加密备份快照

快照加密取决于数据库兼容的MongoDB 版本。此特征兼容性版本的范围为从当前版本到前一个版本。对于MongoDB 4.4 ， FCV可以是 4.2或4.4 。您只能从加密集群创建加密快照。

MongoDB Ops Manager不会加密运行MongoDB 4.2 或更高版本的集群的备份快照，因为您只能从加密集群创建加密快照。

注意

MongoDB Ops Manager不再支持从使用本地密钥加密的数据库部署创建集群快照。如果使用本地密钥加密对数据库部署进行加密，则快照将失败。要加密快照，请在数据库部署中使用基于 KMIP的加密。

MongoDB Ops Manager通过将磁盘上的字节从主机的storage.dbPath复制到快照存储来创建部署快照。如果为要备份的托管启用MongoDB加密，则MongoDB Ops Manager复制到快照存储的字节已经加密。当您写入主机磁盘时， MongoDB Ops Manager会在存储引擎层对数据进行加密。

拍摄快照时， MongoDB Ops Manager组件不与KMIP托管交互。

重要

备份守护程序需要连接到KMIP托管才能进程加密备份的可查询恢复作业。

提示

MongoDB 静态加密

先决条件

运行KMIP兼容密钥管理以生成和存储加密密钥的主机。

重要

集群必须使用KMIP服务器。这些集群不支持使用文件进行本地密钥管理。

重要

您必须维护KMIP主机中的所有密钥，甚至包括轮换密钥。

为 Ops Manager 设置 KMIP 主机配置

导航到备份配置标签页。

单击 Admin。
单击 General（连接）。
单击 Ops Manager Config（连接）。
Click Backup tab.

提示

Ops Manager配置页面

填写 KMIP 字段。

更新KMIP Server Configuration部分中的以下KMIP主机字段：

`KMIP Server Host`	键入 KMIP 主机的 FQDN 。
`KMIP Server Port`	键入KMIP托管侦听KMIP连接的端口。默认 KMIP 端口为5696 。
`KMIP Server CA File`	在 Ops Manager 主机上键入证书颁发机构文件的绝对路径。这必须与KMIP主机上存储的证书颁发机构文件相同。

单击 Save（保存并关闭）。

配置项目以使用 KMIP

注意

项目中的所有部署都使用相同的KMIP客户端证书文件进行身份验证。

导航到项目备份配置页面。

单击 Admin
单击 Projects
在 <Project Name>（项目名称）下，单击More ... 。
在Backup Configuration行中，单击View 。

提示

项目页面

填写 KMIP 字段。

KMIP client certificate path	键入 Ops Manager 主机上客户端证书文件的绝对路径。Ops Manager 使用此证书向 KMIP 服务器进行自身身份验证。一个文件可以同时保存 CA 证书和客户端证书。
KMIP client certificate password	可选仅当KMIP client certificate path中指定的证书已加密时才输入。

单击 Save Changes（保存并关闭）。

加密备份作业

您只能从加密集群创建加密快照。如果为要备份的托管启用MongoDB加密，则MongoDB Ops Manager复制到快照存储的字节已经加密。

后退

使用双重身份验证

来年

轮换主 KMIP 密钥