理解 admin 数据库

安装 MongoDB 时，会自动创建 admin 数据库，这是一个特殊数据库，提供了普通数据库没有的功能。

有些用户角色赋予用户操作多个数据库的权限，而这些角色只能在 admin 数据库中创建，要创建有权操作所有数据库的超级用户，必须将该用户加入到 admin 数据库中。检查凭证时，MongoDB 将在指定数据库和 admin 数据库中检查用户账户。

内建的角色

数据库用户角色： read、readWrite;
数据库管理角色： dbAdmin、dbOwner、userAdmin；
集群管理角色： clusterAdmin、clusterManager、clusterMonitor、hostManager；
备份恢复角色： backup、restore；
所有数据库角色： readAnyDatabase、readWriteAnyDatabase、userAdminAnyDatabase、dbAdminAnyDatabase
超级用户角色： root #这里还有几个角色间接或直接提供了系统超级用户的访问（dbOwner 、userAdmin、userAdminAnyDatabase）

角色说明：

read： 允许用户读取指定数据库；
readAnyDatabase： 只在admin数据库中可用，赋予用户所有数据库的读权限；
readWrite： 允许用户读写指定数据库；
readWriteAnyDatabase： 只在admin数据库中可用，赋予用户所有数据库的读写权限；
dbAdmin： 允许用户在指定数据库中执行管理函数，如索引创建、删除，查看统计或访问system.profile；
dbAdminAnyDatabase： 只在admin数据库中可用，赋予用户所有数据库的dbAdmin权限；
clusterAdmin： 只在admin数据库中可用，赋予用户所有分片和复制集相关函数的管理权限；
userAdmin： 允许用户向system.users集合写入，可以找指定数据库里创建、删除和管理用户；
userAdminAnyDatabase： 只在admin数据库中可用，赋予用户所有数据库的userAdmin权限；
root： 只在admin数据库中可用。超级账号，超级权限；

3、集群管理角色(admin数据库可用)

更多预定于角色的信息请参看： https://docs.mongodb.com/manual/core/security-built-in-roles/

show dbs  #显示数据库列表 
show collections  #显示当前数据库中的集合（类似关系数据库中的表）
show users  #显示用户
use <db name>  #切换当前数据库，如果数据库不存在则创建数据库。 
db.help()  #显示数据库操作命令，里面有很多的命令 
db.foo.help()  #显示集合操作命令，同样有很多的命令，foo指的是当前数据库下，一个叫foo的集合，并非真正意义上的命令 
db.foo.find()  #对于当前数据库中的foo集合进行数据查找（由于没有条件，会列出所有数据） 
db.foo.find( { a : 1 } )  #对于当前数据库中的foo集合进行查找，条件是数据中有一个属性叫a，且a的值为1

MongoDB没有创建数据库的命令，但有类似的命令。 如：如果你想创建一个“myTest”的数据库，先运行use myTest命令，之后就做一些操作（如：db.createCollection(‘user’)）,这样就可以创建一个名叫“myTest”的数据库。

db.dropDatabase()  #删除当前使用数据库
db.cloneDatabase("127.0.0.1")   #将指定机器上的数据库的数据克隆到当前数据库
db.copyDatabase("mydb", "temp", "127.0.0.1")  #将本机的mydb的数据复制到temp数据库中
db.repairDatabase()  #修复当前数据库
db.getName()  #查看当前使用的数据库，也可以直接用db
db.stats()  #显示当前db状态
db.version()  #当前db版本
db.getMongo()  ＃查看当前db的链接机器地址
db.serverStatus()  #查看数据库服务器的状态

二、配置访问控制

MongoDB安装完成后，数据库 admin 中没有任何用户账户。在数据库 admin 中没有任何账户时，MongoDB 向从本地主机发起的连接提供全面的数据库管理权限。因此配置 MongoDB 新实例时，首先需要创建 用户管理员账户 和 数据库管理员账户 。用户管理员账户可在 admin 和其他数据库中创建用户账户。您还需要创建一个数据库管理员账户，将其作为管理数据库、集群、复制和 MongoDB 其他方面的超级用户。

用户管理员账户和数据库管理员账户都是在数据库 admn 中创建的。在 MongoDB 服务器中启用身份验证后，要以用户管理员或数据库管理员的身份连接到服务器，必须向 admin 数据库验证身份，您还需在每个数据库中创建用户账户，让这些用户能够访问该数据库。

2、创建用户管理员账户

配置访问控制的第一步是创建用户管理员账户。用户管理员应只有创建用户账户的权限，而不能管理数据库或执行其他管理任务。这确保数据库管理和用户账户管理之间有清晰的界限。

