MongoDB Ops Manager 는 백업 작업을 암호화할 수 있습니다. Kubernetes Operator를 사용하여 MongoDB Ops Manager 에 대한KMIP 백업 암호화를구성할 수 있습니다. 자세한 내용은 암호화된 백업 스냅샷을 참조하세요.
제한 사항
동일한 Kubernetes Operator 인스턴스 가 MongoDBOpsManager 및 MongoDB 사용자 지정 리소스를 모두 관리하지 않는 배포서버의 경우, MongoDBOpsManager 사용자 지정 리소스 에서 KMIP 백업 암호화 클라이언트 설정을 수동으로 구성해야 합니다. 이 요구 사항에는 각 MongoDB 데이터베이스 에 대한 클라이언트 인증서를 포함하는 작업이 포함되며, 이는 MongoDB Ops Manager 파드의 StatefulSet를 재정의하여 인증서를 마운트하면 됩니다. 학습 내용은 KMIP 백업 암호화 수동 구성을 참조하세요.
절차
KMIP 백업 암호화 사용하도록 Ops Manager사용자 지정 리소스 구성합니다.
spec.backup.encryption.kmip 설정을 구성합니다.
1 apiVersion: mongodb.com/v1 2 kind: MongoDBOpsManager 3 metadata: 4 name: om-backup-kmip 5 spec: 6 replicas: 1 7 version: 6.0.0 8 adminCredentials: ops-manager-admin-secret 9 backup: 10 encryption: 11 kmip: 12 server: 13 url: kmip.corp.mongodb.com:5696 14 ca: mongodb-kmip-certificate-authority-pem
클라이언트 인증서 및 비공개 키의 시크릿 를 생성합니다.
다음 명령을 실행합니다:
kubectl -n mongodb create secret tls mongodb-kmip-client-pem-my-replica-set-client-kmip \ --cert=<path-to-cert-file> \ --key=<path-to-key-file>
클라이언트 인증서 시크릿 이름은 MongoDB CustomResourceDefinition 에서 추론한 다음과 같은 명명 규칙을 가집니다.
<clientCertificatePrefix>-<objectMeta.name>-client-kmip
| CustomResourceDefinition 의 필드 에 지정된 사람이 읽을 수 있는 레이블입니다. |
| CustomResourceDefinition 의 필드 에 지정된 사람이 읽을 수 있는 레이블입니다. |
| Kubernetes 연산자가 가정하는 고정 접미사. |
자세한 학습 은 kubernetes.io/tls를 참조하세요.
MongoDB database 데이터베이스 배포를 구성합니다.
spec.backup.encryption.kmip 설정을 구성합니다.
1 apiVersion: mongodb.com/v1 2 kind: MongoDB 3 metadata: 4 name: my-replica-set 5 spec: 6 members: 3 7 version: 4.0.20 8 type: ReplicaSet 9 backup: 10 encryption: 11 kmip: 12 client: 13 clientCertificatePrefix: mongodb-kmip-client-pem