샤드 클러스터를 키 파일 인증으로 업데이트하기

키 파일을 생성합니다.

키 파일 인증을 사용하면 샤드 클러스터의 각 mongod 또는 mongos 인스턴스는 배포에서 다른 멤버를 인증하기 위한 공유 암호로 키 파일의 내용을 사용합니다. 올바른 키 파일을 가진 mongod 또는 mongos 인스턴스만 샤드 클러스터에 참여할 수 있습니다.

키 길이는 6~1024자 사이여야 하며 base64 세트의 문자만 포함할 수 있습니다. 샤드 클러스터의 모든 멤버는 하나 이상의 공통 키를 공유해야 합니다.

원하는 방법을 사용하여 키 파일을 생성할 수 있습니다. 예를 들어 다음 작업에서는 openssl 사용하여 공유 암호로 사용할 복잡한 의사 난수 1024자 문자열을 생성합니다. 그런 다음 chmod 사용하여 파일 소유자에게만 읽기 권한을 제공하도록 파일 권한을 변경합니다.

openssl rand -base64 756 > <path-to-keyfile>
chmod 400 <path-to-keyfile>

키파일 사용에 대한 추가 세부 정보 및 요구 사항은 키파일을 참조하세요.

샤드 cluster의 각 구성 요소에 키 파일을 복사합니다.

cluster의 mongod 또는 mongos 구성 요소를 호스팅하는 모든 서버에는 키 파일 복사본이 포함되어 있어야 합니다.

샤드 클러스터 멤버를 호스팅하는 각 서버에 키 파일을 복사합니다. mongod 또는 mongos 인스턴스를 실행하는 사용자가 파일의 소유자이며 키 파일에 액세스할 수 있도록 합니다.

USB 드라이브 또는 네트워크 연결 저장 장치와 같이 mongod 또는 mongos인스턴스를 호스팅하는 하드웨어에서 쉽게 분리될 수 있는 저장 매체에 키 파일을 저장하지 마세요.

밸런서를 비활성화합니다.

mongosh 을 mongos 에 연결합니다.

sh.stopBalancer()

마이그레이션이 진행 중인 경우 밸런서가 즉시 중지되지 않을 수 있습니다. sh.stopBalancer() 메서드는 balancer가 중지될 때까지 shell을 차단합니다.

MongoDB 6 부터 시작.0.3, 자동 청크 분할이 수행되지 않습니다. 이는 밸런싱 정책 개선 때문입니다. 자동 분할 명령이 여전히 존재하지만 작업을 수행하지 않습니다.

MongoDB 6.0.3 이전 버전에서 sh.stopBalancer()는 샤딩된 클러스터에 대한 자동 분할도 비활성화합니다.

sh.getBalancerState() 를 사용하여 밸런서가 중지되었는지 확인합니다.

sh.getBalancerState()

cluster 밸런서 동작 구성에 대한 튜토리얼은 cluster 밸런서 managed 를 참조하세요.

샤드 클러스터의 모든 mongos 인스턴스를 종료합니다.

mongosh 를 각 mongos 에 연결하고 종료합니다.

admin 데이터베이스에서 db.shutdownServer() 메서드를 사용하여 mongos 을(를) 안전하게 종료합니다.

db.getSiblingDB("admin").shutdownServer()

cluster의 모든 mongos 인스턴스가 오프라인 상태가 될 때까지 반복합니다.

이 단계가 완료되면 cluster의 모든 mongos 인스턴스가 오프라인 상태여야 합니다.

config 서버 mongod 인스턴스를 종료합니다.

config 서버 mongosh 배포의 각 에 를 연결하고 종료합니다.mongod

config 서버 배포의 경우 복제본 세트 프라이머리 멤버를 마지막으로 종료합니다.

admin 데이터베이스에서 db.shutdownServer() 메서드를 사용하여 mongod 을(를) 안전하게 종료합니다.

db.getSiblingDB("admin").shutdownServer()

모든 config 서버가 오프라인 상태가 될 때까지 반복합니다.

