Mongodb副本集带用户认证的
概述
本次实验是在一台虚拟机上做的,正式环境一定要分开实现,以免影响服务的正常使用和性能。
准备工作:
操作系统:centos7.2
Mongodb版本:3.4.1
服务器ip:192.168.1.11
Mongodb服务端口: 27017、27018、27019
1、 首先将下载好的mongodb的安装包上传到服务器上
mongodb-linux-x86_64-rhel70-3.4.1.tgz
2、 创建所用到的目录
# mkdir /data/{master,slave,arbiter}
# mkdir /data/log/mongodb/{master,slave,arbiter} -p
3、 将刚上传的mogodb的安装包解压到/data目录并重命名为mongodb
# tar xf mongodb-linux-x86_64-rhel70-3.4.1.tgz
# mv mongodb-linux-x86_64-rhel70-3.4.1 mongodb
4、 分别在/data的相应目录下创建master、slave、arbiter的配置文件
# cat master.conf
systemLog:
destination: file
logAppend: true
path: /data/log/mongodb/master/mongodb.log
storage:
dbPath: /data/master
journal:
enabled: true
processManagement:
fork: true # fork and run in background
pidFilePath: /var/run/mongod.pid
net:
port: 27017
# bindIp: 0.0.0.0 # Listen to local interface only, comment to listen on all interfaces.
replication:
replSetName: rs1
oplogSizeMB: 5000
security:
keyFile: "/data/mongodb.key"
clusterAuthMode: "keyFile"
authorization: "enabled"
# cat slave.conf
systemLog:
destination: file
logAppend: true
path: /data/log/mongodb/slave/mongodb.log
storage:
dbPath: /data/slave
journal:
enabled: true
processManagement:
fork: true # fork and run in background
pidFilePath: /var/run/mongod.pid
net:
port: 27018
# bindIp: 0.0.0.0 # Listen to local interface only, comment to listen on all interfaces.
replication:
replSetName: rs1
oplogSizeMB: 5000
security:
keyFile: "/data/mongodb.key"
clusterAuthMode: "keyFile"
authorization: "enabled"
# cat arbiter.conf
systemLog:
destination: file
logAppend: true
path: /data/log/mongodb/arbiter/mongodb.log
storage:
dbPath: /data/arbiter
journal:
enabled: true
processManagement:
fork: true # fork and run in background
pidFilePath: /var/run/mongod.pid
net:
port: 27019
# bindIp: 0.0.0.0 # Listen to local interface only, comment to listen on all interfaces.
replication:
replSetName: rs1
oplogSizeMB: 5000
security:
keyFile: "/data/mongodb.key"
clusterAuthMode: "keyFile"
authorization: "enabled"
5、 由于需要认证,使用keyFile进行授权连接replica sets
创建mongodb.key
# openssl rand -base64 666 > mongodb.key
# chmod 600 mongodb.key
Mongodb.key里面密码的长度不能超过1024,否则会报错。
将生成的mongodb.key文件分别拷贝到其他服务器上。
6、 启动服务
启动服务没有先后顺序
# mongod -f /data/arbiter/arbiter.conf
# mongod -f /data/master/master.conf
# mongod -f /data/slave/slave.conf
7、 配置主,备,仲裁节点
连接任意一个节点,这里以2017端口为例:
# mongo 192.168.1.11:27017
>use admin
>cfg={_id:"rs1",members:[{_id:0,host:'192.168.1.11:27017',priority:2},{_id:1,host:'192.168.1.11:27018',priority:1},{_id:2,host:'192.168.1.11:27019',arbiterOnly:true}]};
> rs.initiate(cfg) #使配置生效
# cfg是可以任意的名字,当然最好不要是mongodb的关键字,conf,config都可以。最外层的_id表示replica set的名字,members里包含的是所有节点的地址以及优先级。优先级最高的即成为主节点,即这里的'192.168.1.11:27017'。特别注意的是,对于仲裁节点,需要有个特别的配置——arbiterOnly:true。这个千万不能少了,不然主备模式就不能生效。
上面的命令执行成功会返回1.
