将自管理分片集群更新为使用密钥文件进行身份验证

创建密钥文件。

在使用密钥文件身份验证时，分片集群中的每个 mongod 或 mongos 实例将密钥文件内容作为共享密码，以对部署中的其他节点进行身份验证。仅具有正确密钥文件的 mongod 或 mongos 实例可以加入分片集群。

密钥长度必须在 6 到 1,024 个字符之间，并且只能包含 base64 集合中的字符。分片集群的所有节点必须共享至少一个通用的密钥。

您可以选择任何方法生成密钥文件。例如，以下操作使用 openssl 生成复杂的伪随机 1024 字符串以用作共享密码。然后，它使用 chmod 更改文件权限，仅为文件所有者提供读取权限：

openssl rand -base64 756 > <path-to-keyfile>
chmod 400 <path-to-keyfile>

有关使用密钥文件的更多详细信息和要求，请参阅密钥文件。

将密钥文件复制到分片集群中的每个组件。

托管分片集群的mongod或mongos组件的每台服务器都必须包含密钥文件的副本。

将密钥文件复制到每台托管分片集群成员的服务器上。确保运行 mongod 或 mongos 实例的用户是文件的所有者并且可以访问密钥文件。

避免将密钥文件存储在可以轻松与托管 mongod 或 mongos 实例的硬件断开连接的存储介质上，例如 USB 驱动器或联网存储设备。

禁用负载均衡器。

将mongosh连接到mongos 。

sh.stopBalancer()

如果正在进行迁移，负载均衡器可能不会立即停止。 sh.stopBalancer()方法会阻止 Shell，直到负载均衡器停止。

从 MongoDB 4.2 开始， sh.stopBalancer()还禁用分片集群的自动分割。

使用sh.getBalancerState()验证负载均衡器是否已停止。

sh.getBalancerState()

有关配置托管集群负载均衡器行为的教程，请参阅托管集群负载均衡器。

mongos关闭分分片集群的所有 实例。

将mongosh连接到每个mongos并将其关闭。

在admin数据库上使用db.shutdownServer()方法安全关闭mongos ：

db.getSiblingDB("admin").shutdownServer()

重复此操作，直到集群中的所有mongos实例都离线。

完成此步骤后，集群中的所有mongos实例都应处于离线状态。

关闭配置服务器mongod 实例。

将mongosh连接到配置服务器部署中的每个mongod ，然后将其关闭。

对于副本集配置服务器部署，最后关闭主节点成员。

在admin数据库上使用db.shutdownServer()方法安全关闭mongod ：

db.getSiblingDB("admin").shutdownServer()

重复此操作，直到所有配置服务器都离线。

关闭分片副本集mongod 实例。

对于每个分片副本集，将mongosh连接到副本集中的每个mongod成员并将其关闭。 最后关闭主节点。

在admin数据库上使用db.shutdownServer()方法安全关闭mongod ：

db.getSiblingDB("admin").shutdownServer()

对每个分片副本集重复此步骤，直到所有分片副本集中的所有mongod实例都离线。

完成此步骤后，整个分片集群应处于离线状态。

在配置服务器上实施访问控制。

启动配置服务器副本集的每个mongod 。 包括keyFile设置。 keyFile设置在自管理部署中实施自管理内部/成员身份验证和基于角色的访问控制。

您可以通过配置文件或命令行指定 mongod 设置。

配置文件

如果使用配置文件，对于配置服务器副本集，请将security.keyFile设置为密钥文件的路径，将sharding.clusterRole设置为configsvr ，并将replication.replSetName设置为配置服务器副本集的名称。

security:
  keyFile: <path-to-keyfile>
sharding:
  clusterRole: configsvr
replication:
  replSetName: <setname>
storage:
   dbpath: <path>

根据配置要求包括其他选项。例如，如果您希望远程客户端连接到部署，或者部署节点运行在不同的主机上，请指定 net.bindIp 设置。

启动 mongod，同时指定 --config 选项和配置文件的路径。

mongod --config <path-to-config>

命令行

如果使用命令行参数，对于配置服务器副本集，请使用-keyFile 、 --configsvr和--replSet参数启动mongod 。

mongod --keyFile <path-to-keyfile> --configsvr --replSet <setname> --dbpath <path>

根据配置要求包括其他选项。例如，如果希望远程客户端连接到您的部署，或是您的部署成员运行在不同主机上，请指定 --bind_ip。

有关命令行选项的更多信息，请参阅mongod参考页面。

确保在重新启动每个成员时使用原始副本集设置名称。您无法更改副本集的名称。

对分片集群中的每个分片实施访问控制。

运行带有keyFile参数的mongod会在自管理部署中实施自管理内部/成员身份验证和基于角色的访问控制。

使用配置文件或命令行启动副本集中的每个 mongod。

配置文件

如果使用配置文件，请将security.keyFile选项设置为密钥文件的路径，并将replication.replSetName选项设置为副本集的原始名称。

security:
  keyFile: <path-to-keyfile>
replication:
  replSetName: <setname>
storage:
   dbPath: <path>

