快速部署有身份验证和授权的MongoDB Replica SET复制集

在启用身份验证后， MongoDB将强制所有客户端在访问数据库前先做身份验证authentication 。  Authorization , 授权允许管理员限制用户使用的资源和允许做的操作。 对于产品环境中使用mongodb replica set 复制集，必须启用Authentication 和Authorization。

dbDao 百度贴吧：http://tieba.baidu.com/dbdao

MongoDB技术学习QQ群： 421431253

所有的MongoDB部署均支持身份验证。 默认情况下MongoDB不检测是否授权用户。对于现有部署和新部署都可以启用身份验证和授权。 但是要启用它们必须有停机时间，无法对在线的mongodb做修改。

以下我们将部署一个三节点的replica set复制集，其中的三个节点：

1. rep0.dbdao.com    默认的primary
2. rep1.dbdao.com    Secondary
3. rep2.dbdao.com   Secondary

注意以下所有操作均在ubuntu 上以root用户执行，如果你要以其他用户执行，请注意权限。

ubuntu启用-root账号 可以参考： http://www.askmaclean.com/archives/ubuntu%E5%90%AF%E7%94%A8-root%E8%B4%A6%E5%8F%B7.html

1、首先创建必要的目录

三个节点均运行

su – root ==》三个节点均运行

mkdir -p /m01/repdbdao ==》三个节点均运行

2、启动primary节点上的mongod

mongod –dbpath /m01/repdbdao –port 35001 –storageEngine wiredTiger

3、在无需身份验证的primary上创建用户

mongo rep0.dbdao.com:35001     ==》登陆 primary 如下创建了siteUserAdmin和siteRootAdmin 2个超级用户use admindb.createUser( { user: "siteUserAdmin", pwd: "dbdao", roles: [ { role: "userAdminAnyDatabase", db: "admin" } ] });db.createUser( { user: "siteRootAdmin", pwd: "dbdao", roles: [ { role: "root", db: "admin" } ] });

4、 ctrl+c 关掉步骤2启动的mongod

5、 在primary节点上生成一个为replica set 成员准备的SSL KEY文件

openssl rand -base64 741 > mongodb-keyfilechmod 600 mongodb-keyfile

6、 将mongodb-keyfile 拷贝到其他2个节点上

scp mongodb-keyfile rep1.dbdao.com:~/scp mongodb-keyfile rep2.dbdao.com:~/

7、 启动三个节点上的mongod

rep0 mongod --dbpath /m01/repdbdao --port 35001 --storageEngine wiredTiger  --replSet "rsdbao" --keyFile ~/mongodb-keyfile rep1  mongod --dbpath /m01/repdbdao --port 35001 --storageEngine wiredTiger  --replSet "rsdbao" --keyFile ~/mongodb-keyfile rep2  mongod --dbpath /m01/repdbdao --port 35001 --storageEngine wiredTiger  --replSet "rsdbao" --keyFile ~/mongodb-keyfile

8、连接到primary节点 开始Replica SET配置

mongo rep0:35001/admin -u siteRootAdmin -p

输入密码 dbdao

9、初始化replica set配置

执行

rs.initiate()

10、 将rep1和rep2节点加入replica set

rs.add(“rep1.dbdao.com:35001″)rs.add(“rep2.dbdao.com:35001″)

11、查看replica set  状态

rsdbao:PRIMARY> rs.status(){  "set" : "rsdbao",  "date" : ISODate("2015-05-14T03:07:00.883Z"),  "myState" : 1,  "members" : [    {      "_id" : 0,      "name" : "rep0.dbdao.com:35001",      "health" : 1,      "state" : 1,      "stateStr" : "PRIMARY",      "uptime" : 345,      "optime" : Timestamp(1431572809, 1),      "optimeDate" : ISODate("2015-05-14T03:06:49Z"),      "electionTime" : Timestamp(1431572753, 2),      "electionDate" : ISODate("2015-05-14T03:05:53Z"),      "configVersion" : 3,      "self" : true    },    {      "_id" : 1,      "name" : "rep1.dbdao.com:35001",      "health" : 1,      "state" : 2,      "stateStr" : "SECONDARY",      "uptime" : 22,      "optime" : Timestamp(1431572809, 1),      "optimeDate" : ISODate("2015-05-14T03:06:49Z"),      "lastHeartbeat" : ISODate("2015-05-14T03:07:00.011Z"),      "lastHeartbeatRecv" : ISODate("2015-05-14T03:07:00.650Z"),      "pingMs" : 1,      "syncingTo" : "rep0.dbdao.com:35001",      "configVersion" : 3    },    {      "_id" : 2,      "name" : "rep2.dbdao.com:35001",      "health" : 1,      "state" : 2,      "stateStr" : "SECONDARY",      "uptime" : 10,      "optime" : Timestamp(1431572809, 1),      "optimeDate" : ISODate("2015-05-14T03:06:49Z"),      "lastHeartbeat" : ISODate("2015-05-14T03:07:00.078Z"),      "lastHeartbeatRecv" : ISODate("2015-05-14T03:07:00.228Z"),      "pingMs" : 23,      "configVersion" : 3    }  ],  "ok" : 1}

12、为了今后的管理可以为单个数据库创建管理者

use productsdb.createUser(  {    user: "productsDBAdmin",    pwd: "dbdao",    roles:    [      {        role: "dbOwner",        db: "products"      }    ]  })

以上基本完成了对有身份验证和授权的replica set的配置，可以使用如下命令登陆三个节点：

mongo rep1.dbdao.com:35001/admin -u siteRootAdmin -p dbdao

mongo rep0.dbdao.com:35001/admin -u siteRootAdmin -p dbdao

mongo rep2.dbdao.com:35001/admin -u siteRootAdmin -p dbdao

如上配置的replica set 会自动启用failover，但primary失败时会自动投票切换到secondary，无需人工接入。