키 파일 인증으로 자체 관리형 복제본 세트 업데이트

키 파일을 생성합니다.

키 파일 인증을 사용하면 복제본 세트의 각 mongod 인스턴스는 배포서버에서 다른 멤버를 인증하기 위한 공유 암호로 키 파일의 내용을 사용합니다. 올바른 키 파일을 가진 mongod 인스턴스만 복제본 세트에 참여할 수 있습니다.

키 길이는 6~1024자 사이여야 하며, base64 세트의 문자만 포함할 수 있습니다. 복제본 세트의 모든 멤버는 하나 이상의 공통 키를 공유해야 합니다.

원하는 방법을 사용하여 키 파일을 생성할 수 있습니다. 예를 들어 다음 작업에서는 openssl 사용하여 공유 암호로 사용할 복잡한 의사 난수 1024자 문자열을 생성합니다. 그런 다음 chmod 사용하여 파일 소유자에게만 읽기 권한을 제공하도록 파일 권한을 변경합니다.

openssl rand -base64 756 > <path-to-keyfile>
chmod 400 <path-to-keyfile>

키파일 사용에 대한 추가 세부 정보 및 요구 사항은 키파일을 참조하세요.

각 복제본 세트 멤버에 키 파일을 복사합니다.

복제본 세트 멤버를 호스팅하는 각 서버에 키 파일을 복사합니다. mongod 인스턴스를 실행하는 사용자가 파일의 소유자이며 키 파일에 액세스할 수 있도록 합니다.

USB 드라이브 또는 네트워크 연결 저장 장치와 같이 mongod 인스턴스를 호스팅하는 하드웨어에서 쉽게 분리될 수 있는 저장 매체에 키 파일을 저장하지 마세요.

복제본 세트의 모든 멤버를 종료합니다.

복제본 세트의 각 mongod를 세컨더리 서버부터 시작하여 종료합니다. 중재자를 포함하여 복제본 세트의 모든 멤버가 오프라인 상태가 될 때까지 계속 진행합니다. 잠재적인 롤백을 방지하려면 프라이머리가 마지막으로 종료된 멤버여야 합니다.

mongod를 종료하려면 mongosh를 사용하여 각 mongod를 연결하고 admin 데이터베이스에서 db.shutdownServer()를 실행합니다.

use admin
db.shutdownServer()

이 단계가 끝나면 복제본 세트의 모든 멤버가 오프라인 상태여야 합니다.

액세스 제어가 적용된 상태에서 복제본 세트의 각 멤버를 다시 시작합니다.

mongod security.keyFile 구성 파일 설정 또는 명령줄 --keyFile 옵션을 사용하여 복제본 세트 의 각 를 다시 시작합니다. mongod --keyFile 명령줄 옵션 또는 구성 security.keyFile 파일 설정과 함께 를 실행하면 자체 관리 배포서버에서 자체 관리 내부/멤버십 인증 및 역할 기반 액세스 제어가 모두 적용됩니다.

security:
  keyFile: <path-to-keyfile>
replication:
  replSetName: <replicaSetName>
net:
   bindIp: localhost,<hostname(s)|ip address(es)>

구성 파일을 사용하여 mongod를 시작합니다.

mongod --config <path-to-config-file>

구성 파일에 대한 자세한 내용은 구성 옵션을 참조하세요.

mongod --keyFile <path-to-keyfile> --replSet <replicaSetName> --bind_ip localhost,<hostname(s)|ip address(es)>

로컬 호스트 인터페이스를 사용하여 프라이머리에 연결합니다.

localhost 인터페이스를 통해 mongosh를 mongod 인스턴스 중 하나에 연결합니다. mongod 인스턴스와 동일한 물리적 컴퓨터에서 mongosh를 실행해야 합니다.

rs.status()를 사용하여 프라이머리 복제본 세트 멤버를 식별합니다. 프라이머리에 연결되어 있는 경우 다음 단계를 계속 진행합니다. 그렇지 않은 경우, 로컬 호스트 인터페이스를 통해 mongosh를 프라이머리에 연결합니다.

사용자 관리자를 만듭니다.

db.createUser() 메서드를 사용하여 사용자를 추가합니다. 사용자는 admin 데이터베이스에서 최소한 userAdminAnyDatabase 역할을 갖고 있어야 합니다.

사용자를 생성하려면 프라이머리에 연결되어 있어야 합니다.

다음 예에서는 admin 데이터베이스에 userAdminAnyDatabase 역할을 가진 fred 사용자를 만듭니다.

admin = db.getSiblingDB("admin")
admin.createUser(
  {
    user: "fred",
    pwd: passwordPrompt(), // or cleartext password
    roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]
  }
)

메시지가 표시되면 비밀번호를 입력합니다. 데이터베이스 관리 작업과 관련된 기본 제공 역할의 전체 목록은 데이터베이스 사용자 역할에서 확인하세요.

사용자 관리자로 인증합니다.

admin 데이터베이스에 인증합니다.

mongosh에서는 db.auth()를 사용하여 인증합니다. 예를 들어, 다음은 사용자 관리자 fred를 인증하는 방법입니다.

db.getSiblingDB("admin").auth("fred", passwordPrompt()) // or cleartext password

또는 -u <username>, -p <password> 및 --authenticationDatabase 매개 변수를 사용해 새로운 mongosh 인스턴스를 프라이머리 복제본 세트 구성원에 연결합니다.

mongosh -u "fred" -p  --authenticationDatabase "admin"

-p 명령줄 옵션에 비밀번호를 지정하지 않으면 mongosh(이)가 비밀번호를 묻는 메시지를 표시합니다.

클러스터 관리자를 생성합니다(선택 사항).

클러스터 관리자 사용자에게는 복제 작업에 대한 액세스 권한을 부여하는 clusterAdmin 역할이 있습니다.

클러스터 관리자 사용자를 만들고 admin 데이터베이스에서 clusterAdmin 역할을 할당합니다.

db.getSiblingDB("admin").createUser(
  {
    "user" : "ravi",
    "pwd" : passwordPrompt(),     // or cleartext password
    roles: [ { "role" : "clusterAdmin", "db" : "admin" } ]
  }
)

메시지가 표시되면 비밀번호를 입력합니다.

복제본 세트 작업과 관련된 기본 제공 역할의 전체 목록은 클러스터 관리 역할에서 확인하세요.

추가 사용자 만들기(선택 사항).

클라이언트가 복제본 세트에 연결하고 상호 작용할 수 있도록 사용자를 생성합니다. 읽기 전용 및 읽기/쓰기 사용자를 생성할 때 사용할 수 있는 기본 제공 역할은 데이터베이스 사용자 역할에서 확인하세요.

추가 관리 사용자가 필요할 수도 있습니다. 사용자에 대한 자세한 내용은 자체 관리 배포의 사용자를 참조하세요.