샤드 복제본 세트 mongod 인스턴스를 종료합니다.

각 샤드 복제본 세트에 대해 mongosh 를 복제본 세트의 각 mongod 멤버에 연결하고 종료합니다. 프라이머리 멤버를 마지막으로 종료합니다.

admin 데이터베이스에서 db.shutdownServer() 메서드를 사용하여 mongod 을(를) 안전하게 종료합니다.

db.getSiblingDB("admin").shutdownServer()

모든 샤드 복제본 세트의 모든 mongod 인스턴스가 오프라인이 될 때까지 각 샤드 복제본 세트에 대해 이 단계를 반복합니다.

이 단계가 완료되면 샤드 cluster 전체가 오프라인 상태가 됩니다.

config 서버에 대한 액세스 제어를 적용합니다.

config 서버 복제본 세트에서 각 mongod를 시작합니다. keyFile 설정을 포함합니다. keyFile 설정은 내부/멤버십 인증과 역할 기반 액세스 제어를 모두 적용합니다.

구성 파일이나 명령줄을 통해 mongod 설정을 지정할 수 있습니다.

구성 파일

구성 파일 을 사용하는 경우 config 서버 복제본 세트에 대해 security.keyFile 키 파일의 경로로, sharding.clusterRole 를 configsvr 로, replication.replSetName 를 config 서버 복제본 세트의 이름으로 설정합니다.

security:
  keyFile: <path-to-keyfile>
sharding:
  clusterRole: configsvr
replication:
  replSetName: <setname>
storage:
   dbpath: <path>

구성에 필요한 추가 옵션을 포함합니다. 예를 들어 원격 클라이언트를 배포에 연결하거나 배포 멤버가 다른 호스트에서 실행되도록 하려면 net.bindIp 설정을 지정합니다.

--config 옵션과 구성 파일 경로를 지정하여 mongod를 시작합니다.

mongod --config <path-to-config>

명령줄

명령줄 매개변수를 사용하는 경우 config 서버 복제본 세트에 대해 -keyFile, --configsvr 및 --replSet 매개변수를 사용하여 mongod 를 시작합니다.

mongod --keyFile <path-to-keyfile> --configsvr --replSet <setname> --dbpath <path>

구성에 필요한 추가 옵션을 포함합니다. 예를 들어 원격 클라이언트를 배포에 연결하거나 배포 멤버가 다른 호스트에서 실행되도록 하려면 --bind_ip 을(를) 지정합니다.

명령줄 옵션에 대한 자세한 내용은 mongod 참고 페이지를 참조하세요.

각 멤버를 다시 시작할 때 원래 복제본 세트 이름을 사용해야 합니다. 복제본 세트의 이름은 변경할 수 없습니다.

샤드 cluster의 각 샤드에 대한 액세스 제어를 적용합니다.

mongod를 keyFile 매개 변수와 함께 실행하면 내부/멤버십 인증과 역할 기반 액세스 제어가 모두 적용됩니다.

구성 파일 또는 명령줄을 사용하여 복제본 세트의 각 mongod를 시작합니다.

구성 파일

구성 파일 을 사용하는 경우 security.keyFile 옵션을 키 파일의 경로로 설정하고 replication.replSetName 옵션을 복제본 세트의 원래 이름으로 설정합니다.

security:
  keyFile: <path-to-keyfile>
replication:
  replSetName: <setname>
storage:
   dbPath: <path>

구성에 필요한 추가 옵션을 포함합니다. 예를 들어 원격 클라이언트를 배포에 연결하거나 배포 멤버가 다른 호스트에서 실행되도록 하려면 net.bindIp 설정을 지정합니다.

--config 옵션과 구성 파일 경로를 지정하여 mongod를 시작합니다.

mongod --config <path-to-config-file>

명령줄

명령줄 매개변수를 사용하는 경우 mongod 를 시작하고 --keyFile 및 --replSet 매개변수를 지정합니다.

mongod --keyfile <path-to-keyfile> --replSet <setname> --dbpath <path>

구성에 필요한 추가 옵션을 포함합니다. 예를 들어 원격 클라이언트를 배포에 연결하거나 배포 멤버가 다른 호스트에서 실행되도록 하려면 --bind_ip 을(를) 지정합니다.

