Mongodb 开启用户名密码访问控制和副本集搭建

安美美 發表於 2019-10-24 13:28:00

Mongodb 开启用户名密码访问控制和副本集搭建

<h1>一、Mongodb命令</h1>
<h2>理解 admin 数据库</h2>
安装 MongoDB 时，会自动创建 admin 数据库，这是一个特殊数据库，提供了普通数据库没有的功能。
有些用户角色赋予用户操作多个数据库的权限，而这些角色只能在 admin 数据库中创建，要创建有权操作所有数据库的超级用户，必须将该用户加入到 admin 数据库中。检查凭证时，MongoDB 将在指定数据库和 admin 数据库中检查用户账户。
<h2>内建的角色</h2>
<blockquote>
数据库用户角色：read、readWrite; 数据库管理角色：dbAdmin、dbOwner、userAdmin； 集群管理角色：clusterAdmin、clusterManager、clusterMonitor、hostManager； 备份恢复角色：backup、restore； 所有数据库角色：readAnyDatabase、readWriteAnyDatabase、userAdminAnyDatabase、dbAdminAnyDatabase 超级用户角色：root #这里还有几个角色间接或直接提供了系统超级用户的访问（dbOwner 、userAdmin、userAdminAnyDatabase）

</blockquote>
<h2>内部角色：__system</h2>
角色说明：
<blockquote>
read：允许用户读取指定数据库； readAnyDatabase：只在admin数据库中可用，赋予用户所有数据库的读权限； readWrite：允许用户读写指定数据库； readWriteAnyDatabase：只在admin数据库中可用，赋予用户所有数据库的读写权限； dbAdmin：允许用户在指定数据库中执行管理函数，如索引创建、删除，查看统计或访问system.profile； dbAdminAnyDatabase：只在admin数据库中可用，赋予用户所有数据库的dbAdmin权限； clusterAdmin：只在admin数据库中可用，赋予用户所有分片和复制集相关函数的管理权限； userAdmin：允许用户向system.users集合写入，可以找指定数据库里创建、删除和管理用户； userAdminAnyDatabase：只在admin数据库中可用，赋予用户所有数据库的userAdmin权限； root：只在admin数据库中可用。超级账号，超级权限；

</blockquote>
Mongodb 预定义角色
Mongodb 中预定义了一些角色，把这些角色赋予给适当的用户上，用户就只能进行角色范围内的操作。
1、数据库用户角色 (所有数据库都有)
<ul>
<li>read 用户可以读取当前数据库的数据</li>
<li>readWrite 用户可以读写当前数据库的数据</li>

</ul>
2、数据库管理角色(所有数据库都有)
<ol>
<li>dbAdmin 管理员用户但不能对用户和角色管理授权</li>
<li>dbOwner 数据库所有者可进行任何管理任务</li>
<li>userAdmin 可以管理当前数据的用户和角色</li>

</ol>
3、集群管理角色(admin数据库可用)
<ol>
<li>clusterAdmin 集群所有管理权限，是 clusterManager , clusterMonitor, hostManager 合集</li>
<li>clusterManager 集群管理和监控</li>
<li>clusterMonitor 集群监控，只读的</li>
<li>hostManager 监控和管理服务器</li>

</ol>
4、备份和恢复角色(admin数据库可用)
<ol>
<li>backup</li>
<li>restore</li>

</ol>
5、所有数据库角色(admin数据库可用)
<ol>
<li>readAnyDatabase 读取所有数据库</li>
<li>readWriteAnyDatabase 读写所有数据库</li>
<li>userAdminAnyDatabase 所有数据库的 userAdmin 权限</li>
<li>dbAdminAnyDatabase 所有数据库的 dbAdmin 权限</li>

