验证 MongoDB 签名

MongoDB Enterprise Kubernetes Operator 已弃用。未来不会有任何版本。根据支持政策，每个版本都将终止支持。 MongoDB Controllers for Kubernetes Operator 中提供了其所有功能。请迁移到Kubernetes Operator 的控制器以获得持续支持。

您可以通过启用Ops Manager 资源规范中的设置，要求 MongoDB Agent 在下载 MongoDB 二进制文件后验证签名文件。一旦启用签名验证，MongoDB Agent需要您的Ops Manager实例托管的所有MongoDB部署的签名文件。您可以为本地或远程部署启用签名验证。

先决条件

Ops Manager 服务器必须通过 HTTPS运行，MongoDB 助手才能下载签名文件。要了解更多信息，请参阅将 Ops Manager 配置为通过 HTTPS 运行。

步骤

在Ops Manager 资源规范中，添加 spec.configuration.mms.featureFlag.automation.verifyDownloads并设置为enabled 。例如：

spec:
  configuration:
    mms.featureFlag.automation.verifyDownloads=enabled

注意

启用签名验证后，MongoDB Agent需要为其下载的所有MongoDB二进制文件提供签名文件。

确保 MongoDB 助手可以在同一目录中找到 MongoDB 二进制文件及其签名 (.sig) 文件，该文件的位置取决于您的部署是本地部署还是远程部署。

如果您的MongoDB Ops Manager实例可以访问权限互联网或自定义HTTPS服务器，并且您从官方来源下载MongoDB二进制文件，则MongoDB Agent会自动将签名文件与MongoDB二进制文件一起下载。

如果您不从官方来源下载MongoDB二进制文件，请配置您的HTTPS服务器以从同一链接找到MongoDB二进制文件及其签名文件。

如果您的MongoDB Ops Manager实例无法访问权限互联网，则MongoDB二进制文件及其签名文件默认存储在 /mongodb-ops-manager/mongodb-releases/ 中。确保签名文件的名称与MongoDB二进制文件的名称相同，并且位于同一目录中。示例：

/mongodb-ops-manager/mongodb-releases/mongodb-linux-x86_64-rhel80-8.0.0.tgz.sig
/mongodb-ops-manager/mongodb-releases/mongodb-linux-x86_64-rhel80-8.0.0.tgz

保存并应用Ops Manager 资源规范。

kubectl apply -f <my-ops-manager-resource-specification>.yaml

应用MongoDB Ops Manager资源规范后， MongoDB Agent会在集群节点上执行滚动重启，以协调更改。

后退

验证权限

来年

使用 Gatekeeper OPA