Mongodb副本集带用户认证的

概述

本次实验是在一台虚拟机上做的,正式环境一定要分开实现,以免影响服务的正常使用和性能。

准备工作:

操作系统:centos7.2

Mongodb版本:3.4.1

服务器ip:192.168.1.11

Mongodb服务端口: 27017、27018、27019

 

1、     首先将下载好的mongodb的安装包上传到服务器上

   mongodb-linux-x86_64-rhel70-3.4.1.tgz

 

2、     创建所用到的目录

    # mkdir /data/{master,slave,arbiter}

    # mkdir /data/log/mongodb/{master,slave,arbiter} -p

 

3、     将刚上传的mogodb的安装包解压到/data目录并重命名为mongodb

# tar xf mongodb-linux-x86_64-rhel70-3.4.1.tgz

# mv mongodb-linux-x86_64-rhel70-3.4.1   mongodb

 

4、     分别在/data的相应目录下创建master、slave、arbiter的配置文件

# cat  master.conf

 systemLog:

  destination: file

  logAppend: true

  path: /data/log/mongodb/master/mongodb.log

storage:

  dbPath: /data/master

  journal:

    enabled: true

processManagement:

  fork: true  # fork and run in background

  pidFilePath: /var/run/mongod.pid

net:

  port: 27017

 # bindIp: 0.0.0.0  # Listen to local interface only, comment to listen on all interfaces.

replication:

   replSetName: rs1

   oplogSizeMB: 5000

security:

 keyFile: "/data/mongodb.key"

 clusterAuthMode: "keyFile"

 authorization: "enabled"

# cat  slave.conf

systemLog:

  destination: file

  logAppend: true

  path: /data/log/mongodb/slave/mongodb.log

storage:

  dbPath: /data/slave

  journal:

    enabled: true

processManagement:

  fork: true  # fork and run in background

  pidFilePath: /var/run/mongod.pid

net:

  port: 27018

 # bindIp: 0.0.0.0  # Listen to local interface only, comment to listen on all interfaces.

replication:

  replSetName: rs1

  oplogSizeMB: 5000

security:

  keyFile: "/data/mongodb.key"

  clusterAuthMode: "keyFile"

  authorization: "enabled"

 

# cat  arbiter.conf

systemLog:

  destination: file

  logAppend: true

  path: /data/log/mongodb/arbiter/mongodb.log

storage:

  dbPath: /data/arbiter

  journal:

    enabled: true

processManagement:

  fork: true  # fork and run in background

  pidFilePath: /var/run/mongod.pid

net:

  port: 27019

 # bindIp: 0.0.0.0  # Listen to local interface only, comment to listen on all interfaces.

replication:

  replSetName: rs1

  oplogSizeMB: 5000

security:

  keyFile: "/data/mongodb.key"

  clusterAuthMode: "keyFile"

  authorization: "enabled"

 

5、     由于需要认证,使用keyFile进行授权连接replica sets

创建mongodb.key

# openssl rand -base64 666 > mongodb.key
# chmod 600 mongodb.key

Mongodb.key里面密码的长度不能超过1024,否则会报错。

 

将生成的mongodb.key文件分别拷贝到其他服务器上。

 

6、     启动服务

    启动服务没有先后顺序

    # mongod -f /data/arbiter/arbiter.conf

# mongod -f /data/master/master.conf

# mongod -f /data/slave/slave.conf

 

7、     配置主,备,仲裁节点

   连接任意一个节点,这里以2017端口为例:

   # mongo 192.168.1.11:27017

   >use admin

   >cfg={_id:"rs1",members:[{_id:0,host:'192.168.1.11:27017',priority:2},{_id:1,host:'192.168.1.11:27018',priority:1},{_id:2,host:'192.168.1.11:27019',arbiterOnly:true}]};

   > rs.initiate(cfg)          #使配置生效

 

# cfg是可以任意的名字,当然最好不要是mongodb的关键字,conf,config都可以。最外层的_id表示replica set的名字,members里包含的是所有节点的地址以及优先级。优先级最高的即成为主节点,即这里的'192.168.1.11:27017'。特别注意的是,对于仲裁节点,需要有个特别的配置——arbiterOnly:true。这个千万不能少了,不然主备模式就不能生效。

上面的命令执行成功会返回1.

