为Replica Set配置访问控制

最新推荐文章于 2022-07-18 23:02:22 发布
最新推荐文章于 2022-07-18 23:02:22 发布
阅读量484 收藏
点赞数
分类专栏: 数据库 文章标签: mongodb

原文地址:https://docs.mongodb.com/manual/tutorial/deploy-replica-set-with-keyfile-access-control/#deploy-repl-set-with-auth 

概述
强制对Replica Set进行访问控制,需要如下配置:
在本教程中,每一个Replica Set节点都使用相同的内部认证机制( internal authentication mechanism )以及配置。
强制的内部认证同样强制用户访问控制( user access control )。
思考
操作系统:
本教程主要使用mongod进程,如果是windows用户,那么可以使用mongod.exe。
Keyfile安全保障
Keyfile是最低限度的安全保障,最好只用于测试和开发环境,千万不要应用到生产环境。对于生产环境,我们建议使用   x.509 certificates
访问控制
本教程包含了在且仅在admin数据库创建最少数量的管理员账户的方法。对于用户认证,本教程采用默认的 SCRAM-SHA-1 身份认证机制。 Challenge-response安全机制最适合于测试与开发环境。对 于生产环境,我们建议使用 x.509 certificates 或者 LDAP Proxy Authentication  (仅在MongoDB Enterprise版本里面支持)或者 Kerberos Authentication  (仅在MongoDB Enterprise版本里面支持)。
想了解更多的关于使用指定认证方式创建用户的方式,请参考mongodb官网。
Configure Role-Based Access Control 了解用户创建于管理的最佳实践。
使用Keyfile访问控制部署新的Replica Set
1. 创建Keyfile
Keyfile的内容就像是一个共享的密码一样在全部Replica Set节点上使用。全部节点的Keyfile内容必须完全一致。
你可以使用任何方式生成你的Keyfile,Keyfile的内容必须在6-1024个字节之间。
在unix系统上,Keyfile一定不能有group或者world的权限。在Windows系统上, keyfile的权限一定不能被勾选。
下面是使用openssl生成一个复杂的伪随机的1024个字符的字符串,用来填充keyfile。然后使用chmod设置文件的所有者只有读权限。
openssl rand -base64 756 > <path-to-keyfile>chmod 400 <path-to-keyfile>
关于keyfile的更多信息,请点击: Keyfiles
(其实自己就可以写一个keyfile,我就是在一个txt文件里面写了一下随机的字母数字就可以了,注意这里只能写字母数字,不能用其它字符)
复制keyfile到每一个Replica Set节点
各节点的存储路径要一致,不能使用共享路径,也不能使用可移动存储设备,例如U盘等。
在Replica Set的每一个节点上强制应用访问控制
在只用mongod是添加keyfile参数,这样就可以启用 Internal Authentication Role-Based Access Control
1. 使用命令行,代码如下:
mongod --keyFile <path-to-keyfile> --replSet <replicaSetName>
2. 使用config文件:
config文件内容如下:

执行mongod: mongod --config <path-to-config-file>
使用localhost interface连接到一个Replica Set节点
登录到mongo的物理机,然后执行mongod,因为在这个时候没有创建任何用户,所以只能在本机上执行mongo控制台。
如:
"C:\Program Files\MongoDB\Server\3.2\bin\mongod.exe" --dbpath "C:\Program Files\MongoDB\data\db" --directoryperdb --logpath "C:\Program Files\MongoDB\log\mongod.log" --logappend --install --serviceName MongoDB --serviceDisplayName "MongoDB" --replSet "rs0" --keyFile "C:\Program Files\MongoDB\keyfile.txt"
初始化Replica Set
和初始化其它Replica Set一样 (但是要先切换到admin数据库:use admin):

创建管理员账户
这个账号作为第一个数据库用户,需要有最高的权限,比如有权限创建其它用户, 因此一般给它userAdminAnyDatabase的角色。
同样登录到Primary服务器,链接到mondo控制台,切换到admin数据库,

