Overview
注意
Enterprise 版功能
仅MongoDB Enterprise 6.0 或更高版本以及MongoDB Atlas 6.0 或更高版本集群支持字段级加密的自动功能。
mongocryptd 随MongoDB Enterprise MongoDB Server (版本 4.2 及更高版本)一起安装。
当您创建启用了 CSFLE 的 MongoDB 客户端时,默认情况下会自动启动mongocryptd进程并处理以下职责:
使用指定的自动加密规则对读写操作中的字段进行标记,以便加密。
防止对加密字段执行不支持的操作。
解析为数据库连接指定的加密模式。 自动加密规则使用严格的 JSON schema 语法子集。 如果自动加密规则包含无效的自动加密语法或任何
document validation语法,mongocryptd将返回错误。
mongocryptd 仅负责上述功能,不执行以下操作:
mongocryptd本身不执行加密或解密mongocryptd不访问任何加密密钥材料mongocryptd不侦听网络
与MongoDB 4.2 及更高版本兼容的驱动程序使用 Apache 许可的 libmongocrypt库来执行客户端字段级加密和自动解密。
MongoDB 官方驱动程序、mongosh 和传统的 mongo Shell 需要访问客户端主机上的 mongocryptd 进程。默认情况下,这些客户端在系统 PATH 中搜索 mongocryptd 进程。
安装
对于支持的 Linux 操作系统,按照在 Linux 上安装教程安装 Server 包,遵循安装文档说明并安装 mongodb-enterprise Server 包。或者,指定 mongodb-enterprise-cryptd,仅安装 mongocryptd 二进制文件。包管理器将二进制文件安装到系统 PATH 的某个位置(例如 /usr/bin/)
对于 OSX,请按照在 MacOS 上安装教程安装 Server 包。包管理器将二进制文件安装到系统 PATH 的某个位置。
对于 Windows,请按照在 Windows 上安装教程安装 Server 包。安装后,您必须将 mongocryptd 包添加到系统 PATH。有关将 mongocryptd 二进制文件添加到系统 PATH 的说明,遵循 Windows 安装文档的最佳实践。
如果通过官方 Tarball 或 ZIP 存档进行安装,请遵循操作系统所记录的最佳实践,向系统路径添加 mongocryptd 二进制文件。
配置
如果 4.2+ 兼容驱动程序可以访问mongocryptd进程,则默认,驱动程序会托管mongocryptd进程的生成。
注意
mongocryptd 端口正在使用中
如果mongocryptd进程已在驱动程序指定的端口上运行,则驱动程序可能会记录警告并继续运行,而不会生成新进程。 驱动程序指定的任何设置仅在现有进程退出并且新的加密客户端尝试连接时适用。
您可以通过以下参数配置驱动程序启动mongocryptd的方式:
名称 | 说明 |
|---|---|
端口 | The port from which mongocryptd listens for messages.Default: 27020 |
idleShutdownTimeoutSecs | Number of idle seconds in which the mongocryptd process should wait before exiting.Default: 60 |
mongocryptdURI | The URI from which to run a mongocryptd process.Default: "mongodb://localhost:27020" |
mongocryptdBypassSpawn | Set to true to prevent the driver from automatically spawning mongocryptd.Default: false |
MonogocryptdSpawnPath | The full path to mongocryptd.Default: Defaults to empty string and spawns from the system path. |
重要
引导时启动
如果可能,我们建议在引导时启动mongocryptd ,而不是按需启动。
示例
要查看如何配置 mongocryptd 进程的示例,请单击与应用程序中使用的驱动程序对应的标签页:
以下代码片段设置 mongocryptd 的监听端口配置:
var extraOptions = new Dictionary<string, object>() { { "mongocryptdSpawnArgs", new [] { "--port=30000" } }, }; autoEncryptionOptions.With(extraOptions: extraOptions);
以下代码片段设置 mongocryptd 的默认超时配置:
var extraOptions = new Dictionary<string, object>() { { "idleShutdownTimeoutSecs", 60 }, }; autoEncryptionOptions.With(extraOptions: extraOptions);
以下代码片段设置 mongocryptd 的监听端口配置:
extraOptions := map[string]interface{}{ "mongocryptdSpawnArgs": []string{ "--port=30000", }, }
以下代码片段设置 mongocryptd 的默认超时配置:
extraOptions := map[string]interface{}{ "mongocryptdSpawnArgs": []string{ "--idleShutdownTimeoutSecs=75", }, }
以下代码片段设置 mongocryptd 的监听端口配置:
List<String> spawnArgs = new ArrayList<String>(); spawnArgs.add("--port=30000"); Map<String, Object> extraOpts = new HashMap<String, Object>(); extraOpts.put("mongocryptdSpawnArgs", spawnArgs); AutoEncryptionSettings autoEncryptionSettings = AutoEncryptionSettings.builder() ... .extraOptions(extraOpts);
以下代码片段设置 mongocryptd 的默认超时配置:
List<String> spawnArgs = new ArrayList<String>(); spawnArgs.add("--idleShutdownTimeoutSecs") .add("60"); Map<String, Object> extraOpts = new HashMap<String, Object>(); extraOpts.put("mongocryptdSpawnArgs", spawnArgs); AutoEncryptionSettings autoEncryptionSettings = AutoEncryptionSettings.builder() ... .extraOptions(extraOpts);
以下代码片段设置 mongocryptd 的监听端口配置:
autoEncryption: { ... extraOptions: { mongocryptdSpawnArgs: ["--port", "30000"], mongocryptdURI: 'mongodb://localhost:30000', }
注意
在当前版本 (3.3.4) 的 NodeJS 驱动程序中,您必须指定mongocryptdURI以匹配侦听端口。
以下代码片段设置 mongocryptd 的默认超时配置:
autoEncryption: { ... extraOptions: { mongocryptdSpawnArgs: ["--idleShutdownTimeoutSecs", "75"] }
以下代码片段设置 mongocryptd 的监听端口配置:
auto_encryption_opts = AutoEncryptionOpts(mongocryptd_spawn_args=['--port=30000'])
以下代码片段设置 mongocryptd 的默认超时配置:
auto_encryption_opts = AutoEncryptionOpts(mongocryptd_spawn_args=['--idleShutdownTimeoutSecs=75'])