キーファイル認証を使用した自己管理型シャーディングされたクラスターの配置
Overview
のシャーディングされたクラスターにアクセス制御を強制するには、以下を構成する必要があります。
ユーザー アクセス制御を使用した、接続クライアントとクラスター間のセキュリティ
このチュートリアルでは、シャーディングされたクラスターの各ノードが同じ内部認証メカニズムと設定を使用する必要があります。 これは、クラスター内のそれぞれの mongosとmongodに内部認証を強制することを意味します。
次のチュートリアルでは、キーファイルを使用して内部認証を有効にします。
内部認証を強制すると、ユーザーのアクセス制御も強制されます。 レプリカ セットに接続するには、 mongoshなどのクライアントはユーザー アカウントを使用する必要があります。 詳しくは、 アクセス制御 を参照してください。
Cloud Manager と MongoDB Ops Manager
Cloud ManagerまたはMongoDB Ops Managerを使用して配置を管理している場合は、それぞれのCloud ManagerマニュアルまたはMongoDB Ops Managerマニュアルを参照して、認証を強制します。
Considerations
重要
IP アドレスの変更による構成の更新を防ぐには、IP アドレスの代わりに DNS ホスト名を使用します。レプリカセット ノードまたはシャーディングされたクラスター ノードを設定するときは、IP アドレスではなく DNS ホスト名を使用することが特に重要です。
分裂されたネットワーク ホライズン全体でクラスターを構成するには、IP アドレスの代わりにホスト名を使用します。 MongoDB 5.0以降、IP アドレスのみが設定されているノードは起動時の検証に失敗し、起動しません。
IP バインディング
キーファイルのセキュリティ
キーファイルは最低限のセキュリティであり、テストや開発環境に最適です。本番環境では、x.509 証明書を使用することをお勧めします。
アクセス制御
このチュートリアルでは、 adminデータベース上のみでの最小限数の管理ユーザーの作成について説明します。 ユーザー認証には、このチュートリアルではデフォルトのSCRAM認証メカニズムを使用します。 チャレンジレスポンスのセキュリティ方式は、テスト環境または開発環境に最適です。 本番環境では、 x を使用することをお勧めします。 509証明書または自己管理型 LDAP プロキシ認証(MongoDB Enterprise でのみ使用可能)、または自己管理型配置での Kerberos 認証(MongoDB Enterprise でのみ使用可能)。
特定の認証メカニズムのユーザーを作成する方法の詳細については、特定の認証メカニズムのページを参照してください。
ユーザーの作成とマネジメントのベストプラクティスについては、➤ ロールベースのアクセス制御の構成を参照してください。
ユーザー
一般に、シャーディングされたクラスターのユーザーを作成するには、 mongosに接続してシャーディングされたクラスター ユーザーを追加します。
ただし、一部のメンテナンス操作では、シャーディングされたクラスター内の特定のシャードへの直接接続が必要です。 これらの操作を実行するには、シャードに直接接続し、 シャード ローカル 管理ユーザーとして認証する必要があります。
シャード ローカル ユーザーは特定のシャードにのみ存在するため、シャード固有のメンテナンスと構成にのみ使用する必要があります。 シャード ローカル ユーザーはmongosに接続できません。
このチュートリアルでは、シャーディングされたクラスター ユーザーの作成が必要ですが、シャード ローカル ユーザーを追加するための任意の手順が含まれています。
詳細については、「自己管理型配置のユーザー」セキュリティ ドキュメントを参照してください。
オペレーティング システム
このチュートリアルでは、 mongod } プログラムとmongosプログラムを使用します。 Windows ユーザーは代わりにmongod.exe } プログラムとmongos.exeプログラムを使用する必要があります。
シャーディングされたクラスターをキーファイルアクセス制御を使用して配置
次の手順では、 mongos 、コンフィギュレーションサーバー、2 つのシャードで構成される新しいシャーディングされたクラスターを作成する方法が含まれます。
重要
IP アドレスの変更による構成の更新を防ぐには、IP アドレスの代わりに DNS ホスト名を使用します。レプリカセット ノードまたはシャーディングされたクラスター ノードを設定するときは、IP アドレスではなく DNS ホスト名を使用することが特に重要です。
分裂されたネットワーク ホライズン全体でクラスターを構成するには、IP アドレスの代わりにホスト名を使用します。 MongoDB 5.0以降、IP アドレスのみが設定されているノードは起動時の検証に失敗し、起動しません。
キーファイルを作成する
キーファイル 認証では、シャーディングされたクラスター内の各mongodまたはmongosインスタンスは、配置内の他のノードを認証するための共有パスワードとしてキーファイルの内容を使用します。 正しいキーファイルを持つmongodまたはmongosインスタンスのみがシャーディングされたクラスターに参加できます。
注意