</ol>
6、超级角色(admin数据库可用)
<ol>
<li>root 超级用户</li>

</ol>
7、内部角色
<ul>
<li>__system 所有操作权限</li>

</ul>
更多预定于角色的信息请参看：https://docs.mongodb.com/manual/core/security-built-in-roles/
<h2>主要命令</h2>
<pre><code class="hljs nginx">show dbs#显示数据库列表
show collections#显示当前数据库中的集合（类似关系数据库中的表）
show users#显示用户
use <db name>#切换当前数据库，如果数据库不存在则创建数据库。
db.help()#显示数据库操作命令，里面有很多的命令
db.foo.help()#显示集合操作命令，同样有很多的命令，foo指的是当前数据库下，一个叫foo的集合，并非真正意义上的命令
db.foo.find()#对于当前数据库中的foo集合进行数据查找（由于没有条件，会列出所有数据）
db.foo.find( { a : 1 } )#对于当前数据库中的foo集合进行查找，条件是数据中有一个属性叫a，且a的值为1</code></pre>
<blockquote>
MongoDB没有创建数据库的命令，但有类似的命令。如：如果你想创建一个“myTest”的数据库，先运行use myTest命令，之后就做一些操作（如：db.createCollection(‘user’)）,这样就可以创建一个名叫“myTest”的数据库。
</blockquote>
<h2>其他命令</h2>
<pre><code class="hljs css">db.dropDatabase()#删除当前使用数据库
db.cloneDatabase("127.0.0.1") #将指定机器上的数据库的数据克隆到当前数据库
db.copyDatabase("mydb", "temp", "127.0.0.1")#将本机的mydb的数据复制到temp数据库中
db.repairDatabase()#修复当前数据库
db.getName()#查看当前使用的数据库，也可以直接用db
db.stats()#显示当前db状态
db.version()#当前db版本
db.getMongo()＃查看当前db的链接机器地址
db.serverStatus()#查看数据库服务器的状态</code></pre>
<h1>二、配置访问控制</h1>
<h2>1、介绍</h2>
MongoDB安装完成后，数据库 admin 中没有任何用户账户。在数据库 admin 中没有任何账户时，MongoDB 向从本地主机发起的连接提供全面的数据库管理权限。因此配置 MongoDB 新实例时，首先需要创建<code>用户管理员账户</code>和<code>数据库管理员账户</code>。用户管理员账户可在 admin 和其他数据库中创建用户账户。您还需要创建一个数据库管理员账户，将其作为管理数据库、集群、复制和 MongoDB 其他方面的超级用户。
<blockquote>
用户管理员账户和数据库管理员账户都是在数据库 admn 中创建的。在 MongoDB 服务器中启用身份验证后，要以用户管理员或数据库管理员的身份连接到服务器，必须向 admin 数据库验证身份，您还需在每个数据库中创建用户账户，让这些用户能够访问该数据库。
</blockquote>
<h2>2、创建用户管理员账户</h2>
<ul>
<li>
配置访问控制的第一步是创建用户管理员账户。用户管理员应只有创建用户账户的权限，而不能管理数据库或执行其他管理任务。这确保数据库管理和用户账户管理之间有清晰的界限。
</li>
<li>在 admin 数据库中，添加一个用户并赋予<code>userAdminAnyDatabase</code>角色，<code>userAdminAnyDatabase</code>只在<code>admin</code>数据库中可用，赋予用户所有数据库的userAdmin权限。</li>
</ul>
例如，下面是在 admin 数据库中创建一个名为<code>myUserAdmin</code>用户。
<pre><code class="hljs python"># mongo
MongoDB shell version: 3.2.6
connecting to: test
> use admin
switched to db admin
> db.createUser(
... {
... user: "myUserAdmin",
... pwd: "abc123",
... roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]
... }
... )
Successfully added user: {
 "user" : "myUserAdmin",
 "roles" : [
 {
 "role" : "userAdminAnyDatabase",
 "db" : "admin"
 }
 ]
}
> </code></pre>
<blockquote>
用户管理员应只有创建用户账户的权限，而不能管理数据库或执行其他管理任务。 要创建某个库的管理用户，必须在 admin 进行认证，给哪个库创建用户就先切换到哪个库下面。

