미사용 KMIP 암호화 구성

MongoDB 엔터프라이즈 Kubernetes Operator는 더 이상 사용되지 않습니다. The new Kubernetes Operator용 MongoDB 컨트롤러 가 MongoDB 엔터프라이즈 Kubernetes Operator를 대체합니다. Kubernetes Operator용 컨트롤러의 첫 번째 버전은 Enterprise Kubernetes Operator 의 v1.33 버전과 기능적으로 동일합니다. 이 변경 사항에 대한 자세한 내용과 새 연산자로 마이그레이션하는 방법에 대한 지침은 첫 번째 새 버전의 출시 노트 를 참조하세요. MongoDB 엔터프라이즈 Kubernetes Operator의 향후 릴리스는 없을 예정입니다. 각 버전은 기존 1년 지원 정책에 따라 수명이 종료됩니다. 지속적인 지원 받으려면 Kubernetes Operator용 컨트롤러로 마이그레이션 하세요.

KMIP서버 를 사용하여 Kubernetes Operator가 managed 하는 MongoDB deployment 에 대한 미사용 데이터 미사용 데이터 암호화 구성할 수 있습니다.

고려 사항

미사용 데이터 암호화를 구성하기 전에 다음 사항을 고려하세요.

실행 중인 KMIP 서버가 있어야 합니다.
키파일 기반 미사용 데이터 암호화를 사용하는 배포는 KMIP기반 미사용 데이터 암호화로 전환할 수 없습니다.
이미 배포된 MongoDB 리소스에 대해 미사용 KMIP 암호화를 활성화하려면 MongoDB 지원팀 에 문의하세요.

절차

다음 절차에서는 MongoDB 복제본 세트에 대한 샘플 KMIP 구성을 구성하는 방법을 설명합니다. 배포에 필요한 대로 파일 이름 및 경로, Kubernetes 네임스페이스, 리소스 이름, MongoDB 버전을 조정합니다.

CA의 ConfigMap을 만듭니다.

다음 명령을 실행하여 KMIP서버의 인증서에 서명한 CA를 저장할 ConfigMap을 만듭니다.

kubectl -n mongodb create configmap mongodb-kmip-certificate-authority-pem --from-file=ca.pem

클라이언트 인증서 및 개인 키 PEM에 대한 비밀을 생성합니다.

다음 명령을 실행하여 KMIP 서버 에서 마스터 키를 체크아웃하기 위한 연결된 클라이언트 인증서와 비공개 키를 보관할 시크릿을 생성합니다.

kubectl -n mongodb create secret generic mongodb-kmip-client-pem --from-file=cert.pem

KMIP 서버 를 사용하도록 배포서버 서버를 구성합니다.

사용자 additionalMongodConfig 지정 리소스 사양에서 설정을 구성하여 KMIP 서버 사용합니다. 예시 를 들면 다음과 같습니다.

apiVersion: mongodb.com/v1
kind: MongoDB
metadata:
  name: kmip
  namespace: mongodb
spec:
  type: ReplicaSet
  members: 3
  backup:
    encryption:
      kmip:
        client:
          clientCertificatePrefix: "mdb"
  additionalMongodConfig:
    security:
      enableEncryption: true
      kmip:
        clientCertificateFile: /kmip/cert/cert.pem
        serverCAFile: /kmip/ca/ca.pem
        serverName: pykmip-server.pymongo
        port: 5696
  featureCompatibilityVersion: '6.0'
  version: 6.0.14-ent
  opsManager:
    configMapRef:
      name: my-project
  credentials: my-credentials
  podSpec:
    podTemplate:
      spec:
        containers:
          - name: mongodb-enterprise-database
            volumeMounts:
              - name: mongodb-kmip-client-pem
                mountPath: /kmip/cert
              - name: mongodb-kmip-certificate-authority-pem
                mountPath: /kmip/ca
        volumes:
          - name: mongodb-kmip-client-pem
            secret:
              secretName: mongodb-kmip-client-pem
          - name: mongodb-kmip-certificate-authority-pem
            configMap:
              name: mongodb-kmip-certificate-authority-pem
              items:
                - key: ca.pem
                  path: ca.pem

중요

spec.backup.encryption.kmip 리소스에서 설정을 지정하는 경우 값으로 연결된 API 키에 역할이 spec.credentials Global Owner 있어야 합니다.

돌아가기

암호화 구성

인증 활성화