例如，下面是在 admin 数据库中创建一个名为 myUserAdmin 用户。

[root@mbasic ~]# mongo
MongoDB shell version: 3.2.6
connecting to: test
> use admin
switched to db admin
> db.createUser(
...   {
...     user: "myUserAdmin",
...     pwd: "abc123",
...     roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]
...   }
... )
Successfully added user: {
        "user" : "myUserAdmin",
        "roles" : [
                        "role" : "userAdminAnyDatabase",
                        "db" : "admin"
用户管理员应只有创建用户账户的权限，而不能管理数据库或执行其他管理任务。
要创建某个库的管理用户，必须在 admin 进行认证，给哪个库创建用户就先切换到哪个库下面。
现在，客户端连接到服务器时必须提供用户名和密码。另外，从 MongoDB shell 访问 MongoDB 服务器时，如果要添加用户账户，必须执行下面的命令向数据库 admin 验证身份：
> use admin
switched to db admin
> db.auth("myUserAdmin","abc123")
也可以在启动 MongoDB shell 时使用选项-u和-p向数据库 admin 验证身份：
mongo -u "myUserAdmin" -p "abc123" --authenticationDatabase admin
5、创建数据库管理员账户
要创建数据库管理员，可在 MongoDB shell 中切换到数据库 admin，再使用方法createUser添加角色为readWriteAnyDatabase、dbAdminAnyDatabase和clusterAdmin的用户。这让这名用户能够访问系统中的所有数据库、创建新的数据库以及管理 MongoDB 集群和副本集。
创建一个名为 dbadmin 的数据库管理员：
> use admin
switched to db admin
> db.createUser(
...    {
...      user: "dbadmin",
...      pwd: "abc123",
...      roles: [ "readWriteAnyDatabase", "dbAdminAnyDatabase","clusterAdmin" ]
...    }
... )
Successfully added user: {
    "user" : "dbadmin",
    "roles" : [
            "readWriteAnyDatabase",
            "dbAdminAnyDatabase",
            "clusterAdmin"
数据库管理员能够访问系统中的所有数据库、创建新的数据库以及管理 MongoDB 集群和副本集。
如果要求管理其他数据库，首先要去 admin 库里面去认证。
一旦经过认证的用户管理员，可以使用db.createUser()去创建额外的用户。
你可以分配mongodb内置的角色或用户自定义的角色给用户。
这个 myUserAdmin 用户仅仅只有特权去管理用户和角色，如果你试图执行其他任何操作，例如在 test 数据库中的foo集合中去读数据，mongodb将返回错误。
你创建用户的数据库（这里就是test数据库）是该用户认证数据库。尽管用户认证是这个数据库，用户依然可以有其他数据库的角色。即用户认证数据库不限制用户权限。
...      user:"test1",
...      pwd: "test1",
...      roles: [{ role: "readWrite", db: "test"}]
...    }
...  )
Successfully added user: {
        "user" : "test1",
        "roles" : [
                        "role" : "readWrite",
                        "db" : "test"
[root@mbasic ~]# mongo
MongoDB shell version: 3.2.6
connecting to: test
> use test
switched to db test
> db.auth('test1','test1')
创建一个dmp用户，对dmp数据库只读权限。
> use admin
switched to db admin
> db.auth('myUserAdmin','abc123')
> use dmp
switched to db dmp
>db.createUser(
   user:"dmp1",
   pwd: "dmp1pass",
   roles: [{ role: "read", db: "dmp"}]
五、Mongodb 副本集搭建
采用Replica Set 副本集集群模式：
	偶数个节点 + 一个仲裁节点 构成的Replica Set，节点拥有数据集，仲裁节点仅参与仲裁选举出Primary节点。 最小架构：1个Primary节点，1个Secondary节点，1个Arbiter节点
	
三台服务器：
	主机(Primary)：    101.37.157.51:27011
	从机(Secondary)：  101.37.66.61:27011
	仲裁者(Arbiter)：  47.111.89.220:27011
	
一，创建配置文件：
        systemLog:
          destination: file
          path: /usr/supplywater/dataBase/mongodb/log/mongodb.log #日志文件存放路径
          logAppend: true #使用追加的方式写日志
        storage:
          dbPath: /usr/supplywater/dataBase/mongodb/db #数据库存文件存放目录
          journal:
              enabled: true #每次写入会记录一条操作日志（通过journal可以重新构造出写入的数据）。
          wiredTiger:   #存储引擎有mmapv1、wiretiger、mongorocks
              engineConfig:
                cacheSizeGB: 2
        processManagement:
          fork: true
          pidFilePath: /usr/supplywater/dataBase/mongodb/log/mongodbpid.pid
        #security:
         # authorization: enabled
         # clusterAuthMode: keyFile
         # keyFile: /usr/local/baseDB/mongodb/keyfile/mongo.key
          bindIp: 0.0.0.0
          port: 27011
        replication:
          replSetName: "chiticsupplywater"
 Secondary的配置文件：与上相同
	Arbiter的配置文件：与上相同


