Docs Menu
Docs Home
/
MongoDB 매뉴얼
/ / / /

자체 관리형 샤딩된 클러스터를 키 파일 인증으로 업데이트

이 페이지의 내용

  • 개요
  • 고려 사항
  • 시작하기 전에
  • 절차
  • x.509 내부 인증

샤딩된 클러스터 에 대한 액세스 제어를 적용하려면 다음을 구성해야 합니다.

이 튜토리얼에서는 샤딩된 클러스터의 각 멤버가 반드시 동일한 내부 인증 메커니즘과 설정을 사용해야 합니다. 즉, 클러스터의 mongosmongod 각각에 내부 인증을 시행해야 합니다.

다음 튜토리얼에서는 키 파일을 사용하여 내부 인증을 활성화합니다.

내부 인증을 설정하면 사용자 액세스 제어도 강화됩니다. 복제본 세트에 연결하려면 mongosh 와 같은 클라이언트는 사용자 계정 을 사용해야 합니다. 액세스 제어를 참조하세요.

Cloud Manager 또는 Ops Manager가 배포를 관리하는 경우 내부 인증이 자동으로 시행됩니다.

관리형 배포에서 액세스 제어를 구성하려면 Cloud Manager 매뉴얼 또는 MongoDB Ops Manager 매뉴얼에서 Configure Access Control for MongoDB Deployments 를 참조하세요.

중요

변경된 IP 주소로 인해 구성이 업데이트되는 것을 방지하려면 IP 주소 대신 DNS 호스트 이름을 사용하세요. 특히 복제본 세트 구성원 또는 샤딩된 클러스터 구성원을 구성할 때 IP 주소 대신 DNS 호스트 이름을 사용하는 것이 중요합니다.

IP 주소 대신 호스트 이름을 사용하여 스플릿 네트워크 호라이즌 전반에 걸쳐 클러스터를 구성하세요. MongoDB 5.0부터 IP 주소로만 구성된 노드는 스타트업 유효성 검사에 실패하며 시작되지 않습니다.

2} 및mongod mongos MongoDB localhost 바이너리는 기본적으로 에 바인딩됩니다.

이 자습서에서는 주로 mongod 프로세스를 참조합니다. 윈도우 사용자는 mongod.exe 프로그램을 대신 사용해야 합니다.

키 파일은 최소한의 보안 형태이며, 테스트 또는 개발 환경에 가장 적합합니다. 프로덕션 환경에서는 x.509 인증서를 사용하는 것이 좋습니다.

이 자습서는 admin 데이터베이스에 최소한의 관리 사용자를 만드는 방법만 다룹니다. 사용자 인증에는 기본 SCRAM 인증 메커니즘을 사용합니다. 시도-응답 보안 메커니즘은 테스트 또는 개발 환경에 가장 적합합니다. 프로덕션 환경의 경우 x.509 인증서 또는 자체 관리형 LDAP 프록시 인증(MongoDB Enterprise에서만 사용 가능) 또는 자체 관리형 배포에서 Kerberos 인증(MongoDB Enterprise에서만 사용 가능)을 사용하는 것이 좋습니다.

특정 인증 메커니즘에 대한 사용자 생성에 대한 자세한 내용은 특정 인증 메커니즘 페이지를 참조하세요.

사용자 생성 및 관리에 대한 권장사항은 ➤ 역할 기반 액세스 제어 구성을 참조하세요.

일반적으로 샤딩된 클러스터에 대한 사용자를 생성하려면 mongos에 연결하여 샤딩된 클러스터 사용자를 추가합니다.

그러나 일부 유지 관리 작업에는 샤딩된 클러스터의 특정 샤드에 대한 직접 연결이 필요합니다. 이러한 작업을 수행하려면 샤드에 직접 연결하고 샤드 로컬 관리 사용자로 인증해야 합니다.

샤드 로컬 사용자는 특정 샤드 에만 존재하며 샤드별 유지 관리 및 구성에만 사용해야 합니다. 샤드 로컬 사용자로는 mongos 에 연결할 수 없습니다.

