如果您的MongoDB 部署强制执行访问控制,则 必须以MongoDB Ops ManagerMongoDB Agent 具有适当访问权限的MongoDB 用户 身份向 进行身份验证。
注意
此页面上的说明适用于不使用自动化的部署。 如果您使用自动化,那么 Ops Manager 会为您托管身份验证,以下的指示则不适用。
要进行身份验证,请在 MongoDB 中创建具有适当角色的用户。 以下教程包括在 MongoDB 部署中创建 MongoDB Agent 用户的说明和示例:
MongoDB用户角色与MongoDB Ops Manager用户角色是分开的。 MongoDB手册的“授权”页面开始描述了这些角色及其权限。
Considerations
要对分片集群进行身份验证,请在每个分片上创建分片本地用户,并创建集群范围的用户:
通过直接连接到每个分片的副本集来创建分片本地用户。
在连接到
mongos时创建集群范围的用户:这些档案会保留到配置服务器。
重要
Ops Manager 部署中的每个mongod和mongos进程必须为 MongoDB 助手用户使用相同的用户名和角色。
自动化
以有权 创建数据库用户mongod 的用户身份访问权限到mongos 或 实例。请参阅MongoDB手册中的db.createUser() 方法页面。
要自动化执行 MongoDB 实例,MongoDB Agent 必须在admin数据库上以具有以下角色的 MongoDB 用户身份进行身份验证:
对于分片的集群, MongoDB Agent 还需要:
注意
您必须为分片集群自动化指定 directShardOperations 角色。此角色允许自动化代理执行需要直接访问权限分片的维护操作,例如向现有集群添加分片。对于非分片的部署(独立运行的实例或副本集),可以省略此角色。
备份
要备份 MongoDB 实例,MongoDB Agent 必须在列出的数据库上以具有所需角色的 MongoDB 用户身份进行身份验证。
MongoDB database 版本 | MongoDB FCV | 所需角色 | Database |
|---|---|---|---|
4.2.x 或更高版本 | 4.2 或更高版本 |
| |
3.0.0 到 4.2.x | 4.0 或更早版本 |
| |
2.6.x |
| ||
2.6.x |
|
对于具有MongoDB 8.0 或更高特征兼容性版本的分片集群, MongoDB Agent 还需要 directShardOperations角色。如果您使用自动化,则代理用户已包含此角色。
监控
要监控MongoDB 实例, 必须在MongoDB Agent admin数据库上以具有 角色的MongoDB clusterMonitor用户身份进行身份验证。
对于具有MongoDB 8.0 或更高特征兼容性版本的分片集群, MongoDB Agent 还需要 directShardOperations角色。如果您使用自动化,则代理用户已包含此角色。
身份验证机制
要进行身份验证,请在MongoDB中创建具有适当访问权限的用户。MongoDB 部署使用的身份验证方法决定了在创建用户和任何其他MongoDB 助手配置时要设立的选项:
对于 SCRAM 身份验证,请参阅配置 MongoDB Agent 的身份验证。
对于 LDAP 身份验证,请参阅为 LDAP 配置 MongoDB Agent。
对于 Kerberos 身份验证,请参阅为 Kerberos 配置 MongoDB Agent。
对于 X.509 身份验证,请参阅为 X.509 身份验证配置 MongoDB Agent。