MongoDB 助手设置
在此页面上
本页介绍 MongoDB 助手可能的设置。这些值是在首次启动 Ops Manager 后设置的,而不是通过手动编辑这些文件来设置的。
要了解 Ops Manager 设置及其值,请参阅 Ops Manager 配置设置。
警告
如果您在 Ops Manager 界面通过 Settings 或 Deployments 编辑身份验证或 TLS 设置,则这些更改将覆盖此配置文件中的任何手动更改。
配置文件与设置位置
MongoDB 助手设置
mmsGroupId类型:字符串
指定 Ops Manager 项目的 ID。在 Project Settings 页面(Settings > Project Settings)上查找项目 ID。
当您安装 MongoDB 助手时,Ops Manager 会配置此设置。如果您需要单独配置监控,请包括此设置。
mmsGroupId=8zvbo2s2asigxvmpnkq5yexf
mmsApiKey类型:字符串
指定 Ops Manager 项目的 MongoDB 代理 API 密钥。
您可以使用已经为项目生成的 Agent API 密钥。如果没有的话,您可以生成新的 Agent API 密钥。一个项目可以有多个代理 API 密钥,并且该项目的任何代理都可以使用任何密钥。有关更多信息,请参阅管理代理 API 密钥。
要生成代理 API 密钥,请转到 Agent API Keys(代理 API 密钥)标签页。要导航到该标签页,请从 Deployment(部署)视图中单击 Agents(代理)标签页,然后单击 Agent API Keys(代理 API 密钥)标签页。
重要
生成代理 API 密钥时,Ops Manager 仅显示一次。您必须复制此密钥。将其视为密码;将其存放在安全的地方。Ops Manager 从不再次显示完整密钥。
当您安装 MongoDB 助手时,Ops Manager 会配置此设置。如果您需要单独配置监控,请包括此设置,将服务器与项目绑定。
mmsApiKey=rgdte4w7wwbnds9nceuodx9mcte2zqem
mmsBaseUrl类型:字符串
指定 Ops Manager 应用程序的 URL。
mmsBaseUrl=http://example.com:8080
LoggingSettings
logFile类型:字符串
指定 Ops Manager 应写入 MongoDB 助手的日志的路径。
默认路径取决于您的平台。无论部署是否使用自动化,MongoDB 助手都会使用默认文件名
automation-agent.log。重要
仅当更新日志文件时,才会自动轮换 MongoDB 助手日志。要手动轮换 MongoDB 助手日志,请参阅手动轮换 MongoDB 助手日志以了解更多信息。
平台默认路径Linux/var/log/mongodb-mms-automation/automation-agent.logWindowsC:\MMSAutomation\log\mongodb-mms-automation\automation-agent.loglogFile=/path/to/mongodb-mms-automation/automation-agent.log
logLevel类型:字符串
指定日志记录粒度的级别。
警告
Monitoring Agent Log Level 和 Automation Agent Log Level 的管理项目设置会覆盖此参数。
从以下严重性级别中选择(信息量从多到少):
DEBUGINFOWARNERRORFATAL
默认情况下,
logLevel为INFO。logLevel=ROUTINE 每个级别都包含后续级别中包含的日志项。
例子
如果选择
DEBUG(调试),则 MongoDB 助手会记录所有消息,包括INFO、WARN、ERROR和FATAL。如果您选择
FATAL,则 MongoDB 助手仅记录FATAL消息。
maxLogFiles类型:整型
指定要保留的轮换日志文件的最大数量。
默认情况下,
maxLogFiles的值设置为10。您可以更改该值以保留不同数量的轮换日志文件。maxLogFiles=15
maxLogFileDurationHrs类型:浮点
指定距离下一次日志轮换的小时数。
注意
手动轮换 MongoDB 助手日志
在基于 UNIX 和 Linux 的系统上,您可以手动轮换 MongoDB 助手日志。为代理进程发出带有
SIGUSR1信号的kill命令:kill -SIGUSR1 <AgentID> 在基于 Windows 的系统上,您可以通过服务重启来手动重启 MongoDB 助手:
单击 Start(启动)菜单。
搜索
services(服务)。找到 MongoDB 助手。
右键单击该代理,然后单击 Restart(重新启动)。
这将轮换 MongoDB 助手日志。
maxLogFileSize类型:整型
指定日志轮换前日志文件的最大大小(以字节为单位)。如果未指定,MongoDB 助手不会根据文件大小轮换日志。
默认情况下,
maxLogFileSize的值设置为268435456字节。您可以更改该值,为日志文件指定不同的最大大小。maxLogFileSize=536870912