二，启动三台服务器上的mongodb服务
[root@master bin]# ./mongod -f /usr/supplywater/dataBase/mongodb/master.conf
--出现以下内容代表启动成功
about to fork child process, waiting until server is ready for connections.
forked process: 11656
child process started successfully, parent exiting
三、配置Replica Set
1，登录三台服务器中任意一台，登录mongodb数据库
[root@master bin]# ./mongo --port 27011
--出现以下内容代表登录成功
MongoDB shell version v4.0.0
connecting to: mongodb://127.0.0.1:27011/
MongoDB server version: 4.0.0
2， 命令行输入（注意：chiticsupplywater对应配置文件的replSetName）：
> use admin
switched to db admin
--priority：  值越大，是主机             arbiterOnly:true    仲裁者
> cfg={ _id:"chiticsupplywater",members:[{_id:0,host:'101.37.157.51:27011',priority:2},{_id:1,host:'101.37.66.61:27011',priority:1},{_id:2,host:'47.111.89.220:27011',arbiterOnly:true}] };
> rs.initiate(cfg)
--出现以下内容代表成功
    "ok" : 1,
    "operationTime" : Timestamp(1560492018, 1),
    "$clusterTime" : {
        "clusterTime" : Timestamp(1560492018, 1),
        "signature" : {
            "hash" : BinData(0,"AAAAAAAAAAAAAAAAAAAAAAAAAAA="),
            "keyId" : NumberLong(0)
--查看集群状态
chiticsupplywater:SECONDARY>  rs.conf()
    "_id" : "chiticsupplywater",
    "version" : 1,
    "protocolVersion" : NumberLong(1),
    "writeConcernMajorityJournalDefault" : true,
    "members" : [
            "_id" : 0,
            "host" : "101.37.157.51:27011",
            "arbiterOnly" : false,
            "buildIndexes" : true,
            "hidden" : false,
            "priority" : 2,
            "tags" : {
            "slaveDelay" : NumberLong(0),
            "votes" : 1
            "_id" : 1,
            "host" : "101.37.66.61:27011",
            "arbiterOnly" : false,
            "buildIndexes" : true,
            "hidden" : false,
            "priority" : 1,
            "tags" : {
            "slaveDelay" : NumberLong(0),
            "votes" : 1
            "_id" : 2,
            "host" : "47.111.89.220:27011",
            "arbiterOnly" : true,
            "buildIndexes" : true,
            "hidden" : false,
            "priority" : 0,
            "tags" : {
            "slaveDelay" : NumberLong(0),
            "votes" : 1
    "settings" : {
        "chainingAllowed" : true,
        "heartbeatIntervalMillis" : 2000,
        "heartbeatTimeoutSecs" : 10,
        "electionTimeoutMillis" : 10000,
        "catchUpTimeoutMillis" : -1,
        "catchUpTakeoverDelayMillis" : 30000,
        "getLastErrorModes" : {
        "getLastErrorDefaults" : {
            "w" : 1,
            "wtimeout" : 0
        "replicaSetId" : ObjectId("5d0337f2c259a815a2289ac6")
认证模式
1,创建超级管理员账号
db.createUser(
user: "admin",
pwd: "chitic.2019admin",
roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]
db.auth("admin", "chitic.2019admin" )
db.createUser(
user: "supplywaterV1_0",
pwd: "chitic.2019",
roles: [ { role: "readWrite", db: "supplywaterV1_0" }]
db.auth("supplywaterV1_0", "chitic.2019" )

2,创建key文件
在主库上执行脚本生成key文件，然后将结拷贝到另外2个节点
[root@m1 mongodb]# cd /data/mongodb/27017/keyfile/
[root@m1 keyfile]# openssl rand -base64 756 > mongo.key
[root@m1 keyfile]# chmod 600 mongo.key # 必须修改为600权限，否则无法启动
3,修改配置文件
配置文件中 添加如下内容，注意不同节点的文件路径
security:
    authorization: enabled
    clusterAuthMode: keyFile
    keyFile: /data/mongodb/27017/keyfile/mongo.key
4,重启服务
关闭MongoDB服务： use admin
第一种： db.shutdownServer();
第二种： ./mongod --shutdown --dbpath /usr/supplywater/dataBase/mongodb/db
启动MongoDB服务： ./mongod -f /usr/local/baseDB/mongodb/master.conf
登录数据库： ./mongo --port 27072