</blockquote>
<h2>4、开启权限验证</h2>
<ul>
<li>
编辑配置文件<code>/etc/mongod.conf</code>，修改内容如下：
<pre><code class="hljs makefile">security:
authorization: enabled</code></pre>
</li>
<li>
重启mongodb服务
<pre><code class="hljs nginx">systemctl restart mongod</code></pre>
</li>
<li>
启用访问控制的步骤
1, 启动 mongodb 实例，关闭访问控制
不带 <code>--auth</code>
<div class="jb51code">
<div id="highlighter_433938" class="syntaxhighlighterbash">
<div class="toolbar">
<div class="cnblogs_code">
<pre>./mongod -f /usr/supplywater/dataBase/mongodb/master.conf</pre>
</div>
</div>
</div>
</div>
2, 连接上 mongodb 实例
<div class="jb51code">
<div id="highlighter_637760" class="syntaxhighlightersql">
<div class="toolbar">
<div class="cnblogs_code">
<pre>./mongo --port 27017</pre>
</div>
</div>
</div>
</div>
</li>
<li>现在，客户端连接到服务器时必须提供用户名和密码。另外，从 MongoDB shell 访问 MongoDB 服务器时，如果要添加用户账户，必须执行下面的命令向数据库 admin 验证身份：
<pre><code class="hljs shell">> use admin
switched to db admin
> db.auth("myUserAdmin","abc123")
1
></code></pre>
也可以在启动 MongoDB shell 时使用选项<code>-u</code>和<code>-p</code>向数据库 admin 验证身份：
<pre><code class="hljs nginx">mongo -u "myUserAdmin" -p "abc123" --authenticationDatabase admin</code></pre>
</li>
</ul>
<h2>5、创建数据库管理员账户</h2>
要创建数据库管理员，可在 MongoDB shell 中切换到数据库 admin，再使用方法<code>createUser</code>添加角色为<code>readWriteAnyDatabase</code>、<code>dbAdminAnyDatabase</code>和<code>clusterAdmin</code>的用户。这让这名用户能够访问系统中的所有数据库、创建新的数据库以及管理 MongoDB 集群和副本集。
<ul>
<li>创建一个名为 dbadmin 的数据库管理员：
<pre><code class="hljs python">> use admin
switched to db admin
> db.createUser(
... {
... user: "dbadmin",
... pwd: "abc123",
... roles: [ "readWriteAnyDatabase", "dbAdminAnyDatabase","clusterAdmin" ]
... }
... )
Successfully added user: {
"user" : "dbadmin",
"roles" : [
 "readWriteAnyDatabase",
 "dbAdminAnyDatabase",
 "clusterAdmin"
]
}</code></pre>
</li>
</ul>
<blockquote>
数据库管理员能够访问系统中的所有数据库、创建新的数据库以及管理 MongoDB 集群和副本集。 如果要求管理其他数据库，首先要去 admin 库里面去认证。

</blockquote>
<h1>四、创建普通用户</h1>
<blockquote>
一旦经过认证的用户管理员，可以使用<code>db.createUser()</code>去创建额外的用户。 你可以分配mongodb内置的角色或用户自定义的角色给用户。
这个 myUserAdmin 用户仅仅只有特权去管理用户和角色，如果你试图执行其他任何操作，例如在 test 数据库中的foo集合中去读数据，mongodb将返回错误。
你创建用户的数据库（这里就是test数据库）是该用户认证数据库。尽管用户认证是这个数据库，用户依然可以有其他数据库的角色。即用户认证数据库不限制用户权限。

</blockquote>
<ul>
<li>创建一个角色为<code>readWrite</code>的用户 test1 来管理数据库<code>test</code>。</li>

