Mongodb 集群加keyFile认证
介绍
自从远古计绳结开始,数据库的存储就注定了今天的地位和多样性,Nosql的出现更是解决了现有的关系型数据库无法解决的一些难题,对高性能,灵活度,扩展性,海量数据的问题。随之而出现的高速内存索引数据库、列式存储、图像存储等等,这篇文章主要讲的是mongodb文档型数据库,mongodb目前也在各种大中小型创业型公司大受欢迎,占据了一定的地位。文章讲解的是如何搭建一个安全认证的mongodb集群(安全认证还是很重要,各大数据库被沦陷后,怎么有效预防被勒索比特币….)
mongodb集群有三种模式,主从模式,副本集模式、sharding分片模式。主从模式官网也不再推荐上生产环境,主要是安全性太低。副本集和sharding模式目前是用的最广的方案,通常这2种方案的选择通过数据量和并发数来权衡。在GB级别的基本上副本集方案可满足,TB级别或以上采用sharding模式,解决单机容量和单机并发能力。这两种既有自己的优势也有自己的缺点,比如sharding模式分片越多,性能自然下降越多。
进入正题,讲解副本集的搭建以及配置安全认证。副本集有两种方案,一种是有仲裁节点(Arbiter
),如图1,一种是不含仲裁节点,如图2所示。
图1 一主一从一仲裁
图2 多节点副本
当数据节点为偶数时候需要增加仲裁节点,故障时候仲裁新的主,当数据节点为奇数时候无需仲裁节点,根据id优先级选举新的主。仲裁节点本身不存储数据,如果配置仲裁节点使用虚拟机即可。本文为了节约机器提高数据的安全度使用的是不带仲裁节点的方案:
一、 环境:
系统:Ubuntu 16.04.02 LTS
mongodb版本:https://www.mongodb.org/dr/fastdl.mongodb.org/linux/mongodb-linux-x86_64-3.4.2.tgz
服务器:
Mongodb 主机 |
服务器端口地址 |
默认角色 |
mongodb主机 1 |
10.10.1.163:30010 |
primary |
mongodb主机 2 |
10.10.1.109: 30010 |
secondary |
mongodb主机 3 |
10.10.1.110: 30010 |
secondary |
二、 安装mogodb
2.1 创建mongo用户
略(如果root启动,可忽略本步骤,启动用户是mongo就必须集群目录授权mongo用户)
2.2 集群目录
创建mongo集群目录,最好三台配置都一样,方便维护(以下操作三台服务器均一样);
解压二进制压缩包并复制到/usr/local目录下
tar xzf mongodb-linux-x86_64-3.4.2.tgz mv mongodb-linux-x86_64-3.4.2 mongodb-3.4.2 ln –s mongodb-3.4.2 mongodb |
创建集群目录:
mkdir –p data/mongo_set/$集群名字/30010 |
配置集群的配置文件:
# usercenter replset master bind_ip=10.10.1.163 #指定服务器监听的端口,默认是27017 port=30010 #集群名字 replSet=test_set #以守护进程的方式运行MongoDB fork=true #一个数据库一个文件夹 directoryperdb=true ##启用日志选项,MongoDB的数据操作将会写入到journal文件夹的文件里 journal = true # 在收到客户数据,检查的有效性 objcheck=true #操作日志大小限制2G oplogSize=2000 #pidfile pidfilepath=/data/mongo_set/test_set/30010/mongo_m30010.pid #指定数据目录,默认是/data/db/。每个mongod进程都需要独立的目录, #启动mongod时就会在数据目录中创建mongod.lock文件,防止其他mongod进程使用该数据目录。 dbpath=/data/mongo_set/test_set/30010 #指定日志输出路径,如果不指定则会在终端输出。每次启动都会覆盖原来的日志,如果不想覆盖就要用--logappend选项 logpath=/data/mongo_set/test_set/30010/mongo30010.log logappend=true #auth=true #0:关闭,不收集任何数据。1:收集慢查询数据,默认是100毫秒。2:收集所有数据 profile=2 slowms=100 #.禁止HTTP状态接口 nohttpinterface=true #.禁止REST接口-在生产环境下建议不要启用MongoDB的REST接口 rest=false |
2.3 三台主机分别启动mongodb
Primary启动: /usr/local/mongodb/bin/mongod –f /data/mongo_set/test_set/30010/mongodb_m30010.conf Secondary1: /usr/local/mongodb/bin/mongod –f /data/mongo_set/test_set/30010/mongodb_s30010.conf Secondary2: /usr/local/mongodb/bin/mongod –f /data/mongo_set/test_set/30010/mongodb_s30010.conf |
三、 配置副本集
3.1 配置主primary
此时我们并没有配置任何认证账户,我们登录主库:
root@xxxx:~#mongo 10.10.1.163:30010 MongoDB server version: 3.4.2 Server has startup warnings: 2017-03-10T20:08:31.847+0800 I STORAGE [initandlisten] 2017-03-10T20:08:31.847+0800 I STORAGE [initandlisten] ** WARNING: Using the XFS filesystem is strongly recommended with the WiredTiger storage engine 2017-03-10T20:08:31.847+0800 I STORAGE [initandlisten] ** See http://dochub.mongodb.org/core/prodnotes-filesystem 2017-03-10T20:08:32.115+0800 I CONTROL [initandlisten] ** WARNING: You are running this process as the root user, which is not recommended. 