使用密钥文件身份验证部署分片群集

MongoDB 中文手册

参考 > 安全 > 认证方式 > 内部/会员身份验证 > 使用密钥文件身份验证部署分片群集

在本页面

总览
注意事项
使用密钥文件访问控制部署分片群集
下一步
x.509内部身份验证

概述¶

在分片群集上实施访问控制需要配置：

使用内部身份验证的群集组件之间的安全性。
使用用户访问控制在连接客户端和群集之间的安全性。

对于本教程，分片群集的每个成员必须使用相同的内部身份验证机制和设置。这意味着在每个实施内部验证mongos和mongod在群集中。

以下教程使用密钥文件来启用内部身份验证。

强制执行内部身份验证也会强制执行用户访问控制。要连接到副本集，mongo外壳程序之类的客户端需要使用用户帐户。请参阅访问控制。

CloudManager和OpsManager ¶

如果您使用Cloud Manager或Ops Manager来管理您的部署，请参阅相应的Cloud Manager手册或Ops Manager手册以强制进行身份验证。

注意事项¶

小费

如果可能，请使用逻辑DNS主机名而不是IP地址，尤其是在配置副本集成员或分片群集成员时。逻辑DNS主机名的使用避免了由于IP地址更改而导致的配置更改。

IP绑定¶

在版本3.6中更改。

从MongoDB 3.6，MongoDB二进制文件mongod和开始 mongos，localhost默认情况下绑定到。从MongoDB 2.6到3.4版本localhost，默认情况下仅绑定来自正式MongoDB RPM（Red Hat，CentOS，Fedora Linux和衍生产品）和DEB（Debian，Ubuntu和衍生产品）的二进制文件。要了解有关此更改的更多信息，请参阅 Localhost绑定兼容性更改。

密钥文件安全性¶

密钥文件是最低限度的安全性形式，最适合于测试或开发环境。对于生产环境，我们建议使用 x.509证书。

访问控制¶

本教程仅介绍在admin数据库上创建最少数量的管理用户。对于用户身份验证，本教程使用默认的SCRAM 身份验证机制。质询响应安全机制最适合测试或开发环境。对于生产环境，我们建议使用x.509证书或LDAP代理身份验证（仅适用于MongoDB Enterprise）或Kerberos身份验证（仅适用于MongoDB Enterprise）。

有关为特定身份验证机制创建用户的详细信息，请参阅特定身份验证机制页面。

有关创建和管理用户的最佳实践，请参见➤配置基于角色的访问控制。

用户¶

通常，要为分片群集创建用户，请连接到 mongos并添加分片群集用户。

但是，某些维护操作需要直接连接到分片群集中的特定分片。要执行这些操作，必须直接连接到分片并以分片本地管理用户身份进行身份验证。

分片本地用户仅存在于特定分片中，并且仅应用于分片特定的维护和配置。您无法mongos使用分片本地用户连接到。

本教程要求创建分片集群用户，但包括添加分片本地用户的可选步骤。

有关更多信息，请参见用户安全性文档。

操作系统¶

本教程使用mongod和mongos 程序。Windows用户应改用mongod.exe和 mongos.exe程序。

使用密钥文件访问控制部署分片群集¶

以下过程涉及创建一个新的分片集群，该集群由mongos，配置服务器和两个分片组成。

小费

创建密钥文件¶

与密钥文件身份验证，每个 mongod或mongos实例的分片集群中使用密钥文件作为用于在部署认证其他成员共享密码的内容。只有 mongod或mongos具有正确密钥文件的实例可以加入分片群集。

注意

从MongoDB 4.2开始，用于内部成员身份验证的密钥文件使用YAML格式，以允许密钥文件中包含多个密钥。YAML格式接受以下内容：

单个键字符串（与早期版本相同），
多个键字符串（每个字符串必须用引号引起来），或者
键串的顺序。

YAML格式与使用文本文件格式的现有单键密钥文件兼容。

密钥的长度必须在6到1024个字符之间，并且只能包含base64集中的字符。分片群集的所有成员必须共享至少一个公共密钥。

注意

在UNIX系统上，密钥文件不得具有组或世界权限。在Windows系统上，不检查密钥文件权限。

您可以使用任何选择的方法来生成密钥文件。例如，以下操作用于openssl生成复杂的伪随机1024字符串，用作共享密码。然后，它chmod用于更改文件许可权，以仅为文件所有者提供读取许可权：

复制

openssl rand -base64 756 > <path-to-keyfile>
chmod 400 <path-to-keyfile>

有关使用密钥文件的其他详细信息和要求，请参见密钥文件。

分发密钥文件¶

将密钥文件复制到托管分片集群成员的每个服务器。确保运行mongod或mongos实例的用户是文件的所有者，并且可以访问密钥文件。

避免存储关于可从托管的硬件来容易地断开连接的存储介质的密钥文件mongod或mongos实例，诸如USB驱动器或网络连接的存储设备。

创建配置服务器副本集¶

以下步骤将部署配置服务器副本集。

对于生产部署，请部署至少具有三个成员的配置服务器副本集。出于测试目的，您可以创建单成员副本集。

1个

启动配置服务器副本集中的每个 mongod副本。包括keyFile设置。该keyFile设置将同时实施内部/成员身份验证和基于角色的访问控制。

您可以mongod通过配置文件或命令行指定设置。

配置文件

如果使用配置文件，设置security.keyFile为密钥文件的路径，sharding.clusterRole来configsvr，并replication.replSetName到配置服务器副本集所需的名称。