 

8、     接下来是在主上进行一系列的操作,创建用户。Mongo默认没有管理用户。

# mongo 192.168.1.11:27017

>use admin

>db.createUser({user:"hqmg",pwd:"huoqiu123",roles:[{role:"userAdminAnyDatabase",db:"admin"},{role:"clusterAdmin",db:"admin"}]});

额,报错了。原因是没有执行认证操作。

>db.auth("hqmg","huoqiu123")

这下好了,可以放心的执行操作了

>show dbs

admin   0.000GB

local   0.000GB

     

9、     创建数据库并创建用户,为用户赋予不同的权限,常用的两种:

read: 只读权限; readWrite:读写权限

  • 数据库用户角色:read、readWrite;
  • 数据库管理角色:dbAdmin、dbOwner、userAdmin;
  • 集群管理角色:clusterAdmin、clusterManager、clusterMonitor、hostManager;
  • 备份恢复角色:backup、restore;
  • 所有数据库角色:readAnyDatabase、readWriteAnyDatabase、userAdminAnyDatabase、dbAdminAnyDatabase
  • 超级用户角色:root // 这里还有几个角色间接或直接提供了系统超级用户的访问(dbOwner 、userAdmin、userAdminAnyDatabase)
  • 内部角色:__system
角色说明:
Read:允许用户读取指定数据库
readWrite:允许用户读写指定数据库
dbAdmin:允许用户在指定数据库中执行管理函数,如索引创建、删除,查看统计或访问system.profile
userAdmin:允许用户向system.users集合写入,可以找指定数据库里创建、删除和管理用户
clusterAdmin:只在admin数据库中可用,赋予用户所有分片和复制集相关函数的管理权限。
readAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的读权限
readWriteAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的读写权限
userAdminAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的userAdmin权限
dbAdminAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的dbAdmin权限。
root:只在admin数据库中可用。超级账号,超级权限

用户和授权认证是跟随数据库的,在那个库里面创建的用户,就要在那里授权认证。

!创建一个测试库,并分别创建只读、读写的用户。

       如果是新的库,要先登陆admin库,进行认证后才可以操作

       # mongo  192.168.1.11:27017 –uhqmg  -phuoqiu123

       >use saturn

       创建读写用户:

       >db.createUser({user:"cuishuai",pwd:"cuishuai123",roles:[{role:"readWrite",db:"saturn"}]})

       

        创建只读用户:

       >db.createUser({user:"azui",pwd:"azui123",roles:[{role:"read",db:"saturn"}]})

 

10、   修改用户权限

有两种方式,一种是db.grantRolesToUser在原有基础上追加,一种是db.updateUser替换原有的角色。

1)>db.grantRolesToUser("azui",[{role:"readWrite",db:"saturn"}])

2) >db.updateUser("azui",{roles:[{role:"readWrite",db:"saturn"}]})

11、   删除用户权限

>db.revokeRolesFromUser("azui",[{role:"readWrite",db:"saturn"}])

 

12、oplog读权限

    

Oplog是一种特殊的Capped collections,特殊之处在于它是系统级Collection,记录了数据库的所有操作,集群之间依靠Oplog进行数据同步。Oplog的全名是local.oplog.rs,位于local数据下。由于local数据不允许创建用户,如果要访问Oplog需要借助其它数据库的用户,并且赋予该用户访问local数据库的权限:

 

1)修改现有用户,使其具有oplog的读权限:

> db.grantRolesToUser("azui",[{role:"read",db:"local"}])

 

2)创建新用户:

>db.creatUser({user:"azui",pwd:"azui123",roles:[{role:"read",db:"saturn"},{role:"read",db:"local"}]})

})

3)查询过程:

>use  saturn

>db.auth('azui','azui123')

>use local

>db.oplog.rs.find()

 

13、   接下来还有重要的一步,日志分割,使用的是logrotate做的。

# cat /etc/logrotate.d/mongodb

/data/log/mongodb/arbiter/mongodb.log{

             daily

             dateext

             compress

             delaycompress

             copytruncate

             create 0644 root root

             rotate 5

             size 500M

}

/data/log/mongodb/master/mongodb.log{

             daily

             dateext

             compress

             delaycompress

             copytruncate

             create 0644 root root

             rotate 5

             size 500M

}

/data/log/mongodb/slave/mongodb.log{

             daily

             dateext

             compress

             delaycompress

             copytruncate

             create 0644 root root

             rotate 5

             size 500M

}

 

添加周期计划任务:

# crontab –e

0 */3 * * *  /usr/sbin/logrotate  /etc/logrotate.d/mongodb 2>&1 >>/dev/null

 

14、   编写删除脚本

# cat rmlog.sh

#!/bin/bash

dir1=/data/log/mongodb/arbiter

dir2=/data/log/mongodb/master

dir3=/data/log/mongodb/slave

find $dir1 -mtime +7 -name "*2017*" -exec rm -rf {} \;

find $dir2 -mtime +7 -name "*2017*" -exec rm -rf {} \;

find $dir3 -mtime +7 -name "*2017*" -exec rm -rf {} \;

# chmod +x rmlog.sh

添加周期计划任务:

# crontab –e

    0 */3 * * * /root/cuishuai/rmlog.sh  2>&1 >>/dev/null

mongodb带认证的副本集搭建的更多相关文章

  1. MongoDB 带访问控制的副本集部署

    当你需要用到一个MongoDB 副本集集群,用于开发测试时, 可以通过下面的步骤简单完成. 版本及环境 MongoDB4.4  Centos6.5  一. 下载安装 MongoDB Server 及 ...

  2. windows版本 MongoDB副本集搭建及开启身份验证

    ------------恢复内容开始------------ ------------恢复内容开始------------ MongoDB副本集搭建 我搭建的是一个主节点,两个副节点 构建目录结构如下 ...