2017-03-10T20:08:32.115+0800 I CONTROL [initandlisten] 2017-03-10T20:08:32.116+0800 I CONTROL [initandlisten] 2017-03-10T20:08:32.116+0800 I CONTROL [initandlisten] ** WARNING: You are running on a NUMA machine. 2017-03-10T20:08:32.116+0800 I CONTROL [initandlisten] ** We suggest launching mongod like this to avoid performance problems: 2017-03-10T20:08:32.116+0800 I CONTROL [initandlisten] ** numactl --interleave=all mongod [other options] 2017-03-10T20:08:32.116+0800 I CONTROL [initandlisten] 2017-03-10T20:08:32.116+0800 I CONTROL [initandlisten] ** WARNING: /sys/kernel/mm/transparent_hugepage/enabled is 'always'. 2017-03-10T20:08:32.116+0800 I CONTROL [initandlisten] ** We suggest setting it to 'never' 2017-03-10T20:08:32.116+0800 I CONTROL [initandlisten] 2017-03-10T20:08:32.116+0800 I CONTROL [initandlisten] ** WARNING: /sys/kernel/mm/transparent_hugepage/defrag is 'always'. 2017-03-10T20:08:32.116+0800 I CONTROL [initandlisten] ** We suggest setting it to 'never' 2017-03-10T20:08:32.116+0800 I CONTROL [initandlisten] 2017-03-10T20:08:32.116+0800 I CONTROL [initandlisten] ** WARNING: soft rlimits too low. rlimits set to 65535 processes, 655350 files. Number of processes should be at least 327675 : 0.5 times number of files. 2017-03-10T20:08:32.116+0800 I CONTROL [initandlisten] test_set:PRIMARY> test_set:PRIMARY> use admin switched to db admin |
3.2 配置副本几点及权重
test_set:PRIMARY> config_test={_id : 'usercenter',members : [{_id : 0, host : '10.10.1.1.163:30010'},{_id : 1, host : '10.10.1.109:30010'},{_id : 2, host : '10.10.1.110:30010'}]} #初始化副本集 test_set:PRIMARY> rs.initiate(config_ test); { "ok" : 1 } |
3.3查看副本集群状态
test_set:PRIMARY> rs.status() { "set" : "test_set", "date" : ISODate("2017-03-11T08:25:02.832Z"), "myState" : 1, "term" : NumberLong(5), "heartbeatIntervalMillis" : NumberLong(2000), "optimes" : { "lastCommittedOpTime" : { "ts" : Timestamp(1489220694, 1), "t" : NumberLong(5) }, "appliedOpTime" : { "ts" : Timestamp(1489220694, 1), "t" : NumberLong(5) }, "durableOpTime" : { "ts" : Timestamp(1489220694, 1), "t" : NumberLong(5) } }, "members" : [ { "_id" : 0, "name" : "10.10.1.163:30010", "health" : 1, "state" : 1, "stateStr" : "PRIMARY", "uptime" : 72991, "optime" : { "ts" : Timestamp(1489220694, 1), "t" : NumberLong(5) }, "optimeDate" : ISODate("2017-03-11T08:24:54Z"), "electionTime" : Timestamp(1489147722, 1), "electionDate" : ISODate("2017-03-10T12:08:42Z"), "configVersion" : 1, "self" : true }, { "_id" : 1, "name" : "10.10.1.109:30010", "health" : 1, "state" : 2, "stateStr" : "SECONDARY", "uptime" : 72980, "optime" : { "ts" : Timestamp(1489220694, 1), "t" : NumberLong(5) }, "optimeDurable" : { "ts" : Timestamp(1489220694, 