8、 接下来是在主上进行一系列的操作,创建用户。Mongo默认没有管理用户。
# mongo 192.168.1.11:27017
>use admin
>db.createUser({user:"hqmg",pwd:"huoqiu123",roles:[{role:"userAdminAnyDatabase",db:"admin"},{role:"clusterAdmin",db:"admin"}]});
额,报错了。原因是没有执行认证操作。
>db.auth("hqmg","huoqiu123")
这下好了,可以放心的执行操作了
>show dbs
admin 0.000GB
local 0.000GB
9、 创建数据库并创建用户,为用户赋予不同的权限,常用的两种:
read: 只读权限; readWrite:读写权限
- 数据库用户角色:read、readWrite;
- 数据库管理角色:dbAdmin、dbOwner、userAdmin;
- 集群管理角色:clusterAdmin、clusterManager、clusterMonitor、hostManager;
- 备份恢复角色:backup、restore;
- 所有数据库角色:readAnyDatabase、readWriteAnyDatabase、userAdminAnyDatabase、dbAdminAnyDatabase
- 超级用户角色:root // 这里还有几个角色间接或直接提供了系统超级用户的访问(dbOwner 、userAdmin、userAdminAnyDatabase)
- 内部角色:__system
Read:允许用户读取指定数据库
readWrite:允许用户读写指定数据库
dbAdmin:允许用户在指定数据库中执行管理函数,如索引创建、删除,查看统计或访问system.profile
userAdmin:允许用户向system.users集合写入,可以找指定数据库里创建、删除和管理用户
clusterAdmin:只在admin数据库中可用,赋予用户所有分片和复制集相关函数的管理权限。
readAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的读权限
readWriteAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的读写权限
userAdminAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的userAdmin权限
dbAdminAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的dbAdmin权限。
root:只在admin数据库中可用。超级账号,超级权限
用户和授权认证是跟随数据库的,在那个库里面创建的用户,就要在那里授权认证。
!创建一个测试库,并分别创建只读、读写的用户。
如果是新的库,要先登陆admin库,进行认证后才可以操作
# mongo 192.168.1.11:27017 –uhqmg -phuoqiu123
>use saturn
创建读写用户:
>db.createUser({user:"cuishuai",pwd:"cuishuai123",roles:[{role:"readWrite",db:"saturn"}]})
创建只读用户:
>db.createUser({user:"azui",pwd:"azui123",roles:[{role:"read",db:"saturn"}]})
10、 修改用户权限
有两种方式,一种是db.grantRolesToUser在原有基础上追加,一种是db.updateUser替换原有的角色。
1)>db.grantRolesToUser("azui",[{role:"readWrite",db:"saturn"}])
2) >db.updateUser("azui",{roles:[{role:"readWrite",db:"saturn"}]})
11、 删除用户权限
>db.revokeRolesFromUser("azui",[{role:"readWrite",db:"saturn"}])
12、oplog读权限
Oplog是一种特殊的Capped collections,特殊之处在于它是系统级Collection,记录了数据库的所有操作,集群之间依靠Oplog进行数据同步。Oplog的全名是local.oplog.rs,位于local数据下。由于local数据不允许创建用户,如果要访问Oplog需要借助其它数据库的用户,并且赋予该用户访问local数据库的权限:
1)修改现有用户,使其具有oplog的读权限:
> db.grantRolesToUser("azui",[{role:"read",db:"local"}])
2)创建新用户:
>db.creatUser({user:"azui",pwd:"azui123",roles:[{role:"read",db:"saturn"},{role:"read",db:"local"}]})
})
3)查询过程:
>use saturn
>db.auth('azui','azui123')
>use local
>db.oplog.rs.find()
13、 接下来还有重要的一步,日志分割,使用的是logrotate做的。
# cat /etc/logrotate.d/mongodb
/data/log/mongodb/arbiter/mongodb.log{
daily
dateext
compress
delaycompress
copytruncate
create 0644 root root
rotate 5
size 500M
}
/data/log/mongodb/master/mongodb.log{
daily
dateext
compress
delaycompress
copytruncate
create 0644 root root
rotate 5
size 500M
}
/data/log/mongodb/slave/mongodb.log{
daily
dateext
compress
delaycompress
copytruncate
create 0644 root root
rotate 5
size 500M
}
添加周期计划任务:
# crontab –e
0 */3 * * * /usr/sbin/logrotate /etc/logrotate.d/mongodb 2>&1 >>/dev/null
14、 编写删除脚本
# cat rmlog.sh
#!/bin/bash
dir1=/data/log/mongodb/arbiter
dir2=/data/log/mongodb/master
dir3=/data/log/mongodb/slave
find $dir1 -mtime +7 -name "*2017*" -exec rm -rf {} \;
find $dir2 -mtime +7 -name "*2017*" -exec rm -rf {} \;
find $dir3 -mtime +7 -name "*2017*" -exec rm -rf {} \;
# chmod +x rmlog.sh
添加周期计划任务:
# crontab –e
0 */3 * * * /root/cuishuai/rmlog.sh 2>&1 >>/dev/null