  3. mongodb副本集搭建过程中的问题和解决技巧

    在我以往的认知中,一个系统一旦正式上线,多半不会轻易的迁移服务器,尤其是那种涉及到多个关联应用,涉及到多台硬件服务器的系统,因为这种迁移将是牵一发而动全身的. 但是,却仍然有这种情况存在,就如我这几天 ...

  4. mongodb 4.0副本集搭建

    近期有同学问mongodb副本集难不难部署,我的回答是不难,很快,几分钟搞定,比mysql MHA简单的不止一点半点. 那么到底如何部署呢?请看下文. 1.  准备工作 1.1 下载软件 选择版本并下 ...

  5. MongoDB副本集搭建及备份恢复

    一.MongoDB副本集(repl set)介绍 早起版本使用master-slave,一主一从和MySQL类似,但slave在此架构中为只读,当主库宕机后,从库不能自动切换为主: 目前已经淘汰了ma ...

  6. mongodb安装及副本集搭建

    mongodb下载地址:https://www.mongodb.com/dr/fastdl.mongodb.org/linux/mongodb-linux-x86_64-rhel62-3.2.7.tg ...

  7. mongo副本集搭建及服务器复用方案

    比较常见的mongodb副本集搭建是有:常规节点.数据副本.仲裁节点组成,也就是需要三台服务器组建.常规节点即数据的主存储节点,数据副本是主存储节点的从属节点,它定期去主节点获取更新日志来更新自己.仲 ...

  8. MongoDB(五)-- 副本集(replica Set)

    一.副本集介绍 搭建副本集是为了实现mongodb高可用. Mongodb(M)表示主节点,Mongodb(S)表示备节点,Mongodb(A)表示仲裁节点.主备节点存储数据,仲裁节点不存储数据.客户 ...

  9. MongoDB 删除,添加副本集,并修改副本集IP等信息

    MongoDB 删除,添加副本集,并修改副本集IP等信息 添加副本,在登录到主节点下输入 rs.add("ip:port"); 删除副本 rs.remove("ip:po ...

随机推荐

  1. java web 通过前台输入的数据(name-value)保存到后台 xml文件中

    一:项目需求,前端有一个页面,页面中可以手动输入一些参数数据,通过点击前端的按钮,使输入的数据保存到后台生成的.xml文件中 二:我在前端使用的是easyui的propertygrid,这个能通过da ...

  2. 测试与发布(Alpha版本)——小谷围驻广东某工业719电竞大队

    测试与发布(Alpha版本)--小谷围驻广东某工业719电竞大队 一.引言 1.需求规格说明书: https://www.cnblogs.com/TaoTaoLV1/p/9819913.html 2. ...

  3. 团队项目第六周——Alpha阶段项目复审(名字很难想队)

    Alpha阶段项目复审 小组 优点 缺点 排名 小谷围驻广东某工业719电竞大队 一个贴近大学生生活的二手交易平台.界面美观功能完善. 部分功能未完善,没有第三方登录 1 中午吃啥队 系统完善,界面简 ...

  4. Java对象的serialVersion序列化和反序列化

    Java基础学习总结——Java对象的序列化和反序列化 一.序列化和反序列化的概念 把对象转换为字节序列的过程称为对象的序列化. 把字节序列恢复为对象的过程称为对象的反序列化. 对象的序列化主要有两种 ...

  5. [leetcode] 20. Valid Sudoku

    这道题目被放在的简单的类别里是有原因的,题目如下: Determine if a Sudoku is valid, according to: Sudoku Puzzles - The Rules. ...

  6. vc6.0 PK vs2010

    从VC++6.0不足看VisualC++2010新特性 说起VC,有人想到维生素C(维C),有人想到风险投资(venture capital), 程序员们尤其是做底层开发的程序员或老程序员们第一感觉肯 ...

  7. 在ANTMINER(阉割版BeagleBone Black)运行Debain

    开门见山,直入主题 咸鱼入手3块阉割ARM板,经过快递近6天运输到手,不过价格便宜 东西下面这样的(借了咸鱼的图): 发现这块板是阉割版的国外beagleboard.org型号为BeagleBone ...

  8. web api 多版本控制重要的两个类

    1.版本路径替换 public class ReplaceVersionWithExactValueInPath : IDocumentFilter     {         public void ...

  9. [微信开发] 微信网页授权Java实现

    功能:主要用于在用户通过手机端微信访问第三方H5页面时获取用户的身份信息(openId,昵称,头像,所在地等..)可用来实现微信登录.微信账号绑定.用户身份鉴权等功能.     开发前的准备: 1.需 ...

  10. F#语言入门之什么是F#语言

    F#是一种函数式编程语言,可以轻松编写正确且可维护的代码. F#编程主要涉及定义类型推断和自动泛化的类型和函数. 这使您可以将焦点保留在问题域上并操纵其数据,而不是编程的细节. open System ...