在启用身份验证后, MongoDB将强制所有客户端在访问数据库前先做身份验证authentication。 Authorization, 授权允许管理员限制用户使用的资源和允许做的操作。 对于产品环境中使用mongodb replica set 复制集,必须启用Authentication 和Authorization。
所有的MongoDB部署均支持身份验证。 默认情况下MongoDB不检测是否授权用户。对于现有部署和新部署都可以启用身份验证和授权。 但是要启用它们必须有停机时间,无法对在线的mongodb做修改。
以下我们将部署一个三节点的replica set复制集,其中的三个节点:
- rep0.dbdao.com 默认的primary
- rep1.dbdao.com Secondary
- rep2.dbdao.com Secondary
注意以下所有操作均在ubuntu 上以root用户执行,如果你要以其他用户执行,请注意权限。
ubuntu启用-root账号 可以参考: https://www.askmac.cn/archives/ubuntu%E5%90%AF%E7%94%A8-root%E8%B4%A6%E5%8F%B7.html
1、首先创建必要的目录
三个节点均运行
su – root ==》三个节点均运行
mkdir -p /m01/repdbdao ==》三个节点均运行
2、启动primary节点上的mongod
mongod –dbpath /m01/repdbdao –port 35001 –storageEngine wiredTiger
3、在无需身份验证的primary上创建用户
mongo rep0.dbdao.com:35001 ==》登陆 primary 如下创建了siteUserAdmin和siteRootAdmin 2个超级用户 use admin db.createUser( { user: "siteUserAdmin", pwd: "dbdao", roles: [ { role: "userAdminAnyDatabase", db: "admin" } ] }); db.createUser( { user: "siteRootAdmin", pwd: "dbdao", roles: [ { role: "root", db: "admin" } ] });
4、 ctrl+c 关掉步骤2启动的mongod
5、 在primary节点上生成一个为replica set 成员准备的SSL KEY文件
openssl rand -base64 741 > mongodb-keyfile
chmod 600 mongodb-keyfile
6、 将mongodb-keyfile 拷贝到其他2个节点上
scp mongodb-keyfile rep1.dbdao.com:~/
scp mongodb-keyfile rep2.dbdao.com:~/
7、 启动三个节点上的mongod
rep0 mongod --dbpath /m01/repdbdao --port 35001 --storageEngine wiredTiger --replSet "rsdbao" --keyFile ~/mongodb-keyfile rep1 mongod --dbpath /m01/repdbdao --port 35001 --storageEngine wiredTiger --replSet "rsdbao" --keyFile ~/mongodb-keyfile rep2 mongod --dbpath /m01/repdbdao --port 35001 --storageEngine wiredTiger --replSet "rsdbao" --keyFile ~/mongodb-keyfile
8、连接到primary节点 开始Replica SET配置
mongo rep0:35001/admin -u siteRootAdmin -p
输入密码 dbdao
9、初始化replica set配置
执行
rs.initiate()
10、 将rep1和rep2节点加入replica set
rs.add(“rep1.dbdao.com:35001”)
rs.add(“rep2.dbdao.com:35001”)
11、查看replica set 状态
rsdbao:PRIMARY> rs.status() { "set" : "rsdbao", "date" : ISODate("2015-05-14T03:07:00.883Z"), "myState" : 1, "members" : [ { "_id" : 0, "name" : "rep0.dbdao.com:35001", "health" : 1, "state" : 1, "stateStr" : "PRIMARY", "uptime" : 345, "optime" : Timestamp(1431572809, 1), "optimeDate" : ISODate("2015-05-14T03:06:49Z"), "electionTime" : Timestamp(1431572753, 2), "electionDate" : ISODate("2015-05-14T03:05:53Z"), "configVersion" : 3, "self" : true }, { "_id" : 1, "name" : "rep1.dbdao.com:35001", "health" : 1, "state" : 2, "stateStr" : "SECONDARY", "uptime" : 22, "optime" : Timestamp(1431572809, 1), "optimeDate" : ISODate("2015-05-14T03:06:49Z"), "lastHeartbeat" : ISODate("2015-05-14T03:07:00.011Z"), "lastHeartbeatRecv" : ISODate("2015-05-14T03:07:00.650Z"), "pingMs" : 1, "syncingTo" : "rep0.dbdao.com:35001", "configVersion" : 3 }, { "_id" : 2, "name" : "rep2.dbdao.com:35001", "health" : 1, "state" : 2, "stateStr" : "SECONDARY", "uptime" : 10, "optime" : Timestamp(1431572809, 1), "optimeDate" : ISODate("2015-05-14T03:06:49Z"), "lastHeartbeat" : ISODate("2015-05-14T03:07:00.078Z"), "lastHeartbeatRecv" : ISODate("2015-05-14T03:07:00.228Z"), "pingMs" : 23, "configVersion" : 3 } ], "ok" : 1 }
12、为了今后的管理可以为单个数据库创建管理者
use products db.createUser( { user: "productsDBAdmin", pwd: "dbdao", roles: [ { role: "dbOwner", db: "products" } ] } )
以上基本完成了对有身份验证和授权的replica set的配置,可以使用如下命令登陆三个节点:
mongo rep1.dbdao.com:35001/admin -u siteRootAdmin -p dbdao
mongo rep0.dbdao.com:35001/admin -u siteRootAdmin -p dbdao
mongo rep2.dbdao.com:35001/admin -u siteRootAdmin -p dbdao
如上配置的replica set 会自动启用failover,但primary失败时会自动投票切换到secondary,无需人工接入。
Comment