자세한 내용은 자체 관리 배포서버의 사용자 보안 문서를 참조하세요.

액세스 제어를 적용하기 위해 샤드 cluster를 업그레이드하려면 다운타임이 필요합니다.

MongoDB 8.0 부터는 directShardOperations 역할 을 사용하여 샤드 에 대해 직접 명령을 실행해야 하는 유지 관리 작업을 수행할 수 있습니다.

경고

directShardOperations 역할 을 사용하여 명령을 실행하면 클러스터 가 올바르게 작동하지 않고 데이터가 손상될 수 있습니다. directShardOperations 역할 은 유지 관리 목적으로만 사용하거나 MongoDB 지원 의 지침 에 따라 사용하세요. 유지 관리 작업 수행이 완료되면 directShardOperations 역할 사용을 중지합니다.

1

키 파일 인증을 사용하면 샤딩된 클러스터의 각 mongod 또는 mongos 인스턴스는 배포에서 다른 멤버를 인증하기 위한 공유 암호로 키 파일의 내용을 사용합니다. 올바른 키 파일을 가진 mongod 또는 mongos 인스턴스만 샤딩된 클러스터에 참여할 수 있습니다.

참고

내부 멤버십 인증을 위한 키파일은 YAML 형식을 사용해 키파일에 여러 키를 허용합니다. YAML 형식은 다음 중 하나를 허용합니다.

  • 단일 키 문자열(이전 버전과 동일)

  • 키 문자열의 순서

YAML 형식은 텍스트 파일 형식을 사용하는 기존의 단일 키 키파일과 호환됩니다.

키 길이는 6~1024자 사이여야 하며 base64 세트의 문자만 포함할 수 있습니다. 샤딩된 클러스터의 모든 멤버는 하나 이상의 공통 키를 공유해야 합니다.

참고

UNIX 시스템에서는 키 파일에 그룹 또는 월드 권한이 없어야 합니다. Windows 시스템에서는 키 파일 권한이 확인되지 않습니다.

원하는 방법을 사용하여 키 파일을 생성할 수 있습니다. 예를 들어 다음 작업에서는 openssl 사용하여 공유 암호로 사용할 복잡한 의사 난수 1024자 문자열을 생성합니다. 그런 다음 chmod 사용하여 파일 소유자에게만 읽기 권한을 제공하도록 파일 권한을 변경합니다.

openssl rand -base64 756 > <path-to-keyfile>
chmod 400 <path-to-keyfile>

키파일 사용에 대한 추가 세부 정보 및 요구 사항은 키파일을 참조하세요.

2

cluster의 mongod 또는 mongos 구성 요소를 호스팅하는 모든 서버에는 키 파일 복사본이 포함되어 있어야 합니다.

샤딩된 클러스터 멤버를 호스팅하는 각 서버에 키 파일을 복사합니다. mongod 또는 mongos 인스턴스를 실행하는 사용자가 파일의 소유자이며 키 파일에 액세스할 수 있도록 합니다.

USB 드라이브 또는 네트워크 연결 저장 장치와 같이 mongod 또는 mongos인스턴스를 호스팅하는 하드웨어에서 쉽게 분리될 수 있는 저장 매체에 키 파일을 저장하지 마세요.

3

mongoshmongos 에 연결합니다.

sh.stopBalancer()

마이그레이션이 진행 중인 경우 밸런서가 즉시 중지되지 않을 수 있습니다. sh.stopBalancer() 메서드는 balancer가 중지될 때까지 shell을 차단합니다.

MongoDB 6.0.3부터 자동 청크 분할이 수행되지 않습니다. 이는 밸런싱 정책 개선 때문입니다. 자동 분할 명령이 여전히 존재하지만 작업을 수행하지 않습니다.

MongoDB 6.0.3 이전 버전에서 sh.stopBalancer()는 샤딩된 클러스터에 대한 자동 분할도 비활성화합니다.

sh.getBalancerState() 를 사용하여 밸런서가 중지되었는지 확인합니다.

sh.getBalancerState()

중요

밸런서 실행이 중지될 때까지 진행하지 마세요.

cluster 밸런서 동작 구성에 대한 튜토리얼은 cluster 밸런서 managed 를 참조하세요.

