摘要:在前面一篇文章中����,我介紹了如何在單臺上設置鑒權,以防范對數(shù)據(jù)未經(jīng)授權的訪問���。本文介紹在配置了主從和分片的情況下,如何為數(shù)據(jù)庫添加鑒權���。創(chuàng)建用戶并賦予合適的角色這點參考前面的單臺如何設置鑒權即可�,使用客戶端連上數(shù)據(jù)庫���,創(chuàng)建用戶�����,過程完全一樣�����。
在前面一篇文章中��,我介紹了如何在單臺 MongoDB 上設置鑒權����,以防范對數(shù)據(jù)未經(jīng)授權的訪問。本文介紹在配置了主從(Replica Set)和分片(Sharding)的情況下����,如何為數(shù)據(jù)庫添加鑒權。這兩種情況下的配置方式?jīng)]有區(qū)別�����,為簡單起見���,我將它們都稱作“多臺服務器”����。
總的來說���,為多臺服務器配置鑒權分為三步:
創(chuàng)建 key 文件����;
通過 key 文件來啟動每臺服務器�����;
創(chuàng)建用戶并賦予合適的角色。
創(chuàng)建 key 文件
在單臺 MongoDB 上配置鑒權時����,我們只需要關心客戶端與服務器之間的通信是否安全;而在多臺服務器環(huán)境下�����,我們還要關注服務器與服務器之間的通信�。
為了保證服務器與服務器之間的通信安全,MongoDB 提供了一種很方便的方式:key 文件�。所有的服務器都使用相同內(nèi)容的 key 文件來驗證相互之間的通信���,那么只要 key 文件不泄露出去����,服務器之間的通信就無法仿冒����,可以說是安全的。
key 文件的內(nèi)容應該隨機生成�����,僅包含 base64 字符集中的字符,空白字符(空格��,換行��,制表符等)會被忽略�。文件大小在 6~1024 字節(jié)之間。key 文件的訪問權限必須被設置為 600��,否則 MongoDB 會報錯說沒有設置正確的文件權限���。
你可以用 vi 或 openssl 命令來生成 key 文件��。下面是一個例子:
openssl rand -base64 741 > mongodb-keyfile
chmod 600 mongodb-keyfile
創(chuàng)建好 key 文件后�����,將其分發(fā)到所有服務器上��,并保證只有運行 mongodb 的用戶能訪問該文件�。
通過 key 文件來啟動每臺 MongoDB
服務器的啟動順序不變���,區(qū)別僅僅是在啟動命令里加上 --auth --keyFile mongodb-keyfile 這兩個參數(shù)���。注意不管是 mongod 還是 mongos 都要加上這兩個參數(shù)�。
創(chuàng)建用戶并賦予合適的角色
這點參考前面的 “單臺MongoDB如何設置鑒權” 即可�,使用客戶端連上數(shù)據(jù)庫,創(chuàng)建用戶�����,過程完全一樣��。需要注意的是對于主從數(shù)據(jù)庫你應該連到主數(shù)據(jù)庫上�,而對于分片你應該連到 mongos 上。
文章版權歸作者所有��,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為�����,您可以聯(lián)系管理員刪除����。
轉(zhuǎn)載請注明本文地址:http://m.hztianpu.com/yun/18742.html
