mongodb 分片集群认证

增加认证

• 副本间认证
• 外部使用认证

如果是开启状态,先关闭路由,再关闭配置服务,最后关闭分片数据复本集中的每个mongod，从次节点开始。直到副本集的所 有成员都离线，包括任何仲裁者。主节点必须是最后一个成员关闭以避免潜在的回滚.最好通过 db.shutdownServer() 关闭数据库,防止后续启动时报错

//shutdown must run from localhost when running db without auth
//客户端登录服务，注意，这里通过localhost登录，如果需要远程登录，必须先登录认证才行。
mongo --port 27017
//#切换到admin库
use admin
//关闭服务
db.shutdownServer() 

副本间认证

(在开启认证前,需要先创建超管用户)

use admin
db.createUser({user:"myroot",pwd:"123456",roles:["root"]})

副本集和共享集群的各个节点成员之间使用内部身份验证，可以使用密钥文件或x.509证书

1.证书产生

openssl rand -base64 150 > ./mongo.keyfile

# 赋予证书读权限
chmod 400 mongo.keyfile

2.将证书复制到所有的节点上,包括配置服务和路由

复制完成后,记得修改文件权限

# 赋予证书读权限
chmod 400 mongo.keyfile

3.修改配置文件

分片数据副本集和配置服务副本集上增加的配置

vim /use/local/mongodb/configs/mongodb.conf

security:
    #KeyFile鉴权文件
    keyFile: /use/local/mongodb/configs/mongo.keyfile
    #开启认证方式运行
    authorization: enabled

路由服务上增加的配置,路由服务不需要配置security.authorization

security:
    #KeyFile鉴权文件
    keyFile: /use/local/mongodb/configs/mongo.keyfile

4.重启集群

cd /use/local/mongodb
# 分片数据副本集和配置服务副本集
bin/mongod -f configs/mongodb.conf

# 路由服务
bin/mongos -f configs/mongodb.conf

tip:

• 重启时可能会遇到重启失败的情况,可能是应该异常关闭分片集群导致的,可以尝试删除data/db/mongod.lock文件
• 重启分片数据存储副本集时可能会遇到启动后一直卡着,没有返回success情况,此时通过看日志如果看到其中包含有**RSM monitoring host in expedited mode until we detect a primary","attr":{"host":"#{ip:端口}","replicaSet":"#{集群配置-replication.replSetName}"}}**错误,是因为集群没有完整的启动,接着启动集群的其他功能即可解决

登录认证

通过完善副本间认证后,启动服务,即可通过密码进行登录了

未使用密码登录会报错

mongodb://路由1:端口,路由2:端口

MongoServerError: Command hostInfo requires authentication

使用密码登录即可正确登录

mongodb://myroot:123456@路由1:端口,路由2:端口

spring认证

spring:
  data:
    mongodb:
      # uri: ${MONGODB_URI:mongodb://${账号}:${密码}@路由1:端口,路由2:端口/${连接的库}?authSource=${校验认证信息的库}}
      uri: ${MONGODB_URI:mongodb://root:123456@192.168.2.18:27017,192.168.2.19:27017/db_test?authSource=admin}

查看分片信息

查看对应collection存储信息

通过直接连接mongos

#   use ${目标db}
use test
db.stats()

count数可能不一致

详细字段请参看官网dbstat

mongodb角色

角色	权限
read	查询本库的权限
readWrite	增删改查本库的权限
dbAdmin	数据库对象的管理操作，但没有数据库的读写权限
userAdmin	在本库下创建用户的权限
dbOwner	本库所有操作的权限
readAnyDatabase	查询本实例所有库的权限
readWriteAnyDatabase	增删改查本实例所有库的权限
userAdminAnyDatabase	在本实例所有库下创建用户的权限
dbAdminAnyDatabase	本实例所有库的dbAdmin权限
hostManager	数据库对象的管理操作，但没有数据库的读写权限
clusterMonitor	查询集群和复制集的权限
clusterManager	管理和监控集群和复制集的权限
clusterAdmin	集群所有操作的权限
backup	查询本实例所有库的权限
restore	增删改查本实例所有库的权限
root	超级用户权限

更多角色信息