为 CSFLE 安装和配置 mongocryptd

在此页面上

概述

安装
配置
举例

MongoDB 7.0 及更高版本推出了 MongoDB Queryable Encryption 功能 (GA)。要了解有关 Queryable Encryption 的更多信息，并比较它与客户端字段级加密的优势，请参阅 Queryable Encryption。

概述

注意

Enterprise 版功能

字段级加密的自动功能仅在 MongoDB Enterprise 4.2 或更高版本以及 MongoDB Atlas 4.2 或更高版本集群中可用。

mongocryptd 随 MongoDB Enterprise Server 一起安装。

当您创建启用了 CSFLE 的 MongoDB 客户端时，默认情况下会自动启动mongocryptd进程。

mongocryptd 进程：

使用指定的自动加密规则对读写操作中的字段进行标记，以便加密。
防止在加密字段上执行不支持的操作。
分析为数据库连接指定的加密模式。自动加密规则使用严格的 JSON Schema 语法子集。如果规则包含无效的自动加密语法或任何 document validation 语法，mongocryptd 将返回错误。

mongocryptd 仅执行上述功能，不执行以下任何操作：

mongocryptd 不进行加密或解密
mongocryptd 不访问任何加密密钥材料
mongocryptd 不监听网络

要执行客户端字段级加密和自动解密，驱动程序使用 Apache 许可的 libmongocrypt 库

官方 MongoDB 4 . 2 + 兼容驱动程序、 mongosh和4 。 2或更高版本的旧版mongo Shell 需要访问客户端主机上的mongocryptd进程。默认情况下，这些客户端在系统 PATH 中搜索mongocryptd进程。

安装

对于支持的 Linux 操作系统，按照在 Linux 上安装教程安装 Server 包，遵循安装文档说明并安装 mongodb-enterprise Server 包。或者，指定 mongodb-enterprise-cryptd，仅安装 mongocryptd 二进制文件。包管理器将二进制文件安装到系统 PATH 的某个位置（例如 /usr/bin/）

对于 OSX，请按照在 MacOS 上安装教程安装 Server 包。包管理器将二进制文件安装到系统 PATH 的某个位置。

对于 Windows，请按照在 Windows 上安装教程安装 Server 包。安装后，您必须将 mongocryptd 包添加到系统 PATH。有关将 mongocryptd 二进制文件添加到系统 PATH 的说明，遵循 Windows 安装文档的最佳实践。

如果通过官方 Tarball 或 ZIP 存档进行安装，请遵循操作系统所记录的最佳实践，向系统路径添加 mongocryptd 二进制文件。

配置

如果驱动程序有权访问 mongocryptd 进程，则默认情况下会生成该进程。

注意

mongocryptd 端口正在使用中

如果 mongocryptd 进程已在驱动程序指定的端口上运行，则驱动程序可能会记录警告，并在不生成新进程的情况下继续运行。驱动程序指定的任何设置仅在现有进程退出并且新的加密客户端尝试连接时才适用。

通过以下参数配置驱动程序启动 mongocryptd 的方式：

名称	说明
端口	`mongocryptd` 侦听消息的端口。默认：`27020`。
idleShutdownTimeoutSecs	`mongocryptd` 进程退出前等待的空闲秒数。默认：`60`。
mongocryptdURI	运行 `mongocryptd` 进程的 URI。默认：`"mongodb://localhost:27020"`。
mongocryptdBypassSpawn	为 `true` 时，阻止驱动程序自动生成 `mongocryptd`。默认：`false`。
mongocryptdSpawnPath	`mongocryptd` 的完整路径。默认值：默认为空字符串并从系统路径生成。

重要

引导时启动

如果可能的话，在启动时启动 mongocryptd，而不是按需启动。

举例

要查看如何配置 mongocryptd 进程的示例，请单击与应用程序中使用的驱动程序对应的标签页：

← CSFLE 自动加密共享库

安装 libmongocrypt →