maxUncompressedLogFiles类型:整型
指定要保持未压缩状态的轮换日志文件的最大数量。 MongoDB 助手会自动将任何额外保留的日志文件压缩到
maxLogFiles值。默认情况下,
maxUncompressedLogFiles的值设置为2。您可以更改该值以压缩不同数量的轮换日志文件。maxUncompressedLogFiles=10
连接设置
dialTimeoutSeconds类型:整型
指定连接超时前的等待秒数。默认情况下,连接会在 40 秒后超时。但是,MongoDB 助手可能会由于以下一个或多个原因而频繁出现连接超时:
高网络延迟
服务器负载过高
大型 TLS 密钥
缺少 TLS 加速器
CPU 速度不足
MongoDB 建议逐渐增加
dialTimeoutSecondsMongoDB 助手配置设置的值,以防止连接频繁地过早超时。dialTimeoutSeconds=40 注意
增加此值,还会增加将配置更改部署到 MongoDB 助手所需的时间。尝试小幅递增,直到确定部署的最佳值。
serverSelectionTimeoutSeconds类型:整型
指定 MongoDB 助手在停止尝试与 MongoDB 进程建立连接之前等待的秒数。默认情况下,MongoDB 助手会在 10 秒后放弃建立连接的尝试。
serverSelectionTimeoutSeconds=10
HTTP 代理设置
httpProxy类型:字符串
指定 MongoDB 助手可以使用的 HTTP 代理服务器的 URL。
httpProxy=http://proxy.example.com:8080
配置备份设置
mmsConfigBackup类型:字符串
指定 Ops Manager配置备份文件的路径。此文件描述部署的预期状态。
如果不指定
mmsConfigBackup设置,MongoDB 助手会将mongodb-mms-automation-cluster-backup.json文件写入操作系统上的临时文件夹。如果将
enableLocalConfigurationServer设置为true,则 MongoDB 助手不会写入mmsConfigBackup文件。mmsConfigBackup=/path/to/mms-cluster-config-backup.json 注意
安装 Ops Manager 后,它会将配置备份文件存储在以下位置之一,具体取决于您的平台:
平台配置备份文件路径Linux/var/lib/mongodb-mms-automation/Windows%SystemDrive%\MMSAutomation
Ops Manager TLS设置
指定 MongoDB 助手通过 TLS 与 Ops Manager 通信时使用的设置。
httpsCAFile类型:字符串
指定包含
PEM格式的受信任证书颁发机构证书的绝对路径。此证书验证 MongoDB 助手是否正在与指定的 Ops Manager 实例通信。httpsCAFile=/path/to/ca.pem 注意
如果您执行以下操作,请将
downloads.mongodb.com证书的证书颁发机构添加到此.pem文件:需要 MongoDB 助手从互联网上下载 MongoDB 安装程序,
使用 TLS 加密连接,以及
使用私人证书颁发机构签署证书。(您设置了
httpsCAFile选项。)
要了解如何从其他网站下载 TLS 证书,请参阅 OpenSSL Cookbook 条目。
重要
当 Ops Manager 启动时,它会缓存您提供的证书颁发机构。如果更改证书颁发机构证书,请重新启动 Ops Manager。
sslRequireValidMMSServerCertificates类型:布尔值
重要
已弃用。请改用
tlsRequireValidMMSServerCertificates。
tlsRequireValidMMSServerCertificates类型:布尔值
指定 MongoDB 助手是否应验证 Ops Manager 提供的 TLS 证书。
警告
将此选项设置为
false会禁用证书验证,并导致 MongoDB 助手和 Ops Manager 之间的连接容易受到中间人攻击。建议仅出于测试目的将此选项设置为false。tlsRequireValidMMSServerCertificates=true
sslMMSServerClientCertificate类型:字符串
重要
已弃用。请改用
tlsMMSServerClientCertificate。
tlsMMSServerClientCertificate类型:字符串
以
PEM格式指定包含客户端私钥、证书和可选中间证书的文件路径。在通过 TLS 连接到 Ops Manager 时,如果 Ops Manager 要求客户端证书(例如在Client Certificate Mode设置为Required for Agents Only或Required for All Requests时运行 Ops Manager),那么 MongoDB 助手就会使用客户端证书。提示
另请参阅:
要了解如何设置
