为 Ops Manager 配置 KMIP 备份加密

此版本的文档已存档，且不再支持此版本的MongoDB Enterprise Kubernetes Operator。

MongoDB Enterprise Kubernetes Operator 已弃用。新的 MongoDB Controllers for Kubernetes Operator 取代了MongoDB Enterprise Kubernetes Operator。第一个版本的 Controllers for Kubernetes Operator 在功能上等同于 v1.33 的Enterprise Kubernetes Operator。有关此更改的更多信息以及迁移到新 Operator 的指导，请参阅第一个新版本的发布说明。MongoDB Enterprise Kubernetes Operator 的未来版本将不会再发布。根据现有的一年支持政策，每个版本都将结束生命周期。请迁移到Kubernetes Operator 的控制器以获得持续支持。

MongoDB Ops Manager可以加密备份作业。您可以使用Kubernetes Operator 为配置 KMIP MongoDB Ops Manager备份加密。要了解更多信息，请参阅加密备份快照。

限制

对于同一 Kubernetes 操作符实例不同时管理 MongoDBOpsManager 和 MongoDB 自定义资源的部署，您必须在 MongoDBOpsManager 自定义资源中手动配置 KMIP 备份加密客户端设置。此要求涉及包含每个 MongoDB database 的客户端证书，您可以通过覆盖 Ops Manager Pod 的 StatefulSet 以挂载证书来实现这一目标。要了解更多信息，请参阅手动配置 KMIP 备份加密。

步骤

创建 CA 的 ConfigMap。

运行以下命令：

kubectl -n mongodb create configmap mongodb-kmip-certificate-authority-pem --from-file=ca-pem

配置MongoDB MongoDB Ops ManagerOps Manager自定义资源以使用 KMIP备份加密。

配置 spec.backup.encryption.kmip设置。

1   apiVersion: mongodb.com/v1
2   kind: MongoDBOpsManager
3   metadata:
4     name: om-backup-kmip
5   spec:
6     replicas: 1
7     version: 6.0.0
8     adminCredentials: ops-manager-admin-secret
9     backup:
10       encryption:
11         kmip:
12           server:
13             url: kmip.corp.mongodb.com:5696
14             ca: mongodb-kmip-certificate-authority-pem

保存 Ops Manager 配置文件。

将更改应用于 Ops Manager 部署。

对 Ops Manager 资源定义的文件名调用以下kubectl命令：

kubectl apply -f <opsmgr-resource>.yaml

检查你的 Ops Manager 资源的状态。

运行以下命令：

kubectl get om <resource-name> -o yaml -w

创建客户端证书和私钥的密钥。

运行以下命令：

kubectl -n mongodb create secret tls mongodb-kmip-client-pem-my-replica-set-kmip-client \
--cert=<path-to-cert-file> \
--key=<path-to-key-file>

客户端证书密钥名称具有从 MongoDBCustomResourceDefinition 推断的以下命名约定：

<clientCertificatePrefix>-<objectMeta.name>-kmip-client

`clientCertificatePrefix`	`spec.backup.encryption.kmip.client.clientCertificatePrefix`在`MongoDB` CustomResourceDefinition 的字段中指定的人类可读标签。
`objectMeta.name`	`metadata.name`在`MongoDB` CustomResourceDefinition 的字段中指定的人类可读标签。
`kmip-client`	修复 Kubernetes 操作符假定的后缀。

要学习；了解更多信息，请参阅 kubernetes.io/tls。

配置你的 MongoDB database 数据库部署。

配置spec.backup.encryption.kmip设置。

1   apiVersion: mongodb.com/v1
2   kind: MongoDB
3   metadata:
4     name: my-replica-set
5   spec:
6     members: 3
7     version: 4.0.20
8     type: ReplicaSet
9     backup:
10       encryption:
11         kmip:
12           client:
13             clientCertificatePrefix: mongodb-kmip-client-pem

要了解更多信息，请参阅部署副本集或部署分片集群。

保存 MongoDB 数据库部署配置文件。

将更改应用于 MongoDB 数据库部署。

对 Ops Manager 资源定义的文件名调用以下kubectl命令：

kubectl apply -f <mdb-database-deployment>.yaml

检查 MongoDB 数据库部署的状态。

运行以下命令：

kubectl get mdb <resource-name> -o yaml -w

后退

配置可查询备份

来年

1	apiVersion: mongodb.com/v1
2	kind: MongoDBOpsManager
3	metadata:
4	name: om-backup-kmip
5	spec:
6	replicas: 1
7	version: 6.0.0
8	adminCredentials: ops-manager-admin-secret
9	backup:
10	encryption:
11	kmip:
12	server:
13	url: kmip.corp.mongodb.com:5696
14	ca: mongodb-kmip-certificate-authority-pem

1	apiVersion: mongodb.com/v1
2	kind: MongoDB
3	metadata:
4	name: my-replica-set
5	spec:
6	members: 3
7	version: 4.0.20
8	type: ReplicaSet
9	backup:
10	encryption:
11	kmip:
12	client:
13	clientCertificatePrefix: mongodb-kmip-client-pem

限制

步骤

创建 CA 的 ConfigMap。

配置MongoDB MongoDB Ops ManagerOps Manager自定义资源以使用 KMIP备份加密。

保存 Ops Manager 配置文件。

将更改应用于 Ops Manager 部署。

检查你的 Ops Manager 资源的状态。

.leafygreen-ui-1ie5kuq{-webkit-flex-shrink:0;-ms-flex-negative:0;flex-shrink:0;position:relative;bottom:4px;left:-1px;height:12px;}创建客户端证书和私钥的密钥 。

配置你的 MongoDB database 数据库部署。

保存 MongoDB 数据库部署配置文件。

将更改应用于 MongoDB 数据库部署。

检查 MongoDB 数据库部署的状态。

创建客户端证书和私钥的密钥。