一、mongo安全校验机制

    1、auth方式

        连接mongo服务,使用admin数据库,创建超级管理员用户

        db.createUser({user:"admin",pwd:"admin",roles:[{role:"root",db:"admin"}]});

         然后更改数据库(use testdb),创建普通数据库用户

        db.createUser({user:"tester",pwd:"testerpwd",roles:[{role:"dbAdmin",db:"testdb"}]});

         停止mongo服务,然后以 auth方式启动  ./mongod -f xxx.conf --auth

       这样再连接上mongo服务,使用show dbs之类的命令就会收到限制了,需要用db.auth("tester","testerpwd")进行验证过之后,这样在限定的权限内就行操作了。

      具体roles中有多少配置,配置的角色权限是多少,详细请查看《 mongodb 内建用户 》

    2、keyfile方式

         在集群中,各个mongo实例进行通信的时候通常会采用keyfile的方式,keyfile是使用openssl生成的随机的base64编码的一个字符串,只要各台服务器启动的时候用的是同一个keyfile,这样各个mongo实例就能够相互感知通信。

     keyfile的生成命令如下

openssl rand -base64 753 >keyfile

    其中753是随机种子,自己可以任意填写1到10000中的数字,这样我们就生成了一个 keyfile文件,把keyfile文件复制到各台服务器上。启动的时候增加--keyFile /xxx/xxx/keyfile参数即可。

二、认证集群搭建

      续上篇《 mongoDB高可用集群环境搭建 》  文章中,我们已经搭建了一个没有安全认证的方式,现在把它改为有安全校验的。

     1、创建用户

user admin
db.createUser({user:"admin",pwd:"admin",roles:[{role:"root",db:"admin"}]});

         然后更改数据库(use testdb),创建普通数据库用户

db.createUser({user:"tester",pwd:"testerpwd",roles:[{role:"dbAdmin",db:"testdb"}]});

    2、   生成keyfile

     在/opt/mongokeyfile/keyfile文件夹下(示例如此:自己可以在任何目录)

openssl rand -base64 313 > keyfile

   3、把keyfile复制到各个服务,如果一台服务器上有多个实例,可以使用一个keyfile,也可以分别使用各自的keyfile,本篇文章采用各自的keyfile

cd /etc/mongodb/conf/
cp /opt/mongokeyfile/keyfile 27017/
[root@m1 conf]# cp /opt/mongokeyfile/keyfile 27018/
[root@m1 conf]# cp /opt/mongokeyfile/keyfile 27019/
[root@m1 conf]# cp /opt/mongokeyfile/keyfile 27020/
[root@m1 conf]# cp /opt/mongokeyfile/keyfile 27300/

[root@m1 conf]# chmod 600 27017/keyfile 
[root@m1 conf]# chmod 600 27018/keyfile 
[root@m1 conf]# chmod 600 27019/keyfile 
[root@m1 conf]# chmod 600 27020/keyfile 
[root@m1 conf]# chmod 600 27300/keyfile

4、停掉三台机器的所有mongo服务

#在三台服务器上执行
killall mongos && killall mongod

5、增加keyfile参数启动所有服务

       都是配置启动的,启动方式完全相同

#重新启动所有服务

#启动mongos 在三台机器上运行
/usr/local/mongodb/bin/mongod --configsvr --dbpath /var/lib/mongodb/db/27017/ --port 27017 --logpath /var/log/mongodb/27017/mongo.log --fork --keyFile /etc/mongodb/conf/27017/keyfile

#启动config server
/usr/local/mongodb/bin/mongos --configdb 192.168.1.140:27017,192.168.1.141:27017,192.168.1.142:27017 --port 27300 --logpath /var/log/mongodb/27300/mongos.log  --chunkSize 5  --fork  --keyFile /etc/mongodb/conf/27017/keyfile


#140服务器
/usr/local/mongodb/bin/mongod --shardsvr --replSet shard1 --port 27018 --dbpath /var/lib/mongodb/db/27018/ --logpath /var/log/mongodb/27018/shard1.log --fork --nojournal --oplogSize 10 --keyFile /etc/mongodb/conf/27017/keyfile
/usr/local/mongodb/bin/mongod --shardsvr --replSet shard1 --port 27019 --dbpath /var/lib/mongodb/db/27019/ --logpath /var/log/mongodb/27019/shard1.log --fork --nojournal --oplogSize 10 --keyFile /etc/mongodb/conf/27017/keyfile
/usr/local/mongodb/bin/mongod --shardsvr --replSet shard1 --port 27020 --dbpath /var/lib/mongodb/db/27020/ --logpath /var/log/mongodb/27020/shard1.log --fork --nojournal --oplogSize 10 --keyFile /etc/mongodb/conf/27017/keyfile


#141服务器
/usr/local/mongodb/bin/mongod --shardsvr --replSet shard2 --port 27018 --dbpath /var/lib/mongodb/db/27018/ --logpath /var/log/mongodb/27018/shard1.log --fork --nojournal --oplogSize 10 --keyFile /etc/mongodb/conf/27017/keyfile
/usr/local/mongodb/bin/mongod --shardsvr --replSet shard2 --port 27019 --dbpath /var/lib/mongodb/db/27019/ --logpath /var/log/mongodb/27019/shard1.log --fork --nojournal --oplogSize 10 --keyFile /etc/mongodb/conf/27017/keyfile
/usr/local/mongodb/bin/mongod --shardsvr --replSet shard2 --port 27020 --dbpath /var/lib/mongodb/db/27020/ --logpath /var/log/mongodb/27020/shard1.log --fork --nojournal --oplogSize 10 --keyFile /etc/mongodb/conf/27017/keyfile
 
 #142服务器
/usr/local/mongodb/bin/mongod --shardsvr --replSet shard3 --port 27018 --dbpath /var/lib/mongodb/db/27018/ --logpath /var/log/mongodb/27018/shard1.log --fork --nojournal --oplogSize 10 --keyFile /etc/mongodb/conf/27017/keyfile
/usr/local/mongodb/bin/mongod --shardsvr --replSet shard3 --port 27019 --dbpath /var/lib/mongodb/db/27019/ --logpath /var/log/mongodb/27019/shard1.log --fork --nojournal --oplogSize 10 --keyFile /etc/mongodb/conf/27017/keyfile
/usr/local/mongodb/bin/mongod --shardsvr --replSet shard3 --port 27020 --dbpath /var/lib/mongodb/db/27020/ --logpath /var/log/mongodb/27020/shard1.log --fork --nojournal --oplogSize 10 --keyFile /etc/mongodb/conf/27017/keyfile

6、全部启动以后,可以登录任何一台mongos服务器进行操作

/usr/local/mongodb/bin/mongo 192.168.1.142:27300/admin -u admin -p admin

这样我们就搭建起来了一个高可用的,并且有安全认证的mongo集群。测试的时候可以停掉任何一个实例,接着测试集群是否可用。