mongodb sharded cluster认证


 1、 生成密钥文件
openssl rand -base64 741 > /home/keyfile
chmod 600 keyfile 
            建议把密钥文件的权限设置为600(针对启动mongo实例的那个用户) 
接着需要把这个密钥文件拷贝到集群中每一个结点上(路由结点,元配置结点,分片结点上都要有这个密钥文件) ;
注:开启了keyFile,隐含就开启了auth,连接副本集就需要进行认证了,否则只能通过本地例外方式操作数据库。

在副本集中添加用户需要在服务未加--keyFile参数启动的情况加按照单实例方法添加(访问任意一个副本器操作,其他副本集会自动同步),账户添加、授权成功后重新加入keyFile启动服务,即可完成并使用。


2、把生成的密钥文件拷贝到集群中每一个结点上:
12
cp /home/keyfile /opt/config/data/ 
cp /home/keyfile /opt/mongos/ 
cp /home/keyfile /opt/shard1/data/ 
cp /home/keyfile /opt/shard2/data/ 
cp /home/keyfile /opt/shard3/data/ 
cp /home/keyfile /opt/shard4/data/ 
cp /home/keyfile /opt/shard5/data/

scp /ho keyfile 13/14/15/16

13
scp /ho keyfile  IP:/opt/config/data/ 
scp /ho keyfile  IP:/opt/mongos/ 
scp /ho keyfile  IP:/opt/shard1/data/ 
scp /ho keyfile  IP:/opt/shard2/data/ 
scp /ho keyfile  IP:/opt/shard3/data/ 
scp /ho keyfile  IP:/opt/shard4/data/ 
scp /ho keyfile  IP:/opt/shard5/data/


14
scp /ho keyfile  IP:/opt/config/data/ 
scp /ho keyfile  IP:/opt/mongos/ 
scp /ho keyfile  IP:/opt/shard1/data/ 
scp /ho keyfile  IP:/opt/shard2/data/ 
scp /ho keyfile  IP:/opt/shard3/data/ 
scp /ho keyfile  IP:/opt/shard4/data/ 
scp /ho keyfile  IP:/opt/shard5/data/


15
scp /ho keyfile  IP:/opt/config/data/ 
scp /ho keyfile  IP:/opt/mongos/ 
scp /ho keyfile  IP:/opt/shard1/data/ 
scp /ho keyfile  IP:/opt/shard2/data/ 
scp /ho keyfile  IP:/opt/shard3/data/ 
scp /ho keyfile  IP:/opt/shard4/data/ 
scp /ho keyfile  IP:/opt/shard5/data/


16
scp /ho keyfile  IP:/opt/config/data/ 
scp /ho keyfile  IP:/opt/mongos/ 
scp /ho keyfile  IP:/opt/shard1/data/ 
scp /ho keyfile  IP:/opt/shard2/data/ 
scp /ho keyfile  IP:/opt/shard3/data/ 
scp /ho keyfile  IP:/opt/shard4/data/ 
scp /ho keyfile  IP:/opt/shard5/data/

find /opt/ -name keyfile


3、登陆mongos添加集群用户
db.createUser({
... user: "rootadminAAA",
... pwd: "admDDDDin@2018DDDDMDDDDWEEEEDntQ",
... roles: [
... {role: "clusterAdmin", db: "admin"},
... {role: "readWriteAnyDatabase", db: "admin"},
... {role: "userAdminAnyDatabase", db: "admin"},
... {role: "dbAdminAnyDatabase", db: "admin"}]
... })

db.auth("rootadmin","admDDDDin@2018DDDDMDDDDWEEEEDntQ")

注:在 3步时,查看集群里有哪个用户信息及权限;

4、查看各个集群启动的服务如下:
12
root 3684 1 1 Jan28 ? 21:43:41 /usr/local/mongodb-3.6.2/bin/mongos --config /usr/local/mongodb-3.6.2/conf/mongos.conf
root 3775 1 0 Jan28 ? 13:37:34 /usr/local/mongodb-3.6.2/bin/mongod --config /usr/local/mongodb-3.6.2/conf/shard1.conf
root 3817 1 0 Jan28 ? 12:36:42 /usr/local/mongodb-3.6.2/bin/mongod --config /usr/local/mongodb-3.6.2/conf/shard4.conf
root 3854 1 1 Jan28 ? 1-00:42:30 /usr/local/mongodb-3.6.2/bin/mongod --config /usr/local/mongodb-3.6.2/conf/shard5.conf
root 179829 179810 0 19:36 pts/

