将分片群集更新为密钥文件身份验证

创建一个密钥文件。¶

与密钥文件身份验证，每个 mongod或mongos实例的分片集群中使用密钥文件作为用于在部署认证其他成员共享密码的内容。只有 mongod或mongos具有正确密钥文件的实例可以加入分片群集。

密钥的长度必须在6到1024个字符之间，并且只能包含base64集中的字符。分片群集的所有成员必须共享至少一个公共密钥。

您可以使用任何选择的方法来生成密钥文件。例如，以下操作用于openssl生成复杂的伪随机1024字符串，用作共享密码。然后，它chmod用于更改文件许可权，以仅为文件所有者提供读取许可权：

openssl rand -base64 756 > <path-to-keyfile>
chmod 400 <path-to-keyfile>

有关使用密钥文件的其他详细信息和要求，请参见密钥文件。

将密钥文件复制到分片群集中的每个组件。¶

承载分片群集的mongod或mongos组件的每个服务器必须包含密钥文件的副本。

将密钥文件复制到托管分片集群成员的每个服务器。确保运行mongod或mongos实例的用户是文件的所有者，并且可以访问密钥文件。

避免存储关于可从托管的硬件来容易地断开连接的存储介质的密钥文件mongod或mongos实例，诸如USB驱动器或网络连接的存储设备。

禁用平衡器。¶

将mongo外壳连接到mongos。

sh.stopBalancer()

如果正在进行迁移，则平衡器可能不会立即停止。该sh.stopBalancer()方法将阻塞外壳，直到平衡器停止。

从MongoDB 4.2开始，sh.stopBalancer()还会禁用分片群集的自动拆分。

使用sh.getBalancerState()验证平衡器已停止。

sh.getBalancerState()

有关配置分片群集平衡器行为的教程，请参阅管理分片群集平衡器。

关闭分片mongos群集的所有实例。¶

将mongo外壳连接到每个外壳，mongos然后将其关闭。

使用数据库db.shutdownServer()上的方法admin安全地关闭mongos：

db.getSiblingDB("admin").shutdownServer()

重复该操作，直到mongos群集中的所有实例都脱机。

完成此步骤后，mongos群集中的所有实例都应处于脱机状态。

关闭配置服务器mongod实例。¶

将一个mongo外壳连接到mongod配置服务器部署中的每个外壳，然后将其关闭。

对于副本集配置服务器部署，请 最后关闭主要成员。

使用数据库db.shutdownServer()上的方法admin安全地关闭mongod：

db.getSiblingDB("admin").shutdownServer()

重复直到所有配置服务器都脱机。

关闭分片副本集mongod实例。¶

对于每个分片副本集，将mongo外壳连接到mongod副本集中的每个 成员，然后将其关闭。最后关闭主要成员。

使用数据库db.shutdownServer()上的方法admin安全地关闭mongod：

db.getSiblingDB("admin").shutdownServer()

对每个分片副本集重复此步骤，直到所有分片副本集中的所有mongod 实例都脱机。

完成此步骤后，整个分片群集应处于脱机状态。

在配置服务器上实施访问控制。¶

启动配置服务器副本集中的每个 mongod副本。包括keyFile设置。该keyFile设置将同时实施内部/成员身份验证和 基于角色的访问控制。

您可以mongod通过配置文件或命令行指定设置。

配置文件

如果使用配置文件，对于配置的服务器副本集，设置security.keyFile为密钥文件的路径， sharding.clusterRole来configsvr，并 replication.replSetName到配置服务器副本集的名称。

security:
  keyFile: <path-to-keyfile>
sharding:
  clusterRole: configsvr
replication:
  replSetName: <setname>
storage:
   dbpath: <path>

包括配置所需的其他选项。例如，如果您希望远程客户端连接到您的部署，或者您的部署成员在不同的主机上运行，​​请指定net.bindIp设置。有关更多信息，请参见Localhost绑定兼容性更改。

开始mongod指定--config选项和配置文件的路径。

mongod --config <path-to-config>

命令行

如果使用命令行参数，对于配置的服务器副本集，开始mongod用-keyFile， --configsvr和--replSet参数。

mongod --keyFile <path-to-keyfile> --configsvr --replSet <setname> --dbpath <path>

包括配置所需的其他选项。例如，如果您希望远程客户端连接到您的部署，或者您的部署成员在不同的主机上运行，​​请指定 --bind_ip。有关更多信息，请参见 Localhost绑定兼容性更改。

有关命令行选项的更多信息，请参见 mongod参考页。

重新启动每个成员时，请确保使用原始副本集名称。您不能更改副本集的名称。

对分片群集中的每个分片实施访问控制。¶

mongod使用keyFile参数运行会同时强制执行 内部/成员身份验证和 基于角色的访问控制。

使用配置文件或命令行启动副本集中的每个 mongod副本。

配置文件

如果使用配置文件，请将 security.keyFile选项设置为密钥文件的路径，并将 replication.replSetName选项设置为副本集的原始名称。

security:
  keyFile: <path-to-keyfile>
replication:
  replSetName: <setname>
storage:
   dbPath: <path>