Client Certificate Mode,请参阅 Ops Manager 配置设置。tlsMMSServerClientCertificate=/path/to/client.pem
sslMMSServerClientCertificatePassword类型:字符串
重要
tlsMMSServerClientCertificatePassword类型:字符串
指定解密
tlsMMSServerClientCertificate文件中的私钥所需的密码。加密客户端证书PEM文件时,需要此设置。注意
使用
tlsMMSServerClientCertificatePasswordExec选项而不是tlsMMSServerClientCertificatePassword来指定 shell 命令中的密码。tlsMMSServerClientCertificatePassword=password
sslServerClientCertificate类型:字符串
以
PEM格式指定包含客户端私钥、证书和可选中间证书的文件路径。在通过 TLS 连接到 Ops Manager 时,如果 Ops Manager 要求客户端证书(例如在Client Certificate Mode设置为Required for Agents Only或Required for All Requests时运行 Ops Manager),那么 MongoDB 助手就会使用客户端证书。提示
另请参阅:
有关如何在 Ops Manager 应用程序中指定此设置,请参阅 Ops Manager 配置设置中的
Client Certificate Mode。请参阅配置 MongoDB 助手以使用 TLS,为 MongoDB 助手启用 TLS 连接。
sslServerClientCertificate=/path/to/client.pem
sslServerClientCertificatePassword指定解密
sslServerClientCertificate文件中的私钥所需的密码。加密客户端证书PEM文件时,需要此设置。sslServerClientCertificatePassword=password
sslRequireValidMMSBackupServerCertificate指定 MongoDB 助手是否应验证来自 Ops Manager 的 TLS 证书。
警告
将此选项设置为
false会禁用证书验证,并导致 MongoDB 助手和 Ops Manager 之间的连接容易受到中间人攻击。建议仅出于测试目的将此选项设置为false。sslRequireValidMMSBackupServerCertificate=true
推送实时迁移设置
源自外部的配置设置
enableLocalConfigurationServer类型:布尔值
指定 MongoDB 助手是将 MongoDB 进程配置文件存储在磁盘上还是缓存在内存中。
此选项默认为
false,将配置文件存储在磁盘上。将此选项设置为true会将配置缓存在内存中。如果将此选项设置为
true,则 MongoDB 助手不会写入mmsConfigBackup文件。如果 MongoDB 数据库运行的是 FCV ,请勿将此选项设置为
true4 。2 或更早版本。警告
将此选项设置为
true会影响部署的可用性。启用此功能后,MongoDB 助手不会将 MongoDB 进程配置存储到磁盘。如果 Ops Manager 应用程序服务器不可用,并且 MongoDB 助手尝试重新启动,则因为没有必要的配置信息,MongoDB 助手将停止运行。如果 MongoDB 进程在 MongoDB 助手未运行时崩溃,则 MongoDB 助手无法重新启动该进程。
enableLocalConfigurationServer=false 提示
另请参阅:
keepUnusedMongodbVersions类型:布尔值
指示 MongoDB 助手是否保留其下载的未使用的 MongoDB 版本二进制文件的标志。默认情况下,
keepUnusedMongodbVersions为 false。keepUnusedMongodbVersions=false
localConfigurationServerPort类型:整型
指定使用本地配置服务器时为 MongoDB 进程配置提供服务的端口。要设置此选项,
enableLocalConfigurationServer必须为true。如果未指定,则 MongoDB 助手会自动选择可用端口。
localConfigurationServerPort=20128
mmsApiKeyExec类型:字符串
指定一个 Shell 命令来调用 Ops Manager 项目的 Ops Manager 代理 API 密钥。
mmsApiKeyExec=echo $myKey
sslMMSServerClientCertificatePasswordExec类型:字符串
重要
tlsMMSServerClientCertificatePasswordExec类型:字符串
指定 shell 命令来调用解密
MMSServerClientCertificate文件中的私钥所需的密码。加密客户端证书PEM文件时,需要此设置或tlsMMSServerClientCertificatePassword。tlsMMSServerClientCertificatePasswordExec=python /path/to/PEMPassword.py