4

mongosh 를 각 mongos 에 연결하고 종료합니다.

admin 데이터베이스에서 db.shutdownServer() 메서드를 사용하여 mongos 을(를) 안전하게 종료합니다.

db.getSiblingDB("admin").shutdownServer()

cluster의 모든 mongos 인스턴스가 오프라인 상태가 될 때까지 반복합니다.

이 단계가 완료되면 cluster의 모든 mongos 인스턴스가 오프라인 상태여야 합니다.

5

config 서버 mongosh 배포의 각 에 를 연결하고 종료합니다.mongod

config 서버 배포의 경우 복제본 세트 프라이머리 멤버를 마지막으로 종료합니다.

admin 데이터베이스에서 db.shutdownServer() 메서드를 사용하여 mongod 을(를) 안전하게 종료합니다.

db.getSiblingDB("admin").shutdownServer()

모든 config 서버가 오프라인 상태가 될 때까지 반복합니다.

6

각 샤드 복제본 세트에 대해 mongosh 를 복제본 세트의 각 mongod 멤버에 연결하고 종료합니다. 프라이머리 멤버를 마지막으로 종료합니다.

admin 데이터베이스에서 db.shutdownServer() 메서드를 사용하여 mongod 을(를) 안전하게 종료합니다.

db.getSiblingDB("admin").shutdownServer()

모든 샤드 복제본 세트의 모든 mongod 인스턴스가 오프라인이 될 때까지 각 샤드 복제본 세트에 대해 이 단계를 반복합니다.

이 단계가 완료되면 샤드 cluster 전체가 오프라인 상태가 됩니다.

7

config 서버 복제본 세트 에서 mongod 를 시작합니다. keyFile 설정을 포함합니다. keyFile 설정은 자체 관리 배포서버에서 자체 관리 내부/멤버십 인증역할 기반 액세스 제어를 모두 적용합니다.

구성 파일이나 명령줄을 통해 mongod 설정을 지정할 수 있습니다.

구성 파일

구성 파일 을 사용하는 경우 config 서버 복제본 세트에 대해 security.keyFile 키 파일의 경로로, sharding.clusterRoleconfigsvr 로, replication.replSetName 를 config 서버 복제본 세트의 이름으로 설정합니다.

security:
keyFile: <path-to-keyfile>
sharding:
clusterRole: configsvr
replication:
replSetName: <setname>
storage:
dbpath: <path>

구성에 필요한 추가 옵션을 포함합니다. 예를 들어 원격 클라이언트가 배포에 연결하거나 배포 멤버가 다른 호스트에서 실행되도록 하려면 net.bindIp 설정을 지정하세요.

--config 옵션과 구성 파일 경로를 지정하여 mongod를 시작합니다.

mongod --config <path-to-config>

명령줄

명령줄 매개변수를 사용하는 경우 config 서버 복제본 세트에 대해 -keyFile, --configsvr--replSet 매개변수를 사용하여 mongod 를 시작합니다.

mongod --keyFile <path-to-keyfile> --configsvr --replSet <setname> --dbpath <path>

구성에 필요한 추가 옵션을 포함합니다. 예를 들어 원격 클라이언트를 배포에 연결하거나 배포 구성원이 다른 호스트에서 실행되도록 하려면 --bind_ip 를 지정합니다.

명령줄 옵션에 대한 자세한 내용은 mongod 참고 페이지를 참조하세요.

각 멤버를 다시 시작할 때 원래 복제본 세트 이름을 사용해야 합니다. 복제본 세트의 이름은 변경할 수 없습니다.

8

keyFile 매개 변수와 함께 mongod 를 실행하면 자체 관리 배포서버에서 자체 관리 내부/멤버십 인증역할 기반 액세스 제어가 모두 적용됩니다.

구성 파일 또는 명령줄을 사용하여 복제본 세트의 mongod를 시작합니다.

