mongodb带认证的副本集搭建

jingshen

Mongodb副本集带用户认证的

　　概述
　　本次实验是在一台虚拟机上做的，正式环境一定要分开实现，以免影响服务的正常使用和性能。
　　准备工作：
　　操作系统：centos7.2
　　Mongodb版本：3.4.1
　　服务器ip：192.168.1.11
　　Mongodb服务端口： 27017、27018、27019
　　
　　1、     首先将下载好的mongodb的安装包上传到服务器上
　　mongodb-linux-x86_64-rhel70-3.4.1.tgz
　　
　　2、     创建所用到的目录
　　# mkdir /data/{master,slave,arbiter}
　　# mkdir /data/log/mongodb/{master,slave,arbiter} -p
　　
　　3、     将刚上传的mogodb的安装包解压到/data目录并重命名为mongodb
　　# tar xf mongodb-linux-x86_64-rhel70-3.4.1.tgz
　　# mv mongodb-linux-x86_64-rhel70-3.4.1   mongodb
　　
　　4、     分别在/data的相应目录下创建master、slave、arbiter的配置文件
　　# cat  master.conf
　　systemLog:
　　destination: file
　　logAppend: true
　　path: /data/log/mongodb/master/mongodb.log
　　storage:
　　dbPath: /data/master
　　journal:
　　enabled: true
　　processManagement:
　　fork: true  # fork and run in background
　　pidFilePath: /var/run/mongod.pid
　　net:
　　port: 27017
　　# bindIp: 0.0.0.0  # Listen to local interface only, comment to listen on all interfaces.
　　replication:
　　replSetName: rs1
　　oplogSizeMB: 5000
　　security:
　　keyFile: "/data/mongodb.key"
　　clusterAuthMode: "keyFile"
　　authorization: "enabled"
　　# cat  slave.conf
　　systemLog:
　　destination: file
　　logAppend: true
　　path: /data/log/mongodb/slave/mongodb.log
　　storage:
　　dbPath: /data/slave
　　journal:
　　enabled: true
　　processManagement:
　　fork: true  # fork and run in background
　　pidFilePath: /var/run/mongod.pid
　　net:
　　port: 27018
　　# bindIp: 0.0.0.0  # Listen to local interface only, comment to listen on all interfaces.
　　replication:
　　replSetName: rs1
　　oplogSizeMB: 5000
　　security:
　　keyFile: "/data/mongodb.key"
　　clusterAuthMode: "keyFile"
　　authorization: "enabled"
　　
　　# cat  arbiter.conf
　　systemLog:
　　destination: file
　　logAppend: true
　　path: /data/log/mongodb/arbiter/mongodb.log
　　storage:
　　dbPath: /data/arbiter
　　journal:
　　enabled: true
　　processManagement:
　　fork: true  # fork and run in background
　　pidFilePath: /var/run/mongod.pid
　　net:
　　port: 27019
　　# bindIp: 0.0.0.0  # Listen to local interface only, comment to listen on all interfaces.
　　replication:
　　replSetName: rs1
　　oplogSizeMB: 5000
　　security:
　　keyFile: "/data/mongodb.key"
　　clusterAuthMode: "keyFile"
　　authorization: "enabled"
　　
　　5、     由于需要认证，使用keyFile进行授权连接replica sets
　　创建mongodb.key
　　

# openssl rand -base64 666 > mongodb.key　　

# chmod 600 mongodb.key　　

　　Mongodb.key里面密码的长度不能超过1024，否则会报错。
　　
　　将生成的mongodb.key文件分别拷贝到其他服务器上。
　　
　　6、     启动服务
　　启动服务没有先后顺序
　　# mongod -f /data/arbiter/arbiter.conf
　　# mongod -f /data/master/master.conf
　　# mongod -f /data/slave/slave.conf
　　
　　7、     配置主，备，仲裁节点
　　连接任意一个节点，这里以2017端口为例：
　　# mongo 192.168.1.11:27017
　　>use admin
　　>cfg={_id:"rs1",members:[{_id:0,host:'192.168.1.11:27017',priority:2},{_id:1,host:'192.168.1.11:27018',priority:1},{_id:2,host:'192.168.1.11:27019',arbiterOnly:true}]};
　　> rs.initiate(cfg)          #使配置生效
　　

# cfg是可以任意的名字，当然最好不要是mongodb的关键字，conf，config都可以。最外层的_id表示replica set的名字，members里包含的是所有节点的地址以及优先级。优先级最高的即成为主节点，即这里的'192.168.1.11:27017'。特别注意的是，对于仲裁节点，需要有个特别的配置——arbiterOnly:true。这个千万不能少了，不然主备模式就不能生效。

