mongodb带认证的副本集搭建

时间:2022-04-13 08:19:42

Mongodb副本集带用户认证的

概述

本次实验是在一台虚拟机上做的,正式环境一定要分开实现,以免影响服务的正常使用和性能。

准备工作:

操作系统:centos7.2

Mongodb版本:3.4.1

服务器ip:192.168.1.11

Mongodb服务端口: 27017、27018、27019

 

1、     首先将下载好的mongodb的安装包上传到服务器上

   mongodb-linux-x86_64-rhel70-3.4.1.tgz

 

2、     创建所用到的目录

    # mkdir /data/{master,slave,arbiter}

    # mkdir /data/log/mongodb/{master,slave,arbiter} -p

 

3、     将刚上传的mogodb的安装包解压到/data目录并重命名为mongodb

# tar xf mongodb-linux-x86_64-rhel70-3.4.1.tgz

# mv mongodb-linux-x86_64-rhel70-3.4.1   mongodb

 

4、     分别在/data的相应目录下创建master、slave、arbiter的配置文件

# cat  master.conf

 systemLog:

  destination: file

  logAppend: true

  path: /data/log/mongodb/master/mongodb.log

storage:

  dbPath: /data/master

  journal:

    enabled: true

processManagement:

  fork: true  # fork and run in background

  pidFilePath: /var/run/mongod.pid

net:

  port: 27017

 # bindIp: 0.0.0.0  # Listen to local interface only, comment to listen on all interfaces.

replication:

   replSetName: rs1

   oplogSizeMB: 5000

security:

 keyFile: "/data/mongodb.key"

 clusterAuthMode: "keyFile"

 authorization: "enabled"

# cat  slave.conf

systemLog:

  destination: file

  logAppend: true

  path: /data/log/mongodb/slave/mongodb.log

storage:

  dbPath: /data/slave

  journal:

    enabled: true

processManagement:

  fork: true  # fork and run in background

  pidFilePath: /var/run/mongod.pid

net:

  port: 27018

 # bindIp: 0.0.0.0  # Listen to local interface only, comment to listen on all interfaces.

replication:

  replSetName: rs1

  oplogSizeMB: 5000

security:

  keyFile: "/data/mongodb.key"

  clusterAuthMode: "keyFile"

  authorization: "enabled"

 

# cat  arbiter.conf

systemLog:

  destination: file

  logAppend: true

  path: /data/log/mongodb/arbiter/mongodb.log

storage:

  dbPath: /data/arbiter

  journal:

    enabled: true

processManagement:

  fork: true  # fork and run in background

  pidFilePath: /var/run/mongod.pid

net:

  port: 27019

 # bindIp: 0.0.0.0  # Listen to local interface only, comment to listen on all interfaces.

replication:

  replSetName: rs1

  oplogSizeMB: 5000

security:

  keyFile: "/data/mongodb.key"

  clusterAuthMode: "keyFile"

  authorization: "enabled"

 

5、     由于需要认证,使用keyFile进行授权连接replica sets

创建mongodb.key

# openssl rand -base64 666 > mongodb.key
# chmod 600 mongodb.key

Mongodb.key里面密码的长度不能超过1024,否则会报错。

 

将生成的mongodb.key文件分别拷贝到其他服务器上。

 

6、     启动服务

    启动服务没有先后顺序

    # mongod -f /data/arbiter/arbiter.conf

# mongod -f /data/master/master.conf

# mongod -f /data/slave/slave.conf

 

7、     配置主,备,仲裁节点

   连接任意一个节点,这里以2017端口为例:

   # mongo 192.168.1.11:27017

   >use admin

   >cfg={_id:"rs1",members:[{_id:0,host:'192.168.1.11:27017',priority:2},{_id:1,host:'192.168.1.11:27018',priority:1},{_id:2,host:'192.168.1.11:27019',arbiterOnly:true}]};

   > rs.initiate(cfg)          #使配置生效

 

# cfg是可以任意的名字,当然最好不要是mongodb的关键字,conf,config都可以。最外层的_id表示replica set的名字,members里包含的是所有节点的地址以及优先级。优先级最高的即成为主节点,即这里的'192.168.1.11:27017'。特别注意的是,对于仲裁节点,需要有个特别的配置——arbiterOnly:true。这个千万不能少了,不然主备模式就不能生效。

上面的命令执行成功会返回1.