复制

security:
  keyFile: <path-to-keyfile>
sharding:
  clusterRole: configsvr
replication:
  replSetName: <setname>

包括配置所需的其他选项。例如，如果您希望远程客户端连接到您的部署，或者您的部署成员在不同的主机上运行，请指定net.bindIp设置。有关更多信息，请参见Localhost绑定兼容性更改。

开始mongod指定--config选项和配置文件的路径。

复制

mongod --config <path-to-config-file>

命令行

如果使用命令行参数，启动mongod用的--keyFile，--configsvr和--replSet参数。

复制

mongod --keyFile <path-to-keyfile> --configsvr --replSet <setname> --dbpath <path>

包括配置所需的其他选项。例如，如果您希望远程客户端连接到您的部署，或者您的部署成员在不同的主机上运行，请指定 --bind_ip。有关更多信息，请参见 Localhost绑定兼容性更改。

通过本地主机接口连接到副本集的成员。¶

通过localhost接口将mongoShell 连接到mongod实例之一。您必须在与实例相同的物理计算机上运行外壳程序。mongomongod

该本地主机接口，因为没有用户已经为部署创建才可用。该本地主机接口创建第一个用户后关闭。

该rs.initiate()方法启动副本集，并可以采用可选的副本集配置文档。在副本集配置文档中，包括：

的_id。在必须匹配传递给参数。_id --replSetmongod
该members场。该members字段是一个数组，每个副本集成员需要一个文档。
该configsvr场。对于配置服务器副本集，该configsvr字段必须设置true为。

有关副本集配置文档的更多信息，请参见副本集配置。

使用rs.initiate()方法和配置文档初始化副本集：

复制

rs.initiate(
  {
    _id: "<replSetName>",
    configsvr: true,
    members: [
      { _id : 0, host : "cfg1.example.net:27019" },
      { _id : 1, host : "cfg2.example.net:27019" },
      { _id : 2, host : "cfg3.example.net:27019" }
    ]
  }
)

启动并启动配置服务器副本集（CSRS）后，继续创建分片副本集。

创建碎片副本集¶

对于生产部署，请使用至少包含三个成员的副本集。出于测试目的，您可以创建单成员副本集。

这些步骤包括添加分片本地用户的可选过程。现在执行它们可以确保每个分片都有可用的用户来执行分片级维护。

1个

在启用访问控制的情况下启动副本集的每个成员。¶

mongod使用keyFile参数运行会同时强制执行内部/成员身份验证和基于角色的访问控制。

使用配置文件或命令行启动副本集中的每个 mongod副本。

配置文件

如果使用配置文件，则将security.keyFile选项设置为密钥文件的路径，将replication.replSetName设置为所需的副本集名称，并将sharding.clusterRole 选项设置为shardsvr。

复制

security:
  keyFile: <path-to-keyfile>
sharding:
  clusterRole: shardsvr
replication:
  replSetName: <replSetName>
storage:
   dbPath: <path>

开始mongod指定--config选项和配置文件的路径。

复制

mongod --config <path-to-config-file>

命令行

如果使用命令行选项，启动组件时，指定--keyFile，replSet和--shardsvr参数，如下面的例子：

复制

mongod --keyFile <path-to-keyfile> --shardsvr --replSet <replSetName>  --dbpath <path>

通过本地主机接口连接到副本集的成员。¶

通过localhost接口将mongoShell 连接到mongod实例之一。您必须在与实例相同的物理计算机上运行外壳程序。mongomongod

该本地主机接口，因为没有用户已经为部署创建才可用。该本地主机接口创建第一个用户后关闭。

启动副本集。¶

从mongo外壳运行该rs.initiate()方法。

rs.initiate()可以获取可选的副本集配置文档。在副本集配置文档中，包括：

_id设置为replication.replSetName或--replSet 选项中指定的副本集名称的字段。
members每个副本集中每个成员都有一个文档的数组。

下面的示例初始化一个三成员副本集。

复制

rs.initiate(
  {
    _id : <replicaSetName>,
    members: [
      { _id : 0, host : "s1-mongo1.example.net:27018" },
      { _id : 1, host : "s1-mongo2.example.net:27018" },
      { _id : 2, host : "s1-mongo3.example.net:27018" }
    ]
  }
)

rs.initiate()触发选举并选举一名成员为主要成员。

在继续之前，请连接到主服务器。使用rs.status()定位主要成员。

创建分片本地用户管理员（可选）。¶

重要

创建第一个用户后，localhost异常不再可用。

第一个用户必须具有创建其他用户（例如具有的用户）的特权userAdminAnyDatabase。这样可以确保您可以在Localhost Exception 关闭后创建其他用户。