　　上面的命令执行成功会返回1.
　　
　　8、     接下来是在主上进行一系列的操作，创建用户。Mongo默认没有管理用户。
　　# mongo 192.168.1.11：27017
　　>use admin
　　>db.createUser({user:"hqmg",pwd:"huoqiu123",roles:[{role:"userAdminAnyDatabase",db:"admin"},{role:"clusterAdmin",db:"admin"}]});
　　额，报错了。原因是没有执行认证操作。
　　>db.auth("hqmg","huoqiu123")
　　这下好了，可以放心的执行操作了
　　>show dbs
　　admin   0.000GB
　　local   0.000GB
　　
　　9、     创建数据库并创建用户，为用户赋予不同的权限，常用的两种：
　　read: 只读权限； readWrite:读写权限
　　用户和授权认证是跟随数据库的，在那个库里面创建的用户，就要在那里授权认证。
　　！创建一个测试库，并分别创建只读、读写的用户。
　　如果是新的库，要先登陆admin库，进行认证后才可以操作
　　# mongo  192.168.1.11:27017 –uhqmg  -phuoqiu123
　　>use saturn
　　创建读写用户：
　　>db.createUser({user:"cuishuai",pwd:"cuishuai123",roles:[{role:"readWrite",db:"saturn"}]})
　　
　　创建只读用户：
　　>db.createUser({user:"azui",pwd:"azui123",roles:[{role:"read",db:"saturn"}]})
　　
　　10、   修改用户权限
　　有两种方式，一种是db.grantRolesToUser在原有基础上追加，一种是db.updateUser替换原有的角色。
　　1）>db.grantRolesToUser("azui",[{role:"readWrite",db:"saturn"}])
　　2) >db.updateUser("azui",{roles:[{role:"readWrite",db:"saturn"}]})
　　11、   删除用户权限
　　>db.revokeRolesFromUser("azui",[{role:"readWrite",db:"saturn"}])
　　
　　12、oplog读权限
　　
　　Oplog是一种特殊的Capped collections，特殊之处在于它是系统级Collection，记录了数据库的所有操作，集群之间依靠Oplog进行数据同步。Oplog的全名是local.oplog.rs，位于local数据下。由于local数据不允许创建用户，如果要访问Oplog需要借助其它数据库的用户，并且赋予该用户访问local数据库的权限:
　　
　　1)修改现有用户，使其具有oplog的读权限：
　　> db.grantRolesToUser("azui",[{role:"read",db:"local"}])
　　
　　2)创建新用户：
　　>db.creatUser({user:"azui",pwd:"azui123",roles:[{role:"read",db:"saturn"},{role:"read",db:"local"}]})
　　})
　　3)查询过程：
　　>use  saturn
　　>db.auth('azui','azui123')
　　>use local
　　>db.oplog.rs.find()
　　
　　13、   接下来还有重要的一步，日志分割，使用的是logrotate做的。
　　# cat /etc/logrotate.d/mongodb
　　/data/log/mongodb/arbiter/mongodb.log{
　　daily
　　dateext
　　compress
　　delaycompress
　　copytruncate
　　create 0644 root root
　　rotate 5
　　>
　　}
　　/data/log/mongodb/master/mongodb.log{
　　daily
　　dateext
　　compress
　　delaycompress
　　copytruncate
　　create 0644 root root
　　rotate 5
　　>
　　}
　　/data/log/mongodb/slave/mongodb.log{
　　daily
　　dateext
　　compress
　　delaycompress
　　copytruncate
　　create 0644 root root
　　rotate 5
　　>
　　}
　　
　　添加周期计划任务：
　　# crontab –e
　　0 */3 * * *  /usr/sbin/logrotate  /etc/logrotate.d/mongodb 2>&1 >>/dev/null
　　
　　14、   编写删除脚本
　　# cat rmlog.sh
　　#!/bin/bash
　　dir1=/data/log/mongodb/arbiter
　　dir2=/data/log/mongodb/master
　　dir3=/data/log/mongodb/slave
　　find $dir1 -mtime +7 -name "*2017*" -exec rm -rf {} \;
　　find $dir2 -mtime +7 -name "*2017*" -exec rm -rf {} \;
　　find $dir3 -mtime +7 -name "*2017*" -exec rm -rf {} \;
　　# chmod +x rmlog.sh
　　添加周期计划任务：
　　# crontab –e
　　0 */3 * * * /root/cuishuai/rmlog.sh  2>&1 >>/dev/null