13
root@mongodb-2:/root# ps -ef|grep mongodb
root 3590 1 1 Jan28 ? 20:57:43 /usr/local/mongodb-3.6.2/bin/mongos --config /usr/local/mongodb-3.6.2/conf/mongos.conf
root 3675 1 0 Jan28 ? 13:11:40 /usr/local/mongodb-3.6.2/bin/mongod --config /usr/local/mongodb-3.6.2/conf/shard1.conf
root 3705 1 1 Jan28 ? 1-03:28:35 /usr/local/mongodb-3.6.2/bin/mongod --config /usr/local/mongodb-3.6.2/conf/shard2.conf
root 3736 1 1 Jan28 ? 1-01:06:04 /usr/local/mongodb-3.6.2/bin/mongod --config /usr/local/mongodb-3.6.2/conf/shard5.conf
root 126060 125886 0 19:45 pts/0 00:00:00 grep --color=auto mongodb

root@mongodb-2:/


14
root@mongodb-3:/root# ps -ef|grep mongodb
root 3632 1 1 Jan28 ? 19:46:19 /usr/local/mongodb-3.6.2/bin/mongod --config /usr/local/mongodb-3.6.2/conf/config.conf
root 3860 1 0 Jan28 ? 13:37:56 /usr/local/mongodb-3.6.2/bin/mongod --config /usr/local/mongodb-3.6.2/conf/shard1.conf
root 3888 1 1 Jan28 ? 1-07:32:44 /usr/local/mongodb-3.6.2/bin/mongod --config /usr/local/mongodb-3.6.2/conf/shard2.conf
root 3915 1 31 Jan28 ? 24-13:32:59 /usr/local/mongodb-3.6.2/bin/mongod --config /usr/local/mongodb-3.6.2/conf/shard3.conf
root 155784 155565 0 19:47 pts/0 00:00:00 grep --color=auto mongodb
root@mongodb-3:/root#

15
root@mongodb-4:/root# ps -ef|grep mongodb
root 3569 1 0 Jan28 ? 16:42:16 /usr/local/mongodb-3.6.2/bin/mongod --config /usr/local/mongodb-3.6.2/conf/config.conf
root 3743 1 1 Jan28 ? 1-05:20:08 /usr/local/mongodb-3.6.2/bin/mongod --config /usr/local/mongodb-3.6.2/conf/shard2.conf
root 3770 1 7 Jan28 ? 6-01:45:03 /usr/local/mongodb-3.6.2/bin/mongod --config /usr/local/mongodb-3.6.2/conf/shard3.conf
root 3797 1 0 Jan28 ? 13:08:35 /usr/local/mongodb-3.6.2/bin/mongod --config /usr/local/mongodb-3.6.2/conf/shard4.conf
root 155083 154867 0 19:48 pts/0 00:00:00 grep --color=auto mongodb
root@mongodb-4:/root#

16
root@mongodb-5:/root# ps -ef|grep mongodb
root 3571 1 0 Jan28 ? 16:41:09 /usr/local/mongodb-3.6.2/bin/mongod --config /usr/local/mongodb-3.6.2/conf/config.conf
root 3753 1 7 Jan28 ? 6-01:51:58 /usr/local/mongodb-3.6.2/bin/mongod --config /usr/local/mongodb-3.6.2/conf/shard3.conf
root 3780 1 0 Jan28 ? 12:35:49 /usr/local/mongodb-3.6.2/bin/mongod --config /usr/local/mongodb-3.6.2/conf/shard4.conf
root 3808 1 1 Jan28 ? 1-11:18:29 /usr/local/mongodb-3.6.2/bin/mongod --config /usr/local/mongodb-3.6.2/conf/shard5.conf
root 55001 54787 0 19:48 pts/0 00:00:00 grep --color=auto mongodb
root@mongodb-5:/root#