内部メンバーシップ認証用のキーファイルでは、キーファイル内に複数のキーを含めるために YAML 形式が使用されます。YAML 形式は次のいずれかを受け入れます。
1 つのキー文字列(以前のバージョンと同じ)
キー文字列のシーケンス
YAML 形式は、テキストファイル形式を使用する既存の単一のキー キーファイルと互換性があります。
キーの長さは 6 文字から 1024 文字の間で、base64 セット内の文字のみを含めることができます。 シャーディングされたクラスターのすべてのノードは、少なくとも 1 つの共通キーを共有する必要があります。
注意
UNIX システムでは、キーファイルにグループ権限またはワールド権限があってはなりません。Windows システムでは、キーファイルの権限はチェックされません。
キーファイルは、選択した任意の方法で生成できます。たとえば、次の操作では、openssl を使用して、共有パスワードとして使用する疑似ランダムの複雑な 1024 文字の文字列を生成します。次に、chmod を使用してファイル権限を変更し、ファイル所有者のみに読み取り権限を付与します。
openssl rand -base64 756 > <path-to-keyfile> chmod 400 <path-to-keyfile>
キーファイルの使用に関する詳細と要件については、「キーファイル」を参照してください。
キーファイルを配布する
シャーディングされたクラスターをホストしている各サーバーにキー ファイルをコピーします。 mongodまたはmongosインスタンスを実行中のユーザーがファイルの所有者であり、キーファイルにアクセスできるようにしてください。
キーファイルを、 mongodまたはmongosインスタンスをホストしているハードウェアから簡単に切断できるストレージメディア(Windows ドライブやネットワーク接続ストレージデバイスなど)にキーファイルを保存しないでください。
コンフィギュレーションサーバーのレプリカセットの作成
以下の手順でコンフィギュレーションサーバーのレプリカセットをデプロイします。
本番環境には、少なくとも 3 つのノードを含むコンフィギュレーションサーバーのレプリカセットをデプロイします。 テスト用に、シングルノードのレプリカセットを作成できます。
コンフィギュレーションサーバーのレプリカセットで各mongodを起動します。 keyFile設定を含めます。 keyFile設定では、自己管理型内部認証とメンバーシップ認証と自己管理型配置におけるロールベースのアクセス制御 の両方が強制されます。
mongod設定は、構成ファイルまたはコマンドラインで指定できます。
構成ファイル
構成ファイルを使用する場合は、キーファイルのパスにsecurity.keyFileを設定し、 sharding.clusterRoleをconfigsvrに、 replication.replSetNameにコンフィギュレーションサーバーのレプリカセットの希望する名前を設定します。
security: keyFile: <path-to-keyfile> sharding: clusterRole: configsvr replication: replSetName: <setname>
構成に必要な追加オプションを含めます。 たとえば、リモート クライアントを使用して配置に接続する場合や、配置ノードを異なるホスト上で実行する場合は、 net.bindIp設定を指定します。
--configオプションと構成ファイルへのパスを指定して、mongod を起動します。
mongod --config <path-to-config-file>
コマンドライン
コマンドライン パラメータを使用する場合は、 --keyFile 、 --configsvr 、 --replSetパラメータを使用してmongodを起動します。
mongod --keyFile <path-to-keyfile> --configsvr --replSet <setname> --dbpath <path>
構成に必要な追加オプションを含めます。 たとえば、リモート クライアントを配置に接続する場合、または配置ノードを異なるホスト上で実行する場合は、 --bind_ipを指定します。
ローカルホスト インターフェースを介してレプリカセットのノードに接続します。
mongosh をローカルホスト インターフェース経由で mongod インスタンスの 1 つに接続します。mongosh は mongod インスタンスと同じ物理マシン上で実行する必要があります。
配置用のユーザーが作成されていないため、ローカルホスト インターフェースのみ使用できます。最初のユーザーが作成された後に、 ローカルホスト インターフェースは閉じます。
rs.initiate()メソッドはレプリカセットを開始し、オプションのレプリカセット構成ドキュメント を指定できます。 レプリカセット構成ドキュメントには、次を含めます。
membersフィールド。membersフィールドは配列であり、レプリカセットの各ノードごとにドキュメントが必要です。configsvrフィールド。 コンフィギュレーションサーバーのレプリカセットのconfigsvrフィールドはtrueに設定する必要があります。
レプリカセットの構成ドキュメントについて詳しくは、「自己管理型レプリカセット構成」を参照してください。
