Mongodb副本集带用户认证的

概述

本次实验是在一台虚拟机上做的,正式环境一定要分开实现,以免影响服务的正常使用和性能。

准备工作:

操作系统:centos7.2

Mongodb版本:3.4.1

服务器ip:192.168.1.11

Mongodb服务端口: 27017、27018、27019

 

1、     首先将下载好的mongodb的安装包上传到服务器上

   mongodb-linux-x86_64-rhel70-3.4.1.tgz

 

2、     创建所用到的目录

    # mkdir /data/{master,slave,arbiter}

    # mkdir /data/log/mongodb/{master,slave,arbiter} -p

 

3、     将刚上传的mogodb的安装包解压到/data目录并重命名为mongodb

# tar xf mongodb-linux-x86_64-rhel70-3.4.1.tgz

# mv mongodb-linux-x86_64-rhel70-3.4.1   mongodb

 

4、     分别在/data的相应目录下创建master、slave、arbiter的配置文件

# cat  master.conf

 systemLog:

  destination: file

  logAppend: true

  path: /data/log/mongodb/master/mongodb.log

storage:

  dbPath: /data/master

  journal:

    enabled: true

processManagement:

  fork: true  # fork and run in background

  pidFilePath: /var/run/mongod.pid

net:

  port: 27017

 # bindIp: 0.0.0.0  # Listen to local interface only, comment to listen on all interfaces.

replication:

   replSetName: rs1

   oplogSizeMB: 5000

security:

 keyFile: "/data/mongodb.key"

 clusterAuthMode: "keyFile"

 authorization: "enabled"

# cat  slave.conf

systemLog:

  destination: file

  logAppend: true

  path: /data/log/mongodb/slave/mongodb.log

storage:

  dbPath: /data/slave

  journal:

    enabled: true

processManagement:

  fork: true  # fork and run in background

  pidFilePath: /var/run/mongod.pid

net:

  port: 27018

 # bindIp: 0.0.0.0  # Listen to local interface only, comment to listen on all interfaces.

replication:

  replSetName: rs1

  oplogSizeMB: 5000

security:

  keyFile: "/data/mongodb.key"

  clusterAuthMode: "keyFile"

  authorization: "enabled"

 

# cat  arbiter.conf

systemLog:

  destination: file

  logAppend: true

  path: /data/log/mongodb/arbiter/mongodb.log

storage:

  dbPath: /data/arbiter

  journal:

    enabled: true

processManagement:

  fork: true  # fork and run in background

  pidFilePath: /var/run/mongod.pid

net:

  port: 27019

 # bindIp: 0.0.0.0  # Listen to local interface only, comment to listen on all interfaces.

replication:

  replSetName: rs1

  oplogSizeMB: 5000

security:

  keyFile: "/data/mongodb.key"

  clusterAuthMode: "keyFile"

  authorization: "enabled"

 

5、     由于需要认证,使用keyFile进行授权连接replica sets

创建mongodb.key

# openssl rand -base64 666 > mongodb.key
# chmod 600 mongodb.key

Mongodb.key里面密码的长度不能超过1024,否则会报错。

 

将生成的mongodb.key文件分别拷贝到其他服务器上。

 

6、     启动服务

    启动服务没有先后顺序

    # mongod -f /data/arbiter/arbiter.conf

# mongod -f /data/master/master.conf

# mongod -f /data/slave/slave.conf

 

7、     配置主,备,仲裁节点

   连接任意一个节点,这里以2017端口为例:

   # mongo 192.168.1.11:27017

   >use admin

   >cfg={_id:"rs1",members:[{_id:0,host:'192.168.1.11:27017',priority:2},{_id:1,host:'192.168.1.11:27018',priority:1},{_id:2,host:'192.168.1.11:27019',arbiterOnly:true}]};

   > rs.initiate(cfg)          #使配置生效

 

# cfg是可以任意的名字,当然最好不要是mongodb的关键字,conf,config都可以。最外层的_id表示replica set的名字,members里包含的是所有节点的地址以及优先级。优先级最高的即成为主节点,即这里的'192.168.1.11:27017'。特别注意的是,对于仲裁节点,需要有个特别的配置——arbiterOnly:true。这个千万不能少了,不然主备模式就不能生效。

上面的命令执行成功会返回1.