5、关闭原先的集群:db.shutdownServer() 
注意,需要按照 路由结点(mongos) -> 配置结点(config) -> 分片结点(shard1-5) 的顺序,依次关闭各结点的进程

6、重新启动集群 :,需要按照 配置结点(config) -> 分片结点(shard1-5)->路由结点(mongos) 的顺序
/usr/local/mongodb-3.6.2/bin/mongod --config /usr/local/mongodb-3.6.2/conf/config.conf --keyFile /opt/config/data/keyfile
/usr/local/mongodb-3.6.2/bin/mongos --config /usr/local/mongodb-3.6.2/conf/mongos.conf --keyFile /opt/mongos/keyfile
/usr/local/mongodb-3.6.2/bin/mongod --config /usr/local/mongodb-3.6.2/conf/shard1.conf --keyFile /opt/shard1/data/keyfile
/usr/local/mongodb-3.6.2/bin/mongod --config /usr/local/mongodb-3.6.2/conf/shard2.conf --keyFile /opt/shard2/data/keyfile
/usr/local/mongodb-3.6.2/bin/mongod --config /usr/local/mongodb-3.6.2/conf/shard3.conf --keyFile /opt/shard3/data/keyfile
/usr/local/mongodb-3.6.2/bin/mongod --config /usr/local/mongodb-3.6.2/conf/shard4.conf --keyFile /opt/shard4/data/keyfile
/usr/local/mongodb-3.6.2/bin/mongod --config /usr/local/mongodb-3.6.2/conf/shard5.conf --keyFile /opt/shard5/data/keyfile

7、  验证集群的认证
root@node:/root#mongo  IP:20000
mongos> db
test
mongos> show collections;
2018-04-09T16:31:17.604+0800 E QUERY [thread1] Error: listCollections failed: {
"ok" : 0,
"errmsg" : "not authorized on test to execute command { listCollections: 1.0, filter: {},

mongos> use admin
switched to db admin
mongos> show collections;
2018-04-09T16:31:26.158+0800 E QUERY [thread1] Error: listCollections failed: {
"ok" : 0,
"errmsg" : "not authorized on admin to execute command { listCollections: 1.0, filter: {},

账户认证后状态
#admin库认证
mongo  IP:20000/admin -u rootadmin -p admin@2018MintQ
mongos> show collections;
system.indexes
system.users
system.version

 








