mongodb 的許可權系統

mongodb  開啟許可權認證需要注意的幾個點： 

ReplSet  下面， 叢集的連結，需要   keyfile  看明白了。  是 keyFile   才對 。 

1.   

keyfile 的內容不能包含 等號 "="  

openssl  rand   128   最後一個字元是 “=” 

大於  128  後面就增加 等號了。 

取  90  或者 100  左右或者手工取其中的一部分都行。 

openssl  rand   90   >  keyFile 。 

然後複製到各個節點。  

許可權 0600  .  

2. 

還有一個問題

systemctl  啟動的指令碼里面 有關於   幾句授權的。 ExecStartPre 那幾句確保不要修改  keyFile 的許可權。 

否則啟動錯誤。 

3.  啟動叢集后，   需要授權給管理員的幾個許可權問題。 

db.createUser (

{

        user:'root',

        pwd:"passwd",

        roles:[ {

                role:"userAdminAnyDatabase",db:"admin"

                },

                {role:"readWriteAnyDatabase",db:"admin"

                },

                {role:"userAdmin",db:'admin'

                },

                {role:"dbAdmin",db:'admin'

                },

                {role:"clusterManager",db:'admin'

                }

                ]

}

)

這是管理員許可權 。

如果業務業務使用者。 

到各自的 業務資料裡去授權。 

use  app  

db.createUser {  ...

 role：[ role:"dbadmin" , db:'app' }

 

需要 一個 dbadmin  de 許可權， 否則可能會有點問題。 

4.  Secodary  庫。  連結後，第一句 是 rs.slaveOk（）

否則一直爆粗。 別搞忘了。 

  

5.   如果透過阿里雲DTS 複製 mongodb 做業務資料同步， 

已經要調整  DTS 目標端的寫 併發數 ， medium 規格的DTS 預設應該是 32個 併發。 

讓後每個併發 ，  批次寫 128個 記錄。  才提交。 這個是很大的併發量。 

如果你的mongodb  資源不太足，  幾分鐘就壓死了。  而且 會持續 幾個很久的  cpu 跑滿， 

rs 的 slave   離線。  無法接入叢集等等一系列的古怪問題。 

切記。 

6.  arbitery  節點，  只參與 叢集投票，仲裁， 並不參與資料複製

      就不需要設定keyfile  跟  安全驗證了。  給他安裝  exporter 監控的時候， 會導致登入錯誤。 無法監控。 

 

          這個是很重要。   

7.   關於 主從切換的問題。  在主從   之間oplog delay  =0  或者接近 0 的情況下。 

 

         因為我們設定了主庫的 priority   =2  secondary  庫 =1  。 

           主動停止主庫，  會迅速接管到  secondary 變為 primary 。 

            再次啟動  主庫的時候，   角色會 在再次換回來。 

            整個ha 的過程還是相當自在的。 

8. 

下面是配置檔案示例：  

# mongod.conf

# for documentation of all options, see:

#   

# where to write logging data.

systemLog:

  destination: file

  logAppend: true

  path: /app/mongodb/logs/mongod.log

# Where and how to store data.

storage:

  dbPath: /app/mongodb/data/db

  directoryPerDB: true

  journal:

    enabled: true

#  engine:

#  wiredTiger:

# how the process runs

processManagement:

  fork: true  # fork and run in background

  pidFilePath: /app/mongodb/data/mongod.pid  # location of pidfile

  timeZoneInfo: /usr/share/zoneinfo

# network interfaces

net:

  port: 3717

  bindIp: 0.0.0.0  # Enter 0.0.0.0,:: to bind to all IPv4 and IPv6 addresses or, alternatively, use the net.bindIpAll setting.

security:

  keyFile: /app/mongodb/data/keyfile/keyfile

  authorization: enabled

#operationProfiling:

replication:

  replSetName: "Mmp_wuid"

#sharding:

## Enterprise-Only Options

#auditLog:

#snmp:

setParameter:

  replWriterThreadCount: 16