将自管理分片集群更新为使用密钥文件进行身份验证
Overview
在分片集群上执行访问权限控制需要配置:
使用内部身份验证确保集群各组件之间的安全。
在自托管部署中使用基于角色的访问控制连接客户端和集群之间的安全性。
对于本教程,分片集群的每个节点必须 使用相同的内部身份验证机制和设置。这意味着,在集群中的每个 mongos
和 mongod
上实施内部身份验证。
以下教程使用密钥文件启用内部身份验证。
实施内部身份验证还可实施用户访问控制。 要连接到副本集, mongosh
等客户端需要使用用户帐户。 请参阅访问控制。
CloudManager 和 OpsManager
如果 Cloud Manager 或 Ops Manager 正在管理您的部署,则会自动执行身份验证。
要在托管部署上配置访问控制,请参阅: Cloud Manager手册或MongoDB Ops Manager手册中的 Configure Access Control for MongoDB Deployments
。
Considerations
重要
要避免因 IP 地址变更而更新配置,请使用 DNS 主机名而非 IP 地址。在配置副本集成员或分片集群成员时,使用 DNS 主机名而非 IP 地址尤为重要。
在水平分割网络配置下,请使用主机名而非 IP 地址来配置集群。从 MongoDB 5.0 开始,仅配置了 IP 地址的节点将无法通过启动验证,因而不会启动。
IP 绑定
操作系统
本教程主要介绍 mongod
流程。Windows 用户应改用 mongod.exe
程序。
密钥文件安全
密钥文件是最低限度的安全手段,也最适合测试或开发环境。对于生产环境,建议使用 x.509 证书。
访问控制
本教程仅介绍在 admin
数据库上创建最少数量的管理用户。在用户身份验证方面,本教程使用默认的 SCRAM 身份验证机制。质询响应安全机制最适合测试或开发环境。对于生产环境,建议使用 x.509 证书或自管理 LDAP 代理身份验证(仅用于 MongoDB Enterprise)或自管理部署上的 Kerberos 身份验证(仅用于 MongoDB Enterprise)。
如需详细了解为特定认证机制创建用户,请参阅特定认证机制页面。
请参阅➤ 配置基于角色的访问控制,了解用户创建和管理的最佳实践。
用户(User)
通常,要为分片集群创建用户,请连接到 mongos
并添加分片集群用户。
不过,某些维护操作要求直接连接到分片集群中的特定分片。要执行这些操作,您必须直接连接到分片,并以分片本地管理用户身份进行身份验证。
分片本地用户仅存在于特定分分片,并且只能用于特定于分片的维护和配置。 您无法使用分片本地用户连接到mongos
。
有关更多信息,请参阅自托管部署中的用户安全文档。
宕机时间
升级分片集群以实施访问控制需要停机。
开始之前
从MongoDB 8.0开始,您可以使用directShardOperations
角色执行需要直接对分片执行命令的分片操作。
警告
使用directShardOperations
角色运行命令可能会导致集群停止正常工作,并可能导致数据损坏。 仅将directShardOperations
角色用于维护目的或在MongoDB支持的指导下使用。 执行完维护操作后,请停止使用directShardOperations
角色。
步骤
对现有分片集群部署执行密钥文件内部身份验证
创建密钥文件。
在使用密钥文件身份验证时,分片集群中的每个 mongod
或 mongos
实例将密钥文件内容作为共享密码,以对部署中的其他节点进行身份验证。仅具有正确密钥文件的 mongod
或 mongos
实例可以加入分片集群。
注意
用于内部成员身份验证的密钥文件使用 YAML 格式,允许在密钥文件中包含多个密钥。YAML 格式接受以下任一形式:
单个密钥字符串(与早期版本相同)
键字符串序列
YAML 格式与使用文本文件格式的现有单密钥文件兼容。
密钥长度必须在 6 到 1,024 个字符之间,并且只能包含 base64 集合中的字符。分片集群的所有节点必须共享至少一个通用的密钥。
注意
在 UNIX 系统上,密钥文件不得具有群组或全局权限。在 Windows 系统中,不检查密钥文件权限。
您可以选择任何方法生成密钥文件。例如,以下操作使用 openssl
生成复杂的伪随机 1024 字符串以用作共享密码。然后,它使用 chmod
更改文件权限,仅为文件所有者提供读取权限:
openssl rand -base64 756 > <path-to-keyfile> chmod 400 <path-to-keyfile>
有关使用密钥文件的更多详细信息和要求,请参阅密钥文件。
禁用负载均衡器。
sh.stopBalancer()
如果正在进行迁移,负载均衡器可能不会立即停止。 sh.stopBalancer()
方法会阻止 Shell,直到负载均衡器停止。
从 MongoDB 6.0.3 开始,不再执行自动数据块分割。这是因为均衡策略的改进。自动分割命令仍然存在,但不执行操作。
在 6.0.3 之前的 MongoDB 版本中,sh.stopBalancer()
还会禁用分片集群的自动拆分。
使用sh.getBalancerState()
验证负载均衡器是否已停止。
sh.getBalancerState()
重要
在负载均衡器停止运行之前,请勿继续。
有关配置托管集群负载均衡器行为的教程,请参阅托管集群负载均衡器。
在配置服务器上实施访问控制。
启动配置服务器副本集的每个mongod
。 包括keyFile
设置。 keyFile
设置在自管理部署中实施自管理内部/成员身份验证和基于角色的访问控制。
您可以通过配置文件或命令行指定 mongod
设置。
配置文件
如果使用配置文件,对于配置服务器副本集,请将security.keyFile
