MongoDB Ops Managerはバックアップジョブを暗号化できます。KubernetesOperator を使用して、 MongoDB Ops Manager の KMIP バックアップ暗号化を構成できます。詳細については、「暗号化されたバックアップ スナップショット」を参照してください。
制限
同じ Kubernetes Operator インスタンスが MongoDFOpsManager と MongoDB カスタム リソースの両方を管理していない配置の場合は、 MongoDFOpsManager カスタム リソースで KMIP バックアップ暗号化クライアント設定を手動で構成する必要があります。この要件には、各MongoDBデータベースのクライアント証明書を含めることが含まれます。これは、 MongoDB Ops Managerポッドの ステートメントをオーバーライドして証明書をマウントすることで実現できます。 詳細については、「 KMIP バックアップ暗号化の手動構成 」を参照してください。
手順
MongoDB Ops ManagerKMIP バックアップ暗号化を使用するように カスタム リソースを構成します。
spec.backup.encryption.kmip設定を構成します。
1 apiVersion: mongodb.com/v1 2 kind: MongoDBOpsManager 3 metadata: 4 name: om-backup-kmip 5 spec: 6 replicas: 1 7 version: 8.0.0 8 adminCredentials: ops-manager-admin-secret 9 backup: 10 encryption: 11 kmip: 12 server: 13 url: kmip.corp.mongodb.com:5696 14 ca: mongodb-kmip-certificate-authority-pem
クライアント証明書と秘密キーのシークレットを作成します。
次のコマンドを実行します:
kubectl -n mongodb create secret tls mongodb-kmip-client-pem-my-replica-set-kmip-client \ --cert=<path-to-cert-file> \ --key=<path-to-key-file>
クライアント証明書シークレット名には、MongoDB CustomResourceDefinitionから派生した次の命名規則があります。
<clientCertificatePrefix>-<objectMeta.name>-kmip-client
|
|
|
|
| Kubernetes 演算子が想定するサフィックスを修正しました。 |
詳細については、kubernetes.io/tls を参照してください。
MongoDB database 配置を構成します。
spec.backup.encryption.kmip設定を構成します。
1 apiVersion: mongodb.com/v1 2 kind: MongoDB 3 metadata: 4 name: my-replica-set 5 spec: 6 members: 3 7 version: 8.0.0 8 type: ReplicaSet 9 backup: 10 encryption: 11 kmip: 12 client: 13 clientCertificatePrefix: mongodb-kmip-client-pem