转载

快速部署有身份验证和授权的MongoDB Replica SET复制集

在启用身份验证后， MongoDB将强制所有客户端在访问数据库前先做身份验证 authentication 。 Authorization , 授权允许管理员限制用户使用的资源和允许做的操作。对于产品环境中使用mongodb replica set 复制集，必须启用Authentication 和Authorization。

dbDao 百度贴吧：http://tieba.baidu.com/dbdao

MongoDB技术学习QQ群： 421431253

所有的MongoDB部署均支持身份验证。默认情况下MongoDB不检测是否授权用户。对于现有部署和新部署都可以启用身份验证和授权。但是要启用它们必须有停机时间，无法对在线的mongodb做修改。

以下我们将部署一个三节点的replica set复制集，其中的三个节点：

rep0.dbdao.com 默认的primary
rep1.dbdao.com Secondary
rep2.dbdao.com Secondary

注意以下所有操作均在ubuntu 上以root用户执行，如果你要以其他用户执行，请注意权限。

ubuntu启用-root账号可以参考： http://www.askmaclean.com/archives/ubuntu%E5%90%AF%E7%94%A8-root%E8%B4%A6%E5%8F%B7.html

1、首先创建必要的目录

三个节点均运行

su – root ==》三个节点均运行

mkdir -p /m01/repdbdao ==》三个节点均运行

2、启动primary节点上的mongod

mongod –dbpath /m01/repdbdao –port 35001 –storageEngine wiredTiger

3、在无需身份验证的primary上创建用户

mongo rep0.dbdao.com:35001     ==》登陆 primary   如下创建了siteUserAdmin和siteRootAdmin 2个超级用户  use admin db.createUser( {  user: "siteUserAdmin",  pwd: "dbdao",  roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]  }); db.createUser( {  user: "siteRootAdmin",  pwd: "dbdao",  roles: [ { role: "root", db: "admin" } ]  });

4、 ctrl+c 关掉步骤2启动的mongod

5、在primary节点上生成一个为replica set 成员准备的SSL KEY文件

openssl rand -base64 741 > mongodb-keyfilechmod 600 mongodb-keyfile

6、将mongodb-keyfile 拷贝到其他2个节点上

scp mongodb-keyfile rep1.dbdao.com:~/scp mongodb-keyfile rep2.dbdao.com:~/

7、启动三个节点上的mongod

rep0  mongod --dbpath /m01/repdbdao --port 35001 --storageEngine wiredTiger  --replSet "rsdbao" --keyFile ~/mongodb-keyfile   rep1   mongod --dbpath /m01/repdbdao --port 35001 --storageEngine wiredTiger  --replSet "rsdbao" --keyFile ~/mongodb-keyfile   rep2   mongod --dbpath /m01/repdbdao --port 35001 --storageEngine wiredTiger  --replSet "rsdbao" --keyFile ~/mongodb-keyfile

8、连接到primary节点开始Replica SET配置

mongo rep0:35001/admin -u siteRootAdmin -p

输入密码 dbdao

9、初始化replica set配置

执行

rs.initiate()

10、将rep1和rep2节点加入replica set

rs.add(“rep1.dbdao.com:35001″)rs.add(“rep2.dbdao.com:35001″)

11、查看replica set 状态

rsdbao:PRIMARY> rs.status() {  "set" : "rsdbao",  "date" : ISODate("2015-05-14T03:07:00.883Z"),  "myState" : 1,  "members" : [   {    "_id" : 0,    "name" : "rep0.dbdao.com:35001",    "health" : 1,    "state" : 1,    "stateStr" : "PRIMARY",    "uptime" : 345,    "optime" : Timestamp(1431572809, 1),    "optimeDate" : ISODate("2015-05-14T03:06:49Z"),    "electionTime" : Timestamp(1431572753, 2),    "electionDate" : ISODate("2015-05-14T03:05:53Z"),    "configVersion" : 3,    "self" : true   },   {    "_id" : 1,    "name" : "rep1.dbdao.com:35001",    "health" : 1,    "state" : 2,    "stateStr" : "SECONDARY",    "uptime" : 22,    "optime" : Timestamp(1431572809, 1),    "optimeDate" : ISODate("2015-05-14T03:06:49Z"),    "lastHeartbeat" : ISODate("2015-05-14T03:07:00.011Z"),    "lastHeartbeatRecv" : ISODate("2015-05-14T03:07:00.650Z"),    "pingMs" : 1,    "syncingTo" : "rep0.dbdao.com:35001",    "configVersion" : 3   },   {    "_id" : 2,    "name" : "rep2.dbdao.com:35001",    "health" : 1,    "state" : 2,    "stateStr" : "SECONDARY",    "uptime" : 10,    "optime" : Timestamp(1431572809, 1),    "optimeDate" : ISODate("2015-05-14T03:06:49Z"),    "lastHeartbeat" : ISODate("2015-05-14T03:07:00.078Z"),    "lastHeartbeatRecv" : ISODate("2015-05-14T03:07:00.228Z"),    "pingMs" : 23,    "configVersion" : 3   }  ],  "ok" : 1 }

12、为了今后的管理可以为单个数据库创建管理者

use products db.createUser(   {     user: "productsDBAdmin",     pwd: "dbdao",     roles:     [       {         role: "dbOwner",         db: "products"       }     ]   } )

以上基本完成了对有身份验证和授权的replica set的配置，可以使用如下命令登陆三个节点：

mongo rep1.dbdao.com:35001/admin -u siteRootAdmin -p dbdao

mongo rep0.dbdao.com:35001/admin -u siteRootAdmin -p dbdao

mongo rep2.dbdao.com:35001/admin -u siteRootAdmin -p dbdao

如上配置的replica set 会自动启用failover，但primary失败时会自动投票切换到secondary，无需人工接入。