rs.initiate()メソッドと構成ドキュメントを使用してレプリカセットを開始します。
rs.initiate( { _id: "myReplSet", configsvr: true, members: [ { _id : 0, host : "cfg1.example.net:27019" }, { _id : 1, host : "cfg2.example.net:27019" }, { _id : 2, host : "cfg3.example.net:27019" } ] } )
コンフィギュレーションサーバーのレプリカセット(CSRS)を初期化し、起動したら、シャード レプリカセットの作成に進みます。
シャード レプリカセットの作成
本番環境には、少なくとも 3 つのノードを含むレプリカセットをデプロイします。テスト用に、シングルノードのレプリカセットを作成できます。
これらの手順には、シャード ローカル ユーザーを追加するための任意の手順が含まれています。 これらを実行すると、各シャードで利用できるユーザーがシャードレベルのメンテナンスを実行できるようになります。
アクセス制御を有効にしてレプリカセットの各ノードを起動します。
keyFileパラメータを使用してmongodを実行すると、自己管理型配置で 自己管理型内部認証とメンバーシップ認証とロールベースのアクセス制御 の両方が強制されます。
構成ファイルまたはコマンドラインのいずれかを使用して、レプリカセット内の各mongodを起動します。
構成ファイル
構成ファイルを使用する場合は、 security.keyFileオプションをキーファイルのパスに設定し、 replication.replSetNameをレプリカセットの名前に設定し、 sharding.clusterRoleオプションをshardsvrに設定します。
security: keyFile: <path-to-keyfile> sharding: clusterRole: shardsvr replication: replSetName: <replSetName> storage: dbPath: <path>
構成に必要な追加オプションを含めます。 たとえば、リモート クライアントを使用して配置に接続する場合や、配置ノードを異なるホスト上で実行する場合は、 net.bindIp設定を指定します。
--configオプションと構成ファイルへのパスを指定して、mongod を起動します。
mongod --config <path-to-config-file>
コマンドライン
コマンドライン オプションを使用する場合は、コンポーネントを起動するときに、次の例のように--keyFile 、 replSet 、 --shardsvrパラメーターを指定します。
mongod --keyFile <path-to-keyfile> --shardsvr --replSet <replSetName> --dbpath <path>
構成に必要な追加オプションを含めます。 たとえば、リモート クライアントを配置に接続する場合、または配置ノードを異なるホスト上で実行する場合は、 --bind_ipを指定します。
ローカルホスト インターフェースを介してレプリカセットのノードに接続します。
mongosh をローカルホスト インターフェース経由で mongod インスタンスの 1 つに接続します。mongosh は mongod インスタンスと同じ物理マシン上で実行する必要があります。
配置用のユーザーが作成されていないため、ローカルホスト インターフェースのみ使用できます。最初のユーザーが作成された後に、 ローカルホスト インターフェースは閉じます。
レプリカセットを開始します。
mongoshから、 rs.initiate()メソッドを実行します。
rs.initiate() は、オプションのレプリカセット構成ドキュメントを指定できます。レプリカセット構成ドキュメントには、次を含めます。
_idは、replication.replSetNameまたは--replSetオプションのいずれかで指定されたレプリカセット名に設定されます。レプリカセットの各ノードごとのドキュメントを含む
members配列
次の例では、3 つのノードがあるレプリカセットを初期化します。
rs.initiate( { _id : "myReplSet", members: [ { _id : 0, host : "s1-mongo1.example.net:27018" }, { _id : 1, host : "s1-mongo2.example.net:27018" }, { _id : 2, host : "s1-mongo3.example.net:27018" } ] } )
rs.initiate()は、選挙をトリガーし、ノードの 1 つをプライマリとして選出します。
続行する前にプライマリに接続します。プライマリ ノードを見つけるには、rs.status() を使用します。
シャード ローカル ユーザー管理者を作成します(任意)。
重要
最初のユーザーを作成すると、localhost 例外は利用できなくなります。
最初のユーザーには、 userAdminAnyDatabaseを持つユーザーなど、他のユーザーを作成する特権を付与する必要があります。 これにより、自己管理型配置の Localhost 例外 が終了した後に追加のユーザーを作成できるようになります。
