mongodb带认证的副本集搭建

Mongodb副本集带用户认证的

概述

本次实验是在一台虚拟机上做的，正式环境一定要分开实现，以免影响服务的正常使用和性能。

准备工作：

操作系统：centos7.2

Mongodb版本：3.4.1

服务器ip：192.168.1.11

Mongodb服务端口： 27017、27018、27019

 

1、     首先将下载好的mongodb的安装包上传到服务器上

   mongodb-linux-x86_64-rhel70-3.4.1.tgz

 

2、     创建所用到的目录

    # mkdir /data/{master,slave,arbiter}

    # mkdir /data/log/mongodb/{master,slave,arbiter} -p

 

3、     将刚上传的mogodb的安装包解压到/data目录并重命名为mongodb

# tar xf mongodb-linux-x86_64-rhel70-3.4.1.tgz

# mv mongodb-linux-x86_64-rhel70-3.4.1   mongodb

 

4、     分别在/data的相应目录下创建master、slave、arbiter的配置文件

# cat  master.conf

 systemLog:

  destination: file

  logAppend: true

  path: /data/log/mongodb/master/mongodb.log

storage:

  dbPath: /data/master

  journal:

    enabled: true

processManagement:

  fork: true  # fork and run in background

  pidFilePath: /var/run/mongod.pid

net:

  port: 27017

 # bindIp: 0.0.0.0  # Listen to local interface only, comment to listen on all interfaces.

replication:

   replSetName: rs1

   oplogSizeMB: 5000

security:

 keyFile: "/data/mongodb.key"

 clusterAuthMode: "keyFile"

 authorization: "enabled"

# cat  slave.conf

systemLog:

  destination: file

  logAppend: true

  path: /data/log/mongodb/slave/mongodb.log

storage:

  dbPath: /data/slave

  journal:

    enabled: true

processManagement:

  fork: true  # fork and run in background

  pidFilePath: /var/run/mongod.pid

net:

  port: 27018

 # bindIp: 0.0.0.0  # Listen to local interface only, comment to listen on all interfaces.

replication:

  replSetName: rs1

  oplogSizeMB: 5000

security:

  keyFile: "/data/mongodb.key"

  clusterAuthMode: "keyFile"

  authorization: "enabled"

 

# cat  arbiter.conf

systemLog:

  destination: file

  logAppend: true

  path: /data/log/mongodb/arbiter/mongodb.log

storage:

  dbPath: /data/arbiter

  journal:

    enabled: true

processManagement:

  fork: true  # fork and run in background

  pidFilePath: /var/run/mongod.pid

net:

  port: 27019

 # bindIp: 0.0.0.0  # Listen to local interface only, comment to listen on all interfaces.

replication:

  replSetName: rs1

  oplogSizeMB: 5000

security:

  keyFile: "/data/mongodb.key"

  clusterAuthMode: "keyFile"

  authorization: "enabled"

 

5、     由于需要认证，使用keyFile进行授权连接replica sets

创建mongodb.key

# openssl rand -base64 666 > mongodb.key

# chmod 600 mongodb.key

Mongodb.key里面密码的长度不能超过1024，否则会报错。

 

将生成的mongodb.key文件分别拷贝到其他服务器上。

 

6、     启动服务

    启动服务没有先后顺序

    # mongod -f /data/arbiter/arbiter.conf

# mongod -f /data/master/master.conf

# mongod -f /data/slave/slave.conf

 

7、     配置主，备，仲裁节点

   连接任意一个节点，这里以2017端口为例：

   # mongo 192.168.1.11:27017

   >use admin

   >cfg={_id:"rs1",members:[{_id:0,host:'192.168.1.11:27017',priority:2},{_id:1,host:'192.168.1.11:27018',priority:1},{_id:2,host:'192.168.1.11:27019',arbiterOnly:true}]};

   > rs.initiate(cfg)          #使配置生效

 

# cfg是可以任意的名字，当然最好不要是mongodb的关键字，conf，config都可以。最外层的_id表示replica set的名字，members里包含的是所有节点的地址以及优先级。优先级最高的即成为主节点，即这里的'192.168.1.11:27017'。特别注意的是，对于仲裁节点，需要有个特别的配置——arbiterOnly:true。这个千万不能少了，不然主备模式就不能生效。

上面的命令执行成功会返回1.