구성 파일

구성 파일 을 사용하는 경우 security.keyFile 옵션을 키 파일의 경로로 설정하고 replication.replSetName 옵션을 복제본 세트의 원래 이름으로 설정합니다.

security:
keyFile: <path-to-keyfile>
replication:
replSetName: <setname>
storage:
dbPath: <path>

구성에 필요한 추가 옵션을 포함합니다. 예를 들어 원격 클라이언트가 배포에 연결하거나 배포 멤버가 다른 호스트에서 실행되도록 하려면 net.bindIp 설정을 지정하세요.

--config 옵션과 구성 파일 경로를 지정하여 mongod를 시작합니다.

mongod --config <path-to-config-file>

명령줄

명령줄 매개변수를 사용하는 경우 mongod 를 시작하고 --keyFile--replSet 매개변수를 지정합니다.

mongod --keyfile <path-to-keyfile> --replSet <setname> --dbpath <path>

구성에 필요한 추가 옵션을 포함합니다. 예를 들어 원격 클라이언트를 배포에 연결하거나 배포 구성원이 다른 호스트에서 실행되도록 하려면 --bind_ip 를 지정합니다.

시작 매개변수에 대한 자세한 내용은 mongod 참조 페이지를 참조하세요.

각 멤버를 다시 시작할 때 원래 복제본 세트 이름을 사용해야 합니다. 복제본 세트의 이름은 변경할 수 없습니다.

cluster의 모든 샤드가 온라인 상태가 될 때까지 이 단계를 반복합니다.

9

중요

자체 관리 배포서버의 로컬 호스트 예외를 사용하면 로컬 호스트 인터페이스를 통해 연결된 클라이언트가 mongod 에서 사용자를 만들 수 있도록 액세스 제어를 적용할 수 있습니다. 첫 번째 사용자를 생성한 후 자체 관리 배포서버의 로컬 호스트 예외 가 종료됩니다.

첫 번째 사용자는 userAdminAnyDatabase와 같은 다른 사용자를 만들 수 있는 권한이 있어야 합니다. 이렇게 하면 자체 관리형 배포의 Localhost 예외가 종료된 후 추가 사용자를 생성할 수 있습니다.

하나 이상의 사용자에게 사용자를 생성할 권한이 없는 경우 localhost 예외가 종료되면 새 권한으로 사용자를 생성하거나 수정할 수 없으므로 특정 기능이나 작업에 액세스하지 못할 수 있습니다.

클러스터의 각 샤드 복제본 세트에 대해 mongosh 로컬 호스트 인터페이스 를 통해 를 프라이머리 멤버에 연결합니다. 로컬 호스트 인터페이스를 사용하려면 mongod 대상 와 동일한 머신에서 mongosh 를 실행해야 합니다.

admin 데이터베이스 에서 userAdminAnyDatabase 역할 을 가진 사용자를 만듭니다. 이 사용자는 필요에 따라 샤드 복제본 세트 에 대한 추가 사용자를 생성할 수 있습니다. 이 사용자를 만들면 자체 관리 배포서버에서 로컬 호스트 예외도 닫힙니다.

다음 예에서는 admin 데이터베이스에 샤드 로컬 사용자 fred 를 생성합니다.

중요

시스템 보안을 보장하고 악의적인 액세스를 방지하거나 지연하려면 암호는 임의적이고 길며 복잡해야 합니다.

메서드/명령 호출에서 암호를 직접 지정하는 대신 passwordPrompt() 메서드를 다양한 사용자 인증/관리 메서드/명령과 함께 사용하여 암호를 묻는 메시지를 표시할 수 있습니다. 그러나 이전 버전의 mongo 셸에서와 마찬가지로 비밀번호를 직접 지정할 수도 있습니다.

admin = db.getSiblingDB("admin")
admin.createUser(
{
user: "fred",
pwd: passwordPrompt(), // or cleartext password
roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]
}
)
10

keyFile 매개 변수와 함께 mongod 를 실행하면 자체 관리 배포서버에서 자체 관리 내부/멤버십 인증역할 기반 액세스 제어가 모두 적용됩니다.

구성 파일 또는 명령줄을 사용하여 복제본 세트의 mongos를 시작합니다.