根据配置要求包括其他选项。例如，如果您希望远程客户端连接到部署，或者部署节点运行在不同的主机上，请指定 net.bindIp 设置。

启动 mongod，同时指定 --config 选项和配置文件的路径。

mongod --config <path-to-config-file>

命令行

如果使用命令行参数，请启动mongod并指定--keyFile和--replSet参数。

mongod --keyfile <path-to-keyfile> --replSet <setname> --dbpath <path>

根据配置要求包括其他选项。例如，如果希望远程客户端连接到您的部署，或是您的部署成员运行在不同主机上，请指定 --bind_ip。

有关初创企业参数的更多信息，请参阅 mongod 参考页面。

确保在重新启动每个成员时使用原始副本集设置名称。您无法更改副本集的名称。

重复此步骤，直到集群中的所有分片都在线。

创建分片本地用户管理员（可选）。

对于集群中的每个分片副本集，通过 本地主机接口mongosh 将 连接到 主 节点。您必须在与目标 相同的计算机上运行mongosh mongod，才能使用本地主机接口。

在admin数据库上创建具有userAdminAnyDatabase角色的用户。 该用户可以根据需要为分分片副本集创建其他用户。 创建此用户还会关闭自托管部署中的本地主机异常。

以下示例在admin数据库上创建分片本地用户fred 。

admin = db.getSiblingDB("admin")
admin.createUser(
  {
    user: "fred",
    pwd: passwordPrompt(),  // or cleartext password
    roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]
  }
)

mongos对 服务器实施访问控制。

运行带有keyFile参数的mongod会在自管理部署中实施自管理内部/成员身份验证和基于角色的访问控制。

使用配置文件或命令行启动副本集中的每个 mongos。

配置文件

如果使用文件，请将security.keyFile设置为密钥文件的路径，将sharding.configDB设置为副本集名称，并采用<replSetName>/<host:port>格式设置至少一个副本集节点。

security:
  keyFile: <path-to-keyfile>
sharding:
  configDB: <configReplSetName>/cfg1.example.net:27019,cfg2.example.net:27019,...

根据配置要求包括其他选项。例如，如果您希望远程客户端连接到部署，或者部署节点运行在不同的主机上，请指定 net.bindIp 设置。

启动 mongos，同时指定 --config 选项和配置文件的路径。

mongos --config <path-to-config-file>

命令行

如果使用命令行参数，则启动 mongos，并指定 --keyFile 和 --configdb 参数。

mongos --keyFile <path-to-keyfile> --configdb <configReplSetName>/cfg1.example.net:27019,cfg2.example.net:27019,...

根据配置要求包括其他选项。例如，如果希望远程客户端连接到您的部署，或是您的部署成员运行在不同主机上，请指定 --bind_ip。

此时，整个分片集群已重新联机，并且可以使用指定的密钥文件进行内部通信。 但是， mongosh等外部程序需要使用正确配置的用户才能读取或写入集群。

通过本地主机接口连接到mongos 实例。

通过本地主机接口将 mongosh 连接到一个 mongos 实例。您必须在与 mongos 实例相同的物理机器上运行 mongosh。

只有当尚未为部署创建任何用户，本地主机接口才可用。本地主机接口会在创建第一个用户后关闭。

创建用户管理员。

使用 db.createUser() 方法添加用户。该用户应在 admin 数据库中至少拥有 userAdminAnyDatabase 角色。

以下示例在 admin 数据库上创建 fred 用户：

admin = db.getSiblingDB("admin")
admin.createUser(
  {
    user: "fred",
    pwd:  passwordPrompt(),     // or cleartext password
    roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]
  }
)

有关内置角色和与数据库管理操作相关的角色的完整列表，请参阅数据库用户角色。

以用户管理员身份进行身份验证。

使用 db.auth() 以用户管理员身份进行身份验证，才能创建其他用户：

db.getSiblingDB("admin").auth("fred", passwordPrompt()) // or cleartext password

根据提示输入密码。

或者，使用-u <username> 、 -p <password>和--authenticationDatabase "admin"参数将新的mongosh会话连接到目标副本集节点。 您必须使用自托管部署中的本地主机异常来连接到mongos 。

mongosh -u "fred" -p  --authenticationDatabase "admin"

如果您没有为 -p 命令行选项指定密码，mongosh 会提示输入密码。

创建集群管理的管理用户

集群管理员用户具有分片集群的clusterAdmin角色，而不是分片本地集群管理员。

以下示例在admin数据库上创建用户ravi 。

db.getSiblingDB("admin").createUser(
  {
    "user" : "ravi",
    "pwd" : passwordPrompt(),     // or cleartext password
    roles: [ { "role" : "clusterAdmin", "db" : "admin" } ]
  }
)

请参阅集群管理角色，获取与副本集和分片集群操作相关的内置角色的完整清单。

以集群管理员身份进行身份验证。

要执行分片操作，请使用clusterAdmin db.auth()方法或带有mongosh username、 和 参数的新password 会话以authenticationDatabase 用户身份进行身份验证。

启动负载均衡器。

启动负载均衡器。

sh.startBalancer()

从 MongoDB 4.2 开始， sh.startBalancer()还为分片集群启用自动分割。

使用sh.getBalancerState()验证负载均衡器已启动。

有关分片集群负载均衡器的教程，请参阅管理分片集群负载均衡器。

创建其他用户（可选）。

创建用户以允许客户端连接和访问权限分分片集群。 有关可用的内置角色，例如 read和 ，请参阅readWrite 数据库用户角色 。您可能还需要其他管理用户。 有关用户的更多信息，请参阅自托管部署中的用户。

要创建其他用户，必须以具有 userAdminAnyDatabase 或 userAdmin 角色的用户身份进行身份验证。