自动化设置
以下配置设置用于自动集群中的身份验证。
MongoDB Kerberos 设置
如果自动化使用 Kerberos 对主机进行身份验证,请指定这些设置。要配置 Kerberos,请参阅为 Kerberos 配置 MongoDB 助手。
krb5ConfigLocation类型:字符串
指定 Kerberos 配置文件的非系统标准位置的绝对路径。
krb5ConfigLocation=/path/to/krb_custom.conf 注意
启用 Kerberos 后,Ops Manager 会自动为每个代理创建 Kerberos 凭证(票证)缓存。如果要覆盖 Kerberos 档案缓存 的位置 ,您必须在运行代理之前将
KRB5CCNAME环境变量设置为所需的文件名和路径。
backupAgentKrb5CCName类型字符串
指定 MongoDB 助手为备份进程设置的
KRB5CC环境变量。仅用于在 MongoDB 助手启动备份功能时验证 MongoDB 部署的备份。backupAgentKrb5CCName=/path/to/credentials_cache_file
monitoringAgentKrb5CCName类型字符串
指定 MongoDB 助手为监控功能设置的
KRB5CC环境变量。仅用于当 MongoDB 助手启动监控功能时对 MongoDB 部署进行监控身份验证。monitoringAgentKrb5CCName=/path/to/credentials_cache_file
监控设置
使用 Ops Manager 界面来配置监控设置。
日志设置
在导航菜单中,单击 Deployment(部署)。
单击 Agents 标签页。
单击 Downloads & Settings(连接)。
在 Agent Log Settings 部分,单击 Monitoring Log Settings 旁边的。
编辑监控日志设置:
设置默认值控制台建议值Linux 日志文件路径/var/log/mongodb-mms-automation/monitoring-agent.logWindows 日志文件路径%SystemDrive%\MMSAutomation\log\mongodb-mms-automation\monitoring-agent.log轮换日志是大小阈值 (MB)1000时长阈值(小时)24最大未压缩文件数5最大磁盘百分比2日志文件总数0单击 Save(连接)。
自定义设置
在导航菜单中,单击 Deployment(部署)。
单击 Agents 标签页。
单击 Downloads & Settings(连接)。
在 Custom Configuration(自定义配置)部分的 Edit Custom Configurations(编辑自定义配置)旁边,单击 。
输入监控配置设置和值。
单击 Save and Close(连接)。
您可以配置以下监控设置:
连接设置
mmsGroupId类型:字符串
指定 Ops Manager 项目的 ID。在 Project Settings 页面(Settings > Project Settings)上查找项目 ID。
当您安装 MongoDB 助手时,Ops Manager 会配置此设置。如果您需要单独配置监控,请包括此设置。
mmsGroupId=8zvbo2s2asigxvmpnkq5yexf
mmsApiKey类型:字符串
指定 Ops Manager 项目的 MongoDB 代理 API 密钥。
您可以使用已经为项目生成的 Agent API 密钥。如果没有的话,您可以生成新的 Agent API 密钥。一个项目可以有多个代理 API 密钥,并且该项目的任何代理都可以使用任何密钥。有关更多信息,请参阅管理代理 API 密钥。
要生成代理 API 密钥,请转到 Agent API Keys(代理 API 密钥)标签页。要导航到该标签页,请从 Deployment(部署)视图中单击 Agents(代理)标签页,然后单击 Agent API Keys(代理 API 密钥)标签页。
重要
生成代理 API 密钥时,Ops Manager 仅显示一次。您必须复制此密钥。将其视为密码;将其存放在安全的地方。Ops Manager 从不再次显示完整密钥。
当您安装 MongoDB 助手时,Ops Manager 会配置此设置。如果您需要单独配置监控,请包括此设置,将服务器与项目绑定。
mmsApiKey=rgdte4w7wwbnds9nceuodx9mcte2zqem
mmsBaseUrl类型:字符串
指定 Ops Manager 应用程序的 URL。
mmsBaseUrl=http://example.com:8080
HTTP 代理设置
httpProxy类型:字符串
指定监控可以使用的 HTTP 代理服务器的 URL。
httpProxy=http://proxy.example.com:8080
MongoDB Kerberos 设置
如果监控使用 Kerberos 对主机进行身份验证,请指定这些设置。
