在启用身份验证后, MongoDB将强制所有客户端在访问数据库前先做身份验证authentication 。 Authorization , 授权允许管理员限制用户使用的资源和允许做的操作。 对于产品环境中使用mongodb replica set 复制集,必须启用Authentication 和Authorization。
dbDao 百度贴吧:http://tieba.baidu.com/dbdao
MongoDB技术学习QQ群: 421431253
所有的MongoDB部署均支持身份验证。 默认情况下MongoDB不检测是否授权用户。对于现有部署和新部署都可以启用身份验证和授权。 但是要启用它们必须有停机时间,无法对在线的mongodb做修改。
以下我们将部署一个三节点的replica set复制集,其中的三个节点:
- rep0.dbdao.com 默认的primary
- rep1.dbdao.com Secondary
- rep2.dbdao.com Secondary
注意以下所有操作均在ubuntu 上以root用户执行,如果你要以其他用户执行,请注意权限。
ubuntu启用-root账号 可以参考: http://www.askmaclean.com/archives/ubuntu%E5%90%AF%E7%94%A8-root%E8%B4%A6%E5%8F%B7.html
1、首先创建必要的目录
三个节点均运行
su – root ==》三个节点均运行
mkdir -p /m01/repdbdao ==》三个节点均运行
2、启动primary节点上的mongod
mongod –dbpath /m01/repdbdao –port 35001 –storageEngine wiredTiger
3、在无需身份验证的primary上创建用户
mongo rep0.dbdao.com:35001 ==》登陆 primary
如下创建了admin和root 2个超级用户
use admin
db.createUser( {
user: "admin",
pwd: "xxxx",
roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]
});
db.createUser( {
user: "root",
pwd: "xxxxx",
roles: [ { role: "root", db: "admin" } ]
});
4、 ctrl+c 关掉步骤2启动的mongod
5、 在primary节点上生成一个为replica set 成员准备的SSL KEY文件
openssl rand -base64 741 > mongodb-keyfilechmod 600 mongodb-keyfile
6、 将mongodb-keyfile 拷贝到其他2个节点上
scp mongodb-keyfile rep1.dbdao.com:~/scp mongodb-keyfile rep2.dbdao.com:~/
7、 启动三个节点上的mongod
rep0
mongod --dbpath /m01/repdbdao --port 35001 --storageEngine wiredTiger --replSet "rsdbao" --keyFile ~/mongodb-keyfile
rep1
mongod --dbpath /m01/repdbdao --port 35001 --storageEngine wiredTiger --replSet "rsdbao" --keyFile ~/mongodb-keyfile
rep2
mongod --dbpath /m01/repdbdao --port 35001 --storageEngine wiredTiger --replSet "rsdbao" --keyFile ~/mongodb-keyfile
8、连接到primary节点 开始Replica SET配置
mongo rep0:35001/admin -u siteRootAdmin -p
输入密码 dbdao
9、初始化replica set配置
执行
rs.initiate()
10、 将rep1和rep2节点加入replica set
rs.add(“rep1.dbdao.com:35001″)rs.add(“rep2.dbdao.com:35001″)
11、查看replica set 状态
rsdbao:PRIMARY> rs.status()
{
"set" : "rsdbao",
"date" : ISODate("2015-05-14T03:07:00.883Z"),
"myState" : 1,
"members" : [
{
"_id" : 0,
"name" : "rep0.dbdao.com:35001",
"health" : 1,
"state" : 1,
"stateStr" : "PRIMARY",
"uptime" : 345,
"optime" : Timestamp(1431572809, 1),
"optimeDate" : ISODate("2015-05-14T03:06:49Z"),
"electionTime" : Timestamp(1431572753, 2),
"electionDate" : ISODate("2015-05-14T03:05:53Z"),
"configVersion" : 3,
"self" : true
},
{
"_id" : 1,
"name" : "rep1.dbdao.com:35001",
"health" : 1,
"state" : 2,
"stateStr" : "SECONDARY",
"uptime" : 22,
"optime" : Timestamp(1431572809, 1),
"optimeDate" : ISODate("2015-05-14T03:06:49Z"),
"lastHeartbeat" : ISODate("2015-05-14T03:07:00.011Z"),
"lastHeartbeatRecv" : ISODate("2015-05-14T03:07:00.650Z"),
"pingMs" : 1,
"syncingTo" : "rep0.dbdao.com:35001",
"configVersion" : 3
},
{
"_id" : 2,
"name" : "rep2.dbdao.com:35001",
"health" : 1,
"state" : 2,
"stateStr" : "SECONDARY",
"uptime" : 10,
"optime" : Timestamp(1431572809, 1),
"optimeDate" : ISODate("2015-05-14T03:06:49Z"),
"lastHeartbeat" : ISODate("2015-05-14T03:07:00.078Z"),
"lastHeartbeatRecv" : ISODate("2015-05-14T03:07:00.228Z"),
"pingMs" : 23,
"configVersion" : 3
}
],
"ok" : 1
}
12、为了今后的管理可以为单个数据库创建管理者
use products
db.createUser(
{
user: "productsDBAdmin",
pwd: "dbdao",
roles:
[
{
role: "dbOwner",
db: "products"
}
]
}
)
以上基本完成了对有身份验证和授权的replica set的配置,可以使用如下命令登陆三个节点:
mongo rep1.dbdao.com:35001/admin -u siteRootAdmin -p dbdao
mongo rep0.dbdao.com:35001/admin -u siteRootAdmin -p dbdao
mongo rep2.dbdao.com:35001/admin -u siteRootAdmin -p dbdao
如上配置的replica set 会自动启用failover,但primary失败时会自动投票切换到secondary,无需人工接入。