 

8、     接下来是在主上进行一系列的操作,创建用户。Mongo默认没有管理用户。

# mongo 192.168.1.11:27017

>use admin

>db.createUser({user:"hqmg",pwd:"huoqiu123",roles:[{role:"userAdminAnyDatabase",db:"admin"},{role:"clusterAdmin",db:"admin"}]});

额,报错了。原因是没有执行认证操作。

>db.auth("hqmg","huoqiu123")

这下好了,可以放心的执行操作了

>show dbs

admin   0.000GB

local   0.000GB

     

9、     创建数据库并创建用户,为用户赋予不同的权限,常用的两种:

read: 只读权限; readWrite:读写权限

  • 数据库用户角色:read、readWrite;
  • 数据库管理角色:dbAdmin、dbOwner、userAdmin;
  • 集群管理角色:clusterAdmin、clusterManager、clusterMonitor、hostManager;
  • 备份恢复角色:backup、restore;
  • 所有数据库角色:readAnyDatabase、readWriteAnyDatabase、userAdminAnyDatabase、dbAdminAnyDatabase
  • 超级用户角色:root // 这里还有几个角色间接或直接提供了系统超级用户的访问(dbOwner 、userAdmin、userAdminAnyDatabase)
  • 内部角色:__system
角色说明:
Read:允许用户读取指定数据库
readWrite:允许用户读写指定数据库
dbAdmin:允许用户在指定数据库中执行管理函数,如索引创建、删除,查看统计或访问system.profile
userAdmin:允许用户向system.users集合写入,可以找指定数据库里创建、删除和管理用户
clusterAdmin:只在admin数据库中可用,赋予用户所有分片和复制集相关函数的管理权限。
readAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的读权限
readWriteAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的读写权限
userAdminAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的userAdmin权限
dbAdminAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的dbAdmin权限。
root:只在admin数据库中可用。超级账号,超级权限

用户和授权认证是跟随数据库的,在那个库里面创建的用户,就要在那里授权认证。

!创建一个测试库,并分别创建只读、读写的用户。

       如果是新的库,要先登陆admin库,进行认证后才可以操作

       # mongo  192.168.1.11:27017 –uhqmg  -phuoqiu123

       >use saturn

       创建读写用户:

       >db.createUser({user:"cuishuai",pwd:"cuishuai123",roles:[{role:"readWrite",db:"saturn"}]})

       

        创建只读用户:

       >db.createUser({user:"azui",pwd:"azui123",roles:[{role:"read",db:"saturn"}]})

 

10、   修改用户权限

有两种方式,一种是db.grantRolesToUser在原有基础上追加,一种是db.updateUser替换原有的角色。

1)>db.grantRolesToUser("azui",[{role:"readWrite",db:"saturn"}])

2) >db.updateUser("azui",{roles:[{role:"readWrite",db:"saturn"}]})

11、   删除用户权限

>db.revokeRolesFromUser("azui",[{role:"readWrite",db:"saturn"}])

 

12、oplog读权限

    

Oplog是一种特殊的Capped collections,特殊之处在于它是系统级Collection,记录了数据库的所有操作,集群之间依靠Oplog进行数据同步。Oplog的全名是local.oplog.rs,位于local数据下。由于local数据不允许创建用户,如果要访问Oplog需要借助其它数据库的用户,并且赋予该用户访问local数据库的权限:

 

1)修改现有用户,使其具有oplog的读权限:

> db.grantRolesToUser("azui",[{role:"read",db:"local"}])

 

2)创建新用户:

>db.creatUser({user:"azui",pwd:"azui123",roles:[{role:"read",db:"saturn"},{role:"read",db:"local"}]})

})

3)查询过程:

>use  saturn

>db.auth('azui','azui123')

>use local

>db.oplog.rs.find()

 

13、   接下来还有重要的一步,日志分割,使用的是logrotate做的。

# cat /etc/logrotate.d/mongodb

/data/log/mongodb/arbiter/mongodb.log{

             daily

             dateext

             compress

             delaycompress

             copytruncate

             create 0644 root root

             rotate 5

             size 500M

}

/data/log/mongodb/master/mongodb.log{

             daily

             dateext

             compress

             delaycompress

             copytruncate

             create 0644 root root

             rotate 5

             size 500M

}

/data/log/mongodb/slave/mongodb.log{

             daily

             dateext

             compress

             delaycompress

             copytruncate

             create 0644 root root

             rotate 5

             size 500M

}

 

添加周期计划任务:

# crontab –e

0 */3 * * *  /usr/sbin/logrotate  /etc/logrotate.d/mongodb 2>&1 >>/dev/null

 

14、   编写删除脚本

# cat rmlog.sh

#!/bin/bash

dir1=/data/log/mongodb/arbiter

dir2=/data/log/mongodb/master

dir3=/data/log/mongodb/slave

find $dir1 -mtime +7 -name "*2017*" -exec rm -rf {} \;

find $dir2 -mtime +7 -name "*2017*" -exec rm -rf {} \;

find $dir3 -mtime +7 -name "*2017*" -exec rm -rf {} \;

# chmod +x rmlog.sh

添加周期计划任务:

# crontab –e

    0 */3 * * * /root/cuishuai/rmlog.sh  2>&1 >>/dev/null

mongodb带认证的副本集搭建的更多相关文章

  1. windows版本 MongoDB副本集搭建及开启身份验证

    ------------恢复内容开始------------ ------------恢复内容开始------------ MongoDB副本集搭建 我搭建的是一个主节点,两个副节点 构建目录结构如下 ...