给新账户管理员认证

为复制集创建管理员
clusterAdmin 角色拥有复制集操作的权限,比如配置复制集。

添加其他用户
目前支持的用户角色: Database User Roles

lj2tj
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
部署MongoDB Replica Set同时给数据库设置用户名密码
monkey_four的专栏
03-11 6204
1. 根据下面链接配置mongodb replica set http://blog.csdn.net/monkey_four/article/details/50837586 2. 由于前面配置好后所有结点的MongoDB服务都启动了,所以第二步先service mongod stop(所有结点都要停止服务)  3. 启动其中一台mongod服务, 正常启动,不要开启
配置replica set的常见问题
weixin_30907523的博客
11-12 278
总有人问起配置ReplicaSet不成功,总结了一下基本上的可能性就几种,检查步骤如下: 假设三台机器的IP分别是 A: 192.168.1.2 a.test.com B:192.168.1.3 b.test.com C: 192.168.1.4 c.test.com 1. mongod有在运行吗? 虽然这是个很低级的问题,但是还是要不厌其烦地说一句,请先检查是否真的...
ReplicaSet
喝醉酒的小白
07-18 3285
ReplicaSet的副本数量、标签选择器甚至是Pod模板都可以随时按需进行修改,不过仅改动期望的副本数量会对现存的Pod副本产生直接影响。另外,在创建完成后,ReplicaSet也不会再关注Pod对象中的实际内容,因此Pod模板的改动也只会对后来新建的Pod副本产生影响。如图所示,ReplicaSet控制器资源启动后会查找集群中匹配其标签选择器的Pod资源对象,当前活动对象的数量与期望的数量不吻合时,□template用于补足Pod副本数量时使用的Pod模板资源。...
Mongodb的带用户验证replica set配置
Software Architect
04-18 3938
mkdir -p /data/data/dbmaster /data/data/dbslave1 /data/data/dbslave2 /data/data/dbslave3 mongod --fork --auth --master --port 27017 --dbpath /data/data/dbmaster  --logpath /data/data/dbmaster
mongodb replica set部署与测试
Keep It Simple, Stupid
02-19 818
环境 在windows一台机器上部署3个副本集(replica set),端口分别是:27020, 27021, 27022,在e://mongo//replset下新建三个目录,分别是:27020,27021,27023。 创建副本集 打开命令行工具执行: mongod --port 27020 --replSet rs0 --dbpath e://mongo/replset//...
mongodb replica set 配置高性能多服务器详解
09-10
mongodb的多服务器配置,以前写过一篇文章,是master-slave模式的,master-slave模式,不能自动实现故障转移和恢复。所以推荐大家使用mongodb的replica set,来实现多服务器的高性能。
k8s 安装 mongodb 分片(Sharding)+ 副本集(Replica Set
04-14
在部署 MongoDB 分片(Sharding)和副本集(Replica Set)后,我们需要配置 MongoDB配置文件,以便 MongoDB 可以连接到 Kubernetes 集群并使用持久存储。 本解决方案的优点主要包括: * 高可用性:MongoDB 分片...
MongoDB添加仲裁节点报错:replica set IDs do not match的解决方法
12-16
由于历史原因,某个MongoDB副本集只有一主一从双节点,无法满足自动故障转移要求,需要配置一个仲裁节点。 原有节点192.168.10.20:27017,192.168.10.21:27017,现在准备在20上配置一个新节点27018当做仲裁 在当前主...
docker-mongodb-replicaset:docker-mongodb-replicaset
06-22
该文件描述了如何在 Docker 上运行 Mongo DB Replica Set。 我们假设主机上的 Docker IP 地址是172.17.42.1 (并且在大多数情况下是正确的)。 您可以通过运行ifconfig docker0并检查 ip 地址来验证它。 我们正在...
【5】Replica Set使用指南(在单机上配置
摩西莫西
11-07 399
  Replica Set使用指南(在单机上配置) 简介: 一个Replica-Set是在一组N个mongod服务一起协作来进行后援支持。 搭建一个replica-set需要两个步骤:在每个节点上启动服务;初始化这个set。 标准模式下,1个set包含3个节点。我们现在就在同一个服务器上搭建一个。 一旦mongod服务节点都启动了,我们需要一个指令来初始化这个set。几秒钟之后,三个节...
mongodb replica set(副本集)设置步骤
08-12
NULL 博文链接:https://tcrct.iteye.com/blog/2108099
mongodb replica sets功能
so1127的专栏
02-21 656
mongodb replica sets功能 经验总结: Replica Setmongodb中数据集这一块的内容,何为数据集?简单的理解,就是把多个库集中一起去进行管理,这些库可能是一台机器上可能是多个服务器组成的服务器组。 主要的功能: (1)    如果一个项目在一台机器上面只有一个库,一旦这个库坏了那么整个项目就瘫痪了。如果有多个库配置一下并且设置了主库和分库,那么一旦主
mongodb 副本集Replica Set的keyfile验证
u013867292的博客
03-04 1584
      部署好mongodb(Replica Set模式)后,需要为应用程序创建数据库以及登录用户,我们知道,需要在启动配置文件中加入auth=true,但是此时登录主节点会失败(实际登录的是OTHER节点),主要原因是只采用了auth验证,未添加keyFile的验证。1.    查看官方文档Youcan authenticate members of replica sets and sha...
赋予用户库的读写权限
xixingzhe2的博客
07-18 1169
开发十年,就只剩下这套Java开发体系了 &gt;&gt;&gt;    1、创建用户 CREATE USER 'test'@'%' IDENTIFIED BY '15ht46389012t'; #'%' - 所有情况都能访问;‘localhost’ - 本机才能访问;’192.168.1.2‘ - 指定 ip 才能访问   2、赋予权限 grant all privileges ...
Mongodb的安装、主从配置、replicaSet配置
移动开发
11-28 1183
Mongodb的安装、主从配置、replicaSet配置                                                                      前段时间一直在研究mongodb,看了一些书,网上也看了很多资料,其实都是抄来抄去,很多根本都没有经过自己验证,随便往博客上一贴,然后坑死人,这样真的要不得,本人在开始就深受其害,所以这里未免
READONLY You can't write against a read only replica.
最新发布
09-14
3. 使用"config set replica-read-only no"命令将replica-read-only属性设置为"no",即允许从节点进行写操作。 方法二: 1. 修改Redis配置文件(redis.conf)。 2. 搜索并找到"replica-read-only"这个配置项。 3. ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值