の KMIP 保管時の暗号化を構成する

MongoDB Enterprise Kubernetes演算子は非推奨です。新しい MongoDB Controls for Kubernetes Operator が、 MongoDB Enterprise Kubernetes Operator に置き換わります。Kubernetes Operator 用のドライバーの最初のバージョンは、 Enterprise Kubernetes Operatorの v1.33 と機能的に同等です。この変更の詳細と、新しい演算子への移行に関するガイダンスについては、最初の新しいバージョンのリリースノートを参照してください。MongoDB Enterprise Kubernetes Operator の今後のリリースは予定されません。各バージョンは、既存の 1 年間のサポートポリシーに従ってサポートが終了します。継続的なサポートについては、 Kubernetes Operator 用のコントロールに移行してください。

KMIP サーバーを使用して、Kubernetes Operator によって管理される MongoDB 配置で保管時の暗号化を構成できます。

Considerations

保管時の暗号化を構成する前に、以下の点を考慮してください。

実行中のKMIPサーバーが必要です。
キーファイルベースの保管時の暗号化を使用する配置をKMIPベースの保管時の暗号化に移行することはできません。
すでに配置されている MongoDB リソースに対して保管時のKMIP暗号化を有効にする場合は、 MongoDB サポートにお問い合わせください。

手順

次の手順では、MongoDB レプリカセットのサンプルKMIP構成を構成する方法について説明します。配置に必要なファイル名とパス、Kubernetes 名前空間、リソース名、MongoDB バージョンを調整します。

CA の ConfigMap を作成します。

以下のコマンドを実行して ConfigMap を作成します KMIP サーバーの証明書に署名した CA を保持するため

kubectl -n mongodb create configmap mongodb-kmip-certificate-authority-pem --from-file=ca.pem

クライアント証明書と秘密キー PEM のシークレットを作成します。

以下のコマンドを実行してシークレットを作成します、 KMIP サーバーからマスターキーをチェックアウトするために、連結されたクライアント証明書と秘密キーを保持します。

kubectl -n mongodb create secret generic mongodb-kmip-client-pem --from-file=cert.pem

KMIPサーバーを使用するように配置を構成します。

カスタムリソースで設定を構成するadditionalMongodConfig KMIP サーバーを使用するための仕様。例:

apiVersion: mongodb.com/v1
kind: MongoDB
metadata:
  name: kmip
  namespace: mongodb
spec:
  type: ReplicaSet
  members: 3
  backup:
    encryption:
      kmip:
        client:
          clientCertificatePrefix: "mdb"
  additionalMongodConfig:
    security:
      enableEncryption: true
      kmip:
        clientCertificateFile: /kmip/cert/cert.pem
        serverCAFile: /kmip/ca/ca.pem
        serverName: pykmip-server.pymongo
        port: 5696
  featureCompatibilityVersion: '8.0'
  version: 8.0.0
  opsManager:
    configMapRef:
      name: my-project
  credentials: my-credentials
  podSpec:
    podTemplate:
      spec:
        containers:
          - name: mongodb-enterprise-database
            volumeMounts:
              - name: mongodb-kmip-client-pem
                mountPath: /kmip/cert
              - name: mongodb-kmip-certificate-authority-pem
                mountPath: /kmip/ca
        volumes:
          - name: mongodb-kmip-client-pem
            secret:
              secretName: mongodb-kmip-client-pem
          - name: mongodb-kmip-certificate-authority-pem
            configMap:
              name: mongodb-kmip-certificate-authority-pem
              items:
                - key: ca.pem
                  path: ca.pem

重要

spec.backup.encryption.kmipリソースで設定を設定する場合、の値にリンクされた APIspec.credentials Global Ownerキーにはロールが必要です。

戻る

暗号化の設定

認証を有効にする