如果至少一个用户就不能有权限创建用户，一旦本地主机异常关闭您可能无法创建或修改用户权限的新，因此无法获得必要的操作。

使用db.createUser()方法添加用户。用户应至少具有数据库userAdminAnyDatabase角色 admin。

您必须连接到主数据库才能创建用户。

以下示例在数据库中创建fred具有 userAdminAnyDatabase角色的用户admin。

重要

密码应随机，长且复杂，以确保系统安全并防止或延迟恶意访问。

小费

从mongoShell的4.2版本开始，您可以将该passwordPrompt()方法与各种用户身份验证/管理方法/命令结合使用，以提示输入密码，而不是直接在方法/命令调用中指定密码。但是，您仍然可以像在早期版本的mongoShell中一样直接指定密码。

复制

admin = db.getSiblingDB("admin")
admin.createUser(
  {
    user: "fred",
    pwd: passwordPrompt(), // or cleartext password
    roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]
  }
)

出现提示时输入密码。有关内置角色的完整列表，请参见数据库用户角色，这些角色与数据库管理操作有关。

以分片本地用户管理员身份验证（可选）。¶

对admin数据库进行身份验证。

在mongo外壳中，用于db.auth()进行身份验证。例如，以下身份验证为用户管理员fred：

小费

复制

db.getSiblingDB("admin").auth("fred", passwordPrompt()) // or cleartext password

可替代地，一个新的连接mongo通过壳到主副本集成员，和参数。-u <username>-p <password>--authenticationDatabase

复制

mongo -u "fred" -p  --authenticationDatabase "admin"

如果未在-p 命令行选项中指定密码，则mongoShell会提示您输入密码。

创建分片本地集群管理员（可选）。¶

本地分片群集管理员用户具有该 clusterAdmin角色，该角色提供允许访问复制操作的特权。

有关与副本集操作相关的角色的完整列表，请参阅群集管理角色。

创建集群管理员用户并clusterAdmin在admin数据库中分配角色：

小费

复制

db.getSiblingDB("admin").createUser(
  {
    "user" : "ravi",
    "pwd" : passwordPrompt(),     // or cleartext password
    roles: [ { "role" : "clusterAdmin", "db" : "admin" } ]
  }
)

出现提示时输入密码。

有关与副本集和分片群集操作有关的内置角色的完整列表，请参见群集管理角色。

将A连接`mongos`到分片群集¶

1个

将a连接`mongos`到集群¶

mongos使用配置文件或命令行参数启动指定密钥文件。

配置文件

如果使用配置文件，则将设置 security.keyFile为密钥文件的路径，将 sharding.configDB设置为副本集名称，并以<replSetName>/<host:port> 格式设置副本集的至少一个成员。

复制

security:
  keyFile: <path-to-keyfile>
sharding:
  configDB: <configReplSetName>/cfg1.example.net:27019,cfg2.example.net:27019,...

开始mongos指定--config选项和配置文件的路径。

复制

mongos --config <path-to-config>

命令行

如果使用命令行参数，请启动mongos并指定--keyFile和--configdb参数。

复制

mongos --keyFile <path-to-keyfile> --configdb <configReplSetName>/cfg1.example.net:27019,cfg2.example.net:27019,...

`mongos`通过本地主机接口连接到。¶

通过localhost接口将mongoShell 连接到mongos实例之一。您必须在与实例相同的物理计算机上运行外壳程序。mongomongos

该本地主机接口，因为没有用户已经为部署创建才可用。该本地主机接口创建第一个用户后关闭。

创建用户管理员。¶

重要

创建第一个用户后，localhost异常不再可用。

第一个用户必须具有创建其他用户（例如具有的用户）的特权userAdminAnyDatabase。这样可以确保您可以在Localhost Exception 关闭后创建其他用户。

如果至少一个用户就不能有权限创建用户，一旦本地主机异常关闭您不能创建或修改用户，因此可能无法进行必要的操作。

使用db.createUser()方法添加用户。用户应至少具有数据库userAdminAnyDatabase角色 admin。

重要

密码应随机，长且复杂，以确保系统安全并防止或延迟恶意访问。

以下示例fred在

MongoDB 中文手册

使用密钥文件身份验证部署分片群集

概述¶

CloudManager和OpsManager ¶

注意事项¶

IP绑定¶

密钥文件安全性¶

访问控制¶

用户¶

操作系统¶

使用密钥文件访问控制部署分片群集¶

创建密钥文件¶

分发密钥文件¶

创建配置服务器副本集¶

通过本地主机接口连接到副本集的成员。¶

创建碎片副本集¶

在启用访问控制的情况下启动副本集的每个成员。¶

通过本地主机接口连接到副本集的成员。¶

启动副本集。¶

创建分片本地用户管理员（可选）。¶

以分片本地用户管理员身份验证（可选）。¶

创建分片本地集群管理员（可选）。¶

将A连接mongos到分片群集¶

将a连接mongos到集群¶

mongos通过本地主机接口连接到。¶

创建用户管理员。¶

将A连接`mongos`到分片群集¶

将a连接`mongos`到集群¶

`mongos`通过本地主机接口连接到。¶