구성 파일

구성 파일 을 사용하는 경우 security.keyFile 를 키 파일 경로로 설정하고 sharding.configDB 를 복제본 세트 이름과 하나 이상의 복제본 세트 멤버로 <replSetName>/<host:port> 형식으로 설정합니다.

security:
keyFile: <path-to-keyfile>
sharding:
configDB: <configReplSetName>/cfg1.example.net:27019,cfg2.example.net:27019,...

구성에 필요한 추가 옵션을 포함합니다. 예를 들어 원격 클라이언트가 배포에 연결하거나 배포 멤버가 다른 호스트에서 실행되도록 하려면 net.bindIp 설정을 지정하세요.

--config 옵션과 구성 파일 경로를 지정하여 mongos를 시작합니다.

mongos --config <path-to-config-file>

명령줄

명령줄 매개 변수를 사용하는 경우 mongos를 시작하고 --keyFile--configdb 매개 변수를 지정합니다.

mongos --keyFile <path-to-keyfile> --configdb <configReplSetName>/cfg1.example.net:27019,cfg2.example.net:27019,...

구성에 필요한 추가 옵션을 포함합니다. 예를 들어 원격 클라이언트를 배포에 연결하거나 배포 구성원이 다른 호스트에서 실행되도록 하려면 --bind_ip 를 지정합니다.

이 시점에서 전체 샤드 클러스터는 다시 온라인 상태가 되며 지정된 키 파일을 사용하여 내부적으로 통신할 수 있습니다. 그러나 mongosh 와 같은 외부 프로그램은 클러스터에 읽거나 쓰려면 올바르게 프로비저닝된 사용자를 사용해야 합니다.

11

localhost 인터페이스를 통해 mongoshmongos 인스턴스 중 하나에 연결합니다. mongos 인스턴스와 동일한 물리적 컴퓨터에서 mongosh를 실행해야 합니다.

배포를 위해 생성된 사용자가 없기 때문에 로컬 호스트 인터페이스를 사용할 수 있습니다. 첫 번째 사용자 생성 후 localhost 인터페이스는 닫힙니다.

12

중요

첫 번째 사용자를 만든 후에는 로컬 호스트 예외를 더 이상 사용할 수 없습니다.

첫 번째 사용자는 userAdminAnyDatabase와 같은 다른 사용자를 만들 수 있는 권한이 있어야 합니다. 이렇게 하면 자체 관리형 배포의 Localhost 예외가 종료된 후 추가 사용자를 생성할 수 있습니다.

사용자를 생성할 권한이 없는 사용자가 한 명 이상인 경우, 로컬 호스트 예외가 종료되면 사용자를 생성하거나 수정할 수 없으므로 필요한 작업을 수행하지 못할 수 있습니다.

db.createUser() 메서드를 사용하여 사용자를 추가합니다. 사용자는 admin 데이터베이스에서 최소한 userAdminAnyDatabase 역할을 갖고 있어야 합니다.

중요

시스템 보안을 보장하고 악의적인 액세스를 방지하거나 지연하려면 암호는 임의적이고 길며 복잡해야 합니다.

다음 예시에서는 admin 데이터베이스에 사용자 fred를 생성합니다.

메서드/명령 호출에서 암호를 직접 지정하는 대신 passwordPrompt() 메서드를 다양한 사용자 인증/관리 메서드/명령과 함께 사용하여 암호를 묻는 메시지를 표시할 수 있습니다. 그러나 이전 버전의 mongo 셸에서와 마찬가지로 비밀번호를 직접 지정할 수도 있습니다.

admin = db.getSiblingDB("admin")
admin.createUser(
{
user: "fred",
pwd: passwordPrompt(), // or cleartext password
roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]
}
)

기본 제공 역할 및 데이터베이스 관리 작업과 관련된 역할의 전체 목록은 데이터베이스 사용자 역할에서 확인하세요.

13

db.auth()를 사용하여 사용자 관리자로 인증해 추가 사용자를 생성합니다.

