MongoDB admite el uso de directivas de expansión en los archivos de configuración para cargar valores obtenidos externamente. Las directivas de expansión pueden cargar valores para específicos Opciones del archivo de configuración o cargar todo el archivo de configuración. Las directivas de expansión ayudan a ocultar información confidencial como certificados de seguridad y contraseñas.
storage: dbPath: "/var/lib/mongo" systemLog: destination: file path: "/var/log/mongodb/mongod.log" net: bindIp: __exec: "python /home/user/getIPAddresses.py" type: "string" trim: "whitespace" digest: 85fed8997aac3f558e779625f2e51b4d142dff11184308dc6aca06cff26ee9ad digest_key: 68656c6c30303030307365637265746d796f6c64667269656e64 tls: mode: requireTLS certificateKeyFile: "/etc/tls/mongod.pem" certificateKeyFilePassword: __rest: "https://myrestserver.example.net/api/config/myCertKeyFilePassword" type: "string" digest: b08519162ba332985ac18204851949611ef73835ec99067b85723e10113f5c26 digest_key: 6d795365637265744b65795374756666
Si el archivo de configuración incluye el La expansión
__rest, en Linux/macOS, el acceso de lectura al archivo de configuración debe estar limitado únicamente al usuario que ejecuta el proceso demongod/mongos.Si el archivo de configuración incluye la expansión
__exec, en Linux/macOS, el acceso de escritura al archivo de configuración debe limitarse únicamente al usuario que ejecuta el procesomongod/mongos.
Para usar las directivas de expansión, debes especificar la opción de línea de comandos --configExpand con la lista completa de directivas de expansión utilizadas:
mongod --config "/path/to/config/mongod.conf" --configExpand "rest,exec"
Si omites la opción --configExpand o si no especificas la lista completa de directivas de expansión utilizadas en el archivo de configuración, la opción mongod/mongos devuelve un error y se termina. Solo puedes especificar la opción --configExpand en la línea de comandos.
Utiliza la directiva de expansión __rest
La __rest directiva de expansión carga los valores del archivo de configuración desde un endpoint de REST. __rest es compatible con la carga de valores específicos en el archivo de configuración o la carga de todo el archivo de configuración.
El siguiente archivo de configuración utiliza la directiva de expansión __rest para cargar el valor de configuración net.tls.certificateKeyFilePassword de un punto final externo REST:
storage: dbPath: "/var/lib/mongo" systemLog: destination: file path: "/var/log/mongodb/mongod.log" net: bindIp: 192.51.100.24,127.0.0.1 tls: mode: requireTLS certificateKeyFile: "/etc/tls/mongod.pem" certificateKeyFilePassword: __rest: "https://myrestserver.example.net/api/config/myCertKeyFilePassword" type: "string"
- Permiso de archivo
- Si el archivo de configuración incluye la expansión
__rest, en Linux/macOS, el acceso de lectura al archivo de configuración debe limitarse solo al usuario que ejecuta el procesomongod/mongos. - Análisis de expansión
Para analizar los bloques
__rest, inicia elmongod/mongoscon la opción--configExpand "rest".El
mongod/mongosemite una solicitudGETcontra la URL especificada. Si es exitoso, elmongod/mongosreemplaza el valor decertificateKeyFilePasswordcon el valor devuelto. Si la URL no se resuelve o si el terminalRESTretorna un valor inválido, elmongod/mongosproduce un error y termina el proceso.
El siguiente archivo de configuración utiliza la directiva de expansión __rest para cargar el archivo de configuración desde un endpoint externo de REST. La directiva de expansión y sus opciones deben ser los únicos valores especificados en el archivo de configuración.
__rest: "https://myrestserver.example.net/api/config/fullConfig" type: "yaml"
- Permiso de archivo
- Si el archivo de configuración incluye la expansión
__rest, en Linux/macOS, el acceso de lectura al archivo de configuración debe limitarse solo al usuario que ejecuta el procesomongod/mongos. - Análisis de expansión
Para analizar los bloques
__rest, inicia elmongod/mongoscon la opción--configExpand "rest".El
mongod/mongosemite una solicitudGETcontra la URL especificada. Si es exitoso, elmongod/mongosanaliza el archivo de configuraciónyamldevuelto y lo utiliza durante el inicio. Si la URL no se resuelve o devuelve un archivoyamlcon el formato correcto, elmongod/mongosarroja un error y termina.
Importante
Utiliza la directiva de expansión __exec
La directiva de expansión __exec carga valores del archivo de configuración desde un comando de shell o terminal. __exec admite cargar valores específicos en el archivo de configuración o cargar todo el archivo de configuración.