设置为密钥文件的路径,将sharding.clusterRole
设置为configsvr
,并将replication.replSetName
设置为配置服务器副本集的名称。
security: keyFile: <path-to-keyfile> sharding: clusterRole: configsvr replication: replSetName: <setname> storage: dbpath: <path>
根据配置要求包括其他选项。例如,如果您希望远程客户端连接到部署,或者部署节点运行在不同的主机上,请指定 net.bindIp
设置。
启动 mongod
,同时指定 --config
选项和配置文件的路径。
mongod --config <path-to-config>
命令行
如果使用命令行参数,对于配置服务器副本集,请使用-keyFile
、 --configsvr
和--replSet
参数启动mongod
。
mongod --keyFile <path-to-keyfile> --configsvr --replSet <setname> --dbpath <path>
根据配置要求包括其他选项。例如,如果希望远程客户端连接到您的部署,或是您的部署成员运行在不同主机上,请指定 --bind_ip
。
有关命令行选项的更多信息,请参阅mongod
参考页面。
确保在重新启动每个成员时使用原始副本集设置名称。您无法更改副本集的名称。
对分片集群中的每个分片实施访问控制。
运行带有keyFile
参数的mongod
会在自管理部署中实施自管理内部/成员身份验证和基于角色的访问控制。
使用配置文件或命令行启动副本集中的每个 mongod
。
配置文件
如果使用配置文件,请将security.keyFile
选项设置为密钥文件的路径,并将replication.replSetName
选项设置为副本集的原始名称。
security: keyFile: <path-to-keyfile> replication: replSetName: <setname> storage: dbPath: <path>
根据配置要求包括其他选项。例如,如果您希望远程客户端连接到部署,或者部署节点运行在不同的主机上,请指定 net.bindIp
设置。
启动 mongod
,同时指定 --config
选项和配置文件的路径。
mongod --config <path-to-config-file>
命令行
如果使用命令行参数,请启动mongod
并指定--keyFile
和--replSet
参数。
mongod --keyfile <path-to-keyfile> --replSet <setname> --dbpath <path>
根据配置要求包括其他选项。例如,如果希望远程客户端连接到您的部署,或是您的部署成员运行在不同主机上,请指定 --bind_ip
。
有关初创企业参数的更多信息,请参阅 mongod
参考页面。
确保在重新启动每个成员时使用原始副本集设置名称。您无法更改副本集的名称。
重复此步骤,直到集群中的所有分片都在线。
创建分片本地用户管理员(可选)。
重要
自管理部署中的本地主机异常允许通过本地主机接口连接的客户端在执行访问权限控制的mongod
上创建用户。 创建第一个用户后,自托管部署中的本地主机异常将关闭。
第一个用户必须拥有创建其他用户的特权,如具备 userAdminAnyDatabase
的用户。这样可以确保在自管理部署中的本地主机异常关闭后,您可以创建更多用户。
如果至少一个用户没有创建用户的权限,一旦本地主机异常关闭,您可能无法创建或修改具有新权限的用户,因此无法访问某些功能或操作。
对于集群中的每个分片副本集,通过 本地主机接口mongosh
将 连接到 主 节点。您必须在与目标 相同的计算机上运行mongosh
mongod
,才能使用本地主机接口。
在admin
数据库上创建具有userAdminAnyDatabase
角色的用户。 该用户可以根据需要为分分片副本集创建其他用户。 创建此用户还会关闭自托管部署中的本地主机异常。
以下示例在admin
数据库上创建分片本地用户fred
。
重要
密码应随机、长且复杂,以确保系统安全并防止或延迟恶意访问。
提示
您可以将 passwordPrompt()
方法与各种用户身份验证/管理方法/命令结合使用,以提示输入密码,而不是直接在方法/命令调用中指定密码。不过,您仍然可以像使用早期版本的 mongo
shell 一样直接指定密码。
admin = db.getSiblingDB("admin") admin.createUser( { user: "fred", pwd: passwordPrompt(), // or cleartext password roles: [ { role: "userAdminAnyDatabase", db: "admin" } ] } )
mongos
对 服务器实施访问控制。
运行带有keyFile
参数的mongod
会在自管理部署中实施自管理内部/成员身份验证和基于角色的访问控制。
使用配置文件或命令行启动副本集中的每个 mongos
。
配置文件
如果使用文件,请将security.keyFile
设置为密钥文件的路径,将sharding.configDB
设置为副本集名称,并采用<replSetName>/<host:port>
格式设置至少一个副本集节点。
security: keyFile: <path-to-keyfile> sharding: configDB: <configReplSetName>/cfg1.example.net:27019,cfg2.example.net:27019,...
