libre que no está siendo utilizada por la caché de WiredTiger ni por otros procesos.

Nota

El storage.wiredTiger.engineConfig.cacheSizeGB limita el tamaño de la caché interna de WiredTiger. El sistema operativo utiliza la memoria libre disponible para la caché del sistema de archivos, lo que permite que los archivos de datos comprimidos de MongoDB permanezcan en la memoria. Además, el sistema operativo utiliza cualquier RAM libre para almacenar en búfer los bloques del sistema de archivos y la caché del sistema de archivos.

Para acomodar a los consumidores adicionales de RAM, es posible que debas reducir el tamaño de la caché interna de WiredTiger.

El valor predeterminado del tamaño de la caché interna de WiredTiger asume que hay una sola mongod instancia por máquina. Si una sola máquina contiene varias instancias de MongoDB, debe reducir el valor para acomodar las otras instancias.mongod

Si ejecuta mongod en un contenedor (por ejemplo, lxc, cgroups, Docker, etc.) que no tiene acceso a toda la RAM disponible en un sistema, debe establecer storage.wiredTiger.engineConfig.cacheSizeGB en un valor inferior a la cantidad de RAM disponible en el contenedor. La cantidad exacta depende de los otros procesos que se ejecutan en el contenedor. Vea memLimitMB.

storage.wiredTiger.engineConfig.journalCompressor

Por defecto: snappy

Especifica el tipo de compresión que se debe usar para comprimir los datos de registro en la bitácora de WiredTiger.

Los compresores disponibles son:

• none

• rápido

• zlib

• zstd

storage.wiredTiger.engineConfig.directoryForIndexes

Tipo: booleano

Por defecto: false

Cuando storage.wiredTiger.engineConfig.directoryForIndexes es true, mongod almacena índices y colecciones en subdirectorios separados dentro de la carpeta de datos (es decir, el directorio storage.dbPath). Específicamente, mongod almacena los índices en un subdirectorio llamado index y los datos de la colección en un subdirectorio llamado collection.

Al utilizar un enlace simbólico, puedes especificar una ubicación diferente para los índices. Específicamente, cuando la instancia de mongod no esté en ejecución, mueve el subdirectorio index al destino y crea un enlace simbólico llamado index en el directorio de datos hacia el nuevo destino.

storage.wiredTiger.engineConfig.zstdCompressionLevel

Tipo: entero

Por defecto: 6

Especifica el nivel de compresión aplicado al usar el compresor zstd.

Los valores pueden variar entre 1 y 22.

Cuanto mayor sea el valor especificado para zstdCompressionLevel, mayor será la compresión que se aplicará.

Solo es aplicable cuando blockCompressor o journalCompressor (o ambos) están configurados en zstd.

Disponible a partir de MongoDB 5.0

storage.wiredTiger.collectionConfig.blockCompressor

Por defecto: snappy

Especifica la compresión por defecto para los datos de la colección. Puede anular esto por colección al crear colecciones.

Los compresores disponibles son:

• none

• rápido

• zlib

• zstd

storage.wiredTiger.collectionConfig.blockCompressor afecta a todas las colecciones creadas. Si cambias el valor de storage.wiredTiger.collectionConfig.blockCompressor en una implementación existente de MongoDB, todas las colecciones nuevas usarán el compresor especificado. Las colecciones existentes continúan utilizando el compresor especificado cuando se crearon, o el compresor por defecto en ese momento.

storage.wiredTiger.indexConfig.prefixCompression

Por defecto: true

Habilita o deshabilita Reducción de prefijo para los datos de índice.

Especifica true para storage.wiredTiger.indexConfig.prefixCompression para activar la reducción de prefijos para los datos de índice, o false para desactivar la reducción de prefijos para los datos de índice.

La configuración de storage.wiredTiger.indexConfig.prefixCompression afecta a todos los índices creados. Si cambias el valor de storage.wiredTiger.indexConfig.prefixCompression en una implementación de MongoDB existente, todos los índices nuevos utilizan la reducción de prefijo. Los índices existentes no se ven afectados.

storage.inmemory opciones

storage:
   inMemory:
      engineConfig:
         inMemorySizeGB: <number>

storage.inMemory.engineConfig.inMemorySizeGB

Tipo: float

Por defecto: 50 % de la RAM física menos 1 GB

Los valores pueden estar en un rango de 256 MB a 10 TB y pueden ser de tipo flotante.

Cantidad máxima de memoria a asignar para los datos del motor de almacenamiento en memoria, incluidos los índices, el oplog si el mongod es parte de un set de réplicas, metadatos de set de réplicas o de clúster fragmentado, etc.

Por defecto, el motor de almacenamiento en memoria utiliza el 50% de la RAM física menos 1 GB.

Nota

Característica de la empresa

Disponible solamente en MongoDB Enterprise.