配置 KMIP 静态加密
MongoDB Enterprise Kubernetes Operator 已弃用。新的 MongoDB Controllers for Kubernetes Operator 取代了MongoDB Enterprise Kubernetes Operator。第一个版本的 Controllers for Kubernetes Operator 在功能上等同于 v1.33 的Enterprise Kubernetes Operator。有关此更改的更多信息以及迁移到新 Operator 的指导,请参阅第一个新版本的发布说明。 MongoDB Enterprise Kubernetes Operator 的未来版本将不会再发布。根据现有的一年 支持政策,每个版本都将结束生命周期。请迁移到Kubernetes Operator 的控制器以获得持续支持。
您可以使用 KMIP 服务器为Kubernetes Operator托管的MongoDB 部署静态 静态加密 。
Considerations
在配置静态加密之前,请考虑以下因素:
您必须有正在运行的KMIP服务器。
您无法将使用基于密钥文件的静态加密的部署转换为基于KMIP的静态加密。
如果要为已部署的 MongoDB 资源启用KMIP 静态加密,请联系MongoDB 支持部门。
步骤
以下过程介绍如何为 MongoDB 副本集配置示例KMIP配置。 根据部署需要调整文件名和路径、Kubernetes 命名空间、资源名称和 MongoDB 版本。
1
创建 CA 的 ConfigMap。
运行以下命令以创建 ConfigMap 以保存签署 KMIP 服务器证书的 CA:
kubectl -n mongodb create configmap mongodb-kmip-certificate-authority-pem --from-file=ca.pem
2
3
配置部署以使用 KMIP服务器。
在additionalMongodConfig 自定义资源 中配置 设置 规范以使用 KMIP 服务器。例如:
apiVersion: mongodb.com/v1 kind: MongoDB metadata: name: kmip namespace: mongodb spec: type: ReplicaSet members: 3 backup: encryption: kmip: client: clientCertificatePrefix: "mdb" additionalMongodConfig: security: enableEncryption: true kmip: clientCertificateFile: /kmip/cert/cert.pem serverCAFile: /kmip/ca/ca.pem serverName: pykmip-server.pymongo port: 5696 featureCompatibilityVersion: '6.0' version: 6.0.14-ent opsManager: configMapRef: name: my-project credentials: my-credentials podSpec: podTemplate: spec: containers: - name: mongodb-enterprise-database volumeMounts: - name: mongodb-kmip-client-pem mountPath: /kmip/cert - name: mongodb-kmip-certificate-authority-pem mountPath: /kmip/ca volumes: - name: mongodb-kmip-client-pem secret: secretName: mongodb-kmip-client-pem - name: mongodb-kmip-certificate-authority-pem configMap: name: mongodb-kmip-certificate-authority-pem items: - key: ca.pem path: ca.pem
重要
spec.backup.encryption.kmip如果您在资源中设置了 设置,则与 值链接的spec.credentials API 密钥必须具有Global Owner 角色。