El siguiente ejemplo de archivo de configuración utiliza la directiva de expansión __exec para cargar el valor de la configuración net.tls.certificateKeyFilePassword a partir de la salida de un comando de shell o terminal:
storage: dbPath: "/var/lib/mongo" systemLog: destination: file path: "/var/log/mongodb/mongod.log" net: bindIp: 192.51.100.24,127.0.0.1 tls: mode: requireTLS certificateKeyFile: "/etc/tls/mongod.pem" certificateKeyFilePassword: __exec: "python /home/myUserName/getPEMPassword.py" type: "string"
- Permiso de archivo
- Si el archivo de configuración incluye la expansión
__exec, en Linux/macOS, el acceso de escritura al archivo de configuración debe limitarse únicamente al usuario que ejecuta el procesomongod/mongos. - Análisis de expansión
Para analizar los bloques
__exec, inicia elmongod/mongoscon la opción--configExpand "exec".El
mongod/mongosintenta ejecutar la operación especificada. Si el comando se ejecuta correctamente, elmongod/mongosreemplaza el valor decertificateKeyFilePasswordcon el valor devuelto. Si el comando falla o devuelve un valor no válido para el ajuste del archivo de configuración, elmongod/mongoslanza un error y finaliza.
El siguiente archivo de configuración de ejemplo utiliza la directiva de expansión __exec para cargar el archivo de configuración desde la salida de un comando de shell o terminal. La directiva de expansión __exec y sus opciones deben ser los únicos valores especificados en el archivo de configuración.
__exec: "python /home/myUserName/getFullConfig.py" type: "yaml"
- Permiso de archivo
- Si el archivo de configuración incluye la expansión
__exec, en Linux/macOS, el acceso de escritura al archivo de configuración debe limitarse únicamente al usuario que ejecuta el procesomongod/mongos. - Análisis de expansión
Para analizar los bloques
__exec, inicia elmongod/mongoscon la opción--configExpand "rest".Si el comando se ejecuta correctamente, el
mongod/mongosanaliza el archivo de configuraciónyamldevuelto y lo utiliza durante el inicio. Si el comando falla o devuelve un archivoyamlinválido, elmongod/mongosproduce un error y se termina.
Importante
Los datos devueltos al ejecutar la string __exec especificada no pueden incluir ninguna directiva de expansión adicional. El mongod/mongos no realiza un procesamiento adicional de los datos devueltos y terminará con un código de error si los datos devueltos incluyen directivas de expansión adicionales.
Referencia de las directrices de expansión
__restLa
__restdirectiva de expansión carga los valores del archivo de configuración desde un endpoint deREST.__restadmite la carga de valores específicos en el archivo de configuración o la carga de todo el archivo de configuración. Elmongod/mongoscomienza entonces a utilizar los valores obtenidos externamente como parte de su configuración.La directiva de expansión
__resttiene la siguiente sintaxis:Para especificar un endpoint de
RESTpara un ajuste o ajustes de archivo de configuración:<some configuration file setting>: __rest: "<string>" type: "string" trim: "none|whitespace" digest: "<string>" digest_key: "<string>" Para especificar un endpoint
RESTpara todo el archivo de configuración:__rest: "<string>" type: "yaml" trim: "none|whitespace" Si especificas el archivo de configuración completo vía el endpoint
REST, la directiva de expansión y sus opciones deben ser los únicos valores especificados en el archivo de configuración.
__restrequiere los siguientes campos:CampoTipoDescripciónstring
Requerido La URL ante la cual el
mongod/mongosemite una solicitudGETpara recuperar el valor obtenido externamente.Para puntos finales no localhost
REST(por ejemplo, un punto final deRESTalojado en un servidor remoto),__restrequiere URLs cifradas (https://) donde tanto la máquina host como el servidor remoto soporten TLS 1.1 o posterior.Si el endpoint
RESTespecificado en la URL requiere autenticación, codifique las credenciales en la URL con el formato estándar RFC 3986 User Information.Para los endpoints de localhost
REST(por ejemplo, un endpointRESTque escucha en la máquina host),__restpermite URLs sin cifrado (http://).IMPORTANTE: El valor devuelto por el extremo especificado de
RESTno puede incluir ninguna directiva de expansión adicional. Elmongod/mongosno realiza un procesamiento adicional de los datos devueltos y finalizará con un código de error si los datos devueltos incluyen directivas adicionales de expansión.typestring
Opcional Controla cómo
__restanaliza el valor devuelto desde la URL especificada.Los valores posibles son:
string(por defecto)Se indica a
__restque analice los datos devueltos como una string literal. Si se especificastring, todo el bloque__resty las opciones de soporte deben estar anidados bajo el campo para el cual se están cargando valores obtenidos externamente.yamlDirige a
__resta analizar los datos devueltos como un archivo con formatoyaml. Si se especificayaml, el bloque__restdebe ser el único contenido en el archivo de configuración. Lamongod/mongosreemplaza el contenido del archivo de configuración con elyamlrecuperado del recurso REST.
trimstring
Opcional Especifique
whitespacepara que__restrecorte cualquier espacio en blanco al principio o al final, específicamente las apariciones de" ","\r","\n","\t","\v"y"\f". Por defecto esnoneo no recorta.string
opcional. El resumen SHA-256 del resultado de la expansión.