</ul>
<pre><code class="hljs python"># mongo
MongoDB shell version: 3.2.6
connecting to: test
> use admin
switched to db admin
> db.auth('myUserAdmin','abc123')
1
> use test
switched to db test
> db.createUser(
... {
... user:"test1",
... pwd: "test1",
... roles: [{ role: "readWrite", db: "test"}]
... }
...)
Successfully added user: {
 "user" : "test1",
 "roles" : [
 {
 "role" : "readWrite",
 "db" : "test"
 }
 ]
}
></code></pre>
<h2>验证</h2>
<pre><code class="hljs shell"># mongo
MongoDB shell version: 3.2.6
connecting to: test
> use test
switched to db test
> db.auth('test1','test1')
1
></code></pre>
<ul>
<li>创建一个dmp用户，对dmp数据库只读权限。
<pre><code class="hljs shell">> use admin
switched to db admin
> db.auth('myUserAdmin','abc123')
1
> use dmp
switched to db dmp
>db.createUser(
{
user:"dmp1",
pwd: "dmp1pass",
roles: [{ role: "read", db: "dmp"}]
}
)</code></pre>
</li>
</ul>
<h1>五、Mongodb 副本集搭建</h1>
采用Replica Set 副本集集群模式： 偶数个节点 + 一个仲裁节点构成的Replica Set，节点拥有数据集，仲裁节点仅参与仲裁选举出Primary节点。最小架构：1个Primary节点，1个Secondary节点，1个Arbiter节点 三台服务器： 主机(Primary)： 101.37.157.51:27011 从机(Secondary)：101.37.66.61:27011 仲裁者(Arbiter)：47.111.89.220:27011 一，创建配置文件：
<div class="cnblogs_code">
<pre> systemLog:
 destination: file
 path: /usr/supplywater/dataBase/mongodb/log/mongodb.log #日志文件存放路径
 logAppend: true #使用追加的方式写日志
 storage:
 dbPath: /usr/supplywater/dataBase/mongodb/db #数据库存文件存放目录
 journal:
 enabled: true #每次写入会记录一条操作日志（通过journal可以重新构造出写入的数据）。
 wiredTiger: #存储引擎有mmapv1、wiretiger、mongorocks
 engineConfig:
 cacheSizeGB: 2
 processManagement:
 fork: true
 pidFilePath: /usr/supplywater/dataBase/mongodb/log/mongodbpid.pid


 #security:
 # authorization: enabled
 # clusterAuthMode: keyFile
 # keyFile: /usr/local/baseDB/mongodb/keyfile/mongo.key

 net:
 bindIp: 0.0.0.0
 port: 27011
 replication:
 replSetName: "chiticsupplywater"</pre>
</div>
 Secondary的配置文件：与上相同 Arbiter的配置文件：与上相同 
二，启动三台服务器上的mongodb服务
<div class="cnblogs_code">
<pre># ./mongod -f /usr/supplywater/dataBase/mongodb/master.conf --出现以下内容代表启动成功
about to fork child process, waiting until server is ready for connections.
forked process: 11656
child process started successfully, parent exiting</pre>
</div>
 
三、配置Replica Set
1，登录三台服务器中任意一台，登录mongodb数据库
<div class="cnblogs_code">
<pre># ./mongo --port 27011 --出现以下内容代表登录成功
MongoDB shell version v4.0.0
connecting to: mongodb://127.0.0.1:27011/
MongoDB server version: 4.0.0</pre>
</div>
2，命令行输入（注意：chiticsupplywater对应配置文件的replSetName）：
<div class="cnblogs_code">
<pre>> use admin
switched to db admin</pre>
</div>
<div class="cnblogs_code">
<pre>--priority：值越大，是主机 arbiterOnly:true 仲裁者</pre>
<pre>> cfg={ _id:"chiticsupplywater",members:[{_id:0,host:'101.37.157.51:27011',priority:2},{_id:1,host:'101.37.66.61:27011',priority:1},{_id:2,host:'47.111.89.220:27011',arbiterOnly:true}] };</pre>
</div>
<div class="cnblogs_code">
<pre>> rs.initiate(cfg) --出现以下内容代表成功
{
"ok" : 1,
"operationTime" : Timestamp(1560492018, 1),
"$clusterTime" : {
 "clusterTime" : Timestamp(1560492018, 1),
 "signature" : {
 "hash" : BinData(0,"AAAAAAAAAAAAAAAAAAAAAAAAAAA="),
 "keyId" : NumberLong(0)
 }
}
}</pre>
</div>
<div class="cnblogs_code">
<pre>--查看集群状态 chiticsupplywater:SECONDARY>rs.conf()
{
"_id" : "chiticsupplywater",
"version" : 1,
"protocolVersion" : NumberLong(1),
"writeConcernMajorityJournalDefault" : true,
"members" : [
 {
 "_id" : 0,
 "host" : "101.37.157.51:27011",
 "arbiterOnly" : false,
 "buildIndexes" : true,
 "hidden" : false,
 "priority" : 2,
 "tags" : {