要配置 Kerberos,请参阅为 Kerberos 配置 MongoDB 助手。同样的程序和要求也适用,仅使用不同的 UPN 进行监控。
注意
启用 Kerberos 后,Ops Manager 会自动为每个代理创建 Kerberos 凭证(票证)缓存。如果要覆盖 Kerberos 档案缓存 的位置 ,您必须在运行代理之前将KRB5CCNAME 环境变量设置为所需的文件名和路径。
krb5Principal类型:字符串
指定监控使用的 Kerberos 主体。
krb5Principal=monitoring/myhost@EXAMPLE.COM
krb5Keytab类型:字符串
指定 Kerberos 主体的
keytab文件的绝对路径。krb5Keytab=/path/to/mms-monitoring.keytab
krb5ConfigLocation类型:字符串
指定 Kerberos 配置文件的非系统标准位置的绝对路径。
krb5ConfigLocation=/path/to/krb_custom.conf
gssapiServiceName类型:字符串
使用
gssapiServiceName设置指定服务名称。默认情况下,MongoDB 使用
mongodb作为其服务名称。
MongoDB TLS 设置
当监控使用 TLS 连接到 MongoDB 部署时指定这些设置。
要了解详情,请参阅配置 MongoDB 助手以使用 TLS。
useSslForAllConnections类型:布尔值
指定是否使用 TLS 加密与 MongoDB 部署的所有连接。
重要
将此项设置为
true会覆盖在 Ops Manager 界面中为每台每主机配置的 TLS 设置。
sslClientCertificate类型:字符串
指定 PEM 格式的私钥、客户端证书和可选中间证书的 绝对 路径。监控使用客户端证书连接到任何使用 TLS 并需要客户端证书的已配置 MongoDB 部署。 (部署使用 --tlsCAFile 设置运行。)
例子
如果要使用 连接到同时使用 TLS 和证书验证的 MongoDB
mongosh部署:mongosh --tls --tlsCertificateKeyFile /path/to/client.pem --tlsCAFile /path/to/ca.pem example.net:27017 您必须在 Custom Settings 中设置这些设置:
sslTrustedServerCertificates=/path/to/ca.pem sslClientCertificate=/path/to/client.pem
sslClientCertificatePassword类型:字符串
指定解密
sslClientCertificate文件中的私钥所需的密码。如果您加密了客户端证书PEM文件,请包含此设置。sslClientCertificatePassword=password
sslTrustedServerCertificates类型:字符串
指定包含 PEM 格式的受信任证书颁发机构证书的绝对路径。这些证书可验证任何使用 TLS 运行的 MongoDB 部署所返回的服务器证书。
sslTrustedServerCertificates=/path/to/ca.pem
sslRequireValidServerCertificates类型:布尔值
指定监控是否应验证 MongoDB 数据库提供的 TLS 证书。
sslRequireValidServerCertificates=true 默认情况下,Ops Manager 将
sslRequireValidServerCertificates设置为true。您需要有效的受信任证书才能使用TLS连接到 MongoDB 实例。如果 MongoDB 助手管理监控,则无法将此选项设置为
false。如果手动配置监控,则可以将
sslRequireValidServerCertificates设置为false。如果将
sslRequireValidServerCertificates设置为false,请勿设置sslTrustedServerCertificates。 Ops Manager 不会验证证书。
警告
将此设置更改为
false,将禁用证书验证,并使监控和 MongoDB 部署之间的连接容易受到中间人攻击。将此设置更改为false,仅用于测试目的。
Ops Manager 服务器 TLS 设置
指定使用 TLS 与 Ops Manager 通信时监控使用的设置。
httpsCAFile类型:字符串
指定包含 PEM 格式的受信任证书颁发机构证书的绝对路径。监控使用此证书来验证代理是否可以与指定的 Ops Manager 实例通信。
默认情况下,监控使用主机上安装的受信任根证书颁发机构。
如果代理无法找到受信任的根证书颁发机构,请手动配置这些设置。
如果 Ops Manager 实例使用自签名TLS证书,则必须指定
httpsCAFile值。httpsCAFile=/path/to/mms-certs.pem
sslRequireValidMMSServerCertificates类型:布尔值
指定监控是否应验证来自 Ops Manager的 TLS 证书。
警告
将此设置更改为
