在前面一篇文章中,我介绍了如何在单台 MongoDB 上设置鉴权,以防范对数据未经授权的访问。本文介绍在配置了主从(Replica Set)和分片(Sharding)的情况下,如何为数据库添加鉴权。这两种情况下的配置方式没有区别,为简单起见,我将它们都称作“多台服务器”。
总的来说,为多台服务器配置鉴权分为三步:
- 创建 key 文件;
- 通过 key 文件来启动每台服务器;
- 创建用户并赋予合适的角色。
创建 key 文件
在单台 MongoDB 上配置鉴权时,我们只需要关心客户端与服务器之间的通信是否安全;而在多台服务器环境下,我们还要关注服务器与服务器之间的通信。
为了保证服务器与服务器之间的通信安全,MongoDB 提供了一种很方便的方式:key 文件。所有的服务器都使用相同内容的 key 文件来验证相互之间的通信,那么只要 key 文件不泄露出去,服务器之间的通信就无法仿冒,可以说是安全的。
key 文件的内容应该随机生成,仅包含 base64 字符集中的字符,空白字符(空格,换行,制表符等)会被忽略。文件大小在 6~1024 字节之间。key 文件的访问权限必须被设置为 600,否则 MongoDB 会报错说没有设置正确的文件权限。
你可以用 vi 或 openssl 命令来生成 key 文件。下面是一个例子:
openssl rand -base64 741 > mongodb-keyfile
chmod 600 mongodb-keyfile
创建好 key 文件后,将其分发到所有服务器上,并保证只有运行 mongodb 的用户能访问该文件。
通过 key 文件来启动每台 MongoDB
服务器的启动顺序不变,区别仅仅是在启动命令里加上 --auth --keyFile mongodb-keyfile 这两个参数。注意不管是 mongod 还是 mongos 都要加上这两个参数。
创建用户并赋予合适的角色
这点参考前面的 “单台MongoDB如何设置鉴权” 即可,使用客户端连上数据库,创建用户,过程完全一样。需要注意的是对于主从数据库你应该连到主数据库上,而对于分片你应该连到 mongos 上。
