副本集架構中需要開啟使用者的授權認證,也要配置副本集内部、成員身份驗證。
副本集對于成員的内部身份驗證,MongoDB可以使用keyfiles或x.509證書。使用keyfile身份驗證,副本集中的每個mongod執行個體都将keyfile的内容用作對部署中其他成員進行身份驗證的共享秘鑰。隻有具有正确密鑰檔案的mongod執行個體才能加入副本集。
所選方法用于所有内部通信。例如,當用戶端使用支援的身份驗證機制之一向mongos進行身份驗證時,mongos然後使用配置的内部身份驗證方法連接配接到所需的mongod程序。
我們需要建立管理者使用者 建立秘鑰檔案(叢集成員之間認證使用) 開啟認證,建立賬号(用戶端連接配接mongodb叢集使用) 重新開機服務
'副本集詳細配置'
建立秘鑰檔案
openssl rand-base64 756 > keyfile
chmod 400 keyfile
[root@VM_6_17_centos ~]# cp keyfile /data/mdb1/conf/
[root@VM_6_17_centos ~]# cp keyfile /data/mdb2/conf/
[root@VM_6_17_centos ~]# cp keyfile /data/mdb3/conf/
開啟認證:
現在我們在連接配接PRIMARY節點
總結:我們線上上部署時副本集使用域名進行配置,可以避免由于ip位址更改而導緻的配置更改,
盡量使用複雜的密碼,伺服器的資料端口使用防火牆進行限制,外網全部禁用,
内部可以允許某個ip或者網段通路,并且開啟用戶端認證授權。
下一章我們了解認證授權的詳細内容。