 },
 "slaveDelay" : NumberLong(0),
 "votes" : 1
 },
 {
 "_id" : 1,
 "host" : "101.37.66.61:27011",
 "arbiterOnly" : false,
 "buildIndexes" : true,
 "hidden" : false,
 "priority" : 1,
 "tags" : {

 },
 "slaveDelay" : NumberLong(0),
 "votes" : 1
 },
 {
 "_id" : 2,
 "host" : "47.111.89.220:27011",
 "arbiterOnly" : true,
 "buildIndexes" : true,
 "hidden" : false,
 "priority" : 0,
 "tags" : {

 },
 "slaveDelay" : NumberLong(0),
 "votes" : 1
 }
],
"settings" : {
 "chainingAllowed" : true,
 "heartbeatIntervalMillis" : 2000,
 "heartbeatTimeoutSecs" : 10,
 "electionTimeoutMillis" : 10000,
 "catchUpTimeoutMillis" : -1,
 "catchUpTakeoverDelayMillis" : 30000,
 "getLastErrorModes" : {

 },
 "getLastErrorDefaults" : {
 "w" : 1,
 "wtimeout" : 0
 },
 "replicaSetId" : ObjectId("5d0337f2c259a815a2289ac6")
}
}</pre>
</div>
 
认证模式 1,创建超级管理员账号
<div class="cnblogs_code">
<pre>db.createUser(
{
user: "admin",
pwd: "chitic.2019admin",
roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]
}
)
db.auth("admin", "chitic.2019admin" )
db.createUser(
{
user: "supplywaterV1_0",
pwd: "chitic.2019",
roles: [ { role: "readWrite", db: "supplywaterV1_0" }]
}
)
db.auth("supplywaterV1_0", "chitic.2019" )</pre>
</div>
 2,创建key文件 在主库上执行脚本生成key文件，然后将结拷贝到另外2个节点
<div class="cnblogs_code">
<pre># cd /data/mongodb/27017/keyfile/
# openssl rand -base64 756 > mongo.key
# chmod 600 mongo.key # 必须修改为600权限，否则无法启动</pre>
</div>
 
3,修改配置文件 配置文件中添加如下内容，注意不同节点的文件路径
<div class="cnblogs_code">
<pre>security:
authorization: enabled
clusterAuthMode: keyFile
keyFile: /data/mongodb/27017/keyfile/mongo.key</pre>
</div>
 
4,重启服务
<div class="cnblogs_code">
<pre>关闭MongoDB服务： use admin
第一种： db.shutdownServer();
第二种： ./mongod --shutdown --dbpath /usr/supplywater/dataBase/mongodb/db
启动MongoDB服务： ./mongod -f /usr/local/baseDB/mongodb/master.conf
登录数据库： ./mongo --port 27072</pre>
</div>
 

</div>
<div id="MySignature" role="contentinfo">
既然我已经踏上这条道路，那么，任何东西都不应妨碍我沿着这条路走下去！！！！！！！！！！！！！！！！！
个人公众号《后端技术开发之路》，欢迎您关注！
如果您觉得我写还不过，请打赏下在下吧！【高木子】！ 
来源：https://www.cnblogs.com/gaomanito/p/11731658.html

頁: [1]

琼殿技术论坛's Archiver

Mongodb 开启用户名密码访问控制和副本集搭建