Docs 主页 → 开发应用程序 → MongoDB Manual
为 CSFLE 安装和配置 mongocryptd
概述
注意
Enterprise 版功能
字段级加密的自动功能仅在 MongoDB Enterprise 4.2 或更高版本以及 MongoDB Atlas 4.2 或更高版本集群中可用。
mongocryptd
随 MongoDB Enterprise Server 一起安装。
当您创建启用了 CSFLE 的 MongoDB 客户端时,默认情况下会自动启动mongocryptd
进程。
mongocryptd
进程:
使用指定的自动加密规则对读写操作中的字段进行标记,以便加密。
防止在加密字段上执行不支持的操作。
分析为数据库连接指定的加密模式。自动加密规则使用严格的 JSON Schema 语法子集。如果规则包含无效的自动加密语法或任何
document validation
语法,mongocryptd
将返回错误。
mongocryptd
仅执行上述功能,不执行以下任何操作:
mongocryptd
不进行加密或解密mongocryptd
不访问任何加密密钥材料mongocryptd
不监听网络
要执行客户端字段级加密和自动解密,驱动程序使用 Apache 许可的 libmongocrypt 库
官方 MongoDB 4 . 2 + 兼容驱动程序、 mongosh
和4 。 2或更高版本的旧版mongo
Shell 需要访问客户端主机上的mongocryptd
进程。默认情况下,这些客户端在系统 PATH 中搜索mongocryptd
进程。
安装
对于支持的 Linux 操作系统,按照在 Linux 上安装教程安装 Server 包,遵循安装文档说明并安装 mongodb-enterprise
Server 包。或者,指定 mongodb-enterprise-cryptd
,仅安装 mongocryptd
二进制文件。包管理器将二进制文件安装到系统 PATH 的某个位置(例如 /usr/bin/
)
对于 OSX,请按照在 MacOS 上安装教程安装 Server 包。包管理器将二进制文件安装到系统 PATH 的某个位置。
对于 Windows,请按照在 Windows 上安装教程安装 Server 包。安装后,您必须将 mongocryptd
包添加到系统 PATH。有关将 mongocryptd
二进制文件添加到系统 PATH 的说明,遵循 Windows 安装文档的最佳实践。
如果通过官方 Tarball 或 ZIP 存档进行安装,请遵循操作系统所记录的最佳实践,向系统路径添加 mongocryptd
二进制文件。
配置
如果驱动程序有权访问 mongocryptd
进程,则默认情况下会生成该进程。
注意
mongocryptd 端口正在使用中
如果 mongocryptd
进程已在驱动程序指定的端口上运行,则驱动程序可能会记录警告,并在不生成新进程的情况下继续运行。驱动程序指定的任何设置仅在现有进程退出并且新的加密客户端尝试连接时才适用。
通过以下参数配置驱动程序启动 mongocryptd
的方式:
名称 | 说明 |
---|---|
端口 | mongocryptd 侦听消息的端口。默认: 27020 。 |
idleShutdownTimeoutSecs | mongocryptd 进程退出前等待的空闲秒数。默认: 60 。 |
mongocryptdURI | 运行 mongocryptd 进程的 URI。默认: "mongodb://localhost:27020" 。 |
mongocryptdBypassSpawn | 为 true 时,阻止驱动程序自动生成 mongocryptd 。默认: false 。 |
mongocryptdSpawnPath | mongocryptd 的完整路径。默认值:默认为空字符串并从系统路径生成。 |
重要
引导时启动
如果可能的话,在启动时启动 mongocryptd
,而不是按需启动。
举例
要查看如何配置 mongocryptd
进程的示例,请单击与应用程序中使用的驱动程序对应的标签页: