mongodb 分片集群认证

weixin_447283692024-04-29 19:51

增加认证

  • 副本间认证
  • 外部使用认证

如果是开启状态,先关闭路由,再关闭配置服务,最后关闭分片数据复本集中的每个mongod,从次节点开始。直到副本集的所 有成员都离线,包括任何仲裁者。主节点必须是最后一个成员关闭以避免潜在的回滚.最好通过 db.shutdownServer() 关闭数据库,防止后续启动时报错

复制代码 
//shutdown must run from localhost when running db without auth
//客户端登录服务,注意,这里通过localhost登录,如果需要远程登录,必须先登录认证才行。
mongo --port 27017
//#切换到admin库
use admin
//关闭服务
db.shutdownServer()

副本间认证

(在开启认证前,需要先创建超管用户)

复制代码 
use admin
db.createUser({user:"myroot",pwd:"123456",roles:["root"]})

副本集和共享集群的各个节点成员之间使用内部身份验证,可以使用密钥文件或x.509证书

1.证书产生

复制代码 
openssl rand -base64 150 > ./mongo.keyfile

# 赋予证书读权限
chmod 400 mongo.keyfile

2.将证书复制到所有的节点上,包括配置服务和路由

复制完成后,记得修改文件权限

复制代码 
# 赋予证书读权限
chmod 400 mongo.keyfile

3.修改配置文件

分片数据副本集和配置服务副本集上增加的配置

vim /use/local/mongodb/configs/mongodb.conf

复制代码 
security:
    #KeyFile鉴权文件
    keyFile: /use/local/mongodb/configs/mongo.keyfile
    #开启认证方式运行
    authorization: enabled

路由服务上增加的配置,路由服务不需要配置security.authorization

复制代码 
security:
    #KeyFile鉴权文件
    keyFile: /use/local/mongodb/configs/mongo.keyfile

4.重启集群

复制代码 
cd /use/local/mongodb
# 分片数据副本集和配置服务副本集
bin/mongod -f configs/mongodb.conf

# 路由服务
bin/mongos -f configs/mongodb.conf

tip:

  • 重启时可能会遇到重启失败的情况,可能是应该异常关闭分片集群导致的,可以尝试删除data/db/mongod.lock文件
  • 重启分片数据存储副本集时可能会遇到启动后一直卡着,没有返回success情况,此时通过看日志如果看到其中包含有**RSM monitoring host in expedited mode until we detect a primary","attr":{"host":"#{ip:端口}","replicaSet":"#{集群配置-replication.replSetName}"}}**错误,是因为集群没有完整的启动,接着启动集群的其他功能即可解决

登录认证

通过完善副本间认证后,启动服务,即可通过密码进行登录了

未使用密码登录会报错

复制代码 
mongodb://路由1:端口,路由2:端口

MongoServerError: Command hostInfo requires authentication

使用密码登录即可正确登录

复制代码 
mongodb://myroot:123456@路由1:端口,路由2:端口

spring认证

复制代码 
spring:
  data:
    mongodb:
      # uri: ${MONGODB_URI:mongodb://${账号}:${密码}@路由1:端口,路由2:端口/${连接的库}?authSource=${校验认证信息的库}}
      uri: ${MONGODB_URI:mongodb://root:123456@192.168.2.18:27017,192.168.2.19:27017/db_test?authSource=admin}

查看分片信息

查看对应collection存储信息

通过直接连接mongos

复制代码 
#   use ${目标db}
use test
db.stats()

count数可能不一致

详细字段请参看官网dbstat

mongodb角色

角色 权限
read 查询本库的权限
readWrite 增删改查本库的权限
dbAdmin 数据库对象的管理操作,但没有数据库的读写权限
userAdmin 在本库下创建用户的权限
dbOwner 本库所有操作的权限
readAnyDatabase 查询本实例所有库的权限
readWriteAnyDatabase 增删改查本实例所有库的权限
userAdminAnyDatabase 在本实例所有库下创建用户的权限
dbAdminAnyDatabase 本实例所有库的dbAdmin权限
hostManager 数据库对象的管理操作,但没有数据库的读写权限
clusterMonitor 查询集群和复制集的权限
clusterManager 管理和监控集群和复制集的权限
clusterAdmin 集群所有操作的权限
backup 查询本实例所有库的权限
restore 增删改查本实例所有库的权限
root 超级用户权限

更多角色信息

相关推荐
BullSmall1 分钟前
Redis AOF 文件损坏报错:完整修复方案
数据库·redis·缓存
Amnesia0_02 分钟前
磁盘文件系统
linux·运维·数据库
数据库知识分享者小北2 分钟前
智能运维+多模型服务能力,阿里云 RDS AI 助手旗舰版正式上线!
运维·数据库·阿里云·阿里巴巴·rds·智能运维
m0_588758488 分钟前
如何解决Oracle启动ORA-00119错误_网络服务名与listener相关性
jvm·数据库·python
PSLoverS9 分钟前
MySQL如何利用防火墙限制MySQL端口_使用iptables或安全组防御
jvm·数据库·python
qq_414256579 分钟前
Go语言如何用strings.Builder_Go语言strings.Builder教程【总结】
jvm·数据库·python
阿坤带你走近大数据12 分钟前
Oracle-表空间temp
数据库·oracle
Navicat中国12 分钟前
数据库事务隔离级别的实践指南
数据库·navicat
马优晨15 分钟前
数据库的连接池、最大连接池会话数目、SQL查询超时时间、连接等待超时时间是什么意思?
数据库·数据连接池·最大连接池会话数目·sql查询超时·连接等待超时
2301_7693406721 分钟前
SQL如何处理分组后的空值统计_善用COALESCE与聚合函数
jvm·数据库·python
热门推荐
01GitHub 镜像站点02近期有什么ai的新消息,新动态? 2026.4月032026年4月AI大事件深度解读:大模型竞争进入“深水区“042026年AI编程工具终极横评:Cursor vs Claude Code vs Copilot05Codex 接入 DeepSeek API 完整配置文档06【AI】2026 年具身智能模型和世界模型总结07零基础教你claude code 接入 deepseek V408在Windows 11上安装Docker的踩坑记录092026年AI前瞻:量子AI、具身智能与科学发现的新纪元10codex app每次打开重连5次Reconnecting问题解决