false会禁用证书验证,并使 Monitoring 和 Ops Manager 之间的连接容易受到中间人攻击。将此设置更改为false,仅用于测试目的。
sslServerClientCertificate类型:字符串
以 PEM 格式指定包含客户端私钥、证书和可选中间证书的文件路径。如果 Ops Manager 需要客户端凭证,例如当 Ops Manager 在
Client Certificate Mode设置为Required for Agents Only或Required for All Requests的情况下运行时,监控在通过 TLS 连接到 Ops Manager 时会使用客户端证书。提示
另请参阅:
要了解如何在 Ops Manager 应用程序中指定此设置,请参阅 Ops Manager 配置设置中的
Client Certificate Mode。sslServerClientCertificate=/path/to/client.pem
sslServerClientCertificatePassword指定解密
sslServerClientCertificate文件中的私钥所需的密码。如果您加密了客户端证书PEM文件,请包含此设置。sslServerClientCertificatePassword=password
备份设置
使用 Ops Manager 界面配置备份设置。
日志设置
在导航菜单中,单击 Deployment(部署)。
单击 Agents 标签页。
单击 Downloads & Settings(连接)。
在 Agent Log Settings 部分,单击 Backup Log Settings 旁边的。
编辑备份日志设置:
设置默认值控制台建议值Linux 日志文件路径/var/log/mongodb-mms-automation/backup-agent.logWindows 日志文件路径%SystemDrive%\MMSAutomation\log\mongodb-mms-automation\backup-agent.log轮换日志是大小阈值 (MB)1000时长阈值(小时)24最大未压缩文件数5最大磁盘百分比2日志文件总数0单击 Save(连接)。
自定义设置
在导航菜单中,单击 Deployment(部署)。
单击 Agents 标签页。
单击 Downloads & Settings(连接)。
在 Custom Configuration(自定义配置)部分的 Edit Custom Configurations(编辑自定义配置)旁边,单击 。
输入备份配置设置和值。
单击 Save and Close(连接)。
您可以配置以下备份设置:
连接设置
mmsGroupId类型:字符串
指定 Ops Manager 项目的 ID。在 Project Settings 页面(Settings > Project Settings)上查找项目 ID。
mmsGroupId=8zvbo2s2asigxvmpnkq5yexf
mmsApiKey类型:字符串
指定 Ops Manager 项目的 MongoDB 代理 API 密钥。
您可以使用已经为项目生成的 Agent API 密钥。如果没有的话,您可以生成新的 Agent API 密钥。一个项目可以有多个代理 API 密钥,并且该项目的任何代理都可以使用任何密钥。有关更多信息,请参阅管理代理 API 密钥。
要生成代理 API 密钥,请转到 Agent API Keys(代理 API 密钥)标签页。要导航到该标签页,请从 Deployment(部署)视图中单击 Agents(代理)标签页,然后单击 Agent API Keys(代理 API 密钥)标签页。
重要
生成代理 API 密钥时,Ops Manager 仅显示一次。您必须复制此密钥。将其视为密码;将其存放在安全的地方。Ops Manager 从不再次显示完整密钥。
安装 MongoDB 助手时,Ops Manager 会配置此设置。如果需要单独配置备份,请包含此设置。
mmsApiKey=rgdte4w7wwbnds9nceuodx9mcte2zqem
mothership类型:字符串
指定备份代理使用的 Ops Manager 应用程序的主机名和端口。
注意
不要在
mothership设置中包含协议(http://或https://)。mothership=example.com:8080
mothershipResponseHeaderTimeout类型:整型
指定备份等待 Ops Manager 应用程序响应的时间长度(以秒为单位)。如果 MongoDB 助手没有收到响应,它会重置并重试与 Ops Manager 应用程序的连接。此值默认为
90秒。
backupSocketTimeoutMs类型:整型
指定在 Ops Manager 断开连接之前,备份和 Ops Manager 之间的套接字可以保持空闲状态的时间长度(以毫秒为单位)。如果省略,则默认为
180000毫秒(3分钟)。
https类型:布尔值
指定与 OPS Manager Web 服务器的通信是否使用安全 HTTP。
HTTP 代理设置
httpProxy类型:字符串
指定 Backup 可以使用的 HTTP 代理的 URL。