  2. mongodb副本集搭建过程中的问题和解决技巧

    在我以往的认知中,一个系统一旦正式上线,多半不会轻易的迁移服务器,尤其是那种涉及到多个关联应用,涉及到多台硬件服务器的系统,因为这种迁移将是牵一发而动全身的. 但是,却仍然有这种情况存在,就如我这几天 ...

  3. mongodb 4.0副本集搭建

    近期有同学问mongodb副本集难不难部署,我的回答是不难,很快,几分钟搞定,比mysql MHA简单的不止一点半点. 那么到底如何部署呢?请看下文. 1.  准备工作 1.1 下载软件 选择版本并下 ...

  4. MongoDB副本集搭建及备份恢复

    一.MongoDB副本集(repl set)介绍 早起版本使用master-slave,一主一从和MySQL类似,但slave在此架构中为只读,当主库宕机后,从库不能自动切换为主: 目前已经淘汰了ma ...

  5. mongodb安装及副本集搭建

    mongodb下载地址:https://www.mongodb.com/dr/fastdl.mongodb.org/linux/mongodb-linux-x86_64-rhel62-3.2.7.tg ...

  6. mongo副本集搭建及服务器复用方案

    比较常见的mongodb副本集搭建是有:常规节点.数据副本.仲裁节点组成,也就是需要三台服务器组建.常规节点即数据的主存储节点,数据副本是主存储节点的从属节点,它定期去主节点获取更新日志来更新自己.仲 ...

  7. MongoDB(五)-- 副本集(replica Set)

    一.副本集介绍 搭建副本集是为了实现mongodb高可用. Mongodb(M)表示主节点,Mongodb(S)表示备节点,Mongodb(A)表示仲裁节点.主备节点存储数据,仲裁节点不存储数据.客户 ...

  8. MongoDB 删除,添加副本集,并修改副本集IP等信息

    MongoDB 删除,添加副本集,并修改副本集IP等信息 添加副本,在登录到主节点下输入 rs.add("ip:port"); 删除副本 rs.remove("ip:po ...

  9. Mongodb副本集搭建经验

    一.环境配置经验 1.一般安装的副本集的时候,主实例可以有数据库和用户:从实例不能.仲裁机不能有任何数据库包括用户 2.搭建副本集的时候Host使用外网IP,否则使用Mongodb VUE 1.6.9 ...

随机推荐

  1. Linux系统管理命令之用户管理

    1.添加用户useradd   2.删除用户userdel userdel aming 彻底删除用户(包括删除用户目录) userdel -r aming 3.用户修改usermod    

  2. 《C与指针》第七章练习

    本章问题 1.具有空函数体的函数可以作为存根使用,你如何对这类函数进行修改,使其更有用? answer:Have the stub(存根) print out a message when it is ...

  3. 解决eclipse下pydev的unresolved import的问题

    有些模块,比如PIL,已经装入过,但是在pydev中无法自动提示,甚至有报 unresolved import的问题,虽然不会引起运行时问题,但是无法实现自动提示,还是一件很麻烦的事情.   下面有个 ...

  4. ASP.NET问题处理---“数据请求超时错误“”

    数据请求超时,一般有2中解决方式: 1.页面AJAX处理数据时延长时间: 2.后台数据库连接取数据时延长时间. 由于我的后台数据库连接取数据为循环读取数据,所以不存在超时问题,这里具体说说如何修改AJ ...

  5. Android学习之简单的数据存储

    在Android中,数据存储是开发人员不可以避免的.Android为开发者提供了很多的存储方法,在前面的博客中,已经讲述了sqlite存储数据.今天将介绍用SharedPreferences来存储数据 ...

  6. 分布式配置管理--百度disconf搭建过程和详细使用

    先说官方文档:http://disconf.readthedocs.io/zh_CN/latest/index.html 不管是否要根据官方文档来搭建disconf,都应该看一下这一份文档.精炼清晰地 ...

  7. 开涛spring3(12.2) - 零配置 之 12.2 注解实现Bean依赖注入

    12.2  注解实现Bean依赖注入 12.2.1  概述 注解实现Bean配置主要用来进行如依赖注入.生命周期回调方法定义等,不能消除XML文件中的Bean元数据定义,且基于XML配置中的依赖注入的 ...

  8. linux 在jetty中部署web工程

    背景:公司中原有的项目需要在jetty中进行部署,所以要掌握相关知识. 1 部署步骤 首先要保证jdk环境变量配置正常,然后去官网下载对应版本号的jetty,解压缩即可. 将需要部署的web应用,wa ...

  9. 【NOIP2013货车运输】

    描述 A 国有 n 座城市,编号从 1 到 n,城市之间有 m 条双向道路.每一条道路对车辆都有重量限制,简称限重.现在有 q 辆货车在运输货物,司机们想知道每辆车在不超过车辆限重的情况下,最多能运多 ...

  10. 一次node-sass安装记录

    node-sass的版本是3.9.3 Please restart this script from an administrative PowerShell! 在当前powershell中执行下命令 ...

相关文章