少なくとも 1 人ユーザーを作成できる権限を持つユーザーがいない場合、localhost 例外が終了すると、権限を持ったユーザーを新規作成、または既存ユーザーの権限を編集できなくなり、必要な操作にアクセスできなくなる可能性があります。
db.createUser() メソッドを使用してユーザーを追加します。このユーザーには、admin データベース上で userAdminAnyDatabase 以上のロールを付与する必要があります。
ユーザーを作成するには、プライマリに接続する必要があります。
次の例では、ユーザー fred を作成し、admin データベースに対して userAdminAnyDatabase ロールを付与しています。
重要
パスワードは、システムのセキュリティを確保し、悪意のあるアクセスを防止または遅延させるために、ランダムで長く、複雑なものにする必要があります。
Tip
メソッドやコマンドの呼び出しでパスワードを直接指定する代わりに、 passwordPrompt()メソッドをさまざまなユーザー認証や管理のメソッドやコマンドと組み合わせて使用すると、パスワードの入力を求めることができます。 ただし、 mongo shell の以前のバージョンと同様にパスワードを直接指定することもできます。
admin = db.getSiblingDB("admin") admin.createUser( { user: "fred", pwd: passwordPrompt(), // or cleartext password roles: [ { role: "userAdminAnyDatabase", db: "admin" } ] } )
パスワードの入力を求められたら、入力します。 データベース管理操作に関連する組み込みロールの完全なリストについては、「データベースユーザー ロール」を参照してください。
シャード ローカル ユーザー管理者として認証します(任意)。
admin データベースで認証を行います。
mongoshでは、 db.auth()を使用して認証します。 たとえば、次の例では、ユーザー管理者fredとして認証します。
Tip
メソッドやコマンドの呼び出しでパスワードを直接指定する代わりに、 passwordPrompt()メソッドをさまざまなユーザー認証や管理のメソッドやコマンドと組み合わせて使用すると、パスワードの入力を求めることができます。 ただし、 mongo shell の以前のバージョンと同様にパスワードを直接指定することもできます。
db.getSiblingDB("admin").auth("fred", passwordPrompt()) // or cleartext password
または、-u <username>、-p <password>、--authenticationDatabase パラメータを使用して、新しい mongosh インスタンスをプライマリ レプリカセット ノードに接続します。
mongosh -u "fred" -p --authenticationDatabase "admin"
シャード ローカル クラスター管理者を作成します(任意)。
シャード ローカル クラスターの管理者ユーザーには、レプリケーション操作へのアクセスを許可する特権を付与するclusterAdminロールがあります。
レプリカセットの操作に関連するロールの完全なリストについては、「クラスター管理ロール 」を参照してください。
クラスター管理者ユーザーを作成し、admin データベースでの clusterAdmin ロールを割り当てます。
Tip
メソッドやコマンドの呼び出しでパスワードを直接指定する代わりに、 passwordPrompt()メソッドをさまざまなユーザー認証や管理のメソッドやコマンドと組み合わせて使用すると、パスワードの入力を求めることができます。 ただし、 mongo shell の以前のバージョンと同様にパスワードを直接指定することもできます。
db.getSiblingDB("admin").createUser( { "user" : "ravi", "pwd" : passwordPrompt(), // or cleartext password roles: [ { "role" : "clusterAdmin", "db" : "admin" } ] } )
パスワードの入力を求められたら、入力します。
レプリカセットとシャーディングされたクラスターの操作に関連する組み込みロールの完全なリストについては、「クラスター管理ロール」を参照してください。
mongosシャーディングされたクラスターへの の接続
mongosをクラスターに接続する
構成ファイルまたはコマンドライン パラメータを使用してキーファイルを指定してmongosを起動します。
構成ファイル
構成ファイルを使用する場合は、 security.keyFileをキーファイルのパスに設定し、 sharding.configDBをレプリカセット名とレプリカセットの少なくとも 1 つのノードに<replSetName>/<host:port>形式で設定します。
security: keyFile: <path-to-keyfile> sharding: configDB: <configReplSetName>/cfg1.example.net:27019,cfg2.example.net:27019,...