Si se especifica, también debe especificar el digest_key.
string
Nota
Si el archivo de configuración incluye la expansión
__rest, en Linux/macOS, el acceso de lectura al archivo de configuración debe limitarse solo al usuario que ejecuta el procesomongod/mongos.Para habilitar el análisis de la directiva de expansión
__rest, inicie elmongod/mongoscon la opción--configExpand "rest".
Para ejemplos, consulte Usar la directiva de expansión
__rest.
__execLa directiva de expansión
__execcarga los valores del archivo de configuración a partir de la salida de un comando de shell o terminal.__execadmite la carga de valores específicos en el archivo de configuración o la carga de todo el archivo de configuración. Elmongod/mongoscomenzará entonces a utilizar los valores obtenidos externamente como parte de su configuración.La directiva de expansión
__exectiene la siguiente sintaxis:Para especificar un comando shell o de terminal para una configuración específica o configuraciones en un archivo de configuración:
<some configuration file setting>: __exec: "<string>" type: "string" trim: "none|whitespace" Para especificar un shell o comando de terminal para todo el archivo de configuración:
__exec: "<string>" type: "yaml" trim: "none|whitespace" Si se especifica todo el archivo de configuración a través de un comando de terminal o shell, la directiva de expansión y sus opciones deben ser los únicos valores especificados en el archivo de configuración.
__execrequiere los siguientes campos:CampoTipoDescripción__execstring
Obligatorio La string que el
mongod/mongosejecuta en el terminal o shell para recuperar el valor obtenido externamente.En los hosts Linux y OSX, la ejecución se gestiona mediante POSIX
popen(). En los hosts de Windows, la ejecución se gestiona a través de la API de control de procesos.__execabre una pipe de solo lectura como el mismo usuario que iniciómongodomongos.IMPORTANTE: Los datos devueltos al ejecutar el comando especificado no pueden incluir ninguna directiva de expansión adicional. El
mongod/mongosno realiza procesamiento adicional en los datos devueltos y terminará con un código de error si los datos devueltos incluyen directivas de expansión adicionales.typestring
Opcional Controla cómo
__execanaliza el valor devuelto por el comando ejecutado.Los valores posibles son:
string(por defecto )Se indica a
__execque analice los datos devueltos como una string literal. Si se especificastring, todo el bloque__execy las opciones de soporte deben estar anidados bajo el campo para el cual se están cargando valores obtenidos externamente.yamlDirige a
__execpara analizar los datos devueltos como un archivo con formatoyaml. Si se especificayaml, el bloque__execdebe ser el único contenido en el archivo de configuración. El/Lamongod/mongosreemplaza el contenido del archivo de configuración con los/asyamlrecuperados/as a partir del comando ejecutado.
trimstring
Opcional Especifique
whitespacepara que__execrecorte cualquier espacio en blanco al principio o al final, específicamente las apariciones de" ","\r","\n","\t","\v"y"\f". Por defecto esnoneo no recorta.string
opcional. El resumen SHA-256 del resultado de la expansión.
Si se especifica, también debe especificar la clave_digest
string
Nota
Si el archivo de configuración incluye la expansión
__exec, en Linux/macOS, el acceso de escritura al archivo de configuración debe limitarse únicamente al usuario que ejecuta el procesomongod/mongos.Para habilitar el análisis de las directivas de expansión de
__exec, inicia elmongod/mongoscon la opción--configExpand "exec".
Para ejemplos, consulte Usar la directiva de expansión
__exec.
Genere el archivo de configuración con los valores resueltos de la directiva de expansión
Puede probar el resultado final de un archivo de configuración que especifique una o más directivas de expansión iniciando el mongod/mongos con la opción --outputConfig. Un mongod/mongos iniciado con --outputConfig emite el documento de configuración YAML resuelto en stdout y se detiene. Si cualquier directiva de expansión especificada en el archivo de configuración devuelve directivas de expansión adicionales, la mongod/mongos lanza un error y termina.
Advertencia
La opción --outputConfig devuelve los valores resueltos para cualquier campo usando una directiva de expansión. Esto incluye cualquier información privada o sensible previamente ocultada mediante una fuente externa para la opción de configuración.
Por ejemplo, el siguiente archivo de configuración mongod.conf contiene una directiva de expansión __rest:
storage: dbPath: "/var/lib/mongo" systemLog: destination: file path: "/var/log/mongodb/mongod.log" net: port: __rest: "https://mongoconf.example.net:8080/record/1" type: string
La string grabada en la URL especificada es 20128
Si el archivo de configuración incluye la expansión __rest, en Linux/macOS, el acceso de lectura al archivo de configuración debe limitarse solo al usuario que ejecuta el proceso mongod / mongos.
Inicia el mongod con las opciones --configExpand "rest" y --outputConfig:
mongod -f mongod.conf --configExpand rest --outputConfig
El mongod emite lo siguiente a stdout antes de finalizar:
config: mongod.conf storage: dbPath: "/var/lib/mongo" systemLog: destination: file path: "/var/log/mongodb/mongod.log" net: port: 20128 outputConfig: true