验证 MongoDB 签名
您可以通过在 Ops Manager 资源规范 中启用设置,要求 MongoDB Agent 在下载 MongoDB 二进制文件后验证签名文件。一旦启用签名验证,MongoDB Agent 就需要您 Ops Manager 实例管理的所有 MongoDB 部署的签名文件。您可以为 本地或远程部署 启用签名验证。Ops Manager 资源规范Ops Manager实例
先决条件
您的Ops Manager服务器必须运行在HTTPS 上,以便 MongoDB Agent 下载签名文件。有关更多信息,请参阅 配置 Ops Manager 以通过 HTTPS 运行。
程序
在Ops Manager 资源规范中,添加spec.configuration.mms.featureFlag.automation.verifyDownloads并将其设置为enabled。例如
spec: configuration: mms.featureFlag.automation.verifyDownloads=enabled
注意
一旦启用签名验证,MongoDB Agent 需要所有下载的 MongoDB 二进制文件的签名文件。
请确保 MongoDB Agent 可以从同一目录中找到 MongoDB 二进制文件及其签名文件(.sig),该目录的位置取决于您的部署是本地还是远程。
如果您的Ops Manager实例可以访问互联网或自定义的HTTPS服务器,并且您从官方来源下载 MongoDB 二进制文件,MongoDB Agent 会自动下载与 MongoDB 二进制文件一起的签名文件。
如果您不是从官方来源下载 MongoDB 二进制文件,请配置您的HTTPS服务器,以便从同一链接找到 MongoDB 二进制文件及其签名文件。
如果您的Ops Manager实例无法访问互联网,MongoDB 二进制文件及其签名文件默认存储在/mongodb-ops-manager/mongodb-releases/。请确保签名文件与 MongoDB 二进制文件同名,并且两者位于同一目录。例如
/mongodb-ops-manager/mongodb-releases/mongodb-linux-x86_64-rhel80-4.2.8.tgz.sig /mongodb-ops-manager/mongodb-releases/mongodb-linux-x86_64-rhel80-4.2.8.tgz
保存并应用Ops Manager 资源规范。
kubectl apply -f <my-ops-manager-resource-specification>.yaml
应用了Ops Manager 资源规范后,MongoDB Agent 将在集群节点上执行滚动重启,以协调更改。