메서드/명령 호출에서 암호를 직접 지정하는 대신 passwordPrompt() 메서드를 다양한 사용자 인증/관리 메서드/명령과 함께 사용하여 암호를 묻는 메시지를 표시할 수 있습니다. 그러나 이전 버전의 mongo 셸에서와 마찬가지로 비밀번호를 직접 지정할 수도 있습니다.

db.getSiblingDB("admin").auth("fred", passwordPrompt()) // or cleartext password

메시지가 표시되면 비밀번호를 입력합니다.

또는 -u <username>, -p <password>--authenticationDatabase "admin" 매개변수를 사용하여 새 mongosh 세션을 대상 복제본 세트 멤버에 연결합니다. 에 연결하려면 자체 관리 배포서버에서 로컬 호스트 예외를 mongos 사용해야 합니다.

mongosh -u "fred" -p --authenticationDatabase "admin"

-p 명령줄 옵션에 비밀번호를 지정하지 않으면 mongosh(이)가 비밀번호를 묻는 메시지를 표시합니다.

14

cluster 관리자 사용자에게는 샤드 cluster에 대한 clusterAdmin 역할이 있으며, 샤드 로컬 cluster 관리자는 그렇지 않습니다 .

다음 예시에서는 admin 데이터베이스에 사용자 ravi를 생성합니다.

중요

시스템 보안을 보장하고 악의적인 액세스를 방지하거나 지연하려면 암호는 임의적이고 길며 복잡해야 합니다.

메서드/명령 호출에서 암호를 직접 지정하는 대신 passwordPrompt() 메서드를 다양한 사용자 인증/관리 메서드/명령과 함께 사용하여 암호를 묻는 메시지를 표시할 수 있습니다. 그러나 이전 버전의 mongo 셸에서와 마찬가지로 비밀번호를 직접 지정할 수도 있습니다.

db.getSiblingDB("admin").createUser(
{
"user" : "ravi",
"pwd" : passwordPrompt(), // or cleartext password
roles: [ { "role" : "clusterAdmin", "db" : "admin" } ]
}
)

복제본 세트 및 샤딩된 클러스터 작업과 관련된 기본 제공 역할의 전체 목록은 클러스터 관리 역할을 참조하세요.

15

샤딩 작업을 수행하려면 clusterAdmin db.auth() mongosh 메서드 username 또는password, 및 매개변수가 authenticationDatabase 있는 새 세션을 사용하여 사용자로 인증합니다.

참고

이는 샤딩된 클러스터의 클러스터 관리자이며, 샤드 로컬 클러스터 관리자가 아닙니다.

16

밸런서를 시작합니다.

sh.startBalancer()

MongoDB 6.0.3부터 자동 청크 분할이 수행되지 않습니다. 이는 밸런싱 정책 개선 때문입니다. 자동 분할 명령이 여전히 존재하지만 작업을 수행하지 않습니다.

MongoDB 6.0.3 이전 버전에서 sh.startBalancer()는 샤딩된 클러스터에 대한 자동 분할도 활성화합니다.

sh.getBalancerState() 를 사용하여 밸런서가 시작되었는지 확인합니다.

cluster 밸런서에 대한 튜토리얼은 cluster 밸런서 managed 에서 확인하세요.

17

클라이언트가 샤딩된 클러스터 에 연결하고 액세스 할 수 있도록 사용자를 생성합니다. 및 와 read 같은 사용 가능한 내장 제공 readWrite 역할은 데이터베이스 사용자 역할 을 참조하세요. 추가 관리 사용자가 필요할 수도 있습니다. 사용자에 대한 자세한 내용 은 자체 관리 배포서버의 사용자를 참조하세요.

추가 사용자를 생성하려면 userAdminAnyDatabase 또는 userAdmin 역할을 가진 사용자로 인증해야 합니다.

내부 인증에 x.509를 사용하는 방법에 대한 자세한 내용은 자체 관리형 MongoDB의 멤버십 인증에 x.509 인증서 사용을 참조하세요.

키 파일 내부 인증 에서 x로 업그레이드 합니다.509 내부 인증, 키 파일 인증에서 자체 관리형 MongoDB 를 x로 업그레이드를 참조하세요.509 인증.

돌아가기

샤딩된 클러스터 배포