httpProxy=http://proxy.example.com:8080
MongoDB Kerberos 设置
要配置 Kerberos,请参阅为 Kerberos 配置 MongoDB 助手。相同的程序和要求也适用,只能使用不同的 UPN 进行备份
注意
启用 Kerberos 后,Ops Manager 会自动为每个代理创建 Kerberos 凭证(票证)缓存。如果要覆盖 Kerberos 档案缓存 的位置 ,您必须在运行代理之前将KRB5CCNAME 环境变量设置为所需的文件名和路径。
krb5Principal类型:字符串
指定备份使用的 Kerberos 主体。
krb5Principal=backup/myhost@EXAMPLE.COM
krb5Keytab类型:字符串
指定 Kerberos 主体的密钥表文件的绝对路径。
krb5Keytab=/path/to/mms-backup.keytab
krb5ConfigLocation类型:字符串
指定 Kerberos 配置文件的非系统标准位置的绝对路径。
krb5ConfigLocation=/path/to/krb_custom.conf
gsapiServiceName类型:字符串
使用
gsapiServiceName设置指定服务名称。默认情况下,MongoDB 使用
mongodb作为其服务名称。
MongoDB TLS 设置
当 Backup 使用 TLS 连接到 MongoDB 部署时,请指定这些设置。
要了解详情,请参阅配置 MongoDB 助手以使用 TLS。
sslClientCertificate类型:字符串
指定PEM格式的私钥、客户端证书和可选中间证书的路径。连接到使用TLS并需要客户端证书的 MongoDB 部署时,备份会使用客户端证书。 (部署使用--tlsCAFile设置运行。)
sslClientCertificatePassword类型:字符串
指定解密
sslClientCertificate文件中的私钥所需的密码。如果您加密了客户端证书PEM文件,请包含此设置。
sslTrustedServerCertificates类型:字符串
指定包含 PEM 格式的受信任 CA 证书的路径。这些证书可验证任何使用 TLS 运行的 MongoDB 部署所返回的服务器证书。
sslTrustedServerCertificates=/path/to/mongodb-certs.pem
sslRequireValidServerCertificates类型:布尔值
指定备份是否应验证 MongoDB 部署提供的 TLS 证书。
警告
将此设置更改为
false会禁用证书验证,并使备份和 MongoDB 部署之间的连接容易受到中间人攻击。将此设置设置为false仅用于测试目的。
Ops Manager 服务器 TLS 设置
指定使用 TLS 与 Ops Manager 通信时使用的备份设置。
sslTrustedMMSBackupServerCertificate指定包含 PEM 格式的受信任证书颁发机构证书的绝对路径。备份使用此证书来验证 MongoDB 助手是否可以与指定的 Ops Manager 实例通信。
默认情况下,备份使用系统上安装的受信任根证书颁发机构。
如果备份无法找到受信任的根证书颁发机构,请手动配置这些设置。
如果 Ops Manager 使用自签名TLS证书,请为此设置提供一个值。
sslTrustedMMSBackupServerCertificate=/path/to/mms-certs.pem
sslRequireValidMMSBackupServerCertificate指定备份是否应验证来自 Ops Manager 的 TLS 证书。
警告
将此设置更改为
false会禁用证书验证,并使备份代理和 Ops Manager 之间的连接容易受到中间人攻击。将此设置更改为false仅用于测试目的。sslRequireValidMMSBackupServerCertificate=true
sslServerClientCertificate类型:字符串
以 PEM 格式指定包含客户端私钥、证书和可选中间证书的文件路径。如果 Ops Manager 需要客户端证书,例如当 Ops Manager 在将
Client Certificate Mode设置为Required for Agents Only或Required for All Requests的情况下运行时,备份将在通过 TLS 连接到 Ops Manager 时使用客户端证书。提示
另请参阅:
要了解如何在 Ops Manager 应用程序中指定此设置,请参阅 Ops Manager 配置设置中的
Client Certificate Mode。sslServerClientCertificate=/path/to/client.pem
sslServerClientCertificatePassword类型:字符串
指定解密
sslServerClientCertificate文件中的私钥所需的密码。如果您加密了客户端证书PEM文件,请包含此设置。sslServerClientCertificatePassword=password