1), "t" : NumberLong(5) }, "optimeDate" : ISODate("2017-03-11T08:24:54Z"), "optimeDurableDate" : ISODate("2017-03-11T08:24:54Z"), "lastHeartbeat" : ISODate("2017-03-11T08:25:02.583Z"), "lastHeartbeatRecv" : ISODate("2017-03-11T08:25:01.359Z"), "pingMs" : NumberLong(0), "syncingTo" : "10.10.1.163:30010", "configVersion" : 1 }, { "_id" : 2, "name" : "10.10.1.110:30010", "health" : 1, "state" : 2, "stateStr" : "SECONDARY", "uptime" : 72971, "optime" : { "ts" : Timestamp(1489220694, 1), "t" : NumberLong(5) }, "optimeDurable" : { "ts" : Timestamp(1489220694, 1), "t" : NumberLong(5) }, "optimeDate" : ISODate("2017-03-11T08:24:54Z"), "optimeDurableDate" : ISODate("2017-03-11T08:24:54Z"), "lastHeartbeat" : ISODate("2017-03-11T08:25:02.442Z"), "lastHeartbeatRecv" : ISODate("2017-03-11T08:25:01.007Z"), "pingMs" : NumberLong(0), "syncingTo" : "10.10.1.163:30010", "configVersion" : 1 } ], "ok" : 1 } test_set:PRIMARY> |
3.4 查看副本同步状态
test_set:PRIMARY> db.printSlaveReplicationInfo(); source: 10.10.1.109:30010 syncedTo: Sat Mar 11 2017 16:25:24 GMT+0800 (CST) 0 secs (0 hrs) behind the primary source: 10.10.1.110:30010 syncedTo: Sat Mar 11 2017 16:25:24 GMT+0800 (CST) 0 secs (0 hrs) behind the primary |
一切ok,该副本集搭建完成。目前副本集架构如下所示:
四、 增加安全认证机制KeyFile
4.1 集群之间的安全认证
集群之间的复制增加keyFile认证
#生成key openssl rand -base64 745 > /data/mongo_set/usercenter/30010/mongodb-keyfile chmod 600 /data/mongo_set/usercenter/30010/mon-keyfile # 该key的权限必须是600 |
将该key放到集群中机器的每一台上,记住必须保持一致,权限设置成600;
4.2 修改配置
在mongodb.conf启动配置文件中增加配置项
#安全认证机制 keyFile=/data/mongo_set/test_set/30010/mon-keyfile |
4.3 主库配置用户
也可后面配置,开启keyfile认证就默认开启了auth认证了,为了保证后面可以登录,我提前创建了用户:
先创建管理员账户 db.createUser( { user:"admin", pwd:"xxxxxx", roles:[{role:"userAdminAnyDatabase",db:"admin"}] } ); db.createUser( { user: "root", pwd: "xxxxxxx", roles: [ { role: "root", db: "admin" } ] }); #认证用户 db.auth("admin","xxxxxxx") db.auth("root","xxxxxxx") |
4.4 重启进入
重新启动mongodb,记住重新启动时候,keyfile的指定如果没有在配置文件中配置,就必须启动时候使用参数keyfile指定,关闭顺序注意下,mongodb集群有自动切换主库功能,如果先关主库,主库就切换到其它上面去了,这里预防主库变更,从库关闭后再关闭主库。
mongo 10.10.1.163:30010/admin -u root –p 2017-03-10T20:08:32.116+0800 I CONTROL [initandlisten] test_set:PRIMARY> use admin switched to db admin |
重新查看从库和集群状态都是正常。
五、 创建用户和用户数据库
5.1 启动认证
开启了安全认证就可以开始对每个数据库进行安全认证了,首先给用户创建一个数据库:
test_set:PRIMARY> use user_test switched to db user_test mongodb创建数据库直接use即可,此时show dbs是看不到该库的,需要插入一条数据才会现实出来,这里不演示; |
创建用户数据库的用户:
db.createUser( { user: “test_user", pwd: "xxxxxx", roles: [ { role: "readWrite", db: "user_test" } ] } ); |
创建完成会显示成功,可以用db.system.users.find()查看所有用户验证用户是否存在;
5.2 验证用户登录
#client操作 mongo 10.10.1.163:30010/user_test –u user_test –p MongoDB shell version v3.4.2 Enter password: connecting to: mongodb://192.168.1.163:30010/user_center MongoDB server version: 3.4.2 user_test:PRIMARY> |
转载于:https://www.cnblogs.com/pejsidney/p/9109963.html
Mongodb 集群加keyFile认证相关推荐
- Mongodb 集群加keyFile认证,Mongodb用户管理(转:http://blog.csdn.net/wlzjsj/article/details/61421230)
介绍 自从远古计绳结开始,数据库的存储就注定了今天的地位和多样性,Nosql的出现更是解决了现有的关系型数据库无法解决的一些难题,对高性能,灵活度,扩展性,海量数据的问题.随之而出现的高速内存索引数据 ...