 

8、     接下来是在主上进行一系列的操作,创建用户。Mongo默认没有管理用户。

# mongo 192.168.1.11:27017

>use admin

>db.createUser({user:"hqmg",pwd:"huoqiu123",roles:[{role:"userAdminAnyDatabase",db:"admin"},{role:"clusterAdmin",db:"admin"}]});

额,报错了。原因是没有执行认证操作。

>db.auth("hqmg","huoqiu123")

这下好了,可以放心的执行操作了

>show dbs

admin   0.000GB

local   0.000GB

     

9、     创建数据库并创建用户,为用户赋予不同的权限,常用的两种:

read: 只读权限; readWrite:读写权限

  • 数据库用户角色:read、readWrite;
  • 数据库管理角色:dbAdmin、dbOwner、userAdmin;
  • 集群管理角色:clusterAdmin、clusterManager、clusterMonitor、hostManager;
  • 备份恢复角色:backup、restore;
  • 所有数据库角色:readAnyDatabase、readWriteAnyDatabase、userAdminAnyDatabase、dbAdminAnyDatabase
  • 超级用户角色:root // 这里还有几个角色间接或直接提供了系统超级用户的访问(dbOwner 、userAdmin、userAdminAnyDatabase)
  • 内部角色:__system
角色说明:
Read:允许用户读取指定数据库
readWrite:允许用户读写指定数据库
dbAdmin:允许用户在指定数据库中执行管理函数,如索引创建、删除,查看统计或访问system.profile
userAdmin:允许用户向system.users集合写入,可以找指定数据库里创建、删除和管理用户
clusterAdmin:只在admin数据库中可用,赋予用户所有分片和复制集相关函数的管理权限。
readAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的读权限
readWriteAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的读写权限
userAdminAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的userAdmin权限
dbAdminAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的dbAdmin权限。
root:只在admin数据库中可用。超级账号,超级权限

用户和授权认证是跟随数据库的,在那个库里面创建的用户,就要在那里授权认证。

!创建一个测试库,并分别创建只读、读写的用户。

       如果是新的库,要先登陆admin库,进行认证后才可以操作

       # mongo  192.168.1.11:27017 –uhqmg  -phuoqiu123

       >use saturn

       创建读写用户:

       >db.createUser({user:"cuishuai",pwd:"cuishuai123",roles:[{role:"readWrite",db:"saturn"}]})

       

        创建只读用户:

       >db.createUser({user:"azui",pwd:"azui123",roles:[{role:"read",db:"saturn"}]})

 

10、   修改用户权限

有两种方式,一种是db.grantRolesToUser在原有基础上追加,一种是db.updateUser替换原有的角色。

1)>db.grantRolesToUser("azui",[{role:"readWrite",db:"saturn"}])

2) >db.updateUser("azui",{roles:[{role:"readWrite",db:"saturn"}]})

11、   删除用户权限

>db.revokeRolesFromUser("azui",[{role:"readWrite",db:"saturn"}])

 

12、oplog读权限

    

Oplog是一种特殊的Capped collections,特殊之处在于它是系统级Collection,记录了数据库的所有操作,集群之间依靠Oplog进行数据同步。Oplog的全名是local.oplog.rs,位于local数据下。由于local数据不允许创建用户,如果要访问Oplog需要借助其它数据库的用户,并且赋予该用户访问local数据库的权限:

 

1)修改现有用户,使其具有oplog的读权限:

> db.grantRolesToUser("azui",[{role:"read",db:"local"}])

 

2)创建新用户:

>db.creatUser({user:"azui",pwd:"azui123",roles:[{role:"read",db:"saturn"},{role:"read",db:"local"}]})

})

3)查询过程:

>use  saturn

>db.auth('azui','azui123')

>use local

>db.oplog.rs.find()

 

13、   接下来还有重要的一步,日志分割,使用的是logrotate做的。

# cat /etc/logrotate.d/mongodb

/data/log/mongodb/arbiter/mongodb.log{

             daily

             dateext

             compress

             delaycompress

             copytruncate

             create 0644 root root

             rotate 5

             size 500M

}

/data/log/mongodb/master/mongodb.log{

             daily

             dateext

             compress

             delaycompress

             copytruncate

             create 0644 root root

             rotate 5

             size 500M

}

/data/log/mongodb/slave/mongodb.log{

             daily

             dateext

             compress

             delaycompress

             copytruncate

             create 0644 root root

             rotate 5

             size 500M

}

 

添加周期计划任务:

# crontab –e

0 */3 * * *  /usr/sbin/logrotate  /etc/logrotate.d/mongodb 2>&1 >>/dev/null

 

14、   编写删除脚本

# cat rmlog.sh

#!/bin/bash

dir1=/data/log/mongodb/arbiter

dir2=/data/log/mongodb/master

dir3=/data/log/mongodb/slave

find $dir1 -mtime +7 -name "*2017*" -exec rm -rf {} \;

find $dir2 -mtime +7 -name "*2017*" -exec rm -rf {} \;

find $dir3 -mtime +7 -name "*2017*" -exec rm -rf {} \;

# chmod +x rmlog.sh

添加周期计划任务:

# crontab –e

    0 */3 * * * /root/cuishuai/rmlog.sh  2>&1 >>/dev/null

mongodb带认证的副本集搭建的更多相关文章

  1. MongoDB 带访问控制的副本集部署

    当你需要用到一个MongoDB 副本集集群,用于开发测试时, 可以通过下面的步骤简单完成. 版本及环境 MongoDB4.4  Centos6.5  一. 下载安装 MongoDB Server 及 ...