 

8、     接下来是在主上进行一系列的操作，创建用户。Mongo默认没有管理用户。

# mongo 192.168.1.11：27017

>use admin

>db.createUser({user:"hqmg",pwd:"huoqiu123",roles:[{role:"userAdminAnyDatabase",db:"admin"},{role:"clusterAdmin",db:"admin"}]});

额，报错了。原因是没有执行认证操作。

>db.auth("hqmg","huoqiu123")

这下好了，可以放心的执行操作了

>show dbs

admin   0.000GB

local   0.000GB

     

9、     创建数据库并创建用户，为用户赋予不同的权限，常用的两种：

read: 只读权限； readWrite:读写权限

• 数据库用户角色：read、readWrite;
• 数据库管理角色：dbAdmin、dbOwner、userAdmin；
• 集群管理角色：clusterAdmin、clusterManager、clusterMonitor、hostManager；
• 备份恢复角色：backup、restore；
• 所有数据库角色：readAnyDatabase、readWriteAnyDatabase、userAdminAnyDatabase、dbAdminAnyDatabase
• 超级用户角色：root // 这里还有几个角色间接或直接提供了系统超级用户的访问（dbOwner 、userAdmin、userAdminAnyDatabase）
• 内部角色：__system

角色说明：
Read：允许用户读取指定数据库
readWrite：允许用户读写指定数据库
dbAdmin：允许用户在指定数据库中执行管理函数，如索引创建、删除，查看统计或访问system.profile
userAdmin：允许用户向system.users集合写入，可以找指定数据库里创建、删除和管理用户
clusterAdmin：只在admin数据库中可用，赋予用户所有分片和复制集相关函数的管理权限。
readAnyDatabase：只在admin数据库中可用，赋予用户所有数据库的读权限
readWriteAnyDatabase：只在admin数据库中可用，赋予用户所有数据库的读写权限
userAdminAnyDatabase：只在admin数据库中可用，赋予用户所有数据库的userAdmin权限
dbAdminAnyDatabase：只在admin数据库中可用，赋予用户所有数据库的dbAdmin权限。
root：只在admin数据库中可用。超级账号，超级权限

用户和授权认证是跟随数据库的，在那个库里面创建的用户，就要在那里授权认证。

！创建一个测试库，并分别创建只读、读写的用户。

       如果是新的库，要先登陆admin库，进行认证后才可以操作

       # mongo  192.168.1.11:27017 –uhqmg  -phuoqiu123

       >use saturn

       创建读写用户：

       >db.createUser({user:"cuishuai",pwd:"cuishuai123",roles:[{role:"readWrite",db:"saturn"}]})

       

        创建只读用户：

       >db.createUser({user:"azui",pwd:"azui123",roles:[{role:"read",db:"saturn"}]})

 

10、   修改用户权限

有两种方式，一种是db.grantRolesToUser在原有基础上追加，一种是db.updateUser替换原有的角色。

1）>db.grantRolesToUser("azui",[{role:"readWrite",db:"saturn"}])

2) >db.updateUser("azui",{roles:[{role:"readWrite",db:"saturn"}]})

11、   删除用户权限

>db.revokeRolesFromUser("azui",[{role:"readWrite",db:"saturn"}])

 

12、oplog读权限

    

Oplog是一种特殊的Capped collections，特殊之处在于它是系统级Collection，记录了数据库的所有操作，集群之间依靠Oplog进行数据同步。Oplog的全名是local.oplog.rs，位于local数据下。由于local数据不允许创建用户，如果要访问Oplog需要借助其它数据库的用户，并且赋予该用户访问local数据库的权限:

 

1)修改现有用户，使其具有oplog的读权限：

> db.grantRolesToUser("azui",[{role:"read",db:"local"}])

 

2)创建新用户：

>db.creatUser({user:"azui",pwd:"azui123",roles:[{role:"read",db:"saturn"},{role:"read",db:"local"}]})

})

3)查询过程：

>use  saturn

>db.auth('azui','azui123')

>use local

>db.oplog.rs.find()

 

13、   接下来还有重要的一步，日志分割，使用的是logrotate做的。

# cat /etc/logrotate.d/mongodb

/data/log/mongodb/arbiter/mongodb.log{

             daily

             dateext

             compress

             delaycompress

             copytruncate

             create 0644 root root

             rotate 5

             size 500M

}

/data/log/mongodb/master/mongodb.log{

             daily

             dateext

             compress

             delaycompress

             copytruncate

             create 0644 root root

             rotate 5

             size 500M

}

/data/log/mongodb/slave/mongodb.log{

             daily

             dateext

             compress

             delaycompress

             copytruncate

             create 0644 root root

             rotate 5

             size 500M

}

 

添加周期计划任务：

# crontab –e

0 */3 * * *  /usr/sbin/logrotate  /etc/logrotate.d/mongodb 2>&1 >>/dev/null

 

14、   编写删除脚本

# cat rmlog.sh

#!/bin/bash

dir1=/data/log/mongodb/arbiter

dir2=/data/log/mongodb/master

dir3=/data/log/mongodb/slave

find $dir1 -mtime +7 -name "*2017*" -exec rm -rf {} \;

find $dir2 -mtime +7 -name "*2017*" -exec rm -rf {} \;

find $dir3 -mtime +7 -name "*2017*" -exec rm -rf {} \;

# chmod +x rmlog.sh

添加周期计划任务：

# crontab –e

    0 */3 * * * /root/cuishuai/rmlog.sh  2>&1 >>/dev/null