構成に必要な追加オプションを含めます。 たとえば、リモート クライアントを使用して配置に接続する場合や、配置ノードを異なるホスト上で実行する場合は、 net.bindIp設定を指定します。
--configオプションと構成ファイルへのパスを指定して、mongos を起動します。
mongos --config <path-to-config>
コマンドライン
コマンドラインmongos --keyFile--configdbパラメータを使用する場合は、 を起動し、 パラメータと パラメータを指定します。
mongos --keyFile <path-to-keyfile> --configdb <configReplSetName>/cfg1.example.net:27019,cfg2.example.net:27019,...
構成に必要な追加オプションを含めます。 たとえば、リモート クライアントを配置に接続する場合、または配置ノードを異なるホスト上で実行する場合は、 --bind_ipを指定します。
mongosローカルホスト インターフェースを介して に接続します。
mongosh をローカルホスト インターフェース経由で mongos インスタンスの 1 つに接続します。mongosh は mongos インスタンスと同じ物理マシン上で実行する必要があります。
配置用のユーザーが作成されていないため、ローカルホスト インターフェースのみ使用できます。最初のユーザーが作成された後に、 ローカルホスト インターフェースは閉じます。
ユーザー管理者を作成します。
重要
最初のユーザーを作成すると、localhost 例外は利用できなくなります。
最初のユーザーには、 userAdminAnyDatabaseを持つユーザーなど、他のユーザーを作成する特権を付与する必要があります。 これにより、自己管理型配置の Localhost 例外 が終了した後に追加のユーザーを作成できるようになります。
少なくとも 1 人ユーザーを作成できる権限を持つユーザーが いない場合、localhost 例外が終了するとユーザーの作成や変更ができなくなり、必要な操作が実行できなくなる可能性があります。
db.createUser() メソッドを使用してユーザーを追加します。このユーザーには、admin データベース上で userAdminAnyDatabase 以上のロールを付与する必要があります。
重要
パスワードは、システムのセキュリティを確保し、悪意のあるアクセスを防止または遅延させるために、ランダムで長く、複雑なものにする必要があります。
次の例では、 adminデータベースにユーザーfredを作成しています。
Tip
メソッドやコマンドの呼び出しでパスワードを直接指定する代わりに、 passwordPrompt()メソッドをさまざまなユーザー認証や管理のメソッドやコマンドと組み合わせて使用すると、パスワードの入力を求めることができます。 ただし、 mongo shell の以前のバージョンと同様にパスワードを直接指定することもできます。
admin = db.getSiblingDB("admin") admin.createUser( { user: "fred", pwd: passwordPrompt(), // or cleartext password roles: [ { role: "userAdminAnyDatabase", db: "admin" } ] } )
データベース管理操作に関連する組み込みロールの全リストは、「データベースユーザー ロール」を参照してください。
ユーザー管理者として認証します。
ユーザー管理者として認証し、追加のユーザーを作成するには、次のようにしdb.auth() 。
Tip
メソッドやコマンドの呼び出しでパスワードを直接指定する代わりに、 passwordPrompt()メソッドをさまざまなユーザー認証や管理のメソッドやコマンドと組み合わせて使用すると、パスワードの入力を求めることができます。 ただし、 mongo shell の以前のバージョンと同様にパスワードを直接指定することもできます。
db.getSiblingDB("admin").auth("fred", passwordPrompt()) // or cleartext password
パスワードの入力を求められたら、入力します。
または、 -u <username> 、 -p <password> 、 --authenticationDatabase "admin"パラメータを使用して、新しいmongoshセッションを対象レプリカセット ノードに接続します。 に接続するには 、 自己管理型配置で Localhost 例外 をmongos 使用する必要があります。
mongosh -u "fred" -p --authenticationDatabase "admin"
クラスターマネジメントの管理ユーザーの作成
クラスター管理者ユーザーには、レプリケーションとシャーディング操作へのアクセスを許可するclusterAdminロールがあります。
adminデータベースにclusterAdminユーザーを作成します。
次の例では、 adminデータベースにユーザーraviを作成しています。