시작 매개변수에 대한 자세한 내용은 mongod 참조 페이지를 참조하세요.

각 멤버를 다시 시작할 때 원래 복제본 세트 이름을 사용해야 합니다. 복제본 세트의 이름은 변경할 수 없습니다.

cluster의 모든 샤드가 온라인 상태가 될 때까지 이 단계를 반복합니다.

샤드 로컬 사용자 관리자를 생성합니다(선택 사항).

클러스터의 각 샤드 복제본 세트에 대해 로컬 mongosh 호스트 인터페이스 를 통해 를 프라이머리 멤버에 연결합니다. 로컬 호스트 인터페이스를 mongod 사용하려면 대상 와 동일한 머신에서 mongosh 를 실행해야 합니다.

admin 데이터베이스에서 userAdminAnyDatabase 역할을 가진 사용자를 만듭니다. 이 사용자는 필요에 따라 샤드 복제본 세트에 대한 추가 사용자를 생성할 수 있습니다. 이 사용자를 만들면 Localhost 예외도 닫힙니다.

다음 예에서는 admin 데이터베이스에 샤드 로컬 사용자 fred 를 생성합니다.

admin = db.getSiblingDB("admin")
admin.createUser(
  {
    user: "fred",
    pwd: passwordPrompt(),  // or cleartext password
    roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]
  }
)

mongos 서버에 대한 액세스 제어를 적용합니다.

mongod를 keyFile 매개 변수와 함께 실행하면 내부/멤버십 인증과 역할 기반 액세스 제어가 모두 적용됩니다.

구성 파일 또는 명령줄을 사용하여 복제본 세트의 각 mongos를 시작합니다.

구성 파일

구성 파일 을 사용하는 경우 security.keyFile 를 키 파일 경로로 설정하고 sharding.configDB 를 복제본 세트 이름과 하나 이상의 복제본 세트 멤버로 <replSetName>/<host:port> 형식으로 설정합니다.

security:
  keyFile: <path-to-keyfile>
sharding:
  configDB: <configReplSetName>/cfg1.example.net:27019,cfg2.example.net:27019,...

구성에 필요한 추가 옵션을 포함합니다. 예를 들어 원격 클라이언트를 배포에 연결하거나 배포 멤버가 다른 호스트에서 실행되도록 하려면 net.bindIp 설정을 지정합니다.

--config 옵션과 구성 파일 경로를 지정하여 mongos를 시작합니다.

mongos --config <path-to-config-file>

명령줄

명령줄 매개 변수를 사용하는 경우 mongos를 시작하고 --keyFile 및 --configdb 매개 변수를 지정합니다.

mongos --keyFile <path-to-keyfile> --configdb <configReplSetName>/cfg1.example.net:27019,cfg2.example.net:27019,...

구성에 필요한 추가 옵션을 포함합니다. 예를 들어 원격 클라이언트를 배포에 연결하거나 배포 멤버가 다른 호스트에서 실행되도록 하려면 --bind_ip 을(를) 지정합니다.

이 시점에서 전체 샤드 클러스터는 다시 온라인 상태가 되며 지정된 키 파일을 사용하여 내부적으로 통신할 수 있습니다. 그러나 mongosh 와 같은 외부 프로그램은 클러스터에 읽거나 쓰려면 올바르게 프로비저닝된 사용자를 사용해야 합니다.

로컬 호스트 인터페이스를 통해 mongos 인스턴스에 연결합니다.

로컬 호스트 인터페이스 를 통해 mongosh 를 mongos 인스턴스 중 하나에 연결합니다. mongos 인스턴스와 동일한 물리적 머신에서 mongosh 를 실행해야 합니다.