包括配置所需的其他选项。例如，如果您希望远程客户端连接到您的部署，或者您的部署成员在不同的主机上运行，​​请指定net.bindIp设置。有关更多信息，请参见Localhost绑定兼容性更改。

开始mongod指定--config选项和配置文件的路径。

mongod --config <path-to-config-file>

命令行

如果使用命令行参数，请启动mongod并指定--keyFile和--replSet参数。

mongod --keyfile <path-to-keyfile> --replSet <setname> --dbpath <path>

包括配置所需的其他选项。例如，如果您希望远程客户端连接到您的部署，或者您的部署成员在不同的主机上运行，​​请指定 --bind_ip。有关更多信息，请参见 Localhost绑定兼容性更改。

有关启动参数的更多信息，请参见mongod参考页。

重新启动每个成员时，请确保使用原始副本集名称。您不能更改副本集的名称。

重复此步骤，直到集群中的所有分片都处于联机状态。

创建分片本地用户管理员（可选）。¶

对于群集中的每个分片副本集，请通过localhost接口将mongo 外壳连接到主要成员。您必须与目标在同一台计算机上运行，才能使用localhost接口。mongomongod

创建一个具有数据库userAdminAnyDatabase 角色的用户admin。该用户可以根据需要为分片副本集创建其他用户。创建此用户还会关闭Localhost Exception。

以下示例fred在admin数据库上 创建分片本地用户。

admin = db.getSiblingDB("admin")
admin.createUser(
  {
    user: "fred",
    pwd: passwordPrompt(),  // or cleartext password
    roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]
  }
)

对mongos服务器实施访问控制。¶

mongod使用keyFile参数运行会同时强制执行 内部/成员身份验证和 基于角色的访问控制。

使用配置文件或命令行启动副本集中的每个 mongos副本。

配置文件

如果使用配置文件，则将设置 security.keyFile为密钥文件的路径，将 sharding.configDB设置为副本集名称，并以<replSetName>/<host:port> 格式设置副本集的至少一个成员。

security:
  keyFile: <path-to-keyfile>
sharding:
  configDB: <configReplSetName>/cfg1.example.net:27019,cfg2.example.net:27019,...

包括配置所需的其他选项。例如，如果您希望远程客户端连接到您的部署，或者您的部署成员在不同的主机上运行，​​请指定net.bindIp设置。有关更多信息，请参见Localhost绑定兼容性更改。

开始mongos指定--config选项和配置文件的路径。

mongos --config <path-to-config-file>

命令行

如果使用命令行参数，请启动mongos并指定--keyFile和--configdb参数。

mongos --keyFile <path-to-keyfile> --configdb <configReplSetName>/cfg1.example.net:27019,cfg2.example.net:27019,...

包括配置所需的其他选项。例如，如果您希望远程客户端连接到您的部署，或者您的部署成员在不同的主机上运行，​​请指定 --bind_ip。有关更多信息，请参见 Localhost绑定兼容性更改。

此时，整个分片群集都重新联机，并且可以使用指定的密钥文件在内部进行通信。但是，外部程序（如mongo外壳程序）需要使用正确配置的用户才能读取或写入集群。

mongos通过localhost接口连接到实例。¶

通过localhost接口将mongoShell 连接到mongos实例之一 。您必须 在与实例相同的物理计算机上运行外壳程序。mongomongos

该本地主机接口，因为没有用户已经为部署创建才可用。该 本地主机接口创建第一个用户后关闭。

创建用户管理员。¶

使用db.createUser()方法添加用户。用户应至少具有数据库userAdminAnyDatabase角色 admin。

以下示例fred在admin数据库上 创建用户：

admin = db.getSiblingDB("admin")
admin.createUser(
  {
    user: "fred",
    pwd:  passwordPrompt(),     // or cleartext password
    roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]
  }
)

有关内置角色的完整列表，请参见数据库用户角色，这些角色与数据库管理操作有关。

以用户管理员身份验证。¶

使用db.auth()为用户管理员身份验证创建其他用户：

db.getSiblingDB("admin").auth("fred", passwordPrompt()) // or cleartext password

出现提示时输入密码。

可替代地，连接新的mongo使用外壳到目标副本集部件，和参数。您必须使用Localhost Exception才能连接到。-u <username>-p <password>--authenticationDatabase "admin"mongos

mongo -u "fred" -p  --authenticationDatabase "admin"

如果未在-p 命令行选项中指定密码，则mongoShell会提示您输入密码。

创建用于群集管理的管理用户¶

集群管理员用户具有分片集群的clusterAdmin角色，而不是分片本地集群管理员。

以下示例ravi在admin 数据库上创建用户。