根据配置要求包括其他选项。例如,如果您希望远程客户端连接到部署,或者部署节点运行在不同的主机上,请指定 net.bindIp
设置。
启动 mongos
,同时指定 --config
选项和配置文件的路径。
mongos --config <path-to-config-file>
命令行
如果使用命令行参数,则启动 mongos
,并指定 --keyFile
和 --configdb
参数。
mongos --keyFile <path-to-keyfile> --configdb <configReplSetName>/cfg1.example.net:27019,cfg2.example.net:27019,...
根据配置要求包括其他选项。例如,如果希望远程客户端连接到您的部署,或是您的部署成员运行在不同主机上,请指定 --bind_ip
。
此时,整个分片集群已重新联机,并且可以使用指定的密钥文件进行内部通信。 但是, mongosh
等外部程序需要使用正确配置的用户才能读取或写入集群。
创建用户管理员。
重要
创建第一个用户后,本地主机异常就不再可用。
第一个用户必须拥有创建其他用户的特权,如具备 userAdminAnyDatabase
的用户。这样可以确保在自管理部署中的本地主机异常关闭后,您可以创建更多用户。
如果至少一个用户没有创建用户的权限,则一旦 Localhost Exception 关闭,您将无法创建或修改用户,因此可能无法执行必要的操作。
使用 db.createUser()
方法添加用户。该用户应在 admin
数据库中至少拥有 userAdminAnyDatabase
角色。
重要
密码应随机、长且复杂,以确保系统安全并防止或延迟恶意访问。
以下示例在 admin
数据库上创建 fred
用户:
提示
您可以将 passwordPrompt()
方法与各种用户身份验证/管理方法/命令结合使用,以提示输入密码,而不是直接在方法/命令调用中指定密码。不过,您仍然可以像使用早期版本的 mongo
shell 一样直接指定密码。
admin = db.getSiblingDB("admin") admin.createUser( { user: "fred", pwd: passwordPrompt(), // or cleartext password roles: [ { role: "userAdminAnyDatabase", db: "admin" } ] } )
有关内置角色和与数据库管理操作相关的角色的完整列表,请参阅数据库用户角色。
以用户管理员身份进行身份验证。
使用 db.auth()
以用户管理员身份进行身份验证,才能创建其他用户:
提示
您可以将 passwordPrompt()
方法与各种用户身份验证/管理方法/命令结合使用,以提示输入密码,而不是直接在方法/命令调用中指定密码。不过,您仍然可以像使用早期版本的 mongo
shell 一样直接指定密码。
db.getSiblingDB("admin").auth("fred", passwordPrompt()) // or cleartext password
根据提示输入密码。
或者,使用-u <username>
、 -p <password>
和--authenticationDatabase "admin"
参数将新的mongosh
会话连接到目标副本集节点。 您必须使用自托管部署中的本地主机异常来连接到mongos
。
mongosh -u "fred" -p --authenticationDatabase "admin"
创建集群管理的管理用户
集群管理员用户具有分片集群的clusterAdmin
角色,而不是分片本地集群管理员。
以下示例在admin
数据库上创建用户ravi
。
重要
密码应随机、长且复杂,以确保系统安全并防止或延迟恶意访问。
提示
您可以将 passwordPrompt()
方法与各种用户身份验证/管理方法/命令结合使用,以提示输入密码,而不是直接在方法/命令调用中指定密码。不过,您仍然可以像使用早期版本的 mongo
shell 一样直接指定密码。
db.getSiblingDB("admin").createUser( { "user" : "ravi", "pwd" : passwordPrompt(), // or cleartext password roles: [ { "role" : "clusterAdmin", "db" : "admin" } ] } )
请参阅集群管理角色,获取与副本集和分片集群操作相关的内置角色的完整清单。
以集群管理员身份进行身份验证。
要执行分片操作,请使用clusterAdmin
db.auth()
方法或带有mongosh
username
、 和 参数的新password
会话以authenticationDatabase
用户身份进行身份验证。
注意
这是分片集群的集群管理员,而不是 分片本地集群管理员。
启动负载均衡器。
启动负载均衡器。
sh.startBalancer()
从 MongoDB 6.0.3 开始,不再执行自动数据块分割。这是因为均衡策略的改进。自动分割命令仍然存在,但不执行操作。
在 6.0.3 之前的 MongoDB 版本中,sh.startBalancer()
还支持分片集群的自动拆分。
使用sh.getBalancerState()
验证负载均衡器已启动。
创建其他用户(可选)。
创建用户以允许客户端连接和访问权限分分片集群。 有关可用的内置角色,例如 read
和 ,请参阅readWrite
数据库用户角色 。您可能还需要其他管理用户。 有关用户的更多信息,请参阅自托管部署中的用户。
要创建其他用户,必须以具有 userAdminAnyDatabase
或 userAdmin
角色的用户身份进行身份验证。
x.509 内部身份验证
有关使用 x.509 进行内部身份验证的详细信息,请参阅使用 x.509 证书对托理 MongoDB 进行成员身份验证。
要从密钥文件内部身份验证升级到 x. 509内部身份验证,请参阅将自管理MongoDB从密钥文件身份验证升级到 x。 509身份验证。