KMIP 保管時の暗号化を構成する

このバージョンのドキュメントはアーカイブされてサポートされなくなり、 MongoDB Enterprise Kubernetes Operatorは非推奨になります。新しい MongoDB コントローラー for Kubernetes 演算子が、MongoDB Enterprise Kubernetes Operator に置き換わります。Kubernetes 演算子の最初のバージョンは、 Enterprise Kubernetes Operatorの最後のバージョン（ v1.33 ）と機能的に同等です。この変更の詳細と、新しい演算子への移行に関するガイダンスについては、最初の新しいバージョンのリリースノートを参照してください。MongoDB Enterprise Kubernetes Operator の今後のリリースは予定されません。各バージョンは、既存の 1 年間のサポートポリシーに従い、サポートが終了します。継続的なサポートについては、Kubernetes 用の演算子に移行してください。

KMIP サーバーを使用して、Kubernetes Operator によって管理される MongoDB 配置で保管時の暗号化を構成できます。

Considerations

保管時の暗号化を構成する前に、以下の点を考慮してください。

実行中のKMIPサーバーが必要です。
キーファイルベースの保管時の暗号化を使用する配置をKMIPベースの保管時の暗号化に移行することはできません。
すでに配置されている MongoDB リソースに対して保管時のKMIP暗号化を有効にする場合は、 MongoDB サポートにお問い合わせください。

手順

次の手順では、MongoDB レプリカセットのサンプルKMIP構成を構成する方法について説明します。配置に必要なファイル名とパス、Kubernetes 名前空間、リソース名、MongoDB バージョンを調整します。

CA の ConfigMap を作成します。

次のコマンドを実行して、KMIP サーバーの証明書に署名した CA を保持するための ConfigMap を作成します。

kubectl -n mongodb create configmap mongodb-kmip-certificate-authority-pem --from-file=ca.pem

クライアント証明書と秘密キー PEM のシークレットを作成します。

次のコマンドを実行して、KMIPサーバーからマスターキーをチェックアウトするために、連結されたクライアント証明書と秘密キーを保持するためのシークレットを作成します。

kubectl -n mongodb create secret generic mongodb-kmip-client-pem --from-file=cert.pem

KMIPサーバーを使用するように配置を構成します。

additionalMongodConfigKMIPサーバーを使用するようにカスタムリソース仕様で設定を構成します。（例: ）。

apiVersion: mongodb.com/v1
kind: MongoDB
metadata:
  name: kmip
  namespace: mongodb
spec:
  type: ReplicaSet
  members: 3
  backup:
    encryption:
      kmip:
        client:
          clientCertificatePrefix: "mdb"
  additionalMongodConfig:
    security:
      enableEncryption: true
      kmip:
        clientCertificateFile: /kmip/cert/cert.pem
        serverCAFile: /kmip/ca/ca.pem
        serverName: pykmip-server.pymongo
        port: 5696
  featureCompatibilityVersion: '6.0'
  version: 6.0.14-ent
  opsManager:
    configMapRef:
      name: my-project
  credentials: my-credentials
  podSpec:
    podTemplate:
      spec:
        containers:
          - name: mongodb-enterprise-database
            volumeMounts:
              - name: mongodb-kmip-client-pem
                mountPath: /kmip/cert
              - name: mongodb-kmip-certificate-authority-pem
                mountPath: /kmip/ca
        volumes:
          - name: mongodb-kmip-client-pem
            secret:
              secretName: mongodb-kmip-client-pem
          - name: mongodb-kmip-certificate-authority-pem
            configMap:
              name: mongodb-kmip-certificate-authority-pem
              items:
                - key: ca.pem
                  path: ca.pem

重要

spec.backup.encryption.kmipリソースで設定を設定する場合、の値にリンクされた APIspec.credentials Global Ownerキーにはロールが必要です。

戻る

暗号化の設定

認証を有効にする