重要
パスワードは、システムのセキュリティを確保し、悪意のあるアクセスを防止または遅延させるために、ランダムで長く、複雑なものにする必要があります。
Tip
メソッドやコマンドの呼び出しでパスワードを直接指定する代わりに、 passwordPrompt()メソッドをさまざまなユーザー認証や管理のメソッドやコマンドと組み合わせて使用すると、パスワードの入力を求めることができます。 ただし、 mongo shell の以前のバージョンと同様にパスワードを直接指定することもできます。
db.getSiblingDB("admin").createUser( { "user" : "ravi", "pwd" : passwordPrompt(), // or cleartext password roles: [ { "role" : "clusterAdmin", "db" : "admin" } ] } )
レプリカセットとシャーディングされたクラスターの操作に関連する組み込みロールの完全なリストについては、「クラスター管理ロール」を参照してください。
追加のユーザーを作成します(任意)。
ユーザーを作成して、クライアントがシャーディングされたクラスターに接続してアクセスできるようにします。 使用可能な組み込みロールについては、「 データベースユーザーのロール 」を参照してください。たとえば、 readやreadWriteなどです。 また、管理ユーザーを追加することもできます。 ユーザーの詳細については、「自己管理型配置のユーザー 」を参照してください。
追加のユーザーを作成するには、 userAdminAnyDatabaseまたはuserAdminロールを持つユーザーとして認証する必要があります。
クラスターへのシャードの追加
続行するには、 mongosに接続し、シャーディングされたクラスターのクラスター管理者ユーザーとして認証する必要があります。
注意
これは、シャード クラスターのクラスター管理者であり、シャード ローカル クラスター管理者ではありません。
各シャードをクラスターに追加するには、 sh.addShard()メソッドを使用します。 シャードがレプリカセットである場合は、レプリカセットの名前を指定し、セットのノードを指定します。 本番環境の配置では、すべてのシャードはレプリカセットである必要があります。
次の操作では、単一のシャード レプリカセットをクラスターに追加します。
sh.addShard( "<replSetName>/s1-mongo1.example.net:27017")
次の操作は、スタンドアロンのmongodシャードをクラスターに追加する例です。
sh.addShard( "s1-mongo1.example.net:27017")
クラスターにすべてのシャードが含まれるまで、これらの手順を繰り返します。 この時点で、シャーディングされたクラスターは、クラスター、およびシャーディングされた各クラスター コンポーネント間の内部通信に対してアクセス制御を強制します。
コレクションのシャーディング
続行するには、 mongosに接続し、シャーディングされたクラスターのクラスター管理者ユーザーとして認証する必要があります。
注意
これは、シャード クラスターのクラスター管理者であり、シャード ローカル クラスター管理者ではありません。
コレクションをシャーディングするには、 sh.shardCollection()メソッドを使用します。 コレクションの完全な名前空間と、シャードキーを含むドキュメントを指定する必要があります。
シャードキーの選択は、シャーディングの効率だけでなく、ゾーンなどの特定のシャーディング機能を利用する能力にも影響します。 「シャードキーの選択 」に記載されている選択に関する考慮事項を参照してください。
コレクションにすでにデータが含まれている場合は、 を使用する前に、 メソッドを使用して シャードキー db.collection.createIndex()shardCollection()にインデックスを作成する必要があります。
コレクションが空の場合、MongoDB はsh.shardCollection()の一部としてインデックスを作成します。
以下は、 sh.shardCollection()メソッドの例です。
sh.shardCollection("<database>.<collection>", { <key> : <direction> } )
次のステップ
ユーザーを作成して、クライアントがシャーディングされたクラスターに接続して交流できるようにします。
読み取り専用ユーザーや読み取り/書込みユーザーの作成に使用する基本的な組み込みロールについては、「データベースユーザーのロール」を参照してください。
x.509 内部認証
x の使用の詳細については、 を参照してください。内部認証用の509はx を使用する を参照してください。自己管理型 MongoDB によるメンバーシップ認証の509証明書。
キーファイルによる内部認証から x にアップグレードします。 509内部認証については、「自己管理型 MongoDB をキーファイル認証から x にアップグレードする 」を参照してください。 509認証。