  2. windows版本 MongoDB副本集搭建及开启身份验证

    ------------恢复内容开始------------ ------------恢复内容开始------------ MongoDB副本集搭建 我搭建的是一个主节点,两个副节点 构建目录结构如下 ...

  3. mongodb副本集搭建过程中的问题和解决技巧

    在我以往的认知中,一个系统一旦正式上线,多半不会轻易的迁移服务器,尤其是那种涉及到多个关联应用,涉及到多台硬件服务器的系统,因为这种迁移将是牵一发而动全身的. 但是,却仍然有这种情况存在,就如我这几天 ...

  4. mongodb 4.0副本集搭建

    近期有同学问mongodb副本集难不难部署,我的回答是不难,很快,几分钟搞定,比mysql MHA简单的不止一点半点. 那么到底如何部署呢?请看下文. 1.  准备工作 1.1 下载软件 选择版本并下 ...

  5. MongoDB副本集搭建及备份恢复

    一.MongoDB副本集(repl set)介绍 早起版本使用master-slave,一主一从和MySQL类似,但slave在此架构中为只读,当主库宕机后,从库不能自动切换为主: 目前已经淘汰了ma ...

  6. mongodb安装及副本集搭建

    mongodb下载地址:https://www.mongodb.com/dr/fastdl.mongodb.org/linux/mongodb-linux-x86_64-rhel62-3.2.7.tg ...

  7. mongo副本集搭建及服务器复用方案

    比较常见的mongodb副本集搭建是有:常规节点.数据副本.仲裁节点组成,也就是需要三台服务器组建.常规节点即数据的主存储节点,数据副本是主存储节点的从属节点,它定期去主节点获取更新日志来更新自己.仲 ...

  8. MongoDB(五)-- 副本集(replica Set)

    一.副本集介绍 搭建副本集是为了实现mongodb高可用. Mongodb(M)表示主节点,Mongodb(S)表示备节点,Mongodb(A)表示仲裁节点.主备节点存储数据,仲裁节点不存储数据.客户 ...

  9. MongoDB 删除,添加副本集,并修改副本集IP等信息

    MongoDB 删除,添加副本集,并修改副本集IP等信息 添加副本,在登录到主节点下输入 rs.add("ip:port"); 删除副本 rs.remove("ip:po ...

随机推荐

  1. 转:getContextPath、getServletPath、getRequestURI的区别

    假定你的web application 名称为news,你在浏览器中输入请求路径: http://localhost:8080/news/main/list.jsp 则执行下面向行代码后打印出如下结果 ...

  2. [javascript library]使用js实现页面刷新后依然保留表单填写的数据

    详情请见于该链接:http://sisyphus-js.herokuapp.com/

  3. KNN PCA LDA

    http://blog.csdn.net/scyscyao/article/details/5987581 这学期选了门模式识别的课.发现最常见的一种情况就是,书上写的老师ppt上写的都看不懂,然后绕 ...

  4. Validation failed for one or more entities. See ‘EntityValidationErrors’ property for moredetails[转]

    这里给大家介绍一个Exception类,让我们能够轻松的知道具体的哪一个字段出了什么问题. 那就是 System.Data.Entity.Validation.DbEntityValidationEx ...

  5. FFmpeg编写的代码

    //初始化解封装    av_register_all();    avformat_network_init();    avcodec_register_all();    //封装文件的上下文  ...

  6. 【新题】OCP 062题库出现很多新题-6

    6.Which four statements are true about database instance behavior? A) Redo log files can be renamed ...

  7. 石头剪刀布Java实现

    java实现石头剪刀布过程 首先来看石头剪刀布的所有可能情况,具体如下图 第一种思路是穷举所有可能,使用if条件语句,略显呆板和麻烦. 第二种思路,因为计算机存的是数字,所以我们可以从数字角度来找规律 ...

  8. mybatis源码追踪1——Mapper方法用法解析

    Mapper中的方法执行时会构造为org.apache.ibatis.binding.MapperMethod$MethodSignature对象,从该类源码中可以了解如何使用Mapper方法. [支 ...

  9. Java并发编程之volatile的应用

    在多线程的并发编程中synchronized和volatile都扮演着重要的角色.volatile是轻量级的synchronized,它在多处理器的开发中保证了共享变量的可见性,可见性的意思是当一个线 ...

  10. linux crontab 实现每秒执行的实例

    linux crontab 命令,最小的执行时间是一分钟.如需要在小于一分钟内重复执行,可以有两个方法实现. 1.使用延时来实现每N秒执行 原理:通过延时方法 sleep N  来实现每N秒执行. 创 ...