배포를 위해 생성된 사용자가 없기 때문에 로컬 호스트 인터페이스를 사용할 수 있습니다. 첫 번째 사용자 생성 후 localhost 인터페이스는 닫힙니다.

사용자 관리자를 만듭니다.

db.createUser() 메서드를 사용하여 사용자를 추가합니다. 사용자는 admin 데이터베이스에서 최소한 userAdminAnyDatabase 역할을 갖고 있어야 합니다.

다음 예제에서는 admin 데이터베이스에 사용자 fred를 생성합니다.

admin = db.getSiblingDB("admin")
admin.createUser(
  {
    user: "fred",
    pwd:  passwordPrompt(),     // or cleartext password
    roles: [ { role: "userAdminAnyDatabase", db: "admin" } ]
  }
)

기본 제공 역할 및 데이터베이스 관리 작업과 관련된 역할의 전체 목록은 데이터베이스 사용자 역할에서 확인하세요.

사용자 관리자로 인증합니다.

db.auth()를 사용하여 사용자 관리자로 인증해 추가 사용자를 생성합니다.

db.getSiblingDB("admin").auth("fred", passwordPrompt()) // or cleartext password

메시지가 표시되면 비밀번호를 입력합니다.

mongosh 또는 -u <username> -p <password>, 및 매개변수를 사용하여 새 세션을 대상 복제본 세트 멤버에 --authenticationDatabase "admin" 연결합니다. 에 연결하려면 로컬 호스트 예외 를 사용해야 mongos 합니다.

mongosh -u "fred" -p  --authenticationDatabase "admin"

-p 명령줄 옵션에 비밀번호를 지정하지 않으면 mongosh 에서 비밀번호를 입력하라는 메시지를 표시합니다.

클러스터 관리를 위한 관리 사용자 생성

cluster 관리자 사용자에게는 샤드 cluster에 대한 clusterAdmin 역할이 있으며, 샤드 로컬 cluster 관리자는 그렇지 않습니다 .

다음 예제에서는 admin 데이터베이스에 사용자 ravi를 생성합니다.

db.getSiblingDB("admin").createUser(
  {
    "user" : "ravi",
    "pwd" : passwordPrompt(),     // or cleartext password
    roles: [ { "role" : "clusterAdmin", "db" : "admin" } ]
  }
)

복제본 세트 및 샤딩된 클러스터 작업과 관련된 기본 제공 역할의 전체 목록은 클러스터 관리 역할을 참조하세요.

cluster 관리자로 인증합니다.

샤딩 작업을 수행하려면 clusterAdmin db.auth() mongosh 메서드 username 또는password, 및 매개변수가 authenticationDatabase 있는 새 세션을 사용하여 사용자로 인증합니다.

밸런서를 시작합니다.

밸런서를 시작합니다.

sh.startBalancer()

MongoDB 6 부터 시작.0.3, 자동 청크 분할이 수행되지 않습니다. 이는 밸런싱 정책 개선 때문입니다. 자동 분할 명령이 여전히 존재하지만 작업을 수행하지 않습니다.

MongoDB 6.0.3 이전 버전에서 sh.startBalancer()는 샤딩된 클러스터에 대한 자동 분할도 활성화합니다.

sh.getBalancerState() 를 사용하여 밸런서가 시작되었는지 확인합니다.

cluster 밸런서에 대한 튜토리얼은 cluster 밸런서 managed 에서 확인하세요.

추가 사용자 만들기(선택 사항).

다음 예제에서는 /ko-kr/docs/current/reference/built-in-roles/#std-label-database-user-roles 데이터베이스에 사용자 leafygreen-ui-qufvci를 생성합니다.read 및 readWrite과 같은 사용 가능한 기본 제공 역할에 관한 내용은 데이터베이스 사용자 역할에서 확인하세요. 추가 관리 사용자가 필요할 수도 있습니다. 사용자에 대한 자세한 내용은 사용자에서 확인하세요.

추가 사용자를 생성하려면 userAdminAnyDatabase 또는 userAdmin 역할을 가진 사용자로 인증해야 합니다.