- MongoDB分片+副本+keyFile认证(新手部署完整版)
MongoDB分片+副本+keyFile认证(新手部署完整版) 部署详情 服务器yhcs_1 IP:192.168.43.211 服务器yhcs_2 IP:192.168.43.212 服务器yhcs ...
- 搭建mongodb分布式集群(分片集群+keyfile安全认证以及用户权限)
介绍: 分片(sharding)是指将数据库拆分,将其分散在不同的机器上的过程.将数据分散到不同的机器上,不需要功能强大的服务器就可以存储更多的数据和处理更大的负载.基本思想就是将集合切成小块,这些块 ...
- MongoDB复制集安全认证
之前我有一篇博客写的是"node.js通过权限验证连接MongoDB",这篇博客上提到如何在启动文件中通过配置auth参数来开启权限认证,但这种认证方式只适合单机节点,当我们使用复 ...
- mongodb集群-副本集(CSRS)
一.概述 (1)MongoDB复制是将数据同步在多个服务器的过程. (2)复制提供了数据的冗余备份,并在多个服务器上存储数据副本,提高了数据的可用性, 并可以保证数据的安全性. (3)复制还允许您从硬 ...
- mysql主从配置duxi_手把手超详细Docker部署MongoDB集群
Mongodb集群搭建 mongodb 集群搭建的方式有三种:主从备份(Master - Slave)模式,或者叫主从复制模式. 副本集(Replica Set)模式. 分片(Sharding)模式. ...
- 【超详细】手把手教你搭建MongoDB集群搭建
MongoDB集群搭建 MongoDB集群简介 mongodb 集群搭建的方式有三种: 主从备份(Master - Slave)模式,或者叫主从复制模式. 副本集(Replica Set)模式 分片( ...
- k8s使用StatefulSet部署MongoDB集群
1.1 前提准备 制作MongoDB 镜像,可从 Docker Hub 官网 下载镜像,目的是解决提示权限mongo-sidecar提示权限错误问题(官方镜像基础上添加了密码认证) 生成 keyfil ...
- 在windows环境下配置mongoDB集群
在windows环境下配置mongoDB集群 mongodb官网 官网分片文档 首先感谢这次参考的文章: mongodb搭建高可用分片集群示例-天才卧龙 MongoDB高可用集群搭建示例-lizh 配 ...
最新文章
- Grasp2Vec:通过自我监督式抓取学习物体表征
- R语言包_Matrix
- HDU 4611 Balls Rearrangement 数学
- 复制 和 粘帖 的方法(特别在linux中),备忘
- ES6 对正则表达式的扩展
- 如何搭建socks5和ss节点_redis cluster搭建实践(非常详细,值得收藏)
- OpenCV与图像处理学习十二——图像形状特征之HOG特征
- Android 控制ScrollView滚动到底部
- nginx匹配规则说明以及匹配的优先级
- ZZULIOJ1016
- 控制台上跳极乐净土(完善动画版)
- 一场面试过后—移动前端开发
- Pycahrm pip instell parsel时出现错误 error: Unable to find vcvarsall.bat解决过程
- 从计算机移到u盘如何加快速度,小技巧:如何无成本提高优盘拷贝速度
- 富爸爸,穷爸爸系列书籍目录
- 红米手机android在哪里,红米手机usb调试在哪【图文】
- M1 pod install CocoaPod 报错解决办法
- 计算机人脸识别算哪个专业,人脸识别属于计算机什么领域(图文)
- 汇编语言实现简单的人机问答
- 关于ThinkPHP
热门文章
- 为app录制展示gif
- Tcpdump使用详解
- mplayer1.3.0交叉编译
- Linux驱动修炼之道-SPI驱动框架源码分析(中)
- warning: function declaration isn’t a prototype解决方法
- Redis 实战笔记
- mybatis与mysql的优点_MyBatis的优缺点以及特点
- mysql数据库恢复数据_【技术分享】使用Innodb存储引擎的mysql数据库恢复
- 技术干货| 阿里云基于Hudi构建Lakehouse实践探索
- 阿里云打下AI地基,更多的开发者走向了前台