<think>好的,我现在需要详细解释用户提到的Mongoose监听表数据变化的三个依赖条件:MongoDB版本≥3.6、配置为副本集或分片集群、用户具备changeStream权限。首先,我得确保自己对这些条件有深入的理解,以便准确传达给用户。 首先,MongoDB版本≥3.6。我记得Change Streams是在MongoDB 3.6版本引入的,所以如果用户使用的是旧版本,这个功能不可用。需要确认用户是否了解如何检查他们的MongoDB版本,可能还需要指导他们如何升级,但用户的问题可能只需要解释为什么需要这个版本,不需要操作步骤。 接下来,配置为副本集或分片集群。这是因为Change Streams依赖于oplog(操作日志),而oplog只在副本集或分片集群中可用。独立模式(standalone)的MongoDB没有oplog,所以无法使用Change Streams。用户可能不清楚副本集的基本配置,是否需要简单解释副本集是什么?或者他们可能已经了解,但需要强调配置的重要性。另外,分片集群的情况可能更复杂,但用户可能更常用副本集,所以可以侧重解释副本集。 第三个条件是用户需要具备changeStream权限。MongoDB的权限控制中,changeStream权限允许用户监听数据变化。可能需要说明如何创建具有该权限的用户,比如通过db.createUser命令,并分配适当的角色,比如readWrite权限加上对local数据库oplog.rs的读取权限。用户可能在实际操作中遇到权限问题,比如没有正确配置角色导致监听失败,所以需要明确权限设置步骤。 然后,我需要考虑如何组织这些信息,使其结构清晰。可能需要分点解释每个条件的原因和相关注意事项。例如,每个条件作为一个子标题,下面详细说明原因、影响和可能的解决方法。同时,需要提供示例或代码片段,比如创建用户的Mongo Shell命令,帮助用户理解如何实际操作。 另外,用户可能想知道如果不符合这些条件怎么办,比如他们使用的是独立模式的MongoDB,是否有替代方案?这时候可能需要提到其他方法,如定时轮询或Mongoose中间件,但明确说明这些方法的局限性,比如实时性差或仅捕获通过Mongoose的操作。 还需要注意技术术语的解释,比如oplog、副本集、分片集群等,可能需要用简单的语言让用户理解这些概念,尤其是如果用户是初学者的话。但用户的问题可能已经有一定了解,所以解释需要简洁,不过于冗长。 最后,确保回答准确,避免错误。比如,确认changeStream权限的具体角色,可能需要查阅MongoDB文档确认是否正确。例如,是否真的需要local数据库oplog.rs的读取权限,或者是否有其他方式配置。这可能涉及权限配置的最佳实践,避免给予不必要的权限,确保安全性。 总结来说,回答需要分三个部分,每个依赖条件单独解释,说明原因、如何满足以及相关注意事项。同时,可能需要提供配置示例和替代方案的对比,帮助用户全面理解。</think>### **Mongoose 监听数据变化的依赖条件详解** --- #### **1. MongoDB ≥ 3.6** - **原因** Change Streams(变更流)功能从 MongoDB 3.6 版本开始支持,它是实现实时数据监听的核心机制。 - **如何验证版本** 在 MongoDB Shell 中执行: ```javascript db.version() ``` - **升级建议** 若版本低于 3.6,需升级 MongoDB 至 3.6 或更高版本(官方推荐生产环境使用最新稳定版)。 --- #### **2. 配置为副本集或分片集群** - **为什么需要副本集/分片集群** Change Streams 依赖 MongoDB 的 **操作日志(Oplog)** 实现数据变更追踪,而 Oplog 仅在副本集或分片集群中启用。 - **副本集(Replica Set)**:由至少 3 个节点组成(1 主节点 + 2 从节点),提供高可用性和数据冗余。 - **分片集群(Sharded Cluster)**:用于横向扩展大规模数据集,每个分片本身需为副本集。 - **独立模式(Standalone)的限制** 单机运行的 MongoDB 无 Oplog,无法使用 Change Streams。需转换为副本集模式: ```bash # 关闭现有 MongoDB 服务 mongod --shutdown # 以副本集模式启动(单节点测试用) mongod --replSet rs0 --port 27017 ``` ```javascript // 在 MongoDB Shell 初始化副本集 rs.initiate() ``` --- #### **3. 用户需具备 `changeStream` 权限** - **权限要求** 用户需拥有以下权限: 1. 对目标数据库的 `readWrite` 权限(或更高级别)。 2. 对 `local` 数据库的 `oplog.rs` 集合的 `find` 权限(Change Streams 依赖 Oplog 读取变更记录)。 - **配置用户权限示例** 在 MongoDB Shell 中执行: ```javascript use admin db.createUser({ user: "my_user", pwd: "secure_password", roles: [ { role: "readWrite", db: "my_database" }, // 业务数据库权限 { role: "read", db: "local", collection: "oplog.rs" } // Oplog 读取权限 ] }) ``` --- ### **常见问题与解决方案** 1. **错误 `Change streams require replica sets`** **原因**:MongoDB 未以副本集模式运行。 **解决**:按上述步骤配置副本集。 2. **错误 `user not allowed to do action [find] on [local.oplog.rs]`** **原因**:用户缺少 Oplog 读取权限。 **解决**:为用户添加 `local.oplog.rs` 的 `find` 权限。 3. **独立模式无法使用 Change Streams** **替代方案**: - 改用定时轮询查询(牺牲实时性)。 - 使用 Mongoose Middleware(仅捕获通过 Mongoose 的操作)。 --- ### **总结** | **依赖条件** | **核心目的** | **不满足的后果** | |-----------------------|---------------------------------|----------------------------------| | MongoDB ≥ 3.6 | 启用 Change Streams 功能 | 监听功能完全不可用 | | 副本集/分片集群 | 提供 Oplog 支持变更追踪 | 无法捕获数据变化事件 | | `changeStream` 权限 | 授权用户访问 Oplog 和业务数据 | 监听请求被 MongoDB 拒绝 | 通过正确配置上述条件,即可利用 Mongoose 高效监听数据变更,构建实时响应应用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值